Classic McEliece bliver ISO-standard: En ny æra for kvantesikker kryptering

Her er en grundig gennemgang af ISO's vedtagelse af Classic McEliece, forskellen på kodebaseret kryptografi og RSA, samt den industrielle og statslige opbakning.

ISO's vedtagelse af Classic McEliece

Det bekræftes af flere kilder, at ISO har vedtaget Classic McEliece som en international standard i juni 2026. Nyheden er officielt rapporteret af blandt andet OIST (Okinawa Institute of Science and Technology) og Quantum Zeitgeist . OIST's pressemeddelelse bekræfter, at ISO har valgt Classic McEliece som en ny kryptografisk algoritme, der kan sikre data i en tid med kvantecomputere .

De tidligere kilder, som f.eks. NIST-præsentationer, viste ISO's standardiseringsaktivitet som en igangværende proces, men de endelige kilder bekræfter nu den formelle vedtagelse .

Kodebaseret kryptografi vs. RSA: Den grundlæggende forskel

Aspekt	Classic McEliece (Kodebaseret)	RSA (Talteoretisk)
Svært problem	Baseret på kodebaseret kryptografi med fejlkorrigerende lineære koder, specifikt binære Goppa-koder. Sikkerheden bygger på vanskeligheden ved at dekode en generel lineær kode .	Baseret på talteoretiske antagelser som heltalsfaktorisering .
Kerne-mekanisme	McEliece-kryptering indkoder klartekst som kodeord fra en fejlkorrigerende kodefamilie (Goppa-koder). Der tilføjes fejl, så den private nøgle kan dekode meddelelsen .	RSA bruger en offentlig modulus og eksponent til kryptering eller verifikation, mens den private operation afhænger af hemmelig faktoriseringsinformation .
Kvantetrussel	Kodebaseret kryptografi er en post-kvante-tilgang, fordi den ikke bygger på de samme talteoretiske antagelser som RSA, Diffie-Hellman eller elliptisk kurve-kryptografi .	RSA er blandt de systemer, der skal udfases, fordi kvantecomputere truer de klassiske offentlige-nøgle-antagelser .
Nøglestørrelse	Meget store offentlige nøgler. NIST rapporterer cirka 260 KB til 1 MB for Classic McEliece .	RSA's offentlige nøgler er meget mindre i almindelige implementeringer.
Ciffertekst-størrelse	Små ciffertekster er en af Classic McElieces store fordele .	RSA's ciffertekst-størrelse er bundet til modulus-størrelsen.
Ydelse	Hurtig indkapsling og afkapsling, men langsom nøgle-generering .	Leverede kilder giver ikke en direkte ydelsessammenligning.

Kort sagt: RSA er afhængig af talteoretiske antagelser, mens Classic McEliece er afhængig af kodebaseret kryptografi. Afvejningen er meget store offentlige nøgler i bytte for små ciffertekster og en lang historie, der går tilbage til McEliece's oprindelige forslag i 1978 .

Industri- og regeringsopbakning

Det tyske BSI (Forbundskontoret for Informationssikkerhed)

BSI har anbefalet Classic McEliece siden 2020. Deres tekniske retningslinje TR-02102-1 inkluderede allerede i 2020-versionen Classic McEliece med passende sikkerhedsparametre til PQC-applikationer . BSI beskriver Classic McEliece som et 'kryptografisk egnet valg til langsigtet fortrolighedsbeskyttelse' . I 2025-versionen af retningslinjen anbefaler BSI stadig Classic McEliece (mceliece460896 og større) som et 'meget konservativt valg' . Kryptobiblioteket Botan bekræfter, at Classic McEliece er godkendt af BSI for dets konservative sikkerhedsantagelser .

NIST (National Institute of Standards and Technology, USA)

NIST overvejede Classic McEliece som en kandidat i fjerde runde af deres Post-Quantum Cryptography-projekt . I 2025 valgte NIST dog HQC som den ekstra kodebaserede KEM til standardisering i stedet for Classic McEliece . NIST's materialer beskriver Classic McEliece som 'bredt anset for at være sikkert', men de forventede ikke, at det ville blive udbredt på grund af de meget store offentlige nøgler og begrænset interesse . NIST henviste også specifikt til ISO's igangværende standardiseringsproces som en årsag til ikke at vælge Classic McEliece på det tidspunkt . Efter ISO's vedtagelse kan NIST overveje at udvikle en standard baseret på ISO-standarden .

Mullvad VPN

Mullvad VPN nævnes i nogle branchekilder som en tidlig bruger af Classic McEliece, men de leverede kilder bekræfter ikke en specifik implementeringsdato eller et openssh-mceliece-patch-claim. Derfor præsenteres disse detaljer ikke som verificerede fra dette kildesæt.

Sammenfatning

• ISO: ISO har formelt vedtaget Classic McEliece som en standard for kvantebestandig kryptering i juni 2026 .
• BSI: BSI har anbefalet Classic McEliece siden 2020 som en konservativ og sikker løsning .
• NIST: NIST overvejede Classic McEliece, men valgte HQC i stedet, med henvisning til ISO's standardiseringsproces .
• Sikkerhedsmodel: Classic McEliece er kodebaseret og bygger på antagelser fra fejlkorrigerende-kode-kryptografi, hvilket er fundamentalt forskelligt fra RSA's talteoretiske antagelser .