Google Cloud KMS erprobt quantensichere digitale Signaturen
Google Cloud hat eine neue Sicherheitsfunktion für seinen Cloud Key Management Service (Cloud KMS) vorgestellt: quantensichere digitale Signaturen für softwarebasierte Schlüssel. Diese sollen Verschlüsselungssysteme künftig vor der Bedrohung durch Quantencomputer schützen, die herkömmliche kryptografische Verfahren knacken könnten.
Quantencomputer könnten herkömmliche Verschlüsselungsverfahren brechen, da sie durch ihre enorme Rechenleistung mathematische Probleme lösen können, auf denen aktuelle Kryptografie basiert, wie etwa die Faktorisierung großer Zahlen oder das Diskrete-Logarithmus-Problem. Google will nun mit den neuen quantensicheren digitalen Signaturen für Cloud KMS möglichen Sicherheitsrisiken frühzeitig vorbeugen. Die Funktion befindet sich derzeit in einer Testphase und ergänzt die Post-Quanten-Kryptografie-Standards (PQC) des National Institute of Standards and Technology (NIST), die im August 2024 offiziell verabschiedet wurden.
„Unsere Roadmap für Cloud KMS PQC umfasst die Unterstützung der neuen NIST-Standards (FIPS 203, FIPS 204, FIPS 205 und künftige Standards) sowohl in der Software (Cloud KMS) als auch in der Hardware (Cloud HSM)“, so Googles Cloud-Abteilung. Durch diese Neuerung können Unternehmen unter anderem quantensichere Schlüssel importieren und austauschen, Daten verschlüsseln und entschlüsseln sowie digitale Signaturen erstellen.
Google will die Implementierungen dieser neuen Standards – FIPS 203 (ML-KEM), FIPS 204 (CRYSTALS-Dilithium oder ML-DSA) und FIPS 205 (Sphincs+ oder SLH-DSA) – als Open-Source-Software veröffentlichen. Zudem arbeitet das Unternehmen mit Anbietern von Hardware-Sicherheitsmodulen (HSM) und Partnern des Google Cloud External Key Manager (EKM) zusammen, um die quantensichere Kryptografie weiter auszubauen.
Entschlüsselung gebunkerter Schlüssel vorbeugen
Ein zentrales Ziel dieser Technologie ist der Schutz vor der Harvest Now, Decrypt Later (HNDL)-Strategie von Angreifern. Dabei werden heute verschlüsselte Daten gesammelt, um sie in Zukunft zu entschlüsseln – sobald leistungsfähige Quantencomputer existieren, die aktuelle Verschlüsselungsmechanismen überwinden können.
„Auch wenn diese Bedrohung noch in der Zukunft liegt, sollten Unternehmen, die langfristige Vertrauensstrukturen nutzen oder Firmware für kritische Infrastrukturen signieren, bereits jetzt über geeignete Schutzmaßnahmen nachdenken“, so Jennifer Fernick und Andrew Foster von Google Cloud. „Je früher wir diese Signaturen absichern, desto stabiler wird das Fundament des digitalen Vertrauens.“
Quantensichere digitale Signaturen in Cloud KMS sind aktuell in der Testphase für ML-DSA-65 (FIPS 204) und SLH-DSA-SHA2-128S (FIPS 205). In Zukunft soll die API-Unterstützung für hybride Signaturschemata erweitert werden, falls sich die Kryptografie-Community auf einheitliche Standards einigt.