Warum klassische Public-Key-Kryptografie strukturell ausläuft

Das BSI zieht eine klare Linie: Ab Ende 2031 soll der alleinige Einsatz klassischer Schlüsseleinigungsverfahren wie RSA und ECC nicht mehr empfohlen werden. Für Anwendungen mit sehr hohem Schutzbedarf gilt die Frist bereits bis Ende 2030. Digitale Signaturen sollen spätestens ab 2036 hybrid umgesetzt werden. Die TR-02102 wird damit faktisch zum Migrationsfahrplan für Post-Quanten-Kryptografie (PQC).

Diese Entscheidung ist keine Vorsichtsübung. Sie ist eine technische Notwendigkeit.

Warum RSA und ECC strukturell verwundbar sind

RSA basiert auf der Schwierigkeit der Primfaktorzerlegung großer Integer. ECC beruht auf dem diskreten Logarithmusproblem in elliptischen Kurven. Beide Probleme sind auf klassischen Rechnern mit subexponentiellen bzw. exponentiellen Algorithmen nur mit erheblichem Aufwand lösbar. Mit hinreichend skalierbaren Quantencomputern ändert sich diese Annahme fundamental.

Shor’s Algorithmus löst sowohl das Faktorisierungsproblem als auch das diskrete Logarithmusproblem in polynomialer Zeit. Das bedeutet: Sobald ein kryptografisch relevanter Quantencomputer verfügbar ist, fallen RSA-2048, RSA-3072 sowie gängige ECC-Kurven wie secp256r1 oder Curve25519 prinzipiell.

Das Risiko ist nicht hypothetisch, sondern systemisch:

1. Harvest-now-decrypt-later: Angreifer können heute verschlüsselten Traffic aufzeichnen und archivieren. Sobald geeignete Quantenressourcen verfügbar sind, lässt sich dieser rückwirkend entschlüsseln. Langzeitvertraulichkeit – etwa im Gesundheitswesen oder bei staatlichen Daten – ist damit bereits heute betroffen.
2. Forward Secrecy bricht unter Quantenannahmen: Auch wenn TLS mit ECDHE Perfect Forward Secrecy bietet, ist diese Sicherheit nur so stark wie das zugrunde liegende diskrete Logarithmusproblem. Mit Shor wird auch ephemerer Schlüsselaustausch rekonstruierbar.
3. Signatur-Infrastrukturen werden angreifbar: RSA- und ECDSA-basierte Root-CAs, Code-Signing-Zertifikate oder Firmware-Signaturen sind langfristig kompromittierbar. Ein quantenfähiger Angreifer kann private Schlüssel rekonstruieren und beliebige Zertifikatsketten oder Updates fälschen.
4. Skalierungsgrenzen klassischer Schlüsselverlängerung: Eine Erhöhung der RSA-Schlüssellänge auf 4096 Bit oder mehr erhöht zwar die Sicherheit gegen klassische Angriffe, bietet aber keinerlei Schutz gegen Quantenangriffe. Gleichzeitig steigen Rechenaufwand, Latenz und Energieverbrauch signifikant.
5. Implementierungsrisiken bei ECC: Viele ECC-Implementierungen sind anfällig für Seitenkanalattacken, fehlerhafte Kurvenparameter oder Timing-Leaks. Die geringe Fehlertoleranz bei Kurvenvalidierung kann zu vollständigem Schlüsselverlust führen. Diese Risiken bleiben auch ohne Quantenangreifer bestehen.

Warum das BSI hybride Verfahren fordert

Die TR-02102 empfiehlt explizit hybride Schlüsseleinigungsverfahren: Kombination aus klassischem Verfahren (z. B. ECDHE) und PQC-Mechanismus (z. B. ML-KEM, vormals Kyber). Beide Geheimnisse werden kombiniert, etwa per KDF. Sicherheit besteht, solange mindestens eine Komponente sicher bleibt.

Das adressiert zwei Unsicherheiten:

– Quantencomputer sind noch nicht praktisch einsatzfähig. – PQC-Algorithmen sind neu und weniger lang erprobt.

Hybride Verfahren reduzieren das Migrationsrisiko. Ein reiner Ersatz von RSA/ECC durch PQC wird vom BSI derzeit nicht gefordert.

Konkrete Auswirkungen auf Protokolle und Infrastrukturen

TLS 1.2 unterstützt keine standardisierten hybriden Key-Exchange-Mechanismen. Die faktische Abkündigung ist daher folgerichtig. TLS 1.3 mit hybriden KEM-Erweiterungen wird zur technischen Mindestanforderung.

Betroffen sind:

– Webserver und Reverse Proxies – VPN-Gateways (IPsec/IKEv2) – SSH-Infrastrukturen – PKI-Backends und HSMs – IoT-Geräte mit langfristiger Updatepflicht

Insbesondere Embedded-Systeme mit beschränktem Speicher stehen vor realen Herausforderungen: PQC-Verfahren wie ML-KEM oder ML-DSA benötigen größere Schlüssel und Signaturen als ECC. Das wirkt sich auf Protokoll-Overhead, Handshake-Größe und Speicherlayout aus.

Technische Handlungsempfehlungen

1. Krypto-Inventory erstellen Erfassen, wo RSA und ECC konkret eingesetzt werden: TLS-Termination, interne mTLS-Verbindungen, Code-Signing, Firmware, VPN, Smartcards. Ohne vollständige Transparenz ist keine Migration steuerbar.
2. Crypto-Agility sicherstellen Architekturen müssen Algorithmen austauschbar machen. Harte Codierungen von Kurven oder Signaturalgorithmen sind zu eliminieren. Abstraktionsschichten für KEM und Signaturen sind Pflicht.
3. TLS 1.3 konsequent ausrollen TLS 1.2-Deprecation planen. Testweise hybride KEM-Implementierungen evaluieren. Performance-Messungen unter Last durchführen.
4. PKI-Strategie anpassen Root- und Intermediate-CAs müssen langfristig quantenresistent werden. Übergangsszenarien für hybride Zertifikate vorbereiten. Zertifikatslaufzeiten verkürzen, um Reaktionsfähigkeit zu erhöhen.
5. Langzeitvertraulichkeit priorisieren Daten mit Schutzbedarf >10 Jahre sollten frühzeitig mit quantensicheren Verfahren geschützt oder zusätzlich PQC-gesichert werden.
6. Hardware-Fähigkeiten prüfen HSMs, Smartcards und TPMs müssen PQC-Algorithmen unterstützen oder upgradefähig sein. Andernfalls entsteht ein struktureller Engpass.
7. Testumgebungen aufbauen Interoperabilität zwischen verschiedenen PQC-Stacks prüfen. Fehler in KEM-Integration können zu subtilen Sicherheitslücken führen.

Strategische Einordnung

Die Entscheidung des BSI ist Teil eines europäischen Kurses. Die EU-Kommission arbeitet an einem unionsweiten Migrationszeitplan. Die technische Richtlinie hat Empfehlungscharakter, entfaltet aber über Referenzen – etwa im Gesundheitswesen – faktische Normwirkung.

Das Zeitfenster bis 2030/2031 ist kein Komfortpuffer. Es ist die letzte Phase, in der Migration planbar ist, bevor regulatorischer Druck und Marktdynamik sie erzwingen.

RSA und ECC verschwinden nicht abrupt. Aber ihre alleinige Verwendung wird regulatorisch isoliert. Wer jetzt nicht mit der Umstellung beginnt, wird später unter Zeitdruck migrieren – mit höherem Risiko, höheren Kosten und größerer Angriffsfläche.

Die Quantenbedrohung ist kein Science-Fiction-Szenario. Sie ist ein Planungsparameter.