News Ultrastar DC HC6100: WD bewirbt erste HDDs mit Post-Quanten-Kryptographie

[pioneer3001]

Es geht (wohl) nicht um Datenverschlüsselung, sondern um quantensicherere Schlüssel für die Signierung (Integrität).

Das ist völlig egal ob es um Verschlüsselung von Daten oder um Signaturen/Fingerprints geht um die Identität nachzuweisen. RSA mag derzeit unknackbar sein, aber wenn WD mit post-quanten-sicher wirbt, ist es suspekt. RSA ist Jahrzehnte alt. Bei post-quanten-sicher geht es darum möglichst jede Berechnung innerhalb eines Algorithmuses so langsam zu machen, dass nicht einmal der theoretisch stärkste denkbare Qunatencomputer das knacken könnte. Und das muss auch für jegliche Art von derzeitigen Prozessoren gelten inkl. GPUs. Das trifft derzeit auf RSA zu, aber wohl nicht in Zukunft. Deswegen hat ja das NIST viele Kandidaten gesucht um die bisherigen Algorithmen zu ersetzen. Und sie haben mehrere Algorithmen für PQC ausgesucht.

Nun könnte man fragen warum dann nur RSA nicht post-quanten-sicher ist, aber AES schon. Bei AES in Verbindung mit einer zweiten Algorihmus wie RSA kann man einen zufälligen Schlüssel wählen und keinen den sich ein Mensch ausgedacht hat. Mit OpenSSL ist bei AES-256 eine maximale Länge von 32 Byte möglich. Diesen zufälligen AES-Schlüssel verschlüsselt man mit einem Public-Key von RSA, legt ihn dann in eine Datei vorne dran statt einem AES-Schlüssel. Das Ziel entschlüsselt dann mit dem Private-Key von RSA diesen RSA-kodierten AES-Schlüssel und damit wiederum die Daten. Ich bin kein Mathematiker, aber offenbar wird das bei AES als ausreichend angesehen wenn man den Schlüssel nur lang genug wählt und am Besten völlig zufällig erzeugt und nicht ausdenkt.

 

[FrozenPie]

@SDJ
Meine Vermutung: Mathematischer Beweis. Man kontrolliert ob sich die Probleme z.B. für den Shor- oder Gover-Algorithmus optimieren und damit für Quantencomputer optimiert ausführen lassen. Ist dies der Fall, ist das Verfahren unsicher. Problematisch wird's, wenn in Zukunft ein neuer Optimierungsalgorithmus entwickelt wird, mit dem sich auch bisher als sicher erachtete Verfahren optimieren lassen.

 

[Extraportion25]

Innerhalb der nächsten 5 Jahre braucht man diese Technik garantiert.

Ahhhhhja..... Und ich nutze schon laaaaange keine ollen HDDs mehr, außer zum Verschrotten $$$ aufm Wertstoffhof 😆. Und meine Glaskugel ist außerdem aus feinstem magischen Kieselsalz, bis die mal vergilbt gibt's entweder keine Menschen mehr oder man findet "HDD" nur noch in Büchern oder Wiki 😅.

Bei maximal bisher "geschätzten" <130 Quantencomputer sind HDDs glaub das letzte was man Encrypten will 😂🫣

Außerdem liegt der Fehler schon im System, denn egal wie absurd die Daten zerhackt und verschlüsselt werden, so sollen sie am Ende doch wieder gelesen und benutzt werden können. Und absolut niemand macht sich heute noch so eine Arbeit oder setzt da Ressourcen an. Das Target heißt nach wie vor Systemzugriff. Nehmen wir mal an die wollen nen Server hacken, da geht doch keener hin und baut da gemütlich mal eben xxxx HDDs aus um außerhalb des Systems was selbst Zugriff hat die zu Entschlüsseln 😆.

 

[ComputerJunge]

wo man Post-Quantum jetzt braucht, sehe ich nicht.

Ich kann auch nur vermuten: Offensichtlich wird befürchtet, dass eines näherkommenden Tages, manipulierte Komponenten mit/ohne die Kenntnis des Lieferanten in die Endprodukte gelangen. Insbesondere HDD-lokale Schlüsselstores böten sich dazu an.

Ich denke, das folgt heute primär der Maxime Be prepared! Schon EAV vor ganz vielen Moden textete "Das Böse ist immer und überall!".

Ich habe allerdings keine Ahnung, wie das heutzutage bei den Platten für die entsprechenden Kunden funktioniert.

Das ist völlig egal ob es um Verschlüsselung von Daten oder um Signaturen/Fingerprints geht um die Identität nachzuweisen.

Mir ging es um die Konkretisierung dessen, für welchen Einsatzzweck WD diesen Ansatz beschreibt/bewirbt (und damit auch die hiesige Forums-Klientel inklusive mir als potentiellen Kunden eher ausschließt). Evtl./tatsächliche Widersprüche dieses Ansatzes vermag ich ganz sicher nicht zu beurteilen.

 

[FrozenPie]

RSA mag derzeit unknackbar sein, aber wenn WD mit post-quanten-sicher wirbt, ist es suspekt.

So wie ich das verstanden habe, werden die beiden Ansätze miteinander kombiniert um sowohl gegen Quantencomputer als auch traditionelle Systeme abgesichert zu sein. Also RSA-3072 kombiniert mit einer PQC-Verschlüsselung (wahrscheinlich geschachtelt).

So interpretiere ich zumindest diesen Abschnitt:

Algorithmusauswahl: ML-DSA-87 (NIST FIPS 204) für hochsichere Codesignierung, kombiniert mit Dual-Signing auf Basis von RSA-3072. So werden bewährte und neue kryptografische Verfahren miteinander verbunden, um robuste und resiliente Sicherheit zu gewährleisten.

 

[dev/random]

Nun könnte man fragen warum dann nur RSA nicht post-quanten-sicher ist, aber AES schon. Bei AES in Verbindung mit einer zweiten Algorihmus wie RSA kann man einen zufälligen Schlüssel wählen und keinen den sich ein Mensch ausgedacht hat.

Die Erklärung halte ich für irreführend.
Es gibt generelle Unterschiede zwischen symmetrischer Kryptographie (AES, ChaCha20, 3DES, ...) und asymmetrischer bzw. public-key Kryptographie (RSA, ECDSA, X25519, ...)
In der Praxis wird meist ein hybrides Verfahren genutzt, bei dem mittels public-key Algorithmus ein symmetrischer session key zwischen beiden Seiten ausgehandelt wird, der dann für die Datenschlüsselung genutzt wird.

Aber sowohl symmetrische wie public-key Algorithmen können von Quanten-Computern beeinträchtigt werden. Denn es gibt zwei theoretisch mathematische Algorithmen, die wahrscheinlich mit Quanten-Computern implementiert werden können:
Der Grover Algorithmus ermöglich eine quadratische Beschleunigung von Angriffen auf symmetrische Verschlüsselung. Das bedeutet in der Praxis, dass sich die Stärke der verwendeten Schlüssel halbiert. Wo AES-128 heutzutage ausreichend ist wird in Zukunft AES-256 benötigt. Ist in einigen Fällen sihcerlich unpraktisch, aber wahrscheinlich kein Grund für Panik

Der Shor Algorithmus hingegen ermöglicht exponentiell schnellere Angriffe auf traditionelle public-key Verfahren. Damit wären alle heutigen public-key Verfahren schlagartig unsicher. Größere Schlüssel sind zum einen nicht spezifiziert, zum anderen aufgrund des exponentiellen Verhaltens aber auch nicht ausreichend sicher.
Deshalb gab es seit etlichen Jahren die Suche nach neuen Post-Quantum public-key Algorithmen. Seite letztem Jahr sind mit ML-KEM für Verschlüsselung, ML-DSA und SLH-DSA für digitale Signaturen erste PQ-Algorithmen von NIST standardisiert worden.

Mit OpenSSL ist bei AES-256 eine maximale Länge von 32 Byte möglich.

256 bit sind 32 byte, nicht nur maximal und nicht nur bei OpenSSL

Ich kann auch nur vermuten: Offensichtlich wird befürchtet, dass eines näherkommenden Tages, manipulierte Komponenten mit/ohne die Kenntnis des Lieferanten in die Endprodukte gelangen. Insbesondere HDD-lokale Schlüsselstores böten sich dazu an.

Das beruht weniger aif aktuellen Risiken sodern vielmehr auf dem Zeitplan den die NSA vor einigen Jahren veröffentlich hat und der jetzt vor allem von US-Firmen umgesetzt wird. Demzufolge sollen Firmware und Software Signaturen zeischen 2025 und 2030 vollständig auf Post-Quantum-Verfahren wechseln.

So wie ich das verstanden habe, werden die beiden Ansätze miteinander kombiniert um sowohl gegen Quantencomputer als auch traditionelle Systeme abgesichert zu sein. Also RSA-3072 kombiniert mit einer PQC-Verschlüsselung (wahrscheinlich geschachtelt).

Genau. Die kombinierte Verschlüsselung mit einem Post-Quantum Algorithmus und einem traditionellen Algorithmus wird häufig auch als PQ/T abgekürzt.
Im Vergleich zu einem direkten Wechsel hat eine kombinierte Verschlüsselung die Vorteile, dass die Kompatibiltiät mit alten Systemen erhlaten bleibt und eine erfolgreicher Angriff das Knacken beider Algorithmen erfordert. Der dadurch erzeugte overhead hat sich in der PRaxis als tolerabel herausgestellt. Somit werden kombinierte Verfahren von den eeuropäischen Sicherheitsbehörden empfohlen.
Für TLS bzw. Webserver hat sich in dem letzten Monaten bereits die Kombination ML-KEM-768 und X25519 etabliert.

 

[CastorTransport]

Wie testet man heutzutage ob es wirklich sicher ist (sein wird)?

Werden wir erst erfahren, wenn die ersten Quantencomputer tatsächlich in der Lage sind / so gestaltet werden, dass sie eben solche Tätigkeiten ausführen können.

Ich habe da starke Zeifel, dass ein "Algorythmus" ausreichen soll, eine Festplatte (quanten)sicher zu machen.

 

[romeon]

Ich lese SMR und drücke cold.

 

[FreshLemon]

Das kommt mir so vor, als wenn mir ein Autohersteller ein System als Extra verkauft und mir verspricht, in 1-2 Jahren soll dieses dann aber eine innovative Funktion bieten, welche ich heute aber noch nicht testen kann, zBsp. autonomes Fahren - ich müsste da einfach drauf vertrauen, dass das so kommt. Sowas würde ja auch niemand einfach so glauben und dem Hersteller dafür Geld in den Rachen werfen... 🤔😉

Hast du mal vom Tesla Autopilot gehört? Man konnte diesen bei allen Modellen bestellen, damit er in Zukunft freigeschaltet wird, wenn die Software weiter ist. Jetzt hat sich ergeben, dass das für ältere Teslas (glaube alles älter als ~2020) nie kommen wird, weil die Hardware zu schwach ist Bezahlt habens die Kunden trotzdem.

 

[Relict]

Besser haben als brauchen und sicherlich besser als alles bisherige an "handelsüblichen" Verschlüsselungen. Hält also die meisten ordinären KI-Kiddies erstmal ab. Geheimdienste mit ihren technischen Möglichkeiten wahrscheinlich nicht. Wenn es also nicht preislich zu stark ins Gewicht fällt, ists gekauft.

 

[Weyoun]

Ich finde das Wort "Post-Quanten-Kryptografie" ziemlich unpassend, denn wir wissen ja noch gar nicht, welche Technik nach den Quanten-Computern kommt, mittels derer dann in Zukunft verschlüsselt wird. Eigentlich müsste es "Quantensichere Verschlüsselung" oder meinetwegen auch "quantum proof" heißen.

 

[M@tze]

Da liegt ein Missverständnis vor. Post-Quantum Crypto soll durch Quantencomputer nicht zu brechen sein (und das kann nur die Zukunft zeigen), ist aber ein ganz normaler Algorithmus der auf traditionellen Computern impplementiert wird. Und kann somit auch genauso getestet werden wie jede andere Crypto-Implementation.

Ja, testen kann man es jetzt schon, aber eben nur bedingt, da Du ja selber schreibst "es sollte eigentlich nicht zu brechen sein, aber ob das so ist sehen wir erst in der Zukunft" und genau darauf wollte ich hinaus.

Hast du mal vom Tesla Autopilot gehört? Man konnte diesen bei allen Modellen bestellen, damit er in Zukunft freigeschaltet wird, wenn die Software weiter ist.

Ja, mein Beispiel war nicht ganz zufällig gewählt...

 

[dev/random]

Ja, testen kann man es jetzt schon, aber eben nur bedingt, da Du ja selber schreibst "es sollte eigentlich nicht zu brechen sein, aber ob das so ist sehen wir erst in der Zukunft" und genau darauf wollte ich hinaus.

Vielleicht bin ich da zu spitzfindig, sehe in der Formulierung aber einen relevanten Unterschied zu

auf das Versprechen des Herstellers verlassen, da es keine Systeme gibt, die das testen können.

Auch Post-Quantum Algorithmen können ganz klassisch getestet und gebrochen werden. Das ist bei einigen Algorithmen auch bereits passiert, z. B. SIKE.
Was sich mangels ausreichend großem Quantencomputer bisher nicht testen lässt, ist das PQ-Algorithmen durch Quanten-Computer nicht praktisch angreifbar sind. Genauso wenig wie Quantencomputer Angriffe auf klassische public-key Algorithmen bisher praktisch durchführbar sind.

Allerdings sind Quantencomputer an sich theoretisch und im kleinen Maßstab auch praktisch gut erforscht. Daher gibt es relative wenig Unsicherheit bezüglich der Fähigkeiten dieser Technik. Es gibt eher Zweifel (auch von bekannten Kryptologen) ob sich Quantencomputer überhaupt auf die benötigte Größe skalieren lassen.

Relevant für die Sicherheit des Sytems bzw. der Festplatte ist letztendlich, ob es resistent gegen Angriffe ist. Das ist aktuell bei digitalen Signaturen sowohl für RSA (aber nur ab 3072 bit), ECDSA (ab 256 bit), ED25519 und ML-DSA gegeben. Der Einsatz von zwei kombinierten Algorithmen statt einem einzelnen erhöht die Resistenz erheblich und ist somit auf jeden Fall ein deutlicher Sicherheitsgewinn.
Bisher sind keine Schwächen von ML-DSA bekannt, die darauf hindeuten, dass ein Wechsel von RSA zu ML-DSA einen Nachteil darstellt. Es ist ein bißchen wie der Wechsel von MD5 zu SHA1 und dann zu SHA256. Nur dass es diesmal rechtzeitig erfolgt. Vielleicht brauchen Firmware Signaturen in Festplatten dieses "Feature" noch für Jahre hinaus nicht. Andererseits gibt es keine signifikanten Nachteile und erhöht evtl. die Zukunftssicherheit erheblich.

 

[M@tze]

Ich verstehe Dich, da habe ich mich zu ungenau ausgedrückt.

 

[foofoobar]

Das Target heißt nach wie vor Systemzugriff. Nehmen wir mal an die wollen nen Server hacken, da geht doch keener hin und baut da gemütlich mal eben xxxx HDDs aus um außerhalb des Systems was selbst Zugriff hat die zu Entschlüsseln 😆.

Auch heute werden noch Festplatten per Kurier verschickt, das ergibt sich aus einfachen wirtschaftlichen Erwägungen.

 

[Banned]

In der Praxis wird meist ein hybrides Verfahren genutzt, bei dem mittels public-key Algorithmus ein symmetrischer session key zwischen beiden Seiten ausgehandelt wird, der dann für die Datenschlüsselung genutzt wird.

Genau, so funktioniert z.B. HTTPS. Hier besteht die Gefahr darin, dass jemand in der Mitte sitzt (man in the middle) und mithört. Wurde der Private Key über ein asymmetrisches Verfahren sicher transferiert, kann man anschließend den Public Key verwenden. Auch bei einem Laufwerk dient die asymmetrische Verschlüsselung bzw. das Passwort dazu, darüber auf einen symmetrischen Schlüssel zugreifen zu können, welcher das Arbeiten mit höherer Geschwindigkeit ermöglicht.

Sofern ich gerade nicht starke Gedächtnislücken habe, basiert die Sicherheit von RSA doch wesentlich auf der Primfaktorzerlegung sehr großer Zahlen. Die Gefahr, die befürchtet wird, ist also, dass mit Quanten-Computing solche Faktorisierungen in annehmbarer Zeit durchprobiert werden können, sodass die Verschlüsselung geknackt wird.