Post-Quanten-Kryptografie: Sichere Verschlüsselung für das Quanten-Zeitalter
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Whitepaper
Post-Quanten-Kryptografie: Sichere
Verschlüsselung für das Quanten-Zeitalter
Auf Quantencomputern basierte Technologie hat Mit Quantenrechnern ist dies nicht mehr der Fall. Die
das Potential, unterschiedlichste IT-Bereiche und Migration von aktuell sicheren kryptografischen Algo-
Branchen zu revolutionieren – sowohl im positiven rithmen hin zu quantensicheren Algorithmen kann in
als auch im negativen Sinne. Eine signifikante Steige- der Praxis sehr langwierig sein. Vor allem dann, wenn
rung der Rechenleistung bedeutet auf der einen Seite sie in Branchen und Anwendungsbereichen einge-
mehr Analyse- und Verarbeitungskapazität für große setzt werden, in denen Produkte wie z. B. intelligente
Datenmengen – und damit neue Erkenntnisse, neue Stromzähler und Fahrzeuge heute schon entwickelt
Anwendungsfelder und Geschäftsmodelle. Auf der werden, um 10 oder 15 Jahren im Markt zu bleiben.
anderen Seite steht so aber auch mehr Rechen- Daher ist es vor allem bei Produkten mit langen
leistung zur Verfügung, um heutige Sicherheitsme- Lebenszyklen für die Anwender von kryptografischen
chanismen auszuhebeln. Der Bereich IT-Sicherheit Algorithmen wichtig, heute schon auf Crypto-Agilität
und insbesondere Verschlüsselungsmechanismen zu setzen. „Crypto Agility“ meint hier die Fähigkeit, die
werden von der Einführung von Quantenrechnern heute verwendeten Algorithmen gegen quantensiche-
betroffen sein. Einige der heute meistgenutzten re Algorithmen auszutauschen – auch bei Produkten,
Verschlüsselungsalgorithmen werden dadurch un- die schon im Markt sind. Utimaco Hardware-Sicher-
gültig. Denn ihre Sicherheit baut im Wesentlichen heitsmodule und das flexible Software Development
darauf auf, dass aktuell verfügbare Computer mit Kit sind für diese Aufgabe besonders geeignet – und
ihrer Rechenkapazität zu lange brauchen, um sie werden daher auch von führenden Experten im Be-
entschlüsseln zu können. reich Post-Quanten-Kryptografie eingesetzt.
1
Einleitung: Besonders effektiv sind Quantensysteme, wenn
eine Aufgabe eine große Zahl von Kombinations-
Was Post-Quanten-Kryptografie ist
möglichkeiten enthält. Das ist beispielsweise bei
Mit Quantensystemen hat eine neue Generation von der Berechnung von Verkehrsströmen der Fall.
Rechnern die Bühne betreten. Diese arbeiten nicht Automobilkonzerne und Stadtplaner setzen bereits
mit Bits; das heißt, sie kennen nicht nur die Zustände erste Versionen von Quantensystemen ein, um den
0 und 1 wie herkömmliche Computer. Stattdessen Autoverkehr in Großstädten zu analysieren und eine
nutzen Quantenrechner so genannte Quantenbits – optimale Verkehrsführung zu finden. Im Finanzbe-
Qbits – mit drei Zuständen: 0, 1 sowie einem da- reich können Quantenrechner dabei helfen, für einen
zwischen, der Superposition. Im Gegensatz zu Bits Kunden das optimale Aktienportfolio zusammen
kann ein Quantenbit beliebige Zustände gleichzeitig zustellen. Hersteller und Logistikunternehmen
einnehmen. Dadurch ist ein solcher Rechner in der wiederum haben die Möglichkeit, mithilfe von Quan-
Lage, viel mehr Rechenoperationen parallel durchzu- tensystemen Lieferwege zu optimieren. Weitere Ein-
führen. Forscher schätzen, dass ein Quantensystem satzfelder sind unter anderem die Suche nach neuen
etwa 1.000 Mal so schnell1 arbeitet wie ein heutiger Medikamenten, die Überprüfung von Software und
Supercomputer. das Trainieren von neuronalen Netzen, die im Bereich
maschinelles Lernen eingesetzt werden.2
Diese Rechenleistung lässt sich – leider – auch
dazu nutzen, um vorhandene Verschlüsselungs- Die dunklen Seiten der
verfahren zu kompromittieren. Daher müssen
Quanten-Technologie
diese Technologien so modifiziert werden, dass
sie Angriffen mit Quantenrechnern standhalten. Doch mit der Verfügbarkeit von Quantenrechnern
Erforderlich ist dazu Post-Quanten-Kryptografie sind auch Risiken verbunden. Dies gilt umso mehr,
(PQC, Post-Quantum Cryptography). PQC-Verfahren als solche Systeme künftig über die Cloud bereitge-
sind Verschlüsselungssysteme (Krypto-Systeme), stellt werden. IBM bietet bereits jetzt Forschern und
die auf herkömmlichen Rechnern, beispielsweise Wissenschaftlern einen Zugang zu einem Quanten-
PCs und mobilen Endgeräten, eingesetzt werden rechner in der Cloud an. Unternehmen wie Google,
können und Angriffen mit Quantencomputern IBM und Amazon Web Services werden folgen.Damit
standhalten können. werden Quantenrechner für einen breiten Nutzer-
kreis verfügbar, auch solchen Anwendern, die diese
Chancen der Quanten-Technologie: Systeme für das „Knacken“ von Verschlüsselungs
verfahren verwenden. Forscher rechnen damit, dass
Aktuelle Einsatzszenarien
in etwa zehn bis 15 Jahren Quantencomputer in
Quantenrechner wurden natürlich nicht per se als größerem Maßstab verfügbar sein werden.
„Cyber-Waffen“ konzipiert. Solche Systeme eröffnen
Unternehmen, Forschern und öffentlichen Einricht Hinzu kommt ein weiterer Faktor: Speziell Unter-
ungen neue Optionen. So lassen sich dank der hohen nehmen aus Hightech-Ländern wie Deutschland
Rechenleistung solcher Computer komplexe Berech- müssen davon ausgehen, dass staatliche Stellen in
nungen mehrere Tausend Mal schneller durchführen, anderen Nationen Quantenrechner dazu nutzen wer-
als mit konventionellen Systemen. Das gilt jedoch den, um Geschäftsgeheimnisse und Forschungser-
nicht für alle Arten von Rechenaufgaben. gebnisse zu entwenden. Nach Angaben des Digital
1 http://www.datasciencecentral.com/profiles/blogs/understanding-the-quantum-computing-landscape-today-buy-rent-or-w
2 https://www.dwavesys.com/sites/default/files/D-Wave%202000Q%20Tech%20Collateral_0117F.pdf
https://www.accenture.com/t00010101T000000__w__/br-pt/_acnmedia/PDF-45/Accenture-Innovating-Quantum-Computing-Novo.pdf
2
verbandes Bitkom wurden 2016 und 2017 mehr als Gefährdet sind zudem asymmetrische Verschlüs-
53 Prozent der deutschen Unternehmen Opfer von selungstechniken, die mit einem öffentlichen und
Wirtschaftsspionage und Datendiebstahl. Entwendet privaten Schlüssel arbeiten (Public-Key-Infrastruk-
wurden vorzugsweise E-Mails, Finanzdaten sowie tur-Systeme, PKI). Dazu gehört das weit verbreitete
Informationen aus der Forschungsabteilung und RSA-Verfahren. Dessen Sicherheit basierte bislang
dem Personalwesen.3 darauf, dass es für einen konventionellen Rechner
schwer ist, Produkte großer Primzahlen in ihre
Wollen deutsche Unternehmen durch den Abfluss einzelnen Bestandteile zu zerlegen.
und Diebstahl von Know-how nicht wirtschaftlich ins
Hintertreffen geraten, müssen sie sensible Informa
tionen so verschlüsseln, dass sie auch mithilfe von Ein Beispiel: Jeder PC kann zwar innerhalb
Quantensystemen nicht kompromittiert werden kürzester Zeit 2.803 mit 4.219 multiplizieren.
können. Das Ergebnis 11.825.857 in die beiden Aus-
gangszahlen zu zerlegen, erfordert jedoch
Quanten-Systeme und IT-Sicherheit eine immense Rechenleistung.
Das Kernproblem von Quantenrechnern im Zusam-
menhang mit Verschlüsselung ist, dass sich mit Quantencomputer schaffen solche Aufgaben deut
solchen Systemen herkömmliche Verschlüsselungs- lich schneller als konventionelle Computer. D
er
techniken aushebeln lassen. Dazu zählen Verfahren Amerikaner Peter W. Shor hat bereits 1994 einen
auf Basis elliptischer Kurven (Elliptic Curve Digital entsprechenden Algorithmus vorgestellt. Ab 2019,
Signature Algorithm, ECDSA), mit denen beispiels- so Fachleute, ist damit zu rechnen, dass Quanten
weise die Schlüssel von Blockchain geschützt werden. rechner verfügbar sind, welche die RSA-Verschlüs-
Das Sicherheitsniveau von Ver-
schlüsselungsverfahren – mit
und ohne Berücksichtigung von
Quantencomputing
(Quelle: Daniel J. Bernstein /
Tanja Lange, 2016)
3h
ttps://www.bitkom.org/Presse/Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft-entsteht-
jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html
3
selung „knacken“ können. Gleiches gilt für Verfahren solche Attacken geschützt werden. Das erfordert
auf Basis von Diffie-Hellman (DH) und des Digital einen e
rheblichen Aufwand, von der Erfassung und
Signature Algorithm (DSA). Kategorisierung solcher Informationsbestände bis hin
zur Neuverschlüsselung mithilfe von PQC-Lösungen.
Auch symmetrische Verschlüsselungstechniken
wie AES (Advanced Encryption Standard) und SHA Zu den wichtigsten Faktoren, die eine Post-Quantum-
(Secure Hash Algorithm) verlieren durch Quanten- Kryptografie erfordern, zählt jedoch die Digitalisie-
rechner einen Teil ihrer Schutzwirkung. rung. Konzepte wie Industrie 4.0, der digitale Handel,
Smart Metering, autonomes Fahren und das Internet
der Dinge basieren auf einer sicheren Kommunikation.
Gelingt es Hackern, Fabriken, Verkehrsleitsysteme
Forscher wie Daniel L. Bernstein und Tanja
oder Kraftwerke lahmzulegen, kann das katastro
Lange haben ermittelt, dass beispielsweise
AES mit 256-Bit-Schlüsseln zukünftig nur phale Folgen haben. Doch gerade solche Einrich-
noch so sicher ist wie heute eine AES- tungen mit einer gehärteten IT-Sicherheits- und Ver
Verschlüsselung mit 128 Bit langen Keys. schlüsselungstechnologie auszustatten, erfordert
einen Vorlauf von mehreren Jahren.
Bereits jetzt handeln
Selbst dann, wenn Quantensysteme erst in zehn
oder 15 Jahren für jedermann verfügbar sein sollten,
müssen IT-Verantwortliche und Geschäftsführer
bereits heute das Thema „Post-Quantum-Krypto-
grafie“ auf die Agenda setzen. Ein Grund ist, dass es
Unternehmen und öffentliche Einrich-
Zeit kostet, vorhandene Verschlüsselungsverfahren tungen sollten sich bereits jetzt mit der
auf eine neue Basis zu stellen. Die Cloud Security
Alliance (CSA)4 geht zum Beispiel von fünf bis zehn
Tatsache beschäftigen, dass herkömm-
Jahren aus. liche Verschlüsselungsverfahren in
Ein weiterer Punkt ist, dass Daten, die mithilfe
wenigen Jahren durch Quantenrechner
älterer Verfahren verschlüsselt wurden, anfällig obsolet sind. Denn die Umstellung
für Quantenangriffe sind. Angreifer könnten sich
dadurch Zugang zu solchen Daten verschaffen.
auf eine Post-Quantum-Kryptografie
Unternehmen und öffentliche Einrichtungen müssen kostet Zeit und erfordert eine gute
somit dafür Sorge tragen, dass alle gefährdeten ver-
traulichen Daten mithilfe von PQC-Verfahren gegen
Vorbereitung.
Malte Pollmann, CEO von Utimaco
4 https://downloads.cloudsecurityalliance.org/assets/research/quantum-safe-security/applied-quantum-safe-security.pdf
4
Krypto-Materialien gegen neue Versionen auszutau-
schen. In der Praxis werden somit Krypto-Systeme
unterschiedlicher Art koexistieren – solche, die
Post-Quanten-Kryptografie unterstützen und solche,
die dies nicht tun.
Crypto Agility ist eine Anforderung an
Hinzu kommt ein weiterer Punkt: die unterschied-
zukunftssichere Kryptografie-Lösungen, lichen Entwicklungs- und Nutzungszeiträume von
die auch im Zeitalter von Quanten Produkten. In dieser Beziehung gibt es erhebliche
Unterschiede. In der Industrie, dem Energiesektor
rechnern Bestand haben sollen. Eine und dem Automobil-Bereich sind Entwicklungszyklen
zentrale Rolle bei solchen Lösungen von zwei bis vier Jahren üblich. Die Nutzungsdauer
von Maschinen und Fahrzeugen liegt meist bei
spielen Hardware-Sicherheitsmodule sieben Jahren oder länger.
und flexible Software Development Kits.
Das heißt, eine Kryptografie-Lösung muss sich an
Malte Pollmann, CEO von Utimaco neue Anforderungen anpassen lassen, beispielsweise
Post-Quanten-Verschlüsselungslösungen. Das ist
nur dann mit akzeptablem Aufwand möglich, wenn
eine Kryptografie-Umgebung agil ist, sprich „Crypto
Agility“ unterstützt.
Koexistenz von neuen und
bestehenden Umgebungen Warum Crypto Agility wichtig ist
Bei der Umstellung auf eine quantenresistente Krypto-Agilität bedeutet, dass Applikationen, End-
Krypto-Systemumgebung in Unternehmen oder geräte und Hardware-Sicherheitsmodule im Be-
öffentlichen Einrichtungen gilt es einen wesentlichen reich Verschlüsselung flexible und „agile“ Protokolle
Punkt zu bedenken: Es ist meist nicht möglich, alles und Update-Verfahren verwenden sollten, die zum
auf einmal umzusetzen und quasi auf der „grünen Beispiel eine Umstellung auf Post-Quantum-Krypto-
Wiese“ zu starten. Das wäre der Fall, wenn aus- grafie-Primitive ermöglichen. Das muss auf einfache
schließlich Lösungen, Algorithmen, Verfahren für und schnelle Weise erfolgen, um die Angriffsfläche
den Austausch von Schlüsselmaterial und Zertifikate zu verringern und den Aufwand für den Nutzer in
zum Einsatz kämen, die bereits für das PQC-Zeitalter Grenzen zu halten.6
ausgelegt sind.
Auch das Bundesamt für Sicherheit in der Informa-
Das Amerikanische „National Institute of Standards tionstechnik (BSI) rät dazu, bei der Neu- und Weiter-
and Technology“ (NIST) geht davon aus, dass sie im entwicklung darauf zu achten, dass neue Standards
Jahr 2023 Algorithmen veröffentlichen werden, die und Algorithmen im Bereich Verschlüsselung umge-
gegen Angriffe mit Quantenrechnern resistent sind.5 hend implementiert werden können.7 Der Hintergrund:
Doch ist es aufwändig, vorhandene Schlüssel und Das BSI hat angesichts der schnellen Entwicklung
5 https://csrc.nist.gov/CSRC/media/Presentations/Update-on-the-NIST-Post-Quantum-Cryptography-Proje/images-media/2_post-quan-
tum_dmoody.pdf
6 https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/Practical.PostQuantum.Cryptography_WP_
FraunhoferSIT.pdf?_=1503992279
7 https://www.bsi.bund.de/DE/Publikationen/BSIForumkes/forumkes_node.html;jsessionid=84FC91445F5B5E029EC976F5CF4A882C.2_
cid341
5Produktlebenszyklen können je nach Branche sehr unterschiedlich sein:
Die Automobilindustrie, der Energiesektor, der
öffentliche Sektor, sowie die Bereiche Kritische
Infrastrukturen oder Industrei 4.0 brauchen
durchschnittlich 2-4 Jahre, um Produkte zu
entwerfen, die dann meistens 7 oder mehr
Jahre im Einsatz sind.
Bei Konsumgütern sieht das anders aus: Das
Produktdesign dauert oft nur ein Jahr, ebenso
wie die Verweildauer im Markt. Dennoch kann
die Entwicklung neuer Sicherheits-Architek-
turen und der systematische Einsatz neuer
Algorithmen einige Jahre dauern.
Ein Höchstmaß an Crypto Agility ist alleine wegen der höchst unterschiedlichen Produktzyklen notwendig (Bildquelle: Utimaco)
im Bereich Quantenrechner seine E
mpfehlungen in der Zentrale Rolle von Software
Technischen Richtlinie TR-02102-1 (Kryptographische
Verfahren: Empfehlungen und Schlüssellängen) auf
Development Kits
den Zeitraum bis 2024 begrenzt. Ab dann ist damit Die Frage ist allerdings, wie sich Crypto Agility in
zu rechnen, dass Quantenrechner zumindest einen der Praxis umsetzen lässt. Problematisch ist bei-
Teil der gängigen Verschlüsselungstechnologien spielsweise, dass ein Großteil der Verschlüsselungs-
obsolet machen. Hardware auf dem Markt keine flexible Anpassung an
neue Gegebenheiten ermöglicht. Das Einspielen neuer
Crypto Agility bietet zudem einen weiteren Vorteil: Firmware oder die Implementierung neuer Algorith-
Sie schlägt eine Brücke zwischen Verschlüsselungs- men ist nicht oder nur mit hohem Aufwand möglich.
techniken, die noch nicht „quantensicher“ sind und
solchen, die bereits den neuen Anforderungen genü- Dass dies nicht sein muss, belegen die Hardware‑
gen. Das gilt für Chips, Geheimnisse und Software- Sicherheitsmodule von Utimaco in Verbindung mit
Code. Erste Hybrid-Ansätze, die PQC und bislang dem Utimaco Software Development Kit (SDK).
gängige Kryptografie-Verfahren verwenden, sind in Eine solche Entwicklungsumgebung ermöglicht es
Entwicklung. Google hat bei seinem PQC-Algorithmus bereits heute, Lösungen zu entwickeln, die für die
NewHope diese Vorgehensweise gewählt. Post-Quanten-Ära tauglich sind.8
8 https://hsm.utimaco.com/solutions/applications/post-quantum-crypto-agility/
6Mit dem SDK können Nutzer eigene Algorithmen,
eine maßgeschneiderte Schlüsselableitung oder
komplexe Protokolle erstellen. Zudem lassen sich
neue PQC-Algorithmen und entsprechende Schlüssel
in ein Hardware-Sicherheitsmodul integrieren – ein
flexibler und zukunftssicherer Ansatz. Dies ist einer Unsere HSM sind zukunftssicher, weil
der Gründe, weshalb Großunternehmen die Lösungen
von Utimaco einsetzen.
sich auf einfache Weise neue Ver-
schlüsselungstechnologien und Algo-
Letztlich ist ein Software Development Kit vor dem
Hintergrund der Post-Quanten-Kryptografie unver-
rithmen nachrüsten lassen. Das gilt
zichtbar. Das gilt sowohl für Umgebungen, in denen auch für Verfahren, die Attacken mit
eine symmetrische Verschlüsselung zum Einsatz
kommt, als auch für solche, die asymmetrische Ver-
Quantenrechnern widerstehen.
fahren verwenden.
Malte Pollmann, CEO von Utimaco
Denn bei der symmetrischen Kryptografie gilt es,
viele Schlüssel zu verwalten und Key Derivation
Functions (KDF) in einer sicheren Umgebung zu
implementieren. Letzteres lässt sich am besten
mit einem SDK bewerkstelligen. Ein Beispiel für eine von der NIST als „sicher“ identifiziert werden. Unter-
solche Umgebung ist das Home Location Register nehmen, die mit Public-Key-Infrastrukturen (PKI)
(HLR) im Bereich Mobilfunk, wo mithilfe des SDK arbeiten, um ihre IoT-Geräte zu identifizieren und
die Schlüsselableitungen im HSM umgesetzt zu authentisieren, werden eine Zeitlang Schlüssel
werden. Um solche symmetrischen Kryptografie- auf der Basis von heutigen und zukünftigen, quan-
Verfahren für das PQC-Zeitalter „fit“ zu machen, gilt ten-sicheren Algorithmen parallel nutzen (müssen).
es, zumindest die Schlüssellängen zu verdoppeln. Hierfür ist Flexibilität auf mehreren Ebenen gefordert
– diese bietet unter anderem das Utimaco Software
Bei asymmetrischen Verschlüsselungsverfahren Development Kit und die dazugehörige Scripting-
gibt es noch keine standardisierte PQC-Lösung. Hier Lösung, mit dessen Hilfe neue Algorithmen in ein-
werden voraussichtlich erst 2023 neue Algorithmen gesetzte HSM implementiert werden können.
Die Hardware-Sicherheitsmodule von Utimaco in Verbindung mit einem Software Development Kit (SDK) ermöglicht es bereits heute,
Lösungen zu entwickeln, die für die Post-Quanten-Ära tauglich sind (Bildquelle: Utimaco)
7Anwendungsszenario: nern erweisen, lassen sich neue Firmware-Module
PQC und Hardware-Sicherheitsmodule mit entsprechender Software auf der Hardware
installieren.
Ein Anwendungsszenario einer Post-Quanten-
Kryptografielösung in Verbindung mit Hardware- Wollen Sie mehr über
Sicherheitsmodulen (HSM) hat Microsoft vorgestellt.9
Post-Quantum Crypto erfahren?
Es basiert auf dem Signatur-Verfahren Picnic von
Microsoft und der HSM-Lösung von Utimaco. Dabei Wenn dieses Whitepaper Ihr Interesse geweckt hat
kamen zwei Software-Komponenten zum Einsatz: und Sie mehr über Post-Quantum Crypto, Crypto
Agility und die Implementierung von neuen Algo-
uu Eine Host-Anwendung auf einem Windows-PC und rithmen in HSM wissen möchten, lesen Sie unser
uu Firmware-Module von Microsoft in einem HSM der „Post-Quantum Crypto for Dummies“ Buch.
Reihe SecurityServer Se50 LAN V4 von Utimaco.
Verfügbar ab dem 16. April 2018 auf der RSA Con-
Mithilfe dieser Elemente gelang es Microsoft im ference in San Francisco oder kurze Zeit später
Rahmen eines Research-Projektes zu quantensiche- auf unserer Webseite unter
ren Algorithmen, eine Public-Key-Infrastruktur (PKI) hsm.utimaco.com/downloads/.
mit Signaturen aufzubauen, die nicht mithilfe von
Quantencomputern kompromittiert werden kann.
Der Einsatz neuer Schlüssel und von Signaturen,
die mithilfe eines bislang neuartigen Algorithmus er- Möchten Sie unser HSM ausprobieren
zeugten wurden, stellte für das HSM kein Problem dar.
oder selber neue Algorithmen
Als großer Vorteil der Lösung von Utimaco erwies
implementieren?
sich, dass sich Firmware von externen Anbietern wie Legen Sie los, in dem Sie unseren Simulator her-
Microsoft auf die Systeme aufspielen lässt. Dadurch unterladen. Sie finden ihn über
ist es möglich, bei Bedarf neue kryptografische hsm.utimaco.com/downloads/utimaco-
Algorithmen zu implementieren. Sollten sich bei- portal/hsm-simulator/
spielsweise bestimmte Verschlüsselungstechniken
als anfällig gegenüber Attacken mit Quantenrech- © Utimaco März 2018
9 https://github.com/Microsoft/Picnic/blob/master/spec/design-v1.0.pdf
8Sie können auch lesen
