Algorithmenwechsel in ADCS: RSA, ECC und ML-DSA
Von SHA-1-Bereinigung bis Post-Quantum-Pilot – der strukturierte Weg durch den PKI-AlgorithmenwechselAlgorithmenwechsel in ADCS – RSA, ECC und der Weg zur Post-Quantum-Readiness
Kurzfassung vorab
RSA bleibt 2026 der sichere Default, ECC ist die schnellere Alternative mit Smartcard-Bonus – und Post-Quantum ist seit Mai 2026 keine reine Zukunftsmusik mehr. Mit dem Update 2026-05 unterstützt ADCS auf Windows Server 2025 nativ ML-DSA als Signaturalgorithmus. Code-Signing läuft damit schon sauber, TLS und VPN sind noch in Arbeit. Mein Rat: Behandle den anstehenden ECC-Wechsel als Generalprobe für ML-DSA – wer einmal sauber Algorithmen tauschen kann, übersteht jeden weiteren Wechsel entspannt.
Abb. 1: Die Algorithmen-Landschaft im Juni 2026 – was raus muss, was Standard ist und was mit Server 2025 neu nutzbar wurde.
1. Was 2026 Standard ist – und was raus muss
Fangen wir mit dem Aufräumen an. SHA-1 als Signaturverfahren ist seit Jahren tot, RSA 1024 ebenso, MD5 sowieso. Wenn du davon noch etwas im Bestand hast, ist das kein Diskussionsthema, sondern ein Migrationsthema. Der heutige Standard: RSA 4096 für Root- und Issuing-CAs, RSA 3072 für Endentitäten, Signatur mit SHA-256 oder SHA-384. ECC mit P-256 oder P-384 ist erlaubt und bei Smartcards oft schon Pflicht.
|
Warnung · SHA-1 ist kein „läuft noch“-Thema Wer eine CA betreibt, die noch mit SHA-1 signiert, hat in jedem ernsthaften Audit ein Finding. Moderne Clients und Browser lehnen SHA-1-Signaturen längst ab. Das ist keine Frage von „wann es Probleme macht“, sondern von „wann es jemand bemerkt“. Der Wechsel auf SHA-256 ist meist ein simples CA-Renewal – mehr dazu in Spoke 4.2. |
|---|
2. RSA oder ECC – die ehrliche Gegenüberstellung
Die Frage „RSA oder ECC“ wird gern ideologisch geführt. In der Praxis ist es eine Abwägung zwischen Kompatibilität und Effizienz. ECC liefert bei deutlich kürzeren Schlüsseln vergleichbare Sicherheit und ist schneller – dafür zickt es bei manchen Altsystemen. RSA ist der breite Kompatibilitäts-Default.
Abb. 2: RSA und ECC im direkten Vergleich. Die Wahl hängt vom Einsatzzweck ab, nicht von der Religion.
Mein pragmatischer Rat: Bleib bei RSA, wo breite Kompatibilität zählt – etwa bei Computer- und Nutzerzertifikaten in heterogenen Umgebungen. Setz ECC dort ein, wo es Vorteile bringt: Smartcards und virtuelle Smartcards, TPM-gebundene Schlüssel, performancekritische Szenarien. Und nutze die ECC-Migration ganz bewusst als Trockenübung für den nächsten Algorithmenwechsel.
3. Post-Quantum ist angekommen – aber dosiert
Das ist die wichtigste Neuerung des Jahres: ADCS unterstützt seit dem Update 2026-05 nativ ML-DSA, den NIST-standardisierten Post-Quantum-Signaturalgorithmus. ML-DSA ist ein reines Signaturverfahren und steht in drei Parametersätzen bereit: ML-DSA-44, ML-DSA-65 und ML-DSA-87. Du kannst damit CAs, Zertifikatsvorlagen und OCSP-Responder auf Post-Quantum-Signaturen umstellen.
Aber – und das ist wichtig für eine ehrliche Planung – die Reife ist je nach Szenario sehr unterschiedlich. Code-Signing mit ML-DSA läuft sauber. Breite Infrastruktur-Workloads wie TLS, VPN und Remote Desktop sind heute noch eingeschränkt. ML-DSA ist außerdem signatur-only: Für Schlüsselaustausch brauchst du ML-KEM, das auf der Verschlüsselungsseite separat zum Einsatz kommt.
Abb. 3: Das Composite-Hybrid-Konzept kombiniert klassische und PQC-Signatur. ADCS macht heute pure ML-DSA – Composite ist noch IETF-Draft.
|
Praxis-Tipp · Fang beim Code-Signing an, nicht beim TLS Wer ML-DSA ausprobieren will, sollte mit Code-Signing-Zertifikaten starten – das funktioniert heute zuverlässig. Eine produktive TLS-CA komplett auf ML-DSA umzustellen ist 2026 verfrüht, weil zu viele Clients und Workloads noch nicht mitspielen. Pilotieren ja, breit ausrollen nein. |
|---|
4. Der pragmatische Migrationspfad
Niemand muss heute seine gesamte PKI auf Post-Quantum umstellen. Aber jeder sollte die Weichen so stellen, dass der Wechsel später kein Kraftakt wird. Der Pfad führt über drei Phasen, die du unabhängig voneinander starten kannst.
Abb. 4: Drei Phasen zur PQC-Readiness. Phase 1 und 2 sind heute Pflicht, Phase 3 als Pilot bereits machbar.
|
PowerShell · ML-DSA-CA pilotieren (Server 2025, Update 2026-05) # Voraussetzung: Windows Server 2025 mit Update 2026-05 (KB5087539) oder neuer. # ML-DSA ist signatur-only und nutzt NoHash (der Hash steckt im Verfahren).
# Enterprise Root CA mit ML-DSA-65 für einen Lab-/Pilotaufbau: # KeyLength ergibt sich aus dem Parametersatz (ML-DSA-87 = 20736 Bit). Install-AdcsCertificationAuthority ` -CAType EnterpriseRootCA ` -CACommonName "Trendforge PQC Pilot Root" ` -KeyLength 20736 ` -HashAlgorithm NoHash ` -CryptoProviderName "ML-DSA:87#Microsoft Software Key Storage Provider"
# Kontrolle: nutzt das CA-Zertifikat wirklich ML-DSA? certutil -cainfo
# Hinweis: Für produktive Hardware-Keys statt Software-KSP einen # HSM-Provider mit ML-DSA-Unterstützung wählen. |
|---|
Praxis-Beispiel
Ausgangslage: Die Trendforge Digital GmbH (Tech-Scaleup, cloud-affin) signiert ihre internen Build-Artefakte und PowerShell-Module mit Code-Signing-Zertifikaten aus der eigenen ADCS. Das Sicherheitsteam will Post-Quantum-Erfahrung sammeln, bevor es zum Pflichtthema wird.
Maßnahme: Statt die produktive TLS-CA anzufassen, bauen wir eine abgegrenzte Pilot-Hierarchie auf Server 2025 mit dem Update 2026-05 und ML-DSA-65 auf. Darüber werden ausschließlich Code-Signing-Zertifikate ausgestellt – das Szenario, das heute zuverlässig läuft. Parallel entsteht eine CBOM-Inventur der bestehenden Algorithmen.
Ergebnis: Das Team hat einen funktionierenden ML-DSA-Workflow für Code-Signing, ohne die produktive PKI zu gefährden. Die CBOM zeigt schwarz auf weiß, welche Systeme als Nächstes dran sind. Wenn TLS-ML-DSA reif wird, ist Trendforge vorbereitet statt überrascht.
Verwandte Themen
Häufige Fragen (FAQ)
Welche Algorithmen sind 2026 für ADCS zeitgemäß?
Standard sind RSA 4096 für Root- und Issuing-CAs, RSA 3072 für Endentitäten und SHA-256 oder SHA-384 als Signatur-Hash. ECC mit P-256 oder P-384 ist ebenfalls aktuell und bei Smartcards oft Pflicht. SHA-1, RSA 1024 und MD5 gehören dringend aus dem Bestand entfernt.
Was ist besser für ADCS – RSA oder ECC?
Keines ist pauschal besser. RSA bietet die breiteste Kompatibilität und ist der sichere Default für heterogene Umgebungen. ECC ist schneller und effizienter und bei Smartcards oder TPM oft die bessere Wahl. Die Entscheidung hängt vom Einsatzzweck ab, nicht von einer Grundsatzfrage.
Unterstützt ADCS schon Post-Quantum-Kryptografie?
Ja, seit dem Update 2026-05 unterstützt ADCS auf Windows Server 2025 nativ ML-DSA als Signaturalgorithmus für CAs, Templates und OCSP. Die Reife unterscheidet sich aber nach Szenario: Code-Signing läuft sauber, während TLS, VPN und Remote Desktop heute noch eingeschränkt sind.
Was ist ML-DSA und wofür kann ich es nutzen?
ML-DSA ist der von NIST standardisierte Post-Quantum-Signaturalgorithmus (FIPS 204) in den Parametersätzen 44, 65 und 87. Es ist signatur-only und eignet sich heute besonders für Code-Signing. Für Schlüsselaustausch ist ML-KEM zuständig, das separat auf der Verschlüsselungsseite zum Einsatz kommt.
Sollte ich jetzt meine ganze PKI auf ML-DSA umstellen?
Nein, eine vollständige Umstellung ist 2026 verfrüht. Zu viele Clients und Workloads spielen bei TLS und VPN noch nicht mit. Sinnvoll ist ein abgegrenzter Pilot, idealerweise mit Code-Signing, während die produktive PKI auf RSA oder ECC bleibt.
Wie bereite ich meine PKI auf den Algorithmenwechsel vor?
In drei Phasen: zuerst Krypto-Agilität schaffen durch eine CBOM-Inventur, dann eine ECC-Migration als Generalprobe für den nächsten Wechsel durchspielen, schließlich einen abgegrenzten ML-DSA-Pilot aufsetzen. So wird jeder künftige Algorithmenwechsel zur Routine statt zum Notfall.
Nächste Schritte mit boddenberg.de
Algorithmenstrategie ist kein Bauchgefühl, sondern eine Inventur plus Plan. Wenn du wissen willst, wo du stehst und was zuerst dran ist:
Kontakt: Uli Boddenberg · boddenberg.de · Dortmund