Sie befinden sich hier: start » de » Interne Dokumentation » WvdS Krypto-Biblithek » 1. Konzepte

Inhaltsverzeichnis

1. Konzepte

Grundlegende Konzepte der Post-Quantum-Kryptographie und dieser Bibliothek.

Inhalt

Thema Beschreibung
1.1 Algorithmen ML-DSA, ML-KEM, NIST-Standards
1.2 Sicherheit Bedrohungsmodell, Harvest-Now-Decrypt-Later
1.3 Vergleich mit .NET 10 Warum WvdS statt Microsoft PQC?

Warum Post-Quantum?

Das Problem: Klassische Kryptographie (RSA, ECDSA) kann von Quantencomputern gebrochen werden. Daten, die heute abgefangen werden, könnten in Zukunft entschlüsselt werden.

Die Lösung: Post-Quantum-Algorithmen (ML-DSA, ML-KEM) sind resistent gegen Quantenangriffe. Sie sind von NIST standardisiert1) und in OpenSSL 3.6+ implementiert.

Unser Ansatz: Hybride Kryptographie – klassische und PQ-Algorithmen parallel. Rückwärtskompatibel, zukunftssicher.

Scope der Bibliothek

WvdS.System.Security.Cryptography.Extensions fokussiert auf asymmetrische Post-Quantum-Kryptographie:

In Scope (WvdS) Out of Scope (.NET Built-in)
ML-DSA Signaturen AES-GCM Verschlüsselung
ML-KEM Schlüsselaustausch ChaCha20-Poly1305
Hybride Zertifikate Symmetrische Verschlüsselung
X.509 PQ-Erweiterungen Hash-Funktionen (SHA-256/384/512)

Faustregel: Verwenden Sie WvdS nur für asymmetrische Operationen (Signaturen, Schlüsselaustausch, Zertifikate). Für symmetrische Verschlüsselung nutzen Sie die .NET Standard-Bibliothek direkt.

Die drei Krypto-Modi

Modus Algorithmen Kompatibilität Einsatz
Classic RSA, ECDSA, ECDH Universell Legacy-Systeme
Hybrid RSA + ML-DSA, ECDH + ML-KEM Vorwärts/Rückwärts Migration (empfohlen)
PostQuantum ML-DSA, ML-KEM Nur PQ-fähig Neue PQ-only Systeme

flowchart TD START(["🔐 Welchen Modus wählen?"]) --> Q1{"Alle Systeme
PQ-fähig?"} Q1 -->|Ja| Q2{"Rückwärts-
kompatibilität
nötig?"} Q1 -->|Nein| Q3{"OpenSSL 3.6
verfügbar?"} Q2 -->|Nein| PQ["🚀 PostQuantum
ML-DSA / ML-KEM"] Q2 -->|Ja| HYB["⚡ Hybrid
RSA+ML-DSA / ECDH+ML-KEM"] Q3 -->|Ja| HYB Q3 -->|Nein| CLS["🏛️ Classic
RSA / ECDSA / ECDH"] style PQ fill:#4caf50,color:#fff style HYB fill:#2196f3,color:#fff style CLS fill:#ff9800,color:#fff style START fill:#9c27b0,color:#fff

Classic-Modus

CryptoConfig.DefaultMode = CryptoMode.Classic;

Nur klassische Algorithmen. Für Legacy-Kompatibilität oder Systeme ohne OpenSSL 3.6.

Hybrid-Modus (empfohlen)

CryptoConfig.DefaultMode = CryptoMode.Hybrid;

Beide Algorithmen parallel. Legacy-Clients ignorieren PQ-Extension, moderne validieren beide.

PostQuantum-Modus

CryptoConfig.DefaultMode = CryptoMode.PostQuantum;

Nur verwenden wenn alle beteiligten Systeme PQ-fähig sind!

Per-Operation überschreiben

// Global: Hybrid
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Diese Operation: PostQuantum
var cert = request.CreateSelfSigned(notBefore, notAfter, CryptoMode.PostQuantum);

Algorithmen-Übersicht

→ Ausführlich: Algorithmen

Signaturen (ML-DSA):

  • Ersetzt RSA/ECDSA für digitale Signaturen
  • NIST FIPS 2042)

Schlüsselaustausch (ML-KEM):

  • Ersetzt ECDH für Schlüsselvereinbarung
  • NIST FIPS 2033)

Weiterführend

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, ,
1)
NIST PQC: https://csrc.nist.gov/projects/post-quantum-cryptography
2)
NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final
3)
NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final
Zuletzt geändert: den 29.01.2026 um 15:12

Seiten-Werkzeuge