Ihr Leitfaden zum neuen bundesweiten Quantenaktionsplan

As Quantencomputing schreitet weiter voran, das Potenzial Bedrohung Die Auswirkungen auf die traditionelle Kryptographie sind für Regierungen und Organisationen weltweit zu einem wichtigen Problem geworden. Die US-Regierung hat die Dringlichkeit erkannt, sich auf dieses neue Zeitalter der Kryptographie vorzubereiten und hat daher entscheidende Schritte unternommen, um eine detaillierte Post-Quanten-Kryptographie (PQC) Migrationsstrategie. Bitte beachten Sie das Originaldokument werden auf dieser Seite erläutert.

In diesem Blog werden die wichtigsten Elemente des Federal Quantum Action Plan untersucht, einschließlich der Identifizierung von Systemen, die PQC möglicherweise nicht unterstützen, der bisher ergriffenen Maßnahmen, der geschätzten Kosten und der laufenden Bemühungen der Nationales Institut für Standards und Technologie (NIST) um PQC-Standards festzulegen.

Bundesweiter Quantenaktionsplan und -strategie: Identifizierung von Systemen, die PQC nicht unterstützen können 

Die Nationale Cybersicherheitsstrategie (NCS) 2023 beschreibt die Verpflichtung der Bundesregierung, IT- und Betriebstechnologiesysteme (OT) zu ersetzen oder zu aktualisieren, die sich nicht gegen komplexe Cyberbedrohungen, einschließlich solcher durch einen kryptografisch relevanten Quantencomputer (CRQC), schützen können. Einer der entscheidenden Schritte in diesem Prozess ist die frühzeitige Identifizierung von Systemen, die möglicherweise nicht migrierbar sind auf PQC. 

Es gibt verschiedene Gründe, warum bestimmte Systeme – sowohl moderne als auch ältere – PQC möglicherweise nicht unterstützen. Manche Hard- und Software wurde nicht mit kryptografischen Implementierungen entwickelt, die sich leicht ändern lassen. Insbesondere älteren Systemen fehlt möglicherweise die erforderliche Rechenleistung, der Speicher oder die Bandbreite für die Implementierung von PQC-Algorithmen. Der Ersatz dieser Systeme dürfte eine zeit- und ressourcenintensive Aufgabe sein, die im Rahmen der umfassenderen NCS-Implementierung bereits im Gange ist. 

Behörden müssen diese nicht unterstützten Systeme so früh wie möglich identifizieren, um Verzögerungen bei der PQC-Migration zu vermeiden. Da kryptografische Systeme in den Behördennetzwerken eng miteinander verknüpft sind, kann die fehlende Migration eines Systems die Migration anderer Systeme behindern.

Um dieses Problem zu lösen, werden die Behörden dazu angehalten, Tests in der realen Welt mit vorstandardisierten PQC-Algorithmen durchzuführen und diese Bemühungen fortzusetzen, sobald NIST die PQC-NormenDie Leitlinien im Memorandum M-23-02 des OMB bekräftigen diesen Ansatz und fordern die Behörden auf, PQC in Produktionsumgebungen mit entsprechenden Sicherheitsvorkehrungen zu testen, um sicherzustellen, dass die Tests die realen Bedingungen widerspiegeln. 

Ergriffene Maßnahmen: Grundlagen für die PQC-Migration schaffen

Im November 2022 erließ das Office of Management and Budget (OMB) die Richtlinie M-23-02, die Bundesbehörden dazu verpflichtet, die Bestandsaufnahme kryptografischer Systeme zu priorisieren und Finanzierungsschätzungen für deren Migration zu entwickeln. PQCMit diesem Memorandum wurde auch eine behördenübergreifende PQC-Migrationsarbeitsgruppe eingerichtet, die alle zwei Wochen zusammentritt und einem vierteljährlich tagenden behördenübergreifenden Politikausschuss über die Umsetzung des National Security Memorandum 10 (NSM-10) berichtet, dessen Schwerpunkt auf quantenresistenter Kryptografie liegt. 

Im Januar 2024 veranstalteten das OMB und das Office of Science and Technology Policy eine Diskussionsrunde mit Regierungsvertretern, Branchenführern und akademischen Experten, um die Anforderungen von NSM-10 und die relevanten Gesetzgebungsakte zu diskutieren. Die Erkenntnisse aus dieser Diskussionsrunde sollen künftige PQC-Migrationsbemühungen leiten. 

Mit Blick auf die Zukunft wird das OMB in Abstimmung mit der Cybersecurity and Infrastructure Security Agency (CISA) und dem NIST innerhalb eines Jahres nach Verabschiedung der ersten NIST-PQC-Standards Leitlinien herausgeben. Diese Leitlinien werden die Behörden anweisen, priorisierte Migrationspläne zu entwickeln. Die behördenübergreifende Arbeitsgruppe wird weiterhin genutzt, um die Bemühungen zu koordinieren und die Beteiligten im Verlauf der Migration zu vernetzen. 

Schätzung der Kosten der PQC-Migration: Ein vorläufiger Finanzüberblick

Die Umstellung auf PQC dürfte ein erhebliches finanzielles Unterfangen darstellen. OMB und das Office of the National Cyber ​​Director (ONCD) haben in Zusammenarbeit mit CISA und NIST mit Bundesbehörden zusammengearbeitet, um diese Umstellung vorzubereiten. Ihre Bemühungen konzentrierten sich auf drei Schlüsselaktivitäten: 

• Entwicklung eines ersten kryptografischen Inventars

  Die Agenturen wurden beauftragt, ein Inventar der kryptografischen Systeme auf priorisierten Informationssystemen zu erstellen, ausgenommen nationale Sicherheitssysteme (NSS).

• Entwicklung von Kostenschätzungen

  Auf Grundlage der ersten Bestandsaufnahmen haben die Behörden grobe Kostenschätzungen für die Migration ihrer Systeme auf PQC erstellt. Die vorläufige regierungsweite Kostenschätzung für diese Migration für den Zeitraum von 2025 bis 2035 beläuft sich auf rund 7.1 Milliarden US-Dollar (in US-Dollar von 2024). Das Verteidigungsministerium, das Büro des Direktors des Nationalen Nachrichtendienstes und der Nationale Leiter des NSS erstellen derzeit separate Schätzungen.

• Priorisierung des Übergangs

  Darüber hinaus haben die Agenturen Kriterien entwickelt, um die Migration von Systemen auf Grundlage der spezifischen Bedingungen und Eigenschaften ihrer Hostsysteme und -netzwerke zu priorisieren.

Diese Kostenschätzungen werden jährlich aktualisiert, da die Behörden mit ihren kryptografischen Beständen, Kostenkalkulationsmethoden und dem Umstellungsprozess besser vertraut sind. Die anfänglichen Prognosen spiegeln ein hohes Maß an Unsicherheit wider, da viele Systeme aufgrund von Einschränkungen ihrer Hard- oder Firmware möglicherweise nicht in der Lage sind, neue kryptografische Algorithmen zu unterstützen. Der Austausch dieser Systeme wird voraussichtlich einen erheblichen Teil der Gesamtmigrationskosten ausmachen. 

Die Rolle des NIST bei der Entwicklung von PQC-Standards und der Bewältigung von Herausforderungen

Der Erfolg der Bundesregierung PQC Die Migrationsstrategie hängt von der breiten Verfügbarkeit und Einführung offener PQC-Standards ab. NIST leitet diese Bemühungen durch einen offenen Standardentwicklungsprozess, der eine intensive Zusammenarbeit mit Kryptographen und Sicherheitsforschern in den USA und international beinhaltet. Dieser Prozess begann im Dezember 2016, als NIST einen öffentlichen Aufruf zur Einreichung von PQC-Algorithmen veröffentlichte. 

Seitdem hat das NIST die eingereichten Algorithmen systematisch bewertet und die vielversprechendsten Kandidaten in mehreren Überprüfungsrunden weitergeführt. Bis Juli 2020 hatte das NIST vier Algorithmen für die erste Standardisierung ausgewählt. Weitere Kandidaten werden berücksichtigt, sobald neue Anwendungsfälle auftauchen. 

Starke Algorithmen allein reichen jedoch nicht aus. Die Sicherheit kryptografischer Systeme hängt auch von der Implementierung dieser Algorithmen ab. NIST führt im Rahmen seines Cryptographic Module Validation Program (CMVP) unabhängige Tests durch, um sicherzustellen, dass kryptografische Abwehrmechanismen korrekt aufgebaut sind und wie vorgesehen funktionieren.

Das CMVP ist zu einem wichtigen Bestandteil des PQC-Migrationsprozesses geworden. Allerdings übersteigt die Anzahl der zu testenden kryptografischen Module die aktuelle Programmkapazität. NIST hat daher eine Modernisierung des CMVP eingeleitet. Ziel ist es, die Kapazitäten des Testlabors zu erweitern, die Personalausstattung zu erhöhen und Vertragsunterstützung für die Bewältigung der hohen Einreichungsraten zu sichern. All dies ist entscheidend, um den aktuellen Rückstand aufzuarbeiten und sich auf die zukünftigen Anforderungen der PQC-Migration vorzubereiten.

Zusätzlich zur Standardisierung hat das National Cybersecurity Center of Excellence (NCCoE) des NIST das Projekt „Migration to Post-Quantum Cryptography“ gestartet, das Best Practices für die Vorbereitung und Migration zu PQC untersucht. Im Rahmen dieses Projekts wurden mehrere wichtige Veröffentlichungen veröffentlicht, darunter: 

• NIST SP 1800-38B

  Ansatz, Architektur und Sicherheitsmerkmale von Public Key Application Discovery Tools.

• NIST SP 1800-38C

  Bericht zur Interoperabilität und Leistung der quantenresistenten Kryptografietechnologie.

Zeitleiste der wichtigsten Meilensteine ​​im PQC-Migrationsprozess 

Der Weg zur PQC-Migration war durch mehrere wichtige Meilensteine ​​gekennzeichnet: 

• 2015. April: Workshop zur Cybersicherheit in einer Post-Quanten-Welt am NIST, Gaithersburg, MD.

• Dezember 2016: In der Bekanntmachung im Federal Register wird eine Aufforderung zur Einreichung von Nominierungen für Public-Key-Post-Quantum-Kryptografiealgorithmen angekündigt.

• Juli 2020: NIST gibt die Finalisten der dritten Runde und Ersatzkandidaten bekannt.

• Juni 2021: Dritte NIST PQC-Standardisierungskonferenz virtuell abgehalten.

• Januar 2024: OMB und das Office of Science and Technology Policy laden den runden Tisch der behördenübergreifenden Migrationsarbeitsgruppe des PQC ein.

Diese Meilensteine ​​spiegeln die anhaltenden gemeinsamen Anstrengungen zwischen Bundesbehörden, Industriepartnern und akademischen Einrichtungen wider, um den Übergang zur quantenresistenten Kryptografie vorzubereiten.

Wie Verschlüsselungsberatung bei der Post-Quantum-Kryptografie-Migration helfen kann

At Verschlüsselungsberatung, Wir bieten Post-Quantum-Kryptographie-Beratungsdienste Entwickelt, um Unternehmen dabei zu unterstützen, die Komplexität der Cybersicherheit im Quantenzeitalter zu meistern. Unsere Services bieten tiefe Einblicke in potenzielle Quantenrisiken und begleiten Sie durch den Übergang zur Quanten-Cybersicherheit. Dabei orientieren sie sich an den von CISA, NSA und NIST empfohlenen PQC-Standards. 

Wir unterstützen Sie bei der Bewertung und Modernisierung Ihrer kryptografischen Infrastruktur durch strategische Planung und proaktive kryptografische Erkennung. Unsere Roadmap und Strategie zur Quantenbereitschaft sorgt für einen nahtlosen Übergang zur quantenresistenten Kryptografie, schützt Ihre Daten vor neuen Quantenbedrohungen und gewährleistet langfristige Widerstandsfähigkeit. 

Warum sollten Sie uns wählen?

• Bewertung der Quantenbedrohung: Identifizieren und mindern Sie Quantenrisiken, um sensible Daten zu schützen.

• Verbesserung der Sichtbarkeit und Compliance: Gewährleisten Sie die Einhaltung von Vorschriften und verbessern Sie die Sicherheitslage Ihrer kryptografischen Infrastruktur.

• Maßgeschneiderte Strategie und Umsetzung: Entwickeln und implementieren Sie eine maßgeschneiderte Quantenbereitschaftsstrategie für einen sicheren Übergang.

• Zukunftssichere digitale Assets: Stärken Sie Sicherheit, Compliance und Vertrauen angesichts zunehmender Quantenbedrohungen.

Bereiten Sie sich mit Verschlüsselungsberatung auf das Quantenzeitalter vor! Dank unserer Expertise kann Ihr Unternehmen zuversichtlich in die Zukunft blicken und sicherstellen, dass Ihre kryptografische Infrastruktur robust, konform und bereit ist, den Herausforderungen der Quanteninformatik standzuhalten. 

Fazit

Der Federal Quantum Action Plan ist eine wichtige Initiative zum Schutz der digitalen Infrastruktur vor den neuen Bedrohungen des Quantencomputings. Mit dem Fokus auf der Identifizierung anfälliger Systeme, der Abschätzung der Migrationskosten und der Entwicklung robuster PQC Standards legt die US-Bundesregierung den Grundstein für einen sicheren Übergang. 

Mit der Weiterentwicklung der Quantentechnologie ist es für die Sicherung Ihrer digitalen Ressourcen unerlässlich, potenziellen Bedrohungen immer einen Schritt voraus zu sein und Best Practices zu befolgen. Durch die Zusammenarbeit mit Encryption Consulting können Sie diese Herausforderungen effektiv bewältigen und Ihr Unternehmen gegen die Unsicherheiten von morgen absichern.