====== 5.1 PQ-Sicherheit für Entwickler ======

[[.:business:sicherheit:was-ist-pq|Post-Quantum-Kryptographie]] im Data Gateway.

===== Architektur =====

<code>
[Client + PQ-Zertifikat]
        ↓ TLS 1.3 (ML-KEM)
[Proxy :443]
        ↓ Named Pipe
[Data Gateway API]
        ↓
[Datenbank]
</code>

===== Zero Trust Modell =====

  * Kein implizites Vertrauen
  * Jedes Zertifikat wird validiert
  * Server entscheidet über Vertrauenswürdigkeit
  * Nur "von uns ausgegebene" Zertifikate akzeptiert

===== Zertifikat-Hierarchie =====

^ Typ ^ Zweck ^ Gültigkeit ^
| Root-CA | Vertrauensanker | 10+ Jahre |
| Intermediate-CA | Signierung | 2-5 Jahre |
| Client-Zertifikat | Authentifizierung | 1 Jahr |
| [[.:entwickler:sicherheit:ephemere-zertifikate|Ephemeres Zertifikat]] | Session-Schlüssel | Minuten |

===== Weiterführend =====

  * [[.:entwickler:sicherheit:zertifikate|Zertifikat-Authentifizierung]]
  * [[.:entwickler:sicherheit:ephemere-zertifikate|Ephemere Zertifikate]]
  * [[.:entwickler:sicherheit:tls-konfiguration|TLS 1.3 Konfiguration]]
  * [[.:business:sicherheit:nist-standards|NIST PQC Standards]]