Leistungsfähige Computer: Ein Quäntchen Hoffnung

Auswirkungen von Quantencomputern auf Kryptographie

Ein Gastbeitrag von Tim Schneider, Kryptologie-Experte bei der Telekom Security

[datensicherheit.de, 30.04.2018] In naher Zukunft rechnen Wissenschaftler mit leistungsfähigen Quantencomputern. Auf der einen Seite ein Segen – mit Blick auf medizinische Anwendungen – auf der anderen Seite wird es möglich sein grundlegende Verschlüsselungsverfahren, beispielsweise für das Internetbanking, effizient zu brechen. Dadurch ist sensibler Datenverkehr bereits heute gefährdet. Hacker könnten sensible Informationen – jetzt – verschlüsselt abfangen und speichern, um sie dann in zehn Jahren – oder früher – nachträglich durch einen Quantencomputer knacken zu lassen.

Dramatische Beschleunigung von Computern

Im Silicon Valley, wo sich unzählige Unternehmen aus der IT- und Hightech-Branche tummeln, ist man der „restlichen Welt“ nicht selten einen Schritt voraus. Südlich von San Francisco tüftelt etwa Suchmaschinen-Gigant Google an dem Megarechner. Dieser soll in wenigen Augenblicken Probleme lösen, wozu herkömmliche Computer heute noch Milliarden Jahre Rechenzeit benötigen. Medizinische Forschungen ließen sich forcieren, chemische Reaktionen optimieren, Suchalgorithmen beschleunigen und große Datenbestände schnell durchforsten. Google hat bereits einen Quantenchip mit 72 Qubits vorgestellt [1], Intel einen Chip mit 49 Qubits [2]. Und auch der Technologieriese IBM hat verlauten lassen, „in den nächsten Jahren“ einen universellen Quantenrechner als Cloud-Dienst auf den Markt zu bringen. [3]

Heutige Verschlüsslung wird unbrauchbar

An anderer Stelle werden diese Vorhaben durchaus mit Sorge betrachtet. Denn die heutige Kryptographie würde durch den Quantencomputer „auf den Kopf gestellt“ werden: Viele etablierte und weitverbreitete Algorithmen wie RSA, ECC, DH und ECDH lassen sich mit einem leistungsfähigen Quantencomputer im Handumdrehen knacken. Klassische Supercomputer sind damit überfordert. Die Übertragung von Passwörtern und anderen sensiblen Daten im Internet über das Protokoll TLS, besser bekannt unter der Vorgängerbezeichnung SSL, würde dann zum Risiko. Das gleiche gilt für IPsec, SSH, S/MIME oder OpenVPN – all diese Protokolle verwenden die genannten asymmetrischen Verschlüsselungsverfahren und könnten ohne große Anstrengung gebrochen werden.

Und im Hintergrund wird daran offenbar schon kräftig gearbeitet: Gerade die NSA baut anscheinend an einem Megacomputer, der die Quantenmechanik nutzt und Spähangriffe selbst auf Regierungen oder Behörden ermöglichen würde. Das berichtete die „Washington Post“ schon 2014 unter Berufung auf den ehemaligen Angestellten der NSA, Edward Snowden. Eine Warnung der NSA klingt in diesem Zusammenhang schon fast paradox: Vor einigen Jahren riet der Nachrichtendienst noch, möglichst bald auf neue Verschlüsselungsverfahren der Post-Quantum-Kryptographie umzusatteln.

Post-Quantum-Kryptographie: Suche nach dem Gegenmittel

Andererseits haben die USA ein Interesse daran, die vertraulichen Daten ihrer eigenen Behörden zu schützen; denn, was die NSA kann, können andere Geheimdienste auch. Den Ratschlag der NSA sollten Unternehmen daher beherzigen und als Gegenmittel Post-Quantum-Algorithmen einsetzen. Das Problem: Die Standardisierung zieht sich hin. Um die tägliche Sicherheit zu gewährleisten, ist das kaum ein Problem. Doch wenn es darum geht, Informationen mit einer Geheimhaltungsdauer oder Produkte mit einer Lebensdauer von mehr als 10 Jahren zu schützen, wird die Zeit knapp – je nachdem, wann der erste leistungsfähige und verwendbare Quantencomputer tatsächlich auftaucht.

Bild: Telelkom

Tim Schneider, Telelkom

Aber auch bei der Anwendung in der täglichen Sicherheit gilt es sich Gedanken zu machen. Hacker könnten sensible Informationen jetzt verschlüsselt abfangen und speichern, um sie dann in zehn Jahren – oder früher – nachträglich durch einen Quantencomputer knacken zu lassen. Könnte unsere heutige Kommunikation in 10 Jahren noch jemanden interessieren? In der Regel wohl eher nicht, aber ausgeschlossen ist das nicht. Alles nur ein Hirngespinst? Wohl kaum. So ist zum Beispiel weitläufig bekannt, dass der US-Geheimdienst NSA verschlüsselte Daten so lange aufbewahren darf, bis er sie knacken kann. Entsprechend große Rechenzentren sind mittlerweile gut dokumentiert.

EU-Forschungsprojekt zu Post-Quantum-Kryptographie

Die Fortschritte in der Wissenschaft machen allerdings Hoffnung. Die EU unterstützt die Forschung auf dem Gebiet der Post-Quantum-Kryptographie, das 2015 gestartete Projekt PQCRYPTO (Post-Quantum Cryptography) fördert die EU-Kommission mit 3,9 Millionen Euro. Beteiligt sind Universitäten und Unternehmen aus elf Ländern, darunter die Ruhr-Universität Bochum und die TU Darmstadt. Die Forscher prüfen bekannte Post-Quantum-Algorithmen auf ihre Sicherheit und Anwendbarkeit, und optimieren sie zum Beispiel für das TLS-Protokoll.

Mit finalen Ergebnissen wird Ende 2018 gerechnet. Das Projekt hat aber auch schon zu Beginn [4] Empfehlungen veröffentlicht, die dem Stand der Forschung 2015 entsprechen. Die Forscher versuchen der technischen Realisierung von Quantencomputern einen Schritt voraus zu sein. Dies ist vergleichbar mit der Entwicklung von klassischen Computern zu Beginn des vergangenen Jahrhunderts. Bereits damals wurden theoretisch hocheffiziente Algorithmen entwickelt, bevor man diese Computer überhaupt praktisch realisieren konnte.

Wie Unternehmen sich auf das Quantenzeitalter vorbereiten

Damit der Übergang ins Quantenzeitalter nicht zum Security Alptraum wird, sollten sich Unternehmen schon jetzt schleunigst darauf vorbereiten, appelliert Enrico Thomae, Post-Quantum-Experte der operational services GmbH, einem Joint Venture zwischen Fraport und T-Systems. „Unternehmen sollten kritische Assets identifizieren und die Anforderung der Langzeitsicherheit in ihre Risikoanalyse mitaufnehmen, um Informationen und Produkte mit einer Geheimhaltungs- bzw. Lebensdauer von fünf bis 15 Jahren zu schützen.“ Thomae empfiehlt, für symmetrische Algorithmen wie etwa AES eine Schlüssellänge von 256 Bit zu wählen.

Unternehmen sind gut beraten, sich mit dem Thema Krypto-Agilität auseinanderzusetzen. Krypto-Agilität bedeutet, dass Algorithmen so eingesetzt werden, dass sie bei Bedarf schnell ausgetauscht werden können. Zusammen mit geeigneten Prozessen für die Um-Schlüsselung kann so auf neue Angriffsverfahren schnell reagiert oder im Falle der noch andauernden Standardisierung von Post-Quanten-Algorithmen der Weg für einen zukünftigen Austausch geebnet werden.

Eine abwartende Haltung könnte für Unternehmen auch an anderer Stelle teuer werden. „Im Bereich Internet of Things oder Vernetzte Fahrzeuge spielt Post-Quantum-Kryptographie heute schon eine wichtige Rolle“, sagt Thomae. Wenn Smart Home-Geräte oder Autos heute mit Standardalgorithmen geplant, die nächsten fünf Jahre produziert und dann weitere 15 Jahre genutzt werden, dann haben wir heute schon ein Problem, wenn in den nächsten 20 Jahren entsprechend große Quantencomputer auf den Markt kommen. „Remote Updates auf neue Algorithmen sind heute oft noch nicht Post-Quantum sicher realisiert“, erklärt Thomae. Ein Rückruf dieser Produkte bleibt als letzte Möglichkeit nach dem Quantum Break und müsse über die nächsten 20 Jahre daher eigentlich schon fest eingeplant werden – mit einem Schaden in Millionenhöhe. Die Umrüstung der Software in großen Unternehmen und Organisationen dauert Jahre, denn der Prozess von der Entscheidung bis zur Umsetzung kann äußerst langwierig sein. KRITIS-Unternehmen sind davon in hohem Maße betroffen.

Zeitlicher Puffer durch größere Schlüssellängen

Größere Schlüssellängen für asymmetrische Algorithmen verschaffen dem Kryptographie-Experten zufolge einen zeitlichen Puffer. Denkbar ist laut einigen Spezialisten eine Renaissance des Verschlüsselungsverfahrens RSA mit sehr großen Schlüssellängen. Denn um diese zu knacken, müssten wiederum entsprechend größere Quantencomputer entwickelt werden. Unternehmen könnten künftig aber auch hybride Verfahren einsetzen, also eine aktuelle Verschlüsselungsmethode mit einem neuen Post-Quanten-Algorithmus kombinieren. Unternehmen sollten sich bald für die für sie optimale Strategie entscheiden, denn sicher ist nur, dass Nichtstun die denkbar schlechteste Strategie ist. Die Zeit drängt, denn die Forscher sind sich weitgehend einig, dass es in absehbarer Zeit Quantencomputer geben wird. Und im Silicon Valley mahlen die Mühlen bekanntlich etwas schneller.

[1] https://research.googleblog.com/2018/03/a-preview-of-bristlecone-googles-new.html
[2] https://newsroom.intel.com/news/intel-advances-quantum-neuromorphic-computing-research/
[3] https://www.heise.de/newsticker/meldung/IBM-kuendigt-Quantencomputer-mit-20-Qubits-als-Web-Dienst-an-3888211.html
[4] https://pqcrypto.eu.org/docs/initial-recommendations.pdf

Weitere Informationen zum Thema:

datensicherheit.de, 21.02.2014
Quanten-Informationsverarbeitung: Wichtiger Schritt bei der Grundlagenforschung gelungen

datensicherheit.de, 06.10.2012
Abhörsicherer Datenaustausch per Quantenkommunikation angestrebt