1976 veröffentlichten Whitfield Diffie und Martin Hellman in Stanford New Directions in Cryptography und zeigten, wie zwei Parteien, die einander nie begegnet sind, über einen offenen, überwachten Kanal ein gemeinsames Geheimnis aufbauen können. Ihr Diffie-Hellman-Schlüsselaustausch lässt Alice und Bob dieselbe geheime Zahl ableiten, selbst wenn Eve jede Nachricht mithört. Ein Jahr später, 1977, veröffentlichten Rivest, Shamir und Adleman am MIT RSA, die erste praktische Umsetzung von Public-Key-Verschlüsselung: Alice macht einen öffentlichen Schlüssel öffentlich, mit dem jeder ihr verschlüsselte Nachrichten senden kann, und nur Alice — mit dem privaten Schlüssel — kann entschlüsseln. Drei Jahrtausende kryptografischer Geschichte lang hatte sichere Kommunikation vorgeteilte Geheimnisse vorausgesetzt; Public-Key-Kryptografie räumte diese Bedingung aus dem Weg. Die gesamte Architektur des modernen Internets ruht auf dieser mathematischen Idee aus den 1970er Jahren.
Public-Key-Kryptografie ruht auf Falltürfunktionen: vorwärts leicht zu berechnen, ohne Geheimnis schwer umzukehren. RSA setzt auf die als schwer angenommene Faktorisierung großer Ganzzahlen — gegeben zwei Primzahlen p und q ist N = p·q leicht zu bilden, aus N für N von rund 2048 Bit oder mehr aber praktisch unzerlegbar. Diffie-Hellman setzt auf die als schwer angenommene Berechnung des diskreten Logarithmus. Elliptische-Kurven-Kryptografie (ECC) nutzt dasselbe Diskret-Log-Problem in der Gruppe der Punkte einer elliptischen Kurve, bei gleicher Sicherheit aber mit weit kleineren Schlüsseln (256-Bit-ECC ≈ 3072-Bit-RSA). Der entscheidende Ausdruck lautet als schwer angenommen: keines dieser Probleme ist als schwer bewiesen. Träfe P = NP zu, bräche die gesamte Public-Key-Kryptografie zusammen. Die beiden Säulen sind Verschlüsselung und digitale Signaturen. Public-Key-Verfahren sind Größenordnungen langsamer als symmetrische Chiffren, weshalb Produktionssysteme hybrid arbeiten: Public-Key-Krypto nur zum Aushandeln eines Sitzungsschlüssels, danach schnelle symmetrische Krypto für die eigentlichen Daten. Public-Key-Krypto löst das Schlüsselverteilungsproblem, schafft aber ein Vertrauensproblem — woher weiß Alice, dass der mit „Bob“ beschriftete öffentliche Schlüssel wirklich Bob gehört? Das Vertrauen im heutigen Internet ruht auf einer hierarchischen Public-Key-Infrastruktur aus Zertifizierungsstellen — selbst ein komplexes, historisch verwundbares System. Die Quantenbedrohung ist real: 1994 zeigte Peter Shor, dass ein hinreichend großer Quantencomputer ganze Zahlen in polynomieller Zeit faktorisieren könnte — ein direkter Angriff auf RSA, Diffie-Hellman und ECC. Seit 2016 läuft beim NIST ein Standardisierungsprogramm zur Post-Quanten-Kryptografie, dessen erste Standards 2024 finalisiert wurden: CRYSTALS-Kyber für die Schlüsselkapselung, CRYSTALS-Dilithium für Signaturen — beide gitterbasiert.
HTTPS verwendet TLS, das Public-Key-Krypto für den Handshake und symmetrische Krypto für die Datenphase einsetzt. Das Signal-Protokoll und seine Nachfahren (Signal selbst, WhatsApp, iMessages optionaler Ende-zu-Ende-Modus) liefern Ende-zu-Ende-verschlüsselte Nachrichten, die selbst der Plattformbetreiber nicht lesen kann. Kryptowährungen nutzen digitale Signaturen — meist secp256k1-ECDSA —, um Eigentum nachzuweisen, und jede iPhone-App, jede macOS-App, jedes Linux-Paket, jeder Windows-Treiber wird vor der Installation kryptografisch von einer anerkannten Stelle signiert. Zero-Knowledge-Beweise (Goldwasser, Micali, Rackoff 1985) erweitern Public-Key-Kryptografie um eine bemerkenswerte Fähigkeit: zu beweisen, dass man etwas weiß, ohne preiszugeben, was — mit Anwendungen in privatsphäreschützenden Kryptowährungen (Zcash) und in zk-Rollups der Ethereum-Skalierung. Die Migration zur Post-Quanten-Kryptografie beginnt jetzt und wird einer der größten kryptografischen Übergänge der Internetgeschichte werden.