Zwei Frauen sitzen vor einem Bildschirm

BSI zu kryptografischen Verfahren: Empfehlungen mit Lösungen der Bundesdruckerei-Gruppe umsetzen

BSI-Empfehlungen zu Schlüssellängen für kryptograpfsche Verfahren mit Lösungen der Bundesdruckerei-Gruppe: Eine Übersicht über Verfahren und Umsetzungsmöglichkeiten.  

Post-Quanten-Kryptografie – heute handeln, morgen sicher bleiben  

Quantencomputer bedrohen aktuelle Verschlüsselungsverfahren, die auf der Public-Key-Kryptografie beruhen. Erste entsprechende Systeme für Quantencomputing werden laut Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) voraussichtlich spätestens 2040 erwartet. Daher empfiehlt das BSI, kritische Systeme bis spätestens 2030 auf quantensichere Verfahren umzustellen.

Besonders Informationen mit langen Geheimhaltungsfristen – etwa staatliche oder geschäftskritische Daten – sollten deshalb bereits jetzt geschützt werden. Die Bedrohung ist dabei nicht nur theoretischer Natur: „Store now, decrypt later“-Angriffe stellen schon heute eine reelle Bedrohung dar. Nach diesem Modell wird verschlüsselter Datenverkehr bereits heute gespeichert, um ihn in einigen Jahren mithilfe von Quantencomputern zu entschlüsseln. 

Das BSI veröffentlicht und aktualisiert regelmäßig Empfehlungen als Basis für den Übergang zur Post-Quanten-Kryptografie (PQK). Ergänzt durch Lösungen und Forschungsprojekte der Bundesdruckerei-Gruppe zeigt dieser Artikel, wie sich die Vorgaben in der Praxis umsetzen lassen.

 

Diese sieben BSI-Empfehlungen zu kryptografischen Verfahren müssen Sie kennen:

  1. Quantenresistente Schlüsseleinigung
  2. Hashbasierte Signaturen
  3. Signaturverfahren zur Authentifizierung
  4. Hybride Lösungen
  5. Public Key Infrastructure (PKI)
  6. Quantum Key Distribution (QKD)
  7. Erforschung weiterer quantensicherer Kryptoverfahren

1. Quantenresistente Schlüsseleinigung

Definition und Einsatz

Die Schlüsseleinigung legt fest, wie zwei Parteien einen geheimen Schlüssel vereinbaren, um Informationen anschließend mit einem symmetrischen Verschlüsselungsverfahren zu schützen. Diese Verfahren basieren dabei auf mathematischen Problemen, die auch für Quantencomputer schwer zu brechen sind – etwa Gitter- oder Code-basierte Verfahren.  

Empfehlung des BSI

Als quantenresistente Schlüsseleinigungsverfahren nennt das BSI in der TR-02102-Richtlinie explizit folgende Methoden:  

  • FrodoKEM
  • ML-KEM
  • Classic McEliece

FrodoKEM nutzt das Lernen mit Fehlern in Gitterstrukturen, wobei ein geheimer Schlüssel aus einem komplexen Gitterproblem abgeleitet wird. ML-KEM nutzt dies in ähnlicher Weise, aber in strukturierten Gittern. Classical McEliece basiert auf der Schwierigkeit, zufällig kodierte lineare Fehlerkorrektur-Codes zu knacken, wodurch ein geheimer Schlüssel sicher übertragen werden kann. 

Für robuste Sicherheit rät das BSI zur hybriden Implementierung: Dabei werden klassischer und quantensicherer Schlüsselaustausch kombiniert – das Ergebnis ist ein gemeinsames Geheimnis (der Schlüssel) zum Entschlüsseln entsprechend geschützter Kommunikation. 

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Die Bundesdruckerei hat im Forschungsprojekt „Quantensichere VPN-Module und -Operationsmodi” – kurz QuaSiModO – eine Lösung für quantensichere Schlüsseleinigung entwickelt. Im Rahmen des Projekts QuaSiModO wurden quantenresistente Schlüsselaustauschverfahren für IPsec und MACsec entwickelt, die in VPN-Standards integriert werden können.  
Die Ergebnisse des Forschungsprojekts finden in einem Produkt der Bundesdruckerei-Tochter genua GmbH Anwendung: genuscreen 8.4 ist eine Firewall- und VPN-Appliance, die einen hybriden Schlüsselaustauschmechanismus integriert, der klassische und quantenresistente Verfahren kombiniert. Sie wurde vom BSI für die Kommunikation mit sensiblen Daten bis zum Geheimhaltungsgrad VS-NfD zugelassen.  

2. Hashbasierte Signaturen

Definition und Einsatz

Digitale Signaturen sichern die Authentizität von Daten. Hashbasierte Signaturen nutzen dabei sogenannte Hashfunktionen, um eine Art „Fingerabdruck“ von Daten zu erzeugen. Damit sind sie resistent gegen Angriffe von Quantencomputern und eignen sich besonders für Firmware- und Software-Updates mit langen Lebenszyklen. 

Empfehlung des BSI

Das BSI empfiehlt für hashbasierte Signaturen die Verfahren XMSS (eXtended Merkle Signature Scheme) und LMS (Leighton-Micali Signature Scheme). Beide sind international standardisiert und praxiserprobt. 

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Die Bundesdruckerei-Tochter genua hat gemeinsam mit der TU Darmstadt das hashbasierte Signaturverfahren XMSS entwickelt. Dieses Verfahren kommt bereits bei den Software-Updates von genua zum Einsatz. Dadurch wird die Echtheit der Updates sichergestellt, denn jegliche Manipulation lässt sich sofort erkennen. Mittlerweile wurde XMSS auch von anderen Standardisierungsorganisationen übernommen, wie z. B. ISO/IEC oder dem amerikanischen NIST.  

3. Allgemeine Signaturverfahren zur Authentifizierung

Definition und Einsatz

Digitale Signaturen prüfen zweifelsfrei die Identität des Urhebers. Grundlage sind digitale Zertifikate, ausgestellt von einer Public Key Infrastructure (PKI). 

Empfehlung des BSI

Das BSI empfiehlt, PQK-Algorithmen, wie ML-DSA und SLH-DSA, in hybrider Weise mit klassischen Signaturen zu kombinieren, um die Robustheit gegenüber Angriffen durch Quantencomputer zu erhöhen.  

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Die D-Trust GmbH, ein Teil der Bundesdruckerei-Gruppe, entwickelte im Projekt FLOQI gemeinsam mit ihren Partnern eine neue Generation der Public Key Infrastructure (PKI), die Angriffen durch Quantencomputer widerstehen soll. Dabei geht es darum, die Kryptoagilität von Systemen oder Produktionsanlagen mit hohen Lebenszeiten zu erhöhen – Verschlüsselungsalgorithmen also agil zu gestalten. Das bedeutet, dass sie schnell und während des Betriebs integrier- oder austauschbar sind. 

4. Hybride Lösungen

Definition und Einsatz

Hybride Kryptografie verbindet klassische Verfahren mit PQK-Algorithmen. Auf diese Weise wird die Robustheit der neuen PQK erhöht und zugleich der Schutz vor künftigen Angriffen sichergestellt. 

Empfehlung des BSI

Das BSI empfiehlt ausdrücklich hybride Verfahren – insbesondere bei Schlüsseleinigung und Signaturen. Damit lässt sich die Sicherheit erhöhen, ohne bestehende Systeme zu gefährden. 

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Die Bundesdruckerei-Gruppe entwickelt eine Vielzahl hybrider Konzepte, die klassische Verfahren mit quantensicheren Algorithmen kombiniert. Diese Lösungen werden aktuell als Prototypen und Demonstratoren getestet – etwa für digitale Identitäten, Public Key Infrastructures für die Verwaltung (siehe Abschnitt Public Key Infrastructure) oder quantensichere Kommunikationsinfrastrukturen.

Ein Beispiel dafür ist das PoQuID-Projekt2. In Zusammenarbeit mit Infineon entstand der erste Demonstrator für einen quantensicheren elektronischen Reisepass. Er schützt biometrische Daten beim kontaktlosen Austausch zwischen elektronischem Pass und Grenzkontrollterminal. Gemeinsam mit Giesecke+Devrient entwickelte die Bundesdruckerei zudem einen Demonstrator für einen quantensicheren Personalausweis. Es handelt sich dabei um eine der weltweit ersten funktionalen Umsetzungen eines Personalausweises mit klassischer Kryptografie und Post-Quantum-Kryptografie.  

5. Public Key Infrastructure (PKI)

Definition und Einsatz

Ausstellen, Verwalten und Prüfen digitaler Zertifikate: Das sind die Aufgaben einer PKI. Sie ist damit unverzichtbar für die sichere Authentifizierung und Verschlüsselung in verschiedenen Anwendungsfällen, beispielsweise im Gesundheits- oder Finanzsektor. 

Empfehlung des BSI

Basierend auf den allgemeinen Empfehlungen für quantensichere Signaturverfahren vom BSI eignen sich für langlebige Wurzelzertifikate (CA-Zertifikate) zum Beispiel hashbasierte Signaturen. Für kurzlebigere Endnutzerzertifikate bieten sich hybride Zertifikate etwa aus einer Kombination von ML-DSA und ECDSA an. Da eine entsprechende Migration komplex ist, sollte der Umstieg früh geplant werden.  

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Im Testbetrieb befindet sich aktuell der Prototyp einer quantensicheren PKI für Behörden. Im Fokus steht dabei die Frage, welche Kombination von hybriden und nicht hybriden Mechanismen sich für Zertifikate am besten eignet und wie eine entsprechende Migration gelingen kann. Die Testinfrastruktur wird von verschiedenen Partnern – wie den Mitgliedern der Bundesquantenallianz – bereits genutzt.

D-Trust hat mit Partnern im Rahmen des FLOQI-Projekts4 (Full-Lifecycle-Post-Quantum-PKI) zudem eine neue Art der PKI entwickelt, die resistent gegen Angriffe von Quantencomputern ist. 

Hightech-Agenda Deutschland und Quantencomputing

Die Bundesregierung investiert mit der Hightech-Agenda in Schlüsseltechnologien wie Quantencomputing. Ziel ist es, Forschung zu beschleunigen, Anwendungen zu entwickeln und Deutschlands Wettbewerbsfähigkeit zu sichern. Dafür entstehen Rechenzentren und Forschungscluster, die Wissenschaft und Industrie gemeinsam nutzen. Die Agenda fördert auch den Transfer in marktreife Produkte – so wird Deutschland zu einem führenden Standort für Quantencomputer und schafft die Basis für digitale Souveränität in der Post-Quanten-Ära.

6. Quantum Key Distribution (QKD)

Definition und Einsatz

QKD nutzt physikalische Effekte der Quantenmechanik. Dabei werden kryptografische Schlüssel mithilfe von Quanteneffekten übertragen. Jeder Abhörversuch verändert hier den Zustand der Photonen und ist sofort erkennbar. 

Empfehlung des BSI

Das BSI sieht QKD als Ergänzung, weist aber auf hohe Kosten, fehlende Standards und komplexe Implementierungen hin. Empfehlung: QKD nur hybrid einsetzen und zunächst Erfahrungen in Pilotprojekten und Testnetzen sammeln. 

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Gemeinsam mit dem Fraunhofer HHI und der Telekom demonstrierte die Bundesdruckerei, wie QKD im realen Einsatz funktioniert. Über ein 125 Kilometer langes Berliner Glasfasernetzwerk5 konnten sensible Daten – in diesem Fall Ausweisdaten – sicher ausgetauscht werden.  

Zusammen mit Forschenden der University of Waterloo6 analysierte die Bundesdruckerei ebenfalls bestehende QKD-Protokolle und deren mathematische Sicherheitsbeweise. Ziel war es dabei, Lücken aufzudecken und Grundlagen für eine spätere Zertifizierung von Protokollen und Geräten zu schaffen.  

7. Erforschung weiterer quantensicherer Kryptoverfahren

Definition und Einsatz

Weltweit laufen Programme zu Quantentechnologien mit Fokus auf praxisnaher IT-Sicherheit. Ziel ist es, neue Verfahren und Plattformen für Unternehmen und Behörden nutzbar zu machen. 

Empfehlung des BSI

Das BSI fordert, robuste Implementierungen und Protokolle zu standardisieren – insbesondere bei QKD –, und betont die Bedeutung algorithmischer Innovationen sowie Fortschritten beim Bau von Quantencomputern. 

Piktogramm mit einer Zielscheibe

Lösung der Bundesdruckerei-Gruppe

Mit einer Reihe von Forschungsprojekten trägt die Bundesdruckerei-Gruppe aktiv dazu bei, Forschungsergebnisse in praxistaugliche Anwendungen zu überführen. 

Die im Forschungsprojekt PlanQK entstandene Plattform führte Quanten-Know-how zusammen und erleichterte den Zugang zu quantengestützten KI-Anwendungen. Anwendende erhielten neben fachlicher Unterstützung auch Zugang zu Quantenrechnerkapazitäten und speziellen Algorithmen.  

Das Projekt Qu-Gov erforschte und testete Quantentechnologien in Hinblick auf Anwendungen im Behördenumfeld. Die dabei erarbeiteten und evaluierten Proofs of Concept beziehungsweise Proofs of Value befassten sich mit Themen wie Quantensicherheit und quantenbezogener Datensouveränität.  

Im Forschungsprojekt AMiQuaSy untersucht genua mit weiteren Partnern, wie die Sicherheitsverfahren heutiger IT-Systeme bei Quantencomputer-Angriffen schnell angepasst werden können. Die Migration auf quantenresistente Verfahren und Mechanismen wird dabei im Kontext der sicheren Software-Entwicklung betrachtet. Untersuchungsgegenstand ist eine quantensichere Entwicklungsplattform für die Code-Arbeit und Software-Auslieferung. 

Europas Quantenstrategie bis 2030

Die EU will Europa bis 2030 zum Spitzenreiter im Quantenbereich machen. „Quantum Europe“ soll ein souveränes Quantenökosystem schaffen, Start-ups fördern, Forschung in Anwendungen überführen und neue Jobs schaffen. Schwerpunkte sind Forschung, Infrastrukturen, Ökosysteme, Weltraum- und Dual-Use-Technologien sowie Quantenkompetenzen. Geplant sind eine Pilotanlage für ein Quanteninternet, Quantenchip-Linien und ab 2026 eine Europäische Akademie für Quantenkompetenzen. Bis 2040 könnte der Markt auf 155 Milliarden Euro wachsen und tausende Arbeitsplätze schaffen.

Ausblick – Quantenresistenz braucht Kryptoagilität 

Quantenresistenz ist keine Zukunftsmusik, sondern aktuelle Herausforderung. Organisationen müssen hybride Verfahren einführen und Standards frühzeitig adaptieren. 

Der Schlüsselbegriff lautet Kryptoagilität: Systeme müssen so gestaltet sein, dass kryptografische Verfahren austauschbar bleiben. Nur so lassen sich neue Standards implementieren und veraltete Algorithmen ersetzen – sei es wegen Quantencomputern oder aufgrund klassischer Angriffe. 

Kryptoagilität sollte deshalb heute schon Designkriterium jeder neuen Anwendung sein.