Die Schlüsseleinigung legt fest, wie zwei Parteien einen geheimen Schlüssel vereinbaren, um Informationen anschließend mit einem symmetrischen Verschlüsselungsverfahren zu schützen. Diese Verfahren basieren dabei auf mathematischen Problemen, die auch für Quantencomputer schwer zu brechen sind – etwa Gitter- oder Code-basierte Verfahren.  

Als quantenresistente Schlüsseleinigungsverfahren nennt das BSI in der TR-02102-Richtlinie explizit folgende Methoden:  

• FrodoKEM
• ML-KEM
• Classic McEliece  

FrodoKEM nutzt das Lernen mit Fehlern in Gitterstrukturen, wobei ein geheimer Schlüssel aus einem komplexen Gitterproblem abgeleitet wird. ML-KEM nutzt dies in ähnlicher Weise, aber in strukturierten Gittern. Classical McEliece basiert auf der Schwierigkeit, zufällig kodierte lineare Fehlerkorrektur-Codes zu knacken, wodurch ein geheimer Schlüssel sicher übertragen werden kann. 

Für robuste Sicherheit rät das BSI zur hybriden Implementierung: Dabei werden klassischer und quantensicherer Schlüsselaustausch kombiniert – das Ergebnis ist ein gemeinsames Geheimnis (der Schlüssel) zum Entschlüsseln entsprechend geschützter Kommunikation. 

Die Bundesdruckerei-Tochter genua entwickelte gemeinsam mit der TU Darmstadt das hashbasierte Signaturverfahren XMSS. Dieses Verfahren kommt bereits bei den Software-Updates von genua zum Einsatz. Dadurch wird die Echtheit der Updates sichergestellt, denn jegliche Manipulation lässt sich sofort erkennen. Mittlerweile wurde XMSS auch von anderen Standardisierungsorganisationen übernommen, wie z. B. ISO/IEC oder dem amerikanischen NIST. 

Digitale Signaturen sichern die Authentizität von Daten. Hashbasierte Signaturen nutzen dabei sogenannte Hashfunktionen, um eine Art „Fingerabdruck“ von Daten zu erzeugen. Damit sind sie resistent gegen Angriffe von Quantencomputern und eignen sich besonders für Firmware- und Software-Updates mit langen Lebenszyklen. 

Das BSI empfiehlt für hashbasierte Signaturen die Verfahren XMSS (eXtended Merkle Signature Scheme) und LMS (Leighton-Micali Signature Scheme). Beide sind international standardisiert und praxiserprobt. 

Die Bundesdruckerei hat im Forschungsprojekt „Quantensichere VPN-Module und -Operationsmodi” – kurz QuaSiModO – eine Lösung für quantensichere Schlüsseleinigung entwickelt. Im Rahmen des Projekts QuaSiModO wurden quantenresistente Schlüsselaustauschverfahren für IPsec und MACsec entwickelt, die in VPN-Standards integriert werden können.  
Die Ergebnisse des Forschungsprojekts finden in einem Produkt der Bundesdruckerei-Tochter genua GmbH Anwendung: genuscreen 8.4 ist eine Firewall- und VPN-Appliance, die einen hybriden Schlüsselaustauschmechanismus integriert, der klassische und quantenresistente Verfahren kombiniert. Sie wurde vom BSI für die Kommunikation mit sensiblen Daten bis zum Geheimhaltungsgrad VS-NfD zugelassen.  

Digitale Signaturen prüfen zweifelsfrei die Identität des Urhebers. Grundlage sind digitale Zertifikate, ausgestellt von einer Public Key Infrastructure (PKI). 

Das BSI empfiehlt, PQK-Algorithmen, wie ML-DSA und SLH-DSA, in hybrider Weise mit klassischen Signaturen zu kombinieren, um die Robustheit gegenüber Angriffen durch Quantencomputer zu erhöhen.  

Die D-Trust GmbH, ein Teil der Bundesdruckerei-Gruppe, entwickelte im Projekt FLOQI gemeinsam mit ihren Partnern eine neue Generation der Public Key Infrastructure (PKI), die Angriffen durch Quantencomputer widerstehen soll. Dabei geht es darum, die Kryptoagilität von Systemen oder Produktionsanlagen mit hohen Lebenszeiten zu erhöhen – Verschlüsselungsalgorithmen also agil zu gestalten. Das bedeutet, dass sie schnell und während des Betriebs integrier- oder austauschbar sind. 

Hybride Kryptografie verbindet klassische Verfahren mit PQK-Algorithmen. Auf diese Weise wird die Robustheit der neuen PQK erhöht und zugleich der Schutz vor künftigen Angriffen sichergestellt. 

Das BSI empfiehlt ausdrücklich hybride Verfahren – insbesondere bei Schlüsseleinigung und Signaturen. Damit lässt sich die Sicherheit erhöhen, ohne bestehende Systeme zu gefährden. 

Die Bundesdruckerei-Gruppe entwickelt eine Vielzahl hybrider Konzepte, die klassische Verfahren mit quantensicheren Algorithmen kombiniert. Diese Lösungen werden aktuell als Prototypen und Demonstratoren getestet – etwa für digitale Identitäten, Public Key Infrastructures für die Verwaltung (siehe Abschnitt Public Key Infrastructure) oder quantensichere Kommunikationsinfrastrukturen. 

Ausstellen, Verwalten und Prüfen digitaler Zertifikate: Das sind die Aufgaben einer PKI. Sie ist damit unverzichtbar für die sichere Authentifizierung und Verschlüsselung in verschiedenen Anwendungsfällen, beispielsweise im Gesundheits- oder Finanzsektor. 

Basierend auf den allgemeinen Empfehlungen für quantensichere Signaturverfahren vom BSI eignen sich für langlebige Wurzelzertifikate (CA-Zertifikate) zum Beispiel hashbasierte Signaturen. Für kurzlebigere Endnutzerzertifikate bieten sich hybride Zertifikate etwa aus einer Kombination von ML-DSA und ECDSA an. Da eine entsprechende Migration komplex ist, sollte der Umstieg früh geplant werden.  

Im Testbetrieb befindet sich aktuell der Prototyp einer quantensicheren PKI für Behörden. Im Fokus steht dabei die Frage, welche Kombination von hybriden und nicht hybriden Mechanismen sich für Zertifikate am besten eignet und wie eine entsprechende Migration gelingen kann. Die Testinfrastruktur wird von verschiedenen Partnern – wie den Mitgliedern der Bundesquantenallianz – bereits genutzt. 

D-Trust hat mit Partnern im Rahmen des FLOQI-Projekts (Full-Lifecycle-Post-Quantum-PKI) zudem eine neue Art der PKI entwickelt, die resistent gegen Angriffe von Quantencomputern ist. 

QKD nutzt physikalische Effekte der Quantenmechanik. Dabei werden kryptografische Schlüssel mithilfe von Quanteneffekten übertragen. Jeder Abhörversuch verändert hier den Zustand der Photonen und ist sofort erkennbar. 

Das BSI sieht QKD als Ergänzung, weist aber auf hohe Kosten, fehlende Standards und komplexe Implementierungen hin. Empfehlung: QKD nur hybrid einsetzen und zunächst Erfahrungen in Pilotprojekten und Testnetzen sammeln. 

Gemeinsam mit dem Fraunhofer HHI und der Telekom demonstrierte die Bundesdruckerei, wie QKD im realen Einsatz funktioniert. Über ein 125 Kilometer langes Berliner Glasfasernetzwerk konnten sensible Daten – in diesem Fall Ausweisdaten – sicher ausgetauscht werden.  

Zusammen mit Forschenden der University of Waterloo analysierte die Bundesdruckerei ebenfalls bestehende QKD-Protokolle und deren mathematische Sicherheitsbeweise. Ziel war es dabei, Lücken aufzudecken und Grundlagen für eine spätere Zertifizierung von Protokollen und Geräten zu schaffen.  

Weltweit laufen Programme zu Quantentechnologien mit Fokus auf praxisnaher IT-Sicherheit. Ziel ist es, neue Verfahren und Plattformen für Unternehmen und Behörden nutzbar zu machen. 

Das BSI fordert, robuste Implementierungen und Protokolle zu standardisieren – insbesondere bei QKD –, und betont die Bedeutung algorithmischer Innovationen sowie Fortschritten beim Bau von Quantencomputern. 

Mit einer Reihe von Forschungsprojekten trägt die Bundesdruckerei-Gruppe aktiv dazu bei, Forschungsergebnisse in praxistaugliche Anwendungen zu überführen.