Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

Die Zeit leistungsfähiger Quantencomputer rückt näher – und mit ihr die Notwendigkeit, Verschlüsselungsverfahren auf Post-Quanten-Kryptografie (PQC) umzustellen. Für IT-Verantwortliche bedeutet das eine komplexe und langwierige Aufgabe: Die gesamte Kryptolandschaft muss erfasst, bewertet, priorisiert und auf Basis dieser Analyse ein konkreter Migrationsplan erstellt werden. Dabei ist der direkte Wechsel auf die neuen, vom NIST freigegebenen PQC-Standards nicht immer die beste Lösung.

Oft lohnt sich ein anderer Ansatz: hybride Verschlüsselungsverfahren. Sie kombinieren klassische, seit Jahrzehnten bewährte Algorithmen mit den neuen, quantenresistenten Verfahren. So entsteht eine doppelte Absicherung – einerseits bleibt die Rückwärtskompatibilität zu bestehenden Systemen erhalten, andererseits ist man für die Bedrohungen des Quantenzeitalters gewappnet. Das schützt nicht nur vor Performance-Einbußen, sondern bietet auch eine schnelle und wirksame „Defense in Depth“ gegen Strategien wie Harvest Now, Decrypt Later.

Hybride Verfahren sind besonders sinnvoll in:

• Multi-Vendor- und komplexen Systemen, die auf klassischer Kryptografie basieren und nicht komplett neu entwickelt werden können
• Kritischen Infrastrukturen (KRITIS) und anderen Umgebungen mit hohen oder sehr hohen Sicherheitsanforderungen
• Systemen mit langfristig vertraulichen Daten, die über viele Jahre geschützt bleiben müssen

Wie funktioniert Hybrid-Verschlüsselung?

Das Prinzip ist einfach: Klassische und quantenresistente Algorithmen werden kombiniert, sodass Daten doppelt verschlüsselt sind. Dadurch lassen sich sowohl Abwärtskompatibilität als auch Quantenresistenz sicherstellen.

Die Herausforderungen

Die Umstellung auf Hybridverfahren ist in der Regel aufwendiger als der direkte Wechsel zu reiner PQC. Zusätzlicher Aufwand entsteht unter anderem in folgenden Bereichen:

• Protokolldesign und Kombinationslogik – Einrichtung einer Hybridisierungsschicht, Auswahl der Hybridisierungsart und Absicherung der Kompatibilität
• Overhead und Performance – doppelte Verschlüsselung erzeugt größere Datenpakete und komplexere Optimierungsstrategien
• Fehlermanagement und Resilienz – höhere Komplexität bei Fehlerbehandlung und Ausfallsicherheit
• Implementierung und Tests – mehr Entwicklungs- und Testaufwand, stärkere Krypto-Agilität erforderlich
• Kompatibilität und Standardisierung – mehrere Migrationsschritte, da Hybridlösungen Übergangslösungen sind

Der Schlüssel zum Erfolg

Auch wenn die Umstellung auf den ersten Blick aufwendig wirkt, lässt sie sich mit der richtigen Unterstützung effizient umsetzen – etwa durch eine moderne, automatisierte Lösung zum Management der Public Key Infrastructure (PKI).

Mit einem leistungsfähigen PKI-Management-Tool lassen sich bestehende Verschlüsselungsstrukturen vollständig erfassen, analysieren und schrittweise auf PQC- oder Hybridverfahren umstellen. So kann auch in hochsensiblen Systembereichen mit strengen Anforderungen an Betriebskontinuität und Sicherheit eine zukunftssichere Verschlüsselung erfolgreich umgesetzt werden.