ToonWebToken — modern auth tokens, post-quantum ready
ToonWebToken

Roadmap

Sechs Spuren (A–F), die Parität, echte Post-Quantum-Kryptografie, Härtung, Compliance und IETF-Standardisierung abdecken. Stand 2026-05-15.

Abgeschlossen Geliefert In Arbeit Geplant

  1. Spur A — Parität zwischen den SDKs

    2026-Q1
    Abgeschlossen

    SecureTOONParser, SecurityLogger, RevocationService, RateLimiter, URLValidator, ConfigLoader (TWT-A5: TOML kanonisch, YAML weich abgekündigt, TOON Legacy). 6/6 Produktions-SDKs.

    • A1 — SecureTOONParser über 6 SDKs gehärtet
    • A2 — Native Sicherheits-Logs & SIEM-Events
    • A3 — Widerrufsdienst mit Replay-Cache
    • A4 — Rate-Limiter + adversariales Korpus (64 Fuzz-Tests)
    • A5 — Multi-Format-ConfigLoader, TOML kanonisch

  2. Spur B — Echte Post-Quantum-Kryptografie

    2026-Q2 → Q4
    In Arbeit

    B3+B3.1 abgeschlossen: echtes ML-DSA-65 (FIPS 204) Keygen, Sign, Verify live auf 14 SDKs via liboqs, circl, BouncyCastle und noble-post-quantum. B3.2 abgeschlossen: echtes TOON-Wire-Format. B4 (PKI-Hierarchie) und B5 (OCSP/CRL) ausstehend.

    • B1 — ML-DSA-65 produktives Schlüsselmaterial
    • B2 — Dilithium3 SDK-übergreifende Testvektoren
    • B3 — Echtes ML-DSA-65 auf 14 SDKs (abgeschlossen 2026-05-15)
    • B3.1 — SDK-übergreifendes adversariales PQC-Korpus (abgeschlossen 2026-05-15)
    • B3.2 — Echtes TOON-Wire-Format v2 (abgeschlossen 2026-05-15)
    • B4 — PKI-Hierarchie & Schlüsselrotation (ausstehend)
    • B5 — OCSP/CRL-Zertifikatsstatus (ausstehend)

  3. Spur C — Härtung & Benchmarks

    2026-Q1
    Abgeschlossen

    ConfigGuard (TWT-C3), HoneypotDetector (TWT-C4), Benchmarks unter 30 ms über 12 benchmarkte SDKs. 108+ Benchmarks, schlechteste Marge 5× (TypeScript).

    • C1 — SDK-übergreifende Benchmarks unter 30 ms — 108+ Benches über 12 SDKs
    • C2 — Adversariales Korpus (64+ Fuzz-Tests, monatlicher CI-Cron)
    • C3 — ConfigGuard: HMAC-geschützte Konfigurations-Integrität
    • C4 — HoneypotDetector: Trap-Claims mit SIEM-Events

  4. Spur D — Compliance & Audit

    2026-Q2 → Q3
    In Arbeit

    81/81 AppSec-Remediation-Posten geschlossen (Tiers 0–6). D2 + D4 geliefert. D1 (HTTP-Attestation) und D3 (Breach-Workflow) ausstehend.

    • D1 — HTTP-Attestation-Header (in Arbeit)
    • D2 — Mapping regulatorischer Profile: FINMA, nFADP, DSGVO, EU-AI-Act, HIPAA (geliefert)
    • D3 — Breach-Workflow (in Arbeit)
    • D4 — HMAC-verkettetes AuditTrail in 6/6 SDKs (geliefert)

  5. Spur E — IETF-Standardisierung

    2026-Q3
    In Arbeit

    Internet-Draft v2 (draft-02): MLDSA65 von `reserved` zu `optional` befördert. 14 Implementierungen gelistet. Duale MIT/Apache-2.0 über alle SDKs. IANA-Register geliefert.

    • E1 — Rust-Crate 1.5.0, dual MIT/Apache-2.0 (geliefert)
    • E2 — Angleichung der kanonischen Schnittfläche über 16 SDKs (geliefert)
    • E3 — Internet-Draft v2 (HS256 + MLDSA65) mit reproduzierbaren Testvektoren (geliefert)
    • E4 — IANA-Register; MLDSA65 zu optional befördert (geliefert)
    • E5 — Multi-Registry-Veröffentlichung: crates.io, npm, PyPI, Maven Central, NuGet (teilweise)
    • E6 — Drittübernahme & Community-Review (ausstehend)

  6. Spur F — Ausblick

    2027
    Geplant

    Übertrag an die Apache Software Foundation, FIPS-140-3-Validierung, ML-basierte Anomalie-Erkennung, Macaroons, differenzielle Privatsphäre.

    • F1 — FIPS-140-3-Modul-Validierung
    • F2 — Anomalie-Erkennung auf Token-Lebenszyklus-Ereignissen
    • F3 — Macaroons (Attenuierung & Caveats)
    • F4 — Differenzielle Privatsphäre für Audit-Analytik
    • F5 — Weitere Client-SDKs (Kotlin)