Kontakt aufnehmen
Quantum Security PKI

PKI auf die Post-Quantum-Transition vorbereiten

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot , Managed Services Engineer , Nomios Niederlande

5 min. Lesezeit
Placeholder for Adobe Stock 1278998477Adobe Stock 1278998477

Share

Post-Quanten-Kryptografie (PQC) wird häufig im Kontext neuer Algorithmen diskutiert – die eigentlich entscheidende Frage ist jedoch, worauf diese Algorithmen aufbauen. In vielen Umgebungen führt diese Frage unmittelbar zur PKI: der Zertifikatsinfrastruktur, die das Vertrauen zwischen Benutzern, Geräten, Anwendungen und Diensten absichert. Damit ist die PKI ein naheliegender nächster Schritt, nachdem die realen Auswirkungen von PQC betrachtet wurden.

Die PKI verdient eigenständige Betrachtung. Sie ist weder ein einzelnes Produkt noch ein einzelnes Protokoll, sondern das Rahmenwerk hinter der Ausstellung, Validierung, Sperrung und Verteilung von Zertifikaten. Da Organisationen beginnen, sich auf das Quantenzeitalter vorzubereiten, zählt die PKI zu den Bereichen, die den größten Planungsaufwand, den umfangreichsten Testbedarf und die längsten Aktualisierungszyklen erfordern.

Die Public-Key-Infrastruktur bildet das Fundament eines Großteils der modernen digitalen Sicherheit. Sie steht hinter TLS-Zertifikaten, Maschinenidentitäten, VPN-Authentifizierung, sicherer E-Mail-Kommunikation, Code-Signierung, Dokumentensignierung sowie einer Vielzahl interner Vertrauensbeziehungen, die den meisten Anwendern verborgen bleiben. Da diese Grundlagen nach wie vor maßgeblich auf RSA und elliptischer Kurven-Kryptografie beruhen, hat der Übergang zur Post-Quantum-Kryptografie unmittelbare Konsequenzen für die Art und Weise, wie Vertrauen aufgebaut und aufrechterhalten wird.

Warum die PKI einen der schwierigsten Teile der Transition darstellt

Manche Teile einer PQC-Migration lassen sich als abgegrenzte technische Änderungen angehen. Die PKI unterscheidet sich davon grundlegend, da sie tief in der gesamten Umgebung verankert ist. Zertifikate sind in Browsern, Betriebssystemen, Netzwerk-Appliances, Identity-Plattformen, Anwendungen, Cloud-Diensten und Endgeräten gespeichert. Sie sind an Erneuerungszyklen, Trust Stores, Validierungslogik und die Interoperabilität mit Drittanbietern gebunden.

Das bedeutet, dass die PKI von den meisten Organisationen nicht kurzfristig ersetzt werden kann. Eine Änderung der Zertifikatsalgorithmen betrifft nicht nur den Aussteller, sondern jedes System, das ein Zertifikat ausstellt, speichert, präsentiert, verarbeitet, validiert oder darauf angewiesen ist. Das Ausmaß dieser Abhängigkeiten ist es, was die PKI zu einem der langwierigsten Teile der Post-Quanten-Transition macht.

Was sich in einem Post-Quantum-PKI-Modell verändert

Im Mittelpunkt der PKI steht das digitale Zertifikat. Jedes Zertifikat enthält einen öffentlichen Schlüssel sowie eine Signatur einer vertrauenswürdigen Stelle. Diese basieren heute in der Regel auf RSA oder ECC. In einem Post-Quanten-Modell müssen beide langfristig auf quantenresistente Alternativen umgestellt werden.

Das klingt zunächst überschaubar, hat jedoch konkrete betriebliche Konsequenzen. Neue Zertifikatsalgorithmen bedeuten neue Formate, abweichende Schlüssel- und Signaturgrößen sowie neue Anforderungen an Software und Hardware, die Zertifikate verarbeiten. Dies betrifft öffentlich zugängliche Zertifikate, interne PKI-Strukturen, Gerätezertifikate, Code-Signing-Zertifikate sowie alle weiteren Systeme, die auf zertifikatsbasiertem Vertrauen aufbauen.

Für viele Teams liegt die Herausforderung weniger in der theoretischen Auseinandersetzung mit PQC als vielmehr in der Kompatibilität. Bestehende Systeme müssen weiterhin funktionieren, während neue kryptografische Modelle eingeführt werden. Genau hier kommen hybride Ansätze ins Spiel.

Warum hybride Zertifikate voraussichtlich über einen längeren Zeitraum zum Standard werden

Ein vollständiger Wechsel von klassischer Kryptografie zu PQC ist nicht in einem einzigen Schritt realistisch umsetzbar. Die Unterstützung wird auf Plattformen, Produkten und bei Herstellern unterschiedlich schnell verfügbar sein. Aus diesem Grund werden hybride Zertifikate während der Transition voraussichtlich eine zentrale Rolle spielen.

Ein hybrides Zertifikat kann klassische und post-quantenkryptografische Elemente kombinieren, sodass unterschiedliche Systeme jeweils die von ihnen unterstützten Bestandteile nutzen können. Ältere Systeme können aus Kompatibilitätsgründen weiterhin auf RSA oder ECC zurückgreifen, während neuere Systeme bereits post-quantenkryptografische Schlüssel oder Signaturen verwenden können. Dies ermöglicht es Organisationen, den Übergang einzuleiten, ohne einen sofortigen Austausch der gesamten Infrastruktur erzwingen zu müssen.

Der Nachteil besteht darin, dass die Unterstützung hybrider Verfahren das Migrationsfenster verlängert. Anstelle einer einmaligen Umstellung müssen Organisationen einen Zeitraum überbrücken, in dem klassische und post-quantenkryptografische Vertrauensmodelle parallel existieren. Zertifikatsrichtlinien, Ausstellungsprozesse, Validierungsverhalten und Interoperabilität müssen während dieser Phase durchgängig gewährleistet sein.

Placeholder for Daily impact of PQC on cybersecurityDaily impact of PQC on cybersecurity

Auch Zertifizierungsstellen müssen sich weiterentwickeln

Die Transition endet nicht bei den Endnutzer-Zertifikaten. Auch Zertifizierungsstellen (Certificate Authorities, CAs) müssen sich anpassen.

CAs sind für die Ausstellung von Zertifikaten, die Verwaltung von Vertrauensketten und die Verankerung der Hierarchien verantwortlich, auf die Systeme angewiesen sind. In einem Post-Quantum-Modell müssen sie neue Algorithmen, aktualisierte Zertifikatsprofile und neue Ansätze zur Vertrauensverteilung unterstützen. Während der Transition werden viele voraussichtlich im Hybridbetrieb arbeiten – mit Kompatibilität zu bestehenden Umgebungen, während gleichzeitig quantensichere Vertrauensketten aufgebaut werden.

Hier zeigt sich, dass PKI mehr ist als ein kryptografisches Update. Es handelt sich um eine Veränderung der Vertrauensinfrastruktur. Stammzertifikate, Zwischenzertifikate, Registrierungsprozesse, Lebenszyklusverwaltung und Validierungsverhalten müssen möglicherweise gemeinsam weiterentwickelt werden. Damit ist die PKI-Migration ebenso eine strategische wie eine technische Aufgabe.

Warum dieser Prozess Jahre und nicht Monate in Anspruch nehmen wird

PKI-Änderungen verlaufen selten schnell. Zertifikatslaufzeiten sind lang, Vertrauensanker weit verteilt und Abhängigkeiten häufig tiefgreifender als erwartet. Manche Systeme lassen sich zügig aktualisieren. Andere hängen von Hardware, eingebetteter Software, Legacy-Plattformen oder Drittanbietern ab, die sich deutlich langsamer bewegen.

Deshalb wird die PKI voraussichtlich das Tempo der gesamten PQC-Transition bestimmen. Wenn die Zertifikatsinfrastruktur nicht zügig vorankommt, können die davon abhängigen Dienste ebenfalls nicht voranschreiten. Für viele Organisationen stellt die PKI damit die zentrale Ablaufplanungsherausforderung beim Übergang zur Post-Quanten-Sicherheit dar.

Worauf Organisationen jetzt den Fokus legen sollten

Erste Priorität hat die Transparenz. Teams müssen verstehen, wo Zertifikate eingesetzt werden, welche Systeme von ihnen abhängen, wie Vertrauen verteilt ist und wo RSA oder ECC nach wie vor das Fundament von Identitäts- oder Authentifizierungsprozessen bilden.

Das erfordert in der Regel einen Blick über öffentliche Web-Zertifikate hinaus. Interne PKI-Strukturen unterstützen häufig WLAN-Zugang, VPNs, Maschinenidentitäten, Benutzerauthentifizierung, administrativen Zugriff, Software-Signierung und Onboarding-Prozesse. In vielen Fällen sind diese internen Abhängigkeiten schwieriger aufzulösen als die nach außen gerichteten.

Der nächste Schritt ist das Testen. Organisationen müssen ermitteln, wo Unterstützung für hybride Zertifikate bereits vorhanden ist, welche Plattformen neue Zertifikatsformate verarbeiten können und wo operative Prozesse angepasst werden müssen. Wer diese Arbeit frühzeitig beginnt, schafft den notwendigen Spielraum für eine phasenweise Migration – anstatt später unter Druck reagieren zu müssen.

Die Vertrauensinfrastruktur als eigentliche Herausforderung

Je konkreter die Diskussion um PQC wird, desto deutlicher tritt die PKI als einer der Bereiche hervor, in dem die eigentliche Komplexität liegt. Den Algorithmus zu ersetzen ist nur ein Teil der Aufgabe. Die Vertrauensschicht unterhalb von Zertifikaten, Identitäten und signierten Systemen zu aktualisieren, erfordert nachhaltigen Einsatz.

Deshalb wird die PKI voraussichtlich einer der schwierigsten Teile der Post-Quantum-Transition sein. Sie ist tief verwurzelt, betrieblich sensibel und nur langsam veränderbar. Genau das macht es notwendig, ihr bereits jetzt Aufmerksamkeit zu widmen.

Im nächsten Beitrag werde ich beleuchten, was das in der Praxis bedeutet: wie Organisationen die Migration planen, Abhängigkeiten priorisieren und PQC von einem künftigen Thema in ein strukturiertes Programm überführen können.

Kontaktieren Sie uns

Möchten Sie mehr über dieses Thema erfahren?

Unsere Experten und Vertriebsteams stehen Ihnen gerne zur Verfügung. Hinterlassen Sie Ihre Kontaktdaten und wir werden uns in Kürze bei Ihnen melden.

Jetzt anrufen
Placeholder for Portrait of french manPortrait of french man
Updates

Weitere Updates

Placeholder for Mythos glasswing cybersecurity palo alto networksMythos glasswing cybersecurity palo alto networks
Palo Alto Networks

Artificial Intelligence

Projekt Glasswing: Wenn KI Schwachstellen aufspürt, die dreißig Jahre lang verborgen blieben

Anthropic has launched Project Glasswing together with a coalition of twelve leading technology and security companies.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

2 min. Lesezeit
Placeholder for Hetportretbureau HR T1 A0887Hetportretbureau HR T1 A0887
Infoblox

DDI

Nomios erreicht als einziger europäischer Integrator den höchsten Partnerstatus von Infoblox

Die Nomios Group hat den Status eines „Diamond“-Partners bei Infoblox erreicht, die höchste Stufe innerhalb des Infoblox-Partnernetzwerks.

2 min. Lesezeit
Placeholder for Palo alto networks cortex xdrPalo alto networks cortex xdr
Palo Alto Networks

SIEM MDR

Cortex XDR als SIEM Light: Leistungsstarke Erkennung und Compliance ohne die Komplexität eines vollständigen SIEM

Cortex XDR als SIEM Light: Leistungsstarke Erkennung und Compliance ohne die Komplexität eines vollständigen SIEM

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

3 min. Lesezeit
 Alle Artikel