Kai Ole Hartwig
5 Min. Lesezeit
Von

Classic McEliece wird ISO-Standard: Ein 1978er-Kryptosystem bekommt eine globale Norm für Post-Quanten-Verschlüsselung

15./16. Juli 2026. Die ISO hat Classic McEliece — ein 1978 von Robert McEliece entwickeltes, code-basiertes Kryptosystem — in ISO/IEC 18033-2 (Asymmetrische Chiffren) aufgenommen, mit 16 Parametersätzen über vier Sicherheitsstufen. Vorangetrieben hat die Standardisierung die Firma Post-Quantum gemeinsam mit Kryptografen. Bemerkenswert ist weniger die Schlagzeile als die Einordnung: Bei NIST ist Classic McEliece weiterhin nur Kandidat der vierten Post-Quanten-Runde, nicht ausgewählter Standard — das bleibt ML-KEM (Kyber). Und der bekannte Praxis-Kompromiss von McEliece ändert sich durch die ISO-Norm nicht: sehr große öffentliche Schlüssel bei sehr kleinen Chiffretexten, was es für klassische TLS-Handshakes weniger geeignet macht als für Szenarien mit vorab verteilten, langlebigen Schlüsseln.

Was ist passiert

Die International Organization for Standardization (ISO) hat Classic McEliece nach erfolgreicher technischer Expertenabstimmung unter den 177 Mitgliedsstaaten in ISO/IEC 18033-2, die Norm für asymmetrische Chiffren, aufgenommen; laut classic.mceliece.org datiert die Veröffentlichung auf Juni 2026, breiter berichtet wurde ab dem 15. Juli 2026. Die Norm umfasst 16 Parametersätze über vier Sicherheitsstufen (u. a. mceliece460896, mceliece6688128, mceliece6960119, mceliece8192128, jeweils mit vier Varianten). Laut classic.mceliece.org empfiehlt das Classic-McEliece-Team selbst die mceliece6*-Größen für langfristige Sicherheit; die ursprüngliche Entwurfsfassung sah nur 6*- und 8*-Parametersätze vor, die ISO entschied sich aber, auch die kleineren 4*-Sätze mit aufzunehmen.

Classic McEliece selbst ist kein neues Verfahren: Es baut auf Robert McElieces Kryptosystem von 1978 auf, das die Schwierigkeit des Dekodierens allgemeiner linearer Codes (konkret: Goppa-Codes) als Sicherheitsgrundlage nutzt — ein strukturell anderer Sicherheitsansatz als die gitterbasierten Verfahren (Lattice-based Cryptography), auf denen ML-KEM/Kyber beruht. Entwickelt bzw. vorangetrieben wurde die aktuelle Standardisierung von der britischen Firma Post-Quantum gemeinsam mit Kryptografen; CEO Rikky Hasan wird mit der Aussage zitiert, ISO-Standardisierung mache Classic McEliece „leichter und konsistenter implementierbar“.

Einordnung

Zwei Relativierungen sind hier wichtig, weil die Berichterstattung (die erkennbar auf einer Pressemitteilung der Firma Post-Quantum aufbaut) sie eher verwischt als betont. Erstens: ISO-Standardisierung ist nicht dasselbe wie eine NIST-Auswahl. Classic McEliece läuft bei NIST seit der dritten Runde als einer von mehreren Kandidaten der vierten Runde für Schlüsseleinigungsverfahren (KEMs), neben BIKE und HQC — NIST hat es bislang nicht zum Standard erhoben. Der bereits von NIST standardisierte und von BSI als Vorreiter empfohlene KEM für die breite Praxis ist weiterhin ML-KEM (vormals CRYSTALS-Kyber). Zweitens: Die in der Presseberichterstattung kolportierte Aussage, Classic McEliece sei „das sicherste verfügbare PQC-Verfahren“ und werde „vom BSI empfohlen“, konnten wir bei eigener Prüfung der BSI-Seiten zu Post-Quanten-Kryptografie nicht in dieser Zuspitzung bestätigen — das BSI führt Classic McEliece dort als einen von drei code-basierten Kandidaten im laufenden NIST-Verfahren, ohne es als Einzelempfehlung herauszustellen. Diese Formulierungen sollten daher als Einordnung des Herstellers gelesen werden, nicht als unabhängig bestätigte Tatsache.

Unverändert bleibt der bekannte praktische Kompromiss von McEliece-Systemen: sehr große öffentliche Schlüssel (je nach Parametersatz mehrere hundert Kilobyte) bei sehr kleinen Chiffretexten — das Gegenteil des Profils von ML-KEM/Kyber, das kompakte Schlüssel und Chiffretexte für häufige Handshakes bietet. Genau deshalb wird McEliece in der Praxis eher für Szenarien mit einmalig verteilten, langlebigen Schlüsseln diskutiert (Geräte-Identitäten, VPN-Konfigurationen) als für den klassischen, handshake-lastigen TLS-Verbindungsaufbau im Web.

Bedeutung für den Mittelstand

Aus dieser Meldung folgt für die meisten Betriebe erst einmal kein Handlungsdruck. Wer heute Post-Quanten-Kryptografie einführt — etwa hybride Schlüsselvereinbarung mit X25519MLKEM768 für TLS — sollte bei diesem bereits NIST-standardisierten, breit unterstützten Pfad bleiben; die ISO-Norm für Classic McEliece ändert daran nichts. Relevant wird McEliece eher für Nischenfälle: Wo ohnehin ein einmalig verteilter, langlebiger öffentlicher Schlüssel im Einsatz ist — etwa bei Geräte-Provisionierung oder VPN-Konfigurationen mit seltenem Schlüsselwechsel — kann sich ein Blick auf Classic McEliece lohnen, sobald ausgereifte, unabhängig geprüfte Implementierungen in den gängigen Toolchains verfügbar sind. Bis dahin gilt: Krypto-Agilität (die Fähigkeit, Algorithmen ohne grossen Aufwand auszutauschen) bleibt wichtiger als die Wahl eines konkreten PQC-Algorithmus im Voraus.

Bedeutung für die technische Entwicklung

Technisch interessant ist weniger die einzelne Norm als der Diversifizierungs-Effekt: Mit Classic McEliece bekommt ein zweiter, strukturell völlig anderer PQC-Ansatz (code-basiert statt gitterbasiert) eine breite internationale Normierung. Das senkt das Risiko eines Single-Point-of-Failure in der Post-Quanten-Kryptografie — sollte sich eine unerwartete Schwäche in gitterbasierten Annahmen zeigen, existiert mit code-basierten Verfahren ein strukturell unabhängiger Ersatzkandidat. Die ursprünglich auf McElieces Goppa-Code-Ansatz von 1978 zurückgehende, seit Jahrzehnten intensiv kryptoanalysierte Sicherheitsannahme gilt vielen Kryptografen als Argument für besonderes Vertrauen — im Gegensatz zu den vergleichsweise jüngeren gitterbasierten Annahmen hinter ML-KEM. Dass ISO zusätzlich zu den ursprünglich vorgeschlagenen großen Parametersätzen auch die kleineren mceliece4*-Sätze aufgenommen hat, deutet auf den Versuch hin, das Verfahren für mehr Einsatzszenarien praktikabel zu machen — an der grundsätzlichen Schlüsselgrößen-Charakteristik ändert das aber nichts.

Konkrete Handlungsempfehlung

Erstens, keine Kurswechsel aufgrund dieser Meldung: Der für TLS und die meisten praktischen Fälle relevante, bereits NIST-standardisierte Pfad bleibt ML-KEM/Kyber, idealerweise hybrid mit einem klassischen Verfahren (z. B. X25519MLKEM768). Zweitens, Marketing-Aussagen wie „sicherstes PQC-Verfahren“ oder pauschale Behörden-Empfehlungen vor der Übernahme in eigene Kommunikation gegen Primärquellen (NIST, BSI) prüfen, statt Presseformulierungen ungeprüft zu übernehmen. Drittens, Classic McEliece auf der Beobachtungsliste führen, falls in der eigenen Architektur Szenarien mit langlebigen, einmalig verteilten öffentlichen Schlüsseln existieren (Geräte-Identitäten, VPN-Provisionierung) — hier lohnt sich eine erneute Bewertung, sobald ausgereifte Bibliotheken und Implementierungs-Audits vorliegen. Viertens, grundsätzlich auf Krypto-Agilität in der eigenen Plattform hinarbeiten, damit ein späterer Wechsel oder eine Ergänzung um ein zweites PQC-Verfahren kein Architekturprojekt, sondern eine Konfigurationsänderung ist.

Quellen

Die Berichterstattung zur ISO-Standardisierung geht erkennbar auf eine Pressemitteilung der Firma Post-Quantum zurück (u. a. über Businesswire verbreitet); Aussagen zu „Sicherheit im Vergleich“ und „Behörden-Empfehlung“ stammen aus dieser Quelle und konnten nicht unabhängig in dieser Zuspitzung bestätigt werden — entsprechend vorsichtig sind sie oben eingeordnet.

Über den Autor

[Translate to English:] Foto von Kai Ole Hartwig.

Kai Ole Hartwig

Freelance DevSecOps consultant · OnlyOle Consulting

Programming since 2002 – self-taught, set up my own business with KO-Web in 2012. Over 100 projects, with a focus on security, performance, automation and quality. Today freelance: DevSecOps consulting, training and software development.