Performanz Evaluation von PQC in x.509-Zertifikaten im Kontext von TLS 1.3 bei variierenden Netzwerkbedingungen

Motivation

Eine durch Quantencomputer erzielte Steigerung der Rechenleistung könnte dazu führen, dass asymmetrische kryptografische Verfahren wie Diffie Hellman oder RSA bald gebrochen werden könnten. Diese sind in unzähligen digitalen Systemen integriert und ermöglichen aktuell einen vertraulichen Schlüsselaustausch sowie eine Authentifizierung der Kommunikationspartner. In den letztem Jahren wurde daher vermehrt an Verfahren der Post-Quanten-Kryptographie (PQC) geforscht. Sie weisen jedoch sehr unterschiedliche Charakteristiken auf, welche Integrierbarkeit und Kommunikationsperformanz negativ beeinflussen können. Es bedarf einer umfassenden Evaluierung, um in Zukunft eine geeignete Auswahl zu treffen und die PQC Migration erfolgreich zu gestalten.

In den letzten Jahren hat das UCS Team kontinuerlich ein Benchmarking Tool erweitert, um mithilfe einer Netzwerksimulation das Verhalten von Netzwerkprotokollen bei Verwendung von PQC zu analysieren. Der Fokus lag insbesondere auf dem Protkoll TLS, da dieses bei der überwiegenden Mehrheit aller Internetverbindungen genutzt wird.

In diesem Kontext wiederum spielen digitale Zertifikate eine wichtige Rolle. Sie werden für die Authentifizierung genutzt, basieren jedoch auf asymmetrischen Primitiven und sind in einer komplexen und langlebigen Infrastruktur eingebunden.

Ziel

Ziel dieser Arbeit ist es, weitere Erkenntnisse hinsichtlich der Performanz von PQC im Kontext von TLS zu erlangen, um einen Beitrag zur Auswahl geeigneter PQC Algorithmen zu leisten. Konkret soll die Veränderung der Performanz bei Verwendung von quantensicheren Zertifikaten in Abhängigkeit von TLS Konfiguration und Modus untersucht werden:

• Inwieweit ist ein Verbindungsaufbau mit PQC Signaturen und Zertifikaten langsamer als die aktuell genutzten Varianten?
• Wie wirkt sich die Verwendung aus, wenn Client und Server authentifiziert werden (TLS Mutual Authentication) oder bei Wiederaufbau einer Verbindung (0-RTT)

Aufgaben

• Einarbeitung bezüglich der Integration von PQC in x.509-Zertifikate und TLS
• Erweiterung des Frameworks aus der Thesis von Henrich zur
  1. Verwendung von TLS mit Mutual Authentication sowie 0-RTT
  2. Möglichkeiten zu Optimierung durch darunterliegende Netzwerkstruktur (z.B. Variation TCP Congestion Window)
• Durchführung der Experimente, d.h. wiederholter Aufbau von TLS Verbindungen und Messung der benötigten Zeit. Dabei Berücksichtigung…
  • Unterschiedlicher PQC Algorithmen
  • Unterschiedlicher Security Level (Parametrisierung der Algorithmen)
  • Unterschiedlicher Netzwerkbedingungen (NetEm Parameter)
• Aggregation und Analyse der gemessenen Zeiten
• Einordnung der Ergebnisse und Vergleich mit den Resultaten aus der Masterarbeit von Henrich und aus dem Paper von Paquin et al. (siehe unten)

Voraussetzungen

• Kenntnisse in IT-Sicherheit, insbesondere zertifikatbasierte Authentifizierung
• Kenntnisse in Computernetze & TLS
• Grundkenntnisse in Linux Betriebssysteme & Bash
• Grundkenntnisse in Python
• Kenntnisse in Git

Referenzen und Literatur (Auswahl)

• Johanna Henrich: Performanz Evaluation von PQC in TLS 1.3 unter variierenden Netzwerkcharakteristiken. Abschlussarbeit M.Sc.. Februar 2022
• Paquin, Stebila, Tamvada: Benchmarking post-quantum cryptography in TLS. PQCrypto 2020
• NIST Post-Quantum Cryptography Standardization
• Open Quantum Safe. Software for prototyping quantum-resistant cryptography
• Paul, Kuzovkova, Lahr, Niederhagen. Mixed Certificate Chains for the Transition to Post-Quantum Authentication in TLS 1.3
• Sikeridis, Kampanakis, Devetsikiotis. Post-Quantum Authentication in TLS 1.3: A Performance Study
• Assessing the overhead of post-quantum cryptography in TLS 1.3 and SSH

Beginn

• sofort oder nach Absprache

Bei Interesse melden Sie sich bitte bei Johanna Henrich.