By IQT-Nachrichten gepostet am 12. Oktober 2022
(Vom Team Post-Quantum) Quantencomputer sind die größte existenzielle Bedrohung für die Informationssicherheit der Welt. Sobald eine ausreichend leistungsfähige Maschine entsteht, werden die Standards der Public-Key-Kryptographie (PKC), die derzeit die digitale Welt schützen, augenblicklich obsolet sein und ganzen Branchen unermesslichen Schaden zufügen – von der nationalen Sicherheit über das Bankwesen bis hin zu Versorgungsnetzen.
Obwohl das genaue Datum, an dem PKC gebrochen wird, nicht bekannt ist, ist die Gefahr, dass Angreifer jetzt Daten sammeln, um sie zu entschlüsseln, wenn eine ausreichend leistungsstarke Maschine auftaucht (auch bekannt als Harvest Now, Decrypt Later), real und besteht bereits heute.
Angesichts der Dringlichkeit des Problems haben Regierungen und Regulierungsbehörden begonnen, Maßnahmen zu ergreifen, insbesondere in den Vereinigten Staaten. Aber was bedeuten diese Maßnahmen in der Praxis und welche Schritte können die am stärksten gefährdeten Organisationen unternehmen, um voranzukommen?
Regierungen fordern Maßnahmen
Das Jahr 2022 war ein wichtiger Meilenstein in der Zukunft der Post-Quanten-Sicherheit.
Nach mehr als sechs Jahren der Beratung wurde die National Institute of Standards and Technology (NIST) stellte im Juli seine Empfehlungen für die Standardisierung neuer quantenresistenter Algorithmen vor. KRISTALLE-Kyber wurde für die allgemeine Verschlüsselung ausgewählt und KRISTALLE-Dilithium, FALCON und SPHINCS + wurden für digitale Signaturen ausgewählt.
NIST hat außerdem vier weitere Kandidaten zur weiteren Prüfung vorgeschlagen, darunter Classic McEliece, eine gemeinsame Einreichung unseres Teams bei Post-Quantum. Deutschlands nationale Cyber-Sicherheitsbehörde, bekannt als BSIund der Niederländisches Äquivalent, empfehlen Unternehmen aufgrund seiner unübertroffenen Sicherheitsmerkmale bereits die Verwendung und Bereitstellung von Classic McEliece.
Während die europäischen Regierungen beginnen, Maßnahmen zu ergreifen, haben auch die USA begonnen, Maßnahmen zu ergreifen. Im Mai veröffentlichte die Biden-Regierung das Nationale Sicherheitsmemorandum 10. Das Memo legte unter anderem die Richtung fest, die US-Regierungsbehörden einschlagen müssen, um anfällige kryptografische Systeme auf quantenresistente umzustellen Kryptographie.
Einige Monate später wurde im Repräsentantenhaus der Quantum Computing Cybersecurity Preparedness Act verabschiedet, der im April 2022 eingeführt wurde. Ähnlich wie Bidens Memo zielt der Gesetzentwurf darauf ab, die Migration der Informationssysteme von Exekutivbehörden auf Post-Quantenkryptographie (PQC) zu regeln. Es schreibt vor, dass Bundesbehörden eine Bestandsaufnahme der Elemente für den Übergang zu den neuen Standards erstellen müssen, und das OBM (Office of Budget & Management) erhält ein Jahr Zeit, um ein Budget und eine Strategie für den Übergang weg von der aktuellen Kryptografie vorzubereiten Standards. Die Behörden wären außerdem verpflichtet, diese Systeme jährlich zu aktualisieren, und der Kongress würde eine jährliche Statusbesprechung erhalten.
Im Anschluss daran veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) eine Reihe von Richtlinien für Organisationen kritischer Infrastrukturen, die einen reibungslosen Übergang anstreben. Obwohl es unwahrscheinlich ist, dass der endgültige Standard des NIST vor 2024 bestätigt wird, hat die CISA ein Dokument veröffentlicht: „Vorbereitung kritischer Infrastruktur für die Post-Quantum-Kryptographie“ – Betonung der Notwendigkeit, dass kritische Infrastrukturen jetzt mit der Migration beginnen, um die Risiken von Quantencomputern und HNDL-Angriffen zu mindern.
Wichtig ist, dass das CISA mit seinen Bemühungen, den Vorteil hervorzuheben, der jetzt mit der Migration einhergeht, nicht allein ist. Das Department of Homeland Security (DHS) veröffentlichte seine eigenen „Roadmap für Post-Quantenkryptographie“ und betonte die Notwendigkeit, sofort mit der Grundsteinlegung zu beginnen Cloud-Sicherheitsallianz (CSA) hat eine Frist bis April 2030 festgelegt, bis zu der alle Unternehmen eine Post-Quantum-Infrastruktur implementiert haben sollten.
Nächste Schritte für Bundesbehörden und darüber hinaus
Da Regierungen und Regulierungsbehörden beginnen, Maßnahmen zu fordern, insbesondere wenn es um die Abwanderung wichtiger Regierungsbehörden und Industriezweige geht, steigen die Kosten der Untätigkeit.
Aber was sollten Sie neben den Roadmaps und der klaren anfänglichen Notwendigkeit einer Bestandsaufnahme darüber, wo PKC heute eingesetzt wird, noch bedenken?
- Priorisieren Sie Krypto-Agilität, Interoperabilität und Abwärtskompatibilität
Wenn Sie über den Übergang nachdenken, ist es wichtig, die folgenden drei Konzepte im Hinterkopf zu behalten, um sicherzustellen, dass Sie Sicherheit und Agilität in Einklang bringen.
- Verwendung interoperabler Lösungen: So können Sie eine sichere Kommunikation mit Partnern aufbauen, unabhängig von den verwendeten Verschlüsselungsalgorithmen.
- Gewährleistung der Abwärtskompatibilität: So kann die quantensichere Verschlüsselung nahtlos in Ihre bestehenden IT-Systeme eingeführt werden.
- Krypto-Agilität üben: Sie können also jede beliebige Kombination der Post-Quantum-Algorithmen des NIST oder der herkömmlichen Verschlüsselung verwenden
- Führen Sie Produkte ein, die diese Konzepte widerspiegeln, um ein höheres Maß an Flexibilität zu erreichen
Sobald ein Lösungsanbieter ausgewählt wurde, ist es wichtig zu überlegen, ob die von ihm angebotenen Produkte diese Säulen in das Design integrieren.
Ein Beispiel für einen Einführungsschritt in der Post-Quantum-Migration ist die Auswahl eines quantensicheren Virtual Private Network (VPN), um den Datenkommunikationsfluss über das öffentliche Internetnetzwerk zu sichern. Post-Quantums‘Hybrides Post-Quantum-VPNwurde kürzlich von der NATO erfolgreich getestet und kombinierte neue quantensichere und traditionelle Verschlüsselungsalgorithmen, um ein interoperables System aufrechtzuerhalten.
- Vernachlässigen Sie die Identität nicht – Sie sollten sogar damit beginnen
Sie könnten Ihre gesamte andere Verschlüsselung sichern, aber wenn jemand auf Ihr Identitätssystem zugreifen kann, spielt es keine Rolle, was Sie sonst noch tun – Ihre Systeme werden denken, dass es sich um die richtige Person handelt, sodass diese „legitimen“ Zugriff auf Ihre Systeme erhalten kann und Infrastruktur.
Das heißt, es macht wenig Sinn, Ihre gesamte Infrastruktur zu sichern, wenn Sie nicht auch an die Identität gedacht haben, und wenn Sie am Front-End des Informationssicherheits-Ökosystems beginnen, können Sie auch eines der historisch schwierigsten Systeme angehen, die ein Unternehmen aktualisieren muss oder ersetzen.
In Zukunft muss unsere gesamte digitale Infrastruktur durchgängig quantensicher sein. Wenn Sie sich jedoch nicht sicher sind, wo Sie anfangen sollen, sollte die Identität jetzt der wichtigste Gesichtspunkt sein, da sie der Schlüssel zum Schloss ist.
GESPONSERT
Post-Quantum ist der Diamant-Sponsor der kommenden Jahre IQT Quantum Cybersecurity-Veranstaltung in NYC, 25.–27. Oktober 2022. CEO Andersen Chang wird die Eröffnungsrede halten.
