Mithilfe von CAMM sollen Unternehmen in die Lage versetzt werden, sich besser auf potentielle Gefahren vorzubereiten, die durch das Bekanntwerden von Schwachstellen in Kryptographieverfahren zeitnah adressiert werden müssen. Motiviert wird die Forderung nach Krypto-Agilität durch die potentielle Gefahr, die von leistungstarken Quantencomputern ausgehen wird.
Unter der Federführung des US-amerikanischen National Institute of Standards and Technology (NIST) werden aktuell asymmetrische Kryptographie-Verfahren standardisiert, die auch einem Angriff mithilfe leistungsfähiger Quantencomputer standhalten sollen. Die ersten Verfahren werden wahrscheinlich 2-4 Jahren standardisiert. Zwar sind aktuelle Quantencomputer noch nicht leistungsstark genug, jedoch ist mit dem Algorithmus von Shor bereits seit 1997 ein Verfahren bekannt, welches klassische Verfahren wie RSA bricht.
Somit befassen sich bereits heute Forschungseinrichtungen und Firmen mit der Frage, wie ein Migrationsprozess von klassischer, asymmetrischer Kryptographie hin zur Post-Quantum-Kryptographie ausgestaltet werden kann. Asymmetrische Kryptographieverfahren befinden sich in praktisch allen relevanten IT-Sicherheitslösungen und Internetprotokollen, d.h. die Migration wird eine Mammutaufgabe.
In diesem Zuge wird auch vermehrt die Frage nach krypto-agilen Ansätzen diskutiert, d.h. wie kann eine IT-Umgebung so ausgestaltet werden, dass sie in Zukunft auf einfache Art und Weise und ohne größeren Aufwand Kryptographieverfahren austauschen kann. Auf dem Weg dahin kann es hilfreich sein, die Krypto-Agilität einer bestehenden IT-Landschaft anhand eines Reifegradmodells zu bestimmen.
Im Rahmen dieses Vortrags wird das Crypto Agility Maturity Model (CAMM) vorgestellt, ein 5-stufiges Reifegradmodell, dass in der Arbeitsgruppe von Prof. Heinemann an der Hochschule Darmstadt im Kontext des ATHENE Projekts „Agile and Easy-to-use Integration of PQC Schemes“ entwickelt wurde. In Form eines Stufenmodells werden 5 Reifegrade definiert, die aufeinander aufbauen. Für jede Stufe wird jeweils eine Reihe von Anforderungen formuliert, die hierbei erfüllt sein müssen.
Auf der Basis dieser Anforderungen kann ein Unternehmen dann Maßnahmen und Schritte ableiten, die nach erfolgreicher Umsetzung die IT-Landschaft in eine höhere Stufe überführen, d.h. der Forderung nach Krypto-Agilität einen Schritt näherkommt und somit der potentiellen Gefahr durch quantencomputer-basierte Angriffe entgegentritt.
https://camm.h-da.io/
