Quantum Security
Quantenrechner: Eine Gefahr für die Verschlüsselungstechnik?
Warum sich Krypto-Agilität zur Schlüsselfähigkeit entwickelt
Mit den superschnellen Quantenrechnern verbindet sich die Hoffnung auf unzählige neue Anwendungen und Geschäftsmodelle. Gleichzeitig läuten die Supercomputer das Zeitalter der Post-Quantenkryptografie ein, weil sie eine Bedrohung gängiger Verschlüsselungsverfahren darstellen. Das nötige Umstellen auf quantensichere Algorithmen erfordert einen hohen Zeit- und Kostenaufwand. Der bleibt im Rahmen, wenn eine Security-Umgebung auf Krypto-Agilität ausgerichtet wird.
Quantencomputer haben das Potenzial, die IT und viele Branchen zu revolutionieren – sowohl im positiven als auch im negativen Sinne. Im Vergleich zu herkömmlichen Superrechnern verfügen sie über eine signifikant höhere Rechenleistung, die gleichbedeutend mit mehr Analyse- und Verarbeitungskapazität für große Datenmengen ist. Ihre Fähigkeit, komplexe Berechnungen verglichen mit bisherigen Supercomputern in tausendfacher Geschwindigkeit durchzuführen, beruht auf den Qubits (Quantenbits) und einer Reihe von Quanteneffekten. Ein Qubit bildet drei Zustände ab: 0, 1 sowie beliebig viele dazwischen, die sogenannte Superposition. Ein Qubit kann beliebige Zustände gleichzeitig einnehmen, worin das Geheimnis der Hochleistungsrechner besteht: Sie sind in der Lage, unzählige Operationen parallel durchzurechnen.
Forscher verbinden mit Quantenrechnern die Hoffnung auf neue Erkenntnisse, Anwendungsfelder und Geschäftsmodelle. Erste Tests zur Simulation von Verkehrsströmen in Großstädten, von Finanztransaktionen oder in der Materialforschung zeigen, dass Quantencomputer vor allem bei Aufgaben mit einer hohen Zahl an Kombinationsmöglichkeiten ihre unglaubliche Rechen-Power ausspielen. Den aktuell leistungsstärksten Prozessor hat Google im März vorgestellt. Dieser soll über 72 Qubits verfügen .
Die aufziehende Gefahr hängt von der Zugangsfrage ab
Die negative Seite des Fortschritts lässt sich jedoch nicht ausblenden: Mit Quantenrechnern in den falschen Händen steht auch mehr Rechenleistung zur Verfügung, um heutige Security-Mechanismen auszuhebeln. Einige der heute meistgenutzten Verschlüsselungsalgorithmen werden dadurch ungültig. Das Risiko einer Quantenrechner-Attacke hängt entscheidend von der Frage ab, wer Zugang zu Quantensystemen hat. Heute limitiert ein Anschaffungspreis in zweistelliger Millionenhöhe den Nutzerkreis für die Hardware. Aber künftig wird sich die Bereitstellung von Quantenrechnern in die Cloud verlagern. So bietet IBM Wissenschaftlern schon heute den Zugang zu seinem Quantenrechner über die Cloud an. Google, Amazon und andere werden folgen. Damit steigt das Risiko, dass Cyberkriminelle oder Geheimdienste Quantensysteme verwenden, um Verschlüsselungsverfahren aus den Angeln zu heben. Forscher rechnen damit, dass in etwa zehn bis 15 Jahren Quantencomputer in größerem Maßstab verfügbar sein werden.
Die bedrohte Verschlüsselungstechnik im Überblick
Heute schützen sich Unternehmen vor dem Abfluss und Diebstahl von Know-how, indem sie sensible Informationen verschlüsseln – im gerade beginnenden Quanten-Zeitalter bedeutet das, sich mit der „Post-Quanten-Kryptografie“ (PQC) zu beschäftigen. Ansonsten werden künftig Quantensysteme die eingesetzte Verschlüsselung kompromittieren können. Beispielsweise sind Verfahren, die auf elliptischen Kurven (Elliptic Curve Digital Signature Algorithm, ECDSA) basieren und unter anderem die Schlüssel von Blockchain schützen, bedroht.
Gefährdet sind zudem asymmetrische Verschlüsselungstechniken, die mit einem öffentlichen und privaten Schlüssel arbeiten. Dazu gehört das weit verbreitete RSA-Verfahren. Dessen Sicherheit basiert darauf, dass es für einen konventionellen Rechner schwer ist und zu lange dauert, Produkte besonders großer Primzahlen in ihre einzelnen Bestandteile zu zerlegen. Diese Aufgaben werden Quantenrechner ohne größere Probleme lösen. Auch symmetrische Verschlüsselungstechniken wie AES (Advanced Encryption Standard) und SHA (Secure Hash Algorithm) werden durch Quantenrechner einen Teil ihres Sicherheitslevels einbüßen. Forscher wie Daniel L. Bernstein und Tanja Lange haben ermittelt, dass beispielsweise AES mit 256-Bit-Schlüsseln künftig nur noch so sicher sein werden wie 128 Bit lange Schlüssel.
Digitaler Fortschritt steigert den Schutzbedarf
Es wird einiges an Zeit kosten, vorhandene Verschlüsselungsverfahren auf eine neue Basis zu stellen. Die Cloud Security Alliance (CSA) geht von fünf bis zehn Jahren aus. Die Notwendigkeit dafür, dass sich Unternehmen und Forschungseinrichtungen mit PQC auseinandersetzen sollten, ergibt sich aus den Digitalisierungsfortschritten. Industrie 4.0, der digitale Handel, Smart Metering, autonomes Fahren und das Internet der Dinge setzen eine sichere Kommunikation voraus. Gelingt es Hackern, Fabriken, Verkehrsleitsysteme oder Kraftwerke lahmzulegen, kann das katastrophale Folgen haben. Doch gerade solche Einrichtungen mit einer zuverlässigen und zugleich flexiblen Verschlüsselungsarchitektur auszustatten, erfordert einen Vorlauf von mehreren Jahren.
Anpassungsfähig durch Krypto-Agiltät
Eine quantenresistente Krypto-Systemumgebung in Unternehmen oder öffentlichen Einrichtungen lässt sich nicht in einem Zug aufbauen. Es ist schlicht unmöglich, gleichzeitig Lösungen, Algorithmen, Verfahren für den Austausch von Schlüsselmaterial und Zertifikate zu implementieren, die allesamt bereits für das PQC-Zeitalter ausgelegt sind. Daraus leitet sich die wesentliche Anforderung an eine Kryptografie-Lösung ab: Sie muss sich flexibel an die kommenden Bedingungen, u.a. der PQC, anpassen. Der dazu nötige Aufwand hält sich nur dann im akzeptablen Rahmen, wenn eine Kryptografie-Umgebung agil ist. Krypto-Agilität bedeutet, dass Applikationen, Endgeräte und Hardware-Sicherheitsmodule (HSM) anpassungsfähige Protokolle und Update-Verfahren verwenden, die zum Beispiel eine Umstellung auf Post-Quantum-Primitiven gestatten.
Krypto-Agilität schlägt eine Brücke zwischen Verschlüsselungstechniken, die noch nicht quantensicher sind und solchen, die den neuen Anforderungen bereits genügen. Das gilt für Chips, Geheimnisse und Software-Code. Erste Hybrid-Ansätze, die PQC und bislang gängige Kryptografie-Verfahren verwenden, sind in der Entwicklung. Auch Google hat bei seinem PQC-Algorithmus NewHope diese Vorgehensweise gewählt.
Hardware-Sicherheitsmodule und Software Development Kits als Wegbereiter
Ein Großteil der Verschlüsselungs-Hardware auf dem Markt lässt sich jedoch nicht flexibel anpassen. Das Einspielen neuer Firmware oder die Implementierung neuer Algorithmen ist oft aufwändig. Es gibt aber HSM, bei denen Updates im Feld problemlos funktionieren, um Firmware oder Scripts mit neuen Algorithmen nachzuladen. Anwender, die mit HSM ohne zusätzlichen Aufwand einen quantensicheren Schutz aufbauen wollen, sollten darauf achten, dass ihre Lösung große Schlüssellängen unterstützt. Außerdem sollte ihre Rechenleistung großzügig ausgelegt sein, um die Hardware-Komponenten für die Verschlüsselung nicht tauschen zu müssen.
Im Idealfall bieten Hersteller für ihre Hardware-Sicherheitsmodule ein Software Development Kit (SDK) an. So geht Sicherheitsspezialist Utimaco vor, wodurch Nutzer eigene Algorithmen, maßgeschneiderte Schlüsselableitungen oder komplexe Protokolle erstellen können. Zudem lassen sich neue PQC-Algorithmen und Schlüssel in das HSM integrieren – ein flexibler und zukunftssicherer Ansatz, der sich nicht nur für die Post-Quanten-Ära eignet, sondern unverzichtbar ist. Das gilt sowohl für Umgebungen, in denen eine symmetrische Verschlüsselung zum Einsatz kommt, als auch für solche, die asymmetrische Verfahren verwenden. Damit symmetrische Kryptografie-Verfahren als "fit“ für das PQC-Zeitalter gelten können, müssen zumindest ihre Schlüssellängen verdoppelt werden.Hardware-Sicherheitsmodule und ein flexibles SDK eignen sich im besonderen Maß, die neuen Sicherheitsaufgaben krypto-agil anzugehen. Momentan ist das der sichere Weg in die Post-Quantenkryptografie.
Über den Autor:
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und seit 2011 CEO. Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV (Bertelsmann). Neben einem Master Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern hat Malte Pollmann eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen. Parallel zu seiner Arbeit bei Utimaco ist er auch im Aufsichtsrat der „International School of IT-Security“ isits AG, Bochum.
