ML-KEM-1024 FIPS 203
Hybrider Post-Quanten-Schlüsselaustausch — X25519 + ML-KEM-1024 — gebunden unter HKDF-SHA-256 mit Ciphertext-Binding. Eine dritte klassische Kurve (X448) wird bereits auf der Leitung ausgetauscht und wird gerade als zusätzliche Härtung in den Session-Schlüssel eingebunden. Library-Implementierungen (liboqs, BouncyCastle, @noble/post-quantum) gegen geteilte Testvektoren kreuzvalidiert.
Hybrider Schlüsselaustausch
Wir kombinieren zwei unabhängige Schlüsselkapselungsmechanismen — X25519 (klassisch elliptisch) und ML-KEM-1024 (Lattice, NIST Level 5) —, gebunden über HKDF-SHA-256 und ein Ciphertext-Binding-Label, das bekannte Substitutionsangriffe schließt. Wird einer der beiden Algorithmen jemals gebrochen — klassisch oder quantum —, bleibt das Session-Geheimnis sicher. Eine dritte Kurve, X448, wird bereits während des Handshakes ausgetauscht und wird gerade als weitere Härtung integriert.
- Zwei unabhängige Annahmen heute: ECDLP + Lattice (eine dritte ist in Arbeit)
- HKDF-SHA-256 mit Ciphertext-Binding
- Forward-versionierte Protokoll-Labels für saubere Migration
Seitenkanal-gehärtet
ML-KEM nutzt FIPS 203 §8.3 Implicit Rejection: ein ungültiger Ciphertext erzeugt einen Pseudo-Zufallswert statt eines Fehlers — kein Timing-Orakel. Tag-Vergleich ist konstantzeitig. Speicher mit Schlüsselmaterial wird in zwei Durchgängen mit Volatile-Fence zeroized, sodass der Compiler den Wipe nicht eliminieren kann.
- Implicit Rejection bei Decapsulation-Fehler (FIPS 203 §8.3)
- Konstantzeitiger Authentifizierungs-Tag-Vergleich
- Compiler-resistente Speicher-Zeroization
Kontinuierliche Schlüsselrotation
Session-Schlüssel rotieren kontinuierlich während eines Anrufs. Der symmetrische Chain-Key advanced nach wenigen Frames, und ephemeres Schlüsselmaterial wird sub-sekündlich neu abgeleitet. Ein Angreifer, der einen Schlüssel zur Sekunde N rekonstruiert, erfährt nichts über den Verkehr vor N oder nach der nächsten Rotation. Kontaktvertrauen beruht heute auf Trust-On-First-Use-Kopplung, mit stärkerer mehrstufiger Verifizierung auf unserer Roadmap.
- Sub-sekündliche Forward-Secrecy-Granularität
- TOFU-basiertes Vertrauen heute — stärkeres mehrstufiges Modell auf der Roadmap
- Replay-Schutz mit gleitendem Sequenzfenster
Architecture
Post-Quantum VPN Tunnel
Post-Quantum VPN
Ein Tunnel, den Quantencomputer nicht brechen können.
ML-KEM-1024 + ML-DSA-87 · NIST FIPS 203/204
Endpoint A
Sovereign Silicon
Endpoint B
Sovereign Silicon
Hybrider PQC-Handshake
Schützt den heutigen Datenverkehr vor den Quantencomputern von morgen.
Harvest-now, decrypt-later — neutralisiert
Erfasster Ciphertext bleibt auch nach dem Q-Day opak.
Souveräne Endpoints
Keine Backdoors, keine vertrauenswürdige Drittpartei im Pfad.
Der Tunnel wird an beiden Enden ausschließlich durch Sovereign Silicon terminiert. Schlüssel werden mit NIST-standardisierten Post-Quantum-Primitiven ausgehandelt und an Hardware-Identitäten gebunden — nichts dazwischen kann ihn lesen, heute nicht und nach dem Q-Day auch nicht.