====== 1. Konzepte ======
Grundlegende Konzepte der Post-Quantum-Kryptographie und dieser Bibliothek.
----
===== Inhalt =====
^ Thema ^ Beschreibung ^
| [[.:algorithmen|1.1 Algorithmen]] | ML-DSA, ML-KEM, NIST-Standards |
| [[.:sicherheit|1.2 Sicherheit]] | Bedrohungsmodell, Harvest-Now-Decrypt-Later |
| [[.:vergleich-dotnet10|1.3 Vergleich mit .NET 10]] | Warum WvdS statt Microsoft PQC? |
----
===== Warum Post-Quantum? =====
**Das Problem:** Klassische Kryptographie (RSA, ECDSA) kann von Quantencomputern gebrochen werden. Daten, die heute abgefangen werden, könnten in Zukunft entschlüsselt werden.
**Die Lösung:** Post-Quantum-Algorithmen (ML-DSA, ML-KEM) sind resistent gegen Quantenangriffe. Sie sind von NIST standardisiert((NIST PQC: https://csrc.nist.gov/projects/post-quantum-cryptography)) und in OpenSSL 3.6+ implementiert.
**Unser Ansatz:** Hybride Kryptographie – klassische und PQ-Algorithmen parallel. Rückwärtskompatibel, zukunftssicher.
----
===== Scope der Bibliothek =====
WvdS.System.Security.Cryptography.Extensions fokussiert auf **asymmetrische Post-Quantum-Kryptographie**:
^ In Scope (WvdS) ^ Out of Scope (.NET Built-in) ^
| ML-DSA Signaturen | AES-GCM Verschlüsselung |
| ML-KEM Schlüsselaustausch | ChaCha20-Poly1305 |
| Hybride Zertifikate | Symmetrische Verschlüsselung |
| X.509 PQ-Erweiterungen | Hash-Funktionen (SHA-256/384/512) |
**Faustregel:** Verwenden Sie WvdS nur für asymmetrische Operationen (Signaturen, Schlüsselaustausch, Zertifikate). Für symmetrische Verschlüsselung nutzen Sie die .NET Standard-Bibliothek direkt.
----
===== Die drei Krypto-Modi =====
^ Modus ^ Algorithmen ^ Kompatibilität ^ Einsatz ^
| Classic | RSA, ECDSA, ECDH | Universell | Legacy-Systeme |
| **Hybrid** | RSA + ML-DSA, ECDH + ML-KEM | Vorwärts/Rückwärts | Migration (empfohlen) |
| PostQuantum | ML-DSA, ML-KEM | Nur PQ-fähig | Neue PQ-only Systeme |
flowchart TD
START(["🔐 Welchen Modus wählen?"]) --> Q1{"Alle Systeme
PQ-fähig?"}
Q1 -->|Ja| Q2{"Rückwärts-
kompatibilität
nötig?"}
Q1 -->|Nein| Q3{"OpenSSL 3.6
verfügbar?"}
Q2 -->|Nein| PQ["🚀 PostQuantum
ML-DSA / ML-KEM"]
Q2 -->|Ja| HYB["⚡ Hybrid
RSA+ML-DSA / ECDH+ML-KEM"]
Q3 -->|Ja| HYB
Q3 -->|Nein| CLS["🏛️ Classic
RSA / ECDSA / ECDH"]
style PQ fill:#4caf50,color:#fff
style HYB fill:#2196f3,color:#fff
style CLS fill:#ff9800,color:#fff
style START fill:#9c27b0,color:#fff
==== Classic-Modus ====
CryptoConfig.DefaultMode = CryptoMode.Classic;
Nur klassische Algorithmen. Für Legacy-Kompatibilität oder Systeme ohne OpenSSL 3.6.
==== Hybrid-Modus (empfohlen) ====
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
Beide Algorithmen parallel. Legacy-Clients ignorieren PQ-Extension, moderne validieren beide.
==== PostQuantum-Modus ====
CryptoConfig.DefaultMode = CryptoMode.PostQuantum;
Nur verwenden wenn **alle** beteiligten Systeme PQ-fähig sind!
==== Per-Operation überschreiben ====
// Global: Hybrid
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
// Diese Operation: PostQuantum
var cert = request.CreateSelfSigned(notBefore, notAfter, CryptoMode.PostQuantum);
----
===== Algorithmen-Übersicht =====
→ Ausführlich: [[.:algorithmen|Algorithmen]]
**Signaturen (ML-DSA):**
* Ersetzt RSA/ECDSA für digitale Signaturen
* NIST FIPS 204((NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final))
**Schlüsselaustausch (ML-KEM):**
* Ersetzt ECDH für Schlüsselvereinbarung
* NIST FIPS 203((NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final))
----
===== Weiterführend =====
* [[de:int:pqcrypt:developer:start|Entwickler]] – Technische Integration
* [[de:int:pqcrypt:business:start|Business]] – Compliance, Strategie
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//
{{tag>konzepte pq-crypto grundlagen}}