Sie befinden sich hier: start » de » Interne Dokumentation » WvdS Krypto-Biblithek » 1. Konzepte » 1.2 Sicherheit

Inhaltsverzeichnis

1.2 Sicherheit

Bedrohungsmodell und Sicherheitsaspekte der Post-Quantum-Kryptographie.

Die Quantenbedrohung

Harvest Now, Decrypt Later (HNDL)

Das Szenario:

  1. Angreifer fängt heute verschlüsselte Daten ab
  2. Speichert sie für Jahre/Jahrzehnte
  3. Entschlüsselt sie mit zukünftigem Quantencomputer

Betroffene Algorithmen:

  • RSA (alle Schlüssellängen)
  • ECDSA / ECDH (alle Kurven)
  • DSA

Zeitrahmen:

  • Schätzungen: 10-20 Jahre bis kryptografisch relevante Quantencomputer
  • BSI1): Migration bis 2030 empfohlen

Warum Hybrid?

Hybride Kryptographie bietet:

  • Rückwärtskompatibilität: Legacy-Systeme können klassische Signatur validieren
  • Zukunftssicherheit: PQ-Signatur schützt gegen Quantenangriffe
  • Sicherheitsmarge: Sicher wenn mindestens ein Algorithmus sicher ist
Hybrid-Zertifikat:
├── RSA-4096 Signatur (klassisch)
└── ML-DSA-65 Signatur (PQ, in X.509-Extension)

Validierung:
├── Legacy-Client: Prüft nur RSA ✓
└── Moderner Client: Prüft RSA + ML-DSA ✓✓

Best Practices

Für Entwickler

  • CryptoMode.Hybrid als Standard verwenden
  • Beide Signaturen validieren wenn möglich
  • Private Schlüssel nie hardcoden
  • using-Statements für Krypto-Objekte
  • OpenSSL-Pfad einmal am Start setzen

Für Administratoren

  • OpenSSL 3.6+ aktuell halten
  • PQ-Schlüsselspeicher sichern (%LOCALAPPDATA%\WvdS.Crypto\PqKeys\)
  • Zertifikatserneuerung vor Ablauf planen
  • Monitoring für Validierungsfehler einrichten

Für Unternehmen

  • Migration jetzt planen (nicht wenn Quantencomputer verfügbar)
  • Langzeit-Daten priorisieren (Verträge, Gesundheitsdaten, Staatsgeheimnisse)
  • Hybrid-Zertifikate für alle neuen Systeme

Bekannte Einschränkungen

Einschränkung Beschreibung Workaround
Windows Store Keine nativen PQ-Schlüssel Side-Store wird verwendet
Argon2id OpenSSL 3.6 experimentell Fallback auf PBKDF2
Custom OIDs Noch nicht IANA-registriert Wird bei Standardisierung aktualisiert
WASM Performance 10-100x langsamer als nativ Für interaktive Nutzung geeignet

Sicherheitshinweise

DLL-Sideloading-Risiko: Stellen Sie sicher, dass OpenSSL-DLLs aus vertrauenswürdiger Quelle stammen und der Pfad korrekt konfiguriert ist.

PQ-Schlüssel-Backup: Der PQ-Schlüsselspeicher ist nicht im Windows Certificate Store Backup enthalten. Separates Backup erforderlich!

Weiterführend

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , ,
1)
BSI: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html
Zuletzt geändert: den 29.01.2026 um 15:12

Seiten-Werkzeuge