Heutzutage werden fast alle Daten im Internet, einschließlich Banktransaktionen, Krankenakten und sichere Gespräche, durch ein Verschlüsselungssystem namens RSA (benannt nach seinen Erfindern Rivest, Shamir und Adleman) geschützt. Dieses System basiert auf einer einfachen Tatsache: Es ist praktisch unmöglich, die Primfaktoren einer großen Zahl in angemessener Zeit zu berechnen, selbst auf dem leistungsstärksten Supercomputer der Welt. Leider wäre diese Aufgabe für große Quantencomputer, wenn sie gebaut würden, einfach und würde die Sicherheit des gesamten Internets gefährden.
Glücklicherweise sind Quantencomputer den klassischen Computern nur in einer bestimmten Problemkategorie überlegen, und es gibt viele Verschlüsselungsverfahren, bei denen Quantencomputer keinen Vorteil bieten. Heute gab das US-amerikanische National Institute of Standards and Technology (NIST) die Standardisierung von drei Post-Quanten-Kryptographie-Verschlüsselungsschemata bekannt. Unter Berücksichtigung dieser Standards ermutigt NIST IT-Systemadministratoren, so schnell wie möglich mit dem Übergang zur Post-Quanten-Sicherheit zu beginnen.
„Unsere Aufgabe besteht nun darin, das Protokoll in jedem Gerät zu ersetzen, was keine leichte Aufgabe ist. » –Lily Chen, NIST
Diese Standards werden wahrscheinlich ein wichtiger Teil der Zukunft des Internets sein. Die früheren Kryptografiestandards des NIST, die in den 1970er Jahren entwickelt wurden, werden in fast jedem Gerät verwendet, einschließlich Internet-Routern, Telefonen und Laptops, sagt Lily Chen, Managerin der Kryptografiegruppe des NIST, die den Standardisierungsprozess leitete. Aber die Adoption wird nicht über Nacht erfolgen.
„Heutzutage wird die Kryptografie mit öffentlichen Schlüsseln überall in jedem Gerät verwendet“, sagt Chen. „Unsere Aufgabe besteht nun darin, das Protokoll in jedem Gerät zu ersetzen, was keine leichte Aufgabe ist. »
Warum wir jetzt Post-Quanten-Kryptographie brauchen
Die meisten Experten gehen davon aus, dass es mindestens ein Jahrzehnt dauern wird, bis große Quantencomputer gebaut werden. Warum ist NIST heute über diese Situation besorgt? Es gibt zwei Hauptgründe.
Erstens wird erwartet, dass viele Geräte, die RSA-Sicherheit verwenden, wie Autos und einige IoT-Geräte, mindestens ein Jahrzehnt lang in Betrieb bleiben. Sie müssen daher vor dem Inverkehrbringen mit einer quantensicheren Kryptographie ausgestattet werden.
„Für uns geht es nicht darum, abzuwarten, was passiert. Wir wollen schnellstmöglich bereit sein und Lösungen umsetzen. » —Richard Marty, LGT Financial Services
Zweitens könnte ein Angreifer heute möglicherweise verschlüsselte Daten herunterladen und speichern und sie entschlüsseln, sobald ein ausreichend leistungsfähiger Quantencomputer online geht. Dieses Konzept heißt „Jetzt ernten, später entschlüsseln“ und stellt naturgemäß heute eine Bedrohung für sensible Daten dar, selbst wenn diese Daten erst in Zukunft entschlüsselt werden können.
Sicherheitsexperten aus verschiedenen Branchen beginnen, sich der Bedrohung durch Quantencomputer bewusst zu werden„Im Ernst“, sagt Joost Renes, leitender Sicherheitsarchitekt und Kryptograf bei NXP Semiconductors. In den Jahren 2017 und 2018 wurde gefragt, was ein Quantencomputer sei. Heute fragen sie sich, wann PQC-Standards herauskommen und welche wir implementieren sollten? »
Richard Marty, technischer Leiter bei LGT Financial Services, stimmt dem zu. „Für uns geht es nicht darum, abzuwarten, was passiert. Wir möchten so schnell wie möglich bereit sein und Lösungen umsetzen, um zu vermeiden, dass Daten jetzt gesammelt und später entschlüsselt werden. »
NIST-Wettbewerb um den besten Quantensicherheitsalgorithmus
Im Jahr 2016 kündigte NIST einen öffentlichen Wettbewerb für den besten PQC-Algorithmus an. Es gingen 82 Bewerbungen von Teams aus 25 verschiedenen Ländern ein. Seitdem hat NIST vier Ausscheidungsrunden durchgeführt und die Zahl der konkurrierenden Algorithmen im Jahr 2022 letztendlich auf vier reduziert.
Dieser langwierige Prozess war eine Gemeinschaftsanstrengung, bei der das NIST Beiträge aus der Kryptographie-Forschungsgemeinschaft, der Industrie und Regierungsakteuren einholte. „Die Industrie hat sehr wertvolles Feedback gegeben“, sagt Chen vom NIST.
Diese vier Gewinneralgorithmen hatten eindrucksvolle Namen: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ und FALCON. Leider haben diese Namen die Standardisierung nicht überlebt: Die Algorithmen sind jetzt als Federal Information Processing Standard (FIPS) 203 bis 206 bekannt. FIPS 203, 204 und 205 stehen im Mittelpunkt der heutigen Ankündigung des NIST. FIPS 206, der bisher als FALCON bekannte Algorithmus, soll Ende 2024 standardisiert werden.
Algorithmen lassen sich in zwei Kategorien einteilen: allgemeine Verschlüsselung, die zum Schutz der über ein öffentliches Netzwerk übertragenen Informationen verwendet wird, und digitale Signatur, die zur Authentifizierung von Personen verwendet wird. Digitale Signaturen seien für die Verhinderung von Malware-Angriffen unerlässlich, sagt Chen.
Jedes Kryptografieprotokoll basiert auf einem mathematischen Problem, das schwer zu lösen, aber leicht zu überprüfen ist, sobald Sie die richtige Antwort haben. Bei RSA geht es darum, große Zahlen in zwei Primzahlen zu zerlegen. Es ist schwierig, diese beiden Primzahlen zu bestimmen (für einen typischen Computer), aber sobald man eine hat, ist es einfach, sie zu dividieren und die andere zu erhalten.
„Wir haben einige Beispiele dafür [PQC]Aber für einen vollständigen Übergang kann ich Ihnen keine Zahlen nennen, aber es gibt viel zu tun. —Richard Marty, LGT Financial Services
Zwei der drei vom NIST bereits standardisierten Schemata, FIPS 203 und FIPS 204 (sowie das kommende FIPS 206), basieren auf einem anderen schwierigen Problem, der sogenannten Trellis-Kryptographie. Die Gitterkryptographie beruht auf dem kniffligen Problem, das kleinste gemeinsame Vielfache aus einer Menge von Zahlen zu finden. Normalerweise wird dies in vielen Dimensionen oder auf einem Gitter implementiert, wobei das kleinste gemeinsame Vielfache ein Vektor ist.
Das dritte standardisierte System, FIPS 205, basiert auf Hash-Funktionen, also der Umwandlung einer Nachricht in eine verschlüsselte Zeichenfolge, die schwer rückgängig zu machen ist.
Die Standards umfassen den Computercode für Verschlüsselungsalgorithmen, Anweisungen für deren Implementierung und vorgesehene Verwendungszwecke. Für jedes Protokoll gibt es drei Sicherheitsstufen, die darauf ausgelegt sind, die Standards zukunftssicher zu machen, falls Schwachstellen oder Schwachstellen in den Algorithmen entdeckt werden.
Die Lattice-Kryptographie übersteht Sicherheitslückenwarnungen
Anfang des Jahres alarmierte ein auf arXiv veröffentlichter Vorabdruck die PQC-Community. Das von Yilei Chen von der Tsinghua-Universität in Peking verfasste Papier soll zeigen, dass die Gitterkryptographie, die Grundlage von zwei der drei NIST-Protokolle, tatsächlich nicht immun gegen Quantenangriffe ist. Bei näherer Betrachtung stellte sich heraus, dass Yilei Chens Argument einen Fehler aufwies – und die Gitterkryptographie gilt immer noch als sicher gegen Quantenangriffe.
Einerseits verdeutlicht dieser Vorfall das zentrale Problem aller kryptografischen Systeme: Es gibt keinen Beweis dafür, dass die mathematischen Probleme, auf denen diese Systeme basieren, tatsächlich „schwierig“ sind. Der einzige Beweis, selbst für Standard-RSA-Algorithmen, ist, dass Menschen schon seit langem versuchen, die Verschlüsselung zu knacken, und alle sind gescheitert. Da Post-Quanten-Kryptographiestandards, einschließlich der Gitterkryptographie, neuer sind, ist es weniger sicher, dass niemand einen Weg finden wird, sie zu knacken.
Allerdings stärkt das Scheitern dieses letzten Versuchs nur die Glaubwürdigkeit des Algorithmus. Der Fehler in der Argumentation des Artikels wurde innerhalb einer Woche entdeckt, was darauf hindeutet, dass es eine aktive Expertengemeinschaft gibt, die an diesem Problem arbeitet. „Das Ergebnis dieser Arbeit ist ungültig, was bedeutet, dass die gitterbasierte Kryptographie immer noch sicher ist“, sagt Lily Chen vom NIST (keine Beziehung zu Yilei Chen von der Tsinghua-Universität). „Die Leute haben sich sehr bemüht, diesen Algorithmus zu knacken. Viele Leute geben sich große Mühe, und das gibt uns Selbstvertrauen. »
Die Ankündigung des NIST ist aufregend, aber die Umstellung aller Geräte auf die neuen Standards hat gerade erst begonnen. Es wird Zeit und Geld kosten, die Welt vollständig vor der Bedrohung zukünftiger Quantencomputer zu schützen.
„Wir haben 18 Monate mit der Umstellung verbracht und rund eine halbe Million Dollar dafür ausgegeben“, sagt Marty von LGT Financial Services. „Wir haben einige Beispiele dafür [PQC]Aber für einen vollständigen Übergang kann ich Ihnen keine Zahlen nennen, aber es gibt viel zu tun.
Artikel auf Ihrer Website
Verwandte Artikel im Internet