Während sich die realen Möglichkeiten von Quantum Computing in ihrer ganzen Dimension erst nach und nach erschließen, schreitet die Praxistauglichkeit in Riesensprüngen voran. Gerade erst haben Forscher von Google erstmals die Überlegenheit von Quantencomputern bewiesen. Die problematischen Auswirkungen auf die aktuelle Kryptografie zeichneten sich schon in den letzten Jahren deutlich ab – doch das jetzige Erreichen der so genannten Quantum Supremacy zeigt, dass keine Zeit zu verlieren ist. Das erfordert von Unternehmen methodisches Vorgehen und krypto-agile Lösungen. Nicht irgendwann, sondern so schnell wie möglich. Die künftigen Supercomputer nutzen Quantenbits, die im Gegensatz zu herkömmlichen Rechnern die Zustände 0 und 1 gleichzeitig annehmen. Quanteneffekte wie die Superposition lassen die Rechenleistung exponentiell steigen, weil Qubits die erforderlichen Rechenschritte parallel ausführen. Die Technologie verspricht daher, hochkomplexe Aufgaben für Simulationen, maschinelles Lernen oder Verschlüsselungen unglaublich schnell zu errechnen. Dazu zählen sogenannte schwere und komplexe mathematische Probleme, auf denen gängige Verschlüsselungsverfahren fußen. Die drei Arten gängiger kryptografischer Algorithmen unterscheiden sich darin, wie viele Schlüssel sie verwenden. Hash-Funktionen (SHA256, RIPEMD und Whirlpool) kommen ohne Schlüssel aus, um den Algorithmus einzugeben. Symmetrische Verfahren (3DES, AES, Blowfish etc.) benötigen einen Schlüssel, die asymmetrische Verschlüsselung (RSA, DSA, Diffie-Hellman und ECC) nutzt dagegen zwei. Bisher war die Rechenleistung zu gering, um die enorm langen Schlüssel etwa mit einem Brute-Force-Angriff zu schwächen. Dieser beschleunigt sich jedoch, wenn Quantensysteme den Grover-Algorithmus implementiert haben und symmetrische Verfahren attackieren. In der Folge würde sich die Schlüssellänge – und so auch das Schutzniveau – halbieren. Der Grover-Algorithmus bedroht auch Hash-Funktionen, da dessen hohe Angriffsgeschwindigkeit dazu führen kann, dass zwei Eingaben mit der gleichen Ausgabe gefunden werden. Die Annahme, Eingabedaten lassen sich nicht aus den Ausgabedaten berechnen, wäre nicht mehr haltbar. Die Gefahr für die asymmetrische Kryptographie geht vom Shor-Algorithmus aus. Noch können Quantencomputer diesen lediglich wenige Mikrosekunden errechnen. Schaffen sie das stabil einige Minuten, wäre beispielsweise der RSA geknackt. Wann sind Quantenrechner endgültig überlegen und was folgt daraus? Bisher rechneten Quanten- und Krypto-Experten damit, dass es noch zehn bis fünfzehn Jahre dauert, bis Quantencomputer den heutigen Superrechnern überlegen sind, der so genannten Quantum Supremacy. Diese vorsichtige Einschätzung wurde nun Lügen gestraft. Im Mai noch hat Google auf seinem Quantum Spring Symposium von einer „doppelt exponentiellen“ Rate an Rechenleistung gesprochen, die der IT-Konzern erreicht habe. So beruft sich das „Quantamagazine“ auf Hartmut Neven, Leiter des Google Quantum Artificial Intelligence Lab. Dieser sagte den Beginn der Quanten-Überlegenheit noch für dieses Jahr voraus. Und er hat Recht behalten, denn die Forscher von Google schafften es nun augenscheinlich, erstmals mit 53 Qubits zu rechnen. Damit kann der Quantencomputer Aufgaben lösen, an denen selbst die leistungsfähigsten herkömmlichen Supercomputer scheitern. Als Benchmark dienten hier die Supercomputer der NASA. Unabhängig davon, wann die „Quanten-Vorherrschaft“ tatsächlich beginnt, müssen heutige Verschlüsselungstechnologien modifiziert werden, was mit Post-Quanten-Kryptografie (PQC, Post-Quantum Cryptography) und dazugehörigen PQC-Verfahren gelingen soll. Damit diese Krypto-Systeme, installiert auf herkömmlichen Rechnern wie PCs und mobilen Endgeräten, Quantencomputerangriffen Stand halten, benötigen sie einen quantensicheren Algorithmus. Derzeit läuft ein Wettbewerb am National Institute of Standards and Technology (NIST), der auf einen Standard zum quantensicheren Verschlüsseln abzielt. 2022 soll es soweit sein. Anderseits liefert die Quantentechnologie selbst mit Quantum Key Distribution (QKD) einen Ansatz, die symmetrische Verschlüsselung zu schützen. Beim Schlüsseltausch kommen spezielle Sender und Empfänger zum Einsatz, die beim BB84-Protokoll über Lichtwellenleiter einzelne Photonen übermitteln. Das Verfahren ist abhörsicher, da sich beim Einschalten eines Angreifers in die Kommunikation die übermittelnden Informationen ändern. Die krypto-agile Rolle von Hardware-Sicherheitsmodulen Bereits am nächsten Schritt arbeiten führende Technologieunternehmen. Sie untersuchen, wie sich quantensichere Krypto-Algorithmen auf ihre bestehenden Produkte oder Infrastrukturen auswirken. Diese Forschung zur Post-Quanten-Kryptografie erleichtern Hardware-Sicherheitsmodule (HSM), die klassische wie auch quantensichere Algorithmen ausführen können. Diese Geräte generieren, sichern und verwalten digitale Schlüssel in einer sicheren Umgebung – HSM stellen somit die nötige Krypto-Agilität in einer Infrastruktur her. Darunter versteht man die Fähigkeit, auf ein alternatives kryptographisches Primitiv und einen alternativen Algorithmus zu migrieren, ohne die Systeminfrastruktur wesentlich zu verändern. In HSM integrierte Software Development Kits (SDK) geben Sicherheitsexperten und -Providern zudem die Möglichkeit, quantensichere Lösungen zu testen und zu implementieren. Die Entwicklung neuer Algorithmen ist nur der erste Schritt zur krypto-agilen Infrastruktur. Auch die Unternehmen selbst müssen den Übergang zur Post-Quanten-Kryptografie sicher navigieren. Risk Assessment: Das eigene Datenrisiko für das kommende Quantenzeitalter prüfen Der Zeitplan einer Organisation zum Implementieren quantensicherer Algorithmen lässt sich mit einer Formel von Michele Mosca, Mitbegründer des Instituts für Quantencomputing der kanadischen Universität Waterloo, ausdrücken: x + y > z. Das x gibt an, wie lange die bestehende Sicherheitstechnik standhält. Zusammen mit y, der Migrationszeit auf quantensichere Algorithmen, darf keine Zeitspanne resultieren, die größer ist als z. Dessen Intervallende markiert den Zeitpunkt, an dem Quantenrechner die klassische Verschlüsslung brechen. Zur eigenen Standortbestimmung empfehlen Einrichtungen wie das Global Risk Institute ein „Quantum Risk Assessment“ (QRA). Ziel ist es, die Sicherheitsrisiken für die Firmendaten zu ermitteln. Auch hierbei gehen die wichtigsten Schritte auf den Quantenforscher Michele Mosca zurück: • Durchführen einer Dateninventur und Identifizieren der angewendeten Verschlüsselungsverfahren • Fortlaufendes Prüfen der Fortschritte bei Quantencomputern und in der Quantenkryptografie, um realistisch einzuschätzen, wann bislang gültige Verschlüsselungsstandards obsolet sein werden • Identifizieren potenzieller Angreifer und Prüfung, ob diese Quantenrechner einsetzen können • Ermitteln, wie lange welche Informationsbestände geschützt werden müssen. Parallel recherchieren, wie lange das Modifizieren von Verschlüsselungskomponenten und -verfahren dauert, um sie quantenresistent zu machen • Implementieren einer quantensicheren IT-Sicherheitsarchitektur, die regelmäßig auf neue Angriffsvektoren überprüft werden muss Zukunftssichere Verschlüsselung beginnt schon heute In jedem Fall sollten Unternehmen – neben dem empfohlenen QRA – auch so schnell wie möglich mit dem Testen beginnen, um herauszufinden, wie sich quantensichere Algorithmen auf ihre Infrastruktur auswirken werden. Dazu eignen sich krypto-agile HSM. Auf sie lassen sich Firmware und Algorithmen effizient aufspielen und aktualisieren, sobald sich die Anforderungen an die Verschlüsselung weiterentwickeln.