Am 19. Februar veröffentlichte das australische Signals Directorate einen Einführungsleitfaden zur Quantentechnologie für Organisationen. Er ist es wert, vollständig gelesen zu werden. Ebenso bemerkenswert ist, was er nicht enthält: Qubit-Schätzungen.
Keine Diskussion darüber, wie viele physische Qubits benötigt werden, um RSA-2048 zu faktorisieren. Kein Vergleich von Surface Codes und QLDPC-Architekturen. Keine Gidney-Ekerå-Zitate. Stattdessen konzentriert sich ASD darauf, was Organisationen jetzt tun sollten — ausgehend von der Annahme, dass ein kryptographisch relevanter Quantencomputer irgendwann existieren wird und dass heute abgefangene Daten dann entschlüsselt werden können.
Die falsche Frage
Ein erheblicher Teil der öffentlichen Diskussion über Post-Quanten-Kryptographie dreht sich um Hardware-Zeitpläne. Wie viele Qubits braucht man, um RSA-2048 zu brechen? Ist die Pinnacle-Architektur realistisch? Sind wir fünf oder fünfzehn Jahre entfernt?
Das sind interessante Fragen für Physiker und Hardware-Ingenieure. Für Sicherheitsteams, CISOs oder Beschaffungsverantwortliche sind sie nicht hilfreich.
Das Bedrohungsmodell, das die PQC-Migration antreibt, lautet nicht „ein Quantencomputer wird an einem bestimmten Datum erscheinen.“ Das Bedrohungsmodell ist Harvest Now, Decrypt Later: Ein Angreifer fängt heute verschlüsselten Datenverkehr ab und speichert ihn, bis eine Entschlüsselung möglich wird. Die relevante Variable ist das Vertraulichkeitsfenster der Daten, nicht das Lieferdatum der Hardware. Wenn Ihre Organisation Daten verarbeitet, die zehn Jahre oder länger vertraulich bleiben müssen — Finanzdaten, medizinische Daten, juristische Kommunikation, Regierungsinformationen, geistiges Eigentum — dann ist der Migrationszeitplan bereits bindend, unabhängig davon, wann ein CRQC einsatzbereit ist.
Die Organisationen mit dem größten Einblick in tatsächliche Bedrohungszeitpläne haben bereits nach dieser Logik gehandelt. Das CNSA 2.0-Rahmenwerk der NSA verlangt, dass alle neuen Beschaffungen für National Security Systems bis zum 1. Januar 2027 konform sind, alle nicht konformen Geräte bis zum 31. Dezember 2030 ausgemustert werden und bis 2035 vollständige Quantenresistenz erreicht ist. Australiens ASD hat für Regierungssysteme von RSA abgeraten. Frankreichs ANSSI, Deutschlands BSI, das britische NCSC und die G7 Cyber Expert Group haben alle entsprechende Leitlinien veröffentlicht. Keiner dieser Zeitpläne ist an einen Qubit-Meilenstein gebunden. Sie werden von der Erkenntnis getrieben, dass eine Migration Jahre dauert und dass ein verspäteter Beginn einen verspäteten Abschluss bedeutet.
Die Middleware-Lücke
Die oben genannten Fristen setzen voraus, dass Organisationen migrieren können. In der Praxis ist das Hindernis nicht fehlendes Bewusstsein — sondern die schichtweise Umsetzung.
Microsofts SymCrypt-Bibliothek unterstützt ML-KEM. SQL Server handelt es nicht aus. Ein Cloud-Anbieter terminiert möglicherweise TLS 1.3 mit hybridem Schlüsselaustausch an seiner Edge-Infrastruktur, aber der interne Service-zu-Service-Datenverkehr dahinter nutzt weiterhin klassisches ECDH. Ein HSM-Hersteller wirbt mit PQC-Bereitschaft; die Zertifikatskette, die das HSM schützt, enthält keine Post-Quanten-Komponente. Ein Browser handelt X25519MLKEM768 mit einem CDN aus, aber der Origin-Server hinter dem CDN spricht RSA-2048.
Jedes dieser Szenarien ist ein reales Muster, das heute in Produktionsinfrastrukturen zu beobachten ist. Keines davon taucht in einer Qubit-Schätzung auf.
Transportsicherheit, Identitätsprüfung, Code-Signierung, Schlüsselverwaltung und Verschlüsselung ruhender Daten haben jeweils unterschiedliche Migrationspfade, unterschiedliche Lieferantenabhängigkeiten und unterschiedliche Zeitpläne. Eine Organisation kann auf einer Ebene post-quantensicher sein und auf der nächsten vollständig klassisch. Das Ergebnis ist ein Flickenteppich, der kein Compliance-Rahmenwerk erfüllt und gegen kein kohärentes Bedrohungsmodell schützt. Das ist das eigentliche Engineering-Problem der PQC-Migration, und es bleibt unsichtbar für alle, die sich darauf konzentrieren, wann die Hardware verfügbar sein wird. Sichtbar wird es für jeden, der reale Infrastrukturen scannt und verfolgt, was sich im Laufe der Zeit verändert.
Was Sie messen sollten
Wenn die Middleware-Lücke das Problem ist, dann sind die nützlichen Metriken diejenigen, die sie sichtbar machen:
Vollständigkeit der kryptographischen Bestandsaufnahme. Wissen Sie, welche Algorithmen in Ihren Systemen zum Einsatz kommen, einschließlich eingebetteter und Legacy-Infrastruktur?
PQC-Aushandlungsrate. Welcher Anteil Ihrer externen Verbindungen handelt heute erfolgreich einen Post-Quanten-Schlüsselaustausch aus?
Migrationsverlauf. Steigt dieser Anteil, sinkt er oder stagniert er? Über welchen Zeitraum?
Lieferantenbereitschaft. Welche Ihrer kritischen Zulieferer haben PQC-Zeitpläne veröffentlicht? Welche haben nicht geantwortet?
Compliance-Lücke. Gemessen an CNSA 2.0, BSI TR-02102 oder dem für Ihre Branche geltenden Rahmenwerk — wo stehen Sie, und wie groß ist die Abweichung?
Das sind die Eingangsdaten für einen Migrationsplan. Ein Werkzeug, das diese Fragen beantwortet, ist nützlicher als eines, das Qubit-Zahlen schätzt — und genau das ist der Grundgedanke hinter pqprobe.
ASD hat keinen Leitfaden darüber veröffentlicht, wie viele Qubits man braucht, um RSA zu brechen. Es hat fünf Risiken und eine Handlungsempfehlung veröffentlicht. Die Qubit-Frage wird sich von selbst beantworten. Die Migration nicht.