Zwei am 31. März 2026 veröffentlichte Arbeiten kamen aus unterschiedlichen Hardware-Architekturen zum selben Ergebnis: ECC-256 fällt vor RSA-2048. Der Abstand ist groß. Ein bis zwei Größenordnungen in der Laufzeit.
Die erste, von Oratomic und Caltech, zeigt, dass Shors Algorithmus auf kryptographischer Skala mit nur 10.000 rekonfigurierbaren Neutral-Atom-Qubits ausgeführt werden kann. Mit 26.000 physischen Qubits wird der diskrete Logarithmus der elliptischen Kurve P-256 in Tagen gelöst. Die RSA-2048-Faktorisierung auf derselben Architektur dauert 10- bis 100-mal länger. Die zweite, von Google Quantum AI, kompiliert zwei Schaltkreisvarianten für ECDLP-256, die weniger als 1.200 logische Qubits und weniger als 500.000 physische supraleitende Qubits benötigen und in Minuten ausführbar sind. Das ist eine 20-fache Reduktion gegenüber früheren Schätzungen.
Diese Ergebnisse folgen einer konsistenten Trajektorie. Die Ressourcenschätzungen für das Brechen klassischer Kryptographie werden seit über einem Jahrzehnt stetig komprimiert.
Das schrumpfende Ziel
2012 schätzten Fowler et al., dass die Faktorisierung von RSA-2048 etwa eine Milliarde physische Qubits erfordern würde. 2019 brachten Gidney und Ekera das auf 20 Millionen physische Qubits in acht Stunden. Im Mai 2025 komprimierte Gidneys Folgearbeit das weiter auf unter eine Million Qubits in unter einer Woche. Die Pinnacle-Architektur-Analyse Anfang 2026 erreichte etwa 100.000 Qubits mit QLDPC-Codes. Jetzt schätzt Oratomic 11.000 bis 14.000 physische Neutral-Atom-Qubits, mit einem längeren Laufzeit-Kompromiss.
Fünf Größenordnungen in vierzehn Jahren. Jede Reduktion kam aus einer anderen Quelle: bessere Algorithmen, bessere Fehlerkorrekturcodes, bessere Schaltkreiskompilierung, bessere Hardware-Architekturen. Die Reduktionen beschleunigen sich. Sie stapeln sich.
ECC-256 folgte derselben Trajektorie. Roetteler et al. schätzten 2017 2.330 logische Qubits für P-256. Bis 2023 erreichten Gouzien et al. etwa 126.000 physische Qubits mit Cat-Code-Architekturen. Eine Arbeit von 2026 von Chevignard, Fouque und Schrottenloher brachte die Anzahl logischer Qubits auf 1.098. Jetzt erreicht Google weniger als 1.200 logische Qubits mit weniger als 500.000 physischen supraleitenden Qubits, und Oratomic erreicht 10.000 bis 26.000 Neutral-Atom-Qubits.
Die Richtung ist konsistent über jede Hardware-Plattform und jede Forschungsgruppe hinweg. Die einzige Variable ist die Rate der Kompression.
Aktuelle Neutral-Atom-Experimente haben Fangfelder mit mehr als 6.000 Qubits demonstriert. Oratomic, das als Unternehmen zusammen mit der Arbeit gegründet wurde, betrachtet 10.000 Qubits als Ingenieursziel und nicht als Physikproblem. Die Lücke zwischen Ressourcenschätzungen und verfügbarer Hardware schließt sich von beiden Seiten.
Die Prioritätsumkehr
Die meisten PQC-Migrationsrichtlinien behandeln klassische Kryptographie als eine einzige Kategorie. Weg von RSA, ECC und DH migrieren. Die Zeitpläne, die Dringlichkeit, die Projektpläne gehen alle davon aus, dass diese Algorithmen ein gemeinsames Ablaufdatum haben.
Das ist nicht der Fall.
ECC wurde zum dominierenden Standard, gerade weil es gleichwertige klassische Sicherheit mit kleineren Schlüsseln bietet. P-256 bietet 128-Bit klassische Sicherheit mit einem 256-Bit-Schlüssel. RSA-3072 erreicht dasselbe mit 12-mal größeren Schlüsseln. Diese Effizienz machte ECC zum Standard für TLS-1.3-Handshakes, Code-Signierung, Authentifizierungstoken, FIDO2/WebAuthn und Zertifizierungsstellen.
Shors Algorithmus interessiert sich nicht für klassische Sicherheitsäquivalenz. Er interessiert sich für die Größe der beteiligten Zahlen. Kleinere Schlüssel bedeuten weniger Qubits. Die Eigenschaft, die ECC in moderner Infrastruktur dominant machte, macht es zum leichteren Quantenziel.
Das erzeugt eine Prioritätsumkehr für die Migrationsplanung. Der Algorithmus, der am weitesten in modernen Systemen verbreitet ist, ist derjenige, der zuerst bricht.
Was tatsächlich im Einsatz ist
Die Berichterstattung über diese Arbeiten hat sich fast ausschließlich auf Kryptowährungs-Wallets und Bitcoins secp256k1-Kurve konzentriert. Das ist eine enge Lesart. ECC-256 schützt weit mehr als Blockchain-Transaktionen.
TLS 1.3 verhandelt standardmäßig ECDHE-Schlüsselaustausch. ECDSA-Zertifikate sind der Standard für moderne Zertifizierungsstellen. SSH-Schlüsselpaare verwenden zunehmend Ed25519 oder ECDSA statt RSA. FIDO2 und Passkeys setzen auf P-256 für die Geräteattestierung. Code-Signierung in den Ökosystemen von Apple, Google und Microsoft verwendet ECC. E-Mail-Verschlüsselung über S/MIME verwendet häufig ECC-Zertifikate.
RSA-2048 ist in älterer Infrastruktur noch vorhanden: ältere Zertifikate, PGP-Schlüssel, einige SSH-Deployments, Regierungssysteme mit langen Beschaffungszyklen. Aber der Trend des letzten Jahrzehnts war eine Migration von RSA zu ECC, was bedeutet, dass die modernsten, zuletzt eingesetzten Systeme am stärksten der näheren Quantenbedrohung ausgesetzt sind.
Organisationen, die in den letzten fünf Jahren eine RSA-zu-ECC-Migration abgeschlossen und die Aufgabe als erledigt betrachtet haben, stehen nun früher als erwartet vor einer zweiten Migration.
Exposition messen
Die operative Frage ist, welcher Anteil ECC gegenüber RSA beträgt und wo.
Ein TLS-Scan liefert den Zertifikatsschlüsseltyp (ECDSA oder RSA), die Schlüsselaustauschgruppe (ECDHE oder DHE) und die spezifische Kurve oder Schlüsselgröße. Diese Daten existieren bereits in jedem Handshake. Die meisten Organisationen haben sie nie aggregiert.
[PQ]probe erfasst dies über 20+ Protokolle. Die Ausgabe unterscheidet ECDSA-P256 von RSA-2048 auf Scan-Ebene, was bedeutet, dass Sie Ihre ECC-Exposition als Prozentsatz der Gesamtendpunkte messen, nach Protokoll zuordnen und identifizieren können, welche Systeme in das nähere Bedrohungsfenster fallen.
Es geht darum zu wissen, welche Teile Ihrer Infrastruktur als erste brechen, wenn ein kryptographisch relevanter Quantencomputer kommt.
Zwei Bedrohungsfenster, nicht eines
Diese Arbeiten belegen, dass die PQC-Migration mindestens zwei Fristen hat.
Das erste Fenster ist ECC: Zertifikate, Schlüsselaustausch, Authentifizierungstoken, Code-Signierung, Passkeys. Die Systeme, die im letzten Jahrzehnt auf ECC aufgerüstet wurden. Die Systeme, die die modernsten kryptographischen Stacks betreiben.
Das zweite Fenster ist RSA: Legacy-Zertifikate, ältere SSH-Deployments, langlebige PGP-Schlüssel, Regierungs- und Verteidigungssysteme mit langsamen Upgrade-Zyklen. Immer noch exponiert, aber mit mehr Spielraum.
Harvest-Now-Decrypt-Later unterscheidet nicht zwischen den beiden. Ein Angreifer, der heute verschlüsselten Verkehr aufzeichnet, wird den ECC-geschützten Teil zuerst entschlüsseln, wenn Quantenfähigkeit verfügbar wird. Aber für die aktive Migrationsplanung ist die Reihenfolge entscheidend. Organisationen mit begrenzter Migrationskapazität sollten ECC-geschützte Systeme priorisieren.
Die Compliance-Rahmenwerke haben nicht aufgeholt. CNSA 2.0, BSI TR-02102 und die Abwertungszeitpläne des NIST behandeln RSA und ECC austauschbar. Diese Arbeiten legen nahe, dass sie das nicht sollten.
Was sich ändert
Migrationsverantwortliche haben jetzt einen Sequenzierungsinput, den sie vorher nicht hatten. ECC-geschützte Systeme kommen zuerst.
Die Ironie ist es wert, einen Moment innezuhalten. Die Branche hat ein Jahrzehnt damit verbracht, von RSA zu ECC zu migrieren, weil ECC die bessere Kryptographie war. Das war sie. Gegen klassische Angreifer ist P-256 elegant und effizient. Gegen einen Quantenangreifer ist diese Effizienz eine Belastung. Der Upgrade-Pfad führte direkt auf die Bedrohung zu.