Status Quo der Postquanten-Verschlüsselung

Der Vormarsch der Quantencomputer bringt nicht nur Vorteile in Medizin und Materialforschung etc. Er birgt auch neue Gefahren in Sachen Cybersecurity, denn in der Postquanten-Welt werden unsere heutigen Verschlüsselungsverfahren nicht mehr sich sein.

Quantencomputer können komplexe Probleme deutlich schneller lösen als herkömmliche Computer. Dies gilt auch für die Kryptoanalyse, wodurch sich bedrohliche Anwendungsfälle für die Cybersicherheit ergeben. Schließlich lösen die neuen Rechner mathematische Probleme, die den Verschlüsselungsalgorithmen zugrunde liegen, deutlich schneller - etwa das Zerlegen von Primzahlen oder die Berechnung diskreter Logarithmen.

Lesetipp: Cybersecurity Newcomer - 17 Startups, die Sie kennen sollten

Auswirkungen auf aktuelle Kryptoverfahren

Die Relevanz des Quanten-Computings für die Cybersecurity verdeutlich ein Blick auf die gängigen Verschlüsselungsmethoden. Grundsätzlich gibt es symmetrische, asymmetrische und hybride Verschlüsselung, die letztlich ein Mix aus symmetrischer und asymmetrischer Verschlüsselung ist.
Das verbreitetste symmetrischen Verfahren ist AES (Advanced Encryption Standard), bei den asymmetrischen sind es RSA (Rivest-Shamir-Adleman) und ECC (Elliptic Curve Cryptography).
Hybride Verfahren sind zum Beispiel SSL (Secure Sockets Layer), SSH (Secure Shell), IPSec (Internet Protocol Security), S/Mime (Secure/Multipurpose Internet Mail Extensions) und viele andere, bei denen die Daten symmetrisch verschlüsselt werden und der Schlüsselaustausch mittels asymmetrischer Verschlüsslung erfolgt.

Quantum Computing bietet keine entscheidenden Vorteile beim Brechen symmetrischer Verschlüsselung. Anders sieht es hingegen bei asymmetrischer und damit auch bei hybrider Verschlüsselung aus. Einer Studie des BSI aus dem Jahr 2020 zufolge, ist für die Brechung von RSA-Verschlüsselungen mit einer Schlüssellänge von 2.048 Bit in einem Zeitraum von 100 Tagen eine Anzahl von einer Million Qubits nötig. Einer der führenden Hersteller, der an Quantencomputing arbeitet, ist IBM. Der Konzern produziert derzeit Quanten-CPUs (QCPUs) mit derzeit 127 Qubits. Noch in dieser Dekate sollen Rechnermit einer Million Qubits folgen.

Lesetipp: IBM Quantum Two - Quanten-CPU Eagle mit 127 Qubits

Das BSI erwartet, dass erste kryptorelevante Quantencomputer mit einem sehr hohem finanziellem Aufwand verbunden sein werden und die Betriebskosten sehr hoch sein dürften. Nur finanzstarke Organisationen dürften damit in der Lage sein, einzelne Schlüssel in wochen- bzw. monatelangem Aufwand zu brechen. Dennoch müssen sich besonders Unternehmen und Organisationen mit Hochsicherheitsbereichen sich davor schützen. Denn Cybersicherheitsexperten gehen davon aus, dass Anfang der 2030er Jahre diese Hochsicherheitsbereiche durch Geheimdienste oder Großkonzerne kompromittiert werden könnten, da diese sich entsprechende Quantenrechner leisten können.

Die quantensichere Verschlüsselung

Welche Vorkehrungen können und sollten daher getroffen werden? Unternehmen und Organisationen mit Hochsicherheitsbereichen sollten sich für die Zeit des Quantenzeitalters rüsten und die folgenden grundlegenden Tipps beherzigen:

• Die Laufzeit der Schlüsselgültigkeit verkürzen.

• Die Schlüssellängen erhöhen.

• Die Zukunftssicherheit aktueller Lösungen prüfen.

Neben diesen Empfehlungen sollten CISOs und CSOs sich auch an den Empfehlungen der NIST orientieren. Diese empfiehlt etwa einen hybriden Ansatz, der kryptoagile Plattformen für einen reibungslosen Übergang nutzt. In der Praxis sollen so klassische Algorithmen und quantenresistente Algorithmen miteinander kombiniert werden. Und sowie die derzeit in der Abstimmung der NIST befindlichen Verfahren im Lauf des Jahres 2022 verabschiedet sind, können diese danach zertifiziert und implementiert werden. Derzeit befinden sich sieben neue Verschlüsselungsverfahren in der Endauswahl, und weitere acht Alternativen stehen bereit.

Letztlich ist die Veränderung von Verschlüsselungsstandards kein neuer Trend, sondern für viele Kryptoexperten eine Erinnerung an den DES-Standard. Der Data Encryption Standard wurde in den 1990ern kompromittiert und als vorläufige Lösung 3DES mit höherer Schlüssellänge vorgestellt. Dieser Schritt wurde als Zwischenschritt gewählt, bis der neuere und bessere AES-Standard verfügbar war. Inzwischen beruhen fast alle symmetrischen Verschlüsselungsverfahren auf AES und gelten bis heute als sehr robust. Deshalb ist es für Kryptoexperten nur eine Frage der Zeit, bis weltweit neue Standards eingesetzt werden, an denen Spezialisten schon arbeiten.

Hochsicherheitsbereiche sollten aktiv werden

Die Quantenkryptoanalyse kann also zur Bedrohung werden - vor allem für Hochsicherheitsbereiche. Daten, die nach dem Jahr 2030 noch geheim bleiben müssen, sollten bereits heute entsprechend geschützt werden. Dafür eignen sich vor allem hybride Lösungen, die klassische und quantenresistente Algorithmen kombinieren.

Allerdings dauert es auch nicht mehr lange, bis neue Standards verabschiedet werden. Doch muss bei der Einführung der neuen Standards berücksichtigt werden, welche Folgen die neue Verschlüsselung haben wird. Die Daten von einem Verfahren in ein anderes zu überführen, ist kein einfaches Unterfangen. Es gibt aber bereits jetzt Lösungen für quantensichere und hybride Algorithmen, die zur Implementierung bereitstehen. Darüber hinaus sollten Unternehmen die Zukunftssicherheit aktueller Lösungen prüfen. (bw/hi)