Am 2. Juni 2026 hat die ENISA den Entwurf der Version 3 der „Agreed Cryptographic Mechanisms” zur öffentlichen Konsultation gestellt. Diese Leitlinie legt fest, welche kryptografischen Verfahren in Produkten anerkannt werden, die unter dem EUCC-Schema zertifiziert werden. Der neue Entwurf verschiebt diese Vorgaben spürbar in Richtung Post-Quanten-Kryptografie.
Die Agreed Cryptographic Mechanisms (ACM) sind eine Leitlinie der ECCG-Untergruppe Kryptografie. Sie benennt, welche kryptografischen Verfahren von den nationalen Zertifizierungsstellen als anerkannt gelten. Die ACM richtet sich an Entwickler und Evaluatoren und ordnet jeden Mechanismus als empfohlen (Recommended) oder zulässig (Admissible) ein, samt Schlüssellängen und Gültigkeitsfristen.
Das Dokument ist Teil des europäischen Zertifizierungsschemas EUCC und wird im Zweijahresrhythmus überarbeitet. Version 2.0 wurde Mitte 2025 angenommen. Der jetzt vorgelegte Entwurf der Version 3 ist die erste größere Fortschreibung seitdem.
Was ist passiert?
Die ENISA hat den Entwurf gemeinsam mit einem Changelog veröffentlicht. Alle Änderungen gegenüber Version 2.0 sind im Dokument rot markiert, was den Abgleich erleichtert. Die öffentliche Konsultation läuft bis Ende Juli 2026; Rückmeldungen können über einen Online-Survey der EU-Kommission eingereicht werden.
Inhaltlich umfasst der Entwurf zwölf Änderungspunkte, von rein redaktionellen Aktualisierungen bis zu strukturellen Eingriffen in das Kategoriemodell. Die meisten substanziellen Änderungen drehen sich um ein Thema: die Vorbereitung auf die Quantenbedrohung.
Was ändert sich konkret?
Die zwölf Änderungen lassen sich zu wenigen Schwerpunkten bündeln. Im Mittelpunkt stehen der Status der post-quanten Verfahren, das überarbeitete Kategoriemodell und mehrere neu aufgenommene Mechanismen.
Post-Quanten-Verfahren werden Recommended
Die zentrale Neuerung betrifft den Status der post-quantensicheren Verfahren. Mehrere Mechanismen erhalten im Entwurf den höchsten Status Recommended:
- ML-KEM (FIPS 203) und FrodoKEM für die Schlüsseleinigung
- ML-DSA (FIPS 204) und SLH-DSA (FIPS 205) für digitale Signaturen
- die zustandsbehafteten Hash-Signaturen XMSS und LMS (SP 800-208)
Damit stehen die standardisierten PQC-Verfahren erstmals auf einer Stufe mit etablierten klassischen Mechanismen. Klassische asymmetrische Verfahren wie RSA, FF-DLOG und EC-DLOG werden im Gegenzug durchgängig als Admissible geführt, also als zulässig, aber nicht mehr als erste Wahl für neue Systeme.
Hybridisierung wird konkretisiert
Der Entwurf bleibt bei der Empfehlung, PQC-Verfahren nicht allein, sondern im Hybridbetrieb mit einem klassisch sicheren Verfahren einzusetzen. Neu ist, dass die Leitlinie diesen Punkt deutlich präziser fasst und konkrete Key-Combiner benennt (NIST SP 800-227, CatKDF, CasKDF). Hintergrund ist der Stand der Standardisierung, die sich bei hybriden Verfahren weiterbewegt hat.
Sichtbar wird das auch bei TLS: Der Entwurf nimmt hybride TLS-1.3-Ciphersuites auf, etwa X25519MLKEM768 und SecP256r1MLKEM768, und stuft sie als Recommended ein. Sie kombinieren ein klassisches Schlüsselaustauschverfahren mit ML-KEM, sodass beide Anteile gebrochen werden müssten, um die Verbindung zu kompromittieren.
Neues Kategoriemodell: von Legacy zu Admissible
Strukturell am bedeutsamsten ist die Überarbeitung der Kategorien. Die bisherige Bezeichnung „Legacy” entfällt und wird durch „Admissible” ersetzt. Recommended-Mechanismen bieten mindestens 125 Bit Sicherheit und spiegeln den Stand der Technik. Admissible-Mechanismen bieten mindestens 100 Bit, gelten als kurzfristig akzeptabel und sollen, wo möglich, abgelöst werden.
Ergänzt wird eine Notation für eine Mindestgültigkeit. A[2033] bedeutet, dass die Anerkennung am 31. Dezember 2033 endet. A[2033+] bedeutet, dass der Mechanismus mindestens bis dahin zulässig bleibt und die Frist in künftigen Versionen verlängert werden kann. Der Standardwert für zulässige Verfahren liegt bei A[2033+]. Motiviert ist diese Verfeinerung durch die Quantenbedrohung, die zwar noch nicht praktisch besteht, bei der Verfahrenswahl aber bereits mitgedacht werden muss.
Neue Mechanismen kommen hinzu
Über die PQC-Verfahren hinaus nimmt der Entwurf weitere Mechanismen auf. EdDSA (RFC 8032) wird als elliptisches Signaturverfahren ergänzt, mit einem Hinweis auf die deterministische Erzeugung des Signaturwerts und die damit verbundene Anfälligkeit für Fault-Angriffe. Für das Passwort-Hashing kommt Argon2-id (RFC 9106) als empfohlenes Verfahren hinzu; PBKDF2 bleibt zulässig. Argon2 als speicherintensive Funktion bietet gegenüber reinen Iterationsverfahren bessere Garantien gegen das Erraten von Passwörtern. Zusätzlich führt der Entwurf Extendable-Output Functions (XOF) wie SHAKE und cSHAKE als eigene Kategorie ein, da sie in ML-KEM und ML-DSA bereits eingesetzt werden.
AES-Klarstellung und Streichungen
Bei AES stellt der Entwurf ausdrücklich klar, dass eine Verdopplung der Schlüssellänge nicht erforderlich ist: AES-128 bleibt in allen Kontexten zulässig, auch im PQC-Umfeld. In Kontexten, in denen Quantenresistenz gefordert ist, wird jedoch AES mit mindestens 192 Bit empfohlen. Parallel entfernt der Entwurf an mehreren Stellen bereits zuvor abgekündigte Verfahren, da sie keinen Grund mehr haben, in der Leitlinie zu verbleiben.
Definierter Update-Prozess
Schließlich definiert der Entwurf in einem neuen Anhang C erstmals einen formalen Prozess, wie die ACM fortgeschrieben wird und wie auch Externe Vorschläge einreichen können. Dieser Punkt ist der Grund, warum die aktuelle Konsultation überhaupt strukturiert offen ist.
Was bedeutet das für Hersteller?
Die ACM gilt unmittelbar für Produkte, die unter dem EUCC-Schema zertifiziert werden. Wer als Hersteller etwa einen Smart-Meter-Gateway durch eine solche Zertifizierung führt, muss die eingesetzten kryptografischen Verfahren gegen die anerkannte Liste prüfen. Der Recommended- oder Admissible-Status und die zugehörigen Fristen entscheiden mit darüber, wie lange ein Produkt im Markt anerkannt bleibt.
Besonders relevant ist die Richtung für langlebige Industrieprodukte. Eine Maschinensteuerung mit Fernwartung über TLS ist oft zehn Jahre und länger im Feld. Bei diesem Zeithorizont greift das „Harvest now, decrypt later”-Szenario: Heute abgefangene, klassisch verschlüsselte Kommunikation kann später entschlüsselt werden, sobald ein leistungsfähiger Quantencomputer verfügbar ist. Die Aufwertung der PQC-Verfahren und die Betonung des Hybridbetriebs zielen genau auf diese Produktklasse.
Auch außerhalb der direkten EUCC-Zertifizierung gibt die ACM die Marschrichtung vor. Die kryptografischen Anforderungen aus der RED Delegated Act und EN 18031 und die Erwartungen an sichere Produktentwicklung im Zuge der CRA-Konformitätsbewertung bewegen sich in dieselbe Richtung. Hersteller, die ihre Krypto-Strategie an Recommended-Verfahren ausrichten und PQC im Hybridbetrieb einplanen, treffen damit eine Entscheidung, die über das EUCC-Schema hinaus tragfähig ist.
Der Entwurf ist bis Ende Juli 2026 in der Konsultation und kann sich noch ändern. Für die strategische Planung zählt jedoch weniger der finale Wortlaut einzelner Tabellen als die klar erkennbare Stoßrichtung: weg von rein klassischer Asymmetrie, hin zu hybriden und post-quantensicheren Verfahren.
Die Aufwertung der Post-Quanten-Verfahren und das neue Kategoriemodell schaffen Orientierung, werfen für bestehende Produktlandschaften aber konkrete Migrationsfragen auf.
Kommentar hinzufügen