Quantum ready
Im zweiten Teil unserer Blog Serie „Post Quantum Cryptography“ zeigen wir, wie der Weg zu einer Post Quantum Strategie aussehen kann. Während wir im ersten Teil beleuchtet haben, worum es dabei geht und warum es für Unternehmen sinnvoll ist, sich schon jetzt Gedanken darüber zu machen, geht es diesmal um mögliche Schritte in Richtung Umsetzung.
Schritt 1: Erhebung des Status Quo
Um die Umstellung der Systeme planen zu können, ist es essentiell sich einen Überblick zu verschaffen, an welchen Stellen im Unternehmen derzeit kryptographische Verfahren eingesetzt werden, die möglicherweise angepasst werden müssen. Diese in der Theorie einfache Aufgabe gestaltet sich in der Praxis nicht immer trivial. Unterschiedliche Verantwortlichkeiten, Legacy Systeme mit fehlender oder lückenhafter Dokumentation oder Abhängigkeiten zu externen Stellen, beispielsweise bei IPSec Tunneln oder Cloud Services, sind dabei Hindernisse, die es zu bewältigen gilt.
Zusätzlich ist zu klären, welche Lebensdauer und Kritikalität die verarbeiteten bzw. transportierten Daten haben, z.B. resultierend aus Geheimhaltungspflichten oder aus gesetzlichen und wirtschaftlichen Überlegungen heraus. Hier leistet eine abgestimmte und aktuelle Unternehmens-Datenklassifizierung gute Dienste.
Zentrales Logging und Auswertung
In einer modernen IT Landschaft finden sich unzählige verschiedene Tools unterschiedlicher Hersteller. Ein zentrales System für Logging und Auswertung, wie beispielsweise Splunk kann die Informationen verschiedenster Systeme sammeln, standardisieren und Reports oder Dashboards bereitstellen.
Firewall Monitoring mit TLS detection / Decryption
Eine Perimeter Firewall ist ideal positioniert, um den gesamten Datenverkehr von und in das Internet zu überwachen. Die meisten modernen Firewall-Lösungen bieten Funktionen, um die verwendeten kryptographischen Methoden z.B. TLS oder SSH Verbindungen zu überwachen. Dies kann als Informationsquelle genutzt werden, interne Systeme zu erkennen, die in der PQC Planung berücksichtigt werden müssen. Ebenso können Application Delivery Controller wie von F5 Infos oder auch Reverse Proxies herangezogen werden, um aus deren Logs und Statistiken zu generieren, welche Ciphers von Clients als auch Servern aktiv verwendet werden, um hier etwaige Legacy Systeme oder Applikationen zu identifizieren.
Zusätzlich können spezialisierte Tools dabei helfen, ein kryptographisches Inventar zu erstellen. Palo Alto Networks bietet hier z.B. als Teil des Strata Cloud Managers eine Quantum Readiness View an.
„Die Umstellung von Systemen beginnt mit einem Überblick über die eingesetzten kryptographischen Verfahren. Was zunächst einfach klingt, ist in der Praxis oft komplex.“
Andreas Sauerwein-Schlosser Senior Systems Engineer, NTSSchritt 2: Risikoanalyse und Priorisierung
Mithilfe des in Schritt 1 erstellten Inventars kann eine Risikoanalyse durchgeführt werden, um eine genauere Planung durchzuführen. Dabei sollte man sich unter anderem diese Fragen stellen:
- Ist ein System öffentlich erreichbar, bzw. baut Verbindungen in das Internet auf oder kommuniziert es ausschließlich im internen Netzwerk? Stichwort „Attack Surface Management“.
- Werden wichtige Daten übertragen, die unter Umständen für mehrere Jahre geheim bleiben müssen?
- Welche Auswirkungen hätte ein erfolgreicher Angriff auf das System oder die übertragenen Daten?
- Wie aufwändig ist es ein System auf PQC umzustellen?
- Gibt es Compliance Richtlinien oder rechtliche Verpflichtungen?
Nach erfolgreicher Priorisierung kann ein detaillierter Fahrplan erstellt werden, der für jedes System festgehalten werden sollte:
- Stichtag bis wann ein System auf PQC umgestellt werden muss/soll
- Dauer der Umstellung eines Systems
- Verantwortliche Personen und Stakeholder
- Abhängigkeiten zu anderen Systemen, externen Partnern und Geschäftsprozessen
- Test- und Notfalls-Pläne, vor allem bei geschäftskritischen Systemen
Während mittlerweile fast alle Hersteller auf irgendeine Art “Post Quantum Security” unterstützen, ist es hier wichtig genauer hinzusehen. Es gibt verschiedene Abstufungen und Lösungen, die sich teilweise stark unterscheiden. Ein genauerer Blick in die Dokumentation oder gegebenenfalls direkte Nachfragen bei Service-Partnern oder Herstellern kann hier Klarheit schaffen.
Schritt 3: Technische Umsetzung
Mit den aus Schritt 2 gewonnen Informationen weiß man welche Systeme und Produkte betroffen sind und plant entsprechende Software-Updates oder Produktwechsel. Hier ein paar Beispiele aus oft eingesetzten Protokollen:
IPSEC
- Option 1: RFC8784 – Mixing Preshared Keys in Internet Key Exchange Protocol Version 2
RFC 8784: Mixing Preshared Keys in the Internet Key Exchange Protocol Version 2 (IKEv2) for Post-quantum Security - Option 2: Quantum Safe Key Exchange mit z.B. ML-KEM
- Option 3: Quantum Key Distribution mit ETSI-014 oder SKIP
TLS
- Firefox 132+, Chrome 131+, Safari 26+ nutzen bereits X25519MLKEM768
PQC support - Aktuelle Webserver und Loadbalancer mit OpenSSL 3.5+ können bereits Hybrid Schemes mit ML-KEM
- Mit einem Loadbalancer wie F5 können auch dem Kunden bereits Dienste über Quantum Safe TLS bereitgestellt werden, auch wenn die Webserver das noch nicht unterstützen.
SSH
- OpenSSH unterstützt bereits seit dem Release 9.0 (April 2022) PQC Algorithmen und seit Release 9.9 auch den NIST standardisierten Cipher mlkem768x25519-sha256
OpenSSH: Post-Quantum Cryptography
NTS kann mit allen Produkten im Portfolio bei der Post Quantum Journey unterstützen.
Don’t be afraid of Quantumcomputers, NTS cares.
Text:
Andreas Sauerwein-Schlosser, Senior Systems Engineer, NTS
Christoph Braunecker, Senior Systems Engineer, NTS