Suchen

Post-Quanten-Kryptographie: Wer hat Angst vor der Quantum Supremacy?

| Autor / Redakteur: Johannes Oberreuter / Peter Schmitz

In der Zeit des Cloud Computings bewegen sich Daten fortwährend durch die Netze, auch außerhalb des eigenen Unternehmens. Es ist weithin klar, dass eine sichere Verschlüsselung vor allem sensitiver Daten in der Übertragung eine absolute Notwendigkeit darstellt. Diese Erkenntnis ist an sich nicht neu und so haben sich Kryptologen im Laufe der Jahrzehnte unterschiedliche Verfahren dazu überlegt.

Firmen zum Thema

Quantencomputer können ein Risiko für die IT-Sicherheit bedeuten, aber die Forschung an der Post-Quanten-Kryptographie ist auf einem guten Weg.
Quantencomputer können ein Risiko für die IT-Sicherheit bedeuten, aber die Forschung an der Post-Quanten-Kryptographie ist auf einem guten Weg.
(Bild: gemeinfrei / Pixabay )

Das Bessere ist der Feind des Guten: Viele Verfahren wie der weit verbreitete RSA-Verschlüsselungsalgorithmus basieren auf einer Asymmetrie in der Komplexität zweier komplementärer Berechnungen. Während es relativ einfach und daher schnell ist, zwei (Prim-)Zahlen miteinander zu multiplizieren, ist die Zerlegung einer großen Zahl in Faktoren, aus denen sie gebildet wird, vergleichsweise aufwendig. Man spricht von einer „nicht-polynomialen Komplexität“ einer solchen Operation. Ein längerer, aufwendigerer Schlüssel (z.B. 2048 Bit) führt dazu, dass die Verschlüsselungsoperation nur mit einem polynomialen Aufwand schwieriger wird, wohingegen die unautorisierte Entschlüsselung exponentiell komplizierter wird. Somit kann man einfach die Schlüssellänge erhöhen, wenn die Computer schneller werden, und bleibt sicher verschlüsselt.

Dies galt, so lange sich das Paradigma nicht verändert hat. Ende letzten Jahres hat Google mit der Ankündigung der „Quantum Supremacy“ für Furore gesorgt. Mit dieser „Überlegenheit“ ist gemeint, dass Googles Ingenieure ein Problem gefunden hatten, dessen Lösung auf einem herkömmlichen Computer 10.000 Jahre gedauert hätte, auf Googles Quantenhardware aber in etwas mehr als drei Minuten zu lösen war. Der Grund dafür: Die Komplexität des auf dem Quantencomputer verwendeten Algorithmus ist polynomial. Ein großer Vorteil gegenüber der exponentiellen Komplexität des klassischen Computers.

Bildergalerie

Nun war das Problem, dem sich Google gewidmet hat, von wenig praktischem Belang und ein „Quantennagel“, den man für den „Quantenhammer“ entworfen hatte. Kritischer wird die Situation jedoch bei der Verschlüsselung. Die hohe Komplexität des Entschlüsselns verschwindet, wenn man einen entsprechenden Quantencomputer zur Verfügung hat. Es existiert nämlich ein Algorithmus genau für die Aufgabe, mit Quantenhardware effizient große Zahlen zu faktorisieren, der nach seinem Erfinder Peter Shor benannt ist. Der Vorteil der asymmetrischen Komplexität verschwindet und die Verschlüsselung wird möglicherweise angreifbar. Das US-amerikanische National Institute of Standards and Technology schätzt, dass die Kapazitäten bereits 2027 für einen Angriff auf die RSA-Verschlüsselung ausreichen könnten.

Es gibt darüber hinaus ein weiteres Problem mit der Verschlüsselung, das meist weniger Beachtung findet: Damit die Verschlüsselung nicht einfach zu erraten ist, müssen die Zahlen, aus denen der Schlüssel besteht, zufällig aus einer großen Anzahl an Möglichkeiten gewählt werden. Nun ist es nicht so einfach, eine zufällige Zahl zu erzeugen – insbesondere für einen Computer. Betrachten wir als Beispiel das abendliche Brettspiel. Das Zufallselement wird durch ein oder zwei Würfel erzeugt, deren Augenzahlen sich über den Abend hinweg nach den statistischen Regeln verteilen. Was wir hier als Zufall wahrnehmen liegt in der menschlichen Unfähigkeit begründet, alle physikalischen Parameter zu kontrollieren. Kennt man den Schwerpunkt des Würfels, die Unebenheiten des Tisches und wäre man in der Lage, den Schwung der eigenen Hand genau zu kontrollieren, könnte man jedes gewünschte Ergebnis erzeugen. In der Star Trek-Episode „Hotel Royale“ entschuldigt der Android Data sein mäßiges Abschneiden beim Würfeln im mit den Worten „Commander, diese Würfel sind falsch ausbalanciert. Ja, natürlich ist da ein gewisser Anteil Glück dabei. Ich glaube, deshalb nennt man es Glücksspiel“, bevor er die Bank sprengt.

„Gott würfelt nicht!“, so hat der Physiker Albert Einstein seine Abneigung gegen die Quantenmechanik ausgedrückt. Und tatsächlich scheint man physikalische Prozesse, denen die Quantenmechanik zugrunde liegt, nur als Zufallsereignisse ohne kontrollierende Variablen verstehen zu können. Wenn auch die letzten philosophischen Fragen in der Tiefe dieser Theorie nicht beantwortet sind, ist der Konsens der Forschung derzeit, dass quantenmechanische Ereignisse generisch zufällig sind und ihre Vorhersage nur statistisch möglich ist.

Ob ein Ereignis eingetreten ist, stellt der Physiker durch eine Messung fest. Bis zum Zeitpunkt der Messung ist das physikalische System auf wundersame Weise nicht festgelegt und schwebt in einer Überlagerung aller möglichen Zustände. Rufen wir uns das Würfelspiel Mäxchen ins Gedächtnis. Glaubt man dabei seinem Vorwürfler, bleiben die Würfel verdeckt und das Ergebnis seines Wurfes wird niemals öffentlich. Zweifelsohne liegen die Würfel in einer bestimmten Position, der auch ein Wert zugeordnet werden könnte, würde man den Becher heben. Gälte für die Würfel die Beschreibung der Quantenmechanik, nähmen sie unter dem Becher so lange alle möglichen Kombinationen und Werte an, bis jemand den Becher lüpft – die Messung! – und sie sich ansieht. Man mag Einstein nachsehen, dass er mit solch einer Theorie nichts anfangen konnte.

Diese ungewöhnliche Eigenschaft lässt sich zur Verschlüsselung von Daten nutzen. Eine Botschaft, die in einem Quantencode verschickt wird, kann nur gelesen werden, wenn man die Zeichen, aus denen sie besteht, „misst“. Die typische Quantensuperposition geht dabei verloren und kann nicht wiederhergestellt werden. Ein unerwünschter Lauscher müsste nun die Nachricht in einem neuen Quantenzustand ausdrücken. Die beiden ehrlichen Parteien aber treffen eine Vereinbarung, in welcher Weise sie die Messung durchführen wollen. Falls die einzelnen Quantenbits von jemand anderem als dem autorisierten Gesprächspartner erstellt worden sind, fällt dies bei der Messung dadurch auf, dass mehr und mehr Zeichen fehlerhaft ankommen. Den beiden Kommunikationspartnern fällt diese Inkonsistenz auf. Sie verlieren ihr Vertrauen in den Kommunikationskanal und beginnen erneut. Auf diese Weise können sie den Lauscher, der einen Man-In-The-Middle-Angriff ausführt, unschädlich machen.

In der Praxis gestaltet sich solch ein Quantentelefon relativ schwierig. Quantenzustände sind vergleichsweise flüchtig. Die Quantenmechanik widerspricht unserer Intuition, weil sich nichts in unserer gewohnten Lebenswelt quantenmechanisch verhält. Die Eigenschaften gehen nämlich durch Einwirkungen von außen verloren. Diese Fehleranfälligkeit verhindert, dass wir bereits heute Quantencomputer nutzen können und kostet die Entwickler von entsprechender Hardware viel Geld und Mühen.

Bildergalerie

Seit geraumer Zeit entwickelt die Firma IDQuantique, eine Ausgründung der Universität in Genf, ein solches System für den Markt und bietet „Randomness as a service“. Fortinet, einer der wichtigsten Anbieter von Sicherheitssoftware, hat kürzlich eine Zusammenarbeit mit IDQuantique angekündigt und wird die nächste Generation seiner Firewall mit einem Interface für Quantenschlüssel ausstatten. Dies erlaubt mit einem Mal die Integration von quantenmechanisch garantierter Sicherheit in herkömmliche Rechenzentren.

Eine Anwendung dieser Technik im Telekommunikationsbereich findet sich beispielsweise aus der Notwendigkeit heraus, den Backbone eines Providers für die Zeit zu sichern, in der Quantencomputer mächtig genug sind, um herkömmliche Verschlüsselungsverfahren zu brechen. Dank der von IDQuantique bereitgestellten Quantentechnologie, die in den Kommunikationsendpunkt integriert werden kann, wird der Backbone mit einem Quantenschlüssel versehen, dem die Quantenüberlegenheit nichts anhaben kann. Bereits die zunehmenden Datenmengen, die in mobilen 5G-Netzen von IoT-Geräten künftig übertragen werden, erfordern eine verlässliche Verschlüsselung. Die Sicherheit der Geräte und die Vertraulichkeit der übertragenen Daten kann gewährleistet werden, indem man Quantenverschlüsselung in den Authentifizierungsmechanismus des Rechenzentrums einbaut. Die durch die Quantenmechanik verbürgte Zufälligkeit sorgt für eine zuverlässige Verschlüsselung. So sind neue IoT-Anwendungen – beispielsweise im Umfeld einer Smart Factory – möglich, bei denen die Sicherheit der Geräte und die Geheimhaltung ihrer Operation wichtig sind.

Die Quantenmechanik, deren Ereignisse so unvorhersehbar sind, dass man sie nur mit einem Würfelspiel vergleichen kann, sorgt so dafür, dass Sicherheit im Unternehmen kein Glücksspiel ist.

Dieser Beitrag erschien zuerst auf unserem Partnerportal Security-Insider.de.

Über den Autor: Johannes Oberreuter arbeitet als Data Scientist bei Machine Learning Reply und leitet die Innovationsgruppe Quantencomputing der ReplyAG Deutschland. Er hat Physik in München, Heidelberg und Cambridge studiert und an den Universitäten von Amsterdam, Göttingen und der TU München zu Quanteneffekten vom frühen Universum bis zu Experimenten mit kalten Gasen geforscht.

(ID:46764770)