Kommentar: Alle reden von Post-Quanten-Krypto, kaum jemand verschlüsselt

Inhaltsverzeichnis

Wird es jemals Quantencomputer geben, die stark genug sind, um Kryptoverfahren wie RSA, Diffie-Hellman oder den Digital Signature Algorithm (DSA) zu brechen? Die Antwort auf diese Frage könnte durchaus „nein“ lauten. Ist der aktuelle Post-Quanten-Hype daher völlig übertrieben? Genauso nein, denn auf das Prinzip „es wird schon alles gutgehen“ kann man sich nicht verlassen.

Ein Kommentar von Klaus Schmeh

Klaus Schmeh ist Experte für Kryptografie bei Eviden Digital Identity, außerdem Buchautor und Blogger bei www.schmeh.org.

Deshalb fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) zurecht, dass innerhalb der nächsten ein bis zwei Jahrzehnte auf Post-Quanten-Verfahren umgestellt wird. Als ersten Schritt in diese Richtung hat das BSI in den vergangenen Jahren einige Post-Quanten-Verfahren in seine Krypto-Algorithmen-Empfehlung TR 02102-1 aufgenommen.

Dass die Damen und Herren in Bonn dabei äußerst vorsichtig agieren und nur besonders sichere Methoden empfehlen, ist nachvollziehbar – schließlich steht die Sicherheit der Nation auf dem Spiel, wenn ein Kryptoverfahren gebrochen werden sollte. Doch müssen es, wie das BSI in seiner Richtlinie empfiehlt, wirklich hybride Verfahren sein? Also Kombinationen aus herkömmlichen Algorithmen und Post-Quanten-Methoden, die das Verschlüsseln langsamer und komplizierter machen?

Neben dem BSI meinen auch die IT-Sicherheitsbehörden in den meisten anderen EU-Staaten: Ja, es muss sein. Die diversen Post-Quanten-Verfahren sind nämlich noch nicht so gut untersucht, wie es wünschenswert wäre. Es könnte daher noch die eine oder andere Schwachstelle entdeckt werden, und deshalb lohnt es sich, für eine Übergangszeit auf beide Technologien gleichzeitig zu setzen.

Hybride Verfahren – das „kleinere Risiko“

Und was sagt die Industrie? Eine Anfrage der iX beim Branchenverband TeleTrusT ergab, dass man dort zumindest keine Einwände gegen die Hybrid-Strategie des BSI hat. Dominik Kowol, CTO des TeleTrusT-Mitglieds eperi, erklärte zudem: „Die zusätzliche Komplexität, die hybride Verfahren mit sich bringen, ist das kleinere Risiko – insbesondere bei Systemen mit langen Schutzbedarfszeiträumen von 10 bis 30 Jahren. Ein späterer Austausch eines breit ausgerollten Post-Quanten-Verfahrens wäre nicht nur technisch aufwendig, sondern auch regulatorisch und organisatorisch deutlich schwieriger umzusetzen.“

Man kann also verstehen, dass das BSI auch an dieser Stelle keine kryptografischen Kompromisse eingeht und daher hybride Algorithmen empfiehlt. Dass ab 2032 nur noch derartige Verfahren für die asymmetrische Verschlüsselung verwendet werden sollen und dass ab 2036 Gleiches für digitale Signaturen gelten soll, erscheint zwar etwas kurzfristig, ist jedoch angesichts der bekanntermaßen konservativen Haltung des BSI nur konsequent.

BSI empfiehlt auch Exoten

Geteilter Meinung kann man dagegen über eine andere Entscheidung des BSI sein. Mit den Post-Quanten-Verfahren FrodoKEM und McEliece, die wie alle anderen vorläufig nur hybrid eingesetzt werden sollen, hat die Behörde bereits 2020 zwei Methoden in die Richtlinie aufgenommen, die sich beim NIST-Wettbewerb nicht durchsetzen konnten. An der Sicherheit dieser Verfahren bestehen zwar keine Zweifel, doch die praktischen Probleme – FrodoKEM ist langsam, McEliece erfordert extrem lange Schlüssel – sind nicht zu übersehen.

Auch wenn die ISO beide Algorithmen aktuell standardisiert, ist fraglich, ob sie sich durchsetzen können. Es droht daher an dieser Stelle ein deutscher Sonderweg in der Post-Quanten-Kryptografie, mit dem niemandem gedient ist. Das BSI sollte diese Methoden daher unter Vorbehalt stellen oder sogar ganz aus der Richtlinie entfernen.

Was jetzt noch stört, ist der Anwender

Die Zusammensetzung des Post-Quanten-Portfolios des BSI in der TR 02102-1 hat insgesamt also Hand und Fuß. Eines sollte man jedoch bei alledem nicht vergessen: Es gibt außer der drohenden Quanten-Apokalypse derzeit noch andere Herausforderungen in der Kryptografie, die völlig zu Unrecht in den Hintergrund gerückt sind. Insbesondere besteht das größte Problem in der Verschlüsselungstechnik nach wie vor darin, dass sie zu wenig genutzt wird.

So haben verschlüsselte E-Mails immer noch Seltenheitswert, genauso wie verschlüsselte Telefongespräche. Zudem fristet die digitale Signatur noch immer ein Schattendasein, das auch die Signaturfunktion des elektronischen Personalausweises einschließt – drei Jahrzehnte nach Inkrafttreten der ersten Signaturgesetze.

Die Wissenschaft ist dennoch größtenteils in eine andere Richtung unterwegs: Laut den gängigen KI-Chatbots sind in den vergangenen zehn Jahren mehrere Tausend Forschungsarbeiten zum Thema Post-Quanten-Kryptografie veröffentlicht worden, während zu Anwendungsfragen der Verschlüsselungstechnik in der gleichen Zeit nur einige Hundert Aufsätze erschienen sind. Es gehört zu den Aufgaben des BSI, dafür zu sorgen, dass letzteres Thema nicht im momentanen Post-Quanten-Hype untergeht.

(axk)