NIST-Sicherheitsstufen für Post-Quanten-Kryptographie: Ein Leitfaden zu den Kategorien 1–5

Stellen Sie sich einen Tresor mit einem Zahlenschloss vor. Normalerweise lässt er sich nur öffnen, indem man verschiedene Zahlenkombinationen ausprobiert, bis man die richtige gefunden hat.

Manche Tresore haben extrem lange Zahlenkombinationen, deren Erraten Millionen von Jahren dauern würde. Deshalb gelten sie als sicher. Stellen Sie sich nun eine zukünftige Maschine vor, die die richtige Kombination sofort erkennt, ohne jede Möglichkeit auszuprobieren. Tresore, die einst unöffenbar schienen, könnten plötzlich in Sekundenschnelle entriegelt werden.

Das neue Werkzeug ist das QuantencomputerWährend klassische Computer Bits als grundlegende Informationseinheit verwenden, nutzen Quantencomputer Quantenbits (Qubits). Dadurch können Quantencomputer komplexe mathematische Berechnungen durchführen und Probleme exponentiell schneller lösen als klassische Computer.

Die in diesem Szenario angreifbaren Schlösser sind RSA, Diffie-Hellman und Kryptographie mit elliptischen Kurven (ECC), die drei Algorithmen, die heute den Großteil des verschlüsselten Datenverkehrs im Internet sichern.

Jahrzehntelang basierten Sicherheitsentscheidungen auf einem gemeinsamen Verständnis davon, wie schwer diese Systeme zu knacken waren. Doch Quantencomputing verändert die Spielregeln grundlegend. Die bisherige Skala zur Messung der Sicherheitsstärke liefert nicht mehr das vollständige Bild.

Die Herausforderung ist umso beunruhigender, als die Bedrohung noch nicht vollends da ist, wir aber bereits wissen, dass sie kommen wird. Deshalb National Institute of Standards and Technology Das NIST hat sich fast ein Jahrzehnt lang darauf vorbereitet. Ihr Ziel war es, eine neue Generation kryptografischer Algorithmen zu entwickeln und zu standardisieren, die der Leistung von Quantencomputern standhalten können.

Diese Bemühungen führten zur Entwicklung von Post-Quanten-Kryptographie (PQC). Es bezeichnet die neue Klasse kryptografischer Algorithmen, die speziell dafür entwickelt wurden, auch gegenüber Quantencomputern sicher zu bleiben, die Algorithmen wie den Shor-Algorithmus ausführen können, der herkömmliche Public-Key-Kryptografiesysteme knacken könnte.

Was sind die NIST PQC-Sicherheitskategorien?

PQC bezeichnet kryptografische Algorithmen, die so konzipiert sind, dass sie sowohl gegen Angriffe von klassischen als auch von Quantencomputern sicher bleiben. Das NIST definiert fünf Sicherheitskategorien (1–5), die jeweils an ein spezifisches, gut verstandenes Referenzproblem gebunden sind, das selbst für Quantenhardware eine rechnerische Herausforderung darstellt. Die Kategorien lassen sich in zwei Problemtypen unterteilen:

• Die Kategorien 1, 3 und 5 basieren auf Brute-Force-Angriffen auf die Schlüsselverschlüsselungsalgorithmen AES-128, AES-192 bzw. AES-256 – den für Verschlüsselung und Schlüsselaustausch relevanten Angriffsmodellen. Kategorie 1 entspricht dem Sicherheitsniveau heutiger Standard-Internetprotokolle; Kategorie 3 ist die von NIST empfohlene Standardeinstellung für neue Implementierungen; Kategorie 5 ist für langlebige Geheimnisse, Stammzertifizierungsstellen und hochsichere Systeme konzipiert.
• Die Kategorien 2 und 4 basieren auf der Kollisionssuche gegen SHA-256 bzw. SHA-384, dem Angriffsmodell, das für digitale Signaturen und Hash-basierte Verfahren relevant ist.

Was steht tatsächlich auf dem Spiel?

Die meisten verschlüsselten Daten werden heutzutage durch einen der drei Algorithmen RSA, Diffie-Hellman oder ECC geschützt. Alle drei basieren auf dem gleichen Konzept, dass ihre Sicherheit auf mathematischen Problemen beruht, die extrem schwer umzukehren sind.

Beispielsweise:

• RSA beruht auf der Schwierigkeit, sehr große Zahlen in ihre Primfaktoren zu zerlegen.
• Das Diffie-Hellman-Problem hängt von der Schwierigkeit des diskreten Logarithmusproblems ab.
• ECC beruht auf der Lösung des Problems des diskreten Logarithmus auf elliptischen Kurven.

Für klassische Computer sind diese Probleme in großem Umfang rechnerisch nicht lösbar. Und genau das schützt heute Ihre TLS-Verbindungen, SSH-Sitzungen, digitalen Signaturen und verschlüsselten E-Mails.

Allerdings demonstrierte der Mathematiker Peter Shor im Jahr 1994, dass ein ausreichend leistungsstarker Quantencomputer sowohl Faktorisierungs- als auch diskrete Logarithmusprobleme in Polynomialzeit lösen kann, exponentiell schneller als jeder bekannte klassische Ansatz.

Die praktischen Auswirkungen sind dramatisch. Um es zu verdeutlichen: Das Knacken von RSA-2048 mit klassischen Computern würde etwa 2¹¹² Operationen erfordern – eine so große Anzahl, dass es mit der aktuellen Technologie praktisch unmöglich ist. Shors Algorithmus legt jedoch nahe, dass ein Quantencomputer dasselbe Problem mit nur wenigen Tausend Operationen lösen könnte.

Sollten großskalige Quantencomputer praktikabel werden, wären alle drei Säulen der modernen Public-Key-Kryptographie – RSA, Diffie-Hellman und ECC – anfällig für ausreichend große, fehlertolerante Quantencomputer, die Shors Algorithmus ausführen. Und damit auch ein Großteil der bestehenden Public-Key-Infrastruktur des Internets.

Symmetrische Kryptographiealgorithmen wie AES oder ChaCha20, die die Daten erst nach dem Schlüsselaustausch verschlüsseln, basieren nicht auf denselben algebraischen Strukturen, die Shors Algorithmus nutzt.

Es gibt einen Quantenalgorithmus, der symmetrische Strukturen beeinflusst. Verschlüsselung Der sogenannte Grover-Algorithmus beschleunigt die Suche nach Schlüsseln mittels Brute-Force-Methoden. Sein Vorteil ist jedoch nur quadratisch, nicht exponentiell.

Vereinfacht ausgedrückt bedeutet dies, dass die effektive Sicherheit von AES-128 gegenüber einem Quantenangreifer von 2¹²⁸ Operationen auf etwa 2⁶⁴ sinkt. Das mag alarmierend klingen, ist aber in der Praxis bei Weitem nicht so schlimm, wie es scheint.

Das unmittelbare und weitaus dringlichere Problem liegt daher im Bereich der Public-Key-Kryptographie. Denn wenn Public-Key-Kryptographiealgorithmen angreifbar werden, benötigt das Internet Ersatzalgorithmen, die auf mathematischen Problemen basieren, die selbst Quantencomputer nicht effizient lösen können.

Dieses Gebiet ist als PQC bekannt und genau das, womit sich das NIST fast ein Jahrzehnt lang beschäftigt hat, um es zu evaluieren und zu standardisieren. Doch die Auswahl der richtigen Algorithmen war nur die halbe Miete. Das schwierigere Problem bestand darin, überhaupt herauszufinden, wie man ihre Sicherheit messen kann.

Warum funktioniert die traditionelle Sicherheitswaage nicht mit PQC?

In der klassischen Kryptographie ist die Messung der Sicherheit relativ einfach. Forscher untersuchen den bekanntesten Angriff auf einen Algorithmus, schätzen die dafür notwendige Anzahl an Operationen und berechnen dann den Logarithmus zur Basis 2 dieser Zahl. Das Ergebnis ist der Sicherheitsgrad des Algorithmus in Bit.

Da sich alle verschiedenen kryptografischen Systeme mit demselben Maß ausdrücken lassen, können sie direkt verglichen werden. Zum Beispiel:

• AES-128 bietet etwa 128 Bit Sicherheit, was bedeutet, dass der bekannteste Angriff ungefähr 2⁶ Bit an Sicherheit erfordern würde.¹²⁸ Operationen.
• ECDH unter Verwendung der P-256-Kurve bietet eine Sicherheit von ungefähr 128 Bit, basierend auf der Schwierigkeit, das Problem des diskreten Logarithmus auf elliptischen Kurven zu lösen.
• RSA-3072 fällt ebenfalls in den Bereich der 128-Bit-Sicherheit, basierend auf der geschätzten Schwierigkeit, eine 3072-Bit-Ganzzahl zu faktorisieren.

PQC genießt noch nicht dasselbe Maß an langfristiger Sicherheit wie die klassische Kryptographie, da es auf relativ neuen Härteannahmen wie dem Lernen mit Fehlern (LWE), der Syndromdekodierung aus fehlerkorrigierenden Codes und Hash-basierten Konstruktionen beruht. Daher entwickeln sich die Sicherheitseinschätzungen für diese Verfahren durch laufende Forschung und Kryptoanalyse stetig weiter.

Im Verlauf des Prozesses wurden jedoch durch fortlaufende Kryptoanalysen einige dieser Annahmen infrage gestellt. In mehreren Fällen mussten die Sicherheitseinschätzungen nach unten korrigiert werden, da Forscher effizientere Angriffe aufdeckten. Dies war kein Versagen des Prozesses; vielmehr funktionierte er wie vorgesehen und legte unter anhaltender globaler Beobachtung Schwachstellen offen.

Das auffälligste Beispiel war SIKESIKE, das zunächst als vielversprechender Kandidat galt, wurde schließlich geknackt, nachdem Forscher einen neuen klassischen Angriff entdeckt hatten, mit dem sich private Schlüssel innerhalb weniger Stunden auf einem Standard-Laptop wiederherstellen ließen – ganz ohne Quantenhardware. Dieses Ergebnis war ausschlaggebend und führte dazu, dass SIKE nicht mehr in Betracht gezogen wurde.

Das erste Problem besteht also darin, dass präzise Aussagen zur Bit-Sicherheit neuartiger PQC-Algorithmen nur so zuverlässig sind wie der aktuelle Stand der Kryptoanalyse, die sich noch aktiv weiterentwickelt.

Die zweite Herausforderung kommt von Hardware-UnsicherheitUm die Widerstandsfähigkeit gegen Quantenangriffe abzuschätzen, muss man vorhersagen, wie zukünftige Quantencomputer tatsächlich aussehen werden.

Das dritte Problem ist noch grundlegender. Klassische und Quantenoperationen sind keine vergleichbaren Einheiten. Ein Quantengatter kostet heute nach aktuellen Schätzungen in Bezug auf Hardware, Energie und Zeit etwa eine Milliarde bis eine Billion Mal mehr als ein klassisches Gatter.

Angesichts dieser Unsicherheiten Das NIST verfolgte einen anderen Ansatz.Anstatt zu versuchen, neuen PQC-Algorithmen präzise numerische Sicherheitsstufen zuzuordnen, entschieden sie sich dafür, Sicherheit zu definieren. im Vergleichund verankert neue Systeme in der wohlbekannten Stärke der bestehenden klassischen Kryptographie.

Die Kernidee von Referenzen für quantensichere Algorithmen

Das vom NIST entwickelte Rahmenwerk basiert auf der einfachen Beobachtung, dass wir, selbst wenn wir nicht zuverlässig sagen können, dass ein postquantenkryptographischer Algorithmus genau X Bit Quantensicherheit besitzt, dennoch feststellen können, ob er schwieriger oder leichter zu knacken ist als ein Referenzproblem, das wir bereits gut verstehen.

Anstatt präzise Messwerte anzustreben, definiert das NIST Sicherheitsminima. Als Referenzprobleme dienen die AES-Schlüsselsuche und die Kollisionssuche bei bestimmten Hash-Breiten: SHA-256 für Kategorie 2 und SHA-384 für Kategorie 4. SHA-256 und SHA-384 gehören beide zur SHA-2-Familie, doch die Sicherheitskategorien des NIST beziehen sich nicht auf die gesamte Familie, sondern auf einzelne Hash-Ausgabelängen, da jede Breite ein spezifisches Sicherheitsminimum bietet.

Der 256-Bit-Output von SHA-256 bietet 128 Bit Kollisionsresistenz (aufgrund des Geburtstagsparadoxons), was exakt der Mindestanforderung von Kategorie 2 entspricht. SHA3-256 aus der neueren SHA-3-Familie bietet eine gleichwertige Garantie und wird vom NIST neben SHA-256 als akzeptable Referenz für Kategorie 2 anerkannt. Diese symmetrischen Primitiven wurden umfassender untersucht als nahezu alle anderen kryptografischen Bausteine.

Tausende von Forschern haben diese Algorithmen und die Quantenangriffe darauf analysiert, insbesondere Grovers Algorithmus, der die Schlüsselsuche betrifft, und den Brassard-Høyer-Tapp-Algorithmus, der die Kollisionssuche betrifft. Da diese Referenzprobleme gut analysiert sind, bieten sie einen stabilen Anker. Anstatt also zu sagen: „Dieser Algorithmus hat 143 Bit Sicherheit“, sagt das NIST etwas Praktischeres:

Dieser Algorithmus muss mindestens so schwer zu knacken sein wie AES-192 bei jedem Angriff, den wir realistisch modellieren können.

Das ist keine exakte Zahl, sondern eine Kategorie. Und da die Referenzprobleme selbst gut verstanden sind, bleibt die Kategorie auch bei der Weiterentwicklung von Quantenhardware und dem Aufkommen neuer Kryptoanalyseverfahren aussagekräftig. Daraus ergeben sich fünf Sicherheitskategorien, die jeweils an eine spezifische Referenzaufgabe gebunden sind.

Die fünf Sicherheitskategorien

Um die Bewertung von Post-Quanten-Algorithmen zu standardisieren, definierte das NIST fünf Sicherheitskategorien. Diese basieren auf der geschätzten Schwierigkeit, etablierte kryptografische Verfahren wie AES und SHA-2 sowohl unter klassischen als auch unter Quantenangriffen zu knacken. Jede Kategorie repräsentiert eine andere Sicherheitsstärke, ein anderes Angriffsmodell und ein anderes langfristiges Schutzziel. Dies hilft Unternehmen, geeignete Algorithmen für Verschlüsselung, digitale Signaturen und langfristige Datensicherheit auszuwählen. Betrachten wir nun jede Kategorie im Detail.

Kategorie 1

Kategorie 1 basiert auf der Brute-Force-Schlüsselsuche gegen AES-128. Ein Angreifer, der versucht, einen Post-Quanten-Algorithmus der Kategorie 1 zu knacken, muss mindestens so viel Rechenaufwand betreiben, als würde er jeden möglichen 128-Bit-AES-Schlüssel ausprobieren. Unter Berücksichtigung realistischer Schaltungskosten entspricht dies etwa 2⁶¹⁴³ klassische Gatteroperationen.

In der klassischen Kryptografie entspricht dieses Sicherheitsniveau in etwa dem RSA-3072-Standard und der NIST-P-256-Kurve, die in modernen ECC-Verfahren verwendet wird. Dies ist das Schutzniveau, das den meisten TLS-Verbindungen im Internet heute zugrunde liegt.

Für Organisationen, deren Daten in den nächsten fünf bis zehn Jahren vertraulich bleiben müssen, gewährleistet die Migration von RSA-3072 zu einem Post-Quanten-Algorithmus der Kategorie 1 ein vergleichbares Sicherheitsniveau.

Der konkrete Algorithmus auf dieser Ebene ist ML-KEM-512, der kleinste Parametersatz des Kyber-Schlüsselkapselungsmechanismus. Er verwendet einen 800 Byte langen öffentlichen Schlüssel und einen 768 Byte langen Chiffretext. Zum Vergleich: Elliptic Curve Diffie-Hellman auf P-256 erreicht dieselbe Funktion mit einem 64 Byte langen öffentlichen Schlüssel. Diese Diskrepanz verdeutlicht, was viele Ingenieure informell als „Post-Quanten-Steuer“ bezeichnen.

Kategorie 2

Kategorie 2 ändert das Referenzproblem von der Schlüsselsuche zur Kollisionssuche bei SHA-256. Diese Unterscheidung ist wichtig, da Verschlüsselung und digitale Signaturen auf grundlegend unterschiedliche Weise angegriffen werden.

Das Knacken einer Verschlüsselung ist typischerweise ein Schlüsselsuchproblem, bei dem der Angreifer versucht, einen bestimmten geheimen Schlüssel zu ermitteln. Das Fälschen einer digitalen Signatur hingegen ist oft ein Kollisionsproblem. Der Angreifer versucht, zwei verschiedene Eingaben zu finden, die denselben Hashwert erzeugen, sodass ein manipuliertes Dokument ein legitimes ersetzen kann, während die Echtheitsprüfung anhand der Signatur weiterhin funktioniert.

Diese beiden Angriffsarten verhalten sich unter Quantencomputern unterschiedlich. Würde man sie als gleichwertig behandeln, würden Signaturverfahren anhand des falschen Bedrohungsmodells bewertet, weshalb Kategorie 2 existiert.

Für SHA-256 benötigt die klassische Kollisionssuche etwa 2¹²⁸ Operationen, die auf dem Geburtstagsparadoxon basieren. Ein Quantenalgorithmus, bekannt als Brassard-Høyer-Tapp-Algorithmus, reduziert dies auf etwa 2².⁸⁵ Diese Operationen erfordern jedoch eine enorme Menge an Quantenspeicher vergleichbarer Größenordnung. Hardware, die einen solchen Angriff unterstützen kann, existiert derzeit nicht und ist auch in naher Zukunft nicht zu erwarten.

Aus diesem Grund ordnet das NIST Kategorie 2 etwas unterhalb von Kategorie 3 ein. In den meisten plausiblen technologischen Szenarien wären SHA-256-Kollisionen etwas früher realisierbar als die Wiederherstellung von AES-192-Schlüsseln.

Das für diese Kategorie entworfene Signaturschema ist ML-DSA-44, der kleinste Parametersatz der Dilithium-Familie digitaler Signaturen.

Kategorie 3

Kategorie 3 basiert auf der Brute-Force-Schlüsselsuche gegen AES-192, was ungefähr 2 entspricht.²⁰⁷ Klassische Gate-Operationen. Auf den ersten Blick mag die Erhöhung des Sicherheitsniveaus von Kategorie 1 auf Kategorie 3 geringfügig erscheinen, da die Schlüssellänge nur um 64 Bit zunimmt. In der Praxis ist dieser Unterschied jedoch enorm. Eine Lücke von 2⁶⁴ Dies entspricht etwa dem 18-Trillionenfachen des Rechenaufwands. Wenn für das Knacken eines Systems der Kategorie 1 alle Computer der Erde eine Milliarde Jahre lang ununterbrochen laufen müssten, wäre für das Knacken eines Systems der Kategorie 3 der Aufwand 18-Trillionen Mal höher.

In der klassischen Kryptographie entspricht Kategorie 3 in etwa RSA 7680 Bit oder dem NIST-Standard P-384 für elliptische Kurven. Die P-384-Kurve wurde historisch für als geheim eingestufte Kommunikation im Rahmen des NSA Suite B-Programms der NSA verwendet.

Kategorie 3 ist die von NIST für die meisten neuen Implementierungen empfohlene Stufe. Sie bietet einen komfortablen Sicherheitsspielraum für einen Schutzzeitraum von 10 bis 20 Jahren und passt in den erwarteten Entwicklungszeitraum für großskalige Quantencomputer.

Die wichtigsten Algorithmen, die auf dieser Ebene operieren, sind: ML-KEM-768 für die Schlüsselkapselung und ML-DSA-65 für digitale Signaturen. Ihre öffentlichen Schlüssel sind etwa 1184 bzw. 1952 Byte groß, was sie zu den wahrscheinlich am häufigsten verwendeten Parametersätzen für die meisten realen Post-Quanten-Anwendungen macht.

Kategorie 4

Kategorie 4 ist das Kollisionssuch-Pendant zu Kategorie 3. Anstatt auf die AES-Schlüsselsuche zurückzugreifen, basiert sie auf der Kollisionsresistenz von SHA-384, die ungefähr 2 entspricht.¹⁹² klassische Operationen.

In der Praxis dient Kategorie 4 primär als analytischer Rahmen und weniger als allgemein angestrebte Implementierungsstufe. Die Kategorien 2 und 4 fungieren als Zwischen-Benchmarks zur Bewertung von Systemen, die stark auf Sicherheitsannahmen bezüglich Hash-Funktionen basieren.

Kategorie 5

Kategorie 5 stellt die höchste Sicherheitsstufe im Framework dar. Sie basiert auf der Brute-Force-Schlüsselsuche gegen AES-256, was etwa 2⁶ entspricht.²⁷² klassische Gatteroperationen.

Bei einem Quantenangriff mit Grover-Algorithmus betragen die Kosten ungefähr 2²⁹⁸ / MAXDEPTH-Quantengatter, wobei MAXDEPTH die realistische Grenze dafür darstellt, wie lange eine Quantenberechnung sequenziell ausgeführt werden kann, bevor der Aufwand für Rauschen und Fehlerkorrektur eine weitere Ausführung unmöglich macht.

Selbst bei optimistischen Prognosen für die Entwicklung von Quantenhardware bleibt diese Rechenleistung weit jenseits der Möglichkeiten jedes plausiblen Angreifers. Klassisch betrachtet entspricht Kategorie 5 in etwa RSA 15360 Bit oder der NIST-P-521-Kurve. P-521 war die für die Kommunikation mit der Geheimhaltungsstufe „Streng geheim“ im Rahmen des Suite-B-Kryptografie-Frameworks empfohlene Kurve.

Diese Kategorie eignet sich für Stammzertifizierungsstellen, vertrauliche Regierungskommunikation, langlebige Verschlüsselungsschlüssel und Systeme, die so konzipiert sind, dass sie folgenden Anforderungen standhalten: Jetzt ernten, später entschlüsseln Bedrohungsmodell, bei dem Angreifer heute verschlüsselte Daten speichern, in der Hoffnung, sie zu entschlüsseln, sobald Quantencomputer marktfähig sind.

Mehrere Post-Quanten-Algorithmen arbeiten auf diesem Niveau, darunter ML-KEM-1024, ML-DSA-87 und SLH-DSA-SHA2-256s.

PQC-Algorithmenfamilie	Parametersätze	Sicherheitskategorie
ML-DSA	ML-DSA-44	2
	ML-DSA-65	3
	ML-DSA-87	5
SLH-DSA	SLH-DSA-SHA2-128[s/f]	1
	SLH-DSA-SHAKE-128[s/f]	1
	SLH-DSA-SHA2-192[s/f]	3
	SLH-DSA-SHAKE-192[s/f]	3
	SLH-DSA-SHA2-256[s/f]	5
	SLH-DSA-SHAKE-256[s/f]	5
LMS, HSS	Mit SHA-256/192	3
	Mit SHAKE256/192	3
	Mit SHA-256	5
	Mit SHAKE256	5
XMSS, XMSSMT	Mit SHA-256/192	3
	Mit SHAKE256/192	3
	Mit SHA-256	5
	Mit SHAKE256	5
ML-KEM	ML-KEM-512	1
	ML-KEM-768	3
	ML-KEM-1024	5

Das Grover-Missverständnis und warum MAXDEPTH alles verändert?

Dies ist der Punkt, den die meisten Berichte falsch darstellen, und wenn man ihn richtig versteht, verändert sich die Art und Weise, wie man über die Dringlichkeit und das Risiko denkt.

Die gängige Aussage lautet: „Grovers Algorithmus halbiert die Bit-Sicherheit symmetrischer Kryptographie. AES-128 sinkt auf 64-Bit-Sicherheit, AES-256 auf 128-Bit. Also einfach die Schlüssellängen verdoppeln.“ Das ist in gewisser Hinsicht technisch korrekt, aber in fast jeder relevanten Hinsicht irreführend.

Grovers Algorithmus bietet eine quadratische Beschleunigung. Dieser Teil ist real. Allerdings ist Grovers Algorithmus prinzipiell sequentiell; jede Iteration baut auf dem Ergebnis der vorherigen auf. Er lässt sich nicht wie klassische Berechnungen auf mehrere Quantenprozessoren verteilen. Versucht man, ihn durch die parallele Ausführung mehrerer kleinerer Grover-Suchen zu parallelisieren, leistet jede kleinere Suche proportional weniger nützliche Arbeit, sodass exponentiell mehr parallele Instanzen benötigt werden, um dies auszugleichen. Die gesamten Ressourcenkosten, einschließlich Hardware, Energie und Zeit, steigen dramatisch schneller als bei der naiven 2ⁿ-Methode.⁶⁴ Schätzungen deuten darauf hin.

Das NIST erfasst dies durch einen Parameter namens „MAXDEPTH“, der die realistische maximale Anzahl sequenzieller Quantengatteroperationen definiert, die ein Quantencomputer in einer Berechnung ausführen kann, bevor Dekohärenz, Fehler oder praktische Einschränkungen einen Abbruch erzwingen. Plausible Werte reichen von 2⁴⁰ (ungefähr das, was Quantenarchitekturen der nahen Zukunft seriell in einem Jahr ausführen könnten, basierend auf den Hardwarearchitekturen, die das NIST bei der Erstellung der Bewertungskriterien untersucht hat) bis 2⁶⁴ und bis zu einer theoretischen Obergrenze von 2⁹⁶.

Unter dieser Einschränkung erfordert ein Angriff auf AES-128 über Grover 2¹⁷⁰ / MAXDEPTH-Quantengatter. Bei MAXDEPTH 2⁴⁰Das sind 2.¹³⁰Bei MAXDEPTH 2⁶⁴Es ist 2¹⁰⁶Keine dieser Zahlen ist 2.⁶⁴Beide sind nicht billig.

Für AES-256 beträgt die Schätzung 2.²⁹⁸/MAXDEPTH. Bei MAXDEPTH 2⁶⁴Das sind 2.²³⁴Eine Zahl, die selbst dann nicht wesentlich gefährdet wäre, wenn sich die Quantenhardware um viele Größenordnungen über die aktuellen Prognosen hinaus verbessern würde.

Wenn das NIST also sagt, dass ein Algorithmus der Kategorie 1 Angriffen widerstehen muss, die so aufwendig sind wie die Schlüsselsuche mit AES-128, bedeutet das nicht, dass er über 64-Bit-Quantensicherheit verfügt. Vielmehr spricht man von einer Quantensicherheit von etwa 106 bis 130 Bit, abhängig von den Hardware-Annahmen.

Das Kostenverhältnis zwischen einem Quantengatter und einem klassischen Gatter liegt derzeit irgendwo zwischen 10⁹ und 10¹²Ein Quantenangriff auf Kategorie 1, der 2 erfordert¹⁰⁶ Quantengatter, bei denen jedes Gatter eine Billion Mal so viel kostet wie ein klassisches Gatter, könnten wirtschaftlich noch lange Zeit weniger rentabel sein als ein klassischer Brute-Force-Angriff.

Das NIST trägt dem Rechnung, indem es bei Sicherheitsbewertungen Quantengatter in Kostenmodellen höher gewichtet als klassische Gatter. Wichtig ist auch, dass das NIST für die höchsten Sicherheitskategorien empfiehlt, davon auszugehen, dass diese Kostendifferenz mit der Zeit verschwindet und zukünftige Quantenhardware genauso günstig im Betrieb ist wie klassische Hardware. Kategorie 5 ist so konzipiert, dass sie diesem Szenario standhält.

Was „Zerbrechen“ bedeutet

Sicherheitsstufen sind nur dann sinnvoll, wenn man genau definiert, was es bedeutet, einen kryptografischen Algorithmus zu „knacken“. Deshalb definiert das NIST Sicherheitsanforderungen sehr sorgfältig, und diese Definitionen prägen direkt die Interpretation von Sicherheitskategorien.

Für Schlüsselkapselungsmechanismen (KEMs) und Verschlüsselungsverfahren ist die erforderliche Sicherheitsnorm die Ununterscheidbarkeit unter adaptiven Angriffen mit gewähltem Chiffretext (IND-CCA2). Praktisch bedeutet dies, dass selbst wenn ein Angreifer eine enorme Anzahl von Entschlüsselungen anfordern kann (bis zu (2⁶⁴Selbst wenn sie sich die Chiffretexte aussuchen, können sie immer noch nicht unterscheiden, welcher von zwei gewählten Klartexten einem gegebenen Herausforderungs-Chiffretext entspricht.

Dies spiegelt reale Bedingungen wider, unter denen Angreifer den Datenverkehr beobachten, Verbindungen manipulieren oder Systeme durch Entschlüsselungsanfragen untersuchen können. IND-CCA2 stellt sicher, dass keine dieser Fähigkeiten einen nennenswerten Vorteil bietet.

In eingeschränkteren Szenarien, wie etwa beim rein ephemeren Schlüsselaustausch, bei dem Schlüsselpaare für jede Sitzung neu generiert und nie wiederverwendet werden, gilt ein schwächerer Begriff. Ununterscheidbarkeit bei einem Angriff mit gewähltem Klartext (IND-CPA)Dies mag akzeptabel sein. Diese Lockerung gilt jedoch nur unter strengen Einsatzbedingungen und sollte nicht verallgemeinert werden.

Für digitale Signaturen gilt der Standard der Existenziellen Unfälschbarkeit unter Chosen Message Attack (EUF-CMA). Gemäß dieser Definition kann ein Angreifer Signaturen für eine große Anzahl von Nachrichten seiner Wahl anfordern (bis zu (2⁶⁴Dennoch kann der Angreifer keine gültige Signatur für eine neue Nachricht erzeugen. Der Begriff „existenziell“ ist wichtig, da der Angreifer keine bestimmte Nachricht anvisieren muss; er ist erfolgreich, wenn er ein beliebiges neues gültiges Nachrichten-Signatur-Paar fälschen kann. Wenn selbst diese minimale Form der Fälschung nicht möglich ist, gilt das Verfahren als sicher.

Um schließlich eine bestimmte PQC-Sicherheitskategorie zu erfüllen, muss ein Algorithmus diese Garantien gegenüber alle relevante Angriffsmodelle: klassisch, quantenmechanisch oder Hybride innerhalb der definierten Kostenschwelle. Ein System, das im klassischen Sinne sicher ist, aber anfällig für einen effizienteren Quantenangriff unterhalb der erforderlichen Schwelle ist, qualifiziert sich nicht, ungeachtet seiner anderen Stärken.

Die drei praktischen Eigenschaften verstehen

Die fünf Sicherheitskategorien stehen im Vordergrund. Das NIST bewertete aber auch drei praktische Eigenschaften, die darüber entscheiden, ob ein Algorithmus, der die theoretische Sicherheitsdefinition erfüllt, auch in realen Anwendungen sicher bleibt.

1. Perfekte Vorwärtsgeheimhaltung (PFS)

Die perfekte Vorwärtsgeheimhaltung gewährleistet, dass die Sicherheit vergangener Kommunikationen auch dann erhalten bleibt, wenn ein langfristiger privater Schlüssel in Zukunft kompromittiert wird. Dies wird erreicht, indem für jede Sitzung neue, kurzlebige Schlüsselpaare generiert und diese nach Gebrauch sofort verworfen werden.

Bei älteren Systemen wie dem RSA-basierten Schlüsselaustausch ist dies aufgrund der langsamen Schlüsselerzeugung unpraktisch. Moderne PQC-Verfahren wie ML-KEM hingegen generieren Schlüssel in Mikrosekunden, wodurch die Vorwärtsgeheimhaltung pro Sitzung praktisch „kostenlos“ wird und die Sicherheit in der Praxis deutlich verbessert wird.

2. Seitenkanalwiderstand

Die Seitenkanalresistenz entscheidet darüber, ob ein Algorithmus auf realer Hardware sicher bleibt. Selbst bei korrekter mathematischer Grundlage können Angreifer Schwankungen in der Ausführungszeit, im Stromverbrauch oder im Speicherzugriffsmuster ausnutzen, um geheime Schlüssel zu extrahieren. Solche Angriffe sind in realen Systemen gut dokumentiert. Der primäre Schutz besteht in einer Implementierung mit konstanter Laufzeit, bei der das Ausführungsverhalten nicht von geheimen Werten abhängt. Das NIST bevorzugt explizit Algorithmen, die dies ohne wesentliche Leistungseinbußen erreichen können, da dies für eine sichere Implementierung entscheidend ist.

3. Mehrfachbelegung und Missbrauchsresistenz

In realen Anwendungen sind große Systeme und menschliches Versagen üblich, daher müssen Algorithmen unter beiden Bedingungen sicher bleiben. Die Resistenz gegen Angriffe mit mehreren Schlüsseln gewährleistet, dass die Sicherheit nicht wesentlich beeinträchtigt wird, wenn ein Angreifer – wie in Cloud-Umgebungen – gleichzeitig mehrere Schlüssel angreift.

Missbrauchsresistenz konzentriert sich auf die Widerstandsfähigkeit gegenüber Implementierungsfehlern wie Nonce-Wiederverwendung, schwacher Zufälligkeit oder fehlerhafter Zustandsverwaltung. Verfahren wie zustandsloses Hashing (in SLH-DSA) und deterministisches Signieren (in ML-DSA) reduzieren die Abhängigkeit von einer fehlerfreien Implementierung und tragen so zur Aufrechterhaltung der Sicherheit auch bei Fehlern bei.

PQC-Stufenauswahlrahmen

Wenn Sie konkrete Einsatzentscheidungen treffen, finden Sie hier den praktischen Rahmen.

1. Ordnen Sie die Sicherheitskategorie Ihrem Risikohorizont zu.

Wenn Sie Systeme ersetzen, die derzeit mit Standard-Internetsicherheitsstandards (AES-128 mit RSA-3072 oder ECC P-256) arbeiten, erhalten Sie mit Kategorie 1 oder 2 Ihre bestehende Basissicherheit – das ist das Minimum. Für schwer zu aktualisierende Infrastrukturen wie eingebettete Systeme, HSMs oder langlebige PKI ist Kategorie 3 die empfohlene Standardeinstellung.

Sie bietet einen Sicherheitsspielraum gegenüber zukünftigen Entwicklungen, insbesondere im Bereich des Quantencomputings. Für hochsensible Daten mit einem langen Geheimhaltungshorizont (über 20 Jahre) oder Umgebungen, die Bedrohungen durch das Prinzip „Erfassen und später entschlüsseln“ ausgesetzt sind, ist Kategorie 5 die richtige Wahl. Der Leistungsmehraufwand im Vergleich zu Kategorie 3 ist relativ gering und wird häufig durch die höhere Sicherheit gerechtfertigt.

2. Algorithmen basierend auf dem Einsatzkontext auswählen.

Für den Schlüsselaustausch ist ML-KEM aufgrund seines ausgewogenen Verhältnisses von Leistung und Sicherheit in nahezu allen Umgebungen die Standardwahl. Bei digitalen Signaturen ist ML-DSA der praktische Standard, wenn moderate Erhöhungen der Signaturgröße akzeptabel sind. SLH-DSA hingegen eignet sich am besten für Szenarien mit hohen Sicherheitsanforderungen – wie Stammzertifizierungsstellen oder kritische Signaturinfrastrukturen –, in denen langfristiges Vertrauen und konservative Annahmen wichtiger sind als Effizienz.

3. Design für kryptografische Agilität

Das Kategoriensystem des NIST ist bewusst als Upgrade-Pfad konzipiert. Mit der Weiterentwicklung der Rechenleistung können niedrigere Sicherheitsstufen – ähnlich wie in der Vergangenheit die 80-Bit- und 112-Bit-Verschlüsselung – als veraltet gelten. Der entscheidende Vorteil der PQC-Standardisierung besteht darin, dass der Wechsel von einer Kategorie zu einer höheren (z. B. von Kategorie 1 zu 3) in der Regel die Anpassung von Parametern innerhalb derselben Algorithmenfamilie erfordert und nicht den vollständigen Austausch des Algorithmus.

Dadurch können sich heute entwickelte Systeme in Zukunft reibungslos anpassen. Wahr. kryptografische Agilität Das bedeutet, diesen Übergang im Voraus zu planen, sodass Aktualisierungen schrittweise und nicht disruptiv erfolgen.

Wie kann Verschlüsselungsberatung helfen?

Wenn Sie sich fragen, wo und wie Sie anfangen sollen postquantum Auf Ihrem Weg zur Verschlüsselung steht Ihnen Encryption Consulting zur Seite. Sie können auf uns als Ihren vertrauenswürdigen Partner zählen, und wir begleiten Sie Schritt für Schritt mit Klarheit, Zuversicht und praktischer Expertise.  

Wir beginnen mit einem Kryptografische Erkennung und InventarisierungDabei wird Ihre gesamte Umgebung gescannt, um Zertifikate, Schlüssel, Algorithmen und Protokolle über Endpunkte, Anwendungen, APIs und Infrastruktur hinweg zu identifizieren. Dies schafft die notwendige Grundlage für jede Migration.

Von dort aus führen wir eine PQC-Bewertung um Ihre Gefährdung durch Quantenbedrohungen zu bewerten, RSA- und ECC-abhängige Systeme zu identifizieren und einen priorisierten Bericht über gefährdete Assets mit Risikoschweregradbewertungen zu erstellen.

Mit dieser Klarheit entwickeln wir ein PQC-Strategie und Roadmap, ein gestaffelter Migrationsplan, der auf Ihre Risikobereitschaft, regulatorischen Anforderungen und langfristigen Sicherheitsziele abgestimmt ist, einschließlich kryptografischer Flexibilität, damit sich Ihre Systeme an die Weiterentwicklung der Standards anpassen können.

Wir unterstützen dann Anbieterbewertung und PilottestsWir helfen Ihnen bei der Auswahl der richtigen Werkzeuge, führen Machbarkeitsstudien durch und überprüfen die Interoperabilität vor einer umfassenden Einführung.

Schließlich gelingt es uns. Vollständige Implementierung, die Bereitstellung hybrider klassischer und quantensicherer Modelle, die Einführung von PQC in Ihrer PKI und Infrastruktur sowie die Einrichtung einer Überwachung für die langfristige kryptografische Integrität.

CBOM Secure

Verschlüsselungsberatung CBOM Secure Unser Tool spielt eine Schlüsselrolle bei der Vorbereitung von Unternehmen. Anstatt mit Tabellenkalkulationen, manuellen OpenSSL-Ausgaben oder verstreuten Konfigurationsdateien zu arbeiten, bietet unser CBOM-Tool einen klaren Überblick über die Kryptonutzung in verschiedenen Umgebungen. Es zeigt, welche Algorithmen verwendet werden, welche Änderungen für die Post-Quanten-Sicherheit notwendig sind und ob die Systeme die Sicherheitsziele erfüllen. Für Unternehmen, die sich auf Vorstandssitzungen, Architekturentscheidungen oder Compliance-Planungen vorbereiten, bietet unser Tool Klarheit und Schnelligkeit.

Unser CBOM Secure ist mehr als nur ein Reporting-Tool; es beschleunigt den gesamten Prozess. Es automatisiert Krypto-Inventare, prüft TLS-Konfigurationen, validiert Algorithmen und gleicht Richtlinien ab, sodass Teams ohne Rätselraten von der Analyse zur Umsetzung übergehen können. In zukünftigen Versionen plant Encryption Consulting die Integration automatisierter Korrekturen, Cloud-nativer Lösungen und die Durchsetzung von Richtlinien, um die Einhaltung der Sicherheitsstandards jederzeit zu gewährleisten.

Jetzt ist ein guter Zeitpunkt, um anzufangen: Testen PQC Erstellen Sie in einer Testumgebung eine Übersicht Ihrer aktuellen Kryptonutzung und beginnen Sie mit der Entwicklung interner Richtlinien. Wenn Ihr Unternehmen quantensichere Projekte pilotieren, Feedback geben oder an der Gestaltung neuer Funktionen mitwirken möchte, empfehlen wir Ihnen von Encryption Consulting Folgendes: kontaktieren Sie michJe früher die Teams beginnen, desto einfacher wird die langfristige Arbeit sein.

Fazit

Die wichtigste Erkenntnis hinter den Post-Quanten-Sicherheitskategorien des NIST ist, dass Stabilität wichtiger ist als Präzision. Anstatt exakte Bit-Sicherheitswerte anzustreben, verankert das Rahmenwerk Algorithmen an Referenzproblemen, die wir bereits gut verstehen: Schlüsselsuche gegen AES und Kollisionssuche gegen SHA-256. Solange ein Algorithmus mindestens so schwer zu knacken ist wie seine Referenzaufgabe, ist die Kategorie gültig.

Für Ingenieure und Architekten ist die praktische Schlussfolgerung eindeutig: Kategorie 1 erhält den heutigen Standard der Internetsicherheit, Kategorie 3 ist das empfohlene Ziel für die meisten neuen Implementierungen, und Kategorie 5 ist die richtige Wahl für langlebige Geheimnisse und Systeme mit hohen Sicherheitsanforderungen.

Die anfängliche Standardisierung von ML-KEM, ML-DSA und SLH-DSA durch das NIST markiert nicht das Ende des Prozesses. FN-DSA ist finalisiert, und weitere Kandidaten aus der laufenden vierten Evaluierungsrunde werden weiterhin aktiv geprüft. Mit zunehmender Reife dieser Prozesse und dem Übergang der meisten Implementierungen in eine hybride Phase zwischen klassischer und Post-Quanten-Technologie bietet das Kategorien-Framework das stabile Vokabular, das für konsistente Entscheidungen über Protokolle, Infrastrukturen und Vertrauenshierarchien hinweg erforderlich ist.