Quantensicherheit: Hype vs. Realität

21. August 2020, 14:56
  • innovation
  • security
  • datenschutz
  • quantencomputing
image

Wie schützt man verschlüsselten Datenverkehr am besten gegen zukünftige Angriffe durch Quantencomputer?

Seit mittlerweile Jahrzehnten werden Quantencomputer als massives Risiko für die aktuellen asymmetrischen Schlüsselaustauschverfahren wie Diffie-Hellman und RSA hochstilisiert. Quantencomputer sind allerdings trotz jahrzehntelanger massiver finanzieller Förderung noch immer im Embryonalstadium. Für die nächsten paar Jahre darf davon ausgegangen werden, dass es keinen Quantencomputer geben wird, der eine ernstzunehmende Gefahr für die aktuellen asymmetrischen Schlüsselaustauschverfahren darstellt. Es besteht allerdings das Risiko, dass Datenverkehr aufgezeichnet wird und später bei Verfügbarkeit eines tauglichen Quantencomputers geknackt werden kann. Das gilt jedoch nur für die aktuellen asymmetrischen Schlüsselaustauschverfahren und für symmetrische Schlüssel mit weniger als 256 bit Schlüssellänge. Eine detaillierte Betrachtung dazu gibt es im Artikel "Droht die Quantenapokalypse?". Studien des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Thematik findet sich hier.

Schutz vor Quantencomputern

Will man sich gegen erfolgreiche Angriffe auf Schlüsselaustausch und verschlüsselte Daten sowohl von klassischen wie auch Quantencomputer schützen, gibt es grundsätzlich vier Möglichkeiten:
1. Symmetrischer Schlüsselaustausch
Vollsymmetrische Verfahren bedingen einerseits das vorherige Verteilen eines mit den anderen Teilnehmern geteilten Geheimnisses. Der gravierende Nachteil liegt im Fehlen der Perfect Forward Secrecy. Wird das geteilte Geheimnis bekannt, kann sämtliche vorher aufgezeichnete Kommunikation entschlüsselt werden.
2. Symmetrische Verschlüsselung des asymmetrischen Schlüsselaustauschs
Symmetrische Verschlüsselung mit genügend langen Schlüsseln ist quantensicher. Mit einer symmetrischen Signatur lässt sich ein asymmetrisches Schlüsselaustauschverfahren symmetrisch absichern. Dies ist die effizienteste Methode für Netzwerkverschlüsselung, sie ist aber nur für statische Standortvernetzungen praktikabel.
3. QKD (Quantum Key Distribution)
QKD übermittelt die Schlüssel als Photonen über eine optische Verbindung. Die Maximaldistanz liegt bei unter 200 Kilometern. Auch QKD ist nur für statische Standortvernetzungen praktikabel, bedingt aber dazu eine optische Verbindung. Die gravierendsten Nachteile sind das Erfordernis einer optischen Verbindung, die geringe Distanz und die Kosten. Da die Methode nicht über Paketnetzwerke wie Ethernet oder IP funktioniert, ist der Einsatz auf optische Layer 1-Netzwerke beschränkt.
4. PQC (Post-Quantum Cryptography)
Eine allgemein einsetzbare Lösung bietet die Verwendung von Schlüsselaustauschverfahren, die auch gegen Angriffe durch Quantencomputer resistent sind. Mehrere solcher Verfahren sind verfügbar, doch ist bisher deren Resistenz gegen Angriffe durch Quantencomputer noch nicht erwiesen. Es gibt erste Systeme, die PQC bereits implementieren. Eines der ersten war ein Layer-3 (IP)-Verschlüssler, der von VDOM Research unter Verwendung von Kyber1024 entwickelt wurde und in Russland bei mehreren Organisationen im Einsatz ist. Mittlerweile gibt es auch etablierte Anbieter wie Atmedia, Secunet und Securosys, die optional die Unterstützung von Frodo, einem quantensicheren Schlüsselaustauschverfahren anbieten. Generell gilt aber festzuhalten, dass die gewählten Verfahren in der aktuellen Form nicht dem entsprechen, was in ein paar Jahren weitläufig eingesetzt werden wird. Aktuell sind die Verfahren noch nicht völlig ausgereift und geprüft. Sowohl in den USA (NIST) als auch in China läuft zurzeit ein Wettbewerb, der zur Standardisierung von PQC-Algorithmen führen soll.

Wieso QRNG (Quantum Random Number Generator) nichts nützen

Zufallszahlengeneratoren generieren Zufallszahlen. Dafür braucht es eine gute Entropiequelle und die ist bei einem QRNG durchaus vorhanden. Nur schützt die Zufallszahl mit guter Entropie nicht im geringsten vor Angriffen durch Quantencomputer und ist deshalb auch nicht quantensicher. Es gibt zudem viele andere Möglichkeiten für eine gute Entropiequelle.

Überforderte Sicherheitsspezialisten in der IT-Branche

Liest man die entsprechenden Ankündigungen, so kommt man unweigerlich zum Schluss, dass auch "Sicherheitsexperten" wie Fortinet oder Thales weder QKD noch QRNG richtig begriffen haben, aber die Begriffe marketingtechnisch ausschlachten. Weder Fortinet noch Thales verfügen über Layer-1-Verschlüssler, welche für die Kombination von optischen Netzwerken und kurze Distanzen die vernünftigste Lösung wären. Über längere Distanz funktioniert QKD nicht. Und das Betreiben eines optischen Netzwerks nur um den Schlüsselaustausch über Photonen realisieren zu können, ergibt keinen Sinn. Die symmetrische Überschlüsselung des asymmetrischen Schlüsselaustauschs ist kostengünstiger, funktioniert auch mit Paketnetzwerken und ist quantensicher.
Wie gering das praktische Denken und der Wissensstand sind, zeigen auch die Bestrebungen für ein Quantum Internet. Das Internet ist ein Paketnetzwerk und QKD braucht ein optisches Netzwerk. Da wird eine grosse Menge an Forschungsgeldern verschleudert, die besser anderweitig eingesetzt würden.

Migration zu Post-Quanten Kryptografie

Irgendwann wird es leistungsstarke Quantencomputer geben. Darauf sollte man sich vorbereiten. Das BSI hat Handlungsempfehlungen  veröffentlicht, die sich am Stand der Technik und an der Vernunft orientieren. Sie bieten eine gute Übersicht zu den bereits vorhandenen Möglichkeiten und zeigen auf, wie eine Migration zu PQC möglich ist.
Christoph Jaggi ist als selbstständiger Berater tätig und ein Experte für den Markt für Verschlüsselungsgeräte. Als Gastautor äussert er seine eigene Meinung, die sich nicht mit der Meinung der Redaktion decken muss.

Loading

Mehr zum Thema

image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022
image

70% der Schweizer Industriebetriebe Opfer von Cyberattacken

Eine Mitgliederbefragung des Branchenverbands Swissmem zeigt, dass mehr als Zweidrittel der Firmen mindestens einmal attackiert wurden, einzelne sogar mehr als 20-mal.

publiziert am 23.6.2022
image

Cloud-Anbieter wie Mega könnten Daten ihrer Kunden manipulieren

Ein ETH-Kryptografie-Team nahm die Verschlüsselung der Cloud Services des neuseeländischen Anbieters Mega unter die Lupe und fand gravierende Sicherheitslücken. Das dürfte kein Einzelfall sein.

publiziert am 23.6.2022
image

Arbeiten in der virtuellen Welt ist anstrengend

Wie fühlt es sich an, eine Woche lang in der virtuellen Welt zu arbeiten? Eine Studie zeigt, nicht sehr gut, aber vielleicht gewöhnt man sich (ein bisschen) daran.

publiziert am 23.6.2022