Die Ära der Post-Quanten-Kryptografie (Post-Quantum Cryptography oder PQC) steht unmittelbar bevor und wir sehen nun ganz deutlich, was die Experten schon lange sagen: Ohne Krypto geht nichts mehr. Fast jede digitalen Verbindung wird durch Kryptografie und PKIs (Public Key Infrastructures) geschützt, um für digitales Vertrauen zu sorgen.

Kryptografisch relevante Quantencomputer (Cryptographically relevant Quantum Computers oder CRQCs) sind so leistungsstark, dass sie aller Wahrscheinlichkeit nach herkömmliche asymmetrische Algorithmen wie RSA und ECC knacken können. Genau hier kommt die Post-Quanten-Kryptografie ins Spiel: Sie nutzt Verschlüsselungsalgorithmen, die auf komplexen mathematischen Berechnungen basieren, die sogar Quantencomputer kaum lösen können. CRQCs werden sehr viel größer und leistungsstärker sein als die Generation von Quantencomputern, die wir heute kennen. Und da es nur eine Frage der Zeit ist, bis sie im Einsatz sind, müssen wir anfangen, auf diese neuen Algorithmen umzustellen.

Der Übergang zur Post-Quanten-Kryptografie bedeutet, dass sämtliche vernetzten Infrastrukturen, die wir in den letzten Jahrzehnten aufgebaut haben, ein komplexes Upgrade erfordern. Zum Glück bleibt uns noch etwas Zeit dafür, aber die Beschäftigung mit diesem Thema und die Planung der Umstellung sollten in Unternehmen, Institutionen und Behörden schon jetzt beginnen. Es ist das Ausmaß dieser Umstellung, das den meisten von uns zu schaffen macht.

Anforderung an US-Behörden: Bestandsaufnahme aller kryptografischen Assets (bis Mai 2023)

Daran wird derzeit gearbeitet und die amerikanische Regierung tut das ihrige, um den Prozess voranzutreiben. Im Herbst 2022 veröffentlichte das ONCD (Office of the National Cyber Director) eine konkrete Anweisung dazu, wie amerikanische Bundesbehörden eine Bestandsaufnahme ihrer kryptografischen Assets vorzunehmen haben, um sich auf die Ära der quantensicheren Kryptografie vorzubereiten. In diesem Dokument, dem National Security Memorandum (NSM) 10, wurde der 4. Mai 2023 als Frist für das Einreichen einer Liste mit einer priorisierten Aufstellung kryptografischer Systeme genannt.

Allerdings ist davon auszugehen, dass diese Frist nicht von allen Behörden eingehalten wurde, was nicht überraschend ist, wenn man bedenkt, wie komplex dieses Unterfangen sein dürfte – nicht nur für Behörden. Damit sind wir wieder bei unserem Thema angelangt: Ohne Krypto geht heutzutage nichts mehr. Es ist eine echte Herausforderung, sich einen Überblick über sämtliche Assets in einer Organisation zu verschaffen, insbesondere, wenn Sie nichts von deren Existenz wissen.

Wie sieht es bei Unternehmen der freien Wirtschaft aus? Zwar wurde ihnen kein konkreter Termin wie der 4. Mai vorgegeben, aber für sie ist es genauso wichtig, ihre kryptografischen Assets proaktiv zu identifizieren und zu verwalten. Jedes Unternehmen, jede Behörde und jede andere Organisation, die mit kryptografischen Assets zu tun hat, muss nun die entsprechenden Schritte einleiten, um sich auf PQC vorzubereiten.

Ein Inventar aller kryptografischen Assets

Als Erstes müssen Sie eine Bestandsaufnahme aller kryptografischen Systeme in Ihrem Unternehmen vornehmen, inklusive Zertifikaten und Algorithmen. Anschließend sollten Sie diese Assets nach Kritikalität priorisieren. Dann können Sie ermitteln, ob Upgrades nötig sind oder Assets ersetzt werden müssen, um Ihre Systeme auch im Zeitalter der quantensicheren Kryptografie zu schützen.

Unter anderem müssen Sie Fragen wie die folgenden beantworten: Welche kryptografischen Assets gibt es in Ihrer Umgebung? Welche Algorithmen verwenden Ihre Zertifikate? Wer hat die Zertifikate ausgestellt und wann laufen sie ab? Welche Domains werden durch diese Zertifikate geschützt? Und welche Software wird mit welchem Schlüssel signiert? Darüber hinaus müssen Sie auch wissen, ob eine Software oder ein Gerät automatisch Updates herunterlädt und ob Verbindungen zu einem Backend-Server bestehen. Finden Sie heraus, ob Assets mit einer Website oder einem Portal verknüpft sind, und wenn ja, ob diese Website oder das Portal von einem Drittanbieter oder Cloud-Provider betrieben wird. Da diese Fragen heutzutage in der Regel alle mit „Ja“ beantwortet werden, müssen Sie von den jeweiligen Anbietern weitere Informationen in Erfahrung bringen: Welche Softwarepakete und Services nutzt Ihr Anbieter? Wer kümmert sich um das Backend? Und so weiter und so weiter.

Einen digitalen Fußabdruck Ihres Unternehmens zu erstellen, ist also keine leichte Aufgabe. Aber leider ist dies unumgänglich, um Ihr Umfeld in einer Welt, in der alles mit allem vernetzt ist, wirksam abzusichern. Denn der Schutz Ihrer Krypto-Assets beginnt mit einem umfassenden Überblick darüber, welche Assets Sie schützen müssen.

Höchste Priorität: Assets, die lange vertrauenswürdig sein müssen

Als Erstes sollten Sie sich um Verschlüsselungsalgorithmen kümmern, die Signaturen mit einer langen Gültigkeit erstellen. Denken Sie dabei an Vertrauensanker oder an Firmware für Geräte mit einer langen Lebensdauer. Natürlich gilt auch hier: Sie benötigen ein Inventar mit allen Softwareanwendungen und Geräten, einschließlich Angaben zur Krypto-Quelle. Wie im NSM 10 betont wird, könnten Angreifer verschlüsselte Daten heute erfassen und aufbewahren, um sie dann in Zukunft zu entschlüsseln, wenn die entsprechende Quantentechnologie verfügbar ist. Diese Strategie nennt sich „Harvest Now, Decrypt Later“. Daher sollten Verschlüsselungsalgorithmen, die auf den langfristigen Schutz von Ressourcen ausgelegt sind, mit höchster Priorität ersetzt werden.

Ausprobieren und Testen von PQC-Algorithmen

Das amerikanische National Institute of Standards and Technology (NIST) hat letztes Jahr Algorithmen für die Standardisierung von PQC-Verfahren festgelegt. An den endgültigen Standards und der technischen Dokumentation mit Empfehlungen zum sicheren Implementieren, Testen und Bereitstellen dieser Algorithmen wird jedoch noch gearbeitet. Und bevor sich diese Algorithmen allgemein durchsetzen, werden vermutlich noch zwei weitere Jahre vergehen. Allerdings müssen die Verfasser kryptografischer Bibliotheken und die Entwickler von Sicherheitssoftware diese Algorithmen schon heute in ihre Produkte integrieren. Unternehmen sollten bereits jetzt prüfen, wie sie die entsprechenden PQC-Algorithmen nutzen können, da die Umstellung nicht ohne Aufwand vonstatten gehen wird.

Unterstützung durch Experten

Wenn Sie sich bei der Identifizierung und Verwaltung Ihrer kryptografischen Assets unterstützen lassen möchten, wenden Sie sich an einen vertrauenswürdigen Anbieter wie DigiCert. Beispielsweise enthält unser PQC-Toolkit ein hybrides Testzertifikat für RSA/PQC. Das Vertriebsteam von DigiCert hilft Ihnen da gern weiter.

Fazit: Zwar ist die Frist zum Einreichen einer Liste der kryptografischen Systeme für Behörden verstrichen, aber für alle anderen Unternehmen, Institutionen und Organisationen bleibt das proaktive Identifizieren und Verwalten ihrer Krypto-Assets nach wie vor ein wichtiges Vorhaben. Die Umstellung auf quantensichere Verschlüsselung ist ein komplexes Unterfangen, doch die Inventarisierung und das Management kryptografischer Ressourcen sind die ersten Schritte auf dem Weg in eine sichere und vertrauenswürdige digitale Zukunft.