Wie und weshalb man schon jetzt quantensicher verschlüsseln sollte

Wenn vermeintlich Naheliegendes plötzlich nicht mehr intuitiv ist, kann es gut sein, dass man sich gerade mit der Quantenphysik auseinandersetzt. Denn auf einer fundamentalen Ebene scheinen ganz andere Spielregeln unser Universum zu bestimmen. 

Objekte können nicht an zwei Orten gleichzeitig sein? Aber klar doch! Dieses Prinzip wird in der Quantenphysik als Superposition bezeichnet und spielt bei der Funktionsweise von Quantencomputern eine wichtige Rolle. 

Quantencomputer auf dem Vormarsch

Ein klassischer Rechner verwendet Bits, die entweder die Werte 0 oder 1 annehmen. Ein Quantencomputer verwendet Qubits (Quantum Bits). Diese können dank des Superpositionsprinzips gleichzeitig 0 und 1 sein - oder eine Kombination der beiden. Der Wert eines Qubits basiert nämlich auf Wahrscheinlichkeiten - im Gegensatz zu einem klassischen Bit, der immer entweder 0 oder 1 ist. Ein Qubit hingegen kann unbestimmt bleiben, bis er durch eine Messung beobachtet wird. Das bekannte Gedankenexperiment von Schrödingers Katze beschreibt genau dieses Phänomen.

Diese Gleichzeitigkeit der Zustände ermöglicht es Qubits - vereinfacht gesagt -, etwa eine Rechnung für mehrere Zustände gleichzeitig durchzuführen. Herkömmliche Bits müssten dieselben Rechnungen hintereinander durchführen. Folglich könnten Quantencomputer gewisse Probleme bedeutend schneller lösen als heutige Rechner. 

Das Innere eines Quantencomputers mit 50 Qubits. (Source: Graham Carlow)

Das bedeutet jedoch nicht, dass Quantencomputer alles besser machen als konventionelle Rechner. So gibt es etwa keinen effizienteren Algorithmus zum Addieren von Zahlen als denjenigen, den klassische Rechner bereits verwenden. Folglich werden sie die Fähigkeiten herkömmliche Rechner wohl auch nicht ersetzen, sondern erweitern, indem sie bestimmte Probleme deutlich schneller lösen. 

Wenn Sie mehr über die Funktionsweise von Quantencomputern lesen möchten, finden Sie hier einen spannenden Beitrag dazu: ­Forschende von IBM und Zurich Instruments erklären, was ein Quantencomputer genau ist und welche Vorteile er bringt.

Einer der Vorteile von Quantencomputern ist, dass sie massiv schneller darin sind, grosse Zahlen in ihre nicht weiter teilbaren Primfaktoren zu zerlegen. Und genau diese Eigenschaft bereitet Cybersecurity-Experten derzeit Kopfzerbrechen. Solche Berechnungen sind mit herkömmlichen Rechnern nämlich so zeitintensiv, dass sie zur Basis moderner, asymmetrischer Verschlüsselungsverfahren wurden. Wird die Primfaktorzerlegung mit Quantencomputern zum Kinderspiel, sind diese Verschlüsselungsmethoden nicht mehr sicher. 

Das Problem mit den Primzahlen

Heutige gängige Verschlüsselungsverfahren nutzen entweder symmetrische oder asymmetrische Algorithmen. Bei den symmetrischen Verfahren werden codierte Nachrichten mit demselben Schlüssel entschlüsselt, den man auch benutzt hat, um den Text zu verschlüsseln. Bevor der Mensch seine eigene Rechenleistung mit dem Computer zu steigern begann, waren alle Verschlüsselungsverfahren symme­trisch. 

Bei asymmetrischen Verschlüsselungsverfahren verwenden Absender und Empfänger unterschiedliche Schlüssel, um die codierte Nachricht zu ver- bzw. entschlüsseln. So muss man den Schlüssel nicht teilen - was immer auch das Risiko birgt, dass der Schlüssel in die falschen Hände fällt. Verschlüsselt wird mit dem Public Key, entschlüsselt mit dem Private Key. Die beiden Keys sind zwar unterschiedlich, aber mathematisch miteinander verbunden.  

Das Team hinter RSA (v.l.): Adi Shamir, Ron Rivest und Leonard Adleman. (Source: http://people.csail.mit.edu/rivest)

Das wohl bekannteste - und auch heute noch genutzte - asymmetrische Verschlüsselungsverfahren ist RSA. Die Methode wurde Ende der 1970er-Jahre von Ron Rivest, Adi Shamir und Leonard Adleman am Massachusetts Institute of Technology entwickelt. RSA verwendet immens grosse Primzahlen. Diese Zahlen miteinander zu multiplizieren, ist auch für heutige Rechner relativ einfach. Aber um das Produkt wieder in die Primzahlen zu zerlegen, bräuchten heutige Maschinen - je nach Grösse der Primzahl - Billiarden von Jahren. Der Empfänger kennt aber die verwendeten Primzahlen und kann so die Verschlüsselung wieder rückgängig machen. 

Quantencomputer werden voraussichtlich aber nicht Äonen mit solchen Rechnungen beschäftigt sein. Leistungsfähige Quantencomputer werden gemäss dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) praktisch alle heutigen Public-Key-Verfahren unsicher machen. Also asymmetrische Verschlüsselungsverfahren, aber auch symmetrische, die bei der Schlüsselverteilung auf Public Keys setzen. Allerdings kratzte auch der Fortschritt der Technologie am Erfolg von RSA. Im Laufe der Jahre erforderte die Methode stets längere Primzahlen, um die Sicherheit der Verschlüsselung zu garantieren. Die aktuelle Empfehlung liegt bei 2048 Bits - diese beschreiben Primzahlen mit mehreren hundert Dezimalstellen. 

Mehr zum Thema Verschlüsselung erfahren Sie hier. Der Beitrag gibt einen Überblick über die Geschichte der Verschlüsselung - von der antiken Skytale über die Enigma-Maschine des Zweiten Weltkrieges bis zu modernen IT-basierten Formen der Kryptografie.

Kryptografie in einer Quanten-Ära

Ist Geheimhaltung bald ein Ding der Vergangenheit? Nein - aus verschiedenen Gründen. Um RSA zu knacken, bräuchte ein Quantencomputer wohl Tausende oder gar Millionen von Qubits mit niedrigen Fehlerraten. An diesem Punkt sind heutige Quantencomputer allerdings noch nicht. Die erste Maschine, welche die 1000-Qubit-Marke knackte, wurde erst Ende 2023 vorgestellt.

Dennoch arbeiten Cybersecurityexperten bereits heute an Verschlüsselungsverfahren, die auch Quantencomputern standhalten können - die sogenannte Post-Quanten-Kryptografie. Und sie arbeiten nicht erst seit gestern daran. Schliesslich zeigte Peter Shor bereits in den 90er-Jahren, wie man RSA mit einem ausreichend leistungsfähigen Quantencomputer theoretisch innert Tagen, wenn nicht sogar Stunden, knacken könnte. Es sollte jedoch noch ein paar Jahre dauern, bevor sein Algorithmus getestet werden konnte. 

Bei symmetrischen Verschlüsselungen (links) wird eine Nachricht mit demselben Schlüssel codiert und auch wieder entziffert. Bei asymmetrischen werden dafür unterschiedliche Schlüssel genutzt: der Public Key und der Private Key. (Source: Coen Kaat / Netzmedien)

Natürlich könnte man die Schlüssellängen einfach immer länger machen. Allerdings ist dies ein fraglicher Ansatz. Denn er basiert auf der Hoffnung, dass die Zeit, die Quantencomputer benötigen, um eine Verschlüsselung zu knacken, trotz des technologischen Fortschritts länger bleibt als die erwartete Lebensdauer der verschlüsselten Daten. Ein besserer Ansatz ist die Verwendung komplett anderer mathematischer Probleme - und zwar solcher, die mit Quantencomputern nicht effizienter verarbeitet werden können als mit herkömmlichen Rechnern. 

Für viel Bewegung in der Post-Quanten-Kryptografie sorgte das National Institute of Standards and Technology (NIST), als es 2016 dazu aufrief, entsprechende Verschlüsselungsmethoden zu entwickeln und zu testen. 2022 präsentierte das NIST die ersten vier Gewinner dieses Wettbewerbs. Ein Algorithmus für die allgemeine Verschlüsselung beim Zugriff auf sichere Websites und drei Algorithmen für digitale Signaturen bei der Überprüfung von Identitäten. Gemäss dem NIST eignen sich diese vier Methoden am besten für eine Standardisierung:

• Crystals-Kyber (gitterbasiert) für die allgemeine Verschlüsselung
• Crystals-Dilithium (gitterbasiert)  für digitale Signaturen 
• Falcon (gitterbasiert) für digitale Signaturen
• Sphincs+ (Hash-basiert) für digitale Signaturen 

Die vom NIST vorgeschlagenen Verfahren setzen entweder auf Hash- (Sphincs+) oder auf gitterbasierte Verfahren (Crystals-Kyber, Crystals-Dilithium und Falcon). Das sind aber nicht die einzigen Ansätze, mit denen Forschende dem Primzahlenproblem entgehen wollen, um Geheimes auch künftig geheim zu behalten. 

• Gitterbasierte Verfahren (engl. Lattice based) verwenden mathematischen Problemen rund um Gitter. Ein mathematisches Gitter ist eine unendliche Sammlung von Punkten im Raum mit bestimmten Eigenschaften. 
• Hash-basierte Methoden nutzen kryptografische Streuwertfunktion (engl. Hash functions). Diese Funktionen können Daten beliebiger Grösse auf einen Wert mit einer festen Grösse abbilden.   
• Andere setzen auf multivariate Polynomen. Das sind algebraische Terme, die sich als Summe von Vielfachen von Potenzen mit mehreren Unbestimmten darstellen lassen. 
• Codebasierte Kryptografie verwendet fehlerkorrigierende Codes. So sollen Empfänger in der Lage sein, Übertragungsfehler nachträglich zu beheben, um eine korrekte Decodierung zu ermöglichen. 
• Weitere Methoden ersetzen Primzahlen mit supersingulären elliptischen Kurven. Sie nutzen also Operationen auf elliptischen Kurven über endlichen Körpern.

In der Praxis werden diese Methoden auch kombiniert. So führte der Messaging-Dienst Signal etwa eine Kombination ein, die sowohl elliptische Kurven als auch den gitterbasierten Kyber-Algorithmus nutzt. Ein Angreifer müsste beide brechen, um an die Informationen zu gelangen, versichert der Dienst. Übrigens: Auch iPhone-Hersteller Apple kündigte Anfang 2024 an, den Kyber-Standard einzuführen, um iMessages zu verschlüsseln.

Jetzt handeln, statt später bereuen

Ein Problem kann die Post-Quantum-Kryptografie jedoch nicht lösen. Es geht um Attacken, die als “harvest now, decrypt later” oder auch als "steal now, decrypt later" bezeichnet werden. Dabei werden verschlüsselte Daten im grossen Stil gesammelt. Zwar können die Sammelwütigen aktuell nichts damit anfangen. Aber sie hoffen, dass sich dies eines Tages mit Quantencomputern ändern wird. Dieser Tag dürfte für die Cyberkriminellen - oder auch für Geheimdienste, die so vorgehen - vergleichbar sein mit einem Kind, das einen Haufen Kinder-Überraschungseier kriegt: Das meiste wird sich wohl als langweilig herausstellen; aber vermutlich wird man in dem Haufen auch das eine oder andere finden, worüber man sich sehr freuen wird. 

Man denke nur an all die Firmengeheimnisse, die verschlüsselt kommuniziert werden. Wie wertvoll sind diese Daten in 10 Jahren noch? Welche Auswirkungen wird es haben, falls diese verschlüsselten Informationen geknackt werden? Solche Fragen sollten sich Unternehmen und Organisationen schon heute stellen, empfehlen Raphael Reischuk, Group Head Cybersecurity & Partner, und Benjamin Rothenberger, Lead Security Consultant bei Zühlke, in einem Blogbeitrag des Unternehmens. Idealerweise sollten Unternehmen ein Inventar erstellen, das aufzeigt, wo verschlüsselte Daten längere Zeit gespeichert werden und welche aus dem Internet zugänglich sind.

Übrigens: Reischuk ist auch Mitgründer des Nationalen Testinstitut für Cybersicherheit (NTC) - sozusagen das Pendant zur Empa im Cyberbereich. Wie das NTC prüfen will, was andere nicht prüfen, erklärt Reischuk hier im Interview.

Kenny Paterson vom Departement für Computer Science der ETH Zürich. (Source: Netzmedien)

Wird dieser Tag aber wirklich jemals kommen? Ob es zu diesem Durchbruch im Bereich Quantum Computing kommen wird und wann es soweit ist, weiss aktuell niemand, wie Kenny Paterson 2023 an einem Swico-Event erklärte. Patterson ist unter anderem Professor für Angewandte Kryptografie am Computer-Science-Departement der ETH Zürich. Es sei unmöglich, hierzu eine Prognose abzugeben - man bedenke etwa, wozu herkömmliche Computer vor 30 Jahren im Stande waren, und wo sie heute stehen. "Die Kryptografie-Apokalypse könnte vor der Tür stehen - oder auch nicht", sagte er. 

Die Möglichkeit alleine sollte aber schon als Motivation genügen, um auf andere Formen der Verschlüsselung umzusteigen. Schliesslich würden sie die Sicherheit auch in einer Welt erhöhen, in der Quantencomputer niemals auf Primzahlen basierende Verschlüsselungen innert nützlicher Zeit knacken werden.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.

Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.