Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Post-Quantum Cryptography (PQC) in Active Directory Certificate Services (AD CS) ermöglicht das Ausstellen und Verwalten von Zertifikaten mit Algorithmen, die darauf ausgelegt sind, Angriffe von quantenfähigen Computern zu widerstehen.
AD CS unterstützt derzeit ML-DSA. In diesem Artikel wird der Umfang der PQC-Unterstützung in AD CS und die grundlegenden Anforderungen beschrieben, die über Algorithmen hinweg gelten.
Warum post-Quantum Cryptography wichtig ist
Von AD CS ausgestellte Zertifikate schützen kritische Unternehmensvorgänge, einschließlich Domänenauthentifizierung, Codesignatur, Transport Layer Security (TLS) und Geräteregistrierung. Heute basieren viele dieser Zertifikate auf asymmetrischen Public Key-Algorithmen wie RSA und Elliptic Curve Digital Signature Algorithm (ECDSA), die anfällig für ausreichend leistungsfähige Quantencomputer sein könnten. Das Risiko ist aus zwei Gründen bereits real:
- Langlebiges Vertrauen. Root-CA-Zertifikate, Code-Signing-Zertifikate und andere langlebige Signaturidentitäten, die heute ausgestellt werden, müssen über ihre gesamte Gültigkeitsdauer hinweg vertrauenswürdig bleiben. Ein Angreifer kann Signaturen schmieden, die einen quantenempfindlichen Algorithmus verwenden, sobald ein Quantencomputer verfügbar ist.
- Ernte jetzt, entschlüsselt später. Bedrohungsakteure erfassen und speichern heute verschlüsselte Daten, um sie später zu entschlüsseln, sobald die Quantenfunktionen reif sind.
Reine und zusammengesetzte Post-Quantum-Zertifikate
Post-Quantum-Zertifikate können eine von zwei Formen annehmen:
Reine. Das Zertifikat verwendet einen einzelnen Post-Quantum-Algorithmus. Alle vertrauenden Parteien in der Vertrauenskette müssen den Post-Quantum-Algorithmus verstehen, um Signaturen zu validieren.
Zusammengesetzt. Das Zertifikat kombiniert einen klassischen Algorithmus (z. B. ECDSA oder RSA) mit einem Post-Quantum-Algorithmus (z. B. ML-DSA-65). Die zusammengesetzte Signatur enthält sowohl eine klassische Signatur als auch eine Post-Quantum-Signatur, und beide müssen überprüfen, ob das Zertifikat vertrauenswürdig ist. Ein Angreifer muss beide Algorithmen unterbrechen, um eine zusammengesetzte Signatur zu schmieden. Das Zertifikat bleibt sicher, solange jeder zugrunde liegende Algorithmus nicht unterbrochen bleibt. Zusammengesetzte Zertifikate sind größer als reine oder klassische Zertifikate, und vertrauende Parteien müssen das zusammengesetzte Format und beide Algorithmen verstehen, um sie zu validieren.
PQC-Algorithmen, die in AD CS unterstützt werden
AD CS übernimmt die post-Quantum-Algorithmen, die vom National Institute of Standards and Technology (NIST) standardisiert wurden. Unterstützen Sie Schiffe in Phasen.
| Algorithm | Standard | Purpose | AD CS-Unterstützung |
|---|---|---|---|
| ML-DSA | FIPS 204 | Digitale Signaturen | Verfügbar (Phase 1) |
| ML-KEM | FIPS 203 | Schlüsselverkapselung | Geplant (Phase 2) |
| Kombiniertes ML-DSA | IETF-Entwurf | Klassische + PQ digitale Signaturen | Geplant (Phase 2) |
| Kombiniertes ML-KEM | IETF-Entwurf | Klassische + PQ-Schlüsselverkapselung | Geplant (Phase 2) |
Microsoft plant, die Unterstützung auf alle relevanten AD CS-Rollendienste zu erweitern, einschließlich des Zertifikatregistrierungsrichtlinienwebdiensts (CEP), des Zertifikatregistrierungswebdiensts (CES), des Netzwerkgeräteregistrierungsdiensts (Network Device Enrollment Service, NDES) und des Onlineresponders (OCSP).
Plattformanforderungen
Die PQC-Unterstützung in AD CS hängt von den folgenden Voraussetzungen ab. Diese Anforderungen gelten für alle PQC-Algorithmen, sobald sie verfügbar sind.
- Kryptografie-API: Anbieter der nächsten Generation (CNG). Alle PQC-Algorithmen erfordern CNG-Schlüsselspeicheranbieter. AD CS unterstützt keine älteren Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs).
- Aktuelle Windows Server und Clients. Die PQC-Unterstützung beginnt in den in der folgenden Tabelle aufgeführten Plattformversionen. Für einige Algorithmen sind möglicherweise spätere Versionen erforderlich . Weitere Informationen finden Sie im Übersichtsartikel zu jedem Algorithmus für genaue Anforderungen.
| Bestandteil | Betriebssystemversion |
|---|---|
| AD CS-Server | Windows Server 2025 mit dem Sicherheitsupdate 2026-05 (KB5087539) oder höher installiert. |
| Client | Windows 11, Version 24H2 und Version 25H2 mit dem nicht sicherheitsrelevanten Update 2025-10 (KB5067036) oder höher installiert. |