Wie Sie Ihre PKI auf das Quantencomputing vorbereiten

Die Ankunft von Quantencomputern bedeutet, dass die meisten Algorithmen, auf die wir uns derzeit für die Public Key Infrastructure (PKI) verlassen, nicht mehr sicher sein werden. Wenn Sie in Sachen Krypto flexibel sind und die neuen Algorithmen der Post-Quantum-Kryptografie (PQC) ausprobieren, können Sie sich schon heute darauf vorbereiten. 

Die Frage wann ein Quantencomputer im großen Maßstab gebaut werden wird, ist eine komplizierte Frage. Derzeit gehen Schätzungen davon aus, dass "sinnvolle" (zumindest in diesem Sinne) Quantencomputer um das Jahr 2030 oder kurz danach zur Verfügung stehen werden.

Nach Angaben des National Institute of Standards and Technology (NIST) besteht das Ziel der Post-Quantum-Kryptografie darin, kryptografische Systeme zu entwickeln, die sowohl gegen Quanten- als auch gegen klassische Computer sicher sind und mit bestehenden Kommunikationsprotokollen und -netzen zusammenarbeiten können.

Die wichtigste Aktivität in diesem Bereich ist derzeit die NIST Post-Quantum Competition, die sich dem Ende ihrer letzten Phase der Definition neuer Standards für PQC-Algorithmen nähert.

Da der Zeitpunkt der Einführung neuer PQC-Algorithmen näher rückt, ist es ratsam, in Ihrem Unternehmen ein hohes Maß an Krypto-Flexibilität zu schaffen. Dies ist bereits für die Nutzung der klassischen Kryptografie erforderlich, selbst wenn das Quantencomputing nie zu einer legitimen Bedrohung wird.

Zu einer agilen Kryptowirtschaft gehören Faktoren wie:

• Ein Inventar der verwendeten Schlüssel, Zertifikate und Algorithmen
• Automatisierung und Kompartimentierung - zur besseren Verwaltung von Änderungen und zur Verringerung von Nebeneffekten
• Kürzere Gültigkeitsdauer - Agilität bei Produkten und Lösungen wird zur Pflicht

Es wird auch empfohlen, die neuen Algorithmen auszuprobieren, sobald die endgültigen Implementierungskandidaten des NIST-Wettbewerbs verfügbar sind. Obwohl es wahrscheinlich einige Unterschiede zu den endgültigen Standards geben wird, werden sich die Eigenschaften der Algorithmen wahrscheinlich nicht ändern, und sie werden wahrscheinlich langfristige Auswirkungen auf Ressourcen, Design, Protokolle und Leistung haben. Die US-Regierung hat bereits angedeutet, dass sie von den Anbietern erwartet, dass sie auf diese Algorithmen umsteigen, sobald die Standards verfügbar sind, und andere Regierungen und Organisationen werden wahrscheinlich das Gleiche tun. Es kann nicht schaden, sich jetzt darauf vorzubereiten, anstatt in der Zukunft eine unangenehme Überraschung zu erleben.

Krypto-Agilität beinhaltet so viel mehr als das Ändern eines Algorithmus-Namens - und das sind alles Themen, bei denen Keyfactor Ihnen helfen kann. Bouncy Castle bietet bereits Unterstützung für die Post-Quantum-Signatur-Standards XMSS und LMS und plant, erste Implementierungen der NIST PQC-Finalisten und der alternativen Kandidaten bereitzustellen, sobald die Einreichungen abgeschlossen sind.

Keyfactor kann Ihnen auch bei der Vorbereitung der Ausstellung von Zertifikaten und digitalen Signaturen mit PQC-Algorithmen helfen. Neben anderen laufenden Aktivitäten werden wir das Post-Quantum Cryptography (PQC) Code Signing auf Basis einer PQC CA-Hierarchie in IoT Anwendungen demonstrieren, da dies voraussichtlich einer der ersten Bereiche sein wird, in denen PQC angewendet wird. Die Demo basiert auf dem SPHINCS+ Algorithmus und wird am PrimeKey-Stand auf der RSA-Konferenz 2022 verfügbar sein. Für Zertifizierungsstellen empfehlen wir die Schaffung einer separaten PQC-CA-Hierarchie, ähnlich wie es bereits Standard für RSA und EC ist. Für die meisten Anwendungsfälle sehen wir derzeit keinen Bedarf an hybriden Zertifikaten auf dem Markt.

Wenn Sie Bouncy Castle selbst ausprobieren möchten, finden Sie diese Links:

Weitere Informationen über die aktuellen Entwicklungen im Bereich der Post-Quantum-Kryptografie (PQC) sowie über die Vorbereitung auf PQC, die Ausstellung von Zertifikaten, digitale Signaturen und die Krypto-Agilität, finden Sie hier:

Dokumentation: Post-Quantum-Bereitschaft