Begriff
Post-Quantum Cryptography (PQC)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Unsere heutige Sicherheit (RSA, Elliptic Curves) basiert auf Mathe-Problemen: "Zerlege diese riesige Zahl in Primfaktoren." Das ist für normale Computer extrem schwer (dauert Milliarden Jahre). Ein Quantencomputer mit Shor's Algorithmus kann das in Minuten lösen. Wenn (wann) ein echter Quantencomputer kommt, ist alles unsicher: Online-Banking, verschlüsselte Chats, Bitcoin. PQC sind neue Algorithmen, die auf normalen Computern laufen, aber resistent gegen Quantencomputer sind. Sie basieren auf Mathe, die selbst Quantencomputer nicht gut können (z. B. Gitter-Probleme).
Merksatz: Kryptografische Algorithmen (meist Public-Key), die so entworfen sind, dass sie gegen Angriffe durch Quantencomputer resistent sind und bereits auf heutigen klassischen Computern implementiert werden können.
Das NIST (USA) hat 2024 die ersten Standards verabschiedet:
- Kyber (ML-KEM): Für Schlüsselaustausch (statt Diffie-Hellman).
- Dilithium (ML-DSA): Für Signaturen (statt RSA/ECDSA). Tech-Giganten (Google Chrome, Apple, Signal) bauen das jetzt schon ein ("Harvest Now, Decrypt Later" - Hacker speichern heute Traffic, um ihn in 10 Jahren zu knacken).
1. Lattice-Based Cryptography
Der Gewinner des NIST-Wettbewerbs. Stell dir ein n-dimensionales Gitter vor. Finde den kürzesten Vektor zu einem Punkt. In 2D einfach. In 500D extrem schwer (Shortest Vector Problem). Quantencomputer bieten hier kaum Speedup.
2. Hash-Based & Code-Based
Alternativen, falls Lattices doch geknackt werden. Hash-Based (SPHINCS+) ist extrem konservativ und sicher, aber langsam und erzeugt riesige Signaturen (40KB vs 64 Byte bei ECC).
1. Ring-LWE & Modul-LWE (Efficiency)
Standard-LWE (Level 2) braucht riesige Matrizen. Das macht den Public Key Megabytes groß. In der Produktion (Kyber/Dilithium) nutzt man Ring-LWE. Anstatt beliebiger Zahlen nutzt man Polynome aus einem mathematischen Ring. Ein Ring-LWE-Schlüssel ist ca. 1000x kleiner als ein Standard-LWE-Schlüssel, weil eine einzelne Zeile der Matrix (ein Polynom) durch zyklisches Verschieben alle anderen Zeilen "generiert". Das spart massiv Speicherplatz und erlaubt es, PQC auch in kleinen IoT-Geräten oder Smartcards einzusetzen.
2. Der Fall von SIKE (Isogenien)
Ein mahnendes Beispiel für die Forschung. Es gab ein Verfahren namens SIKE (Supersingular Isogeny Key Encapsulation). Es basierte auf der Geometrie elliptischer Kurven (Isogenien). Es galt als extrem sicher und hatte die kleinsten Schlüssel aller PQC-Verfahren. 2022 wurde es jedoch von zwei Forschern mit einem normalen Laptop in einer Stunde geknackt – durch eine theoretische Schwäche in der zugrundeliegenden Mathematik. Das zeigt: PQC ist Neuland. Deshalb setzt NIST auf Diversität: Man sollte nie alle Eier in einen Korb (nur Lattices) legen.
3. Crypto Agility & Hybrid Mode
Für die IT-Produktion ist die wichtigste Strategie der Hybrid-Modus. Anstatt RSA komplett wegzuwerfen, nutzt man zwei Schlösser an der Tür:
- Ein klassisches Verfahren (z.B. X25519 - Elliptic Curve).
- Ein PQC-Verfahren (z.B. Kyber). Ein Angreifer müsste beide knacken, um an die Daten zu kommen. Das schützt uns heute gegen Quantencomputer (durch Kyber) und gleichzeitig gegen unentdeckte mathematische Fehler in der neuen PQC-Lattice-Mathematik (durch das bewährte X25519). Alle modernen Implementierungen in TLS 1.3 nutzen aktuell diesen hybriden Ansatz.
Quick-Check
Brauche ich Quanten-Internet?
Nein! PQC läuft auf deinem Handy. Das ist der Witz dabei. Es ist Software-Upgrade.Bitcoin?
Bitcoin nutzt ECDSA (Elliptic Curve). Das ist nicht quantensicher. Bitcoin müsste per Softfork auf PQC-Signaturen (z. B. Lamport Signatures) wechseln, solange die Private Keys noch nicht durch Public Keys im Ledger exponiert sind.Wann?
Experten sagen: Ernste Gefahr ab 2030-2035. Aber die Umstellung dauert Jahre. Deshalb "Crypto Agility" (Systeme flexibel halten).