Wie Kryptosysteme auf Angriffe von Quantencomputern vorbereitet werden
Obwohl es noch keine wirklich nützlichen Quantencomputer gibt, muss man sich schon jetzt vor ihnen schützen. Andernfalls steht ein böses Erwachen bevor.
(Bild: Thomas Kuhlenbeck)
Die von Lov Grover und Peter Shor entwickelten Algorithmen für Quantencomputer bedrohen gängige Verschlüsselungs- und Signaturmethoden. Besonders Shors Algorithmus stellt praktisch die gesamte Kommunikationssicherheit in der IT infrage, weil er verbreitete asymmetrische Kryptosysteme bricht. Was man dazu braucht, ist ein leistungsfähiger, zuverlässiger Quantencomputer mit ausreichend Qubits. Experten schätzen, dass dazu bei weiter sinkender Fehlerrate eine Größenordnung von einer Million Qubits erforderlich ist, sozusagen ein Megaqubit.
Das mag moderat erscheinen, aber das Allerbeste, was die Forschung aktuell zu bieten hat, sind kapriziöse Prozessoren mit einigen Dutzend Qubits, die alles andere als zuverlässig funktionieren. Das klingt nicht nach einer unmittelbaren Gefahr. Aus einer ganzen Reihe von Gründen ist es trotzdem ratsam, sich schon jetzt um Post-Quanten-Kryptografie zu kümmern.
Angriff aus der Zukunft
Der wichtigste Grund ist, dass Post-Quanten-Kryptografie etabliert sein muss, lange bevor es die ersten leistungsfähigen Quantencomputer gibt. Denn auch verschlüsselte Kommunikation kann aufgezeichnet werden – was verschiedene Akteure tatsächlich tun, um sie später zu analysieren. Kryptosysteme müssen also mehr können, als nur heute Angriffen mit aktuellen Methoden standzuhalten. Sie müssen auch zukünftigen Angriffen widerstehen, die Hardware nutzen, die es heute noch gar nicht gibt. Idealerweise sollte eine Verschlüsselung für immer unknackbar sein, aber das kann kein System garantieren. In der Praxis verlieren die meisten Daten ihren Wert und ihre eventuelle Brisanz spätestens nach einigen Jahrzehnten, sodass Verschlüsselungssysteme nur für solche Zeiträume Sicherheit bieten müssen.
»Kryptosysteme müssen auch zukünftigen Angriffen widerstehen, die Hardware nutzen, die es noch gar nicht gibt.«
Ob es in zehn oder zwanzig Jahren leistungsfähige Quantencomputer geben wird, kann natürlich niemand mit Sicherheit sagen. Allerdings prognostizieren Unternehmen wie IBM oder Google, die an Quantencomputern forschen, durchaus solche Fortschritte. Das mag ambitioniert klingen, aber es ist nicht utopisch. Auch die Entwicklung klassischer Computer ist von exponentiellen Steigerungen geprägt, wie sie auch das bekannte Moore’sche Gesetz beschreibt. Die Entwicklung und Verbesserung von Quantencomputern könnte ähnlich voranschreiten. Schon als reine Vorsichtsmaßnahme ist es daher höchste Zeit, sich um Post-Quanten-Kryptografie zu kümmern. Das gilt sowohl für die Erfinder und Standardisierer Quantencomputer-sicherer Kryptosysteme als auch für deren Anwender. Erstere arbeiten bereits fleißig an verschiedenen Konzepten und schon bald soll es erste Standards geben.
Nicht abwarten, sondern vorbereiten
Programmierer und Unternehmen, die Kryptosysteme einsetzen, müssen sich ebenfalls bereits Gedanken machen, statt abzuwarten, bis neue Standards verabschiedet sind. Um keine Zeit zu verlieren – die am Ende möglicherweise fehlt –, sollte man seine Krypto-Infrastruktur bereits jetzt auf die absehbare Entwicklung vorbereiten.
Das Problem wird dadurch verschärft, dass Kryptosysteme, die vor Quantencomputern sicher sind, aktuell verbreitete Methoden nicht einfach eins-zu-eins ersetzen können. Die neuen Verfahren haben andere Vor- und Nachteile und Gefahren, auf die man achten muss; ihre Schlüssel- oder Signaturgrößen unterscheiden sich, was Auswirkungen auf ihre Praktikabilität hat, und manche "Standardbausteine" fehlen ganz: Zum Beispiel Quantencomputer-resistente Alternativen zum Diffie-Hellman-Schlüsselaustausch; daran wird geforscht, aber es ist kein solcher Standard abzusehen.
Unternehmen tun also gut daran, ihre Krypto-Infrastruktur flexibel zu halten, um neue Standards möglichst schnell und problemlos implementieren zu können. "Kryptoagilität" lautet das zugehörige Stichwort, mit dem sich betroffene Unternehmen jetzt schon beschäftigen können und sollten.
Fazit
Noch gibt es keine kryptografisch relevanten Quantencomputer. Aber wer versäumt, sich vorzubereiten, dem geht am Ende eventuell die Zeit aus, schließlich braucht so manche Systemumstellung letztlich länger als veranschlagt. Und falls die Quantencomputer-Entwicklung doch langsamer vonstattengeht, hat man immerhin die eigene Infrastruktur auf Vordermann gebracht und kann beruhigt abwarten, was die Zukunft bringt.
In c’t 16/2021 haben wir das neue kachelfreie Windows 11 getestet, erläutern dessen Systemanforderungen, den neuen Store und wie Sie die neue Vorabversion kostenlos selbst ausprobieren. Warum Quantencomputer die klassische Verschlüsselung bedrohen, zeigen wir in einem weiteren Schwerpunkt auf. Außerdem widmen wir uns dem Alleskönner USB-C, testen lange Kabel, Kopfhörer mit Geräuschunterdrückung und Apps fürs Rückentraining. Ausgabe 16/2021 finden Sie ab dem 6. Juli im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(syt)
