Quantencomputer werden in absehbarer Zeit asymmetrische Verschlüsselungsverfahren obsolet machen. Abhilfe verspricht die Post-Quantenkryptografie. Zwar dürften spezielle Lösungen erst mittelfristig auf breiter Ebene erhältlich sein, man sollte sich aber schon heute mit dem Thema auseinandersetzen.

In ungefähr fünf bis zehn Jahren – manche Marktforscher sprechen von fünfzehn Jahren – werden Quantenrechner auf dem Markt verfügbar sein. Sie sind in der Lage, etwa 100- bis 1.000-mal schneller zu rechnen als ein konventioneller Supercomputer. Dies eröffnet völlig neue Möglichkeiten, insbesondere wenn es darum geht, eine große Zahl von Kombinationsmöglichkeiten oder Daten zu verarbeiten. Allerdings könnten sich auch Cyberkriminelle und Datenspione die Rechen-Power zunutze machen. Denn mithilfe von Quantencomputing lassen sich selbst komplexe Verschlüsselungsverfahren knacken.

Gefährdet sind in erster Linie asymmetrische Kryptosysteme (Public-Key-Systeme), darunter der weit verbreitete RSA-Algorithmus. Die asymmetrische Verschlüsselung nutzt zwei Schlüsselteile: einen öffentlichen Schlüssel (Public Key), über den jeder Kommunikationspartner verfügt und mit dem der Sender seine Nachricht vor der Übermittlung an den Empfänger verschlüsselt, sowie einen geheimen Schlüssel im Besitz des Empfängers, um die Nachricht zu entschlüsseln. Sobald die Nachricht verschlüsselt wurde, kann sie selbst der Sender nicht mehr entschlüsseln. Nur der Empfänger ist mithilfe seines geheimen Schlüssels zu einer Dechiffrierung in der Lage.

Der RSA-Algorithmus nutzt als Basis das Produkt großer Primzahlen. Ein einfaches Beispiel ist: 37 × 53 = 1.961. Solche Zahlen zu multiplizieren ist auch für konventionelle Rechner einfach. Es erfordert jedoch eine deutlich höhere Rechenleistung, umgekehrt aus dem Produkt, also 1.961, die zugrunde liegenden Primfaktoren 37 und 53 zu ermitteln. Wenn wie heute üblich RSA-Schlüssel mit einer Länge von 2.048 Bit oder mehr zum Einsatz kommen, übersteigt die zur Faktorisierung erforderliche Rechenleistung bei Weitem die verfügbaren Kapazitäten. Das gilt selbst für Hochleistungscomputer. Daher galten asymmetrische Verfahren wie RSA, Diffie-Hellman und ECC (Elliptic Curve Cryptography) bisher als sicher. Diese Situation ändert sich durch Quantencomputer: Diese sind in der Lage, die Primfaktor-Zerlegung in erheblich kürzerer Zeit durchzuführen – und damit die Verschlüsselung zu kompromittieren.

Im Gegensatz dazu verwenden bei symmetrischen Verfahren wie AES (Advanced Encryption Standard) beide Kommunikationspartner denselben geheimen Schlüssel zum Ver- und Entschlüsseln von Nachrichten. Das setzt jedoch voraus, dass dieser Schlüssel zuvor über sichere Verbindungen an beide Nutzer übermittelt wurde. Um diesen Prozess zu vereinfachen, kommen teilweise hybride Verschlüsselungstechniken zum Einsatz: Der geheime Schlüssel einer symmetrischen Verschlüsselung wird beispielsweise mithilfe von asymmetrischen Kryptoverfahren übertragen. Die Stärke asymmetrischer Verfahren bei der Schlüsselübertragung wird somit im Zeitalter der Quantenrechner zum Schwachpunkt hybrider Verfahren.

Nach Einschätzung von Fachleuten wie Tanja Lange von der Technischen Universität Eindhoven und Daniel J. Bernstein von der University of Illinois in Chicago sind symmetrische Verschlüsselungsverfahren wie AES vor Angriffen mit Quantensystemen sicher. Allerdings hat der Informatiker Lov Grover einen Algorithmus für Quantenrechner entwickelt, der die Sicherheit einer symmetrischen Verschlüsselung einschränkt. Teilweise halbiert sich das Sicherheitsniveau solcher Techniken, etwa bei AES-128 von 128 auf 64, bei SHA-256 von 256 auf 128.

Der weltweite Umsatz mit Quantenkryptografielösungen soll laut Technavio im Jahr 2021 bei fast 1,2 Milliarden Dollar liegen. Bild: Technavio

Warum also nicht durchgängig eine symmetrische Verschlüsselung einsetzen, wenn diese auch Angriffen mit Quantenrechnern widerstehen kann? Ein Grund ist das aufwändige Schlüssel-Management: Der damit verbundene Aufwand ist vor allem in dynamischen Branchen mit vielen Anbietern, Kunden und Kommunikationsvorgängen nicht praktikabel.

Man denke beispielsweise an das Internet der Dinge. Selbst in einem Durchschnittshaushalt werden in absehbarer Zeit Hunderte von Systemen sensible Daten übermitteln und austauschen: elektronische Türschließanlagen, Smartphones, Sicherheitskameras und Sensoren der Haustechnik, Smart Watches, Smart Meter und intelligente Unterhaltungselektronik-Systeme. Austausch und Verwaltung dieser Schlüssel würden einen immensen Aufwand mit sich bringen. Hinzu kommt, dass alle Systeme über die Ressourcen für die Verarbeitung der Schlüssel und die Verschlüsselung selbst verfügen müssen, etwa Rechenleistung und Arbeitsspeicher.

Daher hat sich die symmetrische Verschlüsselung vor allem in Bereichen etabliert, die durch relativ wenige Marktteilnehmer und eine vergleichsweise niedrige Dynamik ihrer Infrastruktur geprägt sind.

Eine potenzielle Schwachstelle bei symmetrischen Verschlüsselungsverfahren ist der Austausch der Schlüssel zwischen den Kommunikationspartnern. Die Quantentechnik kann in diesem Punkt Abhilfe schaffen: mittels Quantum Key Distribution (QKD). Um einen Schlüssel auszutauschen, ist kein Quantenrechner erforderlich. Stattdessen kommen spezielle Sender und Empfänger zum Einsatz, die beim BB84-Protokoll über Lichtwellenleiter einzelne Photonen übermitteln. Andere Verfahren nutzen „verschränkte Zustände“ von Photonen.

Der Vorteil von QKD ist, dass dieses Verfahren das unbemerkte Abhören der Schlüsselübermittelung unmöglich macht. Denn alleine dadurch, dass sich ein Angreifer in einen Kommunikationsvorgang einschaltet, ändern sich die übermittelten Informationen. Bei QKD lässt sich also zweifelsfrei feststellen, ob eine Verbindung abgehört wird. Die Quantentechnik bietet somit ein deutlich höheres Sicherheitsniveau als andere Verfahren für den Austausch kryptografischer Schlüssel.

Laufende Entwicklung

Auch Hersteller von Verschlüsselungssystemen arbeiten bereits an Lösungen, die Angriffen mit Quantencomputern standhalten. Utimaco beispielsweise hat in Zusammenarbeit mit Universitäten bereits einen „Proof of Concept“ (POC) für seine Hardware-Sicherheitsmodule (HSM) entwickelt. Die Systeme absolvierten entsprechende Tests mit Erfolg. Sie ermöglichen es, in Verbindung mit einer integrierten Entwicklungsumgebung individuelle Verschlüsselungskomponenten auf Basis unterschiedlicher Techniken zu entwickeln.

Wann schlüsselfertige Lösungen für Quantenkryptografie auf den Markt kommen, hängt allerdings von weiteren Faktoren ab. Einer ist die Nachfrage seitens der Unternehmen und öffentlichen Einrichtungen. Trotz wachsenden Interesses warten die meisten mit der Beschaffung solcher Systeme noch ab. Dies hängt unter anderem damit zusammen, dass es an Standards für PQK-Lösungen (Post-Quantenkryptografie) fehlt.

Produkte wie vernetzte Fahrzeuge oder Systeme in sogenannten kritischen Infrastrukturen (Kritis) sind in der Regel zehn Jahre oder gar länger in Gebrauch. Für den Schutz von Daten, die in solchen Umgebungen ausgetauscht werden, ist eine Verschlüsselung unabdingbar. Mit Blick auf den zukünftigen Einsatz von Quantencomputing sollten die Verantwortlichen bereits heute bei der Planung und Anschaffung von Verschlüsselungslösungen darauf achten, dass diese zukunftssicher sind. Das setzt vor allem drei Eigenschaften voraus: Updates für Lösungen sollten im Feld möglich sein. Zudem ist es wichtig, dass die Verschlüsselungslösung große Schlüssellängen unterstützt. Und nicht zuletzt gilt es, nicht an Rechenleistung zu sparen, sondern großzügig zu planen. Dies ist insbesondere dann wichtig, wenn ein späterer Austausch von Hardwarekomponenten für die Verschlüsselung nicht in jedem Fall einfach möglich ist. Typische Beispiele hierfür sind Satelliten oder auch Messstationen in abgelegenen Regionen.

Zusammenfassend lässt sich sagen: Durch Quantencomputer werden zahlreiche bisherige Verschlüsselungslösungen keine ausreichende Sicherheit mehr bieten. Dies gilt vor allem für die asymmetrische Verschlüsselung. Unternehmen und öffentliche Einrichtungen sind daher gut beraten, sich bereits heute auf das Zeitalter der Quantenrechner und der Post-Quantenkryptografie vorzubereiten. Statt auf offizielle Standards oder Lösungen zu warten, sollten sich Verantwortliche schon jetzt mit den eigenen Risiken auseinandersetzen und diese mit den heute verfügbaren Lösungen minimieren. Zukunftssichere HSM ermöglichen eine kontinuierliche Anpassung – und somit weiterhin eine hoch sichere Verschlüsselung.

Malte Pollmann ist CEO beim Sicherheitsspezialisten Utimaco, www.utimaco.de.