Digitale Identität – ein Sektor, der alles andere als langweilig ist
Als ich vor mehr als zehn Jahren begann, im Bereich der digitalen Identität zu arbeiten, wurde dieser häufig als ein reifer, stabiler, ja sogar wenig dynamischer Sektor beschrieben. Heute ist deutlich, wie begrenzt diese Wahrnehmung war. Das Vertrauensmanagement befindet sich tatsächlich in einer Phase tiefgreifender Weiterentwicklung, die durch technologische, regulatorische und geopolitische Veränderungen vorangetrieben wird, welche seine grundlegenden Voraussetzungen neu definieren.
Auch wenn viele der Protokolle, die der digitalen Identität zugrunde liegen, auf Standards basieren, die in den 1990er Jahren entwickelt wurden (wie etwa die PKCS-Familie), und die asymmetrische Kryptografie in den 1970er Jahren erfunden wurde, befindet sich der Bereich des Trust Managements heute in einer Phase großer Dynamik. Die Bedeutung dieser Technologien als Grundlage jedes Cybersicherheitssystems, die Allgegenwärtigkeit des Konzepts der digitalen Identität und der Multiplikatoreffekt dieser Technologien auf das wirtschaftliche und soziale Wachstum eines ganzen Landes haben sicherlich großes Interesse geweckt und zu technologischen Innovationsprozessen beigetragen, die die Zukunft von uns allen betreffen werden.
Die Herausforderung der Post-Quanten-Kryptografie: Heute schützen, was morgen Bestand haben wird
Eines der wichtigsten Themen, das in den Diskussionen über die Zukunft des Trust Managements aufkommt, ist der Übergang zu kryptografischen Verfahren, die Angriffen durch Quantencomputer standhalten können. Für alle, die das Thema vertiefen möchten, haben wir bei Namirial bereits in diesen beiden Artikeln darüber gesprochen:
Towards Quantum-Safe Trust Services: the race against time to prevent the Quantum Meltdown
Durch Training der Krypto-Agilität den Riesenslalom der Quantenbedrohungen gewinnen
Nun wird vielen klar, dass wir in Zukunft ein erhebliches Problem haben werden, weil die kryptografischen Technologien, die uns heute schützen, morgen ungeeignet sein könnten. Doch viele der heute geschützten Dokumente und Transaktionen könnten auch morgen noch von Wert sein. Ein Vertrag beispielsweise behält seinen Wert und seine Wirkung über viele Jahre hinweg, auch dann, wenn Quantencomputer in der Lage sein könnten, die derzeit verwendeten Technologien zur Zertifizierung der Identität der Unterzeichnenden zu brechen.
Warum wir es uns nicht leisten können zu warten
Auch wenn das Risiko derzeit noch nicht konkret greifbar ist, wäre es undenkbar, abzuwarten, bis es tatsächlich eintritt – zumal zwischen dem heutigen Schutz von Informationen und dem Zeitpunkt in einigen Jahren, an dem ihre Kompromittierung technisch möglich und für einen entschlossenen Angreifer vorteilhaft sein wird, ein langer Zeitraum liegt. Die großen Investitionen der weltweit größten Akteure im Bereich Quantencomputing, häufig im Rahmen nationaler Förderprogramme, lassen vermuten, dass sich diese Dynamik rasch konkretisieren könnte.
Interoperabilität und Netzwerkeffekt: die Komplexität des Übergangs
Wenn dies das Problem ist, lassen sich im Kontext des Trust Managements weitere kritische Punkte hervorheben. Systeme des Vertrauensmanagements funktionieren auch deshalb, weil sie ein hohes Maß an Interoperabilität aufweisen. Ein von zwei Parteien digital unterzeichnetes Dokument bleibt für beide (oder für jede andere autorisierte Person) verständlich und überprüfbar, selbst wenn die Signaturen über die Dienste zweier unterschiedlicher qualifizierter Vertrauensdiensteanbieter erstellt wurden, da beide auf standardisierten Technologien beruhen. Dies ist der sogenannte Netzwerkeffekt, der zur Verbreitung neuer Technologien beitragen kann (das Fax war Anfang der 1990er Jahre umso nützlicher, je mehr Ihrer Korrespondenten es nutzten), sie aber auch behindern kann – wie im Fall des post-quanten Übergangs im Trust Management.
Wenn nämlich ein Marktteilnehmender beginnt, Dienste anzubieten, die der neuen Bedrohung gerecht werden, wie können seine Kundschaft davon profitieren, wenn dieser technologische Fortschritt nicht interoperabel ist?
Globale Roadmaps in Richtung Post-Quanten-Ära
Aus diesen Gründen haben globale Regulierungsbehörden (wie etwa das NIST für die Vereinigten Staaten von Amerika und die Europäische Kommission für Europa) Roadmaps für den post-quanten Übergang erstellt. Ohne zu sehr ins Detail zu gehen, ist es interessant festzustellen, dass beide Dokumente im Wesentlichen zwei Termine vorsehen. Der erste ist das Jahr 2030, bis zu dem Hochrisikosysteme auf post-quanten kryptografische Verfahren migriert sein müssen, während die Frist 2035 Systeme mit mittlerem Sicherheitsniveau oder Legacy-Systeme betrifft. Wir wissen nicht, ob sie Kenntnis über etwas haben, was wir nicht wissen; sicher ist jedoch, dass sie die Notwendigkeit von Vorsicht und proaktivem Handeln unterstreichen.
Vier Jahre von heute an – ist das viel oder wenig Zeit? Es ist ausreichend, wenn sich das gesamte Ökosystem des Trust Managements in Bewegung setzt. Es ist notwendig, auf zahlreiche Akteure der Wertschöpfungskette einzuwirken, von denen die Vertrauensdiensteanbieter nur die für den Endnutzenden sichtbarsten sind. Es bedarf einer Einigung über kryptografische Algorithmen, Standards und Konformitätstests, und diese muss in Produkte und Lösungen überführt werden, die in einem komplexen, dynamischen und always-on Umfeld skalieren. Wir müssen von einer Welt, in der dasselbe kryptografische Verfahren (RSA) für alles verwendet wurde, zu einer Welt übergehen, in der unterschiedliche Verfahren für unterschiedliche Zwecke eingesetzt werden. Eine Welt, in der Krypto-Agilität – also die Fähigkeit, ein System oder Protokoll an neue kryptografische Techniken anzupassen – bereits im Design verankert sein muss und in der viele heute weit verbreitete Protokolle angepasst werden müssen.
Die strategische Vision von Namirial seit 2020
Sollten wir also besorgt sein? Nein, wir sollten aufmerksam sein. Bewusst gegenüber technologischen und wissenschaftlichen Entwicklungen, der Notwendigkeit einer langfristigen industriellen Strategie und der erforderlichen Investitionen, um die Kontinuität der Dienste und das Vertrauen der Kundschaft zu gewährleisten.
Bei Namirial haben wir begonnen, uns im Jahr 2020 – also bereits vor sechs Jahren – mit diesen Themen zu beschäftigen. Für mich war es faszinierend, mich frühzeitig mit dem Thema auseinanderzusetzen, als noch niemand darüber sprach, und an der strategischen Dimension der Innovation zu arbeiten. Unser erster im Unternehmen eingestellter Kryptograf stammt genau aus dieser Zeit, aus dem Bewusstsein heraus – das stets von Eigentümern und Management unterstützt wurde –, dass wir eines Tages wissen müssten, was zu tun ist.
Wir haben daher Kryptografen, Cybersicherheitsforscher, Entwickler von Sicherheitslösungen, Kompetenzzentren und Universitäten eingebunden. Wir haben ein damals nahezu unbekanntes, mitunter schwer zugängliches Feld erkundet, Informationen gesammelt, Analysen und Experimente durchgeführt. Wir haben Forschungsprojekte entwickelt, an Konferenzen teilgenommen, Meinungen eingeholt und intern diskutiert. So konnten wir eine bedeutende Expertise auf diesem Gebiet aufbauen, die wir heute unserer Kundschaft zur Verfügung stellen möchten und die zugleich zum Fortschritt des gesamten Referenzmarktes beitragen soll.
Digitale Identität als Innovationsfeld
Heute sind wir überzeugt, dass die post-quanten Migration möglich ist – mit Engagement, aber auch mit Vertrauen in die gesetzten Ziele – und dass sie in den kommenden Jahren die technologische Grundlage des Trust-Management-Sektors definieren wird. Wir glauben, dass unsere Kundschaft Vertrauen in einen Plan haben kann, der bereits seine Wirkung zeigt und in Zukunft weitere ambitionierte Ziele verfolgen wird (die wir Ihnen allerdings erst in einigen Jahren verraten werden).
Vor diesem Hintergrund erscheint die Vorstellung, der Sektor der digitalen Identität sei wenig spannend, heute weiter von der Realität entfernt als je zuvor. Für uns bei Namirial war er das nie.
