Suche
Risiken für Daten im Quantenzeitalter

Quantenkryptografie: Datenverschlüsselung im Postquantenzeitalter

Malte Pollmann

© Shutterstock.com / The World in HDR

Quantencomputer verfügen über genügend Rechenleistung, um komplexe Verschlüsselungsverfahren auszuhebeln. Die gute Nachricht: Bewährte Verschlüsselungslösungen wie Hardwaresicherheitsmodule (HSM) sind schon heute verfügbar und lassen sich für das Postquantenzeitalter rüsten. Mit dem richtigen Know-how stehen Unternehmen und öffentliche Auftraggeber Cyberangriffen mit Quantencomputern nicht schutzlos gegenüber. Es ist allerdings höchste Zeit, die IT-Sicherheitsstrategie anzupassen.

Quantencomputer können Aufgaben mit unzähligen Kombinationsmöglichkeiten etwa 100- bis 1 000-mal schneller berechnen als konventionelle Supercomputer (Kasten). Davon profitieren beispielsweise Banken. Mithilfe so genannter Monte-Carlo-Simulationen, Verfahren mit einer sehr großen Zahl gleichartiger Zufallsexperimente, können sie ihren aktuellen Finanzstatus ermitteln. Quantenrechner eröffnen zudem völlig neue Möglichkeiten bei Problemstellungen, die eine große Zahl von Kombinationen und möglichen Lösungswegen aufweisen. Dazu zählen die Optimierung von Versorgungsnetzen in der Strom- und Wasserversorgung, die Simulation des Faltvorgangs bei Proteinen, die Bildanalyse und Objekterkennung sowie der gesamte Bereich maschinellen Lernens.

Abb. 1: Quantencomputer von IBM

Abb. 1: Quantencomputer von IBM

Quantencomputer werden bereits in unterschiedlichen Einsatzfeldern erprobt (Abb. 1). Die Volkswagen AG nutzt die Technologie beispielsweise dazu, um neue Ansätze für die Verkehrssteuerung zu entwickeln. Das Ziel ist, die Bildung von Verkehrsstaus in Großstädten wie Peking zu verhindern, bevor sie überhaupt entstehen. Normale Rechner wären mit der Vielzahl der anfallenden Rechenoperationen überfordert. Wegen der großen Menge von Autos, die man auf unzählige alternative Punkte verteilen muss, komme es schnell zu einer kombinatorischen Explosion. Diese würde klassische Computer überfordern, selbst mit der Cloud dahinter, so ein Forscher von Volkswagen. Daher setzt Volkswagen im Rahmen des Projekts einen Quantencomputer von D-Wave Systems ein (Abb. 2).

Wie arbeiten eigentlich Quantencomputer?

Herkömmliche Rechner verwenden als grundlegende Informationseinheit Bits. Diese können den Zustand 1 oder 0 annehmen. Die Bits liegen in einer Reihe in einem Register. Bei Rechenoperationen werden die Bits per Programm umgelegt, von 1 in 0 oder umgekehrt. Am Ende des Vorgangs gibt der Computer das Resultat der Berechnung aus.

Abb. 2: Das kanadische Unternehmen D-Wave zählt zu den ersten Anbietern, die praxistaugliche Quantenrechner vorgestellt haben (Quelle: D-Wave)

Abb. 2: Das kanadische Unternehmen D-Wave zählt zu den ersten Anbietern, die praxistaugliche Quantenrechner vorgestellt haben.

Quantencomputer dagegen arbeiten mit Qubits. Diese weisen drei Zustände auf: 0, 1 sowie einen dritten zwischen 0 und 1 – die Superposition. Qubits lassen sich auf unterschiedliche Weise erzeugen, etwa mit Atomen, Elektronen und Photonen. Im Gegensatz zu den Bits in einem Standardcomputer kann ein Quantenbit beliebige Zustände quasi gleichzeitig einnehmen. Jede Messung eines Qubits liefert so unterschiedliche Ergebnisse. Wie bei einem Kompass, der verrückt spielt: Einmal zeigt die Nadel nach Süden, dann nach Nordwest, beim dritten Blick auf das System nach Südost.

Forscher haben inzwischen Methoden gefunden, mit denen sie den Zustand eines Qubits kontrolliert herbeiführen und messen können.

Dazu werden Quantenbits mit Lasern oder Mikrowellen beschossen und in einen bestimmten Zustand gebracht (0, 1 oder Superposition, Abb. 3). Damit ein Quantencomputer brauchbare Rechenergebnisse liefert, nutzen Physiker einen zweiten Quanteneffekt: die Verschränkung der Qubits in einem Register. Das bedeutet, dass sich die Zustände der Qubits im Register überlagern. Wird der Zustand eines Bits geändert, tritt zeitgleich auch bei den anderen eine Reaktion auf. Das erfolgt ohne Zeitverlust im gesamten Qubit-Register.

Diese Änderungen lassen sich messen und werden durch den Messvorgang in lesbare 1- und 0-Werte umgesetzt, das Ergebnis der Berechnung. Der Clou dabei: Das Qubit-Register berechnet in der Überlagerung zahlreiche Möglichkeiten quasi parallel und deshalb bis zu 1 000-mal schneller als herkömmliche, sequenziell arbeitende Computer. Physiker scherzen auch gerne: „Quantencomputer kennen manchmal die Lösung, bevor die Frage vollständig eintrifft“.

Abb. 3: Ein Laser bringt Quantenbits in unterschiedliche Zustände

Abb. 3: Ein Laser bringt Quantenbits in unterschiedliche Zustände

Einsatzfeld Cyberkriminalität

Leider lassen sich Quantencomputer auch für weniger hehre Ziele nutzen. Cyberkriminelle wittern hier ihre Chance: Mit den hochleistungsfähigen Rechnern können sie kryptografische Schlüssel knacken. Gefährdet sind in erster Linie asymmetrische Kryptosysteme (Public-Key-Systeme). Dazu zählt der weit verbreitete RSA-Algorithmus.

Eine Reihe Risikofaktoren zeichnen sich schon ab. Quantensysteme werden verstärkt in Unternehmensrechenzentren, Forschungseinrichtungen und Behörden zum Einsatz kommen. Diese lassen sich nicht mit 100-prozentiger Sicherheit vor dem Zugriff Unbefugter schützen. Insider könnten solche Systeme für nicht autorisierte Aktivitäten verwenden. Unternehmen und staatliche Einrichtungen müssen sich darauf einstellen, dass ausländische Geheimdienste Quantenrechner einsetzen, um an verwertbare Informationen zu kommen. Derzeit treiben vor allem Forscher in den USA, China und Russland die Entwicklung solcher Computer voran.

Die Geheimdienste aller drei Länder haben sich in den vergangenen Jahren als besonders aktive Datensammler betätigt, vorzugsweise in westlichen Industriestaaten. Dies bestätigt der Jahresbericht des Bundesamts für Verfassungsschutz für 2016. Angreifer können sich auf einzelne Schwachpunkte der IT-Sicherheitsarchitektur eines Anwenders konzentrieren, beispielsweise eine unzureichende Datenverschlüsselung oder eine fehlerhafte Schlüsselverwaltung. Die Verteidiger dagegen, also die IT-Sicherheitsfachleute eines Unternehmens oder die Mitarbeiter von Managed-Security-Services-Providern, müssen alle potenziellen Angriffsvektoren im Blick haben.

Zusätzlich fehlt es an Fachkräften im Bereich IT-Sicherheit. Ein Großteil der deutschen Unternehmen hat das Gefahrenpotenzial durch interne und externe Hacker immer noch nicht erkannt, wie Studien von IDG belegen. Die Investitionen in IT-Security-Lösungen, speziell im Bereich Verschlüsselung, sind in Deutschland in den vergangenen Jahren nicht im selben Maße gestiegen wie die Anforderungen an den Schutz von Daten.

Gefahr aus der Vergangenheit: Archivierte Verschlusssachen hacken

Eine weitere Gefahr wird häufig übersehen: Angriffe mit Quantenrechnern gefährden nicht nur Daten, die derzeit auf IT-Systemen lagern oder über Netzwerkverbindungen übermittelt werden. Speziell Behörden und Organisationen mit Sicherheitsaufgaben müssen auch den Schutz von verschlüsselten Informationen gewährleisten, die mehrere Jahre oder gar Jahrzehnte unter Verschluss bleiben sollen. Denn es ist denkbar, dass Unbefugte sich Zugang zu solchen Daten verschaffen und deren Verschlüsselung mit Quantencomputern brechen. Auf diese Weise könnten Staatsgeheimnisse oder wichtige Datenbestände von Unternehmen kompromittiert werden.

Dasselbe gilt für hochsensible Informationen wie Gesundheitsdaten. So müssen in Deutschland Daten über radiologische Behandlungen, etwa eine Röntgentherapie, dreißig Jahre lang aufbewahrt werden. Bei Arztbriefen, Befunden und Gutachten beträgt die Frist zehn Jahre. Trends wie E-Government und E-Health erhöhen das Risiko, dass sich Unbefugte solche Informationen durch Hackerangriffe beschaffen und sie missbrauchen. Das ist insbesondere der Fall, wenn solche Daten mit Verschlüsselungstechniken geschützt werden, die im Nachhinein angreifbar werden. Es gilt also, den Schutz sensibler Informationen dem Stand der Technik anzupassen.

Lesen Sie auch: Mit DevOps auf Erkundungstour: Die IT als zentrale Ressource für neue Geschäftsmodelle

Hardwaresicherheitsmodule als Lösung

Es wäre jedoch verfehlt, den Kopf in den Sand zu stecken und künftige Attacken auf Verschlüsselungssysteme mithilfe von Quantencomputern als unvermeidbar hinzunehmen. Denn es gibt durchaus Lösungen. Eine davon ist, wichtige Datenbestände und Kommunikationswege mithilfe von Hardwaresicherheitsmodulen zu schützen. Solche Kryptosysteme lassen sich mit Verschlüsselungstechniken (Algorithmen) ausstatten, die auch für Quantenrechner derzeit nicht angreifbar sind. Ein HSM ist eine Plattform, auf der sich unterschiedlichste Verschlüsselungssoftware implementieren lässt. Dadurch sind Hardwaresicherheitsmodule auch für Lösungsanbieter interessant, die ihren Kunden eine maßgeschneiderte Sicherheitsarchitektur zur Verfügung stellen wollen, die die Anforderungen der Postquantenkryptografie erfüllt.

DDD Summit 2018
Nicole Rauch

Domain-Driven Design für Einsteiger

mit Nicole Rauch (Softwareentwicklung und Entwicklungscoaching)

Die Zeit läuft

Zugegeben, einen Quantenrechner, der in der Lage ist, Verschlüsselungsverfahren zu knacken, kann heute noch niemand kaufen. Es besteht keine unmittelbare Gefahr für Unternehmen und öffentliche Einrichtungen, die auf asymmetrische Kryptoverfahren setzen. So wird der RSA-Schlüssel mit 2 048 Bit nach Einschätzung von IBM „erst“ im Jahr 2026 gebrochen werden können. Doch was ist mit der Verschlüsselung von Systemen und Produkten, die zehn Jahre oder länger in Gebrauch sind? Beispiele hierfür sind Fahrzeuge, Einrichtungen in Kraftwerken und in der Wasserversorgung oder Satelliten. Selbst in einer dynamischen Branche wie dem Finanzsektor sind noch Großrechner im Einsatz, die mehr als zehn Jahre auf dem Buckel haben. Mit Blick auf diese langen Lebenszyklen bedeutet das, dass bereits heute bei der Planung und Anschaffung von Verschlüsselungslösungen die Zukunftssicherheit ein wesentliches Entscheidungskriterium sein sollte. Darunter fällt die Updatefähigkeit, auch für Lösungen im Feld. Geeignete HSM unterstützen das Nachladen von Firmware oder Scripts, um neue Algorithmen einzubringen. Sie können sich damit an wachsende Anforderungen bei der Verschlüsselung anpassen. Neue Verschlüsselungstechniken lassen sich so mit überschaubarem Aufwand implementieren, ohne wichtige Zertifizierungen wie den US-Standard FIPS 140-2 zu beeinträchtigen.

Zudem sollte ein zukunftsfähiges HSM große Schlüssellängen unterstützen. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der „Technischen Richtlinie – Kryptografische Verfahren: Empfehlungen und Schlüssellängen“ bis 2022 bei RSA und dem Diffie-Hellman-Verfahren Schlüssel von 2 000 Bit Länge, ab 2023 von mindestens 3 000 Bit. Allerdings sind laut BSI verbindliche Empfehlungen unwägbar. Der Grund: „Jede Vorhersage über einen Zeitraum von sechs bis sieben Jahren hinaus ist schwierig, insbesondere bei asymmetrischen Verfahren, und selbst für diesen Zeitraum können sich die Prognosen aufgrund unvorhersehbarer Entwicklungen als falsch erweisen.“

Nicht zuletzt empfehlen Sicherheits- und Kryptografieexperten großzügig zu planen, wenn es um die Rechenleistung geht. Die Praxis zeigt, dass an diesem Punkt viele Hersteller von Konsum- und Investitionsgütern aus Kostengründen sparen. Doch das ist zu kurz gedacht, weil ein Austausch von Hardwarekomponenten für die Verschlüsselung nicht in jedem Fall auf einfache Weise möglich ist. Man denke nur an Satelliten oder Messstationen in abgelegenen Regionen. Hier kann ein späterer Hardwaretausch sehr teuer werden.

Risiken für Daten im Quantenzeitalter überprüfen

Einrichtungen wie das Global Risk Institute plädieren angesichts der Fortschritte bei der Entwicklung von Quantenrechnern dafür, eine spezielle Art von Risikomanagement einzuführen. Ein Quantum Risk Assessment (QRA) soll ermitteln, welche Sicherheitsrisiken für Informationsbestände durch Quantencomputer entstehen. Dr. Michele Mosca, der Mitbegründer des Institute for Quantum Computing der kanadischen Universität Waterloo, schlägt ein Risk Assessment in mehreren Schritten vor:

Schritt 1: Eine Inventur der Informationsbestände vornehmen und dabei wichtige Informationen sowie die eingesetzten Verschlüsselungsverfahren identifizieren. Das schließt auch Details mit ein, etwa auf welche Weise Schlüssel generiert, wo sie abgelegt und welche Verschlüsselungssysteme (Appliances) eingesetzt werden.

Schritt 2: Fortschritte bei Quantencomputern und Quantenkryptografie fortlaufend überprüfen. Zumindest größere Unternehmen oder staatliche Einrichtungen sollten außerdem Teams mit Fachleuten bilden, die sich speziell um diese Bereiche kümmern. Das ist die Voraussetzung für eine realistische Einschätzung, wann bislang gültige Verschlüsselungsstandards obsolet sind.

Schritt 3: Potenzielle Angreifer identifizieren und deren Möglichkeiten prüfen, sich Quantentechnologien für Cyberattacken nutzbar zu machen. Solche Einschätzungen zu treffen, ist alles andere als trivial. Eine Option besteht darin, auf die Unterstützung von Fachleuten im Bereich Verschlüsselungstechnologien zurückzugreifen. Das können Anbieter von Verschlüsselungslösungen und von hardwarebasierten Sicherheitsmodulen sein.

Schritt 4: Die Zeitspanne ermitteln, wie lange welche Informationsbestände geschützt werden müssen. Parallel recherchieren, wie lange das Modifizieren von Verschlüsselungskomponenten dauert, bis sie auch Attacken mittels Quantenrechnern abfangen können. Das schließt die Überprüfung der kryptografischen Verfahren mit ein. Zudem sollten die Effektivität und Effizienz von Maßnahmen überprüft werden, die verschlüsselte Informationen vor dem Zugriff interner und externer Angreifer schützen.

Schritt 5: Die Implementierung einer quantensicheren IT-Sicherheitsarchitektur. Diese muss regelmäßig daraufhin überprüft werden, ob sie neueren Angriffsverfahren standhält. Zudem sollten Unternehmen regelmäßig ermitteln, ob Anbieter mittlerweile wirksamere Lösungen entwickelt haben.

Zukunftsthema mit gegenwärtigem Handlungsbedarf

Die Fachwelt ist sich noch nicht einig, wann Quantencomputer auf dem Massenmarkt verfügbar sein und zum Einsatz kommen werden. Aus dem Blickwinkel der IT- und Datensicherheit ist dieser Zeitpunkt nicht entscheidend. Ausschlaggebend ist vielmehr die Frage, wann es zum ersten Mal mithilfe eines Quantencomputers gelingt, einen gängigen Algorithmus zu knacken. Denn der Algorithmus verliert damit seine Vertrauenswürdigkeit, das heißt, er wird wertlos.

Damit sich Unternehmen und Organisationen darauf vorbereiten können, sind Lösungen gefragt, die auch Angriffen mit Quantencomputern standhalten. Einige Hersteller von Verschlüsselungslösungen arbeiten auf Hochtouren daran. Ein Beispiel: In enger Zusammenarbeit mit Universitäten hat Utimaco mittlerweile einen Proof of Concept (POC) für seine Hardwaresicherheitsmodule entwickelt – mit durchaus positiven Ergebnissen. So konnten die Expertenteams aus Wirtschaft und Wissenschaft schon erfolgreiche Systemtests vermelden. In Kombination mit der integrierten Entwicklungsumgebung CryptoScript bieten die Utimaco-HSM die Option, individuelle Verschlüsselungskomponenten auf Basis unterschiedlicher Technologien zu entwickeln.

Lesen Sie auch: Autonomes Fahren: Einblicke ins digitale Ökosystem selbstfahrender Autos

Ein zusätzliches Plus: Der Aufwand für diesen Schritt ist überschaubar. Somit sind Sicherheitslösungen wie Hardwaresicherheitsmodule auch für die Herausforderungen gerüstet, die durch Quantenrechner entstehen.

Geschrieben von
Malte Pollmann
Malte Pollmann
Malte Pollmann ist Chief Executive Officer beim IT-Sicherheitsspezialisten Utimaco. Neben einem Master-Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern, hat Malte auch eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen. Parallel zu seiner Arbeit bei Utimaco ist Malte auch im Aufsichtsrat der ‚International School of IT-Security‘ isits AG, Bochum.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: