PQC-Verschlüsselung nicht auf lange Bank schieben

Was bedeutet der Entwurf “Transition to Post-Quantum Cryptography Standards” des National Institute of Standards and Technology (NIST) für Unternehmen?
In praktisch allen sensiblen und gefährdeten Bereichen eines Unternehmens kommen heutzutage Verschlüsselungssysteme zum Einsatz. Das Problem: Viele der hierbei genutzten Algorithmen basieren auf mathematischen Problemen, die von klassischen Computern nur schwer – mit langer Rechenzeit – von Quantencomputern aber relativ leicht – mit deutlich kürzerer Rechenzeit – gelöst werden können. Das Sicherheitsniveau des globalen digitalen Ökosystems – hiervon ist auszugehen – wird vom Auftauchen der ersten Quantencomputer mit ausreichend Qubits, stark in Mitleidenschaft gezogen werden – sofern es Unternehmen nicht gelingt, ‚rechtzeitig‘ eine Umstellung auf quantensichere Verschlüsselungsverfahren vorzunehmen.
Veraltete Verschlüsselungssysteme
Viele derzeit zugelassene quantencomputeranfällige Verschlüsselungssysteme, wie RSA, ECDSA, EdDSA, DH und ECDH, werden daher vom NIST ab 2030 als veraltet eingestuft werden, ab 2035 nicht mehr zugelassen sein. Auch wenn es sich ‚nur‘ um einen ersten öffentlichen Entwurf des NIST handelt, kann die Umstellung auf Quantenkryptographie in Unternehmen nicht länger auf die lange Bank geschoben werden. Die erforderlichen Prozesse müssen jetzt eingeleitet werden, auch wenn der für die Umstellung zur Verfügung stehende Zeitraum auf den ersten Blick mit 9 Jahren lange scheint.
Die meisten Sicherheitsverantwortlichen gehen fälschlicherweise davon aus, ihre PQC-Umstellung in vier bis sechs Jahren bewältigen zu können. Wer jedoch schon einmal ein Verschlüsselungssystem umgestellt hat, weiß: der Prozess ist komplex und in aller Regel weitaus zeitaufwendiger. Erinnert sei hier nur an die zu Beginn dieses Jahrtausends vom NIST befürwortete Umstellung von SHA-1 auf SHA-2. In vielen Unternehmen hatte sie am Ende mehr als 12 Jahre in Anspruch genommen.
Inventarliste und PKI-Modernisierung
Sicherheitsverantwortliche und ihre Teams sollten deshalb jetzt mit ihrer Umstellung beginnen – und folgende Aufgaben in Angriff nehmen:
1. Erstellung eines Inventars sämtlicher von einer Umstellung betroffenen Assets und ihrer Zertifikate.
2. Modernisierung der PKI- und Signaturinfrastruktur sowie sämtlicher kryptografischen Bibliotheken, um die Umstellung auf die neuen NIST-standardisierten quantensicheren Algorithmen zu erleichtern.
3. Einsatz von PQC-Laboren, um die mit den neuen Algorithmen ausgestatteten quantensicheren Zertifikate vor ihrer Implementierung eingehend in einer PKI-Sandbox zu testen.
4. Implementierung und Anwendung von PKI/CLM-Lösungen mit leistungsstarken Automatisierungsfunktionen zur Verwaltung und massenhaften Umsetzung der Zertifikatsmigration – sei es durch Orchestrierung oder Protokolle.
Cyberkriminelle warten auf Quantencomputing
Was häufig vergessen wird: Nicht wenige Cyberkriminelle sind den Verteidigern längst einen Schritt voraus. Schon heute stehlen sie unbemerkt von der Cybersicherheit massenweise verschlüsselte, sensible Daten und lagern sie ein. Sie können darauf warten, dass ihnen in zehn bis zwanzig Jahren die ersten Quantencomputer zur Verfügung stehen werden. Rückwirkend werden sie dann die entwendeten Daten – darunter mit hoher Wahrscheinlichkeit auch hochsensible Geschäftsdaten – in näheren Augenschein nehmen können. Sicherheitsbeauftragte tun deshalb gut daran, ihre PQC-Umstellung so früh wie möglich in die Wege zu leiten. Ganz wird sich der Schaden nicht verhindern lassen, eindämmen aber zumindest schon.
Johannes Goldbach
ist Sales Director DACH & CZ bei Keyfactor.