NSA-nahe Akteure nehmen laut dem Kryptografen Daniel J. Bernstein gezielt Einfluss auf die Standardisierung von ML-KEM, dem wichtigsten Kandidaten für quantensichere Verschlüsselung in TLS. Der Vorgang ist eine handfeste Vertrauensfrage: An diesem Standard hängt schließlich, ob Verschlüsselung in fünf oder zehn Jahren noch hält, was sie heute verspricht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- Bernstein wirft der NSA vor, eine reine ML-KEM-Variante in TLS 1.3 gegen den sichereren Hybrid-Ansatz durchzusetzen
- Bei einer erneuten IETF-Abstimmung am 24. Juni 2026 sind plötzlich neue, NSA-nahe Stimmen aufgetaucht
- Der Fall erinnert an die Dual_EC_DRBG-Affäre, bei der die NSA nachweislich einen Zufallsgenerator-Standard unterwandert hat
- Das BSI empfiehlt in seiner TR-02102 ausdrücklich die hybride Variante ECDHE-MLKEM, Frist für sensitivste Anwendungen ist 2030
Warum streitet die IETF über ein einziges Kürzel?

Zur Debatte stehen zwei Entwürfe für TLS 1.3: „ietf-tls-mlkem“ setzt auf ML-KEM als alleinstehenden Schlüsselaustausch, der Gegenentwurf „ietf-tls-ecdhe-mlkem“ koppelt das gitterbasierte Verfahren zwingend mit klassischem elliptischen-Kurven-Diffie-Hellman. Der Hybrid-Ansatz zwingt Angreifer, gleichzeitig zwei unterschiedliche mathematische Probleme zu brechen: das etablierte ECDH-Verfahren und das junge gitterbasierte ML-KEM. Bei einer reinen ML-KEM-Implementierung würde dagegen schon eine einzige unentdeckte Schwäche die gesamte Verbindung offenlegen. Kritiker verweisen zusätzlich auf bereits gepatchte Timing-Schwachstellen und einen nicht eng geführten Sicherheitsbeweis von ML-KEM als Argument gegen eine verfrühte Alleinstellung.
Kryptograf Daniel J. Bernstein wirft NSA-nahen Akteuren vor, den TLS-Standardisierungsprozess für quantensichere Verschlüsselung zu unterwandern.
Gitterbasierter Schlüsselaustausch als alleinstehendes Verfahren – ohne klassische Absicherung im Hintergrund.
Kombiniert ML-KEM zwingend mit klassischem elliptischen-Kurven-Diffie-Hellman als zweite Verteidigungslinie.
Beim Zufallszahlengenerator Dual_EC_DRBG hat die NSA laut Snowden-Unterlagen gezielt darauf hingearbeitet, im NIST-Prozess alleiniger Editor zu werden.
Kryptografen stuften den fertigen Standard später als Verfahren mit eingebauter Hintertür ein – ein Verdacht, der sich als zutreffend erwies.
„Ein Standardisierungsgremium, das eine verlorene Abstimmung einfach wiederholt, bis das gewünschte Ergebnis kommt, hat sein eigentliches Mandat verlassen.“
— Michael Dobler, Herausgeber Dr. Web
- 1 Setzen Sie in laufenden PQC-Projekten auf die hybride Variante ECDHE-MLKEM statt auf eine mögliche künftige reine ML-KEM-Fassung.
- 2 Beobachten Sie den Ausgang der IETF-Abstimmung mit Frist 8. Juli 2026 und passen Sie Ihre Roadmap bei Bedarf an.
- 3 Dokumentieren Sie Ihre Verfahrenswahl im Rahmen der NIS2- und KRITIS-Nachweispflichten – als Beleg für eine bewusst sichere Entscheidung.
- 4 Verengen Sie Ihre Kryptografie-Roadmap nicht auf eine einzelne, noch nicht verabschiedete Norm.
Bernstein dokumentiert, wie sich die Argumentation der Befürworter verschoben hat: von offenen Verweisen auf NSA-Vorgaben hin zu vorgeblich rein technischen Begründungen, nachdem Widerstand aufgekommen ist. Nachdem die NSA-Seite eine erste Abstimmung in der IETF-TLS-Arbeitsgruppe verloren hatte, ist für den 24. Juni 2026 kurzerhand eine neue Abstimmung angesetzt worden. Unter den positiven Stimmen ist danach NSA-Mitarbeiter Mike Jenkins aufgetaucht, zuvor nie auf der Mailingliste aktiv. IETF-Regeln erlauben diesen Vorgang formal, doch er legt die Anfälligkeit offener Gremien für koordiniertes Auftreten offen.
Hat die NSA schon einmal einen Kryptostandard unterwandert?
Ja, und dieser Präzedenzfall ist dokumentiert. Beim Zufallszahlengenerator Dual_EC_DRBG hat die NSA laut den durch Edward Snowden veröffentlichten Unterlagen gezielt darauf hingearbeitet, im NIST-Prozess zum alleinigen Editor zu werden. Kryptografen haben den fertigen Standard später als Verfahren mit eingebauter Hintertür eingestuft.
Der ML-KEM-Streit zeigt ein ähnliches Muster: Ein gut vernetzter Akteur versucht, technische Konsensbildung durch koordiniertes Auftreten zu kippen, statt den Streit in der Sache auszutragen. Das ist ein wiederkehrendes Strukturproblem offener Gremien wie IETF und NIST.
„Ein Gremium, das eine verlorene Abstimmung einfach wiederholt, bis das gewünschte Ergebnis kommt, hat seine Legitimität eigentlich verloren.
— Michael Dobler, Herausgeber Dr. Web
Was empfiehlt das BSI deutschen Unternehmen jetzt?
Das BSI hat seine Kryptografie-Richtlinie TR-02102 aktualisiert und empfiehlt gemeinsam mit 17 europäischen Partnerbehörden ausdrücklich hybride Verfahren, bei denen Post-Quanten-Algorithmen wie ML-KEM stets mit klassischen Verfahren kombiniert werden, mit einer Umstellungsfrist für sensitivste Anwendungen bis spätestens 2030.
Für laufende PQC-Projekte bedeutet das konkret: Setzen Sie die hybride Variante ECDHE-MLKEM statt einer möglichen künftigen reinen ML-KEM-Fassung ein, beobachten Sie den Ausgang der IETF-Abstimmung mit Frist 8. Juli 2026, und dokumentieren Sie die eigene Verfahrenswahl im Rahmen der NIS2- und KRITIS-Nachweispflichten. Nur so lässt sich im Fall einer nachträglichen Schwächung des Standards belegen, dass Verantwortliche die sicherere Option bewusst gewählt haben.