Already have a hybrid CA? And can we see it?

This question could easily be in the script of a sequel to the movie Ball Lightning. But it's much more likely to be asked by a security auditor - and certainly not for years to come.

In the following article you will find out how to combine traditional keys with signatures resistant to quantum attacks. Because post-quantum threats don't ask if you have time.

Because today, local CAs, whether in the form of a root certificate or a large PKI infrastructure, have become a critical part of almost every organization. And with the growing risk of quantum attacks, the issue of their post-quantum security is coming to the fore.

What is a Hybrid Certification Authority?

A Hybrid Certificate Authority (CA), is essentially still the same combination of X.509 certificate and encryption key that you use now, plus an alternative quantum threat resistant encryption key algorithm. Examples of these algorithms today include Dilithium, or the as yet unapproved Falcon.

The advantage of the hybrid approach is that the certificate remains backward compatible - devices that cannot work with post-quantum cryptography simply use a traditional key. At the same time, the hybrid certificate also provides protection against future quantum attacks.

Deployment? Surprisingly simple

Možná vás překvapí, že nasazení hybridní CA v prostředí self-signed lokálních autorit není nijak složité. Asi nejznámější knihovna – OpenSSL,podporuje hybridní šifrování od verze 3, společně s knihovnou Open Quantum Safe. Kompletní PKI infrastrukturu pak můžete postavit například na projektu EJBCA od společnosti Keyfactor. Vytvořené hybridní certifikační autority a sub-autority vystaví hybridní certifikát, který je bez obtíží ověřitelný i starší verzí OpenSSL, či implementovatelný do Windows certifikační autority.

When is the right time?

Blíží se expirace vašich kořenových certifikátů? Nebo plánujete jejich posílení? Při běžné platnosti certifikátů přesahující dobu pěti let a více – a ruku na srdce, jednou vystavený a funkční PKI bývá problém regenerovat, pokud k tomu není silná motivace – možná právě teď nastal ideální okamžik přejít na hybridní řešení.

Do you already have your hybrid CA :)?

The author of the text is Martin Koucký, Head of Network and Application Security Department at ITS Joint Stock Company