Die Herausforderungen der Migration zu postquantenresistenter Kryptografie

Warum die Umstellung auf postquanteneschutzfähige Systeme schwieriger ist, als es scheint.

Bild: Getty Images / Credits: gremlin

In drei Jahren ist vieles möglich – Beispiele wie das schnelle Wachstum des Empire State Buildings, der rasche Verlauf der deutschen Wiedervereinigung oder die explosionsartige Entwicklung von Wikipedia zeigen, was innerhalb kurzer Zeit erreicht werden kann. Doch erstaunlicherweise wird ein mittelgroßes bis großes Unternehmen voraussichtlich rund drei Jahre benötigen, um seine gefährdeten kryptografischen Algorithmen zu identifizieren und zu ersetzen – und das ist noch optimistisch geschätzt. Dies wirft die zentrale Frage auf: Warum dauert dieser Prozess so lange?

Warum Kryptografie-Migration so langwierig ist

Kryptografische Umstellungen erfolgen grundsätzlich schrittweise. Selbst nachdem der Algorithmus SHA-1 im Jahr 2006 kompromittiert wurde, findet man ihn in einigen Organisationen weiterhin – hoffentlich nicht mehr in kritischen Bereichen. Die Aktualisierung der Kryptografie muss mit größter Sorgfalt erfolgen, da fehlerhafte Implementierungen erhebliche Sicherheitsrisiken verursachen.

Bei der Post-Quanten-Kryptografie (PQC) kommt eine zusätzliche Komplexität hinzu: Sämtliche klassische Public-Key-Kryptografie ist betroffen. Diese ist allgegenwärtig – sie findet sich in Anwendungen, Bibliotheken, Betriebssystemen, Dateisystemen, Hardware, Firmware, Netzwerken und Diensten. Oft ist sie einzigartig, maßgeschneidert, fest codiert oder undokumentiert. Die einzige Person, die weiß, wie ein zentraler, aber undurchsichtiger Teil der Legacy-Infrastruktur gesichert ist, könnte längst in den Ruhestand gegangen sein.

Public-Key-Kryptografie schützt die Kommunikation – also Daten während der Übertragung – und erfordert, dass beide Enden einer Verbindung gleichzeitig aktualisiert werden. Sie wird auch für digitale Signaturen verwendet, was bedeutet, dass alle Beteiligten dieselben Algorithmen nutzen müssen.

PQC-Algorithmen sind wegen ihrer größeren Schlüssel und Signaturen möglicherweise keine direkten Ersatzlösungen für RSA, ECC oder ECDSA. Während dies für die meisten modernen vernetzten Systeme kein Problem darstellen sollte, ist Vorsicht bei der Auswahl von Algorithmen für eingebettete Systeme und IoT-Geräte geboten.

Das Open-Source-Hardwareprojekt OpenTitan stellt fest, dass PQC-Algorithmen „vergleichsweise große Schlüssel und viele Rechenzyklen pro Ausführung erfordern, was bei der Implementierung in ressourcenbeschränkten Systemen ein ernsthaftes Hindernis darstellen kann“.

Organisatorische Hürden der PQC-Migration

Die schwierigsten Probleme sind meist organisatorisch: Viele Unternehmen können grundlegende Fragen nicht beantworten, zum Beispiel, wo Kryptografie eingesetzt wird, wer dafür verantwortlich ist oder wie schnell Algorithmen ersetzt werden können. Es wäre unfair, überlastete CISOs oder die Tech-Branche hierfür verantwortlich zu machen. Public-Key-Kryptografie wurde begeistert eingesetzt, weil sie (größtenteils) zuverlässig funktioniert. Das Problem ist die unkoordinierte und stetige Verbreitung über Jahrzehnte hinweg, die nun rückblickend aufgearbeitet werden muss.

Der Umfang der Aufgabe, die sich wandelnde Landschaft der Post-Quantum-Algorithmen und ungewisse Zeitpläne führen häufig zu Aufschub – in manchen Fällen könnte es sogar nie dazu kommen. Viele Unternehmen setzen auf ihre Anbieter, in der Hoffnung, dass diese die Migration übernehmen. Das kann für kleine oder Cloud-orientierte Unternehmen funktionieren, aber nicht für größere Organisationen mit regulierten Branchen oder maßgeschneiderten Systemen.

Abhängigkeit von Anbietern und regulatorische Empfehlungen

Eine Umfrage von Computing unter 100 britischen IT-Führungskräften ergab, dass etwa die Hälfte bei der Bewältigung der Quantenbedrohung „vollständig“ oder „ziemlich stark“ auf Anbieter angewiesen ist, darunter auch große Organisationen aus regulierten Branchen wie Banken, Behörden und dem Gesundheitswesen.

Das britische NCSC und das US-amerikanische NIST warnen davor, dass eine passive Abhängigkeit von Anbietern ein Risikofaktor darstellt. Aktive Überwachung, Planung und vertragliche Abstimmung sind für die PQC-Migration entscheidend.

Priorisierung zu schützender Bereiche

IT-Führungskräfte sehen TLS und VPNs als am stärksten gefährdet an – diese Bereiche sind besonders anfällig für sogenannte „Harvest-Now-Decrypt-Later“-Angriffe (HNDL).

Dennoch lässt sich argumentieren, dass Authentifizierungsschlüssel, die zum Signieren von Dokumenten und Code verwendet werden, ein noch größeres Risiko darstellen. Vertrauenswürdige Schlüssel haben eine lange Lebensdauer, sind leichter angreifbar als kurzlebige Sitzungsschlüssel und eine Kompromittierung könnte Angreifern ermöglichen, bösartigen Code in ganze Codebasen einzuschleusen.

Im Jahr 2024 schlug Google vor, die Migration mit der Transportverschlüsselung (TLS, SSH, sichere Nachrichtenübermittlung) zu beginnen und anschließend zu digitalen Signaturen überzugehen. Aufgrund des hohen Werts und der Schwierigkeit der Migration empfiehlt Google mittlerweile, beiden Bereichen die gleiche Dringlichkeit einzuräumen. Dies erschwert jedoch die Planung der Migrationsroadmap.

Stefan Kölbl von Google empfiehlt die Umstellung auf TLS 1.3 als Quick Win, da diese Version den hybriden Schlüsselaustausch und die PQ-Authentifizierung standardmäßig implementiert und von vielen Cloud-Diensten und Browsern unterstützt wird.

Der Weg zur Krypto-Agilität

Krypto-Agilität wird vom NIST als die Fähigkeit definiert, „kryptografische Algorithmen in Protokollen, Anwendungen, Software, Hardware und Infrastrukturen zu ersetzen und anzupassen, ohne den Ablauf eines laufenden Systems zu unterbrechen“. Damit soll gewährleistet werden, dass zukünftige Aktualisierungen reibungsloser ablaufen, da sich die Kryptografie ständig weiterentwickelt.

Die Definition und Empfehlungen des NIST beziehen auch den organisatorischen Aspekt mit ein und berücksichtigen ein breites Spektrum an Beteiligten – von Entwicklern bis zu politischen Entscheidungsträgern. Das NIST betont, dass die Erreichung von Krypto-Agilität bewusste Planung, Governance und Koordination über Organisationsgrenzen hinweg erfordert.

Hybride Ansätze und Agilität

Viele Ansätze zur Krypto-Agilität kombinieren klassische und postquantenresistente Algorithmen in einem Protokoll – ein hybrider Ansatz, der von Regulierungsbehörden und Branchenverbänden empfohlen wird. So bleibt ein Teil des Systems sicher, selbst wenn einer der Algorithmen kompromittiert wird. Andere hybride Ansätze ermöglichen den einfachen Austausch von Algorithmen über Protokolle mit Unterstützung für mehrere Verfahren. Allerdings erhöhen hybride Systeme die Komplexität und den betrieblichen Aufwand, weshalb die Schulung von Entwicklern und Administratoren unerlässlich ist.

Um Agilität zu erreichen, muss die Kryptografie durch Abstraktion über APIs von der Anwendungslogik getrennt werden. Sicherheitsprotokolle sollten modular aufgebaut sein, sodass neue Algorithmen oder Verschlüsselungssuiten einfach eingebunden werden können. Für neue Anwendungen kann es sinnvoll sein, direkt auf reine PQ-Algorithmen zu setzen.

Projekte, Anbieter und Ressourcen

Hybride Systeme werden in regulierten Branchen wie Verteidigung, Bankwesen und Behörden bereits in Hardware-Appliances mit geringer Latenz von Anbietern wie Thales und Senetas eingesetzt. Unternehmens-Firewalls können von Fortinet und Palo Alto Networks mit PQC aktualisiert werden. Softwaredefinierte Lösungen von Certes Networks und ZeroTier richten sich eher an Edge- und Hybrid-Cloud-Bereitstellungen. Die meisten großen Cloud-Anbieter unterstützen PQC, allerdings nicht immer standardmäßig.

Zur Erfassung kryptografischer Ressourcen gibt es vom CADI-Projekt eine Liste kommerzieller und Open-Source-Tools, während PQC Today eine aktuelle Übersicht bietet. Das Open Quantum Safe (OQS)-Projekt unterstützt den Übergang zu quantenresistenter Kryptografie. Für Entwickler stehen Open-Source-Bibliotheken wie Googles Tink, OpenSSL, liboqs, wolfSSL, Botan und Bouncy Castle zur Verfügung.

Viele Befragte suchten Rat bei Industrie und Normungsgremien, aber die hohe Zahl an „Weiß nicht“-Antworten zeigt, dass das Thema noch nicht überall präsent ist.

Fazit

Die Migration zu postquantenresistenter Kryptografie ist kein Problem, das sich einfach auslagern lässt – es gibt keine wirklichen Abkürzungen. Ohne eine Erfassung der Kryptografie-Nutzung können Unternehmen Risiken nicht einschätzen oder Pläne erstellen. Regulierungsbehörden verlangen zunehmend von Organisationen in kritischen Bereichen, ihre Daten und Lieferkette zu schützen.

Anbieter werden eine wesentliche Rolle spielen, aber zu starke Abhängigkeit birgt eigene Risiken, insbesondere bei abweichenden Prioritäten und regulatorischen Anforderungen. Bei der Migration ist „Krypto-Agilität“ das entscheidende Stichwort: Sie ermöglicht die fortwährende Fähigkeit, auf neue Algorithmen, Standards und Bedrohungen zu reagieren, statt nur eine einmalige, schmerzhafte Nachbesserung vorzunehmen.

--

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.