Der Hype um das Quantencomputing ist ungebrochen - man könnte tagelang darüber reden, wohin sich die Quantentechnologien entwickeln, welche Auswirkungen sie auf uns haben und wozu sie in Zukunft in der Lage sein werden.
Die wichtigste Frage ist jedoch, wie sich die Post-Quantum-Kryptografie auf die Cybersicherheit auswirken wird.
Der Gedanke an diese Frage kann leicht zu Panik und Anmaßung führen, aber dafür gibt es keinen Grund. Es besteht jedoch die Notwendigkeit, sich jetzt vorzubereiten.
KeyfactorChris Hickman, Chief Security Officer bei Thales, und Blair Canavan, Alliances Director bei Thales, haben sich kürzlich zusammengesetzt, um mehr über dieses Thema zu erfahren, einschließlich der Frage, warum wir zusammenarbeiten, um Unternehmen bei der Vorbereitung auf die Post-Quantum-Kryptografie zu unterstützen und was sie auf diesem Weg erwarten können. Lesen Sie hier eine Zusammenfassung des Gesprächs, oder klicken Sie hier, um das gesamte Webinar anzusehen.
Ein Blick in die sehr nahe, sehr reale Quantenzukunft
Die wichtigste Frage, die sich jeder stellt, lautet: "Wann ist Postquantum?" Die Antwort lautet leider, dass wir es einfach nicht wissen. Aber wir wissen, dass es sie gibt und dass sie kommen wird.
Post-Quantum-Computer gibt es bereits, aber sie sind noch nicht so weit, dass sie die derzeit verwendeten kryptografischen Algorithmen knacken können. Die Entwicklung schreitet jedoch schnell voran, und dieser Tag wird kommen. Und wenn der RSA-2048-Algorithmus, auf den sich die ganze Welt verlässt, durch die baldige Entwicklung von Quantencomputern kompromittiert wird, werden wir uns schnell in einem Szenario wiederfinden, in dem alle verschlüsselten Sitzungen, TLS, Serverzertifikate, PKI, Code-Signierung und vieles mehr unter ernsthaften Zwang stehen.
Die folgende Grafik von Quantum Amsterdam veranschaulicht verschiedene Zeitlinien für einen potenziellen Q-Day, d. h. den Zeitpunkt, an dem die RSA-Kryptografie innerhalb weniger Sekunden geknackt werden kann und sich daher für ein Echtzeit-Einbruchsszenario eignet. Dies ist interessant, denn wenn wir uns unsere Vermögenswerte innerhalb einer Organisation ansehen und über all die Stellen nachdenken, an denen wir Kryptografie einsetzen, wird uns sehr schnell klar, wie umfangreich diese ist.
Entscheidend ist, dass wir die asymmetrische Kryptografie in den Griff bekommen, denn unabhängig vom Zeitpunkt des Q-Day gibt es in den USA staatliche Anforderungen, die eine Post-Quantum-resistente Signierung erfordern. Wir befinden uns bereits in den letzten Zügen der NIST-Post-Quantum-Algorithmen, und bis Ende 2023 werden neue Standards ratifiziert sein, die wir dann in PKI und Code Signing implementieren können. Und wir können davon ausgehen, dass, sobald die bestehende(n) Norm(en) fallen, die nächsten recht schnell in Kraft treten werden.
Dieser Wandel erfordert auch, dass wir die Krypto-Agilität in Betracht ziehen, die das Aufkommen des Quantencomputings erfordern wird, da wir Geräte mit einer langen Lebensdauer bauen. Wollen wir zum Beispiel in drei bis fünf Jahren jedes Steuergerät (Motorsteuergerät) in jedem Auto ersetzen, weil die Post-Quanten-Technologie da ist, oder sollten wir erwarten, dass das Fahrzeug, das wir kaufen, Krypto-Agilität eingebaut hat? Auch auf Unternehmensseite gibt es eine Menge wertvoller Daten, die viel länger haltbar sind, als uns zunächst bewusst sein mag. Denken Sie nur an die biometrischen Marker für Ihren Reisepass: Alles, was EID-fähig ist, enthält wahrscheinlich Informationen mit einer langen Haltbarkeit.
Vor diesem Hintergrund ist es wichtig, sich Gedanken darüber zu machen, was Post-Quantum für Ihr Unternehmen bedeutet und wo die Risiken kurz-, mittel- und langfristig liegen werden. Sie müssen auch überlegen, wie Ihr Unternehmen Veränderungen vornehmen wird, um vor dem Q-Day einen besseren Zustand zu erreichen.
Bei der Post-Quantum-Kryptografie geht es darum, bereit zu sein
Das volle Ausmaß der Post-Quantum-Kryptografie zu verstehen, ist für viele Unternehmen überwältigend, da die meisten Unternehmen Kryptografie an Stellen eingebaut haben, die ihnen gar nicht bewusst sind. Tatsächlich wissen 62 % der Unternehmen nicht genau, wie viele Schlüssel und Zertifikate sie besitzen, was die Verwaltung und Risikominderung unglaublich schwierig macht, selbst für große Teams.
Da diese blinden Flecken weit verbreitet sind, überrascht es nicht, dass viele Unternehmen davon ausgehen, dass die Entdeckungs- und Planungsphase nach der Quantum-Inventarisierung - nicht einmal die eigentliche Implementierung - mehrere Jahre dauern wird. Deshalb ist es jetzt an der Zeit, sich vorzubereiten.
Anstatt sich auf einen bestimmten Zeitpunkt vorzubereiten, sollten Sie sich vielmehr darauf vorbereiten, dass Sie diese neuen Algorithmen irgendwann einmal übernehmen müssen. Und je früher Sie das tun können, desto besser wird es Ihrem Unternehmen gehen.
Es ist wichtig zu wissen, dass die Übernahme dieser neuen Algorithmen nicht einfach nur ein Umlegen eines Schalters ist, sondern eine komplette Neuaussaat der Kryptographie mit einer ganzen Reihe neuer Richtlinien, Betriebsverfahren und Methoden. Zum Beispiel sind bei Post-Quantum einige ziemlich große Schlüsselgrößen im Spiel, was die Arbeit einiger Geräte erschwert. Es gibt zwar verschiedene Konzepte zur Überwindung einiger dieser größeren Schlüsselgrößen, doch wird dies zu mehr Overhead und Problemen bei einigen der verwendeten herkömmlichen Protokolle führen. Sie müssen diese Änderungen berücksichtigen und entsprechend planen, da es sonst zu Engpässen im gesamten Netz kommen kann.
Diese erneute Aussaat wird den Übergang noch komplizierter machen als bei der letzten großen Änderung in der Kryptografie, als SHA1 zugunsten von SHA2 veraltet war. Beim letzten Mal haben wir wichtige Lektionen über die Verwaltung von Vertrauenswurzeln neben dem Schlüsselmaterial und die Vorausplanung gelernt, um zu vermeiden, dass Systeme versehentlich offline genommen werden.
Was bei der Vorbereitung auf die Post-Quantum-Kryptographie zu erwarten ist
Was muss Ihr Unternehmen tun, wenn es weiß, dass es jetzt an der Zeit ist, sich auf die Post-Quantum-Kryptografie vorzubereiten? Ziehen Sie die folgenden Schritte in Betracht:
Lernen Sie Ihre Kryptowährungen kennen: Sie können sich nur vorbereiten, wenn Sie Ihre Schlüssel, Zertifikate, Algorithmen und die Anwendungen, die sie verwenden, kennen. Es gibt nur eine Möglichkeit, dieses ganze Szenario zu bewältigen: Sie müssen Ihre Kryptografie kennen, verstehen, was in Ihrem Unternehmen vorhanden ist, und feststellen, was migriert werden kann und was nicht. Auf unserer Website Keyfactor finden Sie ein Tool, mit dem Sie sich selbst Post-Quantum-Schlüssel ausstellen können, um zu sehen, was sie lesen können und was nicht. Solange Sie nicht wissen, wie die Landschaft in Ihrem Unternehmen aussieht, können Sie keinen Plan für die Migration entwickeln, weil Sie das Risiko nicht einschätzen können, was ersetzt werden muss, was kompatibel sein wird und was aktualisiert werden muss.
Legen Sie den Grundstein: Als Nächstes sollten Sie herausfinden, wo der größte Bedarf besteht und mit welchen Teams Sie zusammenarbeiten müssen. Die meisten Unternehmen verfügen über eine große, komplexe Datenmatrix, und Sie müssen verstehen, welche Daten wertvoll sind, welche Daten personenbezogene Daten enthalten usw., um Problembereiche zu identifizieren. Überlegen Sie, wann Sie Änderungen an der Verschlüsselung für jeden Datensatz vornehmen müssen, wie Sie dies tun werden und welche Unterstützung Sie dabei erhalten werden. Danach ist es wichtig, sich Gedanken über die Anwendungskompatibilität zu machen und darüber, ob die Änderung des Algorithmus irgendetwas kaputt macht oder nicht. Dabei müssen Sie alle Möglichkeiten ausloten, denn es handelt sich nicht um ein einmaliges Szenario.
Erforschen Sie Ihre Optionen: Es wird eine Weile dauern, bis die Algorithmen fertig sind, aber es ist nie zu früh, sie zu testen und zu erforschen, damit Sie sich mit den Dingen vertraut machen können, die passieren müssen. Denken Sie an mögliche Szenarien, die eintreten könnten: Was passiert, wenn ein Algorithmus angreifbar ist? Wie werden Sie das nach der Einführung handhaben? Diese Dynamiken werden in Ihrem Unternehmen weiter bestehen und müssen in der Folgezeit angegangen werden.
Strategische Partnerschaften verstärken: Unternehmen können sich nicht im luftleeren Raum erfolgreich auf den Übergang zu PQC vorbereiten - hier kommen strategische Partnerschaften ins Spiel. Suchen Sie nach Partnern, die es Ihnen ermöglichen, ihre Post-Quantum-Lösungen zu testen, wie das E-Lab von Thales und das PQC-Labor vonKeyfactor.
Aufbau einer zukunftssicheren Quantenstrategie
Die Post-Quantum-Kryptographie wird sich auf alles auswirken, was wir tun, und eine entsprechende Anpassung ist unumgänglich.
Auch in dieser neuen Welt steht die Kryptografie im Mittelpunkt der Sicherheit. Schlüssel, Verschlüsselung, digitale Signaturen und alle zugrundeliegenden Technologien und Strukturen, auf die wir uns heute verlassen, werden wichtig bleiben, aber die Algorithmen, die ihnen zugrunde liegen, müssen sich ändern. Aus diesem Grund arbeiten Organisationen wie das NIST, X9, das CA Browser Forum, die IETF und das National Cybersecurity Center of Excellence gemeinsam an der Entwicklung quantenresistenter Algorithmen.
Wenn Sie noch nicht damit begonnen haben, sich mit dieser bevorstehenden Veränderung in Ihrem Unternehmen zu befassen, ist es jetzt an der Zeit, dies zu tun. Alles beginnt damit, dass Sie Ihre kryptografischen Ressourcen verstehen und sich auf den Wandel auf höchst agile Weise vorbereiten. Das wird ein großes Unterfangen, denn für die Entwicklung einer Post-Quantum-Krypto-Agilitätsstrategie braucht man ein ganzes Dorf. Je eher Sie also Ihr Team zusammenstellen, die benötigten Ressourcen finden und mit der Planung beginnen, desto besser.
Sind Sie bereit für den Einstieg? Besuchen Sie das PQC-Labor vonKeyfactor - ein Ort für IT-Führungskräfte, Sicherheitsexperten und Entwickler, um zu lernen, zu erforschen und sich auf die Post-Quantum-Welt vorzubereiten. Testen Sie Ihre PQC-Bereitschaft mit der kostenlosen Risikobewertung von Thales, um herauszufinden, ob Ihr Unternehmen von einer Post-Quantum-Verletzung bedroht ist.
