Post-Quanten-Kryptografie: Drei Verschlüsselungen sollen künftig Quantencomputern trotzen
»Das ist ein historischer Moment und der Beginn einer neuen Ära für die digitale Sicherheit«, sagt der Informatiker Matthew Scholl, Leiter der Abteilung für Cybersicherheit an der US-amerikanischen Behörde NIST. Diese hat am 13. August 2024 erstmals drei standardisierte Verschlüsselungsverfahren veröffentlicht, die auch Angriffen von Quantencomputern standhalten sollen. Es ist das lange erwartete Ergebnis einer achtjährigen Bemühung. »Diese endgültigen Standards enthalten Anweisungen für die Integration in Produkte und Verschlüsselungssysteme«, sagt der Mathematiker Dustin Moody, der das Standardisierungsprojekt am NIST leitet. »Wir ermutigen Administratoren, sofort mit dem Einbau zu beginnen.«
Viele Fachleute fiebern dem Moment entgegen, in dem es den ersten voll funktionsfähigen Quantencomputer gibt. Denn die Versprechungen, die solche Geräte erfüllen sollen, sind groß: Sie könnten die Suche nach neuen Wirkstoffen erleichtern, Wundermaterialien designen oder Geheimnisse von komplexen Quantensystemen lüften. Kryptografen blicken hingegen eher mit Sorge in die Zukunft. Seit 1994 ist außerdem bekannt, dass Quantencomputer in der Lage sind, unsere aktuellen Verschlüsselungsverfahren zu knacken. Banktransaktionen, elektronische Nachrichten, Browserverlauf: Nichts wäre mehr privat und sicher. Diese Gefahr wurde allerdings lange Zeit ignoriert; schließlich lagen Quantencomputer in den 1990er Jahren noch in weiter Ferne.
Doch die technologischen Fortschritte der vergangenen Jahrzehnte haben Quantencomputer von reinem Wunschdenken in die Realität katapultiert. Damit rückt auch die Bedrohung für unsere Daten immer näher. In den 2010er Jahren wurde allmählich klar, dass neue »quantensichere« Verschlüsselungsalgorithmen nötig sind. Zu diesem Zweck rief das NIST im Jahr 2016 einen Wettbewerb aus, zu dem jede Person oder Organisation quantensichere kryptografische Verfahren einreichen konnte: so genannte Post-Quanten-Algorithmen.
Post-Quanten-Verfahren
Im Juli 2022 hat das NIST bekannt gegeben, welches Post-Quanten-Verfahren es in den nächsten Jahren standardisieren wird: CRYSTALS-Kyber, ein gitterbasiertes Verfahren, für allgemeine Verschlüsselungen sowie CRYSTALS-Dilithium, FALCON (beide gitterbasiert) und SPHINCS+ (hashbasiert) für digitale Signaturen. Laut NIST soll man für Letztere primär auf CRYSTALS-Dilithium setzen, wobei man auf FALCON zurückgreifen kann, wenn man kürzere Signaturen braucht. SPHINCS+ sei zwar größer und langsamer als die gitterbasierten Verfahren, aber man wolle es auch standardisieren, da es auf einem anderen mathematischen Problem aufbaue.
| Post-Quanten-Verschlüsselung | Digitale Signatur |
|---|---|
| Codebasierte Kryptografie + wird seit mehr als 40 Jahren untersucht + NP-schwer + System ist schnell – große Schlüssel (etwa 1 Megabyte) – braucht viel Speicher | Multivariate Polynome + Effizienz + geringe Hardwareanforderungen + kurze Signaturen – komplizierte Implementierung – große Public Keys – Sicherheit ist für großflächige Umsetzungen noch nicht bewiesen |
| Gitterbasierte Kryptografie + bietet große Vielfalt an Anwendungen + einfach zu implementieren – könnte sich unter Umständen leicht knacken lassen | Gitterbasierte Kryptografie + bietet große Vielfalt an Anwendungen + einfach zu implementieren – könnte sich unter Umständen leicht knacken lassen |
| Isogenienbasierte Kryptografie + kurze Schlüssel (einige Kilobyte) + späteres Aufdecken des Schlüssels folgenlos für die Sicherheit aller früheren Kommunikationen – noch sehr jung | Hashbasierte Kryptografie + kleine Schlüssel und Signaturen + Funktionen bieten hohe Flexibilität + kann auf Hardware angepasst werden, um Effizienz zu erhöhen – nur für kurze Nachrichten verwendbar – nur für Signaturen nutzbar |
Die insgesamt 82 eingereichten Verschlüsselungskandidaten aus 25 Ländern waren alle öffentlich einsehbar und wurden von der kryptografischen Community auf Herz und Nieren geprüft. Zwischen 25 und 30 Verfahren entpuppten sich schnell als unsicher und konnten von herkömmlichen Rechnern geknackt werden; andere waren zu langsam oder erforderten zu viel Speicherplatz, um in realen Anwendungen genutzt werden zu können. Im Juli 2022 gab das NIST schließlich die vorläufigen »Sieger« des Wettbewerbs bekannt, insgesamt vier Algorithmen, von denen nun drei standardisiert wurden: CRYSTALS-Kyber, CRYSTALS-Dilithium und Sphincs+. Der Standard des vierten Verfahrens namens FALCON soll Ende 2024 erscheinen.
Kritik am Auswahlverfahren
Die Standardisierung der US-Behörde hat weit reichende Konsequenzen. »NIST ist eine Organisation, die über die Grenzen hinaus ernst genommen wird und der vertraut wird. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgt deren Empfehlungen und übernimmt meist die Standards«, sagte die Mathematikerin Juliane Krämer 2022 im Interview mit »Spektrum«. Umso wichtiger ist es, dass NIST sauber arbeitet.
Anders als in der Vergangenheit hat die US-Behörde den Auswahlprozess recht transparent gestaltet. So konnte man die Einreichungen einsehen und es gibt sogar eine Google-Gruppe, bei der offen über das Auswahlverfahren diskutiert wird. Allerdings störten sich manche Fachleute in den vergangenen Jahren daran, dass das NIST seine Verbindungen zum US-Geheimdienst NSA nicht offenlegen wollte. Zum Beispiel stellte sich nach einer Klage heraus, dass einige der bei NIST tätigen Personen auch NSA-Mitarbeiter sind. Zudem fanden mehrere Treffen zwischen dem NIST-Post-Quanten-Team und Mitarbeitenden der NSA und des britischen Geheimdienstes GCHQ statt.
»Wenn man genug Speicherkapazität hat, kann man diese Daten jetzt schon abgreifen und später entschlüsseln«Juliane Krämer, Mathematikerin
Trotzdem wurde die Veröffentlichung der Standards dringend erwartet. »Eine volle Integrierung in die Systeme braucht Zeit«, sagt Moody. Und die Zeit ist jetzt schon knapp, wie Krämer bereits 2022 betonte: »Wenn man genug Speicherkapazität hat, kann man diese Daten jetzt schon abgreifen und später entschlüsseln, frei nach dem Motto ›harvest now, decrypt later‹. Aus Sicht eines Geheimdienstes spricht nichts dagegen, das zu tun, da Speicherplatz billig geworden ist.«
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.