Kategorien: Software-Lizenzierung
Der Igel und der Quanten-Hase
Was kann uns eine alte Fabel über die Bedeutung des Quantencomputers für die Kryptografie der Zukunft lehren? Unerwartet viel! Die bekannte Geschichte des ungleichen Rennens zwischen dem Igel und dem Hasen gleicht in vielem der Situation, in der sich die Krypto-Community befindet: Mit dem Aufkommen kommerziell verfügbarer Quantencomputer und der Aussicht, dass diese in Zukunft lange sicher geglaubte kryptografische Verfahren brechen können, glaubt man das Rennen vielleicht schon verloren. Aber so katastrophal ist die Situation nicht.
Moderne Verschlüsselungstechnologien basieren auf einem eigentlich ganz einfachen Prinzip: Kryptografische Algorithmen nutzen mathematische Probleme, die mit konventioneller Technik nur nach Jahrzehnten oder Jahrhunderten der Rechenarbeit gelöst werden könnten. Probleme, deren Lösung zwar theoretisch möglich ist, aber in der Praxis ausgeschlossen. Doch dann zeigte Peter Shor, dass ein Quantencomputer mit ausreichender Kapazität leicht große Zahlen faktorisieren könnte – eine Erkenntnis, die den Glauben an bestehende kryptografische Methoden mit einem Schlag verpuffen lässt. Auch wenn damals noch kein funktionierender Quantencomputer existierte, begannen Krypto-Spezialisten direkt mit der Suche nach neuen mathematischen Problemen für ihre Algorithmen, manche aus einfacher Liebe zur Mathematik, manche aber auch in dem Bewusstsein, dass aus dem theoretischen Risiko irgendwann eine echte Gefahr werden würde.
Science-Fiction wird zu realem Ernst
Heutzutage sind Quantencomputer eine ernstzunehmende Größe, selbst wenn die Technologie noch in den Kinderschuhen steckt. Es gibt jedoch bereits funktionierende Quantencomputer in der Industrie und in staatlichen Händen, die sogar über die Cloud gemietet werden können. Müssen wir jetzt in Panik verfallen? Wie ernst ist die Lage wirklich?
Konventionelle kryptografische Algorithmen haben tatsächlich ihr Alleinstellungsmerkmal als praktisch unüberwindbare Mauern verloren. Selbst beliebte Systeme wie RSA bieten keine absolute Sicherheit mehr. Die Technologien, die digitale Signaturen oder Zertifikate sicher machen, wie DSA oder ECDSA, sind verwundbar geworden. Es ist nur eine Frage der Zeit, bis ein Quantencomputer leistungsfähig genug ist, um eigentlich jedes Krypto-Protokoll zu knacken, jeden privaten Schlüssel zu errechnen und jeden Schutz zu überwinden.
(Keine) Panik?
Die beschriebenen Risiken betreffen hauptsächlich die asymmetrische Verschlüsselung, während symmetrische Kryptografie wie die beliebte AES-Verschlüsselung oder die Familie der SHA-Hashfunktionen keine so leichten Opfer sind. Der Quantenpionier Lov Grover hat zwar einen Algorithmus vorgestellt, mit dem Quantencomputer den privaten AES-Schlüssel oder einen Hashwert berechnen könnten, dieser hätte aber lange nicht den katastrophalen Zeitvorteil, den Shor’s Algorithmus bei den asymmetrischen Verfahren erzielen würde. Hier würde sich nicht für gewiefte Quanten-Hacker die Rechenzeit von Jahrhunderten auf einen gemütlichen Arbeitstag reduzieren. Der Geschwindigkeitsvorteil wäre erkennbar, aber letztlich doch nur marginal.
Die angemessene Reaktion auf die Quantenbedrohung wäre für die symmetrische Kryptografie also ganz einfach: Längere Schlüssel! Ein Wechsel von 128- auf 256-Bit-Schlüssellängen, der selbst für Consumer-Geräte machbar ist, würde die Balance im Wettrüsten auch langfristig wiederherstellen.
Wer hat die Nase vorn?
Wie steht es also um die heutige Krypto-Welt? Symmetrische Kryptografie bietet weiter ernstzunehmende Sicherheit, aber die Gefahren auf der asymmetrischen Seite sind real und ernst zu nehmen. Und das hat praktische Konsequenzen, beispielsweise für Schlüsselaustausch oder Integritätsprüfungen.
Das Wettrüsten geht weiter: Neue Quantencomputer haben die sogenannte NISQ-Stufe (noisy intermediate-scale quantum computers) erreicht. Das bedeutet, dass sie leistungsfähig genug sind, um essenzielle Rechen- und Fehlerkorrekturoperationen durchzuführen, jedoch noch nicht weit genug entwickelt, um für die derzeitige Kryptografie eine echte Gefahr darzustellen. In der Praxis bedeutet dies, dass heutige Quantencomputer mit mehreren Dutzend oder Hundert Quanten-Bits oder Qubits arbeiten. Um RSA 1024 oder EDSA/ECIES 256 zu überwinden, bräuchten sie jedoch circa 2000 logische Qubits. Gleichzeitig neigen sie technisch zu Fehlern, also würden 2000 fehlerkorrigierte Qubits in Wahrheit über eine Millionen echter Qubits bedeuten.
Heutige Quantencomputer sind noch zu aufwändig, um eine akute Bedrohung darzustellen. Sie benötigen massive Investitionen und extrem komplexe Technologien, beispielsweise um die supraleitenden Qubits fast auf den absoluten Nullpunkt herunterzukühlen. Zurzeit wäre der Aufwand, einen der bestehenden Verschlüsselungsalgorithmen zu brechen, wirtschaftlich faktisch nicht machbar, selbst wenn das Vorhaben prinzipiell technisch möglich wäre.
Aber die Büchse der Pandora ist geöffnet, und Quantencomputer werden immer schneller, besser, günstiger und verfügbarer. Aus diesem Grund empfehlen das amerikanische National Institute of Standards and Technology (NIST) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell, über alternative Optionen nachzudenken. Das Zauberwort ist: Post-Quanten-Kryptografie (PQC).
Der Beginn des PQC-Wettrüstens
Das NIST hat 2016 auf das neue Katz-und-Maus-Spiel reagiert. Damals begann die Arbeit an der Standardisierung quantensicherer Algorithmen. Die normalerweise langsamen und bürokratischen Prozesse liefen dabei mit unerwarteter Geschwindigkeit ab: Nach einigen Kandidatensichtungen wurde eine Shortlist vorgestellt und die Algorithmen für den neuen Standard bereits in diesem Jahr der Öffentlichkeit präsentiert.
Die Idee war, eine Auswahl an Algorithmen bereitstehen zu haben, die alle auf unterschiedlichen mathematischen Problemen beruhen. Sollte also einer von ihnen durch Quantencomputer überwunden werden, wären andere bereit, in die Bresche zu springen. Das Wettrennen könnte also weitergehen und das alte, harte Prinzip würde Bestand haben: Kryptografie funktioniert, wenn ein Angriff teurer, langwieriger und schwieriger ist als der Erfolg es wert wäre. Ein Quantencomputer mag also einen Algorithmus überwinden, aber dies kostet viel Geld, Zeit und Aufwand, und selbst dann wären bereits andere Algorithmen zur Stelle, um den Kampf weiterzuführen.
Der Ansatz des NIST gibt der Krypto-Community ein Gefühl des Optimismus zurück, selbst wenn der Kandidat SIKE bereits geknackt wurde, ohne dass dafür ein Quantencomputer nötig war. Das zeigt wieder, wie ernst und akut die Gefahr ist, und dass wir uns nicht zu sicher fühlen sollten.
Der Hase und der Igel: Schneller oder agiler?
In der Geschichte vom Hasen und Igel fordert der offensichtliche chancenlose Igel den sicheren Sieger zu einem anscheinend sinnlosen Rennen heraus. Aber es kommt alles anders: Der Hase sprintet los und lässt den Igel weit hinter sich. Die Ziellinie ist nah, nur einen Moment noch – doch da wartet schon der Igel auf den Hasen. Wenn er nur wüsste, dass es die Frau des Igels ist und nicht sein Rivale. Frustriert und in seiner Sprinterehre verletzt, rennt der Hase zurück zum Start, und zurück zum Ziel, und wieder, und wieder, bis er vor Erschöpfung zusammenbricht.
Für die Post-Quanten-Kryptografie ist der Igel ein Vorbild: Es geht nicht um Geschwindigkeit – denn hier haben Quantencomputer einen unerreichbaren Vorteil – sondern um Cleverness und Krypto-Agilität.
Selbst wenn einzelne kryptografische Algorithmen bald nicht mehr sicher sind, wäre die richtige krypto-agile Reaktion darauf, bereits einen Igel an der Ziellinie stehen zu haben, das heißt immer andere Algorithmen in Petto zu halten. Softwarearchitekturen müssen so entwickelt werden, dass die Algorithmen im Fall der Fälle sofort ausgetauscht werden können. Wenn ein vermeintlich quantensicheres System doch nicht so sicher sein sollte, ist der Wechsel zu einem anderen System die offensichtlich beste Reaktion.
Krypto-Agilität bedeutet aber nicht nur Flexibilität in der Praxis. Es bedeutet eine neue Art, Software zu entwickeln, denn alles muss neu ausbalanciert werden, neue Algorithmen oder Schutzsysteme insgesamt müssen bereitstehen, die wiederum von vornherein gut gegen Side Channel Attacks (Seitenkanalattacken) oder die anderen möglichen Schwachstellen aller Verschlüsselungstechnologien abgesichert sind. Die Gefahr mag vielen Entwicklern noch zu abstrakt erscheinen, als dass sie bereits heute an quantensichere Kryptografie denken würden und erst recht nicht an mögliche Ersatzalgorithmen und Systemwechsel. Aber sie sollten beginnen, ihre bestehenden Vorkehrungen mit quantensicheren Schutzsystemen auszubauen.
Ick bün all hier
„Ick bün all hier“, ruft die Igeldame dem Hasen auf tiefstem Platt zu. Die Post-Quanten-Kryptografie muss dasselbe sagen können: Wenn das Quantenzeitalter erreicht ist, sollte sie bereits einen Schritt weiter sein. Heute ist ein guter Tag, um die eigene Organisation, Krypto-Systeme und Softwarearchitekturen auf diesen Moment vorzubereiten.
KEYnote 44 – Ausgabe Herbst/Winter 2022