|
| 1 | +--- |
| 2 | +title: "Unser Fahrplan zur Post-Quanten-Kryptografie" |
| 3 | +slug: post-quantum-cryptography |
| 4 | +date: 2025-06-30 |
| 5 | +tags: [cryptomator, encryption] |
| 6 | +params: |
| 7 | + math: true |
| 8 | + fediverseCreator: "@[email protected]" |
| 9 | + Author: "Sebastian Stenzel" |
| 10 | + Authorimg: "https://static.cryptomator.org/photos/team/sebastian-512.jpg" |
| 11 | +# Authorlink: "https://mastodon.social/@overheadhunter" ? |
| 12 | + |
| 13 | +summary: "Quantencomputer werden viele traditionelle Verschlüsselungsverfahren brechen. Erfahre, wie wir Cryptomator Hub anpassen wollen, um Angreifern einen Schritt voraus zu sein." |
| 14 | + |
| 15 | +ogimage: |
| 16 | + relsrc: /img/blog/cryptobot-xwing-bg.png |
| 17 | + width: 1480 |
| 18 | + height: 832 |
| 19 | +--- |
| 20 | + |
| 21 | +Wenn du dies liest, hast du wahrscheinlich schon von Quantencomputern gehört und davon, dass sie möglicherweise einige traditionelle Verschlüsselungsverfahren brechen könnten. In diesem Artikel zeigen wir auf, wie sich dies auf Cryptomator auswirkt und was unser Plan ist, um vollständig quantensicher zu werden. |
| 22 | + |
| 23 | +## Kryptografische Aufschlüsselung |
| 24 | + |
| 25 | +Werfen wir zunächst einen Blick auf die in Cryptomator verwendeten Verschlüsselungsverfahren: |
| 26 | + |
| 27 | +<figure class="text-center"> |
| 28 | + <img class="inline-block rounded-sm" src="/img/blog/traditional-cipher-breakdown.svg" alt="Diagramm, das das Wachstum von 2^n im Vergleich zu n^2 zeigt" /> |
| 29 | + <figcaption>Kryptografische Aufschlüsselung von Cryptomator & Hub</figcaption> |
| 30 | +</figure> |
| 31 | + |
| 32 | +Wie du sehen kannst, verlassen wir uns hauptsächlich auf AES- und EC-basierte Algorithmen. Dies sind traditionelle Algorithmen, deren Sicherheitsannahmen in einer Welt klassischer (nicht-quantenbasierter) Computer gelten. Die Grundidee ist, dass Berechnungen effizient sind, wenn man den richtigen Schlüssel kennt, aber ohne ihn praktisch unmöglich. Wenn ich "praktisch unmöglich" sage, meine ich auf traditionellen Computern, da die Berechnungen einfach "zu komplex" sind. |
| 33 | + |
| 34 | +## Ein paar Worte zur Komplexität |
| 35 | + |
| 36 | +Während wir Komplexität vermeiden, wenn es um Benutzerfreundlichkeit oder Code-Lesbarkeit geht, gibt es eine bestimmte Art von Komplexität, die wir anstreben. Lass mich das erklären: |
| 37 | + |
| 38 | +Wenn wir ausdrücken wollen, wie viele Schritte eine bestimmte Berechnung erfordert, kategorisieren wir Algorithmen in Klassen von Rechenkomplexität. Zur Veranschaulichung hier einige hundebezogene Beispiele: |
| 39 | + |
| 40 | +| Komplexitätsklasse | Beispiel | Big-O | |
| 41 | +|--------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------|----------| |
| 42 | +| Konstante Zeit | Das Pfeifen mit einer Hundepfeife dauert immer gleich lang, unabhängig davon, wie viele Hunde zuhören. | O(1) | |
| 43 | +| Logarithmische Zeit| Die Telefonnummer einer Tierklinik im Telefonbuch zu finden ist einfach, da es alphabetisch sortiert ist und man die Seiten schnell eingrenzen kann. | O(log n) | |
| 44 | +| Lineare Zeit | Jeden Hund streicheln. Wenn jeder Hund die gleiche Aufmerksamkeit bekommt, dauert es bei n Hunden genau n-mal so lange. | O(n) | |
| 45 | +| Polynomielle Zeit | Wenn jeder Hund auf einer Party jeden anderen Hund beschnuppern und begrüßen will. Hund 1 schnuppert Hund 2, 3, 4, ... Hund 2 schnuppert Hund 3, 4, ... usw.| O(nᵏ) | |
| 46 | +| Exponentielle Zeit | Jeder Hund hat 4 Welpen. Das ergibt 16 Hunde nach zwei Generationen, 64 nach drei Generationen und 256 nach vier Generationen. | O(kⁿ) | |
| 47 | + |
| 48 | +Um sicherzustellen, dass das Brechen einer Verschlüsselung eine wahnsinnige Menge an Zeit und Energie erfordert, beruhen kryptografische Algorithmen auf schwer zu berechnenden Problemen - d.h. wir bewegen uns auf der komplexeren Seite des Spektrums. |
| 49 | + |
| 50 | +Das anschaulichste Beispiel dafür ist das Faktorisierungsproblem: Bestimme die Primfaktoren von 8633. Das Ergebnis ist durch eine einfache Multiplikation (89 × 97) leicht zu überprüfen, aber die Faktoren aus dem Produkt zu finden ist schwer; [schwerer als polynomial, aber subexponentiell](https://en.wikipedia.org/wiki/General_number_field_sieve). Genau darauf basiert das RSA-Krypto-Schema (allerdings mit einigen *sehr* großen Zahlen), wobei der öffentliche Schlüssel das Produkt zweier geheimer Primzahlen enthält, die zur Berechnung des privaten Schlüssels erforderlich sind. |
| 51 | + |
| 52 | +## Wie Quantencomputer Verschlüsselungen schwächen |
| 53 | + |
| 54 | +### Asymmetrische Kryptografie |
| 55 | + |
| 56 | +Quantencomputer sind nicht von Natur aus schneller, aber sie ermöglichen die Ausführung einer anderen Art von Algorithmen. Ein Problem, das für traditionelle Algorithmen schwer zu berechnen ist, könnte also weit weniger komplex sein, wenn es mit Quantenalgorithmen gelöst wird. |
| 57 | + |
| 58 | +Eines der berüchtigtsten Beispiele ist [Shors Algorithmus](https://de.wikipedia.org/wiki/Shor-Algorithmus), der das Faktorisierungsproblem in polynomieller Zeit löst. Während polynomielle Zeit nur eine Zeile über der exponentiellen Zeit in der obigen Tabelle liegt, macht es den entscheidenden Unterschied. Die folgende Grafik veranschaulicht die Auswirkung einer zunehmenden Problemgröße auf die beiden Komplexitätsklassen: |
| 59 | + |
| 60 | +<figure class="text-center"> |
| 61 | + <img class="inline-block rounded-sm" src="/img/blog/pqc-complexity-classes.svg" alt="Diagramm, das das Wachstum von 2^n im Vergleich zu n^2 zeigt" /> |
| 62 | + <figcaption>Wachstumskurven von polynomiellen und exponentiellen Funktionen</figcaption> |
| 63 | +</figure> |
| 64 | + |
| 65 | +Wenn ein Quantencomputer gebaut werden kann, der in der Lage ist, Shors Algorithmus auf große Zahlen anzuwenden, würde er die meisten der heutigen Public-Key-Kryptografie brechen – einschließlich ECDH. |
| 66 | + |
| 67 | +### Symmetrische Kryptografie |
| 68 | + |
| 69 | +Stell dir ein Zahlenschloss mit vier Ziffern vor. Um die richtige Kombination zu erraten, müsste ein traditioneller Computer jede Möglichkeit überprüfen, beginnend mit 0000 und endend mit 9999. Im Durchschnitt würde es 5.000 Versuche dauern. Was aber, wenn ich dir sage, dass ein Quantencomputer es in nur 100 Versuchen schaffen könnte? Klingt wie Magie? Das ist genau das, was Grovers Algorithmus erreichen kann. |
| 70 | + |
| 71 | +Allgemeiner gesagt: Wenn ein traditioneller Algorithmus im Durchschnitt \(n/2\) Schritte benötigt, braucht ein Quantencomputer nur \(\sqrt n\) Versuche – eine Beschleunigung, die das BBBV-Theorem als die bestmögliche Lösung beweist. Wenn du verstehen möchtest, wie das funktioniert, gibt es [ein großartiges Video von 3Blue1Brown über Grovers Algorithmus](https://www.youtube.com/watch?v=RQWpF2Gb-gU). |
| 72 | + |
| 73 | +Diese "Magie" gilt für jedes Problem, bei dem es effizient ist zu überprüfen, ob eine geratene Lösung korrekt ist. Das ist offensichtlich ein Problem, wenn du nicht möchtest, dass ein Angreifer deinen geheimen Schlüssel errät. Glücklicherweise ist die Verteidigung einfach: Erhöhe \(n\) auf eine Größe, bei der selbst \(\sqrt n\) groß genug wird, um Grovers Algorithmus unpraktisch zu machen. |
| 74 | + |
| 75 | +> [!QUESTION] Warum ist AES-256 quantensicher? |
| 76 | +> Hast du dich schon einmal gefragt, warum wir AES-256 anstelle von AES-128 verwenden? |
| 77 | +> |
| 78 | +> Die "256" bezieht sich auf die Anzahl der Schlüsselbits, was zu \(2^{256}\) möglichen Schlüsseln führt. Das Erraten des richtigen Schlüssels würde daher \(2^{256} / 2 = 2^{255}\) Versuche auf einem traditionellen Computer und \(\sqrt{2^{256}} = 2^{128}\) Versuche mit Grovers Algorithmus erfordern. |
| 79 | +> |
| 80 | +> \(2^{128}\) Versuche durchzuführen ist einfach nicht machbar. Während AES-128 also auf traditionellen Computern ausreicht, erfordert die Post-Quanten-Welt AES-256. |
| 81 | +
|
| 82 | +## Eine neue Ära der Verschlüsselungsverfahren |
| 83 | + |
| 84 | +<figure class="text-center"> |
| 85 | + < img class= "inline-block rounded-sm" srcset= "/img/blog/cryptobot-crystals.webp, /img/blog/[email protected] 2x" src= "/img/blog/cryptobot-crystals.webp" alt= "Cryptobot trägt Jedi-Roben und lässt einen Kyber-Kristall und einen Dilithium-Kristall mit der Macht schweben" /> |
| 86 | + <figcaption>Kyber und Dilithium</figcaption> |
| 87 | +</figure> |
| 88 | + |
| 89 | +Während also ein ausreichend großer Schlüsselraum für AES genügt, müssen unsere asymmetrischen Verschlüsselungsverfahren ersetzt werden, um Angriffen von Quantencomputern standzuhalten. Im Jahr 2016 startete das National Institute of Standards and Technology (NIST) einen Wettbewerb zur Identifizierung quantenresistenter kryptografischer Algorithmen. |
| 90 | + |
| 91 | +Die Wahl von Algorithmen durch einen Wettbewerb hat sich bereits in der Vergangenheit bewährt, wie bei AES und SHA-3. Dieser Ansatz zieht erhebliche Aufmerksamkeit von Experten auf sich, die ihr Bestes tun, um Schwachstellen aufzudecken. |
| 92 | + |
| 93 | +Im Jahr 2022, nach mehreren Runden der Eliminierung von Dutzenden von Kandidaten, [verkündete NIST die Gewinner](https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms). Kyber und Dilithium – benannt nach Kristallen aus Star Wars bzw. Star Trek – wurden die ersten standardisierten Post-Quanten-Algorithmen für Verschlüsselung und digitale Signaturen. Sie wurden offiziell ML-KEM und ML-DSA genannt. |
| 94 | + |
| 95 | +> [!TIP] |
| 96 | +> Auch hier gibt es ein [großartiges Video, das die zugrunde liegende Mathematik der ML-basierten Kryptografie erklärt](https://www.youtube.com/watch?v=K026C5YaB3A). |
| 97 | +
|
| 98 | +Großartig! Lasst uns also ML-KEM und ML-DSA in Cryptomator Hub integrieren: |
| 99 | + |
| 100 | +<figure class="text-center"> |
| 101 | + <img class="inline-block rounded-sm" src="/img/blog/pqc-cipher-breakdown.svg" alt="Diagramm, das das Wachstum von 2^n im Vergleich zu n^2 zeigt" /> |
| 102 | + <figcaption>Cryptomator Hub mit Post-Quanten-Kryptografie</figcaption> |
| 103 | +</figure> |
| 104 | + |
| 105 | +"Aber warte, da ist immer noch ECDH drin!?" höre ich dich sagen. Und du hast recht. Trotz der vielversprechenden neuen Verschlüsselungsverfahren müssen wir uns der Tatsache stellen, dass sie einfach noch nicht lange existieren. Wir wissen noch nicht, welche Arten von Angriffen in Zukunft entdeckt werden könnten – oder ob diese Algorithmen wirklich den Test der Zeit bestehen werden. |
| 106 | + |
| 107 | +Um also besonders vorsichtig zu sein, kombinieren wir ein traditionelles Verschlüsselungsverfahren mit einem Post-Quanten-Verfahren. Denk daran wie an eine Tür mit zwei Schlössern: Wenn eines gebrochen ist, schützt das andere immer noch das, was sich dahinter befindet. Es ist ein einfaches Design, das sicherstellt, dass das System nicht schwächer ist als seine einzelnen Komponenten. Dieser Post-Quanten/traditionelle (PQ/T) Hybrid wird *X-Wing* genannt. |
| 108 | + |
| 109 | +<figure class="text-center"> |
| 110 | + < img class= "inline-block rounded-sm" srcset= "/img/blog/cryptobot-xwing.webp, /img/blog/[email protected] 2x" src= "/img/blog/cryptobot-xwing.webp" alt= "Cryptobot sitzt im Droidensockel eines X-Wing-Jägers und hat großen Spaß beim Flug durch den Weltraum" /> |
| 111 | + <figcaption>Cryptomator wird X-Wing verwenden</figcaption> |
| 112 | +</figure> |
| 113 | + |
| 114 | +X-Wing ist noch in Arbeit, aber ich habe mich an die RFC-Autoren – Deirdre Connolly, Peter Schwabe und Bas Westerbaan – gewandt, um zu fragen, wann wir mit der Veröffentlichung der endgültigen Spezifikation rechnen können. Nur zehn Minuten später antwortete Bas: |
| 115 | + |
| 116 | +> [!QUOTE] |
| 117 | +> „X-Wing ist final und wird vermutlich von Google und Apple in Hardware ausgeliefert." |
| 118 | +> |
| 119 | +> \- Bas Westerbaan |
| 120 | +
|
| 121 | +Um sicher zu gehen, fragte ich nach und wollte wissen, ob sie weitere Änderungen am aktuellen RFC-Entwurf erwarten – was sie nicht tun: |
| 122 | + |
| 123 | +> [!QUOTE] |
| 124 | +> „Keine signifikanten Änderungen, keine Änderungen geplant oder erwartet" |
| 125 | +> |
| 126 | +> \- Deirdre Connolly |
| 127 | +
|
| 128 | +Dies bestätigte unsere Überzeugung, dass jetzt der perfekte Zeitpunkt ist, um mit der Einführung von X-Wing als zukünftigen Standard für die Schlüsselkapselung zu beginnen. |
| 129 | + |
| 130 | +> [!QUESTION] Wenn PQ/T-Hybride vorzuziehen sind, was ist dann mit einem hybriden Signaturschema? |
| 131 | +> Ja, es gibt auch [Bemühungen, eine Kombination aus ML-DSA und ECDSA zu standardisieren](https://datatracker.ietf.org/doc/draft-prabel-jose-pq-composite-sigs/02/). Im Gegensatz zu X-Wing befindet sich dies jedoch in einer früheren Phase. Wir verfolgen die Entwicklungen in diesem Bereich genau und werden dieses Schema wahrscheinlich nutzen, sobald es bereit ist. |
| 132 | +
|
| 133 | +## Standardisierung der Kryptografie |
| 134 | + |
| 135 | +### Vorteile der Standardisierung |
| 136 | + |
| 137 | +In jeder Branche spielt die Standardisierung eine Schlüsselrolle. Sie stellt Kompatibilität sicher, fördert die Interoperabilität und reduziert Kosten, indem sie es verschiedenen Systemen und Organisationen ermöglicht, mit gemeinsamen Protokollen und Spezifikationen zusammenzuarbeiten – und dabei Konsistenz und Zuverlässigkeit zu gewährleisten. |
| 138 | + |
| 139 | +Im Sicherheitsbereich ist Standardisierung noch wichtiger. Algorithmen, Protokolle und Datenformate müssen nicht nur zuverlässig über heterogene Systeme hinweg funktionieren – sie müssen auch einer rigorosen Prüfung standhalten. Je mehr Experten einen Standard begutachten, desto besser. Wie bei den bereits erwähnten NIST-Wettbewerben kann eine solche Prüfung Schwachstellen aufdecken, *bevor* ein Verschlüsselungsverfahren produktiv eingesetzt wird. Durch die Einhaltung etablierter, transparenter Standards profitieren sowohl Entwickler als auch Benutzer von stärkerem, vertrauenswürdigerem Schutz – besonders da sich die Bedrohungslandschaft mit Technologien wie Quantencomputing weiterentwickelt. |
| 140 | + |
| 141 | +Solche Standards zu ignorieren – manchmal im Namen von Geschwindigkeit oder Bequemlichkeit – führt dich auf einen Weg, der mit versteckten Fehlern gepflastert sein kann. Selbst die kleinste Änderung kann ernsthafte Schwachstellen einführen, die ohne gründliche Peer-Reviews wahrscheinlich zuerst von jemandem entdeckt werden, der klüger und weniger wohlgesinnt ist. |
| 142 | + |
| 143 | +Bei Cryptomator haben wir uns immer gegen "Sicherheit durch Verschleierung" ausgesprochen (weshalb auch [Open Source wichtig ist](https://cryptomator.org/de/guides/open-source/)). Unnötig zu sagen, dass wir nie selbstgebraute Verschlüsselungsverfahren verwendet haben – das würde ein ernsthaftes Risiko darstellen. Und je weiter verbreitet ein Algorithmus oder Protokoll ist, desto einfacher wird es, das System als Ganzes zu verstehen, zu verifizieren und zu auditieren. |
| 144 | + |
| 145 | +### Ein starkes Fundament |
| 146 | + |
| 147 | +Viele Standards bauen auf anderen auf. Ohne ML-KEM gäbe es kein X-Wing. Jetzt, da X-Wing vor der Tür steht, was können wir damit tun? Es in einem weiteren Standard verwenden: [HPKE](https://www.rfc-editor.org/rfc/rfc9180.html). |
| 148 | + |
| 149 | +HPKE steht für Hybrid Public Key Encryption – und um genau zu sein, hängt es überhaupt nicht von X-Wing ab. Stattdessen definiert es, wie man drei verschiedene kryptografische Zutaten – KEM, KDF und AEAD – auf eine bestimmte Weise kombiniert, die gut definierte Sicherheitseigenschaften gewährleistet. Und X-Wing kann als eine dieser Zutaten (das KEM) dienen. |
| 150 | + |
| 151 | +Ein weiterer Standard, den wir lieben gelernt haben, ist JWE, ein Datenformat für den Austausch verschlüsselter Nutzdaten. Und weißt du was – es gibt Leute, die daran arbeiten, [die Verwendung von X-Wing-basiertem HPKE in JWE zu standardisieren](https://datatracker.ietf.org/doc/html/draft-reddy-cose-jose-pqc-hybrid-hpke-07). Das ist genau das, was wir in Cryptomator Hub übernehmen wollen, um die aktuellen ECDH-basierten JWEs zu ersetzen. |
| 152 | + |
| 153 | +Über die bereits erwähnten Vorteile von Peer-Reviews hinaus bietet die Übernahme standardisierter Formate gegenüber proprietären mehrere zusätzliche Vorteile: |
| 154 | + |
| 155 | +- Gemeinsame APIs erleichtern den Austausch von Implementierungen – zum Beispiel bleibt die HPKE-Nutzung unabhängig von den zugrunde liegenden Algorithmen gleich |
| 156 | +- Breite Verfügbarkeit von gut etablierten Bibliotheken. Zum Beispiel gibt es Dutzende von JWE/JWT-Bibliotheken |
| 157 | +- Offizielle Testvektoren ermöglichen es uns, Tests zu schreiben, die den Build frühzeitig fehlschlagen lassen, wenn etwas schief geht |
| 158 | +- Schnelleres Bewusstsein für Schwachstellen: Wenn ein Fehler in einem weit verbreiteten Standard entdeckt wird, wird er wahrscheinlich schnell gemeldet – während eine einzelne proprietäre Implementierung viel länger unbemerkt bleiben kann. |
| 159 | + |
| 160 | +Sowohl JWE als auch HPKE unterstützen austauschbare interne Algorithmen bei gleichzeitiger Beibehaltung einer konsistenten externen Schnittstelle. Dies ermöglicht es uns, die Gesamtstruktur beizubehalten und interne Komponenten schnell zu ersetzen, wenn Schwachstellen auftreten. |
| 161 | + |
| 162 | +> [!QUOTE] |
| 163 | +> Die Moral von der Geschichte ist die Notwendigkeit kryptografischer Agilität. Es reicht nicht aus, einen einzelnen Standard zu implementieren; es ist von entscheidender Bedeutung, dass unsere Systeme in der Lage sind, bei Bedarf leicht neue Algorithmen einzutauschen. |
| 164 | +> |
| 165 | +> — [Bruce Schneier](https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html) |
| 166 | +
|
| 167 | +### Standardisierung des Tresorformats |
| 168 | + |
| 169 | +Wenn also alle in Cryptomator-Produkten verwendeten Verschlüsselungsverfahren – sowie der Austausch von Geheimnissen in Cryptomator Hub – auf Standards basieren, was ist dann mit dem Tresorformat? |
| 170 | + |
| 171 | +Während wir gut etablierte Kryptografie verwenden, sind die Dateiformate selbst unsere eigenen. Aber wir wollen das ändern. Vor einiger Zeit haben wir uns mit Entwicklern von Cyberduck, gocryptfs und rclone zusammengetan, um ein gemeinsames Format für verschlüsselte Verzeichnisse abzuleiten – um die Interoperabilität zwischen unseren Tools sicherzustellen. Obwohl das Format noch in Arbeit ist, hoffen wir, in ein paar Monaten weitere Details mit euch teilen zu können. In der Zwischenzeit seid ihr natürlich eingeladen, das Format zu überprüfen und Ideen zur Verbesserung auf [GitHub](https://github.com/encryption-alliance/unified-vault-format) beizutragen. |
| 172 | + |
| 173 | +Ein wichtiger Vorteil dieses *Unified Vault Format* ist, dass es Schlüsselrotation ermöglicht – was selbst zwei große Vorteile bringt: |
| 174 | + |
| 175 | +1. **Zugriffswiderruf**: Nach der Rotation von Schlüsseln können ehemalige Tresormitglieder keine Dateien mehr entschlüsseln, die nach dem Widerruf ihres Zugriffs hinzugefügt wurden. Was mit Zugriffskontrolllisten trivial ist, erfordert besondere Sorgfalt, wenn wir dies kryptografisch durchsetzen wollen. |
| 176 | +2. **Verschlüsselungsagilität**: Bis zu einem gewissen Grad ermöglicht es Verschlüsselungs-Upgrades. Wenn beispielsweise eine Schwachstelle in einem Algorithmus gefunden wird, können wir einen Schalter umlegen und zu einem neuen JWE-Algorithmus übergehen – wodurch alle neu hinzugefügten Dateien sofort geschützt werden. |
| 177 | + |
| 178 | +## Kurz gesagt: Wo stehen wir? |
| 179 | + |
| 180 | +### Cryptomator |
| 181 | + |
| 182 | +Wie oben erklärt, ist Cryptomator bereits quantensicher. Da es nur symmetrische Verschlüsselungsverfahren mit ausreichend großen Schlüsselräumen verwendet, stellen Quantencomputer derzeit keine bekannte Bedrohung dar. |
| 183 | + |
| 184 | +### Cryptomator Hub |
| 185 | + |
| 186 | +Wir sind derzeit dabei, X-Wing und HPKE-7 in JWE-Bibliotheken zu implementieren. Als 100% Open-Source-Unternehmen haben wir schon immer zu anderen Bibliotheken und Projekten beigetragen. So überrascht es nicht, dass wir jetzt in engem Kontakt mit den Betreuern einer der am weitesten verbreiteten [JOSE-Bibliotheken für Java](https://connect2id.com/products/nimbus-jose-jwt), den Autoren von [JOSE HPKE RFC](https://datatracker.ietf.org/doc/html/draft-reddy-cose-jose-pqc-hybrid-hpke-07) und dem [X-Wing RFC](https://datatracker.ietf.org/doc/draft-connolly-cfrg-xwing-kem/) sowie dem JDK-Sicherheitsteam stehen und diese neuen Standards zu Upstream-Projekten wie [X-Wing-Unterstützung im OpenJDK](https://github.com/openjdk/jdk/pull/26032) beitragen. Alles, um gemeinsam eine widerstandsfähige Grundlage für die kommenden Jahre zu schaffen. |
0 commit comments