NSA-nahe Akteure nehmen laut dem Kryptografen Daniel J. Bernstein gezielt Einfluss auf die Standardisierung von ML-KEM, dem wichtigsten Kandidaten für quantensichere Verschlüsselung in TLS. Der Vorgang ist eine handfeste Vertrauensfrage: An diesem Standard hängt schließlich, ob Verschlüsselung in fünf oder zehn Jahren noch hält, was sie heute verspricht.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Bernstein wirft der NSA vor, eine reine ML-KEM-Variante in TLS 1.3 gegen den sichereren Hybrid-Ansatz durchzusetzen
  • Bei einer erneuten IETF-Abstimmung am 24. Juni 2026 sind plötzlich neue, NSA-nahe Stimmen aufgetaucht
  • Der Fall erinnert an die Dual_EC_DRBG-Affäre, bei der die NSA nachweislich einen Zufallsgenerator-Standard unterwandert hat
  • Das BSI empfiehlt in seiner TR-02102 ausdrücklich die hybride Variante ECDHE-MLKEM, Frist für sensitivste Anwendungen ist 2030

Warum streitet die IETF über ein einziges Kürzel?

Altes Schloss mit Plakette „DOPPELT HÄLT BESSER.“ und kleinem blauen Vorhängeschloss an Kette
Zwei TLS-1.3-Entwürfe im Vergleich: ML-KEM allein versus hybrid mit ECDHE für doppelte Sicherheit gegen Quantencomputer

Zur Debatte stehen zwei Entwürfe für TLS 1.3: „ietf-tls-mlkem“ setzt auf ML-KEM als alleinstehenden Schlüsselaustausch, der Gegenentwurf „ietf-tls-ecdhe-mlkem“ koppelt das gitterbasierte Verfahren zwingend mit klassischem elliptischen-Kurven-Diffie-Hellman. Der Hybrid-Ansatz zwingt Angreifer, gleichzeitig zwei unterschiedliche mathematische Probleme zu brechen: das etablierte ECDH-Verfahren und das junge gitterbasierte ML-KEM. Bei einer reinen ML-KEM-Implementierung würde dagegen schon eine einzige unentdeckte Schwäche die gesamte Verbindung offenlegen. Kritiker verweisen zusätzlich auf bereits gepatchte Timing-Schwachstellen und einen nicht eng geführten Sicherheitsbeweis von ML-KEM als Argument gegen eine verfrühte Alleinstellung.

Post-Quanten-Kryptografie im Streit
ML-KEM unter Beschuss: Wer bestimmt Ihre Verschlüsselung von morgen?

Kryptograf Daniel J. Bernstein wirft NSA-nahen Akteuren vor, den TLS-Standardisierungsprozess für quantensichere Verschlüsselung zu unterwandern.

NSA-favorisiert
Reines ML-KEM
ietf-tls-mlkem

Gitterbasierter Schlüsselaustausch als alleinstehendes Verfahren – ohne klassische Absicherung im Hintergrund.

Eine Schwäche legt die gesamte Verbindung offen
VS
BSI-empfohlen
Hybrid ECDHE-MLKEM
ietf-tls-ecdhe-mlkem

Kombiniert ML-KEM zwingend mit klassischem elliptischen-Kurven-Diffie-Hellman als zweite Verteidigungslinie.

Zwei Probleme müssen gleichzeitig brechen
Wie sich der Streit zuspitzte
Frühjahr 2026
Erste Abstimmung in der IETF-TLS-Arbeitsgruppe: Die NSA-nahe Position für reines ML-KEM unterliegt dem Hybrid-Vorschlag.
Kurz danach
Eine erneute Abstimmung wird kurzerhand angesetzt. Bernstein dokumentiert, wie sich die Argumentation von offenen NSA-Verweisen zu vorgeblich rein technischen Gründen verschiebt.
24. Juni 2026
Bei der neuen Abstimmung taucht NSA-Mitarbeiter Mike Jenkins auf – zuvor nie auf der Mailingliste aktiv, plötzlich mit positiver Stimme für reines ML-KEM.
Frist: 8. Juli 2026
Bis zu diesem Datum soll die IETF-Entscheidung fallen. Das BSI empfiehlt Unternehmen unabhängig davon schon jetzt den hybriden Weg.
Der Präzedenzfall

Beim Zufallszahlengenerator Dual_EC_DRBG hat die NSA laut Snowden-Unterlagen gezielt darauf hingearbeitet, im NIST-Prozess alleiniger Editor zu werden.

Kryptografen stuften den fertigen Standard später als Verfahren mit eingebauter Hintertür ein – ein Verdacht, der sich als zutreffend erwies.

Gleiches Muster: koordiniertes Auftreten statt fachlicher Debatte, um Konsensbildung in offenen Gremien zu kippen.
Einschätzung

„Ein Standardisierungsgremium, das eine verlorene Abstimmung einfach wiederholt, bis das gewünschte Ergebnis kommt, hat sein eigentliches Mandat verlassen.“

— Michael Dobler, Herausgeber Dr. Web

BSI-Empfehlung: TR-02102

Das BSI empfiehlt gemeinsam mit 17 europäischen Partnerbehörden ausdrücklich hybride Verfahren – unabhängig vom Ausgang der IETF-Abstimmung.

17
Europäische Partnerbehörden stützen die Hybrid-Empfehlung
2030
Umstellungsfrist für sensitivste Anwendungen
ECDHE-MLKEM
Empfohlene hybride Variante für alle laufenden PQC-Projekte
Was Sie jetzt konkret tun sollten
  • 1 Setzen Sie in laufenden PQC-Projekten auf die hybride Variante ECDHE-MLKEM statt auf eine mögliche künftige reine ML-KEM-Fassung.
  • 2 Beobachten Sie den Ausgang der IETF-Abstimmung mit Frist 8. Juli 2026 und passen Sie Ihre Roadmap bei Bedarf an.
  • 3 Dokumentieren Sie Ihre Verfahrenswahl im Rahmen der NIS2- und KRITIS-Nachweispflichten – als Beleg für eine bewusst sichere Entscheidung.
  • 4 Verengen Sie Ihre Kryptografie-Roadmap nicht auf eine einzelne, noch nicht verabschiedete Norm.

Bernstein dokumentiert, wie sich die Argumentation der Befürworter verschoben hat: von offenen Verweisen auf NSA-Vorgaben hin zu vorgeblich rein technischen Begründungen, nachdem Widerstand aufgekommen ist. Nachdem die NSA-Seite eine erste Abstimmung in der IETF-TLS-Arbeitsgruppe verloren hatte, ist für den 24. Juni 2026 kurzerhand eine neue Abstimmung angesetzt worden. Unter den positiven Stimmen ist danach NSA-Mitarbeiter Mike Jenkins aufgetaucht, zuvor nie auf der Mailingliste aktiv. IETF-Regeln erlauben diesen Vorgang formal, doch er legt die Anfälligkeit offener Gremien für koordiniertes Auftreten offen.

Hat die NSA schon einmal einen Kryptostandard unterwandert?

Ja, und dieser Präzedenzfall ist dokumentiert. Beim Zufallszahlengenerator Dual_EC_DRBG hat die NSA laut den durch Edward Snowden veröffentlichten Unterlagen gezielt darauf hingearbeitet, im NIST-Prozess zum alleinigen Editor zu werden. Kryptografen haben den fertigen Standard später als Verfahren mit eingebauter Hintertür eingestuft.

Der ML-KEM-Streit zeigt ein ähnliches Muster: Ein gut vernetzter Akteur versucht, technische Konsensbildung durch koordiniertes Auftreten zu kippen, statt den Streit in der Sache auszutragen. Das ist ein wiederkehrendes Strukturproblem offener Gremien wie IETF und NIST.

„Ein Gremium, das eine verlorene Abstimmung einfach wiederholt, bis das gewünschte Ergebnis kommt, hat seine Legitimität eigentlich verloren.

— Michael Dobler, Herausgeber Dr. Web

Was empfiehlt das BSI deutschen Unternehmen jetzt?

Das BSI hat seine Kryptografie-Richtlinie TR-02102 aktualisiert und empfiehlt gemeinsam mit 17 europäischen Partnerbehörden ausdrücklich hybride Verfahren, bei denen Post-Quanten-Algorithmen wie ML-KEM stets mit klassischen Verfahren kombiniert werden, mit einer Umstellungsfrist für sensitivste Anwendungen bis spätestens 2030.

Für laufende PQC-Projekte bedeutet das konkret: Setzen Sie die hybride Variante ECDHE-MLKEM statt einer möglichen künftigen reinen ML-KEM-Fassung ein, beobachten Sie den Ausgang der IETF-Abstimmung mit Frist 8. Juli 2026, und dokumentieren Sie die eigene Verfahrenswahl im Rahmen der NIS2- und KRITIS-Nachweispflichten. Nur so lässt sich im Fall einer nachträglichen Schwächung des Standards belegen, dass Verantwortliche die sicherere Option bewusst gewählt haben.

4,3 17 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?