Was "harvest now, decrypt later" bedeutet
Harvest now, decrypt later (HNDL) ist eine Angriffsstrategie, bei der ein Angreifer verschlüsselte Kommunikation heute aufzeichnet, den Chiffretext unbegrenzt speichert und ihn entschlüsselt, sobald kryptoanalytisch relevante Quantencomputer den Public-Key-Schlüsselaustausch brechen können, der ihn schützte. Die Aufzeichnung geschieht jetzt; die Kompromittierung Jahre später. Alle Daten, deren Geheimhaltung diese Zeitspanne überdauern muss, sind bereits exponiert.
Das ist kein Panikszenario von Anbietern, sondern eine Planungsannahme innerhalb der Standardisierungsgremien selbst. Der Post-Quanten-Übergangsbericht des NIST, IR 8547, erklärt, das NIST werde "die Migration zu quantenresistenten Schlüsselaushandlungsverfahren priorisieren", und zwar ausdrücklich, "um vor 'harvest now, decrypt later'-Angriffen zu schützen, insbesondere in interaktiven Protokollen wie TLS und IKE" [2]. Wenn die Institution, die die kryptografischen Standards schreibt, ihre eigene Migration um einen Angriff herum plant, hat dieser Angriff aufgehört, hypothetisch zu sein.
Warum aufgezeichnete Anrufe das bevorzugte Ziel sind
Die massenhafte Erfassung von Transitverkehr ist eine dokumentierte, jahrzehntealte Praxis von Signals-Intelligence-Diensten, und die Speicherung ist der billigste Teil der Operation. Was Sprache besonders exponiert, ist das Missverhältnis zwischen der Dauer, für die ein Gespräch sensibel bleibt, und der Kürze, für die sein Schutz ausgelegt wurde. Ein Anruf zu einer Verteidigungsbeschaffung, ein diplomatischer Austausch oder eine M&A-Verhandlung können noch zehn, zwanzig oder dreißig Jahre später Schaden anrichten, wenn sie offengelegt werden. In den meisten VoIP-Installationen hängt die Vertraulichkeit des gesamten Anrufs jedoch an einem einzigen Sitzungsschlüssel, der beim Rufaufbau mit klassischem Elliptische-Kurven-Diffie-Hellman ausgehandelt wird — genau die Klasse von Primitiven, die Shors Algorithmus bricht.
Die Risikotaxonomie der EU macht denselben Punkt. Die PQC-Roadmap der NIS-Kooperationsgruppe stuft einen Anwendungsfall als hochriskant ein, wenn "eine Kompromittierung der Vertraulichkeit nach 10 oder mehr Jahren noch erheblichen Schaden verursachen würde", und ergänzt, dies "impliziert insbesondere, dass Angreifer eine starke Motivation haben, solche verschlüsselten Informationen schon heute zu erfassen und zu speichern, um die Verschlüsselung künftig zu brechen" [3]. Die Sprachkommunikation von Regierungen, Verteidigung und Vorständen fällt fast per Definition darunter. Und anders als ein gestohlenes Passwort lässt sich ein aufgezeichnetes Gespräch nachträglich weder rotieren noch widerrufen noch neu verschlüsseln. Der Chiffretext, den der Angreifer bereits besitzt, ist endgültig.
Die Fristenrechnung: das Mosca-Theorem
Das Standardwerkzeug, um über die Frist nachzudenken, ist die Ungleichung von Michele Mosca von der University of Waterloo. Sei x die Zahl der Jahre, die Ihre Daten vertraulich bleiben müssen, y die Zahl der Jahre, die Ihre Migration dauert, und z die Zahl der Jahre, bis ein kryptoanalytisch relevanter Quantencomputer existiert. Immer wenn x + y > z gilt, wird ein Teil der heute verschlüsselten Daten innerhalb seiner Geheimhaltungsdauer lesbar sein. In der Notiz von 2015, in der er das Argument darlegte, schätzte Mosca "eine 1/2-Chance, RSA-2048 bis 2031 zu brechen" [1].
Die Schätzungen für z variieren — genau deshalb werden sie systematisch erhoben. Der Quantum Threat Timeline Report des Global Risk Institute mit evolutionQ — eine jährliche Umfrage, deren Ausgabe 2024 die Einschätzungen von 32 Fachleuten bündelt — kam zu dem Schluss, die Bedrohung "könnte näher sein als bisher angenommen" [6]. Entscheidend ist jedoch, wie wenig die Unsicherheit über z für Sprache ins Gewicht fällt. Mit x zwischen 10 und 25 Jahren für die oben beschriebenen Gespräche und y bei realistischen 3 bis 5 Jahren Unternehmensmigration sind heutige Anrufe nur sicher, wenn z etwa 15 bis 30 Jahre übersteigt. Keine ernsthafte veröffentlichte Schätzung bietet diesen Trost.
Die Fristen stehen bereits fest
In den USA terminiert NIST IR 8547 — der am 12. November 2024 als erster öffentlicher Entwurf veröffentlichte Übergangsplan — quantenverwundbare Public-Key-Kryptografie, einschließlich RSA und Elliptische-Kurven-Verfahren auf dem 112-Bit-Sicherheitsniveau, als "deprecated" nach 2030 und vollständig "disallowed" nach 2035, im Einklang mit dem Ziel des National Security Memorandum 10, das Quantenrisiko bis 2035 zu mindern [2].
In der Europäischen Union beauftragte die Empfehlung der Kommission vom 11. April 2024 die NIS-Kooperationsgruppe mit einer koordinierten Roadmap. Deren erstes Ergebnisdokument setzt drei Meilensteine: Alle Mitgliedstaaten starten nationale PQC-Übergangsstrategien und schließen die First Steps der Roadmap bis Ende 2026 ab; hochriskante Anwendungsfälle werden "so bald wie möglich, spätestens bis Ende 2030" migriert; Anwendungsfälle mit mittlerem Risiko folgen bis Ende 2035, wobei hybride Lösungen aus klassischer Kryptografie plus PQC empfohlen werden, wo immer machbar [3].
Frankreichs ANSSI hat einen Übergang in drei Phasen veröffentlicht: Phase 1 (heute), in der hybride Post-Quanten-Schlüsselaushandlung Verteidigung in der Tiefe liefert; Phase 2 (nicht vor 2025), in der Quantenresistenz beansprucht werden darf, Hybridisierung aber verpflichtend bleibt; Phase 3 (voraussichtlich nicht vor 2030), in der alleinstehende PQC akzeptabel wird. Die ANSSI empfiehlt ausdrücklich, Post-Quanten-Verteidigung in der Tiefe so früh wie möglich für Produkte einzuführen, die Informationen über 2030 hinaus schützen sollen [4]. Liest man die drei Dokumente zusammen, ist die Botschaft konsistent: 2030 und 2035 sind Obergrenzen für die allgemeine Migration — für Daten mit langer Geheimhaltungsdauer legt die Logik der Regulierer die Frist in die Gegenwart.
Was "quantensichere Sprachkommunikation" wirklich erfordert
Beginnen wir mit dem, was nicht gebrochen ist. AES-256-GCM, die symmetrische Chiffre, die in seriösen Sprachsystemen den Medienstrom verschlüsselt, ist nicht die Schwachstelle. Der beste bekannte Quantenangriff auf symmetrische Chiffren, Grovers Algorithmus, halbiert höchstens die effektive Schlüssellänge, und NIST IR 8547 bestätigt, dass symmetrische Primitive mit mindestens 128 Bit klassischer Sicherheit voraussichtlich angemessen bleiben [2]. AES-256 liegt weit über dieser Linie. Behauptungen, Quantencomputer würden "AES brechen", sind Marketing, keine Kryptoanalyse.
Die Schwachstelle ist der Schlüsselaustausch. Der Sitzungsschlüssel, den AES-256 verwendet, wird auf fast jeder bestehenden Sprachplattform mit RSA oder Elliptische-Kurven-Diffie-Hellman ausgehandelt — und genau das besiegt Shors Algorithmus. Quantensichere Sprachkommunikation erfordert daher eine konkrete, prüfbare Eigenschaft: ein standardisiertes Post-Quanten-KEM — ML-KEM, standardisiert in FIPS 203 und am 13. August 2024 finalisiert [5] —, das die Aushandlung des Sitzungsschlüssels jedes Anrufs schützt, eingesetzt jetzt und nicht erst zur Frist 2030, idealerweise in hybrider Kombination mit einem klassischen Verfahren, wie es EU-Roadmap und ANSSI empfehlen [3][4]. Jeder Anruf vor dieser Umstellung ist ein weiterer klassischer Chiffretext in irgendeinem Archiv.
Sprache verlangt eine Präzisierung, die generische PQC-Checklisten übersehen: Ein Post-Quanten-TLS-Tunnel zu Ihrem SIP-Anbieter macht den Anruf nicht quantensicher. Werden die Medienschlüssel von einem Server erzeugt, abgeleitet oder hinterlegt, der sie mit klassischer Kryptografie ausgehandelt hat, bleibt der erfasste Verkehr unabhängig vom Transport brechbar. Das KEM muss den Ende-zu-Ende-Pfad des Medienschlüssels selbst schützen.
Eine Migrations-Checkliste für Sprachkommunikation
Zuerst inventarisieren und klassifizieren. Kartieren Sie jeden Pfad, auf dem Sprache Infrastruktur durchquert, die Sie nicht kontrollieren — Carrier-Netze, Konferenz-Clouds, SIP-Trunks, Roaming-Strecken — und weisen Sie jedem Fluss eine Geheimhaltungsdauer zu. Nach der Definition der EU-Roadmap gehört alles, was nach zehn Jahren noch Schaden anrichtet, in die Hochrisikoklasse und migriert zuerst [3].
Verlangen Sie dann Belege statt Roadmaps. Eine glaubwürdige Anbieterantwort auf "Sind Sie quantensicher?" benennt das KEM (ML-KEM nach FIPS 203), erklärt, ob es hybrid läuft, zeigt Known-Answer-Test-Ergebnisse gegen die offiziellen Testvektoren und legt dar, wo Medienschlüssel erzeugt und gespeichert werden. Krypto-Agilität — die Fähigkeit, die kryptografischen Algorithmen eines Produkts zu aktualisieren, ohne es zurückzurufen oder zu ersetzen — sollte Vertragsbestandteil sein; die ANSSI ermutigt ausdrücklich zu Krypto-Agilität in künftigen Produkten [4].
Sequenzieren Sie schließlich nach Geheimhaltungsdauer, nicht nach Beschaffungskomfort. Die Gespräche, deren Mitschriften 2040 noch zählen, migrieren zuerst. Auf den Abschluss von Zertifizierungszyklen zu warten, bevor PQC in den Schlüsselaustausch kommt, ist selbst eine Risikoentscheidung: Jeder Monat Verzögerung ist ein weiterer Monat erfassbaren Chiffretexts, den kein künftiges Audit zurückholen kann.
Wo Q-Audion steht
Diese Analyse ist die Entwurfsprämisse von Q-Audion, dem hardwareverschlüsselten Anti-Abhör-Sprachsystem von BCrypto aus Turin. Q-Audion implementiert ML-KEM-1024 — den höchsten Parametersatz von FIPS 203 — in einem dedizierten Hardware-Kryptobeschleuniger für die Schlüsselaushandlung jedes Anrufs, mit AES-256-GCM für den Medienstrom. Sein zum Patent angemeldetes "DMA Air-Gap" platziert ein dediziertes MEMS-Mikrofon in einer Secure Enclave auf Basis eines ARM-TrustZone-M-TEE, galvanisch vom Host-Telefon isoliert, sodass das Host-Betriebssystem den Audiopfad nie berührt; ein TinyML-Modell prüft Audio auf dem Gerät gegen Deepfakes. Das System umfasst einen verschlüsselten Ohrhörer, Android-, iOS- und Desktop-Apps, einen souveränen Server und ein PQC-VPN, funktioniert neben Standard-BYOD-Telefonen und beruht auf einer in der EU entworfenen Lieferkette. Drei Patente wurden 2026 beim italienischen Patentamt (UIBM) eingereicht.
Der ehrliche Status: Q-Audion steht bei TRL 6 — Firmware funktional vollständig, mit Known-Answer-Tests, die jeden Build der plattformübergreifenden CI absichern — und besitzt noch keine FIPS-140-3-, Common-Criteria- oder nationale Behördenzertifizierung. Organisationen, die heute zertifizierte Ausrüstung benötigen, sollten das offen abwägen. Doch harvest-now-decrypt-later kehrt die übliche Reihenfolge um: Zertifizierung schützt in der Prüfung von morgen, Post-Quanten-Schlüsselaushandlung schützt vor der Aufzeichnung von heute. Für Gespräche, deren Geheimhaltung ein Jahrzehnt überdauern muss, läuft die zweite Uhr bereits.