 |
| Quelle: Wikipedia |
Es ist schon längst bekannt, dass Quantencomputer dereinst heute bestehende Verschlüsselungsalgorithmen in nützlicher Zeit brechen können. Damit werden sie in Zukunft unsicher sein. Insbesondere die asymmetrischen Verfahren, die auf dem Problem der Primafaktorzerlegung beruhen.
Wann es Quantencomputer gibt, die dazu in der Lage sind, weiss niemand. Die Forschung und Entwicklung macht stetig Fortschritte. Die Firma IONQ vertreibt erste Chips, welche eine kommerzielle Nutzung ermöglichen: https://ionq.com/technology
Erst diese Woche wurde ein solcher Chip an QuantumBasel geliefert.
Dabei sind Quantencomputer auch in der Theorie keine Wundermittel für alles. Mit ihnen lassen sich bestimmte mathematische Aufgaben, für die ein klassischer Chip sehr viele Rechenschritte braucht, sehr viel effizienter lösen.
In Bezug auf die Verschlüsselung sind das schlechte und gute Neuigkeiten zugleich:
- Schlecht: Die heute verbreiteten asymmetrische Verschlüsselungsalgorithmen setzen auf mathematische Problemstellungen, welche ein Quantencomputer - theoretisch - sehr viel schneller lösen kann. Damit wird die Verschlüsselung unsicher.
- Gut: Es gibt Problemstellungen die für eine (asymmetrische ) Verschlüsselung verwendet werden können, mit welchen auch ein Quantencomputer - theoretisch - Mühe hat.
"Theoretisch" ist hier wichtig als Einschränkung. Niemand kann die Entwicklung sicher voraussagen und solange es keine stabil funktionierenden Quantencomputer im grossen Massstab gibt, bleibt es Theorie. Dazu muss man wissen, dass man Quantencomputer, um sie effizient nutzen zu können, anders Programmieren muss als die heute verwendeten. Anders bedeutet, einerseits, dass man mehr deklarativ programmiert (gibt es heute schon) und vor allem auch, dass man andere Algorithmen verwendet. Und genau bei diesen Algorithmen besteht in Bezug auf die Verschlüsselung auch ein Risiko. Niemand kann mit Sicherheit sagen, dass nicht künftig jemand einen Algorithmus entdeckt, mit welchem ein Quantencomputer auch ein bisher als sicher geglaubtes Verschlüsselungsverfahren genügend schnell brechen kann.
Dennoch ist es wichtig, dass man heute anfängt sensible Daten so zu verschlüsseln, dass sie aus heutiger Sicht auch vor Quantencomputern sicher sind.
Die Herausforderung dabei ist, dass man ein Verfahren hat, dass nicht nur Quantencomputer sicher ist, es muss natürlich nach wie vor auch für klassische Computer nicht in nützlicher Frist lösbar sein.
Bislang war das Problem dabei, dass es zwar verschiedene Verfahren gab, diese aber nicht standardisiert waren. Bei der Verschlüsselung sollte man aber unbedingt Standards verwenden, damit man einerseits gut geprüfte Verfahren einsetzt, aber andererseits auch sicherstellen kann, dass es auch in Zukunft Software gibt, welche diese Verfahren unterstützen.
Die bekannteste Organisation, welche solche Standards herausgibt, ist das NIST (National Institute of Standards and Technology, eine US Bundesbehörde des Handelsministeriums mit Sitz in Maryland). Das NIST hat sich bislang Zeit gelassen, Empfehlungen für quantensichere Verschlüsselungsverfahren zu publizieren. Am 13. August 2024 war es nun soweit. Das NIST hat 3 Verfahren als final publiziert:
FIPS 203 - Module-Lattice-Based Key-Encapsulation Mechanism, kurz: ML-KEM (Link):
Spezifiziert einen kryptografischen Mechanismus, der auf der Module-Lattice-Problematik basiert. Das Module-Lattice-Problem ist ein Teil der Gittertheorie. Stark vereinfacht besteht es darin, dass es extrem schwierig ist, in einem mehrdimensionalen Gitterraum mit Punkten, die Punkte auf dem Gitter zu finden, wenn man nur unvollständige Informationen über den Gitterraum selber und die Punkte hat.
FIPS 204 - Module-Lattice-Based Digital Signature Standard, kurz: ML-DSA (Link):
Basiert wie FIPS 203 auf dem Module-Lattice-Problematik, definiert aber die Verwendung für digitale Signaturen.
FIPS 205 - Stateless Hash-Based Digital Signature Standard, Kurz: SLA-DSA (Link):
Ist eine Weiterentwicklung vom Spincs+-Algorithmus. Als Hash basiertes Verfahren ist die Grundlage kein spezifisches mathematisches Problem. Die Sicherheit kommt viel mehr von der "Einwegigkeit": Aus AB kann man nur C machen, aber aus C kann man nicht auf AB schliessen. Für eine Verschlüsselung ist das ungeeignet, für eine digitale Signatur reicht das aber aus. FIPS 205 wurde vom NIST als "Backup-Verfahren" für FIPS 204 publiziert, falls dieses gebrochen werden kann.
Das NIST hat auch für FIPS 203 noch im Jahr 2024 ein "Backup-Verfahren" in Aussicht gestellt.
Wie den Verfahren zu entnehmen ist, betrifft das "Quantencomputer-Risiko" hauptsächlich asynchrone Verschlüsselungsverfahren, wie sie bspw. im Public-Key-Verfahren angewendet werden, welches bspw. Teil der klassischen TLS-Verschlüsselung ist oder im Bereich der digitalen Signaturen zum Einsatz kommen. Solche Verfahren wie RSA oder Diffie-Hellman könnten durch Quantencomputer mittels dem Shor-Algorithmus kompromittiert werden. Stand heute nicht, resp. viel weniger, betroffen sind starke symmetrische Verschlüsselungsverfahren wie bspw. AES-256 und höher.
Ich empfehle allen CISO, sich mit den Standards vertraut zu machen und zeitnah zu evaluieren, wann diese produktiv eingesetzt werden können.
Keine Kommentare:
Kommentar veröffentlichen