Implementierung hybrider Verschlüsselungsverfahren PQC-Einführung kann kompliziert werden

Anbieter zum Thema

Rittal GmbH & Co. KG

DeRZ - Deutsche Rechenzentren GmbH

EPS Rechenzentrum Infrastruktur GmbH

Die Ära der ersten leistungsstarken Quantencomputer, sie rückt näher und näher – und damit auch die Notwendigkeit der Umstellung der Verschlüsselungsverfahren auf Post-Quanten-Kryptografie (PQC). Doch die Einfühung sperrt sich.

IT-Verantwortliche sehen sich mit der komplexen, langwierigen Herausforderung konfrontiert, ihre gesamte Krypto-Landschaft zu erfassen, zu analysieren, den Dringlichkeitsgrad der Umstellung jedes einzelnen Assets zu bestimmen und auf Basis ihrer Ergebnisse einen konkreten Umstellungsplan zu erstellen. Eine hochkomplexe Aufgabe; denn bei der Umstellung allein auf die neuen, vom NIST freigegebenen PQC-Verschlüsselungsstandards zu setzen, ist durchaus nicht immer sinnvoll.

Vorbereitung auf das Quantencomputing

NIST veröffentlicht Post-Quantum-Kryptographie-Standards

Quantencomputer sind bereits jetzt Chance und Gefahr für Rechenzentren

'Harvest now, decrypt later' - die Angreifer lauern

Um die erforderliche Rückwärtskompatibilität mit den eigenen Systemen sicherzustellen und die Leistung der eigenen Systeme nicht zu beeinträchtigen, möglichst rasch für die erforderliche ‚Defense in Depth‘ zu sorgen sowie den bestmöglichen Schutz vor der ‚Harvest Now, Decrypt Later‘-Angriffsstrategie vieler Cyber-Krimineller zu ermöglichen, ist es – in vielen Fällen – durchaus sinnvoll, stattdessen hybride Verschlüsselungsverfahren zum Einsatz zu bringen.

Das gilt etwa in Multi-Vendor- und komplexen Systemen, die bereits auf klassischer Kryptographie basieren und nicht von Grund auf neu aufgebaut werden sollen oder können. In Systemen mit hohen und sehr hohen Sicherheitsanforderungen – Stichwort KRITIS – und solchen mit Daten, die über lange und sehr lange Zeiträume vertraulich behandelt werden müssen.

Das Prinzip

Das Prinzip hybrider Verschlüsselungsverfahren ist rasch erklärt: Klassische Algorithmen, die sich bereits über Jahrzehnte in der Praxis bewährt haben, werden mit den neuen, quantenresistenten Algorithmen kombiniert, Inhalte quasi doppelt verschlüsselt. Mittels einer solchen hybriden Verschlüsselung können dann sowohl die Abwärtskompatibilität mit bestehenden Clients als auch der für das kommende Quantenzeitalter erforderliche Grad an Quantenresistenz erfolgreich sichergestellt werden.

Allerdings: Die Umstellung auf Hybridverfahren gestaltet sich in aller Regel komplexer als die Umstellung auf reine PQC-Verfahren. Zu Mehraufwand kommt es etwa in den Bereichen:

Protokolldesign und Kombinationslogik - eine Hybridisierungsschicht, die präferierte Hybridisierungsart und eine Kompatibilitätslogik müssen eingerichtet und abgesichert werden

Overhead und Performance - ein doppelter Overhead wird benötigt; die Datenpakete sind größer; die Optimierungsstrategien sind komplexer und erfordern mehr Aufwand

Fehler-Management und Resilienz - beides gestaltet sich in aller Regel komplexer

Implementierung und Testläufe - der Implementierungsaufwand ist höher, der Testaufwand komplexerer; eine ausgeprägtere Krypto-Agilität wird benötigt

Kompatibilität und Standardisierung - da es sich um eine Übergangs- und keine Endlösung handelt, sind mehrere Migrationsschritte erforderlich

All dies im Griff zu behalten, mag auf den ersten Blick schwer – zu aufwendig – erscheinen, lässt sich aber, unter Zuhilfenahme einer automatisierten Anwendung zum Management der Public Key Infrastructure (PKI), durchaus erfolgreich – und arbeitskraftsparend – umsetzen. Mithilfe einer solchen Software ist die eigene Verschlüsselungslandschaft umfassend kartographierbar, analysierbar und lässt sich systematisch auf neue Verfahren – von PQC bis Hybrid – umstellen. So kann die Vorbereitung der Verschlüsselung für das nahende Quantenzeitalter auch in Systembereichen mit hohen Anforderungen an Betriebskontinuität und Sicherheit erfolgreich umgesetzt werden.

(ID:50477417)