Maschinenidentitäten als Schlüssel der Post Quanten-Verschlüsselung

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Das European Policy Center hat ein Strategiepaper zur Vorbereitung auf eine Postquanten Cybersicherheits-Welt vorgestellt. Mit dem Titel „A quantum cybersecurity agenda for Europe“ geht es der Autorin Andrea Rodriguez darum, innerhalb des europäischen Wirtschaftsraumes auf die Cybergefahren hinzuweisen, die Fortschritte im Quanten Computing mit sich bringen. Sie stellt darin die Forderung nach einem koordinierten Aktionsplan auf, um einen harmonisierten Übergang zur Post-Quantum-Verschlüsselung zu gewährleisten. Dieser soll bei der Erkennung und dem Schutz vor Cyberbedrohungen als Instrument helfen. Einer der zentralen Punkte ist die Unterstützung von Organisationen bei der Festlegung von Prioritäten für den Übergang zur Post-Quanten-Verschlüsselung. Weiter wird die Förderung der kryptografischen Agilität empfohlen, um auf entstehende Schwachstellen in Post-Quantenverschlüsselungssystemen zu reagieren.

Kevin Bocek, VP Ecosystem & Community bei Venafi kommentiert wie folgt:

Sicherlich ist es klug für alle Organisationen von einem Cyberangriff auszugehen, vor allem, wenn die Umstellung auf Post-Quanten-Verschlüsselungsverfahren wie derzeit von der NIST standardisiert, mehr als 10 Jahre dauern wird. Und es ist wahrscheinlich, dass einige der Industrie-4.0-Geräte in einer Post-Quantenwelt in 10 Jahren nicht rechtzeitig umgestellt werden können. Aber das bedeutet nicht, dass der Himmel morgen einstürzen wird.

Je mehr in der IT von Krypto-Agilität gesprochen wird, desto mehr ist es einfach nur Unsinn. Die meisten Organisationen entscheiden nicht, welche Verschlüsselung sie verwenden wollen – sie ist in die Anwendungen, die Cloud und die einzelnen Geräte bereits vorab integriert. Was bei der ganzen Diskussion bislang zu kurz kommt, sind Maschinenidentitäten und deren Rolle. Sie müssen ausgetauscht werden, wenn die Anwendungen für eine Post-Quantenwelt bereit sein sollen. Cyberkriminelle werden sie sonst als Ziel erkennen, Schwachstellen ausnutzen und darüber die Organisationen angreifen.

Was hier auf die Organisationen zukommt, ist vergleichbar mit der Umstellung auf SHA-1. Seit Jahren planen Anbieter von Webbrowsern wie Google Chrome und Mozilla Firefox SHA-1-Zertifikate zu blockieren. Sie warnten bereits 2016, dass Besucher einer Webseite mit einem Warnhinweis konfrontiert werden würden, wenn diese Website noch SHA-1-Zertifikate verwendet. Neben Chrome haben sich auch andere beliebte Webbrowser wie Firefox und Microsoft Edge der Sperrung von SHA-1-Zertifikaten angeschlossen. Trotz der großen Aufmerksamkeit für die Umstellung von SHA-1 auf SHA-2 verwendeten im Jahr 2017 immer noch 21 Prozent der untersuchten Webseiten SHA-1-Zertifikate. Es steht zu befürchten, dass hier eine ähnliche Situation eintritt und zusätzliche Unsicherheit entsteht.

Quantencomputer werden in der Lage sein, nicht nur aktuell übermittelte, sondern auch alle gespeicherten Daten zu entschlüsseln. Cyberkriminelle könnten die Technologie beispielsweise für einen Man-in-the-Middle-Angriff und andere Hacking-Methoden verwenden. Organisationen sollten sich weltweit darum kümmern, dass bei der Vorbereitung auf eine Postquanten-Welt nicht die gleichen Fehler wie bei der Umstellung auf SHA-2 geschehen. Die Verantwortung für die Verwaltung von Maschinenidentitäten und das Patchen von Anwendungen, um diese quantensicher zu machen, spielt dabei eine große Rolle. Der beste Weg, dies heute schon zu tun, ist über eine zentrale Management-Instanz eines Control Planes zu gehen. Diese Kontrollebene bietet eine automatisierte, kontinuierliche Sichtbarkeit und ein Monitoring des gesamten Ökosystems der Maschinenidentitäten innerhalb einer Organisation. Maschinenidentitäten können dann automatisch widerrufen und aktualisiert werden, was dazu beiträgt, die digitale Transformation zu beschleunigen, Sicherheitsrisiken zu reduzieren und Ausfälle zu vermeiden. Dann gelingt auch der Übergang zu einer Post-Quanten-Ära, wenn Maschinenidentitäten identifiziert, widerrufen und neu ausgegeben werden, die dann mit quantenresistenten Algorithmen kompatibel sind.