Das Datum 2030 ist nicht das Ankunftsdatum der Quantencomputer
Kryptografie lief jahrelang still unter den meisten Gesprächen über Unternehmenssicherheit. RSA und ECDSA lebten auf Seiten, die die meisten Administratoren nie lesen würden; der TLS-Handshake war ein technisches Detail, das vergessen wurde, sobald die Verbindung stand. 2024 änderte sich das. NIST finalisierte die ersten Standards der Post-Quanten-Kryptografie (PQC), und der Zähler für die Unternehmensinfrastruktur, den Übergang bis 2030 abzuschließen, begann zu laufen.
Die Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) der NSA gibt 2030 als Zieljahr für den Übergang US-amerikanischer nationaler Sicherheitssysteme zur Post-Quanten-Kryptografie vor. Dieser Zeitplan wird als praktische Branchenfrist behandelt. Hersteller, die nationale Sicherheitskunden beliefern, müssen ihn einhalten. Unternehmenskunden folgen denselben Standards; denn ihre Prüfer, Regulierer und großen Gegenparteien folgen ihnen.
Aber hier gibt es ein verbreitetes Missverständnis: Die Frist 2030 bedeutet nicht "das Jahr, in dem Quantencomputer kommen".
Expertenschätzungen, wann ein kryptografisch relevanter Quantencomputer existieren wird, reichen von Ende der 2030er bis "nie"; je nach Analyst. Die Frist 2030 betrifft die Vorlaufzeit. Die globale PKI, jeden TLS-Endpunkt, jede Zertifizierungsstelle und jedes eingebettete Gerät, das RSA hart kodiert ausliefert, zu migrieren, dauert länger als ein Jahrzehnt. Man muss mit der Arbeit lange beginnen, bevor die Bedrohung operativ wird; andernfalls ist der Übergang im Moment des Bedarfs nicht abgeschlossen.
Fügen Sie dem die "Jetzt sammeln, später entschlüsseln"-Bedrohung (Harvest Now, Decrypt Later — HNDL) hinzu. Ein Gegner, der 2026 Ihren verschlüsselten Verkehr aufzeichnet, kann die Aufzeichnung Jahre später entschlüsseln, sobald er über Quantenkapazität verfügt. Wenn Daten nach 2030 geheim bleiben müssen — Geschäftsgeheimnisse, M&A-Kommunikation, versiegelte Rechtsdokumente, Kunden-PII mit langen Aufbewahrungsfenstern — ist Post-Quanten-Schutz jetzt erforderlich. Die Frist gilt für die Vertraulichkeitslebensdauer der Daten; nicht für das Ankunftsdatum der Quantencomputer.
Der PQC-Übergang in Zahlen
ML-KEM, ML-DSA und ML-SLH; veröffentlicht als FIPS 203, 204, 205
NIST CSRCZieljahr der NSA für US-amerikanische nationale Sicherheitssysteme
NSA CNSA 2.0Was NIST 2024 finalisierte
Nach einem mehrjährigen Auswahlprozess, der 2016 begann, finalisierte NIST im August 2024 die ersten Standards der Post-Quanten-Kryptografie. Drei Algorithmen gingen daraus hervor; jeder deckt ein anderes kryptografisches Primitiv ab, das klassische Public-Key-Algorithmen bereitstellen. Alle drei sind gitterbasiert oder hashbasiert — die Familien, die NIST nach dem Ausscheiden anderer Kandidaten auswählte.
ML-KEM (FIPS 203)
Module-Lattice-Based Key Encapsulation Mechanism, früher Kyber. Der Standard für den Schlüsselaustausch — der Schritt, in dem TLS ein gemeinsames Geheimnis über einen öffentlichen Kanal aufbaut. Ersetzt den seit den 1990er-Jahren verwendeten RSA-basierten Schlüsselaustausch und ECDH. ML-KEM-768 fügt dem Handshake etwa 1,1 KB hinzu; X25519 waren etwa 100 Byte. Die CPU-Kosten können mit RSA-2048 konkurrieren.
ML-DSA (FIPS 204)
Module-Lattice-Based Digital Signature Algorithm, früher Dilithium. Der Standard für digitale Signaturen; verwendet in Zertifikaten, Code-Signierung, Authentifizierung und in jedem Kontext, in dem der Empfänger die Identität des Senders verifizieren muss. Ersetzt RSA und ECDSA. ML-DSA-65-Signaturen sind etwa 3,3 KB; ECDSA etwa 70 Byte. Die Signierperformance ist mit ECDSA vergleichbar.
ML-SLH (FIPS 205)
Stateless Hash-Based Signature Algorithm, früher SPHINCS+. Ein alternatives Signaturschema mit anderen Abwägungen. Es erzeugt langsamere und größere Signaturen als ML-DSA; ist aber hashbasiert — seine Sicherheit beruht auf Annahmen, die sich leichter verteidigen lassen als die Gitterprobleme unter ML-DSA. Die meisten Deployments werden aus Performance-Gründen ML-DSA verwenden; ML-SLH bleibt für die langfristige Archivsignierung reserviert, bei der konservative Annahmen wichtiger sind.
Fähigkeiten, die Enterprise-ADCs erfüllen müssen
Enterprise-Application-Delivery-Controller — Load Balancer, WAFs, SSL-Terminierer, GTM-Systeme — sitzen an der TLS-Terminierungsgrenze. Diese Position macht die PQC-Unterstützung zu einem Tor für den breiteren Übergang: Wenn der ADC kein PQC spricht, kann auch nichts dahinter es sprechen.
ML-KEM im TLS-1.3-Schlüsselaustausch
Der ADC muss ML-KEM im TLS-1.3-Handshake als Schlüsselaustausch-Algorithmus akzeptieren und aushandeln können. Die meisten Deployments werden den Hybridmodus wählen — ML-KEM kombiniert mit X25519 oder P-256 —, daher ist auch die Unterstützung hybrider Gruppen erforderlich.
ML-DSA für Zertifikatssignaturen
Die Zertifikate, die der ADC den Clients ausliefert, und die Zertifikate, die er von Upstream-Diensten validiert — beide verlangen ML-DSA-Unterstützung. Zertifikatskettenvalidierung, OCSP-Stapling und SCT-Validierung müssen alle ML-DSA-fähig sein.
Größere Handshake-Payload-Kapazität
ML-KEM-768 fügt dem Handshake etwa 1,1 KB hinzu; ML-DSA-65-Signaturen sind etwa 3,3 KB. Der ADC muss größere Handshake-Pakete verarbeiten; dies ist direkt relevant für die MTU-Konfiguration, das Budgetieren der Verbindungsrate und die Feinabstimmung der DDoS-Mitigation.
Werkzeuge für den Zertifikatslebenszyklus
Bestehende Werkzeuge für das Zertifikatsmanagement gehen von klassischen Schlüssel- und Signaturgrößen aus. PQC-Zertifikate sind größer; ACME-Workflows, Zertifikatsspeicher und HSM-Integrationen verlangen Aktualisierungen, um das neue Größenprofil zu verarbeiten.
Hybridmodus als Standard
Reine PQC-Deployments sind noch verfrüht; die Algorithmen sind neuer und die Kryptanalyse-Geschichte ist begrenzt. Der Hybridmodus (klassisch und PQC im selben Handshake) ist der konservative Weg: Wenn eine der beiden Komponenten sicher ist, ist die Verbindung sicher. Hybrid sollte mindestens bis 2028 als Standard geplant werden.
Performance-Marge
Die CPU-Kosten von ML-KEM können mit RSA-2048 konkurrieren; das ML-DSA-Signieren ist mit ECDSA vergleichbar. Die praktische Performance-Auswirkung ist gering, aber nicht null. Die Kapazitätsplanung muss die etwas höheren TLS-Handshake-CPU-Kosten während des hybriden Übergangs berücksichtigen.
Reine PQC-Deployments stützen sich für die Vertraulichkeit auf eine einzige neue Algorithmenfamilie. Wenn ein zukünftiges Kryptanalyse-Ergebnis ML-KEM schwächt, wird jede Verbindung, die nur ML-KEM verwendet, rückwirkend angreifbar. Der Hybridmodus — die Kombination von ML-KEM mit X25519 oder P-256 — leitet das Sitzungsgeheimnis aus beiden ab; wenn einer der Algorithmen standhält, ist die Verbindung sicher. Der Preis ist die Größe des hybriden Handshakes (der größere der beiden Beiträge). Der Nutzen ist eine tiefgestaffelte Verteidigung gegen zukünftige unbekannte Schwächen in beiden Familien. Große Browser (Chrome, Firefox) und TLS-Bibliotheken führten den Hybridmodus 2024-2026 ein; die IETF standardisierte die hybriden Gruppenbezeichner. Für Unternehmens-Deployments sollte Hybrid mindestens bis 2028 der Standard sein.
Operativer Zeitplan für den Unternehmensübergang
Jetzt (2026): Kryptografische Oberflächen inventarisieren
Listen Sie jeden TLS-Endpunkt, jede Beziehung zu einer Zertifizierungsstelle, jeden Code-Signing-Workflow und jeden Datenfluss mit langfristiger Vertraulichkeit auf. Ohne Inventar lässt sich der Umfang des Übergangs nicht planen. Die meisten Organisationen entdecken vergessene Oberflächen — interne Dienste, ältere Clients, eingebettete Geräte, B2B-Integrationen.
Jetzt (2026): PQC im öffentlich zugänglichen TLS aktivieren
Aktivieren Sie für unterstützende ADCs den ML-KEM-Hybridmodus an öffentlich zugänglichen TLS-Endpunkten. Die Änderung ist konservativ: Der Hybridmodus fällt auf klassische Sicherheit zurück, falls PQC später geschwächt wird. Echter Produktionsverkehr erhält den Nutzen sofort.
2026-2027: ML-DSA-Zertifikate pilotieren
Beginnen Sie, ML-DSA-signierte Zertifikate für unkritische Workloads auszustellen, um Werkzeuge für das Zertifikatsmanagement, Monitoring und operative Verfahren zu validieren. Die Code-Pfade der Zertifikatskettenvalidierung werden geübt, bevor sie die Last für kritische Dienste tragen.
2027-2028: Auf interne Dienste ausweiten
Weiten Sie hybrides TLS und ML-DSA-Zertifikate auf den internen Ost-West-Verkehr aus. Interne Dienste haben während des Pilots eine höhere Toleranz gegenüber Kompatibilitätsproblemen; die Long-Tail-Kompatibilitätsprobleme treten zutage, bevor sie öffentlich zugänglich werden.
2028-2029: Long-Tail-Bereinigung
Befassen Sie sich mit eingebetteten Geräten, älteren Integrationen und partnerseitigen APIs, denen die PQC-Unterstützung fehlt. Einige Hersteller verlangen Druck; einige Altsysteme verlangen einen Austausch. Der Long Tail ist die Stelle, an der das Zeitbudget des Übergangs tatsächlich aufgebraucht wird.
2030: Operatives PQC
Alle neuen TLS-Verbindungen verwenden Hybrid oder reines PQC. Nur klassische Verbindungen erfordern eine ausdrückliche Ausnahme und einen dokumentierten End-of-Life-Zeitplan. Der Übergang ist nicht mehr ein Projekt, sondern ein Betrieb — kontinuierliche kryptografische Agilität ist die neue Normalität.
Was bedeutet das für ADC-Produktentscheidungen im Jahr 2026?
Entscheidungen über die Unternehmensinfrastruktur, die 2026 getroffen werden, leben durch das gesamte PQC-Übergangsfenster. Ein heute gewählter ADC, dem die PQC-Unterstützung fehlt, ist ein vor 2030 erzwungener Austausch — eine Kosten, die der Käufer nicht eingeplant hat. Die praktischen Konsequenzen für die Herstellerbewertung lassen sich unter drei Überschriften zusammenfassen.
Erstens muss die PQC-Unterstützung als Grundfähigkeit geprüft werden; nicht als Roadmap-Element. "Wir werden ML-KEM in unserer Version 2027 unterstützen" und "ML-KEM ist in unserer aktuellen Version vorhanden" sind nicht dasselbe. Der hybride Übergang verlangt eine echte Produktionsvalidierung; das wiederum erfordert, dass das Feature jetzt verfügbar ist.
Zweitens ist der FIPS-140-3-Validierungsstatus der PQC-Implementierungen für regulierte Branchen wichtig — Behörden, Verteidigung, Banken. Die Validierung hinkt der Einführung hinterher; deshalb sollte sie in die Beschaffungszeitpläne aufgenommen werden.
Drittens kann die operative Geschichte wichtiger sein als die kryptografische: Wie behandelt der ADC die Workflows des Zertifikatsmanagements unter PQC-Größen, wie stimmt er für das größere Handshake-Budget fein ab, wie berichtet er über die PQC- vs. klassischen Sitzungsverteilungen. Die Mathematik steht fest; die Operationen werden branchenweit noch gelöst.
Die Positionierung von TR7 zur modernen Technologie umfasst die Unterstützung von ML-KEM und ML-DSA in den aktuellen Versionen; nicht als zukünftiges Feature-Tor. Die Architekturentscheidung, die das ermöglicht, ist dieselbe, die HTTP/3 und unterbrechungsfreie Updates ermöglicht: TR7 wurde von einem sauberen Anfang aus aufgebaut; es wurde nicht in eine Architektur zurückgepatcht, die diesen Anforderungen vorausgeht. Für Organisationen, die die PQC-Bereitschaft als Teil ihrer Herstellerbewertungen 2026 messen, ist diese von Grund auf bestehende Haltung eine Eingabe, die die Entscheidung erleichtert.
Referenzen und Quellen
August 2024 — Veröffentlichung von FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (ML-SLH) nach einem mehrjährigen Auswahlprozess. https://csrc.nist.gov/projects/post-quantum-cryptography
Die Commercial National Security Algorithm Suite 2.0 legt 2030 als Zieljahr für den Übergang US-amerikanischer nationaler Sicherheitssysteme zur Post-Quanten-Kryptografie fest. https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3148990/
Vollständige Spezifikation für ML-KEM (Kyber) einschließlich Parametersätze, Chiffretextgrößen und Sicherheitseigenschaften. https://csrc.nist.gov/pubs/fips/203/final
Vollständige Spezifikation für ML-DSA (Dilithium) einschließlich Signaturgrößen, Verifikation und Sicherheitsanalyse. https://csrc.nist.gov/pubs/fips/204/final
Internet-Draft, der die hybriden Post-Quanten-Schlüsselaustausch-Gruppenbezeichner für TLS 1.3 definiert. https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/
Für 2030 und das Nächste gebaut
Der Enterprise-ADC von TR7 unterstützt ML-KEM und ML-DSA in den aktuellen Versionen — einschließlich hybrider TLS-Modi, die klassische und Post-Quanten-Algorithmen kombinieren. HTTP/3, QUIC, unterbrechungsfreie Updates und Post-Quanten-Kryptografie sind Teil derselben Architekturzusage: für das Nächste bauen, statt das Alte zu patchen.
TR7 Moderne Technologie entdecken