Vorbereitungen für eine Quantenwelt: Untersuchung des Migrationspfads von Hybridzertifikaten

Für den Übergang zur quantensicheren Kryptographiewird häufig der Begriff "Hybrid" verwendet. In einigen Diskussionen führt der Begriff selbst zu einem tieferen Eintauchen in das, was er eigentlich bedeutet.

Der Begriff "hybrides Kryptosystem" aus Wikipedia ist nicht hilfreich, da er eine Kombination aus asymmetrischen und symmetrischen Kryptosystemen beschreibt. Das ist im Kontext der Post-Quantum-Kryptographie-Diskussion nicht gemeint.

Unter "hybrider Kryptografie" versteht man im Zusammenhang mit Quantensicherheit die Kombination klassischer asymmetrischer Kryptografie mit asymmetrischer Post-Quantum-Kryptografie. Zum Beispiel EC + Dilithium, RSA + SPHINCS+, ECDH + Kyber oder andere Kombinationen, wobei klassische oder traditionelle Algorithmen typischerweise RSA oder EC bedeuten und Post-Quantum Dilithium SPHINCS+, Kyber oder einen der anderen vorgeschlagenen Post-Quantum-Algorithmen.

Wenn die neuen Post-Quantum-Algorithmen gegen einen zukünftigen Quantencomputer sicher sindstellt sich für viele die Frage, warum wir Hybridsysteme brauchen. Und es stimmt, dass es in der Gemeinschaft eine Debatte über die Notwendigkeit von Hybridsystemen und über die Vor- und Nachteile verschiedener Hybridsysteme gibt. Es gibt (mindestens) zwei Argumente für hybride Systeme:

1. Während einer Migrationsphase wird es sowohl PQC-fähige als auch nicht PQC-fähige Endpunkte geben. Damit sie miteinander kommunizieren können, ist eine rückwärtskompatible Hybridlösung erforderlich, bei der sie die Fähigkeiten aushandeln können. Wenn beide Endpunkte PQC-fähig sind, können sie Post-Quantum-Kryptografie verwenden, wenn jedoch ein Endpunkt nicht PQC-fähig ist, kann er auf die klassische Verschlüsselung zurückgreifen.
2. Einige der neuen Post-Quantum-Algorithmen und ihre Implementierungen sind nicht so gut analysiert und erprobt wie klassische Verschlüsselungsalgorithmen, so dass zu befürchten ist, dass einige PQC-Algorithmen in Zukunft von heutigen Computern gebrochen werden könnten. Durch eine geschickte Kombination von Algorithmen in einem hybriden Design können Sie die Überprüfung beider Algorithmen erzwingen. Wenn ein zukünftiger Quantencomputer RSA und EC bricht, während die PQC-Algorithmen sicher sind, wird der PQC-Teil des Hybridsystems das Ganze schützen. Wenn aktuelle Computer in der Lage sind, PQC-Algorithmen zu brechen, und kein kryptografisch relevanter Quantencomputer existiert, schützt der klassische Algorithmus das Ganze.

Drei unmittelbare Anwendungsfälle für hybride Kryptografie, die leicht zu erkennen sind:

• TLS Verbindungen: Schutz von Daten bei der Übertragung vor der Entschlüsselung durch heutige Computer und potenzielle Quantencomputer der Zukunft.
  

• Digitale Identitäten: in der Regel in Form von Zertifikaten zum Schutz der Authentifizierung vor aktuellen und künftigen Bedrohungen.
  

• Digitale Signaturen: Schutz der Integrität von Code und Dokumenten bis weit in die Zukunft.

Einige Organisationen sind gegen hybride Systeme, während andere für in favoder. Beide haben Argumente für und gegen, wie I oben erwähnt. Die Schlussfolgerung, die am einfachsten zu ziehen ist, lautet: "Es kommt darauf an," und das ist leiderLeider ist dies eine der am häufigsten verwendeten Phrasen im Bereich der Cybersicherheit, wenn man nach einfachen Ratschlägen fragt. Ob Sie hybride Systeme brauchen oder wollen, hängts von Ihrem Anwendungsfall, der Bedrohungslage, der Fähigkeit, die Komplexität zu bewältigen, und vielen anderen Faktoren ab.

Wenn ich es wagen würde wagen würde, irgendwelche zu folgernnsus, wäre es, dass es viele qualifizierte Organisationen da draußen gibt, und wenn jemandeine hybride Systeme für unerlässlich hält, werde ich nicht gegen sie argumentieren. Aber, iwenn sie hybride Systeme für unnötig, werde ich auch nicht dagegen argumentieren. So wie es aussieht, werden wir wahrscheinlich haben Sowohl mit hybriden als auch mit nicht hybriden Lösungen werden wir wahrscheinlich noch lange leben müssen.

Wir haben ermittelt. vier verschiedene PKI-Migrationspfade, die verschiedene Arten von nicht hybriden und derzeit vorgeschlagenen hybriden Lösungen. Die Namen, die den verschiedenen Ansätzen gegeben wurden, sind meine eigene Erfindung. Welche Strategie eine Organisation anwenden sollte, hängt vom Anwendungsfall ab und davon, wie viel Kontrolle sie über die Endpunkte und ihre Fähigkeiten hat.

1. Vollständige Migration mit Hard Cutoff: Dabei wird eine neue PKI mit einem Post-Quantum-Algorithmus eingerichtet. Wenn alle Endpunkte PQC-fähig sind, wird die klassische PKI außer Betrieb genommen und die Zertifikate werden von der neuen PQC-PKI ausgestellt. Die alte PKI wird sehr bald nach Inbetriebnahme der neuen PKI abgeschaltet.
2. Übergangsmigration mit Soft Cutoff: Hier wird eine neue PKI mit einem Post-Quantum-Algorithmus eingerichtet. Beide PKI laufen parallel, und Clients können je nach ihren Fähigkeiten entweder ein klassisches Zertifikat oder ein PQC-Zertifikat oder beides erhalten. Die alte und die neue PKI werden über einen längeren Zeitraum parallel betrieben.
3. Hybride abwärtskompatible Migration: Dabei wird eine neue PKI mit abwärtskompatiblen hybriden Zertifikaten eingerichtet. Die neue PKI kann Zertifikate für PQC-fähige Geräte ausstellen, während nicht PQC-fähige Geräte die PQC-Algorithmen einfach ignorieren und die klassische Kryptografie aushandeln. Die alte PKI kann abgeschaltet und durch die neue abwärtskompatible hybride PKI ersetzt werden.
4. Zusammengesetzte nicht abwärtskompatible Migration: Wenn eine neue PKI mit nicht abwärtskompatiblen hybriden Zertifikaten (Composites) eingerichtet wird. Ähnlich wie eine harte oder weiche Sperre, bei der PQC-Zertifikate nur für PQC-fähige Geräte ausgestellt werden können, mit dem zusätzlichen Merkmal, dass Post-Quantum-Kryptografie auch durch klassische Kryptografie geschützt ist.

Vor- und Nachteile der verschiedenen Strategien, und die Anforderungen an die Umwelt sind Themen für einen anderen Beitrag. Natürlich spricht auch nichts gegen Kombinationen der oben genannten Strategien.

Die Umstellung auf einen kompletten Satz neuer Algorithmen wird kein Spaziergang sein. Etwas mag einfach aussehen, aber im Allgemeinen gibt es viele Dinge mit Hunderttausenden von verschiedenen Anwendungsfällen und Millionen von verschiedenen Umgebungen. Es gibt keine Einheitslösung, weshalb wir mehrere unterschiedliche Migrationsstrategien entwickeln müssen, was leider die Komplexität erhöht.

In der Zwischenzeit können Sie in unserem Bericht "The State of Quantum Readiness in 2024" nachlesen, wie sich Unternehmen auf die zukünftige Bedrohung durch Quantencomputer vorbereiten und ihre Daten schützen.