Post-Quanten-Kryptografie

So bereiten Sie sich auf das Quantenzeitalter vor

16.10.2019
Von   
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis einschließlich 2018 CEO der Utimaco-Gruppe. Anfang Janar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Quanten-Computing könnte bald zum Problem für aktuelle Verschlüsselungstechnologien werden. Erfahren Sie, warum das so ist und was Unternehmen jetzt schon dagegen tun können.

Quantencomputer nutzen Quantenbits (Qubits), die im Gegensatz zu herkömmlichen, binär arbeitenden Rechnern die Zustände 0 und 1 gleichzeitig annehmen. Dieser Quanteneffekt heißt Superposition und lässt die mögliche Rechenleistung exponentiell steigen, weil Qubits die erforderlichen Rechenschritte parallel und nicht nacheinander ausführen. Mit der Technologie sollen hochkomplexe Aufgaben für Simulationen, maschinelles Lernen oder Verschlüsselungen sehr schnell errechnet werden können. Dazu zählen auch sogenannte schwere und komplexe mathematische Probleme, auf denen gängige Verschlüsselungsverfahren fußen.

Forschungseinrichtungen und Unternehmen arbeiten bereits daran, quantensichere Security-Technologien und Verfahren zu entwickeln sowie für Unternehmen anwendbar zu machen.
Forschungseinrichtungen und Unternehmen arbeiten bereits daran, quantensichere Security-Technologien und Verfahren zu entwickeln sowie für Unternehmen anwendbar zu machen.
Foto: metamorworks - shutterstock.com

Die Risiken für Verschlüsselung

Die drei Arten gängiger kryptografischer Algorithmen unterscheiden sich darin, wie viele Schlüssel sie verwenden. Hash-Funktionen (SHA256, RIPEMD und Whirlpool) kommen ohne Schlüssel aus. Symmetrische Verfahren (3DES, AES, Blowfish etc.) benötigen einen Schlüssel (zum Ver- und Entschlüsseln wird derselbe Key verwendet), asymmetrische Verschlüsselung (RSA, DSA, Diffie-Hellman und ECC) nutzt dagegen zwei (einen privaten und einen öffentlichen Key).

Bisher war die verfügbare Rechenleistung zu gering, um die langen Schlüssel etwa durch Ausprobieren mit einem Brute-Force-Angriff zu knacken. Dieser Vorgang beschleunigt sich jedoch, wenn Quantensysteme den Grover-Algorithmus (zur Suche in unsortierten Datenbanken) implementiert haben und symmetrische Verfahren attackieren. In der Folge würde sich die Schlüssellänge - und so auch das Schutzniveau - halbieren. Der Grover-Algorithmus bedroht auch Hash-Funktionen, da dessen hohe Angriffsgeschwindigkeit dazu führen kann, dass zwei Eingaben mit der gleichen Ausgabe gefunden werden. Die Annahme, Eingabedaten lassen sich nicht aus den Ausgabedaten berechnen, wäre nicht mehr haltbar.

Die Gefahr für die asymmetrische Kryptographie geht vom Shor-Algorithmus (zur Faktorisierung einer sehr großen Zahl) aus. Technisch ist der Algorithmus derzeit noch nicht über eine Zeitspanne ausführbar, die für gängige Verschlüsselungen eine Gefahr darstellt. Sollten Quantencomputer ihn jedoch stabil einige Minuten lang ausführen können, wäre beispielsweise das RSA-Verfahren geknackt.

Wann sind Quantenrechner endgültig überlegen?

Bisher rechneten Quanten- und Krypto-Experten damit, dass es noch zehn bis 15 Jahre dauert, bis Quantencomputer den heutigen Superrechnern überlegen sind - die so genannte Quantum Supremacy. Mittlerweile hat sich das geändert.

Im Mai noch hat Google auf seinem Quantum Spring Symposium von einer "doppelt exponentiellen" Rate an Rechenleistung gesprochen, die der IT-Konzern erreicht habe. So beruft sich das "Quantamagazine" auf Hartmut Neven, Leiter des Google Quantum Artificial Intelligence Lab. Dieser sagte den Beginn der Quanten-Überlegenheit noch für dieses Jahr voraus. Er hat Recht behalten, denn die Forscher von Google schafften es nach Angaben des Konzerns, erstmals mit 53 Qubits zu rechnen. Damit kann der Quantencomputer Aufgaben lösen, an denen selbst die leistungsfähigsten herkömmlichen Supercomputer scheitern. Als Benchmark dienten hier die Supercomputer der NASA.

Ansätze für Post-Quanten-Kryptografie

Unabhängig davon, wann die "Quanten-Vorherrschaft" tatsächlich beginnt, gilt es, bereits heutige Verschlüsselungstechnologien zu modifizieren. Das soll mit Post-Quanten-Kryptografie (Post-Quantum Cryptography, PQC) und dazugehörigen PQC-Verfahren gelingen. Damit diese Krypto-Systeme, installiert auf herkömmlichen Rechnern und mobilen Endgeräten, Quantencomputerangriffen Stand halten können, benötigen sie einen quantensicheren Algorithmus. Derzeit läuft ein Wettbewerb am National Institute of Standards and Technology(NIST), der auf einen Standard zum quantensicheren Verschlüsseln abzielt. 2022 soll es soweit sein.

Anderseits liefert die Quantentechnologie selbst mit Quantum Key Distribution (QKD) Ansätze, die die symmetrische Verschlüsselung schützen sollen. Beim Schlüsseltausch über das sogenannte BB84-Protokoll kommen beispielsweise spezielle Sender und Empfänger zum Einsatz, die über Lichtwellenleiter einzelne Photonen übermitteln. Das Verfahren ist abhörsicher, da sich die übermittelten Informationen ändern, sobald sich ein Angreifer in die Kommunikation einschaltet.

Technologieunternehmen arbeiten bereits am nächsten Schritt. Sie untersuchen, wie sich quantensichere Krypto-Algorithmen auf ihre bestehenden Produkte oder Infrastrukturen auswirken. Hardware-Sicherheitsmodule (HSM) unterstützen diese Forschung zur Post-Quanten-Kryptografie. Diese Geräte können klassische wie auch quantensichere Algorithmen ausführen. Zudem generieren, sichern und verwalten sie digitale Schlüssel in einer geschützten Umgebung. HSM sollen so die nötige "Krypto-Agilität" in einer Infrastruktur herstellen. Darunter versteht man die Fähigkeit, auf ein alternatives kryptographisches Primitiv und einen alternativen Algorithmus zu migrieren, ohne die Systeminfrastruktur wesentlich verändern zu müssen.

In HSM integrierte Software Development Kits (SDK) geben Sicherheitsexperten und -Anbietern zudem die Möglichkeit, quantensichere Lösungen zu testen und zu implementieren. Die Entwicklung neuer Algorithmen ist der erste Schritt zu einer krypto-agilen Infrastruktur. Die Unternehmen selbst müssen zudem den Übergang zur Post-Quanten-Kryptografie sicher navigieren.

Risk Assessment: Das eigene Risiko für das kommende Quantenzeitalter prüfen

Der Zeitplan einer Organisation, um quantensichere Algorithmen zum Einsatz zu bringen, lässt sich mit einer Formel von Michele Mosca, Mitbegründer des Instituts für Quanten-Computing der kanadischen Universität Waterloo, ausdrücken:

x + y > z.

Das x gibt an, wie lange die bestehende Sicherheitstechnik standhält.

Das y bezeichnet die Migrationszeit auf quantensichere Algorithmen.

Zusammengerechnet dürfen sie keine Zeitspanne ergeben, die größer ist als z. Dessen Intervallende markiert den Zeitpunkt, an dem Quantenrechner die klassische Verschlüsslung brechen.

Zur eigenen Standortbestimmung empfehlt beispielsweise das kanadische Global Risk Institute für Finanzdienstleister ein "Quantum Risk Assessment" (QRA). Ziel der Bewertung ist es, die Sicherheitsrisiken für Firmendaten zu ermitteln. Auch hierbei gehen die wichtigsten Schritte auf den Quantenforscher Michele Mosca zurück:

  • eine Dateninventur durchführen und die angewendeten Verschlüsselungsverfahren identifizieren;

  • die Fortschritte bei Quantencomputern und in der Quantenkryptografie fortlaufend prüfen, um realistisch einzuschätzen, wann bislang gültige Verschlüsselungsstandards obsolet sein werden;

  • potenzielle Angreifer identifizieren und prüfen, ob diese Quantenrechner einsetzen können;

  • ermitteln, wie lange welche Informationsbestände geschützt werden müssen. Parallel gilt es zu recherchieren, wie lange es dauert, Verschlüsselungskomponenten und -verfahren umzustellen, um sie quantenresistent zu machen;

  • eine quantensichere IT-Sicherheitsarchitektur implementieren, die regelmäßig auf neue Angriffsvektoren überprüft werden muss.

Für Unternehmen ist es empfehlenswert, neben dem empfohlenen QRA, auch mit dem Testen zu beginnen, um herauszufinden, wie sich quantensichere Algorithmen auf ihre Infrastruktur auswirken. (jd)