Skip to main content

Postquanten-Kryptographie

Eine quantensichere Zukunft vorbereiten

Fast alle digitale Kommunikation wird durch drei kryptographische Systeme geschützt: Verschlüsselung mit öffentlichem Schlüssel, digitale Signaturen und Schlüsselaustausch.

In der heutigen Public Key-Infrastruktur werden diese Systeme mithilfe von asymmetrischen kryptografischen RSA- oder ECC-Algorithmen implementiert. RSA- und ECC-Kryptografie verlassen sich auf etwas namens Computational Hardness Assumption – die Hypothese, dass ein theoretisches Zahlenproblem (etwa die Faktorisierung ganzer Zahlen oder das Problem des diskreten Logarithmus) keine effiziente Lösung hat. Diese Annahmen basieren jedoch auf der Rechenleistung klassischer Computer.

1994 zeigte Peter Shor, dass asymmetrische Algorithmen, die von einer Computational Hardness Assumption abhängen, mit einem ausreichend leistungsstarken Quantencomputer und einem speziellen Algorithmus, genannt Shor‘s Algorithmus, sehr einfach geknackt werden können. In der Tat kann ein Quantencomputer mit genügend Qubits und schaltkreistiefe asymmetrische Algorithmen sofort knacken. Eine Studie der ASC X9 Quantum Computing Risk Study Group schätzte diese genauen Anforderungen.

Algorithmus

Benötigte logische Qubits

Erforderliche Schaltkreistiefe

RSA-2048

4700

8 10^9

ECC NIST P-256

2330

1.3 10^112

Hinweis

Eine detaillierte Erklärung von Shor's Algorithmus und wie Quantencomputer asymmetrische Verschlüsselungen knacken können, entnehmen Sie bitte diesem Video.

Die meisten Experten schätzen, dass ein ausreichend leistungsfähiger Quantencomputer mit den Qubits und der Schaltkreistiefe, die zum Knacken von RSA- und ECC-Schlüsseln erforderlich wären, innerhalb der nächsten 20 Jahre gebaut wird.

Zwei Jahrzehnte scheinen eine lange Zeit, aber bedenken Sie, dass die PKI-Branche, wie wir sie heute kennen, etwa ebenso lange gebraucht hat, um auf den heutigen Stand zu kommen. Dem NIST Post-Quantum Cryptography-Projekt zufolge ist es unwahrscheinlich, dass es einen hundertprozentigen Ersatz für unsere aktuellen kryptografischen Public-Key-Algorithmen geben wird. Ein erheblicher Aufwand ist erforderlich, neue Postquanten-Kryptosysteme zu entwickeln, zu standardisieren und bereitzustellen.

Darum arbeitet DigiCert inzwischen mit mehreren Postquanten-Branchenpartnern zusammen, um ein PKI-Ökosystem zu erschaffen, das quantensicher und für zukünftige Bedrohungen agil genug ist.

Quantenangriffsvektoren

Der erste Schritt eines effektiven Schutzes gegen diese Bedrohungen der Zukunft ist die Identifizierung der verschiedenen Angriffsvektoren in einer Postquanten-Bedrohungslage.

TLS/SSL-Handshake

Quantencomputer stellen die größte Bedrohung für asymmetrische kryptografische Algorithmen dar. Dies bedeutet, dass das kryptografische System, das verwendet wird zur digitalen Signatur von Zertifikaten und für den ersten SSL/TLS-Handshake zuständig ist, in beiden Fällen mögliche Angriffspunkte bietet.

Glücklicherweise versichern sowohl NIST als auch ASC X9, dass symmetrische kryptographische Algorithmen (wie AES), die verwendet werden, um den Sitzungsschlüssel zur Sicherung von Transitdaten zu erstellen, nach dem anfänglichen TLS/SSL-Handshake gegen Quantencomputerangriffe resistent zu sein scheinen. In der Tat scheint die Verdoppelung der Bit-Länge eines symmetrischen Schlüssels (z. B. von AES-128 auf AES-256) als Schutz gegen Quantencomputerangriffe ausreichend zu sein. Dies liegt daran, dass symmetrische Schlüssel auf einer pseudozufälligen Zeichenfolge basieren, gegen die ein Brute-Force-Angriff erforderlich wäre oder die Nutzung einiger bekannter Sicherheitslücken, um die Verschlüsselung zu knacken, im Gegensatz zu einem Algorithmus (z. B. Shor's Algorithmus) zum Knacken asymmetrischer Kryptographie.

Dieses vereinfachte TLS/SSL-Handshake-Diagramm zeigt, welche Aktionen durch Quantencomputerangriffe gefährdet und welche sicher sind.

Abbildung 1. TLS/SSL-Handshake mit den aktuellen asymmetrischen kryptografischen Algorithmen (RSA, ECC) und AES-256
TLS/SSL-Handshake mit den aktuellen asymmetrischen kryptografischen Algorithmen (RSA, ECC) und AES-256

Diese Angriffsmethode bedroht die anfängliche Kommunikation mit Servern, die digitale End-Entity-Zertifikate verwenden. Obwohl dies schon eine recht große Bedrohung darstellt, ist sie wahrscheinlich nicht die gefährlichste Angriffsmethode.

Selbst mit einem ausreichend leistungsstarken Quantencomputer sind die erforderlichen Ressourcen zur Berechnung des privaten Schlüssels eines Zertifikats immer noch beträchtlich. Aus diesem Grund, kann davon ausgegangen werden, dass kein einzelnes digitales End-Entity-Zertifikat wichtig genug für einen Quantenangriff ist. Abgesehen davon, das es relativ einfach ist, ein End-Entity-Zertifikat mit einem neuen Schlüssel neu auszustellen.

Vertrauenskette

Die wahrscheinlich gefährlichste Angriffsmethode durch Quantum-Computer ist die Vertrauenskette (Zertifikatskette), die digitale Zertifikate verwenden. asymmetrische kryptografische RSA- und ECC-Algorithmen werden auf jeder Ebene der Vertrauenskette verwendet – Dats Stammzertifikat signiert sich selbst und das Zwischenzertifikat, während das Zwischenzertifikat die End-Entity-Zertifikate signiert.

Diagram of chain of trust. This is not quantum-safe.

Wäre ein Quantencomputer in der Lage, die privaten Schlüssel eines Zwischenzertifikats oder eines Stammzertifikats zu berechnen, würde dies die Basis von PKI zum Einsturz bringen. Mit Zugriff auf den privaten Schlüssel, könnte ein Angreifer falsche Zertifikate ausstellen, die in Browsern automatisch als vertrauenswürdig eingestuft würden. Und anders als bei einem End-Entity-Zertifikat ist der Austausch eines Stammzertifikats alles andere als trivial.

Quantensichere kryptografische Systeme

Bevor Änderungen an den aktuellen kryptografischen PKI-Systemen erfolgen können, müssen kryptografische Ersatzsysteme gefunden werden. Es gibt zwar schon mehrere quantensichere kryptografische Systeme, aber es sind weitere Forschungen erforderlich, bevor vertrauliche Informationen zuverlässig von ihnen geschützt werden können.

Seit Ende 2016 ist das NIST PQC-Projekt (Post-Quantum Cryptography) führend bei der Erforschung quantensicherer kryptografischer Systeme. Bisher wurden dort 26 Postquanten-Algorithmen als potenzielle Ersatzkandidaten identifiziert. Es sind jedoch noch viel mehr Forschungen und Tests erforderlich, bevor diese kryptografischen Systeme standardisiert und eingesetzt werden können.

Gemäß dem Zeitplan des NIST-PQC-Projekts wird es in den Jahren 2020 und 2021 weitere Eliminierungen geben, sodass zwischen 2022 und 2024 mit dem Entwurf eines vorläufigen Standards gerechnet werden kann.

Planen für eine Postquantenzukunft

Dieser Übergang muss deutlich vor der Entwicklung eines Large-Scale-Quantencomputer stattfinden, damit jegliche Informationen, die später durch Quantenkryptoanalyse gefährdet werden, nicht mehr sensibel sind, wenn es zu dieser Kompromittierung kommt.

NIST PQC-Projekt

Wegen der Zeit, die die Entwicklung, Standardisierung und Bereitstellung kryptografischer Post-Quantum-Techniken benötigen, hat DigiCert begonnen, den Nutzen einer Einbettung von Post-Quantum-Algorithmen in hybride Zertifikate mit diesem IETF-Entwurf zu prüfen.