Vorbereitung auf Quantensicherheit startet heute

Im nächsten Schritt auf dem Weg zu quantensicheren Verschlüsselungen hat das National Institute of Standards and Technology (NIST) Ende April ein Dokument als Zusammenfassung des NCCoE-Projekts, das zeigt, wie man das umsetzen kann, was das Institut für möglich hält.
Von   Kevin Bocek   |  VP Ecosystem und Community   |  Venafi
12. Juni 2023

Unternehmen soll es dabei helfen, herauszufinden, wo und wie Public-Key-Algorithmen in Verschlüsselungssystemen verwendet werden, eine Strategie zur Migration dieser Algorithmen auf quantenresistente Ersatzverfahren zu entwickeln und Interoperabilitäts- und Leistungstests durchzuführen. Organisationen sind sich oft nicht bewusst, wie weitreichend die Anwendungen und funktionalen Abhängigkeiten von der Public-Key-Kryptografie in ihren Produkten, Diensten und Betriebsumgebungen sind.

Die Quanteninformatik hat das Potenzial, eine der epochemachenden Innovationen zu werden. So sehr, dass es fast unmöglich ist, die genauen Auswirkungen auf die gesamte Welt der Technologie vorherzusagen. In einem Punkt sind sich die meisten in der Technologiebranche jedoch einig: Es wird das Ende der asymmetrischen (Public-Key-)Kryptografie bedeuten, die das System der maschinellen Identitäten untermauert, dass das Internet erst möglich macht. Jetzt versucht die Welt, Algorithmen zu entwickeln, die von Quantencomputern nicht geknackt werden können, um „Quantensicherheit“ zu erreichen.

CISOs sollten jetzt mit den Vorbereitungen beginnen, auch wenn der Wandel nicht unmittelbar bevorsteht. Und sie sollten davon ausgehen, dass der Wechsel zwischen der Prä- und der Post-Quantenwelt durch eine hybride Nutzung sowohl neuer als auch alter Maschinenidentitäten definiert sein wird.

Die heutigen digitalen Systeme verwenden ein binäres Zahlensystem – Nullen und Einsen – zur Speicherung und Verarbeitung von Informationen. Quantencomputer hingegen verwenden Qubits – das sind Quantenpartikel, die sich nicht nach den traditionellen Regeln der Physik verhalten. Dadurch können sie gleichzeitig eine Null und eine Eins sein, was theoretisch die Gesamtzeit für die Lösung mathematischer Probleme und die Verarbeitung von Daten verkürzen wird.

Im Kern stellt dies die Kryptographen vor erhebliche Probleme. Die derzeitigen Verschlüsselungssysteme mit öffentlichen Schlüsseln beruhen auf mathematischen Herausforderungen, die Computer aufgrund ihrer unzureichenden Rechenleistung nur schwer lösen können. Quantencomputer hingegen haben das Potenzial, diese Probleme in einem Wimpernschlag zu lösen, was bedeutet, dass sie die derzeitigen Verschlüsselungsstandards mit Leichtigkeit brechen könnten.

Veränderungen geschehen nicht über Nacht

Warum ist es wichtig, dass unsere derzeitigen Verschlüsselungsstandards auf den Kopf gestellt werden? RSA hat 1977 das erste Kryptosystem entwickelt und damit die Kryptographie mit öffentlichen Schlüsseln als primären Mechanismus zur Bestimmung von Vertrauen und Authentifizierung im Internet eingeführt. Dies bildete die Grundlage für die digitalen Zertifikate und kryptografischen Schlüssel, die Maschinen eine Identität verleihen, und legte den Grundstein für unser gesamtes Verschlüsselungssystem. Maschinenidentitäten sind die wichtigste Methode zur Absicherung unserer gesamten Online-Kommunikation – von sensiblen Kundendaten über Finanztransaktionen bis hin zu nationalen Sicherheitsgeheimnissen.

Sie sorgen dafür, dass alle Maschinen sicher kommunizieren können, von Servern und Anwendungen bis hin zu Kubernetes-Clustern und Microservices. Sie ziehen sich durch unsere digitale Welt wie das Blut durch das Kreislaufsystem des Körpers. Diese Standards durch Quantum zu ersetzen, käme also einer Transfusion im Internet gleich.

Seit einiger Zeit laufen unter Experten Diskussionen über die so genannte „Krypto-Apokalypse“ – wenn Quantencomputer online gehen und derzeitige Kryptosysteme aufbrechen. In Wahrheit ist die Realität nicht ganz so dramatisch. Es wird keinen einzigen katastrophalen Weltuntergang geben, bei dem die Geheimnisse der Welt ans Licht kommen und die Weltwirtschaft nicht mehr funktioniert. Nein, wir werden wahrscheinlich einen langsamen und stetigen Übergang zur Quantentechnologie erleben, der von den Bedürfnissen der Führungsteams und der Märkte bestimmt wird.

Seit der Einführung des ursprünglichen RSA-Kryptosystems sind nun 40 Jahre vergangen, und der Weg bis zu unseren heutigen Verschlüsselungsstandards war lang und beschwerlich. Der Übergang zur Quantenresistenz wird wahrscheinlich ebenfalls Jahrzehnte dauern, wenn nicht länger.

Festlegung einer Norm

Das NIST der US-Regierung ist federführend bei der Entwicklung eines Post-Quantum-Kryptostandards für Unternehmen. Seit 2016, als das NIST die weltweit führenden Kryptographen dazu aufrief, neue Wege zu finden, um Angriffen von Quantencomputern zu widerstehen, hat sich viel getan. Dies gilt insbesondere für die Aktualisierung im Juli, als die erste Gruppe von vier quantenresistenten Algorithmen angekündigt und damit ein wichtiger Meilenstein in der Welt der Kryptografie erreicht wurde. Und bald werden vier weitere bekannt gegeben.

Mit der Freigabe von acht Algorithmen trägt das NIST der Tatsache Rechnung, dass die Kryptografie in einer Vielzahl von Anwendungsfällen eingesetzt wird und daher eine Vielfalt an Verschlüsselungsmöglichkeiten erforderlich ist. Außerdem ist es wichtig, das Risiko potenziell anfälliger Algorithmen im Frühstadium zu mindern.

Hierfür wählte das NIST den CRYSTALS-Kyber-Algorithmus für die allgemeine Verschlüsselung aus, da er relativ kleine Verschlüsselungsschlüssel und eine hohe Arbeitsgeschwindigkeit aufweist. Und für digitale Signaturen, wie sie in TLS-Maschinenidentitäten verwendet werden, wählte es die Algorithmen CRYSTALS-Dilithium, FALCON und SPHINCS+. Als primären Algorithmus empfiehlt das NIST CRYSTALS-Dilithium, während FALCON als nützlich für Anwendungen angesehen wird, die kleinere Signaturen erfordern. SPHINCS+ ist größer und langsamer als die anderen Algorithmen, eignet sich aber aufgrund seines etwas anderen mathematischen Ansatzes als Backup-Option.

Da sich die Dinge aus der Sicht der Standards beschleunigen, haben Unternehmen nun einen klareren Weg zur Planung ihrer eigenen Post-Quantum-Reise.

Start der Reise

Viele werden versucht sein, die Augen vor diesen frühen Algorithmen zu verschließen. Sie werden zweifellos erkennen, dass diese Art der Planung erhebliche Anstrengungen erfordert – schließlich reden wir über eine Umstellung auf dem gleichen Niveau wie die Änderung der Art. Auch wenn das derzeitige maschinelle Identitätssystem gut funktioniert, wird dies nicht immer der Fall sein. Und früher oder später werden die CISOs handeln müssen.

Obwohl es bereits erste Standards gibt, ist es am sinnvollsten, mit der Planung von Labortests zu beginnen. Beginnen Sie damit, eine einzelne Anwendung auszuwählen und die Auswirkungen der neuen Algorithmen auf die Leistung zu verstehen, wie mit größeren Maschinenidentitäten umzugehen ist und wie duale Prä- und Post-Quantum-Modi betrieben werden können. Der letztgenannte Punkt ist besonders wichtig, da die Welt in den nächsten Jahrzehnten wahrscheinlich über einen hybriden Ansatz zur Quantensicherheit übergehen wird – ähnlich wie wir den Übergang zu Elektrofahrzeugen über Hybridautos erlebt haben. Das Alte wird neben dem Neuen funktionieren.

Eine Steuerungsebene zur Automatisierung der Verwaltung dieser Maschinenidentitäten wird für diesen Hybridmodus von entscheidender Bedeutung sein, da sie einen Überblick darüber ermöglicht, welche Maschinenidentitäten in welchem Kontext verwendet werden und wie sie funktionieren.

Fazit

Natürlich ist es schwierig vorherzusagen, wie lange diese Übergangsphase dauern wird. Es ist wahrscheinlich, dass viele, die derzeit in der Branche tätig sind, das Ende nicht erleben werden. Aber genau wie der Klimawandel ist auch dies etwas, das wir nicht auf eine künftige Generation abschieben können.

Unternehmen sollten sich eine Anwendung aussuchen, die sie testen wollen, und planen sie diese in ihr Budget für das nächste Jahr ein. Sie sollten sich dann einen Fünfjahresplan setzen, um die erste quantenresistente Anwendung zum Laufen zu bringen. Der Weg kann sich zwar ändern, aber das Ziel wird sich nicht ändern. Es ist an der Zeit, die ersten Schritte zu tun.

Kevin Bocek ist als Vice President Ecosystem & Community bei Venafi für die Security Strategie und das Kundenmanagement verantwortlich.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

36226

share

Artikel teilen

Top Artikel

Ähnliche Artikel