By Dan O'Shea gepostet am 02
Fast einen Monat, nachdem das National Institute of Standards and Technology seine erste Post-Quanten-Kryptographie (PQC) vorgestellt hat, sieht es allmählich viel mehr so aus, als wäre die NIST-Ankündigung eher der Beginn eines langen Prozesses als der Höhepunkt eines solchen.
Der damit eingeleitete lange Prozess ist einer der Bewertung. Während viele Unternehmensorganisationen und Regierungsbehörden in den letzten Monaten begonnen haben, ein Gefühl der Dringlichkeit zu entwickeln, sich vor Quantenbedrohungen zu schützen, werden ihre Migrationen zu PQC laut Johannes Lintzen, Geschäftsführer von Cryptomathic, nicht über Nacht erfolgen. Das vor 37 Jahren in Aarhus, Dänemark, gegründete Unternehmen verfügt über viel Erfahrung mit solchen Migrationen.
Unternehmen, die ihre PQC-Migrationen überstürzen, riskieren die Möglichkeit, ihre PQC-Anforderungen falsch zu verstehen, sowie das Potenzial, Standards zu übernehmen, die noch nicht ausgereift sind, sagte Lintzen.
Lintzen bemerkte, dass Organisationen nach der NIST-Ankündigung drei Optionen hätten, von denen die erste darin besteht, überhaupt nichts zu tun. „Es einfach zu ignorieren, ist wahrscheinlich das Schlimmste, was man tun kann“, sagte er.
Die zweite Option besteht darin, schnell in die Migration auf neue Sicherheit einzusteigen. „Man könnte sagen: ‚Nun, es wurde angekündigt, also werden wir es jetzt umsetzen“, sagte er. „Ich denke, das ist ein gültiger Ansatz, aber er könnte später zu einer weiteren Neuimplementierung führen, nur weil sich diese kryptografischen Systeme im Laufe der Zeit weiterentwickeln. Bis es vollständig standardisiert ist, werden wir eine weitere, vielleicht zwei Jahre dauernde Testphase und zusätzliche Versuche zum Auffinden von Schwachstellen erleben.“
Die dritte Option, die von Cryptomathic empfohlen wird und die anscheinend von einer wachsenden Zahl von Cybersicherheitsfirmen unterstützt wird, besteht darin, mit einer unternehmensweiten Bewertung und Hausreinigung zu beginnen – um herauszufinden, welche Algorithmen und Schutzsysteme derzeit verwendet werden, welche Geräte, Systeme und Daten müssen besser geschützt werden, darunter die kritischsten, und die Planung einer Migration, die selbst neben der Implementierung weitere Evaluierungs- und Testschritte umfasst.
Wenn Sie all dies zuerst tun, wird eine Organisation „kryptoagiler“, was letztendlich wichtiger sein kann, als PQC so schnell wie möglich hinzuzufügen.
„Treten Sie einen Schritt zurück, analysieren Sie, machen Sie Ihre Systeme bereit“, sagte Lintzen. „So viel Krypto-Agilität wie möglich erreichen. Priorisieren Sie mit Gewissheit Bereiche in Ihrer Organisation, die einer genaueren Prüfung unterzogen werden als andere. Identifizieren Sie die Anwendungsfälle, die wichtig sind. Erstellen Sie eine Aktionsliste für die nächsten drei bis fünf Jahre, wie Sie alle Ihre Systeme migrieren werden.“
Der Besitz von Krypto-Agilität wird es Unternehmen ermöglichen, besser auf alles vorbereitet zu sein, was als nächstes kommt – nicht nur auf die anfänglichen NIST-Standards, sondern auch auf potenzielle zukünftige Standards, da möglicherweise noch weitere folgen werden. Es wird auch den IT-Mitarbeitern dieser Gruppen helfen, besser auf Änderungen zu reagieren, wie z. B. das Brechen bestimmter Algorithmen und die wachsende Notwendigkeit, immer komplexere Sicherheitsumgebungen zu verwalten.
Während es einige Zeit dauern wird, bis Benutzerorganisationen ihre Häuser in Ordnung bringen, kann es auch einige Zeit dauern, bis sich das Cybersicherheits-Ökosystem organisiert, um massive Migrationen in mehreren Branchen zu unterstützen. Während zahlreiche PQC-Spezialisten in den letzten Jahren gegründet wurden, um sich um die Migration zu kümmern, zusammen mit langjährigen Firmen wie Cryptomathic, sagte Lintzen, dass viele dieser Software-fokussierten Unternehmen von den Herstellern von Hardware-Sicherheitsmodulen (HSM) abhängig seien, um dies zu können unterstützen PQC-Lösungen, und diese HSM-Anbieter haben ihre eigenen Produktzeitpläne.
Dennoch sagte Lintzen, es sei ermutigend zu sehen, dass so viele Unternehmen und Branchen beginnen, Sicherheit viel ernster zu nehmen, nachdem sie jahrzehntelang nicht als Priorität angesehen wurde.
„Es hat sich im Laufe der Jahre stark weiterentwickelt, weg davon, dass Kryptografie, Verschlüsselung und Schlüsselverwaltung nur noch eine wirkliche Nischensache waren, über die niemand wirklich sprach, und die nur von Compliance und nicht von Notwendigkeit angetrieben wurde“, sagte Lintzen. „Ich denke, was sich wirklich geändert hat, ist, dass kryptografische Operationen jetzt die Grundlage für so ziemlich die gesamte Kommunikation sind, die online stattfindet. Sie haben die Megatrends Digitalisierung und Cloudifizierung, bei denen Organisationen wie Banken beginnen, sehr sensible Abläufe in eine dienstleistungsbasierte Umgebung zu verlagern, weil sie von der Marktrealität dazu getrieben werden. Das Mittel zum Schutz digitaler Assets … es ist eine Kombination aus Kryptografie und Mathematik. Das spiegelt sich natürlich auch in unserem Namen wider. Für uns sind diese Technologien eindeutig der Kitt, der diese Grundlage zusammenhält.“
