Sådan implementerer du post-kvante-TLS i skyen

---

Hvorfor post-kvante-TLS i skyen – nu?

Kvantecomputere er ikke længere science fiction. Alvoren blev tydelig, da Google allerede i 2019 demonstrerede “kvanteoverlegenhed”, og selv om der stadig er tekniske barrierer til en fuldskala-maskine, følger investeringerne fra både stater og hyperscale-cloududbydere et eksponentielt spor. Shor’s algoritme lover at knække både RSA og elliptiske kurver, og dermed falder hele fundamentet under den klassiske nøgleudveksling, som al internettrafik hviler på. Spørgsmålet er ikke længere om men hvornår kvantetruslen kan materialisere sig.

Truslen bliver akut via taktikken “harvest now, decrypt later”. Angribere spejler eller stjæler allerede i dag krypteret trafik-statlige aktører kalder det “buffering”. Når kvantehardwaren bliver moden, kan årtiers historik rulles ud i klartekst, inklusive persondata, handelshemmeligheder og statshemmelige dokumenter. Derfor har alt, der kræver fortrolighed ud over fem-til-ti år (forskning, sundhedsdata, finansielle kontrakter, long-tail IoT-telemetri), reelt en tidskritisk deadline for at blive beskyttet af post-kvante-kryptografi.

Cloud-endpoints er det oplagte startsted, fordi 85-90 % af enterprise-trafikken allerede går gennem en form for cloud-baseret terminering. Her samles nøgler, certifikater og TLS-håndtryk ét sted, så en opgradering kan rulles ud centralt i stedet for på tusindvis af edge-enheder eller klienter. Desuden er cloududbydere vant til at levere: elastic CPU til de tungere post-kvante-beregninger, automatiserede certifikat-pipelines, global distribution via CDN’er og fine-kornet trafikstyring, der gør canary-udrulninger mulige. Endelig er inter-service-trafik i microservice-arkitekturer (service mesh, API-gateways) allerede terminators for hver enkelt kald, hvilket gør dem ekstra sårbare-men også nemme at opgradere med hybride PQ-cipher-suites.

Resultatet er et stærkt business-case-argument: Ved at implementere post-kvante-TLS i skyen nu, konverteres en potentielt katastrofal “big-bang-migration” om fem år til en kontrolleret, trinvis opgradering, der kan ske uden nedetid og med fuld bagudkompatibilitet. I samme bevægelse opfylder man både kommende compliance-krav (NIST, EU Cyber Resilience Act) og sender et klart signal til kunder og partnere om, at deres data også er sikre i en post-kvante-fremtid.

---

Standarder og byggesten: PQC-algoritmer, hybrid-tilgange og TLS 1.3

NIST’s post-kvanteudvælgelse er nu så moden, at vi kan begynde at bygge konkrete løsninger: Efter seks års konkurrence har NIST udpeget ML-KEM (Kyber) som kommende standard til nøgleudveksling (KEM) og ML-DSA (Dilithium) samt SLH-DSA (Falcon/Sphincs-+) til digitale signaturer.

Algoritme	Rolle	Level 1 nøgler/størrelser*	Comment
ML-KEM / Kyber	KEM, ECDH-erstatning	Public 800 B, Ciphertext 768 B	Hurtig, kompakt - oplagt til TLS
ML-DSA / Dilithium	Signatur	Public 1 312 B, Signature 2 × 2 420 B	Balancerer performance og størrelse
SLH-DSA / Falcon	Signatur	Public 897 B, Signature 666 B	Meget små signaturer - men sværere implementering

*Størrelser ca. for NIST Level 1. Level 3/5 er større.

Hybrid key exchange er NIST’s anbefalede overgangsmodel, hvor en klassisk nøgleudveksling (f.eks. ECDHE-P256) kombineres med en post-kvante KEM som Kyber. Ideen er enkel: server og klient genererer to delte hemmeligheder - én klassisk, én PQC - og blander dem (HKDF-concat), så en angriber må knække begge for at hente session-nøglen. Fordele:

• Fremtidssikring - kvantedatahøsten neutraliseres.
• Bagudkompatibilitet - klienter der ikke forstår PQC kan stadig fuldføre handshake.
• Crypto agility - vi kan slukke for den klassiske del når kvantemodne klienter dominerer.

Ulempen er større håndtrykspakker (Kyber-ciphertexts) og en ekstra elliptisk kurve-beregning, men i praksis måles overhead i få millisekunder på moderne CPU’er.

Sådan flettes PQC ind i TLS 1.3 uden at knække noget:

• Der defineres nye key_share-typer i ClientHello/ServerHello (“kyber768”, “p256_kyber768”).
• Kryptering og MAC i Record Layer forbliver uændret; kun key schedule får to input-nøgler.
• CertificateVerify kan (endnu) bruge RSA/ECDSA; selve certificatet peger stadig på en klassisk public key.
• Hvis klienten ikke kender feltet, ignoreres det jævnfør TLS-extension-reglerne - derfor intet fallback-angreb.

Dermed kan man aktivere PQC i front-end proxies eller CDN’er uden at påvirke ældre browsere, mens moderne Chrome/Firefox-nightlies allerede håndterer hybrider via RFC 9399-ciphers.

Til sidst er der praktiske fokusområder når du vælger byggestenene i skyen: 1) Tjek at din load balancer eller service mesh kan sende både classical og PQC key_share i samme ClientHello. 2) Sørg for, at certifikat-kæden fortsat valideres af legacy stacks - PQ-signaturer gøres først eksperimentelt på interne CA’er. 3) Log hvilken algoritme-kombination der blev valgt for hver session for at kunne dokumentere “crypto coverage”. 4) Hold øje med kommende IETF-drafts om ren PQC-TLS - når adoptionen stiger, er det blot et versionsflag i din Infrastruktur-as-Code pipeline at fjerne den klassiske halvdel.

---

Cloud-arkitektur: hvor i stakken aktiveres post-kvante-TLS?

Start ved den yderste perimeter: Det mest oplagte sted at tænde for post-kvante-TLS er på cloud-leverandørens CDN eller edge-network, hvor der terminieres enorme mængder offentlig trafik. Her kan du udnytte udbyderens egne preview-flag for hybrid Kyber + X25519 handshakes uden selv at bygge OpenSSL-forks. Bevæger du dig et niveau ind, bør load balancere og API-gateways konfigureres som næste forsvarslag; de fungerer som centraliserede chokabsorbere, der kan afvise inkompatible klienter tidligt og logge cipher-suitevalg. I Kubernetes-baserede miljøer overtager service mesh (f.eks. Envoy/Istio) rollen for service-til-service-trafik: her aktiveres PQ-hjælp i DestinationRule-profiler eller gennem en sidecar-build linket med BoringSSL-forken fra Google, så intern mTLS allerede nu får fremtidssikker fremførsel.

Når organisationen opererer multi-cloud eller hybrid, bør de samme PQ-politikker håndhæves på tværs af Azure Front Door, AWS CloudFront/ALB og GCP Cloud Armor for at undgå “svageste led”-scenarier; det kræver typisk policy-as-code i Terraform eller Pulumi, der kan rulle versions-pinning af cipher-suitelister ud på tværs. Private endpoints, B2B-peering og on-prem datacentre giver yderligere udfordringer, fordi MTU-loftet på 1500 bytes hurtigt sprænges af de større PQ-handshakes - overvej derfor TCP MSS clamping eller QUIC, som fragmenterer mere effektivt. Endelig bør alle kontrolpunkter - edge, LB, mesh sidecars og private links - rapportere algoritme-telemetri til én samlet observability-pipeline, så du kan måle adoption, fejlrater og reagere hurtigt, hvis NIST trækker eller nedgraderer en kandidat-algoritme.

---

Kompatibilitet og performance i praksis

Klientunderstøttelse spænder i dag fra “ready” til “eksperimentel”. De seneste versioner af Chrome, Firefox og Edge har alle - bag flags - support for X25519+Kyber768 via TLS GREASE, mens Safari og de fleste mobile WebViews stadig er klassiske. For native mobile-apps kan OpenSSL 3.2-forke med pq-openssl kompileres ind, men husk at Ældre Android (<7) og iOS (<12) falder tilbage til RSA/ECDHE, hvilket kræver omhyggelig signature_algorithms-rækkefølge. IoT-enheder er det svage led: mange bruger stadig mbedTLS 2.x eller wolfSSL uden PQC; her bør du terminere forbindelsen i edge/LB og køre mTLS-PQC kun internt. Når hybrid-cipher-suite (TLS_AES_256_GCM_SHA384 + X25519+Kyber768) forhandles, vokser ClientHello/ServerHello fra ca. 320 byte til 1,3-1,6 KB. Det lyder småt, men allerede ved 1330 byte støder du på default-MTU for IPv6-tuneller, og med certifikater på 4-8 KB kan første flight i QUIC eller TCP fragmenteres - det giver ekstra RTT’er på mobile net. En hurtig “packet-capture smoke-test” på 4G viser i praksis +6-8 ms kun pga. fragmentering; overvejer du post-kvante i en API-gateway, så sæt max_fragment_length eller aktiver TLS-record coalescing.

CPU-budgettet og latenstolerancen er dog stadig acceptabel i de fleste cloud-miljøer. Kyber768-decapsulation koster ~3µs på en moderne Xeon, mens Dilithium2-signaturer ligger omkring 120 µs; det er under den støj, der alligevel introduceres af en kold Lambda-start eller en TLB-miss. Alligevel bør du måle: i en service-mesh med 5 hops akkumulerer du hurtigt 0,5-1 ms extra kun til kryptografi. HTTP/3/QUIC mindsker smerten, fordi 0-RTT og connection coalescing kan genbruge PQ-nøgler mellem domæner - men husk at nogle ISP-middleboxes stadig blokerer ukendte transport_parameters; test med Facebook’s mvfst-grease før global udrulning. Robust fallback bygges ved (1) at annoncere både PQ- og klassiske cipher-suites i ClientHello, (2) at logge tls.alert_bad_certificate og handshake_failure per algoritme i Observability-pipelines, og (3) at have feature-flags til hurtigt at disable PQC pr. region. Følg “crypto agility”-princippet: deploy via canary, mål handshake-fejl < 0,1 %, CPU < +5 % og P95-latens < +10 %; ellers rollback med én CLI-kommando eller Terraform plan-revert - kvantefremtiden må aldrig kompromittere dagens SLA’er.

---

Implementering trin for trin i skyen

1) Kortlæg trafik og risici: Inventariser al TLS-trafik i dit cloud-landskab - fra offentlige CDN-/edge-endpoints til øst-vest-trafik mellem microservices - og klassificér data efter ønsket fortrolighedslevetid. Alt, der skal forblive hemmeligt i 10-20 år, prioriteres højest.
2) Vælg strategi: Hvis din cloud-udbyder har managed PQ-hybrid (fx Cloudflare, AWS eller Azure Front Door), er det den hurtigste rute. Har du krav om egen nøglekontrol eller befinder du dig i multi-cloud, vælg en self-hosted terminator (Envoy/NGINX med BoringSSL+liboqs).
3) Aktiver PQ-hybrid - eller front selv: Slå udbyderens PQ-hybrid-cipher suites til (kyber256-ecdsa m.fl.) via UI/API; ellers deploy din egen reverse proxy tæt på edge, så bagvedliggende systemer fortsat kan bruge klassisk TLS.
4) Opgrader intern mTLS: I Kubernetes udskifter du sidecars i Istio/Linkerd med PQ-builds og lader cert-manager eller SPIRE udstede kortlivede RSA+Kyber-certifikater. Justér PeerAuthentication-politikker, så ældre pods kan falde tilbage til klassiske curves under migrationen.

5) Byg testmatrix for klientinteroperabilitet: Automatisér test mod forskellige OpenSSL-versioner, browsere, mobile SDK’er og IoT-firmwares; log cipher-forhandling og fejlkoder.
6) Canary- og procentvis udrulning: Start med 5 % trafik i én region, mål handshake-latens (p95) og CPU-spikes; skaler til 25 %, 50 % og 100 % via feature-flags eller Istio VirtualService.
7) Overvågning, rollback og dokumentation: Tilføj connection.kex_algorithm i logs, byg Grafana-dashboards for PQ-andel vs. fejlrate, og sæt SLO’er (< 0,1 % handshake-fejl). Automatisér rollback til klassisk TLS ved brud via GitOps-drevet helm rollback, og opdater arkitektur-diagrammer samt risikovurderinger, så compliance- og audit-spor er på plads.

---

Certifikater, nøgler og PKI i en overgangsperiode

Når du udsteder TLS-certifikater i 2024-25, er den sikreste strategi at beholde dine velkendte RSA-2048/-3072 eller ECDSA-P-256 signaturer, men samtidig aktivere hybrid key exchange (fx X25519+Kyber-768) i selve TLS-handshaket. På den måde forbliver forbindelsen fuldt kompatibel med alle eksisterende browsere, mens indholdet allerede nu beskyttes mod “harvest-now, decrypt-later”. I praksis betyder det blot at CA’en fortsat signerer et klassisk certifikat, mens serveren præsenterer en cipher suite med både klassisk og post-kvante KEM. Opbevar de private klassiske nøgler i samme HSM/KMS som i dag, men generér PQ-KEM-nøgler parvis på software-niveau eller i nye PQ-klare nøgleguardians-vær blot opmærksom på backup- og eksport-politikker, som ofte er strammere for KEM-materiale.

Næste skridt er en kontrolleret indfasning af PQ-signaturer. Planlæg interne pilots hvor Dilithium-2/3 eller SLH-DSA-3 certifikater testes i non-prod service-mesh eller admin-API’er, så du tidligt fanger problemer med certifikatstørrelse (typisk 2-10 KB), MTU-fragmentering og OCSP-transaktioner (der kan vokse fra få hundrede til flere tusinde byte). Sørg for at: 1) måle opslagstider på CRL/OCSP, 2) opstille rotation-runbooks i dit HSM/KMS, og 3) etablere crypto-agile politikker, så nøgler kan udskiftes på timer ved svagheder. Læg dertil kvantemodne SCEP/ACME-workflows i din PKI-infrastruktur, og du har en fuldt scriptbar, fremtidssikret nøglelivscyklus klar til den dag browsersiden begynder at acceptere rene PQ-signaturer.

---

Drift, måling og governance

Sæt SLO’er før du sætter strøm til: Fastlæg mål for handshake succesrate (f.eks. ≥ 99,95 %) og maksimal median-latens (fx 150 ms for TLS 1.3 + PQ-hybrid) pr. zone og endpoint-type. Overvåg disse mål i din APM-platform ved at udtrække metrikker direkte fra terminatoren (Envoy, Cloud LB osv.) og opret alarmer ved 1) for høj andel af handshake_failure, 2) time-outs i client_hello/server_hello-fasen, eller 3) abnorm stigning i pakkestørrelse, som kan indikere MTU-problemer. Log altid feltet pqc_kex og sig_alg for at kunne se, om trafikken kører ren klassisk, hybrid eller rent post-kvante; det gør datadrevne beslutninger om udfasning mulig. Brug cost-tags og kapacitets-dashboards til at korrelere CPU-spikes fra Kyber-decapsulation med cloud-regningen, så budget-prognoser holder trit med real-load.

Governance & automatisering: Byg crypto agility ind fra dag 1 ved at versionere cipher-politikker i Git og indføre dem via IaC/policy-as-code (Terraform, Pulumi, Open Policy Agent). Et rullende canary_percentage-parameter i din CI/CD-pipeline gør det muligt at skifte til Kyber-1024 → Kyber-512 eller et helt nyt KEM på få timer, hvis der opdages svagheder. Sørg for, at kontrolrapporter (NIST SP 800-57, FIPS 140-3) automatisk populeres fra de samme kildedata, og definér et crypto change playbook med klare RACI-roller, så både SRE-team, CISO og forretnings-ejer ved, hvem der trykker på “rollback”, hvis en PQ-algoritme falder. Afslut med en årlig tabletop-øvelse, hvor PQ-nøgler roteres via KMS/HSM-API’er, latensmålinger verificeres mod SLO’erne, og lessons learned feedes tilbage til policy-koden.