Die Nachricht klingt seltsam aus der Zeit gefallen: Gerade hat das National Institute of Standards and Technology (NIST) die ersten Verschlüsselungsverfahren standardisiert, die sich selbst durch Quantencomputer nicht knacken lassen. Quantencomputer? Die sind doch vom Alltagseinsatz noch immer Jahre, wenn nicht gar Jahrzehnte entfernt. Wozu bitte, fragt sich da der Laie, braucht es also heute schon neue Algorithmen, die es mit diesen Maschinen aufnehmen können?
Die Antwort gibt der Blick auf die größten Förderer und Finanziers der Arbeit an Quantencomputern. Neben Technologiekonzernen wie IBM, Amazon, Google und Amazon sind das insbesondere Militärs und Geheimdienste. Schon heute protokollieren sie den verschlüsselten Nachrichtenverkehr im Netz in gigantischen Datenspeichern. Sie legen Informationen sozusagen auf Vorrat ab, weil sie diese bisher nicht knacken können. Denn noch sind Computer nicht leistungsfähig genug, die aktuellen Kryptoverfahren auszuhebeln.
Eine der wichtigsten heute genutzten Verschlüsselungsmethoden ist der RSA-Algorithmus. Er sichert Bestellungen im Netz ebenso ab wie das Zahlen per EC-Karte. Er macht sich zunutze, dass klassische Computer zwar Primzahlen leicht multiplizieren, das Ergebnis aber nur mit enormem Aufwand wieder in Primfaktoren zerlegen können. Wer Daten mit ausreichend langen RSA-Schlüsseln sichert, kann darauf vertrauen, dass der Entschlüsselungsaufwand zu groß ist. Noch.
Denn damit ist Schluss, sobald ausreichend starke Quantencomputer verfügbar sind. „Ausgerechnet die Primfaktorzerlegung, deren Schwierigkeit bisher das RSA-Verfahren schützt, gelingt Quantencomputern dramatisch schneller als herkömmlichen Computern“, sagte Johannes Buchmann, einer der renommiertesten Kryptologen Deutschlands und bis 2019 Informatikprofessor an der TU Darmstadt, im WirtschaftsWoche-Interview. Neben RSA gelten auch andere heute verbreitete Sicherheitsverfahren mit Quantenrechnern als knackbar.
Kompromittierende E-Mails, sensible Firmendaten
Klar ist: Was etwa amerikanische oder chinesische Geheimdienste heute bereits an RSA-verschlüsselten Daten in ihre Speicher eingelagert haben, werden sie früher oder später dechiffrieren können. Das gilt gleichermaßen für persönliche Gesundheitsdaten von Bürgern, kompromittierende E-Mails zwischen Geschäftsleuten oder Politikern oder wettbewerbsrelevante Konstruktionsdaten aus Unternehmen, die Wirtschaftsspione ausnutzen könnten.
Wer heute in Behörden oder Unternehmen mit sensiblen Daten arbeitet, darf sich also nicht länger darauf verlassen, dass diese Informationen dauerhaft sicher sind. Im Gegenteil. Was künftig geheim bleiben soll, muss möglichst heute schon mit sogenannten post-quanten-kryptografischen Verfahren gesichert werden. Mathematische Modelle, die das leisten sollen, gibt es zuhauf. Welche aber wirklich alltagstauglich sind, das war bisher unklar.
Schon 2016 hatte das NIST deshalb einen weltweiten Wettbewerb gestartet, um die tauglichsten Kandidaten zu finden. Und zwar sowohl für Verschlüsselungsalgorithmen als auch für sogenannte digitale Signaturen, mit denen sich Dateien, aber auch Datenverbindungen durchs Netz manipulationssicher kennzeichnen lassen. Vier von ursprünglich 69 eingereichten Verfahren hat die US-Behörde nun nach vier aufwendigen Auswahlrunden zur Standardisierung akzeptiert, an dreien davon waren auch Forscher der Universität Bochum beteiligt.
Bisher hat das NIST nur entschieden, auf welche Verfahren man in den USA künftig setzen will. In der Sicherheitsszene gilt es aber als wahrscheinlich, dass auch europäische Standardisierungsgremien dem Entscheid aus den USA folgen werden.
Allerdings betont Mike Osborne, Kryptoexperte im IBM Forschungslabor in Rüschlikon bei Zürich: „Unternehmen, die ihre IT anpassen und ihre verschlüsselten Daten auch gegen Angriffe mit Quantenrechnern schützen wollen, sollten jetzt in ihren Anwendungen und Datenspeichern nicht einfach eines der älteren in die Software einprogrammierten Kryptoverfahren durch eines der neuen ersetzen.“ Besser sei, die IT anzupassen, sodass sich die Verschlüsselung nach Bedarf modular austauschen lasse.
Die Zeit universell nutzbarer Schlüssel sei vorbei, wenn man Daten künftig quantensicher ablegen oder übertragen wolle. Jedes der nun ausgewählten Verfahren habe seine spezifischen Stärken und Schwächen, sagt Osborne. „Die Wahrheit ist leider: Die Zukunft der Verschlüsselung wird komplizierter, als es die Vergangenheit war.“ Osbornes Kollegen waren bei der Entwicklung einiger der neuen Algorithmen federführend, beziehungsweise haben die Arbeit an anderen Ansätzen unterstützt.
Welche der ausgewählten Algorithmen künftig tatsächlich die Nachfolge der RSA-Schlüssel antreten werden, ist noch offen. Teils nämlich sind die erforderlichen Kryptoschlüssel für den massenhaften Einsatz zu unhandlich. Andere Algorithmen sind derzeit noch patentgeschützt und damit für den Alltag im Netz schlicht nicht nutzbar. Ziel des NIST ist daher, für alle Verfahren den lizenzfreien Einsatz durchzusetzen, damit die quantensicheren Schlüssel möglichst rasch und rechtssicher den Weg in die IT-Systeme finden können. „Je weniger Patentschutz, desto größer die Akzeptanz in der IT-Welt“, sagt auch IBM-Experte Osborne.
Nur dann, so hofft die Sicherheitsszene, ließen sich Schnüffler und Spione dauerhaft bremsen.
Lesen Sie auch: Die Idee fasziniert Konzerne wie Mittelständler: Diese Verschlüsselung knacken nicht mal Quantencomputer.
