Startseite > Public Sector > Wie Deutschland sich vor Angriffen durch Quantencomputer schützt

Postquantenkryptografie

Wie Deutschland sich vor Angriffen durch Quantencomputer schützt

15. November 2023, 13:30 Uhr | Autor: Marcel Taubert / Redaktion: Diana Künstler

Künftige Quantencomputer stellen eine ernsthafte Bedrohung für heute gängige Verschlüsselungsverfahren dar. Mit der Postquantenkryptografie (PQC) wird derzeit eine Quantencomputer-resistente Lösung standardisiert. Behörden und Verwaltung sollten bereits jetzt mit der PQC-Migration starten.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Inwiefern stellen zukünftig verfügbare Quantencomputer eine Bedrohung für heute gängige Verschlüsselungsverfahren dar?
Wie funktioniert die moderne Kryptografie?
Was ist der Shor-Algorithmus?
Was bedeutet der Begriff „store now, decrypt later“?
Wie läuft die PQC-Standardisierung?
Welche ersten Ansätze für eine zuverlässige Postquantenkryptografie sind bereits in der Erarbeitung?
Welche PQC-Verfahren empfiehlt das BSI?
Welche Anforderungen gehen mit der Integration von PQC in standardisierte Internetprotokolle einher?

Das Entschlüsseln kryptografisch geschützter Dokumente und Gespräche war lange ähnlich aussichtslos wie das Entziffern einer unbekannten Sprache, für die man kein vergleichbares Pendant kennt. Das ändert sich jedoch gerade: Zukünftig verfügbare Quantencomputer stellen eine ernsthafte Bedrohung für heute gängige Verschlüsselungsverfahren dar. Das betrifft nicht nur die alltägliche Kommunikation im Internet, in Gefahr sind insbesondere hochsensible Daten bis hin zu Staatsgeheimnissen. Mit der Postquantenkryptografie (PQC) wird derzeit eine Quantencomputer-resistente Alternative zur herkömmlichen Kryptografie standardisiert. Insbesondere Behörden und die Verwaltung sollten bereits jetzt mit der PQC-Migration starten. Die gute Nachricht: Deutschland ist hier Vorreiter.

Während schon Schulkinder das Multiplizieren von Zahlen beherrschen, ist der umgekehrte Weg, also das Zurückverfolgen und Finden der Primfaktoren einer zusammengesetzten Zahl eine ungleich größere Herausforderung. Das Faktorisieren sehr großer Zahlen ist nahezu unmöglich. Und genau diesen Umstand macht sich die moderne Kryptografie zunutze: Gängige Verfahren wie der in vielen Internet-Protokollen wie Transport Layer Security (TLS) und Internet Key Exchange (IKE) verwendete Diffie-Hellman-Schlüsselaustausch oder digitale RSA-Signaturen beruhen darauf, dass bestimmte mathematische Operationen praktisch nur in eine Richtung durchführbar (asymmetrisch) sind. Zwar ist es theoretisch möglich, auch den umgekehrten Weg zu beschreiten und die Verschlüsselungen damit zu brechen, aber bei den heutigen Rechenressourcen würde das mitunter Millionen von Jahren dauern.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wenn Computer anfangen, wie Menschen zu denken

Das klingt alles zunächst erst einmal sicher, wäre da nicht der sogenannte Shor-Algorithmus, der bereits in den 1990er Jahren veröffentlicht wurde. Dieser quantenbasierte Ansatz zur Faktorisierung und Berechnung eines diskreten Logarithmus könnte etablierte kryptografische Algorithmen mit einem Quantencomputer in wenigen Stunden brechen.

Bei einem solchen Computer werden Quantenbits oder Qubits verwendet, die sich in einem Superpositionsstatus von 0 und 1 befinden können. Diese Überlagerungen kann man als Abstufungen verstehen, für die wiederum unterschiedliche Wahrscheinlichkeiten gelten. Die Beschränkung auf das Rechnen mit Nullen und Einsen fällt dadurch weg. Die Korrelation zwischen den Zuständen von zwei oder mehr Qubits ermöglicht Rechenleistungen, die eher den Prozessen in neuronalen Netzen als dem seriellen Rechnen in klassischen Computern gleichen. Es werden unterschiedliche Lösungswege gleichzeitig gegangen und müssen dann sinnvoll eingegrenzt werden.

Zurück in die Zukunft: „Store now – decrypt later“

Zur Ausführung des Shor-Algorithmus für die Kryptanalyse wird ein großer und fehlertoleranter Quantencomputer mit mehreren tausend oder Millionen solcher Qubits benötigt. Die aktuellen Quantencomputer sind jedoch noch im Versuchsstadium, fehleranfällig und ihre Leistungsfähigkeit endet mit dem Lösen einfacher Rechenaufgaben. Dennoch schätzen Experten, dass ein Quantencomputer, der zur Kryptoanalyse in der Lage ist, um das Jahr 2030 existieren könnte¹. Aber das bedeutet keineswegs, dass wir uns erst in einigen Jahren Sorgen machen müssen. Es ist davon auszugehen, dass Cyberkriminelle und vor allem staatliche Akteure bereits heute fleißig Daten sammeln, um sie später mit einem hinreichend leistungsfähigen Quantencomputer zu entschlüsseln. Wir kennen das Problem unter dem Begriff „store now, decrypt later“. Dies stellt gerade dann ein gravierendes Problem dar, wenn es um sensible Daten und Geheimdokumente, zum Beispiel Staatsgeheimnisse oder besonders große Datenpools geht, die im Regelfall über Jahrzehnte unter Verschluss bleiben sollen. Informationen, die heute als geheim gelten, könnten bereits mitgelesen und gespeichert worden sein, um in einigen Jahren missbraucht zu werden. Umso wichtiger ist es, dass sich vor allem Behörden und staatliche Organisationen aktiv mit dem Thema auseinandersetzen. Darüber hinaus kann die Manipulation von Firmware-Updates zu einem Risiko werden, und auch die Authentifizierung mit digitalen Signaturen zur Herstellung sicherer Verbindungen zwischen Geräten könnte von Quantencomputern angegriffen werden.

PQC bereits jetzt im Einsatz

Erste Ansätze für eine zuverlässige PQC werden schon seit Bekanntwerden der Bedrohung erarbeitet. Hier setzt man erneut auf asymmetrische Algorithmen, diesmal beruhend auf mathematischen Problemen, die sowohl für klassische als auch für Quantencomputer als unlösbar gelten. Darunter fallen gitterbasierte, codebasierte, multivariate und isogeniebasierte Kryptografien sowie Signaturen auf der Grundlage von Hash-Funktionen. Diese Kategorien unterscheiden sich erheblich hinsichtlich

Schlüssel- und Signaturgrößen,
Leistung,
Codegröße,
Speicheranforderungen
und allgemeiner Reife.

Symmetrische Verschlüsselung übrigens ist bei Verwendung ausreichend großer Schlüssel Quantencomputer-resistent. Die Verteilung und der Wechsel der Schlüssel stellen allerdings insbesondere in größeren Netzen eine kaum zu bewältigende Herausforderung dar.

Das US-amerikanische National Institute of Standards and Technology (NIST) führt derzeit einen Standardisierungsprozess für Quantencomputer-resistente Schlüsseleinigung und digitale Signaturen durch. Die ersten Entwürfe wurden bereits veröffentlicht und befinden sich gegenwärtig in der Kommentierungsphase², sodass die offiziellen Standards für 2024 erwartet werden. Doch aufgrund der bereits bestehenden Gefahr ist es wichtig, schon heute zu handeln.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte bereits im Jahr 2020 Empfehlungen³, um die Vertraulichkeit hochsensibler Daten, insbesondere vor sogenannten „store now, decrypt later“-Angriffen, zu gewährleisten. Es empfiehlt PQC-Verfahren wie Classic McEliece und FrodoKEM für den Schlüsselaustausch, jedoch im Hybridmodus, das heißt zusammen mit herkömmlicher Kryptografie. Dieser Hybridansatz bietet erhöhten Schutz, da ein Angreifer sowohl das herkömmliche als auch das Quantencomputer-resistente Verfahren zum Schlüsselaustausch brechen müsste, um die Sicherheit zu kompromittieren. Hybridmodi dienen nicht nur als Übergangsstrategie zu PQC, sondern auch zur langfristigen Sicherheit und Flexibilität. Unter dieser Prämisse hat beispielsweise das Unternehmen secunet, das unter anderem IT-Sicherheitsprodukte für hohe Geheimhaltungsstufen herstellt, in Abstimmung mit dem BSI entschieden, PQC bereits vor der Standardisierung durch das NIST zu implementieren. So sind heute bereits Kryptogeräte mit PQC-Elementen bei deutschen Behörden und bei der Bundeswehr im Einsatz.

Über PQC zur Kryptoagilität

Die PQC-Standardisierung indes wird sich noch über Jahre hinziehen. Neben dem NIST-Prozess wurden bereits einige Hash-basierte Signaturschemata vor einigen Jahren vom Crypto Forum Research Group (CFRG)⁴ des Internet Research Task Force (IRTF) standardisiert und von NIST übernommen. Hash-basierte Signaturen gelten als ausgereift, da ihre Sicherheit ausschließlich auf Hash-Funktionen basiert und keine zusätzliche komplexitätstheoretische Annahme erfordert. Allerdings haben diese Signaturen auch Nachteile: Ihre Anzahl ist endlich, außerdem ist ein Zustandsmanagement zwingend erforderlich.

Die Integration von PQC in standardisierte Internetprotokolle ist eine komplexe Aufgabe, da sie widersprüchliche Anforderungen wie Hybridmodi, Abwärtskompatibilität und geringe Nachrichtengrößen berücksichtigen muss. Fortschritte wurden bereits erzielt, einschließlich der Standardisierung des hybriden Schlüsselaustauschs in IKEv2 und Vorschläge zur Integration Quantencomputer-resistenter Signaturen und Verschlüsselungsalgorithmen in Zertifikate. Die Verfügbarkeit von Software- und Hardwareimplementierungen für PQC ist ein weiterer Schlüsselaspekt, besonders für Geräte mit begrenzten Rechen- und Speicherressourcen wie Mikrocontroller und Smartcards, die für den Einsatz von PQC vorbereitet werden müssen.

Obwohl wir uns in die richtige Richtung bewegen, bleibt viel zu tun. Die Kryptomigration ist eine komplexe und zeitaufwändige Herausforderung, die sorgfältige Planung erfordert. Sie wird aber neben der Erreichung des eigentlichen Ziels, der Quantencomputer-Resistenz, auch zu einer generell höheren kryptografischen Agilität führen. Dadurch wird Deutschlands IT-Landschaft nicht nur zukunftsfähig, sondern auch wesentlich resilienter.

^{1 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Kryptografie-quantensicher-gestalten.pdf?__blob=publicationFile&v=5

2 https://csrc.nist.gov/news/2023/three-draft-fips-for-post-quantum-cryptography

3 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.pdf?__blob=publicationFile&v=1

4 https://www.irtf.org/cfrg.html}