Der löchrige Weg zur Post-Quanten-Kryptographie

Die gute Nachricht: Ja, wird es. Man hat die Problematik glücklicherweise früh genug erkannt und mit der Entwicklung entsprechender Algorithmen für die „Post-Quanten-Kryptographie“ begonnen.

Die schlechte Nachricht: Nicht alles, was glänzt, ist auch Gold. Die aktuellen Kandidaten für eine Standardisierung durch das NIST müssen noch einige Tests durchlaufen. Und einer dieser Kandidaten ist kürzlich mit einem 9 Jahre alten Prozessor geknackt worden.

Schauen wir uns zunächst die Idee hinter der Post-Quanten-Kryptographie an und betrachten dann die gefundene Lücke.

Post-Quanten-Kryptographie

Zunächst einmal die Frage: Was ist Post-Quanten-(PQ-)Kryptographie und warum beschäftigen sich Forscher und Entwickler damit?

PQ-Kryptographie bedeutet erst einmal, wie schon in der Einleitung erwähnt, Kryptographie, die auch von einem Quantencomputer nicht leicht geknackt werden kann. Hier gibt es schon eine erste Entwarnung: Nicht alle Verschlüsselungsalgorithmen, die wir momentan einsetzen, sind von Quantencomputern bedroht. Die meisten aktuellen symmetrischen Verfahren sind (nach derzeitigem Wissensstand) nicht grundlegend gefährdet. Zwar sind die gegenwärtig verwendeten Schlüssellängen wahrscheinlich zu kurz, doch gehen Experten davon aus, dass schon eine Verdoppelung der Schlüssellänge ein ausreichendes Sicherheitsniveau bieten kann. Da ein „einfaches Verdoppeln“ der Schlüssellänge jedoch nicht für jeden aktuellen Verschlüsselungsalgorithmus (z.B. AES) möglich ist, muss hier ggf. noch Arbeit in die Standardisierung entsprechender Algorithmen fließen.

Eine Verdoppelung der Schlüssellänge mag zwar zunächst nach viel klingen, ist allerdings bei der Geschwindigkeit heutiger CPUs und deren verfügbaren Verschlüsselungs-Instruktionen handhabbar. Es wird aller Voraussicht nach früh genug auch für die komplexeren symmetrischen Algorithmen entsprechende Hardware geben, die den Overhead minimieren.

Gute Hash-Algorithmen sind durch Quantencomputer ebenfalls nicht gefährdet. Doch es bleibt ein Bereich: die Public-Key-Algorithmen. Und genau hier findet die aktuelle Forschung statt.

Um die genauen Gründe dafür zu nennen, warum diese Algorithmen durch Quantencomputer angreifbar sind, müsste ich an dieser Stelle sehr tief in die theoretische Quantenmechanik und Mathematik einsteigen. Es ist ein sehr interessantes Thema, doch leider zu umfangreich, um es ausreichend ausführlich in einem Standpunkt oder einem Newsletter-Artikel behandeln zu können. Jedoch ändert das nichts an der Tatsache, dass wir für die Public-Key-Verschlüsselung neue Wege gehen müssen.

Hier arbeitet das NIST aktuell an der Standardisierung der vielversprechendsten Kandidaten. Diese sind:

• BIKE (Bit Flipping Key Encapsulation)
• Classic McEliece
• HQC (Hamming Quasi-Cyclic)
• SIKE (Supersingular Isogeny Key Encapsulation)

Jeder dieser Kandidaten wird mit Fortschreiten der Standardisierung immer weiter geprüft, um sicherzustellen, dass die Algorithmen alle Anforderungen erfüllen. Dazu gehört auch, dass sie nicht nur vor Quantencomputern sicher sein sollten, sondern natürlich auch vor aktueller Hardware. Und genau hier ist bei einem der Algorithmen eine Schwachstelle gefunden worden.

Schwächen in aktuellen PQ-Krypto-Algorithmen

Forscher aus Belgien haben gezeigt [1], wie der SIKE-Algorithmus mit aktueller Hardware relativ schnell geknackt werden kann. Wobei sowohl „aktuelle Hardware“ als auch „relativ schnell“ sehr freundlich ausgedrückt sind. Die Forscher haben ihn auf einem einzelnen Kern eines 9 Jahre alten Intel Xeons innerhalb von einer Stunde geknackt. Die Details sind ebenfalls sehr theoretisch und komplex. Auch hier gibt es glücklicherweise Licht am Ende des Tunnels: Einige Experten sind der Meinung, dass der SIKE-Algorithmus so modifiziert werden kann, dass er ausreichend sicher ist.

Doch zeigt der Fund eindrücklich, dass man bei der Entwicklung von sicheren Algorithmen nicht nur ein einziges Ziel vor Augen haben sollte, in diesem Fall den Schutz vor Quantencomputern. Man sollte immer auch andere Möglichkeiten in Betracht ziehen und ggf. Hilfe von Personen in Anspruch nehmen, die aus einem ganz anderen Blickwinkel auf eine neue Lösung schauen können. Das ist nicht nur bei der PQ-Kryptographie so, sondern auch in vielen Bereichen der IT-Sicherheit.

Fazit

Die Entwicklung von Quantencomputern stellt Kryptographen vor ganz neue Herausforderungen. Algorithmen, die aktuell als sicher gelten, könnten mit einem Schlag obsolet werden. Jedoch ist die Forschung in diesem Bereich sehr aktiv, und glücklicherweise ist die Standardisierung der entsprechenden Algorithmen sehr offen gestaltet. Dadurch können viele potentielle Schwachstellen frühzeitig gefunden und ggf. korrigiert werden. Warten wir ab, welche Algorithmen im Postquanten-Zeitalter die heutigen, dann leider obsoleten Algorithmen ablösen werden!

Verweise

[1]  W. Castryck, T. Decru, „ AN EFFICIENT KEY RECOVERY ATTACK ON SIDH”, 2022