Quantencomputer sind für viele eine Technologie der Zukunft. Sie liegen damit nicht falsch. Noch befindet sich die Entwicklung der Quantencomputer in der Forschungsphase. Es gibt keine realen Anwendungen. Es müssen noch viele Probleme gelöst werden, bis Quantencomputer für den praktischen Einsatz zur Verfügung stehen.
Doch bereits jetzt hat die Entwicklung Einfluss auf unsere vorhandene IT. Mit Quantencomputern können Probleme gelöst werden, die heute nur sehr aufwendig oder überhaupt nicht mit herkömmlichen Computern bearbeitet werden können. Dies gilt sowohl in positiver Hinsicht, zum Beispiel bei der Entwicklung von Medikamenten, als auch in negativer, beim Knacken von Verschlüsselung. Das ist der Punkt, den wir bereits jetzt berücksichtigen müssen. Auch wenn noch keine Quantencomputer die derzeitige Verschlüsselung knacken kann, müssen wir uns bereits auf die Zeit vorbereiten, wo dies soweit sein wird. Wir müssen bereits jetzt auf die Zeit hinarbeiten, in der Quantencomputer zur Verfügung stehen.
Aber warum können Quantencomputer die Verschlüsselung knacken und was können wir heute bereits dagegen tun?
Table of Contents
- Was sind Quantencomputer?
- Auf was basiert unsere Verschlüsselung?
- Wie können Quantencomputer die Verschlüsselung knacken?
- Warum ist das jetzt wichtig, wenn es doch noch keine Quantencomputer gibt?
- Was ist Post Quantum Kryptographie (PQC)?
- Gitterbasierte Kryptographie
- Hashbasierte Signaturen
- Codebasierte Verfahren
- Welche Standards gibt es?
- Kann ich jetzt schon auf Post Quantum Kryptographie umsteigen?
- Geht auch beides?
- Was gibt es zu beachten?
- Wie gehe ich am besten vor?
- Gibt es gesetzliche Anforderungen?
- Wie weit ist Java beim Support für PQC?
- Ausblick
Was sind Quantencomputer?
Quantencomputer unterscheiden sich grundsätzlich von herkömmlichen Computern.
Unsere derzeit eingesetzten Computer arbeiten mit Bits. Ein Bit kann entweder den Wert 0 oder 1 haben. Diese Werte werden als Strom aus bzw. Strom an realisiert. Durch logische Operatoren werden Bits verarbeitet und das Ergebnis wiederum als Bit gespeichert. Quantencomputer basieren hingegen auf sogenannten QBits. Ein QBit kann den Wert 0 oder 1 gleichzeitig und alle anderen Werte dazwischen haben. QBits basieren auf dem Verhalten von Quanten im subatomaren Bereich. Operationen werden durch das Verschränken von QBits realisiert.
Man kann sich das Verhalten von QBits mit einer Münze veranschaulichen. Die Münze zeigt entweder Kopf und Zahl an. Sie kann ich aber auch in der Luft befinden und drehen, dann zeigt sie alle Werte gleichzeitig an.
Die Realisierung von QBits ist aufwendig. Die Effekte lassen sich nur bei sehr niedrigen Temperaturen nahe dem absoluten Nullpunkt von ca. -273 Grad Celsius umsetzen. Auch reagieren QBits sehr empfindlich auf äußere Einflüsse. Um diese Fehler zu kompensieren, werden oft mehrere physikalische QBits zu einem logischen QBit zusammengefasst. All dies führt dazu, dass derzeit existierende Quantencomputer eine sehr beschränkte Anzahl von (logischen) QBits besitzen.
Google konnte im Jahr 2019 einen Rechner mit 53 Qbits realisieren. IBM stellte im Jahr 2001 einen Rechner mit 70 Qbits vor. Es gibt Schätzungen, dass im Jahr 2030 Rechner mit ca. 100 bis 1 Millionen QBits zur Verfügung stehen. Die Diskrepanz zwischen den Zahlen deutet schon darauf hin, dass die Entwicklung in diesem Bereich alles andere als offensichtlich und geradlinig ist.
Auf was basiert unsere Verschlüsselung?
Unsere derzeit eingesetzte Verschlüsselung basiert auf mathematischen Problemen, für die es keine einfache Lösung gibt. Lösungen können nur mit erheblicher Rechenleistung gefunden werden.
Im Prinzip gilt es, zwischen zwei verschiedenen Verschlüsselungen zu unterscheiden: symmetrischer und asymmetrischer Verschlüsselung. Bei der symmetrischen Verschlüsselung nutzen Sender und Empfänger den gleichen Schlüssel. Beispiele für symmetrische Verfahren sind z. B. AES oder DSA. Vorteil der symmetrischen Verschlüsselung ist, dass sie sehr effektiv in Hardware umgesetzt werden kann. Bei der asymmetrischen Verschlüsselung gibt es zwei Schlüssel, einen für den Sender und einen für den Empfänger. Ein Beispiel für asymmetrische Verschlüsselung ist RSA. Die verschiedenen Verfahren werden zu sogenannten Kryptosystemen kombiniert und kommen bei der Verschlüsselung oder Signierung von Daten zum Einsatz.
RSA basiert auf dem mathematischen Problem der Primfaktorzerlegung. Es gibt kein mathematisches Verfahren, mit dem man sehr einfach die Primfaktoren einer Zahl ermitteln kann. Je größer die Zahl ist, umso umfangreicher wird die Ermittlung via Brute-Force. Es gibt Möglichkeiten, die Anzahl der Rechenschritte zu reduzieren, die Anzahl der notwendigen Berechnungen ist aber immer noch immens hoch. Moderne Kryptographie basiert oft auf dem Konzept der elliptischen Kurven. Diesem Konzept liegt ein Problem bei konkreten Logarithmen zugrunde. Beide mathematischen Probleme lassen sich nicht durch einen einfachen Algorithmus, sondern nur durch grobes Ausprobieren lösen.
Wie können Quantencomputer die Verschlüsselung knacken?
Quantencomputer arbeiten nicht mit 0 oder 1, sondern mit allen Werten gleichzeitig. Dadurch können sie wesentlich schneller alle möglichen Werte durchprobieren. Damit reduziert sich die Zeit zum Knacken eines Schlüssels von Wochen oder Monaten auf wenige Minuten oder Stunden.
Bereits im Jahr 1994 entwickelte Peter Shor einen Algorithmus, mit dem die asymmetrische Verschlüsselung mit Hilfe von Quantencomputern noch effektiver geknackt werden kann. Eine Abwandlung des Shor-Algorithmus kann auch zum Brechen von elliptischen Kurven genutzt werden. Somit sind beide Verfahren nach der Verfügbarkeit von Quantencomputern mit einer ausreichend großen Anzahl von QBits als geknackt zu betrachten.
Es gibt unterschiedliche Schätzungen für die benötigte Anzahl an QBits. Es gibt eine Schätzung, dass für einen RSA-Schlüssel mit 2048 Bits ca. 4.000 fehlerkorrigierte / logische QBits benötigt werden. Hierfür würde ein Quantencomputer mit mehreren Millionen physikalischen QBits benötigt werden. Aus dem Jahr 2019 gibt es eine Schätzung, dass mit 20 Millionen QBits ein 2018 Bit RSA-Schlüssel in 8 Stunden geknackt werden kann. Herkömmliche Computer benötigten dafür mehrere Jahre.
Warum ist das jetzt wichtig, wenn es doch noch keine Quantencomputer gibt?
Viele stellen sich jetzt sicherlich die Frage, warum man sich schon jetzt mit einem Problem herumschlagen sollte, wenn Quantencomputer mit der entsprechenden Anzahl an QBits noch nicht verfügbar sind und vermutlich – wenn überhaupt – erst in ferner Zukunft zur Verfügung stehen. Die Antwort ist einfach. Es besteht bereits jetzt die Möglichkeit, verschlüsselte Daten zu speichern und diese dann zu entschlüsseln, wenn entsprechende Computer zur Verfügung stehen. Dieses Vorgehen wird auch als Harvest Now, Decrypt Later bezeichnet.
Interessant ist dieses Vorgehen für besonders kritische Informationen, die auch nach Jahren noch relevant sind. Solche Daten kommen z. B. im Gesundheitswesen vor. Die dort gespeicherten Daten sind oft auch noch in 10 Jahren oder später relevant und müssen auch dann noch geschützt sein. Auch Unternehmen verlassen sich darauf, dass Informationen noch in Jahrzehnten geschützt sind.
Daher ist es wichtig, bereits jetzt – Jahre vor der Verfügbarkeit von entsprechenden Quantencomputern – mit der Absicherung der Verschlüsselung zu beginnen. Durch den Umstieg auf sogenannte Post Quantum Kryptographie können Daten bereits heute so verschlüsselt werden, dass sie später auch mit Quantencomputern nicht geknackt werden können.
Was ist Post Quantum Kryptographie (PQC)?
Mit Post Quantum Kryptographie werden Verschlüsselungsverfahren beschrieben, deren Sicherheit nicht auf mathematischen Problemen beruht, die durch Quantencomputer (schneller) gelöst werden können. Es handelt sich nicht um Verfahren, die Quantencomputer benötigen. Die Algorithmen können mit herkömmlichen Computern ausgeführt werden.
Post Quantum Kryptographie ist die Antwort auf das Problem, dass jetzt verschlüsselte Informationen in Zukunft mit Quantencomputern entschlüsselt werden können. Durch den Einsatz der neuen Verfahren sind die Informationen auch in Zukunft noch sicher.
Es gibt drei Klassen von Methoden, die dem Angriff mittels Quantencomputern standhalten:
Gitterbasierte Kryptographie
Das mathematische Problem bei diesen Verfahren besteht darin, in einem hochdimensionalen Gitter den kürzesten Vektor zwischen zwei Punkten zu finden. Dieses Problem ist auch für Quantencomputer nur mit hohem Aufwand lösbar. Kyber ist ein Schlüsselaustauchverfahren, das auf diesem Prinzip beruht.
Hashbasierte Signaturen
Diese Verfahren kommen bereits jetzt zum Einsatz. SHA-256 ist ein Beispiel für so ein Hash-Verfahren. Soweit die (symmetrischen) Schlüssel groß genug sind, gelten Hashes als relativ resistent gegen Quantenangriffe. Ein Beispiel für dieses Verfahren ist Sphincs+. Die damit erstellten Signaturen sind allerdings recht groß und benötigen einen hohen Rechenaufwand.Diese Verfahren kommen bereits jetzt zum Einsatz. SHA-256 ist ein Beispiel für so ein Hash-Verfahren. Soweit die (symmetrischen) Schlüssel groß genug sind, gelten Hashes als relativ resistent gegen Quantenangriffe. Ein Beispiel für dieses Verfahren ist Sphincs+. Die damit erstellten Signaturen sind allerdings recht groß und benötigen einen hohen Rechenaufwand.
Codebasierte Verfahren
Bei diesen Verfahren wird die Theorie der fehlerkorrigierenden Codes verwendet. Derartige Verfahren gibt es bereits seit 1987. Bis heute wurde keine erfolgreiche Kryptoanalyse durch Quantenalgorithmen durchgeführt. Der Nachteil dieser Verfahren sind die großen Schlüssel, die mehrere KBytes groß sein können.
Welche Standards gibt es?
Kryptologen arbeiten nicht erst seit kurzem an neuen Verfahren. Seit dem Jahr 2016 arbeitet das NIST (National Institute of Standards and Technology) an einer Standardisierung von Post Quantum Algorithmen. Im August 2024 wurden nach einem längerem Auswahlverfahren 3 PQC-Standards veröffentlicht.
FIPS 203 / ML-KEM ist ein Standard zum Austausch von Schlüsseln (key encapsulation mechanism). Das gitterbasierte Verfahren dient als Ersatz für RSA / ECDH.
FIPS 204 / ML-DSA ist ein Standard für die Erstellung von digitalen Signaturen. Das gitterbasierte Verfahren wurde wie auch ML-KEM durch das CRYSTALS Team erstellt.
FIPS 205 / SLH-DSA ist ebenfalls ein Standard für die Erstellung von digitalen Signaturen. Es handelt sich dabei um ein Hash-basiertes Verfahren auf Basis von Sphincs+.
Kann ich jetzt schon auf Post Quantum Kryptographie umsteigen?
Nach der Veröffentlichung der neuen Standardverfahren im August 2024 wurde mit der Implementierung begonnen. Inzwischen stehen bereits viele dieser Implementierungen zur Verfügung und können in der Praxis eingesetzt werden.
Die ersten Unternehmen setzen PQC in der Praxis ein. In einem Report vom September 2025 ist zu sehen, dass maßgeblich Cloudflare und Amazon den Einsatz von PQC vorantreiben.
Voraussetzung für den Einsatz von PQC ist TLS in der Version 1.3. Ältere Versionen unterstützen keine PQC-Cyphers. Viele Browser unterstützen bereits PQC und fordern entsprechende Verfahren beim Handshake an. Der Server muss dies aber unterstützen. Ist dies nicht der Fall, wird im Handshake ein herkömmliches Verfahren ausgehandelt.
Der Einsatz von PQC in der Praxis hängt von der Verfügbarkeit der neuen Verfahren in der eingesetzten Software ab. Hier wird sich in der nächsten Zeit viel tun. Immer mehr grundlegende Bibliotheken implementieren PQC. Zu berücksichtigen ist auch, dass auch das System zur Erstellung von Zertifikaten die Ausstellung von PQC-Zertifikaten unterstützen muss.
Geht auch beides?
Die vorhandenen Algorithmen und Cybers werden in absehbarer Zeit nicht von PQC ersetzt werden. Es wird weiterhin notwendig sein, neben PQC auch noch die alten Verfahren zu unterstützen. Dieser hybride Betrieb ist von Anfang an vorgesehen.
Systeme bieten hierbei sowohl die alten als auch die neuen Verfahren an. Können sich die Kommunikationspartner beim Verbindungsaufbau nicht auf ein PQC-Verfahren einigen, fällt die Kommunikation auf die herkömmlichen Verfahren zurück. Dadurch ist eine Rückwärtskompatibilität gewährleistet.
Was gibt es zu beachten?
Bei der Einführung von PQC sind einige Dinge zu beachten.
Zum einen müssen alle beteiligten Systeme grundsätzlich PQC Algorithmen unterstützten. Ist diese Voraussetzung erfüllt müssen die Systeme mit dazu passendem Schüsselmaterial ausgerüstet werden. Schlüssel für PQC Verfahren sind dabei durchweg größer als herkömmliche Schlüssel. Gerade auf Systemen mit beschränkten Ressourcen (Speicher) kann es hier zu Engpässen geben. Aber auch die Kommunikation über das Netzwerk wird umfangreicher. Ist ein Schlüssel für ECDS z.B. 64 Bytes große wird er für ML-DSA 1312 Bytes große sein. Auch die Signaturen werden größer z.B. von 64 Bytes für ECDSA-P256 auf 2420 Bytes für ML-DSA.
PQC Verfahren benötigten meist mehr Rechenleistung als herkömmliche Verfahren. Hinzu kommt, dass PQC Verfahren noch nicht so lange im Einsatz sind und damit evtl. noch nicht so gut optimiert sind wie herkömmliche Verfahren. Auch hier sind Systeme mit beschränkten Ressourcen im Nachteil.
Herkömmliche Verfahren werden seit Jahren auf Schwachstellen untersucht. Kryptolanalytiker beschäftigen sich damit bereits seit Jahrzehnten. Moderne PQC-Verfahren wurden ebenfalls auf Schwachstellen untersucht. Dies erfolgte bereits bei der Auswahl der Verfahren. Allerdings gelten diese Verfahren noch nicht als so ausgereift wie die bisherigen Verfahren. Es ist daher damit zu rechnen, dass Implementierungen in Zukunft häufiger austauschte / erneuert werden müssen.
Hier kommt der Begriff der Kryptoaglität ins Spiel. Dieser Begriff beschreibt, dass der Einsatz von kryptographischen Verfahren anders als bisher erfolgt. Bisher wurde Kryptographie implementiert und teilweise über Jahrzehnte betrieben. Kryptoagiliät beschreibt ein anders Vorgehen. Kryptographie wird Modular aufgebaut. Verfahren können dadurch schnell ersetzt bzw. erneuert werden. Auch werden Prozesse implementiert, um auf Verwundbarkeiten innerhalb kürzester Zeit zu reagieren.
Wie gehe ich am besten vor?
Für die Einführung von PQC wird folgendes Vorgehen empfohlen.
Erstellung eines Kryptoinventars. Es werden alle in einem System / Unternehmen / Rechenzentrum eingesetzten Dienste und Appliances erfasst. Dabei wird der Schwerpunkt auf die eingesetzte Kryptographie, deren Software und Version gelegt. Als Ergebnis gibt das Inventar einen Überblick über die eingesetzten Algorithmen, die Software in Ihren Versionen und den Zeitpunkt der letzten Aktualisierung der Software bzw. des Schlüsselmaterials. Auch die Laufzeiten von Zertifikaten / Schlüsseln werden erfasst.
Auf Grundlage des Inventars wird eine Priorisierung der Systeme vorgenommen. Systeme mit besonders kritischen / wichtigen Daten haben eine höhere Priorität als andere Systeme. Es sollten als erstes die Systeme umgestellt / erweitert werden, deren Daten als erste vor Post Quantum Computern zu schützen sind.
Aufgrund der Priorisierung werden die Systeme weiter untersucht. Welche Systeme können auf PQC umgestellt werden und bei welchen kann dies erst mit einem Update der Software oder gar dem Umstieg auf eine andere Software erfolgen.
Grundsätzlich sollte bei der Beschaffung von neuen Systemen oder dem Update von vorhandenen immer auch auf die Möglichkeit zum Einsatz von PQC geachtet werden. Wird ein System ersetzt, sollte das neue System mit PQC umgehen können.
Die Schnittstellen zu externeren Systemen sind laufend zu analysieren. Können diese Systeme auf PQC umgestellt werden? Wird eine evtl. dort bereits aktivierte PQC verwendet? Auch hier ist bei Updates auf die Aktivierung / den Einsatz von PQC zu achten.
Soweit möglich, sollte die Aktivierung des hybriden Betriebs so bald wie möglich erfolgen.
Gibt es gesetzliche Anforderungen?
Es gibt derzeit keine direkten gesetzlichen Vorschriften zum Einsatz von Post Quantum Kryptographie.
Die EU arbeitet jedoch an einem Plan zum Einsatz von PQC. Nach diesem wird von Unternehmen bis Ende 2026 ein Plan für den Umstieg auf PQC gefordert. Die Umstellung von kritischen Anwendungen soll darin bis Ende 2030 erfolgen. Alle anderen Systeme sollen darin bis Ende 2035 umgestellt werden.
In der NIS-2 Richtlinie wird der Einsatz von state-of-the-art Technologie bei der Verschlüsselung gefordert. Mit den in der EU und ebenfalls vom BSI geforderten Umstellungen lässt sich daraus schließen, dass Unternehmen, die dem NIS-2 unterliegen, PQC einsetzen müssen, um die Anforderungen der Richtlinie zu erfüllen.
Die G7 Cyber Export Group hat zusammen mit der BaFin im Januar 2026 eine Roadmap für den Umstieg der Finanzbranche auf PQC vorgelegt. Dort wird ein verbindliches Vorgehensmodell zur Migration bis 2030 beschrieben.
Wie weit ist Java beim Support für PQC?
Nach der Standardisierung der Post Quantum Kryptographie wurden die entsprechenden Verfahren auch in Java implementiert.
Mit JEP 452 wurde in Java 21 die KEM API zur Verfügung gestellt. Mit dieser API können Security Provider PQC KEMs zur Verfügung stellen.
JEP 510 liefert in Java 25 die KDF API. Diese API bietet Unterstützung für die Nutzung von klassischen und PQC-Schlüsseln in hybriden Schemas.
Mit JEP 524 in Java 26 unterstützt Java direkt das PEM (Datei-)Format für die Nutzung von Zertifikaten und Schlüsseln. Dieses Format wird für die Nutzung von PQC-Zertifikaten benötigt.
JEP 496 und JEP 497 liefern in Java 24 die Implementierung von ML-KEM und ML-DSA. Damit unterstützt Java ab dieser Version die PQC-Kommunikation.
Somit unterstützt Java ab der Version 24 bzw. 25 als LTS Release alle relevanten Standards zur Nutzung von Post Quantum Kryptographie.
Ausblick
Für Java stehen seit März bzw. September 2025 alle relevanten Verfahren zur Implementierung von Post Quantum Kryptographie zur Verfügung. Somit steht dem Umstieg nichts mehr im Wege. Entwickler sollten versuchen, diese neuen Verfahren als bald wie möglich zu nutzen (Client) als auch anzubieten (Server). Durch die parallele Nutzung der bisherigen Verfahren werden Altsysteme weiterhin unterstützt.
Grundsätzlich sollten sich Entwickler und Architekten mit dem Einsatz von PQC beschäftigen und sich das notwendige Grundwissen aneignen. Der Start zur Nutzung ist jetzt, damit wir vor dem Q-Day – der Verfügbarkeit von Post-Quantum-Rechner – keine Angst haben müssen.
