MENU
Kurz nachgefragt

Was ist Post-Quanten-Kryptografie?

21. Januar 2021

Quantencomputer versprechen eine Rechenkapazität, von der heutige Computer nur träumen lassen. Das eröffnet völlig neue Möglichkeiten – etwa bei der Entwicklung von Medikamenten, der Verbesserung von Verkehrsflüssen oder Wettervorhersagen. Der Haken dabei: Verschlüsselungsverfahren, die heute als sicher gelten, können die Supercomputer künftig problemlos knacken. Warum das bereits jetzt ein Problem ist, was hinter der Post-Quanten-Kryptografie steckt und warum man dafür keinen Quantencomputer benötigt, erklärt Lucie Plaga von TÜViT.

#explore:Was macht den Quantencomputer für heutige Verschlüsselungssysteme überhaupt zum Problem?

Lucie Plaga: Anders als ein herkömmlicher Rechner basiert ein Quantencomputer auf Rechnungen mit Quantenteilchen, was zugleich auch andere Rechenoperationen ermöglicht. Quantenteilchen, das sind beispielsweise einzelne Atome oder Lichtteilchen. Und das ist ein gravierendes Problem für asymmetrische Verschlüsselungsverfahren. Diese kommen überall dort zum Einsatz, wo die kommunizierenden Systeme nicht vorab ihre „Geheimnisse“, also ihren Sicherheitsschlüssel, austauschen können. Absender und Empfänger nutzen dabei unterschiedliche Schlüssel – einen privaten und einen öffentlichen, der etwa in der Cloud liegt. Unsere gesamte Kommunikation im Netz und der Datenaustausch zwischen Fahrzeugen, Geräten und Maschinen im Internet der Dinge basieren auf der asymmetrischen Kryptografie. Für einen klassischen Computer ist diese Verschlüsselung nicht zu knacken, der Quantencomputer kann sie dagegen problemlos lösen.

Bislang sind Quantencomputer noch selten und weit von einer breiten Nutzung entfernt. Warum ist das trotzdem ein Problem, mit dem wir uns heute schon beschäftigen sollten?

Größere Quantencomputer werden zwar erst in zehn bis dreißig Jahren erwartet. Aber die Umstellung heutiger Systeme braucht Zeit. Und viele Daten und Produkte haben sehr lange Lebenszyklen. Beispielsweise kann man heute Gesundheitsdaten speichern, um sie dann in zehn Jahren zu entschlüsseln. Und das vernetzte Gerät oder das Auto, das ich heute kaufe, soll ja auch in Zukunft noch sicher funktionieren und nicht über einen Quantencomputer gehackt werden können.

Die Algorithmen der Post-Quanten-Kryptografie haben eine andere mathematische Grundlage. Dadurch sind sie sowohl sicher gegenüber Angriffen durch heutige Systeme wie gegenüber Angriffen mit einem Quantencomputer.

Lucie Plaga, Information Technology Security Consultant bei TÜViT

Wie kann man diesem Problem begegnen?

Hier werden aktuell zwei Lösungen diskutiert: zunächst einmal die Quanten-Kryptografie, die ihrerseits die Effekte des Quantencomputers nutzt, um eine neue Art von Kryptografie bzw. Verschlüsselung zu betreiben. Das ist aber nicht nur für kleine Anbieter und Produkte kaum umzusetzen. Sinnvoller und viel praktikabler ist aus unserer Sicht die sogenannte Post-Quanten-Kryptografie. Anders als der Name vermuten lässt, funktioniert diese nämlich auf heutigen Rechnern oder Mikrocontrollern, ist aber trotzdem sicher gegenüber Angriffen mit Quantencomputern.

Was unterscheidet die Post-Quanten-Kryptografie von bisherigen Verschlüsselungsverfahren?

Die Algorithmen der Post-Quanten-Kryptografie haben eine andere mathematische Grundlage. Dadurch sind sie sowohl sicher gegenüber Angriffen durch heutige Systeme wie gegenüber Angriffen mit einem Quantencomputer. Im größten Standardisierungsprozess gibt es zurzeit sieben Finalisten – und von diesen werden zukünftig auch mehrere standardisiert. Denn anders als heute wird es bei diesen Verfahren nicht mehr nur einen Standard für alle Systeme und Einsatzzwecke geben. Jeder dieser Algorithmen hat entsprechende Vor-, aber auch Nachteile: Manche eignen sich nur für Signaturen, andere für Verschlüsselung; einige haben einen extrem hohen Speicherbedarf oder sind sehr langsam. Deshalb muss dann je nach Anwendungsfall der richtige Algorithmus ausgewählt werden.

Wie lässt sich die Post-Quanten-Kryptografie in heutige Computersysteme implementieren?

Die gute Nachricht ist, dass wir dazu nicht das Gesamtkonzept heutiger Kryptografie auf den Kopf stellen müssen, sondern tatsächlich die einzelnen Komponenten und Algorithmen austauschen können. Die Umsetzung eines Post-Quanten-Algorithmus funktioniert dabei wie bei einem klassischen Algorithmus – also auch mit den gleichen Programmiersprachen und Hardwarebausteinen. Gerade wenn Hardware involviert ist – also etwa der Chip einer Bankkarte –, ist das natürlich ein längerer Prozess, bei dem die Hersteller von Anfang an berücksichtigen müssen, wie sie diese neuen Algorithmen auf ihren Systemen zum Laufen bringen möchten. Wenn wir als TÜViT an einem solchen Prozess beteiligt sind, schauen wir uns beispielsweise an, welcher Post-Quanten-Algorithmus für das jeweilige Gerät und Einsatzfeld am besten passt. Bei einem Software-Update für ein Auto wäre das zum Beispiel ein Signatur-Algorithmus, damit das System des Autos überprüfen kann, ob die Software tatsächlich vom Fahrzeughersteller und nicht etwa von einem Hacker kommt. Für Unternehmen ist es grundsätzlich sinnvoll, Security-Experten zu einem solchen Prozess hinzuzuziehen. Denn bei der Implementierung kann einiges schiefgehen, was dazu führt, dass auch ein eigentlich sicherer Algorithmus die Geheimnisse nicht schützt.

Wie können sich solche Implementierungsfehler einschleichen?

Es gibt drei große Arten von Fehlern: zunächst einmal konkrete Implementierungsfehler, bei denen ein Standard falsch umgesetzt wird. Das kommt bei den Herstellern, mit denen wir zusammenarbeiten, eigentlich nicht vor. Kritischer und häufiger sind die Seitenkanalangriffe und die Fehlerinjektionsangriffe. Bei Letzteren werden Smartcard, USB-Speicher oder Mikroprozessor etwa durch Stromstöße gestresst, um Fehlfunktionen des Sicherheitssystems zu provozieren. Bei den Seitenkanalangriffen werden Informationen über einen Kanal übertragen, der dafür nicht vorgesehen ist. Angreifer können zum Beispiel aus der Rechenzeit oder dem Stromverbrauch des Geräts Rückschlüsse auf den verwendeten Schlüssel ziehen.

Wie kann man diese Fehler vermeiden?

Sind wir mit der Prüfung solcher Produkte betraut, fordern wir beispielsweise, dass kryptografische Operationen in zufälliger Reihenfolge ausgeführt werden. Dadurch werden Verschlüsselungsprozesse effektiv verschleiert. Eine weitere wichtige Maßnahme ist Redundanz: Eine kryptografische Rechnung muss mehrfach ausgeführt und intern verglichen werden, damit ein Hacker nicht etwa über einen Stromstoß Fehler in diese Rechnung „injizieren“ und so den eigentlich mathematisch sicheren Post-Quanten-Algorithmus umgehen kann.

ZUR PERSON

Lucie Plaga ist Information Technology Security Consultant bei TÜViT in Essen. Die Physikerin beschäftigt sich hier mit Post-Quanten-Kryptografie, Seitenkanal- und Fehlerinjektionsangriffen und nimmt im Hardwarelabor als gute Hackerin auch die Sicherheitssysteme von Smartcards oder Mikroprozessoren gezielt unter Beschuss.