A Comparative Study of Hybrid Post-Quantum Cryptographic X.509 Certificate Schemes

Diese Studie bietet eine umfassende Analyse und den Vergleich verschiedener hybrider X.509-Zertifikatsverfahren für die Post-Quanten-Kryptografie, um deren Eignung hinsichtlich Zertifikatsgröße, Recheneffizienz und Migrationsfähigkeit für unterschiedliche Anwendungen zu bewerten.

Das Wesentliche

Hier ist eine einfache, bildhafte Erklärung der Forschung von Abel C. H. Chen, als würde man sie einem Freund beim Kaffee erklären:

🛡️ Das große Problem: Der unsichtbare Dieb

Stellen Sie sich vor, Ihre digitalen Schlüssel (wie Passwörter oder digitale Unterschriften) sind in einem riesigen, massiven Tresor gespeichert. Seit Jahrzehnten vertrauen wir darauf, dass dieser Tresor unknackbar ist.

Aber jetzt taucht ein neuer, super-schneller Dieb auf: der Quantencomputer. Dieser Dieb hat einen magischen Werkzeugkasten, mit dem er die alten Tresore (die auf RSA und elliptischen Kurven basieren) in Sekundenbruchteilen aufbrechen kann.

Die USA (NIST) haben daraufhin neue, extrem robuste Tresore entwickelt (Post-Quanten-Kryptografie). Aber hier liegt das Problem: Wir können nicht einfach morgen früh alle alten Tresore gegen die neuen tauschen. Das würde das ganze Internet zum Stillstand bringen, weil viele alte Geräte die neuen Schlösser gar nicht verstehen.

🧩 Die Lösung: Drei verschiedene Baupläne für Hybrid-Tresore

Der Autor dieses Papers untersucht drei verschiedene Wege, wie wir diese Übergangszeit überbrücken können. Er nennt sie „Hybrid-Lösungen". Das Ziel ist immer dasselbe: Ein Tresor, der sowohl mit dem alten Schlüssel als auch mit dem neuen, quantensicheren Schlüssel funktioniert.

Hier sind die drei Kandidaten, erklärt mit Analogien:

1. Der „Zwei-Schloss-Tresor" (Composite / Komposit)

• Wie es funktioniert: Stellen Sie sich einen Tresor vor, der zwei Schlösser nebeneinander hat. Um ihn zu öffnen, müssen Sie beide Schlüssel gleichzeitig benutzen. Auf dem Tresor steht eine einzige Beschriftung, die sagt: „Hier sind zwei Schlüssel".
• Vorteil: Es ist sehr effizient. Da beide Schlüssel gleichzeitig verarbeitet werden, ist es schnell und der Tresor bleibt kompakt (wenig Platzverbrauch).
• Nachteil: Wenn Ihr alter Tresor-Schlüssel (das alte Gerät) den neuen Schlüssel nicht kennt, kann er den Tresor gar nicht öffnen. Es gibt keinen „Fallback".
• Fazit: Perfekt für die Zukunft, wenn alle schon bereit sind, aber schlecht für den Übergang, wenn noch alte Geräte im Spiel sind.

2. Der „Tresor mit verstecktem Fach" (Catalyst / Katalysator)

• Wie es funktioniert: Dieser Tresor sieht von außen genau wie ein alter, gewohnter Tresor aus. Er hat ein Hauptfach mit dem alten Schlüssel. Aber! Im Inneren gibt es ein verstecktes Fach (eine Art „Geheimschublade"), in dem der neue, quantensichere Schlüssel liegt.
  • Alte Geräte sehen nur das Hauptfach und öffnen den Tresor ganz normal.
  • Neue Geräte öffnen das Hauptfach und schauen in die Geheimschublade für den extra-Schutz.
• Vorteil: Sehr kompatibel. Alte Systeme haben kein Problem damit.
• Nachteil: Der Plan für diesen Tresor wurde von den Architekten (der IETF) bereits verworfen und als „veraltet" markiert. Es ist wie ein Bauplan, der nicht mehr genehmigt wird.
• Fazit: Eine gute Idee für den Übergang, aber wahrscheinlich nicht die Zukunft.

3. Der „Tresor im Tresor" (Chameleon / Chamäleon)

• Wie es funktioniert: Stellen Sie sich einen kleinen, alten Tresor vor, der in einen großen, neuen Umschlag gesteckt wird.
  • Der große Umschlag (der äußere Teil) sieht aus wie ein alter Tresor und wird mit dem alten Schlüssel verschlossen. Das verstehen alle.
  • Im Inneren steckt aber ein kleiner, neuer Tresor, der mit dem neuen, quantensicheren Schlüssel verschlossen ist.
  • Wenn ein altes Gerät den Umschlag öffnet, sieht es nur den alten Tresor. Wenn ein neues Gerät den Umschlag öffnet, nimmt es den kleinen Tresor heraus und prüft ihn extra.
• Vorteil: Extrem flexibel. Man kann die beiden Teile (alt und neu) fast unabhängig voneinander verwalten. Es ist der „Chamäleon"-Effekt: Es passt sich der Umgebung an.
• Nachteil: Es ist etwas größer und schwerer, weil man quasi zwei Tresore transportiert.
• Fazit: Der Gewinner für den Übergang! Da der „Katalysator"-Plan tot ist, ist dies die beste Wahl, um sicher in die neue Ära zu kommen, ohne alte Systeme zu brechen.

📊 Der große Vergleich (Die Zusammenfassung)

Der Autor vergleicht diese drei Methoden an drei Kriterien:

1. Größe (Wie viel Platz braucht der Tresor?):

   • Der „Zwei-Schloss-Tresor" (Composite) ist am kleinsten und schlanksten.
   • Der „Tresor im Tresor" (Chameleon) ist am größten, weil er doppelte Informationen enthält.

2. Geschwindigkeit (Wie schnell geht das Öffnen?):

   • Der „Zwei-Schloss-Tresor" ist am schnellsten, weil er beide Schlüssel parallel verarbeiten kann.
   • Die anderen beiden müssen nacheinander arbeiten, was etwas länger dauert.

3. Übergangsfähigkeit (Können alte Geräte damit umgehen?):

   • Hier gewinnt der „Tresor im Tresor" (Chameleon) und der „Versteckte Fach"-Tresor (Catalyst).
   • Der „Zwei-Schloss-Tresor" scheitert hier, weil alte Geräte den neuen Schlüssel gar nicht erkennen und den Tresor verweigern.

🏆 Das Fazit des Autors

Wenn wir jetzt in die Zukunft wechseln wollen, ohne das Internet zu zerstören, ist die „Chamäleon"-Methode (Tresor im Tresor) die beste Wahl.

Warum? Weil sie sicherstellt, dass auch die alten Computer noch mitmachen können, während die neuen Computer den extra-Schutz nutzen. Auch wenn sie etwas mehr Platz braucht, ist sie flexibler als die anderen und wird von den Experten als der Weg für die kommenden Jahre empfohlen.

Kurz gesagt: Wir bauen gerade einen neuen, unknackbaren Tresor. Aber damit niemand draußen stehen bleibt, während wir umrüsten, nutzen wir eine „Tresor-im-Tresor"-Lösung, die sowohl für die alten als auch für die neuen Schlüssel funktioniert.

Technische Zusammenfassung

Technische Zusammenfassung: Vergleichsstudie zu hybriden Post-Quanten-Kryptographie-Zertifikatslösungen

1. Problemstellung
Die rasante Entwicklung von Quantencomputern, insbesondere durch Fortschritte in der Fehlerkorrektur (Google, 2024) und die Existenz von Shors Algorithmus, bedroht die Sicherheit herkömmlicher Public-Key-Infrastrukturen (PKI). RSA und elliptische Kurven (ECC) können durch Quantenalgorithmen in polynomialer Zeit gebrochen werden. Das US-amerikanische National Institute of Standards and Technology (NIST) hat im August 2024 erste Standards für Post-Quanten-Kryptographie (PQC) veröffentlicht (FIPS 203, 204, 205) und einen Migrationspfad bis 2035 skizziert, in dem klassische Algorithmen verboten werden sollen.

Das zentrale Problem besteht darin, wie X.509-Zertifikate während der Übergangsphase sicher gestaltet werden können, die sowohl gegen klassische als auch gegen Quantenangriffe resistent sind, ohne dabei die Kompatibilität mit bestehenden Systemen zu verlieren. Es müssen verschiedene hybride Ansätze bewertet werden, die klassische und PQC-Verfahren kombinieren.

2. Methodik
Die Studie analysiert und vergleicht drei spezifische hybride Zertifikatsarchitekturen, die derzeit von der IETF (Internet Engineering Task Force) in Form von RFC-Entwürfen diskutiert werden:

• Composite (Komposit) Hybrid: Eine einzige Zertifikatsstruktur, die sowohl PQC- als auch klassische Schlüssel und Signaturen in den Hauptfeldern vereint.
• Catalyst (Katalysator) Hybrid: Ein klassisches Zertifikat mit einem optionalen Erweiterungsfeld (Alt-SPKI), das die PQC-Komponenten enthält.
• Chameleon (Chamäleon) Hybrid: Ein klassisches "äußeres" Zertifikat, das ein separates "inneres" Zertifikat (Delta Certificate) in seinen Erweiterungen enthält, welches die PQC-Komponenten trägt.

Die Bewertung erfolgt anhand dreier technischer Kriterien:

1. Zertifikatslänge: Analyse der Datengröße und Bandbreitenanforderungen.
2. Berechnungszeit: Bewertung der Signaturerstellungs- und -prüfzeit (sequenziell vs. parallel).
3. Migrationsfähigkeit: Eignung als Übergangslösung für Systeme, die noch keine PQC-Unterstützung bieten (Abwärtskompatibilität).

Als Referenzalgorithmen werden ML-DSA (Digital Signatures) und ML-KEM (Key Encapsulation) basierend auf Gitterkryptographie verwendet, kombiniert mit ECDSA (NIST P-256).

3. Wichtige Beiträge und Ergebnisse

• Composite-Hybrid-Lösung:

  • Struktur: Kombiniert Schlüssel und Signaturen in einem einzigen Feld (z. B. key: ML-DSA || ECDSA).
  • Ergebnis: Bietet die kürzeste Zertifikatslänge durch effiziente Kodierung (ein OID, gemeinsame Bit-Strings) und die kürzeste Berechnungszeit, da Signaturen parallel erzeugt werden können.
  • Einschränkung: Nicht migrationsfähig. Alte Systeme, die PQC nicht verstehen, können das Zertifikat nicht validieren, da die Hauptfelder PQC-Informationen enthalten.

• Catalyst-Hybrid-Lösung:

  • Struktur: Das Hauptzertifikat bleibt rein klassisch (ECDSA). PQC-Informationen werden in einem optionalen Feld Alt-SPKI abgelegt.
  • Ergebnis: Bietet Abwärtskompatibilität. Alte Systeme verifizieren das klassische Zertifikat, neue Systeme prüfen zusätzlich das PQC-Feld.
  • Nachteil: Die Berechnung ist sequenziell (erst PQC-Signatur, dann klassische Signatur des erweiterten Zertifikats), was zu längeren Verarbeitungszeiten führt. Zudem ist der Entwurf laut Papier bereits im Jahr 2024 ausgelaufen und wird nicht als zukünftiger Standard betrachtet.

• Chameleon-Hybrid-Lösung:

  • Struktur: Ein klassisches äußeres Zertifikat enthält ein vollständiges, aber minimiertes inneres Zertifikat (Delta), das die PQC-Signatur trägt. Gemeinsame Felder (z. B. Gültigkeitsdauer) können im inneren Zertifikat weggelassen werden.
  • Ergebnis: Ähnlich wie Catalyst abwärtskompatibel und ermöglicht eine flexible Trennung der Sicherheitskontexte. Die Berechnung ist ebenfalls sequenziell (inneres Zertifikat zuerst signieren, dann äußeres).
  • Vorteil: Bietet mehr Flexibilität bei der Felddefinition als Catalyst und ist der aktivste Entwurf (Stand 2025).

Vergleichsmatrix (Zusammenfassung):

Kriterium	Composite	Catalyst	Chameleon
Zertifikatslänge	Kurz (Optimiert)	Kurz (Standard)	Lang (Äquivalent zu 2 Zertifikaten)
Berechnungszeit	Kurz (Parallel)	Lang (Sequenziell)	Lang (Sequenziell)
Migrationsfähigkeit	Nein	Ja	Ja
Status	Entwurf (v6+)	Ausgelaufen (2024)	Entwurf (v06+)

4. Signifikanz und Empfehlungen

Die Studie kommt zu dem Schluss, dass es keine "One-Size-Fits-All"-Lösung gibt, sondern die Wahl von der spezifischen Anforderung abhängt:

1. Für maximale Sicherheit und Performance (ohne Migrationszwang): Die Composite-Lösung ist überlegen. Sie minimiert Overhead und Latenz und ist ideal für Umgebungen, in denen alle Teilnehmer PQC-fähig sind und eine sofortige, doppelte Sicherheit (Klassisch + PQC) benötigt wird.
2. Für die Migrationsphase (Übergangslösung): Da Catalyst veraltet ist, wird die Chameleon-Lösung als die bevorzugte Strategie für den Übergang empfohlen. Sie ermöglicht es, dass alte Systeme weiterhin funktionieren (durch Validierung des äußeren Zertifikats), während neue Systeme die zusätzliche PQC-Sicherheit nutzen. Trotz der längeren Zertifikatsgröße und sequenziellen Verarbeitung ist ihre Flexibilität und Kompatibilität entscheidend für die schrittweise Einführung von PQC.

5. Ausblick
Die Autoren weisen darauf hin, dass zukünftige Forschung sich auf Multi-Usage-Zertifikate konzentrieren sollte, die sowohl für digitale Signaturen als auch für Schlüsseleinkapselung (KEM) in einem einzigen Zertifikat genutzt werden können. Erste Arbeiten hierzu (z. B. von Chunghwa Telecom) deuten auf Protokolle hin, die bidirektionale Authentifizierung und effiziente Schlüsselaustauschverfahren in der Post-Quanten-Ära ermöglichen.

Diese Studie liefert somit eine fundierte technische Basis für PKI-Betreiber und Standardisierungsgremien, um die richtige hybride Strategie für die bevorstehende Migration zu Post-Quanten-Kryptographie zu wählen.