Warum ML-KEM-1024 der neue Standard für sichere Kommunikation ist

Fünfzig Jahre lang beruhte die asymmetrische Kryptografie auf zwei mathematischen Annahmen: der Schwierigkeit, große ganze Zahlen zu faktorisieren, und der Unlösbarkeit des Problems des diskreten Logarithmus über elliptischen Kurven. RSA, Diffie-Hellman und ECDH haben alles geschützt, von TLS-Handshakes bis zu militärischen Führungs- und Kontrollverbindungen, mit Sicherheitsmargen, die mit den Schlüsselgrößen mitwuchsen.

Der 1994 erstmals beschriebene Shor-Algorithmus brach dieses Paradigma auf theoretischer Ebene. Ein hinreichend großer fehlertoleranter Quantenrechner würde beide Probleme in polynomieller Zeit lösen und 3072-Bit-RSA sowie ECC P-256 zu trivial wiederherstellbaren Geheimnissen reduzieren. Was die Sicherheitsgemeinschaft ruhig hielt, war die ingenieurtechnische Lücke zwischen theoretischem Algorithmus und praktischer Maschine. Diese Lücke schließt sich schneller, als die meisten Verteidiger zuzugeben bereit sind.

Jüngste Fortschritte bei der Fehlerkorrektur logischer Qubits, bei Surface Codes und bei der dynamischen Schaltungskompilierung haben die glaubwürdigsten Q-Day-Schätzungen auf ein Fenster verkürzt, das im nächsten Jahrzehnt zentriert ist. Für alle Daten, die über dieses Fenster hinaus vertraulich bleiben müssen, ist die Bedrohung nicht hypothetisch: Sie ist bereits gegenwärtig in Form von harvest-now decrypt-later, also der heutigen Archivierung verschlüsselten Datenverkehrs, um ihn zu entschlüsseln, sobald die Hardware verfügbar ist [4][11].

ML-KEM steht für Module-Lattice-Based Key-Encapsulation Mechanism. Es handelt sich um ein Schlüsselkapselungsverfahren, nicht um eine digitale Signatur: Seine Aufgabe besteht darin, es zwei Parteien zu ermöglichen, sich über einen nicht vertrauenswürdigen Kanal auf ein symmetrisches Geheimnis zu einigen. Das zugrundeliegende harte Problem ist Module-LWE, eine strukturierte Variante von Learning With Errors über polynomiellen Ringen, für die heute kein subexponentieller Quantenalgorithmus bekannt ist [5].

Die FIPS 203 spezifiziert drei Parametersätze [1]. ML-KEM-512 zielt auf die NIST-Sicherheitskategorie 1 (etwa AES-128). ML-KEM-768 zielt auf Kategorie 3 (AES-192). ML-KEM-1024 zielt auf Kategorie 5 (AES-256). Die Unterschiede liegen in den Gitterdimensionen und den Rauschparametern, nicht in der algorithmischen Struktur. Die Primitiven für Kapselung, Entkapselung und Schlüsselgenerierung sind in allen drei Fällen identisch.

Der Größenaufwand ist moderat, aber nicht zu vernachlässigen. Ein öffentlicher Schlüssel von ML-KEM-1024 belegt 1568 Byte, ein Ciphertext 1568 Byte, ein geheimer Schlüssel 3168 Byte. Verglichen mit den 32 Byte eines öffentlichen X25519-Schlüssels handelt es sich um einen Zuwachs um etwa das 49-Fache. Für einen TLS-Handshake bedeutet dies einige zusätzliche Kilobyte pro Sitzung. Für die meisten Anwendungen ist dies irrelevant. Für eingeschränkte Funkverbindungen erfordert dies ingenieurtechnische Aufmerksamkeit [6].

Die pragmatische Frage für jeden Systemarchitekten lautet, welcher Parametersatz einzusetzen ist. Das NIST akzeptiert ML-KEM-768 als Standardvorgabe für den überwiegenden Teil der bundesstaatlichen Nutzung. Die NSA schreibt über die Direktive CNSA 2.0 ML-KEM-1024 für alle National Security Systems und für sämtliche als Secret oder höher eingestuften Daten vor [4]. Die technische Richtlinie TR-02102-1 des deutschen BSI empfiehlt analog Parameter der Kategorie 5 für alle Daten mit einem Schutzhorizont von mehr als zehn Jahren [9].

Das Argument für ML-KEM-1024 lautet nicht, dass ML-KEM-768 kompromittiert wäre. Es lautet, dass die Sicherheitsmarge gegenüber künftigen kryptanalytischen Fortschritten spürbar größer ist. Die Gitterkryptanalyse ist ein aktives Feld, und mehrere jüngere Arbeiten haben die Kostenmodelle der BKZ-Familie von Gitterreduktionsalgorithmen verfeinert. Jede Verfeinerung hat das vermutete Sicherheitsniveau von ML-KEM-768 um einige Bits abgesenkt. Keine hat hingegen die Marge von ML-KEM-1024 angetastet.

Für souveräne Kommunikation, Verteidigungsanwendungen und langlebige Industriegeheimnisse ist der Fall eindeutig. Die Leistungsdifferenz zwischen Kategorie 3 und Kategorie 5 liegt in der Größenordnung von 30 bis 40 Prozent an CPU-Zyklen, was für einen Schlüsselaustausch, der einmal pro Sitzung stattfindet, operativ unsichtbar ist. Die Bandbreitendifferenz ist vergleichbar. Es gibt keinen verteidigungsfähigen Grund, den kleineren Parametersatz zu wählen, wenn Daten mit einer mehrere Jahrzehnte umfassenden Vertraulichkeitsanforderung geschützt werden.

Alle glaubwürdigen Einsatzempfehlungen, von der NIST SP 800-227 [10] über die ETSI-Arbeiten zu hybriden Mechanismen bis zum deutschen BSI [9], empfehlen die hybride Schlüsseletablierung während der Übergangsphase. Ein hybrides Verfahren kombiniert eine klassische Primitive (typischerweise X25519 oder ECDH P-384) mit ML-KEM-1024 und leitet den finalen Sitzungsschlüssel aus beiden gemeinsamen Geheimnissen über eine KDF wie HKDF-SHA384 ab.

Die Begründung ist vorsorglich. ML-KEM ist jung. Es hat vier Runden öffentlicher Analyse innerhalb des PQC-Prozesses des NIST überstanden [3], doch die kryptanalytische Gemeinschaft hatte weniger als ein Jahrzehnt, um die endgültige Fassung zu untersuchen. Ein subtiler Mangel in der Gitterformulierung, im Rauschsampling oder in der Implementierung könnte grundsätzlich die effektive Sicherheit verringern. Die klassische Primitive ist das Sicherheitsnetz: Solange mindestens eines der beiden zugrundeliegenden Probleme schwer bleibt, bleibt der Sitzungsschlüssel nicht wiederherstellbar.

Die Kosten der Hybride bestehen aus einer zusätzlichen Skalarmultiplikation und einem KDF-Aufruf, also praktisch nichts. Die Komplexitätskosten sind real und genau dort scheitern die meisten Projekte. Die KDF-Eingaben müssen korrekt geordnet sein. Die Längenkodierung muss eindeutig sein. Das Versagen einer Komponente darf keine Informationen über die andere preisgeben. Die IETF-Entwürfe zur Hybride, insbesondere draft-ietf-tls-hybrid-design [7], erfassen den Konsens zu diesen Details.

ML-KEM ist strukturell einfach, aber operativ unnachsichtig. Die Fujisaki-Okamoto-Transformation, die zur Erreichung der IND-CCA2-Sicherheit verwendet wird, stützt sich auf eine Wiederverschlüsselungsprüfung innerhalb der Entkapselung. Implementierungen, die auf das Ergebnis dieser Prüfung verzweigen oder zeitliche Informationen darüber preisgeben, werden anfällig für Chosen-Ciphertext-Angriffe, die den langfristigen geheimen Schlüssel in wenigen Minuten wiederherstellen können. Eine constant-time-Implementierung ist keine Empfehlung, sondern eine Anforderung.

Die Polynomarithmetik über dem Ring Z_q[x]/(x^256 + 1) mit q = 3329 wird typischerweise über die Number Theoretic Transform beschleunigt. NTT-Implementierungen, die nicht-constant-time-Modulreduktionen verwenden oder über Cache-Timing leaken, wurden in veröffentlichten Seitenkanalangriffen kompromittiert [6]. Hardware-Implementierungen auf FPGAs und dedizierten Beschleunigern haben vollständig constant-time NTT demonstriert, doch reine Software-Einsätze auf Allzweck-CPUs erfordern sorgfältige Codierung und regelmäßige Überprüfung mit Werkzeugen wie ctgrind oder dudect.

Die Zufallszahlenerzeugung für das Rauschsampling ist eine weitere Schwachstelle. Die Referenzimplementierung verwendet SHAKE-128, das von einem 32-Byte-Geheimnis geseedet wird. Jede Verringerung der Entropie dieses Seeds kompromittiert das gesamte Verfahren. Die einzige akzeptable Produktionskonfiguration ist Hardware-Entropie aus einem zertifizierten TRNG, kombiniert mit einem DRBG, der NIST SP 800-90A entspricht.

Die ENISA-Integrationsstudie zur post-quanten Kryptografie definiert die europäische Grundlage für die Migration [8]. Die Mitgliedstaaten übersetzen dies nun in nationale Vorgaben: Das deutsche BSI hat seinen kryptografischen Katalog um ML-KEM-1024 und ML-DSA-87 herum ausgerichtet [9], und die französische ANSSI hat technische Positionen erlassen, die hybride PQC für qualifizierte Produkte fordern.

Für Hersteller, die in die europäische kritische Infrastruktur, Verteidigung, Telekommunikation oder Finanzwirtschaft liefern, ist die operative Implikation konkret. Jedes Produkt, dessen zertifizierter Lebenszyklus über 2030 hinausreicht, muss bereits einen PQC-Migrationspfad enthalten. Jedes Produkt, das ab 2026 auf den Markt kommt und langzeitvertrauliche Anwendungsfälle adressieren will, muss mit standardmäßig aktivierter PQC ausgeliefert werden. Kunden werden zunehmend nicht mehr fragen, ob Sie PQC unterstützen, sondern welchen Parametersatz Sie ausliefern und wie die Hybride aufgebaut ist [7].

Wenn Sie Systeme betreiben oder bauen, die Daten mit einem Vertraulichkeitsfenster von mehr als fünf Jahren schützen, ist ML-KEM-1024 im Hybridmodus die neue Ausgangsbasis. Standardmäßig ML-KEM-768 zu wählen, um wenige Kilobyte einzusparen, ist eine Scheinersparnis: Sie werden dasselbe System in drei Jahren unter regulatorischem Druck zu deutlich höheren Kosten neu aufbauen.

Praktische erste Schritte: Inventarisieren Sie jede Stelle in Ihrem Stack, an der RSA, ECDH oder DH auftritt. Identifizieren Sie, welche davon Daten mit einer langfristigen Vertraulichkeitsanforderung berühren. Sprechen Sie Ihre TLS-, VPN- und HSM-Lieferanten zu deren PQC-Roadmaps an und fordern Sie hybrides ML-KEM-1024 mit X25519. Folgen Sie für proprietäre Protokolle den IETF-Entwürfen zur Hybride, anstatt eigene Kompositionen zu basteln [7].

Der Übergang wird nicht günstig sein, doch die Alternative ist schlechter. Heute exfiltrierte und 2032 entschlüsselte Daten sind kein hypothetisches Risiko: Sie sind die explizite operative These jeder staatlichen Signals-Intelligence-Behörde des Planeten. ML-KEM-1024 ist die vorsorgliche, verteidigungsfähige und regulatorisch ausgerichtete Antwort auf diese These. Es ist der neue Standard, weil es keinen glaubwürdigen Grund mehr gibt, etwas Schwächeres zu wählen [1][4][9].