Dass Quantencomputer die Sicherheit heutiger Verschlüsselungsverfahren und damit ganz konkret die Sicherheit digitaler Kommunikation bedrohen, ist eine Voraussagung, die in aller Munde ist. Doch wie stellt sich die Bedrohungslage konkret dar? Wie ist der Forschungsstand im Bereich Post-Quantum-Kryptographie und welche Systeme werden als erstes betroffen sein? Um dies zu beantworten, sollten wir zunächst einen Blick darauf werfen, was Quantencomputer von herkömmlichen Computern unterscheidet und wie sich ihr riesiges Potenzial erklären lässt.
Quantencomputer – ein kurzer Überblick
Redet man über Quantencomputer meint man damit meistens einen speziellen Architekturtyp, den sogenannten Quanten-Gate-Computer, wie die von IBM entwickelten Q-Devices oder Googles 54-QuBit-Computer (1). Quanten-Gate-Computer stellen die Vision eines universell einsetzbaren Quantencomputers dar, da sie die Benutzung beliebiger Algorithmen zulassen, stehen derzeit aber noch vor großen Herausforderungen im Bereich der Quantenfehlerkorrektur („Quantum Error Correction“) oder der Skalierung der Anzahl von QuBits. Ein weiterer technologisch interessanter Architekturtyp ist der Quantum Annealer. Dabei handelt es sich um Quantencomputer, die auf der adiabatischen Entwicklung eines Quantensystems basieren und besonders für Optimierungsprobleme geeignet sind. Auch wenn letztere keine universell einsetzbaren Computer darstellen, so erstreckt sich ihr potenzieller Anwendungsbereich von Prognosemodellen bis zum maschinellen Lernen (2). Bereits einsetzbare Quantum Annealer werden z. B. von der kanadischen Firma D-Wave entwickelt und vertrieben.
Anders als Supercomputer, die ihre Rechenleistung aus parallel arbeitenden Prozessoren beziehen, bestehen Quantencomputer fundamental aus einem großen Prozessor. D. h. die parallele Prozessierung von Daten findet in einer Recheneinheit statt. Möglich wird dies durch die quantenmechanischen Prinzipien der Superposition und Verschränkung. Dabei steigt die Anzahl möglicher paralleler Berechnungen exponentiell mit der Anzahl der verbauten QuBits an (1).
Quantenalgorithmen rütteln an der Sicherheit heutiger Verschlüsselungsstandards
Der Großteil, der als sicher geltenden Kommunikation im Internet und in anderen Kommunikationsnetzen, wird durch eine Kombination symmetrischer und asymmetrischer Kryptosysteme vor Fremdzugriff geschützt. Hier kommen verschiedene Algorithmen zum Einsatz wie z. B. das zu den asymmetrischen Kryptosystemen zählende RSA (Rivest-Shamir-Adleman)-Verfahren (RSA), oder auch die Elliptische-Kurven-Kryptografie (ECC). Bei entsprechender Verschlüsselungsstärke gelten diese Verfahren derzeit als hinreichend sicher. Dabei beruht diese Sicherheit auf der mathematischen Komplexität potenzieller Lösungen.
Doch die Sicherheit von Kommunikation hängt schlussendlich auch von den Passwörtern ab, die zur Erzeugung von kryptographischen Schlüsseln verwendet werden. Bei der heute zur Verfügung stehenden Rechenleistung und in Abhängigkeit des verwendeten Algorithmus gelten so zum Beispiel bereits Passwörter, die nur aus Zahlen und aus bis zu 10-Ziffern bestehen als „sofort“ knackbar. Bei erhöhter Komplexität, zum Beispiel Hinzunahme von Groß- und Kleinbuchstaben kann aus der Zeit, die benötigt wird, um das Passwort nach herkömmlichen „Brute Force“- Methoden zu entschlüsseln schnell ein Monat und mehr werden. Die Erhöhung der Passwortkomplexität führt hier automatisch zu einer höheren Sicherheit. Bei einer Passwortlänge von 14 Zeichen inklusive Groß- und Kleinbuchstaben, dauert das Entschlüsseln eines Passworts schonmal gerne bis zu 800.000 Jahre. Quantencomputer können dieser theoretischen Sicherheit eine enorme parallele Rechenkapazität gegenüberstellen und so die Sicherheit von komplexen Passwörtern, aber schlussendlich auch von Algorithmen selbst gefährden, die auf bisher hinreichend komplexen mathematischen Problemen beruhen. Doch können Quantencomputer schon bald diesem Bedrohungspotenzial gerecht werden?
Man könnte meinen, dass in der Quantenwelt das Motto „Der Geist ist willig, aber der Körper ist schwach“ gilt, insofern, als dass die derzeit verfügbaren Quanten-Gate-Computer, als universell einsetzbarer Typus des Quantencomputers, zwar noch mit den oben genannten erheblichen realweltlichen Unzulänglichkeiten zu kämpfen haben, dafür aber bereits seit Jahrzehnten probabilistische Quantenalgorithmen existieren, die entsprechend in der Lage wären, moderne Verschlüsselungssysteme in relativ kurzer Zeit zu durchdringen. Einer dieser Algorithmen ist der Shor-Algorithmus für den sowohl das Lösen des Faktorisierungsproblems ganzer Zahlen (RSA), als auch das Berechnen diskreter Logarithmen (ECC) auf polynomischen Zeitskalen möglich ist. Je nach Quellenlage kommt man so auf eine benötigte Anzahl von rund 6000 stabilen QuBits die von Nöten sind um z. B. eine RSA-2048 Bit-Verschlüsselung in hinreichend kurzer Zeit zu durchdringen (3). Auch wenn IBM bis 2023 über einen Quantencomputer mit 1000 QuBits verfügen möchte (4), sind die technischen Herausforderungen der Skalierung weiterhin riesig.
Quantum Supremacy im Bereich Cyber Security noch weit entfernt?
Pessimistische Stimmen gehen davon aus, dass ein universeller Quantencomputer mit einer großen Anzahl stabiler QuBits vielleicht niemals existieren wird (5). Können wir also davon ausgehen, dass wir noch mindestens auf Jahre sicher sind?
Richtig ist, dass die Entwicklung eines stabilen Quanten-Gate-Computers mit einer entsprechend großen Anzahl an QuBits sicherlich weiterhin eine vorrangig akademische Herausforderung ist, deren kommerzielle Nutzung noch auf Jahre ausstehen könnte. Richtig ist aber auch, dass niemand aus der Glaskugel zu lesen vermag. Nicht ohne Grund investieren viele große Techkonzerne, wie Microsoft, IBM und Google in die Entwicklung von immer neuen Quantencomputern und arbeiten junge Unternehmen wie IQM und Rigetti am großen Durchbruch. Dabei werden unterschiedliche architektonische Ansätze verfolgt; dies wiederum unterstreicht die vielfältigen Entwicklungspotenziale im Bereich Quantum Computing. Und auch, wenn es mit dem universellen Quanten-Gate-Computer nicht so schnell funktionieren mag, die „Quantum Supremacy“ im Bereich Cybersecurity ist vielleicht doch näher als man glauben mag.
Die eingangs erwähnten Quantum Annealer sind bereits heute im produktiven Einsatz bei Unternehmen wie Volkswagen, Airbus, NASA und Lookheed Martin (6), sind aber beschränkt auf die Lösung von Optimierungsproblemen. Wenig überraschend versuchen Wissenschaftler daher z. B. das Faktorisierungsproblem zum Durchdringen der RSA-Verschlüsselung in ein Optimierungsproblem umzuwandeln und die Anwendung von Quantenalgorithmen wie dem Shor-Algorithmus zu umgehen (7, 8, 9). 2020 ist dies erstmals chinesischen Wissenschaftlern gelungen, indem sie einen D-Wave Quantencomputer für die Faktorisierung großer Ganzzahlen verwendeten (10). Mit der Optimierung von Algorithmen und dem Auflösen technischer Herausforderungen scheint somit auch die Durchdringung moderner Verschlüsselungsverfahren im möglichen mittelfristigen Lösungsraum von Quantencomputern zu liegen (11).
Es gibt noch eine weitere Dimension beim Schutz vertraulicher Daten zu beachten. Schon heute finden sogenannte “Store now, decrypt later”-Attacken statt, deren erklärtes Ziel es ist bereits heute Daten von Bürgern, Versicherten und Kunden zu sammeln, um mit voranschreitender Entwicklung von technologischen Verfahren diese Daten zu entschlüsseln und dann zu nutzen. Bedroht sind hier vor allem Daten mit langen Geheimhaltungsfristen, wie persönliche Gesundheitsdaten, Firmengeheimnisse und Daten aus dem Finanz- und Sicherheitsbereich.
Post-Quantum-Kryptographie und QuNET
Folgerichtig gibt es weltweit intensive Bemühungen im Bereich der Post-Quanten-Kryptographie (PQK), um Kommunikation und Daten als bald auch gegen den Einsatz von rechenstarken Quantencomputern abzusichern. Ein Beispiel ist die deutsche QuNET-Initiative, in der die Fraunhofer- und die Max-Planck-Gesellschaft zusammen mit dem deutschen Zentrum für Luft- und Raumfahrt (DLR) Technologien für ein Pilotnetz zur sicheren Quantenkommunikation entwickeln. Auch in den USA wird derzeit intensiv an Empfehlungen für die Post-Quanten-Kryptographie gearbeitet. So befindet sich das US-amerikanische „National Institute of Standards and Technology“ (NIST) aktuell in einem Verfahren zur Standard-Empfehlung für Algorithmen im Bereich PQK (12, 13).
Quantum Computing: Risiko und Chance
Es bleibt die Frage, was man selbst tun kann, um sich auf diese Post-Quantum-Ära vorzubereiten. Neben dem Verständnis für die Gefahren der Technologie steht der Schutz gefährdeter Daten an erster Stelle. Die eigenen IT-Systeme sollten heutzutage nach modernen Standards gegen Missbrauch abgesichert sein, um Daten und Infrastruktur bestmöglich vor zukünftigem Missbrauch zu schützen (vgl. „Store now, decrypt later“). Gleichzeitig sollte Quantum Computing aber auch als Chance mit einer Vielzahl an Anwendungsfällen gesehen werden: Die schnelle Verarbeitung großer Datenmengen und komplexer Modelle bietet die Chance für verbesserte und neue Geschäftsmodelle (1).