`Game over´ für die Sicherheit im Internet?

Informatiker Tibor Jager über die Entwicklung von Quantencomputern, die unser sicher geglaubtes Netz in Frage stellen könnten

„Das Bundesamt für Sicherheit und Informationstechnik (BSI) sagt, sie rechnen damit, dass in spätestens 16 Jahren ein Quantencomputer verfügbar sein könnte, der mächtig genug ist, um Kryptographie zu knacken“, sagt Tibor Jager, Professor für IT Security and Cryptography, von der Bergischen Universität.
Fachleute aus aller Welt sind beunruhigt, denn das sicher geglaubte Internet könnte uns irgendwann um die Ohren fliegen. Dabei gibt es Quantencomputer noch gar nicht. „Wir wissen theoretisch, wie diese Rechner funktionieren“, sagt Jager, „d. h., wir können jetzt schon beschreiben, wie die Algorithmen darauf funktionieren. Aber so gebaut, dass man damit auch schon echte Verschlüsselung knacken kann, hat die Dinger noch keiner.“ Das liege vor allem daran, weil es ein relativ schwieriges Ingenieursproblem sei. Man müsse da in Quantenzuständen rechnen, die extrem fragil seien, und wenn man das nicht wirklich ordentlich und sorgfältig baue und diese Quantenzustände auch mit großem Energieaufwand erhalte, dann funktionierten sie auch nicht.

Sichere Kommunikation im Internet

„Sichere Kommunikation im Internet beruht auf Verschlüsselungsverfahren und anderen Bausteinen wie z. B. digitalen Unterschriften“, erklärt der Fachmann. Wenn wir uns etwa mit einem Onlineshop verbinden, sorgen unsere sicheren Webbrowser dafür, dass unser eingegebenes Passwort und unsere Kreditkartendaten auch wirklich auf dem Server landen und nicht bei jemandem, der die Seite nachgebaut hat. Und das funktioniert folgendermaßen, erklärt Jager: „Es gibt zwei Kategorien. Das eine sind diese Verschlüsselungsverfahren, die diese eigentlichen Daten geheim halten und ein zweiter, mindestens ebenso wichtiger Baustein sind diese digitalen Unterschriften, die dafür sorgen, dass wir wissen, mit wem wir sprechen.“ Die Sicherheit beider Verfahren beruht nun darauf, dass bestimmte Berechnungsprobleme sehr schwer gestaltet sind. Der Informatiker erklärt es am Beispiel des Faktorisierungsproblems (Das Faktorisierungsproblem ist eines der ungelösten Probleme der Informatik, Anm. d. Red.): „Wenn ich die Zahlen 3 und 5 sage, dann kann man das sofort im Kopf zusammenrechnen und das Produkt davon ist 15. Die Rückrichtung bekommt man bei der Zahl 15 auch einigermaßen schnell hin, aber man muss schon etwas länger überlegen. Wenn man dann aber große Zahlen mit 1000 Stellen hat, dann ist es ein sehr schwieriges Problem, das wieder zurückzurechnen. Die Berechnung ist so schwierig, dass es im Moment auch der beste Supercomputer auf der Welt nicht in realistischer Zeit schaffen kann, das zu knacken.“ Die Sicherheit im Netz basiert also zu einem sehr großen Anteil auf den kryptographischen Mechanismen im Internet, insbesondere in dieser Authentifikation zwischen dem Nutzer und dem im Beispiel genannten Server. Und die Liste ließe sich endlos fortsetzen. Ob Steuererklärung über ELSTER oder die App unserer Krankenkasse mit all unseren Krankendaten, „das ist alles das gleiche Verfahren“, sagt Jager, „alles Internetkommunikation. Die ganze Sicherheit basiert auf der Schwierigkeit von Problemen wie dem Faktorisierungsproblem großer Zahlen. Ein anderes Beispiel ist das sogenannte diskrete Logarithmusproblem. Und nun kommen irgendwann diese Quantencomputer.“

`Game over` für die Sicherheit

„Man hat schon Quantencomputer gebaut, die z. B. auch im Experimentversuch die Zahl 15 in ihre Faktoren 3 und 5 zerlegt hat“, sagt Jager, „und jetzt geht die Entwicklung immer weiter. Es gibt ständig neue Rekorde mit wieviel Qubits (Speichergröße bei Quantencomputern) die umgehen können und irgendwann werden sie eben so groß sein, dass man damit das diskrete Logarithmusproblem und das Faktorisierungsproblem lösen kann. Und das bedeutet ´Game over` für die Sicherheit im Internet.“

Quantencomputer lösen schwierige Optimierungsprobleme

Im Gegensatz zum gewöhnlichen PC rechnet der Quantencomputer nicht mit Bits, also mit Nullen und Einsen, sondern basiert auf Quantenbits. Ein solches ´Qubit` kann nicht nur Eins oder Null sein, sondern Eins und Null zugleich. „Jetzt fragt man sich natürlich, woher haben die Quantencomputer diesen Geschwindigkeitsvorteil. Der kommt daher, dass die nicht schneller rechnen, daher passt das Wort Geschwindigkeit auch nicht wirklich, sondern die rechnen anders. Die haben andere Instruktionen zur Verfügung als ein klassischer Computer. Dadurch kann man auf diesen Quantencomputern auch andere Algorithmen laufen lassen, wie z. B. den Shor-Algorithmus (1994 entwickelte der Mathematikprofessor Peter Shor einen Quantenalgorithmus zur Erzeugung von Primfaktoren großer Zahlen, der viel effizienter war als bei klassischen Computern, Anm. d. Red.).“ Gute Gründe ihn zu bauen gebe es durchaus, konstatiert Jager, denn er sei in der Lage, schwierige Optimierungsprobleme zu lösen. „Sagen wir mal, man wolle die Volkswirtschaft optimieren mit den Rahmenbedingungen, dass es niemandem schlecht geht, das Mindesteinkommen geregelt ist etc. und dafür dann die perfekte Lösung finden. Das sind sehr schwierige Berechnungsprobleme, die für klassische Computer absolut außer Reichweite sind. Es wäre auch für die Forschung immens interessant mit diesen Rechnern arbeiten zu können, weil man Simulationen erstellen könnte, die heute aufgrund der Rechenkapazität unmöglich sind.“ Die Unterschiede in den Berechnungszeiten beider Systeme sind für den Laien fast nicht zu begreifen. Bräuchte ein klassischer Computer für eine Problemlösung mehrere Milliarden Jahre unter immensem Energieaufwand, könnte ein Quantencomputer nach ein paar Wochen Ergebnisse liefern. Analog ließen sich die Unterschiede vielleicht mit der Leistungskraft eines modernen Smartphones vergleichen, welches einen Supercomputer der 1960er Jahre heute ohne weiteres in den Schatten stellt.

Fehleranfälligkeit der Systeme noch sehr hoch

Die zentrale Herausforderung bei der Realisierung von Quantencomputern ist die Fehleranfälligkeit. Quantensysteme sind sehr empfindlich gegenüber Störungen und bedürfen daher einer aufwendigen Fehlerkorrektur. Eine der größten Herausforderungen bei der Umstellung sind die Sicherheitsaspekte, die man augenblicklich noch gar nicht garantieren kann. „Um Quantencomputer zu nutzen, um damit Kryptographie im Internet zu knacken, muss man den Shor-Algorithmus ausführen“, erklärt Jager, „dieser funktioniert aber besonders schlecht, wenn da Fehler passieren.“ Die Entwicklung geht stetig weiter und auch die Fehleranfälligkeit wird zurückgehen. Doch Jager gibt zu bedenken: „Wenn wir in 16 Jahren immer noch sicher über das Internet kommunizieren wollen, dann müssen wir jetzt was tun. Die größte Herausforderung, was die Sicherheit angeht, ist die Frage: Wie baut man Verfahren, die auch sicher gegen Quantencomputer sind?“ Auch wenn man noch nicht ganz genau wisse, wie diese Computer gebaut werden können, kann man mit heutigen Methoden daran arbeiten. Das Hauptaugenmerk liegt dabei auf der Entwicklung und Standardisierung quantencomputerresistenter Alternativen. „Quantencomputerresistent heißt, wir wissen, dass auf Quantencomputern manche Probleme gut gelöst werden können und wir haben in den vergangenen 40 Jahren aus Faktorisierungsproblemen und dem diskreten Logarithmusproblem Kryptographie gebaut und im Netz benutzt. Und die gehen jetzt kaputt. Wir müssen uns also überlegen, welche alternativen Probleme können wir denn in der Mathematik finden, die einerseits Eigenschaften haben, die es uns erlauben, auf ähnliche Art und Weise kryptographische Verfahren zu bauen, digitale Unterschriften, Verschlüsselungsverfahren usw. und die ähnlich sind. Aber gleichzeitig müssen diese Probleme strukturell anders sein, damit der Quantencomputer sie nicht knacken kann.“ Zum Beispiel sogenannte gitterbasierte Verfahren kommen nun an den Hochschulen zum Einsatz, sowohl in der Forschung, als auch neuerdings in der Lehre.

Wettbewerbe und Hochschullehre zum Thema Post-Quanten-Transformation

Am großen Thema der Post-Quanten-Transformation beteiligen sich viele Player, sei es in der Grundlagenforschung an den Universitäten oder in der Industrie zum Schutz der eigenen Produkte. Aber auch Behörden widmen sich diesem Zukunftsthema. „Ganz besonders wichtig im Zuge der Post-Quanten-Transformation ist das NIST (National Institute of Standards and Technology)“, sagt Jager. Die zentrale Großforschungseinrichtung in den USA moderiert Wettbewerbe. Dazu gab es bereits im Jahr 2017 einen ersten Aufruf, zu dem Forschende neue Kryptoverfahren einreichen konnten. Dieser Wettbewerb endete im vergangenen Jahr. „Da kamen Teams aus der ganzen Welt von Universitäten und Industrie, reichten viele Vorschläge ein, die dann veröffentlicht wurden. Andere analysierten sie und nach mehreren Runden wurden einige Verfahren aussortiert. Im folgenden NIST-Wettbewerb wählte man dann die ersten Verfahren aus, standardisierte sie und machte sie allen zugänglich.“ Und auch in der Hochschullehre beginnt man, neue Kryptographieverfahren anzubieten. Dazu Jager: „Wir haben das im letzten Semester erstmals gemacht. Wir haben eine Post-Quantum-Kryptographie-Vorlesung angeboten, die sich speziell mit der gitterbasierten Kryptographie beschäftigt. Man braucht zukünftig mehr und anderes Handwerkszeug.“

Übergang zur Post-Quanten-Kryptographie ist tricky

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat zusammen mit Partnern aus 17 weiteren Mitgliedsstaaten der Europäischen Union im November 2024 eine gemeinsame Erklärung zum Thema Post-Quanten-Kryptographie veröffentlicht. Darin fordern sie von Wirtschaft, Betreibern Kritischer Infrastruktur sowie öffentlicher Verwaltung den Übergang zur Post-Quanten-Kryptographie einzuleiten und beschreiben die notwendigen Schritte für diesen Übergang. Gleichzeitig wird jedoch weiterhin vor der Bedrohung der Informationssicherheit durch Quantencomputer gewarnt. „Das ist ein sehr schwieriges Problem, vor allen Dingen auch, weil das Internet global ist. Sie können nicht einfach von heute auf morgen das eine faktorisierungsbasierte Verfahren herausnehmen und benutzen nun ein neues. Man braucht eine Gleichzeitigkeit, die man weltweit nicht hinbekommt. Und selbst wenn alle Serverbetreiber zum gleichen Zeitpunkt umschalten würden, dann müssen sie zudem auch noch die beste Freundin, die Mutter oder wen auch immer im Bekanntenkreis dazu bekommen, das Handy zur gleichen Zeit abzudaten. Das kann so nicht funktionieren. Es muss also eine geordnete Transformation stattfinden.“

Über die Machbarkeit dieser Transformation werde momentan viel gesprochen. Dabei seien Firmen gerade erst einmal dabei zu recherchieren, wo sie überhaupt Kryptoverfahren nutzten oder stellten Berater ein, die eine Art Kryptoinventur durchführen, um die Baustellen zu finden. Es müsse zudem die Kompatibilität der neuen Verfahren sowie die neuen Rechenverfahren ordentlich geprüft werden. Aber damit nicht genug. „Man braucht zusätzlich nun Ingenieure, die diese neue Mathematik verstehen, denn die funktioniert völlig anders. Und es gibt bisher nur wenige Hochschulen, die dazu Lehre anbieten.“ Generell seien die neuen, sogenannten Post-Quanten-Verfahren zwar robust, aber beim kleinsten Fehler könne die Sicherheit komplett versagen.

Schon heute sollten Systeme quantensicher gemacht werden, damit nach Einführung dieser Geräte z. B. Patente, Schutzrechte und Firmengeheimnisse auch weiterhin verschlüsselt bleiben.

Kryptographische Verfahren müssen angepasst werden

Kryptographische Verfahren, die bisher auf klassische Hardware implementiert werden, müssen auf Quantencomputer angepasst werden. Das bedeutet auch neue Forschungsschwerpunkte. „Wir suchen nach neuen Verfahren, die auf neuer Mathematik basieren, das ist die Anpassung“, sagt der Wissenschaftler. „Wir wollen Informatiker auf Spitzenniveau ausbilden und dabei ist eine der größten Baustellen im Internet die Post-Quanten-Transformation. Es ist essentiell wichtig, dass wir diesen Aspekt im Studium verankern. Wir werden daher schon bald für diesen Bereich Schwerpunktbereiche im Informatikstudium anbieten, zum Thema Sicherheit, Robustheit und Vertrauen. Wir beschäftigen uns mit dem Bau dieser Verfahren und überlegen, wie wir von der Theorie in die Praxis kommen. Wir können mit unserem heutigen Wissen die Post-Quanten-Transformation besser vorbereiten, mehr Internetsicherheit von vorneherein auf eine  wesentlich robustere Basis stellen. Es ist einerseits ein Fluch, weil wir viel umbauen müssen aber auch ein Segen, weil wir viele Sachen auch aufräumen können und so zubereiten, wie wir sie in Zukunft haben wollen.“

Quantencomputer werden den klassischen Computer nicht ablösen. „Es sind einfach andere Maschinen“, betont Jager abschließend. „So Programme wie Excel oder Word wird man vermutlich nie sinnvoll auf einem Quantencomputer laufen lassen. Aber wenn man bestimmte Spezialprobleme lösen möchten, mit denen der klassische Computer überfordert wäre, dann könnte man vielleicht den Quantencomputer nutzen.“

Uwe Blass

Prof. Dr.-Ing. Tibor Jager leitet die Abteilung IT Security and Cryptography der Fakultät Elektrotechnik, Informationstechnik und Medientechnik an der Bergischen Universität.