Post-Quantum Migration, Spherity 2026

Ihre verschlüsselten Daten werden heute schon gesammelt.

Q-Day ETA
3 bis 7 Jahre
Quelle: WEF, NSA, NIST 2024/25

Harvest Now, Decrypt Later. Angreifer speichern Ihre Verschlüsselung heute, Quantencomputer entschlüsseln sie morgen. EIDA, das Business Wallet von Spherity, macht Ihre Unternehmensidentität schon jetzt resilient. Keine Versprechen, die kein System einlösen kann.

Jetzt Demo ausprobieren Wie es funktioniert

QuellenWEF Global Cybersecurity Outlook 2025 · NIST FIPS 203 / 204 / 205 · BIS · ENISA

5 bis 15

Jahre, die heutige Verschlüsselung noch hält. RSA, ECC und AES werden angreifbar.

3 bis 7

Jahre bis zu einem kryptografisch relevanten Quantencomputer. Schätzung WEF, NSA, NIST 2024/25.

Jetzt

ist der richtige Zeitpunkt zur Migration. NIST PQC Standards finalisiert 2024.

W3C DID Standard DSGVO-konform NIST PQC 2024 eIDAS 2.0 Ready ISO 27001

Die stille Bedrohung

Ihre Daten werden heute schon abgefangen.

Die Quantenbedrohung ist keine Zukunftsfrage. Nation-State-Akteure sammeln seit Jahren verschlüsselte Unternehmensdaten, um sie später zu entschlüsseln.

  1. RSA und ECC sind durch Shors Algorithmus vollständig brechbar.

    Betroffen: E-Mail-Zertifikate, TLS, digitale Signaturen, OAuth-Token, jede heutige Public-Key-Infrastruktur.

  2. Staatliche Akteure sammeln verschlüsselte Daten bereits heute.

    NSA, BIS und EU-Nachrichtendienste warnen vor systematischen HNDL-Operationen. Im Fokus: Pharma, Automotive, Energie, Finance.

  3. PKI-Migrationen dauern 3 bis 5 Jahre. Wer 2025 nicht beginnt, ist bei Q-Day exponiert.

    Regulierung (NIS2, DORA, BSI) antizipiert PQC-Anforderungen bereits aktiv.

„Quantum computing poses an existential risk to the cryptographic foundations that underpin global digital infrastructure. Organizations must begin post-quantum migration now."
World Economic Forum Global Cybersecurity Outlook 2025, Davos

Das Weltwirtschaftsforum stuft die Quantenbedrohung als eines der kritischsten Risiken für die globale Digitalwirtschaft ein. Besonders betroffen: grenzüberschreitende Transaktionen, Supply-Chain-Daten und regulierte Identitätssysteme. Googles Willow-Chip (2024) demonstriert erstmals Quantenfehlerkorrektur in relevantem Maßstab.

Hintergrund

Was ist Post-Quantum-Kryptographie und warum ist sie jetzt relevant?

PQC bezeichnet Algorithmen, die selbst von leistungsfähigen Quantencomputern nicht gebrochen werden können. Das NIST hat 2024 die ersten Standards finalisiert.

Warum es jetzt schon relevant ist:

Staatliche Akteure und organisierte Angreifer speichern bereits heute verschlüsselte Unternehmensdaten, in der Erwartung, sie zu entschlüsseln, sobald ein CRQC existiert. Diese Angriffsstrategie heißt „Harvest Now, Decrypt Later" (HNDL) und ist die gravierendste Langzeitbedrohung für digitale Identitäten und Lieferkettendaten.

Klassische Kryptographie (heute)

Verwundbar gegen Quantenangriffe.

  • RSA, ECC basieren auf Faktorisierungsproblemen
  • Shor-Algorithmus auf Quantencomputern löst diese trivial
  • TLS 1.3, X.509-Zertifikate, JWT, OpenID Connect: alle betroffen
  • AES-128 wird durch Grovers Algorithmus auf 64-Bit-Sicherheit halbiert

Post-Quantum-Kryptographie (NIST 2024)

Resilient gegen Shor- und Grover-Angriffe.

  • ML-KEM (Kyber): Key Encapsulation, ersetzt ECDH
  • ML-DSA (Dilithium): Digitale Signaturen, ersetzt ECDSA
  • SLH-DSA (SPHINCS+): Hash-basierte Signaturen
  • Hybrid-Modus: klassisch und PQC parallel, rückwärtskompatibel

NIST Standards finalisiert

FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) wurden im August 2024 veröffentlicht. Unternehmen können jetzt auf zertifizierte Algorithmen migrieren.

W3C DID als Migrationshebel

Decentralized Identifiers erlauben es, mehrere kryptografische Schlüssel an eine einzige Unternehmensidentität zu binden. Klassische und PQC-Schlüssel gleichzeitig, ohne Unterbrechung.

Regulierung folgt

BSI, ENISA und die EU-Kommission erarbeiten PQC-Anforderungen unter NIS2 und DORA. Wer 2025 oder 2026 migriert, ist regulatorisch voraus.

Technische Architektur

How it works: Dezentrale Identität trifft Post-Quantum-Kryptographie

Die Migration zu quantenresilienter Sicherheit erfordert keinen Big-Bang-Austausch bestehender Infrastruktur. EIDA nutzt W3C DIDs als Anker für hybride Kryptographie, für Verschlüsselung (DIDcomm) und für digitale Signaturen.

Multi-Key Verification & W3C DIDs

Moderne DID-Standards ermöglichen es einer Unternehmensidentität, mehrere kryptografische Schlüssel gleichzeitig zu halten. Das EIDA Business Wallet verankert klassische (Ed25519, X25519) und PQC-Schlüssel (ML-DSA, ML-KEM) an exakt dieselbe Identität — ohne Konflikt, ohne Migrationspause.

Ed25519 ML-DSA-65 X25519 ML-KEM-768

Hybride Kryptographie

Wir härten Ihre Daten durch ein hybrides Modell: klassische und neue PQC-Algorithmen laufen parallel. Ihre digitalen Signaturen bleiben universell verifizierbar für Legacy-Systeme heute und sind resilient gegen morgige Quantenangriffe.

ECDH ML-KEM DIDcomm v2

Zero-Downtime Crypto-Agility

Da dezentrale Infrastruktur Identität und Kryptographie trennt, können Sie kryptografische Schlüssel kontinuierlich rotieren und upgraden. Ihr Unternehmen bleibt sicher, ohne Verbindungen zu Partnern zu unterbrechen, die noch nicht migriert haben.

DID Rotation Key Agreement

Hybride Verschlüsselung via DIDcomm

Zum Beispiel für verschlüsselte Verifiable Credentials und sichere API-Nachrichten.

DIDcomm v2 ML-KEM-768 (FIPS 203) X25519 (klassisch) Hybrid Key Agreement HKDF-SHA256 AES-256-GCM
  1. 1DID ResolveAbsender löst DID des Empfängers auf und liest DID-Dokument.
  2. 2Dual Key ExtractKlassischer X25519-Key und PQC ML-KEM-768-Key aus DID-Dokument.
  3. 3Hybrid KEMECDH (X25519) und ML-KEM-768 Encapsulation parallel ausgeführt.
  4. 4Key CombineBeide Shared Secrets via HKDF zu einem kombinierten Schlüssel.
  5. 5Encrypt & SendAES-256-GCM mit kombiniertem Schlüssel, DIDcomm-Envelope versenden.

Sicherheitseigenschaft: Selbst wenn ein zukünftiger Quantencomputer den klassischen X25519-Anteil bricht, bleibt die Nachricht durch ML-KEM geschützt und umgekehrt. Kein Angreifer kann heute gesammelte Nachrichten entschlüsseln, ohne beide Schlüsselprobleme zu lösen.

PQC Corridor

Was ist ein PQC-Corridor und wie funktioniert er?

Ein PQC-Corridor ist ein quantenresilienter, zertifizierter Kommunikationskanal zwischen zwei Unternehmensidentitäten über Ländergrenzen hinweg. Er basiert auf gegenseitig verifizierten DIDs, hybrider Kryptographie und gesetzeskonformen Nachweisen, automatisiert über EIDA.

Wie ein Corridor entsteht

  1. 1DID-Registrierung beider Parteien: Unternehmen A (zum Beispiel DE) und Unternehmen B (zum Beispiel US) registrieren ihre Unternehmensidentität mit hybriden Schlüsseln.
  2. 2Credential-Austausch und Verifikation: EIDA tauscht automatisch Verifiable Credentials aus und verifiziert Unternehmensregistrierung, Zertifizierungen und Compliance-Nachweise beider Seiten.
  3. 3Hybrid-verschlüsselter Kanal: DIDcomm etabliert einen Ende-zu-Ende-verschlüsselten Kanal mit hybridem ML-KEM und X25519, resilient gegen HNDL-Angriffe.
  4. 4Laufender Betrieb und Crypto-Agility: Schlüssel werden automatisch rotiert. Bei neuen PQC-Standards erfolgt ein nahtloses Update ohne Downtime für den Corridor.

PQC-Corridor Schema

Party A

DIDcomm v2

ML-KEM + X25519

Party B

Verifiable Credentials ↔ DID Documents

W3C Standards · Hybrid Proofs · Crypto-Agile

TR–DE Corridor: Industrie, Zoll, Lieferkette

Deutschlands Lieferketten mit der Türkei umfassen Automobilteile, Textil und Maschinenbau. EIDA ermöglicht quantenresilienten Austausch von Ursprungsnachweisen, Zollpapieren und Compliance-Dokumenten zwischen türkischen Produzenten und deutschen Importeuren.

Handelsvolumen pro Jahr

circa 40 Mrd EUR

EU-Compliance-Pflicht

CBAM

Automotive EDI / Zoll Maschinenbau

Spherity arbeitet mit führenden Technologie- und Standardisierungsorganisationen zusammen

Paper & News

Aktuelle Veröffentlichungen

Featured Paper

Post-Quantum Identity for Enterprises: A Hybrid Migration Path

Technisches Paper zur hybriden PQC-Migration auf Basis von W3C DIDs und Verifiable Credentials. Open Access auf Zenodo.

Auf Zenodo lesen
Veröffentlicht
Zenodo, 2026
Format
Open Access, DOI
Autoren
Spherity Research
Sprache
EN

Jetzt handeln

Jetzt handeln, bevor Q-Day kommt

Die PQC-Migration ist kein Projekt für übermorgen. Spherity begleitet Sie vom ersten Assessment bis zur vollständigen Quantum-Resilience. Echte „quantum safety" verspricht heute kein System, aber resiliente Architektur lässt sich heute schon liefern.

PQC Migration Roadmap

Strukturierter 90-Tage-Plan für den Start Ihrer PQC-Migration, inklusive Bestandsaufnahme, Priorisierung und Quick Wins.

Roadmap starten

Expertenberatung buchen

30-Minuten-Call mit einer Spherity PQC-Expertin. Wir analysieren Ihre spezifische Bedrohungslage und zeigen konkrete nächste Schritte.

Termin buchen

Führende Stimmen aus Industrie und Forschung

„Spherity was selected as a leader in PQC-enabled business wallets and ecosystem migration to contribute to the World Economic Forum's Quantum Application Hub."
Anjali Roy