Sovereignty over Cryptographic Methods & Crypto-Agility
Why important?
Souveränität verlangt nachvollziehbare, austauschbare und EU-konforme kryptografische Verfahren.
How measured?
- 0 = Verfahren/Bibliotheken intransparent; keine Algorithmuswahl; Abhängigkeit von non-EU-Krypto-Diensten.
- 1 = Standardverfahren, aber keine Transparenz über Implementierung und keine Konfigurierbarkeit.
- 2 = Offengelegte, standardkonforme Verfahren (z. B. BSI TR-02102), nur begrenzt konfigurierbar.
- 3 = Konfigurierbare, standardkonforme Verfahren; Algorithmuswechsel grundsätzlich ohne Lock-in möglich.
- 4 = Volle Konfigurierbarkeit und Krypto-Agilität; keine zwingende Abhängigkeit von non-EU-Krypto-/KMS-Diensten.
- 5 = Nachgewiesene Verfahrenshoheit inkl. PQC-Readiness und prüfbarer Krypto-Agilität; vollständig EU-konforme, austauschbare Krypto-Schicht.
- N/A = keine belastbare Evidence
Sources / Evidence
Validation questions (RFP)
- What robust, public evidence exists? Scope, status and area of validity?
Scores comparison
| Provider | Score | |
|---|---|---|
| STACKIT | 4.0 | Dokumentierte Standardverfahren (AES-256-GCM, RSA-2048/3072/4096), konfigurierbar, EU/DE-betrieben, keine non-EU-KMS-Abhängigkeit; Confidential Computing als zusätzliche Härtung; PQC nicht ausgewiesen. (stated) |
| OVHcloud Public Cloud (inkl. SecNumCloud) | 4.0 | Open-Source-KMS-SDK + KMIP-Interoperabilität (Schlüssel zu anderen KMS übertragbar), RFC-7518-Signaturen, konfigurierbar; SecNumCloud (ANSSI-Kryptoanforderungen); EU/FR. Hohe Verfahrens-/Agilitätshoheit. (stated) |
| T Cloud Public | 4.0 | TeleSec/ETSI-Trust-Center: starke, eIDAS-orientierte Krypto-Governance; standardkonforme Verfahren; EU/DE-betrieben. (stated) |
| AWS European Sovereign Cloud | 3.0 | Standardisierte Verfahren (TLS/AES/KMS), konfigurierbar, aber AWS-proprietäre Implementierung; in ESC EU-betriebenes KMS, keine zwingende non-EU-Abhängigkeit; PQC teilweise. (stated) |
| Oracle EU Sovereign Cloud | 3.0 | Standardverfahren, PKCS#11-Schnittstellen, konfigurierbar; EU-Realm; FIPS L3. TLS 1.2 als Default (Hinweis). (stated) |
| pluscloud open | 3.0 | Offener SCS-/OpenStack-Stack: standardkonforme, konfigurierbare Verfahren ohne Lock-in; EU/DE. (stated) |
| Scaleway | 3.0 | Dokumentierte Verfahren (HKDF/SHA-256, AES, asymmetrisch, Signatur), API-gesteuert, konfigurierbar; EU/FR, keine non-EU-Abhängigkeit. (stated) |
| Delos Cloud | 3.0 | Azure-Kryptostack + D-Trust-Trust-Services (DE); konfigurierbar; Betrieb in DE-Boundary. (stated) |
| Microsoft Sovereign Cloud | 3.0 | Azure-Standardverfahren, breit konfigurierbar, PQC-Roadmap; KMS in EU-Region, aber Azure-proprietär. (stated) |
| noris Sovereign Cloud | 3.0 | Offener OpenStack-Stack: konfigurierbare, standardkonforme Verfahren ohne Lock-in; EU/DE. (stated) |
| SysEleven OpenStack Cloud | 3.0 | Offener OpenStack-Stack: konfigurierbare Verfahren ohne Lock-in; EU/DE. (stated) |
| Cloud Temple Trusted Cloud | 3.0 | SecNumCloud verlangt ANSSI-qualifizierte Kryptoverfahren (starke EU/FR-Krypto-Governance); Stormshield. EU/FR. (stated) |
| Infomaniak Public Cloud | 3.0 | Offener OpenStack-Stack: konfigurierbare Verfahren; CH-betrieben. (stated) |
| IONOS Cloud | 2.0 | Standardverfahren ohne dokumentierte Konfigurierbarkeit/Krypto-Agilität; EU/DE-Betrieb. (unclear) |
| UpCloud | 2.0 | Standardverfahren ohne dokumentierte Konfigurierbarkeit/Agilität; EU/FI. (unclear) |
| Exoscale | 2.0 | Standardverfahren ohne dokumentierte Agilität; EU/CH. (unclear) |
| Hetzner Cloud | 2.0 | Eigener Stack ohne dokumentierte Krypto-Governance; kundenseitige Krypto frei wählbar; EU/DE. (unclear) |