Geschafft: Digitale Signatur trotzt Quantencomputern

Geschafft: Digitale Signatur trotzt Quantencomputern

Im Forschungsprojekt squareUP brachten Forscher von der TU Darmstadt sowie genua ein Post-Quantum-Signaturverfahren zur Praxisreife. Derzeit feiern wir nicht nur den Abschluss des Projekts, sondern können bereits erste Ergebnisse in der Praxis nutzen. Im Folgenden möchten wir von unserem Projekt berichten.

Fast jede Woche wird von unterschiedlichsten Hackerangriffen in den Medien berichtet. Heutzutage ist es daher ungemein wichtig, dass die vernetzten Systeme immer auf dem neuesten Stand sind. Gerade am Beispiel des Smartphones wird dies sehr konsequent durchgesetzt. Fast täglich werden Apps aktualisiert. Und gerade bei Sicherheitsprodukten ist es der beste Schutz, wenn jedes verfügbare Update schnellstmöglich eingespielt wird. Doch wie wird eigentlich sichergestellt, dass die Software und Updates, die man herunterlädt, wirklich von demjenigen stammen, der sie erstellt hat? Wäre es möglich, dass Hacker oder ein feindlicher Nachrichtendienst die Software stehlen, eine Hintertür einbauen und den ahnungslosen Nutzern unterschieben?

In der Praxis nutzen Hersteller von Software digitale Signaturen. Sie unterschreiben also die Software, die sie herausgegeben haben. Dazu werden in der Regel Public-Key-Kryptoverfahren eingesetzt. Die Systeme, die aktualisiert werden sollen, verfügen über einen öffentlichen Schlüssel des Herstellers. Diesen haben sie z. B. bei der Auslieferung ab Werk erhalten und er stammt somit sicher vom Urheber. Der Hersteller ist in Besitz eines privaten Schlüssels, den nur er kennt. Damit wird jedes Update unterschrieben. Bevor die nächste Aktualisierung auf dem System eingespielt wird, überprüft dieses mit Hilfe des öffentlichen Schlüssels, ob die digitale Unterschrift vom Hersteller stammt und wirklich für die Software erstellt wurde, welche man erhalten hat. Jegliche Manipulation würde an dieser Stelle auffallen.

Quantencomputer – neue Bedrohung mit enormen Ausmaß

Jedoch steht die Kryptographie, also die Kunst der Verschlüsselung und der Erstellung von digitalen Unterschriften, vor einem Wandel. Sogenannte Quantencomputer drohen mit besseren Angriffen auf die heute genutzten Verfahren. Speziell die derzeit genutzten Public-Key-Kryptosysteme könnten allesamt gebrochen werden. Zum Glück gibt es noch keine Quantencomputer, die groß genug sind, um diese Bedrohung Wirklichkeit werden zu lassen. Doch in 15 bis 20 Jahren ist dies durchaus denkbar. Daher beschäftigen sich Spezialisten im Rahmen der Post-Quantum Kryptografie mit Alternativen, die auch dann noch Sicherheit bieten, wenn die Gefahr durch Quantencomputer Realität werden kann.

Doch die Einführung neuer Verfahren dauert viele Jahre und die meisten interessanten Kandidaten sind noch nicht reif für den Praxiseinsatz. Bis genügend Vertrauen in die theoretische Sicherheit der Verfahren gewonnen wurde, bis es Standards gibt, an die sich jeder halten kann, bis ein Verfahren zum ersten Mal in der Praxis verwendet wurde, man erste Erfahrungen gemacht hat und es letztlich Verbreitung findet, vergehen leicht 15 Jahre und mehr. Von daher müssen wir bereits heute handeln.

Forschungsprojekt squareUP: Hash-basierte Signaturen halten Quantencomputern Stand

Ein Bereich, der bereits heute für den Einsatz geeignet ist, sind sogenannte Hash-basierte Signaturen. Mit diesen können digitale Signaturen erstellt werden, welche sicher vor Quantencomputer-gestützten Angriffen sind. Damit können Updates unterschrieben werden. Doch auch für diese Familie von Verfahren galt es, noch einige Stolpersteine zu überwinden.

Forschungsprojekt squareUP: TU Darmstadt und genua entwickeln quantenresistente Signatur

Im Forschungsprojekt squareUP beschäftigten sich Forscher der TU Darmstadt und genua insgesamt drei Jahre damit, das eXtended Merkle Signature Scheme (XMSS), ein modernes Hash-basiertes Verfahren, praxistauglich zu machen und alle offenen Fragen zu klären. So bringt das Verfahren nicht nur Sicherheit, auf die wir vertrauen können, sondern auch Eigenheiten, die es so noch nie gab. Bei den bekannten Kryptosystemen müssen Schlüssel nur gelesen werden, doch bei Hash-basierten Verfahren muss der Signaturschlüssel mit jeder erstellten Unterschrift abgeändert werden. Das hat weitreichende Konsequenzen. So bedarf der Schlüssel einer sehr speziellen Behandlung. Jegliche Software, die klassische Verfahren nutzt, ist nicht auf diese Besonderheit vorbereitet. In einer Kooperation mit Cisco wurden Lösungen erarbeitet und veröffentlicht.

Außerdem wurde in einer Kooperation mit der TU Eindhoven ein Internet-Draft für einen RFC, also einen Internetstandard erstellt, welcher das Verfahren detailliert beschreibt. Dieser Internet-Draft wird in Kürze als RFC publiziert. Viele weitere Informationen finden Sie auf der Projektwebseite.

genua integriert Forschungsergebnisse in eigene Produkte

Dank der Ergebnisse des Forschungsprojekts war es genua möglich, im Anschluss an das Projektende im Juni damit zu beginnen, dieses Verfahren in die eigenen Produkte zu integrieren. Das Verfahren ist frei nutzbar und dank der Veröffentlichungen kann jeder Interessierte das Verfahren selbst nachbauen und selbst einsetzen. genua veröffentlicht noch dieses Jahr die ersten Produkte mit einer zusätzlichen quantenresistenten Signatur und ist damit das erste IT-Sicherheitsunternehmen, das diese Verfahrensart zur Absicherung seiner Updates einsetzt. Daher nahmen wir die IT-Sicherheitsmesse it-sa 2017 zum Anlass, um dieses Ergebnis im Rahmen einer Abschlussveranstaltung für das erfolgreiche Forschungsprojekt squareUP mit unseren Gästen zu feiern.

Das Projekt wurde aufseiten der TU Darmstadt von der Deutschen Forschungsgemeinschaft (DFG) und aufseiten von genua vom Bayerischen Staatsministerium für Wirtschaft und Medien, Energie und Technologie (StMWi) gefördert. Als Projektträger für genua fungierte die VDI/VDE-IT.

 

Bildquelle: © maxkabakov - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.