Es heißt, es gäbe bald Quantencomputer und sie würden die Welt komplett verändern. So eine Aussage hört man meist nur bei Revolutionen im Bereich der Physik oder Medizin, aber dennoch werden Quantencomputer Änderungen mit sich bringen – Änderungen im Bereich der IT-Sicherheit.
Schon seit Jahrzehnten gibt es Diskussionen rund um Quantencomputer, die – neben anderen Dingen – auch schnell Chiffren entschlüsseln könnten. Das Ganze blieb bisher aber nur ein utopisches Konzept. Doch nun haben wir den Wendepunkt erreicht: Im August veröffentlichte die amerikanische National Security Agency (NSA) eine neue Auflage ihrer Sicherheitsempfehlungen für die Industrie. Ironischerweise arbeitet die NSA, die für ihre weitläufigen Überwachungsmethoden berüchtigt ist, hier genau entgegengesetzt.
Die Organisation wurde geschaffen, um geheime Staatsinformationen zu schützen sowie staatlichen Einrichtungen und privaten Anwendern Empfehlungen zu den bevorzugten und effizientesten Verschlüsselungsmethoden und anderen Datenschutzmaßnahmen zu geben. Die Diskussion um Quantencomputer wurde vor allem dadurch erneut befeuert, dass sich die Agentur vom bisher empfohlenen Verschlüsselungsstandard SUITE B verabschiedet.
Diese Entscheidung erklärt die NSA mit aktuellen Fortschritten in Physik und Technologien, die sich viel schneller entwickelten, als bisher angenommen. Die Agentur sagt dazu, dass Quantencomputer bald Realität werden und existierende Systeme, die auf Verschlüsselung, digitalen Signaturen oder Key-Austausch basieren, schwächen könnten, so dass diese einer neuen Generation von Angriffen schutzlos ausgeliefert wären.
Do you know what #quantum #cryptography is? Find out over at Kaspersky Daily! http://t.co/y7JJ4bieTW
— Kaspersky (@kaspersky) October 7, 2013
Einfach gesagt, zieht die NSA ältere Empfehlungen zu Verschlüsselungen zurück, stellt aber keine neuen vor, sondern empfiehlt den Anwendern, die damit in der Luft hängen, bis zu den nächsten Ausgaben ihrer Empfehlungsschreiben zu warten. Doch die sind noch nicht in Sicht, so dass wir uns nur über mögliche Entwicklungen und Auswirkungen der Quantenrevolution Gedanken machen können:
In der Theorie
Webseitenzertifikate, digitale Signaturen für Software sowie die verschlüsselte Kommunikation beim Online-Banking, bei Instant-Messengern und anderen praktischen Apps, verlassen sich alle auf recht einfache, mathematische Tricks.
Sie nutzen ein Verschlüsselungsprinzip, das auf asymmetrischen Schlüsseln basiert. Das bedeutet, dass der Verschlüsselungs- und Entschlüsselungsprozess mit einem Paar „mathematisch“ verknüpfter Schlüssel (Keys) erfolgt, wobei der Verschlüsselungs-Key öffentlich verfügbar ist, der Entschlüsselungs-Key aber nur dem eigentlichen Besitzer zur Verfügung steht (einer Bank, einem App-Entwickler usw.).
Crypto: a breakdown in the reliability of current standards & need of ‘post-quantum cryptography’ #KL2016Prediction https://t.co/B7EodEKlPM
— Kaspersky (@kaspersky) November 17, 2015
Dieser mathematische Kniff setzt voraus, dass zwar der öffentliche Key bekannt, der private Key aber nicht in kurzer Zeit entschlüsselt werden kann. Doch da können die kommenden Quantencomputer zum Problem werden. Denn heutige Computer würden zwar Tausende von Jahren benötigen, um die recht lange Zahlenfolge, die ein privater Key ist, zu berechnen, ein Quantencomputer jedoch würde das in wenigen Minuten schaffen.
Ist das eine realistische Gefahr? Nun, die potenziell grundlegende Veränderung ist riesig. Die komplette Online-Kommunikation würde ihrer Privatsphäre beraubt werden, und Cyberkriminelle könnten sich ganz einfach als große Bank oder sogar als der allmächtige Apple-Konzern tarnen, denn es gäbe keine Möglichkeit mehr, die Identität online zu prüfen. Pessimisten rufen schon jetzt, „Das Ende ist nahe!“ Ich als Optimist antworte darauf: „Diese Bedrohung ist total vordergründig. Da gibt es garantiert noch mehr!“
David Cameron against #Encryption: https://t.co/fJFAsdGb9v
— Kaspersky (@kaspersky) January 16, 2015
Wissenschaft
Bis vor kurzem schliefen auch die Menschen noch ruhig, die sich über die oben genannten Punkte bereits Sorgen machen. Denn Forscher, die an Quantencomputern arbeiteten, standen vor zwei grundlegenden Problemen: Zum einen ist es schwer, den Zustand des Quantensystems (also der Lösung des mathematischen Problems) zu berechnen. Zum anderen sind die so genannten „qubits“ (oder „Quantum-Bits“) sehr instabil und können kaum in einem stabilen Zustand gehalten werden: Je mehr qubits ein System hat, desto instabiler wird es. Das bedeutet, dass existierende Quantencomputer auf zwei oder vier qubits basieren, doch das Knacken aktueller Verschlüsselungssysteme würde Hunderte oder sogar Tausende qubits benötigen!
Ein Vier-qubit-Chip. Foto: Eric Lucero, Martinis Group, University of California, Santa Barbara
Vor ein paar Jahren war noch anerkannt, dass die Entwicklung eines praxistauglichen Quantencomputers (der eine echte Gefahr für Verschlüsselungsalgorithmen darstellen würde) noch zwei bis vier Jahrzehnte dauern würde. Allerdings hat sich die Entwicklung unerwarteterweise beschleunigt. Kürzlich machte ein erfolgreiches Project von Forschern der australischen University of New South Wales Schlagzeilen: Die Forscher hatten es geschafft, ein Quanten-Logikgatter zu erstellen.
Die Lösung, die von der Gruppe vorgeschlagen wird, ist sogar noch faszinierender, da sie dafür aktualisierte Silikonchips verwendeten, so dass ein möglicher Quantencomputer relativ günstig, skalierbar und mit normalen PCs kompatibel sein würde. Der einzige Nachteil ist, dass dafür ultra-tiefe Temperaturen benötigt werden, um die Zahl der qubits ohne großen Aufwand auf Hunderte oder Tausende zu bringen.
Das beste Szenario geht davon aus, dass in bereits fünf Jahren die ersten Quantencomputer mit einer anständigen Zahl von qubits zur Verfügung stehen werden. Um eine wirkliche Gefahr für aktuelle Verschlüsselungsmethoden darzustellen, müssen sich Quantencomputer dann aber ein weiteres Jahrzehnt entwickeln. Pessimisten bleiben dagegen bei der früheren Vorhersage und gehen nach wie vor von mehreren Jahrzehnten aus.
Realisten meinen, dass Quantenalgorithmen noch schwammig sind und erst noch genau studiert und analysiert werden müssten, so dass Quantencomputer gar keine Verschlüsselungssysteme knacken könnten. Die Zukunft wird es zeigen, doch wenn die Optimisten Recht behalten, sollten wir anfangen, uns darauf vorzubereiten.
Diese Vorbereitung kann gleichzeitig einfach und schwer sein. Um die Quanten-Ära einzuleiten, müssen aktuelle Verschlüsselungsprotokolle auf Nach-Quanten-Algorithmen (also solche, die nicht von Quantencomputern geknackt werden können) migriert werden.
Advantech ICS Gear Still Vulnerable to Shellshock, Heartbleed: https://t.co/q9fuyWjMFP via @threatpost pic.twitter.com/ZsObYrDk3f
— Kaspersky (@kaspersky) December 2, 2015
Allerdings sollten wir an die Erfahrungen der letzten zwei Jahre denken: Veraltete und/oder fehlerbehaftete Installationen von Verschlüsselungssystemen, die für Heartbleed– oder POODLE-Angriffe anfällig sind, werden nach wie vor sogar von großen Unternehmen eingesetzt. Das bedeutet, dass sogar zuverlässige Sicherheitslösungen nicht schnell genug in dieser Größenordnung eingesetzt werden können. Und deshalb sollten wir uns bereits heute über die Verschlüsselung in der Quanten-Ära Gedanken machen.
Juan-Andreas Guererro-Saade, einer der Forscher von Kasperskys Global Research and Analysis Team (GReAT) sagt dazu im 2016 Cybersecurity Forecast: „Wenn man die vielen unaktualisierten Installationen oder falschen Implementierungen von qualitativ hochwertigen Verschlüsselungen bedenkt, können wir keinen sanften Übergang voraussagen, mit dem kryptografische Fehlfunktionen abgefedert werden könnten.“
Glücklicherweise haben manche Industrieorganisationen wie NIST bereits den Standardisierungsprozess gestartet. Derzeit diskutieren die Experten die Möglichkeit, dass neuere Algorithmen ältere wie RSA und ECDH ersetzen, die in der Quanten-Ära unzuverlässig werden könnten.
GReAT's Predictions for 2016: The End of APT's is Upon Us #KL2016Prediction https://t.co/pIaETRXtl2
— J. A. Guerrero-Saade (@juanandres_gs) November 17, 2015
Anleitung für die Praxis
Was sollte also ein normaler, besorgter Anwender tun, während er auf die Ankunft der Quantenapokalypse wartet? Zunächst einmal sollte er die ECHTEN Bedrohungen und den Wert seiner potenziell angreifbaren Daten kennen.
Digitale Zertifikate für Online-Banking und Apps sind befristet, so dass sie zu dem Zeitpunkt, an dem Quantencomputer zur Verfügung stehen, bereits ungültig sein werden. Man kann nur hoffen, dass die neueren Zertifikate dann bereits mit Algorithmen signiert wurden, die Quantenangriffen gegenüber standhalten.
Firmen, die Bedrohungen analysieren (inklusive Kaspersky Lab), werden wahrscheinlich eine Art „Quantenklasse“ für Webseiten-Sicherheitsprüfungen einführen – etwa einen roten Warnhinweis in der Adresszeile des Browsers, wenn eine Webseite veraltete Verschlüsselung nutzt. Dieser Ansatz könnte auch für digitale Signaturen für Apps oder die Verschlüsselung des Datenverkehrs bei Instant Messengern verwendet werden. Sie alle werden voraussichtlich zuverlässig geschützt sein, wenn Quantencomputer Realität werden.
Was ist also die große Bedrohung? Die Gefahr ist, dass Organisationen wie die NSA eine riesige Menge des heute verschlüsselten Datenverkehrs ausspionieren können. Bisher ist das nur eine Masse nutzloser Informationen, die in Datenzentren gespeichert wurde und auf die nächste Generation der Quantentechnologie wartet, um schließlich entschlüsselt zu werden.
Wie eine Welt mit #Quantencomputern aussehen könnte & was das für Sie bedeutet. #Verschlüsselung
Tweet
Wichtig ist dabei ein einziger Faktor: Der Wert Ihres Datenverkehr für die Spione und ob er es wert ist, gespeichert und entschlüsselt zu werden. Wären die Informationen in den nächsten 10 bis 20 Jahren immer noch genauso wertvoll? Für manche Anwendergruppen könnte die Antwort „ja“ lauten: Etwa Auftragnehmer mit Zugriff auf hochgeheime Informationen, Reporter, Ärzte und Anwälte, die mit vertraulichen Quellen arbeiten, oder Aktivisten, die gegen repressive Regierungen kämpfen.
Wer zu einer dieser Gruppen gehört, sollte sein Risiko analysieren und schon heute Nach-Quanten-Methoden zum Schutz seiner vertraulichen Daten anwenden, um auch in der Zukunft vor unschönen Konsequenzen verschont zu bleiben.
Es gibt einige Ansätze, die dabei helfen können:
- Vermeiden Sie asymmetrische Keys. Der Kaspersky-Experte Victor Alyushin dazu: „Quantenalgorithmen können Probleme der NP-Vollständigkeit lösen, die die Basis für die heutige asymmetrische Verschlüsselung bilden. Damit werden elliptische Verschlüsselungen und RSA, El-Gamal-Signaturen und -Verschlüsselungen sowie Diffy-Hellman-Algorithmen kompromittiert.“Die Lösung könnten entweder alternative Key-Austauschprotokolle oder der physikalische Austausch der Keys sein. Der mobile Messenger Threema verlangt zum Beispiel, dass beide Gesprächspartner QR-Codes auf ihren Handys austauschen, so dass die weitere Kommunikation wirklich geschützt ist.
- Verwenden Sie stärkere Verschlüsselung. Auch wenn Quantencomputer noch in der Zukunft liegen, sitzen Hacker nicht faul herum, sondern entwickeln laufend neue und anspruchsvollere Angriffe. Die Nutzung der stärkeren RSA-8192- oder P-256-Keys ist daher für vertrauliche Dokumente absolut gerechtfertigt.
- Nutzen Sie stärkere symmetrische Verschlüsselungsalgorithmen. „Quantencomputer können Passwörter und symmetrische Verschlüsselungs-Keys schnell knacken: Ein Quantencomputer schafft es zum Beispiel, einen 2N-Byte langen Key in der gleichen Zeit zu knacken, die ein normaler Computer für einen N-Byte langen Key benötigt. Daher ist es sinnvoll, die Länge symmetrischer Keys zu verdoppeln, um den gleichen Schutz zu gewährleisten“, so Alyushin.Bedenken sollte man, dass Angriffe auf AES immer häufiger und ausgefeilter werden. Und auch wenn sie meist keinen Erfolg haben, so ist empfehlenswert, bereits auf eine 256-Bit-Verschlüsselung zu wechseln, selbst wenn man die kommende Quantengefahr noch gar nicht in Betracht zieht.
#ICYMI Prime Diffie-Hellman Weakness May Be Key to Breaking Crypto: https://t.co/uI1hDBqsvz via @threatpost pic.twitter.com/sLynrjtcu7
— Kaspersky (@kaspersky) October 19, 2015
- Verwenden Sie experimentelle Quantenlösungen. Diese haben unterschiedlichen praktischen Wert, sind nicht immer ganz bequem und ihr kryptografischer Schutz ist in manchen Fällen fraglich. Wenn Sie aber gerne neue Technologien ausprobieren, empfehlen wir Ihnen, unseren kurzen Artikel zu existierenden Tools, die auf den vielversprechendsten Verschlüsselungssystemen basieren, zu lesen.
Der unerwartete Epilog
Auch wenn Quantencomputer die Belastungsgrenze der Internetsicherheit überschreiten und zu einigen skandalösen Datendiebstählen führen können, sollten wir immer daran denken, dass dies noch Jahre in der Zukunft liegt. Allerdings hatten die meisten Hacks und Datendiebstähle all der Jahre meist recht triviale Gründe: Installationsfehler, Sicherheitslücken in Software, schwache Passwörter und andere unverantwortliche Sicherheitspraktiken.
For #DPD15, we look at 2014’s top data leaks on Kaspersky Daily. https://t.co/lEpy81gdBl #databreach #cybercrime pic.twitter.com/XITXMW9NLe
— Kaspersky (@kaspersky) January 28, 2015
Wer sich also am Beginn des Zeitalters der Quantencomputer um seine Daten sorgt, sollte sich vor allem darauf konzentrieren, die richtigen Speicherarten für wertvolle Informationen zu wählen, seine Kommunikationskanäle zu schützen, robuste Verschlüsselung einzusetzen und zuverlässige Sicherheitslösungen zu verwenden. Das hilft, wichtige Daten zu schützen, bevor Quantencomputer zur alltäglichen Realität werden.