Illustration Absmeier foto freepik
Das Gedankenexperiment Schrödingers Katze ist vermutlich das bekannteste Sinnbild der mysteriösen Quantenwelt. Der Schwarze Schwan bezeichnet ein unvorhergesehenes Ereignis mit dramatischen Folgen. Was wäre, wenn Quantentechnologie in die Hände böswilliger Akteure fällt? Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, erläutert, was dies für aktuelle Verschlüsselungssysteme bedeuten könnte.
Quantencomputer sorgen immer wieder durch echte oder vermeintliche Durchbrüche für Schlagzeilen. In diesem Sommer veröffentlichte ein Forschungsteam von IBM beispielsweise ein Paper, in dem die praktische Nützlichkeit bereits bestehender Quantenrechner postuliert wird. Die Forscher wollen einen Weg gefunden haben, die hohe Fehleranfälligkeit der bisherigen Geräte genau zu erfassen und bewusst einzukalkulieren. Somit könnten Quantenrechner eventuell bereits zum Einsatz kommen, bevor das Problem ihrer hohen Fehleranfälligkeit technisch in den Griff zu bekommen ist. Irgendwann wird allerdings auch das passieren und dann kann das neue Rechnerkonzept seine volle Stärke ausspielen. Um zu verstehen, warum dieses Szenario gefährlich werden kann, muss man zunächst das Prinzip des Quanten-Computing und die Funktionsweise aktueller Verschlüsselungen betrachten.
1 und 0 statt 1 oder 0
Ein Bit nimmt entweder den Wert 1 oder den Wert 0 an. Darauf basiert unsere gesamte digitale Technologie. In der mysteriösen, winzigen Quantenwelt gilt diese Gewissheit nicht mehr. Quantenobjekte können zwei Zustände gleichzeitig, beziehungsweise einen undefinierten Zwischenzustand annehmen. Das bekannteste Beispiel dafür ist vermutlich Schrödingers Katze. Das Tier hat für die Außenwelt solange den Status tot und lebendig zugleich – bis jemand die Kiste öffnet und nachsieht. Ähnlich verhält es sich mit Quantenbits. Deren Zustand kann nur durch eine Messung bestimmt werden. Bis diese stattfindet, befinden sie sich im undefinierten Zustand, beziehungsweise nehmen die Werte 1 und 0 gleichzeitig an.
Diese in unserer makroskopischen Welt nicht vorstellbare Eigenschaft der Quantenobjekte, die Superposition, könnte dafür sorgen, dass sich sehr komplexe mathematische Probleme wesentlich schneller lösen lassen. Beziehungsweise Probleme überhaupt erst lösbar werden, die es heute nicht in reeller Zeit sind. Darauf deutet zumindest der aktuelle Forschungsstand hin. Die Entwickler des kanadischen »Borealis«-Rechners behaupten beispielsweise, ein Problem in 36 Mikrosekunden gelöst zu haben, für das ein herkömmlicher Supercomputer Tausende von Jahren benötigt hätte. Probleme schneller lösen – das klingt eigentlich positiv, kann aber auch gefährlich werden.
Kryptografie basiert auf Problemen
Die heute im Internet und in der digitalen Welt omnipräsente asymmetrische Kryptografie könnte durch überlegene Quantencomputer angegriffen werden. Das System basiert darauf, dass mittels eines Algorithmus aus einem privaten Schlüssel ein öffentlicher Schlüssel erzeugt wird und nur der öffentliche Schlüssel über das Internet übertragen wird. Der Zusammenhang zwischen privatem und öffentlichem Schlüssel wird über komplexe mathematische Operationen hergestellt, die schwer umkehrbar sind. Dies kann beispielsweise die Multiplikation sehr großer Primzahlen sein. Diese Berechnung ist einfach. Die umgekehrte Primfaktorzerlegung des Ergebnisses ist allerdings sehr komplex. Heute eingesetzte Verschlüsselungen basieren darauf, dass die leistungsstärksten konventionellen Computer derartige Berechnungen nicht in einer sinnvollen Zeitspanne durchführen können. Mit dem Quantencomputer könnte sich dies aber ändern. Wodurch es plötzlich möglich wäre, private aus öffentlichen Schlüsseln zu errechnen.
In der Theorie existieren bereits spezielle, für Quantenrechner entwickelte Algorithmen. Sobald die entsprechende Hardware verfügbar ist, können damit beispielsweise Suchvorgänge viel schneller durchgeführt werden. Der Grover-Algorithmus beschleunigt diese im Quadrat. Bei linearer Suche würde man 2128 Rechenschritte benötigen, um eine AES-128 Verschlüsselung zu knacken – mit dem Grover-Algorithmus dagegen nur noch 264 Schritte. In diesem speziellen Fall könnte man die Schlüssellänge verdoppeln und die Verschlüsselung wäre wieder sicher. Doch das gilt nur für den Grover-Algorithmus. Werden in Zukunft noch leistungsfähigere Verfahren für Quantenrechner gefunden, reichen immer längere Schlüssel nicht mehr aus und es werden gänzlich neue Konzepte benötigt – Probleme, deren Umkehrung auch für Quantenrechner zu komplex ist. An den entsprechenden Post-Quanten-Algorithmen wird bereits gearbeitet. Dort geht es dann beispielsweise um Problemstellungen innerhalb der algebraischen Geometrie oder in hochdimensionalen Gittern.
Eine reale Gefahr
Wenn sich Mathematiker und Informatiker über komplizierteste Probleme und neue Algorithmen den Kopf zerbrechen, wirkt das zunächst alles andere als alltagsrelevant. Doch asymmetrische Kryptografie gehört inzwischen für fast alle Menschen zum Alltag – wenn auch meistens unbewusst. Sichere Verbindungen zwischen Websites und Nutzern (HTTPS) basieren darauf, ebenso wie die Ende-zu-Ende-Verschlüsselung bei Messengern wie WhatsApp. Digitale Dokumente, wie sie etwa in einer ID-Wallet abgelegt werden sollen, die die EU gerade erarbeitet, würden ebenfalls nach dem Muster der asymmetrischen Kryptografie funktionieren. Der Sinn dabei ist, dass jeder sie mit einem öffentlichen Schlüssel prüfen kann, aber nur Berechtigte mit den privaten Schlüsseln zur Ausstellung fähig sind. Bei qualifizierten elektronischen Signaturen wird ebenfalls asymmetrische Kryptografie eingesetzt.
In Zukunft könnte hier enormes Bedrohungspotenzial entstehen: Kriminelle mit Zugang zu einem in der Rechenleistung überlegenen Quantencomputer könnten die konventionellen Algorithmen, die die Basis für all diese Verschlüsselungen bilden, in kurzer Zeit knacken. Damit könnten sie verschlüsselten Datenverkehr und Nachrichten mitlesen, digitale Dokumente und Signaturen fälschen. Auch bestehende digital signierte Verträge wären dadurch auf einen Schlag wertlos.
Diese Gefahr ist zwar noch hypothetisch und nicht akut, man sollte sie aber keinesfalls ignorieren. Die Entwicklung der Quantenrechner schreitet unablässig fort und irgendwann werden sie in den praktischen Einsatz kommen – sei es in 10, 20 oder 30 Jahren. Und dann wird irgendwann Murphys Gesetz zuschlagen und die Geräte werden wohl oder übel auch in falsche Hände gelangen. Darauf müssen wir vorbereitet sein. IT-Sicherheitsanbieter aber auch Vertrauensdienste müssen ihre Hard- und Software daher bereits heute so designen, dass sie zukünftig neue, quantensichere Algorithmen integrieren können. Die US-amerikanische Normungsbehörde NIST veröffentlichte bereits die ersten Algorithmen-Kandidaten für eine solche Post-Quanten-Kryptografiewelt, die ihre Festigkeit aber noch beweisen müssen. Das Rennen ist in jedem Fall eröffnet.
Swisscom Trust Services
Bedrohen Quantenrechner die IT-Sicherheit oder sind sie eine Chance?
Quantenrechner sind eine neue Technologie, die in der Lage ist, bestimmte mathematische Probleme viel schneller zu lösen als herkömmliche Computer. Dies hat viele Vorteile für die Wissenschaft, die Medizin, die Kryptographie und andere Bereiche. Aber es birgt auch Risiken für die IT-Sicherheit, insbesondere für die Verschlüsselung von Daten.
Die Verschlüsselung ist ein Verfahren, das Daten vor unbefugtem Zugriff schützt, indem es sie in einen geheimen Code umwandelt, der nur mit einem bestimmten Schlüssel entschlüsselt werden kann. Die Sicherheit der Verschlüsselung hängt davon ab, wie schwer es ist, den Schlüssel zu erraten oder zu berechnen. Einige der gängigsten Verschlüsselungsverfahren basieren auf mathematischen Problemen, die für herkömmliche Computer sehr schwer zu lösen sind, wie z.B. das Faktorisieren großer Zahlen oder das Finden von diskreten Logarithmen.
Quantenrechner können jedoch einige dieser Probleme viel schneller lösen als herkömmliche Computer, indem sie die Gesetze der Quantenmechanik nutzen, die es ihnen erlauben, mehrere Zustände gleichzeitig zu repräsentieren und zu manipulieren. Dies bedeutet, dass sie potenziell die Sicherheit von vielen Verschlüsselungsverfahren brechen könnten, die heute verwendet werden, wie z.B. RSA oder Diffie-Hellman.
Dies ist jedoch kein Grund zur Panik. Zum einen sind Quantenrechner noch nicht weit genug entwickelt, um solche Angriffe durchzuführen. Die größten Quantenrechner, die bisher gebaut wurden, haben nur wenige Dutzend Qubits, die grundlegenden Einheiten der Quanteninformation. Um die Sicherheit von gängigen Verschlüsselungsverfahren zu brechen, wären jedoch Tausende oder Millionen von Qubits erforderlich, die stabil und fehlerfrei arbeiten können. Dies ist eine große technische Herausforderung, die noch nicht gelöst ist.
Zum anderen gibt es Möglichkeiten, sich gegen Quantenangriffe zu schützen. Eine Möglichkeit ist, Verschlüsselungsverfahren zu verwenden, die auf mathematischen Problemen basieren, die auch für Quantenrechner schwer zu lösen sind, wie z.B. Gitterprobleme oder elliptische Kurven. Diese werden als post-quantum cryptography bezeichnet und werden bereits erforscht und entwickelt. Eine andere Möglichkeit ist, Quantenmechanik selbst zu nutzen, um Daten zu verschlüsseln. Dies wird als Quantenkryptographie bezeichnet und basiert auf dem Prinzip der Quantenverschränkung, das es ermöglicht, zwei Parteien einen geheimen Schlüssel auszutauschen, der nicht abgehört oder verändert werden kann.
Quantenrechner sind also sowohl eine Bedrohung als auch eine Chance für die IT-Sicherheit. Sie erfordern eine Anpassung und Innovation der bestehenden Verschlüsselungsverfahren, aber sie bieten auch neue Möglichkeiten für eine sichere Kommunikation und Berechnung. Die Zukunft der IT-Sicherheit wird wahrscheinlich eine Kombination aus klassischen und quantenbasierten Methoden sein.
Genki Absmeier