Quantencomputer sind nicht die einzige Bedrohung. Autonome KI-Systeme entdecken und nutzen kryptografische Schwachstellen ohne menschliche Fuehrung, im industriellen Massstab, auf jeder grossen Plattform gleichzeitig. Eine einzelne Sicherheitsschicht reicht nicht mehr aus. Unabhaengig davon, wer sie durchbricht.

Wir haben eine Architektur gebaut, die ueberlebt. Nicht fuer einen bestimmten Angreifer, sondern fuer jeden Angreifer, der jede einzelne Schicht kompromittieren kann.

Das Problem: Eine Schicht faellt, alles faellt

WireGuard verschluesselt den gesamten Datenverkehr mit Curve25519 (Schluesselaustausch) und ChaCha20-Poly1305 (symmetrische Verschluesselung). Schnell, elegant, erprobt. Aber Curve25519 ist verwundbar gegenueber einem Quantencomputer. Und kryptografische Implementierungen haben Fehler, die autonome Systeme schneller finden als Menschen sie beheben.

Der Schoepfer von WireGuard, Jason Donenfeld, hat dies vorausgesehen. Das Protokoll enthaelt einen Slot fuer einen Pre-Shared Key (PSK) mit 256 Bit, der in die HKDF-Kette des Handshakes eingemischt wird. Eine "Post-Quantum-Sicherheitsklappe", wie er es nannte. Eine symmetrische Barriere, unabhaengig von jeder asymmetrischen Operation.

Aber niemand hat gezeigt, wie man das im Massstab eines Mesh implementiert. Niemand hat ein formales Bedrohungsmodell veroeffentlicht. Niemand hat die Betriebskosten gemessen. Niemand hat die Werkzeuge gebaut.

Bis jetzt.

Drei unabhaengige Schichten. Der Operator entscheidet.

Wir haben drei Strategien entworfen, die sich unabhaengig zusammensetzen. Jede verwendet unterschiedliche Schluessel, unterschiedliche Protokolle, unterschiedliche Vertrauensanker. Die Kompromittierung einer Schicht liefert keine Informationen ueber die anderen.

Strategie A: Symmetrische PSK-Barriere. Standard-WireGuard, ein 256-Bit-PSK pro Knotenpaar. Keine Protokollaenderung. Overhead unter 1 Mikrosekunde pro Handshake. 128-Bit-Sicherheit unter Quantenangreifer (Grover-Grenze). Jeder Tunnel erhaelt diese Behandlung.

Strategie B: Rosenpass-Sidecar fuer PQ. Post-Quantum-Schluesselaustausch (Classic McEliece + ML-KEM), alle 2 Minuten in den PSK-Slot injiziert. Schliesst die Authentifizierungsluecke. Bietet Post-Quantum Forward Secrecy. Sauberes Sicherheitsaudit (Radically Open Security, Februar 2024).

Strategie C: Unabhaengigkeit der inneren Schichten. mTLS zwischen Diensten, mit eigener Zertifizierungsstelle. Unabhaengige Schluessel. Ueberlebt die Kompromittierung der Transportschicht.

Der Operator waehlt, was auf jedem Knoten laeuft, abhaengig vom Bedrohungsprofil. Kritische Server erhalten alle drei. Relays erhalten A + B. IoT-Geraete erhalten nur A, isoliert im VLAN. Das ist keine Plattformbeschraenkung. Es ist eine Architekturentscheidung.

5 Dollar pro Knoten. Hardware-gestuetzt. Schluessel verlassen nie das Geraet.

Ein auf der Festplatte gespeicherter PSK ist verwundbar. Ein in Hardware gespeicherter PSK nicht.

Wir haben eine Architektur auf 5 Ebenen gebaut, alle ueber dieselbe PKCS#11-Schnittstelle. Derselbe Code, unterschiedliche Hardware, unterschiedliche Sicherheitseigenschaften:

• Ebene 1: SoftHSM (kostenlos) fuer Entwicklung und Tests
• Ebene 2: Pico HSM auf RP2350 ($5), nicht-extrahierbare Schluessel, HKDF auf dem Geraet, ChaCha20
• Ebene 3: Pico HSM + ATECC608A ($7), sicheres Element mit Schutz gegen physische Angriffe
• Ebene 4: YubiHSM 2 ($650), FIPS 140-2 Level 3, manipulationssicheres Auditprotokoll
• Ebene 5: Thales Luna / ATOS Trustway ($15.000+), ANSSI CC EAL4+-Zertifizierung, souveraene Anforderungen

7 Knoten auf 3 Kontinenten. 21 PSK-Paare. 35 Dollar an Hardware. Dieselbe Architektur skaliert auf 38 Knoten fuer $190. Der Wechsel der Ebene ist eine Konfigurationsentscheidung, keine technische Herausforderung.

89 Tests. Null Fehlschlaege.

Wir haben den Code als Open-Source-Referenzimplementierung veroeffentlicht. 8 Module, jedes einer Sektion der akademischen Arbeit zugeordnet. Die Tests lesen sich wie das Bedrohungsmodell:

• Mesh-Topologie: 22 Tests (Paare, Ebenen, Strategien, Validierung)
• PKCS#11-Schluesselspeicher: 15 Tests (Erzeugung, Ableitung, Vernichtung, Persistenz)
• Signiertes Auditprotokoll: 12 Tests (Aufzeichnung, Kettenintegritaet, Manipulationserkennung)
• Rotationsmotor: 15 Tests (Initialisierung, geplant, Notfall)
• End-to-End: 23 Tests (vollstaendiger Zyklus: Init, Rotation, Notfallwiderruf, Audit-Pruefung)

Die E2E-Tests haben zwei reale Fehler gefunden: Verlust der Rotationsepoche bei Regenerierung und fehlende Validierung fuer nicht existierende Knoten bei der Notfallrotation. Wir haben sie behoben. Deshalb testet man.

Was wir sagen und was nicht

Die vollstaendige akademische Arbeit deklariert jede Sicherheitseigenschaft und jede Luecke explizit - bevor irgendein Reviewer sie findet.

Was wir beweisen koennen:

• PSK bietet Post-Quantum-Vertraulichkeit (128 Bit unter Grover)
• Unabhaengige Schichten mit unabhaengigem kryptografischem Material ueberleben die Kompromittierung jeder einzelnen Schicht
• Ein Fehler in einer PQ-KEM-Implementierung degradiert zur klassischen Sicherheit, nicht zum Totalausfall
• Die Architektur ist heute betriebsbereit, auf Standard-WireGuard, auf jeder Plattform

Was wir (noch) nicht beweisen koennen:

• Post-Quantum Forward Secrecy im PSK-Pfad (begrenzt durch Rotationsfrequenz)
• Post-Quantum-Authentifizierung allein aus PSK (erfordert Strategie B oder PQ-Zertifikate)
• Formaler mechanisierter Beweis (das Sicherheitsargument ist korrekt, das CryptoVerif-Artefakt existiert noch nicht)

Die Luecken werden deklariert, weil sie real sind. Und fuer jede ist der Loesungsweg identifiziert.

Warum es jetzt wichtig ist

CNSA 2.0 (USA/NSA) verlangt Post-Quantum-Kryptografie fuer neue Systeme ab Januar 2027. BSI, ANSSI, ENISA zielen auf 2030 fuer kritische Infrastruktur. NIS2 fordert Kryptografie auf "Stand der Technik". Und autonome KI-Systeme demonstrieren bereits, dass kryptografische Schwachstellen ohne menschliche Fuehrung entdeckt und ausgenutzt werden koennen.

Die Architektur ist nicht fuer einen bestimmten Angreifer konzipiert. Sie ist fuer eine Klasse von Angreifern konzipiert, die in der Lage sind, jedes einzelne kryptografische Primitiv zu brechen - sei es durch Quantenberechnung, autonome Schwachstellenerkennung oder Ausnutzung auf Implementierungsebene.

Drei unabhaengige Schichten ueberleben, weil keine einzelne Kompromittierung Zugang zu allen Schichten bietet.

Fazit

Das Geraet ist eine Handelsware. Sie kaufen es ueberall. Aber die Art, wie Sie verschluesseln, wie Sie Schluessel rotieren, wie Sie jede Schicht unabhaengig kontrollieren, wie Sie sicherstellen, dass ein Durchbruch an einem Punkt sich nicht im gesamten System ausbreitet - das ist nichts, was Sie von der Stange kaufen.

Das Geraet ist eine Handelsware. Die Architektur ist der Burggraben.

Brauchen Sie Post-Quantum-Sicherheit fuer Ihr WireGuard-Netzwerk? Kontaktieren Sie uns.