Foto: Infineon

Quantencomputer hebeln Verschlüsselung aus

Schutzlos trotz Schutz

Wenn Codebrecher über Quantencomputer verfügen würde, könnten sie alle Geheimnisse der Welt im Klartext lesen. Mit Hochdruck arbeiten Mathematiker daher an neuen Verfahren, in zehn Jahren sollen sie allgemein verfügbar sein. Doch der Quantenrechner könnte schneller Wirklichkeit werden, wie auf der Sicherheitstagung 2017 des BSI deutlich wurde.

Lange gab es ihn nur in der Science- Fiction-Literatur, doch nun werden immer mehr Komponenten eines Computers entwickelt, der die Gesetze der Quantenmechanik verwendet, um mathematische Probleme zu lösen. Dass es theoretisch möglich ist, einen solchen Rechner zu bauen, ist seit Jahren bekannt. 1994 beziehungsweise 1996 wurde durch die Arbeiten der Mathematiker Shor und Grover zudem gezeigt, dass Quantenrechner ein enormes Potential besitzen. Sie können Aufgaben, die für klassische Rechner nahezu unlösbar sind, fast mühelos berechnen. Der Zeitbedarf schrumpft von Tausenden von Jahren auf wenige Tage oder Stunden. Zu diesen Problemen gehört das Faktorisieren großer Primzahlen, also die Rückberechnung eines Produktes zweier Primzahlen. Exakt auf diesem Verfahren beruht der weltweit verwendete RSA-Standard. Mit Quantencomputern, so die Experten, sind asymmetrische Verschlüsselungs- Verfahren so gut wie gebrochen. Damit bieten sie keinen Schutz mehr vor Manipulation oder Missbrauch. „Sobald es einen funktionsfähigen Quantencomputer gibt, ist ein enormer Schaden eingetreten“, so Andreas Könen, Leiter des Stabes Cybersicherheit im Bundesinnenministerium BMI.

Schlüssellängen verdoppeln

Von diesem Zeitpunkt an wären alle Public- Key-Algorithmen wie RSA, Diffie Hellman wertlos, ebenso elliptische Kurven. Zahlreiche Internetstandards wie Transport Layer Security (TLS), S/MIME, PGP, und GPG nutzen dieses Verfahren für den gesicherten Austausch von Schlüsseln, gleiches gilt für das Onlinebanking auf „https“-Seiten oder die Verschlüsselung von Textnachrichtendiensten (Instant Messaging). Auch symmetrische Verschlüsselungsverfahren wie AES würden durch Quantenrechner an Sicherheit einbüßen. Ihre Sicherheit entspräche nur mehr der halben Schlüssellänge, dies wurde von Mathematikern gezeigt. Das bedeutet schon heute, dass alle Verantwortlichen die Schlüssellängen ihrer Verschlüsselungsverfahren mindestens verdoppeln sollten, auch wenn dies zu Lasten der Schnelligkeit und der Leistungsfähigkeit geht. Auf der diesjährigen Sicherheitstagung des BSI in Bonn stand daher die Suche nach neuen Verschlüsselungsverfahren für die Quantencomputerzeit in Zentrum des Interesses. Sie heißen „PQK“ (Post-Quantum-Kryptografie)-Verfahren, und sollen gegen die Entschlüsselungsversuche von Quantenrechnern ebenso gefeit sein, wie gegen Attacken von klassischen Rechnern. Mathematiker suchen aus diesem Grund quantenschwere Verfahren, die auch von klassischen Rechnern nicht geknackt werden können. Quantencomputer werden auf lange Zeit den klassischen Rechner bestenfalls ergänzen, ihn aber nicht ersetzen. Darum müssen alle neuen kryptografischen Verfahren zwingend auch gegen Angriffe von klassischen Rechnern gewappnet sein.

Im Jahr 2035 ist es soweit

Noch kann man nirgendwo einen universellen Quantenrechner kaufen, es existieren lediglich Versuchsaufbauten, die mathematische Probleme aus der Grundschule lösen können. Ist die Gefahr durch Quantenrechner real, oder lediglich das Produkt von Menschen, die zu viel Science Fiction gelesen haben? „Ich habe eine Wette mit meinem Chef laufen, dass es noch vor meiner Pensionierung einen funktionsfähigen Quantencomputer geben wird“, umreißt Dr. Manfred Lochter, Verschlüsselungsexperte beim BSI seine Einschätzung der Lage. Das wäre 2030 und deckt sich fast mit den Vorstellungen der EU Kommission, welche davon ausgeht, dass es 2035 soweit sein wird. Die amerikanische Standardisierungsbehörde „NIST“ sieht dringenden Handlungsbedarf und sucht seit 2016 nach PQK-Kandidaten. Auch deutsche Forscher beteiligen sich an dem Wettbewerb. Studenten und Professoren der TU-Darmstadt stellten während der Bonner Tagung ihre aktuellen Arbeiten vor. Ende 2017 werden die Kandidaten, die Namen wie Tesla, Ring-Tesla und GPV tragen, beim Wettbewerb des amerikanischen NIST eingereicht. 2018 soll entschieden werden, danach erfolgt die Feinarbeit. Auch das wird Jahre kosten. „Vielleicht sind wir schon zu spät“, befürchtet Donna F. Dodson vom NIST, denn auch die Implementierung der neuen Algorithmen in die bestehende IT-Infrastruktur wird viele Jahre erfordern. Anschließend müssen Firmen und Institutionen zahlreiche der heute verwendeten Verfahren gegen die neuen austauschen, ohne das dies zu Kommunikationsproblemen oder Sicherheitslücken führt.

Probleme bei der Geheimhaltung

„Der Bereich der Geheimhaltung“, so Reinhard Posch, CIO der österreichischen Bundesregierung, stehe nun ganz allgemein „vor schwierigen Problemen“. Zu der Gefahr des aktuellen Fälschens und Mitlesens addiert sich die Gefahr, heute abgeschöpfte Informationen später zu entschlüsseln. Denn Informationen lassen sich speichern. Und genau das tut das weltweit größte Rechenzentrum. Es gehört der NSA und steht in Utah. Mit zwölf Exabyte Speicherkapazität besitzt es genug Kapazität, um mindestens ein Terabyte Informationen pro Mensch auf der Erde zu sichern. Vielleicht sind es aber auch schon mehr. „Die NSA kann Chiffriertexte jetzt speichern und in 2017+X entschlüsseln“, erläuterte der Informatiker Johannes Buchmann von der TU Darmstadt. Mit X ist die Geburtsstunde des Quantenrechners gemeint. Auch staatliche Stellen sind alarmiert. Hoheitliche Daten sind in Deutschland zehn Jahre zu schützen. Geheime Regierungsdokumente, auch „Verschlusssachen“ genannt, 30 Jahre. Andreas Könen vom Bundesinnenministerium wies in der Podiumsdiskussion zudem auf den Chip im neuen Personalausweis hin. Ein Quantenrechner könnte diese Komponente des Ausweises obsolet machen, und es müssten dann schnell neue Verfahren für elektronische Identitäten gefunden werden.

Kryptosystem „New Hope“

Praktiker stören sich bei Tesla, Ring-Tesla und GPV vor allem an den beachtlichen Schlüssellängen und der Rechenleistung die zur Erzeugung und zur Überprüfung der Signaturen benötigte werden. Fast zeitgleich mit dem BSI-Kongress teilte der Chipkartenhersteller Infineon mit, in Zukunft eine Variante des Krypto-Systems „New Hope“ zu verwenden, das auch schon Google für eine Demoversion des Chrome Browsers verwendet hat, und als Kandidat eines quantenresistenten Kryptosystems gilt. New Hope basiert auf dem Ring-Learning-With-Errors-Verfahren, gilt als ressourcenschonend und ist daher auch auf kontaktlosen Smartcards einsetzbar. Welches Sicherheitsniveau New Hope im Vergleich zu Tesla und GPV bietet, muss die Zukunft erweisen. Reicht ein einziges neues Verschlüsselungsverfahren aus? Dr. Manfred Lochter vom BSI beantwortet diese Frage mit „nein“. Er fordert Krypto-Agilität als Designkriterium, also die Fähigkeit, schnell auf veränderte Situationen reagieren zu können. Andreas Könen, Leiter des Stabes Cybersicherheit im Bundesinnenministerium BMI, stimmt dem zu. „Es ist ein generelles Problem, dass die heute verfügbaren Smartcards nur ein Protokoll und einen Verschlüsselungsalgorithmus beherrschen.“ Um im Falle des Falles schnell reagieren zu können, sollten Alternativen auf der Karte vorhanden sein, damit nach Enttarnung eines Sicherheitsproblems nicht auf einen Schlag Millionen von Ausweisen kurzfristig ausgetauscht werden müssen.

Aufkauf von Geheimnisträgern

Für die Experten ist es schwer vorstellbar, dass ausschließlich Studenten und Doktoranden die anstehenden Arbeiten bewältigen können. Ab einem gewissen Zeitpunkt werden kommerzielle Firmen das Ausrollen der neuen Technik übernehmen. Aktuell schützt aber niemand Deutschland und die EU vor dem Aufkauf solcher Geheimnisträger. Andreas Könen fordert daher eine neue Form des Außenwirtschaftsgesetzes, das wichtige Firmen und ihr Know-how schützt. Der 2016 von China gekaufte Roboter-Hersteller Kuka gilt als mahnendes Beispiel. Aktuell blockiert das Wirtschaftsministerium das vom Innenministerium gewünschte Gesetz. Welches PQK-Verfahren sich durchsetzen wird, ist derzeit vollkommen offen. Techniker werden die Verfahren auch erst dann wirklich optimieren können, wenn auf ihrem Labortisch ein funktionsfähiger Quantenrechner steht. Wann dieser Zeitpunkt erreicht sein wird, weiß niemand. Von da an dürften im Hase-und-Igel-Spiel zwischen Verschlüsselungs- und Entschlüsselungsexperten für lange Zeit die Entschlüsseler die Nase vorn haben.

Dipl. Phys. Bernd Schöne, freier Autor aus München