"Kryptokalypse": BSI und EU-Partner mahnen quantensichere Verschlüsselung an

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit seinen Partnerbehörden aus Frankreich, den Niederlanden und Schweden Schritte ausgelotet, um Kryptografie quantensicher zu machen. Hintergrund ist, dass leistungsfähige Quantencomputer gängige Verschlüsselungsverfahren im Handstreich überwinden könnten ("Kryptokalypse"). Das BSI geht hier – ohne unerwartete technologische Durchbrüche – von einem Zeithorizont von zehn bis 20 Jahren aus. Die Suche nach einem Ersatz für aktuell genutzte Algorithmen für die Public-Key-Kryptografie läuft daher auf Hochtouren, um weiterhin etwa E-Mails, Online-Banking, medizinische Daten, den Zugang zu Kontrollsystemen und nationale Sicherheitsaufgaben absichern zu können.

Zur quantensicheren Verschlüsselung werden zwei grundlegend verschiedene Ansätze diskutiert. Das ist zum einen die Post-Quanten-Kryptografie (PQK). Bei der US-Normungsbehörde NIST läuft derzeit die finale Runde eines Wettbewerbs zur Kür eines oder mehrerer neuer nationaler Standards für eine solche quantensichere Verschlüsselung. Die zweite Technologie ist als Quantum Key Distribution (QKD) bekannt. Bei diesem Quantenschlüsselaustausch geht es darum, Quanteneffekte zu nutzen, damit sich zwei entfernte Parteien über einen unsicheren Kanal auf einen geheimen Schlüssel einigen können. Derlei Verfahren haben laut dem Positionspapier der vier Cybersicherheitsbehörden "große Aufmerksamkeit erregt". Verfechter dieser Technik stellten ein "beispielloses Maß an Sicherheit gegen Angriffe sowohl von klassischen als auch von Quantencomputern" in Aussicht, verbreiteten bislang aber viel heiße Luft.

BSI: "Post-Quanten-Gefahr ist sehr real"

"QKD ist eine interessante Technologie und die Forschung zu diesem Thema sollte fortgesetzt werden", sind sich die Experten einig. Derzeit komme der Ansatz aber noch rasch an seine Grenzen. So sei dafür etwa spezielle Hardware nötig, was zu hohen Kosten führe. Ferner schränke die geringe Reichweite aufgrund von Signalverlusten im Lichtleiter den Einsatzbereich weiter ein. Selbst bei den wenigen Nischenanwendungen, bei denen der Einsatz von QKD aktuell geeignet wäre, sei die Technologie noch nicht ausgereift, um alle sicherheitsrelevanten Aspekte zu erfüllen. QKD wird etwa im europäischen Projekt CiViQ (Continuous Variable Quantum Communications) vorangetrieben, an dem fünf Forschungseinrichtungen wie das Fraunhofer Heinrich-Hertz-Institut, sechs Universitäten und zehn Unternehmen beteiligt sind.

Die vier Ämter brechen deswegen eine Lanze für PQK. Diese könne auf klassischer Hardware implementiert werden und sei kurzfristig verfügbar: Voraussichtlich noch 2024 würden erste Standards vom NIST veröffentlicht, wo aber traditionell auch die NSA stark vertreten ist. Die zuständigen Experten haben sich beim Einschätzen der Stärke des bislang als besonders chancenreich gehandelten Post-Quanten-Systems Kyber-512 völlig verrechnet, gab der Kryptologe Dan Bernstein jüngst zu bedenken und zeigte sich sehr besorgt. Die beteiligten Behörden sprechen sich trotzdem einhellig dafür aus, den Fokus bei der Migration auf Post-Quanten-Kryptografie zu legen. Abhängig vom Anwendungsfall sollte frühzeitig und kontinuierlich im Rahmen eines Risikomanagements abgewogen werden, ob und wann ein Umstieg auf Quantencomputer-resistente Verfahren erfolgen sollte. BSI-Präsidentin Claudia Plattner mahnt dabei zur Eile: "Mit dem Tempo, in dem sich hochleistungsfähige Computer fortentwickeln, ist die Post-Quanten-Gefahr sehr real".

(bme)