Neuigkeiten vom NIST Die Weiterentwicklung von Post-Quanten-Algorithmen

Anbieter zum Thema

Schneider Electric GmbH

VMware Global Inc Zweigndl. Deutschland

Fujitsu Technology Solutions GmbH

Utimaco Safeware AG

Die Bedrohung steht seit längerem im Raum: In Zukunft könnten Quantencomputer kryptographische Algorithmen, die aktuell als sicher gelten, brechen. Es müssen also neue, quantensichere Algorithmen her. Das amerikanische National Institute of Standards and Technology ist hier federführend, was Evaluation und Standardisierung angeht.

Die US-Bundesbehörde National Institute of Standards and Technology (NIST) hat bereits vor einigen Jahren einen Prozess zur Definition/Bewertung von Quanten-resistenten Algorithmen ins Leben gerufen. Die potenziellen Kandidaten wurden in verschiedenen Runden ausgewählt.

Bei der ersten Aufforderung zur Einreichung von Vorschlägen wurden mehr als 80 Algorithmen vorgeschlagen, wovon einige bereits recht früh ausschieden. Grund dafür war, dass mathematisch Angriffe für Quantencomputer entwickelt wurden, die die Algorithmen brechen oder stark schwächen konnten.

Die vier Auserwählten

Das NIST führte eine erste und eine zweite Bewertungsrunde durch und hat nun eine dritte Runde abgeschlossen. Runde für Runde wurde die Zahl der in Frage kommenden Algorithmen verringert. Am Ende der dritten Runde sind nun vier Algorithmen ausgewählt worden, die definitiv standardisiert werden sollen. Das NIST wählte dabei den Algorithmus CRYSTALS-KYBER für die Schlüsselvereinbarung und drei Algorithmen (CRYSTALS-Dilithium, FALCON sowie SPHINCS+) für die Signaturerstellung aus.

Es ist hierbei wichtig, dass passende Algorithmen gefunden werden für verschiedene kryptographische Herausforderungen, zum Beispiel für Verschlüsselung und digitale Signaturen, die wiederum passend sind für unterschiedliche Märkte, etwa vom IoT Device bis Cloud Server, und aus Sicherheitsgründen auf unterschiedlichen mathematischen Problemen basieren. Somit wird ein Fallback geschaffen, für den Fall, dass es Mathematikern gelingt, das grundlegende mathematische Problem anzugreifen.

Deswegen ist die Arbeit der Organisation auf dem Feld der quantensicheren Kryptografie noch nicht beendet: Weitere Algorithmen sollen in einer vierten Runde ausgewählt und standardisiert werden. Der genaue Zeitplan für die vierte Runde steht noch nicht fest, aber es wird mindestens noch ein oder zwei Jahre dauern. Parallel dazu wird die Standardisierung der bereits ausgewählten Algorithmen fortgesetzt.

Das Fortführen der Arbeit bleibt wichtig

Das NIST wird im Zuge dessen neue Standardentwürfe für die ausgewählten Algorithmen erstellen und sich mit den Einreichungsteams abstimmen, um sicherzustellen, dass die Standards den Spezifikationen entsprechen. Sobald die Entwürfe für die Standards fertig sind, werden sie zur Stellungnahme durch externe Experten veröffentlicht.

Nach Ablauf der Kommentierungsfrist wird das NIST die Standardentwürfe auf der Grundlage der eingegangenen Rückmeldungen nochmals überarbeiten. Es folgt ein abschließendes Überprüfungs-, Genehmigungs- und Verlautbarungsverfahren.

Wie wichtig die laufende Beschäftigung mit Quantenalgorithmen über längere Zeiträume ist, verdeutlicht ein aktuelles Beispiel: So ist es erst kürzlich Mathematikern gelungen, den SIKE-Algorithmus zu brechen, der vom NIST für die vierte Runde der Evaluation ausgesucht worden war.

Wie werden die Algorithmen geprüft?

Die Crux an der Post-Quanten-Kryptografie ist, dass die Algorithmen bereits entwickelt werden müssen, bevor die Bedrohung, das heißt: die Quantencomputer, einsatzfähig ist. Die Möglichkeit, die Schutzmechanismen an der realen Gefahr zu testen, entfällt somit.

Die Überprüfung erfolgt daher mathematisch durch Krypto-Analyse. Nicht nur das NIST führt die Analysen durch, sondern bittet auch ein breites Fachpublikum, Vorschläge einzureichen und zur Bewertung beizutragen.

Es gibt viele Krypto-Analytiker, die an der Definition beteiligt waren, und diese Experten sehen sich auch die Vorschläge anderer Teams an, um deren Sicherheit zu bewerten. Dieser Prozess erfolgt nach wie vor durch theoretische Analyse auf der Grundlage des Wissens über die Schwierigkeit der Operationen, falls kein praktischer Angriff möglich ist.

Gitter- und Hash-Funktionen

Drei der vier ausgewählten Algorithmen verwendeten so genannte Gitter, was aus mathematischer Sicht ein schwieriges Problem darstellt. Einer der Algorithmen (SPHINX+), der als Backup ausgewählt wurde, basiert auf Hash-Funktionen.

Bei all den Prüfungen, denen die Algorithmen unterzogen wurden, musste sichergestellt werden, dass es einen Algorithmus gibt, der es aushält, dass eine schnelle Lösung für das zugrundeliegende Problem gefunden wird, und der trotzdem sicher ist, da zwei verschiedene mathematische Probleme verwendet werden. In diesem Szenario wäre immer noch ein sicherer Algorithmus vorhanden, der auf Hash-Funktionen basiert, selbst wenn die gitterbasierten Algorithmen gebrochen würden und umgekehrt. Dies ist der Hauptgrund, warum der Hash-Funktions-Algorithmus ausgewählt wurde.

PQC in der Praxis

In den vergangenen drei Jahren haben wir bei Utimaco bereits mehrere Proof-of-Concept-Implementierungen durchgeführt. Wir haben uns mit einigen der vorgeschlagenen Algorithmen vertraut gemacht und konnten Erfahrungen im Umgang mit den sich daraus ergebenden komplexeren Schlüsseln sammeln.

Darüber hinaus verfügen wir bereits über eine Software-Erweiterung für unsere Hardware-Sicherheitsmodule (HSM), die die Algorithmen KYBER und Dilithium unterstützen, sowie über zwei Hash-basierte Signaturverfahren. Das NIST priorisiert KYBER und Dilithium, was sich auch mit unserer eigenen Einschätzung deckt – Utimaco hat sich bisher vor allem mit diesen beiden Algorithmen befasst. In Zukunft werden wir an der Unterstützung von weiteren Algorithmen arbeiten.

Krypto-Agilität ermöglicht dabei, dass neue Algorithmen auf entsprechend vorbereitete HSM eingesetzt werden können. Alle neuen kryptografischen Vorgänge, wie Signaturen oder Verschlüsselungen, die damit ausgelöst werden, können dann auf quantensicheren Verfahren aufgesetzt werden. Nutzer müssen allerdings bedenken, dass dies nicht für bestehende Dokumente in ihren Systemen gilt. Als Teil einer PQC-Strategie müssen also wichtige Dokumente im Bestand eventuell resigniert oder neu verschlüsselt werden.

* Nils Gerhardt ist Chief Technology Officer von Utimaco.

(ID:48561651)