Glossar

Symmetrisches Verfahren, das Vertraulichkeit, Integrität und optionale Authentifizierung von Zusatzdaten (AAD) in einem Schritt liefert. Beispiele: AES-GCM, ChaCha20-Poly1305. Standard für moderne Transportsicherheit.

Verfahren mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel. Grundlage von RSA, ECDSA und allen PQC-Verfahren. Wird durch Quantencomputer für klassische Instanzen gebrochen.

Asymmetrisches Verfahren, mit dem der Inhaber eines privaten Schlüssels die Herkunft und Integrität einer Nachricht beweisen kann. In PQC: ML-DSA, SLH-DSA, Falcon.

Eigenschaft eines Schlüsselaustauschprotokolls: Ein späterer Kompromittierung des Langzeitschlüssels erlaubt es nicht, früher aufgezeichnete Sitzungen zu entschlüsseln. Voraussetzung für wirksamen Schutz gegen Harvest-Now-Decrypt-Later.

Deterministische Funktion, die Eingaben beliebiger Länge auf eine feste Ausgabelänge abbildet (z. B. SHA-256, SHA-3). Muss kollisionsresistent sein. Basis für HMAC, Signaturen und hash-basierte PQ-Signaturen.

Manipulationsgeschütztes Gerät, das private Schlüssel erzeugt, speichert und operativ einsetzt, ohne sie preiszugeben. In PQC-Migrationen kritisch: Der HSM-Lieferant muss die neuen Verfahren (ML-KEM, ML-DSA etc.) in Firmware unterstützen.

Verfahren, um aus einem gemeinsamen Geheimnis mehrere Schlüssel ableitbarer Länge zu erzeugen. Standard: HKDF (RFC 5869). Unverändert nach PQC, da Hash-basiert.

Verfahren, das ein gemeinsames Geheimnis erzeugt und zusammen mit einer Kapselung überträgt. Klare Sicherheitsdefinition gegenüber klassischem "Public-Key-Verschlüsseln eines Zufallsschlüssels". Heute Standardform für Schlüsselaustausch — alle PQ-Verfahren (ML-KEM, HQC, FrodoKEM) sind KEMs.

Symmetrisches Integritätsverfahren. Häufig HMAC (RFC 2104) oder KMAC. Unverändert nach PQC.

Organisatorisch-technische Infrastruktur zur Ausgabe und Verwaltung digitaler Zertifikate. Zentrale Herausforderung der PQC-Migration: bestehende CAs, Zwischenzertifikate und Endzertifikate müssen auf PQ-Signaturen oder Composite Certificates umgestellt werden.

Verfahren mit identischem Schlüssel bei Sender und Empfänger (z. B. AES). Durch Grovers Algorithmus nur halbiert angreifbar — AES-256 bleibt auch in der Post-Quanten-Welt sicher.

Standardformat zur Bindung eines öffentlichen Schlüssels an eine Identität, signiert von einer CA. Basis für TLS, S/MIME, Code-Signing. PQ-Varianten werden aktuell in der IETF (LAMPS) spezifiziert.

Symmetrische Blockchiffre mit Schlüssellängen 128/192/256 Bit. AES-128 ist durch Grover auf ~64 Bit effektive Sicherheit reduziert → Empfehlung AES-256 in der Post-Quanten-Welt.

Klassisches Verfahren zum Schlüsselaustausch auf Basis des diskreten Logarithmus. Durch Shors Algorithmus vollständig gebrochen.

DH auf elliptischen Kurven (z. B. Curve25519 → X25519, P-256). Effizienter als klassisches DH, aber ebenfalls durch Shor gebrochen. In Hybrid-KEMs mit PQ-Teil kombiniert (z. B. X25519MLKEM768).

Signaturverfahren auf elliptischen Kurven (NIST FIPS 186). Durch Shor gebrochen. Ersatz: ML-DSA (FIPS 204) oder SLH-DSA (FIPS 205).

Klassisches asymmetrisches Verfahren, Sicherheit beruht auf der Schwierigkeit der Faktorisierung großer Zahlen. Durch Shors Algorithmus in polynomieller Zeit gebrochen, sobald ein ausreichend großer Quantencomputer existiert.

Familien kryptographischer Hash-Funktionen (FIPS 180-4 / FIPS 202). Durch Grover nur leicht geschwächt → SHA-256 und SHA3-256 bleiben für die meisten Anwendungen sicher; für höchste Langzeitsicherheit SHA-384/512 oder SHA3-384/512.

Code-basiertes KEM, aus der NIST-PQC-Runde 4. Eignung als konservatives Backup zu ML-KEM. Noch nicht endstandardisiert.

Code-basiertes KEM, basierend auf binären Goppa-Codes. Älteste PQ-Konstruktion (McEliece 1978), konservativ, aber mit sehr großen öffentlichen Schlüsseln (~1 MB). ISO-Standardisierung läuft.

Ursprünglicher Name des Signaturverfahrens, das als ML-DSA in FIPS 204 standardisiert wurde.

Ursprünglicher Name des KEM, das als ML-KEM in FIPS 203 standardisiert wurde. Literatur vor 2024 verwendet meist noch den alten Namen.

Gitter-basiertes Signaturverfahren, aus dem NIST-Prozess ausgewählt. Bietet sehr kompakte Signaturen, aber komplexere Implementierung (Fließkomma-Arithmetik). Standardisierung als FIPS 206 in Arbeit.

KEM auf unstrukturiertem LWE. Verzichtet bewusst auf algebraische Struktur (Module-/Ring-Variante) zugunsten konservativer Sicherheitsannahmen — langsamer und größer als ML-KEM, dafür "algebra-arm". ISO/IEC 18033-8 standardisiert.

Familie, deren Sicherheit auf der Schwierigkeit von Problemen in hochdimensionalen Gittern beruht (LWE, SIS). Enthält die NIST-Gewinner ML-KEM, ML-DSA und Falcon — derzeit dominant.

Signaturfamilie, deren Sicherheit ausschließlich auf der Kollisions- und Preimage-Resistenz von Hash-Funktionen beruht — unabhängig von zahlentheoretischen Annahmen. Umfasst XMSS, LMS (stateful) und SLH-DSA (stateless).

Code-basiertes KEM, von NIST im März 2025 als viertes KEM zur Standardisierung ausgewählt (Backup/Diversifikation zu ML-KEM). Basiert auf nicht-lattice-basierten Annahmen.

Verfahren auf Basis von Morphismen zwischen elliptischen Kurven. Ursprünglich Kandidat SIKE wurde 2022 klassisch gebrochen. Als Familie noch Gegenstand der Forschung (z. B. CSIDH, SQIsign).

Stateful hash-basiertes Signaturverfahren, RFC 8554. Kleine Signaturen, aber Zustandsführung notwendig: Wiederverwendung eines OTS-Schlüssels bricht das Verfahren sofort. Empfohlen für Firmware-Signaturen mit kontrollierten Signier-Umgebungen.

Siehe Classic McEliece.

Signaturverfahren auf Basis von Modul-Gittern, standardisiert August 2024 (Ursprung: CRYSTALS-Dilithium). Parameter: ML-DSA-44, -65, -87 (entsprechen NIST-Sicherheitsniveaus 2, 3, 5). Empfohlener Standardersatz für ECDSA.

KEM auf Basis von Modul-Gittern (Module-LWE), standardisiert August 2024 (Ursprung: CRYSTALS-Kyber). Parameter: ML-KEM-512, -768, -1024. Empfohlener Standardersatz für ECDH/DH — in TLS 1.3-Hybrid-KEX meist X25519MLKEM768.

Familie auf Basis der Schwierigkeit, Systeme multivariater Polynome zu lösen. Einige Kandidaten im NIST-Prozess (GeMSS, Rainbow) wurden gebrochen. Aktuell v. a. für Signaturen mit kompakten öffentlichen Schlüsseln Gegenstand der Forschung.

Historisch bedeutsames gitter-basiertes Verfahren (1996), Vorläufer moderner Konstruktionen. Nicht von NIST standardisiert, aber Basis für Falcon-Parameter.

Sammelbegriff für kryptographische Verfahren, die auch gegenüber einem leistungsfähigen Quantencomputer sicher sind — d. h. nicht durch Shors Algorithmus gebrochen werden. Grundlage sind andere mathematische Probleme (Gitter, Codes, Hashes, Isogenien, multivariate Polynome).

Stateless hash-basiertes Signaturverfahren, standardisiert August 2024 (Ursprung: SPHINCS+). 12 Parametervarianten (SHA-2 / SHAKE × 128/192/256 × s/f). Konservative Backup-Wahl neben ML-DSA: Sicherheit ruht nur auf Hash-Annahmen.

Ursprünglicher Name des Verfahrens, das als SLH-DSA in FIPS 205 standardisiert wurde.

Stateful hash-basiertes Signaturverfahren, RFC 8391. Wie LMS zustandsbehaftet. Empfohlen u. a. in BSI TR-02102-1 für langfristige Firmware- oder Software-Signaturen.

Von Regev 2005 eingeführtes Gitterproblem: "Finde s, gegeben viele Paare (a, ⟨a,s⟩+e)". Reduziert sich auf worst-case Gitterprobleme — Grundlage der meisten modernen PQ-KEMs.

Strukturierte Variante von LWE mit Modul-Gittern über Polynomringen. Basis von ML-KEM und ML-DSA. Bietet guten Kompromiss aus Effizienz und konservativer Sicherheitsbeweis.

Strukturierte Variante von LWE über Polynomringen. Effizienter als Module-LWE, aber mit engerer mathematischer Struktur — Sicherheitsmargen gelten als knapper.

Schwesterproblem zu LWE: Finde einen kurzen Vektor z, der Σ a_i z_i ≡ 0 mod q erfüllt. Grundlage gitter-basierter Signaturverfahren.

Jährlich aktualisierte Empfehlung des BSI zu kryptographischen Verfahren und Schlüssellängen. Kapitel 5.4 führt seit 2023 explizit PQ-Verfahren (XMSS, LMS, ML-KEM, ML-DSA) auf und gibt Migrationshinweise für Legacy-Systeme.

Teil 2 der BSI-Richtlinie, spezifisch für TLS-Konfigurationen. Enthält Empfehlungen zu PQ-Hybrid-KEX-Verfahren in TLS 1.3.

NSA-Vorgabe (2022, überarbeitet 2024) für US-Regierungsbehörden. Schreibt Migration auf ML-KEM-1024, ML-DSA-87, LMS bzw. XMSS (hash-basierte Firmware-Signaturen) bis 2033 vor.

Europäische technische Spezifikation zu Quantum-Safe Hybrid Key Exchange. Definiert standardisierte Kombinatoren für klassische + PQ-KEMs.

US Federal Information Processing Standard für das Modul-Gitter-KEM (siehe ML-KEM). Final: August 2024.

FIPS-Standard für das Modul-Gitter-Signaturverfahren (siehe ML-DSA). Final: August 2024.

FIPS-Standard für das stateless hash-basierte Signaturverfahren (siehe SLH-DSA). Final: August 2024.

"Next steps in preparing for post-quantum cryptography" (März 2025). Meilensteinplan des britischen National Cyber Security Centre: Inventur bis 2028, Migration prioritärer Systeme bis 2031, vollständige Umstellung bis 2035.

Mehrjähriger öffentlicher Auswahlprozess seit 2016. Runde 1-4 plus "Additional Signatures On-Ramp". Ergebnis (Stand 2026): FIPS 203-205 standardisiert, FIPS 206 (Falcon) in Arbeit, HQC als viertes KEM ausgewählt.

Special Publication zu stateful hash-basierten Signaturverfahren. Erlaubt den Einsatz von XMSS und LMS für Regierungsanwendungen bereits vor Abschluss der FIPS-205-Standardisierung.

NIST-Begriff für einen Quantencomputer, der groß und zuverlässig genug ist, klassische Public-Key-Kryptographie praktisch zu brechen (Größenordnung: wenige tausend logische Qubits für RSA-2048). Zeitpunkt ungewiss — aktuelle Schätzungen reichen von 2030 bis nach 2040.

Quantenalgorithmus (Lov Grover, 1996) zur Durchsuchung eines unstrukturierten Raums mit O(√N)-Speedup. Reduziert effektive Sicherheit symmetrischer Verfahren um den Faktor 2 — AES-128 fällt auf 64 Bit. Gegenmaßnahme: AES-256 statt AES-128.

Angriffsmuster: Verschlüsselter Datenverkehr wird heute aufgezeichnet und gespeichert, um nach Verfügbarkeit eines CRQC entschlüsselt zu werden. Gefährdet alle langfristig vertraulichen Daten bereits jetzt — treibende Motivation für zügige PQ-Migration.

Faustregel von Michele Mosca: Wenn X + Y > Z, dann handeln Sie jetzt. X = Zeitraum, über den Ihre Daten geheim bleiben müssen. Y = Zeit, die Ihre Migration in Anspruch nimmt. Z = Zeit bis zum CRQC. Wenn die Summe größer als Z ist, kommt die Migration zu spät.

Umgangssprachlich: der Tag, an dem ein CRQC existiert und öffentlich bekannt ist. Metapher für den Punkt, ab dem klassische Public-Key-Kryptographie praktisch unbrauchbar wird.

Quantenalgorithmus (Peter Shor, 1994), der Faktorisierung und diskrete Logarithmen in polynomieller Zeit löst. Bricht RSA, DH, ECDH, ECDSA vollständig. Zentrale Bedrohung, gegen die PQC entwickelt wurde.

X.509-Zertifikat mit zwei parallelen Signaturen (klassisch + PQ) oder einer kombinierten Signatur. Erlaubt sowohl alten als auch neuen Verifiziern, das Zertifikat zu prüfen — Brücke während der Übergangsphase. IETF LAMPS-Entwurf.

Kombinierter Schlüsselaustausch aus klassischem (z. B. X25519) und PQ-Verfahren (z. B. ML-KEM-768). Sicher, sobald mindestens eines der Verfahren sicher ist. Pragmatischer Ansatz während der Übergangsphase.

Architekturprinzip: Kryptographische Verfahren werden so abstrahiert, dass sie ohne Umbau der Gesamtarchitektur ausgetauscht werden können. Voraussetzung, um die nächste Migration (PQC → PQC+1) nicht wieder zum Großprojekt werden zu lassen.

IETF-Standard (2023) für mehrere aufeinanderfolgende Schlüsselaustausche in IKEv2 — Grundlage für hybride PQ-Absicherung von IPsec-VPNs.

Hybrid-Schlüsselaustausch in OpenSSH 9.0+: kombiniert Streamlined NTRU Prime 761 mit X25519. Ab OpenSSH 9.9 (2024) ist Hybrid standardmäßig aktiv. Transportsicherheit für SSH bereits PQ-tauglich.

Hybrid-KEX in TLS 1.3 (draft-ietf-tls-hybrid-design → in Kürze RFC). Kombination aus X25519 (klassisch) und ML-KEM-768. Bereits in Chromium/Firefox und Cloudflare/Google produktiv — damit ist PQ-TLS breit ausgerollt.

Indistinguishability under Adaptive Chosen-Ciphertext Attack — stärkster Standardsicherheitsbegriff für Public-Key-Verfahren. Alle NIST-PQC-Gewinner werden gegen IND-CCA2-Angreifer bewiesen sicher; praktische Angriffe können die Implementierung dennoch schwächen (z. B. via PCO).

Angriff durch gezieltes Einbringen von Fehlern (Spannungs-Glitches, Laser, Taktmanipulation), um fehlerhafte Zwischenergebnisse zu erzeugen und daraus Schlüsselmaterial zu extrahieren. Besonders relevant für HSMs, Smartcards und eingebettete Systeme.

Angreifermodell, in dem der Angreifer zu einer (möglicherweise manipulierten) Chiffratentschlüsselung erfährt, ob das Ergebnis einen bestimmten Klartext ergibt. In der Literatur wiederholt gegen maskierte ML-KEM-Implementierungen erfolgreich eingesetzt — Mahnung, dass Maskierung allein nicht reicht.

Angriff, der nicht mathematische Schwächen, sondern physische Nebenerscheinungen der Implementierung ausnutzt: Timing, Leistungsaufnahme, elektromagnetische Abstrahlung, Cache-Verhalten. Für PQ-Implementierungen genauso kritisch wie für klassische.

Konkrete Form des Seitenkanalangriffs: Die Laufzeit der Implementierung hängt vom geheimen Schlüssel ab. Konstant-zeitige Implementierung ist Standard-Gegenmaßnahme und wird von FIPS 140-3 gefordert.