Auf dieser Seite wird beschrieben, wie Sie das Diagramm Post-Quanten-Kryptografie-Statistiken (PQC) in der Schlüsselverwaltungsübersicht von Cloud KMS in derCloud de Confiance -Konsole verwenden können, um Ihren Bestand an asymmetrischen Schlüsseln zu bewerten und sich auf zukünftige kryptografische Modernisierungen vorzubereiten.
Die Entwicklung von Quantencomputern stellt eine potenzielle Bedrohung für weit verbreitete kryptografische Algorithmen mit öffentlichen Schlüsseln dar. Mit dem Diagramm PQC-Informationen können Sie klassische asymmetrische Schlüssel identifizieren und inventarisieren. So erhalten Sie die nötige Transparenz, um die zukünftige Modernisierung zu planen und langfristige Resilienz zu gewährleisten.
Symmetrische Schlüssel (z. B. für ENCRYPT_DECRYPT) gelten im Allgemeinen als resistent gegen Angriffe durch Quantencomputer und sind in diesem Dashboard nicht enthalten. Weitere Informationen zu den von Cloud KMS unterstützten Algorithmen finden Sie unter Schlüsselzwecke und Algorithmen.
Hinweis
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Viewer (roles/cloudkms.viewer) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von PQC-Informationen benötigen.
- Sie können den Cloud Asset Viewer auch direkt abfragen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
PQC-Statistiken ansehen
Das Diagramm PQC-Statistiken (asymmetrisch) bietet eine allgemeine visuelle Aufschlüsselung Ihrer asymmetrischen Schlüssel basierend auf der Kategorisierung der von ihnen verwendeten Algorithmen.
Rufen Sie in der Cloud de Confiance Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Tab Übersicht und rufen Sie das Diagramm Einblicke in asymmetrische PQC auf.
Optional: Klicken Sie auf ein Segment des Diagramms, um die Anzahl der Schlüssel zu sehen, die es darstellt. Sie können auch auf Ansehen für ein Segment klicken, um eine Tabelle mit PQC-Statistikdetails (asymmetrisch) aufzurufen.
In diesem Diagramm werden Schlüssel in zwei Hauptgruppen unterteilt:
- Post-Quanten: Schlüssel, die kryptografische Algorithmen verwenden, die speziell dafür entwickelt wurden, Angriffen durch zukünftige Quantencomputer standzuhalten.
- Klassisch: Schlüssel, die klassische asymmetrische Algorithmen (z. B. RSA oder ECC) verwenden, die Schutz vor klassischen Angriffen bieten, aber anfällig für Angriffe durch künftige Quantencomputer sind.
Im Diagramm werden diese Schlüssel weiter nach ihrem kryptografischen Zweck und ihrem Kryptografietyp unterteilt.
Tabelle mit Details
In der Tabelle auf dieser Seite werden Ihre asymmetrischen Schlüssel im aktuellen Projekt mit den folgenden Informationen aufgeführt:
- Schlüsselname:Der Name des Schlüssels. Klicken Sie auf den Namen, um die Seite Schlüsseldetails für diesen Schlüssel aufzurufen.
- Speicherort:Der Speicherort des Schlüssels.
- Schutzniveau:Das Schutzniveau des Schlüssels.
- Zweck:Der kryptografische Zweck des Schlüssels, z. B.
ASYMMETRIC_SIGN. - Kryptografietyp:Gibt an, ob für den Schlüssel ein PQC- oder ein klassischer Algorithmus verwendet wird.
Mit der Filterleiste über der Tabelle können Sie die Liste der Schlüssel anhand dieser Attribute eingrenzen.
Klassische Schlüssel für die zukünftige Modernisierung bewerten
Sie sollten Ihre vorhandenen asymmetrischen Schlüssel für klassische asymmetrische Algorithmen überprüfen, die auf Post-Quanten-Alternativen umgestellt werden könnten. Diese Schlüssel bieten weiterhin umfassenden Schutz vor klassischen Angriffen. Die Einführung von Post-Quanten-Algorithmen trägt jedoch dazu bei, die langfristige Widerstandsfähigkeit gegen potenzielle zukünftige Quantenbedrohungen zu gewährleisten. In der folgenden Tabelle sind die wichtigsten Zwecke und Algorithmen aufgeführt und es wird angegeben, ob sie als postquantensicher gelten.
| Zweck | Algorithmen | Kryptografietyp | Post-Quanten-Alternative |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
Klassisch | ASYMMETRIC_SIGN mit PQ_SIGN_*-Algorithmen |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
Klassisch | ASYMMETRIC_SIGN mit PQ_SIGN_*-Algorithmen |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | Post-Quanten-sicher |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
Klassisch | KEY_ENCAPSULATION-Algorithmen |
KEY_ENCAPSULATION |
Alle | PQC | Post-Quanten-sicher |
Wenn Sie PQC-Standards früher als später einführen, profitieren Sie von folgenden Vorteilen:
- Durch das Ersetzen von
ASYMMETRIC_DECRYPT-Schlüsseln durchKEY_ENCAPSULATION-Schlüssel werden Ihre verschlüsselten Daten vor HNDL-Angriffen („harvest now, decrypt later“) geschützt. Bei solchen Angriffen fängt ein Angreifer Ihren Geheimtext ab, ohne ihn entschlüsseln zu können, speichert ihn aber in der Hoffnung, die Verschlüsselung eines Tages zu knacken. - Wenn Sie
ASYMMETRIC_SIGN-Schlüssel, dieEC_SIGN_*- oderRSA_SIGN_*-Algorithmen verwenden, durch einenPQ_SIGN_*-Algorithmus ersetzen, erhalten Sie eine langfristige Nichtabstreitbarkeit für Ihre Signaturen.
Schlüssel mit Cloud Asset Inventory identifizieren
Mit Cloud Asset Inventory können Sie Ihre Cloud KMS-Assets programmatisch nach Algorithmustyp auflisten und filtern.
In einer Organisation suchen
Führen Sie den folgenden Befehl aus, um Schlüssel aufzulisten, die Post-Quanten-Algorithmen wie
PQ_SIGN_*,ML_KEM_*oderKEM_XWINGverwenden:gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Führen Sie den folgenden Befehl aus, um asymmetrische Schlüssel aufzulisten, die keine Post-Quanten-Algorithmen verwenden, d. h. asymmetrische Schlüssel, die klassische Algorithmen verwenden:
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
In einem Projekt suchen
Prüfen Sie, ob die Google Cloud CLI auf das richtige Projekt ausgerichtet ist:
gcloud config set project PROJECT_IDFühren Sie den folgenden Befehl aus, um Schlüssel aufzulisten, die Post-Quanten-Algorithmen wie
PQ_SIGN_*,ML_KEM_*oderKEM_XWINGverwenden:gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Führen Sie den folgenden Befehl aus, um asymmetrische Schlüssel aufzulisten, die keine Post-Quanten-Algorithmen verwenden, d. h. asymmetrische Schlüssel, die klassische Algorithmen verwenden:
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Empfohlene Modernisierungspfade
Um Risiken durch Quantenangriffe zu minimieren, sollten Sie keine asymmetrischen Schlüssel mehr verwenden, die klassische Algorithmen nutzen.
- Für asymmetrische Entschlüsselungsschlüssel:Bei Schlüsseln, die für die asymmetrische Entschlüsselung verwendet werden, können Sie Ihr Inventar modernisieren, indem Sie die asymmetrische Verschlüsselung durch die Hybrid Public Key Encryption (HPKE) ersetzen. Bei HPKE verwenden Sie Schlüssel mit dem Zweck
KEY_ENCAPSULATION, die einen Post-Quanten-Algorithmus wieML_KEM_768verwenden, um ein Geheimnis zu teilen. Weitere Informationen finden Sie unter Key Encapsulation Mechanisms. - Asymmetrische Signaturschlüssel:Für digitale Signaturen können Sie Ihr Inventar modernisieren, indem Sie neue Schlüssel mit dem Zweck
ASYMMETRIC_SIGNerstellen, die einen Post-Quanten-Algorithmus wiePQ_SIGN_ML_DSA_65verwenden.
Post-Quanten-Resilienz symmetrischer Schlüssel
Im Gegensatz zu den asymmetrischen Schlüsseln, die im Diagramm Asymmetrische PQC-Statistiken im Fokus stehen, gelten symmetrische Schlüssel im Allgemeinen als resistent gegen Angriffe durch Quantencomputer. Eine wichtige Ausnahme sind MAC-Schlüssel, die den HMAC-SHA1-Algorithmus verwenden.
Weitere Informationen zu verschiedenen Algorithmen finden Sie unter Schlüsselzwecke und Algorithmen.
Nächste Schritte
- Sehen Sie sich die verfügbaren Schlüsselzwecke und Algorithmen an.
- Weitere Informationen zur Schlüsselkapselung