Experten-Interview: RFC 8391 – ein Meilenstein zum Schutz vor Quantencomputern

Im Forschungsprojekt squareUP brachten unsere Forscher zusammen mit der TU Darmstadt ein Post-Quantum-Signaturverfahren zur Praxisreife und schrieben in Kooperation mit weiteren Universitäten einen sogenannten Internet-Draft. Dieser wurde jetzt als RFC 8391 veröffentlicht und ist damit das erste universell anerkannte standardisierte Verfahren für digitale Signaturen, die den Berechnungsmöglichkeiten von Quantencomputern standhalten.

Darüber sprechen wir mit Stefan-Lukas Gazdag, Research Engineer in der Forschungsabteilung bei genua und einer der RFC-Autoren.

Warum ist es so außergewöhnlich, dass Forscher von genua an einem Request for Comments (RFC) mitgearbeitet haben?

Stefan-Lukas Gazdag: Der Weg von der Idee zu einem Dokument bis zur Veröffentlichung eines RFC ist, wie bei vielen Standardisierungsbemühungen, mitunter sehr langwierig. Doch um ein Verfahren in der Praxis verwenden zu können, ist dies unumgänglich, denn ein Entwickler muss bei der Umsetzung über eine Referenz verfügen, auf die er sich beziehen kann. Mit dem reinen Schreiben ist es nicht getan. Zu einem Entwurf für einen solchen RFC gibt es zahllose, teils sogar konträre Meinungen und Wünsche unterschiedlicher Personen und Organisationen. Viele Experten lesen und bewerten das Dokument.

Das ist äußerst hilfreich und auch notwendig, da das beschriebene Verfahren viel Aufmerksamkeit erhält und etwaige Unstimmigkeiten im Dokument leichter gefunden werden. Doch all dies ist sehr zeit- und damit kostenintensiv. In unserem Fall hat sich der Prozess über drei Jahre gezogen. Dankenswerterweise wurde ein Teil unserer Bemühungen sogar über ein Forschungsprojekt durch das Bayerische Staatsministerium für Wirtschaft und Medien, Energie und Technologie (StMWi) gefördert.

Das Umfeld von Internet Engineering Task Force (IETF) und Internet Research Task Force (IRTF), den Organisationen hinter den RFCs, ist vor allem von Großkonzernen und Universitäten geprägt. Dass eine vergleichsweise kleine, deutsche Sicherheitsfirma an einem RFC mitarbeitet, um ein Verfahren für die Öffentlichkeit nutzbar zu machen, ist daher durchaus nicht alltäglich.

genua veröffentlicht für zahlreiche Produkte bereits jetzt quantenresistente Signaturen und gehört damit zu den ersten IT-Sicherheitsunternehmen, die diese Verfahrensart zur Absicherung ihrer Updates einsetzen. Könnte man sagen, dass wir die sichersten Software-Updates der Welt verwenden?

Stefan-Lukas Gazdag: Superlative sind natürlich mit Vorsicht zu genießen, doch wir unterschreiben unsere Software-Updates natürlich jetzt schon mit digitalen Signaturen, die nach aktuellem Stand der Wissenschaft sicher sind. Durch die Kombination dieser klassischen Verfahren mit einem bereits heute einsatzfähigen, quantenresistenten Verfahren können wir mit bestem Gewissen den Gefahren der kommenden Jahre entgegentreten.

Für unsere Kunden heißt dies, dass sie für Produkte wie unsere Firewall-Systeme genuscreen und genugate selbst dann noch Software-Updates gefahrlos einspielen können, wenn etwa ein feindlich gesinnter Geheimdienst über einen großen Quantencomputer verfügen sollte.

Einige Organisationen arbeiten bereits an leistungsfähigen Quantencomputern und melden respektable Erfolge. Richtig produktiv einsetzbar scheinen diese aber noch nicht zu sein. Wie kann man eigentlich sicher sein, dass die Software-Updates wirklich quantenresistent sind?

Stefan-Lukas Gazdag: Dazu müssen wir klären, warum die verschiedenen kryptografische Verfahren überhaupt sicher sind.

Es gibt unterschiedliche Ansätze, um die Sicherheit kryptographischer Verfahren zu beschreiben. Ein noch immer wichtiges Merkmal sind die besten, bekannten Angriffe. Zusätzlich versucht man heutzutage zumeist, für spezifische Verfahren mathematische Beweise zu führen, doch das ist ein sehr schwieriges Unterfangen. Denn selbst dann, wenn ein Verfahren in einem Beweismodell als sicher gilt, kann es dennoch Angriffe geben, die etwa von dem speziellen Modell nicht abgedeckt sind.

Eine oft genutzte Betrachtungsweise zielt auf ganze Verfahrensarten ab und nicht auf konkrete Algorithmen, ist also generisch. Alle Angriffe, die die Kryptogemeinschaft auf das von uns verwendete Verfahren kennt, sind beherrschbar, insbesondere auch die generischen. Dies gilt sowohl für alle klassischen als auch von Quantencomputern unterstützten Attacken.

Doch absolute Sicherheit gibt es hier leider nicht, denn es könnte jeden Tag das eine Genie aufstehen, das plötzlich die Idee hat, wie ein erfolgreicher, nicht-generischer Angriff aussieht. Dabei muss man nochmal betonen, dass dies für die klassischen Möglichkeiten genauso gilt wie für neue Quantenalgorithmen.

Doch hinzu kommt, dass wir ausschließlich ein recht gut verstandenes und intensiv untersuchtes Primitiv, also einen kryptografischen Basisbaustein verwenden, der u. a. für sämtliche in der Praxis relevanten Signaturverfahren wichtig ist. Sollte dieser geknackt werden, steht die ganze Krypto-Welt vor einem großen Problem.

Sichere Software-Updates sind zweifellos ein wichtiger Meilenstein. Aber werden wir auch in der Lage sein, verschlüsselte Kommunikation vor Angriffen durch Quantencomputer zu schützen?

Stefan-Lukas Gazdag: Die Absicherung unserer Updates war nur der erste Schritt. Wir arbeiten derzeit daran, sichere Kommunikation über das Internet z. B. durch Virtual Private Networks mithilfe quantenresistenter Verfahren zu ermöglichen. Dies ist allerdings ein komplexeres Thema, an dem die ganze Community rund um die Post-Quantum Cryptography derzeit arbeitet.

Danke für das Gespräch.

Das Projekt wurde aufseiten der TU Darmstadt von der Deutschen Forschungsgemeinschaft (DFG) und aufseiten von genua vom Bayerischen Staatsministerium für Wirtschaft und Medien, Energie und Technologie (StMWi) gefördert. Als Projektträger für genua fungierte VDI/VDE-IT.