Post-Quanten-Kryptographie-Standardisierung des NIST

Das National Institute of Standards and Technology (NIST) führt seit 2017 einen Auswahlprozess zur Standardisierung von Post-Quanten-Kryptographie (NISTPQC) durch, da Schätzungen zufolge zum Beispiel der verbreitete RSA-Algorithmus bis zum Jahr 2030 durch Quantenrechner gebrochen werden könnte.^[1] Der Standardisierungsprozess gilt als derzeit bedeutendste gemeinschaftliche Bemühung zur Entwicklung – und maßgeblich bei der Bewertung – von Algorithmen für quantensichere Kryptographie.^[2] In mehreren Runden, zu denen jeweils auch eine Konferenz gehört, werden jeweils einige Algorithmen eliminiert und andere eingehender untersucht.

Da die meisten symmetrischen Primitive relativ leicht angepasst werden können, um quantensicher zu werden, konzentrieren sich die Bemühungen auf asymmetrische Kryptosysteme, insbesondere digitale Signaturen und Schlüsselkapselungsverfahren.

Derzeit ist noch nicht entschieden, ob die künftigen Standards als Federal Information Processing Standard (FIPS) oder als NIST Special Publication (SP) veröffentlicht werden.

Geschichte

Das bewährte offene, transparente Format der Veranstaltung folgt dem Vorbild der AES-Standardisierungsprozesses (1997–2000), der aus der Kryptologie-Gemeinde mit viel Lob bedacht worden war.^[3] Die akademische Forschung zu potenziellen Auswirkungen der Quanteninformatik reicht mindestens bis ins Jahr 2001 zurück.^[4] Im Jahr 2015 verkündeten US-Bundesbehörden Pläne, alle staatlichen Informationsverarbeitungssysteme mit Geheimhaltungsanforderungen auf quantenresistente Kryptographie umzustellen.^[5] Daher kündigte das NIST auf der PQCrypto 2016 die Standardisierung quantensicherer kryptografischer Primitive an.^[6] Im Dezember 2016 wurde mit einem Aufruf zur Einreichung von Vorschlägen der Standardisierungsprozess eingeleitet.^[7]

Bis zum Abgabeschluss Ende 2017 wurden 23 Signatursysteme und 59 Verschlüsselungs-/Schlüsselkapselungsverfahren eingereicht,^[8]. Davon wurden 69 als vollständig und geeignet für die Teilnahme an der ersten Runde akzeptiert. Der Wettbewerb befindet sich nun in der dritten von voraussichtlich vier Runden. Das NIST will die Standards bis 2024 veröffentlichen. Der Prozess könnte beschleunigt werden, wenn die Entwicklung von Quantenrechnern relevante Durchbrüche erreicht.

Dritte Runde

Am 22. Juli 2020 gab das NIST sieben Finalisten, darunter drei Signaturverfahren sowie acht Alternativen bekannt. Die Hauptkandidaten sind Algorithmen, die am vielversprechendsten erscheinen für eine Standardisierung am Ende der dritten Runde. Ausweichkandidaten könnten nach Abschluss der dritten Runde weiter untersucht und später standardisiert werden.^[9] Das NIST erwartet, dass einige Reservekandidaten in einer vierten Runde berücksichtigt werden. Das NIST deutete auch an, in Zukunft möglicherweise weitere Vorschläge für Signatursysteme einholen zu wollen.^[10]

Vom 7. bis 9. Juni 2021 veranstaltete das NIST die dritte PQC-Standardisierungskonferenz im virtuellen Raum,^[11] auf der Anpassungen der Kandidaten und Diskussionen über Implementierungen, Leistung und Sicherheitsfragen behandelt wurden. In geringem Umfang wurden auch Fragen des geistigen Eigentums erörtert.

Bedenken hinsichtlich geistigen Eigentums

Nachdem Google Inc. bereits im Juli 2016 für den Chrome-Browser die Implementierung des CECPQ1-Verfahrens^[12] ankündigte, erhob Jintai Ding Anspruch auf eine Vergütung, da eines seiner sechs Patente (US-Patent 9246675)^[13] das CECPQ1-Verfahren betreffe und bis 2033 gültig ist. Seine Forschungen hatte die NSA seit dem 24. Januar 2002 mit 60.567 US-Dollar gefördert.^[14] Vorsätzliche Patentverletzungen werden im Patentrecht der USA mit dreifachem Schadensersatz belegt.

Auch im Juni 2021 wurden Bedenken hinsichtlich geistigen Eigentums geäußert zu gitterbasierten Verfahren wie SABER und NewHope von Alkim, Ducas, Pöppelmann und Schwabe.^[15] Jintai Dings US-Patent 9246675 betrifft auch NewHope. Das NIST erhielt von den einreichenden Gruppen Verzichtserklärungen aller Beteiligten, doch besteht die Sorge, dass Dritte später Rechtsansprüche erheben. Das NIST will solche Überlegungen bei der Endauswahl berücksichtigen.^[16]

Anpassungen

In dieser Runde wurden bei einigen Kandidaten Anfälligkeiten für bestimmte Angriffsstrategien gezeigt. Dies erzwingt Anpassungen:

CRYSTALS-Kyber und SABER

können die verwendeten Verfahren für ihre verschachtelten Hashes ändern, um ihre Sicherheitsbehauptungen aufrechtzuerhalten.^[17]

FALCON

Seitenkanalangriff über Laufzeitanalyse. Zusätzliche Maskierungsmaßnahmen ermöglichen Resistenz, wirken sich jedoch auf die Leistung aus, was bei der Standardisierung berücksichtigt werden sollte.^[18]

Die Finalisten Kyber, Saber und Dilithium waren durch das „Center of Encryption and Information Security“ (ein Teil der Armee Israels) mit Techniken zu schwächen, die vermutlich gegen weitere Algorithmen funktionieren.^[19]

Weblinks

• Webpräsenz

Einzelnachweise

1. ↑ NIST Released NISTIR 8105, Report on Post-Quantum Cryptography. Abgerufen am 5. November 2019. Vorlage:Cite web/temporär
2. ↑ Malik Imran, Zain Ul Abideen, Samuel Pagliarini: An Experimental Study of Building Blocks of Lattice-Based NIST Post-Quantum Cryptographic Algorithms. In: Electronics. Band 9, Nr. 11, 19. November 2020, ISSN 2079-9292, S. 1953, doi:10.3390/electronics9111953 (mdpi.com). 
3. ↑ Crypto-Gram: October 15, 2000. In: Schneier on Security. 15. Oktober 2000, abgerufen am 9. Oktober 2018. Vorlage:Cite web/temporär
4. ↑ Zhu Hong: Survey of Computational Assumptions Used in Cryptography Broken or Not by Shor’s Algorithm. McGill University, 2001 (mcgill.ca – Doktorarbeit). 
5. ↑ Markku-Juhani O. Saarinen: Mobile Energy Requirements of the Upcoming NIST Post-Quantum Cryptography Standards. In: 2020 8th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering (MobileCloud). August 2020, S. 23–30, doi:10.1109/MobileCloud48802.2020.00012 (arxiv.org [PDF]). 
6. ↑ The Future Is Now: Spreading the Word About Post-Quantum Cryptography. Abgerufen im 1. Januar 1 Vorlage:Cite web/temporär
7. ↑ NIST Asks Public to Help Future-Proof Electronic Information. Abgerufen am 5. November 2019. Vorlage:Cite web/temporär
8. ↑ Final submissions received. In: post-quantum.ch. Archiviert vom Original am 29. Dezember 2017; abgerufen am 29. Dezember 2017. Vorlage:Cite web/temporär
9. ↑ Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process. Abgerufen am 23. Juli 2020. Vorlage:Cite web/temporär
10. ↑ Third PQC Standardization Conference – Session I Welcome/Candidate Updates. In: nist.gov. Abgerufen am 6. Juli 2021 (englisch). 
11. ↑ Information Technology Laboratory Computer Security Division: Third PQC Standardization Conference. In: CSRC | NIST. 10. Februar 2021, abgerufen am 6. Juli 2021 (amerikanisches Englisch). 
12. ↑ https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html
13. ↑ https://patents.google.com/patent/US9246675B2
14. ↑ https://researchdirectory.uc.edu/p/dingji
15. ↑ https://eprint.iacr.org/eprint-bin/getfile.pl?entry%3D2015/1092%26version%3D20151110:173312%26file%3D1092.pdf
16. ↑ Submission Requirements and Evaluation Criteria. (pdf) Abgerufen im 1. Januar 1 Vorlage:Cite web/temporär
17. ↑ Paul Grubbs, Varun Maram, Kenneth G. Paterson: Anonymous, Robust Post-Quantum Public Key Encryption. In: IACR Cryptol. ePrint Arch. Nr. 2021/708, 2021 (iacr.org). 
18. ↑ Emre Karabulut, Aydin Aysu: Falcon Down: Breaking Falcon Post-Quantum Signature Scheme through Side-Channel Attacks. In: The Design Automation Conference. 2021 (Preprint in Cryptology ePrint Archive Report 2021/772). 
19. ↑ https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html