Ich komme aus dem Bereich und ich interessiere mich für

Insights

Quantencomputer: Ist die Kryptografie für die Zukunft gewappnet?

Die Entwicklung von Quantencomputern schreitet voran. Die Superrechner bieten Chancen, stellen aber gleichzeitig eine Gefahr für die heute angewendeten Verschlüsselungsverfahren und damit für die IT-Sicherheit dar. Um den Schutz vertraulicher Daten auch zukünftig sicherzustellen, suchen Forscher nach quantenresistenten Lösungen. Doch die hochkomplexe Materie birgt große Herausforderungen.

Quantencomputer faszinieren: Mithilfe quantentheoretischer Effekte ermöglichen sie vollkommen neue Berechnungsmodelle. Dabei ist heute immer noch unklar, wann es Rechner dieser Art in praxisrelevanter Größe geben könnte und welche Möglichkeiten sie uns genau bieten würden.

So viel ist sicher: Der Quantencomputer kommt – oder auch nicht

Einige Experten rechnen damit, dass es bereits innerhalb der kommenden 10 bis 30 Jahre so weit sein wird. Sie belegen dies mit beachtlichen Fortschritten in der Erforschung und Fertigung entsprechender Hardware sowie dem stetig wachsenden Verständnis für das theoretische Verhalten von Quantenalgorithmen und -rechnern.

Ebenso stimmig klingen Argumente, warum es vielleicht nie möglich sein wird, einen beliebig skalierbaren Quantencomputer zu bauen. Sie gehen von einer Obergrenze des Machbaren aus, die eine wirklich praktikable Nutzung verhindert. Die Antwort wird uns die Zukunft liefern.

Vertrauliche Daten – heute gesammelt, morgen entschlüsselt?

Doch eines wissen wir: Seit rund 25 Jahren sind quantenbasierte Algorithmen bekannt, die alle derzeit in der Praxis relevanten kryptografischen Verfahren schwächen oder zerstören würden. Die möglichen Auswirkungen betreffen uns bereits heute. Große staatliche Dienste mancher Länder speichern längst Unmengen an verschlüsselten Daten, die in Zukunft für sie interessant sein könnten, um sie eines Tages zu knacken und auszuwerten. Dabei stellen auch bessere klassische Supercomputer und Fortschritte in der Kryptanalyse eine Gefahr dar. Doch insbesondere mithilfe eines praktikablen Quantencomputers könnte solch ein Dienst zu einem zukünftigen Zeitpunkt die verwendeten Schlüssel finden und die Daten lesen.

Dabei gibt es viele schützenswerte Daten, die einen langen Schutzzeitraum benötigen. Ein Beispiel sind die Gesundheitsdaten, die vermehrt in digitaler Form verarbeitet werden und über Jahrzehnte sicher bestehen müssen. Andererseits könnten auch heute als unbedenklich eingestufte Daten z. B. durch eine sich ändernde politische Lage später als Kompromat oder Repressalie dienen.

Symmetrische, asymmetrische und Hash-basierte Verfahren als Forschungsgegenstand

Seit knapp 20 Jahren beschäftigen sich immer mehr Kryptografen mit Verschlüsselungs- und Signaturverfahren, die auch Quantencomputer-basierten Angriffen standhalten.

Verschlüsselungsverfahren codieren Informationen mithilfe eines Codeworts bzw. Schlüssels, sodass niemand mit praktikablen Hilfsmitteln die ursprüngliche Information extrahieren kann, wenn die Person nicht über den dafür notwendigen Schlüssel verfügt. Bei sogenannten symmetrischen Verfahren sind die Schlüssel gleich, bei asymmetrischen Verfahren codiert man mit einem öffentlichen Schlüssel und benötigt zur Decodierung einen geheimen, privaten Schlüssel.

Asymmetrische Signaturverfahren erstellen mithilfe eines privaten Schlüssels eine digitale Unterschrift für bestimmte Daten, z. B. für eine E-Mail oder ein Software-Update. Ist demjenigen, der die Unterschrift überprüfen will, der öffentliche Schlüssel des Unterschreibenden bekannt, kann er die Daten auf Korrektheit hin überprüfen und davon ausgehen, dass sie wirklich vom Unterschreibenden stammen. Die für die quantenresistenten Alternativen notwendige Mathematik ist natürlich nicht neu.

Doch trotz intensiver Beschäftigung mit dem Thema fehlt in vielerlei Hinsicht noch immer ein ausreichendes Verständnis der Materie im Bezug auf den hochkomplexen Einsatz in der Kryptografie.

Sogenannte Hash-basierte Signaturen gelten als äußerst gut verstanden. Dem Namen entsprechend lassen sich allerdings nur Daten signieren und somit auf Korrektheit und Authentizität hin überprüfen. Hierzu werden bereits zwei Verfahren in Request for Comments (RFCs) der Internet Engineering Task Force (IETF) bzw. Internet Research Task Force (IRTF) beschrieben, nämlich RFC 8391 und RFC 8554.

Arbeit an neuen Kryptoverfahren im Wettlauf mit der Zeit

Möchte man Daten sicher über das Internet versenden, benötigt man einerseits Verschlüsselungsverfahren und andererseits die Möglichkeit, die nötigen Schlüssel sicher auszutauschen. Geeignete Kandidaten, die dies bewerkstelligen und auch vor Quantencomputern schützen, basieren auf unterschiedlichen mathematischen Fundamenten. Die Möglichkeiten und Grenzen ihres Einsatzes sowie ihre Sicherheit werden zunehmend besser verstanden.

Doch schon bei klassischen Verfahren ist die Bewertung der Sicherheit von Kryptosystemen ein diffiziles Unterfangen. So sehr man sich dies auch wünscht: Ein garantiert sicheres Verfahren kann nicht konstruiert werden. Man kann nur versuchen, ein Verfahren hinsichtlich der besten bekannten Angriffe zu bewerten und mithilfe mathematischer Beweise bzw. Sicherheitsmodelle zu untermauern, sodass das Verfahren in einer idealisierten Welt vor verschiedenen Attacken sicher ist. Es reicht aber die eine Person, die die richtige Idee für einen Angriff hat, an den zuvor niemand gedacht hatte.

Einerseits möchte man also die Sicherheit besser verstehen und beurteilen können, andererseits drängt die Zeit, da die jetzigen Systeme möglichst schnell aktualisiert werden müssen.

US-Institut für Standards und Technologie treibt die weltweite Forschung voran

Daher möchte eine amerikanische Behörde, das National Institute of Standards and Technology (NIST), im Rahmen eines Standardisierungsprozesses mehrere quantenresistente Verfahren in den kommenden Jahren normieren und für bestimmte Einsatzszenarien empfehlen.

Dazu hatten bis November 2017 Experten weltweit Verfahren eingereicht. Diese werden derzeit von vielen Fachleuten begutachtet und diskutiert. Die Behörde hat bereits in einer ersten Runde die besten Vorschläge ausgewählt, welche nun einer noch intensiveren Untersuchung unterzogen werden.

Im Zeitraum von 2022 bis 2024 sollen diejenigen Verfahren, die der Betrachtung bis zum Schluss standhalten, standardisiert und empfohlen werden. Somit wird die Untersuchung und Verbreitung geeigneter Mechanismen aktiv vorangetrieben, weltweit beobachtet und unterstützt.

Natürlich endet mit dem Standardisierungsprozess des NIST die Weiterentwicklung nicht. Es werden immer wieder neue oder verbesserte Verfahren vorgestellt. Ebenso wurden beim NIST mitunter Verfahren eingereicht, bei denen allen Beteiligten klar ist, dass noch viel Forschungsarbeit nötig ist. Diese sind jedoch vielversprechend genug, um Interesse zu wecken und zu weiterer Arbeit daran zu motivieren.

Der Praxiseinsatz von Kryptoverfahren als zusätzliche Herausforderung

Des Weiteren untersuchen immer mehr Firmen und Institutionen den Einsatz neuartiger Kryptografieverfahren in der Praxis. Diese sind langsamer und haben oft unerfreuliche Datengrößen. Auch passen sie oftmals nicht zu unseren aktuellen Technologien. Das ist zum Teil dem Umstand geschuldet, dass zum Zeitpunkt, als die jeweiligen Kommunikationsprotokolle entwickelt wurden, effizientere Verfahren existierten. Außerdem war damals nicht absehbar, dass es derart gute Angriffe aufgrund neuer Systeme (Quantencomputer), besserer Rechenleistung (Supercomputer) oder neuer Erkenntnisse im Brechen von Kryptografie (Kryptoanalyse) geben könnte.

So gestaltet sich der Einsatz sicherer Kommunikation über die gebräuchlichen Protokolle schwierig. Hier können die verwendeten Verfahren in der Regel nicht einfach durch quantenresistente Alternativen ausgetauscht werden. Zwar können bis zu einem gewissen Grad Workarounds genutzt werden, doch nutzen diese meist Ungenauigkeiten in den Protokollspezifikationen oder reizen gegebene Limits aus.

Erste Anwendungsbeispiele erfolgreicher Forschungsarbeit gibt es jedoch auch: So liefert genua inzwischen bspw. Software-Updates für Produkte mit hybriden Signaturen aus. Eine Software-Aktualisierung kann nur erfolgen, wenn sowohl eine klassische als auch eine quantenresistente Signatur (nach RFC 8391) bestätigen, dass die Software nicht manipuliert wurde und von genua stammt.

Forschung trotz aller Unwägbarkeiten immer ein Gewinn

Wir sind jetzt vor dem Hintergrund der Quantencomputer-basierten Angriffe endgültig dazu gezwungen, uns mit diesen Themen auseinanderzusetzen, um funktionale und sichere Lösungen zu finden. Denn selbst falls sich herausstellt, dass es keine großen Quantencomputer geben wird, wird unser Verständnis für die Kryptografie und gerade ihrer Anwendung in der Praxis besser sein. Damit leistet diese Forschung einen wesentlichen Beitrag, die IT-Welt bedeutend sicherer zu machen.