Schon im Jahr 2016 führten Artikel über Quantencomputer zu Unsicherheiten hinsichtlich der Datensicherheit für den Fall, dass ausreichend leistungsfähige Quantencomputer gebaut werden könnten. Dieser Artikel soll versuchen, etwas Licht in die Situation zu bringen.
Was ist Quantencomputer?
Quantencomputing ist die Anwendung quantenmechanischer Prinzipien zur Durchführung von Berechnungen. Insbesondere nutzt das Quantencomputing Quantenzustände subatomarer Teilchen wie Überlagerung und Verschränkung, um Quantencomputer zu erstellen. Bei der Anwendung auf Quantencomputern mit ausreichender Leistung können bestimmte Algorithmen Berechnungen viel schneller durchführen als klassische Computer und sogar Probleme lösen, die außerhalb der Reichweite der aktuellen Computertechnologie liegen. Infolgedessen besteht weltweit ein erhöhtes Interesse von Regierungen und Industrien an der Entwicklung von Quantencomputern. Jüngste Fortschritte im Quantencomputing, wie der Quantum Heron-Prozessor von IBM, haben die Fehlerreduzierung erheblich verbessert und sind ein Beleg für die raschen Fortschritte auf diesem Gebiet. Die Einführung des IBM Quantum System Two, das mit diesen fortschrittlichen Prozessoren ausgestattet ist, markiert einen Sprung in Richtung praktisches quantenzentriertes Supercomputing.
Klassisches vs. Quantencomputing
Das klassische Rechnen basiert auf Bits, die Einsen und Nullen durch elektrische Ströme in Schaltkreisen darstellen, um komplexe Probleme zu lösen. Quantencomputing nutzt Qubits wie die in IBM Quantum Heron und übertrifft das klassische Computing in puncto Rechenleistung durch verbesserte Fehlerkorrektur und Qubit-Stabilität. Im Gegensatz zu Bits können Qubits in Überlagerung existieren und gleichzeitig Eins und Null verkörpern. Diese Fähigkeit ermöglicht es einem einzelnen Qubit, zwei Zustände gleichzeitig darzustellen, und mit jedem zusätzlichen Qubit verdoppeln sich die darstellbaren Zustände exponentiell („2^n“ für n Qubits). Beispielsweise kann ein Quantencomputer mit zehn Qubits 1024 Zustände darstellen, im Gegensatz zu 10 Bits im klassischen Rechnen. Quantenverschränkung, ein komplexes und noch nicht vollständig verstandenes Phänomen, ermöglicht die Verbindung von Qubits und erhöht so die Recheneffizienz. Durch die Nutzung von Superposition und Verschränkung arbeiten Quantencomputer in mehrdimensionalen Räumen und führen im Gegensatz zum sequentiellen Ansatz im klassischen Rechnen parallele Berechnungen durch. Diese fortschrittliche Rechenkapazität ermöglicht es Quantencomputern, Probleme zu lösen, die über die Möglichkeiten klassischer Computer hinausgehen, wie beispielsweise die genaue Simulation molekularer Wechselwirkungen bei chemischen Reaktionen. Dies hat weitreichende Auswirkungen auf Wissenschaft und Technologie, einschließlich der Möglichkeit, Probleme viel schneller als mit klassischen Computern zu lösen, was Auswirkungen auf Bereiche wie die Kryptographie hat.Wie kann Quantencomputing die Kryptographie beeinflussen?
Wie oben erörtert, basiert die Kryptographie auf der Existenz hartnäckiger mathematischer Probleme, was nicht bedeutet, dass sie unlösbar sind, sondern dass die Zeit und die Ressourcen, die für ihre Umkehrung erforderlich sind, sie praktisch sicher machen.
Quantencomputing verändert dieses Ökosystem, indem es die zur Lösung solcher Probleme benötigte Zeit durch die Anwendung spezifischer Algorithmen minimiert.
Zum Beispiel der Algorithmus, der von entdeckt wurde Zusammen mit den Auswirkungen von Algorithmen wie dem von Shor im Zusammenhang mit fortschrittlichen Quantenprozessoren wie dem Quantum Heron von IBM unterstreichen sie den unmittelbaren Bedarf an quantenresistenten kryptografischen Systemen.
„Im Jahr 1994 zeigte Peter Shor von den Bell Laboratories, dass Quantencomputer, eine neue Technologie, die die physikalischen Eigenschaften von Materie und Energie nutzt, um Berechnungen durchzuführen, jedes dieser Probleme effizient lösen können, wodurch alle auf solchen Annahmen basierenden Public-Key-Kryptosysteme wirkungslos werden.“ Daher wird ein ausreichend leistungsfähiger Quantencomputer viele Formen der modernen Kommunikation – vom Schlüsselaustausch über die Verschlüsselung bis zur digitalen Authentifizierung – in Gefahr bringen.“
Kurz gesagt, ein Quantencomputer mit ausreichender Leistung könnte die Public-Key-Infrastruktur zum Absturz bringen, was eine Neugestaltung des gesamten Cybersicherheits-Ökosystems erforderlich macht.
Aktuelle Anwendungen der Post-Quanten-Kryptografie werden im Verbraucherbereich beobachtet, wie beispielsweise die Unterstützung eines PQC-Algorithmus durch Chrome, was auf die praktischen Auswirkungen des Quantencomputings auf aktuelle kryptografische Systeme hinweist.
Aber das ist nicht alles. Ein weiterer Algorithmus, dieser von ” kann eine Bedrohung für die symmetrische Kryptographie darstellen, wenn auch nicht so schwerwiegend wie die von Shor. Bei der Anwendung auf einen ausreichend leistungsstarken Quantencomputer ermöglicht Grovers Algorithmus das Knacken symmetrischer Schlüssel mit vierfacher Geschwindigkeit im Vergleich zum klassischen Rechnen. Eine deutliche Verbesserung, der durch die Verwendung größerer Schlüssel und die Beibehaltung des aktuellen Sicherheitsniveaus entgegengewirkt wird.
Kommt bald Quantencomputing?
Die Physik hat bewiesen, dass Quantencomputer machbar sind. Nun, es ist ein technisches Problem, wenn auch ein sehr schwieriges. Der Bau von Quantencomputern beinhaltet den Einsatz modernster Technologien wie unter anderem Suprafluide und Supraleiter. Die Herausforderung, ein stabiles und skalierbares quantenmechanisches System zu schaffen, ist immens und führt dazu, dass Teams auf der ganzen Welt unterschiedliche Wege gehen. Es gibt verschiedene Arten von Quantencomputern, darunter das Quantenschaltungsmodell, die Quanten-Turing-Maschine, den adiabatischen Quantencomputer, den Einweg-Quantencomputer und verschiedene zelluläre Quantenautomaten. Am weitesten verbreitet ist die Quantenschaltung.
Ein bedeutendes Problem bei jedem Modell von Quantencomputern besteht darin, dass Qubits naturgemäß nach der Messung ihren Überlagerungsstatus verlieren und daher sehr empfindlich gegenüber Störungen von außen sind. Daher ist es für Qubits eine Herausforderung, ihre Quantenzustände beizubehalten. Einige Lösungen umfassen die Verwendung von Ionenfallen, aber eine vollständige Eliminierung externer Störungen ist wahrscheinlich nicht erreichbar. Daher ist eines der wichtigsten Probleme bei der Entwicklung von Quantencomputern ein robuster Fehlerkorrekturmechanismus.
Mit jüngsten Durchbrüchen, wie den Fortschritten von IBM im Quantencomputing, hat sich das Gebiet über theoretische Modelle hinaus hin zu praktischeren und leistungsfähigeren Quantensystemen entwickelt und rückt das Quantenzeitalter näher als bisher angenommen.
Das große Bild ist, dass gerade jetzt ein Durchbruch stattfinden könnte oder es einige Jahre dauern könnte, bis ein funktionierender Prototyp mit ausreichender Rechenleistung erstellt wird. Es gibt bereits einige Prototypen, wobei IBM Q System One der bekannteste ist, aber ihre Rechenleistung ist noch zu gering, um ein Problem für kryptografische Systeme zu sein. Natürlich darf sich die Cybersecurity-Community auf keinen Fall entspannen. Selbst wenn wir ein effizientes Post-Quanten-Sicherheitssystem hätten, ist die Migration des gesamten Ökosystems auf diesen neuen Standard eine riesige Aufgabe. Folglich werden mehrere Anstrengungen unternommen, um für das Post-Quanten-Zeitalter gerüstet zu sein.
Vielversprechende Technologien für die Post-Quantum-Ära
Je näher wir der weit verbreiteten Anwendung der Quantentechnologie kommen, die durch Fortschritte wie das Quantum System Two von IBM belegt wird, desto größer wird die Notwendigkeit einer quantenresistenten Technologie PKI wird mit der zunehmenden Verbreitung der Quantencomputertechnologie immer dringlicher. Im Folgenden werden wir versuchen, die vielversprechendsten Technologien zusammenzufassen und einen kurzen Überblick über die laufenden gemeinsamen Projekte zur Etablierung der Post-Quanten-Kryptographie sowie über die bevorstehenden Herausforderungen zu geben.
Familien von Post-Quanten-Algorithmen
Die Forschung der letzten 15-20 Jahre hat die Existenz von Algorithmen bewiesen, die gegen Quantenangriffe resistent sind. Im Folgenden geben wir eine kurze Beschreibung der vielversprechendsten Algorithmusfamilien, die eine Lösung für die Sicherheit in einer Post-Quanten-Welt bieten könnten.
Codebasierte Kryptographie
Jüngste Entwicklungen in diesem Bereich: Die codebasierte Kryptografie verwendet fehlerkorrigierende Codes, um eine Public-Key-Kryptografie zu erstellen. Es wurde erstmals 1978 von Robert McEliece vorgeschlagen und ist einer der ältesten und am besten erforschten asymmetrischen Verschlüsselungsalgorithmen. Ein Signaturschema kann auf der Grundlage des Niederreiter-Schemas, der dualen Variante des McEliece-Schemas, konstruiert werden. Das McEliece-Kryptosystem hat sich bisher der Kryptoanalyse widersetzt. Das Hauptproblem des ursprünglichen Systems ist die große Größe des privaten und öffentlichen Schlüssels.
Hash-basierte Kryptographie
Mit der zunehmenden Implementierung in praktische Anwendungen stellt die Hash-basierte Kryptographie einen vielversprechenden Post-Quanten-Kryptographie-Ansatz für digitale Signaturen dar. Hash-Funktionen sind Funktionen, die Zeichenfolgen beliebiger Länge auf Zeichenfolgen fester Länge abbilden. Sie gehören zu den älteren Public-Key-Kryptographieverfahren und ihre Sicherheitsbewertungen gegen klassische und quantenbasierte Angriffe sind gut bekannt. Hash-Funktionen gehören bereits zu den am weitesten verbreiteten kryptografischen Werkzeugen. Es war bekannt, dass sie lange Zeit als einziges Werkzeug zum Aufbau der Public-Key-Kryptographie verwendet werden konnten. Darüber hinaus ist die Hash-basierte Kryptografie flexibel und kann unterschiedliche Leistungserwartungen erfüllen. Der Nachteil besteht darin, dass Hash-basierte Signaturschemata hauptsächlich zustandsbehaftet sind, was bedeutet, dass der private Schlüssel nach jeder Verwendung aktualisiert werden muss; andernfalls ist die Sicherheit nicht gewährleistet. Es gibt Hash-basierte Schemata, die zustandslos sind, aber sie gehen mit längeren Signaturen, größeren Verarbeitungszeiten und der Notwendigkeit einher, dass der Unterzeichner bestimmte Informationen im Auge behalten muss, etwa wie oft ein Schlüssel zum Erstellen einer Signatur verwendet wurde.
Gitterbasierte Kryptographie
Die gitterbasierte Kryptografie, die derzeit für fortgeschrittenere kryptografische Lösungen in Betracht gezogen wird, ist ein besonderer Fall der auf Teilmengensummenproblemen basierenden Kryptografie und wurde erstmals 1996 von Ajtai eingeführt. Es ist der Oberbegriff für kryptografische Grundelemente, die mithilfe von Gittern erstellt werden. Einige dieser Konstruktionen scheinen sowohl gegen Quanten- als auch gegen klassische Computerangriffe resistent zu sein. Darüber hinaus verfügen sie über weitere attraktive Funktionen, wie z. B. den Härtegrad im ungünstigsten Fall. Sie zeichnen sich außerdem durch Einfachheit und Parallelität aus und sind vielseitig genug, um robuste kryptografische Schemata zu erstellen. Schließlich sind sie die einzige Algorithmenfamilie, die alle drei Arten von Grundelementen enthält, die zum Aufbau einer Post-Quantum-Public-Key-Infrastruktur erforderlich sind: Public-Key-Verschlüsselung, Schlüsselaustausch und digitale Signatur.
Multivariate Kryptographie
Multivariate Kryptographie bezieht sich auf Kryptographie mit öffentlichen Schlüsseln, deren öffentliche Schlüssel eine multivariate und nichtlineare (normalerweise quadratische) Polynomabbildung darstellen. Die Lösung dieser Systeme hat sich als NP-vollständig erwiesen, was diese Familie von Algorithmen zu guten Kandidaten für die Post-Quanten-Kryptographie macht. Gegenwärtig haben sich multivariate Verschlüsselungsschemata als weniger effizient als andere Schemata erwiesen, da sie beträchtliche öffentliche Schlüssel und lange Entschlüsselungszeiten erfordern. Auf der anderen Seite erwiesen sie sich als besser geeignet zum Erstellen von Signaturschemata, da sie die kürzesten Signaturgrößen unter den Post-Quanten-Algorithmen bieten, obwohl sie ziemlich große öffentliche Schlüssel erfordern.
Isogenie-basierte Kryptographie
Isogenie-basierte Kryptografie verwendet Karten zwischen elliptischen Kurven, um eine Kryptografie mit öffentlichem Schlüssel zu erstellen. Der Algorithmus, der ein Kandidat für die Post-Quanten-Kryptographie ist, ist der 2011 eingeführte Supersingular Isogeny Diffie-Hellman Key Exchange (SIDH), was dieses Schema zum jüngsten unter den Kandidaten macht. SIDH erfordert einen der kleinsten Schlüssel unter den vorgeschlagenen Schlüsselaustauschschemata und unterstützt eine perfekte Vorwärtsgeheimhaltung. Aufgrund seines relativ jungen Alters gibt es jedoch nicht viele Systeme, die auf diesem Konzept basieren, und es gab nicht viel, um ihre möglichen Schwachstellen zu untersuchen.
Projekte zur Post-Quanten-Kryptographie
Es gibt verschiedene Arbeitsgruppen für Post-Quanten-Kryptographieverfahren, wie das Open Quantum Safe (OQS)-Projekt und ENISA. Die kohärenteste Initiative ist jedoch das NIST Post-Quantum Cryptography Standardization Project, das seit 2021 erhebliche Fortschritte gemacht hat, wobei sich neue Algorithmen als Vorreiter für die Industriestandardisierung im Post-Quantum-Zeitalter herauskristallisieren. Der Prozess begann mit 69 Kandidatenalgorithmen, von denen 26 in die zweite Bewertungsrunde gelangten. Im Juli 2020 wurden die Kandidaten für die dritte Runde bekannt gegeben, wie in der folgenden Tabelle dargestellt. Insgesamt gibt es sieben Finalisten und acht Alternativkandidaten. In der Tabelle wird vermerkt, ob sie für Verschlüsselungs- oder Signaturschemata in Betracht gezogen werden, die Algorithmenfamilie und das schwierige Problem, auf dem sie basieren.
| Schema | Enc/Sig | Familie | Schweres Problem |
|---|---|---|---|
| Klassische McEliece | Enz | Codebasiert | Entschlüsseln von zufälligen binären Goppa-Codes |
| Kristalle-Kyber | Enz | Gitterbasiert | Zyklotomisches Modul-LWE |
| NTRU | Enz | Gitterbasiert | Zyklotomisches NTRU-Problem |
| Säbel | Enz | Gitterbasiert | Zyklotomisches Modul-LWR |
| Kristalle-Dilithium | Sig | Gitterbasiert | Zyklotomisches Modul-LWE und Modul-SIS |
| Falke | Sig | Gitterbasiert | Zyklotomischer Ring-SIS |
| Regenbogen | Sig | Multivariat-basiert | Öl-und-Essig-Trapdoor |
Runde 3 Alternative Kandidaten
| Schema | Enz./Sig | Familie |
|---|---|---|
| BIKE | Enz | Codebasiert |
| Hauptquartier | Enz | Codebasiert |
| Frodo-KEM | Enz | Gitterbasiert |
| NTRU-Prime | Enz | Gitterbasiert |
| SIKE | Enz | Isogenie-basiert |
| GeMSS | Sig | Multivariat-basiert |
| Picknick | Sig | Symmetrische Krypto |
| SPHINCS + | Sig | Hash-basiert |
Die Bewertung des Algorithmus basierte auf den drei unten aufgeführten Kriterien.
-
Sicherheit: Dies ist das wichtigste Kriterium. NIST hat mehrere Faktoren festgelegt, die bei der Bewertung der von jedem Kandidatenalgorithmus gebotenen Sicherheit berücksichtigt werden müssen. Neben der Quantenresistenz von Algorithmen hat NIST auch weitere Sicherheitsparameter definiert, die nicht Teil des aktuellen Cybersicherheits-Ökosystems sind. Das ist absolute Vorwärtsgeheimhaltung,
-
Kosten und Leistung: Die Algorithmen werden anhand ihrer Leistungsmetriken wie Schlüsselgrößen, Recheneffizienz von Operationen und Generierung öffentlicher und privater Schlüssel sowie Entschlüsselungsfehler bewertet.
-
Algorithmus- und Implementierungsmerkmale: Unter der Annahme, dass die Algorithmen insgesamt eine gute Sicherheit und Leistung bieten, werden sie anhand ihrer Flexibilität, Einfachheit und Benutzerfreundlichkeit bewertet (z. B. ob geistiges Eigentum für den Algorithmus vorhanden ist oder nicht).
Kryptografische Agilität
Ein wichtiges Paradigma beim Entwurf von Informationssicherheitsprotokollen ist die kryptografische Agilität. Es schreibt vor, dass Protokolle mehrere kryptografische Grundelemente unterstützen müssen, sodass die Systeme, die einen bestimmten Standard implementieren, auswählen können, welche Kombinationen von Grundelementen geeignet sind. Das Hauptziel der kryptografischen Agilität besteht darin, die schnelle Anpassung anfälliger kryptografischer Primitive und Algorithmen an robuste zu ermöglichen, ohne störende Änderungen an der Systeminfrastruktur vorzunehmen. Dieses Paradigma erweist sich als entscheidend für das Design der Post-Quanten-Kryptographie und erfordert zumindest eine teilweise Automatisierung. Beispielsweise verfügt ein durchschnittliches Unternehmen über Hunderttausende Zertifikate und Schlüssel – Tendenz steigend. Bei so vielen Zertifikaten müssen Unternehmen automatisierte Methoden einsetzen, um diese Zertifikate schnell zu ersetzen, wenn die Kryptografie, auf die sie sich verlassen, unsicher wird.
Eine hervorragende erste Maßnahme für Unternehmen ist die Einführung einer Hybridkryptografie, bei der quantensichere Public-Key-Algorithmen neben traditionellen Public-Key-Algorithmen (wie RSA oder elliptische Kurven) verwendet werden, sodass die Lösung mindestens nicht weniger sicher ist als die bestehenden traditionellen Kryptographie.
Looking Ahead
Quantencomputing wandelt sich von einer theoretischen Möglichkeit zur praktischen Realität, was durch die jüngsten Entwicklungen bei Quantenprozessoren und -systemen veranschaulicht wird. Folglich muss sich der Bereich Cybersicherheit schnell an diese Veränderungen anpassen.
