Es ist bereits gelungen, mit Quantenalgorithmen gängige und als sicher geltende Verschlüsselungen wie RSA zu decodieren. RSA und ähnliche Verfahren bilden die Sicherheitsgrundlage für viele Internetprotokolle, darunter HTTPS (Hypertext Transfer Protocol Secure) und TLS (Transport Layer Security). Gerät es in alltägliche Gefahr, kommt dringender Handlungsbedarf auf Security-Spezialist*innen zu.

Quantenalgorithmen gehen Probleme anders an

Am Beispiel von RSA lässt sich zeigen, wo das Problem liegt. Solche Verschlüsselungsverfahren nutzen schwer lösbare mathematische Aufgabenstellungen – im Fall von RSA ist es die Primzahlfaktorisierung. So ist es zwar einfach, aus zwei Primzahlen ein Produkt zu bilden. Die Funktion umzukehren, also eine einigermaßen große Zahl in ihre Primzahlfaktoren zu zerlegen, erfordert hingegen einen immensen Rechenaufwand. Weil selbst leistungsfähige Computer für die Berechnung mehrere Jahre benötigen, gilt RSA als sicherer Verschlüsselungsalgorithmus.

Mit dem nach ihm benannten Algorithmus zeigte der Mathematiker Peter Shor bereits Mitte der 1990er Jahre, dass sich das Faktorisierungsproblem auch anders lösen lässt. Statt die zahlreichen Möglichkeiten durchzuprobieren, sucht der Shor-Algorithmus nach sich periodisch wiederholenden Sequenzen in der Menge an möglichen Lösungen – eine Rechnung, die nur quantenmechanisch zu lösen ist. Nun aber steht die Hardware dafür im Prinzip zur Verfügung und die Berechnung dauert nicht einmal Sekunden. Verfahren wie RSA wären damit als unsicher einzustufen.

Post-Quanten-Kryptografie auf dem Weg zum Standard

Verschlüsselungsverfahren, die nicht von Quantencomputern entschlüsselt werden können, werden wohl in Zukunft eine wichtige Rolle spielen. Seit Jahren arbeiten Expert*innen weltweit daran. So schrieb die amerikanische Bundesbehörde für Standardisierung NIST (National Institute of Standards and Technology) bereits 2016 einen Wettbewerb aus, um die erfolgversprechendsten Post-Quanten-Verschlüsselungsverfahren zu finden und zu fördern. Gut anderthalb Jahre lagen 69 Vorschläge auf dem Tisch, die anschließend durch Experten beurteilt und – soweit möglich – getestet wurden. Im Juni letzten Jahres dann die Verkündung: Vier Verschlüsselungsalgorithmen hält die Behörde für geeignet, um als Basis für eine Standardisierung zu fungieren. Vier weitere Verfahren kommen ebenfalls in die engere Auswahl.

Wie funktioniert Post-Quanten-Kryptografie? Zu den vom NIST ausgewählten Verfahren gehören CRYSTALS Kyber und CRYSTALS Dilithium, die beide „lattice-based“, also auf der Basis von Gittern, arbeiten (CRYSTAL = Cryptographic Suite for Algebraic Lattices). Klaus Schmeh, Kryptografie-Experte bei der Atos-Tochter cryptovision und Autor mehrerer Bücher zum Thema, gibt hierzu in seinem Blog auf Scienceblogs.de eine anschauliche Erklärung: Aus der Sicht einer Schnecke, die immer den kürzesten Weg zu einem Salatkopf inmitten eines Feldes voller Salatköpfe sucht, erklärt er das „Closest-Vector-Problem“.

Grob gesagt, liegen den CRYSTAL-Algorithmen Gitterstrukturen zugrunde. Während es relativ einfach ist, einen Punkt (also eine Information) in der Nähe eines Schnittpunktes zu platzieren, ist es äußerst kompliziert diese Funktion umzukehren, also den Gitter-Schnittpunkt ausgehend von dem platzierten Punkt zu berechnen. Erst recht, wenn es sich um ein vieldimensionales – und wir reden hier von 250 und mehr Dimensionen – Gitter handelt. Die gitterbasierenden Verfahren gelten derzeit unter Experten als die vielversprechendste Post-Quanten-Kryptografie-Variante. Aber auch Verfahren, die andere Kryptografie-Systeme – wie zum Beispiel Code-basierte, multivariate oder Hash-basierte Kryptografie – nutzen, kamen in die Endrunde des NIST-Wettbewerbs.

Exkurs: Quantenkryptografie ist nicht gleich Post-Quanten-Kryptografie

Hinter der Quantenkryptografie steckt ein anderes Konzept: Hierbei werden statt mathematischer Berechnungen quantenmechanische Effekte genutzt, um Daten zu verschlüsseln. So können beispielsweise Quantenschlüssel ausgetauscht werden, die aus einem Strom polarisierter Photonen bestehen. Versucht während der Verbindung ein Fremder den Wert und damit den Schlüssel zu messen, verändern sich die Eigenschaften der Photonen. Sender und Empfänger bemerken das und nutzen den abgehörten Schlüssel dann schlicht nicht.

Die Verfahren der Quantenkryptografie gelten als sehr sicher und kommen auch bereits in der Praxis zum Einsatz. Experte Klaus Schmeh hält diese Art des Schlüsselaustauschs für keine bahnbrechende Idee: „Die Quantenkrypto-Verfahren sind teuer und die überbrückbare Entfernung eher gering“, erläutert er. „Um Schlüssel auszutauschen, gibt es günstigere, bewährte Lösungen.“ Außer dass sowohl Quantencomputer als auch die Quantenkryptografie die Effekte der Quantenphysik nutzen, haben beide im Prinzip nichts miteinander zu tun. Wer sich mit dem Thema Post-Quanten-Kryptografie beschäftigt, sollte die verschiedenen Ansätze klar voneinander trennen.

Warum sich Unternehmen mit Post-Quanten-Kryptografie beschäftigen sollten

Dass Verschlüsselungsverfahren und Security-Standards veralten, ist an sich nichts Ungewöhnliches. Hier aber findet ein Paradigmenwechsel statt. Die Post-Quanten-Kryptografie nutzt ganz andere und zugleich mathematisch hochkomplexe Ansätze. Experten wie Klaus Schmeh weisen schon jetzt daraufhin, das Unternehmen und Lösungsanbieter bei der Umsetzung in der Praxis auf eine „Krypto-Agilität“ achten sollten. Das bedeutet, dass die Kryptografie-Verfahren kein fester Bestandteil bestimmter Lösungen sein sollten, sondern unkompliziert und lösungsunabhängig ergänzt sowie ausgetauscht werden können. Stand heute eignet sich Post-Quanten-Kryptografie allenfalls für den Einsatz parallel zu bewährten Methoden.

Noch mag das Problem nicht akut sein, spielen doch Quantencomputer noch keine entscheidende Rolle in der Praxis. Aber in den letzten Jahren hat sich die Technologie, auch dank teils umfangreicher internationaler Förder- und Forschungsprogramme, weiterentwickelt. Sind sie erst einmal im Einsatz, wenn auch nur in speziellen Bereichen, wird das gravierende Auswirkungen auf die bisher etablierten Security-Strategien haben. Denn, wie beschrieben, beruht ein großer Teil davon auf Verschlüsselungsverfahren, die dann nicht mehr als sicher eingestuft werden können. Sich schon jetzt Gedanken über eine Post-Quanten-Sicherheitsstrategie zu machen, ist daher sinnvoll. Eine Umstellung auf eine neue Technologie dauert Jahre und muss gut vorbereitet werden.