Zwischen 2025 und 2030 ist es so weit: Quantencomputer werden die Welt der asymmetrischen RSA-Kryptografie aus den Fugen heben. Denn bis dahin dürften die leistungsfähigen Rechner zumindest den Akteuren einiger Staaten zur Verfügung stehen. Spätestens dann sind auch bis dato als sicher eingestufte asymmetrische Verschlüsselungsverfahren leicht zu knacken.
Foto: Igor Zh. - shutterstock.com
Das ist (noch) kein Grund zur Panik. Aber ein Grund, die Alarmglocken in den Unternehmen schrillen zu lassen, über mögliche Konsequenzen nachzudenken und entsprechend zu handeln. Dazu sollten Sie sich zum Beispiel folgende Fragen stellen:
Analysieren: Wie Krypto-agil sind unsere Systeme und Produkte?
Testen: Wie wirkt sich die vollständige Implementierung eines Post-Quantum-Algorithmus auf unsere IT-Umgebung, kritischen Systeme, Software Stacks, Laufzeiten und weitere Aspekte aus?
Handeln: Wie lassen sich langlebige Industrie-4.0-Komponenten schon jetzt auf wechselnde Algorithmen und Post-Quantum-Security vorbereiten?
Das Elefantenrennen um die Post-Quantum-Algorithmen
Grundsätzlich macht es Sinn, sich bei der Implementierung einer Lösung nach gängigen Standards und Empfehlungen anerkannter Institutionen zu richten. Doch diese lassen noch auf sich warten. So hat das US-amerikanische NIST (National Institute of Standards and Technology) Krypto-Spezialisten und Forschungseinrichtungen dazu aufgerufen, bis Ende November 2017 Vorschläge für Quantum-sichere Verfahren einzureichen.
Ein guter Ansatz, allerdings nicht kurzfristig umsetzbar: Es wird mehrere Jahre dauern, um die besten Post-Quantum-Algorithmen zu selektieren und zu standardisieren. Darauf folgen noch einige Jahre für Optimierung, Implementierung und Umsetzung. Mit dem ersten Norm-Entwurf wäre frühestens 2023 zu rechnen - diesen Zeitrahmen abzuwarten wäre fatal. Vielmehr ist schon jetzt zu klären, welche der zur Verfügung stehenden Quantum-sicheren Algorithmen für die eingesetzten Anwendungen umsetzbar sind. Dabei gilt es vor allem, Spezifika wie Payload oder Signatur-Erstellungszeiten zu beachten.
"Crypto Agility" ist das neue Mantra
Aufgrund der fehlenden Erfahrungen und Standards werden wir wohl für einen längeren Zeitraum mit Migrations-, Koexistenz- und Hybridsituationen leben müssen. Dafür existiert bereits ein geflügeltes Wort: "Crypto Agility". Es bedeutet vor allem eines: Auf keinen Fall die Hände in den Schoß legen, sondern handeln - und darauf vorbereitet sein, dass heute beschlossene Maßnahmen vielleicht schon morgen wieder überdacht werden müssen.
Abschließend noch eine gute Nachricht: Die Quanten-Kryptografie birgt auch einen großen Sicherheitsvorteil. Sie macht das Abhören von Verbindungen de facto unmöglich. Denn ein unbefugter Dritter kann sich nicht in die Kommunikation zwischen einem Sender und Empfänger einklinken, ohne dass dies die Nachricht verändert. (fm)