Das amerikanische Institut für Standards und Technologie stellt Algorithmen vor, die die gängigen Verschlüsselungsverfahren ersetzen sollen. Doch die Umstellung auf die Post-Quanten-Kryptografie ist aufwendig.
Quantencomputer werden in der Lage sein, die heutigen Verschlüsselungsmethoden zu entschlüsseln – daran gibt es keinen Zweifel. Der dafür nötige Algorithmus ist längst bekannt. Es fehlt nur noch ein hinreichend leistungsfähiger Rechner, der ihn ausführen kann. Sobald es ihn gibt, könnte er das gesamte Internet unsicher machen.
Angreifer könnten Passwörter, personenbezogene Daten und Firmengeheimnisse lesen oder falsche Updates an einen Rechner schicken. Das Internet der Dinge, das Alltagsgegenstände wie Kühlschränke mit dem Internet verbindet, wäre ohne leichte Verschlüsselung Beute für Angreifer. Sie könnten selbst intelligente Glühbirnen missbrauchen, um Malware auf dem Rechner zu verbreiten.
Die Umstellung auf die Post-Quanten-Kryptografie beginnt
Zwar wird es noch Jahre dauern, bis es so weit ist. Dennoch haben Kryptologen längst reagiert. Bereits 2016 startete das amerikanische National Institute of Standards and Technology (Nist) einen Wettbewerb. Es traten neue Kryptografie-Verfahren gegeneinander an, die als immun gegen einen Angriff mit Quantencomputern gelten. Inzwischen hat das Nist vier Gewinner ermittelt und daraus Standards entwickelt. Sie sollen sicherstellen, dass diese sogenannte Post-Quanten-Kryptografie (PQK) einheitlich eingesetzt wird. Drei der vier Standards werden diese Woche öffentlich gemacht. Damit kann die Umstellung beginnen.
Aber wie aufwendig ist der Wechsel auf die Post-Quanten-Kryptografie, welche Hürden gibt es, sind die neuen Verfahren sicher, und was muss der einzelne Internetnutzer tun?
Wir Kryptografie, ohne es zu nutzen merken
Kryptografie, auch das Verschlüsseln von Informationen, ist im Netz allgegenwärtig: beim Online-Banking, bei Software-Updates oder beim Instant-Messaging. „Der durchschnittliche Internetnutzer nutzt Kryptografie Tausende Male am Tag, ohne es zu merken“, sagt Ian Curry, Kryptografie-Experte von der Firma Infosec Global mit Sitz in Toronto und Zürich.
Wer eine Website mit dem Browser Chrome aufruft oder die Messaging-App Signal nutzt, hat unwissentlich schon PQK verwendet. Denn diese Anwendungen verschlüsseln ihre Daten mit einem Hybrid aus PQK und klassischer Kryptografie. Bei Internet-Browsern greift die PQK allerdings nur, wenn auch der aufgerufene Server die neuen Kryptografie-Methoden eingebaut hat, was meistens noch nicht der Fall ist. In diesem Fall werden automatisch die klassischen Verfahren genutzt. Die Beispiele zeigen: Der normale Internetnutzer wird von dem Wechsel wenig mitbekommen.
„Allenfalls könnte sich das Internet um ein paar Prozentpunkte verlangsamen“, sagt Marc Fischlin, Kryptografie-Experte von der TU Darmstadt. Das liegt daran, dass die neuen Verfahren noch nicht optimiert sind. Das betrifft zum Beispiel die sogenannten Schlüssellängen. Krypto-Verfahren kann man sich wie Kombinationsschlösser vorstellen. Je mehr Rädchen verstellt werden müssen, desto langsamer wird der Datenverkehr. Die Firma Cloudflare schreibt in einem Blogbeitrag, dass manche Server die längeren Schlüssel nicht verarbeiten könnten. Die Umstellung kann auch holprig werden.
„Der Wechsel passiert nicht auf einen Schlag“, sagt Ian Curry und mahnt zur Geduld. «Es ist ein evolutionärer Prozess.» Der Umstieg auf PQK ist hochkomplex und wird nach Expertenmeinung zehn bis zwanzig Jahre dauern. Jetzt damit anzufangen, könnte gerade noch rechtzeitig sein. Denn ein Code knackender Quantencomputer könnte innerhalb dieser Zeitspanne kommen, wie Physiker schätzen.
Jetzt ernten, später entschlüsseln
Auch sogenannte wenn der Q-Day noch Jahre auf sich warten lässt, empfiehlt es sich, Gesundheitsdaten, Firmengeheimnisse oder Grundbucheinträge heute schon per Post-Quanten-Kryptografie zu verschlüsseln. Denn ein Angreifer könnte die Daten sozusagen auf Vorrat speichern und bis zum Q-Day speichern, um sie später zu entschlüsseln.
„Grundsätzlich sind alle Branchen betroffen, deren Daten langfristig geschützt sein müssen und denen die Datensicherheit ein langfristiges Anliegen ist“, antwortet das Schweizer Bundesamt für Cybersicherheit (Bacs) auf Anfrage der NZZ. Die Firmen müssten priorisieren, fügt Ian Curry hinzu, und die Daten zuerst schützen, die den Kern ihres Geschäfts bildet.
„Man sollte mit der Umstellung nicht warten“, sagt Leonie Wolf vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Neben Anbietern von Internetdiensten wie Google oder Cloudflare sollen vor allem Unternehmen, Banken, Behörden oder Betreiber kritischer Infrastrukturen wie Krankenhäuser ihre IT auf PQK umstellen. „Es gibt praktisch kein Unternehmen mehr, die keinen digitalen Aspekt in ihrem Unternehmen haben“, betont Ian Curry. „Jeder muss wechseln“, folgert er. Der Kryptografie-Experte glaubt, dass es innerhalb der nächsten Jahre immer schwierig wird, sich der Umstellung zu entziehen.
Das größte Problem beim Wechsel: Es geht nicht darum, wie bei einem Update eine neue Software zu installieren. Der Vorteil der Kryptografie, nämlich dass sie unbemerkt im Hintergrund arbeitet, wird bei ihrem Austausch zur Herausforderung: Sie steckt in diversen Anwendungen, ohne dass die Firmen es wissen. Curry und Wolf empfehlen daher, eine Erfindung zu machen, um herauszufinden, wo sich überall Kryptografie verbirgt.
Das ist viel mehr, als man denkt: „Auf einem fabrikneuen Laptop habe ich über 700 kryptografische Objekte gefunden“, sagt Curry. Damit meint er etwa die erwähnten Schlüssel, digitale Zertifikate, die Authentizität von Software oder Personen bestätigen, oder Protokolle, die verschlüsselte Kommunikation organisieren. Während der Nutzung des Computers könnte die Zahl solcher Objekte leicht auf über 1000 anwachsen, so Curry.
Eine Universallösung gibt es bei PQK nicht
Sind die Objekte identifiziert, können sie nicht einfach durch ein PQK-Verfahren ersetzt werden. „Denn die eine Universallösung gibt es nicht“, sagt Leonie Wolf. Das Nist empfiehlt mehrere Methoden zum Verschlüsseln von Daten und für sogenannte digitale Signaturen. „Für verschiedene Anwendungen können sich verschiedene Verfahren eignen“, sagt Wolf. Für Anwendungen, die vor allem schnell sein müssen, können andere PQK-Varianten als solche passen, bei denen es um die Verschlüsselung größerer Datenmengen geht.
Die Umstellung auf PQK erforderte viel Fachwissen auf dem Gebiet. „Keine Firma wird das allein machen“, meint Wolf. Das glaubt auch Curry und ermuntert junge Leute, in das Gebiet einzusteigen. «Wir brauchen mehr Personal, um diese Transformation schnell hinzubekommen.»
Die Kryptografie-Welt wird auch komplexer als bisher. Dazu kommt, dass die PQK selbst noch in einem Entwicklungsprozess steckt. Die klassischen Methoden haben sich über Jahrzehnte bewährt. „Die neuen müssen diese Prüfung durch die Zeit erst noch bestehen“, sagt Curry. Einzelne Verfahren könnten immer wieder geknackt werden. Tatsächlich ist das während des Wettbewerbs, den das Nist ausgeführt hatte, mehrmals passiert.
Zukünftige Krypto-Verfahren müssen agil sein
„Es wird immer wieder neue Algorithmen geben“, prophezeit Curry. Deshalb empfehlen Experten «Krypto-Agität». Das bedeutet, die PQK so zu gestalten, dass die dahintersteckenden mathematischen Verfahren auf Knopfdruck ausgetauscht werden können. Das soll verhindern, dass Sicherheitslücken durch veraltete Sicherheitsverfahren entstehen.
Besonders schwierig ist die Krypto-Agilität im Internet der Dinge. Viele kleine Geräte, die Daten sammeln und versenden, müssen lange aufbewahrt werden, „etwa wenn sie in Autos, Flugzeugen oder Industriesteuerungen eingebaut sind“, sagt Georg Sigl von der TU München. Deshalb sollten sie schon heute mit PQK ausgestattet sein, meint der Professor für Sicherheit in der Informationstechnik. Da die Geräte aber nur über wenig Speicherplatz verfügen, dauern die Berechnungen für PQK länger als bei herkömmlichen Verfahren.
Um die Berechnungen zu beschleunigen, entwickelt Sigls Team neue Chips, die die Rechnungen direkt in der Hardware verdrahten, anstatt sie durch Software einzuprogrammieren. Dadurch muss weniger zwischengespeichert werden. Behindert die feste Verdrahtung Allerdings die wichtige Krypto-Agilität. „Deshalb bauen wir nur die Grundoperationen in die Hardware ein“, sagt Sigl. „Den Rest implementieren wir in Software.“
Durch dieses „Co-Design“ soll eine Balance zwischen Speicherbedarf, Effizienz und Agilität erreicht werden. Eine Branche, die davon besonders profitieren könnte, ist die Autoindustrie. „Autozulieferer denken schon über Post-Quanten-Kryptografie nach“, sagt Sigl.