11.09.2024 | Markus Günther
Post Quantum Cryptography – halten die eingesetzten Schlösser stand?
Einkaufen, bargeldlos bezahlen, online bestellen, Verträge ohne Kugelschreiber signieren – unser Alltag ist bequemer denn je. Vieles kostet uns wenig Anstrengung, und wir denken kaum über die komplexe Mechanik nach, die hinter diesen Prozessen steckt. Das Vertrauen in die Verlässlichkeit unserer digitalen Welt ist hoch. Aber ist dieses Vertrauen wirklich gerechtfertigt?
Seit Jahrzehnten warnen Experten, dass genau diese Verlässlichkeit eines Tages gefährdet sein könnte. Sind all die alltäglichen Aktivitäten, die wir als Privatperson nutzen, und die Services, die Unternehmen zur Umsatzgenerierung anbieten, wirklich sicher? Diese Frage wird aktuell auch in der Schweiz medial diskutiert.1
Um sie zu beantworten, müssen wir zwei Entwicklungen im Bereich der Verschlüsselung genauer betrachten:
Quantencomputer
Quantencomputer besitzen das Potenzial, bestimmte mathematische Probleme, auf denen viele aktuelle Verschlüsselungssysteme basieren, erheblich schneller zu lösen als klassische Computer. Während herkömmliche Computer Milliarden Jahre bräuchten, um heutige kryptographische Systeme zu knacken, könnten Quantencomputer diese Zeit auf Sekunden oder Minuten reduzieren. Dadurch werden Angriffe auf unsere aktuellen Sicherheitsmechanismen und damit auf die Welt, wie wir sie kennen, realistisch und bedrohlich.
Post-Quanten-Kryptographie (PQC)
Post-Quanten-Kryptographie umfasst neue kryptographische Verfahren, die resistent gegenüber Angriffen von Quantencomputern sind. Diese neuen Verschlüsselungsverfahren sind so konzipiert, dass selbst bei Erreichen der erwarteten Durchbrüche in der Quantencomputing-Forschung eine Entschlüsselung nicht als realistisch einzustufen ist. Die beiden Entwicklungen stehen in einem Wettbewerb zueinander. Es wird entscheidend sein, welche von ihnen schneller einen Durchbruch und den erforderlichen Verbreitungsgrad erreicht und somit unsere digitale Welt prägt. Wie ist der aktuelle Stand?
- Quantencomputer stellen eine neuartige Form von Rechner dar, die sich durch eine besondere Architektur auszeichnen. IBM ein Pionier in dem Bereich richtet derzeit seine Aufmerksamkeit verstärkt auf diesen Bereich und macht mit folgenden Projekten auf sich aufmerksam:
Damit steigt die theoretische Leistung stark an. Praktisch hängt dies aber noch von der dazugehörigen Software ab – auch hier macht IBM mit dem Qiskit SDK weitere Fortschritte. In Summe meldet der Hersteller zwischen 20 und 50 % Performance und Qualitätszuwachs allein in diesem Jahr.4 Noch reicht diese Leistung nicht aus, um eine praktische Bedrohung darzustellen, doch das ist nur eine Frage der Zeit.
Auf der anderen Seite wurde erst vor wenigen Wochen die Standardisierung erster wichtiger Algorithmen durch NIST offiziell abgeschlossen.5 Um den Fortschritt hierbei zu verstehen, ist es notwendig, die Anwendungsfälle differenziert zu betrachten.
- Schlüsselaustausch: Am 14. August hat das NIST die Standardisierung von ML-KEM aus dem CRYSTALS-Kyber-Vorschlag offiziell unter «FIPS 203» veröffentlicht. Apple nutzt seit diesem Jahr Kyber in seiner PQ3-Protokoll-Implementierung von iMessage, Signal hat ebenfalls bereits Kyber in sein PQXDH-Protokoll implementiert. 6 7 Cloudflare, Google und Microsoft unterstützen TLS mittels X25519Kyber768 als Hybridprotokoll, um dessen Praktikabilität und Stabilität im Alltag zu testen.8 Im Gegensatz zu Signal geht Apple noch einen Schritt weiter: Durch die Erhöhung der Frequenz des Schlüsselaustauschs («Rekeying») wird die Sicherheit weiter verbessert. Selbst wenn ein Schlüssel kompromittiert wird, ist nur ein kleiner Teil der Kommunikation entschlüsselbar. Diese Sicherheitsvorteile wurden durch die ETH Zürich unter der Leitung von Prof. David Basin formell geprüft und bestätigt.9
- Signaturen: Ebenfalls wurde die Standardisierung von ML-DAS aus CRYSTALS-Dilithium und FALCON (beide gitterbasiert) als SLH-DSA unter FIPS 204 sowie von SPHINCS+ (hashbasiert) unter FIPS 205 abgeschlossen.
- Zertifikate: Mit dem zu standardisierenden CRYSTALS-Dilithium können heute schon Schlüsselpaare erstellt werden. Die Erweiterung des X.509-Standards im Jahr 2019 ermöglicht ebenfalls das Nutzen von hybriden Setups über Sektion 9.8, um einen Übergang zu erleichtern. 10 Bisherige, mit vorhandenen Verfahren erstellte Zertifikate werden mit der Verfügbarkeit von ausreichend dimensionierten Quantencomputer angreifbar und damit nutzlos sein. Da diese Zertifikate öffentlich zugänglich sind, gilt hier besondere Vorsicht.
- Dauerhafte Verschlüsselung: Nach aktuellem Stand werden symetrische Algroithmen wie AES256, sofern korrekt eingesetzt, als quantenresistent eingeschätzt. Dies gilt allerdings nicht für deren Einsatz in Protokollen wie S/MIME, welches für den Schlüsselaustausch auf die angreifbaren asymmetrischen RSA- und ECC-Algorithmen setzt. Diese Inhalte S/MIME verschlüsselter Nachrischten könnten in der Zukunft entschlüsselt werden, wenn sie heute abgefangen werden («Harvest now, decrypt later»).
Was können Unternehmen jetzt tun?
Die Einführung von PQC (Post-Quanten-Kryptographie) ist im Grunde genommen «nur» die Implementierung eines weiteren Algorithmus, der bestehende Verfahren ersetzen wird. Um Ihre Organisation darauf vorzubereiten, sollten Sie sicherstellen, dass
- die kritischen Stellen, an denen kryptographische Verfahren eingesetzt werden, zentral dokumentiert sind, z. B. für externe Verbindungen, Authentisierung oder Dokumentensignatur;
- Sie die aktuell an kritischen Stellen eingesetzten kryptographischen Algorithmen in Ihrer Organisation kennen;
- Ihre Organisation eine gewisse Agilität bei der Anpassung und Erneuerung von Algorithmen besitzt. Auch wenn aktuelle Algorithmen heute als sicher gelten, besteht immer die Möglichkeit, dass morgen Schwachstellen entdeckt werden. Bringen Sie sich schon heute in die Lage, schwache Kryptographie kontrolliert zu ersetzen;
- Ihre PKI-Infrastruktur in der Lage ist, eine PQC-Migration abzubilden;
- Ihre HSM-Infrastruktur in der Lage ist, mit PQC umzugehen.
Dennoch besteht aktuell noch eine starke Abhängigkeit von Produktherstellern, die die Neuerungen jetzt auch konkret in ihre Produkte einbauen müssen. Kryptographie ist nur so sicher wie ihr schwächstes Glied in der Kette. Achten Sie besonders bei Neubeschaffungen auf die Upgrade-Fähigkeit der eingesetzten Kryptographie!
Sind wir nun sicher oder nicht?
Mit der Standardisierung von FIPS 203, 204 und 205 hat die PQC einen Vorsprung gegenüber dem Quantencomputing erzielt, obwohl auch dort die Fortschritte vielversprechend sind. Der Einsatz dieser Technologie wird dennoch kostenintensiv bleiben, und es ist unwahrscheinlich, dass jeder potenzielle Angreifer in naher Zukunft über einen Quantencomputer verfügen wird. Daher ist davon auszugehen, dass Angreifer sorgfältig abwägen werden, ob der Aufwand zur Entschlüsselung lohnenswert ist. Einzelpersonen werden kaum im Fokus stehen, zentrale Dienste wie Verwaltungen und Finanzinstitute allerdings schon – eben alle, die langlebige, schützenswerte Daten verarbeiten und austauschen. Genau diesen Organisationen empfehlen wir deshalb, sich bereits jetzt mit folgenden Fragen auseinanderzusetzen, um den Einsatz von PQC zeitnah beginnen zu können:
- Kennen Sie kritische Datenströme, die heute schon abgefangen und für zukünftige Entschlüsselungsversuche gespeichert werden könnten?
- Kennen Sie heute geschützte Inhalte, die in 5, 10 oder 15 Jahren noch von Wert sein könnten, wenn sie entschlüsselt werden, beispielsweise elektronisch signierte Verträge oder langlebige Zertifikate?
- Sollten Sie bei der Beantwortung der zuvor gestellten Fragen für Ihre Organisation ein «Nein» angeben müssen, gibt es tatsächlich Grund zur Besorgnis. Zögern Sie nicht, uns zu kontaktieren – wir nutzen unsere Expertise, um gemeinsam mit Ihnen massgeschneiderte Lösungen zu entwickeln und umfassend für Ihre Sicherheit zu sorgen.
https://www.nzz.ch/wirtschaft/quantencomputer-werden-bald-in-der-lage-sein-alle-derzeitigen-verfahren-zur-datenverschluesselung-zu-knacken-sagt-der-internet-pionier-harald-summa-ld.1843334 ↩︎
https://mediacenter.ibm.com/media/IBM+Quantum+System+Two/1_oud2c8tg ↩︎
https://newsroom.ibm.com/2023-12-04-IBM-Debuts-Next-Generation-Quantum-Processor-IBM-Quantum-System-Two,-Extends-Roadmap-to-Advance-Era-of-Quantum-Utility ↩︎
https://newsroom.ibm.com/2024-05-15-IBM-Expands-Qiskit,-Worlds-Most-Performant-Quantum-Software ↩︎
https://www.federalregister.gov/documents/2024/08/14/2024-17956/announcing-issuance-of-federal-information-processing-standards-fips-fips-203-module-lattice-based ↩︎
https://security.apple.com/assets/files/A_Formal_Analysis_of_the_iMessage_PQ3_Messaging_Protocol_Basin_et_al.pdf ↩︎
https://handle.itu.int/11.1002/1000/14033-en?locatt=format:pdf&auth ↩︎
Cybersecurity Security Architecure Public Key Infrastructure (PKI)