Post-Quanten-Kryptografie: Status quo und Handlungsbedarf

Fortschritte in der Quantenhardware

In beiden Bereichen sind deutliche Fortschritte zu beobachten: Jedes Jahr werden neue Quantencomputer mit Rekordzahlen an Qubits vorgestellt – doch die reine Qubit-Zahl sagt wenig aus. Quantencomputer sind analoge Systeme, und ihr Rauschen beeinflusst die Berechnungsqualität stark. Siliziumbasierte Varianten sind schnell und skalierbar, leiden aber unter starkem Rauschen, das sich nur mit Millionen Qubits und Fehlerkorrektur ausgleichen lässt. Ionenfallen-Computer erzeugen weniger Lärm, sind jedoch schwieriger zu skalieren; schon einige hunderttausend Ionenfallen-Qubits könnten RSA-2048 gefährden.

Neben Qubit-Zahl und Rauschpegel sind auch Verschaltung und Skalierbarkeit entscheidend. Trotz scheinbarer Stagnation markierte Googles Willow-Projekt Ende 2024 einen wichtigen Fortschritt: die erste skalierbare Umsetzung eines logischen Qubits im Surface Code – ein erwarteter, aber bedeutender Meilenstein. Google setzt weiter auf supraleitende Qubits mit kalkulierbarem Risiko, während Microsoft mit topologischen Qubits an einem theoretisch rauschresistenteren, aber noch unbewiesenen Ansatz arbeitet. Dazwischen stehen weitere Technologien wie neutrale Atome (QuEra) oder Ionenfallen (Quantinuum). Trotzdem kam der größte Fortschritt der vergangenen Jahre nicht von der Hardware, sondern von der Softwareseite.

Fortschritte bei der Quantensoftware

Im Jahr 2025 zeigte Craig Gidney, dass deutlich weniger Qubits als erwartet benötigt werden, um RSA-2048 zu knacken: Dank Softwareoptimierungen sind weniger als eine Million statt rund 20 Millionen erforderlich. Damit rückt der geschätzte Q-Day – der Zeitpunkt, an dem Quantencomputer die klassische Kryptografie bedrohen – um etwa sieben Jahre näher, wenn man von einer Verdopplung der Qubit-Anzahl alle anderthalb Jahre gemäß dem Mooreschen Gesetz ausgeht. Weitere Optimierungen sind zu erwarten, aber es ist unwahrscheinlich, dass diese für RSA-2048 unter eine Viertelmillion Qubits fallen werden.

Auch bei den Algorithmen könnte es zu Durchbrüchen kommen: Im Jahr 2024 sorgte Yilei Chens angeblicher Quantenalgorithmus für Gitterprobleme für kurze Aufregung, erwies sich jedoch als fehlerhaft. Dies zeigte, wie stark die aktuellen Post-Quanten-Methoden von der Gitterkryptografie abhängen – und wie wenige Alternativen es gibt. Alternative Ansätze wie die Quantenschlüsselverteilung (QKD) sind in Punkt-zu-Punkt-Netzwerken nicht skalierbar. Eines ist sicher: Viele der heutigen Methoden werden für Quantencomputer anfällig sein – nur der Zeitpunkt bleibt unklar.

Wie nah ist der Q-Day?

Wann der Q‑Day genau eintritt, weiß niemand – zu viele Faktoren sind unbekannt. Wichtiger als das Datum selbst sind die von Behörden gesetzten Fristen für die Umstellung auf Post‑Quanten‑Kryptografie.

Die National Security Agency legte mit ihren CNSA 2.0‑Richtlinien bereits 2022 Migrationsziele zwischen 2030 und 2033 fest; die US‑Regierung strebt eine vollständige Umstellung bis 2035 an. Australien plant den Abschluss bereits 2030, das Vereinigte Königreich sowie die EU setzen – je nach Einsatzbereich – auf 2030 bis 2035. Insgesamt bewegen sich die internationalen Zeithorizonte damit in einem ähnlichen Rahmen.

Wann also werden Quantencomputer zum Problem? Ob es 2034 oder 2050 ist, es wird auf jeden Fall zu früh sein. Der enorme Erfolg der Kryptografie über die letzten fünfzig Jahre hat sie allgegenwärtig gemacht. Viele Systeme lassen sich problemlos im Rahmen ihres Lebenszyklus aktualisieren, doch es wird auch einen langen, aufwendigen und teuren Nachlauf geben.

Die Quantenbedrohung abmildern: Zwei Möglichkeiten der Migration

Die Umstellung auf Post‑Quanten‑Kryptografie verläuft in zwei voneinander unabhängigen Migrationspfaden: Schlüsselaustausch sowie Signaturen und Zertifikate. Beide unterscheiden sich in Komplexität und Dringlichkeit.

1. Schlüsselvereinbarung

Symmetrische Verschlüsselung, etwa mit AES‑GCM, gilt bereits als postquantensicher. Entgegen verbreiteter Annahmen erfordert Grovers Algorithmus keine Verdopplung der Schlüssellängen, sodass Verfahren wie AES‑128 weiterhin robust bleiben. Zwar lässt sich eine Erhöhung auf AES‑256 aus Vorsicht rechtfertigen, doch ist der Zugewinn meist theoretischer Natur und mit moderatem Mehraufwand verbunden.

Anders verhält es sich bei asymmetrischer Kryptografie: Eine Skalierung auf höhere Sicherheitsstufen, die AED-256 (NIST Level 5) entsprechen, führt zu einem unverhältnismäßigen Ressourcenverbrauch. Angesichts begrenzter Umstellungsbudgets sollten Unternehmen daher vorrangig quantenanfällige Public‑Key‑Verfahren wie RSA ersetzen, statt bestehende symmetrische Systeme unnötig zu verstärken.

2. Signaturen/ Zertifikate

Während die Schlüsselvereinbarung eine sichere Sitzung ermöglicht, fehlt ohne Authentifizierung der Nachweis, mit wem sie tatsächlich erfolgt. Diese Identitätsprüfung übernimmt die digitale Signatur: Ein Webserver weist sich mit einem von einer Zertifizierungsstelle signierten Zertifikat aus und signiert den Handshake mit seinem privaten Schlüssel.

Klassische Signaturverfahren wie RSA und ECDSA gelten durch Shors Algorithmus als zukünftig unsicher – ein Quantencomputer könnte solche Signaturen fälschen und jede Website nachbilden. Zwar ist dieser Angriff erst mit ausreichend leistungsfähigen Quantenrechnern realisierbar, doch der Wechsel auf Post‑Quanten‑Signaturen ist deutlich komplexer und langwieriger als bei der Schlüsselvereinbarung, weshalb frühzeitige Vorbereitung entscheidend ist.

„Die Umstellung auf Post‑Quanten‑Kryptografie verläuft in zwei voneinander unabhängigen Migrationspfaden: Schlüsselaustausch sowie Signaturen und Zertifikate. Beide unterscheiden sich in Komplexität und Dringlichkeit.“

Bas Westerbaan, Cloudflare

Eine Zeitachse des Fortschritts

Nach fast zwei Jahrzehnten Forschung hat sich die Post‑Quanten‑Kryptografie (PQC) 2025 technisch und organisatorisch etabliert. Das NIST hat die erste Generation von Standards abgeschlossen: den Schlüsselaustausch ML‑KEM (FIPS 203) sowie die Signaturen ML‑DSA (FIPS 204) und SLH‑DSA (FIPS 205). Damit stehen erstmals vollständig standardisierte PQ‑Verfahren für reale Umsetzungen bereit.

ML‑KEM ist heute das zentrale Verfahren für Post‑Quanten‑Schlüsselaustausch und bereits in TLS‑Protokollen (hybrid mit X25519) weit verbreitet. Browser, OpenSSL und moderne Betriebssysteme unterstützen es ab Werk. Bei den Signaturen läuft die Integration von Hybrid-ML‑DSA in X.509‑Zertifikate und TLS noch, ebenso die Definition hybrider Zertifikate. Die IETF erwartet hier eine Einigung Anfang 2026.

Parallel bereitet sich das CA/Browser‑Forum auf die ersten öffentlichen PQ‑Zertifikate vor – voraussichtlich ab 2026 verfügbar, mit breiterer Unterstützung ab 2027. Zudem hat NIST im März 2025 mit HQC ein alternatives, codebasiertes KEM ausgewählt und sucht in einem weiteren Wettbewerb nach effizienteren, nicht‑gitterbasierten Signaturen.

Das Internet befindet sich somit mitten in der Umstellung: Der Großteil des Datenverkehrs nutzt bereits Post‑Quanten‑Schlüsselaustausch, doch PQ‑Signaturen und Zertifikate stehen erst am Beginn ihrer Verbreitung.

Die Migration des Internets zur Post-Quanten-Schlüsselvereinbarung

ML‑KEM, ursprünglich als CRYSTALS‑Kyber vorgeschlagen, ist heute der zentrale Post‑Quanten‑Schlüsselaustausch und in vielen Stacks verfügbar. Im Vergleich zum etablierten X25519 erzeugt ML‑KEM deutlich mehr Traffic auf der Leitung, ist aber auf vielen Plattformen rechenintensiver, wobei die genaue Performance stark von der Hardware und der Implementierung abhängt.

Einige Anbieter wie auch Cloudflare nutzen derzeit die hybride Kombination X25519MLKEM768. Sie schafft einerseits eine Sicherheitsreserve gegen mögliche zukünftige Schwächen gitterbasierter Verfahren und stellt andererseits sicher, dass bei unerkannten Implementierungsfehlern im PQ‑Teil (wie zuvor bei KyberSlash) weiterhin eine klassische, bewährte Schlüsselvereinbarung greift. So wird der laufende Übergang zu Post‑Quanten‑TLS abgesichert, ohne das Risiko einseitig auf neue Algorithmen zu verlagern.

Bereits seit 2016 testeten Google und später gemeinsam mit Cloudflare hybride Post‑Quanten‑Schlüsselvereinbarungen, um Performance‑ und Kompatibilitätsprobleme frühzeitig zu erkennen. CECPQ2 kombinierte das gitterbasierte NTRU‑HRSS mit X25519.

Ein zentrales Hindernis zeigte sich bei der Paketgröße: Die größeren PQ‑Keyshares ließen das ClientHello‑Paket teils über ein einzelnes Netzwerkpaket hinaus anwachsen. Viele Middleboxes und Load‑Balancer erwarteten jedoch noch ein einziges Paket – ein Beispiel für Protokollverknöcherung, das verdeutlicht, wie praktische Implementierungsannahmen technologische Übergänge bremsen können.

Zwischen 2016 und 2025 entwickelte sich die Einführung der Post‑Quanten‑Schlüsselvereinbarung von kleinen Experimenten zu einem globalen Standard. Nach frühen Tests mit CECPQ2 nutzte Cloudflare ab 2022 und Google ab 2023 PQ standardmäßig, gefolgt von Chrome, Firefox, Go, OpenSSL und schließlich Apple. Bis Oktober 2025 verwendeten alle großen Browser Post‑Quanten‑Kryptografie als Standard.

Trotz anfänglicher Kompatibilitätsprobleme – insbesondere bei Mobilgeräten mit langsameren Verbindungen – sind inzwischen über 50 Prozent des von Menschen initiierten Internetverkehrs gegen Store now, decrypt later geschützt. Post‑Quanten‑Schlüsselvereinbarungen wie X25519MLKEM768 bilden damit die neue Sicherheitsbasis des modernen Web.

Fakt ist: Die Post-Quanten-Schlüsselvereinbarung war trotz anfänglicher Schwierigkeiten mit der Protokollverknöcherung unkompliziert zu implementieren. In den meisten Fällen handelt es sich um ein unproblematisches Software-Update. Und mit 50 Prozent Bereitstellung (Tendenz steigend) ist dies die neue Sicherheitsgrundlage für das Internet.

Die Migration des Internets zu Post-Quanten-Signaturen

Die Umstellung des Internets auf Post‑Quanten‑Signaturen gestaltet sich deutlich komplexer als bei der Schlüsselvereinbarung. Von den verfügbaren Verfahren auf AES‑128‑Sicherheitsniveau (ML‑DSA‑44, SLH‑DSA‑Varianten) bietet keines eine wirklich gleichwertige Alternative zu Ed25519 oder RSA‑2048 – die Post‑Quanten‑Signaturen sind meist deutlich größer. FN‑DSA‑512 gilt als vielversprechend, birgt aber Risiken: Für akzeptable Geschwindigkeit nutzt es Gleitkommaarithmetik, die in konstanter Zeit ablaufen muss, sonst drohen Seitenkanalangriffe auf den privaten Schlüssel.

Eine TLS‑Verbindung enthält zudem viele Signaturen – allein fünf pro Erstverbindung, vor allem aus der Zertifikatskette und der Zertifikatstransparenz. Für diese unterschiedlichen Einsatzpunkte eignen sich teils spezialisierte Verfahren: Schemata mit kleinen Signaturen, aber großen öffentlichen Schlüsseln (etwa MAYO, SNOVA, UOV) sind für vorab erzeugte Zertifikate effizient, während bei Online‑Signaturen wie im TLS‑Handshake ein ausgewogener Kompromiss zwischen Signatur‑ und Verifizierungszeit entscheidend ist.

Die Kombination mehrerer Verfahren bleibt jedoch ein Balanceakt zwischen Sicherheit, Implementierungsaufwand und Angriffsfläche.

Fazit und Ausblick

Mit den aktuellen NIST-Standards bleiben nur wenige praktikable Kombinationen für Post‑Quanten‑Signaturen. Eine vollständige Umstellung auf ML‑DSA‑44 würde etwa 15 KB zusätzlichen Traffic pro TLS‑Handshake erzeugen – zu viel für schwache Verbindungen. Die Variante mit FN‑DSA‑512 reduziert diesen Overhead auf rund 7 KB, bringt jedoch hohe Risiken durch schwer abzusichernde Seitenkanäle mit sich.

Unter den neuen Kandidaten aus dem NIST‑On‑Ramp‑Wettbewerb sticht SQISign durch winzige Signaturen hervor, ist jedoch noch zu langsam und schwer sicher zu implementieren. UOV überzeugt durch kleine Signaturen und robuste Sicherheit, leidet aber unter riesigen öffentlichen Schlüsseln. MAYO und SNOVA zeigen vielversprechende Performance‑Profile: SNOVA ist kompakter, MAYO konservativer – doch beide gelten noch als experimentell.

Praktisch bleibt ML‑DSA‑44 vorerst der realistische Ausgangspunkt, auch wenn seine Größe Herausforderungen für Handshake‑Latenzen und Kompatibilität birgt. Fortschritte bei Merkle‑Tree‑Zertifikaten könnten jedoch den Durchbruch zur alltagstauglichen Post‑Quanten‑Authentifizierung ermöglichen.

So können sich Unternehmen vor Quantenangriffen schützen

Um sich heute gegen künftige Quantenangriffe zu schützen, sollten Organisationen zwei Punkte im Blick behalten: Schlüsselvereinbarungen und Zertifikate.

Die wichtigste Maßnahme ist der Umstieg auf eine Post‑Quanten‑Schlüsselvereinbarung, etwa X25519 + ML‑KEM‑768, die bereits über Softwareupdates in viele Systeme integriert wird. Damit lassen sich Store‑Now/Decrypt‑Later-Angriffe verhindern. Browser‑Support kann über Cloudflare Radar, PQScan oder Wireshark geprüft werden.

Bei Zertifikaten stehen die finalen Post‑Quanten‑Standards zwar noch aus, doch Vorbereitung lohnt sich schon jetzt: Software aktuell halten, automatische Ausstellung einführen und Mehrzertifikats‑Support sicherstellen. Auch Tests mit Entwürfen oder Dummy‑Zertifikaten sind sinnvoll.

Die Post‑Quanten‑Migration ist eine seltene Gelegenheit, Altsysteme gezielt zu modernisieren – wer früh beginnt, hat die beste Ausgangslage, wenn der Q‑Day näher rückt.

Über den Autor:
Bas Westerbaan ist Principal Research Engineer bei Cloudflare.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.