Post-Quantum-Kryptografie

Zunächst die Darstellung des Problems:

Wir verwenden heute eine Mischung aus zwei wesentlichen Typen der Kryptografie: Private-Key-Kryptografie, auch symmetrische Verschlüsselung genannt, und Public-Key-Kryptografie, ebenfalls bekannt als asymmetrische Verschlüsselung. Quantum-Computer können die asymmetrischen Krypto-Verfahren brechen. Diesen Verfahren ist die Kombination aus einem öffentlichen und einem privaten Schlüssel gemeinsam. Eine mit dem öffentlichen Schlüssel verschlüsselte Bitfolge kann nur mittels des zum öffentlichen Schlüssel gehörenden privaten Schlüssels entschlüsselt werden. Sie können zum Beispiel meinem E-Mail-Zertifikat meinen öffentlichen Schlüssel entnehmen und mir eine damit verschlüsselte Nachricht zuschicken, die nur ich mit dem passenden privaten Schlüssel entziffern kann. Umgekehrt kann ich eine E-Mail mit meinem privaten Schlüssel signieren, und Sie können anhand meines öffentlichen Schlüssels verifizieren, dass die Signatur und der Inhalt der Nachricht echt sind und von mir stammen müssen. Letzteres nutzt technisch die Verschlüsselung einer Prüfsumme über die ganze Nachricht, die ungültig wird, sobald auch nur ein Bit der Nachricht verändert wird.

Die asymmetrische Verschlüsselung ist u.a. deswegen so praktisch, weil sie zwei Kommunikationspartnern zu einem gemeinsamen digitalen Geheimnis verhilft, auch wenn sie nur über ein unsicheres Medium kommunizieren können. Im Ergebnis können die beiden Kommunikationspartner aus dem ihnen beiden bekannten Geheimnis einen nur ihnen beiden bekannten privaten Schlüssel ableiten und sicher miteinander kommunizieren.

Die asymmetrische Verschlüsselung nutzt typischerweise eine mathematische Funktion und deren Umkehrfunktion, wobei die Funktion einfach auszuführen ist, während die Umkehrfunktion mit den bisher verfügbaren technischen Mitteln praktisch nicht ausgeführt werden kann. Das bekannteste Beispiel ist die Primfaktorzerlegung (Faktorisierung). Sie ist bei sehr großen Zahlen mit einem so hohen Rechenaufwand verbunden, dass bisher genutzte Computer dafür sehr lange Zeit benötigen würden, bei ausreichend großen Zahlen Jahre oder gar Jahrhunderte. Die Umkehrfunktion besteht aus der Multiplikation der Faktoren und ist sehr schnell zu bewerkstelligen. Daher kann ein öffentlicher Schlüssel die große Zahl sein, während der passende private Schlüssel aus deren Faktoren besteht.

Und nun kommen Quantum-Computer ins Spiel, die bei bestimmten Aufgaben eine wesentlich höhere Leistungsfähigkeit als bisherige Rechner haben. Die Faktorisierung ist eine dieser Aufgaben. Vor einem Angreifer, der Quantum-Computer zur Verfügung hat, sind traditionelle Public-Key-Verfahren nicht mehr sicher.

Daher werden neue Algorithmen benötigt. Solche Algorithmen, zum Beispiel für digitale Signaturen, sind Gegenstand der Forschung und der Standardisierung. Keiner der als Quantum-resistent konzipierten Algorithmen hat sich als Marktstandard etabliert. Es gibt Kandidaten wie zum Beispiel den unter dem Namen Dilithium bekannten Algorithmus. Kombiniert man einen solchen Algorithmus mit einem Security Key etwa im Format eines USB-Sticks, bekommt man eine neue Lösung für die Authentisierung, die statt Passwörter genutzt werden kann. Es gibt bereits eine Industrieallianz für Fido (Fast Identity Online), die der Etablierung einer Alternative zu Passwörtern verhelfen will. Der momentane Stand der entsprechenden Spezifikation ist FIDO2.

Praktisch muss man sich die Lösung mit Sicherheitsschlüsseln zum Beispiel so vorstellen, dass Sie den Sicherheitsschlüssel in Form eines kleinen USB-Dongles für die Authentisierung verwenden, um sich bei Servern und ihren Diensten zu authentisieren. Die Idee ist somit aus Benutzersicht nicht neu, wenn man etwa an Smart-Card-Authentisierung denkt.

Zurzeit versuchen Technologiefirmen wie Google, die ersten Aufgaben in Zusammenhang mit Sicherheitsschlüsseln zu lösen. Wahrscheinlich wird die erste Generation von verbreiteten Sicherheitsschlüsseln so konzipiert sein, dass ein „Kopieren“ des Sicherheitsschlüssels erstens den physischen Zugriff auf den Schlüssel und zweitens einen Quantencomputer erfordert. Wenn wir davon ausgehen, dass das Entwenden des Sicherheitsschlüssels auffällt und dieser dann gesperrt werden kann, werden die Schlüssel der ersten Generation bereits einen großen Schritt nach vorne bedeuten. Allerdings bleibt ein Risiko: Der Angreifer entwendet den Schlüssel, „kopiert“ ihn mithilfe eines Quantencomputers und bringt ihn wieder zurück, sodass der Kopiervorgang unentdeckt bleibt. Wir wollen künftigen Innovationen nicht vorgreifen und geben uns für den Moment mit den ersten Schritten zufrieden.