Wie die Mathematik der Online-Verschlüsselung jede private Nachricht schützt, die Sie versenden

Jedes Mal, wenn Sie eine private Nachricht senden, sich bei Ihrer Bank einloggen oder online einkaufen, durchläuft Ihre Datenkommunikation einen mathematischen Hindernislauf, der das Mithören praktisch unmöglich macht. Die Mathematik der Online-Verschlüsselung, die diese Vorgänge schützt, beruht auf einer einfachen, aber wirkungsvollen Idee: Manche mathematischen Operationen sind in eine Richtung leicht auszuführen, aber außerordentlich schwer umzukehren. Diese Asymmetrie ist das Fundament des modernen digitalen Datenschutzes, und um sie zu verstehen, braucht man keinen Doktortitel, nur die Bereitschaft, der Logik zu folgen.

Das Schloss-und-Schlüssel-Problem: Warum die Mathematik der Online-Verschlüsselung existiert

Stellen Sie sich vor, Sie müssen einem Fremden ein Geheimnis mitteilen, in einem Raum voller Menschen, die jedes Wort mithören. Flüstern ist nicht möglich. Einen Zettel weitergeben auch nicht. Alles, was Sie sagen, hört jeder. Wie teilen Sie unter diesen Bedingungen ein Geheimnis?

Das ist das grundlegende Problem der Internetkommunikation. Jede Nachricht, die Sie senden, durchquert öffentliche Infrastruktur: Router, Kabel und Server, die von Fremden betrieben werden. Vor 1976 bestand die einzige Lösung darin, dass beide Parteien bereits einen gemeinsamen Geheimcode kannten. Dann veröffentlichten zwei Forscher, Whitfield Diffie und Martin Hellman, einen Artikel, der alles veränderte. Sie bewiesen, dass zwei Personen über einen öffentlichen Kanal ein gemeinsames Geheimnis erzeugen können, ohne es je direkt auszutauschen. Die Mathematik hinter ihrer Methode und der gesamten seitdem darauf aufbauenden Verschlüsselung dreht sich um sogenannte „Falltürfunktionen”: Operationen, die leicht durchzuführen, aber schwer rückgängig zu machen sind.

Multiplizieren ist einfach, Faktorisieren ist schwer

Die bekannteste Falltürfunktion der Kryptografie betrifft Primzahlen. Zwei große Primzahlen zu multiplizieren ist für einen Computer trivial. Aber ausgehend nur vom Produkt die beiden ursprünglichen Primzahlen zu finden ist atemberaubend schwierig. Das ist das Fundament von RSA, dem von Ron Rivest, Adi Shamir und Leonard Adleman 1977 beschriebenen Verschlüsselungsverfahren.

Das Konzept auf das Wesentliche reduziert: Sie wählen zwei große Primzahlen und multiplizieren sie zu einer sehr großen Zahl. Diese große Zahl wird Teil Ihres öffentlichen Schlüssels, den jeder sehen kann. Aber nur wer die beiden ursprünglichen Primzahlen kennt, kann den privaten Schlüssel ableiten, der zum Entschlüsseln von Nachrichten benötigt wird. Die Sicherheit beruht vollständig darauf, dass kein bekannter Algorithmus eine hinreichend große Zahl effizient in ihre Primfaktoren zerlegen kann.

Wie groß ist „hinreichend groß”? Moderne RSA-Schlüssel sind typischerweise 2.048 oder 4.096 Bits lang. Eine 2.048-Bit-Zahl hat ungefähr 617 Dezimalstellen. Die besten klassischen Faktorisierungsalgorithmen würden länger als das Alter des Universums benötigen, um eine solche Zahl zu knacken.

RSA ist zu langsam, um größere Datenmengen direkt zu verschlüsseln. In der Praxis wird es zum sicheren Austausch eines kleineren, schnelleren Schlüssels verwendet, der die eigentliche Massenverschlüsselung übernimmt. Betrachten Sie RSA als den sicheren Kurier, der den echten Schlüssel liefert, nicht als das Schloss selbst.

Der Schlüsselaustausch: Geheimnisse in der Öffentlichkeit teilen

Noch vor RSA lösten Diffie und Hellman das Schlüsselaustauschproblem mit einer anderen mathematischen Falltür: dem diskreten Logarithmusproblem. Ihr Diffie-Hellman-Schlüsselaustausch funktioniert wie das Mischen von Farben.

Zwei Personen einigen sich öffentlich auf eine Ausgangsfarbe. Jede wählt heimlich eine eigene Farbe, mischt sie mit der öffentlichen, und tauscht dann die Mischergebnisse aus. Anschließend fügt jede Person ihre Geheimfarbe zu dem erhaltenen Gemisch hinzu. Beide kommen zur selben Endfarbe, aber ein Beobachter, der nur die öffentliche Farbe und die beiden Gemische gesehen hat, kann nicht darauf zurückschließen. Mathematisch gesprochen berechnen beide Parteien aus öffentlich ausgetauschten Werten ein gemeinsames Geheimnis, und die Schwierigkeit, die Rechnung umzukehren (diskrete Logarithmen zu berechnen), verhindert, dass jemand, der lauscht, dieses gemeinsame Geheimnis ableiten kann.

Diese Technik oder moderne Varianten davon kommen zum Einsatz, sobald Ihr Browser eine sichere Verbindung zu einer Website aufbaut.

Das Arbeitspferd: symmetrische AES-Verschlüsselung

Sobald zwei Parteien einen gemeinsamen geheimen Schlüssel haben, wechseln sie für die eigentlichen Daten zur symmetrischen Verschlüsselung. Der globale Standard ist AES (Advanced Encryption Standard), 2001 von der US-Regierung übernommen, nachdem ein fünfjähriger Wettbewerb von den belgischen Kryptografen Joan Daemen und Vincent Rijmen gewonnen wurde.

AES verarbeitet Ihre Daten in 128-Bit-Blöcken (16 Bytes auf einmal) und führt jeden Block durch mehrere Scrambling-Runden: Byte-Substitution, Zeilenverschiebung, Spaltenmischung und Kombination mit Schlüsselteilen. AES-128 verwendet 10 Runden, AES-192 verwendet 12 und AES-256 verwendet 14. Jede Runde macht die Beziehung zwischen den ursprünglichen Daten und der verschlüsselten Ausgabe verworrener und schwerer ohne den Schlüssel umkehrbar.

AES ist das erste und einzige öffentlich zugängliche Verschlüsselungsverfahren, das von der NSA für streng geheime Informationen zugelassen ist. Es ist schnell genug, um auf allem zu laufen, von Smartphones bis zu Serverfarmen, weshalb es den Großteil des weltweiten verschlüsselten Datenverkehrs abwickelt.

Mathematik der Online-Verschlüsselung in Ihrem Browser

Wenn Sie eine Website mit HTTPS besuchen (das Schloss-Symbol), führt Ihr Browser einen TLS-Handshake durch. Hier kommt die gesamte Mathematik in einem praktischen Protokoll zusammen:

1. Ihr Browser und der Server einigen sich auf die zu verwendenden Verschlüsselungsalgorithmen.
2. Der Server beweist seine Identität mit einem digitalen Zertifikat.
3. Beide Seiten führen einen Diffie-Hellman-Schlüsselaustausch durch (oder eine Variante mit elliptischen Kurven), um einen gemeinsamen Sitzungsschlüssel zu erzeugen.
4. Alle nachfolgenden Daten werden mit AES unter Verwendung dieses Sitzungsschlüssels verschlüsselt.

Die neueste Version, TLS 1.3, reduzierte den Handshake von zwei Roundtrips auf einen, halbierte die Latenz und eliminierte dabei ältere, schwächere Verschlüsselungsoptionen.

Vorwärtsgeheimnis: Warum der heutige Schlüssel gestrige Nachrichten nicht entschlüsselt

Moderne Messaging-Apps wie Signal gehen mit dem Double-Ratchet-Algorithmus noch weiter in der Verschlüsselung. Statt eines einzigen Schlüssels für ein ganzes Gespräch erzeugt der Double Ratchet für jede einzelne Nachricht einen neuen Verschlüsselungsschlüssel. Kompromittiert ein Angreifer einen Schlüssel, kann er nur diese eine Nachricht entschlüsseln. Frühere und künftige Nachrichten bleiben geschützt.

Der Algorithmus erreicht dies, indem er kontinuierlich neue Diffie-Hellman-Ausgaben in seine Schlüsselableitungskette einfließen lässt. Das Ergebnis ist Vorwärtsgeheimnis (vergangene Nachrichten bleiben sicher, wenn ein Schlüssel durchsickert) und das, was Kryptografen Einbruchswiederherstellung nennen (künftige Nachrichten werden nach einer Kompromittierung wieder sicher). Dieses Protokoll wird von Milliarden Menschen über Signal, WhatsApp und andere Messaging-Plattformen genutzt.

Elliptische Kurven: stärkere Sicherheit mit kleineren Schlüsseln

RSA-Schlüssel müssen groß sein, um sicher zu bleiben: mindestens 2.048 Bits, mit zunehmend empfohlenen 4.096. Elliptische-Kurven-Kryptografie (ECC) erreicht gleichwertige Sicherheit mit deutlich kleineren Schlüsseln. Ein 256-Bit-ECC-Schlüssel bietet die gleiche Sicherheit wie ein 3.072-Bit-RSA-Schlüssel.

ECC basiert auf einer anderen mathematischen Struktur: der Menge der Punkte auf einer Kurve, die durch eine Gleichung wie y² = x³ + ax + b definiert ist. Punkte auf der Kurve können nach bestimmten geometrischen Regeln „addiert” werden. Die Falltür besteht darin, dass die Multiplikation eines Punktes mit einer Zahl (wiederholte Addition mit sich selbst) schnell geht, aber bei gegebenem Ergebnis und Ausgangspunkt die Anzahl der durchgeführten Operationen zu finden rechnerisch nicht durchführbar ist. Das ist das elliptische-Kurven-diskrete-Logarithmusproblem, und es ist schwerer zu lösen als die Standardfaktorisierung, Bit für Bit.

Kleinere Schlüssel bedeuten schnellere Berechnung und geringere Bandbreite. Das macht ECC zur bevorzugten Wahl für Mobilgeräte, eingebettete Systeme und die TLS-Verbindungen, die Ihr Surfen gerade jetzt absichern.

Die Quantenbedrohung und was als Nächstes kommt

Alles oben Beschriebene basiert auf der Annahme, dass bestimmte mathematische Probleme für Computer schwer zu lösen sind. Quantencomputer bedrohen diese Annahme. 1994 entwarf Mathematiker Peter Shor einen Algorithmus, der große Zahlen auf einem Quantencomputer in polynomieller Zeit faktorisieren könnte, was bedeutet, dass RSA, Diffie-Hellman und ECC alle knackbar wären.

Kein Quantencomputer, der dazu in der Lage ist, existiert bisher. Aktuelle Maschinen haben rund tausend physische Qubits, weit weniger als die Millionen, die für die fehlerkorrigierte Faktorisierung großer Zahlen benötigt werden. Die Bedrohung wird jedoch ernst genommen wegen „Jetzt ernten, später entschlüsseln”-Angriffen: Ein Angreifer könnte heute verschlüsselten Datenverkehr aufzeichnen und ihn entschlüsseln, sobald Quantenhardware ausgereift ist.

Im August 2024 veröffentlichte das NIST drei finalisierte Post-Quanten-Verschlüsselungsstandards. Diese Algorithmen, die auf mathematischen Problemen mit Gittern (geometrischen Strukturen in hochdimensionalen Räumen) basieren, sind darauf ausgelegt, sowohl klassischen als auch Quantenangriffen zu widerstehen. Das NIST hat auch einen formellen Übergangsplan veröffentlicht, der Organisationen drängt, jetzt mit der Migration zu beginnen.

Die Kernidee hat sich nicht verändert: ein mathematisches Problem finden, das in eine Richtung einfach und in die andere schwer ist. Der Unterschied besteht darin, dass die neuen Probleme selbst für Maschinen schwer sein müssen, die Quantenphysik ausnutzen. Die Mathematik entwickelt sich weiter, aber das Prinzip bleibt.

Jede private Kommunikation im Internet, von TLS-Sitzungen bis zu Ende-zu-Ende-verschlüsselten Nachrichten, wird durch einen mehrschichtigen Stapel mathematischer Primitive geschützt. Die Mathematik der Online-Verschlüsselung, die diesen Systemen zugrunde liegt, beruht auf Annahmen über rechnerische Schwierigkeit: Probleme der Komplexitätsklasse, die außerhalb von P liegen (und für Post-Quanten-SchemataMentale Rahmen komprimierter Darstellungen und Erwartungen, die das Gehirn zum Kodieren, Speichern und Abrufen von Informationen nutzt. Wenn Sie sich an etwas erinnern, rekonstruiert Ihr Gehirn es mithilfe von Schemata plus kontextuelle Hinweise, die vorhanden sind. außerhalb von BQP). Das Verständnis dieses Stapels erfordert die Untersuchung der spezifischen Falltürfunktionen, ihrer Sicherheitsparameter und ihrer Komposition zu realen Protokollen.

Mathematik der Online-Verschlüsselung: asymmetrische Primitive und ihre Schwierigkeitsannahmen

RSA: Ganzzahlfaktorisierung

RSA, 1977 von Rivest, Shamir und Adleman beschrieben (und unabhängig davon 1973 von Clifford Cocks am GCHQ), leitet seine Sicherheit aus dem Ganzzahlfaktorisierungsproblem ab. Die Schlüsselgenerierung wählt zwei große Primzahlen p und q, berechnet n = pq und findet Exponenten e und d, sodass ed ≡ 1 (mod λ(n)) gilt, wobei λ die Carmichael-Funktion ist. Der öffentliche Schlüssel ist (n, e); der private Schlüssel ist d. Verschlüsselung berechnet c ≡ m^e (mod n); Entschlüsselung berechnet m ≡ c^d (mod n).

Der beste bekannte klassische Angriff ist das Allgemeine Zahlkörpersieb (GNFS), das in subexponentieller Zeit läuft: L_n[1/3, (64/9)^1/3]. Für einen 2.048-Bit-Modulus ist GNFS mit aktueller Hardware nicht durchführbar. Der größte öffentlich geknackte RSA-Schlüssel hat 829 Bits. Die aktuellen NIST-Richtlinien empfehlen mindestens 2.048-Bit-Schlüssel, mit 3.072 Bits für Schutz über 2030 hinaus.

Der Durchsatz von RSA ist für die Massenverschlüsselung zu gering. In der Praxis wird RSA zur Übermittlung gemeinsamer Schlüssel für die symmetrische Kryptografie verwendet, die die eigentliche Datenverschlüsselung übernimmt.

Diffie-Hellman: das diskrete Logarithmusproblem

Der Diffie-Hellman-Schlüsselaustausch (DH), 1976 veröffentlicht, war das erste praktische Public-Key-Protokoll. Er operiert in der multiplikativen Gruppe der ganzen Zahlen modulo einer Primzahl p mit Generator g. Alice berechnet A = g^a mod p (Geheimnis a); Bob berechnet B = g^b mod p (Geheimnis b). Beide leiten das gemeinsame Geheimnis s = g^ab mod p ab. Die Sicherheit beruht auf der Computational-Diffie-Hellman-Annahme (CDH): Gegeben g, p, g^a mod p und g^b mod p ist die Berechnung von g^ab mod p schwer.

Das CDH-Problem ist nicht schwerer als das Diskrete-Logarithmus-Problem (DLP): Wer diskrete Logarithmen berechnen kann, löst CDH durch Rückgewinnung von a aus g^a. Die Indexkalkül-Algorithmusfamilie (einschließlich Zahlkörpersieb-Varianten) liefert subexponentielle Angriffe auf DLP in endlichen Körpern und erfordert Gruppengrößen von mindestens 2.048 Bits für angemessene Sicherheitsmargen.

Elliptische-Kurven-Kryptografie: ECDLP

Elliptische-Kurven-Kryptografie (ECC), 1985 vorgeschlagen, operiert auf der Gruppe der Punkte einer elliptischen Kurve E: y² = x³ + ax + b über einem endlichen Körper F_p. Die Gruppenoperation ist die Punktaddition, geometrisch durch die Sekanten-Tangenten-Regel definiert. Die skalare Multiplikation (nP = P + P + … + P berechnen, n mal) ist über Verdopplung-und-Addition effizient. Das Umkehrproblem, das Elliptische-Kurven-diskrete-Logarithmusproblem (ECDLP), n bei gegebenem P und nP zu finden, hat keinen bekannten klassischen subexponentiellen Algorithmus.

Der beste allgemeine Angriff auf ECDLP ist Pollards Rho mit O(√n)-Laufzeit, was vollständig exponentiell in der Schlüsselgröße ist. Das bedeutet, ein 256-Bit-ECC-Schlüssel bietet äquivalente Sicherheit wie ein 3.072-Bit-RSA-Schlüssel: eine 12-fache Reduktion der Schlüsselgröße bei gleichem 128-Bit-Sicherheitsniveau. Standardkurven umfassen NIST P-256, Curve25519 (X25519 für Schlüsselaustausch, Ed25519 für Signaturen) und die Brainpool-Kurven.

Der asymptotische Vorteil von ECC gegenüber RSA wächst mit dem Sicherheitsniveau. Bei 256-Bit-Sicherheit benötigt ECC 512-Bit-Schlüssel, während RSA 15.360-Bit-Schlüssel bräuchte. Das macht ECC zur dominanten Wahl für TLS, SSH und mobile Anwendungen.

Symmetrische Verschlüsselung: AES und das Substitutions-Permutations-Netzwerk

AES (Rijndael), 2001 vom NIST als FIPS 197 standardisiert, ist ein Substitutions-Permutations-Netzwerk, das auf einer 4×4-Byte-Zustandsmatrix (128-Bit-Blöcke) operiert. Es unterstützt 128-, 192- und 256-Bit-Schlüssel mit jeweils 10, 12 und 14 Runden. Jede Runde wendet vier Transformationen an:

1. SubBytes: nichtlineare Bytesubstitution über eine S-Box, die vom multiplikativen Inversen in GF(2⁸) zusammengesetzt mit einer affinen Transformation abgeleitet wird. Dies ist die einzige nichtlineare Komponente des Chiffres und seine wichtigste Konfusionsquelle.
2. ShiftRows: zyklische Linksverschiebung der Zeilen um 0, 1, 2 und 3 Positionen, was Inter-Spalten-Diffusion bewirkt.
3. MixColumns: Multiplikation jeder Spalte mit einem festen Polynom in GF(2⁸)[x]/(x⁴ + 1), was Intra-Spalten-Diffusion bewirkt. In der letzten Runde weggelassen.
4. AddRoundKey: XOR mit einem Rundenschlüssel, der aus dem Schlüsselplan über die Rijndael-Schlüsselerweiterung abgeleitet wird.

Der beste bekannte Angriff auf volles AES-128 ist der Biclique-Angriff mit 2^126,1-Komplexität, eine marginale Verbesserung gegenüber Brute-Force (2¹²⁸). AES bleibt das einzige öffentlich zugängliche Verschlüsselungsverfahren, das von der NSA für die Geheimhaltungsstufe „streng geheim” zugelassen ist. Seine Sicherheitsmarge gilt für die absehbare Zukunft gegen klassische Angreifer als komfortabel. Gegen Quantenangreifer reduziert Grovers Algorithmus die effektive Sicherheit von AES-128 auf 64 Bits, weshalb AES-256 für Post-Quanten-Resilienz empfohlen wird.

Protokollkomposition: TLS 1.3

Der TLS-1.3-Handshake (RFC 8446) komponiert die obigen Primitive zu einem praktischen Kanalverschlüsselungsprotokoll. Der Handshake schließt in einem einzigen Roundtrip ab:

1. ClientHello: Der Client sendet unterstützte Cipher-Suites, eine zufällige Nonce und, entscheidend, einen Schlüsselanteil für seine bevorzugte Schlüsselaustauschgruppe (typischerweise X25519 oder P-256 ECDHE). Durch die optimistische Aufnahme des Schlüsselanteils eliminiert TLS 1.3 einen Roundtrip gegenüber TLS 1.2.
2. ServerHello + EncryptedExtensions: Der Server wählt eine Cipher-Suite, antwortet mit seinem eigenen Schlüsselanteil und beginnt sofort zu verschlüsseln. Er sendet auch sein Zertifikat und eine CertificateVerify-Signatur.
3. Schlüsselableitung: Beide Seiten verwenden das ECDHE-Geheimnis als Eingabe für HKDF (HMAC-basierte Schlüsselableitungsfunktion), um Handshake-Schlüssel und dann Sitzungsschlüssel für Anwendungsdaten abzuleiten.

TLS 1.3 schreibt Vorwärtsgeheimnis vor, indem es ephemeren Schlüsselaustausch verlangt (kein statischer RSA-Schlüsseltransport). Jede Sitzung erzeugt neue ECDHE-Schlüssel, sodass die Kompromittierung des langfristigen privaten Schlüssels eines Servers vergangene Sitzungen nicht rückwirkend offenlegt. Die einzigen erlaubten AEAD-Chiffren sind AES-128-GCM, AES-256-GCM und ChaCha20-Poly1305.

Ende-zu-Ende-Verschlüsselung: der Double Ratchet

Der Double Ratchet des Signal-Protokolls erweitert das Vorwärtsgeheimnis auf die Ebene einzelner Nachrichten. Er kombiniert zwei Ratchet-Mechanismen:

1. Symmetrischer Schlüssel-Ratchet: eine KDF-Kette, bei der jeder Nachrichtenschlüssel aus dem vorherigen Kettenschlüssel abgeleitet wird. Sobald ein Nachrichtenschlüssel verwendet wurde, rückt der Kettenschlüssel vor und der alte Schlüssel wird gelöscht. Das bietet Vorwärtsgeheimnis innerhalb einer einzelnen Sendekette.
2. Diffie-Hellman-Ratchet: Mit jedem Nachrichtenaustausch rotieren die Parteien ihre ephemeren DH-Schlüsselpaare. Die DH-Ausgabe fließt in eine Root-KDF-Kette ein, die neue Send- und Empfangskettenschlüssel ableitet. Das ermöglicht Einbruchswiederherstellung: Selbst wenn ein Angreifer aktuelle Kettenschlüssel erlangt, führen neue DH-Ratchet-Schritte Entropie ein, über die der Angreifer nicht verfügt.

Der kombinierte Effekt: Jede Nachricht verwendet einen eindeutigen Schlüssel. Die Kompromittierung eines einzelnen Schlüssels enthüllt nur diese eine Nachricht. Das Protokoll verfolgt Nachrichtennummern und frühere Kettenlängen zur Behandlung von außer-der-Reihe-Zustellung und speichert übersprungene Nachrichtenschlüssel (begrenzt durch MAX_SKIP) für die spätere Entschlüsselung.

Die Sicherheitseigenschaften des Double Ratchet, Vorwärtsgeheimnis und Post-Kompromittierungs-Sicherheit, entstehen aus der Komposition der Einwegigkeit der KDF-Kette mit der CDH-Annahme auf den Ratchet-DH-Gruppen. Signals Spezifikation enthält auch einen Sparse Post-Quantum Ratchet (SPQR) für hybride klassische/Post-Quanten-Sicherheit.

Die Quantenbedrohung und Post-Quanten-Kryptografie

Shors Algorithmus (1994) faktorisiert ganze Zahlen und berechnet diskrete Logarithmen in polynomieller Zeit auf einem Quantencomputer: O((log N)²(log log N)(log log log N)) Gatter zur Faktorisierung von N. Das bricht RSA, endliches-Feld-DH und ECDH. Grovers Algorithmus liefert eine quadratische Beschleunigung bei der Suche und halbiert die effektive Sicherheit symmetrischer Chiffren (AES-256 fällt auf 128-Bit-Sicherheit, immer noch ausreichend).

Aktuelle Quantenprozessoren (in der Größenordnung von 1.000 physischen Qubits) sind weit von den Millionen fehlerkorrigierter Qubits entfernt, die für kryptografisch relevante Faktorisierung benötigt werden. Aber das Bedrohungsmodell „Jetzt ernten, später entschlüsseln”, bei dem Angreifer Chiffriertext heute aufzeichnen und ihn später quantenmäßig entschlüsseln, motiviert eine sofortige Migration.

Im August 2024 finalisierte das NIST drei Post-Quanten-Standards:

• FIPS 203 (ML-KEM): Modul-Gitter-basierter Schlüsselkapselungsmechanismus (abgeleitet von CRYSTALS-Kyber). Primärer Standard für allgemeine Schlüsselkapselung. Die Sicherheit beruht auf der Schwierigkeit des Module-Learning-With-Errors-Problems (MLWE).
• FIPS 204 (ML-DSA): Modul-Gitter-basierter digitaler Signaturalgorithmus (abgeleitet von CRYSTALS-Dilithium). Primärer digitaler Signaturstandard.
• FIPS 205 (SLH-DSA): zustandsloser hashbasierter digitaler Signaturalgorithmus (abgeleitet von SPHINCS+). Reservestandard für Signaturen, der ausschließlich auf Hashfunktionssicherheit basiert.

Der NIST-Übergangsfahrplan (NIST IR 8547) sieht die Abkündigung von RSA, endlichem-Feld-DH und ECDH für die Schlüsselvereinbarung bis 2035 vor. HQC (Hamming Quasi-Cyclic) wurde im März 2025 als zusätzlicher KEM-Kandidat ausgewählt und bietet algorithmische Diversität jenseits gitterbasierten Schemata.

Die Gitterprobleme, die ML-KEM und ML-DSA zugrunde liegen, gehören zu einer Problemfamilie (LWE, MLWE, NTRU), die jahrzehntelang klassischen und Quantenangriffen widerstanden hat. Anders als bei Faktorisierung und DLP bietet kein Quantenalgorithmus exponentielle Beschleunigung gegen diese Probleme. Die mathematische Schwierigkeit verlagert sich von der Zahlentheorie zur Geometrie hochdimensionaler Gitter, aber das Architekturprinzip bleibt: Einwegfunktionen, die schwer genug sind, um die Geheimnisse der Zivilisation darauf zu verwetten.