Die Zukunft der Kryptographie – Teil 2 Das Überleben der Agilsten

Von Admir Abdurahmanovic

Ohne Kryptographie wäre es ein leichtes für Hacker, Daten zu stehlen oder sogar kritische Infrastrukturen zu manipulieren. Aber Verschlüsselungs­methoden können über Nacht veralten. Dann zählt jede Sekunde. Krypto-Agilität ist neben der kryptografischen Robustheit und Universalität eines der drei Trendthemen, welche die Krypto-Community bewegen. Teil zwei dieser Reihe zur Zukunft der Kryptographie erklärt, was Krypto-Agilität ist und wie Entwicklerbibliotheken sowie Cloud-Dienste dabei helfen, diese effektiv in einem System zu verankern.

Anbieter zum Thema

Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Kryptosysteme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen.
Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Kryptosysteme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen.
(© phonlamaiphoto - stock.adobe.com)

Quantencomputer oder eine bislang unentdeckte Schwachstelle, die eine weitverbreitete Public-Key-Methode wie RSA knacken können, bekräftigen die Wichtigkeit kryptographischer Agilität. Das gilt nicht nur für Kryptographen, sondern für alle Bereiche der Cybersicherheitsbranche, die beim Schutz von Netzwerken, Software, Identitäten und Daten auf Kryptographie angewiesen sind.

Heutzutage werden fast alle wichtigen gesellschaftlichen Prozesse – vom Geldabheben am Geldautomaten bis zur Flugsicherung – durch den Austausch digitaler Daten zwischen Geräten ermöglicht. Dieser Austausch kann über das öffentliche Internet sowie private Netzwerke in Rechenzentren, Cloud- und SaaS-Plattformen erfolgen. Entlang dieser Kette gibt es mehrere Punkte, an denen die Daten eine Art von kryptographischem Prozess durchlaufen können. Oftmals kommen dabei verschiedene Methoden zum Einsatz. Wenn jedoch nur eine der Stufen kompromittiert wird, kann dies aufgrund der starken Vernetzung unserer digitalen Welt zu einer Kompromittierung der gesamten Kette führen.

Krypto-Agilität als grundlegende Designmethodik

Der Kern der Krypto-Agilität ist die Fähigkeit Chiffren, Schlüssel und Prozesse zum Austausch von Schlüsseln zu ändern oder zu aktualisieren. Hierbei muss in einer krypto-agilen Umgebung keinerlei neue Hardware eingesetzt werden. Dabei ist die Bewältigung von Herausforderungen die eine Seite. Die andere Seite ist ein potenzieller Gewinn neuer Vorteile. Beispielsweise könnten bestimmte kryptographische Methoden weniger Rechenleistung erfordern als ältere Verfahren. In diesem Fall würde das die Performance bei Geräten verbessern, die selbst nur über geringe Rechenkapazitäten verfügen. Dies könnte dazu führen, dass Geräte, die zuvor als zu leistungsschwach für den Einsatz von Verschlüsselung galten, nun an sicheren Transaktionen teilnehmen können. Allerdings ist auch das Gegenteil möglich, wenn neuere, stärkere Mechanismen mehr Rechenleistung erfordern. Daher sind sorgfältige Überlegungen und die Konsultation von Experten wichtig, um kostspielige Produktrückrufe oder die Verletzung der Sicherheit von Produkten oder Dienstleistungen zu vermeiden.

Unternehmen müssen kryptografische Agilität als Design- und Prozessmethodik verinnerlichen, weil für Krypto-Agilität kein definierter Standard existiert. Es muss vielmehr von Anfang an mit eingeplant werden, dass sich die Kryptographie im Laufe der Zeit weiterentwickeln wird. Hieraus folgen einige praktische Aufgaben für Organisationen, die sich noch nicht mit ihrer kryptografischen Agilität beschäftigt haben: Diese müssen als erstes eine Bestandsaufnahme von all ihren Krypto-Assets – von Hardware über Software bis zu SaaS-Angeboten – durchführen, um sich einen Überblick über ihre aktuelle Situation zu verschaffen. Im zweiten Schritt müssen sie einen realistischen Prozess definieren, wie sie Algorithmen und Techniken in allen ihren Prozessen bei Bedarf ändern können.

Auf den ersten Blick scheint dies eine unlösbare Aufgabe zu sein. Dennoch gibt es einige Anbieter von Software und Dienstleistungen wie beispielsweise PrimeKey mit der weitverbreiteten Software EJBCA, die Krypto-Agilität direkt in das Design implementieren. Ein weiteres Beispiel sind API-gesteuerten Technologien wie Bouncy Castle. Diese ermöglichen einen diskreten Austausch von Algorithmen-Engines, ohne dass die Anwendungen umfangreich umgeschrieben werden müssen.

Falls die Kryptographie in älteren Systemen fest eincodiert ist, dann lässt sich Agilität schwieriger erreichen. Agile Systeme können erheblich leichter geschaffen werden, wenn Agilität über Cloud-basierte Dienste bereitgestellt wird. Ein weiterer wichtiger Punkt ist, dass sich Agilität nicht nur den Codes betrifft. Menschen und Prozesse sind weitere Bausteine, die berücksichtigt werden müssen, damit die Systeme agil bleiben. Unternehmen müssen deshalb für alle Mitarbeiter eine transparente Übersicht bereitstellen, welche Anforderungen die Sicherung ihrer Systems an sie stellt und wer für welche Elemente die Verantwortung trägt.

Tests gegen das Worst-Case-Szenario

Um das Worst-Case-Szenario zu verhindern, müssen Unternehmen die Agilität unbedingt testen. So wird beispielsweise der Triple Data Encryption Algorithm (TDEA oder 3DES) offiziell aus dem Verkehr gezogen. Das NIST erklärt, dass seine Verwendung nach 2023 nicht mehr zulässig ist. In der Folge dürfen alle Branchenvorschriften wie beispielsweise für Finanzdienstleistungen, die sich an den Vorgaben des NIST orientieren, nach diesem Zeitpunkt ebenfalls nicht mehr auf TDEA zurückgreifen. TDEA kann auch im TLS-Protokoll eingebunden werden, dessen Version 1.1 mittlerweile ebenfalls veraltet ist. Dies sind nur einige Beispiele, die als Katalysator dienen sollten, die kryptographische Agilität des eigenen Unternehmens zu evaluieren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zuletzt wurde in Public-Key-Infrastruktur-(PKI)-Umgebungen die Agilität durch die Aktualisierung von SHA-1 im großen Umfang auf die Probe gestellt. Obwohl einige Schwachstellen des Algorithmus über ein Jahrzehnt bestanden, wurden einige Unternehmen erst im Jahr 2017 wachgerüttelt. Alle großen Internetbrowser beendeten damals die Unterstützung für mit SHA-1 gesicherte digitale Zertifikate. Dies kam einem Weckruf gleich, da viele Organisationen erst dadurch merkten, dass noch großer Nachholbedarf bestand.

Fazit

Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Systeme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen. Die Firmen, die robuste Systeme etablieren und diese mit Krypto-Agilität auf Vordermann gebracht haben, werden einen Vorsprung im Wettrennen zwischen Kryptographie und Quantencomputern haben. Aus diesem Grunde arbeiten Ingenieure auf der ganzen Welt an Lösungen, bei denen die zugrunde liegenden Algorithmen leicht verändert und somit nach einem Vorfall die Vertrauenshierarchien rasch wiederhergestellt werden können. Krypto-Agilität ist für viele Anbieter und ihre Kunden auf dem Weg an die Spitze der Design-Philosophie. Zuletzt dürfen sie jedoch nicht vergessen, Kryptographie auf alle notwendigen Bereiche anzuwenden. Damit beschäftigt sich die Krypto-Universalität im letzten Teil dieser Reihe.

Über den Autor: Admir Abdurahmanovic hat über 35 Jahre Erfahrung in der IT und Kryptographie. Er studierte an der Universität von Sarajevo, Bosnien und Herzegowina, Mathematik mit Schwerpunkt Kryptographie. Danach arbeitete er in verschiedenen Softwareunternehmen. Schließlich gründete er vor 19 Jahren zusammen mit Tomas Gustavsson PrimeKey, ein heute führendes Unternehmen im Bereich der PKI- und Digitale-Signatur-Lösungen.

(ID:47970855)