Post-Quantum-Kryptographie: Warum wir JETZT widerstandsfähige Verschlüsselung brauchen.

Quantenresistente oder Post-Quanten-Kryptografie ist die beste Möglichkeit, sich gegen Angriffe von zukünftigen Quantencomputern zu schützen und die Sicherheit und den Datenschutz zu erhöhen.

2024-02-09
Now is the time to switch to post-quantum cryptography to keep your data safe from prying eyes.
Der Aufstieg der Quantencomputer bringt große Vorteile für unsere Online-Welt, aber auch große Risiken für unsere Sicherheit und Privatsphäre. Da die Quantenrevolution immer näher rückt, ist die Einführung einer robusten Post-Quanten-Kryptografie von größter Bedeutung: Die neuen Algorithmen müssen jetzt implementiert werden, um unsere Daten vor künftigen Angriffen durch Quantencomputer zu schützen. In diesem Beitrag erklären wir den Zweck der Post-Quantum-Kryptografie, wie Post-Quantum-Verschlüsselung funktioniert und warum wir schon heute eine quantenresistente Kryptografie brauchen - und nicht erst, wenn die Ära der Quantencomputer begonnen hat.

Das Internet, wie wir es kennen, hängt von der Verschlüsselung ab: vertrauliche Kommunikation, sichere E-Mails, Finanztransaktionen, kritische Infrastrukturen - all dies ist gefährdet, wenn die Verschlüsselung geknackt werden kann. Heute investieren alle möglichen Akteure massiv in die Entwicklung von Quantencomputern - aus den unterschiedlichsten Gründen.

Diese Computer versprechen große Vorteile für die Informationstechnologie, insbesondere in Kombination mit künstlicher Intelligenz (KI). Aber Quantencomputer können auch zu beispiellosen Überwachungsmaschinen werden und unsere Cybersicherheit bedrohen: Der Wettlauf zwischen Quantencomputern und Post-Quanten-Kryptographie hat begonnen!

Quantencomputer bedrohen die Verschlüsselung

Quantencomputer und quantenresistente Kryptografie werden die Informationstechnologie in einer Weise verändern, wie wir sie noch nie zuvor gesehen haben.

Die bisherige Forschung hat verschiedene Quantenalgorithmen hervorgebracht, mit denen sich verschiedene Probleme, die heute als zu schwierig gelten, effizient lösen lassen. Aufgrund dieser Fähigkeit wird die Quanteninformatik große Verbesserungen in verschiedenen Bereichen der Informationstechnologie bringen.

Sie stellen jedoch auch eine ernsthafte Bedrohung für die Verschlüsselung dar, da die heute weit verbreiteten asymmetrischen Kryptosysteme (RSA, ECC, (EC)DSA und (EC)DH) auf Varianten von nur zwei schwierigen mathematischen Problemen beruhen, die das Quantencomputing leider wesentlich schneller lösen kann: das Problem der ganzzahligen Faktorisierung und das Problem des diskreten Logarithmus.

Mit dem Algorithmus von Shor (1994), der auf einem universellen Quantencomputer läuft, werden beide Probleme in polynomieller Zeit lösbar.

Ist die Elliptische-Kurven-Kryptographie quantenresistent?

Das bedeutet, dass die jeweiligen Kryptosysteme, die auf RSA und ECC beruhen, tatsächlich gebrochen werden können.

Beliebte kryptografische Algorithmen wie die Elliptische Kurven-Kryptografie (ECC) sind nicht quantenresistent und können durch Quantencomputer leicht gebrochen werden. Es ist wichtig, darauf hinzuweisen, dass ECC sowie die auf AES und RSA basierende PGP-Verschlüsselung in den kommenden Jahren überholt sein werden, wenn der Post-Quantum-Kryptowettbewerb des NIST abgeschlossen ist. Bestenfalls werden diese traditionellen Algorithmen in hybriden Protokollen verwendet werden, die mit quantensicheren Algorithmen kombiniert werden.

Wie viel Zeit ein Angreifer benötigt, um die RSA- und ECC-Verschlüsselung zu knacken, hängt von der Kapazität des Quantencomputers ab. Laut einer Studie des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind etwa 1 Million physikalische Qubits erforderlich, um 2048-Bit-RSA in 100 Tagen zu knacken, und etwa 1 Milliarde Qubits, um es innerhalb einer Stunde zu knacken. Durch Fortschritte bei der Entwicklung von Algorithmen werden sich diese Zahlen weiter verringern.

Der Wettlauf um quantensichere Lösungen

"Das bedeutet, dass Quantencomputer das Potenzial haben, die meisten sicheren Kommunikationsverbindungen auf der Welt zu knacken", sagt der Kryptograph Rafael Misoczki. Der Wettlauf um neue Wege zum Schutz von Daten und Kommunikation hat begonnen, um die Bedrohung durch universelle Quantencomputer in großem Maßstab zu bekämpfen.

So sind beispielsweise US-Bundesbehörden wie das FBI und die NSA bereits verpflichtet, Post-Quanten-Sicherheitsmaßnahmen zu ergreifen, und dem privaten Sektor wird geraten, diesem Beispiel zu folgen. Diese Forderung ist Teil der Nationalen Cybersicherheitsstrategie, die von der Regierung Biden im März 2023 veröffentlicht wurde. Es ist offensichtlich, dass die politischen Entscheidungsträger die Bedrohung der Cybersicherheit durch Quantencomputer für vertrauliche und geheime Online-Kommunikation bereits erkannt haben.

Wann wird das Quantencomputing Realität werden?

Bislang wurde noch kein praktischer Quantencomputer entwickelt. Das Quantencomputing ist jedoch ein sehr aktives Forschungsgebiet, und in der Vergangenheit, insbesondere in den letzten Jahren, wurden rasche Fortschritte erzielt.

Große Unternehmen wie IBM, Google und Intel geben regelmäßig Fortschritte beim Quantencomputing bekannt. Diese Computer arbeiten jedoch nur mit etwa 50 bis 70 physikalischen Qubits. Laut der erwähnten BSI-Studie wird ein Quantencomputer, der in der Lage ist, die heutigen Kryptosysteme zu knacken, in naher Zukunft nicht Realität werden.

Allerdings haben die Enthüllungen von Edward Snowden deutlich gemacht, dass bereits heute verschlüsselte Daten von verschiedenen Akteuren gespeichert werden. Es ist höchste Zeit, dafür zu sorgen, dass diese Akteure nicht in der Lage sind, sie in Jahren zu entschlüsseln, wenn universelle Quantencomputer in großem Maßstab gebaut worden sind.

Darüber hinaus ist das Quantencomputing keine ferne Möglichkeit mehr, sondern bereits Realität. Das Riken-Forschungsinstitut in Japan hat angekündigt, dass es den ersten im Lande gebauten Quantencomputer für verschiedene Unternehmen und akademische Einrichtungen online zur Verfügung stellen wird. Riken plant, diesen Quantencomputer-Prototyp bis 2025 mit dem zweitschnellsten Supercomputer der Welt, Fugaku, zu verbinden, um seine Anwendungsmöglichkeiten in der realen Welt zu erweitern, einschließlich der Material- und Pharmaforschung.

Dies ist keine isolierte Entwicklung, sondern Teil eines Quantencomputer-"Wettrüstens". Nach Angaben der japanischen Agentur für Wissenschaft und Technologie hat China in den letzten drei Jahrzehnten weltweit die meisten Patente für Quantencomputer angemeldet, etwa 2 700, gefolgt von den USA mit etwa 2 200 und Japan mit 885.

Es ist klar, dass die Welt mit dem Aufkommen von Quantencomputern vor einer technologischen Revolution steht, die eine noch nie dagewesene Rechenleistung und die Fähigkeit verspricht, komplexe Probleme zu lösen, die klassische Computer nicht lösen können.

Das ist zwar aufregend, stellt aber auch eine Bedrohung für die derzeitigen Verschlüsselungsprotokolle dar, die von Quantencomputern leicht geknackt werden könnten, so dass sensible Informationen für Angreifer ungeschützt bleiben. Aus diesem Grund fordert die Nationale Cybersicherheitsstrategie der USA den Übergang zur Post-Quantum-Kryptografie, die Algorithmen verwendet, die gegen Angriffe von Quantencomputern resistent sind. Die Strategie erkennt die Notwendigkeit an, sich auf die Zukunft vorzubereiten und sicherzustellen, dass die Verschlüsselungsprotokolle angesichts der sich entwickelnden Bedrohungen sicher bleiben.

Auch wenn nicht damit zu rechnen ist, dass ein Quantencomputer in naher Zukunft die derzeitigen Ende-zu-Ende-Verschlüsselungsprotokolle knacken kann, ist es wichtig, diese Art von Bedrohung so bald wie möglich zu verhindern, da die Entwicklung effizienter Lösungen Zeit braucht.

Wie Quantencomputer funktionieren

Gewöhnliche Computer speichern Daten als 1en und 0en. Quantencomputer hingegen verwenden Qubits zum Speichern von Daten. Jedes Qubit befindet sich in einer Überlagerung von 1 und 0. Messungen projizieren einen dieser Zustände mit einer bestimmten Wahrscheinlichkeit. Diese Möglichkeit wird durch den Quantenalgorithmus geändert. Da jedes Qubit zwei Zustände auf einmal repräsentiert, verdoppelt sich die Gesamtzahl der Zustände mit jedem zusätzlichen Qubit.

Ein Qubit entspricht also zwei möglichen Zahlen, zwei Qubits entsprechen vier möglichen Zahlen, drei Qubits entsprechen acht möglichen Zahlen. Seit der Coronavirus-Pandemie wissen wir alle, was Exponentialzahlen sind. Wir können uns eine Vorstellung davon machen, wie leistungsfähig ein Quantencomputer mit, sagen wir, 100 Qubits, sein könnte. Eine Quantenmaschine mit 300 Qubits könnte beispielsweise mehr Werte darstellen, als es Atome im beobachtbaren Universum gibt.

Vor etwa 20 Jahren leisteten Forscher in Japan Pionierarbeit auf dem Gebiet der supraleitenden Qubits: Sie kühlten bestimmte Metalle auf extrem niedrige Temperaturen ab, um eine stabile Arbeitsumgebung für Quantencomputer zu schaffen.

Diese Methode war so vielversprechend, dass sie Forschungsprojekte bei Google, IBM und Intel auslöste.

Die eigentlichen Quantencomputer sehen überhaupt nicht wie gewöhnliche Computer aus. Stattdessen handelt es sich um große Zylinder aus Metall und verdrillten Drähten, die in große Kühlschränke gestellt werden. Die Forscher senden Informationen an die Maschine und erhalten im Gegenzug Berechnungen, genau wie bei gewöhnlichen Computern.

IBM bietet externen Forschern sogar die Möglichkeit, Rechenleistung auf ihrem Q System One zu kaufen. So können Forscher auf der ganzen Welt einen Quantencomputer nutzen, ohne ihn jemals in echt gesehen oder berührt zu haben.

Die inhärente Parallelisierung von Berechnungen auf allen Zuständen gleichzeitig wird es diesen leistungsstarken Computern ermöglichen, bisher unknackbare Verschlüsselungen zu knacken.

Warum wir Verschlüsselung brauchen

Die Verschlüsselung ist allgegenwärtig, wenn wir das Internet nutzen. Sie ist ein integraler Bestandteil jedes digitalen Prozesses, der vertraulich behandelt werden muss: Kommunikation, Finanzen, Handel, kritische Infrastrukturen, Gesundheitsfürsorge und viele andere Bereiche unseres täglichen Lebens werden durch starke Verschlüsselung geschützt. Wenn die in diesen Prozessen verwendeten kryptografischen Algorithmen durch die Entwicklung von universellen Quantencomputern in großem Maßstab unbrauchbar werden, können Angreifer mit Zugang zu solchen Computern viele Aspekte unseres täglichen Lebens bedrohen.

Das Internet, wie wir es kennen, funktioniert nur mit unknackbarer Verschlüsselung. Jetzt ist es an der Zeit, sich mit der Einführung der Post-Quanten-Kryptografie auf die Quantenrevolution vorzubereiten.

Was ist Post-Quantum-Kryptografie?

Quantum-resistant encryption is what we need to develop now! Eine quantenresistente Verschlüsselung kann Ihre Daten vor der drohenden Gefahr durch Quantencomputer schützen.

Post-Quantum-Kryptografie beschreibt kryptografische Algorithmen, die auf konventionellen Computern laufen, aber auf mathematischen Problemen beruhen, von denen man annimmt, dass sie für konventionelle und Quantencomputer zu schwer zu knacken sind. Solange es keinen effizienten Quantenalgorithmus gibt, der genau diese Probleme effizienter löst, können wir davon ausgehen, dass sie von Quantencomputern nicht geknackt werden können.

Als Reaktion auf die Quantenbedrohung liefert sich die globale Cybersicherheitsgemeinschaft einen Wettlauf mit der Entwicklung von kryptografischen Post-Quanten-Algorithmen. Diese Algorithmen sind so konzipiert, dass sie Angriffen sowohl von klassischen als auch von Quantencomputern standhalten und die Langlebigkeit der sicheren Kommunikation gewährleisten.

Im Jahr 2016 leitete das US-amerikanische National Institute for Standards and Technology (NIST) einen Prozess zur Standardisierung solcher quantensicheren Algorithmen ein. Das Endergebnis dieses NIST-Standards für die Post-Quantenkryptografie wird von der Krypto-Community mit Spannung erwartet. Der Prozess befindet sich derzeit in der vierten - und fast letzten - Phase der Evaluierung von Standardalgorithmen für sichere Post-Quanten-Verschlüsselung, wobei die ersten vier quantenresistenten kryptografischen Algorithmen - CRYSTALS-Kyber für Verschlüsselung und CRYSTALS-Dilithium, FALCON und SPHINCS+ für digitale Signaturen - bereits angekündigt wurden.

Vorbereitung auf die Revolution der Quanteninformatik

Die Entwicklung und der Einsatz der Post-Quantum-Kryptografie sind dringend erforderlich. Auch wenn Quantencomputer, die in der Lage sind, die von uns heute verwendeten Kryptosysteme zu knacken, in naher Zukunft nicht Realität werden, hat die Erfahrung gezeigt, dass die Einführung neuer kryptografischer Standards viel Zeit in Anspruch nimmt. Neue Algorithmen müssen sorgfältig evaluiert werden, ihre Sicherheit muss durch intensive Kryptoanalyse bewiesen werden und es müssen effiziente Implementierungen gefunden werden. Obwohl beispielsweise die Elliptische Kurven-Kryptographie bereits Ende der 1980er Jahre vorgeschlagen wurde, ist sie erst vor einigen Jahren für den Massengebrauch angepasst worden.

Jetzt ernten, später entschlüsseln

The 'harvest now, decrypt later'-strategy threatens all data secured with asymmetric encryption. Saurons Auge wird alles sehen können, sobald Quantencomputer Ihre Kommunikation entschlüsseln können.

Die Post-Quantum-Kryptografie sollte so schnell wie möglich eingeführt werden - nicht nur, um vorbereitet zu sein, wenn universelle Quantencomputer in großem Maßstab Realität werden, sondern auch, um die derzeit mit Standardalgorithmen verschlüsselten Daten davor zu schützen, in Zukunft entschlüsselt zu werden. Der Unterschied zwischen der derzeitigen Kryptografie und der Post-Quantum-Kryptografie besteht darin, dass die neuen quantenresistenten Algorithmen in der Lage sein werden, Angriffe von Quantencomputern abzuwehren, während Daten, die mit den derzeit verwendeten Algorithmen verschlüsselt sind, solchen Angriffen nicht standhalten können.

Die Bedrohung, die hier besteht, wird als Strategie "Jetzt ernten, später entschlüsseln" bezeichnet: Daten, die im Internet unterwegs sind, werden jetzt gesammelt, zum Beispiel von Geheimdiensten wie der NSA oder anderen Five-Eye-Ländern, um sie später zu entschlüsseln.

Diese Bedrohung macht deutlich, dass es keine Option mehr ist, abzuwarten, ob - oder wann - Quantencomputer auf den Markt kommen werden.

Was ist der Zweck des Ganzen?

Der Zweck der Post-Quanten-Kryptografie besteht darin, sicherzustellen, dass die verschlüsselten Daten auch in Zukunft sicher bleiben. Wie die US-Regierung und das NIST erklärt haben, reichen alle mit Standardalgorithmen verschlüsselten Daten nicht aus, um dieses neue Sicherheitsniveau zu erreichen, und die Algorithmen der Post-Quanten-Kryptografie müssen jetzt eingeführt werden. Glücklicherweise können einige Daten mit Post-Quantum-Verschlüsselung relativ einfach gesichert werden, da AES 256 (symmetrische Verschlüsselung) bereits als quantenresistent gilt.

Das bedeutet, dass alle Daten, die auf Ihrem Computer oder auf dem System eines Unternehmens gespeichert sind, wie Dokumente und Dateien, problemlos mit dem bewährten Algorithmus AES 256 gesichert werden können. Im Rahmen unseres Post-Quantenkryptographie-Projekts bei Tuta Mail haben wir kürzlich unsere Verschlüsselungsalgorithmen auf AES 256 aktualisiert, ein wesentlicher Schritt, um eine quantensichere Verschlüsselung anzubieten.

Die Herausforderung der asymmetrischen Verschlüsselung

Schwieriger wird es allerdings, wenn man Daten asymmetrisch und quantensicher verschlüsseln will, zum Beispiel beim verschlüsselten Dateiaustausch oder beim Senden und Empfangen verschlüsselter E-Mails. Neue Post-Quantum-Algorithmen für asymmetrische Verschlüsselung und Public-Key-Kryptografie werden erforscht und getestet, während Sie dies lesen.

Viele Unternehmen haben bereits damit begonnen, mit quantenresistenter asymmetrischer Kryptografie in ihren Anwendungen zu experimentieren. Wir bei Tuta Mail leisten Pionierarbeit, indem wir quantenresistente Algorithmen zusammen mit konventionellen Algorithmen (Kyber und Dilithium in Kombination mit AES 256 und RSA 2048 in einem hybriden Protokoll) für unsere asymmetrische Public-Key-Verschlüsselung von E-Mails, aber auch für die gemeinsame Nutzung von Kalendern, Kontaktlisten und zukünftigen File-Sharing-Diensten einsetzen.

Mehr dazu erfahren Sie in unserem Post-Quantum Secure File Sharing Projekt PQDrive hier.

Damit folgen wir dem Rat des NIST, der US-Regierung sowie renommierter Kryptographie-Experten wie Lyubashevsky: "Wenn Sie wirklich sensible Daten haben, tun Sie es jetzt, migrieren Sie selbst."

Hybrides Protokoll zur Erreichung maximaler Sicherheit

Da quantenresistente Algorithmen relativ neu sind und ihre Sicherheit noch nicht ausreichend bewiesen ist, können wir unsere derzeitigen kryptografischen Algorithmen nicht einfach durch sie ersetzen. Es könnte immer noch passieren, dass jemand einen Angriff entwickelt, der auf einem herkömmlichen oder einem Quantencomputer läuft und den von uns gewählten Algorithmus bricht. Ein hybrider Ansatz ist eine Grundvoraussetzung, da die neuen Algorithmen noch nicht im Kampf erprobt worden sind. Selbst wenn die mathematische Schlussfolgerung, die diese Algorithmen quantensicher macht, korrekt ist, könnte es bei der Implementierung Fehler geben, die die Sicherheit untergraben.

Daher müssen Post-Quanten-Kryptographie-Algorithmen und konventionelle Algorithmen in einem hybriden Ansatz kombiniert werden. Dies ist eine besondere Herausforderung, da Tuta Mail auch auf mobilen Geräten mit geringerer Rechenleistung noch effizient laufen muss.

Wir bei Tuta (ehemals Tutanota) haben bereits ein Forschungsprojekt mit dem Namen PQMail abgeschlossen, um Algorithmen der Post-Quanten-Kryptografie in unserer verschlüsselten E-Mail- und Kalenderanwendung in einem hybriden Protokoll zu implementieren. Dieses Projekt hat zur Veröffentlichung eines quantenresistenten Prototyps für öffentliche Schlüsselkryptografie geführt, der die Finalisten der dritten NIST-Runde zur sicheren Verschlüsselung von E-Mails nutzt. Jetzt wird dieses Verschlüsselungsprotokoll zu Tuta Mail hinzugefügt, so dass bald 10 Millionen Nutzer automatisch in den Genuss des hohen Sicherheitsniveaus der Post-Quanten-Kryptographie kommen werden. Sie werden dann in der Lage sein, verschlüsselte E-Mails mit quantenresistenten Algorithmen zu senden und zu empfangen - ohne ihren Arbeitsablauf ändern zu müssen.

Wenn Sie zu den Ersten gehören wollen, die quantenresistente Verschlüsselung für Ihre E-Mails nutzen, melden Sie sich jetzt für Tuta Mail an!

Da Quantencomputer kurz davor stehen, Realität zu werden, müssen wir mit Post-Quanten-Kryptographie einen Schritt voraus sein, um alle Daten sicher zu halten - jetzt und in Zukunft!