IRCNF
Security

Die Migration zur Post-Quanten-Kryptografie hat begonnen — die meisten Organisationen sind nicht bereit

Teilen:
Die Migration zur Post-Quanten-Kryptografie hat begonnen — die meisten Organisationen sind nicht bereit

Im August 2024 veröffentlichte NIST drei finalisierte Standards für Post-Quanten-Kryptografie: ML-KEM (basierend auf CRYSTALS-Kyber), ML-DSA (basierend auf CRYSTALS-Dilithium) und SLH-DSA (basierend auf SPHINCS+). Diese Algorithmen sind darauf ausgelegt, Angriffen von Quantencomputern zu widerstehen — einer Bedrohung, die noch nicht vollständig existiert, sich aber schnell genug nähert, sodass Organisationen, die langlebige Geheimnisse schützen, jetzt handeln müssen.

Die meisten haben es nicht getan. Sicherheitsteams, die bereits mit der Bewältigung heutiger Bedrohungen ausgelastet sind, behandeln die Post-Quanten-Migration oft als Zukunftsproblem. Das ist sie nicht. Das Bedrohungsmodell ist bereits aktiv.

Das "Ernte jetzt, entschlüssele später"-Problem (Harvest Now, Decrypt Later)

Der Grund, warum die Post-Quanten-Migration heute dringend ist — obwohl kryptografisch relevante Quantencomputer noch nicht existieren — ist eine Strategie namens Harvest Now, Decrypt Later (HNDL). Staatliche Bedrohungsakteure sammeln heute verschlüsselten Internetverkehr, speichern ihn und planen, ihn zu entschlüsseln, sobald Quantencomputer ausreichende Fähigkeiten erreichen.

Wenn Ihre Organisation in den letzten Jahren sensible Daten übertragen hat — Finanzunterlagen, geistiges Eigentum, Regierungskommunikation, persönliche Gesundheitsdaten —, könnten diese Daten bereits im Speicher von Gegnern sein. Wenn ein ausreichend leistungsfähiger Quantencomputer kommt, wird die RSA- und Elliptische-Kurven-Verschlüsselung, die sie schützt, rückwirkend brechbar.

CISA und NSA schätzen, dass kryptografisch relevante Quantencomputer zwischen 2030 und 2035 auftauchen könnten. Das ist kein komfortabler Puffer — es ist eine harte Frist für die Migration aller Daten oder Kommunikationen, die länger als einige Jahre vertraulich bleiben müssen.

Was die neuen Standards tatsächlich sind

Die drei NIST-Standards adressieren unterschiedliche kryptografische Funktionen:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism) ersetzt RSA und Elliptic Curve Diffie-Hellman für den Schlüsselaustausch — den Mechanismus, der gemeinsame Geheimnisse zwischen zwei Parteien herstellt, die über einen unsicheren Kanal kommunizieren. Dies schützt HTTPS-Verbindungen und TLS-Sitzungen.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm) ersetzt RSA und ECDSA für digitale Signaturen — die Überprüfung, dass eine Nachricht, ein Software-Update oder ein Zertifikat tatsächlich von demjenigen stammt, von dem es vorgibt zu stammen.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) bietet ein alternatives Signaturschema mit unterschiedlichen mathematischen Grundlagen (Hash-Funktionen statt Gitter) und dient als Absicherung gegen gitterbasierte Schwachstellen.

Alle drei basieren auf mathematischen Problemen — Gitterproblemen und Hash-Funktionen — von denen angenommen wird, dass sie für Quantencomputer schwer zu lösen sind, im Gegensatz zu den Faktorisierungs- und diskreten Logarithmusproblemen, die RSA- und Elliptische-Kurven-Kryptografie zugrunde liegen.

Wer bewegt sich bereits

Die ersten, die handeln, sind erwartungsgemäß die Organisationen mit den höchsten Bedrohungsprofilen und den längsten Datenlebensdauern.

Google hat ML-KEM 2023 in Chrome 116 integriert und macht TLS-Verbindungen zwischen Chrome und Google-Servern standardmäßig quantenresistent — eine reale Bereitstellung im Maßstab von Milliarden von Verbindungen. Apple hat den Post-Quanten-Schlüsselaustausch zum PQ3-Protokoll von iMessage hinzugefügt und schützt damit Nachrichtenverschlüsselungsschlüssel vor rückwirkender Entschlüsselung. Signal hat 2023 seine eigene Post-Quanten-Schlüsselvereinbarung (PQXDH) implementiert. Cloudflare experimentiert seit Jahren mit Post-Quanten-TLS und bietet es jetzt in der Produktion an.

Auf Regierungsseite: Die NSA hat vorgeschrieben, dass National Security Systems (NSS) — die Systeme, die klassifizierte Informationen verarbeiten — die Migration bis 2025 beginnen und bis 2030 abschließen müssen. Die CISA hat Leitlinien für Betreiber kritischer Infrastrukturen veröffentlicht. Das National Cyber Security Centre des Vereinigten Königreichs hat ähnliche Zeitpläne veröffentlicht.

Was die Migration erschwert

Die Post-Quanten-Migration ist kein einfaches Software-Update. Sie erfordert das Auffinden und Ersetzen von kryptografischen Primitiven, die in den Systemen einer Organisation eingebettet sind — ein Prozess, der als kryptografisches Inventar oder Crypto-Agility-Bewertung bezeichnet wird.

Das Ausmaß des Problems ist groß. Ein typisches Unternehmen verwendet TLS überall, Code-Signing für Software-Bereitstellungen, SSH für den Serverzugriff, verschlüsselte E-Mails, verschlüsselte Datenbanken, verschlüsselte Backup-Systeme, VPNs und Hardware-Sicherheitsmodule für die Schlüsselspeicherung. Jedes davon muss bewertet werden: welcher Algorithmus verwendet wird, welche Daten er schützt und wie lange diese Daten vertraulich bleiben müssen.

Altsysteme verschärfen die Schwierigkeit. Industrielle Steuerungssysteme, medizinische Geräte, Finanzinfrastruktur und Regierungssysteme laufen oft mit Software, die seit einem Jahrzehnt oder länger nicht aktualisiert wurde. Das Patchen kryptografischer Algorithmen in Firmware oder eingebetteten Systemen ist häufig ohne Hardware-Austausch unpraktisch.

Leistung ist eine weitere Sorge. Post-Quanten-Algorithmen haben größere Schlüssel- und Signaturgrößen als ihre klassischen Äquivalente. Öffentliche ML-KEM-Schlüssel sind 1,2 KB gegenüber 91 Byte für ECDH. ML-DSA-Signaturen sind 2,4-4,6 KB gegenüber 64-72 Byte für ECDSA. Für bandbreitenbeschränkte oder latenzempfindliche Anwendungen ist das wichtig.

Crypto-Agility: Die richtige langfristige Architektur

Die Lektion, die die Sicherheitsgemeinschaft aus der Post-Quanten-Migration zieht, ist nicht nur "auf neue Algorithmen aktualisieren" — sondern "Systeme bauen, die Algorithmen wechseln können, ohne alles neu zu entwickeln". Dieses Prinzip heißt Crypto-Agility.

Crypto-agile Systeme handeln zur Laufzeit aus, welche Algorithmen verwendet werden, speichern Algorithmus-IDs neben verschlüsselten Daten und unterstützen während Übergangsphasen mehrere Algorithmen gleichzeitig. TLS 1.3 hat Crypto-Agility eingebaut — deshalb ist die Bereitstellung von Post-Quanten-TLS per Software-Update erreichbar. Systeme, die ihre Algorithmen fest codiert haben, haben diese Option nicht.

Organisationen, die heute neue Infrastruktur aufbauen, sollten Crypto-Agility als nicht verhandelbare architektonische Anforderung betrachten. Die Organisationen, die in der nächsten Welle kryptografischer Übergänge — ob Post-Quanten, neue Signaturschemata oder Algorithmus-Abkündigungen — am meisten kämpfen werden, sind diejenigen, die Kryptografie als gelöstes Problem betrachtet haben, statt als eine Schicht, die gewartet werden muss.

Was jetzt zu tun ist

Die unmittelbaren praktischen Schritte für die meisten Organisationen: ein kryptografisches Inventar durchführen, um zu identifizieren, wo RSA, ECDH und ECDSA verwendet werden; Systeme priorisieren, die langlebige Geheimnisse oder sensible Kommunikation schützen; mit dem Testen von Post-Quanten-Algorithmen in Nicht-Produktionsumgebungen beginnen; und TLS-Konfigurationen aktualisieren, um Post-Quanten-Schlüsselaustausch auszuhandeln, wo Bibliotheksunterstützung vorhanden ist (OpenSSL 3.x unterstützt ML-KEM im Hybridmodus).

Organisationen, die 2030 als bequeme Frist betrachten, werden sich bis 2028 im Krisenmodus wiederfinden, wenn die Migrationsarbeitslast unbestreitbar wird und das Angebot an erfahrenen Kryptografie-Ingenieuren wettbewerbsintensiv wird. Diejenigen, die jetzt mit dem Inventar beginnen — selbst wenn die vollständige Migration Jahre dauert — werden Optionen haben. Diejenigen, die es nicht tun, werden keine haben.

cybersecurityquantum-computingpost-quantum-cryptographynistencryption
Teilen: