Auswirkungen von Quantencomputern auf die IT-Sicherheit
Das Thema Quantencomputer hört sich zunächst nach Science Fiction an. Tatsächlich sind viele Sachverhalte aus diesem Umfeld für uns "Normalbenutzer" des Makrokosmos' schwer greifbar und klingen eher nach Zauberei.
Das Forschungsfeld rund um Quantencomputer hat sich in der jüngeren Vergangenheit rasend schnell entwickelt. Vor einigen Jahren wurde davon ausgegangen, dass die reale Nutzung von Quantencomputern noch mehrere Dekaden auf sich warten lässt. Aktuelle Entwicklungssprünge lassen die Existenz von nutzbaren Quantencomputern sukzessive näherkommen. Mittlerweile können wir davon ausgehen, dass die praktische Nutzbarkeit von Quantencomputern bereits in den nächsten 10 bis 20 Jahren möglich sein wird.
Dadurch ist es an der Zeit, sich näher mit dem Thema zu befassen und die möglichen Konsequenzen zu beleuchten. Ein Thema, welches in dem Zusammenhang auch in den Medien bereits viel Beachtung erhalten hat, ist die Vermutung, dass Quantencomputer unsere heutigen Sicherheitsstandards stark gefährden könnten. Es wird sogar vom vollkommen transparenten Bürger gesprochen. Ob dieses Szenario oder ähnlich drastische Beeinträchtigungen der Informationssicherheit tatsächlich bereits in naher Zukunft Realität werden, soll in diesem Artikel näher ausgeleuchtet werden.
Brechen von Verschlüsselungsverfahren
Bevor die Auswirkungen auf die IT-Sicherheit bewertet werden können, sollen zunächst die Hintergründe anhand der wissenschaftlichen Entwicklung hergeleitet werden.
Mit der – im Vergleich zu klassischen Computern – enorm hohen Rechengeschwindigkeit und der spezifischen Verfahrensweisen von Quantencomputern sind diese prädestiniert, einige der bisher als besonders schwierig geltenden mathematischen Probleme in Sekundenbruchteilen zu lösen.
Wo ist nun das Problem für die IT-Sicherheit, wie wir sie heute kennen und praktizieren? Der Schutz von sensiblen Daten wird heute im Wesentlichen durch Verschlüsselung realisiert (Kryptographie). Dabei werden mathematische Probleme genutzt, die sich in die eine Richtung recht einfach konventionell berechnen lassen und gleichzeitig in umgekehrter Richtung nur mit aktuell großem Aufwand aufgelöst werden können. Ein häufig verwendetes Beispiel ist hier die Primfaktorzerlegung. Die Berechnung einer Multiplikation mit mehreren Primzahlen, selbst wenn es viele sind, ist simpel. Für den umgekehrten Weg, einen gegebenen ganzzahligen Wert in seine Primzahlfaktoren zu zerlegen, werden Faktorisierungsverfahren verwendet. Diese Aufgabenstellung ist als Faktorisierungsproblem für ganze Zahlen bekannt und kann mit den bisher bekannten Methoden derzeit nicht effizient berechnet werden. Das bedeutet, dass ein enormer (konventioneller) Rechenaufwand notwendig ist, um eine Zahl mit mehreren hundert Stellen zu faktorisieren. Die Sicherheit von Verschlüsselungsverfahren beruht in diesem Beispiel also darauf, dass die Faktorisierung zum Entschlüsseln von Nachrichten schwierig ist. Entsprechend würde hier ein effizientes Faktorisierungsverfahren zum Brechen des Verschlüsselungsverfahrens und damit zur Lesbarkeit der verschlüsselten Nachricht führen können.
An dieser Stelle kommt nun der Quantencomputer ins Spiel. Bereits 1994 entwickelte Peter Shor seinen nach ihm benannten Shor-Algorithmus [1]. Der Shor-Algorithmus nutzt Mittel der Quanteninformatik und kann damit auf einem Quantencomputer die nichttrivialen Teiler einer zusammengesetzten Zahl in kurzer Zeit errechnen. Er zählt damit zur Klasse der effizienten Faktorisierungsverfahren.
Grundlagen der Technik
Zur praktisch relevanten Nutzung – beispielsweise des Shor-Algorithmus – muss nun ein hinreichend großer und möglichst fehlerarmer Quantencomputer zur Verfügung stehen. Um eine gegebene Zahl mit N Binärstellen zu faktorisieren, benötigt ein Quantencomputer ein Quantenregister, dessen Größe linear mit der Zahl der Binärstellen wächst. Der ursprüngliche Algorithmus von Shor benötigt dabei 3*N Qubits, eine verbesserte Variante kommt dagegen sogar mit 2*N+3 Qubits aus [2].
Doch was genau ist eigentlich ein Qubit? Ein "Quantum Bit" (Qubit) ist, wie der Name es bereits vermuten lässt, das quantentechnische Pendant zum klassischen Bit. An dieser Stelle soll jedoch zunächst nicht weiter auf den physikalischen Aufbau und die besonderen Eigenschaften eines Qubit eingegangen werden, sondern auf geeignete Literatur verwiesen werden [3].
Zu berücksichtigen ist, dass die oben gemachten theoretischen Überlegungen zur notwendigen Größe eines Quantenregisters (Anzahl von nutzbaren Qubits zur Berechnung) erstmal für einen idealen, also fehlerfreien Quantencomputer gelten. In der realen Praxis ist ein Quantencomputer allerdings nicht sonderlich fehlerfrei, deshalb ist es leider notwendig, Fehlerkorrekturverfahren mit einzubeziehen. Dabei wird eine Vielzahl von physischen Qubits benötigt, um ein logisches Qubit nutzbar zu machen. Wie viel mehr physische Qubits dabei nötig sind, hängt im Wesentlichen von der Fehlerrate des eingesetzten Quantencomputers und dem verwendeten Fehlerkorrekturcode ab. Man schätzt, dass zur Faktorisierung einer 2048-Bit-Zahl etwa 10 bis 100 Millionen physischer Qubits benötigt werden [4]. Da für den fehlerfreien Fall theoretisch nur einige tausend Qubits verwendet werden müssten, ist hier also von einem Faktor von mindestens 10.000 für das Verhältnis von logischen zu physischen Qubits auszugehen.
Stand der Technik
Obwohl es sich bei dem Forschungsgebiet der Quantencomputer um eine verhältnismäßig junge Disziplin handelt, unterliegt sie, wie bereits angedeutet, einem rasanten Entwicklungstempo. So wurde die erste Idee eines universell einsetzbaren Quantencomputers erst Mitte der 80er Jahre formuliert. Schon etwa 15 Jahre später, im Jahr 2001, konnte eine Forschungsgruppe von IBM mit einem auf Kernspinresonanz beruhenden System einen Quantencomputer mit sieben Qubits verwirklichen und die erste reale Implementierung des Shor-Algorithmus umsetzen. Damals gelang es, die Zahl 15 in ihre Primfaktoren 5 und 3 zu zerlegen.
Was auf den ersten Blick trivial erscheinen mag, war tatsächlich ein bedeutender Meilenstein in der Entwicklung von Quantencomputern. Es vergingen jedoch weitere 10 Jahre, bis es Innsbrucker Wissenschaftlern 2011 gelang, die Zahl der Qubits zu verdoppeln. In einer Ionenfalle hielten sie 14 Calciumatome gefangen, die mittels Laserlicht manipuliert wurden [5]. Erneut 10 Jahre später ist es dann wiederum IBM gelungen, die Zahl der Qubits in ihrem "Eagle" genannten Quantencomputer mit 127 Qubits um den Faktor 9 zu steigern. Vor dem Hintergrund dieser Steigerungsraten ist die Ankündigung des ersten Millionen-Qubit-Rechners bereits im laufenden Jahrzehnt nicht mehr unbedingt als illusorisches Hirngespinst abzutun.
Das Ziel eines Quantencomputers mit einer Million Qubits kommt dabei nicht von ungefähr. Forscher gehen heute davon aus, dass mit dieser Zahl der erste wirklich praktisch nutzbare Quantencomputer erreicht sein könnte. Die Forschung ist sich hier jedoch noch nicht einig. Andere Forscher vermuten den hinreichend fehlertoleranten Quantencomputer schon bei 50.000 Qubits.
So geht die Jagd nach immer mehr Qubits zunächst ungebremst weiter und wir dürfen uns auf regelmäßige Meldungen mit immer größer werdenden Zahlen freuen (z. B. "Start-up meldet Quantenchip mit 256 Qubits" [6]). Dabei ist jedoch die reine Anzahl der Qubits allein nicht entscheidend. Wie bereits dargestellt ist auch die Fehlerrate und darüber hinaus auch die Tiefe des Schaltkreises relevant, also die Anzahl von Gattern, den logischen Operationen.
Schutz vor Angriffen mit Quantencomputern
Besteht nun eine akute Gefahr für alle bisher eingesetzten IT-Sicherheitsmechanismen und werden wir noch in diesem Jahrzehnt zum gläsernen Bürger? Tatsächlich legen Andeutungen des Whistleblowers Edward Snowden nahe, dass die National Security Agency (NSA) an der Entwicklung eines "kryptologisch nützlichen" Quantencomputers arbeitet [7]. Bereits 2019 hat auch Google behauptet, die "Quanten-Überlegenheit" erreichen zu können. Dabei handelt es sich um die These, nach der ein Quantencomputer in aktuell möglicher Implementierung dem schnellsten klassischen Supercomputer überlegen ist. Google nahm dabei an, dass zur Demonstration von Quantum Supremacy mindestens 49 Qubits, eine Schaltkreistiefe von über 40 und eine Fehlerrate unter einem halben Prozent erforderlich sind. Tatsächlich ist es Google-Forschern dann mit dem Quantenprozessor Sycamore gelungen, eine komplexe Berechnung in etwa 200 Sekunden durchzuführen, für die der zu der Zeit modernste Supercomputer Summit etwa 10.000 Jahre brauchen würde. Der Sycamore-Chip hatte dabei schließlich 53 Qubits.
Die in diesem Vergleich geschmähte Konkurrenz (Hersteller von Summit ist IBM) bezweifelte jedoch die Google-Ergebnisse und die damit postulierte Quantenüberlegenheit. Nach Darstellung von IBM sollen die Berechnungen der Google-Forscher einen Fehler enthalten. Die Aufgabe könne nämlich laut IBM von klassischen Systemen schon in der deutlich geringeren Zeit von etwa 60 Stunden gelöst werden. Ob nun damit die Quantenüberlegenheit tatsächlich in Frage gestellt ist, sei mal dahingestellt.
Wie lässt sich nun aber möglicherweise ambitioniertes Wunschdenken mit einer aktuell gültigen, realistischen Risikoeinschätzung vereinen? Dazu betrachten wir das Thema zunächst aus unterschiedlichen Blickwinkeln:
- Zeitlich: Wann ist mit einer (ersten wirklichen) Nutzbarkeit zu rechnen?
- Anwender: Wem steht die Technik zur Verfügung?
- Motivatoren: Welche Ziele werden vermutlich verfolgt?
- Schutzbedarf: Um welche Daten müssen wir uns kümmern?
- Schutzoptionen: Welche Maßnahmen werden vermutlich wirksam sein?
Wann kann mit einer Nutzbarkeit gerechnet werden?
Fragt man die Hersteller, werden sie vermutlich voller Stolz berichten, dass die Nutzung schon heute problemlos möglich sei. Bekanntlich steht auch in Deutschland schon der erste Quantencomputer bereit. Mit seinen 27 Qubits gehört er zwar nicht zu den stärksten Systemen seiner Zunft, dennoch ist er "up and running" und stabil genug für den industriellen Betrieb.
IBM betreibt auch bereits seit mehreren Jahren ihr sogenanntes "Quantum Network" mit heute über 30 Quantencomputern, in welchem Kunden über die Cloud auf Quantencomputer zugreifen können. Mehr als 130 Partner nutzen dieses Angebot inzwischen.
Dies kann jedoch noch nicht über die Tatsache hinwegtäuschen, dass nach aktuellem Stand noch keine geeigneten Quantencomputer vorhanden sind, die das Szenario eines problemlosen Brechens von aktueller Verschlüsselung in Sekundenbruchteilen möglich machen. Nach derzeitiger Einschätzung wird dies auch noch etwa 15 Jahre auf sich warten lassen.
Wem steht die notwendige Technik zur Verfügung?
Die Frage, ob ein Brechen der gängigen Verschlüsselungen noch 15 oder 20 Jahre dauert, beschreibt jedoch nur die eine Seite der Medaille. Wichtig zu berücksichtigen ist auch die Frage, wer Zugang zu einer solchen Technik haben wird. Tatsächlich ist es heute schon jedem möglich, auf Quantencomputer zuzugreifen – im eingeschränkten Maß sogar kostenlos [8].
Die relevante, fehlerarme und extrem effiziente Hochtechnologie wird aller Wahrscheinlichkeit nach zunächst nur einer besonders zahlungskräftigen Klientel sowie ihren Erbauern zugänglich sein. Wie sich jedoch aus bereits oben erwähnten Äußerungen eines sehr bekannten Whistleblowers ableiten lässt, muss wohl davon ausgegangen werden, dass auch ein gewisses Wettrüsten im Verborgenen stattfindet. Die Nachrichtendienste der Welt haben schon längst diesen Wettbewerbsvorteil im Cyber-Krieg für sich entdeckt.
Welche Ziele werden verfolgt?
Werden sich die NSA und staatlich finanzierte Hacker mit Zugang zu den mächtigsten Quantencomputer nun als erstes auf die Entschlüsselung von privaten Chatnachrichten stürzen? Oder werden die High-Tech-Konzerne endlich problemlos alle Passwörter unserer Onlinekonten knacken?
All jene, denen diese Möglichkeiten offenstehen, werden sich wohl eher auf lohnendere Ziele einschießen. Dies können z. B. besonders wertvolle Krypto-Wallets oder aber Ziele mit maximalem Schadenspotential wie beispielsweise Zentralschlüssel von Zertifizierungsstellen oder der Schlüssel für die Update-Signaturen von Windows sein.
Welche Daten sind gefährdet?
Was bisher schon richtig war, wird damit wohl auch in einer mittleren Zukunft gelten: Sind meine Daten wichtig oder wertvoll genug, das Interesse von maxipotenten Aggressoren zu wecken? Neben dem mittelfristigen Interessenspotential ist allerdings noch eine weitere Dimension in Betracht zu ziehen: die Zeit. Denn über die Zeit werden die Möglichkeiten einem breiteren Anwenderkreis zugänglich werden und es gilt heute schon die Devise unter allen illegitimen Interessenten: "Store now, decrypt later."
Jeder datenverantwortliche Entscheider muss sich damit also auch die Frage stellen, wie lange die betrachteten Daten sicher bleiben sollen. Ist das, was mir heute als groß und wichtig erscheint, nicht doch in einer mittleren Zukunft bereits nichtig und klein?
Welche Maßnahmen sind wirksam?
Die gute Nachricht ist: Es gibt sie, die Suche nach quantensicheren Verfahren. Darüber hinaus wurden sogar schon vielversprechende Kandidaten identifiziert. Keine wirklich tragfähigen Lösungen hingegen bieten die naheliegenden Ansätze. Wird beispielsweise die Erkenntnis extrapoliert, dass sehr lange Schlüssel heute als besonders sicher gelten, liegt es nahe, sein Heil in noch längeren Schlüsseln zu suchen. Diese Idee würde dann vermutlich sehr schnell an die Grenzen des Machbaren geraten, wenn in der Praxis Schlüssel mit der Größe von mehreren Gigabytes zu handhaben wären. Zusätzlich wäre zu berücksichtigen, dass eine lineare Steigerung der Schlüssellänge eine quadratische Erhöhung der Rechenzeit erfordert.
Auch der Ansatz, die Nadel in einem möglichst großen Heuhaufen zu verstecken und alles, auch völlig Belangloses, zu verschlüsseln, trägt vermutlich nicht wirklich zur Steigerung der Mitarbeiterzufriedenheit bei. Zumal es dann wohl auch nur weniger weiterer Quantenoperationen bedürfte, um auch diese Hürde zu nehmen.
Es sind also andere Ansätze und alternative Verschlüsselungsverfahren gefragt. Genau zu diesem Zweck hat das National Institute of Standards and Technology (NIST) schon vor mehreren Jahren einen Wettbewerb ausgelobt [9]. Wir befinden uns hier bereits auf der Zielgeraden, denn erste Standards sollen bereits dieses Jahr verabschiedet werden. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei experimentelle Verfahren benannt, die es für sicher hält, und hat einen Leitfaden zum aktuellen Stand der quantensicheren Kryptographie veröffentlicht [10]. Ebenso war die Internet Engineering Task Force (IETF) nicht untätig und hat ein geeignetes zustandsbehaftetes hashbasiertes Signaturverfahren als möglichen Schutz identifiziert und standardisiert [11].
Fazit – Was ist jetzt zu tun?
Wobei das "Jetzt" tatsächlich im Wortsinn zu verstehen ist. Dazu zuallererst mal der durchaus ernst gemeinte Rat: "Don’t panic". Ja, es wird noch eine Weile dauern, bis allgemein genutzte Systeme durch Quantencomputer in ihrer Sicherheit ernsthaft bedroht sein werden. Lassen Sie uns die Zeit nutzen!
Heute bereits mit Sicherheit zu erkennen ist, dass andere Techniken und Verfahren zur Verschlüsselung von Daten eingesetzt werden müssen, um diese "quantensicher" zu machen. Die beste Maßnahme, die bereits jetzt in Angriff genommen werden kann, ist die sogenannte "Krypto-Agilität". Damit wird die Fähigkeit beschrieben, Verschlüsselungsverfahren flexibel ändern zu können. Ist dies gegeben, sind Administratoren überhaupt erst gewappnet, geeignete quantensichere Verfahren für bestehende Daten einzusetzen.
Der andere wesentliche Aspekt ist die gute alte Schutzbedarfsfeststellung. Sie erlaubt es uns, die Daten einzugrenzen, die überhaupt erst über ein hinreichendes Schutzbedürfnis (im jeweils zugrunde gelegten zeitlichen Horizont) verfügen. Wichtig ist in diesem Zusammenhang auch, den Blick von der Fokussierung auf Server, Endgeräte und Handys zu heben und auch alle weiteren betriebsrelevanten technischen Geräte mit einzubeziehen. Dazu zählt neben langfristig genutzten Investitionsgütern (z. B. Anlagen oder langlebige Transportmittel) auch Technik, die sich nur sehr schwer verändern oder austauschen lässt. Man denke hier beispielsweise an IoT-Geräte, die baulich integriert werden (z. B. Sensoren in Wänden oder Fußböden).
Eine konsequent betriebene und kontinuierlich verbesserte Risikobewertung ist also heute schon der maßgebliche Schlüssel für die notwendige Sicherheit in einer Post-Quanten-Ära.
- Wikipedia: Shor-Algorithmus
- C. Gidney, M. Ekerå: How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits
- Der unglaubliche Quantencomputer einfach erklärt: Die Qubits einfach erklärt
- MIT Technology Review: How a quantum computer could break 2048-bit RSA encryption in 8 hours
- Universität Innsbruck: Mit 14 Quantenbits rechnen
- heise: Neuer Rekord bei Quantencomputern: Start-up meldet Quantenchip mit 256 Qubits
- Washington Post: NSA seeks to build quantum computer that could crack most types of encryption
- IBM: Real quantum computers.Right at your fingertips.
- NIST: Post-Quantum Cryptography
- BSI: BSI veröffentlicht Leitfaden zum aktuellen Stand der quantensicheren Kryptografie
- datatracker: XMSS: eXtended Merkle Signature Scheme