Image: Schutz vor dem QuantencomputerQuantencomputer bringen Probleme für die Kryptografie | mviamonte
TechnikDie Codeknacker von morgen

Schutz vor dem Quan­ten­com­puter

Lesezeit ca.: 4 Minuten
Rüdiger Vossberg

Rüdiger Voßberg

freier Journalist

Quantencom­puter könnten heutige Verschlüs­se­lungs­me­thoden in wenigen Sekunden knacken. Deshalb ist ihr zukünftiges Einsatzsze­nario eine akute Bedrohung für die klassische Computer­kom­mu­ni­ka­tion. Forscher arbeiten an Sicherheits­me­cha­nismen, die gegen Quantenrechner bestehen können.

10. März 2020

Am 23. Oktober 2019 verkündete Google den „Quantum Supremacy“, also den Moment, in dem ein Quantencom­puter (QC) bei einer bestimmten Aufgabe erstmals herkömmli­chen Rechnern überlegen ist. Der Quantenpro­zessor „Sycamore“ löste ein spezielles mathemati­sches Problem in wohl nur 200 Sekunden, für die der schnellste Supercom­puter der Welt angeblich rund 10.000 Jahre geschuftet hätte. 

Geschwin­dig­keits­vor­teil der Quanten

„Die Unternehmen müssen endlich aufwachen!“ sagt Johannes Buchmann, renommierter Kryptografie-Experte und ehemaliger Professor am Fachbereich Informatik der Technischen Universität (TU) Darmstadt. „Quantencom­puter sind längst kein akademisches Spielzeug mehr, sondern eine potenzielle Bedrohung für die klassische und heute verwendete Kryptografie.“ Aber auch keine Überraschung.

Bereits vor 26 Jahren hatte der US-amerikani­sche Mathematiker Peter Shor sein Verfahren vorgestellt, mit dem ein Produkt zweier sehr großer Primzahlen auf einem Quantencom­puter in Nullkomma­nichts in die Faktoren zerlegt werden kann. Warum ist das so spektakulär? Nun, auf der Schwierig­keit dieser Aufgabe beruht die Sicherheit heute gängiger Verschlüs­se­lungs- und Signatur­ver­fahren, wie zum Beispiel das RSA-Kryptosystem.

Für kleine Zahlen ist die Primfaktor­zer­le­gung vielleicht nur eine Denksport­auf­gabe, bei großen Zahlen hingegen erweist sie sich aber als extrem aufwändig. Und weil klassische Computer bei der Primfaktor­zer­le­gung großer Zahlen sehr lange rechnen müssen, galt diese Sicherheits­ga­rantie bislang auch als sehr verlässlich – bis Shor seinen Algorithmus veröffent­licht hatte. Damit wurde im Prinzip schon das Zeitalter der Post-Quanten-Kryptografie eingeläutet, als der Quantencom­puter noch ein theoreti­sches Gedanken­mo­dell war.

Quantenre­sis­tent signiert

Seither beschäftigen sich immer mehr Kryptografen mit Verschlüs­se­lungs- und Signatur­ver­fahren, die auch Quantencom­puter-basierten Angriffen standhalten sollen. Im Wettlauf zwischen Rechenkraft potenzieller Quantencom­pu­tern und Verschlüs­se­lungs­technik konnten Wissenschaftler eine Etappe gewinnen: Ein gemeinsames Forscher­team der TU Darmstadt und des deutschen IT-Sicherheits­un­ter­neh­mens genua GmbH hat bereits ein Quantencom­puter-resistentes Signatur­ver­fahren entwickelt – Es ist der erste veröffent­lichte Internet-Standard (RFC 8391) zu Post-Quantum-Signaturen.

Mithilfe von Signaturen werden heute beispiels­weise die Echtheit von E-Mails, SSL-Zertifikaten oder Software-Updates garantiert. „Sie sind der Grundbau­stein für die Sicherheit des Internets“, konstatiert Prof. Buchmann. Kern der Darmstädter Lösung ist ein sogenanntes Hash-basiertes Verfahren: Hashes sind wie einzigar­tige digitale Fingerab­drücke. Aufgrund ihrer Eigenschaften gelten kryptogra­fisch sichere Hash-Funktionen als resistent gegen Quantencom­puter-Attacken. „Das ist ein Sicherheits­ver­spre­chen nach bestem Wissen und Gewissen, aber keine Garantie, dass es nicht doch irgendwann auch verletzlich ist“, mahnt der Professor.

Datenver­schlüs­se­lung für Kleinstge­räte

Von daher ist es äußerst wichtig, die herkömmli­chen Systeme vor dem Quantencom­puter zu schützen, auf denen noch lange Zeit die Bits und Bytes arbeiten. Nicht nur Satelliten, die einmal in die Erdumlauf­bahn geschossen und noch weitere Jahrzehnte sicher kommunizieren müssen, sondern auch die Abermilli­arden von Kleinstge­räten des täglichen Lebens auf der Erde: Smartphones, elektroni­sche Schlösser, Bank- oder Gesundheits­karten. Überall ist die QC-anfällige Kryptografie implemen­tiert. Der Sonderfor­schungs­be­reich CROSSING der Deutschen Forschungs­ge­mein­schaft (DFG) an der TU Darmstadt beschäftigt sich im Bereich der Post-Quanten-Kryptografie auch mit Konzepten zur langfris­tigen Sicherheit von medizini­schen Daten.

Ein wichtiges Forschungs­ge­biet, an dem auch das Deutsche Forschungs­zen­trum für Künstliche Intelligenz (DFKI) GmbH in Bremen gemeinsam mit mehreren Partnern an Verfahren arbeitet, um medizini­sche Daten durch updatefä­hige Systeme langfristig vor Attacken durch Quantencom­puter zu schützen. „Diese Update-Fähigkeit ist vor allem für eingebet­tete Systeme ein wichtiges Kriterium“, erklärt DFKI-Forscher Prof. Dr.-Ing. Tim Güneysu. Ihr Austausch sei um einiges kostenauf­wän­diger und wegen der verschie­denen Komponenten auch riskanter als bei individu­ellen Rechensys­temen.

Neue Kryptover­fahren im Wettlauf mit der Zeit

Aus diesem Grund soll im Rahmen des wissenschaft­li­chen Projekts „PQC4MED“ eine Update-Plattform für eingebet­tete Systeme in der Medizintechnik entstehen, die sowohl hardware- als auch software­seitig Krypto-Agilität schafft und so den zukünftigen Einsatz von QC-resistenten Algorithmen ermöglicht. Schließlich können alle Datensätze mit langzeit­bri­santen Informationen auch retrospektiv entschlüs­selt werden. „Deshalb müssen wir so schnell wie möglich Verschlüs­se­lungs-Alternativen einsetzen, bei denen die exorbitante Rechenge­schwin­dig­keit der Quantencom­puter keine Vorteile mehr hat“, fordert Prof. Güneysu.

Die amerikani­sche Behörde, das National Institute of Standards and Technology (NIST), überprüft zur Zeit im Rahmen eines Standardi­sie­rungs­pro­zesses mehrere quantenre­sis­tente Verschlüs­se­lungs­ver­fahren. Erste verbindliche Ergebnisse sind allerdings erst in drei Jahren zu erwarten. Danach könnten zum Beispiel neue Sicherheits­mo­dule für den Einsatz im Automobil konkret entwickelt werden. „Berücksich­tigt man die hohen Vorlaufzeiten der Branche, kommen diese Anwendungen wohl nicht vor 2030 auf den Markt“, sagt Prof. Güneysu. Bleibt zu hoffen, dass bis dahin noch kein funktions­tüch­tiger Großquan­ten­rechner auf dem Markt ist.