Ansätze für den Einsatz von Post-Quantum-Kryptographie

Mit dem Eintritt des NIST-Wettbewerbs für Post-Quantum-Kryptografie (PQC) in seine letzte Phase und der Nachricht, dass IBM bis 2023 einen Quantencomputer mit 1000 Qubits bauen wird, ist die Diskussion über den Einsatz quantenresistenter Algorithmen in den Mittelpunkt gerückt.

Während des 2020 Keyfactor Critical Trust Virtual Summit diskutierten Russ Housley, Gründer und Eigentümer von Virgil Security, und Massimiliano Pala, Principal Architect Security Services, R&D bei CableLabs, über die Strategien, mit denen sich Unternehmen auf das Quantenzeitalter vorbereiten können. Sehen Sie sich die Sitzung hier an.

Laut Housley besteht das Ziel darin, Post-Quantum-Algorithmen einzusetzen, bevor ein groß angelegter Quantencomputer in der Lage ist, die heute weit verbreiteten Public-Key-Algorithmen zu brechen. Man geht davon aus, dass die Sicherheitsprotokolle eine Mischung aus herkömmlichen und PQC-Algorithmen verwenden werden, während die Menschen Vertrauen in die PQC-Algorithmen und ihre Implementierungen gewinnen.

Die Unternehmen müssen sich auch darüber im Klaren sein, dass die Aufrüstung bestehender PKI-Systeme viel Zeit in Anspruch nehmen wird. Außerdem müssen die bestehenden Sicherheitsprotokolle aktualisiert werden, was ebenfalls viel Zeit in Anspruch nehmen wird.

Für die Umstellung von bestehenden Verschlüsselungsalgorithmen mit öffentlichen Schlüsseln auf PQC-Algorithmen gibt es zwei mögliche Ansätze:

• Zwei Zertifikate: Verwendung von zwei Zertifikaten, jedes mit einem öffentlichen Schlüssel und einer Signatur. In diesem Fall verwendet das erste Zertifikat einen herkömmlichen Algorithmus, während das zweite Zertifikat PQC-Algorithmen für den öffentlichen Schlüssel und die Signatur verwendet.
• Ein Zertifikat: Verwendung eines Zertifikats, das eine Folge von traditionellen und PQC-Schlüsseln und eine Folge von traditionellen und PQC-Signaturen enthält.

In beiden Fällen sollten die Sicherheitsprotokolle herkömmliche und PQC-Algorithmen für die Vertraulichkeit und die Authentifizierung auf der Grundlage beider mischen.

• IPSec und TLS würden eine Key Derivation Function (KDF) verwenden, um aus zwei Eingaben ein gemeinsames Geheimnis zu berechnen [SS = KDF(SST, SSPQC)].
• S/MIME könnte dasselbe tun oder eine doppelte Verkapselung für die Vertraulichkeit zusammen mit parallelen Signaturen für die Authentifizierung verwenden.

Jeder Ansatz hat bestimmte Vor- und Nachteile.

Bei Verwendung eines einzigen Zertifikats sind für die Sicherheitsprotokolle keine neuen Felder erforderlich, da die zusätzlichen öffentlichen Schlüssel in einem einzigen Zertifikat enthalten sind. Allerdings müssen die Sicherheitsprotokolle aktualisiert werden, um mit den PQC-Algorithmen kompatibel zu sein. Außerdem müsste die Zertifikatsarchitektur nicht geändert werden.

Die Validierung des Zertifikatspfads erfordert jedoch zusätzliche Prozesse und eine höhere Komplexität, um neue Eckfälle zu behandeln, z. B. was passiert, wenn eine herkömmliche Signatur fehlschlägt, die PQC-Signatur jedoch gültig ist oder umgekehrt. Ist das Zertifikat gültig oder nicht?

Ein weiterer Nachteil ist, dass das Zertifikat sehr groß wird und die bekannten Tücken von "Jumbo"-Zertifikaten aufweist, die in den 90er Jahren einen öffentlichen Schlüssel für die Schlüsselvereinbarung und einen öffentlichen Schlüssel für die Signatur für denselben Benutzer enthielten. Aus diesem Grund verwendet das US-Verteidigungsministerium heute drei verschiedene Zertifikate pro Benutzer - eines für die Smartcard-Anmeldung, eines für die Verwaltung des Verschlüsselungsschlüssels und eines für die Signatur.

Im Falle des Ansatzes mit zwei Zertifikaten würden die Sicherheitsprotokolle neue Felder für die zusätzlichen Zertifikate erfordern. Trotzdem müsste die Zertifikatsarchitektur nicht geändert werden, und die Validierung des Zertifikatspfads funktioniert weiterhin wie heute.

Außerdem vermeiden wir die bekannten Fallstricke des "Jumbo"-Zertifikats, da die beiden Zertifikate etwas größer sind als ein einziges, nur weil der Betreff, der Aussteller und andere Metadaten in beiden wiederholt werden. Wenn die Übergangszeit vorbei ist und alle Geräte PQC-Algorithmen unterstützen, würden wir die Zertifikate mit den herkömmlichen Algorithmen einfach nicht mehr verwenden.

Auf der Grundlage seiner Analyse empfahl Russ Housley, dass wir den Ansatz mit zwei Zertifikaten verfolgen sollten. Er rät jedoch, bereits jetzt mit den notwendigen Vorbereitungen für die Sicherheitsprotokolle zum Mischen der beiden Zertifikate zu beginnen und für den Tag zu planen, an dem nur noch PQC-Algorithmen verwendet werden.

CableLabs hat den internationalen Telekommunikationsstandard DOCSIS (Data Over Cable Service Interface Specification) entwickelt, der es ermöglicht, ein bestehendes Kabelfernsehsystem (CATV) um eine Datenübertragung mit hoher Bandbreite zu erweitern. Er wird von vielen Kabelfernsehbetreibern verwendet, um den Internetzugang (siehe Kabelinternet) über ihre bestehende hybride Glasfaser-Koaxial-Infrastruktur (HFC) anzubieten.

Massimiliano Pala gab einen kurzen Überblick darüber, wie DOCSIS die Authentifizierung und Autorisierung durchsetzt. Er erklärte, dass die Breitbandindustrie PKI nutzt, um eine sichere Authentifizierung zu gewährleisten und Baseline Privacy Interface Plus (BPI+) zur Verschlüsselung des Kundenverkehrs zu ermöglichen. Das DOCSIS-Protokoll nutzt zwei verschiedene PKI, die die RSA-Algorithmen für öffentliche Schlüssel verwenden.

Da das Konzept der "Zero Trust"-Netze eingeführt wird, um den Bedarf an effektiver Authentifizierung und Autorisierung neuer Einheiten in den Netzen zu decken, wird sich die nächste Generation von Architekturen auf die Vertrauenswürdigkeit der PKI verlassen. Bei DOCSIS ermöglicht die neue Version von BPI+ die gegenseitige Authentifizierung zwischen Geräten und Netzen.

Die klassische Kryptografie stützt sich auf Probleme, die schwer umkehrbar sind. Die Sicherheit des RSA-Algorithmus setzt zum Beispiel voraus, dass die Faktorisierung großer Zahlen ein schwieriges Problem ist, während die Berechnung von Signaturen und deren Validierung ein relativ schneller Vorgang ist.

Die Quanteninformatik steht im Mittelpunkt des Interesses, sowohl was die Investitionen (Google und IBM) als auch die Ergebnisse (geringere Komplexität von Quantencomputern, Milliarden von Qubits, Quantenlogikgatter usw.) betrifft. Quantencomputer können bei der Suche nach Mustern äußerst effizient sein.

Mit dem Shor-Algorithmus benötigt ein Quantencomputer N/2 Schritte, um Schlüssel zu faktorisieren, anstatt der heute erforderlichen 2N/2 - wobei N die Anzahl der Bits im Schlüssel ist.

Allerdings sind Quantencomputer nicht so effizient, wenn es keine zu untersuchende Struktur gibt. Das Brechen von Verschlüsselungs- und Hash-Algorithmen wird "nur" durch den Grover-Algorithmus viermal beschleunigt, weshalb eine 256-Bit-Sicherheit diesem Anwendungsfall gerecht wird.

In DOCSIS verwenden sowohl die alte als auch die neue PKI den RSA-Algorithmus, der zu den Problemklassen gehört, die mit Quantencomputern leicht gelöst werden können. Das hat zur Folge, dass alle über die PKI geschützten Identitäten nicht sicher sind und gefälscht werden können. Besonders mühsam ist die Faktorisierung der höheren Ebenen der PKI-Hierarchie, d. h. der Root- und Intermediate-CAs.

Was die Verschlüsselung anbelangt, so unterstützen die DOCSIS-Geräte derzeit eine 128-Bit-Verschlüsselung. Auch dies ist ein Problem, denn unter dem Paradigma der Quantenbedrohung reduziert sich die 128-Bit-Sicherheit effektiv auf nur 64 Bit, die effizient gebrochen werden können.

Die alte Infrastruktur verwendet immer noch Hashing-Algorithmen, die keine 256-Bit-Sicherheit bieten. Diese Algorithmen werden nicht sicher sein, obwohl dies weniger ein Problem darstellt, da die DOCSIS-3.0-Infrastruktur in weniger als 20 Jahren ausläuft.

Um der Quantenbedrohung zu begegnen, so Massimiliano Pala, müssen wir überlegen, wie wir die PKI so erweitern können, dass sie quantensichere Algorithmen unterstützt, ohne separate Infrastrukturen einzurichten oder in den Protokollen Mehrfachzertifikate zu unterstützen. Damit die Sicherheit des Ökosystems erhalten bleibt, müssen nicht nur die Zertifikate, sondern alle PKI-Datenstrukturen gegen die Quantenbedrohung geschützt werden.

Zusammen mit der Unterstützung mehrerer Algorithmen müssen wir untersuchen, welche Algorithmen für die Post-Quantum-Validierung in Geräten verwendet werden können, in denen Aktualisierungen möglicherweise nicht möglich sind und/oder die Unterstützung für quantensichere Algorithmen nicht für private Schlüsseloperationen eingesetzt werden kann.

Es besteht daher Bedarf an mehreren Validierungsmustern:

• Post-Quantum-Geräte, die quantensichere Authentifizierungen mittels Post-Quantum-Algorithmen erzeugen und validieren können. Klassische Algorithmen werden für die Validierung klassischer Geräte verwendet.
• Klassische Geräte verwenden weiterhin denselben Algorithmus (RSA) und müssen symmetrische Pre-Shared Keys (PSKs) zum Schutz von Signaturen und Zertifikatsketten verwenden.
• Klassische Geräte mit Unterstützung für die Post-Quantum-Algorithmus-Validierung (PQA) können die neue Zertifikatskette direkt validieren, indem sie sowohl den klassischen als auch den PQA verwenden, aber sie können nur die klassische Authentifizierung durchführen.

Obwohl der Zeitpunkt, zu dem ein Quantencomputer tatsächlich eine Bedrohung für die bestehenden kryptografischen Algorithmen darstellen wird, schwer vorherzusagen ist, müssen Unternehmen mit der Vorausplanung beginnen.

Laden Sie unser eBook über Crypto-Agile PKI herunter, um mehr darüber zu erfahren, wie Sie noch heute mit der Planung beginnen können.