Starnberg, 05. März 2021 - Bedrohung für bestimmte kryptographische Verfahren und die Sicherheit der Blockchain; aktuelle Lösungsansätze zur Lösung dieser Problematik...
Zum Hintergrund: Laut dem Bundesamt für Informationssicherheit BSI (1) kann heute ein Großteil der auf breiter Basis eingesetzten asymmetrischen kryptographischen Verfahren schon nicht mehr als sicher betrachtet werden, sobald die Faktorisierung großer Ganzzahlen und die Berechnung sogenannter diskreter Logarithmen effizient möglich ist. Diese Beobachtung erklärt demzufolge auch das gestiegene Interesse an Quantencomputern in der Krypto-analytischen Forschung. Warum das so ist und welche Ansätze (es folgt eine subjektive Anbieter- und Researchauswahl ohne jeden Anspruch auf Vollständigkeit!) zur Lösung der Problematik Forschungs- und Industrieseitig entwickelt werden, soll kurz dieser zweite Teil dieses Blogbeitrags beleuchten (hier der Link zum Blogpost Teil 1):
Blogpost Teil 2 - IBM hat Ende November letzten Jahres eine Reihe von Cloud-Diensten und -Technologien angekündigt, die dabei unterstützen sollen, das aktuell höchstmögliche Maß an Schutz für kryptografische Schlüssel aufrechtzuerhalten, um bestehende Daten in der Cloud zu schützen und sich auf künftige Bedrohungen vorzubereiten, die sich aus der ständig wachsenden Leistungsfähigkeit von Quantencomputern ergeben könnten. Basierend auf der Arbeit von IBM Forschern bietet das Unternehmen jetzt quantensichere Kryptographie-Unterstützung für Schlüsselverwaltung und Anwendungstransaktionen in der IBM Cloud an und stellt damit einen ganzheitlichen und bereits heute verfügbaren quantensicheren Kryptographie-Ansatz vor. Dazu gehören laut Entwicker die Verbesserung von Sicherheitsstandards für die Datenübertragung zwischen Unternehmensnetzwerken und Cloud-Umgebungen sowie Angebote für einen verbesserten Datenschutz von besonders sensiblen Informationen. IBM’s Agenda umfasst danach vor allem die Forschung, Entwicklung und Standardisierung von quantensicheren Kryptographie-Kernalgorithmen mit Open-Source-Werkzeugen wie CRYSTALS und Open Quantum Safe.
Open Quantum Safe (OQS) ist ein Open-Source-Projekt, das die Entwicklung und Prototypisierung quantenresistenter Kryptographie unterstützen soll. OQS besteht aus zwei Hauptarbeitslinien: einer Open-Source-C-Bibliothek für quantenresistente kryptographische Algorithmen und Prototyp-Integrationen in Protokolle und Anwendungen, einschließlich der weit verbreiteten OpenSSL-Bibliothek. Link > https://openquantumsafe.org/
CRYSTALS "Cryptographic Suite for Algebraic Lattices" (CRYSTALS) umfasst zwei kryptographische Primitives: Kyber, ein IND-CCA2-sicherer Key-Encapsulation-Mechanismus (KEM), und Dilithium, ein hochgradig EUF-CMA-sicherer digitaler Signatur-Algorithmus. Beide Algorithmen basieren auf anspruchsvollen Problemen über Modulgitter, sind so konzipiert, dass sie Angriffen von großen Quantencomputern standhalten, und wurden beim NIST-Projekt für Post-Quanten-Kryptographie eingereicht. Quelle/Link > https://pq-crystals.org/
Bildquelle: OQS (siehe oben).
1. IBM Key Protect - Als nächsten Schritt auf dieser Agenda bringt IBM nun Verschlüsselungsfunktionen ein, die von Kryptographen der IBM-Forschung selbst entwickelt wurden. IBM Key Protect ist ein Cloud-basierter Service, der die Verwaltung des Lebenszyklus von Verschlüsselungsschlüsseln ermöglicht, die in IBM Cloud-Diensten oder kundenspezifischen Anwendungen verwendet werden. Dieser liefert jetzt die Möglichkeit, eine quantensichere kryptografisch aktivierte Transport Layer Security (TLS)-Verbindung zu verwenden, die beim Schutz der Daten während der Verwaltung des Lebenszyklus der Schlüssel unterstützt.
Weitere Funktionen zur Unterstützung der quantensicheren Kryptographie, um gesicherte Anwendungstransaktionen zu ermöglichen, betreffen laut IBM native, containerisierte Cloud-Anwendungen unter Red Hat OpenShift, die auf der IBM Cloud oder als IBM Cloud Kubernetes Services ausgeführt werden; hier können gesicherte TLS-Verbindungen Anwendungstransaktionen mit Unterstützung für quantensichere Kryptografie während der Datenübermittlung unterstützen und vor potenziellen Sicherheitsverletzungen schützen. Die IBM Cloud bietet dazu neue Funktionen zur Sicherung von Anwendungstransaktionen und sensiblen Daten unter Verwendung der IBM Cloud Hyper Protect Crypto Services, die durch die "Keep Your Own Key"-Funktion laut IBM-Entwickler den branchenweit höchsten Schutz bei der Verschlüsselung kryptographischer Schlüssel bieten. Sie basieren auf FIPS-140-2 Level 4-zertifizierter Hardware - der höchsten Sicherheitsstufe, die von allen Cloud-Anbietern in der Branche für kryptografische Module angeboten wird [2] - und ermöglichen den Kunden die exklusive Schlüsselkontrolle und damit die Autorität über die durch die Schlüssel geschützten Daten und Arbeitslasten.
Entwickelt für Anwendungstransaktionen, bei denen ein höherer Bedarf an fortschrittlicher Kryptographie besteht, können IBM Cloud-Kunden ihre privaten Schlüssel innerhalb des Sicherheitsmoduls der Cloud-Hardware gesichert halten, während TLS an IBM Cloud Hyper Protect Crypto Services ausgelagert wird, um eine sichere Verbindung zum Webserver herzustellen. Sie können auch die Verschlüsselung sensibler Daten, wie z. B. einer Kreditkartennummer, auf Anwendungsebene erreichen, bevor sie in einem Datenbanksystem gespeichert werden.
2. ADVA FSP 3000 / ID Quantique - Ein weiteres Beispiel betrifft die quantensichere Datenübertragung im aktuellen Feldversuch bei Colt Technology Services. Der Versuch nutzt FSP 3000 Systeme des Netzwerkspezialisten ADVA zusammen mit Schlüsseln, die mittels QKD-Technologie von ID Quantique auf Basis Quanten-Zufalls-Bit-Strings als zusätzliche Entropiequelle erzeugt werden. Colt hat mit der ADVA FSP 3000-Plattform und ConnectGuard™ Layer 1 Verschlüsselung eine quantensichere Verbindung hierzu erfolgreich durchgeführt.
Der Test nutzte quantenbasierte Schlüsselverteilung (Quantum Key Distribution, QKD) zur sicheren Verschlüsselung von Live-Datenverkehr und demonstrierte wie geschäftskritische Dienste auch vor massiven Angriffen geschützt werden können. Die Erprobung im Metro-Netz von Colt in Frankfurt zeigt auf, wie sich Unternehmenskunden sicher mit der Cloud verbinden und sensible Daten nachhaltig schützen können. ADVAs Partner ID Quantique hatte danach einen wesentlichen Anteil an dieser erfolgreichen Erprobung.
3. fragmentiX Storage Solutions GmbH - ein österreichisches IT-Sicherheitsunternehmen in der Nähe von Wien, entwickelt und produziert mit der fragmentiX Quantum Safe Storage Appliance bereits eine Lösung zum Schutz sensibler Datenbestände in hybriden Cloud-Speicherumgebungen für den globalen IT-Markt. Im Rahmen des EU-Projekts OpenQKD kooperiert die fragmentiX Storage Solutions GmbH derzeit mit 37 Partnern, um einer europaweiten quantensicheren digitalen Infrastruktur näher zu kommen. Quantum Key Distribution (QKD) sorgt für einen konstanten Fluss von geheimen digitalen kryptographischen Schlüsseln zwischen zwei Orten in einem Computernetzwerk.
Die Sicherheit von QKD basiert auf einzelnen Photonen und deren Eigenschaften, die über reguläre und existierende optische Fasern übertragen werden. Die Quantennatur der Photonen selbst sorgt dafür, dass jeder Versuch, eine QKD-geschützte Datenverbindung abzufangen - z. B. durch Lesen oder Kopieren - ihren Zustand verändert und damit sofort nachweisbar ist. Dies macht es unmöglich, den Schlüsselaustausch zu kompromittieren, ohne die Informationen für den beabsichtigten Empfänger zu zerstören. Da QKD eine potente Sicherheitsmaßnahme für Daten auf dem Transportweg ist, passt sie laut Anbieter ideal zu den fragmentiX Storage Appliances, die informationstheoretische Sicherheit für die Datenspeicherung in öffentlichen oder hybriden S3-Buckets bieten.
Aufgrund der noch hohen Kosten und der begrenzten physikalischen Entfernungen zwischen zwei Punkten einer QKD-Verbindung wurde diese Technologie laut Anbeiter bisher allerdings nur zum Schutz hochsensibler Daten in kritischen Branchen wie Finanzen, kritische Infrastruktur, Verteidigung und jetzt beginnend im Gesundheitswesen, eingesetzt.
Weiterer Quellen: