Partner von:

Sicher trotz Quantencomputern

Computer-Chip [Quelle: freeimages.com, Autor: Axonite]

Quelle: freeimages.com, Axonite

Quantencomputer könnten praktisch alle Verschlüsselungen brechen. Post-Quanten-Kryptografie soll unsere Kommunikation absichern, wenn die klassischen Verfahren versagen.

In 15 Jahren könnten Quantencomputer bereits Realität sein – genügend Forschungsgelder vorausgesetzt. Mit dieser provokanten These begrüßte diese Woche Professor Matteo Mariantoni von der kanadischen Universität Waterloo die Teilnehmer einer Konferenz zur Post-Quanten-Kryptografie. Quantencomputer stellen die Kryptografie vor eine große Herausforderung: Die gesamte Verschlüsselungstechnologie im Internet basiert auf Verfahren, die mit Quantencomputern gebrochen werden könnten.

Bisher existieren leistungsfähige Quantencomputer nur in der Theorie. Die Physik interessiert sich für sie, weil damit bestimmte physikalische Prozesse besser simuliert und bestimmte mathematische Probleme gelöst werden könnten, an denen gewöhnliche Computer scheitern.

Für die Kryptografie würden Quantencomputer bedeuten, dass alle gängigen Verfahren aus der Public-Key-Kryptografie gebrochen werden könnten. Algorithmen wie RSA, DSA oder auch Verfahren auf Basis elliptischer Kurven wären nicht mehr sicher. Andere Forscher sind in ihren Prognosen zurückhaltender als Mariantoni, aber trotzdem ist klar: In einigen Jahrzehnten sind die heutigen Verschlüsselungsverfahren nicht mehr zu gebrauchen. Die Post-Quanten-Kryptografie beschäftigt sich mit kryptografischen Verfahren, die auch mit Quantencomputern nicht gebrochen werden können.

Andreas Hülsing forscht an der Technischen Universität Eindhoven an sogenannten Hash-basierten Signaturverfahren, einer Methode, die auch mit Quantencomputern nicht gebrochen werden kann. So eine Signatur ist aber nicht dazu da, die Inhalte einer Kommunikation zu verschlüsseln, sondern um die Identität des Servers zweifelsfrei zu belegen. Hülsing hat seine jüngsten Forschungsergebnisse auf der Konferenz in Waterloo präsentiert. "Hash-basierte Signaturverfahren sind bereits gut verstanden und praktikabel einsetzbar", sagt er. "Sie sind nach allem, was wir wissen, sehr sicher und auch durch Quantencomputer nicht angreifbar. Wir arbeiten daran, diese Verfahren zu standardisieren." Hülsing will erreichen, dass man sie bald ganz praktisch einsetzen kann, etwa um HTTPS-Verbindungen in Browsern abzusichern.

Ambitionierter Zeitplan

Wenn sich die Prognosen von Mariantoni bewahrheiten, ist es dafür auch höchste Zeit. Denn bis kryptografische Verfahren aus der Forschung in praktische Anwendungen übertragen werden, kann es dauern. Die Standardisierungsprozesse dauern bereits einige Jahre an. Doch schwerwiegender ist, dass im Internet Abwärtskompatibilität eine große Rolle spielt. Noch heute surfen zum Beispiel viele Nutzer mit dem Uralt-Betriebssystem Windows XP. Viele Betreiber von Webservern sind daher darauf angewiesen, dass ihre Webseiten auch mit zehn Jahre alten Verschlüsselungsstandards genutzt werden können. Die neuen kryptografischen Verfahren müssten also praktisch schon heute eingesetzt werden, damit sie dann, wenn es erst einmal Quantencomputer gibt, ausreichend verbreitet und verstanden sind.

"Während wir bei digitalen Signaturen bereits Post-Quanten-Kryptografie einsetzen können, besteht bei Verschlüsselungsverfahren noch Forschungsbedarf", erläutert Hülsing den Stand der Wissenschaft. "Wir kennen zwar grundsätzlich Methoden aus der Gitter-basierten Kryptografie, die geeignet sind, aber bei der Wahl der Parameter gibt es noch viele Unklarheiten." So müssten die Schlüssellängen geeignet gewählt werden, damit die Verfahren schnell genug arbeiten, trotzdem sollten sie natürlich weiterhin ein hohes Sicherheitsniveau bieten.

Verfügbare Verfahren nicht praktikabel

Es gibt zwar auch gut untersuchte Verschlüsselungsverfahren in der Post-Quanten-Kryptografie, beispielsweise das McEliece-Verschlüsselungssystem, das auf der Code-basierten Kryptografie basiert. Allerdings ist dies für Internetverbindungen kaum praktikabel, da die Schlüssel viel zu groß sind. Es würde bei langsamen Netzverbindungen Minuten dauern, bis eine Webseite angezeigt wird. In seiner heutigen Form ist McEliece nur für einige Spezialanwendungen verwendbar. Ein anderes Verfahren namens Ntru gehört zur Gitter-basierten Kryptografie. Es wäre durchaus praktikabel einsetzbar, allerdings haben es seine Erfinder patentiert. Damit ist es für Massenanwendungen wie beispielsweise HTTPS-verschlüsselte Webseiten im Moment kaum zu gebrauchen.

Dabei wären vor Quantencomputern sichere Verschlüsselungsverfahren eigentlich dringender als digitale Signaturen. Denn Internetverbindungen, die heute verschlüsselt werden, können gespeichert und möglicherweise in einigen Jahrzehnten entschlüsselt werden. Davor können heutige Verfahren nicht schützen, selbst dann nicht, wenn sie die sogenannte Forward-Secrecy-Eigenschaft besitzen. Denn auch Forward Secrecy basiert auf Verfahren, die durch Quantencomputer gebrochen werden können. Das müsste dann zwar für jeden Kommunikationsvorgang einzeln geschehen, weil mit Forward Secrecy jede Verbindung einen separaten Schlüssel bekommt, aber mit einem entsprechend einfach einsetzbaren Quantencomputer wäre das eben möglich.

"Nach den NSA-Enthüllungen hat das Interesse am Thema enorm zugenommen, das spürt man hier auf der Konferenz", sagte uns Hülsing. "Die Zeit drängt. Quantencomputer sind eine sehr ernstzunehmende Gefahr für die Sicherheit im Internet."

© ZEIT Online (Zur Original-Version des Artikels)

nach oben
Verwandte Artikel

Hol dir Karriere-Infos,

Jobs und Events

regelmäßig in dein Postfach

Kommentare (0)

Zum Kommentieren bitte einloggen.

Das könnte dich auch interessieren