Wie Kryptosysteme auf Angriffe von Quantencomputern vorbereitet werden

Die von Lov Grover und Peter Shor entwickelten Algorithmen für Quantencomputer bedrohen gängige Verschlüsselungs- und Signaturmethoden. Besonders Shors Algorithmus stellt praktisch die gesamte Kommunikationssicherheit in der IT infrage, weil er verbreitete asymmetrische Kryptosysteme bricht. Was man dazu braucht, ist ein leistungsfähiger, zuverlässiger Quantencomputer mit ausreichend Qubits. Experten schätzen, dass dazu bei weiter sinkender Fehlerrate eine Größenordnung von einer Million Qubits erforderlich ist, sozusagen ein Megaqubit.

Das mag moderat erscheinen, aber das Allerbeste, was die Forschung aktuell zu bieten hat, sind kapriziöse Prozessoren mit einigen Dutzend Qubits, die alles andere als zuverlässig funktionieren. Das klingt nicht nach einer unmittelbaren Gefahr. Aus einer ganzen Reihe von Gründen ist es trotzdem ratsam, sich schon jetzt um Post-Quanten-Kryptografie zu kümmern.

Angriff aus der Zukunft

Der wichtigste Grund ist, dass Post-Quanten-Kryptografie etabliert sein muss, lange bevor es die ersten leistungsfähigen Quantencomputer gibt. Denn auch verschlüsselte Kommunikation kann aufgezeichnet werden – was verschiedene Akteure tatsächlich tun, um sie später zu analysieren. Kryptosysteme müssen also mehr können, als nur heute Angriffen mit aktuellen Methoden standzuhalten. Sie müssen auch zukünftigen Angriffen widerstehen, die Hardware nutzen, die es heute noch gar nicht gibt. Idealerweise sollte eine Verschlüsselung für immer unknackbar sein, aber das kann kein System garantieren. In der Praxis verlieren die meisten Daten ihren Wert und ihre eventuelle Brisanz spätestens nach einigen Jahrzehnten, sodass Verschlüsselungssysteme nur für solche Zeiträume Sicherheit bieten müssen.

Ob es in zehn oder zwanzig Jahren leistungsfähige Quantencomputer geben wird, kann natürlich niemand mit Sicherheit sagen. Allerdings prognostizieren Unternehmen wie IBM oder Google, die an Quantencomputern forschen, durchaus solche Fortschritte. Das mag ambitioniert klingen, aber es ist nicht utopisch. Auch die Entwicklung klassischer Computer ist von exponentiellen Steigerungen geprägt, wie sie auch das bekannte Moore’sche Gesetz beschreibt. Die Entwicklung und Verbesserung von Quantencomputern könnte ähnlich voranschreiten. Schon als reine Vorsichtsmaßnahme ist es daher höchste Zeit, sich um Post-Quanten-Kryptografie zu kümmern. Das gilt sowohl für die Erfinder und Standardisierer Quantencomputer-sicherer Kryptosysteme als auch für deren Anwender. An welchen Ideen erstere arbeiten und wann es erste Standards geben wird, erfahren Sie auf Seite 68.

Nicht abwarten, sondern vorbereiten

Programmierer und Unternehmen, die Kryptosysteme einsetzen, müssen sich ebenfalls bereits Gedanken machen, statt abzuwarten, bis neue Standards verabschiedet sind. Um keine Zeit zu verlieren – die am Ende möglicherweise fehlt –, sollte man seine Krypto-Infrastruktur bereits jetzt auf die absehbare Entwicklung vorbereiten.

Das Problem wird dadurch verschärft, dass Kryptosysteme, die vor Quantencomputern sicher sind, aktuell verbreitete Methoden nicht einfach eins-zu-eins ersetzen können. Die neuen Verfahren haben andere Vor- und Nachteile und Gefahren, auf die man achten muss; ihre Schlüssel- oder Signaturgrößen unterscheiden sich, was Auswirkungen auf ihre Praktikabilität hat, und manche „Standardbausteine“ fehlen ganz: Zum Beispiel Quantencomputer-resistente Alternativen zum Diffie-Hellman-Schlüsselaustausch; daran wird geforscht, aber es ist kein solcher Standard abzusehen.

Unternehmen tun also gut daran, ihre Krypto-Infrastruktur flexibel zu halten, um neue Standards möglichst schnell und problemlos implementieren zu können. „Kryptoagilität“ lautet das zugehörige Stichwort. Ab Seite 62 erklären wir, was Unternehmen jetzt schon leisten können und sollten.

Fazit

Noch gibt es keine kryptografisch relevanten Quantencomputer. Aber wer versäumt, sich vorzubereiten, dem geht am Ende eventuell die Zeit aus, schließlich braucht so manche Systemumstellung letztlich länger als veranschlagt. Und falls die Quantencomputer-Entwicklung doch langsamer vonstattengeht, hat man immerhin die eigene Infrastruktur auf Vordermann gebracht und kann beruhigt abwarten, was die Zukunft bringt. (syt@ct.de)