Die rasanten Fortschritte im Quantencomputing führen zu einem der grundlegendsten technologischen Veränderungen in der Kryptografie und Datensicherheit.
Da die Ära der PQC(Post-Quantum-Kryptografie) näher rückt, wird der Bedarf an quantenresistenter Kryptografie in Unternehmen sprunghaft ansteigen. Diese Veränderungen wirken sich bereits auf Fahrpläne und Zeitpläne für die Einhaltung von Vorschriften aus. Das ist nicht überraschend, denn die Komplexität der Implementierung quantenresistenter Kryptografie erfordert einen schrittweisen, risikoangepassten Ansatz. Und mit diesem sollten Sie noch heute beginnen.
Zwei Säulen eines solchen Ansatzes sind die Anpassung der bestehenden Infrastruktur für die Krypto-Agilität und die Einführung hybrider Zertifikate, die nach der Kritikalität der Daten geordnet sind. Die Vorbereitung auf die bevorstehenden Veränderungen wird dazu beitragen, einen reibungslosen Übergang von alten kryptografischen Algorithmen zur Post-Quantum-Kryptografie der Zukunft zu gewährleisten.
Durchführen einer risikobasierten Bestandsaufnahme
Der erste Schritt bei der Implementierung einer quantenresistenten Kryptografie ist die Durchführung einer vollständigen Bestandsaufnahme der PKI des Unternehmens. Dazu gehören digitale Zertifikate, Sicherheitsschlüssel, Protokolle, Datenbibliotheken und alle in die PKI-Vertrauenskette eingebundenen Geräte. Nach der Katalogisierung sollte jeder Vermögenswert anhand von drei Schlüsselfaktoren klassifiziert werden:
-
Sensibilität der zu schützenden Daten
-
Voraussichtliche Lebensdauer der Daten oder wie lange sie vertraulich bleiben müssen
-
Risiko und Auswirkung einer möglichen Datenexposition
Zu den wichtigsten Prioritäten für den Schutz vor Quanteneffekten gehören in der Regel:
-
Schlüssel der Stammzertifizierungsstelle (Root) und der ausstellenden Zertifizierungsstelle (CA)
-
Client-Authentifizierungssysteme
-
Plattformen zum Signieren von IoT
-
Systeme zur langfristigen Unterzeichnung von Dokumenten
Diese Anlagen sind für das PKI-Ökosystem von entscheidender Bedeutung und bergen im Falle einer Beeinträchtigung erhebliche Betriebsrisiken.
Beginnen Sie mit der Identifizierung der verwendeten kryptografischen Algorithmen und setzen Sie Prioritäten bei den risikoreichen Anlagen. Achten Sie genau auf die Ablauffristen von Zertifikaten (einige können 5 bis 10 Jahre dauern, was möglicherweise über den Zeitrahmen der PQC-Einführung des NIST hinausgeht). Die Überwachung sich entwickelnder Standards und die Anpassung der Lebenszyklen von Zertifikaten an diese ist von entscheidender Bedeutung.
Systeme, die mit externen Partnern zusammenarbeiten, erfordern besondere Aufmerksamkeit. Diese Edge-Systeme müssen koordiniert aktualisiert werden, um die Kompatibilität mit hybrider Kryptografie zu gewährleisten, und sie müssen laufend getestet werden, um die weitere Funktionalität während des Übergangs sicherzustellen.
Schutz an Risikostufe anpassen
Die Anzahl der von einem Unternehmen verwalteten Güter ist enorm, so dass eine Triage der Implementierung und ein abgestufter Ansatz für den Schutz erforderlich sind. Die in der Inventarisierungsphase vorgenommenen Klassifizierungen dienen als Richtschnur für die Anwendung kryptografischer Schutzmaßnahmen, die sich nach der Sensibilität und dem Risiko der Gefährdung jedes einzelnen Objekts richten.
Die folgenden drei Kategorien geben eine grobe Vorstellung davon, welche Schutzmaßnahmen für Ihre Daten Priorität haben sollten, wobei zu berücksichtigen ist, dass die Daten jeder Organisation einzigartig sind und die Anforderungen unterschiedlich sein können:
- Schutz jetzt erforderlich: Systeme mit langfristigen Vertraulichkeitsanforderungen (z. B. Recht, Finanzen, Gesundheitswesen und strategisches geistiges Eigentum), da hier das Risiko am größten ist, dass Jetzt ernten Später entschlüsseln Angriffen.
- Übergang über Hybrid- oder PQC-Zertifikate: Systeme mit mittlerem Risiko, die aus Kompatibilitätsgründen noch eine klassische, reine Zertifikatsvalidierung benötigen.
- Agile klassische Kryptographie, die Algorithmen schnell wechseln kann: Daten mit geringem Risiko und kurzlebige Transaktionen.
Dokumentieren Sie in jeder Implementierungsphase für jede Risikostufe weiterhin Ihre Sicherheitslage, um die gesetzlichen Anforderungen zu erfüllen.
Ein hybrider Ansatz für quantenresistente Kryptographie
Ein hybrider Ansatz, der hybride Zertifikate umfasst, die sowohl Legacy- als auch PQC-Algorithmen unterstützen, ist ein praktisches und pragmatisches Sprungbrett zur Post-Quantum-Kryptografie. Unternehmen sollten sich jedoch nicht vollständig auf diese Strategie verlassen, da die Abwertung bald veralteter Algorithmen die Abschaffung anfälliger PKI erforderlich machen wird.
Ein Hybridzertifikat ist ein Zertifikat, das zwei Algorithmus-Signaturen enthält: eine klassische und eine Post-Quantum-Signatur, die die Abwärtskompatibilität mit bestehenden Clients gewährleistet und gleichzeitig eine quantenresistente Verschlüsselung bietet, wo diese bereits unterstützt wird. Diese Dual-Stack-Struktur ermöglicht einen schrittweisen Übergang, der in Phasen implementiert werden kann. Sie können mit der Ausstellung von Hybridzertifikaten in internen Systemen beginnen, bei denen Sie sowohl den Client als auch den Server kontrollieren, wie z. B. das gegenseitiges TLS (mTLS) innerhalb Ihres Netzwerks. Bevor Sie Zertifikate aktualisieren und durch hybride Zertifikate in anderen Systemen ersetzen, sollten Sie sich vergewissern, welche spezifischen Typen von hybriden Zertifikaten diese Systeme unterstützen.
Ein weiterer wichtiger Punkt ist, dass hybride Zertifikate aufgrund der Anzahl der Bytes des Post-Quantum-Algorithmus, die bei einigen Post-Quantum-Signaturen wie ML-DSA. Diese können in Altsystemen möglicherweise nicht mehr funktionieren, so dass ein schrittweiser Ansatz eine der sichersten Vorgehensweisen ist.
Die meisten gut ausgebauten PKIs können schrittweise aktualisiert werden, ohne dass alles auf einmal ersetzt werden muss. Um den Prozess zu vereinfachen, sollten Sie CAs in Betracht ziehen, die kryptografische Profile unterstützen, die Hybrid- und PQC-Algorithmen umfassen, und Richtlinien-Engines integrieren, die Algorithmen - ob klassisch, hybrid oder PQC - je nach Anwendungsfall, Umgebung oder Systemebene zuweisen können.
In diesem Stadium, Zertifikatsautomatisierung nicht nur ein Nice-to-have für ein Unternehmen, sondern eine notwendige Realität, die die korrekte Erneuerung, Rotation und Sperrung von Zertifikaten in großem Umfang gewährleistet. Sie wird sogar noch wichtiger, wenn man bedenkt, dass die Komplexität durch hybride Bereitstellungen erheblich zunimmt. Die Automatisierung hilft Ihnen auch, sich an laufende Änderungen anzupassen und auf Unbekanntes zu reagieren. Vermeiden Sie daher die Verwendung von fest kodierten kryptografischen Token oder Schlüsseln, da diese nachgelagerte Änderungen erschweren und erheblich teurer machen.
Vorrang für Interoperabilität und Konformität
Interoperabilität ist eine der größten Herausforderungen der PKI. Im Folgenden finden Sie Tipps, wie Sie sicherstellen können, dass die Interoperabilität in Ihr PQC-kompatibles PKI-System eingebettet ist:
- Vermeiden Sie die Verwendung von proprietären Algorithmen und Protokollen, es sei denn, es gibt keine Alternativen.
- Verfolgen Sie den PQC-Standardisierungsprozess des NIST genau, da Formate und APIs noch in der Entwicklung sind und noch nicht bekannt ist, was am Ende der Industriestandard 2030-2035 sein wird.
- Verfolgen Sie die IETF-Bemühungen zu X.509-Hybrid-Zertifikat Erweiterungen und TLS 1.3-Integration für PQC-Schlüsselaustausch
- Erstellen Sie eine interne Kompatibilitätsmatrix und führen Sie plattformübergreifende Tests durch, insbesondere wenn Sie mehrere geografische oder gesetzliche Bereiche bedienen.
- Beobachten Sie Ihre zuständigen Aufsichtsbehörden, um den Vorschriften immer einen Schritt voraus zu sein; viele veröffentlichen PQC-Bereitschaftsrahmen und sektorspezifische Leitlinien, um Unternehmen bei der Vorbereitung zu helfen.
Führen mit Governance, Schulung und klarer Kommunikation
Die Einführung von PQC und die Krypto-Agilität erfordern einen unternehmensweiten Wandel in den Richtlinien, Protokollen und Denkweisen. Übertragen Sie die Verantwortung für die Planung des PQC-Übergangs an eine funktionsübergreifende Gruppe, an der Interessenvertreter aus den Bereichen Sicherheitsarchitektur, PKI-Betrieb, Compliance und Beschaffung beteiligt sind, die dann in der Lage sein werden, den Fahrplan für eine quantenresistente Kryptografie in allen geschäftlichen und technischen Bereichen klar zu kommunizieren. Die PQC-Vorbereitung ist eine Anstrengung zur Aufrechterhaltung des Vertrauens, und wenn man sie als solche betrachtet, kann man sich die Finanzierung und die Zustimmung der Führungsebene sichern.
Unterstützen Sie die Mitarbeiter auch bei dieser Umstellung. Schulen Sie Entwickler und Sicherheitsingenieure in Bezug auf hybride Formate, Kompromisse bei der Algorithmenleistung und häufige Kompatibilitätsfallen. Aktualisieren Sie im Zuge der PQC-Einführung Ihre Verschlüsselungsrichtlinien, um die neuen Regeln für die Ausgabe von Hybridformaten, die Zeitpläne für die Abschaffung von Algorithmen und die Prozesse für die Behandlung von Ausnahmen zu berücksichtigen.
Schlussfolgerung
Der Weg zur Implementierung einer quantenresistenten Kryptografie mag lang und komplex sein, aber Vorbereitung, die richtige Einstellung und die Wahl der richtigen Partner werden einen reibungslosen Übergang zu PQC gewährleisten.
Keyfactor ist ein vertrauenswürdiger Partner, der Ihr Unternehmen durch die PQC-Umstellung führt. Gemeinsam können wir Ihre Infrastruktur vor den Angreifern von morgen schützen und gleichzeitig die Kontinuität, Compliance und das Vertrauen von heute erhalten. Beginnen Sie Ihre Reise in die Krypto-Agilität noch heute - unser Team ist für Sie da.
