PQC – Wie Sie Ihre PKI bereit für das Quantenzeitalter machen

Das Quantenzeitalter ist nahe. In wenigen Jahren schon werden Angreifern die ersten Quantencomputer mit solch hoher Rechenleistung zur Verfügung stehen, dass sie derzeit noch als sicher geltende Verschlüsselungsalgorithmen innerhalb kürzester Zeit werden ‚knacken‘ können.

Doch ist die Entwicklung der Post Quantum Cryptography (PQC) – neuer quantenresistenter Algorithmen – glücklicherweise schon weit vorangeschritten. Im Sommer des vergangenen Jahres hat das NIST der Öffentlichkeit die drei ersten quantenresistenten Algorithmen, FIPS 203, 204 und 205, vorgestellt.

Das Problem: viele Unternehmen kommen mit der Umstellung ihrer PKI auf PQC nur langsam voran. Nicht wenige stecken immer noch in der Planungsphase fest. Ihre Kryptoagilität ist nur schwach entwickelt. Dies zeigt auch der unlängst erschienene State of Quantum Readiness-Report von Keyfactor. 80 Prozent der befragten IT-Entscheider äußerten dort Zweifel, ob es ihnen gelingen würde, die Kryptographie ihres Unternehmens noch rechtzeitig auf die anstehende Zeitenwende umzustellen.

Tatsächlich handelt es sich bei der Umstellung der PKI auf PQC um ein kompliziertes, ein komplexes, ein langwieriges Verfahren. Leicht kann eine vollständige Umstellung mehrere Jahre in Anspruch nehmen. Eine effektive und effiziente Umstellung auf PQC umfasst:

1. PQC-Planung: Der erste Schritt ist die Erstellung einesstrategischen PQC-Umstellungsplans, der sämtliche Ressourcen, die ein Unternehmen für seine umfassende PQC-Umstellung benötigt, auflistet und angibt, wie diese eingesetzt werden sollen. Außerdem führt er sämtliche Systeme auf, die einer PQC-Aktualisierung bedürfen, gibt an, wie die Änderungen zu implementieren sind und wie PQC in die bestehenden Risikomanagementverfahren integriert werden kann. Ein realistischer Zeitplan für die wichtigsten Etappenziele rundet eine effektive PQC-Planung ab.
2. PQC-Inventarisierung: Der zweite Schritt ist die Erstellung eines lebendigen zentralen Inventars sämtlicher kryptografischer Ressourcen. Hierzu müssen: sämtliche Verschlüsselungscodes identifiziert werden, sämtliche kryptographischen Algorithmen katalogisiert werden, sämtliche angeschlossenen Geräte (Server, IoT, Medizintechnik, Kraftfahrzeuge, etc.) nachverfolgt werden, sämtliche Kommunikationsprotokolle dokumentiert werden, sämtliche digitalen Zertifikate und ihre Abhängigkeiten identifiziert werden und sämtliche Dienste Dritter, die sensible Daten verarbeiten, bewertet werden.
3. PQC-Sicherheit: Im dritten Schritt geht es dann darum, die eigene Sicherheit umfassend auf PQC anzuheben. Neben der Einführung eines Zero Trust-Modells mit PQC-Standards sollten auch für PQC entwickelte Sicherheitstools implementiert und regelmäßig zum Einsatz gebracht werden. Darüber hinaus sollten die Cybersicherheitsteams in PQC-Sicherheit geschult werden – insbesondere in der sicheren Schlüsselverwaltung. Abgerundet werden sollte die PQC-Sicherheit mit der Erstellung eines PQC-Notfallplans und mehrerer PQC-Krisenreaktionspläne sowie der Einführung eines regelmäßigen, leicht verständlichen PQC-Reportings für Entscheidungsträger und Investoren.
4. PQC-Einführung: Im abschließenden vierten Schritt schließlich geht es dann um die praktische Einführung der – bislang drei – NIST-geprüften PQC-Algorithmen. Dabei muss berücksichtigt werden, dass diese Algorithmen für unterschiedliche Zwecke konzipiert worden sind. ML-KEM beispielsweise, eignet sich am besten für eine allgemeine Verschlüsselung – zum Beispiel zur Sicherung der Kommunikation. ML-DSA dagegen, ist besser für digitale Signaturen geeignet – zum Beispiel zum Signieren von Software und zur Authentifizierung von digitalen Identitäten. Was IT-Entscheider auch bedenken sollten: Da bis zum Auftauchen der ersten Quantencomputer noch einige Zeit vergehen wird, da auch die ersten Quantencomputer, mit einer gewissen Wahrscheinlichkeit, klassische Verschlüsselungen noch nicht durchbrechen können werden, sollten Unternehmen ihre PQC-Umstellung mit einer Übergangsphase planen. In dieser Phase müsste ein Hybridmodell, eine Kombination aus klassischen und PQC-Algorithmen, zur Anwendung gebracht werden.

Die vier Schritte auf dem Weg zu einer quantenresistenten PKI zeigen: bei der PQC-Umstellung gilt es, Einiges zu beachten. Viele Unternehmen werden deshalb nicht umhinkommen, auf externe spezialisierte PQC-Experten und PKI-Anbieter, die sich bereits tief in die PQC-Materie eingearbeitet haben, zurückzugreifen. Auch zur Nutzung automatischer PKI-Lösungen, die helfen können, die Umstellung auf PQC zu beschleunigen, kann nur geraten werden. Einige der Anbieter stellen mittlerweile sogar PKI-Sandboxes zur Verfügung, mit denen sich der Einsatz quantenresistenter Zertifikate testen lässt. Ihr Einsatz ist nur zu begrüßen. Bleibt Unternehmen doch nicht mehr viel Zeit, ihre Systeme bereit für das Quantenzeitalter zu machen.