Universelle Quantencomputer gibt es nicht. Noch nicht. Gäbe es sie, so ließen sich mit ihnen manche komplexe Berechnungen durchführen, die mit traditionellen Rechnern nicht möglich sind. Gerade in Bereichen wie der Materialwissenschaft oder Chemie gibt es Problemstellungen, die heute noch zu komplex sind, um sie mit der Rechenleistung eines normalen Computers zu bewältigen. Globale IT-Konzerne und Staaten investieren daher erhebliche Beträge in die Entwicklung von Quantentechnologien und haben damit bereits beachtliche Fortschritte erzielt. Diese Fortschritte können einen großen Einfluss auf die IT-Sicherheit haben.
Denn die Sicherheit digitaler Infrastrukturen beruht wesentlich auf Verfahren zur Schlüsselvereinbarung sowie für digitale Signaturen, die sich auf die angenommene Schwierigkeit bestimmter mathematischer Probleme stützen. Beispielsweise basiert das gängige Public-Key-Verfahren RSA auf der Tatsache, dass es im Allgemeinen schwierig ist, große Zahlen in ihre Primfaktoren zu zerlegen. Üblicherweise vereinbart man mit einem Public-Key-Verfahren kryptografische Schlüssel, um anschließend Nachrichten mit einem sogenannten „symmetrischen“ Algorithmus zu verschlüsseln. Wir alle haben dies schon einmal gemacht – meist ohne es zu bemerken. Etwa, wenn wir eine Internetseite aufrufen, um unsere Weihnachtseinkäufe online zu erledigen. Mit heutigen Mitteln sind die gängigen Public-Key-Verfahren nicht zu brechen. Dies gilt jedoch nicht mehr, wenn universelle Quantencomputer mit ausreichender Leistungsfähigkeit verfügbar sind.
Bau von Quantencomputern erfordert noch enorme Forschungsanstrengungen
„Normale“ Computer rechnen mit Nullen und Einsen, den sogenannten Bits. Quantencomputer hingegen rechnen mit sogenannten Qubits, die Null und Eins simultan darstellen können. Dadurch können sie manche Probleme um Größenordnungen schneller lösen. Eine fundierte Einschätzung zum „Entwicklungsstand Quantencomputer“ gibt eine im Auftrag des BSI erstellte Studie.
Die Studie zeigt: Auch bei großem Fortschritt ist davon auszugehen, dass der Bau eines universellen Quantencomputers enorme Forschungsanstrengungen erfordern würde, deren Größenordnung vergleichbar wäre mit denen des US-amerikanischen Apollo-Programms aus den Sechzigerjahren des 20. Jahrhunderts. Gleichzeitig aber wird deutlich, dass die Entwicklung durch starke Industrieakteure und große Forschungsprogramme an Fahrt gewonnen hatund dass weitere kommerzielle Anwendungen diese noch beschleunigen könnten.
Akuter Handlungsbedarf bei kryptografischen Anwendungen
Das BSI schätzt kurzfristige Entwicklungssprünge als eher unwahrscheinlich ein. Für kryptografische Anwendungen, die Informationen mit langen Geheimhaltungsfristen und hohem Schutzbedarf verarbeiten, ergibt sich dennoch akuter Handlungsbedarf. Hier besteht die Gefahr darin, dass Nachrichten zur Schlüsselaushandlung sowie die mit den ausgehandelten Schlüsseln verschlüsselten Daten auf Vorrat gesammelt und in der Zukunft mit Hilfe eines Quantencomputers entschlüsselt werden.
In der kryptografischen Forschung entwickelte sich parallel zu den Fortschritten bei der Entwicklung von Quantentechnologien ein neues Arbeitsgebiet: die Post-Quanten-Kryptografie. Diese beschäftigt sich mit der Entwicklung und Untersuchung von kryptografischen Verfahren, die auch mit Quantencomputern nicht gebrochen werden können. Ein anderer aktueller Forschungszweig ist die Quantenkryptografie, die versucht, Sicherheit auf Basis physikalischer Effekte zu erreichen. Die Quantenkryptografie ist aber noch nicht ausgereift genug, um eingesetzt zu werden.
NSA leitete Migration zu Quantencomputer-resistenten Verfahren ein
In den letzten Jahren hat die Post-Quanten-Kryptografie erheblich an Bedeutung gewonnen: Die amerikanische NSA hat im August 2015 vor Quantencomputern gewarnt und die Migration zu Quantencomputer-resistenten Verfahren eingeleitet. Konkrete Verfahren hat die NSA dabei nicht benannt, sondern auf die künftigen Standards des amerikanischen National Institute for Standards and Technology (NIST) verwiesen. NIST hat im November 2016 einen Prozess zur Standardisierung von Quantencomputer-resistenten Verfahren gestartet. Standards werden allerdings nicht vor 2022 oder 2023 verfügbar sein.
Die Frage, „ob“ oder „wann“ Quantencomputer Realität werden, stellt sich nicht mehr. Allein schon aus Gründen des Risikomanagements ist mittel- bis langfristig ein Umstieg auf Quantencomputer-resistente Verfahren zwingend. Zudem hat die Ankündigung der NSA eine Entwicklung ausgelöst, die sich nicht mehr stoppen lässt: Der Einsatz Quantencomputer-resistenter Verfahren wird früher oder später für die meisten kryptografischen Anwendungen zum Standard werden.
Neue kryptografische Verfahren sollten flexibel gestaltet werden
Das BSI arbeitet im Bereich Kryptografie immer international vernetzt. Die Aktivitäten des NIST sind zu begrüßen. Sie haben zu einer deutlichen Intensivierung der Forschung an Quantencomputer-resistenten Verfahren geführt. Dennoch sind die neuen Verfahren noch nicht so gut erforscht wie die klassischen Verfahren. Dies gilt insbesondere mit Blick auf Schwächen, die sich größtenteils erst in der Anwendung zeigen, wie zum Beispiel typische Implementierungsfehler. Das BSI empfiehlt daher, Post-Quanten-Kryptografie nicht allein einzusetzen, sondern nur „hybrid“, das heißt in Kombination mit klassischen Algorithmen. Man führt dann beispielsweise eine Schlüsseleinigung mit RSA und eine Quantencomputer-resistente Schlüsseleinigung (beispielweise mit FrodoKEM) durch und kombiniert die Ergebnisse zu einem „Gesamtschlüssel“.
Aus Sicht des BSI steht bei der Auswahl von neuen Verfahren Sicherheit an erster Stelle. Zur Schlüsseleinigung sind die im NIST-Prozess vorgeschlagenen Verfahren FrodoKEM und Classic McEliece die konservativste Wahl. Mit Hinblick auf die Dauer des NIST-Prozesses hat sich das BSI entschieden, nicht auf die Entscheidung von NIST zu warten. Wir beabsichtigen vielmehr, in der neuen Version unserer Technischen Richtlinie TR-02102-1 zu Algorithmen und Schlüssellängen die beiden genannten Verfahren als grundsätzlich geeignet (in hybriden Lösungen) zu empfehlen. Diese Empfehlung wird gegebenenfalls angepasst, wenn die Entwicklung im NIST-Prozess weiter fortgeschritten ist.
Bei der Neu- und Weiterentwicklung von kryptografischen Anwendungen sollte darauf geachtet werden, diese möglichst flexibel zu gestalten, um auf alle denkbaren Entwicklungen reagieren, kommende Empfehlungen und Standards umsetzen und möglicherweise in Zukunft Algorithmen, die nicht mehr das gewünschte Sicherheitsniveau garantieren, austauschen zu können (so genannte Kryptoagilität). Dies gilt insbesondere aufgrund der Bedrohung durch Quantencomputer für die Public-Key-Kryptografie – aber nicht ausschließlich. Auch klassische Angriffe können sich weiterentwickeln und dazu führen, dass kryptografische Verfahren abgelöst werden müssen. Kryptoagilität sollte also – unabhängig von der Entwicklung von Quantencomputern – zum Designkriterium für neue Produkte werden.
Arne Schönbohm ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
