Welche Verschlüsselungsverfahren gibt es?
Grundsätzlich gibt es zwei Verschlüsselungsverfahren, die symmetrische und die asymmetrische. Die symmetrische Verschlüsselung verwendet denselben Schlüssel zum Verschlüsseln und zum Entschlüsseln, was bedeutet, dass der Sender und der Empfänger den gleichen Schlüssel besitzen müssen. Dieses System hat den Nachteil, dass der gemeinsame Schlüssel über einen sicheren Kanal verteilt werden muss. Um diesen Nachteil zu umgehen, wurde in den 1970er Jahren die asymmetrische Verschlüsselung entwickelt. Sie verwendet ein Schlüsselpaar bestehend aus einem öffentlichen Schlüssel zum Verschlüsseln und einem privaten Schlüssel zum Entschlüsseln. Der öffentliche Schlüssel wird frei verteilt, während der private Schlüssel geheim bleibt. Dies ermöglicht eine sichere Kommunikation ohne die Notwendigkeit, einen gemeinsamen geheimen Schlüssel im Voraus auszutauschen. Das asymmetrische Verfahren schuf die Basis für den heutigen Informationsaustausch im Internet wie E-Banking usw. Für die Post-Quanten-Kryptographie ist eigentlich nur die asymmetrische von Bedeutung.
Wie funktioniert die asymmetrische Verschlüsselung?
Das asymmetrische Verschlüsselungsverfahren basiert auf schwierigen mathematischen Problemen. Also Problemen, die von einem Computer nicht in schneller Zeit gelöst werden können, bspw. die Faktorisierung von grossen Zahlen. Die Zahl 91 können auch wir als Menschen noch in die zwei Primfaktoren 13 und 7 zerlegen, Bei einer 600-stelligen Zahl braucht ein Computer Millionen von Jahren, weil es keinen schnellen Algorithmus dazu gibt. Auf dieser Einwegfunktion basiert die Sicherheit der Verschlüsselung: die Multiplikation ist einfach, aber die Faktorisierung, als die Zerlegung der Zahl in ihre Multiplikatoren, sehr schwierig. Die Faktorisierung einer grossen Zahl in Primzahlen, das sogenannte RSA-Verfahren, ist nur eines der möglichen Verfahren.
Warum stellen Quantencomputer eine Gefahr für diese Verschlüsselungsverfahren dar?
In den 90er Jahren entwickelte Peter Shor einen Algorithmus, mit dem ein Quantencomputer die Faktorisierung innerhalb von Stunden berechnen kann. Damals waren Quantencomputer nur Theorie, heute gibt es sie. Und sie werden immer leistungsstärker.
Ist die heute gebräuchliche Verschlüsselung also noch sicher?
Jein. Stand heute ist das RSA-Verfahren, das seit 50 Jahren angewendet wird, sicher. Aber durch die Zunahme der Rechenleistung werden Quantencomputer in der Zukunft in der Lage sein, Informationen, die heute mit diesen Verfahren geschützt sind, zu entschlüsseln. Wann wird es so weit sein? Es gibt verschiedene Schätzungen, aber genau kann es niemand sagen. Das National Institute of Standards and Technology (NIST) in den USA bspw. geht davon aus, dass es 2030 kryptographisch relevante Quantencomputer geben wird, die für die Kryptographie eine Gefahr darstellen. Es gab und gibt verschiedene Schätzungen, wie viele Quantenbits, kurz Qubits, es braucht, damit ein Quantencomputer den Algorithmus von Shor oder auch andere Algorithmen anwenden kann, die die Verschlüsselung knacken können. Anfangs wurde von Milliarden von Qubits ausgegangen, aber in den letzten Jahren hat sich sehr viel getan. Heute geht man von einer Grössenordnung von 10'000 Qubits aus. IBM hat letzten Herbst 1’100 Qubits erreicht. Die Zahl wird in den nächsten Jahren steigen, und irgendwann wird der Q-Day kommen. Heute haben wir auch das Problem, dass Quantencomputer und Qubits sehr fehleranfällig sind. Aber auch in diesem Bereich werden mehr Durchbrüche gemacht, um die Fehlerkorrektur oder Fehlerverringerung zu beschleunigen.
Wann wird es so weit sein?
Es gibt verschiedene Schätzungen, aber genau kann es niemand sagen. Das National Institute of Standards and Technology (NIST) in den USA bspw. geht davon aus, dass es 2030 kryptographisch relevante Quantencomputer geben wird, die für die Kryptographie eine Gefahr darstellen. Es gab und gibt verschiedene Schätzungen, wie viele Quantenbits, kurz Qubits, es braucht, damit ein Quantencomputer den Algorithmus von Shor oder auch andere Algorithmen anwenden kann, die die Verschlüsselung knacken können. Anfangs wurde von Milliarden von Qubits ausgegangen, aber in den letzten Jahren hat sich sehr viel getan. Heute geht man von einer Grössenordnung von 10'000 Qubits aus. IBM hat letzten Herbst 1’100 Qubits erreicht. Die Zahl wird in den nächsten Jahren steigen, und irgendwann wird der Q-Day kommen. Heute haben wir auch das Problem, dass Quantencomputer und Qubits sehr fehleranfällig sind. Aber auch in diesem Bereich werden mehr Durchbrüche gemacht, um die Fehlerkorrektur oder Fehlerverringerung zu beschleunigen.
Welche neuen Verfahren, die einem Quantencomputer widerstehen, stehen zur Ablösung bereits zur Verfügung?
2022 hat das NIST im Rahmen eines mehrjährigen Wettbewerbs vier Algorithmen ausgewählt, die quantensicher sind: Zwei CRYSTALS-Algorithmen, CRYSTALS-Kyber und CRYSTALS-Dilithium, sowie FALCON und SPHINCS+. Noch in diesem Sommer wird das NIST die neuen Standards öffentlich publizieren. Dies werden die neuen Standards sein, um die digitale Welt für die nächsten Jahrzehnte sicher zu machen. An diesem mehrjährigen Wettbeweb konnte jeder teilnehmen, und Kryptographinnen und Kryptographen weltweit haben versucht, die eingegebenen Verschlüsselungsalgorithmen zu knacken. Logischerweise sind viele rausgeflogen, und am Ende hat das NIST die genannten vier Algorithmen ausgewählt, weil sie am sichersten und auch am praktikabelsten sind. Europa ist in diesem Bereich übrigens führend. Alle vier ausgewählten Verfahren sind primär von Instituten aus Europa entwickelt worden, drei der vier Algorithmen massgeblich von uns am IBMForschungslabor in Rüschlikon.
Für welche Bereiche werden die Algorithmen verwendet?
CRYSTALS-Kyber ist ein Algorithmus für den sicheren Schlüsselaustausch über einen öffentlichen Kanal. Er ersetzt bekannte Verfahren wie das Diffie-Hellman-Verfahren und ist im Gegensatz zu diesen sicher gegen Quantencomputer. Die drei anderen Algorithmen sind Verfahren für digitale Signaturen, um die Authentizität von Zertifikaten, Dokumenten, Softwareupdates usw. zu beweisen.
Ab wann und für wen gilt der neue NIST-Standard?
Standard heisst, dass man sich darauf einigt, wie man verschlüsselt und kommuniziert. Die US-Regierung macht das nicht nur für sich selbst, sondern für das gesamte Ökosystem, also auch für die Finanzindustrie und andere. Die US-Regierung hat in einer Roadmap festgelegt, wann und in welchen Anwendungen die neuen Algorithmen integriert werden müssen. Die Standards des NIST sind massgeblich für ganz viele Bereiche in den USA, haben aber auch eine weltweite Wirkung. Auch in Europa referenzieren Behörden auf das NIST. Die Standardisierung hat Signalwirkung: Die Verschlüsselung einer Lösung wird typischerweise zertifiziert. Softwarehersteller, die die US-Regierung und auch den US-Markt beliefern, müssen diese Zertifizierungen vorweisen. Die Käufer möchten nicht 20 verschiedene Algorithmen implementieren. Daher wird auch die Privatwirtschaft nachziehen, da Kryptographie überall eingesetzt wird und alle betroffen sind.
Haben IBM und die anderen Entwickler ein Patent auf ihre Algorithmen?
Nein. Eine der Vorgaben des Wettbewerbs war, dass die eingereichten Verfahren nicht mit Patenten belastet sein dürfen. Alle eingereichten Algorithmen sind öffentlich als Open Source verfügbar und müssen frei von Intellectual Property Rights sein. Es ist wichtig, dass die Algorithmen transparent für alle einsehbar sind und geprüft werden können.
Wann findet die Ablösung der heutigen Verschlüsselungen durch die neuen Algorithmen statt?
Sie hat bereits angefangen. Bei IBM haben wir in unseren Grossrechnern schon 2022, vor der Bekanntgabe des NIST, die Algorithmen implementiert. Verschiedene Cloud-Provider bieten die Algorithmen an, im Google Chrome Browser sind sie schon integriert und Apple hat beim Sicherheitsupdate von iMessage im Februar bekannt gegeben, dass neu CRYSTALS-Kyber verwendet wird. Nun geht es darum, dass sich Unternehmen und Dienstleister auf diese Umstellung vorbereiten können. Es soll nicht so werden wie beim Jahr-2000-Problem. Damals hat man die Umstellung relativ spät gemacht und es ist sehr teuer geworden. Jetzt haben wir noch etwas mehr Zeit, aber es steht und fällt damit, ob wir es rechtzeitig angehen und ob es schlau geplant wird.
Wo sehen Sie die Schwierigkeiten beim Wechsel zu den neuen Verfahren?
Ist der Aufwand gross? Bis jetzt hat sich nie wirklich jemand viel Gedanken zu den verwendeten Kryptographien gemacht. Sie haben existiert, sie wurden eingesetzt. Niemand hat ein Inventar gemacht, wo welche Verfahren in der heute sehr komplexen IT-Umgebung angewendet werden, da nie geplant war, die Kryptographie zu ersetzen. Man muss zuerst verstehen, wie die relevanten Datenströme verschlüsselt sind. IBM unterstützt Organisationen bei der Umstellung: Wie bereitet man sich vor? Was soll priorisiert werden? Wie organisiert und orchestriert man das Ganze? Und wie stelle ich effizient über einen gewissen Zeitraum um, ohne dass es sehr viel Geld und Kopfschmerzen bereitet? Die Umstellung ist sehr komplex, weil es in der heutigen IT-Landschaft viele Abhängigkeiten gibt. Eine Firma bezieht einen Grossteil ihrer Software oder zumindest Komponenten davon von verschiedenen Anbietern oder direkt aus der Cloud. Die Umstellung hat dadurch viele Abhängigkeiten, da die Systeme weiterhin miteinander kompatibel sein müssen. Bspw. muss eine Bank sicherstellen, dass die Umstellung nicht nur im E-Banking-Backend erfolgt, sondern dass auch alle Bankkunden, sprich die von ihnen verwendeten Browser, dazu in der Lage sind. Bei heutigen Initiativen, in denen Workloads in Clouds oder Container in Cluster verschoben werden, sollte die Quantum-Safe-Thematik von Anfang an integriert sein. Dies retrospektiv umzustellen ist viel komplexer und teurer. Hier gibt es das Konzept der Kryptoagilität, bei der Kryptographie nicht tief im Code eingebettet werden muss, sondern als Cryptography as a Service externalisiert wird. Somit kann Kryptographie besser und einfacher verwaltet und verwendet werden. Das BSI in Deutschland hat kürzlich eine Empfehlung zu Kryptoagilität publiziert, die Firmen als Leitfaden dient.
zweiter Teil des Interviews
Die von IBM im NIST-Wettbewerb eingereichten Algorithmen sind jetzt der neue Standard. In welchen Bereichen der Kryptographie forscht ihr noch?
Gute Frage. Grundsätzlich könnte man sagen, dass die Forschung mit der Einreichung der Algorithmen 2017 abgeschlossen ist. Wir haben uns aber sehr aktiv an diesem Prozess bis zur Standardisierung beteiligt und auch weitere Dinge entwickelt. Unter anderem wurde vom NIST ein neuer Wettbewerb gestartet, um neue, noch kompaktere digitale Signaturen zu finden. Unsere Kryptographinnen und Kryptographen sind natürlich auch damit beschäftigt, Protokolle auf die neuen Verfahren umzustellen. Zudem forschen wir auch an der sicheren Implementierung der neuen Algorithmen in Code. Hier gibt es viele Herausforderungen, etwa verletzliche Seitenkanäle und die Performance. Wenn ein Server tausende Anfragen pro Sekunde erhält, kommt es auf jede Millisekunde an. Da spielen Skaleneffekte mit. IBM Research in Rüschlikon ist somit in der Industrie-Sicherheitsforschung weltweit einzigartig. Das Fachwissen und auch die praktische Umsetzung auf diesem Niveau gibt es nur hier.
Sind wir bereit für den Q-Day?
Ich würde sagen noch nicht. Ich möchte aber keinen falschen Alarmismus verbreiten. Es geht darum, dass man sich vorbereitet und ein breites Bewusstsein schafft. Wir haben noch Zeit, aber die leistungsfähigen Quantencomputer werden kommen. Dennoch gibt es ein Szenario, mit dem man sich heute schon auseinandersetzen muss: Harvest Now, Decrypt Later. Heute können verschlüsselte Daten gesammelt werden, um sie später mit Quantencomputern zu entschlüsseln. Deshalb müssen sich Organisationen Gedanken machen, welche Daten besonders schützenswert sind und bereits frühzeitig Massnahmen ergreifen und so Risiken minimieren. Viele Bereiche unserer digitalen Welt wie auch in unserer Gesellschaft beruhen auf Vertrauen und der Sicherheit, dass die Daten geheim gehalten und das Gegenüber authentifiziert, also als echt erkannt werden kann.
Sorgen Sie sich um den Q-Day?
Ich sorge mich eher darum, dass die Reaktion vieler Organisationen mangels Bewusstseins sehr spät sein wird. Ich erinnere mich an das Jahr-2000-Problem (Y2K). Damals kam es zu einem regelrechten Spurt in vielen Organisationen. Im Fall der Post-Quanten-Sicherheit haben wir zwar kein klares Datum, jedoch viel komplexere Zusammenhänge. Und es steht viel auf dem Spiel.
Wünschen Sie sich klare Vorgaben vom Bund?
Ob es konkret Vorgaben zu Standards oder Algorithmen geben soll, würde ich offenlassen. Wichtig ist es, Leitlinien zu erarbeiten, an denen sich Organisationen orientieren können. In der Schweiz haben sich das Bundesamt für Cybersicherheit (BACS) und die Armasuisse im Bereich Post-Quanten-Kryptographie bereits engagiert, und das Thema wurde letzten Sommer auch in der Politik diskutiert.
Eine positive Frage zum Abschluss. Welches sind die Vorteile von Quantencomputing?
Es gibt ganz viele Anwendungsgebiete, in denen der Quantencomputer hilfreich sein kann. Etwa bei Simulationen, Optimierungsproblemen oder in den Materialwissenschaften. Quantencomputer können Zusammenhänge modellieren, die mit klassischen Computern nicht möglich sind. Quantencomputing ist eine Schlüsseltechnologie des 21. Jahrhunderts.