Post-Quantum Computing :: Post-Quantum Computing

Post Quantum Computing

Digitales Vertrauen zukunftssicher machen

Synergie von Zertifizierungsstelle und Post-Quantum-Kryptographie

In einer Zeit, in der sich die Technologie rasant weiterentwickelt, ist es für Kunden von Zertifizierungsstellen (CAs) unerlässlich, über neue Trends informiert zu sein, die sich auf die Sicherheit ihrer digitalen Zertifikate auswirken könnten. Ein solcher Trend ist die Entwicklung des Post-Quantum-Computing (PQC), ein revolutionäres Gebiet mit dem Potenzial, die derzeitigen kryptografischen Algorithmen zu verändern.

Post-Quantum-Safe-Zertifikate

Da die Ankündigung neuer Algorithmen im Zuge der Quantum Challenge kurz bevorsteht, werfen wir einen Blick darauf, wie Zertifikate in der Post-Quantum-Welt aussehen könnten.


Root CA und Intermediate CA	Leaf/End-Einheit-Zertifikates
Diese Zertifikate folgen derselben Struktur und Schlüsselverwendung, die wir bereits kennen und verstehen. Der Hauptunterschied liegt wie nachfolgend beschrieben in den Schlüsseltypen: Derzeit wird für Root CA und Intermediate CA Dilithium3 verwendet. Dieser Algorithmus wurde 2022 von NIST für digitale Signaturen ausgewählt und ist daher wahrscheinlich auch eine Option für Zertifikate vom Typ TLS/x509. Später wird er vermutlich als ML-DSA-65 bezeichnet, früher FIPS 203. Dies gilt aber nur in Bezug auf Algorithmen vom Typ „Digital Signature PQ-Safe“. Denn damit der gesamte TLS-Handshake vollständig PQ-Safe wird, müssen die Algorithmen für den Schlüsselaustausch ebenfalls aktualisiert werden, wozu voraussichtlich Kyber genutzt werden wird.	Hierbei handelt es sich um die bekanntesten Zertifikatstypen, da sie für diejenigen ausgestellt werden, die ihre Websites sichern möchten. Die Beantragung eines Leaf- oder End-Einheit-Zertifikats funktioniert ähnlich wie die derzeit genutzten Certificate Signing Requests (CSR). Sie enthalten die SubjectDN (den common_name sowie sämtliche Unternehmensangaben) sowie Subject Alternative Names. Bei diesen handelt es sich um eine Liste der Ressourcen, die das SSL/TLS-Zertifikat sichern soll, also Domainnamen oder IP-Adressen. Allerdings muss eine CSR- oder ACME-Anfrage bei der Beantragung eines PQ-Safe-Zertifikats im Gegensatz zu derzeitigen Zertifikatsoptionen über einen PQ-Safe-Schlüsseltyp verfügen, zum Beispiel Dilithium2.

Root CA und Intermediate CA

Leaf/End-Einheit-Zertifikates

Diese Zertifikate folgen derselben Struktur und Schlüsselverwendung, die wir bereits kennen und verstehen. Der Hauptunterschied liegt wie nachfolgend beschrieben in den Schlüsseltypen:

Derzeit wird für Root CA und Intermediate CA Dilithium3 verwendet. Dieser Algorithmus wurde 2022 von NIST für digitale Signaturen ausgewählt und ist daher wahrscheinlich auch eine Option für Zertifikate vom Typ TLS/x509. Später wird er vermutlich als ML-DSA-65 bezeichnet, früher FIPS 203.

Dies gilt aber nur in Bezug auf Algorithmen vom Typ „Digital Signature PQ-Safe“. Denn damit der gesamte TLS-Handshake vollständig PQ-Safe wird, müssen die Algorithmen für den Schlüsselaustausch ebenfalls aktualisiert werden, wozu voraussichtlich Kyber genutzt werden wird.

Hierbei handelt es sich um die bekanntesten Zertifikatstypen, da sie für diejenigen ausgestellt werden, die ihre Websites sichern möchten.

Die Beantragung eines Leaf- oder End-Einheit-Zertifikats funktioniert ähnlich wie die derzeit genutzten Certificate Signing Requests (CSR). Sie enthalten die SubjectDN (den common_name sowie sämtliche Unternehmensangaben) sowie Subject Alternative Names. Bei diesen handelt es sich um eine Liste der Ressourcen, die das SSL/TLS-Zertifikat sichern soll, also Domainnamen oder IP-Adressen.

Allerdings muss eine CSR- oder ACME-Anfrage bei der Beantragung eines PQ-Safe-Zertifikats im Gegensatz zu derzeitigen Zertifikatsoptionen über einen PQ-Safe-Schlüsseltyp verfügen, zum Beispiel Dilithium2.

Hier finden Sie Beispiele für PQ-Safe-Zertifikate

Überprüfungen des Zertifikatsstatus

Die Infrastruktur einer PKI/Zertifizierungsstelle bietet zwei Methoden zur Überprüfung, ob ein Zertifikat widerrufen wurde, und zwar OCSP und CRL, die sich leicht unterscheiden. Da wir für die Zeit planen, in der herkömmliche Schlüsseltypen nicht länger sicher sein werden, benötigen auch diese Methoden, die angeben, ob Zertifikate widerrufen wurden, eine Aktualisierung, damit sie PQ-Safe nutzen. Anderenfalls könnten bösartige Akteure fälschlicherweise behaupten, dass gültige Zertifikate widerrufen wurden, oder sie könnten Widerrufsinformationen von Zertifikaten löschen, die nicht mehr vertrauenswürdig sind.

Unser Engagement für Ihre Sicherheit

GlobalSign hat sich verpflichtet, immer einen Schritt voraus zu sein, wenn es um kryptographische Fortschritte geht. Unser engagiertes Team ist aktiv an der PQC-Forschung und -Entwicklung beteiligt und sorgt dafür, dass Ihre digitalen Zertifikate auch bei neuen Quantenbedrohungen sicher bleiben.

Was müssen Sie also tun?

Die Realisierung von IT-Systemen, die auf Quantencomputern basieren, mag noch einige Jahre entfernt sein, aber es ist etwas, an das Sie schon jetzt denken sollten, wenn Sie planen, Ihr Krypto-Agilitätsniveau heute und für die Zukunft zu verbessern.

Behalten Sie Ihren Bestand an Zertifikaten und Schlüsseln im Blick
Identifizierung und Beseitigung von Schwachstellen
Einen Plan entwickeln, um Schlüssel und anfällige Zertifikate schnell zu ersetzen

Pflege aktueller Eigentumsinformationen
Automatisierung der Verwaltung

Für weitere Details zu PQ-Safe-Zertifikaten lesen Sie unseren Blog

Aber womit hat das alles angefangen?

Die Ursprünge des Quantencomputings lassen sich bis ins frühe 20. Jahrhundert zurückverfolgen, als mehrere bahnbrechende Entdeckungen auf dem Gebiet der Quantenmechanik den Grundstein für diesen neuartigen Ansatz der Computertechnik legten. Wichtige Wissenschaftler wie Max Planck, Albert Einstein und Niels Bohr trugen zur Entwicklung der Quantenmechanik bei, die später die Grundlagen für die Quanteninformatik liefern sollte.

Post-Quantum Computing und Ihre Zertifizierungsstelle

In diesem informativen eBook gehen wir auf die Bedenken im Zusammenhang mit PQC ein und erläutern, warum sich CA-Kunden keine Sorgen über die Auswirkungen auf die Sicherheit ihrer Zertifikate machen müssen. Begleiten Sie uns durch die sich entwickelnde Landschaft der digitalen Sicherheit und überzeugen Sie sich von der Robustheit unserer Zertifikatsdienste angesichts der neuen Herausforderungen.

Jetzt lesen

Kontaktieren Sie uns

Kontaktieren Sie uns noch heute, um über Ihre PKI-Bedürfnisse zu sprechen – mit einem vertrauenswürdigen Partner, der sicherstellt, dass Sie kryptographisch agil sind.

Verwaltung und Automatisierung

Zertifikate

Konformität

Technologie-Allianzen

Zertifikatsverwaltung und Automatisierung

Unterzeichnung von Dokumenten

Benutzerdefinierte CA/Private PKI

Website- und Serversicherheit (SSL/TLS)

Zugangskontrolle und Authentifizierung

Signieren von Zertifikaten

eIDAS

PSD2

NAESB

FDA Zertifikate

Belgische Regierungsdienste

Zeitstempel

Technologie-Allianzen

Venafi as a Service

HashiCorp Vault

Cert-manager für Kubernetes

ServiceNow

Adobe Approved Trust List (AATL) Signaturen

DocuSign

AppViewX

Werden Sie ein GlobalSign Partner

Unsere Partner

Partner-Programme