Quantensysteme und Kryptographie 05.09.2018, 14:39 Uhr

Quantenrechner gefährden Verschlüsselung

Quantenrechner haben in den letzten paar Jahren riesige Fortschritte gemacht. Sie sind in Kürze in der Lage, gängige Kryptographie-Methoden auszuhebeln. Doch es gibt Verschlüsselungsverfahren, die auch gegen die Rechenpower von Qubits bestehen können.
Laut Michael Osborne vom IBM-Forschungslabor in Rüschlikon bei Zürich gefährdet die Rechenleistung von Quantensystemenschon heute gängige Verschlüsselungsmethoden. Doch es gibt Kryptoverfahren, die sich auch von Quantenrechnern nicht so bald werden knacken lassen.
(Quelle: Jens Stark / NMGZ )
Quantenrechner sind ein zweischneidiges Schwert. Einerseits bieten diese Systeme ein fast grenzenloses Potenzial, um bislang unlösbare oder sehr aufwendige Rechenvorhaben wie etwa in der Bioinformatik angehen zu können. Andererseits ist die heute zur Anwendung gelangende Kryptografie akut gefährdet. «Die heutige Kryptografie hat ein Ablaufdatum», meint denn auch Michael Osborne, Leiter der Security Research Group am IBM-Forschungslabor Rüschlikon. «Wir wissen zwar nicht, wann sie genau ausgehebelt sein wird. Wir wissen nur, dass dies kommen wird», warnt er während eines Medienanlasses von IBM Schweiz in Zürich.
Grund zu dieser Warnung gibt die rasante Entwicklung in der Quantentechnik. Noch vor fünf Jahren sei daran gezweifelt worden, dass Quantencomputing je über eine rein akademische Übung hinausführen werde, so Osborne. Heute kann gemäss dem Security-Forscher konstatiert werden, dass das Fundament gelegt worden ist, um bald konkrete Anwendungen mit Quantenrechnern zu realisieren. Denn mittlerweile habe das Quanten-Computing eine regelrechte Eigendynamik entwickelt mit immer leistungsfähigeren Rechnern weltweit, berichtet Osborne.
Die hinter der Entwicklung steckende Dynamik ist im Vergleich zur klassischen Elektronik atemberaubend. «Während gemäss Moores Gesetz die Verdopplung der Transistoren auf einem Chip die Verdopplung der Leistung bedeutet, reicht bei Quantensystemen ein einziges zusätzliches Quantenbit, um den gleichen Effekt zu erzielen, also eine Verdopplung der Rechenleistung», führt Osborne aus.

Kryptoschlüssel im Nu geknackt

Die Auswirkungen dieser Rechenpower auf das Knacken von Verschlüsselungsverfahren ist enorm. Diesen liegen mathematische Probleme wie die Faktorisierung von Primzahlen zugrunde. Um etwa den privaten aus dem öffentlichen Schlüssel zu ermitteln, muss «gepröbelt» werden. Je nach Schlüsselstärke brauchen heutige Computer für solche Angriffe Millionen oder Milliarden von Jahren.
Ganz anders Quantencomputer. Gemäss Osborne sind sie nicht nur leistungsfähiger, für sie sind die mathematischen Probleme hinter einer Verschlüsselung einfacher zu lösen als für klassische Rechner. «Es gibt Prognosen, die besagen, dass Quantencomputer für das Knacken von typischen asymmetrischen Schlüsseln Wochen oder Monate benötigen statt Jahrmillionen», berichtet er.
Somit könnten Verfahren wie RSA (Rivest-Shamir-Adleman) und ECC (Elliptic Curve Cryptography) – bestehend aus einem öffentlichen und privaten Schlüssel – bereits als gebrochen gelten. Symmetrische Kryptografiemethoden wie AES (Advanced Encryption Standard) sind dagegen noch relativ sicher. Allerdings ist ein solcher Schlüssel bei einer Attacke durch einen Quantencomputer nur noch halb so sicher. Ein 256 Bit starker AES-Key ist für Quantensysteme so schwierig zu knacken wie ein 128-Bit-Schlüssel für klassische Rechner.

Die Zeit läuft davon

Viel Zeit bleibt also nicht mehr, um heutige Verschlüsselungsverfahren durch Methoden zu ersetzen, die vor dem Ansturm der Quantenrechenkraft standhalten können. «Wie lange uns noch Zeit bleibt, hängt davon ab, wie rasch sich das Quantencomputing in den nächsten Jahren weiterentwickeln wird. Im schlimmsten Fall bleibt uns noch 5 Jahre, im besten Fall 25 Jahre, bis heutige Verfahren von Quantenrechnern geknackt werden können», so die Prognose des IBM-Forschers.
Teil des Verdünnungskühlsystems für den Quantencomputer am IBM-Forschungslabor, der die Qubits auf Bruchteile eines Grad Kelvin (0,015 °K) herunterkühlt
(Quelle: Graham Carlow / IBM Research)
Höchste Zeit also, Kryptografie-Verfahren zu implementieren, an denen sich auch Quantencomputer die Zähne ausbeissen werden. Die Forschung spricht hier von Post Quantum Cryptography (PQC). «Das ist eigentlich eine unglückliche Bezeichnung, da sie den Eindruck vermittelt, dass sie erst relevant wird, wenn ein entsprechender Quantenrechner existiert. Besser wäre von quantenresistenter Kryptografie zu sprechen», sagt Osborne.
Denn schliesslich handle es sich um existierende Verfahren, die bereits auf heutigen Rechnern anwendbar und gegen die lauernde Gefahr durch Quantenrechner gewappnet seien, so der Wissenschaftler weiter. «PQC darf auch nicht mit Quantenkryptografie verwechselt werden», betont er. Dies seien Verschlüsselungsverfahren, die auf Quantenrechnern selbst ausgeführt werden.
Im Gegensatz dazu existieren PQC-Verfahren schon länger, sie sind einfach nicht so verbreitet. «Das liegt hauptsächlich daran, dass die bestehenden Kryptoverfahren so praktisch sind», meint Osborne. Die PQC-Verfahren seien dagegen ein wenig komplizierter, aber sehr wohl seit längerer Zeit gut erforscht.

Gittervektoren sollen es richten

Am IBM-Forschungslabor ist man derzeit daran, ein PQC-Verfahren genauer unter die Lupe zu nehmen und weiterzuentwickeln, das auf Basis von Gittervektorproblemen (englisch: Lattice-based cryptography) funktioniert. Namentlich werden SVP (Shortest Vector Problem) und CVP (Closest Vector Problem) als «harte» mathematische Aufgaben für die Verschlüsselung beigezogen.
Grösstes Problem ist allerdings nicht die Technik an sich. Osborne macht vielmehr die langwierige Standardisierung zu schaffen. So seien Entwürfe für die Implementierung von PQC-Verfahren bei der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) eingereicht mit der Aussicht, bis 2023 den Normierungsprozess durchlaufen zu haben. «Dann könnte es schon zu spät sein, um die entsprechenden Verfahren rechtzeitig zu implementieren», befürchtet Osborne. IBM sei deshalb mit anderen Unternehmen aus der Branche daran, einen Industrie-Standard auszuarbeiten.


Das könnte Sie auch interessieren