Post-Quanten-Kryptografie: Was sich jetzt wirklich lohnt

Spätestens seit Google seine Schätzung für den sogenannten Q-Day von 2035 auf 2029 vorgezogen hat, wirkt die Debatte über Post-Quanten-Kryptografie nicht mehr wie Zukunftsmusik. Laut einem Bericht von CyberScoop über die neue Google-Zeitlinie ist daraus vielmehr ein Migrationsfenster mit absehbarem Ende geworden. Wenn Ihre Bankzugänge, Gesundheitsdaten oder vertraulichen Nachrichten weiterhin auf RSA oder ECC beruhen, schrumpft der zeitliche Puffer schneller, als viele Sicherheitsteams eingeplant hatten.

Hinzu kommt, dass das eigentliche Risiko nicht erst mit einem funktionsfähigen Quantencomputer beginnt. Das Muster „harvest now, decrypt later“ ist längst realistisch: verschlüsselter Datenverkehr wird heute gesammelt, um ihn später zu entschlüsseln. In einer Lage, in der 67 Prozent der Sicherheitsverletzungen mit gestohlenen Zugangsdaten beginnen, ist die spätere Verwertbarkeit abgeflossener Daten ein strategisches Problem.

Der Standardisierungsprozess ist weiter als viele annehmen

Das NIST hat im August 2024 drei zentrale Post-Quanten-Standards finalisiert und weitere Verfahren in der Pipeline belassen, wie das offizielle PQC-Programm des NIST zeigt. Dabei entsteht leicht der Eindruck, alle Kandidaten seien im Grunde gleich weit. Nach aktuellen Erkenntnissen wäre das eine irreführende Vereinfachung. Die Verfahren unterscheiden sich deutlich in Reifegrad, Implementierungsaufwand und praktischer Eignung.

Gerade in der Kryptografie zählt nicht nur die mathematische Konstruktion. Entscheidend ist ebenso, wie sich ein Verfahren unter realen Bedingungen verhält: bei Latenz, Speicherbedarf, Energieverbrauch, Schlüsselgrößen und Implementierungssicherheit. Das stärkste Konzept auf dem Papier ist nicht automatisch die vernünftigste Wahl für eine produktive Infrastruktur.

Ein Kandidat ist faktisch erledigt

BIKE steht am Ende dieser Einordnung. Das Verfahren hat den Wettbewerb des NIST nicht gewonnen und verlor den Backup-Platz der vierten Runde an HQC. Sein Vorteil lag unter anderem in bestimmten Speicherszenarien, allerdings erwiesen sich Latenz und Energiebedarf bei höheren Sicherheitsstufen als problematisch.

Die Konsequenz ist eindeutig: Ein FIPS-Standard für BIKE ist nicht zu erwarten. Wenn Anbieter BIKE-Unterstützung dennoch als Fortschritt vermarkten, spricht das eher gegen als für strategische Reife. In einem Umfeld, das auf Interoperabilität und langfristige Planung angewiesen ist, sind ausgeschiedene Kandidaten kein überzeugendes Signal.

HQC ist Reserve, aber noch keine erste Wahl

HQC nimmt eine Sonderrolle ein. Das Verfahren wurde als codebasierte Alternative zu gitterbasierten Ansätzen ausgewählt. Der Gedanke dahinter ist nachvollziehbar: Falls die mathematischen Annahmen der Gitterverfahren eines Tages erschüttert würden, stünde wenigstens ein andersartiges Fundament bereit.

Praktisch betrachtet bleibt HQC jedoch schwierig. Der Speicherbedarf ist hoch, und die thermische Belastung fällt auf begrenzter Hardware spürbar ins Gewicht. Für Serverumgebungen mag das handhabbar sein. Für IoT-Sensoren, mobile Geräte oder stark beschränkte Plattformen ist die Lage deutlich weniger komfortabel. HQC wirkt daher eher wie eine Absicherung gegen einen unwahrscheinlichen, aber folgenreichen Fall, nicht wie die naheliegende Standardentscheidung.

Bei Signaturen zeigt sich der Zielkonflikt besonders klar

SLH-DSA und FN-DSA verdeutlichen, wie unterschiedlich die Prioritäten bei Signaturverfahren ausfallen können. SLH-DSA, abgeleitet aus SPHINCS+, basiert vollständig auf Hashfunktionen. Solange diese Grundlage trägt, gilt das Verfahren als besonders robust für Daten, die über Jahrzehnte überprüfbar bleiben müssen, etwa Behördenarchive, juristische Unterlagen oder Protokolle kritischer Infrastrukturen.

Allerdings ist dieser Sicherheitsgewinn teuer erkauft. Die Signaturen überschreiten 7.800 Byte, während ML-DSA bei etwa 3.300 Byte liegt, und auch die Signaturerstellung ist deutlich langsamer. Für TLS-Handshakes oder andere latenzkritische Anwendungen ist das kaum attraktiv.

FN-DSA, abgeleitet aus FALCON, punktet dagegen mit sehr kompakten Schlüsseln und Signaturen. Das ist für bandbreitenarme Netze, Zertifikatsketten oder eingebettete Systeme interessant und passt zu Entwicklungen wie dem Übergang von Passwörtern zu Passkeys. Allerdings verlangt FN-DSA bei der Schlüsselerzeugung konstante Gleitkomma-Arithmetik, die bekanntermaßen schwer ohne Seitenkanalrisiken umzusetzen ist. Das Verfahren bleibt deshalb beobachtenswert, aber nicht unkritisch.

Für produktive Umgebungen zeichnet sich ein klares Duo ab

Wenn es um sofortige Einsatzreife geht, führen derzeit ML-DSA und ML-KEM. ML-DSA, hervorgegangen aus CRYSTALS-Dilithium, eignet sich für Code-Signing, Dokumentenprüfung und Authentisierung. Die Leistungsanalyse zu PQC in TLS auf arXiv deutet darauf hin, dass die Signaturerstellung deutlich schneller als bei RSA-2048 erfolgen kann, ohne dass die praktischen Nachteile überwiegen.

An der Spitze steht ML-KEM, das auf CRYSTALS-Kyber basiert. Ausschlaggebend ist nicht nur die Kryptografie selbst, sondern die reale Verbreitung. Google hat das Verfahren in Chrome aktiviert, und Cloudflare berichtet, dass 65 Prozent des menschlichen Datenverkehrs in seinem Netz bereits post-quantenfähige Schlüsselkapselung nutzen. Wenn das NIST Unternehmen auffordert, die Integration „sofort“ zu beginnen, ist das eine ungewöhnlich klare Priorisierung.

Die Phase des bequemen Abwartens ist vorbei

Für die meisten Organisationen lässt sich daraus eine nüchterne Reihenfolge ableiten. ML-KEM ist die naheliegende Wahl für den Schlüsselaustausch. ML-DSA deckt den Großteil praktischer Signaturfälle ab. SLH-DSA bleibt eine langfristige Versicherung für besonders langlebige Nachweise. FN-DSA sollte beobachtet, aber nicht übereilt ausgerollt werden. BIKE ist im Grunde Geschichte.

Zugleich geht das NIST davon aus, dass quantenanfällige Verfahren bis 2035 abgekündigt werden, wobei besonders sensible Systeme deutlich früher migrieren dürften. In Verbindung mit der Geschwindigkeit, mit der KI-gestützte Cyberangriffe gestohlene Daten verwertbar machen, ist die komfortable Übergangsphase weitgehend verschwunden. Der Quantencomputer, der Ihre Verschlüsselung eines Tages bricht, muss heute noch nicht existieren. Für Ihre Planung ist das bereits keine Entwarnung mehr.