Wir sehen langsam den Anfang vom Ende - oder das Ende vom Anfang - für die Art und Weise, wie wir PKI in den letzten 30 Jahren betrieben haben. Die Quantencomputer-Bedrohung gegen unsere geliebten RSA- und EC-Schlüssel wird zwar gehypt, ist aber noch zehn Jahre entfernt, wie schon in den letzten zwanzig Jahren.
Bevor jemand einen Quantencomputer bauen kann, der in der Lage ist, die heutigen asymmetrischen Schlüssel zu knacken, müssen neue Bereiche der Physik oder Informatik erschlossen werden. Solange dieser wissenschaftliche Fortschritt nicht wirklich weltverändernd ist, wird der Bau eines Quantencomputers die Domäne einiger weniger großer Akteure bleiben.
Dennoch gibt es gute Gründe, die Bedrohung ernst zu nehmen - ein solcher Sprung könnte schneller erfolgen, als wir ahnen, und wir müssen einen Großteil der Daten, die wir heute versenden , auch noch Jahrzehnte später gegen unerwünschte Entschlüsselung absichern.
Während der laufende Wettbewerb und die Bewertung von quantensicheren Algorithmen durch das NIST hoffentlich bis Mitte dieses Jahres abgeschlossen sein wird, sind die Chiffren selbst natürlich nur ein Teil des Puzzles. Die Schlüsselverwaltung hängt in der Praxis davon ab, dass die gewählten Chiffren von den HSM-Anbietern unterstützt werden, und auch das PKI-Ökosystem muss umgestellt werden. Während mit der Erstellung von X.509-Zertifikaten unter Verwendung der NIST-Kandidaten bereits seit mehreren Jahren experimentiert wird, haben wir bei der Umstellung von SHA1 gesehen, dass die Herausforderung im Übergang liegt.
Das praktische Problem hat zwei Hauptbestandteile:
- Es wird einige Zeit dauern, bis alle Clients die neuen Algorithmen unterstützen.
- Die Bescheinigungen können mit einer Gültigkeitsdauer von mehreren Jahren ausgestellt werden.
Wird einer dieser beiden Punkte ignoriert und auf einen einzigen Atomumstieg gesetzt, kann und wird dies in vielen Bereichen Auswirkungen auf die Gesellschaft haben.
Glücklicherweise wurde dieses Problem nicht ignoriert, und mehrere Kandidaten für Übergangszertifikate, die sowohl mit alten als auch mit quantensicheren Schlüsseln umgehen können, sind in Vorbereitung. Wie bei den Chiffren hat jede ihre Vor- und Nachteile und unterschiedliche Anwendungsbereiche.
Im Folgenden werden einige der verschiedenen Optionen für Post-Quantum-Optionen erläutert.
Hybride Zertifikate
Hybride, auch bekannt als Catalyst oder X.509 Alternative, ist der einfachste und unkomplizierteste der Vorschläge. Der Entwurf wird von ISARA, Entrust und Cisco gefördert, und obwohl er vor einigen Jahren wegen Patentfragen (un)berühmt war, sind diese inzwischen gelöst worden. Wie einer seiner Namen andeutet, ist er bisher der einzige Vorschlag, der als X.509-Alternativschlüssel standardisiert wurde, und wird weiterhin in der ITU-T X.509, X9.146 (20240122), sowie in einem nicht quantitativen Kontext in ISO 15118-20 diskutiert.
Der Standard für Hybridzertifikate sieht die Hinzufügung von drei unkritischen Erweiterungen vor, die Folgendes beinhalten:
- Der alternative Schlüssel
- Der alternative Signaturalgorithmus
- Die alternative Unterschrift
In der Praxis wird die Altsignatur über das gesamte Zertifikat, mit Ausnahme der Alternativsignatur, erstellt, während die Alternativsignatur über das gesamte Zertifikat, mit Ausnahme der Altsignatur, erstellt wird.
Da die Erweiterungen nicht kritisch sind, haben ältere Clients keine Auswirkungen, wenn sie auf ein Hybridzertifikat stoßen, während die Einfachheit der Implementierung eine breite Unterstützung durch Zertifikatsaussteller und Verbraucher fördert. Darüber hinaus untersucht die ISO 15118-20 derzeit Anwendungsfälle, in denen es von Vorteil sein kann, sowohl einen Signier- als auch einen Verschlüsselungsschlüssel in einem Zertifikat bereitzustellen, die nicht quantitativ sind.
Am Tag der Abrechnung würde die Umstellung darin bestehen, dass sowohl der Server als auch der Client sich darauf einigen, nur den in der Erweiterung definierten öffentlichen Schlüssel zu verwenden, anstatt den im Standard-X.509-Feld kodierten.
Keyfactor EJBCA bietet ab EJBCA 8.3.0 volle Unterstützung für Hybridzertifikate (sowie für Dilithum, Falcon und Kyber in ihrem derzeitigen Status als Kandidaten).
Chamäleons
Während Chameleons auf Anhieb den Preis für den interessantesten Namen und das interessanteste Konzept gewinnen, führen sie das Konzept der Hybriden weiter. Der von DigiCert und Entrust erstellte Chameleon-Entwurf beinhaltet die Ausstellung von zwei Zertifikaten während desselben Ausstellungsprozesses:
- A Basiszertifikat
- Ein Delta-Zertifikat
Das Delta-Zertifikat würde dann von Anfang an quantensichere Chiffren verwenden, während das Basis-Zertifikat einen alten öffentlichen Schlüssel und eine unkritische Erweiterung namens Deskriptor enthält. Der Schlüssel für den Übergang liegt darin, dass das Delta-Zertifikat aus dem Basiszertifikat und dem Deskriptor abgeleitet werden kann, so dass ein Übergang möglich ist, ohne dass die unkritische Erweiterung die alten Kunden ausschließt.
Der Vorteil von Chamäleons im Vergleich zu Hybriden ist, dass die beiden Zertifikate nicht nur unterschiedliche Schlüssel, sondern auch Gültigkeiten und Schlüsselverwendungen haben können. Sie können sogar unabhängig voneinander widerrufen werden. Dies ist nicht nur eine elegante Lösung, sondern bietet Chameleons viele weitere Einsatzmöglichkeiten, wie z.B. die Möglichkeit, ein SMIME-Zertifikat aus einem TLS -Zertifikat abzuleiten. Allerdings stellt die zusätzliche Komplexität natürlich eine größere Hürde für Aussteller und Verbraucher dar.
Verbundwerkstoffe
Composite-Zertifikate, deren Entwurf von Entrust, CableLabs und D-Trust gefördert wird, ist der erste Vorschlag, der einen klaren Bruch mit X.509 bedeutet.
Composites verfolgen einen anderen Ansatz, indem sie eine komplexe Signaturform, eine so genannte Composite Signature, verwenden, bei der mehrere Signaturen zu einem Konstrukt kombiniert werden, das auch dann gültig bleibt, wenn eine oder mehrere (aber nicht alle) der Chiffren gebrochen werden. Dies löst nicht nur das Übergangsproblem, sondern berücksichtigt auch die relative Neuheit der Mathematik, die hinter den meisten NIST-Kandidaten-Chiffren steht, und minimiert die Auswirkungen, wenn in einigen Jahren eine Schwachstelle entdeckt wird.
Der größte Nachteil von Composites kann auch als sein größter Vorteil angesehen werden, nämlich die fehlende Abwärtskompatibilität. Der Schmerz über die Abschaffung von SHA1 ist bei vielen aufgrund der Trägheit auf der Client-Seite noch frisch, so dass ein sauberer Bruch der beste Schritt für das Ökosystem sein könnte.
Ein weiterer, nicht trivialer Schmerzpunkt der quantensicheren Chiffren sind die großen Schlüssel und/oder Signaturen, die mit ihnen verbunden sind (je nach Chiffre), so dass Composites mit mehreren quantensicheren Schlüsseln möglicherweise eine schlechte Wahl für bandbreitenkritische Anwendungen sind.
Merkle Baum Zertifikate
Selbst im Jahr 2024 ist der Hype um die Blockchain noch nicht abgeklungen. Nein, ich scherze. Wie von Google und Cloudflare vorgeschlagen, verzichten Merkle-Tree-Zertifikate auf eine Signatur im Zertifikat selbst, vor allem als Gegenmaßnahme zu den großen Signaturgrößen, die mit quantensicheren Chiffren verbunden sind, wie bereits erwähnt.
Stattdessen würden die Signaturen in einem Merkle-Baum gespeichert werden, typischerweise in den auf Trillian basierenden Certificate Transparency Logs, die bereits seit vielen Jahren im öffentlichen Bereich TLS verwendet werden. Dies würde es ermöglichen, dass quantensichere Zertifikate unter 1000 Bytes bleiben, was in TLS und anderen Umgebungen mit geringer Bandbreite ein entscheidender Vorteil wäre.
Diese Lösung hat jedoch auch Nachteile. Der offensichtlichste ist, dass ein Zertifikatsverbraucher eine Verbindung zu dem/den Protokoll(en) haben muss, um das Zertifikat zu überprüfen, was ein weiteres kritisches Element für die Betriebszeit des Protokolls darstellt. Außerdem kann es aufgrund der komplexen Berechnungen, die für die Kodierung eines anderen Knotens in einem Protokoll erforderlich sind, zu einer erheblichen Zeitverzögerung von der Ausstellung bis zur Nutzbarkeit von bis zu einer Stunde kommen - selbst die Autoren des Entwurfs räumen dies als ernsthaften Nachteil ein.
Zusammenfassung
Anders als bei der Bewertung quantensicherer Chiffren gibt es keine staatliche Stelle, die darüber entscheidet, welche der vorgeschlagenen Normen zur neuen Norm werden. Obwohl sie sich in ihrer Komplexität und ihren Auswirkungen stark unterscheiden, sehen die Befürworter eines jeden Standards einen Anwendungsfall vor, den sie lösen müssen, so dass letztendlich der Markt selbst darüber entscheiden wird, wo wir landen.
Auf Keyfactor sind technische Herausforderungen der Grund, warum wir uns morgens die Zähne putzen und die Socken anziehen; neue Anwendungsfälle und Lösungen vorzuschlagen, ist also nichts anderes als eine Drohung, uns zu amüsieren. Auch wenn sich das Quanten-Ragnarök am Horizont abzeichnet, ist die Zukunft aus unserer Sicht rosig.
Nehmen Sie sich ein paar Minuten Zeit, um das PQC-Labor von Keyfactorzu erkunden, einen Ort, an dem IT-Führungskräfte, Sicherheitsexperten und Entwickler lernen, forschen und sich auf die Post-Quantum-Welt vorbereiten können.
