Kryptokalypse: Wieder ein NIST-Kandidat weniger – und nun?

Inhaltsverzeichnis

Da waren’s nur noch sieben – und das auch nur, wenn man alle Wackelkandidaten großzügig mitzählt. Dabei hatte es doch so vielversprechend begonnen, als vor etwas mehr als fünf Jahren das amerikanische National Institute of Standards and Technology (NIST) den Startschuss zur Suche quantensicherer kryptografischer Verfahren (PQC, Post Quantum Cryptography) gestartet hatte.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Beflügelt von den offenen Wettbewerben zur Kür von AES (1997 – 2000) und SHA-3 (2007 – 2012) hatte sich die Community diesmal richtig ins Zeug gelegt: Fast 70 Einreichungen kamen letztlich zusammen für das Wettrennen gegen die Zeit, zur Rettung der Welt, wie wir sie kennen. Denn, erinnern wir uns, ein einziger ausreichend großer Quantencomputer wird wahrscheinlich irgendwann in den nächsten fünf bis zwanzig Jahren alles an Kryptografie knacken, was wir im Großmaßstab im Einsatz haben, mithin sämtliche asymmetrische (und damit auch hybride) Verschlüsselung – und alle digitalen Signaturen.

Freilich wurden anfangs viele Vorschläge schnell ausgesiebt, ein bisschen Schwund ist immer, und so war 2020 noch ein Viertel der Kandidaten übrig, die eventuell (!) geeignet sein könnten, uns vor der drohenden Kryptokalypse zu bewahren.

Panik bitte jetzt!

Heute, im September 2022, wäre so langsam ein guter Zeitpunkt, in Panik zu verfallen. Ohne den kürzlich ganz klassisch ohne Quantencomputer mit einem PC innerhalb einer Stunde gebrochenen neumodischen Algorithmus SIKE haben wir jetzt noch ganze sieben Pferde im Rennen, die hoffentlich (!) den Karren aus dem Dreck werden ziehen können, von denen jedoch drei noch unter Beobachtung stehen. Wäre es das biologische Artensterben, das in diesem Tempo voranschritte – wir hätten noch etwa vier Jahre zu leben.

Es wird also allmählich knapp: Nicht nur, dass uns die Zeit ausgeht, eine nie dagewesene Großmigration aller Technologie zu planen und durchzuführen, vom Großrechner über die Banking-App bis zum Herzschrittmacher. Uns könnten auch noch die Algorithmen ausgehen. Insbesondere bei den Verschlüsselungsverfahren wird es dünn, denn davon ist momentan nur noch ein einziges (!) empfohlen.

Nun heißt es Daumen drücken, dass wenigstens das hält, während wir gleichzeitig draufhauen müssen mit allem, was wir an Expertise haben. Denn das Einzige, was noch gefährlicher wäre, als keine sicheren Algorithmen mehr übrigzuhaben, wäre zu denken, man hätte noch sichere Algorithmen übrig.

Alle Daten verloren

Die (wenigen), die schon ernsthafte Real-Life-Feldversuche mit PQC-Algorithmen durchgeführt haben, betonen gerne, dass ihre Experimente sicher seien, weil sie ja klassische und Post-Quanten-Algorithmen parallel (Signatur) beziehungsweise in Reihe (Verschlüsselung) anwenden. Das stimmt – aber auch nur, bis der Quantencomputer da ist. Dann brauchen wir von heute auf morgen überall die neuen Verfahren am Start – und verlieren immer noch alles an Daten, was irgendjemand irgendwann einmal mitgeschnorchelt hat. Und die Hoffnung auf die Quanten-Kryptografie (im Gegensatz zur Post-Quanten-Kryptografie die Kryptografie unter Nutzung von Quanteneffekten) sollte uns nicht zu sehr einlullen, da diese zwar grundsätzlich funktioniert, aber noch auf sehr lange Sicht nicht für den Großmaßstab tauglich sein wird.

Man stelle sich einmal vor, die Träume der Kryptovisionäre Ralph Merkle, Whitfield Diffie und Martin Hellman wären 1976 nicht wahr geworden. James Ellis, Clifford Cocks und Malcolm Williamson hätten bei den britischen Schlapphut-Nerds (GCHQ) ihre Erfindung und die von RSA nicht vorweggenommen. Und niemand hätte herausgefunden, wie man Dinge mit einem Schlüssel verschlüsseln, aber nur mit einem anderen entschlüsseln kann. Es ist unklar, ob sich das Internet – vor allem (aber nicht nur) als ökonomischer Raum – annähernd so hätte entwickeln können, wie wir es heute nutzen.

Schrödingers Fratze

Wäre ich bei Extinction Rebellion, ich wüsste heute nicht, ob ich mich eher an die Datenautobahn ketten sollte, um zu verhindern, dass weiter unbeschwert fossil (mit RSA oder elliptischen Kurven) "verschlüsselte" Daten versandt werden, oder an die letzten überlebenden Verfahren im NIST-Wettbewerb. Wir sind also in der ungemütlichen Lage, auf einem kleiner werdenden Sack von möglicherweise rettenden Algorithmen zu sitzen, von denen wir (wie bei Erwin Schrödingers berühmter Katze) nicht wissen, ob sie vielleicht schon tot (leicht zu brechen) sind.

Grundsätzlich ist das zwar bei allen Algorithmen der Fall, die nicht beweisbar sicher gemäß gewissen Kriterien sind. Aber bei der PQC haben wir zu lange geschlafen, uns zu sehr auf RSA, elliptische Kurven und Co. verlassen. Hoffen wir, dass sich das nicht rächt und wir The Big Migration™ erstens früh genug angehen können und zweitens nicht einer Mathematik um den Hals fallen, die genau dann unter uns zusammenbricht.

Software- und Kryptoagilität sind halbwegs harmlos klingende Stichworte. Sie könnten für uns aber bedeuten, dass wir in Zukunft – vermutlich sogar mehr als einmal – unsere komplette Vertrauenstechnik innerhalb kurzer Zeit umstellen müssen. Da kommt mir eine Idee: Ich werde mir gleich mal die Wortmarke "Crypto-Agile at Scale" sichern – und wenn es nur dazu dient, diejenigen unter meiner geschätzten Leserschaft freundlich zu triggern, die Berater-Speak so sehr lieben.

Diese Kolumne ist erstmals in iX 9/2022 erschienen.

(ur)