QUANTEN COMPUTING Kryptografi e - Quantum vadis? Dr. Heike Hagemeier www.kas.de - Konrad-Adenauer-Stiftung

Die Seite wird erstellt Alicia Gerber

Lebensstil

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

QUANTEN COMPUTING Kryptografi e - Quantum vadis? Dr. Heike Hagemeier www.kas.de - Konrad-Adenauer-Stiftung

QUANTEN
COMPUTING
⁴⁄⁴   Kryptografie – Quantum vadis?
      Dr. Heike Hagemeier

                                      www.kas.de

Impressum

Herausgeberin:
Konrad-Adenauer-Stiftung e. V. 2021, Berlin

Umschlagfoto: © Adobe Stock/Bartek Wróblewski
Bildnachweis: S. 14 © Heike Hagemeier
Gestaltung und Satz: yellow too, Pasiek Horntrich GbR

Der Text dieses Werkes ist lizenziert unter den Bedingungen von „Creative
Commons Namensnennung-Weitergabe unter gleichen Bedingungen 4.0
international“, CC BY-SA 4.0 (abrufbar unter: https://creativecommons.org/
 licenses/by-sa/4.0/legalcode.de).

ISBN 978-3-95721-905-3

Auf einen Blick

›   Die Sicherheit digitaler Infrastrukturen beruht heute wesentlich auf sog. Public-
    Key-Verfahren. Diese stützen sich darauf, dass bestimmte mathematischen Pro-
    bleme durch heutige Computer nicht effektiv – d. h. in einer angemessenen Zeit –
    berechnet werden können.

›   Mit dem Shor- und dem Grover-Algorithmus gibt es zwar mathematische Ver-
    fahren, welche die zugrundeliegenden mathematischen Probleme effektiv lösen
    könnten. Diese Algorithmen können allerdings nur durch Quantencomputer
    durchgeführt werden.

›   Bisher ist noch kein Quantencomputer verfügbar, der zum Brechen krypto-
    grafischer Verfahren geeignet wäre. Es gibt jedoch große Fortschritte bei der
    Realisierung der dafür benötigten Grundbausteine. Sollten in Zukunft leistungs-
    starke Quantencomputer entwickelt werden, wird einem Teil der heute ein-
    gesetzten Verschlüsselungsverfahren die mathematische Grundlage entzogen.

›   Insbesondere für kryptografische Anwendungen, die Informationen mit langen
    Geheimhaltungsfristen und hohem Schutzbedarf verarbeiten, besteht daher
    akuter Handlungsbedarf. Hier besteht die Gefahr, dass große Mengen an ver-
    schlüsselten Daten auf Vorrat gesammelt und in Zukunft mithilfe eines Quanten-
    computers entschlüsselt werden („store now, decrypt later“).

›   Entsprechend ist es unerlässlich, sich bereits heute über die Zukunft der Krypto-
    grafie Gedanken zu machen und entsprechende Maßnahmen zu ergreifen.

                                                                                        3

Inhaltsverzeichnis

1. Kryptografie6

2. Quantum                9

3. Vadis?                 12

5. Autor                  15

6. Literaturverzeichnis   16

                                4

1. Kryptografie

1.1 Schutzziele Kryptografie und Einsen), die dazu dient, dass der Algorithmus
aus einer bestimmten Eingabe eine spezifische
Klassisch diente Kryptografie seit ihren Anfängen Ausgabe erzeugt. Bei einer Verschlüsselung bspw.
dem sicheren Austausch vertraulicher Nach- ist die Eingabe der Klartext, der in Abhängigkeit
richten. Dies impliziert nicht nur, dass Nach- vom Schlüssel in einen Geheimtext verschlüsselt
richten so übermittelt werden, dass unberechtigte wird. Umgekehrt wird aus dem Geheimtext unter
Dritte keinen Zugriff auf diese haben. Zugleich Verwendung des gleichen Schlüssels wieder der
muss auch sichergestellt werden, dass der Emp- Klartext. Bei einer digitalen Signatur ist die Ein-
fänger oder die Empfängerin einer Nachricht gabe die zu signierende Nachricht, für die mittels
sichergehen kann, dass diese auch tatsächlich des Schlüssels eine Signatur berechnet wird. Um
von dem vermuteten Absender oder der ver- sicherzustellen, dass diese Berechnungen nicht
muteten Absenderin stammt (Authentizität) und von Unbefugten durchgeführt werden, muss zum
auf dem Weg der Übermittlung zu ihm oder ihr einen der Schlüssel eine ausreichend lange Binär-
nicht manipuliert wurde (Integrität). Aus Sicht der zahl sein, die nicht durch einfaches Ausprobieren
Kryptografie gibt es also nicht nur ein, sondern „erraten“ werden kann. Zum anderen muss der
drei grundlegende Schutzziele: Vertraulichkeit, Schlüssel noch spezifische weitere Anforderungen
Authentizität und Integrität. erfüllen, die von dem konkreten kryptografischen
Verfahren abhängen.
Während in der Vergangenheit für die Nach-
richtenübermittlung weitestgehend gesicherte Abhängig von der Art bzw. der Verteilung der ver-
Kommunikationswege genutzt wurden, werden wendeten Schlüssel unterscheidet man zwischen
heutzutage – im digitalen Zeitalter – vertrauliche symmetrischen und asymmetrischen krypto-
oder sensible Daten verstärkt über öffentliche grafischen Verfahren, wobei letztere auch als
Netze kommuniziert. Dies birgt grundlegende Public-Key-Verfahren bezeichnet werden.
Herausforderungen. Um diesen zu begegnen, wur-
den in den letzten Jahrzehnten eine Reihe unter- Bei symmetrischen kryptografischen Verfahren
schiedlicher Verfahren entwickelt, die u. a. auf müssen die Kommunikationspartnerinnen und
bestimmten mathematischen Problemen basieren. Kommunikationspartner den gleichen Schlüssel
besitzen. Dies ist vergleichbar mit einem Tresor,
Um zu verstehen, warum und wie Quanten- der Inhalte vor dem Zugriff Dritter schützt und nur
computing eine Herausforderung für die Krypto- durch diejenigen geöffnet werden kann, die den
grafie darstellt, sollen diese Verfahren kurz vor- passenden Schlüssel besitzen. Zur Verschlüsselung
gestellt werden. werden in der Regel symmetrische Verfahren, wie
der Advanced Encryption Standard (AES), eingesetzt.
Dies ist darin begründet, dass symmetrische Ver-
1.2 Symmetrische und Asymmetrische fahren im Allgemeinen sehr effizient sind. Ein
Verfahren der Kryptografie Nachteil ist allerdings, dass hierfür die Schlüssel
zwischen den Kommunikationspartnerinnen und
Heutige kryptografische Verfahren sind Algo- Kommunikationspartnern vorab auf einem sicheren
rithmen1, die in Abhängigkeit von einem Schlüs- Weg ausgetauscht werden müssen. Hierbei wiede-
sel (engl. key) bestimmte Berechnungen durch- rum können asymmetrische Verfahren helfen, da
führen, bspw. die Ver- oder Entschlüsselung von diese die Übermittlung der symmetrischen Schlüs-
Texten. In diesem Kontext ist ein Schlüssel eine sel über offene Kommunikationsnetze wie das
Binärzahl, also eine Folge von Bits (d. h. Nullen Internet ermöglichen.

1. Kryptografie

1.3 Mathematische Grundlagen                                     Besitzerin bzw. der Besitzer eines Schlüssels für
der asymmetrischen Kryptografie                                  den Briefkasten die Nachrichten wieder heraus-
                                                                 holen und lesen kann. Zum Verschlüsseln einer
Im Unterschied zu dem eben erklärten Ansatz                      Nachricht wird diese mit dem öffentlichen
zeichnen sich asymmetrische Verfahren dadurch                    Schlüssel der Empfängerin oder des Empfängers
aus, dass vorab keine Verteilung der Schlüssel                   verschlüsselt und nur die Besitzerin oder der
notwendig ist. Jede Kommunikationspartnerin                      Besitzer des geheimen Schlüssels können
und jeder Kommunikationspartner besitzt ein                      die Nachricht wieder entschlüsseln. Aber nicht
Schlüsselpaar. Während einer der Schlüssel                       nur Verschlüsselung kann asymmetrisch
dieses Paars öffentlich ist, ist der zweite Schlüs-              durchgeführt werden. Insbesondere werden
sel geheim. Hier ist das geeignete Bild ein Brief-               asymmetrische Verfahren auch für Signaturen,
kasten, in den jede und jeder Nachrichten ein-                   die die Authentizität von Nachrichten garantie-
werfen kann, die dann auch durch den Zugriff                     ren können, und zum Austausch von Schlüsseln
durch Dritte insofern geschützt sind, als nur die                verwendet.

Abbildung 1: Grober Überblick über das Zusammenspiel zwischen Authentisierung, Austausch von Schlüsseln
und Verschlüsselung. Das genaue Vorgehen ist abhängig vom Einsatzzweck.

   Festes Schlüssel-                                                                                         Festes Schlüssel-
                                ALICE                                                       BOB
   paar von Alice.                                                                                           paar von Bob.
   Der öﬀentliche                                                                                            Der öﬀentliche
   Schlüssel ist in                                                                                          Schlüssel ist in
   einem Zertiﬁkat                                                                                           einem Zertiﬁkat
   hinterlegt.                                                                                               hinterlegt.
                                      ALICE                                                     BOB
                                                     ALICE

                                                                         ALICE
                                       BOB                                                                                  ALICE

   Alice prüft                  mit                  Authentisierung                 Bob prüft                        mit
                          BOB                                                                                 ALICE

                                                     BOB

                                                                           BOB

   Schlüsselpaar, das                                         ALICE (1×)                                     Schlüsselpaar, das
   für jeden Schlüssel-             ALICE (1×)                                       BOB (1×)                für jeden Schlüssel-
                                                    Schlüsselaustausch
   austausch neu                                                                                             austausch neu
   erzeugt wird.                                                                                             erzeugt wird.
                                    ALICE (1×)                BOB (1×)               BOB (1×)

                       ALICE (1×)        BOB (1×)                                BOB (1×)       ALICE (1×)

   Symmetrischer                                                                                             Symmetrischer
   Schlüssel zur Ver-                                                                                        Schlüssel zur Ver-
                                                 Verschlüsselung der Daten
   und Entschlüsselung                                                                                       und Entschlüsselung

                                                                                                                                                 6

1. Kryptografie

Asymmetrische Kryptografie beruht wesent- nis – eine 4.000 Bit große Zahl – mit den heute
lich auf der angenommenen Schwierigkeit zur Verfügung stehenden Computern wieder in
mathematischer Probleme, aus denen sich die beiden Ausgangszahlen (Primfaktoren) zer-
sogenannte Einwegfunktionen ableiten lassen, legen kann. Diese mathematische Einbahnstraße
d. h. Rechnungen, die leicht durchzuführen sind, bildet die Grundlage für die heute gängigen
deren Umkehrung allerdings nicht durchführ- sogenannten RSA-Verfahren zur Verschlüsselung
bar ist bzw. eine zumindest enorme Heraus- bzw. zur Signatur, die die Vertraulichkeit bzw.
forderung darstellt. Ein Beispiel für eine solche Authentizität von Nachrichten gewährleisten sol-
Einwegfunktion – eine Art mathematische Ein- len. Eine weitere mathematische Grundlage für
bahnstraße – ist die Multiplikation zweier sehr asymmetrische kryptografische Verfahren ist das
großer Primzahlen2 (~ 2.000 Bit, also eine sogenannte Diskrete-Logarithmus-Problem (DLP).
Zahl mit ca. 600 Stellen). Während ein Ergebnis Auf diesem Problem basieren bspw. Verfahren,
dieser Multiplikation schnell berechnet wer- die einen sicheren Austausch von Schlüsseln für
den kann, ist bisher kein effizienter klassischer die Verschlüsselung mit einem symmetrischen
Algorithmus bekannt, der das errechnete Ergeb- Verfahren ermöglichen.

1 Ein Algorithmus ist eine eindeutige Handlungsvorschrift zur 2 Primzahlen sind Zahlen, die sich nur durch 1 und sich
Lösung eines Problems oder einer Klasse von Problemen. selbst ohne Rest teilen lassen. Jede natürliche Zahl lässt
Algorithmen bestehen aus endlich vielen, wohldefinierten sich eindeutig als Produkt von Primzahlen schreiben.
Einzelschritten. Damit können sie zur Ausführung in ein Das Zerlegen einer Zahl in ihre Primfaktoren nennt man
Computerprogramm implementiert, aber auch in mensch- Faktorisierung.
licher Sprache formuliert werden. Bei der Problemlösung
wird eine bestimmte Eingabe in eine bestimmte Ausgabe
überführt.

2. Quantum

2.1 Quantencomputer und Kryptografie ausreichend sicher sind, muss die Schlüssel-
länge ungefähr verdoppelt werden. Mit der
Die Sicherheit digitaler Infrastrukturen beruht Verwendung von Schlüsseln mit einer Länge von
heute also wesentlich auf Public-Key-Verfahren, 256 Bit (die bspw. der AES auch anbietet), ist man
die sich auf die beiden oben beschriebenen aber voraussichtlich auf der sicheren Seite.
mathematischen Probleme stützen. Bereits 1994
wurde allerdings von Peter Shor ein Algorith- Bislang sind beide Algorithmen lediglich eine
mus vorgestellt,3 der in der Lage ist, sowohl die theoretische Bedrohung. Denn trotz aller Fort-
Faktorisierung einer zusammengesetzten Zahl, schritte im Bereich Quantencomputing existiert
d. h. die Umkehrung der Funktion „Multiplikation bisher kein Quantencomputer, mit dem sich heu-
zweier Primzahlen“, effizient zu berechnen, als tige kryptografische Verfahren über den Grover-
auch eine Lösung für das Diskrete-Logarithmus- oder den Shor-Algorithmus überhaupt angreifen
Problem. Der Haken bzw. aus kryptografischer lassen. Da mit weiteren Fortschritten bei der Ent-
Sicht das große Glück hierbei ist, dass sich die- wicklung von Quantencomputern die Bedrohung
ser Algorithmus nicht auf klassischen Compu- für die Kryptografie allerdings immer größer
tern realisieren lässt, sondern nur auf Quanten- wird, ist es schon heute notwendig, sich über die
computern, deren Realisierung noch immer einige Zukunft der Kryptografie Gedanken zu machen.
Zeit in der Zukunft liegt. Dies bedeutet, dass mit Was also lässt sich tun? Eine Antwort hierauf
der Entwicklung eines leistungsstarken Quanten- bietet die sogenannte Post-Quanten-Kryptografie.
computers, auf dem der Shor-Algorithmus zur
Faktorisierung großer Zahlen verwendet wer-
den kann4, den heute eingesetzten Verfahren der 2.2 Post-Quanten-Kryptografie
Public-Key-Kryptografie in Zukunft die mathemati-
sche Grundlage entzogen werden würde. Post-Quanten-Kryptografie beschäftigt sich
mit der Entwicklung und Untersuchung
Die gute Nachricht für die Kryptografie ist in die- von kryptografischen Verfahren, von denen
sem Falle, dass Shors Algorithmus zwar die Public- man annimmt, dass sie auch mit Quanten-
Key-Kryptografie aushebeln kann, symmetrische computern nicht gebrochen werden können.
Verfahren durch diesen Algorithmus allerdings Diese quantencomputerresistenten Verfahren
nicht bedroht sind. Nichtsdestotrotz wird auch beruhen auf mathematischen Problemen,
dieser Bereich der Kryptografie durch Quanten- für deren Berechnung weder effiziente
computer nicht unberührt bleiben. Von Lov klassische Algorithmen noch effiziente Quanten-
Grover wurde 1996 ein weiterer Algorithmus für algorithmen bekannt sind.
Quantencomputer entwickelt,5 der Auswirkungen
auf die Kryptografie hat. Im Gegensatz zum Shor- Von den Forschern und Forscherinnen werden
Algorithmus löst dieser zweite Algorithmus kein verschiedene Ansätze zur Realisierung von Post-
mathematisches Problem, das in der Krypto- Quanten-Kryptografie verfolgt. Kandidaten für sol-
grafie genutzt wird. Der Algorithmus ist jedoch che Verfahren basieren bspw. auf der Schwierigkeit
in der Lage, die Suche nach einem verwendeten bestimmter Probleme in sogenannten mathemati-
Schlüssel deutlich zu beschleunigen (Brute-Force- schen Gittern („gitterbasierte Verfahren“).
Suche). Dies hätte zur Folge, dass heute ver-
wendete Schlüssel mit einer Länge von 128 Bit In der Mathematik bezeichnet ein Gitter eine dis-
nicht mehr uneingeschränkt sicher wären. Damit krete Untergruppe eines n-dimensionalen reellen
symmetrische Verfahren trotz Quantencomputern Vektorraums. Von „Mathematisch“ auf Deutsch

2. Quantum

übersetzt: Ein Gitterpunkt ist ein Vektor (grob und wurden bereits standardisiert. Hashbasierte
gesagt eine Spalte) mit einer bestimmten Anzahl Signaturen sind aber aus mehreren Gründen
von Einträgen. Die Zahl der Einträge in einem nicht für alle Einsatzzwecke zur Authentisierung
Gitterpunkt ist die Dimension des Gitters. Man geeignet. Hauptsächlich eignen sie sich sehr gut
kann zwei Gitterpunkte addieren und erhält wie- für das Signieren von Softwareupdates, sodass
der einen Punkt im Gitter, und in einer „kleinen“ hierfür bereits ein quantensicherer Mechanismus
Umgebung um einen Gitterpunkt gibt es keinen zur Verfügung steht.
weiteren Gitterpunkt. Abbildung 2 zeigt ein Bei-
spiel für ein zweidimensionales Gitter. Daran wird Zur Standardisierung anderer Klassen von Post-
auch klar, warum dies als Gitter bezeichnet wird. Quanten-Kryptografie hat das US-amerikanische
Für gitterbasierte Kryptografie müssen aller- National Institute for Standards and Technology
dings Gitter mit einer viel größeren Dimension (NIST) 2016 einen Prozess6 gestartet. Am Ende
betrachtet werden. dieses Prozesses soll eine Auswahl quanten-
computerresistenter kryptografischer Verfahren
zur Verfügung stehen. Die dritte und finale Runde
Abbildung 2: Beispiel für ein zweidimensionales Gitter. ist im Juli 2020 gestartet. An der Auswahl der
Finalistinnen und Finalisten ist abzusehen, dass
voraussichtlich gitterbasierte Verfahren, sowohl
für Schlüsseleinigung als auch für Signaturen,
von NIST standardisiert werden. Mit ersten
v1+v2 Drafts für Standards kann aber erst 2022/23
v1 gerechnet werden.

Neben der Standardisierung gibt es noch viele
v2
weitere Fragestellungen, die im Rahmen der Mig-
ration zu Post-Quanten-Kryptografie betrachtet
werden müssen. Darauf soll im letzten Abschnitt
noch eingegangen werden.

Doch zunächst zu etwas komplett anderem:

2.3 Quantum Key Distribution

In einem Gitter lassen sich viele Probleme Die in der Post-Quanten-Kryptografie
formulieren, die schwer zu lösen sind, z. B. einen betrachteten Verfahren werden auf klassischen
kürzesten Vektor in einem Gitter zu finden. Im Computern realisiert und ihre Sicherheit beruht
Gitter in Abbildung 2 ist diese Aufgabe durch blo- auf Berechenbarkeitsannahmen. Sie unter-
ßes Hinschauen zu lösen (roter Pfeil). Der Rechen- scheiden sich damit wesentlich von einem ande-
aufwand wächst aber exponentiell mit der Dimen- ren aktuellen Forschungszweig: der Quanten-
sion des Gitters. kryptografie. Quantenkryptografie versucht,
quantenmechanische Effekte für kryptografische
Neben gitterbasierten Verfahren gibt es noch Anwendungen zu nutzen. Ein Beispiel dafür ist die
weitere Klassen von Post-Quanten-Kryptografie. quantenbasierte Schlüsselverteilung (engl. Quan-
Insbesondere spielen sogenannte hashbasierte tum Key Distribution, QKD), für die es eine ganze
Signaturverfahren eine wichtige Rolle, da ihre Reihe von Vorschlägen gibt.
Sicherheit nicht von der Schwierigkeit eines
mathematischen Problems abhängt. Aus die- Für eine quantenbasierte Schlüsselverteilung wer-
sem Grund gelten sie allgemein als einsatzreif den spezielle Geräte benötigt, bspw. Photonen-

2. Quantum

quellen, die polarisierte Photonen versenden, Zum anderen funktioniert leitungsgebundene
aus denen dann die Schlüsselbits nach einer fest- QKD bisher nur über relativ kurze Strecken. Um
gelegten Prozedur zwischen den Kommunika- große Netzwerke zu bilden, sind sogenannte
tionspartnerinnen und Kommunikationspartnern „Trusted Nodes“ erforderlich, solange keine
vereinbart werden. Sie funktioniert entweder über Quantenrepeater vorhanden sind. Dies sind aller-
Glasfaserleitungen, zurzeit allerdings nur über dings nur zwei von einer Vielzahl an Problemen,
relativ kurze Strecken, oder über Satelliten. 2016 die es in diesem Bereich noch zu lösen gilt.
hat China den ersten Satelliten zur Nutzung für
Quantum Key Distribution ins All gebracht und Nichtsdestotrotz findet QKD zurzeit großes Inte-
2017 eine Videokonferenz über eine gesicherte resse. Es gibt eine Reihe von nationalen und
Verbindung realisiert,7 für die der Schlüssel mittels internationalen Forschungs- und Entwicklungs-
Satelliten-QKD verteilt wurde. Quantenrepeater projekten. Zur Absicherung wichtiger Ver-
sollen in Zukunft auch den Aufbau großer faser- bindungsstrecken ist QKD als zusätzliche Schicht
gebundener Netze erlauben. (in Kombination mit Post-Quanten-Kryptografie)
langfristig eine denkbare Lösung. Kurz- bis mittel-
Quantum Key Distribution wird oft als „unein- fristig sollte der Fokus aber auf einer Migration zu
geschränkt sicher“ bezeichnet, da die Sicherheit Post-Quanten-Kryptografie liegen, da noch keine
nur von physikalischen Gesetzen abhänge. Dies großflächig einsetzbaren QKD-Lösungen bereit-
ist aber so nicht uneingeschränkt richtig, es gibt stehen, der Wechsel auf Post-Quanten-Krypto-
momentan noch erhebliche Probleme in der prak- grafie jedoch dringlich ist. Neben dem Einsatz
tischen Umsetzung und viele ungelöste Frage- in der Kryptografie bieten die in der Quanten-
stellungen. So sind zum einem bei den ersten kommunikation erforschten physikalischen Kon-
QKD-Geräten immer wieder Möglichkeiten ent- zepte viele andere Anwendungen, bspw. bei der
deckt worden, doch Rückschlüsse auf die verein- Koppelung von Quantencomputern.
barten Schlüssel zu ziehen („Seitenkanalanalyse“).

3 Shor, P. 1997: Polynomial-Time Algorithms for Prime Facto- 5 Grover, L. 1996: A fast quantum mechanical algorithm for
rization and Discrete Logarithms on a Quantencomputer. database search. In: Proceedings of the 28th Annual ACM
In: SIAM Journal on Computing Vol. 41, Iss. 2, S. 1484–1509. Symposium on the Theory of Computing, S. 212–219.
4 Der bisherige Faktorisierungsrekord auf einem Quanten- 6 Siehe hierzu https://csrc.nist.gov/projects/post-quantum-
computer mit Shors Algorithmus ist 21=3*7 (siehe hierzu cryptography; 12.2.2021.
https://arxiv.org/abs/1111.4147; 12.2.2021). Zum Vergleich: 7 Siehe hierzu z. B. https://www.iqoqi-vienna.at/research/
Der Rekord mit klassischen Computern liegt derzeit bei zeilinger-group/satellite-based-quantum-communication;
einer Zahl mit der Größe von 829 Bit (siehe hierzu: https:// 12.2.2021.
phys.org/news/2020-03-cryptographic.html; 12.2.2021).
Dabei muss aber betont werden, dass Faktorisierung
zurzeit nicht im Fokus bei der Forschung an Quanten-
computern steht. Wenn einige grundlegende Frage-
stellungen (z. B. Fehlerkorrektur) geklärt sind, können
Quantencomputer unter Umständen schnell skalieren.

3. Vadis? Insbesondere für kryptografische Anwendungen,
die Informationen mit langen Geheimhaltungs-
fristen und hohem Schutzbedarf verarbeiten,
besteht daher akuter Handlungsbedarf. Hier
besteht die Gefahr, dass große Mengen an ver-
3.1 Wie akut ist der Handlungsbedarf schlüsselten Daten auf Vorrat gesammelt und in
Zukunft mithilfe eines Quantencomputers ent-
„Prediction is very difficult, schlüsselt werden („store now, decrypt later“).
especially if it’s about the future!“ (Niels Bohr) Sollen Daten 30 Jahre oder länger geheim
gehalten werden, so muss auch das Verschlüss-
Bisher ist noch kein Quantencomputer verfüg- elungsverfahren, mit dem sie geschützt sind,
bar, der zum Brechen kryptografischer Verfahren mindestens die kommenden 30 Jahre sicher sein.
geeignet wäre. Es gibt jedoch große Fortschritte Wie oben beschrieben, ist man bezüglich der
bei der Realisierung der dafür benötigten Bedrohung durch Quantencomputer bei Ver-
Grundbausteine. Im letzten Jahrzehnt hat die wendung eines geeigneten symmetrischen Ver-
Entwicklung von Quantencomputern ein ständig schlüsselungsverfahrens mit einer Schlüssellänge
zunehmendes Interesse in Forschung und Indust- von 256 Bit voraussichtlich auf der sicheren Seite.
rie erfahren. Globale IT-Konzerne wie IBM, Google Aber auch die verwendeten Schlüssel müssen
oder Microsoft investieren erhebliche Beträge genauso lange geschützt sein wie die mit ihnen
in die Quantenforschung und konnten bereits verschlüsselten Daten. Daher müssen auch die
beachtliche Fortschritte erzielen. Sowohl Google Verfahren zum Austausch dieser Schlüssel ent-
als auch IBM8 haben im Herbst 2020 aktuelle Zeit- sprechend lange sicher sein. Hieraus ergibt sich
pläne veröffentlicht. der akute Handlungsbedarf.

Abbildung 3: Michele Mosca von der University of Waterloo in Kanada hat 2013 in einem „Theorem“
veranschaulicht, wodurch der Handlungsbedarf bestimmt wird.9

Wann müssen Sie sich Sorgen machen?

Das hängt von folgenden Faktoren ab:
› Wie lange sollen Ihre Daten sicher bleiben? (X Jahre)
› Wie lange dauert die Umstellung Ihrer Systeme auf Post-Quanten-Kryptograﬁe? (Y Jahre)
› Wie lange wird es dauern, bis leistungsstarke Quantencomputer gebaut werden? (Z Jahre)

Daten sind nicht mehr geschützt

Zeit

Theorem (Mosca): Wenn x+y > z, dann haben Sie ein Problem!
(Wenn x > z oder y > z, dann haben Sie ein sehr großes Problem!)

3. Vadis?

Signaturen zum Zweck der Authentisierung Produkte integriert werden. Bis dahin ist es noch
dagegen haben in der Regel eine eher kurze ein weiter Weg, auf dem aber viele Schritte bereits
Lebensdauer und müssen im Prinzip nur bis jetzt gemacht werden können.
zum Zeitpunkt ihrer Prüfung sicher sein. Sollte
ein Signaturverfahren in Zukunft durch einen Zudem ist zu bedenken, dass es keine Garantie
Quantencomputer gebrochen werden können, so dafür gibt, dass die neu entwickelten Verfahren
sind die heutigen Signaturzertifikate vermutlich auf Dauer sicher bleiben werden. Es ist jeder-
bereits abgelaufen. Nur bei sehr langen Gültig- zeit möglich, dass für ein kryptografisches Ver-
keitszeiten für Signaturschlüssel ist Vorsicht fahren neue Angriffsmöglichkeiten gefunden
geboten. Allerdings benötigt die Umstellung auf werden. Dies gilt für alle Verfahren, die alten wie
die neuen Verfahren noch viele weitere Schritte, die neuen, und für Angriffe sowohl mit Quanten-
sodass auch bei Anwendungen, die hauptsäch- computern als auch mit klassischen Computern.
lich der Authentisierung dienen, rechtzeitig damit Daher ist es sinnvoll, bei der Neu- und Weiter-
begonnen werden muss. entwicklung von Produkten darauf zu achten,
dass diese flexibel gestaltet sind und ggf. bezüg-
Es ist allgemein zu beachten, dass die Migration lich der verwendeten kryptografischen Verfahren
zu Post-Quanten-Kryptografie einige Zeit und Schlüssellängen angepasst werden können
brauchen wird und nicht von heute auf morgen („Kryptoagilität“).
passieren kann.
Die Frage, „ob“ und „wann“ Quantencomputer
existieren werden, steht dabei nicht mehr im
3.2 Migration zu Vordergrund. Es ist damit zu rechnen, dass Post-
Post-Quanten-Kryptografie Quanten-Kryptografie mittel- bis langfristig zum
Standard werden wird. Bei der Migration sollte
Mit der Entwicklung und Standardisierung von möglichst immer der Aspekt der Kryptoagilität
Post-Quanten-Kryptografie ist es nicht getan. Die beachtet werden.
neuen Verfahren müssen bspw. auch noch in Pro-
tokolle (wie dem Transport Layer Security Protocol, „The best way to predict the future is to invent it.“
TLS, das zur sicheren Verbindung mit Webseiten (Alan Kay).
im Internet genutzt wird) und schlussendlich in

3. Vadis?

Aktivitäten und Handlungsempfehlungen 2020 erste Handlungsempfehlungen zur „Migra-
des BSI tion auf Post-Quanten-Kryptografie“ veröffent-
licht.12 Zurzeit wird eine Langversion dieser Emp-
Um eine fundierte Einschätzung zum aktuellen Ent- fehlungen erstellt, die Veröffentlichung ist für den
wicklungsstand bzw. der potenziellen zukünftigen Herbst 2021 geplant.
Verfügbarkeit eines Quantencomputers zu
erhalten, wurde vom Bundesamt für Sicherheit Auch im Bereich Quantum Key Distribution ist das
in der Informationstechnik (BSI) die Studie Ent- BSI aktiv. Zurzeit werden in einem BSI-Projekt in
wicklungsstand Quantencomputer in Auftrag Kooperation mit dem Europäischen Institut für
gegeben.10 Diese Studie haben Forscher der Uni- Telekommunikationsnormen (ETSI) Prüfkriterien
versität des Saarlandes und der Florida Atlantic für QKD-Geräte erstellt. Zwischen der Liegenschaft
University 2017/18 durchgeführt. Sie wurde im Juni des BSI und dem Bundesministerium für Bildung
2020 zuletzt aktualisiert, eine weitere Aktualisie- und Forschung (BMBF) in Bonn ist im Rahmen
rung ist zurzeit in Planung. des Projekts QuNet eine Teststrecke für QKD ent-
standen. Die eigentlich für den 1. Dezember 2020
Das BSI empfiehlt bereits jetzt erste Post-Quanten- geplante Demonstration dieser Strecke musste
Verfahren für den Austausch von Schlüsseln in der bedingt durch die Corona-Pandemie verschoben
Technischen Richtlinie TR-02102-1,11 die Emp- werden. Zudem ist das BSI auch an dem Projekt
fehlungen zu kryptografischen Verfahren und Q.Link.X beteiligt, in dem an der Entwicklung von
Schlüssellängen gibt. Zudem hat das BSI im März Quantenrepeatern geforscht wird.

8 Cho, A. 2020: IBM promises 1000-qubit quantum 11 Bundesamt für Sicherheit in der Informationstechnik 2021:
computer – a milestone – by 2023. ScienceMag Online TR-02102: Kryptografische Verfahren: Empfehlungen und
vom 15.9.2020, online unter: https://www.sciencemag.org/ Schlüssellängen. Online unter: https://www.bsi.bund.de/
news/2020/09/ibm-promises-1000-qubit-quantum-compu- SharedDocs/Downloads/DE/BSI/Publikationen/Technische-
ter-milestone-2023; 12.2.2021. Richtlinien/TR02102/BSI-TR-02102.html; 12.2.2021.
9 Mosca, M. 2013: Setting the Scene for the ETSI Quantum- 12 Bundesamt für Sicherheit in der Informationstechnik 2020:
safe Cryptography Workshop. In: e-proceedings of 1st Migration zu Post-Quanten-Kryptografie – Handlungs-
Quantum-Safe-Crypto Workshop in Sophia Antipolis am empfehlungen des BSI. Online unter: https://www.bsi.bund.
26./27.11.2013, S. 26f. de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-
10 Bundesamt für Sicherheit in der Informationstechnik Kryptografie.html?nn=129156 (letzter Zugriff: 12.2.2021).
(Hrsg.) 2018: Entwicklungsstand Quantencomputer, online
unter: https://www.bsi.bund.de/qcstudie; 12.2.2021.

Autorin

          Dr. Heike Hagemeier studierte Mathematik an
          der Universität zu Köln und promovierte 2010
          an der Technischen Universität Darmstadt. Seit
          2010 arbeitet sie im Bundesamt für Sicherheit in
          der Informationstechnik als Referentin im Refe-
          rat „Vorgaben an und Entwicklung von Krypto
          verfahren“. Dort beschäftigt sie sich hauptsächlich
          mit verschiedenen Aspekten der „Post-Quanten-
          Kryptografie“, beispielsweise der Auswahl von
          geeigneten Verfahren oder der Integration in
          kryptografische Protokolle.

                                                                14