Interaktiver Workshop von TNO und Zynyo auf der Post-Quantum Cryptography Conference

9. Dezember 2025

Während der Konferenz über Post-Quanten-Kryptografie in Kuala Lumpur im Oktober 2025 tauchten Sven Konings (Zynyo), Stefan van den Berg und Alessandro Amadori (TNO) die Teilnehmer in die Welt der quantensicheren Kryptografie ein. In einem dynamischen Workshop entdeckten die Teilnehmer, wie sie bestehende kryptografische Methoden mit zukunftssicheren, quantensicheren Techniken kombinieren können.

Von der Theorie zur Praxis

Mit maximal 20 Teilnehmern pro Workshop wurden Themen wie Post-Quanten-Kryptografie, hybride Zertifikate, digitale Signaturen und Validierungsprozesse ausführlich behandelt. Darüber hinaus hatten die Teilnehmer die Möglichkeit, selbst aktiv zu werden. Anhand anspruchsvoller Aufgaben lernten sie, wie das Signieren und Validieren digitaler Signaturen in der Praxis funktioniert.

Hybridzertifikate: die Brücke zwischen Alt und Neu

Nach einer kurzen Einführung erklärte Stefan van den Berg die Funktionsweise von Hybridzertifikaten für digitale Signaturen. Mit diesen Zertifikaten können zwei Algorithmen in einem einzigen Zertifikat verarbeitet werden. Dies ist praktisch, da ein Algorithmus manchmal ersetzt werden muss, aber noch nicht alle Geräte den neuen Algorithmus verstehen. Durch die Verwendung von zwei Algorithmen können alte Geräte den alten Algorithmus überprüfen, während neue Geräte beide überprüfen können.

Stefan van den Berg (TNO) zeigt den Unterschied zwischen einem klassischen Schlüssel und einem Post-Quanten-Schlüssel.

Stefan van den Berg (TNO) zeigt den Unterschied zwischen einem klassischen Schlüssel und einem Post-Quanten-Schlüssel. Letzterer ist um ein Vielfaches größer. Dies kann zu Problemen bei der Speicherung, dem Austausch von Schlüsseln und der Geschwindigkeit führen.

Vorteile von Hybridzertifikaten

Die Verwendung von Hybridzertifikaten erleichtert die Einführung neuer Algorithmen, beispielsweise eines Algorithmus, der gegen Angriffe von Quantencomputern resistent ist. Ein weiterer Vorteil besteht darin, dass sich neue Algorithmen manchmal noch nicht bewährt haben. Durch die Verwendung beider Algorithmen bleiben die Garantien des alten Algorithmus erhalten.

Varianten von Hybridzertifikaten

Es gibt drei Arten von Hybridzertifikaten: Composite, Catalyst und Chameleon.
• Composite: zwei Algorithmen in einem Schlüssel zusammengefasst
• Catalyst: der zweite Algorithmus in den Erweiterungen
• Chameleon: ein zweites Zertifikat (Delta-Zertifikat) mit dem zweiten Algorithmus in den Erweiterungen

Puzzeln für ein Zertifikat

Die Teilnehmer wurden in drei Teams aufgeteilt, wobei jedes Team eine Herausforderung zu bewältigen hatte: das Zusammensetzen eines digitalen Zertifikats. Jedes Puzzleteil stand für einen wichtigen Bestandteil des Zertifikats. Wie bei einem echten Puzzle musste alles genau an der richtigen Stelle und in der richtigen Reihenfolge liegen. Mit etwas strategischer Beratung, kreativem Hin- und Herschieben und der nötigen Portion Humor gelang es allen Teams, das Puzzle zu lösen. Eine unterhaltsame, praktische Methode, um zu erfahren, wie Zertifikate eigentlich aufgebaut sind.

Workshop-Teilnehmer erstellen ein hybrides Zertifikat, indem sie verschiedene Felder wie Puzzleteile zusammenfügen.

Workshop-Teilnehmer erstellen ein hybrides Zertifikat, indem sie verschiedene Felder wie Puzzleteile zusammenfügen.

Wie kann man einem Zertifikat vertrauen?

Stefan erklärte, dass Zertifikate mit einem anderen Zertifikat signiert werden. Dadurch können wir feststellen, ob das Zertifikat aus einer vertrauenswürdigen Quelle stammt. Es entsteht eine Kette, die sich bis zu einem Stammzertifikat zurückverfolgen lässt. Das letzte Zertifikat signiert sich selbst. Es gibt eine offizielle Liste mit vertrauenswürdigen Stammzertifikaten. Nur Zertifikate, die über ein solches Stammzertifikat signiert sind, können wir als vertrauenswürdig einstufen.

Signaturprozess für hybride Zertifikate

Bei Hybridzertifikaten gibt es zwei Algorithmen, wodurch der Signaturprozess anders abläuft als bei „normalen” Zertifikaten. Der Prozess unterscheidet sich je nach Variante:
• Catalyst: Zuerst signiert die Erweiterung (der zweite Algorithmus) das Zertifikat, dann signiert der erste Algorithmus das gesamte Zertifikat
• Composite: Beide Algorithmen signieren das Zertifikat separat, was zu einer einzigen Signatur zusammengefasst wird.
• Chameleon: Zuerst wird das Delta-Zertifikat signiert und in die Erweiterung eingefügt, dann wird das Zertifikat mit dem ersten Algorithmus signiert.

Farbenfrohe Simulation des Zeichnungsprozesses

Die Teilnehmer begannen mit der Simulation des Unterzeichnungsprozesses. Wieder in drei Gruppen, aber jedes Team erhielt nun eine andere Variante als beim letzten Mal. Jeder Teil des Zertifikats erhielt eine Farbe. Eine Zuordnung (Farbkarte) zeigte an, dass eine Perle mit der Farbe A zu einer Perle mit der Farbe B gehört und so weiter. Indem sie die Farben, die den Teilen zugeordnet waren, durch die Zuordnung zogen und dann die entsprechende Perle ablegen konnten, konnten die Teilnehmer das Zertifikat unterzeichnen. Dabei zeigten sich die Unterschiede zwischen den Varianten Catalyst, Composite und Chameleon. Eine interaktive und visuelle Methode, um den Unterzeichnungsprozess zu verstehen.

Die Perlen stehen zusammen mit der Kartierung symbolisch für die Unterzeichnung eines Zertifikats.

Die Perlen stehen zusammen mit dem Mapping symbolisch für die Unterzeichnung eines Zertifikats. Ein hybrides Zertifikat enthält zwei Unterschriften. Hier wird die zweite erstellt.

Die Teilnehmer erstellen ein Hybridzertifikat und fügen die Signatur hinzu.

Ein Hybridzertifikat, das von den Teilnehmern zusammengestellt wurde. Nun wird die Unterschrift durch die Zuordnung (links) und die Perlen, die die Unterschrift symbolisieren, hinzugefügt.

Das umgekehrte Rätsel: eine Unterschrift validieren

Nun drehten die Teilnehmer das Puzzle um. Indem sie die Perlen über das Mapping zurückverfolgten, gelangten die Farben zu den Zertifikatsbestandteilen, zu denen sie gehörten. Stimmten die Farben überein? Dann war die Unterschrift gültig. Die Teams wandten dies auf die Variante an, mit der sie noch nicht gearbeitet hatten. Nach einiger Denkarbeit und einigen Aha-Momenten gelang es allen Gruppen, die Unterschriften erfolgreich zu validieren.

PDF mit Hybridzertifikat signieren

Zum Abschluss erklärte Sven, wie das Signieren einer PDF-Datei mit einem Hybridzertifikat funktioniert. Über eine interaktive Demo-Webapp konnten die Teilnehmer selbst eine PDF-Datei mit einem Hybridzertifikat signieren und anschließend überprüfen, ob die Signatur gültig war. Digital Signature Services (DSS) ist eine Softwarebibliothek der EU, der Zynyo Hybridzertifikate hinzugefügt und miteinander verglichen hat. Unter anderem im Bereich der Leistung. Dies haben wir im Rahmen des HAPKIDO-Projekts getan. Dieses Projekt entwickelt einen Fahrplan für den Übergang zu einer quantensicheren PKI. Auf der Webseite der Regierung zum Thema quantensichere Kryptografie wird auch das HAPKIDO-Projekt erwähnt.

Bis zum nächsten Jahr!

Nach einer lebhaften Fragerunde beendeten die Teilnehmer den Workshop. Inspiriert und mit neuen Erkenntnissen: auf zu weiteren Workshops. Zynyo wird auch 2026 wieder auf der Post-Quantum Cryptography Conference vertreten sein, diesmal in München. Zusammen mit Partnern wie TNO wollen wir erneut einen inspirierenden Workshop organisieren. Vielleicht sehen wir uns dort!

Stefan van den Berg (TNO), Michiel Marcus (TNO), Sven Konings (ZYNYO) und Alessandro Amadori (TNO)

Von links nach rechts: Stefan van den Berg (TNO), Michiel Marcus (TNO), Sven Konings (ZYNYO) und Alessandro Amadori (TNO)