Postquantensichere Kryptografie zur Absicherung von kritischen Infrastrukturen
Der Schutz kritischer Infrastrukturen hat in den letzten Jahren, nicht zuletzt durch Bedrohungen, die durch zahlreiche Akteure hervorgerufen werden, an Bedeutung gewonnen.
In diesem Umfeld kommen verstärkt vernetzte Sensoren (Internet of Things – IoT) und zentrale Informationsverarbeitung in Cloudstrukturen zum Einsatz um z.B. in Echtzeit industrielle Prozesse und Komponenten zu überwachen und zu steuern. Ein Bsp. ist z.B. die Zustandsüberwachung von Pumpen in Kernkraftwerken. Technologien zur Authentisierung und Verschlüsselung sind dabei essentiell um dem hohen Sicherheitsbedürfnis Rechnung zu tragen. Herausforderungen liegen dabei insbesondere in der Absicherung mit Public Key Infrastrukturen, die auf die speziellen Bedürfnisse im KRITIS Umfeld abgestimmt sind.
Eine spezielle Herausforderung dabei ist Berücksichtigung Quantentechnologie und der Schutz durch Post-Quantenkryptographie. Derzeit werden zur Absicherung der Kommunikation und zur Authentisierung in kritischen Infrastrukturen mathematische Verfahren wie die Elliptische-Kurven-Kryptographie verwendet. Diese Verfahren gelten heute noch als sicher. Jedoch gibt es Quantenalgorithmen (Shor) welche, auf einem Quantencomputer, ausgeführt in der Lage sind diese Verfahren zu brechen. Damit wäre es möglich geheime Schlüssel zu berechnen und bspw. die Kommunikation abzuhören oder Zugriff auf die industriellen Steuerungen zu erhalten – mit entsprechend weitreichenden Folgen. Obwohl Quantencomputer welche dazu in der Lage wären heute noch nicht vorhanden sind muss bereits heute an Verfahren, bis hin zur Standardisierung, gearbeitet werden um sich für die Zukunft zu rüsten. Dabei muss eine gewisse Flexibilität und Agilität in der Anwendung von Kryptographie gegeben sein.
Für Thales Deutschland als Anbieter von Sicherheitslösungen zum Schutz ziviler und militärischer Infrastrukturen ist das aktueller Forschungsgegenstand. Insbesondere im BMBF geförderten Projekt: "Post-Quanten-sichere Public-Key-Infrastruktur (PKI) für die Cloud-Anbindung in kritischen Infrastrukturen - PoQ-KIKI".
In diesem Vorhaben, an dem Thales Deutschland als Projektpartner im Verbund mit KSB, der TU München und der RPTU beteiligt ist, wird an der zuverlässige Verschlüsselung für stark ressourcenbeschränkte Geräte und dem Schutz der Anbindung an Cloud-Server mit entsprechendem Hardware-Sicherheitsmodul (HSM) welches die Menge an abzusehenden Operationen in der Verwaltung der IoT Geräte verarbeiten kann geforscht.
Dabei kann Thales auf seine Erfahrungen in der Entwicklung von Verschlüsselungssystemen für zivile und militärische Anwendungen sowie Cybersecurity bzw. Informationssicherheit im weiten Feld an IT- und Industrieanwendungen technologischen Umsetzungen zurückgreifen. So bietet Thales z.B. das gesamte Portfolio der Informationssicherheit für den kompletten Lifecycle von ersten Konzeptionen über konkretes Lösungsdesign, Umsetzung und Bewertung / Assessmen, Betrieb inkl. Weiterentwicklung Produktpflege bis zur Aussonderung an.
Ziel des Projektes ist es daher diese neuen Post-Quanten-Kryptoverfahren flexibel, ressourcenschonend und trotzdem performant in einem HSM zu implementieren. Dieses HSM soll für maximale Flexibilität standardkonform über definierte Schnittstellen sicher in eine kritische Infrastruktur eingebunden werden können. Neuer asymmetrische Krypto-Algorithmen aus verschiedenen Gebieten werden dabei untersucht, um Lösungen für den direkten Anwendungsfall zu entwickeln und zum Einsatz zu bringen. Dabei soll die klassische Kryptographie weiter zum Einsatz (hybrid) kommen, dies um damit Anforderungen verschiedener Sicherheitsbehörden Rechnung zu tragen welche die Anforderungen für den kritischen Infrastrukturen Bereich definieren. Die Ziel-Hardware ist sind hierbei FPGA Bausteine. Diese erlauben es Datenpfade klar zu definieren. Zusätzlich haben Sie ein besseres Verhältnis des Stromverbrauchs zur Ausführgeschwindigkeit und sind flexibel neu programmierbar. Außerdem sind Angriffe durch die Parallelisierung in Hardware schwerer durchzuführen als in reinen Softwareimplementierungen.