Auf dem Weg zu einer Post-Quantum-Welt richten sich alle Augen auf das NIST (National Institute of Standards and Technology).
Das NIST ist die Organisation, die für die Standardisierung eines Algorithmus zuständig ist, der speziell für die Abwehr von Angriffen auf Quantencomputer entwickelt wurde. Der mehrjährige Auswahlprozess befindet sich in der Endphase, wobei drei Algorithmen (BIKE, Classic McEliece und HQC), die im Jahr 2023 ein strenges Testverfahren durchlaufen und in die vierte Runde kommen.
Nun sind diese Algorithmen einen Schritt näher daran, für Unternehmen weltweit zur Integration in ihre Verschlüsselungsinfrastruktur zugänglich zu sein. Aber so weit sind sie noch nicht.
Der jüngste Schritt auf dem Weg zur Standardisierung war Fünfte PQC-Normungskonferenz des NISTdie im April dieses Jahres in Rockville, Maryland, stattfand.
Ziel der Konferenz war es, verschiedene Aspekte der Algorithmen zu erörtern und wertvolles Feedback zu erhalten, das in Entscheidungen über die Standardisierung einfließen wird. Die Einreichungsteams für BIKE, Classic McEliece, Falcon und HQC stellten ebenfalls ein Update ihrer Algorithmen vor.
Ich hatte die Gelegenheit, an der Konferenz teilzunehmen, und hier sind meine wichtigsten Eindrücke.
Aber zuerst, warum das wichtig ist...
Bevor wir uns mit den Einzelheiten der PQC-Normungskonferenz befassen, ist es wichtig, sich darüber klar zu werden, wie wichtig dieser Prozess ist.
Die Quantenkryptografie wird kommen, und obwohl niemand genau weiß, wann sie kommen wird, wissen wir, dass die meisten unserer bisherigen Verschlüsselungsalgorithmen überflüssig werden, sobald die ersten Quantencomputer in Betrieb sind.
Während unsere derzeitigen Algorithmen noch vor Nicht-Quantum-Bedrohungen schützen können, betonen Experten die Notwendigkeit einer proaktive Planung um langfristige Sicherheit zu gewährleisten. Dies ist besonders wichtig, da die Integration neuer Algorithmen in alle Computersysteme zeitaufwändig sein und mehrere Jahre dauern kann.
Infolgedessen rennen Industrie- und Regierungsorganisationen gegen den PQC-Fortschritt an, um neue Standards zu implementieren. Der/die vom NIST ausgewählte(n) Algorithmus(e) wird/werden diese Standards liefern und der Welt die ersten Werkzeuge zum Schutz sensibler Informationen vor dieser neuen Bedrohung zur Verfügung stellen.
Eine neue Phase bedeutet neue Herausforderungen
Das NIST hat angekündigt, dass es die Federal Information Processing Standards (FIPS) 203, 204 und 205 im Sommer 2024 veröffentlichen wird. Diese Ankündigung veranlasste alle Kandidaten der Runde 4, über ihre Pläne zu informieren. Mehrere Kandidaten sprachen auch die jüngsten Herausforderungen an, die sie bei ihren Algorithmen entdeckt hatten. Hier sind die wichtigsten Aussagen der einzelnen Kandidaten:
BIKE
Das BIKE-Team befasste sich mit einer Abhandlung, in der ihr Algorithmus angegriffen wurde, behauptete, der Angriff sei in der Praxis nicht praktikabel, und schlug eine Änderung der Implementierung vor, um das Problem zu beheben.
Klassischer McEliece
Das Team von Classic McEliece hält an seinem Algorithmus fest. Sie behaupten, er sei der stabilste aller anderen PQC-Algorithmen und führen mehrere Projekte an, die ihn verwendet haben, darunter Adva in optischen Hochgeschwindigkeitsnetzen, crypt4a in HSM, software Implementierungen wie Bouncy Castle und VPNs wie MULLVAD VPN und ROSENPASS.
Falke
Das Falcon-Team (zusammen mit dem NIST) wird im Herbst 2024 einen ersten Entwurf veröffentlichen. Sie erwähnten die Schwierigkeiten bei der Implementierung von Fließkomma-Arithmetik und die Probleme, die dabei auftreten könnten, und teilten mit, dass sie planen, Funktionen des Hawk-Algorithmus zu übernehmen, der ANTRAG verwendet, um die Anzahl der Fließkomma-Arithmetikoperationen zu reduzieren.
HQC
Das HQC-Team hat neue Sicherheitsnachweise veröffentlicht, die keine Auswirkungen auf den aktuellen Stand der Implementierung oder ihre Ein- und Ausgänge haben. Außerdem haben sie eine Gegenmaßnahme für einen kürzlich erfolgten Timing-Angriff und eine Korrektur für ihren modularen Timing-Seitenkanalangriff zur Ablenkung vorgestellt.
Neue FIPS bringen zusätzliche Änderungen mit sich
Das NIST hat mehrere Ankündigungen zu den zu erwartenden Änderungen in den neuen FIPS-Dokumenten gemacht. Die FIPS 203 für Kyber/ML-KEM werden einige bedeutende Änderungen erfahren. Zu diesen Änderungen gehört die Umkehrung der A-Matrix-Indizierung, wodurch sie nicht mehr rückwärtskompatibel ist und die standardisierten Testvektoren geändert werden.
Als nächstes wird Sample NTT nun eine spezielle XOF-API verwenden, da der bestehende Standard SHAKE als Stream nicht zulässt. Sie werden auch eine "niedrigere" derandomisierte API spezifizieren, die CAVP-Tests ermöglicht, und sie werden keine Anleitung für KEMs in FIPS 203 geben, sondern stattdessen in SP 800-277.
Auch bei FIPS 204 Dilithium/ML-DSA wird es einige große Änderungen geben. Die SampleInBall-Funktion wird sich ändern, was zu Abwärtskompatibilitätsproblemen führen wird und neue Testvektoren erfordert. In der Zwischenzeit wird die ExpandMask keinen Offset für die SHAKE-Ausgabe verwenden, fehlende Überprüfungen wurden behoben, und es wurden domänengetrennte reine und Pre-Hash-Varianten eingeführt.
Bei FIPS 205 schließlich wird es keine wesentlichen Änderungen geben. Die größte Änderung wird darin bestehen, dass die internen Funktionen Zufallswerte als Eingabe verwenden, um CAVP-Tests zu ermöglichen.
Angriffe über Seitenkanäle sind ein wichtiges Thema
Seitenkanäle kamen mehrfach zur Sprache, und es wurde viel darüber gesprochen, wie man diese Angriffe vermeiden kann.
Ein Redner sprach darüber, wie er Sphincs+ gegen Seitenkanäle resistent gemacht hat, was jedoch die Leistung der Referenzimplementierung um 70 % reduzierte. Ein anderer Redner teilte seine Erfahrungen mit der Kombination mehrerer schwacher physikalischer Lecks von HQC, um den gemeinsamen Schlüssel mit SASCA wiederherzustellen; dies galt jedoch nur für die Referenzimplementierung von HQC und nicht für die optimierte Version.
In einer Sitzung zu diesem Thema wurden neuronale Netze verwendet, um die Entpackungsfunktion von Dilithium anzugreifen und den geheimen Schlüssel wiederherzustellen. Dilithium antwortete, dass sie die Entpackungsfunktion für geschützt halten und schlug vor, den gespeicherten Schlüssel statisch zu maskieren, mit konstanter Gewichtung zu kodieren oder die Schleife zum Entpacken des Schlüssels zu mischen, um Schwachstellen zu vermeiden.
Planung für den Übergang zu PQC
Auch wenn die Standards noch nicht endgültig festgelegt sind, müssen Organisationen überall den Übergang zu PQC im Auge behalten. Daher war diese Umstellungsvorbereitung ein wichtiges Thema auf der Konferenz.
Zu den wichtigsten Aktivitäten für die Umstellung gehören die Identifizierung aller PKI-Objekte und ihrer Lebensdauer im System, die Vorbereitung von Datenformaten und technologischen Einschränkungen sowie die Implementierung und Nutzung der verfügbaren open-source Tools.
Zu den häufigsten Hindernissen, mit denen Unternehmen nach der Einführung des Quantum Engineering bereits konfrontiert sind, gehören Algorithmusbezeichner, Objektkodierung, Interoperabilitätsbewusstsein und kryptografische Token. Insbesondere die ASN.1 OIDs sind sehr unübersichtlich und müssen stärker vereinheitlicht werden. Glücklicherweise sind einige Bemühungen im Gange, um zu helfen, wie der IETF Hackathon GitHub-Seitedie eine Tabelle der aktuellen OIDs enthält.
Verstehen der Auswirkungen von PQC auf reale Verbindungen
Eine Frage, die aufkam, war die nach den Auswirkungen von PQC auf reale Verbindungen wie TLS 1.3.
Die kurze Antwort ist, dass PQC-Algorithmen den Handshake-Prozess für TLS verlangsamen. Je mehr Daten eine Webseite benötigt, desto geringer ist der Einfluss auf die Verlangsamung des Handshake-Prozesses. Folglich ist die Betrachtung der Handshake-Geschwindigkeit allein keine brauchbare Methode zur Messung der Effizienz, da die gesendeten Daten wichtig sind.
Digitale Signaturen bleiben ein wichtiger Punkt von Interesse
Es wurde viel über die in der neuen Signaturrunde verwendeten Methoden gesprochen, insbesondere darüber, wie GGM-Bäume optimiert wurden, um für Signaturalgorithmen nützlich zu sein.
Insbesondere vereinfacht und verbessert ANTRAG Falcon, ohne die Sicherheit zu beeinträchtigen, indem es einen hybriden Sampler anstelle eines kgpy-Samplers verwendet. Die Verwendung von ANTRAG führt zu einem viel einfacheren Signaturschema mit verbesserter Leistung und ohne Sicherheitseinbußen - deshalb ist das Falcon-Team daran interessiert, diesen Ansatz in seinen Algorithmus zu übernehmen. Das Gleitkommaproblem, mit dem das NIST derzeit zu kämpfen hat, wird dadurch jedoch nicht beseitigt (aber es wird reduziert).
Es gibt auch einige Forschungsarbeiten, die Sphincs+-Parametersätze für bestimmte Anwendungsfälle untersuchen. Für Anwendungsfälle wie das Signieren von Firmware ist es überflüssig, eine so hohe maximale Signierkapazität zu haben, und eine Senkung dieser Grenze hilft, die Größe der Signatur um 50 % zu reduzieren und die Verifizierung um 80 % zu verbessern. Das Risiko dieses Ansatzes besteht darin, dass die Anzahl der nachverfolgbaren Signaturen zu etwas Zustandsabhängigem wird, und in diesem Fall gibt es bessere Optionen als Sphincs+. Darüber hinaus haben sich niedrige Nutzungsgrenzen in der Vergangenheit als problematisch erwiesen, wie im Fall von AES-GCM.
Schließlich gab es mehrere Vorträge über hardware , die sich auf die neuen Signaturalgorithmen und die Theorie hinter diesen Algorithmen konzentrierten. In einem Vortrag wurde ein neuer Entwurf für BIKE, genannt lean BIKE, vorgestellt, der die CCA-Sicherheit gegen eine bessere Leistung und eine einfachere Implementierung eintauscht. Es wurde auch darüber diskutiert, ob KEMs mit mehreren Empfängern eine Zustandssynchronisierung in HSM-Flotten ermöglichen und MLS treeKEM effizienter machen könnten.
Können wir das Hashing beschleunigen?
In einem Vortrag wurde die Beschleunigung von SLH-DSA um zwei Größenordnungen diskutiert, allerdings nur für hardware. Leider ist es schwierig, software zu beschleunigen, da ein Großteil des Engpasses aus dem Hashing resultiert und Hash-Beschleuniger darauf ausgelegt sind, Daten zu hashen, nicht andere Hashes, so dass es schwierig ist, diesen Prozess zu beschleunigen.
Was bedeutet das alles? Der PQC rückt schnell näher und die Zeit für die Vorbereitung ist jetzt
Die fünfte PQC-Normungskonferenz des NIST war vollgepackt mit zukunftsweisenden Gesprächen darüber, was in einer Post-Quantum-Welt zu erwarten ist, welche Veränderungen heute stattfinden und welche Herausforderungen zu berücksichtigen sind. Die vielleicht wichtigste Erkenntnis ist, dass PQC kommen wird, bevor wir es merken, und dass es noch eine Menge Vorbereitungen zu treffen gilt.
Zu diesem Zweck, wird das NIST weiter an der Standardisierung der endgültigen Algorithmen arbeiten und zusätzliche Änderungen vornehmen, um die Sicherheit in einer Post-Quantum-Welt zu gewährleisten. Gleichzeitig muss jede Organisation damit beginnen, sich auf die Umstellung der Algorithmen und andere Änderungen vorzubereiten, die das NIST empfehlen könnte, wenn wir uns dem PQC nähern.
Benötigen Sie Hilfe bei den ersten Schritten? KeyfactorDas Team von PKI-Experten kann Ihnen helfen, Ihre PKI-Strategie zukunftssicher zu machen. Kontaktieren Sie uns hier.