Die Ära der Quantencomputer bringt nicht nur neue wissenschaftliche und technologische Möglichkeiten mit sich, sondern stellt zugleich eine fundamentale Herausforderung für die bestehende Kryptografie dar. Klassische Verschlüsselungsverfahren und digitale Signaturen, die auf Algorithmen wie RSA oder AES basieren, könnten durch Quantencomputer theoretisch in Zukunft schnell gebrochen werden. Um diesem Risiko zu begegnen, arbeitet die Sicherheitsbranche mit Hochdruck an Post-Quanten-Kryptografie (PQC) – also kryptografischen Verfahren, die quantensicher sind und sich gegen Angriffe durch Quantencomputer wappnen. Im Mittelpunkt dieser Entwicklung steht die Implementierung zeitgemäßer und zukunftssicherer Standards, die von der National Institute of Standards and Technology (NIST) entwickelt wurden. Google hat mit der jüngsten Erweiterung seines Cloud Key Management Service (Cloud KMS) einen entscheidenden Schritt getan, indem es quantensichere digitale Signaturen implementiert und damit großen Organisationen und Unternehmen einen leistungsstarken Schutz gegen künftige Angriffe bietet.
Der Google Cloud KMS ist ein etablierter Managed Service, der bereits seit 2017 Cloud-Kunden ermöglicht, kryptografische Schlüssel sicher zu erstellen, zu verwalten und zu verifizieren. Als integraler Bestandteil der Google Cloud-Infrastruktur unterstützt der Dienst auch Hardware-Sicherheitsmodule (HSMs) für eine erhöhte Sicherheitsebene. Die neu hinzugefügte Post-Quanten-Kryptografie-Funktionalität bietet jetzt auch die Verwaltung von softwarebasierten, kundengesteuerten Verschlüsselungsschlüsseln (CMEKs), die den heutigen sowie zukünftigen PQC-Standards entsprechen. Mit der Verwendung von Cloud KMS können Unternehmen so nicht nur ihre traditionellen Public Key Infrastructure (PKI)-Zertifikate sicher migrieren, sondern sie erhalten auch die Möglichkeit, digitale Signaturen zu generieren, die gegen Angriffe durch Quantencomputer resistent sind. Ein entscheidendes Merkmal der neuen Funktion ist die Unterstützung für die von NIST kürzlich veröffentlichten PQC-Standards.
Nach einem intensiven Prozess, der vor fast einem Jahrzehnt begann, wurden Mitte 2024 die ersten drei PQC-Standards offiziell veröffentlicht. Diese sind unter den Bezeichnungen FIPS 203, FIPS 204 und FIPS 205 bekannt. Während Google perspektivisch plant, alle drei Standards zu unterstützen, fokussiert sich die erste Produktiteration auf zwei digitale Signaturalgorithmen: FIPS 204, das auf Gitter-basierten (lattice-based) digitalen Signaturen beruht, und FIPS 205, das für zustandslose, hash-basierte Signaturen entwickelt wurde. Die Unterstützung für FIPS 203, zuständig für asymmetrische Kryptografie und insbesondere Schlüsselvereinbarungen, ist bereits in Arbeit und wird voraussichtlich im Laufe des Jahres folgen. Die Bedeutung dieser neuen Algorithmen liegt darin, dass sie auch komplexen zukünftigen Rechenbedrohungen standhalten können.
Insbesondere hat die globale Sicherheitsgemeinschaft vor dem Hintergrund der Fortschritte in der Quantencomputertechnik ein wachsendes Interesse an sicheren Migrationswegen für bestehende PKI-Systeme. Viele dieser Systeme setzen derzeit auf Algorithmen, deren Sicherheit bei breitverfügbaren Quantencomputern massiv gefährdet wäre. Mit den quantensicheren digitalen Signaturen von Google können Unternehmen daher ihre Infrastruktur auf den neuesten Stand bringen, ohne ihre bestehenden digitalen Zertifikate und Authentifizierungsmethoden vollständig ersetzen zu müssen. Dadurch entsteht eine Brücke zur Post-Quanten-Sicherheit, die den Übergang in eine neue Ära der Datenverschlüsselung und -authentifizierung erleichtert. Auf der politischen Ebene hat die US-Regierung eine klare Vorgabe für die Einführung von PQC-Systemen gemacht.
Ein Executive Order von Präsident Joe Biden setzt den Januar 2030 als Zielzeitpunkt, bis zu dem PQC-fähige Systeme implementiert sein sollen. Diese Vorgabe unterstreicht die Dringlichkeit, mit der Unternehmen und staatliche Institutionen auf quantensichere Lösungen umrüsten müssen. Google positioniert sich mit seinem Cloud KMS und der strategischen PQC-Roadmap klar an der Spitze der Entwickler, die eine sichere Cloud-Zukunft gestalten wollen. Neben der Produktintegration im Cloud-Angebot geht Google zudem einen Schritt weiter und stellt offene Quellcode-Implementierungen der NIST-Standards zur Verfügung. Diese Open Source-Bibliotheken werden in den bekannten Google-Kryptobibliotheken BoringCrypto und Tink gepflegt und erlauben eine transparente Prüfung und unabhängige Auditierung der Algorithmen durch die Community.
Für Unternehmen, die eigene On-Premises-Workloads schützen oder die Performance der Algorithmen in ihrer Umgebung testen möchten, bieten diese Implementierungen wertvolle Ressourcen. Klar wird hier Googles Grundsatz, den Übergang zu Post-Quanten-Kryptografie offen und kollaborativ zu gestalten. Google arbeitet darüber hinaus intensiv mit Hardware-Sicherheitsmodul-Partnern sowie dem Google Cloud External Key Manager (EKM) Ökosystem zusammen. Durch diese Kooperationen wird es möglich sein, PQC-Standards auch in hybriden und Multi-Cloud-Umgebungen anzuwenden und so die Sicherheit über verschiedene Infrastrukturen hinweg zu gewährleisten. Somit stellen die quantensicheren digitalen Signaturen von Google nicht nur eine technologische Innovation dar, sondern sind auch Bestandteil einer breit aufgestellten Strategie zur Integrität und Vertraulichkeit von Daten in der Cloud.
Interessanterweise sind auch andere Tech-Giganten wie Microsoft und Amazon Web Services (AWS) aktiv bei der Integration der NIST-PQC-Standards. Microsoft hat beispielsweise seine SymCrypt-Bibliothek um PQC-Algorithmen erweitert, die in verschiedenen Microsoft-Produkten und -Diensten zum Einsatz kommen. AWS verfolgt eine ähnliche Open Source-Initiative, die Entwicklern und Unternehmen modernes PQC-Material zur Verfügung stellt. Diese Entwicklungen zeigen, wie das Thema quantensichere Kryptografie in der Branche einen neuen Standard setzt und dass Cloud-Anbieter weltumspannend die Herausforderung der Quantenresistenz annehmen. Darüber hinaus betreibt Google eine umfassende Modernisierung seiner internen Systeme.
Die Unterstützung von FIPS 203, die zur sicheren Schlüsselvereinbarung zwischen Client und Server in Googles ALTS Transport Layer Protocol dient, wurde bereits flächendeckend implementiert. ALTS ist Googles eigens entwickeltes Protokoll ähnlich dem TLS. Mit der Integration von ML KEM (FIPS 203) wird die Kommunikationssicherheit zwischen sämtlichen Google Cloud-Diensten auf ein quantensicheres Fundament gestellt. Für Kunden bedeutet dies, dass sie nahtlos von der neuen Sicherheitsinfrastruktur profitieren können, ohne dabei komplexe Änderungen an ihrer eigenen Infrastruktur vorzunehmen. Die Einführung quantensicherer digitaler Signaturen bei Google Cloud KMS ist daher ein bedeutender Schritt auf dem Weg in eine sichere digitale Zukunft.
Während die vollständige Realisierung von Post-Quanten-Kryptografie noch einige Jahre in Anspruch nehmen wird, ermöglicht Google bereits heute Organisationen, sich proaktiv auf die Herausforderungen des Quantenzeitalters vorzubereiten. Die Kombination aus Open Source, Cloud-Integration und Partnerschaften mit Hardware-Anbietern zeigt einen ganzheitlichen Ansatz, der großen Unternehmen und Institutionen dabei hilft, ihre Cloud- und IT-Umgebungen widerstandsfähig gegen die kommenden Bedrohungen zu machen. Die quantensichere Ära ist in greifbarer Nähe, und mit der Initiative von Google Cloud KMS stehen Unternehmen neue leistungsfähige Werkzeuge zur Verfügung, um die Sicherheit ihrer digitalen Identitäten und Daten langfristig zu garantieren. Die breite Einführung von PQC-basierten Lösungen wird in den nächsten Jahren ein zentrales Thema für IT-Sicherheitsexperten und Entscheidungsträger bleiben. Angesichts der rasanten Entwicklungen im Bereich der Quantencomputer ist es ratsam, die Entwicklungen aufmerksam zu verfolgen und rechtzeitig geeignete Schutzmaßnahmen zu ergreifen.
Google hat mit seinem Cloud KMS die Weichen richtig gestellt, um Unternehmen und Entwickler beim Übergang in eine quantensichere Welt maßgeblich zu unterstützen.
