Quantencomputing wird in einigen Jahren die Leistung klassischer Computer potenzieren – und nach Ansicht vieler IT-Experten spätestens bis zum Jahr 2030 die auf Verschlüsselung basierenden kryptografischen Schutzmaßnahmen gegen Cyberangriffe außer Gefecht setzen. Sicherheitsforscher fordern daher eine breite Umstellung auf quantenresistente Kryptografie, die sogenannte Post-Quantum-Kryptografie.
Erst kürzlich stellte der IT-Sicherheitsspezialist Entrust auf einem Branchenevent neue Erkenntnisse zum Thema Sicherheit im Post-Quantum-Zeitalter vor. Hier sollte insbesondere die Frage geklärt werden, worauf sich Unternehmen in naher Zukunft einstellen müssen und was sie heute bereits tun können, um künftige Risiken so gering wie möglich zu halten.
Einige der wichtigsten Erkenntnisse:
Was ist Quanteninformatik?
Quantencomputing ist ein Bereich der Informatik, der sich auf die Entwicklung von Computertechnologien konzentriert, die auf den Grundsätzen der Quantentheorie basieren. Diese erklärt das Verhalten von Energie und Material auf atomarer und subatomarer Ebene.
Klassische Computer können Informationen nur in Bits kodieren, die den Wert 1 oder 0 annehmen. Dies schränkt ihre Fähigkeiten ein. Quantencomputing verwendet hingegen Quantenbits oder Qubits – und nutzt damit die einzigartige Eigenschaft subatomarer Teilchen, in mehr als einem Zustand zu existieren, d. h. eine 1 und eine 0 zur gleichen Zeit zu sein. Die künftigen Supercomputer nutzen mit Superposition und Verschränkung zwei Konzepte der Quantenphysik und sind dadurch in der Lage, Operationen mit exponentiell höherer Geschwindigkeit als herkömmliche Computer durchzuführen, und das bei wesentlich geringerem Energieverbrauch.
Längerfristig ist davon auszugehen, dass Quantencomputer die momentan für die Verschlüsselung verwendeten asymmetrischen Algorithmen durch Brute-Force-Angriffe unwirksam machen werden – indem sie die Zeit, die zum Brechen eines bestehenden Verschlüsselungsalgorithmus benötigt wird, dramatisch verkürzen. So könnten Brute-Force-Angriffe in wenigen Minuten statt in Jahren zum Erfolg führen.
Post-Quantum-Kryptographie und ihre Auswirkungen auf die Wirtschaft
Mit der Post-Quanten-Kryptographie ist die Entwicklung neuartiger kryptographischer Ansätze gemeint, die mit den klassischen Computern von heute implementiert werden können, aber unempfindlich gegenüber Angriffe durch Quantencomputer von morgen sind.
Heute ist der Datenverkehr im Internet durch Verschlüsselungsalgorithmen mit Public Keys gesichert, die von Quantencomputern geknackt werden können. Um diesem Risiko zu begegnen, sind jetzt Abhilfestrategien erforderlich. Daten und Informationen, die in fünf Jahren oder mehr noch sicher sein müssen, müssen heute geschützt werden.
Derzeit arbeitet das National Institute of Standards and Technology (NIST) daran, die besten quantensicheren Algorithmen zu identifizieren – also diejenigen, die mit geringster Wahrscheinlichkeit durch Quantenverfahren gebrochen werden können. So basiert die bestehende Kryptographie mit Public Keys auf der Schwierigkeit der Faktorisierung und der Berechnung diskreter Logarithmen mit elliptischen Kurven. Diese beiden Probleme können jedoch von einem ausreichend großen Quantencomputer leicht und effizient gelöst werden. Daher wird nun nach neuen Verschlüsselungsansätzen gesucht und an Kryptosystemen gearbeitet, deren Sicherheit auf noch schwierigeren mathematischen Problemen beruht, die auch von einem Quantencomputer nicht gelöst werden können. Dazu gehört die Entwicklung von Algorithmen, die auf symmetrischen und Hash-basierten Schemata beruhen oder andere Ansätze wie codebasierte, gitterbasierte und multivariate Kryptografie verwenden.
Forderung nach „hybriden“ oder „dualen“ Modi
Mit seinen Forschungen hat das NIST die Notwendigkeit von hybriden und dualen Signaturen für den Übergang zu neuen PQ-Algorithmen bestätigt. Hybride Ansätze werden grob als Methoden beschrieben, die eine klassische Krypto- und eine Post-Quantum-Kryptokomponente in eine Lösung integrieren. Diese Verfahren bieten Schutz vor weiteren kryptoanalytischen Durchbrüchen, bis ausreichend Vertrauen in Post-Quantum-Computing erreicht ist. Eine Hybridisierung bringt jedoch viele Herausforderungen bei der Implementierung in der vertrauten Infrastruktur mit sich.
Um die Industrie zu einem leichteren Übergang zu führen, müssen Standards fortlaufend verbessert werden. Derzeit wartet die Industrie auf die Empfehlungen des NIST, die jedoch nicht vor Ende 2022-2023 erwartet werden.
Die vom NIST vorgestellten Algorithmen müssen erst noch von Wissenschaftlern und der Industrie geprüft werden. Dennoch sollten sicherheitsbewusste Organisationen jetzt bereits mit Vorbereitungen beginnen, um für eine Post-Quantum-Zukunft gerüstet zu sein. Dazu gehört zum Beispiel die Durchführung einer Due-Diligence-Prüfung, bei der eine mögliche Übernahme der gelisteten Algorithmen in das bestehende kryptographische Ökosystem untersucht wird.
Cryptographic Center of Excellence
Um ihre Kunden auf die kommenden Herausforderungen durch Post-Quantum-Sicherheitsbedrohungen vorzubereiten, arbeiten Anbieter im Bereich IT-Sicherheit und Verschlüsselung mit Hochdruck an möglichen Lösungen. Entrust etablierte zu diesem Zweck ein eigenes Cryptographic Center of Excellence – ein Expertenteam, das Unternehmen dabei hilft, Risiken zu identifizieren und Krypto-Strategien für eine erhöhte digitale Sicherheit zu etablieren. Das Cryptographic Center of Excellence geht über rein technologische Ansätze hinaus und stellt eine zentrale Anlaufstelle für alle Krypto- und PKI-Angelegenheiten dar – hier geht es neben der Technologie auch um die Beratung von Projekten und Teams, um Unterstützung bei der Einhaltung von Richtlinien und um Fragen hinsichtlich Konvergenz und Management von Krypto, Schlüsseln, Unternehmensgeheimnissen und Zertifikaten.
Obwohl Quantencomputer heute auf der Tagesordnung großer Unternehmen zu stehen scheinen, sind viele Organisationen immer noch nicht wirklich auf die Herausforderungen und Möglichkeiten vorbereitet, die Quantencomputer mit sich bringen. Post-Quantum-Computing stellt eine absehbare Bedrohung für die Cybersicherheit dar – auch wenn derzeit noch unklar ist, wann diese Bedrohung tatsächlich real wird. Allgemein wird erwartet, dass sie innerhalb des nächsten Jahrzehnts eintritt. Es ist noch Zeit, zu planen und bestmögliche Vorbereitungen zu treffen – aber da die Umstellung auf quantensichere Algorithmen mehrere Jahre dauern kann, ist jetzt der beste Zeitpunkt, um sich auf das Post-Quantum-Zeitalter vorzubereiten. Insbesondere in Branchen mit hohen Datenschutz- und Compliance-Verpflichtungen sollte nun damit begonnen werden.