Post-Quanten-Kryptografie „Firmen sollten Verschlüsselungen mit 256 Bit nutzen“

Paddy Francis ist CTO bei Airbus Cyber Security.

Bild: Airbus Cyber Security
10.05.2019

Verschlüsselungsmethoden sorgen für einen sicheren Datenaustausch. Der heutige Standard gerät jedoch ins Wanken. Quantencomputern wird es bald möglich sein, etablierte kryptografische Verfahren zu knacken. Was das für Unternehmen und Behörden bedeutet, erklärt Paddy Francis, CTO bei Airbus Cyber Security, im Interview mit E&E.

E&E:

Herr Francis, welche Bedrohung stellen Quantencomputer für gängige Verschlüsselungsmethoden dar?

Paddy Francis:

Die Bedrohung betrifft vor allem Public-Key-Verfahren wie RSA. Bei diesen werden zwei Arten von Geheimschlüsseln genutzt, um Daten zu ver- und entschlüsseln. Mit einem öffentlichen Schlüssel lässt sich ein Klartext in einen Geheimtext umwandeln. Nur derjenige, der den privaten Schlüssel kennt, kann anschließend die Informationen wieder dechiffrieren. Diese asymmetrische Kryptografie stellt aktuell einen der höchsten Sicherheitsstandards dar. Sie beruht auf komplexen mathematischen Aufgaben, beispielsweise auf der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen. Mit den zurzeit verfügbaren Mitteln sind diese Verschlüsselungen praktisch nicht zu knacken. Das erfordert zu viel Zeit und Rechenleistung. Mit einem Quantencomputer sieht das allerdings anders aus. Er ist sehr viel schneller bei diesen Berechnungen.

Gilt das auch für symmetrische kryptografische Verfahren?

Auch manche symmetrische Verschlüsselungsalgorithmen, bei denen beide Parteien einen gemeinsamen Schlüssel verwenden, sind anfällig für Angriffe durch Quantencomputer. Bei ihnen ist die Länge des Schlüssels entscheidend. Um das bisherige Sicherheitslevel aufrecht zu halten, würde man bei dem am häufigsten verwendeten Algorithmus AES im Quantencomputer-Zeitalter beispielsweise statt der bisher üblichen Verschlüsselung mit 128 Bit einen 256-Bit-Schlüssel benötigen.

Um sich gegen Angriffe mittels Quantencomputern zu schützen, sind somit nur längere Schlüssel notwendig?

Für symmetrische Algorithmen trifft das im Allgemeinen zu. Bei ihnen handelt es sich in der Regel um nichtlineare Funktionen. Um diese Verschlüsselungen zu knacken, werden sogenannte Brute-Force-Angriffe verwendet. Das bedeutet, die Computer probieren einfach alle möglichen Lösungen durch. Je mehr Rechenpower verfügbar ist, desto schneller geht das. Da Quantencomputer über eine deutlich höhere Leistung verfügen, sind zur Abwehr eben auch längere Schlüssel nötig. Aktuelle asymmetrischen Algorithmen, wie Schlüsselvereinbarungsalgorithmen, basieren hingegen meist auf der Schwierigkeit, eine mathematische Funktion umzukehren. Bei diskreten logarithmischen Algorithmen, beispielsweise dem Diffie-Hellman-Schlüsselaustausch, kann ein Quantencomputer die Funktion relativ einfach umkehren. Sie sind deshalb schlecht für die Abwehr von Angriffen mittels Quantencomputern geeignet, da ihre Schlüssellänge deutlich erhöht werden müsste. Für andere Funktionen wie auf elliptischen Kurven basierende Algorithmen wäre die Erhöhung der Schlüssellänge geringer, aber dennoch ein Problem. Daher sind neue asymmetrische Algorithmen erforderlich.

Wie weit ist die Entwicklung bei diesen?

Wir arbeiten mit verschiedenen Regierungen schon seit längerer Zeit daran, kryptografische Algorithmen zu entwickeln, die selbst von sehr leistungsfähigen Quantencomputern nicht entschlüsselt werden können. Aber auch viele der großen Technologieunternehmen wie Google und Microsoft forschen bereits gezielt an quantensicherer Kryptografie. Zudem hat die US-Bundesbehörde NIST im Jahr 2016 mit der Standardisierung von Post-Quanten-Verschlüsselung begonnen und es wird erwartet, dass 2024 erste Entwürfe vorliegen. Dadurch sollten sichere Algorithmen und Protokolle in den meisten Unternehmen rechtzeitig zur Verfügung stehen. Die neuen Verschlüsselungsverfahren dürften auch bei einem Angriff durch einen Quantencomputer so sicher sein wie die heutigen Lösungen gegenüber aktuellen Attacken.

Wie weit sind diese Verfahren?

Erste Ansätze in Richtung quantenresistenter Technologien, wie beispielsweise das von McEliece 1978 entwickelte codebasierte Verfahren, existieren bereits. Die Methoden sind jedoch noch nicht besonders effizient und auch relativ langsam, da sie sehr viel Rechenleistung und Speicherkapazität benötigen. Andere Verfahren funktionieren nur unter bestimmten Voraussetzungen. Sie sind beispielsweise auf die Verwendung von Glasfaserverbindungen oder Laserlicht angewiesen. Im Hinblick auf universelle und praxisnahe Post Quantum Security muss noch einiges an Forschungsarbeit geleistet werden.

Sollten sich Unternehmen bereits jetzt Gedanken zu Post-Quantum-Kryptografie machen?

Auf jeden Fall. In der aktuellen Phase ist es vor allem notwendig, ein Bewusstsein für die künftigen Schwierigkeiten zu entwickeln. Firmen sollten bewerten, welche Auswirkungen Quantencomputer für ihre IT-Sicherheit haben können und über entsprechende Maßnahmen nachdenken. Technologieunternehmen, Internet-Gremien und Regierungsstellen wie das NIST arbeiten an neuen Algorithmen. Sie werden sehr wahrscheinlich rechtzeitig eingeführt, um Angriffen durch Quantencomputer zu begegnen. Zum jetzigen Zeitpunkt sollten Unternehmen die Einführung von AES-256- statt AES-128-Verschlüsselung für ihre Daten ins Auge fassen. Vor allem, wenn die Geheimhaltung für viele Jahre erforderlich ist.

Welche Bedeutung hat die Post-Quanten-Kryptografie für IIoT-Umgebungen?

Im Industrial Internet of Things hängt die Notwendigkeit, Verschlüsselungen an das Post-Quantum-Zeitalter anzupassen, von dem Angriffsrisiko der beteiligten Systeme und der Sensibilität der verwendeten Daten ab. Hier gilt es, genau abzuwägen, schließlich muss in diesem Umfeld stets die IT-Verfügbarkeit gewährleistet sein. Es ist oft nicht möglich, den Datenaustausch für die Implementierung neuer Verfahren komplett zu unterbrechen. Kürzere Zeitabschnitte zwischen den Aktualisierungen der Schlüssel können aber schon ausreichen. Die meisten IIoT-Systeme werden auch in Zukunft AES mit 256 Bit verwenden. Obwohl sich diese Schlüssellänge im Falle eines Quantencomputerangriffs auf eine Stärke von 128 Bit reduziert, wäre sie für den einfachen Datenaustausch von Befehlen und Kontrollmeldungen noch ausreichend sicher.

Schützen Post-Quanten-Systeme auch gegen herkömmliche Angriffe?

Post-Quantenalgorithmen schützen vor genau den gleichen Angriffstypen wie die heutigen Systeme. Es können jedoch auch andere Quantentechnologien entwickelt werden, die neue und unbekannte Angriffe ermöglichen.

Ab wann rechnen Sie mit der breiten Verfügbarkeit von Quantencomputern?

Der Durchbruch von Quantencomputern schien immer weit entfernt. Nun werden echte Fortschritte erzielt. Ich glaube, dass wir mit weniger als zehn Jahren rechnen können. Ist das der Fall, sind die meisten Regierungen schon jetzt unter erheblichem Zeitdruck, falls sie sich noch keine Gedanken über Post-Quanten-Sicherheit gemacht haben. Denn ihre Daten unterliegen langen Geheimhaltungsfristen. Behörden müssen vorausschauend planen, damit ihre Verschlüsselungsprozesse einsatzbereit sind, bevor Quantencomputer in die Hände von Kriminellen gelangen. Es ist nicht sinnvoll zu warten, bis sie Realität sind. Dann wird es zu spät sein, um neue Kryptografie-Ansätze zu implementieren. Aktuell besteht noch Zeit zum Handeln. Denn auch Quantencomputer müssen erst noch gezielter für das Knacken von Algorithmen weiterentwickelt werden, und Cyberkriminelle haben es wegen der beträchtlichen Anschaffungskosten schwer, die Technik für ihre Zwecke zu nutzen.

Machen Quantencomputer herkömmliche Rechner obsolet oder werden beide Technologien parallel existieren?

Die ersten Quantencomputer müssen nahe am absoluten Nullpunkt arbeiten, bei -273 °C, benötigen viel Strom und kosten Milliarden. Selbst wenn sich die Kosten jedes Jahr halbieren, braucht es noch 20 Jahre, bevor sie bezahlbar sind. Aktuelle Mikroprozessoren kosten nur einen Bruchteil. Auch muss man die physische Konfiguration von Quantencomputern auf das vorliegende Problem zuschneiden. Sie sind keine General-Purpose-Rechner. In manchen Bereichen werden sie konventionelle Computer verdrängen. Ich werde das aber nicht mehr erleben und wahrscheinlich auch nicht meine Kinder.

Firmen zu diesem Artikel
Verwandte Artikel