Post-Quantum-Kryptographie: Sichere Verschlüsselung trotz Quanten-Computer

bei

 / 15. February. 2021

Kryptographie ist so alt wie die Welt selbst. Stets gab es einen Wettlauf zwischen der Verschlüsselung und der Entschlüsselung. Nun aber stehen Quanten-Computer mit bisher ungekannten Rechengeschwindigkeiten in den Startlöchern und könnten sämtliche der etablierten Kryptographie-Verfahren wirkungslos machen.

Wenn es um Verschlüsselung in der Informationstechnologie (IT) geht lässt sich zusammenfassen: Es existieren viele sehr sichere Schlüssel, deren Entschlüsselung in annehmbarer Zeit mehr Rechenleistung erfordert, als derzeit den weitaus meisten Hackern zur Verfügung steht. Hier kommen nun die Fortschritte im Bereich der Quanten-Computer ins Spiel. Es ist nicht eindeutig, wie weit die Forschung und Konstruktion tatsächlich gekommen ist, doch offensichtlich wird es nicht mehr lange dauern, bis die ersten Quanten-Computer im Einsatz sind. Greift ein Angreifer über diese Art von Rechner ein Bankkonto an, dauert es nur wenige Augenblicke, bis sämtliche Verschlüsselung geknackt wurde und alle Informationen in seiner Hand sind. Ein Quanten-Computer kann sogar im Nachhinein jeden aufgezeichneten Datenfluss entschlüsseln.

Das potenzielle Ausmaß des Schadens sprengt jede bekannte Grenze und lässt die Kosten für die Bereinigung einer derartigen Attacke explodieren. Einrichtungen ließen sich vollständig stilllegen – in wenigen Minuten.

Aus diesem Grund wird weltweit von allen Sicherheitsexperten, die sich Gedanken um die Zukunft machen, an Maßnahmen gearbeitet, um Daten und Informationen weiterhin zu schützen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt [1]: „Um im Sinne eines angemessenen Risikomanagements vorbereitet zu sein, muss bereits heute mit den Vorbereitungen für die ‚Post-Quanten-Zeit‘ begonnen werden.“ Das Schlagwort lautet also: Post-Quantum-Kryptographie. Darunter wird die Forschung verstanden, die Algorithmen sucht, welche einem Angriff durch einen Quanten-Computer standhalten könnten. Die Schwierigkeit besteht dabei in der Spekulation, denn aktuelle Modelle von Quanten-Computern besitzen nicht die Kraft, um jede Verschlüsselung zu brechen, doch es ist davon auszugehen, dass dies in absehbarer Zeit möglich sein wird. Es müssen daher völlig neue Algorithmen erfunden werden.

Was ist Quanten-Computing?

Wer die Gefahr verstehen möchte, die von Quanten-Computern für die IT-Sicherheit ausgeht, muss zunächst einmal wissen, was Quanten-Computing eigentlich ist.

Der klassische Computer bedient sich zur Entschlüsselung von Informationen der Bits. Jedes davon hat einen speziellen Wert: entweder 0 oder 1. Quanten-Computer würden nun mit Qubits [2]] arbeiten, die ursprünglich aus der Quanten-Mechanik stammen. Qubits können nicht nur die Werte 0 oder 1 annehmen, sondern ebenfalls die Superposition der beiden Zahlen, oder Überlagerung. Dieser Begriff stammt aus der Physik und meint eine Überlagerung gleicher physikalischer Größen, die sich nicht behindern. Hier liegt die Stärke des Quanten-Computers: Wird eine Operation an das Quanten-Register des Rechners übertragen, wird sie an jeden Qubit-Wert der Superposition übertragen – sie wird also von mehreren Qubits parallel durchgeführt. Hinzu kommt, dass die Anzahl der mathematischen Zustände im Quanten-Register, welches die Summe n von Qubits beinhaltet, 2n ist. Das bedeutet, dass eine Operation, die auf einem Quanten-Computer durchgeführt wird, einer exponentiellen Anzahl von Operationen, nämlich 2n, auf einem klassischen Computer entspricht. Jedoch gilt es eine Hürde zu nehmen, um von der Quanten-Geschwindigkeit zu profitieren: Das Ergebnis einer Operation, die auf einem Quanten-Computer durchgeführt wurde, ist natürlich ein Qubit-Wert, kein Bit-Wert, also möglicherweise eine Superposition. Um dieses auslesen zu können braucht es daher neue Algorithmen, da bisher bekannte nur mit Bits arbeiten.

Auswirkung auf die bekannte Kryptographie und daraus abgeleitete Produkte

Bereits in den Jahren 1994 und 1996 schafften es zwei Algorithmen, vorgestellt von Peter Shor und Lov Grover, die Quantum-Parallelität zu nutzen. Der Algorithmus von Shor kann verwendet werden, um jedes Verschlüsselungsverfahren mit öffentlichem Schlüssel zu brechen, dessen Sicherheit auf der Stärke der Integer-Faktorisierung oder des Diskreten-Logarithmus-Problems in polynomieller Zeit beruht. Das umfasst die meisten der weitverbreiteten Verschlüsselungsverfahren mit öffentlichem Schlüssel, darunter: RSA, ECDSA, ECDHE.

Grovers Algorithmus dagegen kann die Brute-Force-Angriffszeit auf ihre Quadratwurzel reduzieren. Für die symmetrischen Schlüssel-Algorithmen, wie AES (Advanced Encryption Standard) und TDES (Triple Data Encryption Standard), bedeutet dies: Sobald ein Quanten-Computer verfügbar wird, ist die Stärke eines 256-Bit-Schlüssels identisch zu der eines 128-Bit-Schlüssels. Der Algorithmus von Grover ermöglicht es auch, die Zeit eines sogenannten Kollisionsangriffs (Collision Attack) zu reduzieren, wodurch die Stärke von Hash-Funktionen verringert wird. Die Stärke der SHA256 verringert sich von 128 Bit auf 80 Bit, die Stärke der SHA384 von 192 Bit auf 128 Bit.

Folgen für die IT-Sicherheit

Quanten-Computer würden nicht nur das Knacken der zukünftigen verschlüsselten Kommunikation ermöglichen, sondern auch die nachträgliche Entschlüsselung der gegenwärtig sicher verschlüsselten Daten [3]. Aus diesem Grund müssen Vorbereitung getroffen werden:

  • Krypto-Schemata, die für Authentifizierung, Vertraulichkeit und Schlüsselaustausch verwendet werden, müssen ersetzt werden.
  • Die symmetrische Kryptographie benötigt nicht nur einen vertraulichen Weg, um private Schlüssel auszutauschen, sondern um die Größe des symmetrischen Schlüssels und des Hash-Werts zu erhöhen.

Das National Institute of Standards and Technology (NIST) der Vereinigten Staaten von Amerika leitet seit einiger Zeit ein Post-Quantum-Standardisierungsprogramm [4] (PQS), welches versucht, neue Algorithmen zu definieren, die quantensicher sind. Das heißt, sie können nicht mit bekannten Techniken von Quanten-Computer und deren erwarteter Rechenleistung gebrochen werden. Das Projekt ist in seine letzte Phase eingetreten und soll in den nächsten zwei Jahren abgeschlossen werden.

Umstellung auf sicheres Quanten-Computing

Zur Verwirklichung der Vorstellung eines sicheren Betriebs trotz Quanten-Computern müssen die bestehenden Sicherheitsprotokolle – darunter SSH, VPN/IPSec, SSL/TLS – so verbessert werden, dass sie hybrid arbeiten können. So bliebe die Kompatibilität zu derzeitigen Verschlüsselungen erhalten, während mit der Quanten-Verschlüsselung bereits gearbeitet werden kann.

Diese Änderung wirkt sich auf asymmetrische Kryptografie und die Schlüsselgenerierung aus. Sie erfordert außerdem eine vergrößerte Schlüsselgröße in symmetrischen Algorithmen. Alles zusammen wirkt sich stark auf die nötige Rechenleistung und Internet-Bandbreite aus. Es lohnt sich daher, die Umstellung auf die Quanten-Sicherheit mit Hardware-Upgrades, wie Quanten-Gateways, abzustimmen und zusammen durchzuführen. Auf diese Weise können sofort nach der Freigabe neue Algorithmen, die erforscht wurde, in das System integriert werden, damit Unternehmen umgehend bereit sind für die neue IT-Welt des Quanten-Computing.

 

Quellen und Referenzen:

[1] https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/PostQuantenKryptografie/postquantenkryptografie_node.html

[2] https://www.spektrum.de/lexikon/physik/qubit/11941

[3] https://www.bsi.bund.de/DE/Publikationen/Studien/Quantencomputer/quantencomputer_node.html

[4] https://csrc.nist.gov/Projects/post-quantum-cryptography/Post-Quantum-Cryptography-Standardization

 

 

Über den Autor / die Autorin:


Christine Schönig ist seit 2019 Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH. Sie begann ihre Karriere bei Check Point bereits 2009 als Technical Managerin. Zuvor war sie Führungskraft bei Nokia.