Die Verwendung von Chameleon-Zertifikaten kann den Übergang zur Quantensicherheit auf Seiten der Zertifikatsverwaltung unterstützen. Um vollständig quantensichere Netze zu erreichen, müssen sowohl die Schlüsselvereinbarung als auch die Authentisierung quantensicher gemacht werden.

chamäleon

Zertifikate sind der Schlüssel zu modernen sicheren IT-Netzwerken

Digitale Zertifikate sind der Schlüssel für moderne IT-Sicherheit. Sie ermöglichen es, die Identität einer Person oder eines Gerätes in einem Netzwerk zu überprüfen und digitale Signaturen zu implementieren. Sie ermöglichen die Authentifizierung von Kommunikationsendpunkten in sicheren Netzwerkverbindungen, z.B. im Internet.
Zertifikate enthalten den Namen und den öffentlichen Schlüssel des Inhabers sowie die Angabe, wofür der Schlüssel verwendet werden darf. Die Zertifizierungsstelle prüft, ob der öffentliche Schlüssel zu der im Zertifikat genannten Stelle gehört und bestätigt dies durch eine weitere digitale Signatur.
Zertifikate haben ein Ablaufdatum und müssen regelmäßig erneuert werden. Der Trend im Internet geht dahin, die Gültigkeitsdauer von Zertifikaten zu verkürzen und sie z. B. nach 90 Tagen zu erneuern. Außerdem können Zertifikate gesperrt werden, wenn sie verloren gehen oder kompromittiert werden.

Im Folgenden konzentrieren wir uns auf die Verwendung von Zertifikaten in sicheren Netzwerkverbindungen wie TLS. Solche sicheren Verbindungen kommen sowohl im öffentlichen Internet, z.B. bei der sicheren Verbindung zur E-Banking-Anwendung, als auch in firmeninternen Netzwerken vor. Sie stellen sicher, dass die richtigen Geräte miteinander kommunizieren und dass die Kommunikationsleitung nicht abgehört werden kann.
Wird eine Verbindung initiiert, führen die Endpunkte zunächst ein Schlüsselvereinbarungsprotokoll durch, um sich auf einen Schlüssel für die Verschlüsselung zu einigen. Das Zertifikat wird verwendet, um sicherzustellen, dass der Schlüssel mit dem erwarteten richtigen Endpunkt vereinbart wird und nicht mit einem Gegner, um so genannte Man-in-the-Middle-Angriffe zu verhindern. Die Rolle des Zertifikats besteht also darin, die Authentifizierung sicherzustellen.

 

Die Quantenbedrohung

Quantencomputer sind besonders effizient bei der Lösung bestimmter mathematischer Probleme wie der Faktorisierung von Zahlen oder der Bildung diskreter Logarithmen. Genau auf diesen Problemen beruht die Sicherheit der heutigen Kryptographie mit öffentlichen Schlüsseln. Wenn man sie schnell löst, kann man diese kryptographischen Systeme knacken.
Die Kryptographie mit öffentlichem Schlüssel wird für Schlüsselvereinbarungen, Authentifizierung und Signaturen verwendet, wobei Algorithmen wie RSA, (elliptische Kurve) Diffie-Hellman und (elliptische Kurve) Digital Signature Algorithm zum Einsatz kommen. Diese Algorithmen gelten als gebrochen, wenn ein großer Quantencomputer zur Verfügung steht. Um gegen einen Angreifer mit Zugang zu einem Quantencomputer sicher zu sein, müssen sie ersetzt werden.

 

Der Übergang zur Post-Quanten-Kryptographie ist im Gange.

Es wurden alternative Algorithmen für die Schlüsselvereinbarung und für Signaturen (die auch zur Authentifizierung verwendet werden) vorgeschlagen, die auf mathematischen Problemen basieren, von denen man annimmt, dass sie von Quantencomputern nur schwer gelöst werden können. Unter der Leitung des NIST [1] wird nun ein erster Satz von Algorithmen in FIPS 203-205 [2] standardisiert.
Mehrere Produkte wie die Webbrowser Chrome und Firefox, Signal, WhatsApp und Zoom haben bereits einen quantensicheren Schlüsselvereinbarungsalgorithmus integriert, der gut funktioniert, ohne die Leistung zu beeinträchtigen. Die meisten Nutzer haben wahrscheinlich nicht bemerkt, dass die von ihnen verwendete Anwendung auf quantensichere Schlüsselvereinbarungsalgorithmen umgestellt wurde, da dies einfach durch ein Software-Update erfolgte.
Wenn eine sichere Verbindung initiiert wird, einigen sich die Endpunkte auf den zu verwendenden Schlüsselvereinbarungsalgorithmus. Wenn beide Endpunkte in der Lage sind, Post-Quantum-Algorithmen zu verwenden, können sie dies tun. Wenn einer oder beide nur „traditionelle“ Algorithmen unterstützen, einigen sie sich auf die Verwendung dieser Algorithmen.
In allen obigen Beispielen erfolgt die Authentifizierung der Endpunkte noch mit „herkömmlichen“, nicht quantensicheren Algorithmen. Die Umstellung auf quantensichere Authentisierung ist etwas weniger dringlich als die Schlüsselvereinbarung, da ein Angriff auf die Authentisierung während des Schlüsselvereinbarungsprozesses erfolgen muss und diese Komponente nicht langfristig sicher sein muss. Um jedoch vollständig quantensichere Netze zu erreichen, müssen sowohl die Schlüsselvereinbarung als auch die Authentisierung quantensicher gemacht werden.

 

Eine Public-Key-Infrastruktur quantensicher zu machen, ist eine Herausforderung

Die Änderung des Authentisierungsalgorithmus ist komplizierter, da die möglichen Algorithmen durch das digitale Zertifikat festgelegt sind. Selbst wenn ein System technisch in der Lage ist, neue Signaturalgorithmen zu verwenden, können diese nur in Verbindung mit einem neuen pq-Zertifikat verwendet werden, das einen Schlüssel für einen Post-Quantum-Algorithmus enthält. In IT-Netzwerken von Unternehmen kann ein Zertifikatsmanagementsystem wie essendi xc den Prozess der Beantragung und Ausstellung eines neuen Zertifikats erheblich erleichtern, jedoch reicht ein Softwareupdate nicht aus, um diese Änderung umzusetzen.
Um neue quantensichere Zertifikate ausstellen zu können, muss auch die Zertifizierungsstelle post-quantum-ready sein. Zum einen muss die CA in der Lage sein, Zertifikate für diese neuen Algorithmen auszustellen. Zum anderen sollte auch die Signatur der CA quantensicher sein, um die Sicherheit der gesamten Zertifikatskette zu gewährleisten.
Nicht alle Netzwerkkomponenten werden in der Lage sein, sich gleichzeitig zu aktualisieren, ein neues Zertifikat zu erhalten und die Einstellungen zu ändern. Dies wirft die Frage auf, wie mit „alten“ Zertifikaten umgegangen werden soll. Solange sie akzeptiert werden, ist die Quantensicherheit des Systems nicht gewährleistet, so dass sie irgendwann obsolet werden sollten.
Werden „alte“ Zertifikate jedoch zu früh als ungültig eingestuft, kann dies zum Abbruch von Anwendungen führen, wenn der Aufbau einer Verbindung verweigert wird. Um ein laufendes System auf Quantensicherheit umzustellen, müssen daher zumindest für eine gewisse Zeit mehrere Arten von Algorithmen parallel verwendet werden.

 

Das Problem der Zertifikate

In einem Server-Client-Netzwerk kann ein Server, der Post-Quantum-Algorithmen ausführen kann, viele Clients haben, die sich mit ihm verbinden. Auf einigen Clients können Post-Quantum-Algorithmen aktiviert sein, auf anderen nicht. Um einem dieser Clients die Verbindung zu erlauben, muss der Server den vom Client abhängigen Authentifizierungsmechanismus auswählen und das entsprechende Zertifikat anbieten.
Es gibt verschiedene Möglichkeiten, in einem Zertifikat anzugeben, dass Geräte in der Lage sein müssen, *einen* von mehreren Algorithmen auszuführen.
Ein Vorschlag war, ein Zertifikat mit mehreren öffentlichen Schlüsseln zu haben. Eine mögliche technische Umsetzung dieser Konstruktion mit einer optionalen Erweiterung um alternative öffentliche Schlüssel wurde in X.509 10/2019 [3] standardisiert, wird aber nur selten verwendet. Dieser Ansatz hat zwei wesentliche Nachteile:
Ein Zertifikat mit mehreren öffentlichen Schlüsseln ist deutlich größer als ein Zertifikat mit nur einem öffentlichen Schlüssel. Dieses große Zertifikat muss aber immer vollständig an den Client übertragen werden, auch wenn ein Legacy-Client den Post-Quantum-Schlüssel nicht verarbeiten kann. Dies wirkt sich negativ auf die Performance der Verbindungen aus.
Die Akzeptanz sowohl von Post-Quantum- als auch von „traditionellen“ Algorithmen ist nur ein erster Schritt auf dem Weg zur Quantensicherheit. Letztendlich müssen alle Geräte in der Lage sein, quantensichere Algorithmen zu verarbeiten. Um vollständige Quantensicherheit zu gewährleisten, müssen die Zertifikate für „traditionelle“ Algorithmen widerrufen werden.
Wenn beide Schlüssel in einem Zertifikat enthalten sind, führt der Widerruf des herkömmlichen Schlüssels auch zum Widerruf des quantensicheren Schlüssels. Die Zertifikate müssen daher neu ausgestellt werden, damit das System weiterhin funktioniert.

 

Wie Chameleon-Zertifikate helfen können

Abbildung 1: Illustration eines Delta-Zertifikats und eines Basiszertifikats aus [4].

Chameleon-Zertifikate sind Paare aus zwei miteinander verbundenen Zertifikaten. Ein Zertifikat ist das Basiszertifikat und das zweite wird Deltazertifikat genannt.
Das Delta-Zertifikat enthält nur die Felder, die sich vom Basis-Zertifikat unterscheiden. Somit können aus dem Paar zwei mögliche Zertifikate rekonstruiert werden. Beide Zertifikate haben jedoch eine eigene ID, so dass jedes separat widerrufen werden kann.
Die Rekonstruktion der Zertifikate kann entweder auf der Server- oder auf der Client-Seite erfolgen, wenn beide Teile verfügbar sind. Geschieht dies auf der Serverseite, so erzeugt der Server das entsprechende Zertifikat in Abhängigkeit von den Algorithmen, die der Client unterstützt, wie beim Handshake angegeben. Die Tatsache, dass das Zertifikat von einem Chameleon-Zertifikat abgeleitet ist, ist in diesem Fall für den Client völlig transparent.
Auf diese Weise kann die Verwendung von Chameleon-Zertifikaten den Übergang zur Quantensicherheit auf Seiten der Zertifikatsverwaltung unterstützen. Sollen die „traditionellen“ Algorithmen außer Kraft gesetzt werden, genügt es, diesen Teil des Chameleon-Zertifikats zu sperren. Das System arbeitet mit den Post-Quantum-Algorithmen und den entsprechenden Zertifikaten weiter. Es müssen keine neuen Zertifikate ausgestellt werden.

 

Zentrale Erkenntnisse

Auch wenn der Zeitdruck nicht ganz so groß ist, erfordert die Umstellung auf quantensichere Authentifizierung in TLS-Verbindungen eine Reihe notwendiger Änderungen, von der Aktualisierung und dem Widerruf von Zertifikaten bis hin zu quantenfähigen Zertifizierungsstellen. Mehrere technische Lösungen können den Übergang erleichtern: Zertifikatsmanagement-Lösungen können die Verwaltung des Lebenszyklus von Zertifikaten automatisieren, und Chameleon-Zertifikate ermöglichen einen sanften Übergang zu quantensicheren Netzwerken, ohne dass Änderungen vorgenommen werden müssen.

[1] https://www.nist.gov/pqcrypto
[2] https://csrc.nist.gov/pubs/fips/203/ipd
https://csrc.nist.gov/pubs/fips/204/ipd
https://csrc.nist.gov/pubs/fips/205/ipd
[3] https://www.itu.int/rec/T-REC-X.509-201910-I/en
[4] Transition to quantum-safe Authentication in TLS, Joshua Drexel, Masterthesis, HSLU 2024; available at https://portfoliodb.hslu.ch/sets/4093acd9-7277-465e-8e14-11a25eb3a2b7

Prof. Dr. Esther HänggiProf. Dr. Esther Hänggi

Unsere Gastautorin Prof. Dr. Esther Hänggi unterrichtet an der Hochschule Luzern die Module „Information Security Fundamentals“ und „Quantum Computing“ und forscht gemeinsam mit Industriepartner an Projekten aus diesen Themenkreisen.

Mehr über den Autor