====== 2.1 Compliance ====== Regulatorische Konformität und Standards für Post-Quantum-Kryptographie. ---- ===== NIST-Standards ===== Die Bibliothek implementiert die finalen NIST-Standards für PQ-Kryptographie: ^ Standard ^ Algorithmus ^ Verwendung ^ Status ^ | FIPS 203((NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final)) | ML-KEM | Schlüsselkapselung | Final (2024) | | FIPS 204((NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final)) | ML-DSA | Digitale Signaturen | Final (2024) | Diese Standards sind das Ergebnis des 8-jährigen NIST Post-Quantum Cryptography Standardization Project. ---- ===== Regulatorische Empfehlungen ===== ==== BSI (Deutschland) ==== Das Bundesamt für Sicherheit in der Informationstechnik((BSI PQC: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html)) empfiehlt: * Migration zu PQ-Kryptographie bis 2030 * Hybride Lösungen für Übergangszeitraum * Priorität für langlebige Daten (>10 Jahre Schutzbedarf) ==== ENISA (EU) ==== Die Europäische Agentur für Cybersicherheit((ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)) empfiehlt: * Sofortige Evaluierung von PQ-Lösungen * Krypto-Agilität als Designprinzip * Inventarisierung kryptographischer Assets ---- ===== Branchenspezifische Anforderungen ===== ^ Branche ^ Relevanz ^ Begründung ^ | Finanzwesen | Hoch | Langzeitverpflichtungen, Transaktionsdaten | | Gesundheit | Hoch | Patientendaten, 30+ Jahre Aufbewahrung | | Behörden | Hoch | Staatsgeheimnisse, Infrastruktur | | Industrie | Mittel | Langzeit-Zertifikate, IoT-Geräte | ---- ===== Audit-Unterstützung ===== **Nachweisbare Konformität:** * NIST FIPS 203/204 Algorithmen * OpenSSL 3.6 (FIPS-validierbare Basis) * Hybride Signaturen dokumentiert (X.509-Extension) * Vollständige API-Dokumentation → [[de:int:pqcrypt:api:start|API-Referenz]] **Dokumentation für Audits:** * Algorithmen-Auswahl begründet (NIST-Standard) * Schlüsselmanagement dokumentiert * Migrationspfad nachvollziehbar ---- ===== Weiterführend ===== * [[.:risiko|Risiko]] – Warum jetzt handeln * [[.:migration-roadmap|Strategie & Technologie]] – Umsetzungsplanung * [[de:int:pqcrypt:konzepte:algorithmen|Algorithmen]] – Technische Details ---- //Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional// {{tag>compliance nist fips bsi enisa}}