zapp2photo - stock.adobe.com
CBOM: Der Post-Quanten-Kryptografie systematisch begegnen
Nur wer seine aktuell verwendete Verschlüsselung kennt, kann sich in Sachen Post-Quanten-Kryptografie auf die Zukunft einstellen. Dabei hilft eine formelle Liste des Status Quo.
Quantencomputer können bestimmte mathematische Probleme wesentlich schneller lösen als klassische Computer – und damit vielen Branchen völlig neue Möglichkeiten eröffnen. Der Nachteil dabei ist jedoch, dass bewährte asymmetrische Verschlüsselungsalgorithmen wie RSA dann geknackt werden können.
Wann genau diese Bedrohung wie real werden wird, lässt sich derzeit nicht exakt bestimmen. Aber das BSI rät ausdrücklich dazu, sich rechtzeitig intensiv mit der Post-Quanten-Kryptografie (PQC, Post Quantum Cryptography) zu beschäftigen. Denn de facto ist die Bedrohung bereits real. Angreifern könnten verschlüsselte Daten, an die sie heute widerrechtlich gelangen, in der Zukunft vielleicht mit entsprechenden Quantencomputern entschlüsseln. Die Bedrohung besteht also, auch wenn Angreifer derzeit nicht über die entsprechende Rechenleistung verfügen.
Ein wichtiger Schritt zur Verbesserung der Quantensicherheit und zur Einleitung einer PQC-Migration ist die Bestandsaufnahme aller verwendeten kryptografischen Systeme. Dabei gilt es auch die Interaktion mit der Software des Unternehmens zu ermitteln und welche Systeme für eine PQC-Umgebung aktualisiert werden müssen. Dieser Prozess führt zur Erstellung einer kryptografischen Stückliste (CBOM, Cryptographic Bill of Material).
Was ist eine CBOM?
Eine CBOM ist eine vollständige Bestandsaufnahme aller Open-Source-, proprietären und kommerziellen Softwareprodukte, die ein Unternehmen verwendet, um seine kryptografischen Vermögenswerte zu erfassen. Sie dokumentiert genau, wo ein Unternehmen derzeit Kryptografie einsetzt, wo es sie in der Vergangenheit eingesetzt hat, und hilft dabei, den zukünftigen Bedarf zu ermitteln.
CBOMs ermöglichen Unternehmen Folgendes:
- Identifizieren und überwachen, wo kryptografische Algorithmen eingesetzt werden.
- Analysieren, ob die aktuellen Standards geeignet sind.
- Entscheiden, welche Algorithmen wann aktualisiert werden müssen.
- Kryptoagilität einführen oder verbessern.
- Einhalten der Branchenvorschriften sicherstellen.
Darüber hinaus sind CBOMs besonders nützlich bei der Planung einer PQC-Migration. Unternehmen können abbilden, welche Ressourcen nach der flächendeckenden Einführung des Quantencomputings anfällig sein könnten, ihre Risikosituation genau bestimmen und dann Entscheidungen zum Risikomanagement treffen.
Wie unterscheiden sich SBOM und CBOM?
Eine CBOM ist eine Erweiterung der Softwarestückliste (SBOM, Software Bill of Materials). Eine SBOM ist eine strukturierte Liste aller von einem Unternehmen verwendeten Softwareprodukte, aufgeschlüsselt nach ihren Bestandteilen. SBOMs helfen Unternehmen dabei, alle verwendeten Softwarekomponenten, Bibliotheken und Abhängigkeiten sowie die potenziellen Sicherheitsrisiken, die diese mit sich bringen können, zu verstehen.
Ein CBOM ist eine zusätzliche Ebene einer SBOM, die die kryptografischen Assets einer Organisation detailliert beschreibt, einschließlich Hardware-, Firmware- und Softwarekomponenten.
Wie man eine CBOM anlegt
Berücksichtigen Sie beim Aufbau einer CBOM zunächst den Umfang. Verwenden Sie aktuelle Datenbanken zur Nachverfolgung von Ressourcen und SBOMs oder beginnen Sie mit deren Entwicklung, falls diese noch nicht vorhanden sind. Der Umfang kann die Ermittlung aller kryptografischen Ressourcen umfassen oder sich bei der Vorbereitung auf die Quantum Readiness auf Ressourcen beschränken, von denen bekannt ist, dass sie PKI (Public-Key-Infrastruktur) verwenden.
Nach der Bestandsaufnahme der Ressourcen folgt der aufwendigste Schritt: die Ermittlung der Verschlüsselungsalgorithmen, die jede einzelne Komponente jedes Systems verwendet. SBOM-Tools können diesen Prozess beschleunigen. CycloneDX hat beispielsweise seine SBOM um CBOM-Funktionen erweitert, um kryptografische Komponenten zu erfassen.
Eine CBOM sollte alles enthalten, was eine SBOM enthält – Softwarekomponenten, Bibliotheken, Codeabhängigkeiten, Patch-Historie, Lieferanten, Versionsnummern, Lizenzen etc. – sowie Folgendes:
- Kryptografische Algorithmen und Schlüssellängen.
- Kryptografische Abhängigkeiten.
- Einhaltung kryptografischer Standards.
- Kryptografische Zertifikate und deren Ablaufdaten.
- Kryptografische Schlüssel und deren Status.
- Sicherheitsprotokolle und -richtlinien.
Wenn Sie CBOM für die Quantum Readiness verwenden, sollten Sie nach der Bestandsaufnahme der Assets und der Zuordnung der verwendeten Algorithmen eine Risikobewertung für jedes Asset in einer Post-Quanten-Welt durchführen. Dies wird ein langwieriger Prozess sein, weshalb das BSI Unternehmen empfiehlt, bereits jetzt damit zu beginnen. Viele Assets, insbesondere Legacy-Anwendungen, verfügen möglicherweise über kryptografische Algorithmen, die nicht oder nur schwer aktualisiert werden können – beispielsweise, wenn sie fest in IoT-Geräte programmiert sind.
Teil des Risikomanagementprozesses ist es, Lieferanten zu fragen, ob und wann sie Post-Quantum-Kryptografie unterstützen werden. Unternehmen müssen dann entscheiden, ob sie Lieferanten und Produkte wechseln müssen, um rechtzeitig auf Post-Quantum-Kryptografie umstellen zu können. Dies hilft Unternehmen auch dabei, die Kosten einer unternehmensweiten Umstellung auf Post-Quantum-Kryptografie besser einzuschätzen.
Mit einer vollständigen CBOM können Unternehmen die für Post-Quanten-Kryptografie benötigte Software genau analysieren und bestimmen, wo quantensichere Software zuerst implementiert werden muss und was noch warten kann.
Wichtig: Eine CBOM ist ein dynamisches Dokument. Unternehmen müssen es kontinuierlich aktualisieren, wenn neue Software hinzugefügt oder entfernt wird, um die kryptografische Sicherheit – und bald auch die PQC-Sicherheit – zu gewährleisten.
