Dieser Artikel wurde ursprünglich von Spiceworks News & Insights am 29. Juli 2022 veröffentlicht.
Die zentrale Verwaltung von Maschinenidentitäten und Kryptografie sind der Schlüssel zu sicheren Abläufen in einem zunehmend digitalen und gefährlichen Geschäftsumfeld. In diesem zweiteiligen Artikel erörtert Ted Shorter, CTO, Keyfactor, die wichtigsten Trends in der Kryptographie in diesem Jahr.
Die Kryptografie ist die Grundlage der digitalen Welt. Viele Unternehmen sind heute digitale Unternehmen, die Technologie nutzen, um zu verkaufen, mit Kunden in Kontakt zu treten und das Tagesgeschäft zu erledigen. Für diese Unternehmen sind Kryptografie und Public-Key-Infrastrukturen (PKI) unerlässlich, um das Vertrauen zu schaffen, das sie für ihre IT-Infrastrukturen und Produktlösungen benötigen. Inmitten einer wachsenden Welle immer raffinierterer Cyberangriffe wie denen auf SolarWinds und Kaseya ist PKI ein treuer Verteidiger von Null-Vertrauensstrategien. Durch die Bereitstellung eindeutiger digitaler Identitäten für Benutzer, Geräte und Anwendungen, die Verknüpfung zugewiesener Berechtigungen mit der Identität eines Unternehmens und die Bereitstellung einer starken Benutzerauthentifizierung schützt PKI sensible Daten und sichert die End-to-End-Kommunikation.
Da die Zahl der digitalen Identitäten, Zugriffskontrollen, Code-Signatur-Anforderungen und Vertrauensbeziehungen in Unternehmen exponentiell zunimmt, spielen PKI und Kryptografie eine entscheidende Rolle für die Sichtbarkeit moderner Organisationen und das Management von Maschinenidentitäten, insbesondere wenn Angriffe immer raffinierter und schwerwiegender werden. Um den aktuellen Sicherheitsherausforderungen gerecht zu werden und gleichzeitig künftige Anforderungen zu antizipieren und zu planen, müssen Unternehmen Veränderungen, die sich auf ihr Geschäft und ihre kryptografischen Anforderungen auswirken, genau im Auge behalten.
Vor diesem Hintergrund sind hier die wichtigsten Trends in der Kryptographie, die wir für den Rest des Jahres 2022 erwarten können.
Vorhersage 1: PKI-Silos müssen beseitigt werden, um Governance zu erreichen
Für Unternehmen, die Zero-Trust-Sicherheitsziele verfolgen, ist eine Überarbeitung der PKI-Governance ein Muss. Heutzutage werden immer mehr Ausfälle durch abgelaufene Zertifikate verursacht, wie die jüngsten Ausfälle bei Fortinet, Shopify und anderen großen Unternehmen zeigen. Eine zentrale Sichtbarkeit und Kontrolle über die verschiedenen Anwendungen von Maschinenidentitäten in einem Unternehmen und die dahinter stehende PKI sind entscheidend, um die für die Einhaltung gesetzlicher Vorschriften und die Cybersicherheit des Unternehmens erforderliche Zugriffskontrolle zu erreichen.
Zu diesem Zweck investieren Unternehmen in PKI zur Verwaltung ihrer Zertifikate, führen eine PKI-Konsolidierung durch und migrieren mehrere unterschiedliche PKIs in eine einzige mandantenfähige Lösung, wie z. B. EJBCA. Während diese Ansätze an Popularität gewinnen, ist die Realität jedoch, dass PKI-Silos in großen Organisationen fortbestehen werden. Das liegt daran, dass die manuellen Zertifikatsverwaltungsprozesse nicht mit der Entwicklung der IT-Umgebungen Schritt gehalten haben. Da Unternehmen immer mehr Rechneridentitäten einsetzen, wird die PKI-Verwaltung unweigerlich zu einem Silo, was ein Risiko für die Unternehmen darstellt.
Laut Pulse Research und Keyfactor geben 96 % der IT-Sicherheitsverantwortlichen an, dass PKI für die Umsetzung einer Zero-Trust-Architektur unerlässlich ist. Eine zentrale Verwaltung der PKI und der von ihr verwalteten Rechneridentitäten sorgt für die nötige Transparenz, um dies in die Tat umzusetzen. Dies reicht von der Authentifizierung der Identität jedes Benutzers und Geräts im Netz über die Verschlüsselung aller Daten bei der Übertragung durch das Unternehmen bis hin zur Wahrung der Integrität der Daten, die von und zu Benutzern/Geräten gelangen.
Vorhersage 2. Vollständige Transparenz und proaktives Zertifikatsmanagement werden für Zero-Trust unerlässlich sein
Das Rennen um die digitale Transformation hat eine Reihe neuer Sicherheitsherausforderungen mit sich gebracht. Angesichts der exponentiellen Anzahl von Maschinenidentitäten, die jeden Tag erstellt werden, haben IT- und Sicherheitsteams Schwierigkeiten, die mit diesen Identitäten verbundenen Sicherheitszertifikate zu verwalten. Da Unternehmen immer digitaler werden, wird eine proaktive Zertifikatsverwaltung immer wichtiger. Ohne eine ordnungsgemäße Verwaltung von Computeridentitäten und Zertifikaten drohen Unternehmen massive Ausfälle und andere nachteilige Folgen.
Darüber hinaus stehen Unternehmen vor der Frage, wie sie mit PKI und der Verwaltung von Rechneridentitäten umgehen sollen. Heute gibt es eine Fülle von Optionen für den Erhalt von Code Signing-Zertifikaten, und es gibt auch viel mehr Identitäten zwischen Benutzern, Geräten und Anwendungen, bei denen Zertifikate implementiert werden müssen, um die Legitimität eines Endbenutzers zu belegen. Die ständige Weiterentwicklung von IT-Umgebungen bedeutet, dass PKI-Zertifikate auf viele Arten und in verschiedenen Umgebungen eingesetzt werden. Webserver benötigen zum Beispiel Zertifikate von einer öffentlichen Zertifizierungsstelle (CA), während das interne Identitätsmanagement unter eine private CA fällt. Darüber hinaus haben digitale Zertifikate, die in DevOps-Praktiken verwendet werden, kurze Lebenszyklen, während Website-Zertifikate SSL länger leben.
Es wird erwartet, dass die Strategie eines Unternehmens den Erhalt von Zertifizierungen aus verschiedenen Quellen umfasst, aber es ist von entscheidender Bedeutung, einen vollständigen Überblick über diese Systeme zu haben. Dies ist besonders wichtig für die Aufrechterhaltung der Sicherheit in einer stark verteilten Cloud-Umgebung.
Vorhersage 3: Die Post-Quantum-Kryptographie gewinnt an Zugkraft
Die Fähigkeit von Quantencomputern, aktuelle asymmetrische Verschlüsselungsalgorithmen zu knacken, stellt eine ernsthafte Bedrohung für PKI, Transport Layer Security (TLS), virtuelle private Netze (VPNs) und eine Vielzahl anderer Systeme dar. Obwohl Quantencomputer, die in der Lage sind, die klassische Kryptografie zu knacken, noch Jahre entfernt sind, gibt es hier sicherlich erste Ansätze. Sie werden wahrscheinlich noch während des Lebenszyklus der heute entwickelten Lösungen auftauchen.
Um dieses Problem zu lösen, werden neue kryptografische Post-Quantum-Algorithmen (PQC) entwickelt. Diese neuen Algorithmen basieren auf Problemen, die ihre asymmetrische Komplexität angesichts der Quanteninformatik beibehalten, was für die Sicherheit von Algorithmen angesichts eines Quantenangriffs unerlässlich ist. Während PQC in bestimmten Kreisen schon seit einiger Zeit diskutiert wird, haben die jahrelangen PQC-Bemühungen, die das National Institute of Standards and Technology (NIST) im Jahr 2015 angekündigt hat, dem Ganzen mehr Glaubwürdigkeit verliehen.
Obwohl das NIST vor kurzem die Auswahl der Runde 3 für die Normung bekannt gegeben hat, werden die endgültigen Normen nicht vor 2024 erwartet. Nach der Annahme genormter Algorithmen werden Standardprotokolle und -formate geändert, um die neuen Algorithmen zu verwenden. Dann folgen die Implementierungen dieser Algorithmen und Protokolle in kryptografischen Toolkits (z. B. Bouncy Castle, OpenSSL) und Betriebssystemen (Windows, macOS, Android, iOS), gefolgt von der Verwendung dieser Algorithmen durch Produkte, die diese Toolkits oder Betriebssysteme nutzen, wie Webbrowser, E-Mail-Clients und IoT Geräte.
Dann geht es um die Beschaffung und Einführung der neuen Produkte und Betriebssysteme, die diese neuen Algorithmen und Protokolle nutzen. Schließlich müssen diese Implementierungen in den Ökosystemen, in denen diese Produkte eingesetzt werden, eine "kritische Masse" erreichen. Es nützt nichts, einen neuen Algorithmus oder ein neues Protokoll einzuführen, wenn die Produkte oder Geräte im System eines Unternehmens es nicht unterstützen. Alles in allem kann dieser Prozess zwischen vier und 20+ Jahren nach 2024 dauern.
Die Unternehmen können also mit der Entwicklung von PQC-Lösungen auf der Grundlage der Normenentwürfe beginnen, die den Entwicklern die Grundlage für künftige Entwicklungen bieten. Mit offiziellen Standards wird PQC zu seinem Recht kommen und eine weit verbreitete Akzeptanz und Aufnahme in künftige Vorschriften und Standards finden. Um sich auf PQC vorzubereiten, müssen Unternehmen eine Bestandsaufnahme all ihrer Schlüssel und Algorithmen durchführen und einen auf Automatisierung basierenden Plan zu deren Aktualisierung erstellen.
Selbst wenn PQC nicht eintritt, werden die Algorithmen und Schlüssel, die wir heute verwenden, auch in Zukunft nicht sicher sein. Wir wissen das, weil die Algorithmen, die wir vor 15-20 Jahren verwendet haben, heute nicht mehr als sicher gelten. Unabhängig davon, was die Zukunft bringt, sollten Unternehmen ihre Systeme niemals so gestalten, dass sie Kryptografie statisch verwenden.
Im zweiten Teil dieser Serie werden wir uns mit den übrigen Trends befassen, die sich im Bereich der Kryptographie abzeichnen. Bleiben Sie dran, um mehr darüber zu erfahren, wie sich die Krypto-Agilität durchsetzen wird und warum die Branche mit dem Näherrücken des Quantencomputings eine stärkere Übernahme von Sicherheitsstandards als Leitlinien erleben wird.
