- Einführung
- Hintergrund und Zweck
- Allgemeine Algorithmen
- Spezialisierte Algorithmen für die Software- und Firmware-Signierung
- Zusätzliche kryptografische Komponenten
- Übergangszeitplan und Durchsetzung
- Implikationen und Empfehlungen
- Wie Verschlüsselungsberatung die Einführung von CNSA 2.0 unterstützt
- Fazit
Einführung
Im September 2022 veröffentlichte die National Security Agency (NSA) die Commercial National Security Algorithm (CNSA) Suite 2.0, eine bedeutende Aktualisierung ihrer kryptografischen Standards zum Schutz nationaler Sicherheitssysteme (NSS). Diese Suite, die im Mai 2025 aktualisiert wurde, führt quantenresistente Algorithmen ein, um der aufkommenden Bedrohung durch Quantencomputing entgegenzuwirken, die möglicherweise traditionelle kryptografische Methoden wie RSA und Elliptische Kurvenkryptographie (ECC).
CNSA 2.0 soll die langfristige Sicherheit sensibler Daten gewährleisten und deckt sowohl vertrauliche als auch nicht vertrauliche Informationen ab, die in NSS verwendet werden. Dieser Artikel untersucht die Komponenten von CNSA 2.0, ihre Anwendungen und den Zeitplan für die Einführung.
Hintergrund und Zweck
CNSA 2.0 aktualisiert das frühere CNSA 1.0, das 2016 als Ersatz für NSA Suite B entwickelt wurde. Die Hauptmotivation für CNSA 2.0 ist die Weiterentwicklung des Quantencomputings, die Algorithmen wie RSA, Diffie-Hellman (DH), ECDH und ECDSA durch Shors Algorithmus angreifbar machen könnte.
Um dieses Problem zu lösen, integriert CNSA 2.0 Post-Quantum-Kryptographie-Algorithmen, die von der Nationales Institut für Standards und Technologie (NIST) und von der NSA validiert. Diese Algorithmen sind für den Einsatz in allen NSS vorgesehen und gewährleisten einen robusten Schutz sowohl vor klassischen als auch vor Quantenangriffen.
| Algorithmus | Funktion | Normen | Kenngrößen |
|---|---|---|---|
| Allgemeine Algorithmen | |||
| Erweiterter Verschlüsselungsstandard (AES) | Symmetrische Blockchiffre zum Informationsschutz | FIPS PUB 197 | Verwenden Sie 256-Bit-Schlüssel für alle Klassifizierungsstufen. |
| ML-KEM (vorher CRYSTALS-Kyber) | Asymmetrischer Algorithmus zur Schlüsselermittlung | FIPS PUB 203 | ML-KEM-1024 für alle Klassifizierungsstufen. |
| ML-DSA (vorher CRYSTALS-Dilithium) | Asymmetrischer Algorithmus für digitale Signaturen in jedem Anwendungsfall, einschließlich der Signierung von Firmware und Software | FIPS PUB 204 | ML-DSA-87 für alle Klassifizierungsstufen. |
| Sicherer Hash-Algorithmus (SHA) | Algorithmus zur Berechnung einer komprimierten Darstellung von Informationen | FIPS PUB 180-4 | Verwenden Sie SHA-384 oder SHA-512 für alle Klassifizierungsstufen. |
| In bestimmten Anwendungen zulässige Algorithmen | |||
| Leighton-Micali-Signatur (LMS) | Asymmetrischer Algorithmus für digitales Signieren Firmware und Software | NIST-SP 800-208 | Alle Parameter sind für alle Klassifizierungsstufen zugelassen. LMS SHA-256/192 wird empfohlen. |
| Erweitertes Merkle-Signaturschema (XMSS) | Asymmetrischer Algorithmus zum digitalen Signieren von Firmware und Software | NIST-SP 800-208 | Alle Parameter sind für alle Klassifizierungsstufen zugelassen. |
| Sicherer Hash-Algorithmus 3 (SHA3) | Algorithmus zur Berechnung einer komprimierten Darstellung von Informationen als Teil der Hardwareintegrität | FIPS PUB 202 | SHA3-384 oder SHA3-512 sind nur für interne Hardwarefunktionen zulässig (z. B. Integritätsprüfungen beim Booten). |
Allgemeine Algorithmen
CNSA 2.0 umfasst einen Kernsatz von Algorithmen für Verschlüsselung, Schlüsselaustausch, digitale Signaturen und Hashing und bildet die kryptografische Grundlage für NSS.
Symmetrische Algorithmen
AES-256
Der Advanced Encryption Standard (AES) bleibt der Eckpfeiler von symmetrische Verschlüsselung in CNSA 2.0. AES-256 folgt dem FIPS PUB 197-Standard und verwendet 256-Bit-Schlüssel über alle Klassifizierungsebenen hinweg und bietet maximale Sicherheit sowohl gegen klassische als auch gegen Quantenbedrohungen.
Dies stellt eine Weiterentwicklung der in vielen aktuellen Systemen üblichen 128-Bit-Schlüssel dar und bietet einen stärkeren Schutz gegen potenzielle kryptanalytische Angriffe. In der Praxis wird AES-256 in NSS häufig eingesetzt, um vertrauliche Kommunikation zu sichern, gespeicherte Daten zu schützen und verschlüsselte Kanäle in kritischen Verteidigungs- und Geheimdienstanwendungen zu ermöglichen.
Asymmetrische Algorithmen
ML-KEM (KRISTALLE-Kyber)
Zur sicheren Schlüsselerstellung schreibt CNSA 2.0 die Verwendung des Modulgitter-basierten Schlüsselkapselungsmechanismus vor (ML-KEM), früher bekannt als CRYSTALS-Kyber, standardisiert in FIPS PUB 203. Insbesondere ist der Parametersatz ML-KEM-1024 für alle Klassifizierungsstufen erforderlich.
ML-KEM basiert auf dem Modul-Lernen mit Fehlern (M-LWE), das als resistent gegen Quantenangriffe gilt. Es ersetzt traditionelle Schlüsselaustauschmethoden wie Elliptic Curve Diffie-Hellman (ECDH) und RSA, die für Quantencomputer anfällig sind. ML-KEM ermöglicht es zwei Parteien, über einen unsicheren Kanal einen gemeinsamen geheimen Schlüssel zu erstellen, der dann für die symmetrische Verschlüsselung verwendet werden kann.
ML-DSA (KRISTALLE-Dilithium)
Für digitale Signaturen, CNSA 2.0 spezifiziert den Module-Lattice-Based Digital Signature Algorithm (ML-DSA), ehemals CRYSTALS-Dilithium, standardisiert in FIPS PUB 204. Der Parametersatz ML-DSA-87 ist für alle Klassifizierungsstufen vorgeschrieben. ML-DSA stellt sicher, dass digitale Signaturen auch im Zeitalter des Quantencomputings sicher und überprüfbar bleiben, und ersetzt RSA- und ECDSA-Signaturen, die durch Quantenalgorithmen gebrochen werden könnten. Es wird zur Authentifizierung und Nichtabstreitbarkeit in verschiedenen Anwendungsfällen verwendet, einschließlich der Signierung von Software und Firmware.
Hashing: SHA-384 und SHA-512
Hashing ist für die Integritätsprüfung und digitale Signaturvorgänge von entscheidender Bedeutung. CNSA 2.0 schreibt die Verwendung von SHA-384 oder SHA-512 gemäß FIPS PUB 180-4 für alle Klassifizierungsstufen vor. Diese Algorithmen bieten eine höhere Sicherheitsmarge als SHA-256 und gewährleisten so einen robusten Schutz vor potenziellen kryptanalytischen Fortschritten bei gleichzeitiger Beibehaltung der Rechenleistung für Anwendungen mit hohem Datendurchsatz.
Spezialisierte Algorithmen für die Software- und Firmware-Signierung
Für Anwendungen, die langfristige Sicherheit erfordern, wie etwa Software- und Firmware-Signaturen, führt CNSA 2.0 Hash-basierte Signaturschemata ein, die für langfristige Integrität und Robustheit optimiert sind.
Leighton-Micali Signature (LMS)-Schema
Das in NIST SP 800-208 beschriebene Leighton-Micali-Signaturschema (LMS) ist für die digitale Signierung von Firmware und Software konzipiert, deren Signaturen über Jahre oder Jahrzehnte gültig bleiben müssen. LMS ist ein zustandsbehaftetes, hashbasiertes Signaturschema, das Einmalsignaturen verwendet und zur Gewährleistung der Sicherheit eine sorgfältige Schlüsselverwaltung erfordert.
Alle LMS-Parametersätze sind für alle Klassifizierungsstufen zugelassen, wobei LMS SHA-256/192 aufgrund seiner optimalen Balance aus Sicherheitsstärke, Rechenleistung und Implementierungszuverlässigkeit empfohlen wird. BMS eignet sich besonders für Umgebungen, in denen Hardware-Sicherheitsmodule (HSMs) verwendet werden, validiert durch das Cryptographic Module Validation Program (CMVP) des NIST.
Erweitertes Merkle-Signaturschema (XMSS)
Das eXtended Merkle Signature Scheme (XMSS), ebenfalls spezifiziert in NIST SP 800-208, bietet eine weitere Option für die Signierung von Software und Firmware. Wie LMS ist XMSS ein zustandsbasiertes Hash-basiertes Signaturschema, das Unternehmen die Flexibilität bietet, Konfigurationen basierend auf Leistungsanforderungen, Signaturvolumen und betrieblichen Einschränkungen zu wählen. Alle XMSS-Parametersätze sind für alle Klassifizierungsstufen zugelassen und somit eine vielseitige Wahl für langfristige Sicherheitsanwendungen.
Zusätzliche kryptografische Komponenten
SHA-3 für interne Hardwarefunktionen
CNSA 2.0 autorisiert SHA3-384 und SHA3-512 gemäß FIPS PUB 202 ausschließlich für interne Hardwarefunktionen wie sichere Boot-Prozesse und Hardware-Integritätsprüfungen. Diese eingeschränkte Nutzung gewährleistet die Modernisierung interner kryptografischer Prozesse unter Einhaltung strenger Interoperabilitätsstandards und vermeidet die Komplexität eines breiteren SHA-3-Einsatzes.
Übergangszeitplan und Durchsetzung
Der Übergang zu CNSA 2.0 orientiert sich an den im National Security Memorandum (NSM)-10 dargelegten spezifischen Zeitplänen:
- Software- und Firmware-Signierung: Organisationen werden ermutigt, sofort mit der Einführung von LMS und XMSS zu beginnen. Die vollständige Einführung muss bis 2025 und die Fertigstellung bis 2030 erfolgen.
- Andere Komponenten: Die vollständige Umstellung in allen NSS soll bis 2035 abgeschlossen sein. Die vorübergehende Verwendung von CNSA 1.0-Algorithmen ist zulässig, CNSA 2.0 wird jedoch bevorzugt.
-
Spezifische Meilensteine:
- Webbrowser/Server und Cloud-Dienste: 2025 (bevorzugt), 2033 (obligatorisch).
- Herkömmliche Netzwerkausrüstung: 2026 (bevorzugt), 2030 (obligatorisch).
- Betriebssysteme: 2027 (bevorzugt), 2033 (obligatorisch).
- Nischengeräte und kundenspezifische/alte Systeme: Aktualisieren oder ersetzen Sie bis 2033.
Die Einhaltung wird durch das Risk Management Framework (RMF) SC-12 und von der NSA zugelassene oder vom NIAP validierte Produkte gemäß CNSSP 11 durchgesetzt. Der Fortschritt wird unter NSM-8 und NSM-10 überwacht.
Implikationen und Empfehlungen
CNSA 2.0 stellt einen proaktiven Ansatz zur Absicherung nationaler Sicherheitssysteme gegen zukünftige Quantenbedrohungen dar. An NSS beteiligte Organisationen sollten:
- Beginnen Sie mit der Übergangsplanung: Beginnen Sie mit der Integration von CNSA 2.0-Algorithmen, insbesondere für die Software- und Firmware-Signierung, um die Frist von 2025 einzuhalten.
- Nutzen Sie NIST-Standards: Verwenden Sie FIPS- und NIST SP-Standards, um Konformität und Interoperabilität sicherzustellen.
- Überwachen Sie Updates: Im Zuge der Weiterentwicklung des Quantencomputings können weitere Updates für CNSA 2.0 veröffentlicht werden, die ständige Wachsamkeit erfordern.
Wie Verschlüsselungsberatung die Einführung von CNSA 2.0 unterstützt
Verschlüsselungsberatung bietet fachkundige Beratung für den Übergang zu CNSA 2.0 und stellt sicher, dass Ihre Systeme quantenresistent sind. Hier finden Sie eine kurze Übersicht über den Supportprozess:
- Kryptografische Erkennung und Inventarisierung: Scannt Ihre IT-Umgebung, um kryptografische Assets (Zertifikate, Schlüssel, Algorithmen) über Endpunkte, Anwendungen und Geräte hinweg zu identifizieren und erstellt ein detailliertes Inventar zur Risikobewertung.
- PQC-Bewertung: Bewertet die Quantenbereitschaft durch die Analyse von Schwachstellen in Systemen mit RSA oder ECC, Überprüfung PKI/HSM-Setups und Priorisierung des Migrationsbedarfs mit einem detaillierten Bericht.
- PQC-Strategie und -Roadmap: Entwirft einen maßgeschneiderten Migrationsplan, der auf die Geschäfts- und CNSA 2.0-Anforderungen abgestimmt ist und Algorithmus-Agilität und einen schrittweisen Rollout-Ansatz beinhaltet.
- Anbieterbewertung und Proof of Concept: Identifiziert PQC-fähige Anbieter, definiert technische Anforderungen und führt PoC-Tests durch, um Integration und Leistung zu bewerten und eine Anbietervergleichsmatrix bereitzustellen.
- Pilottests und Skalierung: Validiert PQC Lösungen in kontrollierten Umgebungen, um Interoperabilität und minimale Störungen sicherzustellen, gefolgt von einer skalierbaren Einführung mit kontinuierlicher Optimierung.
- PQC-Implementierung: Führt eine vollständige Migration durch, integriert quantensichere Algorithmen, bietet Teamschulungen an und richtet eine Überwachung für Compliance und zukünftige Upgrades ein.
Mit der Expertise von Encryption Consulting können Unternehmen den Übergang zu CNSA 2.0 sicher bewältigen und eine sichere, zukunftsfähige kryptografische Infrastruktur aufbauen.
Fazit
CNSA 2.0 ist ein entscheidender Schritt zur zukunftssicheren kryptografischen Sicherheit nationaler Sicherheitssysteme. Durch die Einführung quantenresistenter Algorithmen wie AES-256, ML-KEM, ML-DSA, SHA-384/512, LMS und XMSS stellt die NSA sicher, dass sensible Daten vor aktuellen und zukünftigen Bedrohungen geschützt bleiben. Der strenge Validierungsprozess und klare Übergangszeitpläne bieten Organisationen einen Leitfaden für robuste, langfristige Sicherheit.
