PQC ist der Bereich der Kryptographie, der sich mit kryptographischen Grundlagen und Algorithmen beschäftigt, die gegen einen Angriff durch Quantencomputer sicher sind. Kommerzielle Quantencomputer werden nach Aussagen von Experten mit hoher Wahrscheinlichkeit schon Ende dieses Jahrzehnts für unterschiedliche Anwendungen zur Verfügung stehen. Ein erstes Testprojekt wird von IBM gemeinsam mit der Fraunhofer-Gesellschaft seit Mitte Juni 2021 in Ehningen betrieben.
Folglich lässt sich bei PQC nicht von Zukunftsmusik sprechen und auf einen ausreichenden zeitlichen Vorlauf hoffen. Darüber hinaus wird oftmals argumentiert, dass die anvisierten Standardisierungsverfahren des National Institute of Standards and Technology (NIST) für PQC Algorithmen abgewartet werden sollen. Diese Strategie des Abwartens birgt aber deutliche Risiken. Denn bei langlebigen Produkten wie Automobilen besitzt das Thema PQC schon aktuell hohe Relevanz.
Entwicklungs- und Produktionszyklen in der Automobilindustrie reichen weit in die Zukunft und Produkte die aktuell in der Entwicklung oder der Produktion sind, werden während ihrer Betriebszeit von den mit PQC möglichen Szenarien betroffen sein. Dazu zählen alle Anwendungen, die mit asymmetrischen Verschlüsselungsverfahren arbeiten und damit de facto nach heutigem Stand Daten sicher austauschen. Doch Quantencomputer können in zehn Jahren leicht in der Lage sein, heute aufgezeichnete verschlüsselte Daten zu entschlüsseln – der nachträglich entstehende Schaden kann enorm sein. Folglich laufen langlebige Produkte und Dienstleistungen, die auf heute gängige Verschlüsselungsverfahren setzen, Gefahr, im Quantencomputer-Zeitalter angreifbar zu sein. Bereits erfolgte OTA-Updates etwa können somit nachträglich korrumpiert werden. Warten Unternehmen heute ab, laufen sie zukünftig Gefahr nicht rechtzeitig handeln zu können.
Bestehende Anwendungen
Vor diesem Hintergrund hat MTG bereits jetzt PQC Lösungen entwickelt, die sich testen und einsetzen lassen. Konkret handelt es sich um folgende Anwendungsfälle: Den auf Mozilla Firefox basierenden Sunray Web Browser, den auf Mozilla Thunderbird basierenden Sunbeam E-Mail-Client, einen auf Apache Tomcat basierenden PQC-Webserver und mit PQCDoc eine Lösung zum Signieren und Verschlüsseln archivierter Dokumente mit ausgewählten PQC-Algorithmen (Bilder 1 und 2).
Für die Verschlüsselung und Signierung von E-Mails wurde eine Erweiterung des Mail-Programms Thunderbird und des S/MIME-Formats entwickelt. Das neu entstandene Programm Sunbeam erlaubt es, dem Benutzer E-Mails mittels Classic McEliece zu verschlüsseln und mittels SPHINCS+ zu signieren. Bei der Verschlüsselung handelt es sich um eine hybride Verschlüsselung. Die Nachricht und eventuelle Anhänge werden mit einem symmetrischen Schlüssel verschlüsselt und dieser Schlüssel wird mit einem öffentlichen Classic-McEliece-Schlüssel verschlüsselt.
Um diese Anwendungen einsetzen zu können, müssen PQC-Zertifikate aus der MTG PKI erzeugt und verwendet werden (Bild 3). Die eingesetzten PQC-Algorithmen sind Classic McEliece und SPHINCS+. Diese haben sich bislang in den Auswahlrunden des NIST-Standardisierungsverfahrens erfolgreich bewährt. Die Wahl fiel dabei auf McEliece, da selbst unter Verwendung von Quantencomputern kein effizienter Algorithmus bekannt ist, der dieses Kryptosystem brechen kann (Bild 4).
Post-Quantum-Kryptographie schon heute berücksichtigen
Das Zeitalter der Software im Automobil ist angebrochen, so dass die Relevanz der Cybersecurity nochmals steigt. Aber das, was heutzutage als sichere Verschlüsselung etwa für OTA-Updates gilt, ist durch die Entwicklung des Quantencomputers in Gefahr. Dessen Potenzial hat zur Folge, dass heutige sichere Verfahren in der nächsten Dekade bereits unsicher sein werden. Vor dem Hintergrund langer Produkt- und Entwicklungszyklen, sollte dementsprechend bereits jetzt das Thema Post Quantum Cryptography strategisch adressiert werden. Hier bieten sich Chancen, die zum aktuellen Zeitpunkt bestehenden Verfahren in die Zukunft zu transformieren und in ersten Tests Systeme zu integrieren.
PQC und Embedded-Systeme
Im Automobilbereich kommen Embedded-Systeme für die Erfüllung zahlreicher Funktionen und Aufgaben des Fahrzeugs zum Einsatz. Post-Quanten-Kryptografie kann sehr lange Schlüssel beanspruchen, deren Speicherbedarf den üblichen Rahmen sprengen. MTG hat bereits 2020 auf der virtuellen CARDIS-Konferenz vorgestellt, wie sich Post-Quanten-Verfahren mit großen Schlüsseln auf eingebetteten Systemen einsetzen lassen.
Im laufenden Forschungsprojekt QuantumRISC geht es darum, die PQC-Verfahren für ressourcenbeschränkte eingebettete Systeme zu untersuchen und von der Theorie in die Praxis zu bringen. Dabei konzentriert sich MTG mit der TU Darmstadt auf die Frage, wie sich die Speicheranforderungen bezüglich des öffentlichen Classic-McEliece-Schlüssels reduzieren lassen. Classic McEliece wird für eingebettete Geräte oft gar nicht in Betracht gezogen, weil die Public Keys mit 255 K bis hin zu 1 MB im Regelfall viel zu groß für den zur Verfügung stehenden Arbeitsspeicher sind. Eine mögliche Lösung ist, dass solche Schlüssel extern generiert und auf den Flash-Speicher des Gerätes geschrieben werden. Das Platzproblem wird durch die kompakte Speicherung des Key Pairs gelöst. Das gelingt, indem der Public Key nicht explizit gespeichert, aber dafür eine deutlich kleinere Matrix zum Private Key hinzugefügt wird. Mit diesem Verfahren lässt sich der Public Key bei Bedarf stückchenweise „on-the-fly“ erzeugen, ohne ihn komplett im Speicher vorhalten zu müssen.
Um die praktische Relevanz zu demonstrieren, wurde eine Proof-of-Concept-TLS-Implementierung umgesetzt. Dies bewies, dass es auf einem Arm-Cortex-M4Board mit 256 KB RAM ein Classic McEliece basierter Ephemeral Key Exchange für das McEliece348864-Parameter-Set ausgeführt werden kann (Bild 5). Obwohl der öffentliche Classic-McEliece-Schlüssel schon 255 KB groß ist, blieb genug Speicher für den TLS Stack, den TCP/IP Stack und für das Verifizieren von SPHINCS+-Signaturen im TLS Handshake. Der Code wurde auf Github veröffentlicht und ist frei zugänglich.
PQC, HSM und Secure Boot
Für den Schutz aller sicherheitsrelevanten Prozesse in Unternehmen kommen private Schlüssel zum Einsatz. Diese sind deshalb so wertvoll, da sie den geheimen Schlüssel zum Entschlüsseln der zuvor verschlüsselten Daten verbergen. Dieses sensible Schlüsselmaterial muss besonders sicher aufbewahrt werden. Hardware-Security-Module (HSM) spielen in diesem Zusammenhang eine besonders wichtige Rolle. HSM schützen besonders effektiv die hinterlegten privaten Schlüssel vor unberechtigten Zugriffen und sorgen dafür, dass kryptografische Operationen schnell ausgeführt werden können.
Für private Schlüssel von PQC-Systemen gibt es allerdings noch keine HSM, die deren Speicherung und Verwendung nativ unterstützen. Es gibt jedoch bereits HSM auf dem Markt, die für den Einsatz von Post-Quantum-Kryptosystemen erweiterbar sind. Dies erfolgt durch die Entwicklung von speziellen kryptografischen Modulen, die in das HSM geladen werden. MTG hat genau für diesen Zweck ein spezielles PQC-Modul entwickelt. Hierbei kam der sogenannte XMSS-Algorithmus (eXtended Merkle Signature Scheme) als PQC-Signaturverfahren zum Einsatz. XMSS ist das weltweit erste standardisierte Signaturverfahren für PQC, das von Prof. Dr. Johannes Buchmann und seinem Darmstädter Forschungsteam entwickelt wurde.
Dieses XMSS-Modul ermöglicht eine sichere Speicherung und Nutzung der XMSS-Schlüssel und umgeht dabei typische Fallstricke im Umgang mit sogenannten zustandsbehafteten Verfahren, die in der PQC Verwendung finden. Das Verfahren ist besonders gut geeignet, um den Boot- und Updateprozess der Firmware in eingebetteten Systemen vor Quantencomputerangriffen in der Zukunft abzusichern. Quantensichere Signaturverfahren können damit schon heute für langlebige Produkte im Verkehrswesen zum Einsatz kommen.
Ausblick und Bedeutung der Krypto-Agilität
Die Standardisierung der PQC-Systeme ist ein wesentlicher Schritt zu einer sichereren, zuverlässigeren und weit verbreiteten PQC. Führende Institutionen wie das Europäische Institut für Telekommunikationsnormen (ETSI), die Internationale Fernmeldeorgansiation (ITU-T), IETF (Internet Engineering Task Force) und NIST haben bereits verschiedene Standardisierungsprozesse gestartet, deren Ergebnisse erst in einigen Jahren erwartet werden. NIST hat 2016 einen Aufruf zur Einreichung von Vorschlägen für Kryptosysteme veröffentlicht, die gegen Quantencomputer sicher sind. Die eingereichten Algorithmen werden bewertet und einige von ihnen sollen standardisiert werden. Es wurden 69 Vorschläge eingereicht. In der Zwischenzeit haben es sieben Finalisten und acht Alternativkandidaten in die dritte Auswahlrunde geschafft. ETSI hat ebenfalls mit der Forschung in diesem Bereich begonnen und einige vorläufige Veröffentlichungen publiziert. Auch die IETF hat bereits einen Standard für das Post-Quantum Hash-basierte Signaturverfahren XMSS bekannt gegeben und plant die baldige Veröffentlichung weiterer Standards.
Die Standardisierung weiterer PQC-Verfahren braucht also Zeit, und es wird Jahre dauern, bis die internationale Gemeinschaft diese Standards umsetzt. Bis dahin setzt MTG auf sichere, Hash-basierte Algorithmen wie XMSS und SPHINCS+ für Signaturoperationen und auf das code-basierte Classic-McEliece-Verfahren für asymmetrische Public-Key-Verschlüsselung und Schlüsselaustausch. Beide Algorithmen gehören aktuell zu den Finalisten im NIST Auswahlprozess. Dabei werden neue Entwicklungen regelmäßig verfolgt und laufend neue Verfahren evaluiert. Ein zentraler Aspekt des Entwicklungsprozesses ist vor diesem Hintergrund die sogenannte Krypto-Agilität. Dies ist die Möglichkeit, kryptographische Algorithmen von und zu Produkten mit minimalem Aufwand und Ausfallzeiten hinzuzufügen und auszutauschen.
Hybride Verfahren
Hybride Verfahren sind ein weiterer wichtiger Aspekt bei der Entwicklung von PQC-Software. Sie sind für den Übergang in das Post-Quantum-Zeitalter von zentraler Bedeutung. Ein hybrides Verfahren ist eine Kombination aus einem traditionellen und einem PQC-Verfahren. Dadurch ist das resultierende Verfahren mindestens so sicher wie eines der beiden verwendeten Verfahren. Im Beispiel des Schlüsselaustauschs folgt daraus, dass zwei unabhängige Schlüsselaustausch-Verfahren durchgeführt werden, einer mit einem traditionellen Verfahren wie Diffie-Hellman und einer mit einem PQC-Verfahren. Die beiden resultierenden Schlüssel werden dann kombiniert, um den endgültigen geheimen Schlüssel zu erstellen, der ausgetauscht wird.
Sollten daher starke Quantencomputer in großem Umfang zum Einsatz kommen und dazu führen, dass das Diffie-Hellman Verfahren unsicher wird, so kann dennoch die Sicherheit der Verschlüsselung weiterhin gewahrt bleiben. Die Sicherheit des Schlüssels bliebe so stark wie die des verwendeten PQC-Verfahrens und könnte daher weiterhin Verwendung finden. Sollte sich das gewählte Post-Quantum-Schema jedoch als fehlerhaft erweisen oder Fehler enthalten, würde die Sicherheit des ausgetauschten Schlüssels auf die des Diffie-Hellman-Schlüssels reduziert, der auch heute noch als sicher gilt und dem Stand der Technik entspricht. (na)