In diesem August hat das US-amerikanische National Institute of Standards and Technology (NIST) für die ersten drei quantensicheren kryptographischen Algorithmen die finalen Federal Information Processing Standards (FIPS) veröffentlicht. FIPS ist ein US-Regierungsstandard, der Mindestsicherheitsanforderungen für kryptografische Module in Informationstechnologieprodukten definiert, die direkt oder indirekt von staatlichen Einrichtungen der USA in Anspruch genommen werden können. Mit den neuen Standards erhalten Soft- und Hardware-Anbieter nun endlich die Möglichkeit, ihre kryptografischen Module FIPS-konform quantensicher zu machen. Die drei neuen Standards, auf die sie ihre Module ab sofort aktualisieren und zertifizieren lassen können, lauten:
- FIPS 203 – die Schlüsselkapselungsmethode ML-KEM, basierend auf dem Algorithmus Kyber, der beim PQC-Algorithmenwettbewerb eingereicht wurde,
- FIPS 204 – der allgemeinste digitale Signaturalgorithmus ML-DSA, der auf dem Dilithium-Algorithmus basiert und
- FIPS 205 – der hashbasierte digitale Signaturalgorithmus, der auf dem SPHINCS+-Algorithmus basiert.
Für das Update werden Soft- und Hardware-Anbieter einige Arbeitszeit einkalkulieren müssen. Schon der Aktualisierungsprozess selbst wird einige Monate in Anspruch nehmen. Hinzu kommt der Zertifizierungsprozess durch das NIST. Der Maßnahmenkatalog für Anbieter umfasst:
- Aktualisierung kryptografischer Bibliotheken: Anbieter werden ihre kryptografischen Bibliotheken aktualisieren müssen, um sie an die neuen Algorithmen anzupassen,
- Aktualisierung von Anwendungen: Anbieter werden ihre Anwendungen an die neuen Versionen ihrer kryptografischen Bibliotheken und anderen Verwaltungsdetails anpassen müssen,
- Aktualisierung der Hardware: Hardware-Anbieter werden ihre Hardware-Sicherheitsmodule (HSMs) und Firmware aktualisieren müssen,
- Tests der Interoperabilität: Anbieter werden Interoperabilitätstests zwischen verschiedenen Bibliotheken durchführen müssen,
- Prüfung der Qualität: Anbieter werden sich auch um die Qualitätssicherung kümmern müssen, um sicherzustellen, dass alles sicher und ordnungsgemäß funktioniert,
- Sicherstellung der kryptografischen Migration der eigenen Anbieter: Anbieter werden mit ihren Zulieferern sprechen und sicherstellen müssen, dass diese einen entsprechenden Migrationsfahrplan aufstellen und diesen auch einhalten,
- Zertifizierung der Änderungen: Anbieter werden sich selbständig um die Zertifizierung Ihrer FIPS durch das NIST kümmern müssen.
Die Auflistung der Umstellungsmaßnahmen zeigt, die Aktualisierung sämtlicher kryptografischer Module einer IT-Lösung stellt auch für gestandene IT-Experten eine umfangreiche, komplexe Herausforderung dar. Hard- und Softwareanbietern kann nur geraten werden, zur Unterstützung ihrer kryptografischen Migration spezielle Anbieterlösungen, wie PQC-Labs, hinzuzuziehen, die Ihnen dabei helfen können, ihre Systeme und Daten schnell und unkompliziert zu sichern und ihre quantenfähigen Zertifikate effektiv zu testen.
Halten sich Anbieter an diese Vorgaben, setzen sie zur Verstärkung auf Anbieterlösungen, die ihnen bei der kryptografischen Migration helfen und planen sie ausreichend vor, werden sie ihre Lösungen schnell und unkompliziert an den neuen Standard anpassen können.
Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor