Ein Großteil unserer aktuellen IT-Infrastruktur ist auf DNS angewiesen, um Datenverkehr sicher weiterzuleiten. Die Sicherung dieser Infrastruktur hängt wiederum stark von Kryptografie ab, aber am Horizont zeichnet sich eine Bedrohung ab.
Quantum Computing wird ein Maß an Rechenleistung bieten, das aktuelle kryptografische Techniken überflüssig machen könnte, und das ist ein Problem für die gesamte Internet-und Netzwerkwelt. Wir sprachen mit Peter Lowe, leitender Sicherheitsforscher bei DNSFilter, um die möglichen Auswirkungen von Quantencomputern auf die Sicherheit und was zu besprechen kann getan werden, um der Bedrohung zu begegnen.
BN: Warum ist Kryptografie für DNS so wichtig?
PL: Kryptografie ist die grundlegende Domain Name Security (DNS)-Server, die zur Verifizierung verwendet werden Teil der DNS Security Extensions (DNSSEC). Um eine Verifizierung durch die Verwendung von digitalen Signaturen oder symmetrischen Schlüsseln zu erreichen, muss DNS bestätigen, dass die Website und die Daten das sind, was sie zu sein vorgeben – und eine starke Kryptografie ist der einzige Weg, um sicherzustellen, dass wir den Ergebnissen vertrauen können.
BN: Wie gefährdet Quantencomputing dies?
PL: Im Gegensatz zu einem herkömmlichen Computer, der Informationen in Bits kodiert, kodiert ein Quantencomputer Informationen in Quantenbits (Qubits ), die anders funktionieren. Qubits ermöglichen Quantencomputing, Informationen nicht nur schneller zu codieren, sondern auch mehr Informationen auf einmal zu speichern, was die Cybersicherheit, wie wir sie kennen, bedroht.
Quantum Computing hat die Geschwindigkeit und Leistung, die erforderlich ist, um kryptografische Algorithmen zu knacken und Hackern den Zugriff auf Daten zu ermöglichen die zuvor sicher verschlüsselt waren, und speichern und entschlüsseln Sie diese Daten später. Es ist relativ einfach, drahtlos auf Daten zuzugreifen, indem man einen Man-in-the-Middle-Angriff durchführt, aber nutzlos, wenn die übertragenen Daten verschlüsselt sind. Im Moment würden die Daten nur wie eine zufällige Folge von Bytes aussehen, und ohne die Bedrohung durch Quantencomputer könnte dies Hunderte von Jahren in der Zukunft so bleiben. Quantencomputing hat das Potenzial, dass Hacker dies leichter entschlüsseln können, und die Daten bleiben möglicherweise nicht so lange sicher wie ursprünglich beabsichtigt.
Darüber hinaus stellt Quantencomputing Herausforderungen an die Schlüssel-und Signaturgröße, die viel größer sind als aktuelle Algorithmen. Die Post-Quanten-Kryptographie verwendet größere Schlüsselgrößen, als wir es derzeit gewohnt sind, was für sich genommen in Ordnung ist. Aufgrund von Beschränkungen in dem von DNS-Servern verwendeten Protokoll namens Universal Datagram Protocol oder UDP können die Paketgrößen jedoch größer werden als das, was der Server verarbeiten soll. Ganz zu schweigen davon, dass die größeren Schlüsselgrößen erheblich mehr Rechenressourcen auf den Servern selbst erfordern.
Um sich vor diesen Bedrohungen für die Kryptografie zu schützen, hat die Industrie damit begonnen, sich mit der Einführung von Post-Quanten-Algorithmen zu befassen. Der Übergang von DNSSEC zu Post-Quanten-Algorithmen ist jedoch aufgrund der potenziellen Auswirkungen auf die Infrastruktur besonders schwierig. Das Aktualisieren von Chiffren ist ein riskanter Prozess, insbesondere für diejenigen, die Root-Server betreiben: Wenn die Passphrasen, die zum Generieren der Schlüssel verwendet werden, kompromittiert wurden, könnte es möglich sein, eine stattgefundene Domain-Verifizierung zu fälschen. Alle drei Monate findet eine sorgfältig choreografierte Key Signing Ceremony statt, um die Schlüssel zu generieren, die an der Spitze der DNSSEC-Kette verwendet werden. Dieser Prozess müsste gründlich überprüft werden, wenn Änderungen auftreten würden, was bedeutet, dass buchstäblich jede validierte DNS-Anfrage im Internet – Billionen jeden Tag – kompromittiert werden könnte.
BN: Wie können Organisationen Beginnen Sie mit der Planung für eine Post-Quanten-Welt?
PL: Für Organisationen, die sich auf eine Post-Quanten-Welt vorbereiten möchten, ist es wichtig, unsere Denkweise zu ändern, um die Idee loszulassen, dass bestimmte Botschaften dies tun werden bleiben für immer privat. Uns wird regelmäßig versichert, dass die Verschlüsselung unsere Daten vor Hackern schützt, und obwohl dies so ist, ist es wichtig zu bedenken, dass die Verschlüsselung irgendwann brechen wird. Der größte Unterschied zum Quantencomputing besteht darin, dass es viel schneller gehen könnte, als wir uns vorgestellt haben.
Ein Beispiel ist die Nachrichtenübermittlung. Es gibt viele Messaging-Systeme, die eine Ende-zu-Ende-Verschlüsselung (E2EE) bereitstellen, die zum sicheren Austausch von Nachrichten verwendet wird, ohne befürchten zu müssen, dass die Nachrichten, wenn sie abgefangen werden, in absehbarer Zukunft von Hackern gelesen werden könnten. Quantencomputing beschleunigt diese Zeitlinie um eine Größenordnung. Daher kann die Speicherung der Daten eine praktikable Option für entschlossene Hacker werden.
Unternehmen mit hohem Risiko, wie Banken und Regierungen, sollten sich so früh wie möglich auf die Verwendung von Post-Quanten-Algorithmen vorbereiten. Es bleibt zwar noch genügend Zeit, dies zu tun, aber es wird ein langwieriger Prozess sein, also je früher Sie beginnen, desto besser.
Der erste Schritt ist die Vorbereitung: Identifizieren Sie, wo innerhalb des Ganzen Verschlüsselung verwendet wird Organisation, dokumentieren Sie die aktuellen Verfahren und verwendeten Algorithmen und legen Sie die Aufbewahrungsanforderungen für jede Art von gespeicherten Daten fest. Zudem müssen sich Sicherheitsexperten von starren Vorgehensweisen verabschieden: Je starrer die Vorgehensweise, desto schwieriger wird es später, sie zu aktualisieren. Um diese Herausforderungen später zu vermeiden, müssen Sicherheitsteams sicherstellen, dass alle aktuellen Praktiken so flexibel wie möglich sind.
Bei gespeicherten Daten ist es immer die sicherste Option, sie einfach zu löschen. Für Daten, die für immer aufbewahrt werden müssen, sollten Vorbereitungen getroffen werden, um sie neu zu verschlüsseln, wenn aktualisierte Standards bereit sind. Überprüfen Sie bei Software und Hardware, die auf andere Weise Verschlüsselung verwenden, ob der Anbieter Pläne zur Aktualisierung seiner Algorithmen hat, und prüfen Sie Alternativen Post-Quantum-Welt, sei es durch das Lesen von Industrie-Newslettern oder durch die genaue Beachtung der Standardaktualisierungen des National Institute of Standards and Technology (NIST) des US-Handelsministeriums.
BN: Gibt es Post-Quantum-Lösungen verfügbar oder bereits in der Pipeline?
PL: Im Juli 2022 wählte NIST vier Verschlüsselungsalgorithmen aus, die dem Post-Quantum-Kryptografiestandard von NIST hinzugefügt werden sollen, der voraussichtlich eingeführt wird ungefähr zwei Jahre. Es gibt auch Pläne, bald eine weitere Runde von Algorithmen anzukündigen.
Die Herausforderungen in der DNS-Welt sind größtenteils eher operativer als algorithmischer Natur: Hardware muss angepasst werden, um den erhöhten Rechenanforderungen gerecht zu werden, und Protokolle müssen sich anpassen angepasst oder eingeführt werden, ohne dass die derzeitigen Beschränkungen die heute verwendeten einschränken.
Eine Option auf dem Tisch ist die Verwendung von Hash-basierten Signaturen, die sich recht gut gegen die Post-Quanten-Kryptografie behaupten und einen geringeren Overhead haben sie müssen geändert werden. Aber selbst ein geringerer Overhead ist immer noch signifikant.
Derzeit gibt es keine vollständige Lösung, um dies zu lösen. Es finden jedoch Branchendiskussionen statt, und ich bin gespannt, was auf uns zukommt.
Bildnachweis: BeeBright/depositphotos.com