RSS-Kubernetes-Blog
Folgen
Post-Quanten-Kryptographie in Kubernetes
Post-Quanten-Kryptographie (PQC) ist eine Antwort auf die Bedrohung durch Quantencomputer, die aktuelle kryptografische Standards brechen könnten. PQC-Algorithmen sind so konzipiert, dass sie sowohl gegen Angriffe von klassischen als auch von Quantencomputern sicher sind. Die Industrie arbeitet daran, PQC-Algorithmen zu standardisieren und einzuführen, wobei der erste standardisierte Algorithmus der Module-Lattice Key Encapsulation Mechanism (ML-KEM) ist. Der Übergang zu PQC-Standards wird voraussichtlich zwischen 2030 und 2035 stattfinden. In TLS sind der Schlüsselaustausch und digitale Signaturen zwei Hauptkryptographieoperationen, die gesichert werden müssen, wobei der Schlüsselaustausch aufgrund des Angriffsrisikos eine höhere Priorität hat. Hybride Schlüsselaustauschmechanismen, die klassische und PQC-Algorithmen kombinieren, werden zur Sicherung des Schlüsselaustauschs eingesetzt. Die Unterstützung für PQC-Schlüsselaustauschmechanismen verbessert sich im gesamten Ökosystem rapide, wobei Go, Browser, OpenSSL und Apple die Unterstützung für das ML-KEM-basierte hybride Schema hinzufügen. Kubernetes v1.33, das Go 1.24 verwendet, unterstützt standardmäßig den hybriden Post-Quanten-X25519MLKEM768 für TLS-Verbindungen, was einen wichtigen Schritt darstellt, um Kubernetes quantensicher zu machen. Es gibt jedoch noch Einschränkungen und potenzielle Fallstricke, wie z. B. Inkompatibilitäten bei Go-Versionen und Probleme mit Paketgrößen, die angegangen werden müssen. PQC-digitale Signaturen befinden sich noch in den frühen Phasen der Entwicklung und Einführung, wobei Herausforderungen wie größere Schlüssel- und Signaturgrößen, Leistungsprobleme und eingeschränkte Toolchain-Unterstützung bestehen.