Ist Krypto-Agilität der Weg zu quantensicherer Kommunikation?
Sind unsere derzeitigen kryptografischen Methoden bereits für die Quantenrevolution gewappnet? Lassen Sie uns die Herausforderungen und Lösungsansätze betrachten, mit denen die digitale Sicherheit im Quantenzeitalter konfrontiert sein wird.
Tobias Fehenberger
Starke Kryptografie sichert unsere Daten
Mit der stetig wachsenden Digitalisierung in allen Bereichen unseres Lebens werden immer mehr sensible Informationen zwischen IT-Systemen übertragen und zur weiteren Verarbeitung gespeichert. Es liegt auf der Hand, dass die Vertraulichkeit dieser Daten bereits in den Kommunikationsnetzten von höchster Wichtigkeit ist. Niemand soll mitlesen können, wenn sensible Daten von unseren Laptops in ein Rechenzentrum übertragen werden.
Dass Daten geheim bleiben, wird durch starke Kryptografie sichergestellt. Eine zentrale Aufgabe von Kryptografie ist es, einen sicheren Schlüssel über einen unsicheren Kanal auszutauschen. Diese sogenannte Public-Key (auch: asymmetrische) Kryptografie basiert auf mathematischen Problemen, die in eine Richtung einfach zu berechnen sind, aber in die andere Richtung äußerst komplex. Ein bekanntes Beispiel für solche Trapdoor Functions ist die Primfaktorzerlegung, die dem RSA-Kryptosystem zu Grunde liegt. Dieses Verfahren hat eine weite Verbreitung gefunden und wird zum Schlüsselaustausch und zum Signieren von Nachrichten eingesetzt. Die Primfaktorzerlegung ist insofern für kryptografische Anwendungen geeignet, da es extrem rechenaufwändig ist, eine große Zahl in ihre Primfaktoren zu zerlegen. Hingegen kann die inverse Operation, also die Multiplikation von großen Primzahlen, auf allen gängigen klassischen Computersystemen einfach durchgeführt werden.
In der Vergangenheit gab es auch erfolgreiche Angriffe auf symmetrische Verschlüsselungsverfahren, die zur Chiffrierung der Daten und nicht zum Austausch der Schlüssel eingesetzt wurden. Der damals etablierte Data Encryption Standard (DES) wurde Opfer von ausgeklügelter Kryptoanalyse und zunehmender Rechenleistung. Dies hat dazu geführt, dass DES im Jahr 2000 durch den Advanced Encryption Standard (AES) abgelöst wurde, welcher heute üblicherweise für symmetrische Verschlüsselung eingesetzt wird.
Angriffe auf Kryptosysteme
Kryptografische Verfahren zum Schlüsselaustausch wie RSA sind erst einmal abstrakte mathematische Formulierungen, die dann für den Einsatz in der Praxis in Software implementiert werden müssen. Angriffe auf Kryptosysteme sind also aus zwei unterschiedlichen Richtungen denkbar. Einerseits können bei der Implementierung von Krypto-Algorithmen Fehler auftreten, so dass die Komplexität des zugrunde liegenden mathematischen Problems keinen Schutz mehr bietet. Ein Beispiel hierfür wäre es, wenn die Rechenzeit der Verschlüsselungsoperation Rückschlusse auf den Schlüssel oder den Klartext erlaubt.
Die zweite Art von Angriffen auf Kryptosysteme zielt direkt auf die theoretischen Grundlagen ab. Wenn sich neue Algorithmen finden lassen, mit denen sich „harte Nüsse“ wie die angesprochene Primfaktorzerlegung schnell lösen lassen, ist die Sicherheit der Verschlüsselung nicht länger gegeben. Tatsächlich ist solch ein Algorithmus seit beinahe 30 Jahren bekannt. Der nach Peter Shor benannte Shor-Algorithmus erlaubt es, einen Großteil der klassischen kryptografischen Algorithmen zum Schlüsselaustausch zu brechen. Aber: Der Shor-Algorithmus muss auf einem leistungsstarken Quantencomputer ausgeführt werden. Solche Quantencomputer sind Gegenstand intensiver Forschung sowohl in der akademischen Welt als auch in der Industrie. Die aktuell leistungsstärksten Quantencomputer sind zwar noch sehr viele Größenordnung entfernt von der Rechenleistung, die zum Brechen von aktuell verwendeter Public-Key-Kryptografie benötigt würde. Hochsensitive, mit klassischen Verfahren verschlüsselte Daten könnten aber bereits heute in großem Stil gespeichert und in der Zukunft mit einem starken Quantencomputer entschlüsselt werden. Dieses Angriffsszenario wird mit „Store now – decrypt later“ bezeichnet und stellt eine konkrete Bedrohungslage dar, auf die bereits heute reagiert werden muss.
Mit Quantencomputern werden die Schlüsselaustauschverfahren in heutigen Kryptosystemen also angreifbar. Der für die Chiffrierung der Nutzdaten eingesetzte AES-Algorithmus gilt allerdings bei Verwendung eines Schlüssels mit einer Länge von mindestens 256 Bit als quantensicher.
Moderne Kryptosysteme müssen agil sein.
Post-Quanten Kryptographie
Post-Quanten Kryptographie (PQC), also neue, quantensichere Verschlüsselungsverfahren, sind notwendig, wenn hochsensitive Daten für lange Zeit sicher bleiben sollen. Quantensicher meint hier, dass—zum jetzigen Zeitpunkt—auch auf einem Quantencomputer kein effizienter Algorithmus zum Knacken des Verfahrens bekannt ist. Das amerikanische National Institute of Standards and Technology (NIST) hat im Jahr 2016 ein Projekt ins Leben gerufen, bei dem neue, quantensichere Verfahren eingereicht und von der Fachwelt überprüft werden. Nach mehreren Evaluierungsrunden hat die NIST im Juli 2022 dann „CRYSTALS-Kyber“ zur Standardisierung ausgewählt und vier weitere Verfahren in eine weitere Runde der Evaluierung geschickt. Interessante Randnotiz: Das für die weitere Evaluierung ausgewählte SIKE-Verfahren wurde schon wenige Wochen nach seinem Einzug in die vierte Runde gebrochen.
Eine Standardisierung von Kyber durch die NIST wird allgemein nicht vor 2024 erwartet. Bis dahin, aber auch wenn ein Standard verfügbar ist, sind noch einige Hürden zu nehmen. Neben lizenzrechtlichen Unklarheiten um die Verwendung von Kyber könnten erste Implementierungen von Kyber, aber auch aller anderer Post-Quanten Verfahren, nicht die Reife haben, die klassische Krypto-Verfahren im jahrzehntelangen Produktiveinsatz erreicht haben. Es muss davon ausgegangen werden, dass Hacker unvermeidliche Unsauberkeiten in der Programmierung für ihre Angriffe ausnutzen könnten. Außerdem hat sich am Markt noch kein Standard durchgesetzt, da sich die Empfehlungen der verschiedenen nationalen Institute und Behörden unterscheiden. Während die NIST das hochperformante Kyber Kryptosystem ausgewählt hat, werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die konservativen Verfahren „Classic McEliece“ und „FrodoKEM“ empfohlen. Diese werden bei der NIST nur als Standardisierungskandidat in der vierten Runde bzw. im Falle von FrodoKEM überhaupt nicht mehr berücksichtigt.
Kryptoagilität
Welche Folgerungen müssen für die Implementierung heutiger Kryptosysteme gezogen werden? Zum jetzigen Zeitpunkt ist noch nicht vollständig geklärt, welche quantensicheren Verfahren für welchen Anwendungsfall eingesetzt werden sollen. Daher müssen Möglichkeiten vorhanden sein, um Updates auf Produktivsystemen durchzuführen.
Moderne Kryptosysteme müssen also agil sein. Der Begriff der Kryptoagilität meint hier, dass kryptografische Lösungen derart entwickelt und in IT-Systemen eingesetzt werden, dass sie an neue Bedrohungslagen und kryptografische Standards angepasst werden können. Auch bei einer Schwachstelle eines verwendeten Verfahrens darf die Sicherheit des Gesamtsystems nicht kompromittiert werden, und die Schwachstelle muss zeitnah durch vertrauenswürdige Update-Mechanismen geschlossen werden.
Agile Kryptosysteme sind also äußerst vielschichtig und benötigen jahrelange Expertise in theoretischer und praktischer Kryptografie, um sicher implementiert werden zu können. Mit dieser Sicherheitstechnologie können hochsensitive Daten allerdings langfristig geschützt werden, auch wenn neuartige Seitenkanalangriffe oder gar Quantencomputer beim Angriff eingesetzt werden.