Im Jahr 1976 stellt die Veröffentlichung der richtungsweisenden Arbeit „New Directions in Cryptography“ von Whitfield Diffie & Martin Hellman sozusagen die Geburtsstunde der asymmetrischen Kryptographie dar. Das dort vorgestellte Modell der „Computational Security“ beschreibt Einwegfunktionen: mathematische Funktionen, die effizient berechenbar sind, aber nur äußerst ineffizient invertierbar sind. Diese Einwegfunktionen basieren u. a. auf dem diskreten Logarithmusproblem (DLP) oder dem Problem der Faktorisierung von großen Zahlen (RSA-Problem). Die asymmetrische Kryptographie ermöglicht mit digitalen Signaturen und Schlüsselaustausch-Protokollen erst die moderne kryptographische Sicherung von medizinischen Daten, Finanztransaktionen, Messaging , E-Commerce u. v. w.. Wenn Quantencomputer in ausreichender Leistungsstärke verfügbar sein werden, dann sind das DLP und das RSA-Problem nicht mehr als Basis für Einwegfunktionen verwendbar, weil diese dann effizient invertierbar sind (vgl. Shor-Algorithmus). Dies ist problematisch weil quasi alle in der Praxis verwendeten asymmetrischen kryptographischen Verfahren auf diesen beiden Problemen beruhen. Seit mehr als 20 Jahren gibt es Einwegfunktionen die auch mittels Quantencomputern nicht effizient invertierbar sind. Diese stellen die Basis für sogenannte PQC-Verfahren dar, die seit 2017 innerhalb der „NIST Post-Quantum Cryptography Standardization“ intensiv öffentlich untersucht werden und anschließend nach erwiesener kryptographischer Eignung vom NIST standardisiert werden.
Im Vortrag wird auf einige diese PQC-Verfahren eingegangen und auf die kryptographischen Erfordernisse von Anwendungen in der Telematikinfrastruktur (TI) in Bezug auf diese Verfahren, u. a. für die kryptographische Sicherung der elektronischen Patientenakte, des E-Rezepts oder der elektronischen Arbeitsunfähigkeitsbescheinigung. Es zeigt sich, dass die dort notwendigen Maßnahmen zur Migration zu PQC- bzw. zu Hybrid-Verfahren sich leicht auf andere nicht-medizinische Anwendung übertragen lassen — eine PQC-Migration also ähnlich auch in anderen Nicht-TI-Projekten Anwendung stattfinden wird.
Session Category : IT-Sicherheit in der Praxis