Die Uhr tickt. Mit den Fortschritten der Quanteninformatik ist es nun an der Zeit, sich auf die Post-Quantum-Kryptographie vorzubereiten, oder PQC.
Um darauf vorbereitet zu sein, benötigen Unternehmen einen Umstellungsplan, der den Input und die Unterstützung des gesamten Unternehmens umfasst. Wenn man den technischen Schulden voraus ist und sich über die sich entwickelnden Vorschriften auf dem Laufenden hält, ist ein unternehmensweiter Bewusstseinswandel in Richtung der neuen Realitäten einer Post-Quantum-Zukunft gewährleistet.
Einige Experten sagen voraus, dass PQC bereits in fünf Jahren eintreffen könnte fünf JahrenDie Zeit zum Handeln ist also gekommen.
Warum es klug ist, mit der Modernisierung zu beginnen
- Bereiten Sie sich auf die Bedrohungen von Harvest Now vor. Gut ausgestattete nationalstaatliche Akteure nutzen Harvest Now Decrypt Later-Angriffe um verschlüsselte Dateien zu stehlen und sie so lange zu behalten, bis sie sie entschlüsseln können.
- Die Bereitschaft ist ein bewegliches Ziel. Auch wenn PQC-Richtlinien weiterentwickelt werden, sind bösartige Akteure ständig auf der Suche nach Innovationen, und bei großen Unternehmen kann es Jahre dauern, bis ein flexibler Ansatz entwickelt ist, der sich ständig anpassen kann.
- Es gibt keine Vorlage! Jeder Plan ist individuell mit einzigartigen Messgrößen und Meilensteinen und kann nicht in einem Vakuum entwickelt werden.
- Die Zeit vergeht schnell. Jüngste Schätzungen gehen davon aus, dass Quantencomputer, die in der Lage sind, RSA-2049 zu knacken, bereits im Jahr 2035 auf den Markt kommen könnten, so dass weniger als ein Jahrzehnt verbleibt, um groß angelegte Umstellungen durchzuführen.
4 Schritte zur Vorbereitung
Mit der Modernisierung der PKI heute zu beginnen, ist aus mehreren Gründen strategisch sinnvoll. In der Tat, Keyfactor hat herausgefunden, dass eine erfolgreiche Post-Quantum-Bereitschaft nicht nur eine PKI-Herausforderung ist - es ist eine unternehmensweite Transformation. Echte Krypto-Agilität erfordert eine funktionsübergreifende Zusammenarbeit von Sicherheits-, IT-, Rechts-, Compliance- und Produktteams.
Dieser unternehmensweite Ansatz verbessert die Bestandsaufnahme, die Risikobewertung, die Schulung und die Reaktion auf Vorfälle und verringert gleichzeitig die Anfälligkeit für zukünftige Bedrohungen. Indem sie ihre Teams jetzt aufeinander abstimmen, können Unternehmen die PKI-Modernisierung beschleunigen und auf ihrem Weg zu PQC die Nase vorn haben.
Schritt eins: Entdeckung und Bestandsaufnahme
Es mag Sie überraschen, aber viele Unternehmen verfügen immer noch nicht über ein vollständiges Inventar ihrer kryptografischen Ressourcen, obwohl sie mit einer komplexen Reihe von digitalen Zertifikaten, privaten Schlüsseln, Algorithmen und Protokollen arbeiten.
Eine Bestandsaufnahme ist entscheidend für die Erstellung eines Umgestaltungsplans, der die gesamte Infrastruktur einbezieht. Suchen Sie nach der Infrastruktur für öffentliche Schlüssel (PKI) Komponenten, einschließlich Zertifikaten und Schlüsseln, und vergessen Sie nicht die eingebettete Kryptografie in Anwendungen und Geräten, da auch diese Algorithmen aktualisiert werden müssen. Ältere Systeme erfordern besondere Aufmerksamkeit, da sie häufig auf veralteten Sicherheitskonfigurationen beruhen; die von ihnen verwendete Kryptografie entspricht möglicherweise bereits nicht mehr den bestehenden Best Practices und Standards. Je nach Branche Ihres Unternehmens sollten auch Systeme der Betriebstechnologie (OT), die Maschinen, physische Geräte und hardware unterstützen, in die Bestandsaufnahme einbezogen werden.
Selbst für kleinere Unternehmen kann eine Bestandsaufnahme sehr schnell komplex werden, weshalb es wichtig ist, Hilfe in Anspruch zu nehmen. Kryptografische Erkennungstools können dabei helfen, Assets in großem Umfang zu identifizieren und dabei die anfälligsten zu markieren. Solche Tools können auch dabei helfen, Fälle von Schatten-IT oder die Verwendung von nicht autorisierter software und/oder hardware außerhalb des offiziellen Zuständigkeitsbereichs der IT-Abteilung in Ihrem Unternehmen zu ermitteln. Eine solche Nutzung ist zwar oft gut gemeint, stellt aber ein Sicherheitsproblem dar, das es zu berücksichtigen gilt. Der PQC-Umstellungsprozess ist ein idealer Zeitpunkt, um diese potenziellen Lücken zu schließen und die allgemeine Sicherheitslage Ihres Unternehmens zu verbessern.
Sobald Sie über eine vollständige Bestandsaufnahme verfügen und eine klare Vorstellung davon haben, bei welchen Systemen welche Maßnahmen zuerst erforderlich sind, können Sie den Migrationsplan entsprechend zusammenstellen, angefangen bei Anlagen, die dringend behoben werden müssen, bis hin zu Protokollen und Zertifikaten mit geringerer Priorität, die später migriert werden sollen. Die Anlagen mit der höchsten Priorität und der höchsten Gefährdung werden in der Warteschlange für die Aktualisierung der Kryptoalgorithmen an erster Stelle stehen müssen.
Schritt zwei: Triage der Implementierung von kryptoagilen Lösungen
Nach den Grundsätzen der Krypto-Agilität bei der Übernahme oder Orchestrierung Ihrer Kryptoarchitektur ermöglicht es allen Teilen des Ökosystems, aktuelle und Post-Quantum-Kryptoalgorithmen während des Übergangszeitraums zu unterstützen. Während des Erkundungs- und Inventarisierungsschritts haben Sie die wichtigsten Systeme für die PQC-Migration priorisiert. Diese Systeme benötigen doppelte Zertifikate (sowohl Post-Quantum- als auch herkömmliche), um die Abwärtskompatibilität zu wahren, bevor die Umstellung abgeschlossen ist.
Die Systeme mit der höchsten Priorität unterstützen in der Regel eine lange Lebensdauer der Geräte, einschließlich der Geräte und der Firmware des Internets der DingeIoT). Vernetzte Fahrzeuge der nächsten Generationim Automobilsektor sind ein perfektes Beispiel, deren direkte Auswirkungen auf die Sicherheit der menschlichen Bediener höchste Sicherheitsstandards erfordern, noch bevor das Quantenzeitalter anbricht. Im Bereich des Gesundheitswesens, "intelligente" Herzschrittmacher sind ein weiteres Beispiel - aufgrund ihrer Positionierung sind sie nicht leicht zugänglich, wenn sie einmal in Betrieb sind, und müssen daher in der Lage sein, Aktualisierungen über die Luft zu empfangen, und zwar mit allen Sicherheitsvorkehrungen, die für das Niveau der Versorgung, die sie bieten, angemessen sind.
Systeme, die hochsensible, geschützte und geschäftskritische Daten enthalten, sollten ebenfalls ganz oben auf der Prioritätenliste stehen. Die Kryptografie, die die Sicherheit solcher Daten unterstützt, muss so früh wie möglich auf Post-Quantum-Algorithmen umgestellt werden, um HNDL-Angriffe zu verhindern.
Dritter Schritt: Automatisierung der Verwaltung digitaler Zertifikate
Die Umstellung auf Post-Quantum-Kryptografie befreit Unternehmen nicht von der Komplexität der PKI-Verwaltung. Die manuelle Zertifikatsverwaltung lässt sich heute auf Unternehmensebene nicht mehr skalieren und dürfte daher in der PQC-Ära kaum noch praktikabel sein.
Das ist nicht nur eine Frage des Volumens. Die Lebensdauer von Zertifikaten wird voraussichtlich so kurz sein wie 47 Tage bis 2029was die manuelle PKI-Verwaltung, offen gesagt, zu einer gefährlichen Idee macht. Auch die algorithmische Komplexität von Post-Quantum-Zertifikaten wird erheblich zunehmen, so dass automatisierte Lösungen für die Verfolgung eines vollständigen kryptografischen Inventars unerlässlich sind.
Zur Aufrechterhaltung Geschäftskontinuität und die kryptografische Integrität aufrechtzuerhalten, sollte ein Plan für die Zeit nach der Quantenumwandlung die Umstellung auf die automatische Ausstellung, Erneuerung und den Ersatz von Zertifikaten beinhalten, sofern solche Tools nicht bereits vorhanden sind. Es gibt zwar viele PKI-Lösungen auf dem Markt, aber wählen Sie eine aus, z. B. Keyfactor EJBCAdie Governance, rollenbasierten Zugriff und detaillierte Audit-Protokolle bietet, um die Compliance zu gewährleisten und das Betriebsrisiko zu verringern.
Vierter Schritt: Fortlaufende Steuerung der Post-Quantum-Kryptographie
Post-Quantum-Readiness ist komplex, und die Umsetzung von PQC ist eine lebendige, atmende Strategie, die ständig aktualisiert werden muss. Quantenfähigkeit erfordert eine kontinuierliche Governance, Risikoüberwachung und kryptografische Hygiene im Einklang mit den Grundsätzen der Krypto-Agilität.
Zu den bewährten Verfahren zur Aufrechterhaltung eines aktuellen Risikoprofils gehören die Festlegung und regelmäßige Überarbeitung von Richtlinien für die Veraltung von Algorithmen, die regelmäßige Schlüsselrotation und Ausweichmechanismen für den Fall unvorhergesehener oder neu entdeckter algorithmischer Schwächen. Der Schlüssel zum Erhalt der Quantenfähigkeit ist die Bereitschaft zur Anpassung.
Quantensichere Algorithmen entwickeln sich ständig weiter, und das sollten auch Ihre Richtlinien und Protokolle. Diese sollten die Schulung und Ausbildung der Mitarbeiter sowie PQC-spezifische Kriterien bei der Einstellung von Sicherheits- und IT-Mitarbeitern umfassen. Die Beteiligung der gesamten Organisation und die Bereitschaft, sich auf Quantensicherheit einzustellen, sind für den anhaltenden Erfolg der Initiative unerlässlich.
Schlussfolgerung: Jetzt modernisieren für das Post-Quantum-Zeitalter
Es ist an der Zeit, Ihr Unternehmen zukunftssicher zu machen. Die Vorbereitung auf die Post-Quantum-Kryptografie ist eine schwierige Herausforderung, aber auch eine Chance, Ihre kryptografische Infrastruktur zu überprüfen, zu bewerten und zu modernisieren. Kriminelle entwickeln ihre Techniken weiter. Das sollten auch Unternehmen tun.
Wenden Sie sich an Keyfactor, um bewährte Tools und Fachwissen zu erhalten, mit denen Sie die kommenden Sicherheitsrisiken des Quantencomputings meistern können.
