Post-Quanten-Kryptografie : Wie Quantencomputer Kryptografen herausfordern und welche Antworten in Arbeit sind

Die Entwicklung von Quantencomputern schreitet voran. Aus einer theoretischen Idee, entstanden in den 1980er Jahren im Kreis von Physikern wie Paul Benioff, Richard Feynman und Yuri Manin, ergeben sich inzwischen konkrete Realisierungen. So wurden erste kleine Quantencomputer kurz nach der Jahrtausendwende erprobt. Im Jahr 2019 wurde erstmals die sogenannte Quantenüberlegenheit von einem Google-Forscherteam in der Fachzeitschrift „Nature“ publik gemacht: Ihr Quantenprozessor Sycamore hatte eine komplexe Berechnung in 200 Sekunden gelöst – der damals schnellste Supercomputer hätte 10.000 Jahre daran zu knabbern gehabt.

Zugegeben ein konstruiertes Problem, das dennoch zeigt, dass Quantencomputer einige Aufgaben deutlich schneller als klassische Computer lösen. Verantwortlich hierfür sind zwei quantenmechanische Prinzipien. Erstens das Superpositionsprinzip: Ein Quantenregister kann – im Gegensatz zum Register eines klassischen Computers – nicht nur die Werte 0 und 1 pro Bit annehmen, sondern auch Überlagerungen solcher Zustände erreichen und somit gewisse Werte intrinsisch parallel berechnen.

Das zweite Prinzip ist die Quantenverschränkung: Zwei quantenmechanische Zustände sind verschränkt, wenn die Messung des einen den Zustand des anderen beeinflusst, selbst wenn sie räumlich getrennt sind. Ein Phänomen, das unserer Intuition widerspricht. Einstein nannte es auch spukhafte Fernwirkung (spooky action at a distance). Quantencomputer sind klassischen Computern allerdings nicht immer überlegen, sondern glänzen nur bei bestimmten Problemen. Paradebeispiele sind die Suche in unsortierten Datenbanken oder Simulationen, um zum Beispiel das Reaktionsverhalten chemischer Stoffe für Medikamente vorherzusagen.

Frühzeitiger Umstieg auf quantenresistente Verfahren

Abgesehen von ihrem Potenzial haben Quantencomputer kritische Auswirkungen auf heute eingesetzte kryptografische Verfahren. Denn praktisch alle Verfahren, mit denen aktuell Schlüssel für sichere Kommunikation ausgetauscht werden, werden mit der Entwicklung von Quantencomputern anfällig. So geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon aus, dass bereits Anfang der 2030er Jahre für den Hochsicherheitsbereich kryptografisch relevante Quantencomputer bestehen werden (Drucksache 19/25208).

Die US-amerikanische Sicherheitsbehörde NSA hat bereits eine Migration zu quantenresistenten Verfahren eingeleitet (nsa.gov) und die nationale Standardisierungsbehörde NIST stieß 2017 einen Standardisierungsprozess für entsprechende Verfahren an, im Zuge dessen Mitte 2022 erste Empfehlungen vorgestellt wurden (csrc.nist.gov). Wie hoch die Gefährdung durch Quantencomputer eingestuft wird, zeigt auch ein Memorandum des amtierenden US-Präsidenten Biden: Für Systeme, die die nationale Sicherheit betreffen, müssen bis Ende 2023 Verfahren zum Austausch von Schlüsseln quantensicher umgesetzt werden (whitehouse.gov).Zu diesem Zeitpunkt werden sicher keine kryptografisch relevanten Quantencomputer existieren. Allerdings können Angreifer bereits heute abgewickelte Kommunikation aufzeichnen und später entschlüsseln. Für Informationen, die lange vertraulich zu bleiben haben, ist also ein frühzeitiger Umstieg auf sichere Verfahren ein Muss.

Es herrscht allerdings auch Skepsis gegenüber den Prognosen. So gehen einige Physiker:innen davon aus, dass Quantencomputer in einer Größe, mit der sich relevante Probleme lösen ließen, nicht realisierbar seien. Grund dafür sei die Fehleranfälligkeit beziehungsweise Dekohärenz von quantenmechanischen Zuständen, die zum Beispiel durch Wechselwirkung mit der Umgebung entstehen kann. Mechanismen zur Fehlerkorrektur sind in diesem Umfeld deutlich schwieriger umzusetzen als bei klassischen Computern. Die erwähnte Arbeitshypothese, dass kryptografisch relevante Quantencomputer tatsächlich 2030 zur Verfügung stehen, will auch das BSI nicht als Prognose sondern vielmehr als Richtwert zur Risikobewertung verstanden wissen.

Kryptoagilität als Schlüssel für bevorstehende Herausforderungen

Unabhängig davon, wann oder ob nutzbare Quantencomputer verfügbar sind, zeigt die Thematik, dass neue Erkenntnisse jederzeit die Sicherheit eingesetzter Verschlüsselungsverfahren beeinträchtigen können. Daher sollten Informationssysteme so umgesetzt werden, dass kryptografische Verfahren aufwandsarm ersetzt werden können. Diese Anpassbarkeit wird als Kryptoagilität bezeichnet. Der Austausch von Verfahren ist in der Praxis allerdings eine immense Herausforderung, denn Kryptoverfahren unterscheiden sich zum Teil stark in der Schlüssellänge, der Länge der ausgetauschten Datenpakete oder ihrem Zeitverhalten.

Zudem müssen in einem Umfeld, in dem viele und zudem externe Partner miteinander kommunizieren, alle Systeme gleichzeitig auf die neuen Verfahren migrieren, wenn die verwendeten Protokolle nicht kryptoagil arbeiten. Aus diesem Grund werden selbst heute noch Verfahren eingesetzt, deren Unsicherheit bereits seit Jahrzehnten (!) bekannt ist. Ein prominentes Beispiel ist die teils heute noch genutzte Hash-Funktion MD5, deren Unsicherheit 1993 akademisch belegt wurde. Trotz aller Herausforderungen bestehen jedoch Lösungsansätze: In Protokollen wie TLS etwa einigen sich Kommunikationspartner auf Verfahren, die von allen unterstützt werden.

Insgesamt muss dem Aspekt der Kryptoagilität beim Entwurf neuer Informationssysteme und bei der Weiterentwicklung bestehender Systeme deutlich mehr Beachtung geschenkt werden. Hier gilt es, zügig ein Migrationskonzept zu erarbeiten und mit der Anpassung der Systeme zu beginnen, zum Beispiel indem nur noch kryptoagile Protokolle genutzt werden. Hinsichtlich der Bedrohungen durch Quantencomputer bedarf es einer Risikoanalyse, auf deren Basis festgestellt werden kann, welche Komponenten betroffen sind und zu welchem Zeitpunkt ein Umstieg auf neue Verfahren notwendig wird.

Claudia Eckert leitet das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in München und hat als Professorin an der Technischen Universität München den Lehrstuhl für IT-Sicherheit in der Fakultät für Informatik inne.

Marian Margraf ist neben seiner Tätigkeit als Abteilungsleiter „Secure Systems Engineering“ Ansprechpartner für das Kompetenzzentrum Post-Quanten-Kryptografie am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in Berlin und zudem Professor für Informationssicherheit an der Freien Universität Berlin.