Post-Quanten-Kryptographie: Wie sicher sind Post-Quanten-Algorithmen wirklich-
ID: 1936948
Quantencomputer: Die Gefahr, die aus der Zukunft kommt
Was vor einigen Jahren noch nach Science-Fiction klang, ist mittlerweile in greifbare Nähe gerückt: Quantencomputer, die mit einer bisher ungekannten Rechenleistung die heutige Kryptographie – und damit die gesamte digitale Infrastruktur – gefährden.
Zwar werden bis zu einem flächendeckenden Einsatz wohl noch einige Jahre vergehen, dennoch gilt es für Unternehmen, sich sicherheitstechnisch bereits jetzt auf das Quantenzeitalter vorzubereiten.
Mithilfe von Quantencomputer-resistenten Verschlüsselungsverfahren ist es heute schon möglich, die Vertraulichkeit und den Schutz von Informationen auch langfristig zu gewährleisten. Die sogenannte Post-Quanten-Kryptographie greift hierfür auf kryptographische Methoden zurück, die sowohl sicher gegenüber Angriffen mit Quantencomputern als auch gegenüber klassischen Angriffen sind.
Post-Quanten-Algorithmen im Wettbewerb um eine Standardisierung
2016 initiierte das US-amerikanische National Institute of Standards and Technology (NIST) einen Standardisierungsprozess, dessen Ziel es ist, mehrere Post-Quanten-Algorithmen für den Schlüsselaustausch und die digitale Signatur zu prüfen und zu standardisieren. Sieben Finalisten zogen dabei im vergangenen Jahr in die dritte und letzte Runde des Prozesses ein. Darunter unter anderem auch CRYSTALS-Kyber, ein gitterbasierter Algorithmus, der sich für die Verschlüsselung von Informationen die Komplexität von Gittern und damit ein schwieriges mathematisches Problem zu Nutze macht. Aber wie sicher ist dieser potenzielle Post-Quanten-Standard wirklich? Diese Frage haben sich IT-Sicherheitsexpert:innen der TÜV Informationstechnik GmbH (TÜViT) gestellt und CRYSTALS-Kyber genauer unter die Lupe – bzw. das Oszilloskop – genommen.
Post-Quanten-Sicherheit am Beispiel CRYSTALS-Kyber
Das Projekt-Team, bestehend aus Hauke Malte Steffen, Lucie Johanna Kogelheide und Timo Bartkewitz, untersuchte dabei einen Chip, auf dem der Post-Quanten-Algorithmus, wie vom Entwickler vorgesehen, implementiert wurde. Für die Prüfung des Chips legten sie zugrunde, was aus der klassischen Kryptographie bereits bekannt ist: Die Tatsache, dass aktuelle kryptographische Verfahren durch die Ausnutzung von Seitenkanälen angegriffen werden können.
„Im Fokus stand die Frage, ob wir trotz quantensicherer Verschlüsselung auf die eigentlich vertraulichen Daten des Chips zugreifen können“, erklärt Hauke Malte Steffen, Werkstudent der Abteilung Hardware Evaluation bei TÜViT. „Dazu haben wir in unserem Hardwarelabor den Strom gemessen, den der Chip während der Nachrichtenverschlüsselung verbraucht. Hintergrund ist, dass unterschiedliche Operationen auch zu einem unterschiedlichen Stromverbrauch führen, durch den wir wiederum Rückschlüsse auf die verschlüsselten Daten ziehen können.“ Mit Erfolg: Denn den IT-Sicherheitsexpert:innen gelang es, die Referenzimplementierung von CRYSTALS-Kyber anzugreifen und die Daten entsprechend auszulesen.
In einem nächsten Schritt überlegte sich das Projekt-Team deshalb, wie der gitterbasierte Algorithmus sicher implementiert werden kann. In diesem Rahmen entwickelten sie vier verschiedene Implementierungen mit einem jeweils komplexeren Grad an Gegenmaßnahmen. Darunter beispielsweise das Erstellen eines Dummys oder die Randomisierung von Bits. Das Ergebnis: Bereits die erste Stufe reduzierte die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich, die vierte Implementierung verhinderte diesen gänzlich.
„Unsere Prüfungen zeigen deutlich, dass es nicht ausreicht, Post-Quanten-Algorithmen einfach nur zu implementieren. Das alleine macht Produkte noch nicht sicher gegen Angriffe wie wir sie auch heute schon durchführen können“, resümiert Lucie Johanna Kogelheide, IT-Sicherheitsexpertin bei TÜViT. „Möchten Unternehmen ihre bisherigen Verschlüsselungsverfahren auf Post-Quanten-Kryptographie umstellen, erfordert dies viel Expertise sowie Erfahrung, um auch entsprechende Gegenmaßnahmen zu berücksichtigen und erfolgreich umzusetzen.“
Fazit
Im Standardisierungsprozess befinden sich derzeit verschiedene, bereits gut untersuchte Post-Quanten-Algorithmen. Neben einem sicheren Algorithmen-Design benötigt kryptographische Sicherheit allerdings auch eine sichere Implementierung. Das hat die exemplarische Untersuchung von CRYSTALS-Kyber im TÜViT-Hardwarelabor noch einmal deutlich gezeigt. Unternehmen, die sich heute schon fit für das Quantenzeitalter machen möchten, sollten daher auf professionelle Unterstützung setzen. Denn nur so ist am Ende gewährleistet, dass vertrauensvolle Daten auch langfristig und effektiv geschützt werden.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
Datum: 28.10.2021 - 13:55 Uhr
Sprache: Deutsch
News-ID 1936948
Anzahl Zeichen: 6440
Kontakt-Informationen:
Stadt:
Essen
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 233 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Post-Quanten-Kryptographie: Wie sicher sind Post-Quanten-Algorithmen wirklich-"
steht unter der journalistisch-redaktionellen Verantwortung von
TÜV Informationstechnik GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
TÜV Informationstechnik GmbH (TÜVIT) übernimmt die unabhängige Sicherheitsbewertung, TÜV NORD CERT die Zertifizierungsentscheidung. Für Hersteller entsteht ein kontinuierlicher Weg zur EUCC-Zertifizierung als Nachweis für die Anforderungen des Cyber Security Acts (CSA) und des Cyber Resilienc
Digitale Gesundheit braucht Vertrauen– TÜVIT setzt Maßstäbe bei der Prüfung von digitaler Medizin ...
Gesundheit betrifft jeden. Mit der Digitalisierung wachsen jedoch auch die Anforderungen an Datenschutz, IT-Sicherheit und regulatorische Konformität. TÜV Informationstechnik (TÜVIT) zählt hier zu den führenden Prüfstellen in Deutschland, mit der höchsten Anzahl erfolgreich geprüfter Digital
Simon Ulmer verstärkt die Geschäftsführung der TÜV Informationstechnik GmbH ...
Im Zuge einer langfristigen Nachfolge- und Kompetenztransfer-Planung übernimmt Simon Ulmer (41) mit Wirkung zum 17.11.2025 die Rolle eines zweiten Geschäftsführers bei der TÜV Informationstechnik GmbH (TÜVIT), in Ergänzung zu Dirk Kretzschmar. Als international erfahrene Führungskraft mit sta
Weitere Mitteilungen von TÜV Informationstechnik GmbH
Safety-Engineering out of the Box ...
Pfaffenhofen a. d. Roth, 28. Oktober 2021. Die NewTec GmbH, Spezialist für sicherheitsrelevante elektronische Systeme, gibt den Marktstart ihrer neuen Safety-Engineering-Plattform NTSafeFlex STM32 bekannt. Mithilfe des enthaltenen Referenzdesigns und einer umfassenden Safety Library können Herstel
Safety-Engineering out of the Box ...
Die NewTec GmbH, Spezialist für sicherheitsrelevante elektronische Systeme, gibt den Marktstart ihrer neuen Safety-Engineering-Plattform NTSafeFlex STM32 bekannt. Mithilfe des enthaltenen Referenzdesigns und einer umfassenden Safety Library können Hersteller ihre Entwicklungszeiten für Anwendunge
R.I.P. ArchiveLink ...
Neu-Isenburg, 28. Oktober 2021 - Am Freitag, den 19. November 2021, findet um 10.00 Uhr das nächste kostenlose Webinar des Archivierungsspezialisten kgs statt. Im Fokussteht diesmal die innovative CMIS-Technologie und deren Relevanz für zuverlässige Archivierung in der Cloud. Weil der Einsa
Checkmarx präsentiert neue, integrierte Cloud Platform für Application Security ...
MÜNCHEN - 26. Oktober 2021 - Checkmarx, einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt heute den Launch der Checkmarx Application Security Platform™ bekannt - einer neuen Lösung, die CISOs, AppSec-Teams und Entwicklern dabei hilft, den s
