Standardisierung ist entscheidend für Interoperabilität und Sicherheit. Damit verschiedene Geräte unterschiedlicher Hersteller, die von verschiedenen Nutzern bedient werden, sicher miteinander kommunizieren können, müssen die Kommunikationsmittel vereinbart werden. Ohne Standardisierung würde Chaos entstehen; stellen Sie sich vor, jeder Mensch in einer Stadt hätte seine eigenen Verkehrsregeln.
Einführung
Die grundlegenden Elemente, die Sicherheitsfunktionen unterstützen, die eine Standardisierung erfordern, bestehen hauptsächlich aus kryptografischen Primitiven, einschließlich weit verbreiteter Algorithmen wie dem Erweiterter Verschlüsselungsstandard (AES), Secure Hash Algorithm (SHA), RSA (PKCS #1) und der Elliptic-Curve Digital Signature Algorithm (ECDSA). Mit dem Aufkommen von Quantencomputern reichen diese etablierten Standards jedoch nicht mehr aus, um das erforderliche Sicherheitsniveau zu gewährleisten.
Wichtige Standardisierungsgremien wie das National Institute of Standards and Technology (NIST) in den USA oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielen in diesem Zusammenhang eine entscheidende Rolle. Diese Gremien berücksichtigen verschiedene Faktoren wie Anwendungsfälle, zu schützende Vermögenswerte, Fortschritte in der mathematischen Forschung zur Erforschung kryptografischer Schwachstellen und zu erwartende Verbesserungen der Rechenleistung. Anschließend empfehlen sie maßgeschneiderte Algorithmen für die nächsten 10, 15 und 20 Jahre. Die Herausforderung besteht darin, die richtige Schlüssellänge zu bestimmen, da größere kryptografische Schlüssel die Rechensicherheit erhöhen, aber auch Leistung und Bandbreite beeinträchtigen können. Kleinere Schlüssel sind dagegen schneller, können aber die Sicherheit beeinträchtigen.
Wie begann die PQC-Standardisierung?
Der Ursprung dieser Entwicklung liegt in den beschleunigten Fortschritten in der Quantenforschung, die sowohl akademische als auch industrielle Kreise dazu veranlassten, sich mit den potenziellen Rechenvorteilen von Quantencomputern auseinanderzusetzen. Gleichzeitig wuchs das Bewusstsein für die potenziellen Gefahren, die Quantencomputer für die moderne Public-Key-Kryptographie darstellen. Als Reaktion darauf richtete die akademische Gemeinschaft eine spezielle Plattform für die Forschung zu folgenden Themen ein: Post-Quanten-Kryptographie, Die Eröffnungsveranstaltung war die PQCrypto 2006 im belgischen Leuven. Der zunehmende akademische Fokus auf dieses Thema und die rasanten Fortschritte im Quantencomputing führten zu einer allgemeinen Erkenntnis, dass es notwendig ist, kryptografische Algorithmen zu standardisieren, die gegen Quantenbedrohungen resistent sind.
Dustin Moody vom NIST hielt im Februar 2016 auf der Post-Quantum-Kryptographie-Konferenz einen wegweisenden Vortrag mit dem Titel „Post-Quantum Cryptography: NISTs Plan für die Zukunft“ und stellte darin einen umfassenden Plan für einen Standardisierungsprozess vor. Ziel war die Identifizierung erfolgreicher Algorithmen, die in ein standardisiertes Framework integriert werden sollten. Diese Vision wurde im Dezember 2016 mit der formellen Ausschreibung konkret. Rund ein Jahr später war die Resonanz groß: 69 Vorschläge für kryptografische Funktionen wie Public-Key-Verschlüsselung, Schlüsselkapselungsmechanismen (KEMs) und digitale Signaturen wurden als „vollständig und geeignet“ eingestuft.
Bekanntgabe der Gewinner im Juli 2022
Nach einem umfangreichen, fast sechs Jahre dauernden Prozess schloss das NIST im Juli 2022 seinen Standardisierungswettbewerb für Post-Quanten-Kryptografie ab und gab die ersten Gewinner bekannt. Die Auswahl basierte auf herausragender Leistung, überschaubaren Schlüsselgrößen und dem Vertrauen des NIST in seine dauerhaften Sicherheitsfunktionen.
In der Kategorie der digitalen Signaturen ist CRYSTALS-Dilithium, ein weiteres gitterbasiertes Schema, das vom NIST für den allgemeinen Gebrauch empfohlen wird, der klare Champion. Sein unkompliziertes Design erleichtert eine sichere (eingebettete) Implementierung. NIST hat außerdem zwei weitere Schemata anerkannt: Falcon, anerkannt für seine minimale Signatur und Public-Key-Größe, ideal für Anwendungen in Internetprotokollen, und die konservative Option SPHINCS+, bekannt für seine gut verstandene Sicherheit, obwohl es in Leistung und Größe hinter CRYSTALS-Dilithium und Falcon zurückbleibt. CRYSTALS-Dilithium genießt insbesondere bei der Standardisierung Vorrang und wurde von NXP bereits als vielversprechender Kandidat gelobt, wie ein Proof-of-Concept für sicheres Booten auf dem Automotive-S32G-Prozessor in Zusammenarbeit mit Blackberry zeigt.
Die neuen PQC-Algorithmen des NIST
Quantencomputer entwickeln sich ständig weiter und stellen eine ernste Gefahr für traditionelle Verschlüsselungsmethoden dar. Um dem entgegenzuwirken, entwickelt das NIST Post-Quanten-Kryptographie (PQC) Standards seit 2016. Im August 2023 veröffentlichte NIST erste öffentliche Entwürfe (Initial Public Drafts, IPD) von drei PQC-Algorithmen und bat die Branche um Feedback, um sie weiter zu verfeinern. Nach Abschluss der vierten Standardisierungsrunde wurden die endgültigen Versionen am 13. August 2024 mit aktualisierten Algorithmusnamen offiziell veröffentlicht.
FIPS203, jetzt ML-KEM (Module Lattice Key Encapsulation Mechanism) genannt, ist von CRYSTALS-Kyber abgeleitet und soll Daten vor neu auftretenden Risiken schützen. Es umfasst drei Parametersätze – ML-KEM-512, ML-KEM-768 und ML-KEM-1024 –, die jeweils unterschiedliche Sicherheits- und Leistungsstufen bieten. ML-KEM-512 bietet ein Basissicherheitsniveau, während ML-KEM-768 verbesserten Schutz für sensible Anwendungen bietet. ML-KEM-1024, die sicherste Variante, eignet sich ideal für hochsichere und langfristige Verschlüsselungsanforderungen. Diese Parametersätze unterscheiden sich in Schlüssel- und Chiffretextgröße, sodass Unternehmen ein optimales Gleichgewicht zwischen Sicherheit und Effizienz wählen können. ML-KEM wird eine Schlüsselrolle in TLS-Protokollen, VPNs und verschlüsselten Nachrichten spielen und eine sichere Kommunikation gegen Quantenbedrohungen gewährleisten.
FIPS204, umbenannt in ML-DSA (Module Lattice Digital Signature Algorithm), basiert auf CRYSTALS-Dilithium und wird für digitale Signaturen verwendet. Dieser Algorithmus stärkt die Identitätsprüfung und Datenintegrität und ist damit ein zuverlässiger Nachfolger von RSA und ECDSA. Durch die Einhaltung von FIPS 204 können Unternehmen digitale Signaturen zuverlässig generieren und validieren und so unbefugte Änderungen verhindern. Darüber hinaus fördert der Standard die Interoperabilität und ermöglicht eine nahtlose Integration über verschiedene Plattformen und Systeme hinweg. Dies macht ihn besonders nützlich für digitale Zertifikate, Softwaresignaturen, sichere E-Mail-Kommunikation und Authentifizierungssysteme.
FIPS205, jetzt SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) genannt, basiert auf SPHINCS+ und führt einen zustandslosen Ansatz für digitale Signaturen ein. Dies eliminiert Sicherheitsrisiken im Zusammenhang mit der Zustandsverwaltung und reduziert Angriffsschwachstellen. Es basiert auf Hash-Funktionen für die Datenintegrität und Pseudozufallsfunktionen (PRFs), um die Unvorhersehbarkeit bei der Schlüsselgenerierung zu gewährleisten. FIPS 205 erhöht die Sicherheit durch die Einführung neuer Adresstypen für eine verbesserte Schlüsselverwaltung und den Ersatz von SHA-256 durch SHA-512 in wichtigen kryptografischen Funktionen, um frühere Schwachstellen zu beheben.
Darüber hinaus enthält der Standard Abwehrstrategien gegen Angriffe mit mehreren Zielen und erhöht so die Widerstandsfähigkeit. Der Standard wählt 12 von 36 Parametersätzen sorgfältig aus, um Sicherheit und Effizienz zu optimieren. SLH-DSA eignet sich besonders für Firmware-Updates, Blockchain-Anwendungen und die Sicherheit kritischer Infrastrukturen, bei denen langfristiger Schutz unerlässlich ist.
Diese finalisierten PQC-Standards stellen einen wichtigen Schritt zur Sicherung der digitalen Kommunikation gegen Quantenbedrohungen dar. Organisationen aus den Bereichen Finanzen, Gesundheitswesen, Verteidigung und Cloud Computing müssen mit der Umstellung auf quantenresistente Verschlüsselung beginnen, um sensible Daten für die Zukunft zu schützen. Angesichts der rasanten Fortschritte im Quantencomputing ist die Anpassung an diese neuen kryptografischen Techniken mittlerweile eine Notwendigkeit und keine Option mehr.
Algorithmus-Veraltung
Im Jahr 2024 veröffentlichte NIST einen Initial Public Draft (IPD) von NIST IR 8547, das einen strukturierten Fahrplan für den Übergang zu Post-Quantum Cryptography (PQC)-Standards skizziert. Die Anleitung bietet einen schrittweisen Ansatz, um Bundesbehörden, Industrien und Normungsorganisationen dabei zu unterstützen, ihre kryptografische Infrastruktur zeitnah und effizient umzustellen.
Ein wichtiger Aspekt des Berichts ist die Auflistung veralteter kryptografischer Algorithmen, die bald veraltet sein und letztendlich verboten werden. Unternehmen, die auf diese Algorithmen angewiesen sind, müssen ihre kryptografischen Abhängigkeiten bewerten und Upgrades auf NIST-zugelassene PQC-Standards wie ML-KEM (FIPS 203), ML-DSA (FIPS 204) und SLH-DSA (FIPS 205) planen. Der Übergangsplan legt den Schwerpunkt auf Interoperabilität, Sicherheitsvalidierung und Compliance-Anforderungen und gewährleistet so einen koordinierten Übergang zu einer quantensicheren kryptografischen Zukunft bis 2035.
Nachfolgend sind einige Highlights aus dem Bericht aufgeführt:
| Algorithmusfamilie für digitale Signaturen | Kenngrößen | Übergang |
|---|---|---|
| ECDSA [FIPS186] | 112 Bit Sicherheitsstärke | Nach 2030 veraltet, nach 2035 nicht mehr zulässig |
| ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig | |
| EdDSA [FIPS186] | ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig |
| RSA [FIPS186] | 112 Bit Sicherheitsstärke | Nach 2030 veraltet, nach 2035 nicht mehr zulässig |
| ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig |
| Blockchiffre | Parametersätze | Sicherheitsstärke | Sicherheitskategorie |
|---|---|---|---|
| AES [FIPS197] | AES-128 | 128 Bits | 1 |
| AES-192 | 192 Bits | 3 | |
| AES-256 | 256 Bits | 5 |
| Schlüsseleinrichtungsschema | Kenngrößen | Übergang |
|---|---|---|
| Finite-Feld-DH und MQV [SP80056A] | 112 Bit Sicherheitsstärke | Nach 2030 veraltet, nach 2035 nicht mehr zulässig |
| ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig | |
| Elliptische Kurve DH und MQC [SP80056A] | 112 Bit Sicherheitsstärke | Nach 2030 veraltet, nach 2035 nicht mehr zulässig |
| ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig | |
| RSA [SP80056B] | 112 Bit Sicherheitsstärke | Nach 2030 veraltet, nach 2035 nicht mehr zulässig |
| ≥ 128 Bit Sicherheitsstärke | Nach 2035 nicht mehr zulässig |
NIST empfiehlt die frühzeitige Einführung von PQC-Algorithmen in einem Hybridmodus mit klassischer Kryptografie, um einen reibungslosen und sicheren Übergang zu gewährleisten. Unternehmen sollten bereits jetzt mit der Bewertung der Systemkompatibilität, der kryptografischen Abhängigkeiten und der Implementierungsherausforderungen beginnen, um Sicherheitsrisiken im Zuge der Weiterentwicklung des Quantencomputings zu vermeiden.
Fazit
Abschließend die Reise nach Post-Quanten-Kryptographie unterstreicht die entscheidende Bedeutung der Standardisierung für die Gewährleistung von Interoperabilität und Sicherheit. Da Quantencomputer eine Bedrohung für etablierte kryptografische Standards darstellen, sind die Bemühungen von Institutionen wie NIST und dem deutschen BSI von entscheidender Bedeutung für die Bewältigung dieser sich entwickelnden Welt. Der sorgfältige, jahrelange Auswahlprozess, der mit der Bekanntgabe der Gewinner gipfelt, spiegelt das Engagement wider, widerstandsfähige Algorithmen gegen Quantenbedrohungen zu identifizieren.
Der in die vierte Runde gegangene Wettbewerb präsentiert alternative Vorschläge und demonstriert die kontinuierliche Anpassungsfähigkeit, die angesichts der Fortschritte in der Quantentechnologie erforderlich ist. Während die Kryptografie-Community gemeinsam die Zukunft der sicheren Kommunikation gestaltet, steht die Balance zwischen Sicherheit, Leistung und Anpassungsfähigkeit weiterhin im Vordergrund der Überlegungen für die Post-Quanten-Ära.
Verschlüsselungsberatung Beratungsdienste zur Post-Quanten-Kryptographie Überbrücken Sie die Lücke zwischen Spitzentechnologie und praktischer Umsetzung. Wir helfen Ihnen, die Leistungsfähigkeit quantenresistenter Kryptografie ohne Risiken zu nutzen.