Seit 2017 führt das US-amerikanische Normungsinstitut Nist seine Auswahl der quantensicheren Verschlüsselungsverfahren durch. Die Zeit drängt, denn von den Einreichungen der 23 Signatursysteme und 59 Verschlüsselungsverfahren kamen lediglich drei und acht als Reserve in die nähere Auswahl. Im Juli 2022 wurden die vier Algorithmen Crystals-Kyber, Cyistals-Dilithium, Falcon und Sphincs in der dritten Runde zur Standardisierung (Tagesspiegel Background berichtete).
Ein weiterer Kryptoalgorithmus, Siko wurde im August des gleichen Jahres geknackt, sodass derzeit lediglich sieben alternative Möglichkeiten verbleiben. Diese werden nun in einer vierten Runde geprüft. Experten gehen davon aus, dass der RSA-Algorithmus bis 2030 von bis dahin verfügbaren Quantencomputern geknackt werden könnte. Es bleibt abzuwarten, wie sich die Situation entwickelt und wie viele quantensichere Verfahren am Ende zur Verfügung stehen. 1977 hatte die RSA das erste Krypto-System entwickelt. Seitdem fußen Vertrauen und Authentifizierung im Internet auf Kryptografie mit öffentlichen Schlüsseln. Dieses System bildet bis heute die Grundlage für die digitalen Zertifikate wie TLS und kryptografischen Schlüssel wie SSH, auch als Maschinenidentitäten bezeichnet, mit denen Computer im Internet miteinander interagieren.
Fakt ist jedoch, dass sich die Entwicklung des Quanten-Computings nicht mehr aufhalten lässt und Organisationen sich bereits jetzt darauf vorbereiten müssen, schnell und agil von dann quantenunsicheren auf quantensichere Verfahren umzustellen (Tagesspiegel Background berichtete). Die technologische Entwicklung stellt die Kryptologen aber weltweit vor schwierige Entscheidungen, denn einerseits müssen sie sich auf eine ungewisse Zukunft vorbereiten, andererseits macht das Nist-Verfahren es ihnen nicht einfach. Denn so lange unklar ist, wie viele und welche Möglichkeiten der quantensicheren Verschlüsselung vorhanden sind, desto unsicherer bleibt die Lage. Das bereits eingangs erwähnte Verschlüsselungssystem mit öffentlichen Schlüsseln, die auf mathematischen Berechnungen beruhen, lässt sich mit Quantencomputern, die in Qubits rechnen werden, schnell brechen.
Davon betroffen sind auch Maschinenidentitäten, denn sie sind die wichtigste Methode zur Absicherung der gesamten Online-Kommunikation zwischen Computern. Die Identitäten sorgen dafür, dass alle Server und Anwendungen bis hin zu Kubernetes-Clustern und Microservices sicher miteinander kommunizieren können. Sie gilt es abzusichern und quantensicher zu machen. IT-Abteilungen weltweit stehen nun vor der Herausforderung, dass, selbst wenn die Nist erfolgreich ist und am Ende kryptografische Alternativen zur Verfügung stehen, diese Algorithmen nicht ohne weiteres in bestehende kryptografische Prozesse hineinpassen.
Empfehlungen des BSI
Dazu hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Handlungsempfehlung formuliert. In dem Dokument „Kryptografie handlungssicher gestalten“, geht die Behörde auch auf die Chancen und Risiken ein, die sich mit der Postquanten-Wende einstellen und warnt eindringlich, sich auf die durch das Nist standardisierten Algorithmen zu verlassen. Bei der Vorbereitung der Maschinenidentitäten schreibt das BSI: „Mit der Entwicklung und Standardisierung neuer Algorithmen bzw. Verfahren ist es allerdings nicht getan. Einerseits passen die Algorithmen nicht ohne weiteres in bestehende kryptografische Protokolle wie beispielsweise das TLS-Protokoll. Andererseits sind mögliche Schwachstellen, die sich erst durch die konkrete Implementierung eines neuen Algorithmus ergeben, noch nicht genauso gut untersucht, wie dies bei den schon länger verwendeten Algorithmen der Fall ist. Daher sollten die quantensicheren Verfahren – zumindest in einer Übergangszeit – nicht allein eingesetzt werden, sondern nur „hybrid“, d. h. in Kombination mit einem klassischen Verfahren.“
Die Protokolle müssen außerdem angepasst und ergänzt werden. Auch die Public Key Infrastrukturen (PKI) sind davon betroffen. Wie im Fall der TLS-Protokolle rät das BSI zum Einsatz von hybriden Zertifikaten. Bei TLS wird klassisch ein Verfahren wie RSA oder (EC)DH verwendet.
Neben Zertifikaten müssen auch Signaturen geändert oder angepasst werden. Ein Beispiel dafür ist der Standard X.509. In der Version 3 wurde 2019 erstmals das Problem behandelt, dass in künftigen Signaturverfahren keine Ablaufdaten eingebaut werden sollten. In der Handlungsempfehlung heißt es: „Nach Ansicht des BSI eignen sich diese Signaturverfahren aufgrund ihrer Zustandsbehaftung am ehesten für die Gestaltung von langlebigen Root-Zertifikaten und weniger für Endnutzerzertifikate.“ Und weiter: „Hashbasierte Signaturverfahren können somit zum Aufbau einer gemischten PKI dienen. Unter einer gemischten PKI versteht man, dass in den Endnutzerzertifikaten andere Signaturverfahren verwendet werden als in den Root-Zertifikaten.“
Diese beiden Beispiele zeigen auf, vor welchen Herausforderungen Kryptologen und IT-Sicherheitsadministratoren in den kommenden Monaten stehen. Ihnen läuft die Zeit davon, weshalb bei all der Unsicherheit, ob quantensichere Verschlüsselungsalgorithmen rechtzeitig zur Verfügung stehen werden oder nicht, das BSI ein paar Kernhinweise zusammenfasst.
Fazit
Obwohl es bereits erste Standards durch das Nist gibt, ist es am sinnvollsten, mit der Planung von hybriden Ansätzen zu beginnen, wie sie auch das BSI empfiehlt. IT-Sicherheitsfachleute sollten jetzt damit anfangen, eine einzelne Anwendung auszuwählen und zu messen, wie sich die quantenresistenten Algorithmen auf die Leistung der Verschlüsselung auswirken. Dies ist wichtig, um nachzuvollziehen, wie mit größeren Maschinenidentitäten umzugehen ist und wie duale Prä- und Post-Quantum-Modi betrieben werden können.
Kevin Bocek ist Vicepresident Ecosystem & Community bei Venafi, einem Anbieter für Maschinenidentätsmanagement