© ikorch / 123RF.com
Das BSI hat gemeinsam mit europäischen Partnerbehörden ein Positionspapier zur Sicherheit kryptografischer Verfahren im Zeitalter von Quantencomputern veröffentlicht.
Quantencomputer können schon in naher Zukunft gängige Verschlüsselungsverfahren problemlos überwinden. Solche Attacken gelingen beispielsweise mithilfe eines Algorithmus, den der US-Mathematiker Peter Shor 1994 entwickelte. Er kann auf einem Quantencomputer in polynomialer Zeit große Zahlen in ihre Primfaktoren zerlegen. Die Schwierigkeit der Primfaktorzerlegung bildet einen entscheidenden Bestandteil vieler asymmetrischer Verschlüsselungsverfahren. Damit hat der Shor-Algorithmus das Potenzial, die Sicherheit von gängigen Verschlüsselungsverfahren zu gefährden, insbesondere der Public-Key-Kryptografie.
In der Praxis bedeutet das, dass ein ausreichend leistungsfähiger Quantencomputer mithilfe des Shor-Algorithmus in der Lage wäre, den geheimen Schlüssel eines Verschlüsselungssystems zu brechen, indem er den öffentlichen Schlüssel faktorisiert. Auf klassischen Computern lässt sich das Verfahren nicht effizient anwenden. Die potenzielle Gefahr entsteht erst mit der Verfügbarkeit leistungsfähiger Quantenrechner. Daher treiben Forschungseinrichtungen und Organisationen die Entwicklung von Verfahren voran, die auch gegenüber quantenbasierten Angriffen sicher sind.
Es gibt zwei grundlegende Ansätze für quantensichere Verschlüsselung: Post-Quanten-Kryptografie (PQK) und Quantum Key Distribution (QKD). PQK umfasst eine neue, auch gegenüber Quantencomputern sichere Generation von Verschlüsselungsalgorithmen. Sie basieren auf mathematischen Problemen, die auch mit Quantenrechnern schwer zu lösen sind. Standardisierungsbehörden wie das National Institute of Standards and Technology (NIST) treiben die Entwicklung von PQK-Standards voran, um eine robuste und sichere Alternative zu etablierten Verschlüsselungsmethoden zu schaffen. Einige Beispiele für PQK-Verfahren sind Lattice-basierte Kryptografie und Hash-basierte Kryptografie mit kollisionsresistenten Hash-Funktionen.
Im Gegensatz zu PQK konzentriert sich QKD auf den sicheren Schlüsselaustausch zwischen Parteien. Durch die Nutzung von Quanteneffekten ermöglicht QKD, dass zwei entfernte Parteien über einen unsicheren Kanal hinweg einen gemeinsamen geheimen Schlüssel vereinbaren. Diese Alternative zum herkömmlichen Schlüsselaustausch soll resistent gegenüber Angriffen von Quantencomputern sein.
Das BSI kommt in seiner nun veröffentlichten Analyse [1] zu dem Schluss, dass sich aufgrund der aktuellen und inhärenten Einschränkungen QKD derzeit nur in einigen Nischenanwendungen praktisch einsetzen lässt. Ein wesentlicher Nachteil von QKD liegt in der Notwendigkeit spezialisierter Hardware wie Einzelphotonenquellen und Detektoren. Die Anschaffung und Wartung dieser speziellen Ausrüstung sowie eines QKD-Systems oder -Netzwerks über den gesamten Lebenszyklus hinweg geht mit beträchtlichen Kosten einher. Das macht den breiten Einsatz von QKD für individuelle Benutzer unpraktisch und für mobile Geräte ungeeignet.
Ein weiteres Problem stellt die begrenzte Reichweite von QKD dar. Signalverluste in Glasfaserkabeln nehmen mit der Entfernung exponentiell zu, was es derzeit unmöglich macht, Quantenzustände über längere Strecken zuverlässig zu übertragen. QKD-Demonstrationen erreichen maximal einige Hundert Kilometer Reichweite, während kommerzielle QKD-Systeme typischerweise auf etwa 100 Kilometer begrenzt sind. Bei größeren Entfernungen müssen vertrauenswürdige Knoten eingeführt werden, was dazu führt, dass sich derzeit mit QKD keine durchgängige Ende-zu-Ende-Sicherheit über große Distanzen erzielen lässt.
Selbst in möglichen Einsatzbereichen für QKD bedarf es erheblicher Anstrengungen, um das Vertrauen in die Sicherheit konkreter QKD-Geräte zu stärken. Ein wesentlicher Aspekt, der intensive Anstrengungen erfordert, besteht in der Standardisierung von QKD-Protokollen. Im Gegensatz zu etablierten kryptografischen Verfahren haben QKD-Protokolle bisher keinen standardisierten Sicherheitsprozess durchlaufen. Zudem fehlen umfassende Nachweise für die theoretische Sicherheit solcher Protokolle sowie klare Evaluierungskriterien und Methoden für die physische Sicherheit der implementierten Geräte. Die bisherigen Fortschritte in der Forschung auf diesem Gebiet genügen laut BSI noch nicht, um ein breites Vertrauen in die Sicherheit von QKD-Systemen zu gewährleisten.
Für die überwiegende Mehrheit der Anwendungsfälle, in denen derzeit klassische Schlüsselvereinbarungsschemata zum Einsatz kommen, lässt sich QKD nicht anwenden. Darüber hinaus ist QKD aus Security-Sicht noch nicht ausreichend ausgereift. Angesichts des dringenden Bedarfs, nicht länger ausschließlich auf quantenverwundbare Public-Key-Kryptografie zur Schlüsselerstellung angewiesen zu sein, sollten Anwender daher die Migration zur Post-Quanten-Kryptografie oder die Nutzung symmetrischer Schlüssel favorisieren. (jcb)
Infos
