PQC-Grundlagen

Ein einsteigerfreundlicher Leitfaden zu den wichtigsten Konzepten der Post-Quanten-Kryptographie — kein Doktortitel erforderlich.

Quantencomputer entwickeln sich rasant weiter, und zukünftig kryptographisch relevante Systeme könnten einen großen Teil der heutigen Public-Key-Kryptographie brechen, die Internetkommunikation schützt. Post-Quanten-Kryptographie (PQC) ist die neue Generation von Algorithmen, die gegen diese Bedrohung resistent sind. Diese Seite führt Sie durch die wichtigsten Konzepte — von den Grundlagen der Verschlüsselung bis zu den Standards, die die Zukunft prägen.

1

Was ist Post-Quanten-Kryptographie?

Post-Quanten-Kryptographie (PQC) bezeichnet kryptographische Algorithmen, die sowohl gegen Angriffe von klassischen Computern als auch von Quantencomputern sicher sind. Anders als die heute weit verbreiteten Algorithmen (RSA, ECC) basieren PQC-Algorithmen auf mathematischen Problemen, für die derzeit keine effizienten Quantenangriffe bekannt sind.

💡 Bildlich gesprochen: Die heutige Verschlüsselung ist wie ein Schloss, das nur ein klassischer Dietrich öffnen kann. Ein Quantencomputer ist wie ein Generalschlüssel. PQC ersetzt das Schloss komplett durch eines, für das es keinen bekannten Schlüssel gibt — weder klassisch noch quantenbasiert.

PQC ist keine Science-Fiction — das US-amerikanische National Institute of Standards and Technology (NIST) hat im August 2024 die ersten drei PQC-Standards finalisiert, und Regierungen sowie Regulierungsbehörden veröffentlichen Migrationsfahrpläne mit zentralen Meilensteinen in den frühen bis mittleren 2030er-Jahren.

2

Public-Key-Kryptographie — Die Grundlagen

Die sichere Kommunikation im Internet basiert größtenteils auf Public-Key (asymmetrischer) Kryptographie. Dabei wird ein Paar mathematisch verknüpfter Schlüssel verwendet:

  • Öffentlicher Schlüssel — wird frei geteilt. Wird genutzt, um Nachrichten zu verschlüsseln oder Signaturen zu verifizieren.
  • Privater Schlüssel — bleibt geheim beim Besitzer. Wird genutzt, um Nachrichten zu entschlüsseln oder Signaturen zu erstellen.
💡 Analogie: Stellen Sie sich einen Briefkasten mit Einwurfschlitz (öffentlicher Schlüssel) vor, in den jeder einen Brief einwerfen kann — aber nur Sie haben den Schlüssel (privater Schlüssel), um ihn zu öffnen und die Post zu lesen.

Die Sicherheit dieser Systeme beruht auf schwer lösbaren mathematischen Problemen. Traditionelle Public-Key-Verfahren wie RSA (Faktorisierung) und ECC (diskreter Logarithmus auf elliptischen Kurven) setzen auf Probleme, die ein ausreichend leistungsfähiger Quantencomputer effizient lösen könnte. PQC ist weiterhin Public-Key-Kryptographie — das Public-/Private-Key-Modell bleibt gleich, aber die zugrunde liegenden mathematischen Probleme ändern sich.

3

Was ist ein Schlüsselaustausch?

Bevor zwei Parteien (z. B. Ihr Browser und eine Website) sicher kommunizieren können, müssen sie sich auf einen gemeinsamen geheimen Schlüssel einigen — ohne dass ein Angreifer ihn herausfinden kann. Dieser Vorgang wird als Schlüsselaustausch bezeichnet.

Die heute gebräuchlichste Methode ist Diffie-Hellman (DH) und die Variante auf elliptischen Kurven ECDH (X25519). Beide Parteien tragen zum Geheimnis bei, und selbst jemand, der den gesamten Netzwerkverkehr beobachtet, kann den Schlüssel nicht rekonstruieren.

💡 Analogie: Stellen Sie sich vor, zwei Personen mischen jeweils eine geheime Farbe in eine gemeinsame Grundfarbe. Sie tauschen ihre Mischergebnisse öffentlich aus und fügen dann jeweils ihre eigene Geheimfarbe erneut hinzu. Beide gelangen zur gleichen Endfarbe, aber ein Beobachter kann sie nicht zurückverfolgen.
Vertiefung: Schlüsselaustausch vs. Digitale Signaturen →
4

Was ist ein KEM (Key Encapsulation Mechanism)?

Ein KEM erreicht dasselbe Ziel wie ein Schlüsselaustausch — die Etablierung eines gemeinsamen Geheimnisses — funktioniert aber anders. Beide sind Formen der Schlüsseletablierung. Statt dass beide Parteien beitragen, kapselt eine Partei (der Sender) ein zufällig erzeugtes Geheimnis in einem „Chiffretext" unter Verwendung des öffentlichen Schlüssels der anderen Partei. Nur der Inhaber des passenden privaten Schlüssels kann es dekapsulieren.

  • Schlüsselaustausch (DH) — beide Parteien tragen bei; das gemeinsame Geheimnis entsteht aus ihren kombinierten Eingaben.
  • KEM — eine Partei erzeugt das Geheimnis und verpackt es für die andere Partei zum Auspacken.

Der primäre Post-Quanten-Standard des NIST, ML-KEM (ehemals Kyber), ist ein KEM. Er wird bereits in ausgewählten Browser- und Netzwerk-Rollouts eingesetzt, typischerweise in hybriden TLS-Konfigurationen, während Standards und Implementierungen weiter reifen.

Vertiefung: Wie hybrides TLS ML-KEM nutzt →
5

Was sind digitale Signaturen?

Eine digitale Signatur ist das elektronische Äquivalent einer handschriftlichen Unterschrift — sie beweist, dass eine Nachricht oder ein Dokument von einer bestimmten Person erstellt wurde und nicht manipuliert worden ist.

  • Signieren: Der Autor erstellt mit seinem privaten Schlüssel eine Signatur für die Nachricht.
  • Verifizieren: Jeder, der den öffentlichen Schlüssel des Autors hat, kann die Gültigkeit der Signatur prüfen.

Digitale Signaturen sind allgegenwärtig: TLS-Zertifikate, Software-Updates, Code-Signing, E-Mail-Authentifizierung und Blockchain-Transaktionen. NIST hat zwei Post-Quanten-Signaturalgorithmen standardisiert: ML-DSA (gitterbasiert) und SLH-DSA (hashbasiert).

Vertiefung: Code-Signing und PQC →
6

Die Quantenbedrohung

Quantencomputer nutzen Phänomene wie Superposition und Verschränkung, um Information auf fundamental andere Weise zu verarbeiten. Zwei Quantenalgorithmen stellen eine direkte Bedrohung für die heutige Kryptographie dar:

  • Shor-Algorithmus — kann große Zahlen faktorisieren und diskrete Logarithmen exponentiell schneller lösen als jeder klassische Computer. Das würde weit verbreitete RSA- und ECC-Verfahren auf praxisrelevanten Sicherheitsniveaus kompromittieren.
  • Grover-Algorithmus — beschleunigt Brute-Force-Suchen und halbiert effektiv die Sicherheit symmetrischer Algorithmen (z. B. wird AES-128 auf AES-64-Stärke reduziert). Die Lösung ist einfach: Schlüssellänge verdoppeln.

Ein Quantencomputer, der solche Angriffe praktisch ausführen kann, wird häufig als Cryptographically Relevant Quantum Computer (CRQC) bezeichnet.

Der entscheidende Punkt: Shors Algorithmus macht die Bedrohung für Public-Key-Kryptographie existenziell, während Grovers Algorithmus handhabbar ist. Deshalb konzentriert sich PQC auf den Ersatz von Public-Key-Algorithmen, nicht von symmetrischen.

Vertiefung: Die „Jetzt sammeln, später entschlüsseln"-Bedrohung →
7

NIST Post-Quanten-Standards

Im August 2024 veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei Post-Quanten-Kryptographiestandards nach einer 8-jährigen internationalen Evaluierung:

  • ML-KEM (FIPS 203) — Ein gitterbasierter Key Encapsulation Mechanism. Der primäre Ersatz für Schlüsselaustausch in TLS, VPNs und anderen Protokollen. Drei Sicherheitsstufen: ML-KEM-512, ML-KEM-768, ML-KEM-1024.
  • ML-DSA (FIPS 204) — Ein gitterbasierter digitaler Signaturalgorithmus. Konzipiert für universelle Signierung (Zertifikate, Code-Signing, Authentifizierung).
  • SLH-DSA (FIPS 205) — Ein hashbasierter digitaler Signaturalgorithmus. Bietet eine konservative, gut verstandene Absicherung, die ausschließlich auf der Sicherheit von Hashfunktionen beruht.

Die Standardisierung von Algorithmen ist ein wichtiger erster Schritt, aber die praktische Migration hängt auch von Protokollstandards, validierten Implementierungen und einer phasenweisen Einführung ab.

Vertiefung: BSI-konforme PQC →
8

Was ist hybride Kryptographie?

Da PQC-Algorithmen noch relativ neu sind, nutzen die meisten heutigen Implementierungen einen hybriden Ansatz: Ein bewährter klassischer Algorithmus (wie X25519) wird parallel mit einem Post-Quanten-Algorithmus (wie ML-KEM-768) kombiniert.

Das Ergebnis: Wenn Protokoll und Implementierung korrekt aufgebaut sind, hängt die Sicherheit nicht von nur einem einzigen kryptographischen Baustein ab. So erhalten Organisationen die Quantenresistenz von PQC, ohne auf die bewährte Sicherheit klassischer Kryptographie verzichten zu müssen.

💡 Analogie: Es ist, als würde man eine Tür mit zwei verschiedenen Schlössern sichern — einem traditionellen Riegel und einem Smartlock der nächsten Generation. Ein Einbrecher müsste beide überwinden, um hineinzukommen.

Große Browser- und Cloud-Ökosysteme haben hybrides TLS (z. B. X25519 + ML-KEM-768) in gestuften Rollouts eingeführt, und diese Mechanismen entwickeln sich mit reifenden Standards weiter. Standkontext: März 2026.

Vertiefung: Wie hybrides TLS Realität wird →
!

Warum ist das jetzt wichtig?

Vielleicht denken Sie: „Quantencomputer gibt es noch nicht in großem Maßstab — warum also die Eile?" Die Antwort lautet „Jetzt sammeln, später entschlüsseln" (Harvest Now, Decrypt Later – HNDL) (auch „Store Now, Decrypt Later"). Angreifer fangen bereits heute verschlüsselte Daten ab und speichern sie, um sie zu entschlüsseln, sobald Quantencomputer leistungsfähig genug sind.

Alle Daten, die länger als 10 Jahre vertraulich bleiben müssen — Krankenakten, Finanzdaten, Geschäftsgeheimnisse, Regierungskommunikation — sind schon jetzt gefährdet. Deshalb veröffentlichen Regulierungsbehörden phasenweise Zeitpläne und sektorspezifische Anforderungen; das britische NCSC nennt beispielsweise Meilensteine für 2028, 2031 und 2035.

Vertiefung: Die „Jetzt sammeln, später entschlüsseln"-Bedrohung →

Glossar

BegriffDefinition
PQCPost-Quanten-Kryptographie — Algorithmen, die Angriffen von Quantencomputern standhalten.
PKCPublic-Key Cryptography — asymmetrische Kryptographie für Schlüsseletablierung und digitale Signaturen.
KEMKey Encapsulation Mechanism — eine Methode zur sicheren Etablierung eines gemeinsamen geheimen Schlüssels.
ML-KEMModule-Lattice-Based KEM (FIPS 203, ehemals „Kyber") — NISTʼs primärer PQC-Standard zur Schlüsseletablierung.
ML-DSAModule-Lattice-Based Digital Signature Algorithm (FIPS 204, ehemals „Dilithium") — NISTʼs primärer PQC-Signaturstandard.
SLH-DSAStateless Hash-Based Digital Signature Algorithm (FIPS 205, ehemals „SPHINCS+") — ein konservativer PQC-Signaturstandard als Absicherung.
TLSTransport Layer Security — das Protokoll, das HTTPS-Verbindungen zwischen Browsern und Websites absichert.
RSARivest–Shamir–Adleman — ein weit verbreiteter Public-Key-Algorithmus, anfällig für Shors Algorithmus.
ECCElliptic Curve Cryptography — ein weiterer Public-Key-Ansatz (z. B. X25519), ebenfalls anfällig für Quantenangriffe.
HNDLHarvest Now, Decrypt Later — die Strategie, verschlüsselte Daten jetzt aufzuzeichnen, um sie mit zukünftigen Quantencomputern zu entschlüsseln.
CRQCCryptographically Relevant Quantum Computer — ein Quantencomputer, der leistungsfähig genug ist, die heutige Public-Key-Kryptographie zu brechen.
HybridEin Ansatz, der klassische und PQC-Algorithmen für mehrschichtige Verteidigung kombiniert.
NISTNational Institute of Standards and Technology (USA) — die Behörde, die PQC-Algorithmen standardisiert hat.
BSIBundesamt für Sicherheit in der Informationstechnik — die deutsche Bundesbehörde für IT-Sicherheit.
QKDQuantum Key Distribution (Quantenschlüsselverteilung) — ein physikbasierter Ansatz für Schlüsselaustausch mittels Quantenmechanik (unterscheidet sich von PQC).

Bereit für mehr?

Entdecken Sie unsere vollständige Sammlung technischer Artikel, Analysen und Perspektiven zur Post-Quanten-Kryptographie.

Alle Publikationen durchsuchen →