Gefährden Quantencomputer unsere Daten?

Umfang­rei­che Daten von Bür­gern sind Anfang März 2023 kom­pro­mit­tiert wor­den! In den ver­gan­ge­nen Tagen sind ver­mehrt Anzei­gen gegen Unbe­kannt wegen Daten­miss­brauch und Erpres­sungs­ver­su­chen bei meh­re­ren Poli­zei­dienst­stel­len in der Bun­des­re­pu­blik Deutsch­land ein­ge­gan­gen. Unbe­kann­te habe trotz eines Schut­zes durch Ver­schlüs­se­lung Zugriff auf per­sön­li­che Daten erlangt und damit die Besit­zer erpresst. Außer­dem wur­den vie­le Fäl­le bekannt, bei denen es gelun­gen ist, in Online-Ban­king-Ver­fah­ren ein­zu­drin­gen und dabei Bank­kon­ten leer­zu­räu­men. Das Bun­des­amt für die Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) emp­fiehlt, z.Zt. auf Online-Ban­king zu ver­zich­ten und bei Bedarf Geld nur bar abzu­he­ben. Ers­te Ver­mu­tun­gen wei­sen auf ein erfolg­rei­ches Bre­chen des Ver­schlüs­se­lungs­me­cha­nis­mus hin. Gibt es Hin­wei­se auf die Nut­zung von soge­nann­ten Quan­ten­com­pu­tern, mit deren Hil­fe es ein Leich­tes ist, asym­me­tri­sche Ver­schlüs­se­lungs­ver­fah­ren 1) (auch Public Key Kryp­to­ver­fah­ren genannt) aus­zu­he­beln?

Oberst a.D. Peter War­ni­cke

Nun, erfreu­li­cher Wei­se ist die­se Geschich­te nur eine Fik­ti­on! Oder doch eher ein Blick in die Zukunft? Genau die­ses in der Öffent­lich­keit noch nicht so rich­tig ange­kom­me­ne Sze­na­rio, nur noch deut­lich wei­ter gedacht, war The­ma einer Fach­ver­an­stal­tung, die die AFCEA Bonn e.V. am Don­ners­tag, den 16. März 2023 bei der Fraun­ho­fer-Gesell­schaft FKIE in Wacht­berg-Wert­ho­fen durch­ge­führt hat: Cyber-Sicher­heit im Zeit­al­ter der Quan­ten­tech­no­lo­gie.

Dazu wur­den vier nam­haf­te und fach­lich über­aus kom­pe­ten­te Exper­ten aus For­schung, dem Bun­des­amt für die Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und Indus­trie ein­ge­la­den. Beleuch­tet wur­de die Fra­ge, wie auf das Bedro­hungs­po­ten­ti­al von über­aus leis­tungs­fä­hi­gen Quan­ten­com­pu­tern reagiert wer­den muss, um die Cyber-Sicher­heit in der Zukunft sicher­stel­len zu kön­nen. 

Und die Zukunft hat ganz offen­sicht­lich längst begon­nen: Ers­te Pro­to­ty­pen von Quan­ten­com­pu­tern gibt es seit 2011 von der kana­di­schen Fir­ma D‑Wave Sys­tems. Aktu­el­le Sys­te­me wie z. B. Goo­gles Quan­ten­com­pu­ter “Syca­mo­re” (2019) und der “Quan­tum Sys­tem One“ von  IBM (sie­he Abbil­dung 1a, 1b und 1c), der übri­gens von der Fraun­ho­fer-Gesell­schaft 2021 im baden-würt­tem­ber­gi­schen Ehn­in­gen in Betrieb genom­men wur­de, sind mitt­ler­wei­le noch deut­lich leis­tungs­fä­hi­ger. Und im For­schungs­zen­trum Jülich wird bereits an “QSo­lid”, dem ers­ten ech­ten Quan­ten­com­pu­ter mit aus­schließ­lich deut­scher Tech­no­lo­gie gear­bei­tet – 2024 soll er betriebs­be­reit sein. 

Abb. 1a: IBM Quan­tum Sys­tem One in Ehn­in­gen, Ger­ma­ny; Foto: Urhe­ber – IBM Rese­arch
Quel­le:  https://www.flickr.com/photos/ibm_research_zurich/51248690716/

Abb. 1b: Der IBM Quan­tum Sys­tem One in Ehn­in­gen ist der bis­her leis­tungs­stärks­te Quan­ten­com­pu­ter in Euro­pa, an dem Indus­trie und For­schungs­or­ga­ni­sa­tio­nen jetzt unter deut­schem Recht anwen­dungs­be­zo­ge­ne Quan­ten­soft­ware ent­wi­ckeln, tes­ten und ihre Kom­pe­ten­zen aus­bau­en kön­nen; Foto: Urhe­ber – IBM Rese­arch, 
Quel­le: https://www.flickr.com/photos/ibm_research_zurich/51248884043

Abb. 1c: Hoch­leis­tungs­kühl­sys­tem, das im Quan­ten­com­pu­ter Quan­tum Sys­tem One genutzt wird. Im Betrieb ist es voll­stän­dig in einem ver­sie­gel­ten und iso­lie­ren­den Gehäu­se ein­ge­schlos­sen. In jeder Kas­ka­de ist die Tem­pe­ra­tur nach unten hin nied­ri­ger. Das obe­re Regal hat eine Tem­pe­ra­tur von etwa 50 Kel­vin (-223 Grad Cel­si­us), das nächs­te nach unten liegt bei etwa 4,4 Kel­vin (-269 Grad Cel­si­us), dann 0,08 K und schließ­lich 0,03 K (-273 Cel­si­us), knapp über dem abso­lu­ten Null­punkt (0 K). Auf dem ther­mi­sche Effek­te wie die Vibra­ti­on der Ato­me eli­mi­niert wer­den, so dass Quan­ten­ef­fek­te beob­ach­tet wer­den kön­nen. Das Kühl­sys­tem, das mit einer Mischung aus Helium‑3 und Helium‑4 gekühlt wird, befin­det sich in der Abtei­lung für Phy­sik und Astro­no­mie des Uni­ver­si­ty Col­lege Lon­don (UCL). 
Foto: Urhe­ber – UCL Mathe­ma­ti­cal and Phy­si­cal Sci­en­ces from Lon­don, UK;  Quel­le: https://commons.wikimedia.org/wiki/File:Quantum_refrigerator_at_UCL_(17626619658).jp

Ver­gli­chen mit her­kömm­li­chen Hoch­leis­tungs­rech­nern sind Quan­ten­com­pu­ter theo­re­tisch Mil­lio­nen Mal schnel­ler! Noch aber ist es nicht gelun­gen, Quan­ten­com­pu­ter wie die heu­te ver­füg­ba­ren Com­pu­ter frei zu pro­gram­mie­ren. Bis­her sind sie nur geeig­net, ganz spe­zi­el­le Auf­ga­ben­stel­lun­gen zu lösen. So wur­de z.B. gezeigt, dass der Syca­mo­re-Pro­zes­sor Zufalls­zah­len einer spe­zi­el­len Wahr­schein­lich­keits­ver­tei­lung in nur 200 Sekun­den ermit­telt hat. Der sei­ner­zeit schnells­te Super­com­pu­ter der Welt – Sum­mit von IBM (sie­he Abbil­dung 2) – hät­te nach einer Abschät­zung zufol­ge wahr­schein­lich 10.000 Jah­re dafür benö­tigt. Das Poten­ti­al, ins­be­son­de­re die außer­ge­wöhn­lich hohe Rechen­leis­tung von Quan­ten­com­pu­tern, die expo­nen­ti­ell mit der Erhö­hung ihrer Basis­ein­heit, dem Quan­ten­bit (Qubit), ansteigt, ist also eine Inves­ti­ti­on in die Zukunft – und eine Bedro­hung zugleich.

Abb. 2: Sum­mit ist ein Super­com­pu­ter des Unter­neh­mens IBM, der im Oak Ridge Natio­nal Labo­ra­to­ry in den USA im Juni 2018 in Betrieb genom­men wur­de. Zum Zeit­punkt der Inbe­trieb­nah­me war er der schnells­te Super­com­pu­ter der Welt; 4608 Rech­ner fül­len über 200 Stan­dard-19-Zoll-Racks, auf 520 qm, Foto: Urhe­ber – Car­los Jones/ORNL;
Quel­le:  https://commons.wikimedia.org/w/index.php?curid=73905694

Was ist denn das Beson­de­re bei der Quan­ten­com­pu­ter­tech­nik? Dort, wo der klas­si­sche Com­pu­ter auf Basis von zwei Schalt­zu­stän­den elek­tro­ni­scher Schalt­krei­se arbei­tet, nutzt man beim Quan­ten­com­pu­ter quan­ten­me­cha­ni­sche Zustän­de geeig­ne­ter Sys­te­me. Als Quant wird das kleinst­mög­li­che Ele­ment einer phy­si­ka­li­schen Ein­heit bezeich­net, z.B. ein Elek­tron, ein Ion oder ein Pho­ton. Die­ses Quant bil­det die Basis für das Quan­ten­bit (Qubit). Es ist die kleins­te Rechen­ein­heit eines Quan­ten­com­pu­ters, ähn­lich wie das Bit bei einem her­kömm­li­chen Com­pu­ter. Quan­ten haben aber die Beson­der­heit, dass sie gleich­zei­tig die Kom­bi­na­ti­on aus Ihren Zustän­den 0 und 1 ein­neh­men kön­nen. Man spricht hier von Quan­ten­ver­schrän­kung und Super­po­si­ti­ons­prin­zip. Damit ist beim Rech­nen die Ver­ar­bei­tung ver­schie­de­ner Ein­ga­be­wer­te gleich­zei­tig mög­lich. In der Welt der Quan­ten gel­ten eben Geset­ze, die mit unse­rer All­tags­er­fah­rung nicht in Ein­klang zu brin­gen sind. „Schrö­din­gers Kat­ze“ 2) lässt grü­ßen!

Die Quan­ten­phy­sik han­delt von Wahr­schein­lich­kei­ten, mit der bestimm­te Ereig­nis­se zutref­fen. Und die Tat­sa­che, dass ein Qubit meh­re­re Zustän­de gleich­zei­tig ein­neh­men kann, lässt offen­sicht­lich Unschär­fen zu. Die­se Feh­ler­quel­le wird durch das Wie­der­ho­len von Rechen­ope­ra­tio­nen aber mini­miert. Und durch die Ska­lie­rung von vie­len Qubits las­sen sich letzt­lich sehr vie­le Rechen­ope­ra­tio­nen par­al­lel durch­füh­ren, wäh­rend her­kömm­li­che Com­pu­ter sie nur nach­ein­an­der abar­bei­ten kön­nen.

Ein Pro­blem beim Quan­ten­com­pu­ter stellt die exak­te Steue­rung der Zustän­de der Qubits und deren Sta­bi­li­tät dar. Jede Beein­flus­sung von außen, z. B. beim Mes­sen des Zustands des Quant, aber auch jed­we­de Strah­lung, Wär­me oder Erschüt­te­run­gen könn­te sei­nen Zustand ver­än­dern. Um mit Qubits exakt rech­nen zu kön­nen, wer­den sie des­halb in die Nähe des abso­lu­ten Null­punkts (- 273,15°C) her­un­ter gekühlt und gegen Erschüt­te­run­gen, magne­ti­sche und elek­tri­sche Fel­der und alle ande­ren mög­li­chen äuße­ren Ein­flüs­se abge­schirmt.

Der ers­te Red­ner des Abends war Herr Prof. Dr. Chris­tof Wun­der­lich, Pro­fes­sor für Quan­ten­tech­no­lo­gie an der Uni­ver­si­tät Sie­gen sowie Grün­der und CEO der “ele­Q­tron GmbH”. Mit sei­ner über 20-jäh­ri­gen Erfah­rung durch sei­ne For­schung auf dem Gebiet der Quan­ten­com­pu­ter gehört er zu den aus­ge­wie­se­nen Fach­leu­ten auf die­sem Gebiet. Er stell­te sei­ne Sicht auf den aktu­el­len Stand der For­schung und Tech­nik dar. Zunächst ging er auf die Beson­der­heit der Quan­ten­tech­nik ein, näm­lich der Tat­sa­che, dass sich mit einem Qubit gleich­zei­tig zwei Ener­gie­zu­stän­de dar­stel­len las­sen: Mit 8 Qubits bereits 256 (2 8) und mit 30 Qubits bereits ca. 1 Mil­li­ar­de. Die­se expo­nen­ti­el­le Stei­ge­rung lässt bei Quan­ten­com­pu­tern mit dem Tag, an dem es gelingt, sie frei pro­gram­mier­bar zu machen, eine Leis­tungs­stei­ge­rung in Rechen­leis­tung und Pro­blem­lö­sung erwar­ten, die alle heu­ti­gen Beschrän­kun­gen in der Rechen­leis­tung gera­de­zu pul­ve­ri­sie­ren. Nach Pro­fes­sor Wun­der­lich ist ihre “MAGIC-Tech­no­lo­gie” ein ech­ter Mei­len­stein bei der Nut­zung von Quan­ten­com­pu­tern (MAGIC = Magne­tic Gra­di­ent Indu­ced Cou­pling). Mit ihr ist man in der Lage, Ionen-Qubits mit Hoch­fre­quenz­wel­len exakt und ver­läss­lich zu steu­ern. Das MAGIC-Kon­zept wird das Pro­blem bei der Rechen­gü­te nach sei­ner Aus­sa­ge gegen­über den ande­ren Ansät­zen der Supra­lei­ter-Tech­nik durch per­fekt repro­du­zier­ba­re Qubits, stark redu­zier­te Kühl­an­for­de­run­gen und der sehr gut inte­grier­ba­ren Hoch­fre­quenz­tech­nik für die Steue­rung der Qubits deut­lich ver­rin­gern oder gar besei­ti­gen. Als mög­li­che Anwen­dun­gen sind che­mi­sche und bio­lo­gi­sche Ana­ly­sen, spe­zi­ell auch medi­zi­ni­sche Design-Fra­gen (Her­stel­lung von Impf- und ande­ren Wirk­stof­fen), Opti­mie­rungs­sys­te­me und logis­ti­sche Fra­ge­stel­lun­gen beson­ders geeig­net für Lösun­gen mit Quan­ten­com­pu­tern.

Nach dem Blick in die Zukunft der Quan­ten­com­pu­ter ver­darb Frau Dr. Hei­ke Hage­mei­er vom BSI die Stim­mung auf dem Weg in eine phan­tas­ti­sche Com­pu­ter­welt ein wenig durch ihre Sicht auf die durch Quan­ten­com­pu­ter gefähr­de­ten Kryp­to­gra­phie-Sys­te­me. Mit ihrem The­ma “Post-Quan­ten-Kryp­to­gra­phie für die natio­na­le Sicher­heit” (engl.: Post Quan­tum-Cryp­to­gra­phie = PQC) zeich­ne­te Sie eine Gefähr­dungs­la­ge, in der zumin­dest asym­me­tri­sche Ver­schlüs­se­lungs­sys­te­me in der Welt der Quan­ten­com­pu­ter der Zukunft wir­kungs­los sein wer­den, da sie inner­halb weni­ger Minu­ten geknackt wer­den kön­nen. Ihre Hypo­the­se: Anfang der 2030er Jah­re wird es die ers­ten kryp­to­gra­fisch rele­van­ten Quan­ten­com­pu­ter geben, also Com­pu­ter, die zumin­dest asym­me­tri­sche Kryp­to­gra­phie bre­chen kön­nen. Damit wäre jeg­li­che Kom­mu­ni­ka­ti­on auf Basis von Public-Key-Ver­fah­ren unsi­cher, so z.B. auch das Home-Ban­king in der heu­ti­gen Form. Aber sind aktu­el­le sym­me­tri­sche Ver­fah­ren 3) dann noch sicher? Hier zumin­dest eine klei­ne Ent­war­nung: Die sym­me­tri­schen Kryp­to-Ver­fah­ren mit län­ge­ren Schlüs­seln (min­des­tens 256 bit) sind nach Aus­sa­ge von Dr. Hage­mei­er noch nicht in Gefahr. Gege­be­nen­falls könn­te man mit der Ver­län­ge­rung der Schlüs­sel ent­ge­gen­wir­ken. Gleich­wohl muss man sich mit den Fra­gen beschäf­ti­gen, wie lan­ge die Daten von heu­te geschützt wer­den müs­sen (län­ger als 5 Jah­re?), wie lan­ge eine Umstel­lung auf quan­ten­si­che­re Kryp­to­gra­phie dau­ert und wie lan­ge es dau­ert, bis Quan­ten­com­pu­ter ver­füg­bar sind. Denn die Gefahr, dass Daten­strö­me heu­te auf­ge­zeich­net wer­den und spä­ter unter Nut­zung von Quan­ten­com­pu­tern geknackt wer­den kön­nen („store now, decrypt later!), ist rele­vant . 

Frau Dr. Hage­mey­er berich­te­te in die­sem Zusam­men­hang von einem BSI-Leit­fa­den zu die­sem The­ma. Danach wird es lang­fris­tig eine Post-Quan­ten-Kryp­to­gra­fie als Stan­dard geben und ein Umstieg auf Quan­ten­com­pu­ter-resis­ten­te Ver­fah­ren soll­ten bereits heu­te geplant wer­den. Eine fle­xi­ble Anpas­sung soll­te bei der Neu- und Wei­ter­ent­wick­lung von Kryp­to-Pro­duk­ten im Vor­der­grund ste­hen (Stich­wort „Kryp­to­agi­li­tät“). Die Post-Quan­ten-Ver­fah­ren soll­ten mög­lichst in Kom­bi­na­ti­on mit klas­si­schen Ver­fah­ren ein­ge­setzt wer­den (hybri­de Nut­zung). Ihr Fazit: Jetzt Risi­ko­ana­ly­sen anstel­len, um früh­zei­tig und kon­ti­nu­ier­lich eine Migra­ti­ons­stra­te­gie zu erstel­len, die bis Anfang der 2030er Jah­re den Schutz vor Quan­ten­com­pu­ter-Angrif­fen gegen die Kryp­to-Ver­fah­ren sicher­stellt. Eine aktu­el­le Umfra­ge bei deut­schen Unter­neh­men aller­dings zeigt, dass man bis­her noch recht blau­äu­gig in die Zukunft der Quan­ten­com­pu­ter-Welt schaut. Das soll­te sich nach Mei­nung von Frau Dr. Hage­mei­er schleu­nigst ändern.

Herr M.Sc. Jan Phil­ipp Tho­ma vom Horst-Görtz-Insti­tut der Ruhr-Uni­ver­si­tät Bochum führ­te mit dem drit­ten Vor­trag des Abends in die Welt der Cyber-Sicher­heit durch Quan­ten­tech­no­lo­gie. Er berich­te­te  von  einem Wett­be­werb des US-ame­ri­ka­ni­schen Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gie (NIST) 4), der 2016 begann und Kan­di­da­ten für Ver­schlüs­se­lung und digi­ta­le Signa­tu­ren sucht, die selbst Angrif­fen von Quan­ten­com­pu­tern stand­hal­ten kön­nen. Von ursprüng­lich 69 Bewer­bern wur­den bis 2020 zunächst sie­ben, bis zum heu­ti­gen Tag schließ­lich vier Kan­di­da­ten aus­ge­wählt. Von die­sen wur­den drei mit deut­scher Betei­li­gung ent­wi­ckelt (Uni­ver­si­tät Bochum). Da der Wett­be­werb noch nicht abge­schlos­sen ist, wer­den vier wei­te­re Kan­di­da­ten in die abschlie­ßen­den Betrach­tun­gen mit ein­ge­schlos­sen. Unab­hän­gig von zukünf­ti­gen Kryp­to-Algo­rith­men erklär­te auch Herr Tho­ma, dass die aktu­el­len sym­me­tri­schen Kryp­to-Ver­fah­ren nach heu­ti­gem Kennt­nis­stand “Quan­ten-sicher” sind, die asym­me­tri­schen Ver­fah­ren dage­gen nicht. Er ging dann auf die vier aus­ge­wähl­ten Ver­fah­ren ein: Crys­tals-Kyber/ ‑Dili­thi­um, aber auch Fal­con, SPHINCS+ und NtruEn­crypt sind die Namen der vier neu­en Kryp­to-Algo­rith­men 5), an die wir uns in der Zukunft wohl gewöh­nen müs­sen. Wahr­schein­lich wird sich für die meis­ten Anwen­dungs­fäl­le der Lat­ti­ce-basier­te 6)Ver­schlüs­se­lungs­al­go­rith­mus Crys­tals-Kyber durch­set­zen, wenn die Fra­ge der Patent­rech­te geklärt wer­den kann. Für digi­ta­le Signa­tu­ren käme dann Crys­tals-Dili­thi­um in Fra­ge. Auf­grund der ver­gleichs­wei­se gro­ßen Signa­tu­ren wer­den Fal­con und SPHINCS+ wohl zusätz­lich stan­dar­di­siert. Fal­con ermög­licht klei­ne Signa­tu­ren, wobei die Imple­men­tie­rung wegen einer kom­ple­xen Daten­struk­tur etwas schwie­ri­ger sei. SPHINCS+ gilt als über­aus sicher, weil der Algo­rith­mus auf der lan­ge bekann­ten kryp­to­gra­phi­schen Tech­nik der Hash-Ver­fah­ren 7) basiert. Dafür sind die Signa­tu­ren hier wie­der rela­tiv groß. In der Betrach­tung der Vor- und Nach­tei­le der ver­schie­de­nen Lösun­gen kam Herr Tho­ma auch auf soge­nann­te Sei­ten­ka­nal­an­grif­fe zu spre­chen. Hier­bei han­delt es sich um die Aus­wer­tung kom­pro­mit­tie­ren­der Infor­ma­tio­nen, die über phy­si­sche Infor­ma­tio­nen (z.B.durch Abstrah­lung oder Aus­wer­tung von Ener­gie­flüs­sen), ggf. man­gel­haf­te Imple­men­tie­rung eines Kryp­to-Sys­tems in einem Gerät oder auch einer Soft­ware aus­ge­le­sen wer­den kön­nen. Dar­aus las­sen sich Rück­schlüs­se auf die Ver­schlüs­se­lung zie­hen. Dem muss man z.B. durch Abschir­mung der Sys­te­me ent­ge­gen wir­ken. Für die künf­ti­gen Imple­men­tie­run­gen ist auch nicht unin­ter­es­sant, dass z.B. bei Crys­tals-Kyber eine Schlüs­sel­län­ge von 2.400 Byte (1 Byte = 8 bit) ver­an­schlagt wird, wäh­rend heu­ti­ge Kryp­to­al­go­rith­men wie ECDH (Ellip­tic Cur­ve Dif­fie-Hell­mann 8) ) “nur” 256 bit beinhal­ten. Ein Unter­schied um Fak­tor 75! Das ist nicht uner­heb­lich für die Per­for­mance künf­ti­ger Kryp­to-Sys­te­me.

Frau Leo­nie Bru­ckert von der Fir­ma Secu­n­et Secu­ri­ty Net­works AG, Exper­tin für PQC, schließ­lich refe­rier­te über den Stand der Sicher­heit der aktu­el­len VS-Pro­duk­te. Sie teil­te die Risi­ko­ana­ly­se der Vor­red­ner grund­sätz­lich. Auch sie zitier­te bezüg­lich der Ver­füg­bar­keit ers­ter für die Kryp­to­gra­phie rele­van­ter Quan­ten-Com­pu­ter das BSI mit dem Jahr 2030 und die NSA mit der Aus­sa­ge bis zum Jahr 2035. Dar­aus resul­tie­re eine “unmit­tel­ba­re Gefahr” für Daten der Stu­fe GEHEIM. Dar­um soll­ten Quan­ten-resis­ten­te Kryp­to-Algo­rith­men bis Anfang der 2030er Jah­re abge­schlos­sen und in die Ver­schlüs­se­lungs­sys­te­me imple­men­tiert sein. Für die Her­stel­ler von kryp­to­gra­phi­schen Sys­te­men sind die Vor­ga­ben des BSI essen­zi­ell. Die Migra­ti­on zur Post-Quan­tum-Kryp­to­gra­phie des BSI umfasst die Stu­fen: Ver­füg­bar­keit von stan­dar­di­sier­ten Algo­rith­men – Inte­gra­ti­on von PQC in Pro­duk­ten – Imple­men­tie­rungs­steue­rung – Hard­ware­un­ter­stüt­zung – Ent­wick­lung und Zulas­sung von VS-Pro­duk­ten – siche­re Ver­tei­lung bei den Kun­den. Die Hand­lungs­emp­feh­lung des BSI “Migra­ti­on zu Post-Quan­ten-Kryp­to­gra­fie” ist im August 2020 aktua­li­siert wor­den. Das BSI emp­fiehlt in die­sem Zusam­men­hang aktu­ell kon­ser­va­ti­ve PQC-Ver­fah­ren und gro­ße Schlüs­sel bei den Signa­tu­ren. Ein ers­ter Mei­len­stein  bei PQC-resis­ten­ter Hard­ware ist erreicht wor­den: SINA H (Ver­schlüs­se­lungs­sys­tem bis GEHEIM) hat eine Zulas­sung bis 2030.  Damit dür­fen SINA Work­sta­tion H, SINA L3 Box H und SINA Work­sta­tion H (nur bis 2023) für die Ver­ar­bei­tung ent­spre­chend ein­ge­stuf­ter Infor­ma­tio­nen wei­ter genutzt wer­den. Aber natio­na­le Zulas­sungs­ver­fah­ren benö­ti­gen durch­aus eini­ge Zeit, so dass man sich mit dem Ein­brin­gen geeig­ne­ter Kan­di­da­ten nicht zu lan­ge Zeit las­sen soll­te. Auch die Imple­men­tie­rung in lau­fen­de Sys­te­me und Anwen­dun­gen wird eini­ge Zeit in Anspruch neh­men. Aber für Schlüs­se­lei­ni­gungs­ver­fah­ren (arbei­tet mit pri­va­tem und öffent­li­chen Schlüs­seln nach Dif­fie-Hell­man) war­tet das BSI nicht auf die Ent­schei­dun­gen des NIST und emp­fiehlt daher aktu­ell noch die Algo­rith­men Fro­do­KEM und Clas­sic McE­lie­ce 9), da Hand­lungs­be­darf bei den asym­me­tri­schen Ver­fah­ren bestand.

Zum Abschluss sei fest­ge­stellt, dass der für die Aus­wahl der Pro­gram­me und The­men bei AFCEA Bonn e.V. zustän­di­ge Herr Hen­ry Gün­ter Neu­mann mit der Ein­la­dung von Herrn Prof. Dr. Chris­tof Wun­der­lich, Frau Dr. Hei­ke Hage­mei­er, Herrn M.Sc. Jan Phil­ipp Tho­ma und Frau Leo­nie Bru­ckert mei­nes Erach­tens eine aus­ge­wo­ge­ne und kom­pe­ten­te Exper­ten­run­de für die Vor­trä­ge zu die­sem The­ma hat gewin­nen kön­nen. Und es soll­te am Ende die­ses Bei­trags deut­lich gewor­den sein, dass jeder Bür­ger, jedes Indus­trie­un­ter­neh­men und die staat­li­chen Insti­tu­tio­nen in unse­rem Lan­de in einer nicht all­zu fer­nen Zukunft in einer Welt der Quan­ten­com­pu­ter sehr star­ken Bedro­hun­gen aus­ge­setzt sein wer­den. Es gilt also, recht­zei­tig auf allen Ebe­nen Vor­sor­ge zu tref­fen, um per­sön­lich Daten, indus­tri­el­les Wis­sen und staat­li­che Geheim­nis­se „post-quan­ten-sicher“ zu machen. Das The­ma wird laut Herrn Neu­mann im nächs­ten Jahr in der AFCEA-Vor­trags­rei­he fort­ge­setzt.

Oberst a.D. Peter War­ni­cke war in sei­ner akti­ven Dienst­zeit u.a. zeit­wei­se auch IT-Sicher­heits­be­auf­trag­ter der Bun­des­wehr und ist Kas­sen­wart des Fm-Rings e.V..

____________________________________  

1) Asym­me­tri­sche Ver­schlüs­se­lungs­ver­fah­ren, auch Public-Key-Ver­schlüs­se­lung genannt: Hier benö­tigt man zwei ver­schie­de­ne Schlüs­sel, einen öffent­li­chen (Public Key) und einen pri­va­ten (Pri­va­te Key). Die­se bei­den Schlüs­sel gehö­ren untrenn­bar zusam­men. Mit mei­nem öffent­li­chen Schlüs­sel, für jeder­mann zugäng­lich, wer­den Nach­rich­ten an mich ver­schlüs­selt. Sie kön­nen danach aber aus­schließ­lich durch mei­nen pri­va­ten Schlüs­sel ent­schlüs­selt wer­den. Die­ses Ver­fah­ren hat sich in der E‑Mail-Kom­mu­ni­ka­ti­on und auch im Home-Ban­king eta­bliert, weil es beson­ders ein­fach ohne den auf­wen­di­gen (siche­ren) Aus­tausch von Schlüs­seln aus­kommt.

2) “Schrö­din­gers Kat­ze”: In einem Gedan­ken­ex­pe­ri­ment ver­such­te der öster­rei­chi­sche Phy­si­ker und Wis­sen­schafts­theo­re­ti­ker Erwin Rudolf Josef Alex­an­der  Schrö­din­ger (* 12.08.1887, † 04.01.1961), der als einer der Väter der Quan­ten­me­cha­nik gilt und 1933 den Nobel­preis für Phy­sik erhielt, die Pro­ble­me bei der Inter­pre­ta­ti­on der Quan­ten­me­cha­nik auf­zu­zei­gen. Das Gedan­ken­ex­pe­ri­ment ver­sucht, quan­ten­me­cha­ni­sche Regeln in eine makro­sko­pi­sche Welt (die Welt der Kat­ze) zu über­tra­gen. Das Expe­ri­ment: Eine Kat­ze sitzt in einer ver­schlos­se­nen Kis­te, dar­in eine Gift­kap­sel, ein Gei­ger­zäh­ler und ein radio­ak­ti­ves (töd­li­ches) Ele­ment. Wird der Gei­ger­zäh­ler durch den Zer­fall des radio­ak­ti­ven Ele­ments aus­ge­löst, zer­stört ein Mecha­nis­mus die Gift­kap­sel und die Kat­ze stirbt. Nach einer Stun­de beträgt die Wahr­schein­lich­keit, dass das radio­ak­ti­ve Ele­ment zer­fällt, 50 %. Solan­ge die Kis­te ver­schlos­sen ist, befin­det sich die Kat­ze im Prin­zip in einem Zustand halb leben­dig, halb tot. Das wird in der Quan­ten­me­cha­nik als “Super­po­si­ti­on” die­ser bei­den Zustän­de bezeich­net – bei­de Zustän­de sind gleich­zei­tig mög­lich. Das Pro­blem: Ob die Kat­ze tot ist oder noch lebt, kann man nur durch das Öff­nen der Kis­te – also durch Beob­ach­tung oder Mes­sung – erfah­ren. Fazit: Die Regeln der Quan­ten­me­cha­nik las­sen sich nicht ein­fach in die makro­sko­pi­sche Welt der Kat­ze über­tra­gen.

3) Sym­me­tri­sche Ver­fah­ren – Ein glei­cher Schlüs­sel, der an jeden Teil­neh­mer einer Grup­pe auf einem siche­ren Weg ver­teilt wer­den muss, wird für das Ver­schlüs­seln wie auch für das Ent­schlüs­seln einer Nach­richt ver­wen­det.

4) NIST – Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy, Bun­des­be­hör­de der USA mit Sitz in Gai­thers­burg, Mary­land. Die vom NIST aus­ge­wähl­ten Ver­fah­ren haben sich in der Ver­gan­gen­heit regel­mä­ßig welt­weit als Kryp­to-Stan­dards durch­ge­setzt.

5) Die vier neu­en Kryp­to-Algo­rith­men:

a) Crys­tals-Kyber/ ‑Dili­thi­um gehö­ren zur Grup­pe der Lat­ti­ce-/ Git­ter-basier­ten (sie­he unten) Ver­schlüs­se­lungs­al­go­rith­men. Beim Crys­tals-Algo­rith­mus wer­den beson­ders schwie­ri­ge mathe­ma­ti­sche Pro­ble­me als Basis des Algo­rith­mus aus­ge­sucht. Kyber ist ein Schlüs­sel­kap­se­lungs­ver­fah­ren (Key Encap­su­la­ti­on Mecha­nism = KEM). Hier wird der Schlüs­sel-Algo­rith­mus mit einem asym­me­tri­schen Ver­fah­ren ver­teilt. Der Crys­tals-Dili­thi­um-Algo­rith­mus ist für digi­ta­le Signa­tu­ren aus­ge­wählt. Das NIST emp­fiehlt bereits jetzt, die Crys­tals-Ver­fah­ren zu nut­zen, da sie als Quan­ten­rech­ner-resis­tent gel­ten.
b) Fal­con wur­de von der Fir­ma Tha­les in Zusam­men­ar­beit mit aka­de­mi­schen und indus­tri­el­len Part­nern aus Frank­reich, der Schweiz, Kana­da und den USA gegen Angrif­fe von leis­tungs­star­ken Quan­ten­com­pu­tern ent­wi­ckelt. Der Fal­con-Algo­rith­mus wur­de vom NIST für die Ver­wen­dung bei digi­ta­le Signa­tu­ren aus­ge­wählt.
c) SPHINCS+ ist ein Hash-basier­tes (sie­he unten) Signa­tur­ver­fah­ren, das ent­wi­ckelt wur­de, um lang­fris­tig Sicher­heit gegen Angrif­fe mit Quan­ten­com­pu­tern zu bie­ten.

d) NtruEn­crypt ist ein asym­me­tri­sches Ver­schlüs­se­lungs­ver­fah­ren, das auf der Berech­nung von Lat­ti­ce-/ Git­ter­pro­ble­men (sie­he unten) basiert, die selbst mit Quan­ten­com­pu­tern als nicht knack­bar gel­ten. Das Ver­fah­ren wur­de bis­her aller­dings noch nicht so gut unter­sucht, wie die gän­gi­ge­ren Ver­schlüs­se­lungs­ver­fah­ren.

6)  Lat­ti­ce-basier­te Ver­schlüs­se­lungs­ver­fah­ren (Lat­ti­ce, engl. für Git­ter) sind Ver­fah­ren, die auf einem spe­zi­el­len mathe­ma­ti­schen Pro­blem beru­hen. Mathe­ma­tisch besteht ein Git­ter aus einem Ras­ter unend­lich vie­ler Punk­te. Ein Bei­spiel für ein mathe­ma­ti­sches Pro­blem ist die Berech­nung des nächst gele­ge­nen Git­ter­punk­tes eines außer­halb der Kreu­zungs­punk­te lie­gen­den zufäl­li­gen Punk­tes. Die Berech­nung die­ses Vek­tors ist in einem 2- oder 3‑dimensionalen Raum kein so gro­ßes Pro­blem. Nimmt man aber – mathe­ma­tisch – ein 512-dimen­sio­na­les Git­ter, dann bekommt auch ein Quan­ten­com­pu­ter ein kaum lös­ba­res Pro­blem. Man darf hier aber, wie bei ande­ren Post-Quan­tum-Ansät­zen nicht außer Acht las­sen, dass sich die Idee effi­zi­ent umset­zen las­sen muss. Die Signa­tu­ren bzw. Schlüs­sel­tex­te dür­fen also nicht zu groß wer­den.

7) Hash-Ver­fah­ren wer­den zur Iden­ti­täts­prü­fung genutzt (engl. to hash = zer­ha­cken). Mit einer Funk­ti­on wird aus einer gro­ßen Ein­ga­be­men­ge eine klei­ne­re Ziel­men­ge abge­bil­det. Der soge­nann­te Hash-Wert einer Datei oder Nach­richt wird dann mit einem bekann­ten Wert ver­gli­chen. Das Rück­wärts­rech­nen, also das Berech­nen des Ein­ga­be­werts aus dem Hash-Wert ist unmög­lich. Die kryp­to­gra­phi­sche Hash-Funk­ti­on kann auch zur siche­ren Spei­che­rung von Pass­wör­tern genutzt wer­den. Bei Prü­fung des Pass­worts wird der Hash-Wert mit einen in einer Daten­bank hin­ter­leg­ten Hash-Wert ver­gli­chen.

8) Whit­field Dif­fie u. Mar­tin Edward Hell­man sind zwei ame­ri­ka­ni­sche Kryp­to­lo­gen. Sie sind die Begrün­der des 1976 ver­öf­fent­li­chen Public-Key-Ver­fah­rens, das ers­te soge­nann­te asym­me­tri­sche Kryp­to-Ver­fah­ren.

9) Fro­do­KEM ist ein Kryp­to-Algo­rith­mus, der als Schlüs­sel­kap­se­lungs­me­cha­nis­mus (Key Encap­su­la­ti­on Mecha­nism = KEM) als kon­ser­va­ti­ve Post-Quan­ten-Kryp­to­gra­phie kon­zi­piert und 2019 vom BSI als geeig­net in hybri­den Lösun­gen frei­ge­ge­ben wur­de. Also ein klas­si­scher sym­me­tri­scher Schlüs­sel ver­teilt über ein asym­me­tri­sches Ver­schlüs­se­lungs­ver­fah­ren.

Clas­sic McE­lie­ce ist ein vom Kryp­to­gra­phen Robert J. Mc Elie­ce im Jah­re 1978 ent­wi­ckel­ter Ver­schlüs­se­lungs­al­go­rith­mus, der auf mathe­ma­ti­schen Matri­zen basiert. Weil er für die Beschrei­bung eines 128 Bit star­ken Schlüs­sels ca. 1 MByte (unge­fähr Fak­tor 7.800!) Spei­cher­platz benö­tigt, fand er bis­her kaum Ver­wen­dung. Da er aber auch bei Ver­wen­dung von Quan­ten­com­pu­tern als nicht zu bre­chen gilt, ist er als Kan­di­dat für die Post-Quan­ten-Kryp­to­gra­phie vom BSI wie auch vom NIST aus­ge­wählt wor­den.