Seit den 1960er Jahren folgt die klassische Datenverarbeitung dem Mooreschen Gesetz, demzufolge immer mehr Leistungsvermögen in jeden Quadratmillimeter Silizium gepresst wird, um die Rechenleistung schrittweise zu erhöhen und zu verbessern. Die Quanteninformatik überspringt diese alle zwei Jahre stattfindenden Verbesserungsschritte und bietet Verarbeitungskapazitäten, die sich die Leistungsfähigkeit der Quantenmechanik zunutze machen.

Während Quanten-Computing vielen Anwendungen - wie etwa Der Simulation komplexer Moleküle zur Entwicklung neuer Arzneimittel - zugutekommt, stellt die Entwicklung auf der anderen Seite gleichzeitig ein Sicherheitsrisiko dar. Denn die heutigen, standardisierten kryptografischen Algorithmen, die unsere Internetverbindungen und die Sicherheit unserer Daten schützen, werden im Quanten-Zeitalter keinen Schutz mehr bieten.

Knackpunkt Kryptografie

Die Public-Key-Kryptografie verwendet mathematische Funktionen, die in einer Richtung einfach zu berechnen sind (etwa die Multiplikation ganzer Zahlen), während ihre Umkehrung schwierig ist (die Zerlegung einer ganzen Zahl in ihre Primfaktoren, wie sie im RSA-Algorithmus verwendet wird). Natürlich können alle kryptografischen Algorithmen geknackt werden, indem einfach alle möglichen Lösungen (oder Schlüssel) ausprobiert werden, was als Brute-Force-Angriff bekannt ist. Deshalb hoffen Sicherheitsexperten, dass dieser Ansatz mit der heute oder in absehbarer Zukunft zur Verfügung stehenden Rechenleistung zu lange dauert und zu viel kostet.

Dies könnte sich jedoch mit dem Siegeszug der Quantencomputer verändern. Sie könnten die Methoden der heutigen Kryptografie unwirksam machen. Das setzt zwar voraus, dass ein Quantencomputer über genügend Quantengatter, -bits und Speicher verfügt. Es wird jedoch erwartet, dass dies in den nächsten ein bis drei Jahrzehnten der Fall sein wird. Das verschafft den Bemühungen um quantensichere Lösungen zum Glück noch Zeit, denn heutige Quantencomputer, die etwa 100 Qubits unterstützen, sind immer noch deutlich weniger leistungsfähig als das "Werkzeug", das zum Brechen eines öffentlichen RSA-3072-Schlüssels benötigt wird.

Das Wettrennen ist eröffnet

Gesucht werden also Algorithmen, die so komplex sind, dass selbst Quantencomputer Tausende von Jahren brauchen, um sie zu knacken. Wie schon öfter war es das National Institute of Standards and Technology (NIST), das physikalische Labor des US-Handelsministeriums, das die Herausforderung annahm und bereits 2016 zur Einreichung von Vorschlägen für die Standardisierung der Post-Quanten-Kryptografie aufrief. Im Jahr 2022 wurden dann die ersten vier erfolgreichen Algorithmen veröffentlicht. Weitere dürften folgen.

Der einzige empfohlene Algorithmus für den Schlüsselaustausch ist dabei CRYSTALS-Kyber. Er zeichnet sich durch seine hohe Geschwindigkeit und vergleichsweise kleine Public Keys aus. Allerdings sind diese immer noch viel größer als die, die wir von ECC und RSA gewohnt sind. Die Stärke des Algorithmus ist gesichert, da er auf dem weithin untersuchten Module-LWE-Problem (Learning With Errors over Module Lattices) aufbaut. Drei weitere Algorithmen wurden für digitale Signaturen ausgewählt: CRYSTALS-Dilithium ist der empfohlene Algorithmus, gefolgt von FALCON. Beide gelten als sehr effizient und gehören zur Familie der gitterbasierten Kryptografie. Der dritte Algorithmus ist SPHINCS+, der zwar im Vergleich langsamer und größer ist, aber ein zustandsloses Hash-basiertes Signaturverfahren verwendet und damit eine mathematische Diversifizierung im Algorithmus-Mix bietet.