Kryptoinventar erstellen: Cryptography Bills of Materials
Ein Kryptoinventar ist wichtig für die Migration zur Post-Quanten-Kryptografie im Unternehmen. Der Standard CycloneDX ermöglicht die Inventarerstellung.
- Klaus Schmeh
Wird es jemals Quantencomputer geben, die RSA und andere kryptografische Verfahren knacken können? Und wenn ja, wann wird es so weit sein? Diese Fragen kann derzeit niemand seriös beantworten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss jedoch vom Worst Case ausgehen und hat daher als Arbeitshypothese festgelegt, dass der Q-Day – also der Tag, von dem an kryptografisch relevante Quantencomputer einsatzfähig sind – in etwa zehn Jahren zu erwarten ist. Andere nationale Sicherheitsbehörden, darunter die National Security Agency (NSA) in den Vereinigten Staaten oder die französische ANSSI, sehen die Sache ähnlich.
Immerhin sind die ersten Hürden auf dem Weg in eine quantensichere Zukunft bereits genommen. So hat die US-Behörde NIST die ersten Post-Quanten-Kryptoverfahren standardisiert, einige weitere dürften folgen. Verschiedene Arbeitsgruppen arbeiten daran, kryptografische Netzwerkprotokolle wie S/MIME, TLS oder IPsec entsprechend anzupassen. Andere beschäftigen sich mit der Frage, wie man Post-Quanten-Verfahren in Chipkarten, eingebetteten Systemen und anderen ressourcenschwachen Umgebungen nutzen kann – keine einfache Aufgabe, denn man hat es oft mit langen Schlüsseln und rechenintensiven Algorithmen zu tun.
- Der Standard CycloneDX ermöglicht die Erstellung maschinenlesbarer Cryptography Bills of Materials (CBOMs).
- Es gibt Detection-Tools, die CBOM-Einträge automatisch finden, sowie Programme, die CBOMs auswerten. Trotzdem ist bei der Erstellung Handarbeit notwendig.
- CBOMs werden derzeit vor allem genutzt, um die Migration zu Post-Quanten-Verfahren vorzubereiten. Sie sind jedoch auch fĂĽr Evaluierungen, Compliance und das Sicherheitsmanagement von Nutzen.
So langsam müssen auch die IT-Abteilungen in den Unternehmen und Behörden aktiv werden, wenn sie die Umstellung auf Post-Quanten-Verfahren rechtzeitig bewältigen wollen. Dabei müssen sie berücksichtigen, dass viele verschlüsselte Daten einige Jahre lang sicher bleiben sollten. Es reicht daher nicht, bis zum Q-Day auf quantensichere Methoden umzusteigen, vielmehr muss dies schon ein paar Jahre vorher passieren. Ansonsten kann ein Angreifer, dem ein Quantenrechner zur Verfügung steht, zumindest ältere Verschlüsselungen knacken (store now, decrypt later).
Das war die Leseprobe unseres heise-Plus-Artikels "Kryptoinventar erstellen: Cryptography Bills of Materials". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
