Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit

Entwicklungen im Bereich PQC: Internationaler Vergleich von PQC-Standardisierung und -Migration

Quantenfähige Angreifer gefährden die heute dominierenden Public-Key-Verfahren wie RSA, (EC)DH und (EC)DSA, weil effiziente Quantenalgorithmen die zugrunde liegenden mathematischen Probleme effizient lösen können.

Besonders kritisch ist das Szenario store now – decrypt later, in dem Angreifer bereits heute verschlüsselte Daten sammeln, um sie dann später zu entschlüsseln.

Kryptografie ist tief in Architekturen, Produkten und Lieferketten eingebettet. Kryptografische Schlüssel, Zertifikate sowie Protokollparameter bestehen häufig über viele Jahre hinweg. Frühzeitige Maßnahmen sind daher entscheidend, um langlebige Daten vor nachträglicher Offenlegung zu schützen.

Die Post-Quanten-Kryptografie (PQC) bietet robuste Alternativen zum Schutz von Daten, doch ihre Einführung erfordert eine geordnete Migration.

 

Aktuelle Positionen zur PQC-Standardisierung und -Migration

Hybridisierung

Da PQC-Verfahren vergleichsweise neu und weniger erforscht sind, kann es sinnvoll sein, sie mit klassischen kryptografischen Verfahren zu kombinieren. In einem solchen hybriden Verfahren lässt sich die Sicherheit selbst dann garantieren, wenn sich eines der kombinierten Verfahren als unsicher erweist.

In der EU ist für gitterbasierte Kryptografie aktuell eine Nutzung nur in hybrider Form vorgesehen. Die European Cybersecurity Certification Group fordert die Kombination mit klassischen, etablierten Verfahren. Das BSI setzt diese Linie in der technischen Richtlinie fort und fordert für nicht-hashbasierte PQC-Verfahren einen Einsatz in hybrider Form. Hashbasierte Signaturen wie SLH-DSA sowie LMS und XMSS können eigenständig genutzt werden.

Das National Institute of Standards and Technology (NIST) erlaubt die alleinstehende Nutzung für alle empfohlenen Verfahren und positioniert hybride Verfahren zwar als nützliche, jedoch nur als temporäre Migrationsoption.

Das britische National Cyber Security Centre (NCSC) folgt dieser Linie und empfiehlt hybride Verfahren nur als Übergangsmaßnahme für die spätere Umstellung auf reine PQC-Verfahren.

 

Empfohlene PQC-Verfahren

Grundlegende Einigkeit besteht in der Empfehlung von ML-KEM für den Schlüsselaustausch und ML-DSA für digitale Signaturen. Des Weiteren werden für spezifische Anwendungsfälle SLH-DSA sowie die zustandsbehafteten hashbasierten Signaturen LMS und XMSS empfohlen. Der wesentliche Unterschied der verschiedenen Positionen besteht jedoch darin, ob Verfahren heute alleinstehend oder nur hybrid eingesetzt werden dürfen.


Signaturverfahren

Region Empfohlene Verfahren ParameterHinweise Hybrid-Pflicht
EU ML-DSA, SLH-DSA sowie LMS und XMSS ML-DSA-65 oder ML-DSA-87. SLH-DSA nach FIPS205 in Kategorien 3 und 5. Ja, für ML-DSA
Deutschland ML-DSA, SLH-DSA sowie LMS und XMSS ML-DSA-65 oder ML-DSA-87. SLH-DSA nach FIPS205 in Kategorien 3 und 5. XMSS und LMS nach SP 800-208. Ja, für ML-DSA
USA ML-DSA, SLH-DSA sowie LMS und XMSS ML-DSA nach FIPS204. SLH-DSA nach FIPS205. LMS und XMSS nach SP 800-208. Nein
Vereinigtes Königreich ML-DSA, SLH-DSA sowie LMS und XMSS ML-DSA nach FIPS204 (ML-DSA-65 empfohlen). SLH- DSA nach FIPS205. LMS und XMSS nach SP 800-208. Nein


Schlüsselaustauschverfahren

Region Empfohlene Verfahren ParameterHinweise Hybrid-Pflicht
EU ML-KEM sowie konservativ FrodoKEM ML-KEM-768 oder ML-KEM-1024. FrodoKEM-976 oder FrodoKEM-1344. Ja
Deutschland ML-KEM sowie konservativ FrodoKEM und Classic McEliece
HQC sobald standardisiert		 ML-KEM-768 oder ML-KEM-1024. FrodoKEM-976 oder FrodoKEM-1344.
mceliece460896(f), mcelie- ce6688128(f) oder mcelie- ce8192128(f).
HQC entsprechend NIST-Kategorie 3 und 5.		 Ja
USA ML-KEM ML-KEM nach FIPS203. Nein
Vereinigtes Königreich ML-KEM ML-KEM nach FIPS203 (ML-KEM-768 empfohlen).  Nein

Timeline zur PQC-Migration

Folgende zentrale Meilensteine werden von den verschiedenen nationalen Sicherheitsbehörden definiert.

EU

  • Bis 2026: First Steps abgeschlossen. Nationale PQC-Roadmaps etabliert. Pilotierungen für hohe und mittlere Risiken gestartet.
  • Bis 2030: Next Steps implementiert. Migration für Hochrisiko-Anwendungsfälle abgeschlossen. Quantensichere Software- und Firmware-Updates standardmäßig aktiviert.
  • Bis 2035: Migration für Anwendungsfälle mit mittleren Risiken abgeschlossen und für niedrige Risiken so weit wie praktisch möglich.

Deutschland 

  • Bis 2030: Abschluss der Migration für Anwendungen mit sehr hohem Schutzbedarf.
  • 2032: Klassische Schlüsseleinigungsverfahren werden nur noch in hybrider Nutzung empfohlen.
  • 2036: Klassische Signaturverfahren werden nur noch in hybrider Nutzung empfohlen.

USA

  • 2024: Veröffentlichung von FIPS203, FIPS204 und FIPS205 für ML-KEM, ML-DSA und SLH-DSA.
  • Nach 2030: Klassische Verfahren mit 112 Bit Sicherheitsstärke werden in den Leitlinien als veraltet markiert.
  • 2035: Klassische Public-Key-Verfahren werden nicht mehr empfohlen. Ziel ist eine vollständige Migration zu PQC für Signaturen und Schlüsselaustausch.

Vereinigtes Königreich

  • Bis 2028: Inventarisierung und Bewertung abgeschlossen. Initiale Migrationspläne erstellt. Anforderungen an Lieferketten adressiert.
  • Bis 2031: Umsetzung früher und priorisierter Migrationen. Verfeinerte Roadmaps mit klarer Route zum Abschluss.
  • Bis 2035: Vollständige Migration zu PQC aller Systeme, Dienste und Produkte.

 

Literatur

European Cybersecurity Certification Group (ECCG). Agreed Cryptographic Mechanisms. European Cybersecurity Certification Scheme on Common Criteria (EUCC) Guidelines. European Union Agency for Cybersecurity (ENISA), Mai 2025. url: https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.

National Institute of Standards and Technology (NIST). Module-Lattice-Based Key-Encapsulation Mechanism Standard. FIPS 203. National Institute of Standards and Technology (NIST), Aug. 2024. doi: 10.6028/NIST.FIPS.203.

National Institute of Standards and Technology (NIST). Module-Lattice-Based Digital Signature Standard. FIPS 204. National Institute of Standards and Technology (NIST), Aug. 2024. doi: 10.6028/NIST.FIPS.204.

National Institute of Standards and Technology (NIST). Stateless Hash-Based Digital Signature Standard. FIPS 205. National Institute of Standards and Technology (NIST), Aug. 2024. doi: 10.6028/NIST.FIPS.205.

European Union PQC Workstream. A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography. Techn. Ber. Part 1. Version 1.1. NIS Cooperation Group, Juni 2025. url: https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography.

Dustin Moody u. a. Transition to Post-Quantum Cryptography Standards. Techn. Ber. NIST IR 8547 ipd. National Institute of Standards and Technology (NIST), Nov. 2024. url: https://csrc.nist.gov/pubs/ir/8547/ipd.

National Cyber Security Centre (NCSC). Next Steps in Preparing for Post-Quantum Cryptography. Version 2.0. Aug. 2024. url: https://www.ncsc.gov.uk/whitepaper/next-steps-preparing-for-post-quantum-cryptography.

National Cyber Security Centre (NCSC). Timelines for Migration to Post-Quantum Cryptography. Version 1.0. Mai 2025. url: https://www.ncsc.gov.uk/guidance/pqc-migration-timelines.

David Cooper et al. Recommendation for Stateful Hash-Based Signature Schemes. Special Publication (SP) 800-208. National Institute of Standards and Technology (NIST), Oct. 2020. doi: 10.6028/NIST.SP.800-208.

Bundesamt für Sicherheit in der Informationstechnik (BSI). Kryptographische Verfahren: Empfehlungen und Schlüssellängen. Technische Richtlinie TR-02102-1. Version 2026-01. BSI, Jan. 2026. url: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html.