Hybride Kryptografie für den Übergang zu CNSA 2.0

Quantencomputer entwickeln sich rasant weiter. Ihre Fähigkeit, die Verschlüsselungssysteme zu knacken, die unsere Online-Transaktionen, digitalen Signaturen und unsere private Kommunikation schützen, ist ein wachsendes Problem. Diese leistungsstarken Maschinen könnten traditionelle Sicherheitsmethoden schwächen und kritische Daten gefährden. Um diesem Problem entgegenzuwirken, hat die National Security Agency (NSA) die Kommerzielle National Security Algorithm Suite 2.0 (CNSA 2.0) im September 2022, mit laufenden Updates, um Organisationen auf dem Weg zu quantenresistenter Sicherheit zu unterstützen.

Dieser tiefgreifende Übergang, der bis 2035 abgeschlossen sein soll, erfordert die Aktualisierung von Systemen auf neue Standards, die Quantenangriffen standhalten. Hybride Kryptografie, die traditionelle und quantensichere Methoden kombiniert, ist ein wichtiges Instrument für diesen Prozess. Sie schützt vor potenziellen Schwachstellen quantensicherer Algorithmen, hält Systeme mit älteren kompatibel und ermöglicht bei Problemen den Rückgriff auf bewährte traditionelle Methoden. Hybride Kryptografie ist jedoch kein Grund, System-Upgrades zu überspringen; sie ist eine temporäre Strategie zur Unterstützung der Umstellung auf die quantensicheren Standards von CNSA 2.0. 

Was ist CNSA 2.0?

CNSA 2.0 ist der Plan der NSA, kritische Systeme, insbesondere nationale Sicherheitssysteme (NSS), vor Quantencomputern zu schützen, die traditionelle Verschlüsselungsmethoden wie RSA oder Elliptische Kurvenkryptographie (ECC) mit Techniken wie Shors Algorithmus. Es ersetzt CNSA 1.0, das nicht für Quantenbedrohungen entwickelt wurde, und verwendet Post-Quantenkryptographie (PQC), basierend auf mathematischen Problemen, die sowohl regulären als auch Quantenangriffen widerstehen. Die Suite umfasst: 

• Symmetrische Schlüsselalgorithmen

  Das Erweiterter Verschlüsselungsstandard (AES) mit 256-Bit-Schlüsseln bietet Verschlüsselung mit mindestens 128 Bit Post-Quanten-Sicherheit, die stark genug ist, um dem Grovers-Algorithmus zu widerstehen, der die effektive Stärke symmetrischer Chiffren reduziert. Der Secure Hash Algorithm (SHA) mit SHA-384 (192-Bit-quantenresistente Sicherheit) oder SHA-512 (256-Bit-Sicherheit) gewährleistet die Datenintegrität beim Hashing und bietet so Schutz vor Quantenangriffen. Diese aus CNSA 1.0 übernommenen Algorithmen sind bei korrekter Anwendung quantensicher.

• Software- und Firmware-Signierung

  Die in NIST SP 800-208 beschriebenen Verfahren Leighton-Micali Signature (LMS) und eXtended Merkle Signature Scheme (XMSS) dienen der Authentifizierung von Software und Firmware. LMS mit SHA-256/192 (192-Bit-Post-Quanten-Sicherheit) erzeugt eine Hash-basierte Struktur mit 2^20 Signaturen, die jeweils einen 192-Bit-Hash verwenden, um Effizienz und Sicherheit zu gewährleisten. LMS wird für alle Sicherheitsstufen empfohlen. XMSS verwendet einen ähnlichen Hash-basierten Ansatz mit vergleichbarer Sicherheit.

• Public-Key-Algorithmen

  Der Module-Lattice-based Key Encapsulation Mechanism (ML-KEM, basierend auf CRYSTALS-Kyber-1024) unterstützt die sichere Schlüsselfreigabe und bietet 256 Bit Post-Quanten-Sicherheit gegen fortgeschrittene mathematische Angriffe. Er verwendet einen öffentlichen Schlüssel von etwa 1,568 Byte und eine Chiffretextgröße von 1,568 Byte. Der Module-Lattice-based Digital Signature Algorithm (ML-DSA, basierend auf CRYSTALS-Dilithium-8) übernimmt die Datensignatur und bietet ebenfalls 256-Bit-Sicherheit mit einem öffentlichen Schlüssel von 2,592 Byte und einer Signaturgröße von 4,595 Byte. Beide arbeiten auf Sicherheitsstufe V, der höchsten vom NIST definierten Stufe, für maximalen Schutz.

Diese Algorithmen wurden standardisiert von NIST im August 2024 durch FIPS 203 (ML-KEM) und FIPS204 (ML-DSA), nach einem gründlichen globalen Evaluierungsprozess, der die Widerstandsfähigkeit gegen Quantenangriffsmethoden testete. CNSA 2.0 konzentriert sich auf NSS, bietet aber einen Fahrplan für kommerzielle Sektoren zur Einführung quantensicherer Verfahren für sensible Daten. 

Warum ist Hybrid-Kryptografie wichtig?

Als Unternehmen möchten Sie Ihre Daten schützen und sich gleichzeitig auf eine Quantenzukunft vorbereiten. Hybride Kryptografie ist Ihr Verbündeter, indem sie bewährte traditionelle Methoden wie RSA-2048 (2048-Bit-Modul, ~256-Byte öffentlicher Schlüssel) oder ECDSA mit NIST P-384 (384-Bit-Kurve, ~48-Byte öffentlicher Schlüssel) mit quantensicheren Methoden wie ML-KEM oder ML-DSA. Diese Kombination stellt sicher, dass Ihre Daten auch dann geschützt bleiben, wenn ein quantensicherer Algorithmus eine unerwartete Schwachstelle aufweist, beispielsweise einen neuen Angriff auf seine mathematische Struktur. Außerdem können Ihre Systeme mit anderen Systemen zusammenarbeiten, die noch keine quantensicheren Standards eingeführt haben, und gewährleisten so einen reibungslosen Betrieb während der Umstellung. 

Hybride Kryptographie befasst sich mit dem „Jetzt ernten, später entschlüsseln”-Bedrohung, bei der Angreifer heute verschlüsselte Daten sammeln, um sie mit zukünftigen Quantencomputern zu entschlüsseln. Durch die frühzeitige Implementierung quantensicherer Methoden reduzieren Sie dieses Risiko erheblich. Hybride Kryptografie ist jedoch kein Weg, um eine Aktualisierung Ihrer Systeme zu vermeiden. Es handelt sich um einen temporären Ansatz, um die Umstellung auf die quantensicheren Standards der CNSA 2.0 bis 2035 zu unterstützen. Sollten quantensichere Algorithmen auf Kompatibilitätsprobleme oder neue Schwachstellen stoßen, können Sie auf traditionelle Methoden zurückgreifen, was Ihnen während dieser mehrjährigen Umstellung Flexibilität und Sicherheit bietet. 

Wo wirkt sich Hybridkryptografie aus?

Hybride Kryptografie unterstützt die Einführung quantensicherer Sicherheit und hält gleichzeitig bestehende Systeme betriebsbereit. Sie ist ein Übergangstool, keine dauerhafte Lösung. Sie gewährleistet Schutz und Kompatibilität mit der Möglichkeit, bei Bedarf auf traditionelle Methoden zurückzugreifen. Die folgende Tabelle beschreibt die wichtigsten Anwendungen und beschreibt detailliert den hybriden Ansatz, die technischen Besonderheiten und die Rolle bei der Umstellung auf CNSA 2.0. 

Anwendungsbereich	Kryptographie-Ansatz	Rolle im Übergang
Software-Updates und Signierung	Kombiniert traditionelle Signaturen (RSA-2048, ECDSA mit NIST P-384) mit quantensicheren Signaturen (LMS mit SHA-256/192, XMSS).	Gewährleistet systemübergreifende Authentizität. Bei LMS/XMSS-Fehlern oder Kompatibilitätsproblemen wird auf herkömmliche Signaturen zurückgegriffen. Unterstützt vollständig quantensichere Signaturen bis 2030.
Websites und sichere Verbindungen	Ermöglicht quantensicheres Schlüssel-Sharing (ML-KEM-1024) neben herkömmlichen Methoden (ECDH mit NIST P-384).	Hält sichere Verbindungen aufrecht und greift bei Problemen mit ML-KEM auf ECDH zurück. Ermöglicht Upgrades auf quantensichere Protokolle.
Virtuelle private Netzwerke (VPNs)	Kombiniert traditionelles Key-Sharing (256-Bit ECDH) mit quantensicheren Methoden (ML-KEM-1024).	Sichert VPN-Tunnel mit Fallback auf ECDH, falls ML-KEM ausfällt. Unterstützt quantensichere Schlüsselfreigabe bis 2033.
Betriebssysteme	Integriert quantensichere Sicherheit (ML-KEM, ML-DSA) mit traditionellen Methoden (RSA-2048, ECDSA) für APIs.	Bietet sofortige Sicherheit mit der Möglichkeit, bei Bedarf auf herkömmliche Methoden zurückzugreifen. Unterstützt die vollständige quantensichere Integration.
Cloud- und IoT-Umgebungen	Kombiniert traditionelle Verschlüsselung (AES-256) mit quantensicheren Methoden (ML-KEM-1024).	Sichert Daten mit Fallback auf AES, wenn ML-KEM nicht die gewünschte Leistung bringt, und unterstützt so eine schrittweise quantensichere Einführung.
Sichere Kommunikationsprotokolle	Verbessert Protokolle mit quantensicheren Signaturen (ML-DSA-8) und traditionellen Signaturen (ECDSA).	Gewährleistet zuverlässige Kommunikation mit Fallback auf ECDSA, falls ML-DSA ausfällt. Unterstützt quantensichere Protokolle.
Supply Chain Sicherheit	Verwendet doppelte Signaturen (RSA-2048, ECDSA mit LMS/XMSS), um die Authentizität der Komponente zu überprüfen.	Bewahrt das Vertrauen durch Rückgriff auf herkömmliche Signaturen, wenn LMS/XMSS Probleme hat. Unterstützt die quantensichere Einführung.

Herausforderungen der Hybrid-Kryptographie

Die Verwendung hybrider Kryptografie bringt Herausforderungen mit sich, die sorgfältig gehandhabt werden müssen: 

• Komplexität: Die Verwaltung zweier Verschlüsselungsmethoden erfordert Fachwissen in traditionellen Systemen (RSA-zahlenbasierte Berechnungen, ECC-kurvenbasierte Berechnungen) und quantensicheren Systemen (ML-KEM-fortgeschrittene mathematische Operationen). Fehler beim Einrichten von Schlüsseln, Überprüfen von Signaturen oder Fallback-Prozessen können Sicherheitslücken verursachen, daher ist eine gründliche Planung unerlässlich. 
• Testanforderungen: Jede Methode muss einzeln und in Kombination getestet werden. Dabei muss die Sicherheit gegen indirekte Angriffe (wie Timing- oder Leistungsanalyse) und quantenbasierte Angriffe, die Leistung (zusätzlicher Verarbeitungsaufwand durch doppelte Berechnungen, z. B. ~2 ms für ML-DSA gegenüber ~0.2 ms für ECDSA), die Kompatibilität mit vorhandenen Systemen und die Fallback-Zuverlässigkeit geprüft werden. Dies erfordert erheblichen Zeit- und Arbeitsaufwand. 
• Probleme mit der Schlüsselgröße: Quantensichere Methoden wie ML-KEM-1024 (1,568 Byte öffentlicher Schlüssel, 1,568 Byte Geheimtext) und ML-DSA-8 (2,592 Byte öffentlicher Schlüssel, 4,595 Byte Signatur) verwenden größere Schlüssel als herkömmliche Methoden (RSA-2048: 256 Byte öffentlicher Schlüssel; ECDSA P-384: 48 Byte öffentlicher Schlüssel). Diese können mit Systemgrenzen wie dem TLS-Handshake-Maximum von 16 KB in Konflikt geraten und erfordern daher sorgfältige Anpassungen. 
• Ressourcenbedarf: Die Einrichtung hybrider Systeme erfordert viel Zeit, qualifiziertes Personal und Rechenleistung für die Schlüsselerstellung (mathematische Operationen von ML-KEM, ~1 ms), Überprüfung und Wartung, was die Kosten im Vergleich zu Systemen mit einer einzigen Methode potenziell um 20–30 % erhöht. 
• Auswirkungen auf die Leistung: Die Verwendung von zwei Methoden erhöht den Verarbeitungsaufwand, wobei ML-KEM/ML-DSA ca. 1–2 ms pro Vorgang hinzufügt, verglichen mit ca. 0.1–0.3 ms bei RSA/ECDSA, was die Systeme verlangsamt, insbesondere auf Geräten mit begrenzten Ressourcen, sodass eine Optimierung wie vorberechnete Schlüssel erforderlich ist. 

Empfehlungen der NSA zur Hybrid-Kryptografie

Die NSA betrachtet hybride Kryptografie als kurzfristiges Instrument. Die vollständige Einführung von CNSA 2.0 ist bis 2035 geplant. Zu den wichtigsten Zielen gehören die quantensichere Softwaresignatur bis 2025 mittels LMS/XMSS und die Schlüsselfreigabe bis 2033 mittels ML-KEM. Für NSS werden einzelne quantensichere Methoden aufgrund ihrer Zuverlässigkeit bevorzugt. Hybride Ansätze benötigen die ausdrückliche Genehmigung der NSA und sind nur zulässig, wenn einzelne Methoden nicht möglich sind, beispielsweise in Systemen mit Schlüsselgrößenbeschränkungen (IKEv2 gemäß RFC 8784, Kombination von 256-Bit-ECDH mit ML-KEM-1024).

RFC 8773 unterstützt Secure Layering für TLS und ermöglicht hybrides Schlüssel-Sharing mit Pre-Shared Keys. Die NSA verlangt, dass Hybride auf ihre Widerstandsfähigkeit gegen Quanten- und traditionelle Angriffe getestet werden, um Schwachstellen auszuschließen. Hybride werden bis 2035 auslaufen. Die Systeme werden auf einzelne quantensichere Methoden umgestellt, unterstützt durch regelmäßige NIST/NSA-Updates zur Berücksichtigung neuer Angriffsmethoden auf die Verschlüsselung. 

Schritte zur Implementierung hybrider Kryptografie

Um die Hybridkryptografie effektiv als temporäres Tool zu verwenden, befolgen Sie diese praktischen Schritte: 

• Arbeiten Sie mit Experten: Arbeiten Sie mit Cybersicherheitsexperten zusammen, die sowohl traditionelle als auch quantensichere Methoden beherrschen, um Hybridsysteme und zuverlässige Fallback-Prozesse einzurichten und so Risiken zu reduzieren. 
• Sorgfältig testen: Testen Sie jede Verschlüsselungsmethode (zahlenbasierte Berechnungen von RSA, mathematikbasierte Signierung von ML-DSA) und ihre Interaktionen und überprüfen Sie die Sicherheit gegen Quanten- und herkömmliche Angriffe, die Leistung wie Verarbeitungsgeschwindigkeit, die Kompatibilität mit aktuellen Systemen und die Fallback-Zuverlässigkeit. 
• Befolgen Sie die Ratschläge der NSAHalten Sie sich an die Empfehlungen der NSA, holen Sie Genehmigungen für kritische Systemhybride ein und richten Sie sich nach den Zielen der CNSA 2.0 für Sicherheit und Compliance. 
• Bleiben Sie auf dem Laufenden: Verfolgen Sie die Updates von NIST und NSA zu Änderungen der quantensicheren Standards oder neuen Angriffsmethoden, um die Sicherheit Ihrer Systeme zu gewährleisten. 
• Trainieren Sie Ihr Team: Bringen Sie Ihren Mitarbeitern traditionelle Verschlüsselung (kurvenbasierte Berechnungen von ECC) und quantensichere Methoden (fortgeschrittene Mathematik von ML-KEM) bei, um mit Hybridsystemen und Fallback-Prozessen gut umgehen zu können. 
• Plan für quantensichere Systeme: Bauen Sie Systeme, die bis 2035 problemlos auf einzelne quantensichere Methoden umgestellt werden können, und verwenden Sie flexible Designs, um traditionelle Methoden schrittweise abzuschaffen. 
• Überprüfen Sie die Leistung: Überwachen Sie, wie sich größere quantensichere Schlüssel (4,595-Byte-Signaturen von ML-DSA) und die doppelte Verarbeitung auf die Systemgeschwindigkeit auswirken, und optimieren Sie mit Techniken wie vorberechneten Schlüsseln für begrenzte Geräte. 

Die Straße entlang

Hybride Kryptografie unterstützt einen sicheren und kompatiblen Übergang zu CNSA 2.0. Sie schützt vor potenziellen Schwachstellen quantensicherer Methoden und sorgt für die Zusammenarbeit der Systeme, mit der Möglichkeit, auf traditionelle Methoden zurückzugreifen. Dies ist keine langfristige Lösung; Unternehmen müssen bis 2035 auf einheitliche quantensichere Standards umsteigen. Durch die Zusammenarbeit mit Experten, sorgfältige Tests und die Befolgung der NSA-Empfehlungen können Sie diesen Übergang souverän meistern. Dieser Übergang stärkt die Cybersicherheit und bereitet Ihr Unternehmen auf die Quantenzukunft vor, während Vertrauen und Konnektivität erhalten bleiben.

Wie kann Verschlüsselungsberatung helfen?

Encryption Consulting unterstützt Unternehmen und Regierungen bei der Implementierung von CNSA 2.0-konformen Signaturinfrastrukturen mit vollständiger PQC- und Hybrid-Krypto-Unterstützung. CodeSign Secure v3.02 unterstützt PQC sofort und verschafft Unternehmen einen Vorsprung bei der Anpassung an die nächste Ära der Kryptografie, ohne dabei Abstriche bei Benutzerfreundlichkeit oder Leistung zu machen. Dies ist heute ein kluger Schachzug und für die Zukunft notwendig.  

Bei der Umstellung auf CNSA 2.0 geht es nicht nur um die Auswahl des richtigen Algorithmus. Es geht um die Entwicklung einer durchgängigen Code-Signatur-Strategie, die Schlüssel schützt, Workflows automatisiert, Richtlinien durchsetzt und Compliance gewährleistet. Genau dafür wurde CodeSign Secure entwickelt.   

So unterstützt CodeSign Secure CNSA 2.0: 

• LMS- und XMSS-fähig: Unterstützt bereits die für die Signierung von Software und Firmware erforderlichen Post-Quantum-Signaturschemata. 
• HSM-gestützter Schlüsselschutz: Ihre privaten Schlüssel bleiben im Inneren geschützt FIPS 140-2 HSMs der Stufe 3, die eine Gefährdung verhindern. 
• Integrierte Statusverfolgung: Verwaltet automatisch den Status für LMS und XMSS, um sicherzustellen, dass jede Signatur konform ist. 
• DevOps-freundlich: Lässt sich nativ in Jenkins, GitHub Actions, Azure DevOps und mehr integrieren. 
• Richtliniengesteuerte Sicherheit: Verwenden Sie RBAC, Freigaben durch mehrere Genehmiger (M von N) und benutzerdefinierte Sicherheitsrichtlinien, um jeden Aspekt Ihrer Code-Signierung zu kontrollieren. 
• Auditfähige Protokollierung: Erhalten Sie vollständige Transparenz über jeden Signaturvorgang für einfaches Reporting und Compliance. 

Egal, ob Sie Software für Windows, Linux, macOS, Docker, IoT-Geräte oder Cloud-Plattformen signieren, CodeSign Secure unterstützt Sie bei der sicheren und effizienten Umstellung.  

Fazit

Der Übergang zu CNSA 2.0 ist ein wichtiger Schritt, um unsere digitale Welt vor Quantenbedrohungen zu schützen. Hybride Kryptografie bietet ein Sicherheitsnetz gegen Schwächen quantensicherer Methoden und gewährleistet Kompatibilität mit traditionellen Verfahren bei Systemaktualisierungen. Dank der klaren Zeitvorgaben der NSA und sorgfältiger Planung können Unternehmen die Voraussetzungen für Quantensicherheit schaffen. Es geht um mehr als nur Technologie; es geht darum, Ihre Daten und Abläufe in einer quantenbewussten Welt zu schützen. Beginnen Sie jetzt mit den Vorbereitungen für eine starke und sichere Zukunft.