Infineon

Firmware-Sicherheit im Post-Quantum-Zeitalter

5. Oktober 2022, 15:44 Uhr | Guillaume Raimbault

Ihre herkömmlichen Rechnern weit überlegene Rechenleistung ermöglicht es Quantencomputern, konventionelle Verschlüsselungsverfahren zu brechen. Wie aber sollte Kryptografie weiterentwickelt werden, um wirksamen Schutz in einer Post-Quantum-Welt bieten zu können?

Quantencomputer nutzen quantenmechanische Phänomene, um mathematische Aufgaben zu lösen, die konventionelle Computer aufgrund ihrer vergleichsweise niedrigen Rechenleistung nicht bewältigen können. In kleinem Maßstab hat sich die Technologie bereits bewährt und ihre Leistungsfähigkeit wird durch kontinuierliche Forschung und Entwicklung in Wissenschaft und Industrie stetig weiter gesteigert. Auch Regierungen stellen für die Weiterentwicklung erhebliche Mittel zur Verfügung: Die EU beispielsweise investiert 1 Mrd. Euro, die USA 1,2 Mrd. Dollar. Infolgedessen gehen viele Experten davon aus, dass bis zum Jahr 2040 ein universeller Quantencomputer zur Verfügung stehen wird.

Insbesondere in Bereichen wie der Künstlichen Intelligenz wird die Quanteninformatik einige Vorteile bringen. Doch gleichzeitig stellt deren bahnbrechendes Potenzial, aktuelle kryptografische Algorithmen zu brechen, eine globale Bedrohung für die Computer- und Internetsicherheit dar: Mit einem Quantencomputer, der den ganzzahligen Faktorisierungsalgorithmus von Shor verwendet, können selbst asymmetrische Kryptosysteme wie RSA/ECC kompromittiert werden. Eine Vergrößerung der Schlüssellänge würde die Sicherheit kaum verbessern, deshalb wird eine neue Art von asymmetrischen Algorithmen entwickelt.

Für die meisten symmetrischen kryptografischen Algorithmen dagegen dürften die Auswirkungen der Quantencomputertechnologie weniger bedenklich sein. Hier ist Grovers Schlüsselsuch- Algorithmus der wohl bekannteste Cyberangriff. Doch anstelle der exponentiellen Beschleunigung anderer Ansätze erreicht Grovers Algorithmus nur eine deutlich geringere Beschleunigung (Bild 1).

Die effektive Schlüssellänge gängiger symmetrischer Algorithmen (AES, SHA-2 oder SHA-3) wird durch Grovers Algorithmus halbiert. Deshalb kann davon ausgegangen werden, dass AES-256 und SHA-256 für die meisten Anwendungen weiterhin ausreichend sicher sind.

Neue Sicherheitsmaßnahmen notwendig – jetzt!

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Oft gelten Quantencomputer als eine weit in der Zukunft liegende und kostspielige Technologie, darum ist die Dringlichkeit für neue Sicherheitsmaßnahmen nicht unmittelbar ersichtlich. Für Endverbraucher-Anwendungen wie Smartphones, Tablets und Bankkarten trifft dies auch zu, da diese einen verhältnismäßig kurzen Lebenszyklus haben und sicherlich noch mehrmals aufgerüstet werden, bevor ausreichend starke Quantencomputer überhaupt verfügbar sind. Bei großen Anlagen, wie beispielsweise Kraftwerken, Flugsicherungssystemen, großen Fabriken und Chemieanlagen, ist das jedoch anders: Diese haben oft eine Lebensdauer, die über den möglichen Zeitpunkt der Einführung von Quantencomputern hinausgeht. Ebenfalls betroffen sind moderne Fahrzeuge, die häufig Over-the-Air (OTA) Software-Updates erhalten und mit einer geschätzten Lebensdauer von über einem Jahrzehnt wohl auch in der Post-Quantum-Welt noch in Betrieb sein werden.

Zwar ist es unwahrscheinlich, dass in naher Zukunft viele kryptoanalysefähige Quantencomputer zum Einsatz kommen. Doch wenn auch nur einer in falsche Hände gelangt, ist die Wahrscheinlichkeit groß, dass kritische Infrastrukturen infiltriert werden können. Im Laufe der Zeit wird sich das Problem der Post-Quantum-Sicherheit dann weiterentwickeln und ausweiten. Es ist unwahrscheinlich, dass es kurzfristig eine dauerhafte Lösung geben wird. Trotzdem sollten Hersteller, deren Produkte auch nach 2030 noch im Einsatz sind, die Risiken der Quanteninformatik so weit wie möglich entschärfen.

Normen für Post-Quantum- Computing

2017 begann das US-amerikanische National Institute of Standards and Technology (NIST) mit der Entwicklung von Normen und forderte zur Einreichung von Vorschlägen für quantensichere Verschlüsselung mit öffentlichen Schlüsseln, Schlüsselaustausch und digitalen Signaturen auf. Aus den Einreichungen wählte das NIST die 26 vielversprechendsten Verfahren aus und erlaubte den Autoren, ihre Vorschläge zu überarbeiten, um von dem während des Prozesses gewonnenen Know-how zu profitieren. Im Juli 2020 wurden die 26 Vorschläge auf 15 reduziert, die anschließend zur Prüfung der Hardware-leistung eingereicht wurden. Bis 2024 sollen nun Entwürfe für die Normen vorliegen, von denen das NIST vermutlich nur eine oder mehrere Alternativen auswählen wird. Möglicherweise wird der Prozess aber auch über 2024 hinaus fortgesetzt, um mit den neuen Bedrohungen Schritt halten zu können. In der Zwischenzeit kommen zustandsabhängige Hash-basierte Signaturen als Zwischenlösung in Betracht.