Post-Quanten-Kryptografie für die Verteidigung: CNSA 2.0 Anforderungen und Übergangszeitplan

Quantencomputer, die Shors Algorithmus im großen Maßstab ausführen könnten, würden die Public-Key-Kryptografie zerstören, auf der praktisch alle aktuellen sicheren Kommunikationen beruhen: RSA, Elliptic Curve Cryptography (ECC) und Diffie-Hellman-Schlüsselaustausch würden unsicher werden. Für Verteidigungssysteme ist dies kein hypothetisches Zukunftsproblem, das irgendwann angegangen werden soll — es ist eine bekannte Bedrohung mit einem glaubwürdigen Zeitplan, der jetzt aktive Vorbereitung erfordert.

Die „Harvest now, decrypt later"-Angriffsstrategie (HNDL) bedeutet, dass Gegner bereits heute verschlüsselte Verteidigungskommunikation sammeln und für die Entschlüsselung speichern, sobald ein ausreichend leistungsfähiger Quantencomputer verfügbar wird. Langlebige klassifizierte Informationen — strategische Pläne, Geheimdienstquellen und -methoden, Fähigkeitsbewertungen — sind besonders gefährdet: Werden sie heute mit Algorithmen verschlüsselt, die bis 2035 gebrochen werden, hat ihre Geheimhaltung ein effektives Verfallsdatum.

Die Quantenbedrohung: Zeitleinenschätzungen

Shors Algorithmus, der 1994 entwickelt wurde, bietet eine polynomielle Methode zur Faktorisierung großer Ganzzahlen — die mathematische Grundlage der RSA-Sicherheit — wenn er auf einem ausreichend großen Quantencomputer ausgeführt wird. Shors Algorithmus löst auch das diskrete Logarithmusproblem, das ECC und Diffie-Hellman zugrunde liegt. Ein Quantencomputer, der groß genug ist, um Shors Algorithmus gegen aktuelle Schlüsselgrößen (2048-Bit RSA, 256-Bit ECC) auszuführen, benötigt Millionen logischer Qubits mit sehr niedrigen Fehlerraten — weit jenseits der aktuellen Hardwaremöglichkeiten.

Die glaubwürdigsten öffentlichen Schätzungen für einen „kryptografisch relevanten Quantencomputer" (CRQC) — einen, der groß genug ist, um die derzeit eingesetzte Public-Key-Kryptografie zu brechen — reichen von 2030 bis 2035, mit erheblicher Unsicherheit in beide Richtungen. NSAs CNSA 2.0-Advisory von 2022 befürwortet keinen spezifischen Zeitplan, verwendet jedoch 2035 als Planungshorizont für Systeme, die Post-Quanten-Schutz benötigen. Einige Geheimdienstbewertungen sind aggressiver. Die angemessene Haltung für Verteidigungsprogramme besteht darin, sich auf CRQC-Verfügbarkeit bis 2030 — das konservative Ende des Bereichs — vorzubereiten, anstatt auf den Mittelpunkt oder das optimistische Ende.

NSA CNSA 2.0: Vorgeschriebene Algorithmen und Übergangsanforderungen

Die Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), veröffentlicht von NSAs Cybersecurity Directorate im September 2022, legt die kryptografischen Algorithmen fest, die zum Schutz nationaler Sicherheitssysteme (NSS) in der Post-Quanten-Ära zugelassen sind. CNSA 2.0 ersetzt CNSA 1.0 und schreibt folgende Post-Quanten-Algorithmen vor:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), standardisiert als FIPS 203 und basierend auf dem CRYSTALS-Kyber-Algorithmus, ist der zugelassene Schlüsselestablishment-Algorithmus. ML-KEM ersetzt RSA und ECDH für den Schlüsselaustausch in Protokollen wie TLS. Drei Parametersätze sind definiert: ML-KEM-512 (Sicherheitsniveau äquivalent zu AES-128), ML-KEM-768 (AES-192) und ML-KEM-1024 (AES-256). CNSA 2.0 spezifiziert ML-KEM-1024 für NSS-Anwendungen.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), standardisiert als FIPS 204 und basierend auf CRYSTALS-Dilithium, ist der zugelassene digitale Signaturalgorithmus für die meisten Anwendungen und ersetzt RSA-PSS und ECDSA. ML-DSA bietet Signatursicherheit mit kleineren Schlüsselgrößen als hashbasierte Alternativen und relativ schnellen Signier- und Verifikationsoperationen.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), standardisiert als FIPS 205 und basierend auf SPHINCS+, ist ein alternativer digitaler Signaturalgorithmus, dessen Sicherheit auf Hash-Funktionen statt auf Gittermathematik beruht — und so Sicherheitsdiversität bietet, falls gitterbasierte Kryptografie durch künftige mathematische Fortschritte geschwächt wird. SLH-DSA hat erheblich größere Signaturgrößen und langsamere Operationen als ML-DSA, ist aber für Anwendungen geeignet, bei denen gitterbasierte Algorithmen nicht zulässig sind oder zusätzliche Sicherheitsdiversität erforderlich ist.

CNSA 2.0 Übergangszeitplan: Die NSA verlangt, dass neue ab 2025 eingesetzte nationale Sicherheitssysteme CNSA 2.0-Algorithmen unterstützen müssen. Bestehende Systeme haben einen schrittweisen Migrationszeitplan mit Zwischenmeilensteinen und einem harten Termin bis 2030 für den Abschluss des Übergangs. Systeme, die bis 2030 nicht migriert werden können, müssen genehmigte Ausnahme- oder Ersatzpläne haben.

Auswirkungen auf Verteidigungssoftware: TLS, Firmware und PKI

TLS 1.3 mit Post-Quanten-KEM. Die unmittelbar wirkungsvollste Änderung ist der Ersatz von TLS-Schlüsselaustausch-Algorithmen. TLS 1.3, der aktuelle Standard für verschlüsselte Web- und API-Kommunikation, verwendet ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) für den Schlüsselaufbau. Unter CNSA 2.0 muss dies durch ML-KEM ersetzt oder ergänzt werden. Die IETF hat RFC 9180 und verwandte Entwürfe für PQC-Schlüsselkapselung in TLS veröffentlicht. Wichtige TLS-Bibliotheken (OpenSSL, BoringSSL) haben experimentelle PQC-Cipher-Suite-Unterstützung implementiert; produktionsreife Unterstützung reift schnell.

Digitale Signaturen auf Firmware. Waffensysteme und militärische Hardwareplattformen verwenden digitale Signaturen, um die Firmware-Integrität zu überprüfen — die kryptografische Gewissheit, dass Firmware zwischen Herstellung und Einsatz nicht manipuliert wurde. Diese Signaturen sind langlebig (der Signierschlüssel kann für die gesamte Produktionslebensdauer einer Plattform, 10–20 Jahre, verwendet werden) und sind daher einem höheren HNDL-Angriffsrisiko ausgesetzt. CNSA 2.0 spezifiziert, dass die Firmware-Signierung für NSS-Hardware auf ML-DSA oder SLH-DSA umgestellt werden sollte.

PKI-Migration. Die Verteidigungs-PKI-Infrastruktur — Zertifizierungsstellen, Zertifikats-Widerrufsinfrastruktur, Zertifikatsverwaltung für Benutzer, Geräte und Dienste — verwendet RSA- oder ECC-Schlüssel durchgehend. Die Migration der PKI bedeutet nicht nur die Ausstellung neuer Post-Quanten-Zertifikate, sondern auch die Außerbetriebnahme alter Zertifikate, die Verteilung neuer Vertrauensanker an alle abhängigen Systeme und die Sicherstellung, dass alle Software, die Zertifikate validiert, Post-Quanten-Zertifikatsformate verarbeiten kann. Dies ist eine komplexe, mehrjährige Infrastrukturmigration, die jetzt beginnen muss, um den Termin 2030 einzuhalten.

Hybrider Ansatz während des Übergangs

Während der Übergangsphase, wenn Systeme teilweise migriert sind und sowohl mit CNSA 1.0- als auch mit CNSA 2.0-Gegenstücken interoperieren müssen, kombiniert ein hybrider Kryptografieansatz klassische und Post-Quanten-Algorithmen im selben Protokollaustausch. Bei einer hybriden TLS-Verbindung sind sowohl ein ECDHE-Schlüsselanteil als auch ein ML-KEM-Schlüsselanteil enthalten; der endgültige Sitzungsschlüssel wird aus beiden abgeleitet. Dies bietet Sicherheit sowohl gegen klassische Angreifer (falls PQC unvorhergesehene Schwächen hat) als auch gegen Quantenangreifer (falls klassische Kryptografie gebrochen wird).

Der hybride Ansatz wird von der NSA für den Übergangszeitraum als „Hosenträger-und-Gürtel"-Strategie befürwortet: Er schwächt die klassische Sicherheit nicht, während er Quantenresistenz hinzufügt. NIST SP 800-227 (IPD) bietet Leitlinien zu hybriden Schlüsselestablishment-Mechanismen. Verteidigungsprogramme sollten jetzt hybride Cipher Suites implementieren — dies reduziert das Quantenrisiko von HNDL-Angriffen auf aktuelle Kommunikation, während der vollständige PQC-exklusive Übergang voranschreitet.