BSI: Kryptografisch relevante Quantencomputer brauchen noch 10 bis 20 Jahre
Bis Quantencomputer gängige Verschlüsselungsverfahren problemlos überwinden können, dauert es laut einer BSI-Studie noch. Es bestehe trotzdem Handlungsbedarf.
(Bild: Bartlomiej K. Wroblewski/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Einschätzung überarbeitet, wann die künftige Quanteninformatik voraussichtlich bestimmte aktuelle kryptografische Ansätze komplett aushebeln dürfte ("Kryptokalypse"). Demnach wird die Entwicklung einschlägiger, kryptografisch relevanter Quantencomputer noch ein bis zwei Jahrzehnte dauern. Voraussetzung dafür sei, dass "keine disruptiven technologischen Durchbrüche stattfinden". Angesichts ständiger Entwicklungen im Bereich Hardware und Algorithmen in diesem Bereich sei davon auszugehen, "dass der Zehn-Jahres-Horizont deutlich wahrscheinlicher werden kann". Auch dafür müssten sich aktuell vorliegende Ergebnisse aber noch "verfestigen".
Trotz der Unwägbarkeiten sieht das BSI aber in der am Montag in Version 2.0 veröffentlichten Studie "Entwicklungsstand Quantencomputer" aber nach wie vor bereits heute akuten Handlungsbedarf für "langlebige Daten", die nicht quantensicher verschlüsselt werden. Denn schon jetzt können gut ausgerüstete Akteure solche Bits und Bytes nach dem Konzept "Store now, decrypt later") aufzeichnen und in naher Zukunft entschlüsseln, wenn ein hinreichend leistungsfähiger Quantenrechner existiert. Vor allem angesichts "langer Migrationszeiten" hält es die Bonner Behörde daher für nötig, sich mit der Post-Quanten-Kryptografie zu beschäftigen. Schon 2020 empfahl sie, dass Programmierer ihre Anwendungen rund um kryptografische Mechanismen so flexibel wie möglich gestalten sollten. Das BSI demonstrierte unlängst auch mit dem Bundesforschungsministerium eine quantengesicherte Videokonferenz.
Ära der frühen Quantenüberlegenheit
Bessere Quantencomputer könnten gängige Verschlüsselungsverfahren im Handstreich überwinden. Konkret bedroht sind vor allem häufig eingesetzte asymmetrische Verfahren wie Diffie Hellman, DSA und RSA. Wissenschaftler und die NSA schätzten bisher, die Quanteninformatik könnte in einer Zeitspanne zwischen fünf und 50 Jahren für solche Zwecke einsatzbereit sein. Ein Großteil einschlägiger kryptografischer Mechanismen etwa auch mit elliptischen Kurven "kann nicht mehr als sicher betrachtet werden, sobald die Faktorisierung großer Ganzzahlen und die Berechnung sogenannter diskreter Logarithmen effizient möglich ist" schreibt das BSI nun dazu. Der US-Mathematiker Peter Shor habe schon Mitte der 1990er Jahre gezeigt, dass beide Probleme effizient gelöst werden könnten, "wenn ein hinreichend großer und verlässlicher Quantencomputer verfügbar ist".
Nach mehr als 25 Jahren Entwicklung konsolidiert sich laut der überarbeiteten Analyse das Feld der Hardwareplattformen. Zudem werde der Zugriff auf Quantenprozessoren als Dienstleistung von mehreren Firmen angeboten. Dies erlaube die Entwicklung und Evaluation von Quantenalgorithmen. Der Stand des Gebietes könne "als Ära der frühen Quantenüberlegenheit bezeichnet werden". Zum Lösen von anwendungsorientierten Problemen seien die Anforderungen aber deutlich höher. Der große Aufwand der Fehlerkorrektur mache es für akademische und industrielle Labors auf absehbare Zeit unwahrscheinlich und wohl auch wirtschaftlich uninteressant, einen kryptografisch relevanten Quantencomputer zu realisieren. Wenn jedoch eine große Industrienation ihre Forschungsanstrengungen auf dieses Ziel konzentrierte, erscheine ein Rechner mit wenigen Millionen physikalischer Qubits erreichbar, der zumindest in 100 Tagen 2048-Bit RSA brechen könne.
Vor der Etablierung fehlerkorrigierter Quantencomputer steht den Autoren zufolge die Ära der "Noisy Intermediate-Scale Quantum"-Technologien (NISQ). Bei diesen könnten Fehler zumindest durch hardwarenahe Methoden abgemildert und so "auf eine begrenzte algorithmische Tiefe" zurückgegriffen werden. Das oft vermittelte Bild eines "Rennens" in der Quantencomputerentwicklung sei nicht sachgerecht: "Es sind noch viele Schritte zu gehen, die idealerweise durch Kooperation erreicht würden – mit Wettbewerb allenfalls in den Sprints bis zum nächsten Meilenstein." Genau lasse sich das aber nicht sagen, da viele Akteure "wenig publizieren". Auf Algorithmen-Seite sei Shor "immer noch der Hauptkandidat mit einer rigorosen Laufzeitanalyse im Hinblick auf einen zugänglichen Quantenvorteil". Stetige Fortschritte bei seiner Implementierung und Kompilierung führten zu einer schrittweisen Verringerung der Hardwareanforderungen. Nötig seien aber immer noch große Gattertiefen von über einer Billion für RSA 2048-Instanzen.
(akn)
