Bedrohungsakteure stehlen jetzt Daten, um sie zu entschlüsseln, wenn Quantencomputer kommen

Obwohl Quantencomputer noch Jahre von der kommerziellen Verfügbarkeit entfernt sind, müssen Unternehmensleiter, CIOs und CISOs jetzt handeln, um sich auf die unvermeidliche Fähigkeit der Technologie vorzubereiten, RSA-verschlüsselte Daten zu knacken. Wenn die Einführung einer Post-Quanten-Kryptographie-Strategie (PQC) nicht begonnen wird, besteht die Gefahr, dass alle vorhandenen verschlüsselten Datenbestände offengelegt werden, so eine deutliche Warnung von wichtigen Experten für technische Kryptographie, die am Mittwoch herausgegeben wurde.

Ein Peer-Review-Papier, das diese Bedrohung mit einem technischen Fahrplan für den Übergang zu PQC aufzeichnet, erschien am Mittwoch in Natureine führende Zeitschrift für die Wissenschafts- und Technologiegemeinschaften.

Die Cybersicherheitsexperten, die das Papier mit dem Titel „Übergang von Organisationen zur Post-Quanten-Kryptographie“, unterstrich die Tatsache, dass Angreifer, sobald große und fehlertolerante (LFT) Quantencomputer verfügbar werden, in der Lage sein werden, sie zu verwenden, um die meisten bestehenden Kryptosysteme mit öffentlichen Schlüsseln zu knacken, einschließlich RSA und Elliptic Curve Cryptography (ECC).

SNDL-Bedrohung

Das Papier weist auf drei kritische Punkte hin, die Organisationen nach Ansicht der Autoren angehen müssen. Erstens gibt es eine aktive und kritische Bedrohung namens Store-Now, Decrypt Later (SNDL), eine Praxis, bei der Angreifer vertrauliche Daten stehlen und sie mit der Absicht behalten, sie zu entschlüsseln, sobald Quantencomputer verfügbar sind.

Zweitens warnen die Autoren, dass Quantencomputer in der Lage sein werden, die am häufigsten verwendeten RSA und ECC zu knacken, um Signaturen zu fälschen. Das würde laut den Autoren unter anderem alle SSL-basierten Websites, Zero-Trust-Architekturen und Kryptowährungen gefährden.

Und drittens heben sie hervor, wie das National Institute of Standards and Technology (NIST) bereit ist, eine Reihe von PQC-Kandidaten auszuwählen, die es als Standards empfehlen wird. Obwohl das Papier vor Monaten vor der Veröffentlichung am Mittwoch geschrieben wurde, ist NIST bereit, die Kandidaten innerhalb weniger Wochen und möglicherweise früher bekannt zu geben.

Dustin Moody, ein NIST-Mathematiker, bestätigte die bevorstehende Ankündigung der Kandidaten für den PQC-Algorithmus. Unter den Cybersicherheitsstandards ist es einer der größten von NIST Unternehmen
seit der Entwicklung von Advanced Encryption Standard (AES) und Sicherer Hash-Algorithmus-3 (SHA-3). Der neue PQC-Standard wird wahrscheinlich mehr als einen Algorithmus beinhalten, sagte Moody gegenüber Dark Reading.

„In Bezug auf die Sicherheit wollen wir sicherstellen, dass wir nicht alle Eier in einen Korb legen“, sagt Moody. NIST erwägt digitale Signaturen mit öffentlichen Schlüsseln sowie Verschlüsselung oder gleichwertige Schlüsselerstellung, fügt Moody hinzu: „Es wird mindestens eine für jedes davon geben.“

Die bevorstehende Ankündigung von NIST wurde von angekündigt zwei Richtlinien letzte Woche der Biden-Administration mit dem Ziel, PQC zu erkennen und anzugehen.

Auswirkungen auf vorhandene Datenbestände

Während das Papier eine detaillierte technische Aufschlüsselung der PQC-Themen bietet, zielt es auch darauf ab, das Bewusstsein für die Auswirkungen des Quantencomputings auf vorhandene Informationsbestände zu schärfen und die Notwendigkeit der Entwicklung eines Plans zu betonen.

„Unternehmen, die noch nicht mit der Integration von PQC in ihre Systeme begonnen oder dies auch nur geplant haben, empfehlen wir dringend, jetzt damit zu beginnen“, warnt das Papier. “Organisationen und Unternehmen mit sensiblen Daten mit einem Zeitwert von mehr als fünf Jahren sollten PQC sofort in Betracht ziehen.”

Einer der Co-Autoren des Papiers ist Jack Hidary, Gründer und CEO von Sandbox AQ, einem Software-as-a-Service (SaaS)-Anbieter, der sich auf die Zusammenführung von Quantencomputing und künstlicher Intelligenz konzentriert, um komplexe Verarbeitungsprobleme anzugehen. Das primäre Verarbeitungsproblem besteht darin, Organisationen dabei zu helfen, die Risiken des Quantencomputings zu verstehen, indem kritische Datenbestände identifiziert werden, die verschlüsselt sind, und eine Strategie entwickelt wird, um sie mit den bevorstehenden PQC-Algorithmen zu schützen.

Als Erstes müssen sich Unternehmen einem Discovery-Prozess unterziehen, um den Wert all ihrer Daten zu ermitteln, insbesondere verschlüsselter Informationen. Beispielsweise könnte ein großes Pharmaunternehmen geistiges Eigentum für patentierte Medikamente haben, die an Einnahmen und Lizenzgebühren Milliarden von Dollar pro Jahr wert sind. Wenn diese Daten in die falschen Hände geraten, könnte das IP wertlos werden, warnt Hidary.

„Wir haben erkannt, dass ein Whitepaper notwendig ist, um CISOs, Entwicklungsteams und anderen Führungskräften in der C-Suite Kontext darüber zu geben, wie diese Migration ablaufen würde“, sagte Hidary gegenüber Dark Reading. “Und das ist die Motivation für dieses Papier.”

Hidary betont, dass mit SNDL staatlich geförderte und unabhängige Angreifer bereits damit begonnen haben, RSA-verschlüsselte Daten zu exfiltrieren. „Es passiert gerade jetzt – sie speichern diese Informationen und werden sie in ein paar Jahren entschlüsseln, wenn sie über zusätzliche Rechenleistung verfügen“, sagte er. “Das ist die Sorge.”

PQC zieht mächtige Freunde an

Sandbox AQ ist heute vielleicht kein bekanntes Unternehmen, da es gerade aus dem Stealth-Modus herausgekommen ist. Aber es ist ein gut kapitalisiertes Startup, das von der Google-Muttergesellschaft Alphabet inkubiert wurde ausgesponnen Sandbox AQ im März als eigenständiges Unternehmen.

Das Unternehmen verfügt über einen prominenten Beirat, bestehend aus dem ehemaligen Google-Vorsitzenden und CEO Eric Schmidt, dem ehemaligen US-Verteidigungsminister Ashton Carter, der ehemaligen stellvertretenden Hauptdirektorin des Nationalen Geheimdienstes Susan Gordon und dem pensionierten Admiral Mike Rogers, dem ehemaligen Kommandeur des US-Cyberkommandos und ein ehemaliger Direktor der National Security Agency.

Vor dem Treffen mit Hidary im Januar sagte David Burg, Leiter der Cybersicherheit von Ernst & Young Americas, er wisse, dass PQC ein Problem sei, das sein Unternehmen schließlich mit seinen Kunden ansprechen müsse. Aber Burg gibt zu, dass er überrascht war, dass EY sofort mit Unternehmen daran arbeiten musste.

“Wir verließen dieses Meeting mit der Erkenntnis, dass dies tatsächlich ein Problem ist, mit dem sich unsere Kunden in den Vereinigten Staaten und auf der ganzen Welt früher befassen müssen, als wir dachten”, sagt Burg. Die beiden Unternehmen haben eine Partnerschaft geschlossen, um das Problem gemeinsam anzugehen.

Schutz von Gesundheitsinformationen am Berg Sinai

Einer der Kunden, mit denen EY zusammenarbeitet, ist die Gesundheitssystem des Bergs Sinai, das 43.000 Mitarbeiter an seinen acht Krankenhausstandorten im Großraum New York City beschäftigt. Kristin Myers, CIO des Mount Sinai und Dekanin für Technologie an der medizinischen Fakultät, sagt, Cybersicherheit sei ihre oberste Priorität.

„In Bezug auf Quantencomputer sieht die Realität so aus, dass es aufgrund dieser Innovation möglich sein wird, Daten zu entschlüsseln, die in Zukunft derzeit verschlüsselt sind“, sagt Myers. „Und wie Sie sich für das Gesundheitswesen vorstellen können, eine unbefugte Offenlegung sensibler PHI [personal health information] würde sich wirklich auf die Patienten auswirken, egal ob es jetzt, in fünf Jahren oder darüber hinaus passiert.”

Myers sagt, sie habe Mount Sinai bei Sandbox AQ angemeldet und werde mit der Überprüfung und Bestandsaufnahme aller derzeit verwendeten Verschlüsselungsmethoden beginnen. Sandbox AQ gibt dann Empfehlungen zum weiteren Vorgehen.

„Wir werden eine Machbarkeitsstudie für einige der Produkte durchführen, die wir mit ihnen implementieren müssen“, sagt sie. „Dies wird eine mehrjährige Reise mit ihnen, aber es wird für uns wichtig sein, einfach loslegen zu können.“

Leave a Comment

Your email address will not be published.