Warum der Standard Bestand hat

Ein heute erstellter Nachweis muss womöglich noch in dreißig Jahren Bestand haben. Stellen Sie sich eine wissenschaftliche Entdeckung vor, deren Anspruch, die erste gewesen zu sein, auch Jahrzehnte später noch standhalten muss, oder ein Archiv von Verträgen, das jemand lange prüfen muss, nachdem die Unterzeichner längst von Bord sind. Für einen solchen Nachweis genügt „funktioniert heute" nicht. Er muss weit in eine Zukunft hinein funktionieren, die noch niemand sehen kann.

Das ist ein echtes Problem, denn die Mathematik hinter diesen Nachweisen steht nicht still.

Gute Verfahren bleiben nicht ewig gut

Jedes kryptografische Verfahren beruht auf einer Berechnung, die leicht durchzuführen, aber praktisch unmöglich umzukehren ist. Mit der Zeit geschehen zwei Dinge. Computer werden schneller und Forscher findiger, sodass ein Verfahren, das felsenfest aussah, allmählich schwächer werden kann. Und es entstehen ganz neue Verfahren, die stärker sind als alles, was wir bisher hatten.

Jeder ehrliche Standard steht deshalb vor einer unbequemen Wahrheit: Das heute beste Verfahren wird nicht für immer das beste bleiben. Ein neues, besseres kommt immer nach.

Warum es eine Falle wäre, ein Verfahren fest zu verdrahten

Stellen Sie sich einen Standard vor, der schlicht sagt: „Verwenden Sie stets genau dieses Verfahren." Er würde wunderbar funktionieren, bis ebendieses Verfahren schwächer wird. Dann säßen Sie fest. Um zu etwas Besserem zu wechseln, müssten Sie die Regeln neu schreiben, alle dazu bewegen, am selben Tag umzustellen, und irgendwie mit jedem Nachweis fertig werden, der je unter den alten Regeln entstanden ist. So ein „alle auf einmal"-Wechsel ist genau die Art von Ereignis, die die Geschichte zerreißt und alte Datensätze stranden lässt. Ein so gebauter Standard zerfällt unmerklich schon ab dem Moment, in dem er erscheint.

Label 309 umgeht diese Falle von vornherein, indem es gar nicht erst ein einziges festes Verfahren benennt.

Ein Katalog, der immer weiter wächst

Statt ein Verfahren fest einzubauen, verweist Label 309 auf jedes Verfahren über einen Namen aus einer offenen Liste, einer Registry. Stellen Sie es sich wie einen Teilekatalog vor. Jeder Nachweis hält namentlich fest, mit welchen „Teilen" er gebaut wurde: welches Verfahren den Fingerabdruck gebildet hat, welches versiegelt hat, welches signiert hat.

Für jede Art von Teil gibt es einen eigenen Katalog (einen für Hashes, einen fürs Versiegeln, einen für Signaturen und so weiter), und ein Katalog wird ausschließlich ergänzt:

• Das neue Verfahren muss ein echter, veröffentlichter Standard mit einer öffentlichen Referenz sein (ein RFC, eine NIST-Veröffentlichung und Ähnliches), selbst gebastelte Kryptografie ist nicht erlaubt;
• es erhält einen neuen Namen im Katalog, zusammen mit einem Test, der genau festlegt, wie es sich verhält.

Kommt ein stärkeres Verfahren auf, reißen Sie den Katalog nicht auseinander und drucken die alten Seiten nicht neu. Sie fügen eine neue Seite hinzu. Die alten Seiten bleiben für immer genau dort, wo sie sind. Und nun das unauffällig Clevere daran: Jeder je erstellte Nachweis behält die ursprünglichen Teile auf seiner eigenen Seite. Schlagen Sie einen alten Nachweis nach, sagt Ihnen der Katalog noch immer genau, wie er zu prüfen ist, denn seine Teile wurden nie entfernt, sondern nur um neuere ergänzt.

Zwei Dinge gelten also gleichzeitig:

• Alte Existenznachweise bleiben verifizierbar. Ein vor Jahren erstellter Nachweis benennt Verfahren, die noch immer im Katalog stehen, also lässt er sich heute genauso prüfen wie am Tag seiner Erstellung.
• Neue Existenznachweise können das neueste Verfahren wählen. Wer einen frischen Nachweis erstellt, wählt einfach einen neueren Namen aus der Liste.

Es gibt keinen Stichtag. Keinen Moment, an dem alle gemeinsam wechseln müssen. Keine zerrissene Geschichte und kein hektisches Umrechnen ganzer Berge alter Datensätze. Die Änderung ist eine reine Ergänzung, ein neuer Eintrag in der Liste, niemals ein Ersatz. Eine Ergänzung ändert nicht einmal die Version des Formats: Eine prüfende Stelle, die einen neuen Namen noch nie gesehen hat, sagt einfach sauber „diesen unterstütze ich noch nicht", statt abzustürzen oder zu raten.

So gelingt auch der Sprung in die Quantenära

Sie haben vielleicht gehört, dass leistungsstarke neue Computer eines Tages Teile der heutigen Kryptografie brechen könnten. (Dazu gibt es einen Begleitartikel.) Beruhigend ist: Die Abwehr braucht in Label 309 keinen besonderen Rettungsplan, sie ist derselbe Handgriff wie jede andere Verbesserung: Das neue, quantenresistente Verfahren wird im Katalog benannt. Tatsächlich ist das bereits einmal geschehen: Das Post-Quanten-Verfahren zum Versiegeln wurde gleich neben das klassische gestellt, sodass neue Datensätze heute danach greifen, während alte unberührt weiterlaufen. Eine Bedrohung, die einen Neuaufbau von Grund auf zu verlangen scheint, entpuppt sich als bloß eine weitere Seite im Katalog.