Das Aufkommen von fähigen Quantencomputern hat massive Seiteneffekte auf die Sicherheit diverser kryptografischer Grundoperationen. Diese sind in den letzten Jahren zu essentiellen Bausteinen unserer IT Architektur – insbesondere in vernetzten Systemen – geworden. Noch funktioniert alles, aber wenn wir nicht bald anfangen, uns auf die diese kommende Gefahr vorzubereiten, dann wird die Transition zu „post-quantum cryptography“ schmerzhafter als nötig werden.

Konkret geht es darum, dass der Aufwand für die Operationen „Faktorisierung ganzer Zahlen“, „Diskreter Logarithmus ganzer Zahlen“ und „Diskreter Logarithmus auf elliptischen Kurven“ nicht mehr deutlich überproportional mit der Zahlengröße steigt. Damit ist die Sicherheit von RSA, ECC, DH & co nicht mehr gegeben.

Ich darf nächste Woche bei einer Veranstaltung dazu am Podium sitzen. Und wenn ich mich schon darauf vorbereite, dann teile ich doch gleich meine Quellen und Schlussfolgerungen. Dieser Blogpost erhebt keinen Anspruch auf Vollständigkeit.

Thesen

These 1: Das Problem ist nicht neu

Auf Sicherheitskonferenzen wird seit Jahren thematisiert, dass Quantencomputer (QC) in Verbindung mit dem Algorithmus von Schor die Eckpfeiler der aktuell verwendeten Public-Key Kryptografie aushebeln. Es wird daher schon länger nach alternativen Lösungen gesucht. Es gibt schon eine Menge Vorschläge, und auch die ersten Standardisierungen, aber es ist noch nicht ganz klar, wo der Zug hinführen wird.

These 2: Es wird trotzdem überraschend kommen

Wir Menschen sind oft sehr gut im Ignorieren von Warnungen. Klimawandel, die nächste Covid Welle, Y2K, und so weiter. „Es wird schon nicht so schlimm kommen.“ „Irgendwer wird uns schon die magische Lösung präsentieren.“ „Sollen doch mal die anderen Vorausarbeiten, ich komm dann nach, wenn alles ausgereift ist.“

Und dann wird uns das Thema treffen wie jedes Jahr die Autofahrer der erste Schnee des Winters in Wien.

Die Four Stage Strategy wird nicht funktionieren.

These 3: Manches muss man früh angehen

Eines der bösen Probleme bei dem Thema ist „jetzt aufzeichnen – später entschlüsseln“. Wenn Daten übertragen oder gelagert werden, die langfristig geheim gehalten werden müssen, dann reicht es nicht, sich gegen aktuelle Angriffe zu schützen, man muss auch bedenken, dass ein Angreifer jetzt die Daten abfangen könnte, sie gut archiviert, und dann, wenn die Quantencomputer da sind, diese entschlüsselt. Auch bei digitalen Signaturen muss man mitdenken, was es z.B. für einen digital unterschriebenen Vertrag heißen könnte, wenn in der Zukunft der private Schlüssel einer eID errechnet werden kann, und damit alte Unterschriften gefälscht werden können.

These 4: Der Umstieg wird zu lange dauern

Die Umstellungen, die uns durch Quantencomputer aufgezwungen sind nicht die ersten dieser Art. Immer wieder gab er Erkenntnisse, dass alte Protokolle und Algorithmen nicht mehr zeitgerecht sind. Alleine die Abkehr von MD5 als Hashing-Algorithmus in  Zertifikaten war ein Drama und ich bin mir nicht ganz sicher, ob wir da wirklich schon komplett durch sind. SSL, SSLv2, TLS 1.0 und TLS 1.1 sind alle nicht mehr als sicher einzustufen. Sind wir sie los? Naja. Microsoft verspricht, hier bald ernst zu machen. Wir haben ähnliche Ankündigungen schon oft gehört, und oft genug wird im Sinne der Rückwärtskompatibilität etwas weiterbetrieben, was schon längst auf den Misthaufen der Protokollgeschichte gehört. NTLM? SMBv1? Die Liste ist lang.

These 5: Es geht nicht nur um Verschlüsselung

Die kryptografischen Primitiven wie RSA oder ECC werden bei weitem nicht nur zum Austausch von Schlüsseln verwendet, um dann etwa mit AES einen Kommunikationskanal abzusichern. Ja, das ist auch ein Teil des TLS Handshakes, aber es wird auch überprüft, ob die Gegenstelle wirklich die ist, mit der ich sprechen will. Hier kommt die nach X.509 standardisierte Public Key Infrastruktur ins Spiel. Diese basiert auf den gleichen Algorithmen. Moderne Konzepte im Internet wie Single-Sign On, Zero Trust, Fido2/Webauthn (von Blockchain und Web 3.0 will ich besser nicht reden) bauen auch darauf auf. Aber nicht nur online ist das ein Thema: RFID in Reisepässen, Kartenzahlungen, Zugangsysteme, digitale Unterschriften und die Integritätsprüfung von Software (Stichwort Secure Boot) hängen davon ab.

These 6: Die Verschlüsselung ist unser kleinstes Problem

OIDC, SAML2, SSO, JWT und wie die Techniken sonst noch abgekürzt werden: Bei Authentication und Autorisation schlagen gebrochene Schlüssel viel direkter und spürbarer durch.

Empfehlungen

Informieren

Es gibt inzwischen von vielen Seiten wirklich gute Dokumente zu diesem Thema, etwa von den großen Sicherheitsagenturen:

• BSI
  • Artikel im BSI Magazin 2023/01
  • Kryptografie quantensicher gestalten
• CISA
  • Quantum-Readiness: Migration to Post-Quantum Cryptography
  • Sogar einen Gesetzesentwurf gibt es schon in den Staaten

Aber auch die großen Internetfirmen arbeiten schon an Lösungen und bieten sowohl Erklärungen, Software und Produkte dazu an. Etwa:

• Google
  • How Google is preparing for a post-quantum world
  • Protecting Chrome Traffic with Hybrid Kyber KEM
• DigiCert
  • Post Quantum Cryptography: Data Security in a Post-Quantum World
  • Quantum-Safe Encryption
• Cloudflare
  • Defending against future threats: Cloudflare goes post-quantum
• AWS
  • Round 2 post-quantum TLS is now supported in AWS KMS
• Microsoft
  • Post-quantum Cryptography
  • Building a quantum-safe future

Inventur machen

Wo hat man selber Kryptografie eingebaut? Ist man dort hinreichend agil, was die eingesetzten Algorithmen angeht?

Welche eingekauften/installieren Lösungen nutzen Kryptografie?

Das ist ein bisschen analog zum Y2K Problem: da war oft ein etwaiges Problem schnell gelöst, aber der wirklich große Aufwand floss in das Nachschauen, wo man betroffen sein könnte.

Offenheit für neue Lösungen

Einfach nur die kryptografischen Primitive auszutauschen ist natürlich verlockend. Ich würde die Gelegenheit aber auch nutzen, manche Grundannahmen zu überdenken. Wo brauche ich welche Sicherheit? Habe ich eine Form von „Defense in Depth“ was meinen Einsatz von Kryptografie angeht? Treten wir uns mit dem Umstieg auf neue Algorithmen neue Angriffsflächen ein?

Und könnte ich nicht auch die Quantentechnik defensiv nutzen?