TOP

LOGIN
Die Zukunft der Kryptographie in Zeiten des Quantenrechnens
LH General Industry, PC General Industry
September 20, 2023 Frank Schmid
Deutsch English

Am 21. August 2023 veröffentlichten drei US-amerikanische Regierung­s­­behörden ein gemeinsames Fakten­blatt zur Quanten­bereitschaft mit dem Titel Quantum-Readiness: Migration to Post-Quantum Cryptography. In dieser Notiz ermutigen die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das National Institute of Standards and Technology (NIST) Organisationen, einen Quanten­­bereitschafts­­fahrplan für die Migration zu post-quanten­kryptographischen Standards zu entwickeln.1

Quanten­bereitschaft umfasst zwei Aspekte: Der erste Aspekt beinhaltet die Implementierung von Post-Quanten-Kryptographie, bevor Quantenrechner klassische kryptographische Methoden erfolgreich kompromittieren können. Der zweite Aspekt beinhaltet die Etablierung von Post-Quanten-Kryptographie-Protokollen, bevor Bedrohungsakteure klassisch verschlüsselte Daten mit der Absicht „ernten“, sie zu entschlüsseln, sobald Quantenrechner diese Fähigkeit erworben haben. Dieser letztere Aspekt, der als „jetzt ernten, später entschlüsseln“ bezeichnet wird, wird oft als kritischer angesehen, insbesondere für Organisationen, die Daten mit langer Geheimhaltungs­dauer speichern. Versicherer und Rückversicherer, die Policen ausstellen und Verträge abschließen, die langfristige Risiken abdecken, fallen in diese Kategorie.

Quantenrechnen

Quantenrechnen ist ein Paradigma des Rechnens, das die Prinzipien der Quantenmechanik nutzt, um Informationen zu verarbeiten und zu manipulieren. Im Gegensatz zu klassischen Rechnern, die Bits als kleinste Einheiten von Daten verwenden, die entweder 0 oder 1 darstellen, verwenden Quantenrechner Quantenbits oder Qubits, die in einer Überlagerung von Zuständen existieren können, die gleichzeitig 0 und 1 darstellen. Das bedeutet, dass ein Satz von zwei Qubits in einer Überlagerung von vier Zuständen sein kann, die daher vier Zahlen erfordern, um den Zustand eindeutig zu identifizieren. Allgemeiner gesagt entspricht die Menge an Informationen, die in N Qubits gespeichert sind, 2 hoch N (2N) klassischen Bits.

Die Prinzipien der Quantenmechanik ermöglichen es beim Quantenrechnen, bestimmte Arten von Berechnungen viel schneller als beim klassischen Rechnen durchzuführen. Quantenrechnen erreicht eine polynomiale Beschleunigung, wenn es ein Problem in Zeit T löst, für das ein klassischer Rechner Zeit T2 (zum Beispiel) oder eine andere polynomiale Funktion von T benötigt. Ebenso erreicht Quantenrechnen eine exponentielle Beschleunigung, wenn es ein Problem in Zeit T löst, für das ein klassischer Rechner Zeit 2T (zum Beispiel) oder eine andere exponentiell wachsende Funktion von T benötigt.2

Algorithmen für das Quantenrechnen wurden für kombinatorische und Optimierungs­probleme sowie bestimmte Arten von Simulationen entwickelt. Zu den bekannten Quanten­algorithmen gehören Shors Algorithmus und Grovers Algorithmus.

  • Grovers Algorithmus bietet eine quadratische Beschleunigung gegenüber klassischen Algorithmen beim Suchen in einer unsortierten Datenbank. Er kann den gewünschten Eintrag unter N Einträgen in etwa der Quadratwurzel von N Schritten finden, verglichen mit N Schritten klassisch. Dieser Algorithmus hat Anwendungen in der Datenbanksuche und Optimierung.
  • Shors Algorithmus liefert eine exponentielle Beschleunigung bei der Bestimmung der Primfaktoren von Zahlen, ein Vorgang, der als Faktorisierung bezeichnet wird. Dies stellt eine Herausforderung für klassische kryptographische Systeme dar, die sich auf die praktische Schwierigkeit des Faktorisierens großer Zahlen zur Gewährleistung der Sicherheit verlassen. Diese Herausforderung erstreckt sich auf das weit verbreitete RSA-Protokoll.3

Grundprinzipien des Quantenrechnens

Qubits – die grundlegende Informationseinheit im Quantenrechnen. Im Gegensatz zu klassischen Bits, die nur in einem Zustand (0 oder 1) sein können, können Qubits in einer Überlagerung von zwei Zuständen existieren. Das bedeutet, dass ein Qubit gleichzeitig 0 und 1 sein kann.

Quantenverschränkung – ein Phänomen, bei dem zwei Qubits so miteinander verbunden sind, dass sie das gleiche Schicksal teilen. Wenn ein Qubit gemessen wird, kollabiert das andere Qubit sofort in den gleichen Zustand, unabhängig davon, wie weit sie voneinander entfernt sind.

Quantenüberlagerung – die Fähigkeit eines Qubits, in einer Überlagerung von zwei Zuständen zu existieren. Dies ermöglicht es Quantenrechnern, Berechnungen durchzuführen, die für klassische Rechner unmöglich sind.

Quantenalgorithmen – die Programme, die auf Quantenrechnern laufen. Quantenalgorithmen sind so konzipiert, dass sie die einzigartigen Eigenschaften von Qubits ausnutzen.

Kryptographie

Kryptographie spaltet sich in symmetrische und asymmetrische Verschlüsselungs­verfahren auf. Symmetrische Verschlüsselung, auch bekannt als Privater-Schlüssel-Verschlüsselung, verwendet einen einzigen Schlüssel, um Daten sowohl zu verschlüsseln als auch zu entschlüsseln. Das bedeutet, dass derselbe Schlüssel verwendet wird, um die Daten sowohl zu chiffrieren als auch zu dechiffrieren, und der Schlüssel muss geheim gehalten werden, um unbefugten Zugriff zu verhindern. Beispiele für symmetrische Verschlüsselungs­algorithmen sind Advanced Encryption Standard (AES) und 3-DES (Triple Data Encryption Standard).

Asymmetrische Verschlüsselung, auch bekannt als Öffentlicher-Schlüssel-Verschlüsselung, verwendet ein Paar von Schlüsseln – einen öffentlichen Schlüssel und einen privaten Schlüssel –, um Daten zu verschlüsseln und zu entschlüsseln. Der öffentliche Schlüssel ist frei verfügbar für jeden, der verschlüsselte Daten senden muss, während der private Schlüssel vom Besitzer des Schlüsselpaares geheim gehalten wird. Wenn jemand verschlüsselte Daten an den Besitzer des Schlüsselpaares senden will, verwendet er den öffentlichen Schlüssel des Besitzers, um die Daten zu verschlüsseln. Der Besitzer kann dann seinen privaten Schlüssel verwenden, um die Daten zu entschlüsseln. Beispiele für asymmetrische Verschlüsselungs­algorithmen sind RSA und Elliptic Curve Cryptography (ECC).4

Symmetrische Verschlüsselung ist im Allgemeinen schneller und effizienter als asymmetrische Verschlüsselung, erfordert aber eine sichere Methode zur Übertragung des geheimen Schlüssels. Asymmetrische Verschlüsselung hingegen erfordert keine sichere Schlüssel­übertragungs­methode, ist aber im Allgemeinen langsamer und weniger effizient als symmetrische Verschlüsselung.

So wird RSA selbst nicht für die Massen­verschlüsselung von Daten verwendet, da es im Vergleich zu symmetrischen Algorithmen relativ langsam ist, aber es wird viel für die Schlüssel­übertragung verwendet, d. h. für die sichere Übertraung des symmetrischen Schlüssels, der für die eigentliche Daten­verschlüsselung und -entschlüsselung verwendet wird. Diese Kombination aus asymmetrischer und symmetrischer Verschlüsselung bietet sowohl Sicherheit als auch Effizienz in der sicheren Kommunikation.

Mechanik der asymmetrischen Kryptographie

Schlüsselerzeugung – Ein Benutzer erzeugt ein Paar von Schlüsseln: einen öffentlichen Schlüssel und einen privaten Schlüssel. Diese Schlüssel sind so miteinander verknüpft, dass Daten, die mit einem Schlüssel verschlüsselt wurden, nur mit dem anderen Schlüssel entschlüsselt werden können.

Öffentliche Schlüsselverteilung  – Der Benutzer teilt seinen öffentlichen Schlüssel offen und weitläufig. Er wird als öffentlicher Schlüssel bezeichnet, weil er keine sensiblen Informationen enthält und frei geteilt werden kann.

Verschlüsselung – Wenn Alice eine vertrauliche Nachricht an Bob senden möchte, verwendet Alice Bobs öffentlichen Schlüssel, um die Nachricht zu verschlüsseln. Nur Bobs privater Schlüssel kann diese verschlüsselte Nachricht entschlüsseln.

Entschlüsselung – Bob, der Empfänger, verwendet seinen privaten Schlüssel, um die verschlüsselte Nachricht zu entschlüsseln, die er von Alice erhalten hat. Der private Schlüssel wird geheim gehalten und ist nur Bob bekannt.

Die Sicherheit der asymmetrischen Verschlüsselung beruht auf der Tatsache, dass auch wenn der öffentliche Schlüssel für jeden verfügbar ist, es rechnerisch nicht praktikabel ist, den privaten Schlüssel aus dem öffentlichen Schlüssel abzuleiten. Dies stellt sicher, dass, obwohl jeder Nachrichten mit dem öffentlichen Schlüssel des Empfängers verschlüsseln kann, nur der Empfänger mit dem entsprechenden privaten Schlüssel diese Nachrichten entschlüsseln kann.

Die Bedrohung für die klassische Kryptographie

Die Bedrohung des Quantenrechnens für die klassische Kryptographie beschränkt sich weitgehend auf asymmetrische Verschlüsselungs­verfahren. Obwohl Grovers Algorithmus symmetrische Chiffren brechen kann, wurde argumentiert, dass eine Erhöhung der Schlüsselgröße solche Angriffe effektiv abwehren kann. Shors Algorithmus (und seine Varianten) hingegen kann alle drei schwierigen mathematischen Probleme lösen, auf die sich die aktuellen asymmetrischen Verschlüsselungs­verfahren für ihre Sicherheit stützen, von denen eines die Primfaktor­zerlegung ist.5

RSA ist das prominenteste Beispiel für ein asymmetrisches Verschlüsselungs­verfahren, das die Primfaktor­zerlegung verwendet. Einfach formuliert: Im RSA-Verschlüsselungs­verfahren wird der private Schlüssel aus einem Paar von Primzahlen konstruiert, die zufällig ausgewählt werden und die als Produkt eine Halbprimzahl ergeben. Der entsprechende öffentliche Schlüssel wird von dieser Halbprimzahl abgeleitet. Bei der Übertragung einer Nachricht verwendet der Sender den öffentlichen Schlüssel, den er vom beabsichtigten Empfänger erhalten hat, um die Verschlüsselung durchzuführen. Nach dem Empfang der verschlüsselten Nachricht verwendet der Empfänger den privaten Schlüssel, der aus den Primzahlen generiert wurde, um die Entschlüsselung durchzuführen.

Der RSA-Verschlüsselungs­schlüssel kann gebrochen werden, indem die Halbprimzahl, hier als N bezeichnet, faktorisiert wird, d. h. indem die (einzigen) beiden Primzahlen gefunden werden, aus denen N das Produkt ist. Zur Veranschaulichung nehmen wir an, dass N gleich 35 ist. Die Faktorisierung von 35 ist einfach, da sie sofort als Produkt von 5 und 7 erkannt wird, den (einzigen) beiden Primzahlen, die die Halbprimzahl 35 erzeugen.

Moderne Implementierungen von RSA-Chiffren verwenden Primzahlen, die Hunderte von Ziffern lang sind. Zum Beispiel hat die RSA-Zahl des 2048-Bit-RSA-Protokolls, das für die RSA Factoring Challenge generiert wurde, die 1991 gestartet wurde, 617 Dezimalstellen. Es gibt keinen bekannten Algorithmus, der es klassischen Rechnern ermöglicht, in einer praktikablen Zeitspanne die Primfaktoren von so großen Zahlen zu bestimmen.6 Dennoch hat Shors Algorithmus, der 1994 eingeführt wurde, die Fähigkeit demonstriert, das Faktorisierungs­problem in polynomialer Zeit mithilfe des Quantenrechnens zu lösen und damit die theoretische Grundlage für das Brechen von RSA zu liefern.7

Die Implementierung von Shors Algorithmus stellt eine gewaltige physikalische Herausforderung dar. Dies liegt daran, dass die heutigen (physikalischen) Qubits mit Fehlern behaftet sind, die mit Hardware-Beschränkungen und Störungen aus der Umgebung zusammenhängen.8 Eine experimentelle Studie von 2019 über Shors Faktorisierungs­algorithmus auf einem IBM-Q-Quantenrechner berichtet von einer exzellenten Leistung bei der Faktorisierung der Zahl 15 (3x5), während Abweichungen von den theoretischen Ergebnissen deutlicher werden für 21 (3x7) und die Faktorisierung der Zahl 35 (5x7) aufgrund sich häufender Fehler fehlschlägt.9

Bemerkenswert ist, dass die Halbprimzahl 35 nur aus zwei Dezimalstellen besteht, weit entfernt von der 617 Dezimalstellen langen RSA-Zahl, die für die RSA Factoring Challenge mit dem 2048-Bit-Protokoll generiert wurde. Obwohl Quantenrechner erfolgreich größere Zahlen mit alternativen Algorithmen faktorisiert haben, ähneln diese Methoden klassischen Brute-Force-Methoden zur Faktorzerlegung. Im Gegensatz zu Shors Algorithmus wird nicht erwartet, dass diese Ansätze die Leistung von klassischen Faktorisierungs­algorithmen übertreffen.10

Das Brechen eines ausreichend starken RSA-Verschlüsselungs­schlüssels mit Shors Algorithmus mag noch viele Jahre entfernt sein.11 Quantenrechnen in großem Maßstab erfordert Techniken, die verhindern, dass sich die von (physikalischen) Qubits erzeugten Fehler vervielfachen und ausbreiten. Aktuelle Fehler­korrektur­methoden konzentrieren sich auf die Kodierung von Informationen in mehrere physikalische Qubits, die zu logischen Qubits gruppiert werden.12

Post-Quanten-Kryptographie (PQK)

Im Jahr 2016 rief das National Institute of Standards and Technology (NIST) die globale Gemeinschaft der Kryptographen auf, Verschlüsselungs­methoden zu entwickeln und zu bewerten, die in der Lage sind, Angriffen von fortgeschrittenen Quantenrechnern zu widerstehen, die die Leistungsfähigkeit der heutigen begrenzten Maschinen übertreffen. Bis 2022 hatte NIST die erste Reihe von Verschlüsselungs­algorithmen ausgewählt, die darauf ausgelegt sind, Angriffen von zukünftigen Quanten- und klassischen Rechnern gleichermaßen standzuhalten. Diese vier ausgewählten Verschlüsselungsalgorithmen sind auf dem Weg, ein integraler Bestandteil des Post-Quanten-Kryptographie-Standards von NIST zu werden, der voraussichtlich im Jahr 2024 eingeführt werden wird.13

Bemerkenswert ist, dass nur ein Kandidat für den Schlüsselaustausch vorgeschlagen wurde, während die anderen drei Algorithmen digitale Signaturverfahren sind. Die Sicherheit des Öffentlicher-Schlüssel-Verschlüsselungs­algorithmus CRYSTALS-Kyber basiert auf einem schwer zu lösenden Problem, das als Kürzester-Vektor-Problem (Shortest Vector Problem, SVP) bekannt ist. Die Lösung einer großen SVP-Instanz zur Wiederherstellung des privaten Schlüssels gilt selbst für Quantenrechner als nicht machbar.14

Fazit

Das NIST hält die Möglichkeit für plausibel, dass in den nächsten zwei Jahrzehnten Quantenrechner eine Leistungsfähigkeit erreichen, bei der sie potenziell alle derzeit verwendeten öffentlichen Schlüssel­verschlüsselungs­methoden kompromittieren könnten. Das gemeinsame Faktenblatt zur Quantenbereitschaft fordert Organisationen auf, frühzeitig mit der Erstellung eines Quanten­bereitschafts­fahrplans, der Durchführung von Risikobewertungen und der Einbindung von Technologieanbietern zu beginnen. Dies ist wesentlich, weil Daten, die heute von Bedrohungsakteuren ins Visier genommen werden, möglicherweise auch in Zukunft noch Schutz benötigen.

Dieser Blog wurde von Frank Schmid verfasst und spiegelt seine Gedanken wider; er wurde jedoch vor der redaktionellen und rechtlichen Prüfung durch Gen Re mithilfe generativer KI verbessert.

  1. Siehe Cybersecurity and Infrastructure Security Agency, „CISA, NSA, and NIST Publish Factsheet on Quantum Readiness”, 21. August 2023, https://www.cisa.gov/news-events/alerts/2023/08/21/cisa-nsa-and-nist-publish-factsheet-quantum-readiness.
  2. Siehe Robin Kothari, „Quantum speedups for unstructured problems: Solving two twenty-year-old problems”, Microsoft Research Blog, 4. Mai 2020, https://www.microsoft.com/en-us/research/blog/quantum-speedups-for-unstructured-problems-solving-two-twenty-year-old-problems.
  3. Das Akronym RSA leitet sich von den Nachnamen der Erfinder des Algorithmus ab, den MIT-Forschern Ron Rivest, Adi Shamir und Leonard Adleman, die den Algorithmus 1977 vorstellten.
  4. ECC basiert seine Sicherheit auf der Schwierigkeit, den diskreten Logarithmus eines zufälligen elliptischen Kurvenelements bezüglich eines bekannten Basispunkts zu finden. (Siehe „Elliptic-curve cryptography”, Wikipedia, https://en.wikipedia.org/wiki/Elliptic-curve_cryptography.)
  5. Obwohl sich der Begriff Shor’s Algorithmus typischerweise auf die Faktorisierung von ganzen Zahlen bezieht, löst dieser Algorithmus auch das diskrete Logarithmusproblem und das elliptische-Kurven-diskrete-Logarithmusproblem. (Siehe „Post-quantum cryptography”, Wikipedia, https://en.wikipedia.org/wiki/Post-quantum_cryptography.) Es wurde argumentiert, dass ECC ein leichteres Ziel für Quantenrechner als RSA ist, basierend auf den Quantenrechnen-Ressourcen, die benötigt werden, um das Protokoll zu kompromittieren. (Siehe „Elliptic-curve cryptography”, Wikipedia, https://en.wikipedia.org/wiki/Elliptic-curve_cryptography.)
  6. Es wurde angegeben, dass es mit einen klassischen Rechner 300 Billionen Jahre dauern würde, einen RSA-2048-Bit-Verschlüsselungsschlüssel zu brechen. Siehe QuintessenceLabs, „Breaking RSA Encryption – an Update on the State-of-the-Art”, 13. Juni 2019, https://www.quintessencelabs.com/blog/breaking-rsa-encryption-update-state-art.
  7. Laut QuintessenceLabs, op. cit., könnte ein Quantenrechner mit 4099 perfekt stabilen Qubits die RSA-2048-Verschlüsselung in 10 Sekunden brechen. Beachten Sie, dass ein Quantenrechner mit perfekt stabilen Qubits ein theoretisches Konstrukt ist.
  8. Siehe IBM, The Quantum Decade, 3. Auflage, November 2022, https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/quantum-decade.
  9. Siehe Mirko Amico et al., „An Experimental Study of Shor’s Factoring Algorithm on IBM Q”, 14. Mai 2019, https://arxiv.org/pdf/1903.00768.pdf.
  10. Siehe „Shor’s algorithm”, Wikipedia, https://en.wikipedia.org/wiki/Shor%27s_algorithm.
  11. Im Jahr 2021 veröffentlichte der deutsche Mathematiker Claus Peter Schnorr einen Algorithmus, von dem er angab, dass er die RSA-Kryptosysteme zerstört mit klassischem Rechnen. (Siehe „Fast Factoring Integers by SVP Algorithms, corrected,” https://eprint.iacr.org/2021/933.pdf). Es stellte sich dann heraus, dass es diesem Algorithmus an Skalierbarkeit mangelt, eine Herausforderung, von der chinesische Forscher im Dezember 2022 behaupteten, diese mit Quantenrechnen überwunden zu haben. (Siehe Bao Yan et al., „Factoring integers with sublinear resources on a superconducting quantum processor,” https://arxiv.org/pdf/2212.12372.pdf.) Die Financial Times zitierte Peter Shor, der sagte, dass er das Papier nicht für falsch halte, dass die chinesischen Forscher aber nicht erklärt hätten, wie schnell der Algorithmus sei. Shor meinte weiter, dass er vielleicht immer noch Millionen Jahre benötigte und schlussfolgerte, dass er ohne eine Analyse, die das Gegenteil beweist, annimmt, dass es sich nicht um eine große Verbesserung handelt. (Siehe Financial Times, 4. Januar 2023, „Chinese researchers claim to find way to break encryption using quantum computers”, https://www.ft.com/content/b15680c0-cf31-448d-9eb6-b30426c29b8b.)
  12. Siehe Sundar Pichai, 22. Februar 2023, „Our progress toward quantum error correction”, https://blog.google/inside-google/message-ceo/our-progress-toward-quantum-error-correction.
  13. Siehe NIST, 5. Juli 2022, „NIST Announces First Four Quantum-Resistant Cryptographic Algorithms”, https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms.
  14. Für eine behutsame Einführung in Kyber, siehe Ruben Gonzales, 14. September 2021, „Kyber – How does it work?”, https://cryptopedia.dev/posts/kyber.

Frank Schmid

Chief Technology Officer

See All Articles

DIVERSITÄT IST UNS WICHTIG

Sie ist Bestandteil unserer Unternehmenskultur. Ausschließlich zum Zweck der besseren Lesbarkeit verzichten wir in den Beiträgen auf genderspezifische Schreibweisen. Die gewählte männliche Form schließt zugleich weibliche, männliche und diverse Personen ohne Wertung mit ein.