Wann werden Quantencomputer RSA durchbrechen?

Beste Schätzungen: 10–25 Jahre für einen Angriff auf 2048-Bit-RSA. Die Hardware ist noch nicht nah dran, aber die Flugbahn ist real. Die ehrliche Antwort ist Unsicherheit; Eine Planung für zehn Jahre ist sinnvoll, da die jetzt verschlüsselten Daten auch dann noch wertvoll sein könnten.

Verwendet mein Browser bereits Post-Quantum-Krypto?

Wenn es sich um Chrome, Edge, Firefox oder Safari mit aktuellen Updates handelt, teilweise ja – die Verbindung zu PQ-fähigen Servern erfolgt über einen hybriden Schlüsselaustausch. Die Serverakzeptanz ist ungleichmäßig. Google, Cloudflare und große CDNs bieten PQ-Hybrid-TLS an, während kleinere Websites dies meist noch nicht tun.

Sollte ich heute Kyber und Dilithium verwenden?

Wenn Sie als Entwickler neue Systeme entwickeln, ja – verwenden Sie nach Möglichkeit Hybride. Wenn Sie ein Benutzer etablierter Produkte sind, findet der Übergang unter Ihnen statt. Ersetzen Sie funktionierende klassische Krypto nicht durch reines PQ; Verwenden Sie beide in Hybridkonfigurationen.

Was ist der Unterschied zwischen QKD und PQC?

QKD nutzt Quantenphysik für den Schlüsselaustausch und erfordert spezielle Hardware und dedizierte Verbindungen. PQC verwendet klassische Algorithmen, die Quantenangriffen widerstehen; Es läuft auf der vorhandenen Infrastruktur. PQC wird weithin eingesetzt; QKD ist eine Nischenlösung für bestimmte physische Hochsicherheitsverbindungen.

Ist Post-Quanten-Krypto definitiv sicher?

Gilt aufgrund harter Probleme (Gitterprobleme, Codeprobleme, Hash-Eigenschaften) als sicher. Weniger kampferprobt als RSA/ECC, da sie neuer sind. Es gab kryptanalytische Fortschritte gegenüber gitterbasierten Verfahren (und führte dazu, dass Algorithmen während des NIST-Wettbewerbs zurückgezogen wurden). Hybridmodi bieten eine Absicherung gegen zukünftige Ausfälle.

Quantenkryptographie erklärt: Post-Quantum-Algorithmen und was „Jetzt ernten, später entschlüsseln“ bedeutet

Quantencomputer können – wenn sie ausreichend groß sind – RSA, ECC und Diffie-Hellman in polynomieller Zeit durchbrechen. Die Hardware ist noch nicht im erforderlichen Umfang vorhanden, aber die Rechnung steht fest: Jedes Public-Key-System, auf dem das moderne Internet läuft, ist angreifbar. Die Antwort ist Post-Quanten-Kryptographie, und der Übergang ist bereits im Gange.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Quantenkryptographie ist der Bereich der Kryptographie, der sich mit Bedrohungen durch Quantencomputer und den zu ihrer Abwehr entwickelten Algorithmen befasst. Die Kategorie umfasst zwei unterschiedliche Dinge, die oft miteinander verwechselt werden: Quantenschlüsselverteilung (QKD), das die Quantenmechanik direkt für den Schlüsselaustausch nutzt; und Post-Quantenkryptographie (PQC), das klassische Algorithmen verwendet, von denen angenommen wird, dass sie Quantenangriffen widerstehen. PQC wird eingesetzt; QKD bleibt eine Nische.

Die Bedrohung: Shors Algorithmus

Der Algorithmus von Peter Shor aus dem Jahr 1994 zeigt, dass ein ausreichend großer Quantencomputer große ganze Zahlen in polynomieller Zeit faktorisieren kann. Die Konsequenz: RSA, das von der Faktorisierungsschwierigkeit abhängt, ist gebrochen. Der gleiche Algorithmus berechnet auch diskrete Logarithmen in Gruppen elliptischer Kurven, sodass auch ECC (ECDSA, ECDH, Ed25519, X25519) fehlerhaft ist. Unsere gesamte aktuelle Public-Key-Kryptographie basiert auf diesen beiden schwierigen Problemen.

Wie groß ist ein Quantencomputer? Schätzungen der benötigten Ressourcen zur Faktorisierung von 2048-Bit-RSA: etwa 4.000 logische Qubits und 10^9 Quantengatter, aufrechterhalten für etwa 8 Stunden. Aktuelle Geräte verfügen über mehr als 1.000 physical-Qubits, aber nach der Fehlerkorrektur nur sehr wenige logische Qubits; Das Erreichen des kryptografisch relevanten Maßstabs wird allgemein auf 10–25 Jahre geschätzt.

XPLZ16 AES-128 wird effektiv 64-Bit-sicher (unbequem), AES-256 wird 128-Bit-sicher (immer noch stark). Hash-Funktionen sind ebenfalls betroffen: Die Kollisionsresistenz von SHA-256 sinkt von 128 auf etwa 85 Bit, die Preimage-Resistenz von 256 auf 128. Symmetrische Krypto ist nicht kaputt; Es muss nur größer dimensioniert werden.

XPLZ22 Die Bedrohung ist für alle Daten real, die so lange wertvoll bleiben – diplomatische Telegramme, Geheimdienste, Krankenakten, Rechtsdokumente, geistiges Eigentum. Daten, die im Jahr 2026 verschlüsselt werden, müssen quantenresistent sein, wenn sie im Jahr 2040 vertraulich bleiben sollen.

NISTs PQC-Standardisierung

NIST führte einen mehrjährigen offenen Wettbewerb (2016–2024) zur Standardisierung von Post-Quanten-Algorithmen durch. Die Gewinner 2024:

ML-KEM (CRYSTALS-Kyber) für Schlüsselkapselung – ersetzt ECDH/RSA-KEM
ML-DSA (CRYSTALS-Dilithium) für Signaturen – ersetzt ECDSA/RSA
SLH-DSA (SPHINCS+) Hash-basierte Signaturen – Backup für ML-DSA für den Fall, dass die Lattice-Kryptoanalyse Fortschritte macht
FN-DSA (Falcon) kompakte Signaturen für eingeschränkte Umgebungen

Die ersten drei wurden im August 2024 als FIPS 203, 204, 205 standardisiert. Falcon steht noch aus.

Die Bereitstellung findet statt

Große reale Bereitstellungen von 2025–2026:

TLS-Hybrid-Handshakes – Chrome, Firefox, Cloudflare, Google und andere stellen X25519+Kyber-Hybride bereit. Beide Algorithmen laufen; Die Verbindung ist sicher, wenn einer von beiden ununterbrochen bleibt.
XPLZ62 2023.
SSH – OpenSSH 9.x unterstützt einen Streamlined NTRU Prime Hybrid für den Schlüsselaustausch.
VPNs – WireGuard mit einem Kyber-Wrapper existiert; Kommerzielle VPNs beginnen, PQ-Optionen zu bewerben.

Die Kompromisse

Post-Quanten-Algorithmen sind nicht kostenlos:

Schlüsselgrößen sind größer. Öffentliche Kyber-Schlüssel sind ~1,5 KB im Vergleich zu 32 Byte für X25519. Dilithium-Signaturen sind etwa 2,5 KB groß, im Vergleich zu 64 Byte für Ed25519. Bandbreite und Speicherkosten spielen bei der Größenordnung eine Rolle.
Einige Algorithmen sind langsamer auf bestimmter Hardware, insbesondere auf eingeschränkten Geräten. ML-KEM ist vergleichbar mit ECDH; ML-DSA ist langsamer als Ed25519.
Lattice-Kryptographie ist neuer und weniger kampferprobt. Hash-basierte Signaturen (SPHINCS+) sind ein konservativerer Fallback auf Kosten viel größerer Signaturen.

Quantenschlüsselverteilung: das andere Ding

XPLZ15 Der Haken: Es erfordert spezielle Hardware (Einzelphotonenquellen/-detektoren), Punkt-zu-Punkt-Fasern oder Sichtlinien sowie vertrauenswürdige Zwischenknoten für Entfernungen über einige hundert Kilometer. Nischenbereitstellungen gibt es in Banken und Regierungsnetzwerken, aber QKD lässt sich nicht auf Anwendungsfälle im Internet-Stil skalieren.
NIST und die meisten Kryptographen haben ausdrücklich PQC gegenüber QKD für den allgemeinen Gebrauch empfohlen. Der Hype um QKD hat die Technik oft überholt.
Was das für Sie bedeutet
Für einzelne Benutzer ist der Post-Quanten-Übergang größtenteils unsichtbar. Browser, Betriebssysteme und Messaging-Apps führen hybride Algorithmen transparent ein. Die Daten, die heute mit Hybridalgorithmen verschlüsselt werden, werden auch dann sicher sein, wenn Quantencomputer eintreffen. Die Ausnahme: Wenn Sie langfristig vertrauliche Daten (Geheimdienste, Krankenakten, Finanzakten) verarbeiten und Ihre Software immer noch ausschließlich klassisches ECDH/RSA verwendet, ist das jetzt der Aufmerksamkeit wert, nicht in 10 Jahren.

Häufig gestellte Fragen

Wann werden Quantencomputer RSA durchbrechen?: Beste Schätzungen: 10–25 Jahre für einen Angriff auf 2048-Bit-RSA. Die Hardware ist noch nicht nah dran, aber die Flugbahn ist real. Die ehrliche Antwort ist Unsicherheit; Eine Planung für zehn Jahre ist sinnvoll, da die jetzt verschlüsselten Daten auch dann noch wertvoll sein könnten.
Verwendet mein Browser bereits Post-Quantum-Krypto?: Wenn es sich um Chrome, Edge, Firefox oder Safari mit aktuellen Updates handelt, teilweise ja – die Verbindung zu PQ-fähigen Servern erfolgt über einen hybriden Schlüsselaustausch. Die Serverakzeptanz ist ungleichmäßig. Google, Cloudflare und große CDNs bieten PQ-Hybrid-TLS an, während kleinere Websites dies meist noch nicht tun.
Sollte ich heute Kyber und Dilithium verwenden?: Wenn Sie als Entwickler neue Systeme entwickeln, ja – verwenden Sie nach Möglichkeit Hybride. Wenn Sie ein Benutzer etablierter Produkte sind, findet der Übergang unter Ihnen statt. Ersetzen Sie funktionierende klassische Krypto nicht durch reines PQ; Verwenden Sie beide in Hybridkonfigurationen.
Was ist der Unterschied zwischen QKD und PQC?: QKD nutzt Quantenphysik für den Schlüsselaustausch und erfordert spezielle Hardware und dedizierte Verbindungen. PQC verwendet klassische Algorithmen, die Quantenangriffen widerstehen; Es läuft auf der vorhandenen Infrastruktur. PQC wird weithin eingesetzt; QKD ist eine Nischenlösung für bestimmte physische Hochsicherheitsverbindungen.
Ist Post-Quanten-Krypto definitiv sicher?: Gilt aufgrund harter Probleme (Gitterprobleme, Codeprobleme, Hash-Eigenschaften) als sicher. Weniger kampferprobt als RSA/ECC, da sie neuer sind. Es gab kryptanalytische Fortschritte gegenüber gitterbasierten Verfahren (und führte dazu, dass Algorithmen während des NIST-Wettbewerbs zurückgezogen wurden). Hybridmodi bieten eine Absicherung gegen zukünftige Ausfälle.