Quantenkryptografie Post-Quanten-Verschlüsselung für die Zukunft der Datensicherheit

Autor / Redakteur: Anna Kobylinska und Filipe Martins / Peter Schmitz

Das Aufkommen von Quanten-Computing droht, konventionelle Kryptografieverfahren zum alten Eisen zu legen. Sicherheitsexperten warnen: Zum Anbruch der neuen Ära ist quantenresistente Verschlüsselung zur Gewährleistung der Datensicherheit unumgänglich. Experten zufolge rückt der Tag nahe.

Firma zum Thema

Der rasante Fortschritt beim Quantencomputing ist ein Risiko für Bestandsdaten und Kommunikations­verbindungen! Die Absicherung dieser Systeme braucht daher ein grundlegendes Redesign.
Der rasante Fortschritt beim Quantencomputing ist ein Risiko für Bestandsdaten und Kommunikations­verbindungen! Die Absicherung dieser Systeme braucht daher ein grundlegendes Redesign.
(Bild: gemeinfrei / Pixabay )

Quanten-Computing könnte bald klassische Kryptografie zum alten Eisen legen, glauben Sicherheitsexperten. Unternehmen, die ihre „Daten über eine Zeit von mehr als 10 Jahren“ schützen wollten, müssten sich dringend „nach alternativen Verschlüsselungsmethoden umschauen“, warnte bereits vor zwei Jahren IBMs CEO Arvind Krishna, damals noch als Leiter von IBM Research.

Die meisten gängigen IT-Systeme und -Dienste von digitalen Identitäten über Blockchain-Protokolle bis hin zu alltäglichen Kommunikationsverbindungen verwenden eine Kombination aus symmetrischen Algorithmen wie AES und SHA-2 und asymmetrischen wie RSA (Rivest-Shamir-Adleman) in Kombination mit Berechnungen an elliptischen Kurven.

Ein Durchbruch beim Quantencomputing würde in erster Linie die asymmetrischen Elemente dieser Systeme erheblichen Risiken aussetzen.

Asymmetrische Kryptografie schützt unter anderem das gemeinsam genutzte Geheimnis, welches die beiden Kommunikationsteilnehmer miteinander austauschen, um davon symmetrische Sitzungsschlüssel abzuleiten, welche die übrigen Daten verschlüsseln. Wenn das eingesetzte asymmetrische Verfahren ihren Zweck nicht mehr adäquat erfüllen kann, ist auch der übrige Austausch kompromittiert.

Auch die Sicherheit einer Blockchain steht und fällt mit der Widerstandsfähigkeit klassischer kryptografischer Funktionen. Solange diese mathematischen Problemstellungen massive Rechenressourcen erforderlich machten und diese sich nur durch massive Parallelisierbarkeit der Aufgabenstellung gewährleisten ließen, war ja alles in Ordnung. Die robustesten klassischen Kryptografieverfahren lassen sich nämlich nur schlecht parallelisieren. Mit dem Aufkommen von Quanten-Computing ändern sich die Spielregeln und so wiegt sich die Blockchain-Gemeinde in einem potenziell rein illusorischen Irrglauben an die Manipulationssicherheit des verteilten Protokolls. Quantencomputing mischt die Karten neu auf.

Selbst die Blockchiffren AES-128 und RSA-2048 können den Angriffen eines Quanten-Computers nicht standhalten. Erst AES mit einem 256-Bit-Schlüssel könnte einer Grover-Attacke widerstehen.

Sicherheitsforscher warnen vor der Obsoleszenz althergebrachter Verschlüsselung und fordern eine großflächige Umstellung auf quantenresistente Kryptografie. Hierbei ist von der sogenannten Post-Quantum-Kryptografie die Rede. (Der Begriff „Post-Quantum-Kryptografie“ klingt anscheinend besser.)

Die Obsoleszenz der „Klassiker“

Die am weitesten verbreiteten PKC-Systeme (Public Key Cryptography) wie RSA, Diffie-Hellman und ECDSA, beruhen auf der Annahme der Unlösbarkeit von mathematischen Aufgaben wie der Ganzzahlfaktorisierung oder dem diskreten Logarithmusproblem. Diese Rätsel sind für klassische Computer nur schwer zu bewältigen, für Quantencomputer sind sie dagegen ein Leichtes.

Denn Quanten-Computer machen sich ganz andere Berechnungsverfahren zu Nutze. Mit dem Polynomzeit-Algorithmus Shor zur Faktorisierung von Ganzzahlen sollen Attacken gegen asymmetrische Algorithmen klassischer Kryptografie in einem Bruchteil der Zeit gelingen; mit dem Suchalgorithmus Grover sind symmetrische Verschlüsselungsverfahren in Gefahr.

Die Sicherheit einer Chiffre im klassischen Schlüsselaustauschverfahren ergibt sich aus dem Schwierigkeitsgrad eines mathematischen Rätsels, dessen Lösung eine vorab bekannte Rechenleistung voraussetzt. Die mathematische Aufgabe schafft so einen Zeitbuffer, in dem der erhoffte Wert der zu erbeutenden Daten gegen Null geht. Durch die Verfügbarkeit einer exponentiell höheren Rechenleistung angenommen können Angreifer den vermeintlichen Schutz aushebeln, indem sie dieselbe Aufgabe einfach schneller lösen als vorgesehen. Der Einsatz eines Quantencomputers lässt dieses Szenario ganz schnell Realität werden.

Für klassische Computer-Systeme gibt es nur eine Handvoll von mathematischen Problemen, die sich für kryptografische Aufgaben eignen. Dazu zählt etwa die Primfaktorzerlegung, die Berechnung diskreter Logarithmen oder Operationen auf elliptischen Kurven. Quantencomputer mit Quanten-Algorithmen wie Grover und Shor könnten diese Problemstellungen in einem Bruchteil der Zeit eines klassischen massiv parallelen Systems bewältigen.

Ein Quantencomputer, mit dem sich Shors Algorithmus gegen aktuell eingesetzte Schlüssellängen und Public-Key-Verfahren ausführen ließe, sei bisher nicht verfügbar, urteilt das BSI, es seien jedoch deutliche Fortschritte dahingehend zu erkennen.

Auch gilt die Quantenüberlegenheit bereits seit dem vergangenen Jahr als nachgewiesen.

Kaum sitzt Arvind Krishna „am Lenkrad“ von IBM, meldet Big Blue auch bereits neue Quantum-Rekorde wie den Sprung zu Volume 64 (QV64) am 20. August 2020. QV64 ist der bisher höchste Wert des Benchmarks für die Leistung eines Quanten-Computers. Bisher haben ihn nur Honeywell und IBM mit seinem 27-Qubit starken Falcon-Prozessor erreichen können.

IBMs Ingenieure konnten bloß durch einige Verbesserungen das Quantum-Volume ihrer Chips verdoppeln und damit zu dem aktuellen Technologieführer Honeywell aufzuschließen. IBMs Quantum-Computer sei bei einem Kunden aktiv im Einsatz. 28 weitere Systeme könnten interessierte Benutzer in der IBM-Cloud anmieten. Dort können Unternehmen mit rein grafischen Werkzeugen eigene Schaltkreise zur Implementierung der benötigten Algorithmen bauen und anschließend auf echte Quantencomputer loslassen. Einfach so.

Das Aufkommen von Quanten-Computing „für die Massen“ bedroht ganz nebenbei konventionelle Verschlüsselungsmethoden. Selbst einige Blockchains offenbaren kryptografische Verwundbarkeiten. Blockchain-Technik als ein kosteneffizienter, Audit-freundlicher, automatisierbarer Motor fälschungsresistenter Anwendungen ist nur so vertrauenswürdig, wie robust der kryptografische Unterbau der Protokolle. Diese sind bei Weitem nicht immun gegen den Missbrauch durch quantenkryptografische Manipulationen.

Eine neue Generation von Verschlüsselungsmethoden sei unvermeidlich, um eine angemessene Datensicherheit wiederherzustellen. Sonst sind ja auch rechtliche Rahmenwerke wie die EU-DSGVO nur ein Papiertiger.

Quantenresistente Algorithmen

Zur Umstellung auf Post-Quanten-Kryptografie hat das BSI, die Cyber-Sicherheitsbehörde des Bundes, bereits erste Handlungsempfehlungen erarbeitet und die vierte Edition der Erkenntnisse im August 2020 unter dem Titel: „Migration zu Post-Quanten-Kryptografie, Handlungsempfehlungen des BSI (Stand: August 2020)“ veröffentlicht.

Um den Entwicklungsstand der Quantencomputer im Hinblick auf die Wirksamkeit gängiger Verschlüsselungsverfahren zu untersuchen hatte das BSI hierzu unter anderem Forscher der Universität des Saarlandes, der Florida Atlantic University und der Technischen Universität Darmstadt beauftragt.

Für die Neu- und Weiterentwicklung von Anwendungen empfiehlt der BSI Kryptoagilität – also die Fähigkeit zum Austausch des eingesetzten Kryptografieverfahrens beim Bekanntwerden einer Verwundbarkeit – als ein grundlegendes Designkriterium. Bei symmetrischen Verfahren zur Langzeitsicherung von Daten empfiehlt der BSI die Verwendung von einer Schlüssellänge von mindestens 256 Bit; kürzere Schlüssel böten potenziell nicht mehr die nötige Widerstandsfähigkeit gegen den Quanten-Suchalgorithmus Grover.

Als kurzfristige Schutzmaßnahme gegen Angriffe mit Quantencomputern sei für die Schlüsselableitung zusätzlich ein vorverteilter symmetrischer Langzeitschlüssel zu verwenden. Ebenso hält der BSI einen asymmetrischen Schlüsselaustausch mit Hilfe eines vorverteilten Geheimnisses als empfehlenswert, wenn auch nicht immer praktikabel. Für Kryptografie auf hierzu „geeigneten“ elliptischen Kurven bringe die Verwendung von geheim gehaltenen Kurvenparametern nach wie vor einen gewissen Schutz gegen Angriffe mit Quantencomputern, wobei bereits die Kenntnis von drei Punkten auf der Kurve den Schutz nivellieren würde; es seien daher zusätzliche Maßnahmen wie die Punktkompression vonnöten.

Da Post-Quanten-Kryptografieverfahren noch nicht hinreichend erforscht seien, empfiehlt der BSI einen hybriden Ansatz – also eine Kombination aus quantenresistenten Algorithmen mit konventionellen Verfahren. Der Handlungsbedarf bei Schlüsseleinigungsverfahren sei wesentlich höher als bei Signaturverfahren.

Bei einem hybriden Schlüsselaustausch müssten beispielsweise die beiden ausgehandelten Geheimnisse mittels einer geeigneten Schlüsselableitungsfunktion zu einem Sitzungsschlüssel kombiniert werden. Im Hochsicherheitsbereich ist der Einsatz einer eben solcher hybriden Lösung nach Vorgaben des BSI verpflichtend.

Hybride Kryptografielösungen setzen im Übrigen Anpassungen gängiger Protokolle wie TLS und IKEv2 voraus.

Als quantencomputerresistente Schlüsseleinigungsverfahren hatte das BSI aus Zeitgründen ohne Rücksprache mit dem NIST das gitterbasierte Verfahren FrodoKEM und das codebasierte Verfahren Classic McEliece empfohlen. Mitte Juli 2020 gab dann der NIST seine bevorzugten Kandidaten für die dritte Runde des Standardisierungsprozesses bekannt. Während es Classic McEliece als eines der insgesamt vier gitterbasierten Schlüsseleinigungsverfahren (neben CRYSTALS-Kyber, NTRU und SABER) in die engere Wahl geschafft hat, rutschte FrodoKEM beim NIST auf Grund unzureichender Performance auf die Liste alternativer Verfahren herab.

Der BSI hält an seiner Entscheidung fest und begründet diese mit fehlendem Vertrauen in die fragwürdige Sicherheit „strukturierter“ Gitter.

Beide Institute wollen ihre Empfehlungen noch überarbeiten, sobald weitere quantenresistente Verfahren einen angemessenen Reifegrad erreicht haben sollten.

Fazit

Der rasante Fortschritt beim Quanten-Computing dürfte Kommunikationsverbindungen wie auch Bestandsdaten viel schneller bedrohen als es den Betroffenen lieb sein mag. Die Absicherung von Cyber-Systemen und Kommunikationsverbindungen braucht daher ein grundlegendes Redesign. Doch quantenresistente Algorithmen – die sogenannte Post-Quantum-Kryptografie – stecken noch in den Kinderschuhen. Es fehlen Standards und Implementierungen. Im Lichte der DSGVO müssen sich Unternehmen mit der Problematik quantenresistenter Verschlüsselung laufend auseinandersetzen und die Entwicklungen in diesem Bereich mitverfolgen. Der Tag des bösen Erwachens rückt nahe.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:47158934)