archy13 - stock.adobe.com
Post-Quantenkryptografie: Risiken für industrielle Systeme
Aktuelle Verschlüsselung verliert langfristig ihren Schutz. Einrichtungen mit streng zertifizierten IT-Umgebungen mit neuen Technologien auszustatten, erfordert reichlich Vorlauf.
Wird IBM mit seiner Prognose richtig liegen, dass wir in den nächsten fünf Jahren erste Quantenrechner-Attacken erleben? Oder tritt die Vorhersage einiger Sicherheitsexperten ein, die bereits 2019 mit dem Szenario rechnen? Demnach könnten ab diesem Zeitpunkt Quantenrechner verfügbar sein, die fähig sind, die verbreitete asymmetrische RSA-Verschlüsselung zu brechen und Verfahren auf Basis von Diffie-Hellman (DH) und des Digital Signature Algorithm (DSA) zu gefährden. Die Antwort, wann Quantenwerkzeuge im nächsten Jahrzehnt tatsächlich heutige Algorithmen kompromittieren werden, liegt in der Zukunft.
Warum es erforderlich ist, sich heute bereits mit Verfahren der Post-Quanten-Kryptografie (PQC, Post-Quantum Cryptography) zu beschäftigen, um Angriffen mit Quantencomputern Stand zu halten, liegt in den Sicherheitsrisiken begründet. Diese werden im Folgenden näher betrachtet.
Daten unter altem Verschluss
Unternehmen und Behörden verschlüsseln Daten, um ihr Wissen zu schützen. Wie notwendig es ist, Informationen unter Verschluss zu halten, lässt sich anhand der Automobilbrache zeigen. Die Konzerne produzieren Pkw, die bis zu 15 Jahre auf den Straßen unterwegs sind. Deren Entwicklung dauert im Schnitt sechs Jahre. Für Automobilkonzerne wäre es also eine Katastrophe, wenn jemand mit einem Quantenrechner die Verschlüsselung aushebelt und aktuelle Entwicklungsdaten entwendet.
Die Widerstandsfähigkeit gegenüber Quantenangriffen sinkt, wenn die Daten mit älteren Verfahren verschlüsselt wurden. Dieser Aspekt ist relevant, weil es Systeme und Produkte gibt, die oft zehn Jahre oder länger in Gebrauch sind. Das gilt beispielsweise für Fahrzeuge, Flugzeuge, Maschinen, Einrichtungen in Kraftwerken und in der Wasserversorgung, für Satelliten und vernetzte Haustechniksysteme. So liegt die steuerliche Abschreibungsfrist von Werkzeugmaschinen sowie Mess- und Regeleinrichtungen in der Produktion laut AfA-Tabelle bei zehn Jahren. In der Praxis dürften solche Systeme oft deutlich länger genutzt werden. Gleiches gilt für Systeme in sogenannten kritischen Infrastrukturen (KRITIS). Selbst in einer dynamischen Branche wie dem Finanzsektor sind noch Großrechner im Einsatz, die vor mehr als zehn Jahren in Betrieb genommen wurden.
Aufwendiges Absichern von Industrie 4.0
Industrie 4.0 und IoT basieren auf einer sicheren Kommunikation, die in Fabriken, Verkehrsleitsystemen oder Kraftwerken Anwendung findet. Doch gerade solche Einrichtungen mit einer zum Teil gehärteten, zertifizierten und streng überwachten IT-Sicherheits-Umgebung mit neuen Verschlüsselungstechnologien auszustatten, erfordert einen Vorlauf von mehreren Jahren. Bei der Planung und Anschaffung von Verschlüsselungslösungen ist zudem zu berücksichtigen, dass diese zukunftssicher und flexibel sind.
Bisher raten Experten, HSM (Hardware Security Module) einzubinden, die kryptografisches Schlüsselmaterial und elektronische Signaturen auf Basis von Edwards-Kurven erstellen. Wie andere elliptische Kurven zählt diese zu den asymmetrischen Kryptosystemen, die durch Quantenrechner gefährdet sind. Die Idee, stattdessen künftig auf symmetrische Verschlüsselung zu setzen, ist zwar naheliegend – erweist sich jedoch bei näherer Betrachtung aus zwei Gründen als ungeeignet.
Symmetrische Verschlüsselung allein wird zum Absichern von Industrie-4.0-Umgebungen auf lange Sicht nicht ausreichen. Ihre Vertreter wie AES (Advanced Encryption Standard) und SHA (Secure Hash Algorithm) verlieren durch Quantenrechner ebenfalls einen Teil ihrer Schutzwirkung. Forscher wie Daniel L. Bernstein und Tanja Lange haben ermittelt, dass sich beispielsweise die effektive Schlüssellänge von 256-Bit-AES-Schlüsseln in etwa halbieren wird. Hinzukommt die Praxisuntauglichkeit. Eine Umstellung auf AES in Industrie-4.0-Umgebungen würde an dem immensen Aufwand scheitern, den das Austauschen und Verwalten der Schlüssel verlangt. Hinzu käme, dass alle Systeme über die Ressourcen zur Verarbeitung der Schlüssel und die symmetrische Verschlüsselung selbst verfügen müssen, etwa Rechenleistung und Arbeitsspeicher.
Warten auf den PQC-Standard
So bleiben die eingangs erwähnten PQC-Verfahren als Alternative. Diese stehen in fünf bis zehn Jahren zu Verfügung, schätzt die Cloud Security Alliance (CSA). Am National Institute of Standards and Technology (NIST) in den USA läuft derzeit die Auswertung der Ausschreibung für quantensichere Verschlüsselungsstandards. Mit einem ersten Entwurf für ein standardisiertes PQC-Verfahren wird erst 2023 bis 2025 gerechnet. Zur Erinnerung: Bis dahin dürften bereits leistungsfähige und praxistaugliche Quantenrechner bereitstehen, die für cyberkriminelle Attacken missbraucht werden könnten.
„Die Widerstandsfähigkeit heutiger Verschlüsselung sinkt, während das Entwickeln, Bereitstellen, Testen und Implementieren von Post-Quanten-Algorithmen viel Zeit kostet.“
Malte Pollmann, Utimaco
Institutionen wie das NIST und das Bundesamt für Sicherheit in der Informationstechnik (BSI) plädieren für einen standardisierten Ansatz bei der Post-Quantenkryptografie. Dieser sollte allerdings mehrere Grundanforderungen erfüllen. Dazu zählt, dass der Algorithmus und die damit verknüpften Technologien für jedermann verfügbar und zugänglich sind. Außerdem muss er eine möglichst große Zahl von Plattformen unterstützen. Verwiesen sei in dem Kontext nochmals auf das BSI – die Behörde rät dazu, bei der Neu- und Weiterentwicklung neue Standards und Algorithmen für die Verschlüsselung umgehend zu implementieren. 2024 will das Amt prüfen, ob die ab 2022 in der Technischen Richtlinie TR-02102-1 empfohlene Schlüssellänge von mindestens 3.000 Bit noch zeitgemäß ist.
Temporär oder langfristig abwehrbereit
Die Widerstandsfähigkeit heutiger Verschlüsselung sinkt, während das Entwickeln, Bereitstellen, Testen und Implementieren von Post-Quanten-Algorithmen viel Zeit kostet. Dieser Prozess darf jedoch nicht so lange dauern, bis Quantenrechner in größerer Zahl zur Verfügung stehen. Aus dieser Gemengelage ergibt sich die Notwendigkeit, dass Unternehmen und öffentliche Einrichtungen jetzt schon aktiv werden. Sie müssen Daten erfassen und kategorisieren, bevor sie diese neu verschlüsseln.
Wie viel Zeit ein solches Vorgehen in Anspruch nimmt, hat Blackberry in der Vergangenheit erlebt. Nach fünf Jahren schloss das Unternehmen den Wechsel vom symmetrischen Algorithmus TDES (Triple-Data Encryption Standard) zum ebenfalls symmetrischen AES ab. Zielführender, pragmatischer und schneller handeln Unternehmen, wenn sie eine krypto-agile Umgebung schaffen, die sich flexibel an die Post-Quantenverschlüsselung anpassen lässt. Infrage kommt ein Design, das einen klassischen und einen quantensicheren Algorithmus parallel ausführen kann. Langfristig schützt eine Architektur am besten, die zwei quantensichere kryptographische Methoden kombiniert.
Über den Autor:
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und seit 2011 CEO. Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV (Bertelsmann). Neben einem Master Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern hat Malte Pollmann eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!