Post-Quanten-Kryptografie: Verschlüsselung im Zeitalter der Quantencomputer

Kryptografie von Turing bis Heisenberg

Alan Turing ist es zu verdanken, dass im Zweiten Weltkrieg die Enigma-Maschinen ent­schlüs­selt werden konnten. Dafür verwendete er eine spezielle elektromechanische Ma­schi­ne, die sog. "Turing-Bombe". Mit den Enigma-Maschinen wurden strategisch signifikante Funk­sprü­che der Wehrmacht verschlüsselt. Heute ist die Kryptografie, also die Ver­schlüs­se­lung von Informationen, vor allem aus dem digitalen Alltag nicht mehr wegzudenken und allgegenwärtig – wenn auch meist unsichtbar im Hintergrund.

Wagt man nun einen Blick in die Zukunft der Kryptografie, rückt die unter anderem von Wer­ner Heisenberg und Erwin Schrödinger begründete Quantenmechanik in den Mittelpunkt des Geschehens. Die Quantenmechanik stellt eine der wichtigsten Errungenschaften der the­o­re­tisch­en Physik des 20. Jahrhunderts dar. Diese "theoretische" Forschung in ihrer praktischen Umsetzung in der Welt der Computer ermöglicht grundsätzlich neue Formen: die Quan­ten­com­pu­ter. Letztere funktionieren von Grund auf anders als bisherige (klassische) Computer. In nicht allzu ferner Zukunft werden kryptografisch relevante Quantencomputer erwartet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht hier momentan von ca. 10-20 Jahren aus. Diese Computer werden es ermöglichen, manche heutigen kryp­to­gra­fisch­en Verfahren zu brechen. 1940 knackte Turings elektromechanische Maschine die damals am schwersten zu entschlüsselnden Codes, Mitte des 21. Jahrhunderts werden Quan­ten­com­pu­ter wahrscheinlich genau dasselbe leisten – nur eben viel schneller und effizienter.

Um Angriffen mit Quantencomputern adäquat begegnen zu können, werden auch heute bereits Verfahren der Post-Quanten-Kryptografie (kryptografische Ver­fah­ren, die auch mithilfe eines Quantencomputers nur schwer oder gar nicht zu brechen sind) sowie deren Entwicklung, Standardisierung und Anwendung erforscht und evaluiert.

Kryptografie – Geschichte und Status quo

Doch zunächst ein kurzer Rückblick auf unterschiedliche Verschlüsselungsverfahren der Menschheitsgeschichte: Bereits vor über 4000 Jahren finden Ver­schlüs­se­lungs­tech­ni­ken in altägyptischen Inschriften Verwendung, bei denen geheime Hieroglyphen genutzt werden. Julius Caesar substituiert im 1. Jahrhundert v. u. Z. in seinen Nachrichten alle Buchstaben nach einem bestimmten Muster (Caesar-Chiffre, z. B. die Verschiebung jedes Buchstabens um drei Buchstaben im Alphabet nach hinten: A -> D, B -> E etc.). Auch im späten Mittelalter und der Frühen Neuzeit war das Chiffrieren und Dechiffrieren von Botschaften von großer Bedeutung. Im 15. Jahrhundert wird zum ersten Mal ein mechanisches Gerät, die Chiffrierscheibe, genutzt und nach dem Ersten Weltkrieg werden schließlich die bereits er­wähn­ten Rotor-Chiffriermaschinen Enigma eingesetzt. Seit ca. 1970 sind Computer und digitale Verschlüsselungsmechanismen auf dem Vormarsch, so sind heute vor allem digitale, mathematische Verschlüsselungsmethoden zum Schutz von übertragenen Informationen von enormer Relevanz und im tagtäglichen Einsatz.

Die Kryptografie befasst sich im Grunde mit der Entwicklung und Bewertung von Verfahren der Verschlüsselung geheimer Daten. Das Grundziel der Ver­schlüs­se­lung im Sinne der Datensicherheit ist hierbei die Wahrung der Vertraulichkeit, Integrität und Authentizität der Daten. Die übertragenen Informationen müssen also vor dem Zugriff von Dritten geschützt werden und inhaltlich unverändert sein. Zusätzlich muss sichergestellt werden, dass die Kommunikationspartner diejenigen sind, die sie vorgeben zu sein.

Um den Schutz digitaler Daten im Hinblick auf reale Angriffsszenarien gewährleisten zu können, werden symmetrische, asymmetrische sowie hybride Ver­schlüs­se­lungs­tech­ni­ken eingesetzt. Bei symmetrischer Verschlüsselung wird ein einziger Schlüssel verwendet, der der sendenden und der empfangenden Seite bekannt ist (z. B. beim Advanced Encryption Standard (AES)). Dagegen kommt bei der asymmetrischen Verschlüsselung (z. B. beim Rivest-Shamir-Adleman-Verfahren (RSA)) jeweils ein Schlüsselpaar pro Seite zum Einsatz: ein "Public Key" und ein "Private Key". Mit dem öffentlichen Schlüssel werden Informationen verschlüsselt, die nur mit dem geheimen, privaten Schlüssel entschlüsselt werden können. Die hybride Verschlüsselung beschreibt die Kombination beider Verfahren aus Ef­fi­zi­enz­grün­den (z. B. beim Netzwerkprotokoll Secure Shell (SSH)).

Quantenkryptografie

Im Gegensatz zu den eben besprochenen Methoden, die auf mathematischen Eigenschaften basieren, basiert die Quantenkryptografie auf physikalischen, quantenmechanischen Prinzipien. Zum Teil können diese auch auf klassischen Computern umgesetzt werden. Quantencomputer bringen jedoch zum einen weitere neue Arten der Kryptografie ins Spiel, die im Folgenden kurz illustriert werden. Zum anderen werden neue Angriffsarten eröffnet, die ebenfalls mitbedacht werden müssen.

Der Quantenschlüsselaustausch (Quantum Key Distribution) ist das bekannteste Beispiel eines derartigen Sicherheitsmechanismus. Es handelt sich hier um eine Kommunikationsmethode, bei der als Informationsträger beispielsweise Elementarteilchen, wie in verschiedene Richtungen polarisierte und über einen Quan­ten­ka­nal übertragene Photonen, zum Einsatz kommen. Damit wird für zwei Parteien ein gemeinsamer Zufallsschlüssel erzeugt, der nur ihnen bekannt ist und den sie zur Ver- und Entschlüsselung verwenden können. Die quantenphysikalischen Gesetze verhindern, dass die Zustände der Elementarteilchen auf dem Übertragungsweg abgefangen und ausgelesen werden können. Damit ist es beispielsweise auch möglich, Lauschangriffe zu detektieren.

Quantenschlüsselaustausch ist derzeit noch nicht reif für den großflächigen Einsatz, käme aber als zusätzliches Schlüsselaustauschverfahren in hybriden Lösungen infrage. Auch fehlen in diesem großflächigen Feld von technischen Ansätzen und Protokollen Standards, die die Wahlmöglichkeiten einschränken und damit In­ter­ope­ra­bi­li­tät und Evaluierbarkeit erleichtern.

Post-Quanten-Kryptografie und Quantencomputer

Unter Post-Quanten-Kryptografie werden kryptografische Verfahren gefasst, von denen angenommen wird, dass sie auch mithilfe eines Quantencomputers nicht (oder nur schwer) zu brechen sind: also eine "quantensichere" Kryptografie. Das Ziel – und somit auch den größten Unterschied zur Quantenkryptografie – bildet der Umstand, dass diese Verfahren auf klassischer Hardware (also nicht nur auf Quantencomputern) implementiert werden sollen. Sie basieren wiederum auf ma­the­ma­tisch­en Prinzipien, nicht auf Quantenmechanik.

Mögliche Verfahren der Post-Quanten-Kryptografie operieren sowohl im Gegensatz zur aktuellen Public Key-Kryptografie, die auf der angenommenen Schwierigkeit bestimmter mathematischer Probleme (z. B. Primfaktorzerlegung) fußt, als auch im Kontrast zur Quantenkryptografie auf anderen Grundlagen. Beispielsweise be­ru­hen sie auf der Schwierigkeit, allgemeine fehlerkorrigierende Codes effizient zu decodieren ("codebasierte Kryptografie"), auf der Schwierigkeit von bestimmten Pro­blem­en in komplexen mehrdimensionalen mathematischen Gittern ("gitterbasierte Kryptografie") oder auf Sicherheitseigenschaften kryptografischer Hash-Funk­tio­nen ("Hash-basierte Kryptografie"). Quantenkryptografie und Post-Quanten-Kryptografie als zukunftsweisende Techniken sollten hierbei allerdings nicht als Kon­kur­ren­ten, sondern als synergetisch nutzbare Ergänzungen betrachtet werden. Das National Institute of Standards and Technology (NIST) forscht seit 2016 aktiv im Rahmen des "Post-Quantum Cryptography Project" an der Standardisierung von Post-Quanten-Kryptografie. Ziel ist es, dass eine gewisse Auswahl von Sig­na­tur­ver­fah­ren standardisiert wird, deren Sicherheit auf der Kombination möglichst verschiedener mathematischer Probleme basiert.

Was die Forschung überdies fordert, ist die sogenannte Kryptoagilität, also die Möglichkeit, der Veränderung und Weiterentwicklung der Algorithmen (auch hin­sicht­lich der klassischen Verschlüsselungsverfahren) adäquat begegnen zu können. Kryptoagilität soll dem­zu­fol­ge notwendigerweise "zum Designkriterium für neue Produkte werden".

Doch nun zurück zu den Quantencomputern: Mit klassischen Computern sind die gängigen Public Key-Verfahren nach heutigem Kenntnisstand schwer zu brechen. Die Situation ändert sich drastisch, sobald universelle Quantencomputer mit ausreichender Leistungsfähigkeit ins Spiel kommen. Erste Quantencomputer wurden bereits entwickelt, ihnen fehlt es jedoch noch an ausreichend Qubits ("Quanten-Bits"), um heutige Schlüsselgrößen zu brechen. Bereits 1994 wurden von Peter Shor Quantenalgorithmen veröffentlicht, die die oben genannten mathematischen Probleme effizient lösen können. Quantencomputer mit Shor-Algorithmen würden demzufolge die heutige asymmetrische Kryptografie obsolet machen. Für die symmetrische besteht hingegen weniger Gefahr.

Fazit

Der momentane Stand der bisherigen Quantencomputer ist für das Brechen heutiger Kryptografie noch nicht ausreichend und ein wissenschaftlicher Durchbruch oder Meilenstein kaum vorhersagbar. Wie bereits angesprochen, gehen manche Expert:innen davon aus, dass in einigen Jahren leistungsfähige Quantencomputer zur Verfügung stehen werden, die die heute verwendeten Kryptosysteme brechen können. Das BSI schätzt "kurzfristige Entwicklungssprünge in Richtung kryp­to­gra­fisch relevanter Quantencomputer" als eher unwahrscheinlich ein, jedoch wird Post-Quanten-Kryptografie "langfristig zum Standard werden". Es gibt allerdings auch skeptische Stimmen in der Wissenschaft, die diesen Entwicklungen in der nahen Zukunft kritisch begegnen – oftmals im Hinblick auf die praktische An­wend­bar­keit im Gegensatz zum abstrakten, theoretischen Raum.

Bleiben in diesem Feld auch noch etliche Fragen offen und ungeklärt, so ist die Kryptografie für die aktuelle ebenso wie für die zukünftige IT-Sicherheit ein zen­tra­les Thema. Für Unternehmen gehört die Auseinandersetzung mit den Themen der Post-Quanten-Kryptografie außerdem durchaus zu einem zu­kunfts­ori­en­tier­ten Risikomanagement, das die technologischen Fortschritte nicht aus den Augen verlieren darf, um davon nicht eines Tages überrascht zu werden. So ist laut des US-Geheimdienstes NSA jetzt schon die Zeit, hinsichtlich quantensicherer Algorithmen zu planen, sich vorzubereiten und ein Budget festzulegen. Es besteht außerdem das Risiko, dass Akteure die Kommunikation jetzt schon speichern, um diese zukünftig mit den dann zur Verfügung stehenden Quantencomputern zu entschlüsseln. Besonders vertrauliche Daten müssten also jetzt schon gegen zukünftige Entschlüsselungsversuche mittels Post-Quanten-Kryptografie geschützt werden.

Daher beschäftigt sich die SySS auch jetzt bereits intensiv mit diesen Themen. So haben beispielsweise Mitarbeitende der SySS im Oktober 2023 bei der IKT-Si­cher­heits­kon­fe­renz in Linz den Vortrag von Prof. Anton Zeilinger, Nobelpreisträger für Physik, zum Thema "Quantenkommunikation und Quantenkryptografie" mit großem Interesse verfolgt. Die SySS wird darüber hinaus weiterhin zukunftsweisende Erkenntnisse in Bezug auf sichere Verschlüsselungsmethoden beobachten, zusammentragen und kommunizieren. Dazu wurde auch schon eine Arbeitsgruppe gegründet, die das Thema erforscht und sich aktiv über neues Wissen aus­tauscht.