Schlüsselaustausch vs. Digitale Signaturen: Warum die Quanten-Uhr unterschiedlich tickt

Typ: Technisches Briefing

Veröffentlicht: Dezember 2025

Schlüsselwörter: TLS 1.3, Schlüsselaustausch, Digitale Signaturen, HNDL, Post-Quanten-Kryptographie, RSA, ECDSA, ML-KEM

Zusammenfassung

TLS 1.3 basiert auf zwei unterschiedlichen kryptographischen Operationen: Schlüsselaustausch für die Vertraulichkeit und digitale Signaturen für die Authentifizierung. Beide sind anfällig für zukünftige Quantencomputer, die Shors Algorithmus ausführen. Allerdings wirkt sich die „Jetzt sammeln, später entschlüsseln" (HNDL)-Bedrohung auf beide sehr unterschiedlich aus. Dieser Artikel erklärt, warum die Migration des Schlüsselaustauschs zu post-quantensicheren Algorithmen zeitkritisch ist, während herkömmliche RSA- und ECDSA-Signaturen – vorerst – weiter im Einsatz bleiben können.

Kernpunkte auf einen Blick

Der Schlüsselaustausch schützt Daten auch nach Sitzungsende; Signaturen sind nur während des Handshakes relevant.
HNDL-Angriffe zielen auf die Vertraulichkeit (Schlüsselaustausch), nicht auf die Authentifizierung (Signaturen) – Angreifer speichern heute verschlüsselten Datenverkehr, um ihn später zu entschlüsseln.
Die Migration des Schlüsselaustauschs ist zeitkritisch; die Signatur-Migration hat mehr Spielraum, da das nachträgliche Brechen einer Signatur keine vergangenen Sitzungsschlüssel preisgibt.
TLS 1.3 unterstützt bereits hybriden Schlüsselaustausch (X25519 + ML-KEM-768), der heute schon Quantenresistenz bietet.
RSA/ECDSA-Signaturen bleiben praktikabel, bis Echtzeit-Quantenangriffe möglich werden – aber halten Sie die Zertifikatslaufzeiten kurz.

Die zwei kryptographischen Säulen von TLS 1.3

Jedes Mal, wenn Ihr Browser eine Verbindung zu einer sicheren Website herstellt, führt TLS 1.3 zwei grundlegend verschiedene kryptographische Operationen durch. Das Verständnis dieser Unterscheidung ist entscheidend, um zu begreifen, warum Quantenbedrohungen sie unterschiedlich betreffen.

Zwei Säulen der TLS-Sicherheit

🔐

Schlüsselaustausch

Diffie-Hellman / KEM

Erzeugt ein gemeinsames Geheimnis zwischen Client und Server. Dieses Geheimnis verschlüsselt alle Sitzungsdaten und schützt sie vor Lauschangriffen.

Klassisch: X25519, ECDH, DH
Post-Quanten: ML-KEM-768

✍️

Digitale Signatur

RSA / ECDSA

Beweist, dass die Identität des Servers echt ist. Die Signatur verifiziert, dass das Zertifikat nicht gefälscht wurde – und verhindert Identitätsbetrug.

Klassisch: RSA-2048, ECDSA
Post-Quanten: ML-DSA, SLH-DSA

Abbildung 1: Der Schlüsselaustausch gewährleistet Vertraulichkeit (Schutz des Dateninhalts), während digitale Signaturen die Authentifizierung ermöglichen (Identitätsnachweis). Beide nutzen Public-Key-Kryptographie, dienen aber völlig unterschiedlichen Zwecken.

Der Schlüsselaustausch (typischerweise ECDH mit der X25519-Kurve) erzeugt ein ephemeres gemeinsames Geheimnis. Beide Parteien leiten daraus Verschlüsselungsschlüssel ab, und die gesamte nachfolgende Kommunikation wird verschlüsselt. Das Besondere an diesem Ansatz – genannt Vorwärtsgeheimnis (Forward Secrecy) – ist, dass selbst wenn jemand später den langfristigen privaten Schlüssel des Servers stiehlt, vergangene Sitzungen nicht entschlüsselt werden können, da jede Sitzung einen einzigartigen ephemeren Schlüssel verwendete.

Digitale Signaturen (RSA oder ECDSA) übernehmen die Authentifizierung. Der Server signiert das Handshake-Transkript mit seinem privaten Schlüssel, und der Client verifiziert diese Signatur mit dem öffentlichen Schlüssel aus dem Server-Zertifikat. Dies beweist, dass der Client mit dem echten Server kommuniziert und nicht mit einem Betrüger.

Die „Jetzt sammeln, später entschlüsseln"-Bedrohung

Der „Harvest Now, Decrypt Later" (HNDL)-Angriff ist vielleicht die heimtückischste Quantenbedrohung, der wir gegenüberstehen. Anders als traditionelle Cyberangriffe, die sofortigen Gewinn suchen, ist HNDL ein Langzeitspiel: Angreifer sammeln heute passiv verschlüsselten Datenverkehr und archivieren ihn, in der Erwartung, dass zukünftige Quantencomputer die Verschlüsselung brechen werden.

Geheimdienste und Sicherheitsforscher bestätigen, dass dies bereits geschieht. Internet-Route-Hijacks haben massive Mengen verschlüsselten Datenverkehrs über von Angreifern kontrollierte Netzwerke umgeleitet. Die verschlüsselten Daten sind heute nutzlos – könnten aber zu einer Goldgrube werden, wenn kryptographisch relevante Quantencomputer (CRQCs) verfügbar sind.

Aber hier ist die entscheidende Erkenntnis: HNDL ist grundsätzlich ein Vertraulichkeitsangriff. Angreifer wollen Ihre verschlüsselten Daten lesen. Das bedeutet, die Bedrohung zielt spezifisch auf den Schlüsselaustausch-Mechanismus ab, nicht auf den Signatur-Mechanismus.

Warum HNDL Schlüsselaustausch und Signaturen unterschiedlich beeinflusst

Um die asymmetrische Auswirkung zu verstehen, betrachten Sie, was passiert, wenn ein Quantencomputer schließlich jeden Mechanismus bricht:

Wie Quantenangriffe Schlüsselaustausch vs. Signaturen betreffen

🔐

Schlüsselaustausch

Heute

ECDH-Schlüsselaustausch

🔒

→

Heute

Angreifer zeichnet auf

📡

→

Zukunft (Q-Day)

ECDH mit Shor brechen

⚛️

→

Ergebnis

Alle Daten offengelegt

💀

✍️

Signatur

Heute

RSA-Signatur verifiziert

✅

→

Heute

Sitzung sicher beendet

🔒

→

Zukunft (Q-Day)

RSA mit Shor brechen

⚛️

→

Ergebnis

Vergangene Sitzungen sicher

🛡️

Abbildung 2: Das nachträgliche Brechen des Schlüsselaustauschs legt alle gespeicherten verschlüsselten Daten offen. Das nachträgliche Brechen von Signaturen hat keine Auswirkung – die Authentifizierung hat bereits stattgefunden und Sitzungsschlüssel wurden nie aus der Signatur abgeleitet.

Die zentrale Erkenntnis ist, dass Signaturen ephemere Verifikationen sind. Sobald der Handshake abgeschlossen ist und beide Parteien sich authentifiziert haben, hat die Signatur ihre Aufgabe erfüllt. Das Brechen des Signaturalgorithmus zehn Jahre später erlaubt es einem Angreifer nicht, Sitzungsschlüssel wiederherzustellen – da die Sitzungsschlüssel aus dem Schlüsselaustausch abgeleitet wurden, nicht aus der Signatur.

Im Gegensatz dazu bleiben die Geheimnisse des Schlüsselaustauschs im verschlüsselten Datenverkehr erhalten. Jedes Byte verschlüsselter Daten, das während der Sitzung übertragen wurde, war durch Schlüssel geschützt, die aus dem Diffie-Hellman-Austausch abgeleitet wurden. Wenn ein Angreifer das gemeinsame Geheimnis wiederherstellen kann, kann er alles entschlüsseln.

Migrationspriorität: Schlüsselaustausch zuerst

Diese Asymmetrie hat tiefgreifende Auswirkungen auf die Planung der Post-Quanten-Migration. Betrachten Sie die Zeitachse:

Dringlichkeit der Post-Quanten-Migration

⏰

Schlüsselaustausch

DRINGEND: Jetzt migrieren

Warum dringend? Heute mit klassischem Schlüsselaustausch verschlüsselte Daten werden entschlüsselbar, wenn Quantencomputer verfügbar sind. Wenn Ihre Daten 10+ Jahre geheim bleiben müssen, sind sie bereits durch HNDL-Angriffe gefährdet.

📋

Signaturen

WICHTIG: Vorausplanen

Warum weniger dringend? Das nachträgliche Brechen von Signaturen gefährdet vergangene Sitzungen nicht. Die Migration ist nötig, bevor Quantencomputer in Echtzeit angreifen können – aber das ist eine etwas längere Zeitspanne.

Abbildung 3: Die Migration des Schlüsselaustauschs ist wegen HNDL-Angriffen zeitkritisch. Die Signatur-Migration ist wichtig, bietet aber mehr Flexibilität beim Timing.

Branchenexperten und Regierungsbehörden wie das BSI und die NSA haben die Migration des Schlüsselaustauschs explizit priorisiert. Die gute Nachricht: Hybrider Schlüsselaustausch ist bereits verfügbar. TLS-Bibliotheken und große Browser unterstützen jetzt die X25519MLKEM768-Gruppe, die klassisches X25519 mit post-quantensicherem ML-KEM-768 kombiniert.

Die Lebensdauer Ihrer Daten bestimmt Ihre Dringlichkeit

Nicht alle Daten sind dem gleichen Risiko ausgesetzt. Die entscheidende Frage ist: Wie lange müssen Ihre Daten vertraulich bleiben? Wenn die Antwort die erwartete Zeitachse für Quantencomputer überschreitet, sollten Sie bereits post-quantensicheren Schlüsselaustausch einsetzen.

Datensensitivitäts-Lebensdauer vs. Quanten-Ankunft

🏛️ Verschlusssachen

25+ Jahre

🔬 Geschäftsgeheimnisse

20 Jahre

🏥 Patientenakten

10 Jahre

💰 Finanzdaten

7 Jahre

📧 Geschäfts-E-Mails

3-5 Jahre

Die rote Linie zeigt die geschätzte Quantencomputer-Zeitachse (~2030-2035). Daten mit Lebensdauern, die über diesen Zeitpunkt hinausgehen, sind durch HNDL-Angriffe gefährdet.

Abbildung 4: Wenn die erforderliche Vertraulichkeitsperiode Ihrer Daten über die geschätzte „Q-Day"-Zeitachse hinausgeht, stellen HNDL-Angriffe eine reale Bedrohung dar. Klassifizieren Sie Ihre Daten und priorisieren Sie die Migration entsprechend.

Warum RSA- und ECDSA-Signaturen warten können (aber nicht ewig)

Angesichts der obigen Diskussion fragen Sie sich vielleicht: Können wir post-quantensichere Signaturen vollständig ignorieren? Nicht ganz. Obwohl die Dringlichkeit geringer ist, gibt es immer noch Gründe, vorausschauend zu planen:

Echtzeit-Identitätsbetrugsangriffe: Sobald Quantencomputer RSA/ECDSA in Echtzeit brechen können, könnten Angreifer Zertifikate fälschen und sich als legitime Server ausgeben. Dies ist eine zukünftige Bedrohung, keine rückwirkende.
Langlebige Root-CA-Zertifikate: Root-Zertifikate haben oft Gültigkeitszeiträume von 20+ Jahren. Wenn Quantencomputer während ihrer Gültigkeitsdauer verfügbar werden, könnte die gesamte PKI-Vertrauenskette kompromittiert werden.
Migrationskomplexität: Post-Quanten-Signaturen (wie ML-DSA) haben deutlich größere Schlüssel und Signaturen, was Infrastruktur-Updates erfordert. Ein früher Start vermeidet eine überstürzte Umstellung.

Der praktische Rat: Halten Sie die Zertifikatslaufzeiten kurz (ein Jahr oder weniger für End-Entity-Zertifikate), beobachten Sie den NIST-PQC-Standardisierungsprozess und stellen Sie sicher, dass Ihre Infrastruktur sich anpassen kann, wenn post-quantensichere Signaturen praktikabel werden.

Der Weg nach vorne

Die gute Nachricht ist, dass die Kryptographie-Community die schwere Arbeit bereits geleistet hat. NIST hat ML-KEM (FIPS 203) im Jahr 2024 standardisiert, und hybrider Schlüsselaustausch, der X25519 mit ML-KEM-768 kombiniert, wird bereits von großen Browsern, Cloud-Anbietern und TLS-Bibliotheken unterstützt.

Für eine detaillierte technische Anleitung zur Implementierung von hybridem TLS siehe unseren Artikel über TLS 1.3 Quanten-Schwachstellen und hybride Schutzmaßnahmen.

Weiterführende Ressourcen

Bereit, tiefer einzusteigen? Entdecken Sie unsere anderen Artikel zur Post-Quanten-Kryptographie:

Lesen: Jetzt sammeln, später entschlüsseln → Lesen: TLS 1.3 Hybride Schutzmaßnahmen →