Post-Quantum-Kryptographie und E-Mail-Sicherheit
Verschlüsselung ist die Basis für sichere elektronische Kommunikation. Egal ob privat oder geschäftlich – eine wirkungsvolle Kryptographie sorgt dafür, dass sensible Daten nur den Personen zugänglich sind, für die sie bestimmt sind. Durch das Verschlüsseln Ihrer Kommunikation schützen Sie sensible Daten vor illegalem Zugriff. Quantencomputer könnten viele kryptographische Systeme aber zukünftig nutzlos machen. Was also ist für eine sichere Post-Quanten-Kryptographie erforderlich?
Heutige Kryptosysteme
Die heutzutage für das Verschlüsseln eingesetzten Kryptosysteme sind meist asymmetrisch, das bedeutet, dass im Gegensatz zu einem symmetrischen Kryptosystem die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel benötigen. Bei dieser sogenannten Public-Key-Kryptographie erzeugen beide Parteien eigene Schlüsselpaare, die aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) bestehen.
Mit Hilfe des öffentlichen Schlüssels können die zu übertragenden Daten für den Besitzer des privaten Schlüssels verschlüsselt werden. Mit dem privaten Schlüssel kann dessen Besitzer die verschlüsselten Daten entschlüsseln, digitale Signaturen erzeugen oder sich authentisieren.
Bekannte asymmetrische Kryptosysteme sind beispielsweise die Elliptic Curve Cryptography und RSA.
Das RSA-Verfahren ist beispielsweise darauf aufgebaut, dass es im Allgemeinen schwierig ist, große Zahlen in ihre Primfaktoren zu zerlegen. Üblicherweise werden kryptographische Schlüssel mit einem Public-Key-Verfahren asymmetrisch vereinbart, um dann Nachrichten mit einem symmetrischen Algorithmus wie beispielsweise dem Advanced Encryption Standard (AES) zu verschlüsseln.
Wie lange ist Public-Key-Kryptographie noch sicher?
Auch wenn es mit den heutigen Mitteln nicht möglich ist, die gängigen Public-Key-Verfahren zu brechen, wird dies nicht mehr der Fall sein, wenn Quantencomputer eine bestimmte Leistungsgrenze überschritten haben und verfügbar sind. Tatsächlich wurde bereits 1994 von Peter Shor ein Algorithmus vorgestellt, der die asymmetrische Verschlüsselung brechen kann. Allerdings ist dieser Algorithmus nicht auf klassischen Computern umsetzbar.
Die Entwicklung eines Quantencomputers, auf dem Shors Algorithmus “sachdienlich” implementiert werden kann, würde asymmetrische Kryptographie nutzlos machen. Symmetrische Kryptosysteme wie AES gelten aktuell als quantensicher und könnten durch einen Quantencomputer mit Shors Algorithmus nicht gebrochen werden. Allerdings wäre dies mit Hilfe eines Quantencomputers möglich, der den Grover-Algorithmus anwendet.
Noch sind Quantencomputer nicht verfügbar
Ein Quantencomputer, der in der Lage ist, kryptographische Verfahren zu brechen, ist derzeit also nicht verfügbar. Die Entwicklung hat aber an Fahrt aufgenommen. Kryptographisch relevante Quantencomputer hält eine Studie des BSI für aktuell eher unwahrscheinlich. Die Studie weist allerdings darauf hin, dass für kryptographische Anwendungen, die Informationen mit langen Geheimhaltungsfristen und hohem Schutzbedarf verarbeiten, Handlungsbedarf besteht: Das Sammeln von Daten auf Vorrat, um diese später mit Hilfe eines Quantencomputers zu entschlüsseln (“store now, decrypt later”) ist bereits als Problem und große Gefahr erkannt worden.
Quantencomputer bedrohen kryptographische Verfahren
Die Sicherheit von kryptographischen Verfahren ist also durch Quantencomputer bedroht, und der Einsatz eines praktisch einsatzfähigen Quantencomputers würde die Sicherheit von E-Mail-Verschlüsselung über Online-Banking bis zu den heutigen Chat-Anwendungen brechen.
So haben Apple und Signal bereits ihre Ansätze zur Post-Quanten-Kryptographie (Post Quantum Cryptography, PQC) vorgestellt, mit denen sie sicherstellen wollen, dass über iMessage und Signal ausgetauschte Nachrichten auch im Zeitalter der Quantencomputer geschützt sind.
Sicherheit braucht Standards
Wie oben erwähnt implementieren einzelne Anbieter proprietärer Lösungen auf Basis der eigenen Forschungen bereits ihre Ansätze zur quantensicheren Kryptographie. Auch wir bei NoSpamProxy beobachten die Entwicklungen im Bereich Quantencomputer genau und würden am liebsten heute mit der Entwicklung eigener Lösungen beginnen.
Als Anbieter einer Sicherheitslösung, die bewährte Standards wie S/MIME und TLS nutzt, sind wir aber auf eine solche Standardisierung angewiesen. Wir können nicht einfach einen Algorithmus heraussuchen und diesen ohne abgeschlossenen Standardisierungsprozess in unser Produkt implementieren. Die für S/MIME und TLS zuständigen Gremien müssen zuerst eine Entscheidung treffen, bevor wir mit der Implementierung beginnen können.
Die Suche nach dem Post-Quantum-Standard läuft
Und einen Standardisierungsprozess gibt es: Bereits seit 2016 läuft ein Auswahlverfahren am National Institute of Standards and Technology (NIST), der in mehreren Runden quantensichere Algorithmen finden und zum Standard erheben will.
Aktuell läuft die vierte Runde des Verfahrens. Apple, Signal sowie weitere Anbieter haben sich bezüglich des Schlüsseleinigungsverfahrens aktuell für den Einsatz des CRYSTALS-KYBER-Algorithmus entschieden. AWS unterstützt zudem noch die Algorithmen BIKE und SIKE. Interessant ist schon hier, dass CRYSTALS-KYBER aktuell nicht in der aktuellen Verfahrensrunde des NIST erscheint. Das tut der aktuell vom BSI als “konservativste Wahl” empfohlene, gitterbasierte Algorithmus FrodoKEM allerdings auch nicht – er ist auf die Liste der alternativen Verfahren gesetzt worden. Eine weitere Empfehlung des BSI – der codebasierte Classic McEliece – steht bereits in Runde vier des NIST-Verfahrens. Und nur zur Erinnerung: Wir sprechen hier nur über eine Auswahl an Algorithmen zur Schlüsseleinigung. Verfahren zum digitalen Signieren umfassen weitere, hier nicht genannte Verfahren.
Löblich zu erwähnen ist in jedem Fall, dass sich alle genannten Anbieter für einen hybriden Ansatz entschieden haben, das heißt, dass quantencomputerresistente Verfahren nur in Kombination mit “klassischen” Verfahren (RSA und ECC) implementiert werden.
Ist das Auswahlverfahren des NIST abgeschlossen, ist es an den bereits erwähnten Gremien, die durch das NIST getroffene Entscheidung in die entsprechenden RFCs zu übernehmen. Dies wird weitere Zeit in Anspruch nehmen.
Flexibel trotz Standards
Obwohl wir Standards nutzen, hat es in der Vergangenheit durchaus Situationen gegeben, in denen wir flexibel reagieren konnten. Als Beispiel sei hier Efail genannt – eine Bedrohung, die wir mit Hilfe einer Anpassung des S/MIME-Standards entschärfen konnten.
Ebenso sei hier der oben bereits genannte AES genannt, der in NoSpamProxy an zwei Stellen zum Einsatz kommt: zum einen für die Verschlüsselung von Daten, die auf dem Webportal gespeichert sind, zum anderen für unseren Key Management Service. AES gilt aktuell als pragmatisch sicher, das heißt, dass kein praktisch durchführbarer Angriff bekannt ist. Sollte sich dies ändern, sind wir auch hier in der Lage, schnell zu reagieren und Anpassungen vorzunehmen, denn in diesen Fällen existiert keine “Gegenseite”, die mit uns kommunizieren muss.
Wie bereits erwähnt: Wir sind auf Standardisierung angewiesen. Trotzdem gibt es Möglichkeiten, Anpassungen vorzunehmen, damit NoSpamProxy auch in dieser Zeit des Übergangs das beste und fortschrittlichste Produkt für E-Mail-Sicherheit bleibt. Die Entscheidungen darüber treffen wir situationsabhängig – und immer mit dem Ziel, Ihre E-Mail-Kommunikation bestmöglich zu schützen.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
