Post-Quanten-Kryptografie oder doch besser Quantenkryptografie? Der amerikanische Auslandsgeheimdienst hat eine klare Präferenz, was auf die heutigen Kryptoverfahren folgen soll. Die wird jedoch nicht von allen geteilt.
Es sei keine Zeit zu verlieren, dies gab der Direktor des IBM-Forschungszentrums in Rüschlikon, Alessandro Curioni, kürzlich zu bedenken. Man müsse sich für die Datensicherheit im Zeitalter des Quantencomputers wappnen, schrieb er in einem Meinungsbeitrag für die «NZZ am Sonntag».
Nur wenige Wochen später meldete sich im Wirtschaftsmagazin «Forbes» der Mitgründer der Genfer Firma ID Quantique Grégoire Ribordy zu Wort. «Warum es an der Zeit ist, ein quantensicheres Netzwerk zu implementieren», lautete der Titel seines Beitrags.
Sowohl Curioni als auch Ribordy betrachten mit Sorge, dass der sogenannte Q-Day näher rückt. So wird der Tag genannt, an dem Quantencomputer in der Lage sein werden, die heute verwendeten Verschlüsselungsverfahren zu knacken. Bis es so weit ist, dürfte es zwar noch Jahre dauern. Trotzdem sind beide Forscher der Ansicht, dass schon jetzt dringender Handlungsbedarf bestehe.
Damit hört der Konsens zwischen Curioni und Ribordy allerdings auch schon auf. Denn bis heute gibt es keine Einigkeit darüber, was auf die heutigen Verschlüsselungsverfahren folgen soll.
Algorithmen, die auch einem Quantencomputer widerstehen
Das Technologieunternehmen IBM, der amerikanische Auslandsgeheimdienst und andere Sicherheitsbehörden plädieren dafür, die derzeit verwendeten Verschlüsselungsmethoden durch neue Algorithmen zu ersetzen, die auch ein Quantencomputer – so zumindest die Hoffnung – nicht brechen kann. Dafür hat sich der Name Post-Quanten-Kryptografie eingebürgert. Das National Institute of Standards and Technology (Nist) in den USA hat kürzlich unter mehreren Kandidaten einen von IBM entwickelten Algorithmus namens Crystals Kyber ausgewählt und ist nun dabei, diesen zu standardisieren.
Auf der anderen Seite stehen Forscher wie Ribordy. Heute könne man noch nicht absehen, wozu Quantencomputer eines Tages in der Lage sein würden, sagt er. Deshalb sei die Langzeitsicherheit der neuen Algorithmen nicht erwiesen. Für besonders heikle Informationen empfiehlt Ribordy deshalb die Quantenkryptografie.
Diese Methode erlaubt es zwei Parteien, sich auf einen gemeinsamen Schlüssel zu einigen, indem sie über ein Glasfaserkabel einzelne Lichtquanten (Photonen) austauschen und bestimmte Messungen an diesen vornehmen.
Mit diesem Quantenschlüssel lassen sich anschliessend beliebige Informationen verschlüsseln. Die Sicherheit der Quantenkryptografie lasse sich rigoros beweisen, so Ribordy, dessen Firma ID Quantique entsprechende Systeme verkauft. Selbst ein Quantencomputer könne den geheimen Schlüssel nicht knacken.
Ohne Verschlüsselung geht heute nichts mehr
Um die Unterschiede zwischen den beiden Methoden verständlich zu machen, muss man ein wenig ausholen. Verschlüsselungsmethoden sind heute allgegenwärtig. Egal ob man Chat-Nachrichten austauscht, mit einem Webbrowser eine sichere HTTPS-Website besucht oder mit dem Handy eine Banküberweisung tätigt; im Hintergrund laufen stets Verschlüsselungsprozesse ab.
Möchte man zum Beispiel bei einem Online-Shop einkaufen, müssen die Kreditkarteninformationen zunächst ver- und dann wieder entschlüsselt werden. Im einfachsten Fall verwenden die beiden Seiten dazu den gleichen Schlüssel. Diese symmetrische Form der Kryptografie hat allerdings einen Haken. Wie kommen die beiden Seiten zum gemeinsamen Schlüssel?
Früher löste man dieses Problem durch den Austausch von Schlüssellisten oder -büchern. Die Nachteile sind offensichtlich. Zum einen können diese Listen in falsche Hände geraten. Zum anderen müssen sich die beiden Parteien treffen. Im digitalen Zeitalter, wo potenziell jeder mit jedem kommuniziert, ist das keine praktikable Lösung.
Die asymmetrische Kryptografie wird erfunden
In den 1970er Jahren fanden Mathematiker eine elegante Lösung für das Problem des Schlüsselaustauschs: die asymmetrische Kryptografie. Bei dieser Methode verwenden der Sender und die Empfängerin zum Chiffrieren und zum Dechiffrieren zwei unterschiedliche Schlüssel.
Die Empfängerin erzeugt zunächst einen privaten Schlüssel und berechnet daraus einen öffentlichen Schlüssel, den sie dem Sender schickt. Der Sender benutzt diesen öffentlichen Schlüssel, um beispielsweise seine Kreditkarteninformationen oder eine Nachricht zu verschlüsseln. Wenn diese verschlüsselten Informationen von einer dritten Person abgefangen werden, macht das nichts. Denn die Informationen können nur mit dem privaten Schlüssel entschlüsselt werden, den die Empfängerin nie mit anderen geteilt hat.
Die Sicherheit der asymmetrische Verschlüsselung steht und fällt mit sogenannten Einwegfunktionen. Dabei handelt sich um Funktionen, die in die eine Richtung sehr einfach zu berechnen sind, in die andere jedoch nur mit riesigem Aufwand. Ein Beispiel dafür ist die Faktorisierung grosser Zahlen. Mit einem Computer ist es zwar einfach, zwei Primzahlen mit Hunderten von Stellen miteinander zu multiplizieren. Selbst die besten heutigen Computer brauchen jedoch eine halbe Ewigkeit, das Produkt wieder in seine Primfaktoren zu zerlegen. Darauf beruht die Sicherheit des sogenannten RSA-Verfahrens, das sich in den letzten Jahren zum Standard der asymmetrischen Kryptografie entwickelt hat.
Als dieses Verfahren in den 1980er Jahren von den Mathematikern Ronald Rivest, Adi Shamir und Leonard Adleman (daher die Abkürzung RSA) zum Patent angemeldet wurde, waren Quantencomputer noch ein Fremdwort. Das änderte sich im Jahr 1994. Damals stellte der amerikanische Informatiker Peter Shor einen Algorithmus für Quantencomputer vor, der das Faktorisieren grosser Zahlen enorm beschleunigen würde. Zwar wusste damals noch niemand, wie man einen Quantencomputer bauen soll. Aber Shors Algorithmus sorgte dafür, dass sich plötzlich sehr viele Forscher für diese neuartigen Computer zu interessieren begannen.
Heute speichern, morgen entschlüsseln
Auch dreissig Jahre später gibt es noch keinen Quantencomputer, der mit dem Shor-Algorithmus grosse Zahlen in ihre Primfaktoren zerlegen kann. Aber fast alle Experten sind sich einig, dass der Q-Day kommen wird – ob in fünf, zehn oder fünfzehn Jahren. Deshalb mahnen sie zur Eile. Denn zum einen kostet es Zeit, neue kryptografische Verfahren zu standardisieren und zu implementieren. Zum anderen befürchten Regierungen, Banken und Wirtschaftsunternehmen, dass Spione verschlüsselte Daten heute speichern, um sie dann in ein paar Jahren mit einem Quantencomputer zu entschlüsseln. Man bezeichnet diese Strategie auch als «Harvest now, decrypt later».
Die grosse Frage lautet: Was soll auf die RSA-Verschlüsselung folgen? Soll man an der Idee der asymmetrischen Kryptografie festhalten, die das Problem des Schlüsselaustauschs elegant umgeht? Oder soll man auf die Quantenkryptografie setzen, die einen sicheren Austausch eines symmetrischen Schlüssels erlaubt?
Der Zeitdruck spricht für die erste Option. Anders als die Quantenkryptografie setzt die Post-Quanten-Kryptografie keine neue Hardware voraus. Es genügt, den RSA-Algorithmus durch andere Algorithmen zu ersetzen. Das Nist hat in den letzten Jahren mehrere Alternativen evaluiert und den Crystals-Kyber-Algorithmus von IBM ausgewählt. Dieser beruht auf Berechnungen in hochdimensionalen Gittern, die noch schwerer umzukehren sind als das Multiplizieren von zwei Primzahlen.
Selbst ein zukünftiger Quantencomputer würde vermutlich nicht weiterhelfen. Denn bis heute kennt man keinen Quantenalgorithmus, der die Berechnung beschleunigen könnte. Anders als RSA gilt Crystals-Kyber deshalb als quantensicher. Momentan wird der Algorithmus vom Nist standardisiert. Schon im nächsten Jahr soll er für erste Anwendungen zur Verfügung stehen.
So weit ist die Quantenkryptografie noch nicht. Banken und Regierungsstellen verwenden diese Methode zwar bereits seit Jahren, um besonders heikle Informationen zu verschlüsseln. Das funktioniert bis jetzt aber nur über Distanzen von weniger als hundert Kilometern. Mit Relaisstationen lässt sich die Reichweite zwar vergrössern. Man muss aber darauf vertrauen können, dass kein Unbefugter Zugang zu diesen Stationen hat. Dafür gibt es in grossflächigen, länderübergreifenden Netzen keine Garantie.
Die NSA übt Kritik an der Quantenkryptografie
Die Post-Quanten-Kryptografie hat mächtige Fürsprecher. Dass sich IBM für diese Form der Kryptografie einsetzt, ist nachvollziehbar. Aber auch die National Security Agency (NSA) der USA und die Cybersicherheitsbehörden Frankreichs und Grossbritanniens setzen sich für die Post-Quanten-Kryptografie ein. So hat die NSA kürzlich ein Positionspapier veröffentlicht, das kein gutes Haar an der Quantenkryptografie lässt.
Die Quantenkryptografie sei nur auf dem Papier absolut sicher, lautet einer der Vorwürfe. In der Realität könne ein Hacker Schwächen in der Hardware für eine sogenannte Seitenkanalattacke nutzen. Zudem sei der Schlüsselaustausch per Glasfaser teuer und erfordere spezielle Ausrüstung. Und auch das Problem der Authentifizierung werde nicht gelöst. Man könne nicht sicher sein, dass die per Glasfaser verschickten Lichtteilchen von einer vertrauenswürdigen Quelle stammten. Aus diesen Gründen sei die Quantenkryptografie nicht zu empfehlen.
Der Quantenphysiker Renato Renner von der ETH Zürich ist erstaunt, dass sich die NSA zu einem derart pauschalen Urteil hinreissen lässt. Zusammen mit seiner Mitarbeiterin Ramona Wolf hat er sich die Einwände der NSA genauer angeschaut und sie teilweise entkräftet. Seitenkanalattacken seien nicht nur in der Quantenkryptografie ein Problem, sondern auch in der herkömmlichen Kryptografie. Da die Quantenkryptografie aber noch jung sei, müsse man erst lernen, die Hardware vor solchen Attacken zu schützen. Zudem gebe es eine geräteunabhängige Form der Quantenkryptografie, bei der man nur minimale Annahmen über die Hardware machen müsse.
Renner und Wolf bestreiten nicht, dass die Quantenkryptografie relativ teuer ist. Deshalb werde sie heute auch noch nicht breit angewendet. Mit dem Ausbau der Glasfasernetze würden die Preise aber fallen. Auch das Argument der fehlenden Authentifizierung lassen die beiden nicht gelten. Die Authentifizierung erfordere immer ein gemeinsames Geheimnis oder eine vertrauenswürdige Zertifizierungsstelle, die die Identität des Gegenübers bestätige.
Wo bleibt die längerfristige Perspektive?
Renner vermisst bei der NSA die langfristige Perspektive. Die neuen Algorithmen für die Post-Quanten-Kryptografie würden erst seit fünf Jahren überprüft. Nur weil man bisher keinen Algorithmus gefunden habe, der die Berechnung der Umkehrfunktion beschleunige, heisse das nicht, dass es einen solchen Algorithmus nicht gebe. Tatsächlich habe das Nist Algorithmen aus dem Wettbewerb nehmen müssen, nachdem sie geknackt worden seien. Auch Crystals-Kyber biete keine informationstheoretische Sicherheit, so Renner. Sobald genügend Rechenleistung oder bessere Algorithmen vorhanden seien, lasse er sich brechen.
Nach Ansicht von Renner ist es wegen des Zeitdrucks richtig, die heutigen Krypto-Verfahren in den nächsten fünf bis zehn Jahren schrittweise durch die Post-Quanten-Kryptografie zu ersetzen. Dies sei jedoch keine dauerhafte Lösung. Auf einer Zeitskala von 20 Jahren sieht Renner die Vorteile auf der Seite der Quantenkryptografie. Bis dahin werde es vermutlich sogenannte Quantenrepeater geben. Diese könnten die vertrauenswürdigen Relaisstationen ersetzen, die heute noch nötig seien, um in Quantennetzen grosse Entfernungen zu überbrücken.
Auch Ribordy sieht die Post-Quanten-Kryptografie und die Quantenkryptografie nicht als Konkurrenten. Er plädiert dafür, diese beiden Technologien miteinander zu verbinden. In seiner Vorstellung wird die Peripherie eines zukünftigen quantensicheren Netzes durch die Post-Quanten-Kryptografie geschützt, der Kern jedoch durch die Quantenkryptografie. Durch das Backbone des Internets flössen besonders viele Daten, so Ribordy. Deshalb erfordere dieser Teil besondere Sicherheitsvorkehrungen.
Folgen Sie der Wissenschaftsredaktion der NZZ auf X.