Cryptographic Bill of Materials (CBOM)
Was ist Cryptographic Bill of Materials (CBOM)?
Cryptographic Bill of Materials (CBOM)Verzeichnis aller von Software oder Systemen verwendeten kryptografischen Assets - Algorithmen, Schlüssellängen, Zertifikate, Bibliotheken und Protokolle - zur Unterstützung von Kryptoagilität und Post-Quantum-Bereitschaft.
Ein CBOM überträgt das SBOM-Konzept auf die Kryptografie. Es erfasst Algorithmen (z. B. RSA-2048, AES-256-GCM, SHA-256), Modi, Parameter, Schlüssellebenszyklen, Zertifikate, Bibliotheken (OpenSSL, BoringSSL) und Protokolle (TLS 1.3, SSH, IKEv2) samt Einsatzort und Verwendung. Es hilft, schwache oder veraltete Kryptografie zu identifizieren, die Migration zu Post-Quantum-Algorithmen zu planen, nationale Krypto-Vorgaben einzuhalten und Aufsichten in Finanz- und KRITIS-Sektoren die Sorgfaltspflicht nachzuweisen. Die OWASP-CBOM-Arbeitsgruppe und CycloneDX 1.6+ stellen ein maschinenlesbares Format bereit. CBOMs gewinnen an Bedeutung, weil Regierungen Post-Quantum-Readiness-Assessments verlangen und kryptografische Abhängigkeiten weiterhin eine häufige Quelle für Supply-Chain-Schwachstellen sind.
● Beispiele
- 01
CycloneDX-CBOM, das alle RSA-1024-Abhängigkeiten für einen PQC-Migrationsplan ausweist.
- 02
Im Pentest erzeugtes CBOM, das veraltete Cipher Suites auf einer Zahlungsplattform offenlegt.
● Häufige Fragen
Was ist Cryptographic Bill of Materials (CBOM)?
Verzeichnis aller von Software oder Systemen verwendeten kryptografischen Assets - Algorithmen, Schlüssellängen, Zertifikate, Bibliotheken und Protokolle - zur Unterstützung von Kryptoagilität und Post-Quantum-Bereitschaft. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Cryptographic Bill of Materials (CBOM)?
Verzeichnis aller von Software oder Systemen verwendeten kryptografischen Assets - Algorithmen, Schlüssellängen, Zertifikate, Bibliotheken und Protokolle - zur Unterstützung von Kryptoagilität und Post-Quantum-Bereitschaft.
Wie funktioniert Cryptographic Bill of Materials (CBOM)?
Ein CBOM überträgt das SBOM-Konzept auf die Kryptografie. Es erfasst Algorithmen (z. B. RSA-2048, AES-256-GCM, SHA-256), Modi, Parameter, Schlüssellebenszyklen, Zertifikate, Bibliotheken (OpenSSL, BoringSSL) und Protokolle (TLS 1.3, SSH, IKEv2) samt Einsatzort und Verwendung. Es hilft, schwache oder veraltete Kryptografie zu identifizieren, die Migration zu Post-Quantum-Algorithmen zu planen, nationale Krypto-Vorgaben einzuhalten und Aufsichten in Finanz- und KRITIS-Sektoren die Sorgfaltspflicht nachzuweisen. Die OWASP-CBOM-Arbeitsgruppe und CycloneDX 1.6+ stellen ein maschinenlesbares Format bereit. CBOMs gewinnen an Bedeutung, weil Regierungen Post-Quantum-Readiness-Assessments verlangen und kryptografische Abhängigkeiten weiterhin eine häufige Quelle für Supply-Chain-Schwachstellen sind.
Wie schützt man sich gegen Cryptographic Bill of Materials (CBOM)?
Schutzmaßnahmen gegen Cryptographic Bill of Materials (CBOM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cryptographic Bill of Materials (CBOM)?
Übliche alternative Bezeichnungen: CBOM, Kryptografisches Inventar.
● Verwandte Begriffe
- appsec№ 1068
Software Bill of Materials (SBOM)
Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen.
- cryptography№ 846
Post-Quanten-Kryptografie
Klassische kryptografische Algorithmen, die sowohl gegen klassische als auch gegen großskalige Quantencomputerangriffe sicher bleiben sollen.
- cryptography№ 249
Kryptographie
Wissenschaft, die Informationen mit mathematischen Verfahren gegen Angreifer schützt und Vertraulichkeit, Integrität, Authentizität sowie Nichtabstreitbarkeit gewährleistet.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- cryptography№ 172
Cipher Suite
Benannte Kombination kryptographischer Algorithmen – Schlüsseltausch, Authentifizierung, Verschlüsselung und Integrität –, die Protokolle wie TLS pro Sitzung aushandeln.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.