Anmerkung des Herausgebers: Besonderer Dank gilt Tomas Gustavsson und David Hook, zwei der führenden Experten für angewandte Kryptographie und PKI, die diesen Blog verfasst haben. Die Einblicke und die technische Tiefe, die hier geteilt werden, sind ein direktes Ergebnis ihrer profunden Fachkenntnisse und ihrer engen Zusammenarbeit.
Während sich die Landschaft der Post-Quantum-Kryptografie (PQC) weiterentwickelt, ist eines klar: Der Erfolg wird sich nicht durch isoliertes Arbeiten einstellen. Interoperabilität - zwischen Algorithmen, Bibliotheken, Protokollen und der realen Infrastruktur - ist unerlässlich, um PQC in großem Umfang nutzbar, vertrauenswürdig und sicher zu machen.
Bei Keyfactor haben wir einen praktischen Ansatz für PQC gewählt, indem wir unsere Produkte - angefangen bei EJBCA, SignServer und Bouncy Castle - aktiv getestet und mit dem breiteren Ökosystem, einschließlich OpenSSL, CryptLib, WolfSSL, Anbietern von Hardware und offenen Standardisierungsgremien wie der IETF, NIST und X9, zusammengearbeitet haben.
Unser Ziel ist einfach: Wir wollen zeigen, dass Post-Quantum-Kryptografie nicht nur eine theoretische Idee ist - sie funktioniert. Heute.
Hier geht es nicht nur um uns. Es geht um Zusammenarbeit - denn wenn wir gemeinsam testen, Ergebnisse offen austauschen und mit der Community weiterentwickeln, profitieren alle davon.
Ein lebendes Labor für PQC-Interoperabilität
Wir unterhalten eine lebende Ressource, die reale Interoperabilitätstests mit PQC-Algorithmen, -Protokollen und -Formaten über mehrere Tools und Lebenszyklusphasen hinweg dokumentiert. Wir möchten praktische Konfigurationen und Beobachtungen weitergeben, die widerspiegeln, was tatsächlich erforderlich ist, damit PQC in modernen PKI- und Signing-Implementierungen funktioniert.
Hier ist eine Momentaufnahme dessen, was wir bisher getestet haben:
TLS 1.3 Authentifizierung + Schlüsselaustausch
- Anwendungsfall: Gegenseitiges TLS (mTLS) mit PQC-Zertifikaten
- Werkzeuge: EJBCA + OpenSSL 3.5 + Bouncy Castle
- Das Ergebnis: Erfolgreicher Einsatz von ML-DSA für die Authentifizierung und ML-KEM für den Schlüsselaustausch - ein Meilenstein auf dem Weg zu einer krypto-agilen sicheren Kommunikation.
CMS-Signierung und Validierung
- Anwendungsfall: Code-, Container- und Dokumentensignierung mit PQC
- Werkzeuge: SignServer, Bouncy Castle, OpenSSL
- Ergebnis: Bibliotheksübergreifende Überprüfung von CMS-signierten Nachrichten mit ML-DSA und SLH-DSA. Verschlüsselung mit ML-KEM ebenfalls validiert.
Ausstellen von Zertifikaten
- Anwendungsfall: Ausstellen, Erneuern und Widerrufen von PQC-aktivierten Zertifikaten
- Werkzeuge: EJBCA, Bouncy Castle, OpenSSL
- Ergebnis: Generierung und Verarbeitung von PQC CSRs; bibliotheksübergreifende Validierung von Zertifikaten, CRLs und OCSP-Antworten.
Hybrid-Zertifikate
- Anwendungsfall: Schrittweise Migration unter Verwendung hybrider Zertifikate (z. B. ECDSA + ML-DSA)
- Werkzeuge: EJBCA, Bouncy Castle und WolfSSL
- Das Ergebnis: TLS mit hybriden Zertifikaten funktioniert heute. Die Tests wurden im Rahmen von X9.146 durchgeführt. Weitere Tests für Eckfälle wie die Speicherung von zwei Schlüsseln und die Validierung von Signaturen sind im Gange.
Hardware (HSMs)
- Anwendungsfall: PQC-Schlüsselverwaltung in sicherer hardware
- Anbieter: Securosys, Fortanix, Crypto4A, Utimaco und CryptoNext
- Ergebnisse: Erste Erfolge mit LMS- und ML-DSA-Unterstützung, mit laufender Arbeit zur Validierung von Objektgrößengrenzen und Integrationsrandfällen.
Zusammenarbeit treibt Innovation und Standards voran
Diese Arbeit ist nur durch die aktive Zusammenarbeit zwischen Betreuern, Implementierern und der breiteren open-source möglich. Die Teilnahme am IETF PQC Hackathon und die Mitwirkung an den laufenden ACVP-Tests ermöglicht es uns, Fehler frühzeitig zu erkennen, uns an den sich entwickelnden Entwürfen zu orientieren und gemeinsame Herausforderungen voranzutreiben - von der Handhabung der Signaturgröße bis hin zu Nuancen bei privaten Schlüsseln, CMS und PKCS#12-Kodierung.
Diese Zusammenarbeit hat nicht nur technische Gründe. Sie trägt dazu bei, Vertrauen, Transparenz und Abstimmung zu schaffen - wesentliche Bestandteile bei der Einführung von so grundlegenden Dingen wie neuen kryptografischen Primitiven.
Nehmen Sie an der Reise teil - versuchen Sie es selbst
Wenn Sie im Bereich PKI, Signierung oder Sicherheitsinfrastruktur arbeiten, ist jetzt der richtige Zeitpunkt, um mit PQC zu experimentieren. Sie müssen nicht auf die endgültigen Standards warten - Protokolle, Formate und Algorithmus-Updates sind stabil, und Bibliotheken wie Bouncy Castle und OpenSSL unterstützen bereits testbare Implementierungen.
Wir aktualisieren unsere Post-Quantum-Kryptographie (PQC)-Laborumgebung ständig, um neue Anwendungsfälle zu unterstützen. Probieren Sie es noch heute aus!
Informieren Sie sich auf dieser Seite über unsere laufenden Interoperabilitätstests - wir halten sie auf dem Laufenden, sobald wir Fortschritte machen: Interoperabilität und zukunftssichere Kryptographie
EJBCA, SignServer und Bouncy Castle bieten auch eine breitere Interoperabilität und Zertifizierungsabdeckung als nur PQC und unterstützen Ihre Anforderungen bei aktuellen und zukünftigen kryptografischen Standards.
EJBCA https:ejbca
SignServer https:signserver
Bouncy Castle http:bouncycastle
Verwandte Ressourcen
Einen tieferen Einblick in die Tools, Standards und die Zusammenarbeit, die PQC vorantreiben, erhalten Sie in diesen wichtigen Referenzen:
IETF Hackathon - PQC-Zertifikate: https://github.com/IETF-Hackathon/pqc-certificates?tab=readme-ov-file#ietf-hackathon-pqc-certificates
PQC-Almanach: https://downloads.bouncycastle.org/java/docs/PQC-Almanac.pdf
Lassen Sie uns PQC nicht nur bereit, sondern auch nutzbar, zuverlässig und vertrauenswürdig machen. Gemeinsam.
