ML-KEM und ML-DSA für Architekten erklärt
Ein Praxisleitfaden zu ML-KEM (FIPS 203) und ML-DSA (FIPS 204) — was die Post-Quanten-Algorithmen leisten, wo sie hingehören und wie die Migration gelingt.
Die meisten Enterprise-Architekten kennen die beiden neuen Kürzel inzwischen, doch deutlich weniger können präzise sagen, was ML-KEM und ML-DSA leisten, wo sie in eine bestehende Landschaft gehören und was die Migration tatsächlich verlangt. Das ist die Einordnung, die wir uns für mehr Geschäftsleitungen wünschen würden, bevor sie eine „Quantenstrategie" beauftragen: fundiert auf den finalisierten Standards, ehrlich zu den Zeitachsen und geschrieben für jene, die die Migration umsetzen müssen, nicht nur eine Folie dazu präsentieren.
Die Kernpunkte
- ML-KEM (FIPS 203) ist ein Schlüsselkapselungsverfahren — es ersetzt den Schlüsselaustausch von RSA/ECDH. ML-DSA (FIPS 204) ist ein Signaturverfahren — es ersetzt RSA/ECDSA-Signaturen. Sie brauchen beides, aus unterschiedlichen Gründen.
- Der dringende Treiber ist harvest now, decrypt later: heute abgefangene verschlüsselte Daten lassen sich entschlüsseln, sobald ein Quantencomputer existiert. Vertraulichkeit, die über ~2030 hinausreichen muss, ist bereits gefährdet.
- Der Schlüsselaustausch hat Vorrang; Signaturen folgen. Vertraulichkeit ist rückwirkend brechbar, Signaturfälschung nicht.
- Das eigentliche Ziel ist Krypto-Agilität, kein einmaliger Tausch. Standards und Hybridmodi werden sich mehr als einmal ändern.
- Eine realistische Unternehmensmigration dauert 5–15 Jahre, und allein die kryptografische Bestandsaufnahme dauert 12–24 Monate. Beginnen Sie jetzt mit dem Inventar.
Welches Problem lösen diese Algorithmen wirklich?
Ein hinreichend großer, fehlertoleranter Quantencomputer, der Shors Algorithmus ausführt, würde die Public-Key-Kryptografie brechen, die nahezu jede moderne Kommunikation absichert: RSA, elliptische-Kurven-Diffie-Hellman und ECDSA. Eine solche Maschine existiert heute nicht, und glaubwürdige Schätzungen verorten einen kryptografisch relevanten Quantencomputer Jahre in der Zukunft. Das klingt beruhigend, bis man die zwei unterschiedlichen Schutzziele der Public-Key-Kryptografie trennt.
Das erste ist Vertraulichkeit — Daten geheim halten. Diese wird rückwirkend gebrochen. Ein Angreifer, der heute Ihren verschlüsselten Verkehr aufzeichnet oder verschlüsselte Backups exfiltriert, kann sie schlicht speichern und später entschlüsseln, sobald die Hardware existiert. Das ist die Bedrohung harvest now, decrypt later, und sie macht die Migration dringlich für jedes Geheimnis mit langer Vertraulichkeitsdauer: Patientenakten, Staatsgeheimnisse, geistiges Eigentum, Finanzpositionen — alles, was 2035 nicht gelesen werden soll.
Das zweite ist Authentizität — nachweisen, wer etwas signiert hat. Eine Signatur wird zum Zeitpunkt ihrer Nutzung verifiziert. Ein Quantencomputer kann keine Signatur fälschen, die Sie in der Vergangenheit akzeptiert haben; er kann nur neue fälschen, sobald er existiert. Das macht die Signaturmigration wichtig, aber weniger zeitkritisch als den Schlüsselaustausch. Diese eine Unterscheidung prägt die gesamte Migrationsreihenfolge.
Im August 2024 finalisierte NIST drei Standards für beide Schutzziele:
| Standard | Algorithmus | Typ | Ersetzt | Migrationspriorität |
|---|---|---|---|---|
| FIPS 203 | ML-KEM (Kyber) | Schlüsselkapselung | RSA-/ECDH-Schlüsselaustausch | Hoch — Harvest-now-Risiko |
| FIPS 204 | ML-DSA (Dilithium) | Gitter-Signatur | RSA-/ECDSA-Signaturen | Mittel — Fälschung zur Nutzungszeit |
| FIPS 205 | SLH-DSA (SPHINCS+) | Hash-basierte Signatur | Konservativer Signatur-Fallback | Nische — langlebige Vertrauensanker |
ML-KEM und ML-DSA sind beide gitterbasiert, was gute Performance bei relativ großen Schlüsseln und Chiffretexten bedeutet. SLH-DSA ist hash-basiert — langsamer und größer, beruht aber auf den konservativsten Sicherheitsannahmen, was es für langlebige Vertrauensanker attraktiv macht, bei denen man minimale Abhängigkeit von neuerer Mathematik wünscht.
ML-KEM: Ablösung des Schlüsselaustauschs
ML-KEM ist ein Schlüsselkapselungsverfahren (KEM). Das Modell ist einfach: Statt eines Diffie-Hellman-Austauschs nutzt der Sender den öffentlichen Schlüssel des Empfängers, um ein frisch erzeugtes gemeinsames Geheimnis zu kapseln und einen Chiffretext zu erzeugen; der Empfänger entkapselt es mit seinem privaten Schlüssel und gewinnt dasselbe Geheimnis zurück. Dieses Geheimnis schlüsselt dann eine symmetrische Chiffre wie AES-256 — die Quantencomputer wichtigerweise nicht wesentlich brechen, sodass Ihre Massenverschlüsselung unverändert bleibt.
Das kurzfristige Einsatzmuster ist der hybride Schlüsselaustausch. In TLS 1.3 kombinieren Sie eine klassische Kurve (typischerweise X25519) mit ML-KEM und leiten den Sitzungsschlüssel aus beidem ab. Die Verbindung bleibt sicher, solange eines der Primitive hält — Schutz sowohl gegen einen Fehler in der noch jungen ML-KEM-Implementierung als auch gegen die Quantenbedrohung der klassischen Kurve. Große Cloud-, Browser- und CDN-Anbieter — darunter Google, Cloudflare, AWS und Microsoft — haben hybriden ML-KEM-Schlüsselaustausch ausgerollt und streben eine breite interne Einführung um 2029 an. Für die meisten Unternehmen ist ML-KEM im hybriden TLS der erste konkrete, risikoarme Schritt, den Sie heute gehen können.
ML-DSA: Ablösung der Signaturen
ML-DSA übernimmt digitale Signaturen: Code-Signierung, Dokumentensignaturen, Zertifikatsketten, Token-Signierung, Firmware-Integrität. Die technische Realität unterscheidet sich hier vom Schlüsselaustausch. ML-DSA-Schlüssel und insbesondere -Signaturen sind deutlich größer als ECDSA-Pendants, was reale Folgen hat: Zertifikate wachsen, Handshakes tragen mehr Bytes, ressourcenbeschränkte Geräte und bandbreitenlimitierte Strecken spüren das, und jedes System mit fest verdrahteten Puffergrößen für Signaturen oder Zertifikate braucht Aufmerksamkeit.
Da Signaturfälschung keine rückwirkende Bedrohung ist, haben Sie mehr Zeit — doch PKI-Migrationen sind gerade deshalb langsam, weil Vertrauensanker langlebig und weit eingebettet sind. Der Übergang des Vertrauensankers ist der schwerste Teil jeder Signaturmigration. Hier verdient ein hash-basierter Fallback wie SLH-DSA seinen Platz für die konservativsten, langlebigsten Wurzeln. In unserer eigenen Projektarbeit sind Code-Signing-Pipelines und interne CAs durchgängig die Stelle, an der Teams entdecken, wie viele Systeme stillschweigend eine bestimmte Signaturgröße voraussetzen.
Die Migration ist zuerst ein Erkennungsproblem
Hier die unbequeme Wahrheit, die wir jedem Kunden wiederholen: Sie können nichts migrieren, was Sie nicht gefunden haben. Der größte Posten eines realistischen Post-Quanten-Programms ist die kryptografische Bestandsaufnahme — ein vollständiges Inventar, wo, wie und warum Kryptografie über Anwendungen, Infrastruktur, Zertifikate, VPNs, Message-Busse, Datenbanken und eingebettete Firmware genutzt wird. Für eine große Organisation dauert das regelmäßig 12–24 Monate, bevor ein einziger Algorithmus getauscht wird. Die Methode behandeln wir ausführlich in unserem Leitfaden zur kryptografischen Bestandsaufnahme und Inventarisierung.
Eine pragmatische Reihenfolge:
- Inventar. Katalogisieren Sie jede kryptografische Nutzung mit Algorithmus, Schlüssellänge, Verantwortlichem und der Vertraulichkeitsdauer der geschützten Daten.
- Nach Exposition priorisieren. Ordnen Sie nach Harvest-now-decrypt-later-Risiko. Langlebige vertrauliche Daten und nach außen gerichteter Schlüsselaustausch zuerst.
- Hybrides ML-KEM ausrollen. Aktivieren Sie hybriden TLS-1.3-Schlüsselaustausch, wo Ihre Plattform es unterstützt — der risikoärmste verfügbare Schritt.
- ML-DSA pilotieren. Beginnen Sie mit interner Code-Signierung und Zertifikaten; planen Sie den CA- und Vertrauensanker-Übergang mit Blick auf die größeren Längen.
- Für Agilität abstrahieren. Leiten Sie kryptografische Aufrufe über eine versionierte Provider-Schnittstelle, damit der nächste Wechsel Konfiguration und kein Projekt ist.
- Kontinuierlich neu testen. Wiederholen Sie die Bestandsaufnahme regelmäßig und verfolgen Sie die plattformspezifische Reife, während sich Standards und Hybridmodi entwickeln.
Für die strategische Einordnung — Reihenfolge, Governance und Einbettung in ein mehrjähriges Programm — siehe unsere Krypto-Agilitäts-Roadmap für Unternehmen.
Wo Azure ins Bild kommt
Microsoft hat ML-KEM und ML-DSA Ende 2024 in SymCrypt aufgenommen, die kryptografische Bibliothek hinter Windows und vielen Azure-Diensten. Die Post-Quanten-Unterstützung von Azure Key Vault und Managed HSM verläuft über 2026 hinweg, wobei hybrider Schlüsselaustausch bereits verwaltete Front-Ends und Load Balancer erreicht. Die praktische Folge für Architekten ist, dass verschiedene Azure-Dienste zu unterschiedlichen Zeitpunkten PQC-reif werden — Ihr Inventar muss die Reife je Dienst verfolgen, nicht als einzelnes Plattform-Flag. Die Details durchlaufen wir in Azure Key Vault Post-Quanten-Migration.
Krypto-Agilität ist das eigentliche Ziel
Wenn Sie eine Sache mitnehmen, dann diese: Das Ziel ist nicht „ML-KEM ausrollen". Es ist, Kryptografie zu etwas zu machen, das Sie bei Bedarf wechseln können. Die Post-Quanten-Standards werden überarbeitet, Hybridmodi werden irgendwann zugunsten reiner Post-Quanten-Verfahren auslaufen, Parametersätze verschieben sich, und SLH-DSA könnte Gitter-Signaturen bei manchen Wurzeln verdrängen. Organisationen, die Kryptografie hinter sauberen Schnittstellen abstrahiert haben, behandeln jeden dieser Schritte als Konfigurationsänderung. Organisationen mit über Hunderte Dienste fest verdrahteten Algorithmen durchleben diese Migration jedes Mal aufs Neue. Krypto-Agilität ist der Unterschied zwischen einem einmaligen Projekt und einer dauerhaften Fähigkeit — und sie ist die Linse, durch die jede Architekturentscheidung hier betrachtet werden sollte.
Der Zeitdruck ist real, aber beherrschbar. Die CNSA 2.0 der NSA verlangt quantensichere Algorithmen für neue Systeme der nationalen Sicherheit bis Januar 2027, mit vollständiger Migration über 2030–2035; die großen Cloud-Anbieter peilen intern etwa 2029 an. Für die meisten europäischen Unternehmen ist die richtige Haltung 2026: mit dem Inventar beginnen, hybriden Schlüsselaustausch aktivieren, wo möglich, Signaturen pilotieren und die Agilität aufbauen, die den Rest beherrschbar macht.
FAQ
Worin liegt der Unterschied zwischen ML-KEM und ML-DSA? Sie lösen unterschiedliche Probleme. ML-KEM (FIPS 203) ist ein Schlüsselkapselungsverfahren — es ersetzt den Schlüsselaustausch, der heute RSA oder elliptische-Kurven-Diffie-Hellman nutzt, damit sich zwei Parteien auf ein gemeinsames Geheimnis einigen. ML-DSA (FIPS 204) ist ein digitales Signaturverfahren — es ersetzt RSA- und ECDSA-Signaturen für Authentifizierung, Code-Signierung und Zertifikate. In der Regel brauchen Sie beides, weil Vertraulichkeit und Authentizität getrennte Schutzziele sind.
Sind ML-KEM und ML-DSA 2026 produktionsreif? Die Algorithmen selbst sind finalisierte NIST-Standards (FIPS 203 und FIPS 204, veröffentlicht im August 2024) und in gängigen Bibliotheken implementiert, darunter Microsoft SymCrypt, OpenSSL und BoringSSL. Die Produktionsreife hängt von Ihrer Plattform ab: hybrider TLS-1.3-Schlüsselaustausch ist bei großen Cloud- und CDN-Anbietern breit ausgerollt, während Signaturen, PKI und HSM-gestützte Schlüsselverwaltung 2026 noch reifen. Behandeln Sie den Schlüsselaustausch als jetzt einsatzbereit und Signaturen als aktiven Migrationspfad.
Müssen wir jetzt schon migrieren, wenn es noch keine Quantencomputer gibt? Ja, für Vertraulichkeit, die das nächste Jahrzehnt überdauern muss. Die Bedrohung 'harvest now, decrypt later' bedeutet, dass Angreifer verschlüsselten Verkehr und gespeicherte Daten heute aufzeichnen und später entschlüsseln, sobald ein kryptografisch relevanter Quantencomputer existiert. Jedes Geheimnis mit einer Vertraulichkeitsdauer über etwa 2030 hinaus ist bereits gefährdet, wenn es nur durch klassischen Schlüsselaustausch geschützt ist. Signaturen sind weniger dringend, da sie Fälschungen zum Verifizierungszeitpunkt verhindern, nicht rückwirkend.
Was ist Krypto-Agilität und warum ist sie wichtiger als die Algorithmuswahl? Krypto-Agilität ist die Fähigkeit, kryptografische Algorithmen, Schlüssellängen und Protokolle zu wechseln, ohne die abhängigen Systeme neu zu architektieren. Sie ist wichtiger als jeder einzelne Algorithmus, weil sich die Post-Quanten-Standards weiterentwickeln, Hybridmodi auslaufen und Sie Primitive mehr als einmal tauschen müssen. Organisationen, die Kryptografie hinter klaren Schnittstellen abstrahiert haben, migrieren in Monaten; jene mit fest verdrahteten Algorithmen brauchen Jahre.
Wie unterstützt Azure ML-KEM und ML-DSA? Microsoft hat ML-KEM und ML-DSA Ende 2024 in seine kryptografische Bibliothek SymCrypt aufgenommen, die Windows und viele Azure-Dienste trägt. Die Post-Quanten-Unterstützung von Azure Key Vault und Managed HSM verläuft über 2026 hinweg, wobei hybrider Schlüsselaustausch bereits verwaltete Front-Ends und Load Balancer erreicht. Planen Sie eine Übergangsphase ein, in der verschiedene Azure-Dienste zu unterschiedlichen Zeitpunkten PQC-reif werden, und richten Sie Ihr Inventar darauf aus, dies je Dienst nachzuverfolgen.
Wie lange dauert eine Post-Quanten-Migration realistisch? Für ein großes Unternehmen fünf bis fünfzehn Jahre von Anfang bis Ende. Allein die kryptografische Bestandsaufnahme — jede Stelle zu finden, an der Kryptografie über Anwendungen, Infrastruktur, Zertifikate und eingebettete Systeme hinweg genutzt wird — dauert typischerweise zwölf bis vierundzwanzig Monate, bevor die Migration beginnt. Der realistische Plan ist eine stufenweise Roadmap, die langlebige vertrauliche Daten und nach außen gerichteten Schlüsselaustausch zuerst priorisiert, danach Signaturen und PKI.
Die Post-Quanten-Migration belohnt Organisationen, die mit der Bestandsaufnahme beginnen und auf Agilität setzen, statt einem einzelnen Algorithmus hinterherzulaufen. Wenn Sie erfahrene Architekten möchten, die diese Arbeit gemacht haben, um Ihr kryptografisches Inventar zu prüfen oder Ihre Roadmap zu gestalten, hilft Ihnen unser Zero-Trust- und Security-Beratungsteam bei CC Conceptualise gerne weiter.
Themen