Die digitale Landschaft, einschließlich des PKI-Marktes, erlebt eine Phase immer schnellerer Veränderungen. Und das Post-Quantum Computing stellt dabei eine wichtige, stetige Entwicklung dar.
Das National Institute of Standards and Technology (NIST) wird in Kürze die Algorithmen nennen, die RSA/ECC in SSL/TLS-Zertifikaten ersetzen werden. Daher ist die Cybersicherheitsbranche sehr daran interessiert, wie die Public Key Infrastructure (PKI) und digitale Zertifikate in der Post-Quantum-Welt aussehen werden, und, was noch wichtiger ist, wie sich dies auf Unternehmen auswirken wird, die sich für ihre Sicherheitsinfrastruktur auf SSL-/TLS-Zertifikate verlassen.
Bislang hat das NIST vier Konferenzen zur Standardisierung von Post-Quantum-Safe-Algorithmen abgehalten. Die letzte Konferenz wurde für April 2024 angekündigt, und die erste Gruppe ausgewählter Post-Quantum-Safe-Algorithmen soll noch in diesem Jahr standardisiert werden. Erfahren Sie mehr über den vollständigen Zeitplan des NIST Post-Quantum, indem Sie hier klicken.
Dies ist jedoch nur der erste von vielen Schritten. Es sind noch weitere Hindernisse zu überwinden, bevor Post-Quantum-Safe-Zertifikate verwendet werden können:
- Der RFC für X.509 muss aktualisiert werden, um die Objektbezeichner (OIDs) der neuen Algorithmen zu standardisieren (wie wir die Algorithmen in der Zertifikatsstruktur referenzieren), was derzeit in Arbeit ist
- Server müssen aktualisiert werden, damit sie diese neuen Zertifikate darstellen können
- Die Clients (Webbrowser) müssen ebenfalls aktualisiert werden, um diese neuen Zertifikate zu verwenden
- Für öffentliche Vertrauenszertifikate muss das CA/B Forum eine Abstimmung über die Annahme dieser neuen Algorithmen vorschlagen und beschließen
- Die Zertifizierungsstellen (CAs) müssen in der Lage sein, diese neuen Zertifikate auszustellen, was bedeutet, dass die Hersteller von Hardware Security Modules (HSM) ebenfalls ein Update vornehmen müssen, um diese Zertifikate zu unterstützen
- Die Aktualisierung der HSMs wird wahrscheinlich auch Aktualisierungen der RFCs erfordern, um die gemeinsamen Schnittstellen für die Interaktion mit diesen Modulen, wie PKCS #11-Zertifikate, zu unterstützen
- Der Konformitätsrahmen, der die HSMs regelt (FIPS-140), muss ebenfalls aktualisiert werden, um dies zu unterstützen
Auch wenn noch viel zu tun ist, bevor diese neuen Zertifikate mit der PKI-Sicherheitsstruktur, die wir kennen und der wir vertrauen, verschmelzen können, ist es dennoch wichtig, schon jetzt ein Verständnis dafür zu entwickeln, wie Post-Quantum-Safe-Zertifikate aussehen könnten.
Zertifikatshierarchie
Post-Quantum-Safe-Zertifikate ähneln den Zertifikaten der Root und denen der Intermediate Certificate Authority (ICA), da sie die gleiche Struktur aufweisen. Sie haben Schlüsselverwendungen, welche die Möglichkeiten der Zertifikate einschränken, und verfügen über Informationen zur Certificate Revocation List (CRL) und zum Online Certificate Status Protocol (OCSP), um zu zeigen, wo der Status zu überprüfen ist. Und sie könnten auch über Abschnitte aus dem Cyber-Physical System (CPS) verfügen.
Der Hauptunterschied besteht jedoch darin, dass beide unterschiedliche Schlüsseltypen verwenden. Post-Quantum-Safe-Zertifikate nutzen die größeren Schlüssel, wodurch sie verhindern, dass sie ausgenutzt werden. Die beiden Beispiele für Root- und ICA-Zertifikate verwenden Dilithium3.
Das NIST wählte 2022 die Algorithmen für digitale Signaturen aus und sie werden eine wahrscheinliche Option für TLS X.509 sein. Wir bei GlobalSign sind uns aber bewusst, dass es eine Namensänderung geben wird, um die Änderungen bei der Fertigstellung von FIPS 204 zu reflektieren. Statt Dilithium2/3/5 werden die Algorithmen als ML-DSA-44/65/78 bezeichnet werden.
Größere Schlüssel sowie größere Signaturen erfordern einen größeren Datentransfer über den SSL/TLS-Handshake. Jedoch sind die Dilithium- und ML-DSA-Algorithmen bei der Verifizierung potenziell nicht wesentlich ressourcenintensiver. Daher sollte dies aus Sicht des Benutzers keine spürbaren Probleme verursachen. Allerdings könnte das bei kleineren Geräten mit geringerer Verarbeitungsleistung, die SSL-/TLS-Zertifikate benötigen, z. B. IoT-Geräte, anders sein.
Die Algorithmen für den Schlüsselaustausch müssen ebenfalls aktualisiert werden, damit der SSL/TLS-Handshake Post-Quantum-Safe ist, und werden wahrscheinlich Kyber (aktualisiert auf ML-KEM gemäß FIPS 203) verwenden. Wie Dilithium und ML-DSA werden hier größere Schlüssel und Chiffriertexte verwendet, die Schlüsselerzeugung könnte aber dennoch schneller sein.
Die neuen Post-Quantum-Safe-Zertifikate basieren ebenfalls vollständig auf Dilithium/ML-DSA-Algorithmen und sind daher keine „Hybridzertifikate“. Hybridzertifikate werden zweimal signiert, einmal mit herkömmlichen Schlüsseln wie RSA- und ECC-Schlüsseln und einmal mit einem Post-Quantum-Safe-Schlüssel. Während man zunächst dachte, dass Hybridzertifikate den Übergang zu Post-Quantum-Safe-Zertifikaten erleichtern könnten, hat sich der Schwerpunkt inzwischen auf „reine“ Post-Quantum-Safe-Zertifikate verlagert.
Beispiele für PQ-Safe-Zertifikate finden Sie hier
Leaf- und End-Einheit-Zertifikate
Endzertifikate sind die bekanntesten Zertifikatstypen, die für Unternehmen, Organisationen und Personen ausgestellt werden, um die Sicherheit einer Website zu gewährleisten. Der Certificate Signing Request (CSR) wird vom Kunden über das CA-Webportal, eine API oder über das ACME-Protokoll bei der Zertifizierungsstelle (CA) eingereicht. Diese CSRs enthalten den öffentlichen RSA/ECC-Schlüssel eines Schlüsselpaares. Wenn jedoch versucht wird, ein Post-Quantum-Safe-Zertifikat anzufordern, muss diese CSR- oder ACME-Anforderung einen Post-Quantum-Safe-Schlüsseltyp wie Dilithium2 enthalten.
Die Protokolle, die zur Erzeugung der CSRs verwendet werden, müssen also aktualisiert werden, um die neuen Post-Quantum-Safe-Algorithmen zu unterstützen. Das umfasst auch ACME-Clients wie acme.sh, certbot und lego oder Webserver wie IIS, OpenSSL oder andere verwaltete Dienste.
Das ist einer normalen CSR-Anfrage sehr ähnlich und enthält den SubjectDN, einschließlich des allgemeinen Namens und etwaiger Organisationsangaben, sowie die Subject Alternative Names (SAN), eine Liste der Ressourcen, die das SSL-/TLS-Zertifikat schützen soll, z. B. einen Domänennamen oder eine IP-Adresse. Auch hier ist der Hauptunterschied, dass der Schlüsseltyp Dilithium2/ML-DSA ist.
Sobald der Post-Quantum-Safe-CSR an die CA übermittelt wurde, prüft die CA die Authentizität der Anfrage und dass die in den SANs aufgeführten Ressourcen vom Client kontrolliert werden. Nach diesen Prüfungen kann die CA das Zertifikat an den Kunden ausstellen.
Um das Zertifikat in Verbindung mit dem zugehörigen privaten Schlüssel zu nutzen, enthält es weiterhin alle in der CSR enthaltenen Angaben, wird nun aber von einer Post-Quantum-Safe-Dilithium-Hierarchie ausgestellt.
Überprüfungen des Zertifikatsstatus
Eine PKI-basierte CA-Infrastruktur bietet zwei Methoden zur Überprüfung, ob ein Zertifikat widerrufen wurde, und zwar OCSP und CRL, die sich leicht unterscheiden.
Da wir für die Zeit planen, in der herkömmliche Schlüsseltypen nicht länger sicher sein werden, benötigen auch diese Methoden, die angeben, ob Zertifikate widerrufen wurden, eine Aktualisierung, damit sie Post-Quantum-Safe-Zertifikate einbeziehen können. Anderenfalls könnten bösartige Akteure fälschlicherweise behaupten, dass gültige Zertifikate widerrufen wurden, oder sie könnten Widerrufsinformationen von Zertifikaten löschen, die nicht mehr vertrauenswürdig sind.
Eine CRL ist eine von einer CA veröffentlichte Datei, die eine Liste der widerrufenen Zertifikate enthält. Diese Liste wird von dem ausstellenden Zertifikat signiert, um sicherzustellen, dass der Kunde ihr vertrauen kann. Auch hier ist die Signatur der CRL größer als bei den derzeitigen CRLs mit RSA/ECC-Schlüsseln. Es ist jedoch unwahrscheinlich, dass dies zu erheblichen Problemen führt, da CRLs ziemlich groß werden können, wenn die ausstellende CA eine große Anzahl von Widerrufen verarbeitet hat.
Das OCSP erfüllt eine sehr ähnliche Aufgabe wie eine CRL, nur dass es sich um ein Modell mit Anfrage und Antwort handelt. Eine CA hostet einen OCSP-Dienst und ein Client fragt diesen Dienst ab, um zu prüfen, ob ein einzelnes Zertifikat noch gültig ist. Die OCSP-Anfrage sollte sich dabei eigentlich nicht ändern, aber die Antwort muss aktualisiert werden. Wie bei den eigentlichen Zertifikatsobjekten bleibt die Struktur die gleiche wie beim derzeitigen Modell, aber die Signaturen und der Schlüssel werden deutlich größer sein.
Beispiele für eine CRL- und OCSP-Antwort finden Sie hier
Fazit
Post-Quantum Computing ist eine schnell wachsende Technologie, und viele Unternehmen wollen sicherstellen, dass sie für eine Post-Quantum-Welt bereit sind. Post-Quantum-Safe-Zertifikate werden jedoch den heute verwendeten Zertifikaten recht ähnlich sein. Die Vorbereitung auf diesen Wandel erfordert eine enge Zusammenarbeit zwischen Zertifizierungsstellen, Kunden und Online-Geräten, um sich mit dieser neuen Technologie vertraut zu machen, unsere Systeme zu aktualisieren und unsere Kommunikation für die Zukunft zu sichern.
Die primären Einsatzzwecke von Post-Quantum-Safe-Zertifikaten und die Prozesse, die mit der Bereitstellung von Zertifikaten und der PKI-Sicherheit verbunden sind, werden weitgehend gleich bleiben. Die größten zu erwartenden Änderungen werden die Aktualisierung der Sicherheitsinfrastruktur und der Software betreffen, damit sie die neuen Zertifikatstypen unterstützen zu können. Die Umstellung auf die Verwendung von Post-Quantum-Safe-Zertifikaten erfordert natürlich eine gewisse Planung. Aber Post-Quantum-Safe-Zertifikate, CSRs und ACME-Anträge sowie Widerrufs- und Statusprüfungen werden alle einer vertrauten Struktur folgen, die wir bereits kennen und gut verstehen. Zu wissen, wie diese Zertifikate aussehen werden, ist nur eine von vielen Möglichkeiten, wie wir uns auf eine Post-Quantum-Zukunft vorbereiten können.
Im Verlauf der Entwicklung dieser Technologie widmet sich GlobalSign der Vorbereitung darauf, dass Ihre Kommunikation und Ihre digitalen Zertifikate sicher sind. So können Sie darauf vertrauen, dass Ihr Unternehmen durch die richtige Unterstützung und durch engagierte Forschung und Entwicklung für das Post-Quantum Computing bereit ist.
Erfahren Sie mehr über Post-Quantum Computing und Ihre Zertifizierungsstelle
