Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Postkwantumcryptografie

ML-DSA en PQ-ondertekening: wat u moet weten 

Posted bySubhayu Roy 17 Minuten
ML-DSA
Inhoudsopgave

Introductie

ML-DSA staat voor Module-Lattice Digital Signature Algorithm. Het is een digitale handtekeningmethode die is ontworpen om quantumcomputers te weerstaan, waarvan verwacht wordt dat ze in de nabije toekomst de meeste traditionele cryptografie zullen doorbreken. ML-DSA is gebaseerd op roostergebaseerde wiskunde, met name moduleroosters, waarvan bekend is dat ze lastige problemen vormen voor zowel klassieke als quantumcomputers.

Als je CRYSTALS-Dilithium kent, is ML-DSA in feite de gestandaardiseerde versie ervan. Het is nu officieel erkend door NIST als onderdeel van de post-kwantumcryptografiestandaarden. Simpel gezegd, met ML-DSA kun je data (zoals documenten, code of certificaten) ondertekenen en verifiëren op een manier die veilig blijft, zelfs wanneer quantumcomputers steeds beter worden. 

Het probleem met huidige algoritmen voor digitale handtekeningen, zoals RSA of ECDSA, is dat ze afhankelijk zijn van wiskundige problemen die quantumcomputers snel kunnen oplossen. Dit betekent dat wanneer quantummachines krachtig genoeg worden (en dat is bijna zover), ze handtekeningen kunnen vervalsen, zich kunnen voordoen als mensen of kunnen inbreken in systemen waarvan men dacht dat ze veilig waren. Post-quantum handtekeningschema's zijn ontworpen om veilig te blijven, zelfs als een aanvaller een quantumcomputer heeft. Ze zijn niet afhankelijk van het ontbinden van grote getallen of elliptische krommen.

In plaats daarvan zijn ze gebaseerd op moeilijkere problemen die quantumcomputers niet gemakkelijk kunnen oplossen, althans niet met alles wat we vandaag de dag weten. Deze verschuiving draait om het voorblijven en het veilig houden van systemen voor de lange termijn. 

Terug in 2016, NIST startte een groot project om cryptografische algoritmen te vinden en goed te keuren die de kwantumtoekomst aankonden. Na verschillende testrondes, grondig onderzoek en feedback van de wereldwijde cryptogemeenschap, kozen ze een paar algoritmen om mee verder te gaan. ML-DSA (voorheen CRYSTALS-Dilithium) was daar een van. In augustus 2024 publiceerde NIST ML-DSA onder de naam FIPS 204, waardoor het een van de meest gebruikte digitale handtekeningenschema's voor het post-kwantumtijdperk werd. Dat maakt ML-DSA een solide keuze voor iedereen die nieuwe beveiligingstools bouwt of oude upgradet om klaar te zijn voor de kwantumverschuiving. 

Achtergrond van ML-DSA 

Basisprincipes van digitale handtekeningen 

Digitale handtekeningen lijken op handgeschreven handtekeningen, maar dan voor gegevens. Wanneer iemand een document of een stukje code digitaal ondertekent, bewijst dit dat de gegevens van hem of haar afkomstig zijn en dat er niet mee is geknoeid. Dit gebeurt met behulp van een paar cryptografische sleutels: één privé (geheim gehouden) en één openbare (gedeeld met anderen). Je ondertekent iets met je privésleutel en anderen kunnen het controleren met je openbare sleutel. 

Ze worden overal gebruikt voor software-updates, beveiligde e-mails, digitale certificaten, en zelfs in blockchain-transacties. Zonder digitale handtekeningen zou het vertrouwen op internet in feite instorten. 

Beperkingen van RSA, ECDSA en andere klassieke schema's 

RSA en ECDSA zijn de gebruikelijke verdachten als het gaat om digitale handtekeningen. Ze bestaan ​​al een tijdje en zijn gebaseerd op wiskundige problemen die gemakkelijk in één richting te berekenen zijn, maar moeilijk om te keren, zoals het ontbinden van grote getallen (RSA) of het oplossen van elliptische krommevergelijkingen (ECDSA). 

Het probleem? Deze systemen zijn ontworpen met gewone computers in gedachten. Hun beveiliging hangt af van bepaalde problemen die tijdrovend zijn om op te lossen met klassieke methoden. Maar naarmate quantumcomputers sterker worden, wordt de wiskunde achter RSA en ECDSA gemakkelijk te kraken, wat betekent dat iemand handtekeningen kan vervalsen of dingen kan decoderen die hij of zij niet zou moeten kunnen. 

Een ander probleem is de grootte en snelheid. RSA-sleutels en -handtekeningen kunnen groot worden, wat niet ideaal is voor systemen met beperkte opslag of bandbreedte. ECDSA is kleiner en sneller, maar werkt nog steeds niet goed tegen een quantumaanvaller. 

Briefing over kwantumbedreigingen voor digitale handtekeningen

Quantumcomputers maken dingen niet alleen sneller, ze veranderen ook de spelregels. Algoritmes zoals die van Shor maken het mogelijk om RSA en ECDSA binnen een redelijke tijd te kraken. Dat betekent dat als iemand vandaag je ondertekende gegevens opslaat en morgen toegang krijgt tot een quantumcomputer, hij je handtekening kan vervalsen en kan doen alsof die van jou afkomstig is. 

Hoewel we nog geen enorme, stabiele quantumcomputers hebben, is de bezorgdheid zo groot dat veiligheidsdiensten al op zoek zijn naar alternatieven. Het idee is om over te stappen op nieuwe digitale handtekeningmethoden die standhouden wanneer quantumtechnologie praktisch wordt. 

Overzicht van op roosters gebaseerde cryptografie 

Lattice-gebaseerde cryptografie is een van de meest veelbelovende vervangers. In plaats van te vertrouwen op ontbinding van getallen of krommewiskunde, is het gebaseerd op geometrische vormen die bestaan ​​uit rasterachtige punten in de ruimte, zogenaamde tralies. 

Het lastige probleem hier is het vinden van de kortste of dichtstbijzijnde vector in een van deze roosters. Klinkt eenvoudig, maar het blijkt echt lastig te zijn, zelfs voor quantumcomputers. Dat maakt het een sterke basis voor post-kwantumcryptografie

ML-DSA maakt gebruik van een specifiek type roosterstructuur, moduleroosters genaamd, die een goede balans bieden tussen snelheid, omvang en beveiliging. Het zijn niet alleen theoretische roostergebaseerde methoden die al jaren worden getest en nu worden geïntegreerd in standaarden en systemen in de praktijk.

ML-DSA-overzicht 

Oorsprong: KRISTALLEN-Dilithium tot ML-DSA 

ML-DSA is niet uit het niets ontstaan. Het is eigenlijk de officiële versie van CRYSTALS-Dilithium, een koploper in het post-kwantumcryptografieproject van NIST. Onderzoekers bouwden Dilithium met behulp van roostergebaseerde wiskunde, en het hield zich goed staande tijdens jarenlange analyse en openbare tests. 

Na verschillende evaluatierondes, aanpassingen en feedback finaliseerde NIST het ontwerp en hernoemde het tot ML-DSA (afkorting voor Module-Lattice Digital Signature Algorithm). Deze versie werd gepubliceerd als FIPS 204 in 2024. Wanneer mensen het over ML-DSA hebben, hebben ze het dus eigenlijk over een gepolijste, gestandaardiseerde versie van Dilithium met hetzelfde kernontwerp. 

Belangrijkste kenmerken van ML-DSA 

ML-DSA onderscheidt zich om een ​​aantal redenen: 

  • Post-kwantumbeveiliging: Het is gebouwd om aanvallen van zowel klassieke als quantumcomputers af te weren. 
  • Snelle ondertekening en verificatie: De prestaties zijn goed en beter dan bij andere post-quantumopties die veilig maar langzaam zijn. 
  • Redelijke sleutel- en handtekeninggroottes: Niet klein, maar veel beter beheersbaar vergeleken met oudere kwantumveilige schema's zoals SPHINCS+. 
  • Simpel ontwerp: Maakt gebruik van gehele getallen (geen drijvende-komma-rekenkunde), wat de implementatie eenvoudiger maakt en helpt bugs of lekken te voorkomen. 
  • Gebaseerd op roosters: Met name moduleroosters zijn lastiger aan te pakken dan eenvoudige roosters, maar efficiënter dan volwaardige ringroosters.  

Simpel gezegd: ML-DSA klaart de klus zonder al te complex of zwaar te zijn. 

Beveiligingsdoelen en ontwerpprincipes 

ML-DSA is ontworpen met een paar zaken in gedachten: 

  • Kwantumweerstand: Allereerst moet het veilig blijven, zelfs als een aanvaller een quantumcomputer heeft. 
  • Geen ingewikkelde trucjes: Sommige cryptografische schema's zijn afhankelijk van complexe structuren of algoritmen die moeilijk veilig te implementeren zijn. ML-DSA houdt zich aan eenvoudigere tools zoals hash-functies, modulaire rekenkunde en gestructureerde willekeur. 
  • Zijkanaalbewustzijn: Het vermijdt bewerkingen (zoals drijvende-kommaberekeningen of vertakkingen op basis van geheime gegevens) die gevoelige informatie kunnen lekken via timing of energieverbruik. 
  • Brede bruikbaarheid: Het idee is dat het op meerdere platforms werkt, zoals laptops, servers, embedded apparaten, enzovoort, zonder dat er hardware van de klant nodig is. 

Al deze keuzes zijn gemaakt om een ​​evenwicht te creëren, iets dat sterk genoeg is om de kwantumverschuiving te overleven, maar toch praktisch is om in echte systemen toe te passen.

Structuur van het ML-DSA-algoritme 

Sleutelgeneratie 

Sleutelgeneratie in ML-DSA is vrij eenvoudig zodra je de basisprincipes van roosterwiskunde begrijpt. Het idee is om een ​​publieke sleutel en een privésleutel te genereren die zo overeenkomen dat alleen de privésleutel geldige handtekeningen kan genereren. 

Achter de schermen worden willekeurig gekozen polynomen en wat ruis (ja, willekeur speelt hier een grote rol) gebruikt om een ​​kleine lineaire vergelijking te bouwen. Je privésleutel bestaat uit geheime waarden die in de vergelijking passen, en je publieke sleutel is wat iemand zou krijgen als hij alleen het eindresultaat zou zien zonder de invoer te kennen. Omdat het gebaseerd is op harde roosterproblemen, is het niet mogelijk om het proces om te keren (van publieke sleutel terug naar privésleutel), zelfs niet met een quantumcomputer. 

handtekening generatie 

Het ondertekenen van een bericht met ML-DSA omvat een paar stappen: 

  1. Je neemt je bericht en hasht het samen met je publieke sleutel en een beetje willekeur. 
  2. Dit geeft je een uitdagingswaarde. 
  3. Vervolgens gebruik je je geheime sleutel en deze uitdaging om een ​​korte roostervector te bouwen die jouw handtekening vormt. 
  4. Om ervoor te zorgen dat alles veilig blijft en er geen informatie lekt, wordt de handtekening gecontroleerd op bepaalde groottelimieten. Als de controle mislukt, wordt het opnieuw geprobeerd met een nieuwe willekeur.  

Deze herhaalstap is belangrijk omdat het het algoritme helpt te voorkomen dat er informatie over de privésleutel wordt prijsgegeven.

Handtekeningverifiëring

Het verifiëren van een handtekening is waar de publieke sleutel om de hoek komt kijken. Je hasht het bericht opnieuw (samen met delen van de handtekening) en controleert of de resultaten overeenkomen met wat verwacht wordt op basis van de publieke sleutel. 

U controleert in feite: "Zou deze handtekening uit het systeem zijn gekomen als de ondertekenaar de juiste privésleutel had gehad?" 

Als de test slaagt, is de handtekening geldig. Zo niet, dan wordt deze afgewezen. Het is snel en vereist geen persoonlijke gegevens, dus het kan overal gebruikt worden: browsers, servers, embedded apparaten, enzovoort. 

Gebruik van modules en roosters

De "ML" in ML-DSA staat voor Module Lattice, een licht geoptimaliseerde versie van de algemene roosterstructuur. Een rooster is, simpel gezegd, een raster van punten in de ruimte, gecreëerd door lineaire combinaties van vectoren. 

Module-lattices bieden een sterkere beveiliging dan gewone lattices, maar met minder prestatieverlies. Ze maken ook compactere sleutel- en handtekeninggroottes mogelijk zonder de berekeningen te ingewikkeld te maken. Zie het als een slimme afweging tussen snelheid, grootte en veiligheid.

Rol van SHAKE-128 en SHAKE-256 (XOF's) 

ML-DSA leunt zwaar op SHAKE-128 en SHAKE-256, twee uitbreidbare uitvoerfuncties (XOF's). In tegenstelling tot reguliere hashfuncties die een uitvoer van vaste grootte leveren, kunnen XOF's worden uitgerekt tot elke gewenste lengte.  

In ML-DSA worden deze gebruikt voor: 

  • Het creëren van uitdagende waarden tijdens het ondertekenen. 
  • Berichten hashen. 
  • Het afleiden van willekeur. 
  • Publieke parameters genereren. 

Ze helpen het algoritme consistent en veilig te houden zonder dat er veel verschillende hashingtools nodig zijn. Bovendien zijn ze efficiënt, wat de prestaties in de gaten houdt. 

PQC Adviesdiensten

Bereik post-quantum paraatheid met een door experts geleide cryptografische beoordeling, migratiestrategie en praktische implementatie conform de NIST-normen.

Meer informatie

ML-DSA-beveiligingsniveaus

ML-DSA is verkrijgbaar in drie niveaus: ML-DSA 44, ML-DSA 65 en ML-DSA 87. Elk niveau richt zich op een ander NIST-beveiligingsniveau, wat in feite aangeeft hoeveel een aanvaller nodig heeft om het te kraken, zelfs met een quantumcomputer. Hoe hoger het niveau, hoe sterker de bescherming, maar het betekent ook grotere sleutels en tragere prestaties. 

Laten we ze opsplitsen: 

ML-DSA 44 (NIST-niveau 2)

Dit is de lichtste versie van de drie en is bedoeld voor systemen die goede beveiliging nodig hebben, maar niet te veel overhead willen. Denk aan IoT-apparaten of embedded systemen met beperkt geheugen of verwerkingsvermogen. 

  • Publieke sleutelgrootte: ~1.3 KB
  • Grootte van de privésleutel: ~2.8 KB 
  • Handtekeninggrootte: ~2.4 KB 
  • Snelheid: De snelste van de drie. 

Het is een goede keuze als u post-quantumbescherming wilt, maar het niet te groot en snel wilt aanpakken. 

ML-DSA 65 (NIST-niveau 3) 

Deze versie verhoogt de beveiliging naar NIST-niveau 3. Het is een middenweg die nog steeds vrij compact is, maar met sterkere verdedigingsmechanismen. 

  • Publieke sleutelgrootte: ~1.9 KB 
  • Grootte van de privésleutel: ~4.0 KB 
  • Handtekeninggrootte: ~3.3 KB 
  • Snelheid: Iets langzamer dan ML-DSA 44, maar nog steeds heel praktisch. 

Als u iets bouwt waarvoor een hogere mate van zekerheid nodig is, zoals financiële applicaties of software voor de publieke sector, dan is dit wellicht de beste optie. 

ML-DSA 87 (NIST-niveau 5)

Dit is de sterkste optie en is ontworpen voor toepassingen met een hoge mate van beveiliging, zoals overheidssystemen, kritieke infrastructuur of langdurige bescherming van gevoelige gegevens. 

  • Publieke sleutelgrootte: ~2.6 KB 
  • Grootte van de privésleutel: ~5.4 KB 
  • Handtekeninggrootte: ~4.6 KB 
  • Snelheid: Langzamer dan de andere twee, maar nog steeds bruikbaar. 

Hij is zwaarder, maar nog steeds ontworpen voor situaties waarin het breken van het handtekeningenschema geen optie is. 

Afwegingen: handtekeninggrootte, sleutelgrootte, prestaties 

Het zit zo: sterkere beveiliging betekent grotere sleutels en handtekeningen. Zo werkt het nu eenmaal.  

  • De handtekeninggrootte wordt groter naarmate u hogerop gaat. Dit kan een probleem zijn bij netwerken met een lage bandbreedte.  
  • De sleutelgrootte neemt ook toe, wat invloed heeft op de hoeveelheid geheugen die u nodig hebt om ze op te slaan. 
  • Naarmate de beveiliging toeneemt, nemen de prestaties af, vooral tijdens het genereren van handtekeningen. De verificatie verloopt echter meestal snel. 

Afhankelijk van uw behoeften – snelheid, opslagcapaciteit of kracht – kunt u dus de juiste versie van de ML-DSA kiezen die bij uw situatie past. Het gaat niet om "one-size-fits-all", maar meer om het kiezen van het juiste gereedschap voor de klus. 

Prestaties en benchmarks 

Snelheid van sleutelgeneratie, ondertekeningsbewerking en verificatiebewerking

Qua prestaties presteert ML-DSA behoorlijk goed, vooral in vergelijking met andere post-quantum opties.  

  • Sleutel generatie: Heel snel. Het is eigenlijk gewoon wat snelle roosterberekening en een beetje hashing. 
  • Ondertekening: Iets langzamer dan sleutelgeneratie, omdat het proces soms opnieuw moet worden uitgevoerd om aan de groottelimieten te voldoen, maar over het algemeen nog steeds efficiënt. 
  • Verificatie: Meestal de snelste van de drie. Het is lichtgewicht en heeft geen privésleutels nodig, dus het werkt goed voor de verificator. 

Over het algemeen is verificatie sneller dan ondertekening, en beide zijn snel genoeg voor dagelijks gebruik. Zelfs op systemen met beperkte resources zijn de vertragingen nauwelijks merkbaar. 

Hier is een benaderend idee (met behulp van implementaties die alleen software bevatten): 

WerkingML-DSA 44 ML-DSA 65 ML-DSA 87 
Sleutelgeneratie ~0.15 ms ~0.22 ms ~0.33 ms 
Ondertekenen ~0.35 ms ~0.45 ms ~0.65 ms 
Controleren ~0.08 ms ~0.12 ms ~0.19 ms 
Let op: Deze aantallen kunnen variëren afhankelijk van de implementatie en het platform 

Brongebruik (CPU, RAM, hardwareversnelling) 

ML-DSA is behoorlijk gebruiksvriendelijk als het gaat om resourcegebruik: 

  • CPU: Werkt goed op algemene CPU's, zonder speciale instructies of hardware. Het is geoptimaliseerd voor integerbewerkingen, wat zorgt voor overzichtelijke en voorspelbare resultaten. 
  • RAM: Je hebt er niet veel van nodig. Zelfs de grootste variant (ML-DSA 87) past gemakkelijk in de meeste moderne systemen, inclusief microcontrollers met een matig geheugen. 
  • Hardware acceleratie: Het is niet vereist, maar als je SHA-3-versnelling hebt (zoals bij sommige ARM- of Intel-processors), helpt dat hashtaken zoals SHAKE-128/256 te versnellen. Maar nogmaals, het is geen must-have. 

Over het algemeen biedt ML-DSA een goede balans: het is veilig genoeg voor post-quantumgebruik, maar het zal je batterij niet leegtrekken of je CPU maximaal belasten. Dat maakt het prima bruikbaar op laptops, servers en zelfs sommige IoT-apparaten. 

ML-DSA-integratiescenario's 

Integratie in PKI-omgevingen 

Als u met Public Key Infrastructure (PKI) werkt, kan ML-DSA worden ingezet waar digitale handtekeningen nodig zijn, zoals voor certificaten, CRL's, OCSP-reacties of codeondertekening. 

Je zou in principe je huidige ondertekeningsalgoritme (zoals RSA of ECDSA) vervangen door ML-DSA, terwijl je de rest van je PKI grotendeels dezelfde opstelling. Certificeringsautoriteiten (CA's) zou het nieuwe handtekeningalgoritme moeten ondersteunen en cliënten zouden het moeten begrijpen, maar het kernproces blijft bekend: genereer een sleutelpaar → onderteken met een privésleutel → verifieer met een publieke sleutel. 

Ondersteuning voor ML-DSA in X.509-certificaten wordt eraan gewerkt als onderdeel van post-kwantumstandaardisatie. Het is dus nog niet kant-en-klaar, maar de puzzelstukjes vallen al op hun plaats. 

Ondertekeningssoftware en firmware 

Software- en firmware-updates zijn belangrijke doelwitten voor aanvallers, dus digitale handtekeningen zijn hierbij cruciaal. ML-DSA kan worden gebruikt om updatepakketten te ondertekenen op een manier die bestand is tegen quantumaanvallen. 

De grotere handtekeninggrootte betekent mogelijk dat er aanpassingen nodig zijn in de manier waarop gegevens worden opgeslagen of verzonden (met name voor draadloze updates), maar het is zeker haalbaar. Voor leveranciers die apparaten 10 tot 15 jaar in de toekomst willen ondersteunen, is het toevoegen van post-quantum handtekeningen zoals ML-DSA een goede zet. 

En in tegenstelling tot sommige post-kwantumschema's die heel langzaam of enorm van omvang zijn, houdt ML-DSA de zaken relatief praktisch.

ML-DSA in cryptografische berichtensyntaxis (CMS) 

CMS (Cryptographic Message Syntax) wordt gebruikt voor zaken als S/MIME, tijdstempeling en digitale documentondertekening. ML-DSA kan aan CMS worden toegevoegd door nieuwe algoritme-ID's en coderingsregels te definiëren. 

Zodra dat is geregeld, kunt u ML-DSA gebruiken om e-mails, documenten en vrijwel elk soort digitaal bericht te ondertekenen, net zoals u dat nu met RSA of ECDSA zou doen. Het draait allemaal om ervoor te zorgen dat de software die deze CMS-structuren parseert en valideert, weet wat er met een ML-DSA-handtekening moet gebeuren. 

Als u werkt aan een standaard of product dat CMS gebruikt, draait het bij het toevoegen van ML-DSA vooral om het bijwerken van de ondersteuning voor het nieuwe algoritme en het verwerken van de grotere sleutel- en handtekeninggroottes.

Gebruik in smartcards en HSM's

Het gebruik van ML-DSA in smartcards en HSM's (Hardware Security Modules) is een van de interessantere integratiepaden. Dit zijn plekken waar privésleutels geheim moeten blijven en de bewerkingen snel en efficiënt moeten verlopen. 

De relatief kleine sleutelgroottes van ML-DSA (vergeleken met andere PQC-systemen) maken het gemakkelijker om in de beperkte opslagruimte van een smartcard te passen. En omdat de ondertekening snel genoeg is, zou ML-DSA realistisch gezien binnen de snelheidslimieten van contactloze of ingebouwde beveiligde elementen kunnen werken. 

Voor HSM's is de grootste uitdaging het updaten van de firmware ter ondersteuning van roosterwiskunde en SHAKE-functies. Maar zodra dat geregeld is, kan ML-DSA net als elk ander ondertekeningsalgoritme worden behandeld: de sleutel laden, de bewerking uitvoeren en de handtekening retourneren. 

Vergelijking met andere PQ-handtekeningalgoritmen 

ML-DSA is niet het enige post-quantum handtekeningschema. Twee andere grote namen in de game zijn FALCON en SPHINCS+. Elk heeft zijn eigen voor- en nadelen, eigenaardigheden en voordelen. Laten we ze eens bekijken. 

ML-DSA versus FALCON 

FALCON is net als ML-DSA ook gebaseerd op roosters, maar het gebruikt een andere wiskundige truc genaamd NTRU-roosters en is afhankelijk van drijvende-kommarekenkunde, inderdaad, het soort dat je op je rekenmachine ziet. 

  • ML-DSA is gemakkelijker en veiliger te implementeren. FALCON vereist een zeer zorgvuldige omgang met floating-point afronding, wat lastig kan zijn om goed te krijgen. Eén fout en je kunt je sleutels kwijtraken. 
  • FALCON heeft kleinere signatures (ongeveer 666 bytes voor Level 1), wat ideaal is voor use cases met beperkte bandbreedte. 
  • Maar ML-DSA heeft kleinere publieke sleutels en een eenvoudigere structuur die eenvoudiger te controleren en testen is. 

Kortom, FALCON is geweldig voor compacte handtekeningen als je een veilige en nauwkeurige implementatie hebt. ML-DSA is gebruiksvriendelijker voor ontwikkelaars en minder riskant op het gebied van side-channels. 

ML-DSA versus SPHINCS+

SPHINCS+ is een heel ander verhaal. Het is niet gebaseerd op roosters, maar op hashfuncties, die zo'n beetje het best begrepen en eenvoudigste zijn wat cryptografische tools te bieden hebben. 

  • SPHINCS+ is stateless, wat handig is vanuit het oogpunt van sleutelbeheer. 
  • Maar de handtekeningen zijn enorm groot, we hebben het over 8 KB of meer. Dat kan lastig zijn voor apparaten met weinig geheugen of systemen met strikte transmissielimieten. 
  • ML-DSA wint op snelheid, vooral bij het genereren van handtekeningen. SPHINCS+ staat bekend als traag, wat het gebruik ervan in omgevingen met hoge doorvoer beperkt. 

SPHINCS+ is vaak de "veilige uitwijkmogelijkheid" vanwege het conservatieve ontwerp. Maar ML-DSA biedt een veel evenwichtiger afweging voor de meeste praktische toepassingen. 

Vergelijkingstabel met belangrijkste statistieken 

Hier is een snelle vergelijking:

metrischML-DSA 44 (L2) VALK 512 (L1) SFINCS+ 128s(L1) 
Grootte van de openbare sleutel ~ 1.3 KB ~ 0.9 KB ~32 bytes 
Grootte van de privésleutel ~ 2.8 KB ~ 1.3 KB ~64 bytes 
Handtekeninggrootte ~ 2.4 KB ~666 bytes ~ 8 KB 
Snelheid van sleutelgeneratie Snel Snel Langzaam 
Tekensnelheid Snel Medium Zeer langzaam 
Controleer de snelheid Erg snel Snel Medium 
Beveiligingsbasis Roosters Roosters Hash-gebaseerd 
Makkelijk te gebruiken Eenvoudig Moeilijk (drijvende komma) Eenvoudig maar groot 
Let op: Getallen zijn bij benadering en kunnen variëren afhankelijk van de implementatie. 

In het kort: 

  • Gebruik ML-DSA als u op zoek bent naar een goede balans tussen formaat, snelheid en eenvoud. 
  • Gebruik FALCON als u absoluut kleine handtekeningen nodig hebt en u zich de zorgvuldige uitvoering kunt veroorloven. 
  • Kies SPHINCS+ als grootte en snelheid niet uw grootste problemen zijn en u het meest conservatieve ontwerp wilt. 

CBOM

Verkrijg volledig inzicht met continue cryptografische detectie, geautomatiseerde inventarisatie en datagestuurde PQC-correctie.

Boek een adviesgesprek

Standaardisatie en compliance

NIST FIPS 204 Details 

ML-DSA is officieel gestandaardiseerd door NIST onder FIPS 204. Dit is een behoorlijk grote stap; het betekent dat ML-DSA nu deel uitmaakt van de door de Amerikaanse overheid goedgekeurde lijst van algoritmen voor digitale handtekeningen die zijn ontwikkeld om de kwantumdreiging het hoofd te bieden. 

FIPS 204 beschrijft de details van het algoritme, waaronder: 

  • Hoe sleutels worden gegenereerd 
  • Hoe handtekeningen worden gemaakt en geverifieerd 
  • Aanvaardbare parameters voor elk beveiligingsniveau (ML-DSA 44, 65, 87) 

Het definieert ook testvectoren en -formaten om consistente implementaties te garanderen. Als u software bouwt of valideert die ML-DSA gebruikt, is FIPS 204 dé specificatie. 

Kortom, FIPS 204 is het officiële receptenboek voor ML-DSA. 

Migratietijdlijnen en aanbevelingen 

De tijd dringt voor kwantumgereedheid. NIST heeft het duidelijk gemaakt: begin jaren 2030 zouden cryptografische systemen post-kwantumveilig moeten zijn. 

Hoewel dat misschien ver weg lijkt, kost het bouwen en uitrollen van veranderingen, vooral in grote, langzaam veranderende omgevingen zoals de overheid, de financiële sector of de gezondheidszorg, jaren. Daarom is 2025-2027 het ideale startpunt voor planning en pilot-implementaties. 

Dit is de algemene aanbeveling: 

  • 2025-2026: Begin met het testen van post-quantumalgoritmen (zoals ML-DSA) in dev- of hybride systemen. 
  • 2027-2029: Begin met de implementatie in productiesystemen, vooral voor toepassingen die een lange termijnfunctie hebben (denk aan ondertekende firmware, digitale ID's of elektronisch stemmen). 
  • 2030 +: Alle nieuwe cryptografische implementaties zouden standaard quantumveilig moeten zijn. 

Wacht in principe niet tot 2029 om in paniek te raken. 

Amerikaanse federale mandaten (overgangsrichtlijnen 2030-2035)

De Amerikaanse overheid heeft via het Office of Management and Budget (OMB) en de CNSA 2.0-richtlijnen van de NSA een duidelijk plan voor de overgang naar de kwantumeconomie opgesteld. 

Hoofdpunten: 

  • In 2025 moeten instanties alle systemen identificeren die gebruikmaken van openbare-sleutelcryptografie en deze op prioriteit rangschikken. 
  • Tegen 2027 zouden systemen met een hoge prioriteit (zoals nationale veiligheid, infrastructuur of waardevolle gegevens) moeten zijn overgegaan op door het NIST goedgekeurde post-quantumalgoritmen. 
  • Tussen 2030 en 2035 moeten alle federale systemen volledig overschakelen op kwantumveilige cryptografie. 

ML-DSA past perfect in deze tijdlijn als een handtekeningenschema dat is goedgekeurd voor gebruik onder deze toekomstige mandaten. Dus, als u samenwerkt met of verkoopt aan federale instanties of zelfs grote ondernemingen die de federale richtlijnen volgen, is ML-DSA iets dat u in uw crypto-routekaart wilt opnemen. 

Hoe kan Encryption Consulting helpen?

Aan de slag gaan met post-quantum signatures kan aanvoelen als een hoop nieuwe algoritmen, sleutelgroottes, integratieproblemen en compliance-problemen. Daar komen wij om de hoek kijken. 

Bij EC hebben we tools ontwikkeld die het gebruik van ML-DSA eenvoudig maken. Onze CodeSign Secure Het platform ondersteunt ML-DSA direct, samen met andere door NIST goedgekeurde algoritmen. Of u nu software, firmware, documenten of certificaten ondertekent, wij zorgen voor de technische details, zodat u dat niet hoeft te doen. 

Dit is wat we aanbieden: 

  • ML-DSA-ondersteuning in onze ondertekeningsworkflows 
  • Integratie met uw bestaande PKI en HSM setups 
  • Automatiseringshooks voor CI/CD-tools 
  • Opties voor veilige sleutelopslag 
  • Compliance-vriendelijke audit trails 

Als je team post-quantum signatures wil testen of uitrollen zonder alles vanaf nul op te bouwen, helpen we je graag. Je kunt klein beginnen, dingen uitproberen en van daaruit verder groeien.

Conclusie 

ML-DSA is niet zomaar een post-quantum handtekeningalgoritme; het is een van de koplopers, officieel ondersteund door NIST en ontworpen om praktische toepassingen aan te kunnen zonder de zaken al te ingewikkeld te maken. Het is snel genoeg voor grootschalige ondertekening, past in bestaande systemen zoals PKI en CMS, en vermijdt enkele van de lastigere wiskundige valkuilen van alternatieven zoals FALCON. 

Als u overweegt uw digitale handtekeningen toekomstbestendig te maken, of het nu gaat om code, firmware, documenten of beveiligde communicatie, dan is ML-DSA zeker het overwegen waard. 

En als u op een soepele manier aan de slag wilt, kunt u onze codeondertekeningstool gebruiken, CodeSign Secure, heeft ingebouwde ondersteuning voor ML-DSA. Het zorgt voor de sleutelverwerking, het ondertekeningsproces en de integratie, zodat u zich kunt concentreren op wat belangrijk is: het leveren van veilige, quantum-ready software zonder gedoe. 

Probeer het eens uit als u klaar bent om slimmer te tekenen en voorop te blijven lopen. 

Ontdek onze

Gerelateerde blogs

hoe een cryptografische stuklijst inventaris omzet in inlichtingen

Van ontdekking naar actie: hoe een cryptografische materiaallijst inventaris omzet in bruikbare informatie.

May 29, 2026

de fundamentele argumenten voor cryptografische ontdekking

Je kunt niet beveiligen wat je niet kunt zien: het fundamentele argument voor cryptografische ontdekking

May 28, 2026

CBOM

Cryptografie-stuklijst (CBOM): Waarom elk bedrijf er nu een nodig heeft

May 20, 2026

Ontdek het hier

Meer onderwerpen