Kryptografie
Post-Quantum-Kryptographie: Die Herausforderung für Unternehmen und die Rolle von Keyfactor
Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor
Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor, beleuchtet ein Thema, das die Cyber Security-Strategien von Unternehmen weltweit grundlegend verändern wird. Vor rund zwei Monaten veröffentlichte das National Institute of Standards and Technology (NIST) einen ersten Entwurf mit dem Titel „Transition to Post-Quantum Cryptography Standards “.
Die zentrale Aussage: Viele aktuelle Verschlüsselungssysteme wie RSA, ECDSA, EdDSA, DH und ECDH werden ab 2030 als veraltet gelten und ab 2035 nicht mehr zugelassen sein.
In nahezu allen sicherheitsrelevanten Bereichen eines Unternehmens kommen Verschlüsselungssysteme zum Einsatz – sei es zum Schutz von Software, digitalen Identitäten, Netzwerken, E-Mail-Verkehr oder allgemeinen Datenströmen. Doch viele dieser Algorithmen basieren auf mathematischen Problemen, die von klassischen Computern nur mit großem Aufwand gelöst werden können. Quantencomputer hingegen sind in der Lage, diese Probleme in deutlich kürzerer Zeit zu knacken.
Die Konsequenz: Mit der Entwicklung leistungsstarker Quantencomputer wird die Sicherheit des globalen digitalen Ökosystems massiv gefährdet – es sei denn, Unternehmen schaffen es, rechtzeitig auf quantensichere Verschlüsselungsverfahren umzusteigen.
Was bedeute nun die Bekanntmachung des NIST (auch wenn es sich hier ‚nur‘ um einen ersten öffentlichen Entwurf handelt)? Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden. Die erforderlichen Prozesse müssen eingeleitet werden – nicht irgendwann, sondern jetzt. Der für die Umstellung zur Verfügung stehende Zeitraum scheint auf den ersten Blick lang. 9 Jahre. Die meisten Sicherheitsverantwortlichen, das zeigte auch wieder der diesjährige 2024 PKI & Digital Trust Report , gehen fälschlicherweise davon aus, ihre PQC-Umstellung in vier bis sechs Jahren bewältigen zu können. Wer jedoch schon einmal ein Verschlüsselungssystem umgestellt hat, weiß: der Prozess ist komplex und in aller Regel weitaus zeitaufwendiger. Erinnert sei hier nur an die zu Beginn dieses Jahrtausends vom NIST befürwortete Umstellung von SHA-1 auf SHA-2. In vielen Unternehmen hatte sie am Ende mehr als 12 Jahre in Anspruch genommen.
Sicherheitsverantwortliche und ihre Teams sollten deshalb jetzt mit ihrer Umstellung beginnen – und folgende Aufgaben in Angriff nehmen:
-
Erstellung eines Inventars sämtlicher von einer Umstellung betroffenen Assets und ihrer Zertifikate.
-
Modernisierung der PKI- und Signaturinfrastruktur sowie sämtlicher kryptografischen Bibliotheken, um die Umstellung auf die neuen NIST-standardisierten quantensicheren Algorithmen zu erleichtern.
-
Einsatz von PQC-Laboren , um die mit den neuen Algorithmen ausgestatteten quantensicheren Zertifikate vor ihrer Implementierung eingehend in einer PKI-Sandbox zu testen.
- Implementierung und Anwendung von PKI/CLM-Lösungen mit leistungsstarken Automatisierungsfunktionen zur Verwaltung und massenhaften Umsetzung der Zertifikatsmigration – sei es durch Orchestrierung oder Protokolle.
Sämtlichen Sicherheitsverantwortlichen kann nur geraten werden, diese Maßnahmen möglichst frühzeitig in die Wege zu leiten. 9 Jahre sind keine lange Zeit. Und was häufig vergessen wird: Nicht wenige Cyberkriminelle sind den Verteidigern längst einen Schritt voraus. Schon heute stehlen sie unbemerkt von der Cybersicherheit massenweise verschlüsselte, sensible Daten und lagern sie ein. Sie können warten und tun es. Darauf, dass ihnen in zehn bis zwanzig Jahren die ersten Quantencomputer zur Verfügung stehen werden. Rückwirkend werden sie dann die entwendeten Daten – darunter mit hoher Wahrscheinlichkeit auch hochsensible Geschäftsdaten – in näheren Augenschein nehmen können. Sicherheitsbeauftragte tun deshalb gut daran, ihre PQC-Umstellung so früh wie möglich in die Wege zu leiten. Ganz wird sich der Schaden nicht verhindern lassen, eindämmen aber zumindest schon.
