Zur Integration von Post-Quantum Verfahren in bestehende Softwarepodukte

Publication
Tagungsband zum 17. Deutschen IT-Sicherheitskongress

Zusammenfassung

Aktuell werden PQC-Algorithmen standardisiert, um der aufziehenden Gefahr für konventionelle asymmetrische Algorithmen durch Quantencomputer zu begegnen. Diese neuen Algorithmen müssen dann in bestehende Protokolle, Applikationen und Infrastrukturen eingebunden werden. Dabei ist mit Integrationsproblemen zu rechnen, die einerseits durch Inkompatibilitäten mit existierenden Standards und Implementierungen begründet sind, andererseits aber auch durch fehlendes Wissen der Softwareentwickler über die Handhabung von PQC-Algorithmen zustande kommen. Um Inkompatibilitäten beispielhaft aufzuzeigen, integrieren wir zwei unterschiedliche PQC-Algorithmen in zwei verschiedene bestehende Softwareprodukte (InboxPager E-Mail Client und TLS Implementierung der Bouncy Castle Bibliothek). Hierbei setzen wir auf die hoch-abstrahierende Krypto-Bibliothek eUCRITE, die Entwicklern das Detailwissen über die korrekte Verwendung klassischer und PQC-Algorithmen abnimmt und damit bereits einige potentielle Implementierungsfehler vermeidet. Die dabei zutage getretenen Probleme bestätigen teilweise bereits bekannte Inkompatibilitäten, beinhalten aber auch neue, bisher nicht angesprochene Schwierigkeiten.