Statistiken zur asymmetrischen Post-Quanten-Kryptografie (PQC) ansehen

Auf dieser Seite wird beschrieben, wie Sie das Diagramm Post-Quanten-Kryptografie-Statistiken (PQC) in der Schlüsselverwaltungsübersicht von Cloud KMS in derCloud de Confiance -Konsole verwenden können, um Ihren Bestand an asymmetrischen Schlüsseln zu bewerten und sich auf zukünftige kryptografische Modernisierungen vorzubereiten.

Die Entwicklung von Quantencomputern stellt eine potenzielle Bedrohung für weit verbreitete kryptografische Algorithmen mit öffentlichen Schlüsseln dar. Mit dem Diagramm PQC-Informationen können Sie klassische asymmetrische Schlüssel identifizieren und inventarisieren. So erhalten Sie die nötige Transparenz, um die zukünftige Modernisierung zu planen und langfristige Resilienz zu gewährleisten.

Symmetrische Schlüssel (z. B. für ENCRYPT_DECRYPT) gelten im Allgemeinen als resistent gegen Angriffe durch Quantencomputer und sind in diesem Dashboard nicht enthalten. Weitere Informationen zu den von Cloud KMS unterstützten Algorithmen finden Sie unter Schlüsselzwecke und Algorithmen.

Hinweis

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Viewer (roles/cloudkms.viewer) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von PQC-Informationen benötigen.

PQC-Statistiken ansehen

Das Diagramm PQC-Statistiken (asymmetrisch) bietet eine allgemeine visuelle Aufschlüsselung Ihrer asymmetrischen Schlüssel basierend auf der Kategorisierung der von ihnen verwendeten Algorithmen.

  1. Rufen Sie in der Cloud de Confiance Console die Seite Schlüsselverwaltung auf.

    Key Management aufrufen

  2. Klicken Sie auf den Tab Übersicht und rufen Sie das Diagramm Einblicke in asymmetrische PQC auf.

  3. Optional: Klicken Sie auf ein Segment des Diagramms, um die Anzahl der Schlüssel zu sehen, die es darstellt. Sie können auch auf Ansehen für ein Segment klicken, um eine Tabelle mit PQC-Statistikdetails (asymmetrisch) aufzurufen.

In diesem Diagramm werden Schlüssel in zwei Hauptgruppen unterteilt:

  • Post-Quanten: Schlüssel, die kryptografische Algorithmen verwenden, die speziell dafür entwickelt wurden, Angriffen durch zukünftige Quantencomputer standzuhalten.
  • Klassisch: Schlüssel, die klassische asymmetrische Algorithmen (z. B. RSA oder ECC) verwenden, die Schutz vor klassischen Angriffen bieten, aber anfällig für Angriffe durch künftige Quantencomputer sind.

Im Diagramm werden diese Schlüssel weiter nach ihrem kryptografischen Zweck und ihrem Kryptografietyp unterteilt.

Tabelle mit Details

In der Tabelle auf dieser Seite werden Ihre asymmetrischen Schlüssel im aktuellen Projekt mit den folgenden Informationen aufgeführt:

  • Schlüsselname:Der Name des Schlüssels. Klicken Sie auf den Namen, um die Seite Schlüsseldetails für diesen Schlüssel aufzurufen.
  • Speicherort:Der Speicherort des Schlüssels.
  • Schutzniveau:Das Schutzniveau des Schlüssels.
  • Zweck:Der kryptografische Zweck des Schlüssels, z. B. ASYMMETRIC_SIGN.
  • Kryptografietyp:Gibt an, ob für den Schlüssel ein PQC- oder ein klassischer Algorithmus verwendet wird.

Mit der Filterleiste über der Tabelle können Sie die Liste der Schlüssel anhand dieser Attribute eingrenzen.

Klassische Schlüssel für die zukünftige Modernisierung bewerten

Sie sollten Ihre vorhandenen asymmetrischen Schlüssel für klassische asymmetrische Algorithmen überprüfen, die auf Post-Quanten-Alternativen umgestellt werden könnten. Diese Schlüssel bieten weiterhin umfassenden Schutz vor klassischen Angriffen. Die Einführung von Post-Quanten-Algorithmen trägt jedoch dazu bei, die langfristige Widerstandsfähigkeit gegen potenzielle zukünftige Quantenbedrohungen zu gewährleisten. In der folgenden Tabelle sind die wichtigsten Zwecke und Algorithmen aufgeführt und es wird angegeben, ob sie als postquantensicher gelten.

Zweck Algorithmen Kryptografietyp Post-Quanten-Alternative
ASYMMETRIC_SIGN EC_SIGN_* Klassisch ASYMMETRIC_SIGN mit PQ_SIGN_*-Algorithmen
ASYMMETRIC_SIGN RSA_SIGN_* Klassisch ASYMMETRIC_SIGN mit PQ_SIGN_*-Algorithmen
ASYMMETRIC_SIGN PQ_SIGN_* PQC Post-Quanten-sicher
ASYMMETRIC_DECRYPT RSA_DECRYPT_* Klassisch KEY_ENCAPSULATION-Algorithmen
KEY_ENCAPSULATION Alle PQC Post-Quanten-sicher

Wenn Sie PQC-Standards früher als später einführen, profitieren Sie von folgenden Vorteilen:

  • Durch das Ersetzen von ASYMMETRIC_DECRYPT-Schlüsseln durch KEY_ENCAPSULATION-Schlüssel werden Ihre verschlüsselten Daten vor HNDL-Angriffen („harvest now, decrypt later“) geschützt. Bei solchen Angriffen fängt ein Angreifer Ihren Geheimtext ab, ohne ihn entschlüsseln zu können, speichert ihn aber in der Hoffnung, die Verschlüsselung eines Tages zu knacken.
  • Wenn Sie ASYMMETRIC_SIGN-Schlüssel, die EC_SIGN_*- oder RSA_SIGN_*-Algorithmen verwenden, durch einen PQ_SIGN_*-Algorithmus ersetzen, erhalten Sie eine langfristige Nichtabstreitbarkeit für Ihre Signaturen.

Schlüssel mit Cloud Asset Inventory identifizieren

Mit Cloud Asset Inventory können Sie Ihre Cloud KMS-Assets programmatisch nach Algorithmustyp auflisten und filtern.

In einer Organisation suchen

  1. Führen Sie den folgenden Befehl aus, um Schlüssel aufzulisten, die Post-Quanten-Algorithmen wie PQ_SIGN_*, ML_KEM_* oder KEM_XWING verwenden:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. Führen Sie den folgenden Befehl aus, um asymmetrische Schlüssel aufzulisten, die keine Post-Quanten-Algorithmen verwenden, d. h. asymmetrische Schlüssel, die klassische Algorithmen verwenden:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

In einem Projekt suchen

  1. Prüfen Sie, ob die Google Cloud CLI auf das richtige Projekt ausgerichtet ist:

    gcloud config set project PROJECT_ID
    
  2. Führen Sie den folgenden Befehl aus, um Schlüssel aufzulisten, die Post-Quanten-Algorithmen wie PQ_SIGN_*, ML_KEM_* oder KEM_XWING verwenden:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. Führen Sie den folgenden Befehl aus, um asymmetrische Schlüssel aufzulisten, die keine Post-Quanten-Algorithmen verwenden, d. h. asymmetrische Schlüssel, die klassische Algorithmen verwenden:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Um Risiken durch Quantenangriffe zu minimieren, sollten Sie keine asymmetrischen Schlüssel mehr verwenden, die klassische Algorithmen nutzen.

  • Für asymmetrische Entschlüsselungsschlüssel:Bei Schlüsseln, die für die asymmetrische Entschlüsselung verwendet werden, können Sie Ihr Inventar modernisieren, indem Sie die asymmetrische Verschlüsselung durch die Hybrid Public Key Encryption (HPKE) ersetzen. Bei HPKE verwenden Sie Schlüssel mit dem Zweck KEY_ENCAPSULATION, die einen Post-Quanten-Algorithmus wie ML_KEM_768 verwenden, um ein Geheimnis zu teilen. Weitere Informationen finden Sie unter Key Encapsulation Mechanisms.
  • Asymmetrische Signaturschlüssel:Für digitale Signaturen können Sie Ihr Inventar modernisieren, indem Sie neue Schlüssel mit dem Zweck ASYMMETRIC_SIGN erstellen, die einen Post-Quanten-Algorithmus wie PQ_SIGN_ML_DSA_65 verwenden.

Post-Quanten-Resilienz symmetrischer Schlüssel

Im Gegensatz zu den asymmetrischen Schlüsseln, die im Diagramm Asymmetrische PQC-Statistiken im Fokus stehen, gelten symmetrische Schlüssel im Allgemeinen als resistent gegen Angriffe durch Quantencomputer. Eine wichtige Ausnahme sind MAC-Schlüssel, die den HMAC-SHA1-Algorithmus verwenden. Weitere Informationen zu verschiedenen Algorithmen finden Sie unter Schlüsselzwecke und Algorithmen.

Nächste Schritte