Der Quantencomputer – eine Bedrohung für die PKI?

Welches sind heute die Voraussetzungen für eine sichere PKI? Und wird sie der Quantencomputer in Zukunft obsolet machen? Könnte Blockchain eine Lösung bieten? Solchen Fragen gingen die Referenten an einer SIGS-Veranstaltung nach. Dabei stellte sich auch die Frage, wann Quantencomputer überhaupt produktionsreif sein werden.

PKI im Zentrum

Der Special Event der Security Interest Group Switzerland (SIGS) vom 9. Februar in den Räumen der Mobiliar in Bern trug den Titel „About and beyond PKI“. Als Referenten traten auf:

  • Dr. François Weissbaum, Wissenschaftlicher Mitarbeiter Kryptologie, Führungsunterstützungsbasis (FUB)
  • Marcel Suter, Principal Consultant, IibC Technologies Sàrl
  • Marcel Dasen, Vice President Engineering, Securosys SA
  • André Clerc, Expert IT Security Consultant, TEMET AG 

Die Veranstaltung gliederte sich in vier Referate mit folgenden Kernthemen:

Der Quantencomputer droht – was tun?

Wie können Quantencomputer die Welt der Kryptografie beeinflussen? Damit setzte sich der Wissenschaftler François Weissbaum auseinander. Dabei stellt sich natürlich zuerst die Frage, was ein Quantencomputer überhaupt ist und kann. Im Unterschied zu herkömmlichen Computern bauen Letztere auf Qubits statt auf Bits als kleinster Speichereinheit auf. Ein Qubit kann eine Vielzahl von Zuständen mehr annehmen als ein Bit. Gemäss theoretischen Studien werden Quantencomputer gewisse Probleme in viel kürzerer Zeit lösen können als herkömmliche Computer.

Shor’s: Bedrohung für asymmetrische Algorithmen

Weissbaum stellte die Frage: Angenommen, es werden in absehbarer Zeit Quantencomputer mit mindestens 64 Qubits zur Verfügung stehen: Welche Probleme werden sie lösen können? Er legte dar, dass es bisher zwei quantentaugliche Algorithmen gibt: Grover’s und Shor’s. Mit Letzterem kann via Quantencomputer ein nichttrivialer Teiler einer zusammengesetzten Zahl in viel schnellerer Zeit gefunden werden als auf einem herkömmlichen Computer. Allerdings kann Shor’s wegen technischen Einschränkungen noch kaum praktisch eingesetzt werden. Sollte jedoch der universelle Quantencomputer kommen, werden alle asymmetrischen Standardalgorithmen unsicher werden: Diffie-Hellman, RSA, Elliptische Kurve, ElGamal etc.

Grover’s: 128-Bit-Algorithmen in Gefahr

Mit Grover’s Algorithmus dagegen kann ein bestimmter Wert aus einer Reihe möglicher Werte gefunden werden. Der oben genannte Quantencomputer könnte mit ihm einen symmetrischen Schlüssel mit 128-Bits in zirka 264 Iterationen knacken.

Was also ist zu tun?

„Um das bisherige Sicherheitsniveau zu halten, müsste die Schlüssellänge verdoppelt werden, denn eine Attacke mit erschöpfender Suche von einem konventionellen Computer gegen eine symmetrische Chiffre mit 128 Bit entspricht einer solchen von einem Quantencomputer aus gegen eine symmetrische Chiffre mit 256 Bit. Der Advanced Encryption Standard AES müsste also auf 256 Bit erhöht werden“, erklärte Weissbaum.

Grover’s kann auch gegen Hashfunktionen eingesetzt werden. Allerdings ist eine Hashfunktion ab 384 Bit theoretisch quantensicher. „Auch praktikable Attacken gegen SHA-256 sowie SHA3-256 sind in absehbarer Zeit unvorstellbar“, erläuterte Weissbaum.

Strategien zum Schutz der PKI

Er schlägt folgende Szenarien vor, um die PKI in Zukunft zu sichern:

  1. PKI durch eine zentrale Schlüsselinfrastruktur ersetzen, die nur symmetrisch funktioniert
  2. Einen neuen, asymmetrischen Algorithmus finden, der quantensicher ist.

Für letzteren Ansatz gibt es bisher vier hoffnungsvolle Ansätze:

  1. Hashbasierte Kryptografie
  2. Codebasierte Kryptografie
  3. Gitterbasierte Kryptografie
  4. Kryptografie, die auf multivariaten Polynomgleichungen basiert

Weissbaum setzte die grösste Hoffnung auf den vierten Ansatz: „Er ist nahe bei der Lösung.“

Zu erwähnen ist noch, dass das US-amerikanische National Institute for Standards and Technology (NIST) ein Projekt zum Finden von quantenrestistenten Kryptografie-Algorithmen für Public Keys lanciert hat.

Quantencomputer als Energiefresser

Weissbaum sieht weder Bedrohungen für den Authentifizierungsprozess noch für Standardsignaturen noch für die Verschlüsselung von Informationen, die nicht jahrelang geschützt werden müssen. Er sieht aber eine solche für Signaturen und Informationen, die über einen Zeitraum von mehr als zehn Jahren geschützt werden müssen. Weissbaum machte geltend, dass auch die optimistischsten Physiker nicht vor zehn, fünfzehn Jahren mit universellen Quantencomputern rechnen. „Quantencomputer mit drei bis vier Qubits sind zwar herstellbar. Aber sie sind weder skalierbar noch stabil. Ausserdem bräuchte man zum Betrieb eines einzigen universellen Quantencomputers die Leistung eines ganzen Atomkraftwerks. Der Vorteil wäre dann, dass man leicht feststellen kann, wer wirklich über einen Quantencomputer verfügt.“

Präsentation „The Quantum Apocalypse von Dr. François Weissbaum“ 

François Weissbaum, Scientist at Departement of Defense
François Weissbaum: „Um einen einzigen universellen Quantencomputer zu betreiben, bräuchte man ein ganzes Atomkraftwerk.“

 

Der beschwerliche Weg zum optimalen Schlüsselmanagement

Schlüsselmanagement im Rahmen der PKI ist eine anspruchsvolle Aufgabe. Marcel Suter zeigte die vielen Aspekte auf, die berücksichtigt werden müssen. Dazu gehören unter anderem Governance, Verfügbarkeit, Sicherheit, Schulung und Schlüsselverbreitung. „Die Schwierigkeit ist“, so Suter, „dass man ganz viele Punkte zusammenbringen und einen Rahmen bilden muss.“

NIST-Liste als Planungshilfe

Suter schlägt vor, bei der Planung eines Key Managements gemäss den Empfehlungen des US-amerikanischen National Institute of Standards and Technology (NIST) vorzugehen; auf dessen Website sind viele Dokumente wie Empfehlungen und Best Practices dazu vorhanden. Im Grundsatz handelt es sich um einen fünf-Schritte-Plan:

  1. Service-Definition: Was soll der Service können?
  2. Sicherheit: Sind Vertraulichkeit, Datenintegrität, Authentifizierungsintegrität, Quellenauthentifizierung, Autorisierung, Anerkennung, Support-Service und kombinierte Services gewährleistet?
  3. Planung: Hat man alles gedacht, zum Beispiel welche kryptografischen Algorithmen man einsetzt, wie gross die Schlüssellängen sind, Verantwortlichkeiten, Schutzbedarf und -mechanismen, Schlüsselnutzungen und -typen etc.?
  4. Spezifizierung: Aspekte der kryptografischen Applikation, Schlüsselmanagement, Zugangskontrolle, Schlüsselwiederherstellung und -distribution etc.
  5. Implementierung

Suter empfiehlt, ein Papier darüber zu verfassen und bei der Spezifikation alles genauestens dokumentieren. Denn jeder Punkt zerfällt in eine Menge Unteraspekte, die man akribisch abklären muss. So ist es bei der Evaluation der Schlüsselgenerierung wichtig, dass Daten, die längerfristig geschützt werden müssen, mit längeren Schlüsseln geschützt werden. Das setzt voraus, dass man weiss, welche Daten längerfristig geschützt werden müssen.

Wichtig: Woher stammen die Schlüssel?

Ein wichtiger Aspekt, dem der Schlüsselmanager grosse Beachtung schenken sollte, ist die Frage, woher die Schlüssel stammen. Eine gute Lösung ist die Anschaffung eines Hardware Security Modules. „Der Hersteller sollte aber genau unter die Lupe genommen werden. Schliesslich ist man etwa ein Jahrzehnt von ihm abhängig, denn die Schlüssel können in der Regel nicht aus dem HSM extrahiert werden“, warnt Suter. „Wer sein HSM z.B. von einem US-amerikanischen Hersteller bezieht, hat möglicherweise ein Problem.“ Nicht nur die Vertrauenswürdigkeit des HSM-Herstellers sollte überprüft werden. Sondern auch, wie die Schlüssel generiert werden. Eine sichere Möglichkeit der Schlüsselgenerierung ist die Messung zufälliger physikalischer Phänomene. Zu überprüfen ist hierbei unter anderem, dass diese Messung nicht nachvollzogen bzw. ausspioniert werden kann.

Eine weitere Möglichkeit des Schlüsselmanagements ist, die Schlüssel in der Cloud aufzubewahren. Aber auch hier warnt Suter vor US-amerikanischen Anbietern: „Als Nicht-Amerikaner hat man dort möglicherweise keinen guten Datenschutz.“

Kurz gesagt ist der Aufbau eines geeigneten Schlüsselmanagements ein langwieriger Prozess, bei dem viele Details zu beachten gilt. Suter rät: „Machen Sie einen guten Mix und schauen Sie, was den Bedürfnissen Ihres Business entspricht.“

Präsentation „Key Management Tasks“ von Marcel Suter.

Marcel Suter libC on keymanagement
Marcel Suter: „Wer ein HSM von einem US-amerikanischen Hersteller kauft, hat möglicherweise ein Problem.“

 

So geht effizienter Schlüsselschutz

Marcel Dasen legte dar, wie man eine sichere Infrastruktur aufbauen kann, die für die Herausforderungen von morgen gewappnet ist. Tatsache ist, dass kryptografische Schlüssel heute aus der digitalen Welt nicht mehr wegzudenken sind. Sie werden heutzutage in den unterschiedlichsten Domänen eingesetzt: Unter anderem im Zahlungsverkehr, bei „geregelten“ digitalen Signaturen, bei der Webserver-Authentifizierung, bei Infrastruktur-Services wie z.B. DNSSEC oder SMTP oder bei Datenspeicherungen.

Welche Schlüsseltypen gibt es überhaupt?

Innerhalb der PKI-Infrastruktur existieren Verschlüsselungs-, Signatur- und Zertifikatsschlüssel. Das deutet schon an, dass Schlüssel typischerweise hierarchisch organisiert sind und bereits in einen einfachen PKI-Fall mehrere Schlüsselpaare involviert sind. Kommt dazu, dass bei unterschiedlichen Applikationen unterschiedliche Grundsätze zur Schlüsselhandhabung zum Einsatz kommen. Das bedeutet, dass man dies am besten organisiert, indem man unterschiedliche Ausstellungszertifikate anwendet. Da Schlüssel auch widerrufen werden können, muss eine Zertifizierungsinstanz (CA) eine Sperrliste (CRL) ausstellen und signieren.

Aus der Komplexität der Situation kann man ersehen, dass Schlüssel aktiv verwaltet werden müssen.

Herumliegende Schlüssel – ein fataler Fehler

Verschlüsselung ist gut. Aber bei der Speicherung von Schlüsseln wird oft ein fataler Fehler gemacht: Typischerweise werden Schlüssel in Dateien gespeichert; Oft letztlich im Home Directory der Benutzer, die durch Zugriffsberechtigungen für den Benutzer bzw. Gruppen geschützt sind. Benutzer mit umfassenden Berechtigungen können also auf sie zugreifen. Daraus folgt, dass die Schlüssel in der Regel ungenügend geschützt sind. Marcel Dasen: „Das ist etwa so, wie wenn das Haus zwar verschlossen ist, der Schlüssel aber gleich unter der Türmatte liegt.“

Abhilfe schafft ein verwalteter Schlüsselspeicher, am besten ein sogenanntes Hardware Security Module. Dieses ist ein dediziertes Gerät für Verschlüsselungsschlüssel, das diese vor Verlust und Diebstahl schützt und als zentrale Instanz für die PKI-Infrastruktur dient: „Hier werden private und geheime Schlüssel gespeichert. Sie können dort auch generiert werden und verlassen das Gerät nie.“ Ein HSM bietet auch Schutz vor Quantencomputern. Nicht zuletzt, weil es in der Regel aufdatiert werden kann mit entsprechender Kryptografie, sobald diese zur Verfügung steht.

Allerdings steht die Postquantenkryptografie, wie Weissbaum gezeigt hatte, noch lange nicht zur Verfügung. Aber man kann schon heute eine sichere Infrastruktur aufbauen, indem man:

  • symmetrische Kryptographie verwendet, beispielsweise mit AES und Kerberos
  • seine Schlüssel mit einem HSM sicher wegschliesst
  • Schlüssel und Signaturen aus viel längeren Bitstrings einsetzt
  • Aufdatierbare Kryptohard- und -software verwendet
  • Seine Schlüssel managt
  • mit vertrauenswürdigen Lieferanten zusammenarbeitet

Diese Strategie schützt, wenn die Lösungen richtig implementiert sind, auch Daten in der Cloud.

Präsentation „Keep your fingers off my keys – today & tomorrow“ von Marcel Dasen 

Marcel Dasen presenting Certificates used in Public Key Infrastructure (PKI)
Marcel Dasen: „Oft werden Schlüssel im Home Directory des Benutzers gespeichert; ein fataler Fehler.“

 

Blockchain als Schutz vor Quantencomputern?

André Clerc stellte sich die Frage, ob Blockchain-Technologie eine PKI längerfristig ablösen könnte. Dabei ging er davon aus, dass alle heute bestehenden PKIs mit Quantencomputern geknackt werden können.

Clerc zeigte auf, dass PKIs bereits heute Unzulänglichkeiten aufweisen: Die Verifikation der Identität kann beispielsweise ungenügend sein, oder eine Zertifizierungsinstanz (CA) könnte mit einer veralteten Sperrliste arbeiten, womit ein fehlerhaftes Verhalten der CA sehr lange unentdeckt bleiben würde. Und im Hinblick auf die Zukunft sind die bei PKIs verwendeten Algorithmen, wie bereits mehrfach gezeigt, nicht quantensicher.

Könnten diese Unzulänglichkeiten mit der Blockchain-Technologie wettgemacht werden?

So funktioniert Blockchain

Bei der Blockchain handelt es sich um eine verteilte Datenbank von Transaktionen (ledger), die eine wachsende Liste von Einträgen (blocks) unterhält. Jeder Eintrag in der Liste ist mit einem vorhergehenden Eintrag verbunden (blockchain). Das ergibt einen so genannten Hashbaum oder Hashkalender. In der Regel ist die Liste verteilt und öffentlich einsehbar, also weder vertraulich noch zentralisiert. Das Gebilde heisst Distributed Open Ledger (DOL). Zur Signatur der Transaktionen wird ECDSA (Elliptic Curve Digital Signature Algorithm) eingesetzt. Bei einer Schlüssellänge von 512 Bit ergibt sich eine Sicherheitsmarge von 256 Bits. Die zum Einsatz gelangenden Hashes sind SHA256 und RIPEM-160 sowie SHA3-256. Da diese zugrundeliegenden Algorithmen nicht quantensicher sind, ist es die Blockchain auch nicht.

Blockchain kompensiert PKI-Unzulänglichkeiten

Es existieren heute bereits einige Implementationsansätze von Blockchain in der PKI, die deren Schwachstellen zu kompensieren versuchen:

  • IKP (Instant Karma PKI). Dabei geht man das Problem von möglichem Missverhalten einer Zertifikatsinstanz (CA) via Blockchain an.
  • DPKI (Dezentralisierte PKI). Bei diesem Ansatz wird die Kontrolle über die Online-Identitäten zu den Entitäten zurückgegeben, zu denen sie gehören.
  • Unterstützung von ausführlichen Zugangsdaten mit einer Blockchain-PKI. Dabei werden widerrufene Zertifikate auf der lokalen Kopie der Blockchain gecheckt.
  • KSI (Keyless Signature Infrastructure). Ein weltweit verteiltes System, das Zeitstempel und digitale Signaturservices anbietet. Dieses ist nicht anfällig für Schlüsselkompromittierungen und eignet sich deshalb zum Langzeitschutz von digitalen Signaturen – aber er eignet sich nicht für Verschlüsselung.

Argumente für Blockchain:

  • Hohe Verfügbarkeit
  • Betrieb durch eine dezentrale Autorität
  • Jeder Beteiligte kann alle Modifikationen überprüfen, die Daten oder sogar der Code sind zugänglich

Argumente gegen Blockchain:

  • Skalierbarkeit und Durchsatzkapazität sind gering
  • Wenn jemand mehr als die Hälfte der Verwalter der verteilten Datenbank kontrolliert, bestimmt er auch die Neueinträge im Ledger
  • Der  Verlinkungsprozess würde viel zu viel Leistung verbrauchen
  • Die verwendeten Algorithmen sind nicht quantensicher

Blockchain bietet also wie bereits gezeigt keine langfristige Absicherung der PKI.

Wie man sich trotzdem wappnen kann

Bevor die Post-Quantum-Kryptografie zur Verfügung steht, können sich Organisationen schützen, indem sie folgende Dinge verifizieren:

  • Arbeiten alle kritischen Applikationen mit Zertifikaten?
  • Gibt es einen Prozess zur Aufdatierung der Kryptografie-Grundsätze?
  • Ist die PKI-Strategie up-to-date?
  • Stimmen Schlüssel- und Zertifikatsmanagement mit dem Business überein?
  • Ist der Schlüssellebenszyklus up-to-date?
  • Ist Zertifikatsvalidierung up-to-date?
  • Kenne ich die aktuellen Standards betreffend quantensichere Algorithmen?
  • Etc.

Zusätzlich sollte man ein Inventar erstellen, in dem alle Applikationen und Kommunikationskanäle aufgeführt sind, die asymmetrische Kryptografie benützen.

Angenommen, die Postquantenkryptologie (PQC) stehe zur Verfügung, dann sollte man

  • einen Prozess etablieren, mit dem der Reifegrad des PQC-Algorithmus verifiziert wird
  • Den PQC-Algorithmus auf den betroffenen Kommunikationskanälen und Applikationen integrieren

„Bringt es überhaupt etwas, in die Korrektur einer schlecht implementierten PKI zu investieren, wenn sie mit dem Quantencomputer sowieso x-fach gehackt werden kann?“ Diese Frage stellte ein Teilnehmer aus dem Publikum, wohl stellvertretend für viele. André Clerc bestätigte dies: „Jetzt ins Flicken investieren ist gut. Es ist ja noch Zeit. Hat man diese Arbeit getan, müssen nur noch die Algorithmen angepasst werden.“

Präsentation „Blockchain and PKI“ von André Clerc 

Andre Clérc Temet on blockchain and pki
André Clerc: „Da die zugrunde liegenden Algorithmen nicht quantensicher sind, ist es Blockchain bisher auch nicht.“

Fazit

Zusammenfassend empfiehlt sich folgendes Vorgehen, um für die Zukunft gewappnet zu sein:

  • Schlüsselmanagement überprüfen: Wer seine Hausaufgaben macht und ein sauberes, detailliert verifiziertes Schlüsselmanagement für die PKI aufbaut und zusammen mit dem ganzen PKI-Prozess dokumentiert, ist gut gewappnet für die Zukunft. Dazu gehört auch:
  • Schlüssellängen vergrössern: Symmetrische Schlüssel ab 256 Bit sind nach bisherigen Erkenntnissen auch für Quantencomputer nicht zu knacken. Ebenso sollten die Schlüssellängen in asymmetrischen Verfahren wie RSA auf mindestens 3072 Bit oder sogar 4096 Bit vergrössert werden, wenn Daten für Langzeitspeicherung damit geschützt werden.
  • Schlüssel schützen: Verschlüsselung nützt nur etwas, wenn die Schlüssel gut geschützt gespeichert werden. Dies ist nur in einem vertrauenswürdigen Hardware Security Modul gewährleistet.

 

  • Blockchain als derzeit vielgenannte Technologie bietet zwar interessante Ansätze, eignet sich jedoch noch nicht zum Schutz der PKI ­– erst recht nicht im Fall einer Zukunft mit Quantencomputern, solange keine quantenresistenten Algorithmen implementiert sind.
  • Hardware Security Module (HSM) von einem vertrauenswürdigen Hersteller wie Securosys schützen Schlüssel vor Zugriffen, können mit grösseren Schlüsseln arbeiten und unterstützen ein seriöses Schlüsselmanagement. Zudem bieten HSM von Securosys auch die Möglichkeit, in Zukunft mit quantensicheren Algorithmen aufgerüstet zu werden. Sie bieten den nötigen Schutz für die PKI ­– auch in einer Zukunft mit Quantencomputern.