Krypto, d. h. Kryptographie, stand vom 13. bis 15. April in Amsterdam auf der Tagesordnung eines weiteren Real World Crypto Symposiums, das sowohl persönlich als auch online stattfand. Lesen Sie diesen Blog von David Hook von Keyfactor, um mehr über seine drei wichtigsten Erkenntnisse aus der Veranstaltung zu erfahren.
Zusammenfassend lässt sich sagen, dass eine Menge los ist! Für diejenigen unter Ihnen, die mehr Details zu Dingen suchen, die uns kurzfristig betreffen, möchte ich drei interessante Themen ansprechen: Der NIST PQC-Wettbewerb geht weiter, Zertifikatsperrlisten (CRLs) gibt es immer noch, und die Idee der Krypto-Agilität als Prinzip erweist sich als viel komplizierter, als jeder von uns zunächst dachte.
Der NIST PQC-Wettbewerb geht weiter
Ende letzten Jahres wurde bekannt gegeben, dass der endgültige Algorithmensatz des NIST-PQC-Wettbewerbs Ende März dieses Jahres ausgewählt werden würde. Wie es ein Redner so treffend formulierte, haben wir jetzt Ende März, und zwar für sehr große Werte in der letzten Zeit. Das NIST hat keine weiteren Ankündigungen gemacht, und auch die Einreichungsteams scheinen keine weiteren Informationen zu haben.
Ein möglicher Grund für die Pause ist, dass es weitere Fortschritte bei der Analyse der Kandidaten gegeben hat. Ein Angriff auf Rainbow hat dazu geführt, dass alle seine Parametersätze effektiv um eine Sicherheitsstufe herabgestuft wurden. Vor kurzem wurde ein verbesserter Angriff auf das duale Gitter veröffentlicht, der auch die Sicherheit von Algorithmen wie SABER, Crystals-Dilithium und Crystals-Kyber herabstuft.
Dies bedeutet nicht, dass einer dieser Algorithmen von Natur aus fehlerhaft ist, aber es kann bedeuten, dass die Parametergrößen überarbeitet werden müssen, was sich auf den Nutzen der Algorithmen auswirkt, was wiederum die Eignung eines Algorithmus für die Auswahl beeinflussen könnte. Vielleicht - nur vielleicht - denkt das NIST also noch ein wenig nach.
Eines scheint klar zu sein: Die "Form" der Algorithmen, auf die wir in Zukunft umstellen werden, scheint sich nicht zu ändern. Mehr dazu etwas später!
CRLs sind immer noch eine Sache
An der CRL-Front ging es in Mike Hamburgs Vortrag um die Wiederentdeckung des CRL. Für diejenigen, die gerade erst zu uns gestoßen sind, hier eine kurze Geschichte. Als die CRLs, zumindest für einige Zertifizierungsstellen und ihre Benutzer, ziemlich umfangreich wurden, kam mit OCSP (Online Certificate Status Protocol) die Idee auf, den Status online abzufragen - im Gegensatz zur Verteilung der vollständigen CRLs. Wie die meisten guten Ideen führte auch diese zu anderen Problemen, was zu OCSP Stapling führte.
Der springende Punkt bei OCSP war schon immer, was zu tun ist, wenn der OCSP-Server ausfällt. Es gab ein paar Vorfälle, bei denen wir das herausgefunden haben. Der wohl bekannteste war der, der zu Blogs mit bemerkenswert prägnanten Titeln wie "What Happened to My Mac? Apples OCSP-Apokalypse".
Mikes Vortrag war ein neuer Blick auf CRLite, ein bereits aktiver Vorschlag zur Rückkehr zu einem lokal heruntergeladenen Äquivalent für eine CRL. Dieser Vorschlag stammt aus dem Jahr 2017 und sieht eine viel kleinere Darstellung vor. CRLite bietet zwar nicht so viele Informationen wie eine echte CRL, aber es zeigt an, ob ein Zertifikat widerrufen wurde, was in den meisten Fällen alles ist, was benötigt wird. Es stellt sich heraus, dass nur wenige Prozent der Zertifikate jemals widerrufen werden, was die Verwendung von Filter-Maps wie Bloom-Filtern zu einer effektiven Möglichkeit macht, eine CRL mit einer erheblichen Größenreduzierung darzustellen. Und es scheint, als ob ausgefranste Bandfilter einen noch kleineren Fußabdruck erzeugen. Die Größe der resultierenden Strukturen scheint sie downloadfreundlich zu machen. CRLite, wie beschrieben, ist viel umfassender als eine einzelne CRL für eine einzelne Zertifizierungsstelle, aber die gelernten Lektionen und Techniken sind auch auf eine einzelne Zertifizierungsstelle anwendbar. Wenn die Verwaltung und Ausgabe von CRLs von Interesse ist, lohnt es sich, diese Arbeit zu verfolgen.
Krypto-Agilität ist nicht so einfach, wie es klingt
Schließlich gab es eine Reihe von Vorträgen über alles, was mit Post-Quantum (PQ) zu tun hat, die mit einem Vortrag über den kryptographischen Übergang und die Agilität endeten. Ich werde hier ein wenig paraphrasieren, um die Dinge kurz zu halten. Wenn ich also nicht ganz erfasst habe, was David Ott und seine Co-Autoren zu vermitteln versuchten, hoffe ich, dass sie meine Entschuldigung annehmen.
Wir sprechen viel über Krypto-Agilität, aber obwohl einige versucht haben, darauf hinzuweisen, dass es nicht so einfach ist, wie es sich anhört, scheinen viele von uns immer noch davon auszugehen, dass es wie bei Y2K ist: Man muss nur seine Datenbanken überprüfen und diese beiden Spaltenlesungen und -vergleiche optimieren, und schon ist alles gut. Es hat sich gezeigt, dass das nicht so ist. Wie der Leiter einer Sitzung feststellte, kann man nicht einfach PQ an den Anfang des Protokolls setzen und erwarten, dass es funktioniert. Nicht alle neuen Algorithmen lassen sich direkt auf die von uns derzeit verwendeten Methoden übertragen, und als Industrie sind wir immer noch dabei herauszufinden, auf welcher Seite der Linie sich die verschiedenen Protokolle befinden - bei einigen sind es nur kleine Änderungen, und man hat PQ hinzugefügt. Für andere ist es, um eine berühmte Zeile aus Star Trek zu zitieren, wirklich ein Fall von "es ist das Leben, Jim, aber nicht so, wie wir es kennen".
Allerdings scheinen wir eine gute Vorstellung von den Merkmalen der "neuen" Algorithmen zu haben, so dass wir mit dem Experimentieren nicht auf die Veröffentlichung der endgültigen Normen warten müssen. Wir können jetzt damit beginnen. Dies ist besonders für diejenigen von Bedeutung, die sich mit hybrider Verschlüsselung befassen (z. B. die Kombination eines klassischen Algorithmus wie ECCDH mit einem PQC-Algorithmus wie FrodoKEM), da dies eine Änderung der Arbeitsweise bedeutet.
Abschließend möchte ich noch erwähnen, dass die gerade veröffentlichte Version Bouncy Castle 1.71 vier der NIST-Finalisten und alternativen Kandidaten unterstützt: FrodoKEM, Classic McEliece, SABER und SPHINCS+ sowie die Unterstützung einer HybridValueParameterSpec-Klasse, mit der die Ausgabe der KEM-Algorithmen für die hybride Verschlüsselung verwendet werden kann. Die gleichen Algorithmen werden bald auch in Bouncy Castle für C# verfügbar sein. Mit etwas Unterstützung von außen erwarten wir, dass die Implementierungen der anderen Algorithmen in den nächsten Monaten fertiggestellt werden. Wenn Sie also mit der Untersuchung dieser Algorithmen beginnen möchten, sind einige Ressourcen bereits verfügbar, und die fehlenden Ressourcen werden folgen.
Wenn Sie Bouncy Castle selbst ausprobieren möchten, finden Sie diese Links:
