Quantencomputer bedrohen die zurzeit eingesetzte Public-Key-Kryptografie. Die notwendige Umstellung auf quantensichere Kryptografie stellt eine große Herausforderung dar und zeigt den Bedarf an kryptografischer Agilität. Kryptoagilität sollte aber auch unabhängig von der Quantenbedrohung ein Designkriterium werden.

Für die praktische Umsetzung von Krypto-Agilität müssen unterschiedliche Bereiche von Management über den Einkauf bis in die IT möglichst reibungslos ineinander greifen. Das Ziel ist eine gute Vorbereitung, um im Fall des Falles – also wenn ein kryptografisches Verfahren an Sicherheit verliert – schnelle Änderungen in der genutzten Kryptografie umsetzen zu können. Im Idealfall stehen sogar verschiedene kryptografische Verfahren zur Auswahl, sodass man schnell auf ein anderes wechseln kann, wenn eines zu unsicher geworden ist.

Das BSI weist in seinen Handlungsempfehlungen darauf hin, dass Post-Quanten-Verfahren in der Regel nicht alleine eingesetzt werden sollten, sondern nur „hybrid“, d. h. in Kombination mit einem klassischen Verfahren. Der Vortrag stellt vor, was dies in der Praxis bedeutet und inwieweit eine Umsetzung in Standards für digitale Signaturen, Zertifikate und beim Schlüsselaustausch erfolgt ist. In diesem Kontext wird auch der Sicherheitsgewinn durch den Übergang von hybrider zu multimodaler Kryptografie betrachtet.

Wenn kryptographische Verfahren unsicher werden, ist eine Migration zu neuen Verfahren erforderlich. Oft ist der Migrationsprozess kompliziert, aber die verfügbare Zeit ist begrenzt. Nur wenn die verwendeten kryptografischen Algorithmen, Protokolle und Konfigurationen bekannt sind, kann ein System effizient und vollständig an veränderte Sicherheitsbedingungen angepasst werden. Daraus ergibt sich der Bedarf an einem Krypto-Inventar, das dieses Wissen sammelt. Folglich stellt sich die Frage, welche Kriterien ein Krypto-Inventar erfüllen muss, um diese Anpassung zu unterstützen. Dies verdeutlicht auch den Bedarf an Werkzeugen zur Unterstützung der Erstellung eines Krypto-Inventars. Auf Basis einer Literaturrecherche wurden die wichtigsten Anforderungen an Krypto-Inventare extrahiert und werden im Vortrag diskutiert. Darüber hinaus werden geeignete Metriken vorgestellt, um die Erfüllung der Anforderungen für eine bestimmte Krypto-Inventar-Implementierung zu bewerten. In Bezug auf das Tooling haben wir fünf Hauptbereiche identifiziert - installierte Software, angeschlossene Hardware, Kommunikation, gespeicherte Daten und Quellcode-Scanning - und für drei davon Prototypen für die halbautomatische Erstellung von Krypto-Inventaren entwickelt, die ebenfalls erläutert werden.

Während die akademische Forschung viele Aspekte der Post-Quanten-Kryptographie bereits zur "boring cryptography" zählt, sind die Fortschritte in der Praxis zwar erfreulich, aber noch überschaubar. Dies ist vor allem einer Vielzahl an Einschränkungen des Ökosystems Internet geschuldet, welche selbst vielen Informatikern oft nicht im Detail bewusst sind. Im Vortrag werden Hürden und Schwierigkeiten beleuchtet, welche die Einführung kryptoagiler Mechanismen einschränken und Ideen aufgezeigt, wie diese umgangen werden können.

Auf Basis eines Überblicks über bestehende Maßnahmen der Kryptoagilität für Operational Technology (OT) schlagen die Referenten ein neues Architekturkonzept für kryptoagile OT vor. Das Architekturdesign erlaubt es, sowohl neue OT-Systeme als auch bestehende Systeme durch Nachrüstung zu sichern.

Quantencomputer werden künftig in der Lage sein, einige der am weitesten verbreiteten kryptografischen Verfahren zu brechen. Darum müssen all diese Verfahren auf sogenannte Quantum-sicher Verfahren umgestellt werden. Dies setzt jedoch voraus, dass wir erst ein Überblick darüber bekommen, wo und welche Verfahren überall verwendet wird. Ein solches kryptografisches Inventar kann mithilfe vom 'Cryptography Bill of Materials' (kurz: CBOM) beschrieben werden. Der Vortrag beleuchtet technische und strategische Hintergründe und er zeigt auf wie die CBOM Unternehmen auf dem Weg zur Kryptoagilität hilft.

Kryptoagilität als Stichwort ist eine immer häufiger anzutreffende Anforderung, hier soll dargestellt werden, was dies konkret bedeutet kann. U.a. soll darauf eingegangen werden, welche unterschiedlichen Arten von Agilitäten es dabei zu berücksichtigen gibt und wie sie umgesetzt werden können. Neben Vorteilen sollen aber auch Nachteile von (zu viel) Agilität für Sicherheitsprodukte angesprochen werden. Dabei soll ein besonderer Blick auf praktische Herausforderungen und Möglichkeiten bei der Umsetzung von Kryptoagilität, insbesondere im Hinblick auf die Post-Quanten-Migration, gerichtet werden.