Bild: Generiert mit Gemini Flash

FIPS 203 final: ML-KEM als Post-Quantum-Standard verabschiedet

2 Min Lesezeit Serie: Infrastruktur-Reihe #tls#post-quantum#ml-kem#update

Das NIST hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM ist damit offiziell Post-Quantum-Schlüsselaustausch-Standard; FIPS 204 und 205 ergänzen für Signaturen.

Inhalt dieses Beitrags
  1. Was ist neu
  2. Was sich praktisch ändert
  3. Einordnung
  4. Häufige Fragen
  5. Muss ich jetzt sofort etwas an meinen Servern ändern?
  6. Ist Kyber jetzt unsicher, weil ML-KEM den Namen geändert hat?
  7. Was ist mit Post-Quantum-Signaturen?

Was ist neu

Das NIST (National Institute of Standards and Technology, die US-Normungsbehörde) hat am 13. August 2024 FIPS 203 in der finalen Fassung veröffentlicht. ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism, ursprünglich CRYSTALS-Kyber) ist damit offiziell der erste Post-Quantum-Schlüsselaustausch-Standard (ein Verfahren, das auch gegen künftige Quantencomputer sicheren Schlüsselaustausch ermöglichen soll). Gleichzeitig sind FIPS 204 (ML-DSA, vorher Dilithium) und FIPS 205 (SLH-DSA, vorher SPHINCS+) erschienen, zwei zugehörige Signaturverfahren.

Für wen ist das? Für Administratoren und Architekten, die Post-Quantum-Kryptografie planen.

Kyber wird in FIPS 203 zu ML-KEM umbenannt, das Verfahren bleibt identisch und beide Namen laufen in der Übergangszeit parallel.
Kyber wird in FIPS 203 zu ML-KEM umbenannt, das Verfahren bleibt identisch und beide Namen laufen in der Übergangszeit parallel.

Was sich praktisch ändert

In TLS 1.3 (dem aktuellen Protokoll für verschlüsselte Verbindungen) wird der Hybrid-Key-Exchange (ein Schlüsselaustausch, der ein klassisches und ein Post-Quantum-Verfahren kombiniert, damit eine Schwäche eines der beiden nicht durchschlägt) schrittweise von X25519Kyber768Draft00 (Code Point 0x6399) auf X25519MLKEM768 (Code Point 0x11EC) umbenannt. Chrome, Firefox und Cloudflare fahren beide Namen parallel, bis die Umbenennung durch ist. Die FIPS-Variante unterscheidet sich von Kyber-Round-3 in einigen Domain-Separation-Konstanten (internen Trennwerten, die verhindern, dass Berechnungen aus verschiedenen Kontexten kollidieren); bestehende Deployments bleiben in der Übergangszeit interoperabel. Für Signaturen beginnt jetzt die ernsthafte Migrationsplanung der Zertifikats-PKI (der Infrastruktur, die digitale Zertifikate ausstellt und prüft); das CA/Browser Forum hat die Roadmap angekündigt.

Einordnung

Der Hauptartikel Post-Quantum-TLS heute vom April 2024 hatte die FIPS-Finalisierung erwartet und den damaligen Namen X25519Kyber768Draft00 verwendet. Alle dort gegebenen Empfehlungen (Hybrid beibehalten, Key Exchange zuerst, Signaturen später) gelten unverändert; die Umbenennung auf X25519MLKEM768 ist rein nominal. Konfigurationsdateien sollten beide Namen parallel in der Präferenzliste führen, bis die Browserseite auf den neuen Namen umgestellt hat.

Häufige Fragen

Muss ich jetzt sofort etwas an meinen Servern ändern?

Akuter Handlungsdruck besteht nicht. Wer bereits den Hybrid-Schlüsselaustausch eingeschaltet hat, sollte lediglich beide Bezeichnungen (X25519Kyber768Draft00 und X25519MLKEM768) parallel in der Präferenzliste führen, solange Browser und Server noch unterschiedliche Namen verwenden. So bleibt die Verbindung in beiden Welten kompatibel.

Ist Kyber jetzt unsicher, weil ML-KEM den Namen geändert hat?

Nein. Die Umbenennung von Kyber auf ML-KEM ist im Wesentlichen formell. Die FIPS-Fassung unterscheidet sich nur in wenigen internen Trennwerten von der vorherigen Kyber-Variante; das zugrunde liegende Verfahren bleibt dasselbe. Bestehende Installationen sind in der Übergangszeit weiterhin interoperabel.

Was ist mit Post-Quantum-Signaturen?

Die sind mit FIPS 204 und FIPS 205 ebenfalls standardisiert, aber in der Praxis später dran als der Schlüsselaustausch. Die Umstellung der Zertifikats-Infrastruktur ist aufwendiger und steht erst am Anfang; das CA/Browser Forum hat dafür eine Roadmap angekündigt. Für den Moment bleibt die Reihenfolge: Schlüsselaustausch zuerst, Signaturen später.