Post-Quanten-Kryptographie-Standardisierung des NIST
Das National Institute of Standards and Technology (NIST) führt seit 2017 einen Auswahlprozess zur Standardisierung von Post-Quanten-Kryptographie (NISTPQC) durch, da Schätzungen zufolge zum Beispiel der verbreitete RSA-Algorithmus bis zum Jahr 2030 durch Quantenrechner gebrochen werden könnte.[1] Der Standardisierungsprozess gilt als derzeit bedeutendste gemeinschaftliche Bemühung zur Entwicklung – und maßgeblich bei der Bewertung – von Algorithmen für Post-Quanten-Kryptographie.[2] In mehreren Runden, zu denen jeweils auch eine Konferenz gehört, werden jeweils einige Algorithmen ausgeschlossen und andere eingehender untersucht.
Da die meisten symmetrischen Primitive relativ leicht angepasst werden können, um quantensicher zu werden, konzentrieren sich die Bemühungen auf asymmetrische Kryptosysteme, insbesondere digitale Signaturen und Schlüsselkapselungsverfahren.
Die künftigen Standards werden als Federal Information Processing Standard (FIPS-203, FIPS-204, FIPS-205 …) veröffentlicht.[3]
Geschichte
[Bearbeiten | Quelltext bearbeiten]Das bewährte offene, transparente Format der Veranstaltung folgt dem Vorbild des AES-Standardisierungsprozesses (1997–2000), der aus der Kryptologie-Gemeinde mit viel Lob bedacht worden war.[4] Die akademische Forschung zu potenziellen Auswirkungen der Quanteninformatik reicht mindestens bis ins Jahr 2001 zurück.[5] Im Jahr 2015 verkündeten US-Bundesbehörden Pläne, alle staatlichen Informationsverarbeitungssysteme mit Geheimhaltungsanforderungen auf quantenresistente Kryptographie umzustellen.[6] Daher kündigte das NIST auf der PQCrypto 2016 die Standardisierung quantensicherer kryptografischer Primitive an.[7] Im Dezember 2016 wurde der Standardisierungsprozess mit einem Aufruf zur Einreichung von Vorschlägen eingeleitet.[8]
Bis zum Abgabeschluss Ende 2017 wurden 23 Signatursysteme und 59 Verschlüsselungs-/Schlüsselkapselungsverfahren eingereicht,[9]. Davon wurden 69 als vollständig und geeignet für die Teilnahme an der ersten Runde akzeptiert. In dieser Runde kamen 23 Kandidaten weiter. Die zweite Runde bestanden sieben Algorithmen (zuzüglich acht Alternativkandidaten).[10]
In der dritten Runde gewannen die Algorithmen CRYSTALS-Kyber (Schlüsselkapslungsverfahren) und CRYSTALS-Dilithium, FALCON und SPHINCS+ (Digitale Signaturverfahren). Diese werden nun vom NIST standardisiert.[11]
Die im Juli 2022 angekündigte vierte Runde,[12] in der vier weitere Algorithmen geprüft und gegebenenfalls dann standardisiert werden, ist Stand März 2024 noch im Gange.
Dritte Runde
[Bearbeiten | Quelltext bearbeiten]Am 22. Juli 2020 gab das NIST sieben Finalisten, darunter drei Signaturverfahren sowie acht Alternativen bekannt. Die Hauptkandidaten sind Algorithmen, die am vielversprechendsten für eine Standardisierung am Ende der dritten Runde erscheinen. Ausweichkandidaten könnten nach Abschluss der dritten Runde weiter untersucht und später standardisiert werden.[13] Das NIST erwartet, dass einige Reservekandidaten in einer vierten Runde berücksichtigt werden. Das NIST deutete auch an, in Zukunft möglicherweise weitere Vorschläge für Signatursysteme einholen zu wollen.[14]
Vom 7. bis 9. Juni 2021 veranstaltete das NIST die dritte PQC-Standardisierungskonferenz im virtuellen Raum,[15] auf der Anpassungen der Kandidaten und Diskussionen über Implementierungen, Leistung und Sicherheitsfragen behandelt wurden. In geringem Umfang wurden auch Fragen des geistigen Eigentums erörtert.
Bedenken hinsichtlich geistigen Eigentums
[Bearbeiten | Quelltext bearbeiten]Nachdem Google Inc. bereits im Juli 2016 für den Chrome-Browser die Implementierung des CECPQ1-Verfahrens[16] ankündigte, erhob Jintai Ding Anspruch auf eine Vergütung, da ein von ihm im Jahre 2013 angemeldetes und bis zum Jahr 2033 gültiges Patent (US-Patent 9246675) das CECPQ1-Verfahren betreffe.[17] Seine Forschungen hatte die NSA seit dem 24. Januar 2002 mit 60.567 US-Dollar gefördert.[18] Vorsätzliche Patentverletzungen werden im Patentrecht der USA mit dreifachem Schadensersatz belegt.
Auch im Juni 2021 wurden Bedenken hinsichtlich geistigen Eigentums zu gitterbasierten Verfahren wie SABER und NewHope (von Alkim, Ducas, Pöppelmann und Schwabe) geäußert.[19] Jintai Dings US-Patent 9246675 betrifft auch NewHope. Das NIST erhielt von den einreichenden Gruppen Verzichtserklärungen aller Beteiligten. Trotzdem besteht die Sorge, dass Dritte später Rechtsansprüche erheben. Das NIST will solche Überlegungen bei der Endauswahl berücksichtigen.[20]
Anpassungen
[Bearbeiten | Quelltext bearbeiten]In dieser Runde wurden bei einigen Kandidaten Anfälligkeiten für bestimmte Angriffsstrategien gezeigt. Deshalb wurden folgende Anpassungen vorgenommen:
- CRYSTALS-Kyber und SABER
- Die verwendeten Verfahren für ihre verschachtelten Hashes wurden verändert, um ihre Sicherheitsbehauptungen aufrechtzuerhalten.[21]
- FALCON
- Zusätzliche Maskierungsmaßnahmen wurden vorgenommen, um gegen einen möglichen Seitenkanalangriff durch Laufzeitanalyse resistent zu werden, allerdings wirken sich diese negativ auf die Leistung aus.[22]
Diese Anfälligkeiten der Finalisten Kyber, Saber und Dilithium waren durch das „Center of Encryption and Information Security“ (einer Organisation der israelischen Armee) gefunden worden und betreffen womöglich auch weitere Algorithmen.[10]
Vierte Runde
[Bearbeiten | Quelltext bearbeiten]Im Juli 2022 begann die vierte Runde des Wettbewerbs,[23] zu der die vier Kandidaten
- BIKE
- Classic McEliece
- HQC
- SIKE
antraten. Die Entwickler von SIKE haben ihren Algorithmus mittlerweile als unsicher bezeichnet und zurückgezogen.[23]
Weblinks
[Bearbeiten | Quelltext bearbeiten]Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ NIST Released NISTIR 8105, Report on Post-Quantum Cryptography. Abgerufen am 5. November 2019 (englisch).
- ↑ Malik Imran, Zain Ul Abideen, Samuel Pagliarini: An Experimental Study of Building Blocks of Lattice-Based NIST Post-Quantum Cryptographic Algorithms. In: Electronics. Band 9, Nr. 11, 19. November 2020, ISSN 2079-9292, S. 1953, doi:10.3390/electronics9111953 (mdpi.com).
- ↑ NIST Releases First 3 Finalized Post-Quantum Encryption Standards, NIST, 13 Aug. 2024
- ↑ Crypto-Gram: October 15, 2000. In: Schneier on Security. 15. Oktober 2000, abgerufen am 9. Oktober 2018 (englisch).
- ↑ Zhu Hong: Survey of Computational Assumptions Used in Cryptography Broken or Not by Shor’s Algorithm. McGill University, 2001 (englisch, mcgill.ca – Doktorarbeit).
- ↑ Markku-Juhani O. Saarinen: Mobile Energy Requirements of the Upcoming NIST Post-Quantum Cryptography Standards. In: 2020 8th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering (MobileCloud). August 2020, S. 23–30, doi:10.1109/MobileCloud48802.2020.00012 (arxiv.org [PDF]).
- ↑ The Future Is Now: Spreading the Word About Post-Quantum Cryptography. (englisch).
- ↑ NIST Asks Public to Help Future-Proof Electronic Information. Abgerufen am 5. November 2019 (englisch).
- ↑ Final submissions received. In: post-quantum.ch. Archiviert vom am 29. Dezember 2017; abgerufen am 29. Dezember 2017 (englisch).
- ↑ a b Bruce Schneier: NIST’s Post-Quantum Cryptography Standards. In: Schneiner on Security. 8. August 2022, abgerufen am 4. November 2023 (englisch).
- ↑ Information Technology Laboratory Computer Security Division: Selected Algorithms 2022 - Post-Quantum Cryptography | CSRC | CSRC. 3. Januar 2017, abgerufen am 6. März 2024 (amerikanisches Englisch).
- ↑ Information Technology Laboratory Computer Security Division: Announcing PQC Candidates to be Standardized, Plus Fourth Round Candidates | CSRC. 24. März 2022, abgerufen am 6. März 2024 (amerikanisches Englisch).
- ↑ Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process. Abgerufen am 23. Juli 2020 (englisch).
- ↑ Third PQC Standardization Conference – Session I Welcome/Candidate Updates. In: nist.gov. Abgerufen am 6. Juli 2021 (englisch).
- ↑ Information Technology Laboratory Computer Security Division: Third PQC Standardization Conference. In: CSRC | NIST. 10. Februar 2021, abgerufen am 6. Juli 2021 (amerikanisches Englisch).
- ↑ Matt Braithwaite: Experimenting with Post-Quantum Cryptography. In: Google Security Blog. 7. Juli 2016, abgerufen am 4. November 2023 (englisch).
- ↑ Patent EP2837128B1: Neue Kryptografische Systeme mit Fehlerpaarung. Angemeldet am 11. April 2013, veröffentlicht am 27. Februar 2019, Erfinder: Jintai Ding.
- ↑ Jintai Ding, Ph.D., Charles Phelps Taft Professor, Mathematical Sciences, University of Cincinnati ( vom 14. Mai 2021 im Internet Archive)
- ↑ Erdem Alkim, Léo Ducas, Thomas Pöppelmann, Peter Schwabe: Post-quantum key exchange - a new hope. In: 25th USENIX Security Symposium (USENIX Security 16). 2016, S. 327–343 (englisch, iacr.org).
- ↑ Submission Requirements and Evaluation Criteria. (pdf; englisch).
- ↑ Paul Grubbs, Varun Maram, Kenneth G. Paterson: Anonymous, Robust Post-Quantum Public Key Encryption. In: IACR Cryptol. ePrint Arch. Nr. 2021/708, 2021 (englisch, iacr.org).
- ↑ Emre Karabulut, Aydin Aysu: Falcon Down: Breaking Falcon Post-Quantum Signature Scheme through Side-Channel Attacks. In: The Design Automation Conference. 2021 (Preprint in Cryptology ePrint Archive Report 2021/772).
- ↑ a b Post-Quantum Cryptography. In: nist.gov. Abgerufen am 6. März 2024 (englisch).