OpenSSH und Post-Quanten-Kryptografie

• OpenSSH unterstützt Post-Quanten-Verschlüsselungsalgorithmen, die gegen Angriffe durch Quantencomputer resistent sind
• Seit Version 9.0 ist standardmäßig der sntrup761x25519-sha512-Algorithmus aktiv, und ab Version 10.0 wird mlkem768x25519-sha256 als Standard-Verbindungsmodus verwendet
• Ab Version 10.1 wird bei Nichtnutzung eines post-quantenfähigen Schlüsselaustauschs eine Warnmeldung angezeigt
• Die meisten bisherigen Signaturalgorithmen (RSA, ECDSA usw.) werden ebenfalls nachträglich unterstützt
• Um den bestehenden Datenverkehr sicher zu schützen, müssen sowohl Server als auch Client Post-Quanten-Algorithmen einsetzen

Einführung von Post-Quanten-Kryptografie in OpenSSH

OpenSSH unterstützt mehrere Schlüsselvereinbarungsalgorithmen, die auch gegen Angriffe durch Quantencomputer sicher sind
Es wird empfohlen, diese Algorithmen für alle SSH-Verbindungen zu verwenden.

OpenSSH 9.0 (2022) stellt standardmäßig über sntrup761x25519-sha512 den Post-Quanten-Schlüsselaustausch (KexAlgorithms) bereit, und ab Version 9.9 wurde mlkem768x25519-sha256 ergänzt
Seit OpenSSH 10.0 ist mlkem768x25519-sha256 als Standard-Verschlüsselungsverfahren festgelegt

Um die Einführung von Post-Quanten-Algorithmen zu fördern, zeigt OpenSSH ab Version 10.1 eine Warnung an, wenn kein quantenresistenter Schlüsselaustausch verwendet wird

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Diese Warnung wird standardmäßig angezeigt, kann jedoch über die Option WarnWeakCrypto in ssh_config(5) deaktiviert werden

Hintergrund

Ein Quantencomputer ist ein Gerät, das Informationen als Quantenzustände kodiert und darauf berechnet
Er kann bestimmte mathematische Probleme lösen, die klassische Rechner nicht leisten können

Die Grundannahmen vieler kryptografischer Algorithmen basieren auf Problemen, die von Quantencomputern leicht gelöst werden könnten Wenn ein ausreichend leistungsfähiger Quantencomputer (auf einem kryptographisch relevanten Niveau) auftaucht, besteht das Risiko, dass diese Kryptografie gebrochen wird Besonders betroffen sind Algorithmen, die für Schlüsselaustausch und digitale Signaturen verwendet werden

Solche Quantencomputer sind noch nicht realisiert, aber Experten erwarten ihr Auftreten innerhalb von 5 bis 20 Jahren oder Mitte der 2030er Jahre

Die Datenschutzgarantie einer SSH-Verbindung hängt von der Schlüsselaustausch-Verschlüsselung ab
Wenn ein Angreifer den Schlüsselaustauschalgorithmus bricht, kann er den gesamten Sitzungsinhalt entschlüsseln
Daneben ist ein Angriff möglich, bei dem ein Angreifer den Sitzungstext speichert und ihn später mit einem Quantencomputer entschlüsselt: „store now, decrypt later“

OpenSSH stärkt dazu die Unterstützung für Post-Quanten-Kryptografie

FAQ

Q: Ich habe von ssh eine Warnung erhalten – was soll ich tun?

• OpenSSH warnt ab Version 10.1, wenn eine nicht quantensichere Verschlüsselung verwendet wird
• Das bedeutet, dass der verbundene Server keine Post-Quanten-Schlüsselaustausch-Algorithmen bereitstellt (mlkem768x25519-sha256, sntrup761x25519-sha512)
• Die beste Maßnahme ist ein Update des Servers auf OpenSSH 9.0 oder höher (für Letzteres auf 9.9 oder höher), sowie die Überprüfung, dass die betreffenden Algorithmen in KexAlgorithms nicht deaktiviert sind
• Falls ein Server-Update nicht möglich ist oder das Risiko bewusst in Kauf genommen wird, kann die Warnung auch über die Option WarnWeakCrypto in ssh_config(5) nur ausgeblendet werden
• Falls erforderlich, sollte das nur für bestimmte Hosts gelten, wie im folgenden Beispiel:

  Match host unsafe.example.com
      WarnWeakCrypto no
  

Q: Warum vorbeugen, obwohl es noch keine Quantencomputer gibt?

• Wegen des zuvor erwähnten Angriffs "store now, decrypt later"
• Auch heute gesendeter Traffic kann später entschlüsselt werden, daher wird bereits jetzt eine post-quanten-sichere Verbindung empfohlen

Q: Wenn auch Signaturalgorithmen gefährdet sind, warum ist das kein sofortiges Problem?

• Auch die meisten Signaturalgorithmen (RSA, ECDSA usw.) können durch einen Quantencomputer ausgeschaltet werden
• In diesem Fall werden jedoch keine Datenpakete gespeichert und später entschlüsselt
• Bei Signaturalgorithmen liegt das Eilbedürftige eher darin, bestehende Signaturschlüssel aus dem Verkehr zu ziehen, sobald ein Quantencomputer näher rückt
• OpenSSH plant, künftig auch post-quantenfähige Signaturalgorithmen zu unterstützen

Q: Warum ist das wichtig, wenn ich denke, dass Quantencomputer unmöglich sind?

• Manche halten es für unmöglich, doch die derzeitigen technischen Hürden sind vor allem Ingenieursprobleme, nicht Grundsatzfragen der Physik
• Wenn Quantencomputer möglich sind, schützt diese Maßnahme heute potenziell riesige Nutzer*innendaten
• Selbst wenn sich im Nachhinein zeigt, dass diese Vorbereitung nicht nötig war, ist sie nur eine Migration zu kryptografisch stärkerer Technik

Q: Sind Post-Quanten-Algorithmen vielleicht ebenfalls angreifbar?

• Auch OpenSSH geht hier vorsichtig vor
• Obwohl nur Algorithmen ausgewählt wurden, die in den letzten Jahren intensiv überprüft wurden, besteht weiterhin die Möglichkeit neuer Angriffsmethoden
• Zur Kompensation werden nur Algorithmen mit großzügiger Sicherheitsmarge eingesetzt, sodass auch bei unerwarteter Schwächung eine praxisnahe Sicherheitsstufe wahrscheinlicher bleibt
• Zudem sind alle Post-Quanten-Algorithmen von OpenSSH als „hybrid“ ausgelegt
  • Beispiel: mlkem768x25519-sha256 kombiniert ML-KEM (Post-Quantum) mit dem klassischen Algorithmus ECDH/x25519
  • So bleibt selbst wenn der Post-Quanten-Teil später kompromittiert wird, mindestens das bisherige Sicherheitsniveau erhalten