Post-Quantum-Kryptographie

Eine quantumsichere Zukunft vorbereiten

Fast alle digitale Kommunikation wird durch drei kryptographische Systeme geschützt: Verschlüsselung mit öffentlichem Schlüssel, digitale Signaturen und Schlüsselaustausch.

In der heutigen Public Key-Infrastruktur werden diese Systeme mithilfe von asymmetrischen kryptografischen RSA- oder ECC-Algorithmen implementiert. RSA- und ECC-Kryptografie verlassen sich auf etwas namens Computational Hardness Assumption – die Hypothese, dass ein theoretisches Zahlenproblem (etwa die Faktorisierung ganzer Zahlen oder das Problem des diskreten Logarithmus) keine effiziente Lösung hat. Diese Annahmen basieren jedoch auf der Rechenleistung klassischer Computer.

1994 zeigte Peter Shor, dass asymmetrische Algorithmen, die von einer Computational Hardness Assumption abhängen, mit einem ausreichend leistungsstarken Quantum-Computer und einem speziellen Algorithmus, genannt in Shor‘s Algorithmus, sehr einfach geknackt werden können. In der Tat kann ein Quantum-Computer mit genügend Qubits und Schaltkreistiefe Asymmetrische Algorithmen sofort knacken. Eine Studie der ASC X9 Quantum Computing Risk Study Group schätzte diese genauen Anforderungen.

Algorithmus Benötigte logische Qubits Erforderliche Schaltkreistiefe
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1,3 10^112

Eine detaillierte Erklärung von Shor's Algorithmus und wie Quantum-Computer asymmetrische Verschlüsselungen knacken können, entnehmen Sie bitte diesem Video.

Die meisten Experten schätzen, dass ein ausreichend leistungsfähiger Quantum-Computer mit den Qubits und der Schaltkreistiefe, die zum Knacken von RSA- und ECC-Schlüsseln erforderlich wären, innerhalb der nächsten 20 Jahre werden gebaut wird.

Zwei Jahrzehnte scheinen eine lange Zeit, aber bedenken Sie, dass die PKI-Branche, wie wir sie heute kennen, etwa ebenso lange gebraucht hat, um auf den heutigen Stand zu kommen. Dem NIST Post-Quantum Cryptography-Projekt zufolge, "ist es unwahrscheinlich, dass es einen hundertprozentigen Ersatz für unsere aktuellen kryptografischen Public-Key-Algorithmen geben wird. Ein erheblicher Aufwand ist erforderlich, neue Post-Quantum-Kryptosysteme zu entwickeln, zu standardisieren und bereitzustellen."

Darum arbeitet DigiCert inzwischen mit mehreren Post-Quantum-Branchenpartnern zusammen, um ein PKI-Ökosystem zu erschaffen, das quantensicher und für zukünftige Bedrohungen agil genug ist.

Quantum-Angriffsvektoren

Der erste Schritt eines effektiven Schutzes gegen diese Bedrohungen der Zukunft ist die Identifizierung der verschiedenen Angriffsvektoren in einer Post-Quantum-Bedrohungslage.

TLS/SSL-Handshake

Quantum-Computer stellen die größte Bedrohung für asymmetrische kryptografische Algorithmen dar. Dies bedeutet, dass das kryptografische System, das verwendet wird zur digitalen Signatur von Zertifikaten und für den ersten SSL/TLS-Handshake zuständig ist, in beiden Fällen mögliche Angriffspunkte bietet.

Glücklicherweise versichern sowohl NIST als auch ASC X9, dass symmetrische kryptographische Algorithmen (wie AES), die verwendet werden, um den Sitzungsschlüssel zur Sicherung von Transitdaten zu erstellen, nach dem anfänglichen TLS/SSL-Handshake gegen Quantum-Computerangriffe resistent zu sein scheinen. In der Tat scheint die Verdoppelung der Bit-Länge eines symmetrischen Schlüssels (z. B. von AES-128 auf AES-256) als Schutz gegen Quantum-Computerangriffe ausreichend zu sein. Dies liegt daran, dass symmetrische Schlüssel auf einer pseudozufälligen Zeichenfolge basieren, gegen die ein Brute-Force-Angriff erforderlich wäre oder die Nutzung einiger bekannter Sicherheitslücken, um die Verschlüsselung zu knacken, im Gegensatz zu einem Algorithmus (z. B. Shor's Algorithmus) zum Knacken asymmetrischer Kryptographie.

Dieses vereinfachte TLS/SSL-Handshake-Diagramm zeigt, welche Aktionen durch Quantum-Computerangriffe gefährdet und welche sicher sind.

TLS/SSL-Handshake mit den aktuellen asymmetrischen kryptografischen Algorithmen (RSA, ECC) und AES-256

Diese Angriffsmethode bedroht die anfängliche Kommunikation mit Servern, die digitale End-Entity-Zertifikate verwenden. Obwohl dies schon eine recht große Bedrohung darstellt, ist sie wahrscheinlich nicht die gefährlichste Angriffsmethode.

Selbst mit einem ausreichend leistungsstarken Quantum-Computer sind die erforderlichen Ressourcen zur Berechnung des privaten Schlüssels eines Zertifikats immer noch beträchtlich. Aus diesem Grund, kann davon ausgegangen werden, dass kein einzelnes digitales End-Entity-Zertifikat wichtig genug für einen Quantum-Angriff ist. Abgesehen davon, das es relativ einfach ist, ein End-Entity-Zertifikat mit einem neuen Schlüssel neu auszustellen.

Vertrauenskette

Die wahrscheinlich gefährlichste Angriffsmethode durch Quantum-Computer ist die Vertrauenskette (Zertifikatskette), die digitale Zertifikate verwenden. asymmetrische kryptografische RSA- und ECC-Algorithmen werden auf jeder Ebene der Vertrauenskette verwendet – Dats Stammzertifikat signiert sich selbst und das Zwischenzertifikat, während das Zwischenzertifikat die End-Entity-Zertifikate signiert.

Wäre ein Quantum-Computer in der Lage, die privaten Schlüssel eines Zwischenzertifikats oder eines Stammzertifikats zu berechnen, würde dies die Basis von PKI zum Einsturz bringen. Mit Zugriff auf den privaten Schlüssel, könnte ein Angreifer falsche Zertifikate ausstellen, die in Browsern automatisch als vertrauenswürdig eingestuft würden. Und anders als bei einem End-Entity-Zertifikat ist der Austausch eines Stammzertifikats alles andere als trivial.

Quantum-sichere kryptografische Systeme

Bevor Änderungen an de aktuellen kryptografischen PKI-Systemen erfolgen können, müssen kryptografische Ersatzsysteme gefunden werden. Es gibt zwar schon mehrere Quantum-sichere kryptografische Systeme, aber es sind weitere Forschungen erforderlich, bevor vertrauliche Informationen zuverlässig von ihnen geschützt werden können.

Seit Ende 2016 ist das NIST PQC-Projekt (Post-Quantum Cryptography) führend bei der Erforschung Quantum-sicherer kryptografischer Systeme. Bisher wurden dort 26 Post-Quantum-Algorithmen als potenzielle Ersatzkandidaten identifiziert. Es sind jedoch noch viel mehr Forschungen und Tests erforderlich, bevor diese kryptografischen Systeme standardisiert und eingesetzt werden können.

Gemäß dem Zeitplan des NIST-PQC-Projekts wird es in den Jahren 2020 und 2021, weitere Eliminierungen geben, sodass zwischen 2022 und 2024 mit dem Entwurf eines vorläufigen Standards gerechnet werden kann.

Planen für eine Post-Quantum-Zukunft

Dieser Übergang muss deutlich vor der Entwicklung eines Large-Scale-Quantum-Computers stattfinden, damit jegliche Informationen, die später durch Quantum-Kryptoanalyse gefährdet werden, nicht mehr sensibel sind, wenn es zu dieser Kompromittierung kommt.

NIST PQC project

Wegen der Zeit, die die Entwicklung, Standardisierung und Bereitstellung kryptografischer Post-Quantum-Techniken benötigen, hat DigiCert begonnen, den Nutzen einer Einbettung von Post-Quantum-Algorithmen in hybride Zertifikate mit diesem IETF-Entwurf zu prüfen.

In den kommenden Wochen werden wir weitere Informationen über unsere Post-Quantum-Kryptographie-Bemühungen und die Entwicklung eines Hybridzertifikats zusammen mit Informationen zu folgenden Themen herausgeben:

  • Sofortmaßnahmen, die Sie ergreifen können, um sich auf eine Post-Quantum-Zukunft vorzubereiten
  • Details über Hybridzertifikate und wie sie aktuelle Systeme schützen können
  • PQC-Toolkit-Ressourcen und Setup-Anleitung