Quantencomputing und Cybersecurity: Warum Sie sich jetzt vorbereiten sollten

In diesem Beitrag erklären wir in einfachen Worten, was Quantencomputing ist, beantworten fünf wesentliche Fragen zu dessen Folgen für die Cybersecurity und erläutern die potenziellen Gefahren, die die Technologie mit sich bringt. Ausserdem erklären wir, warum Sie jetzt Massnahmen ergreifen sollten und wie wir Sie bei Ihren Initiativen für mehr Cybersecurity unterstützen können.

Was ist Quantencomputing?

Während klassische Computer mit Bits (entweder 0 oder 1) arbeiten, sind es bei Quantencomputern Quantenbits (Qubits), die den Wert 0, 1 oder eine Kombination beider Zustände annehmen können (was mit dem Fachbegriff „Superposition“ bezeichnet wird). Anders als ein klassisches Bit, das stets entweder 0 oder 1 ist, basiert der Wert eines Qubits auf Wahrscheinlichkeiten. Dieser Wert kann unbestimmt bleiben, bis er anhand einer Messung festgestellt wird.

Eine weitere Besonderheit von Qubits ist die Quantenverschränkung. Dabei sind zwei oder mehr Teilchen auf eine Weise korreliert, dass der Zustand eines Teilchens nicht unabhängig vom Zustand eines anderen Teilchens beschrieben werden kann, und zwar ungeachtet des Abstands zwischen den Teilchen. Aufgrund dieser besonderen Eigenschaften können Quantencomputer bestimmte Aufgaben wesentlich schneller ausführen als klassische Computer.

Mit grossen Quantencomputern lassen sich vermutlich asymmetrische Verschlüsselungsmechanismen wie RSA oder ECC aushebeln, die weitverbreitet eingesetzt werden, um Kommunikation, Daten und andere Ressourcen zu schützen. Diese Verschlüsselungsverfahren basieren auf mathematischen Problemen, von denen angenommen wird, dass sie sich mithilfe klassischer Computer nur schwer lösen lassen. Mit Quantencomputern könnte das sehr viel einfacher werden.

Eckpunkte zum Quantencomputing

• Quantencomputer beeinträchtigen die Sicherheit der derzeitigen Verschlüsselungsmechanismen. Theoretisch sind sie in der Lage, die derzeit verwendeten asymmetrischen Verschlüsselungsalgorithmen zu entschlüsseln. Praktisch müssen aber noch grundlegende technische Probleme gelöst werden, damit Quantencomputer Verschlüsselungen wirklich entschlüsseln können.
• Die Post-Quanten-Kryptografie (Post-Quantum Cryptography, PQC) soll die Gefahr von Quantencomputing-Angriffen bewältigen. Sie wird vom NIST entwickelt und standardisiert. Die erste Phase des Standardisierungsprozesses wird voraussichtlich 2024 abgeschlossen. Trotzdem sollten sich Organisationen bereits jetzt vorbereiten, beispielsweise mit der Erfassung ihres Bestands an kryptografischen Ressourcen sowie spezifischen Massnahmen wie der Einführung längerer symmetrischer Schlüssel (z. B. 256-Bit-Schlüssel für AES).
• Organisationen müssen jetzt handeln und sich auf die Ära der Post-Quanten-Kryptografie vorbereiten. In diesem Beitrag umreissen wir einen Plan zur Beurteilung potenzieller Risiken und Folgen des Quantencomputings für Ihre Sicherheitsinfrastruktur. Dazu berücksichtigen wir Faktoren wie Datenlebensdauer, Anfälligkeit und Exponiertheit gegenüber öffentlichen Netzwerken und Verfügbarkeit von Post-Quanten-Algorithmen, die die Sicherheitsanforderungen Ihrer Organisation erfüllen.

Warum stellt Quantencomputing eine Gefahr für klassische Verschlüsselungssysteme dar?

Traditionelle asymmetrische Verschlüsselungssysteme basieren auf mathematischen Problemen, die sich nur schwer mit klassischen Computern lösen lassen. So ist der öffentliche Schlüssel beim verbreiteten RSA-System für öffentliche Schlüssel z. B. das Produkt von p und q, zweier grosser geheimer Primzahlen: N=p*q. Die Sicherheit von RSA basiert im Wesentlichen auf der Schwierigkeit, die Faktoren p und q von N zu bestimmen. Der schnellste bekannte Algorithmus auf einem klassischen Computer braucht O(2^∛n) Operationen, um das aus n Bits bestehende Produkt N in seine beiden Faktoren zu zerlegen. Der klassische Algorithmus, der N als Eingabe erhält und die beiden Faktoren p und q ausgibt, hat damit eine Laufzeit mit einer exponentiellen Zahl an Bits n.

Werden klassisches Computing und Quantencomputing dagegen kombiniert, lassen sich solche Probleme mit dem Shor-Algorithmus in Polynomialzeit lösen. Damit verkürzt sich der Zeitbedarf zur Aushebelung heutiger asymmetrischer Verschlüsselungssysteme um ein Vielfaches. Derzeit sind Algorithmen wie der Shor-Algorithmus aufgrund praktischer Probleme beim Bau und Betrieb grosser Quantencomputer nur begrenzt nutzbar. Wenn man jedoch von einem ausreichend fehlertoleranten Quantencomputer ausgeht, muss man asymmetrische Verschlüsselungsmechanismen wie RSA und DH als ausgehebelt betrachten.

Auf symmetrische Verschlüsselungsalgorithmen (wie z. B. AES) und Hash-Algorithmen (wie z. B. SHA256) hat der Shor-Algorithmus keinen Einfluss. Aber auch diese Systeme sind durch Quantencomputer in ihrer Sicherheit gefährdet. Mit dem Grover-Quantenalgorithmus lassen sich unsortierte Datenbanken durchsuchen und das Problem unstrukturierter Suchvorgänge lösen. Gegenüber klassischen Algorithmen sorgt der Grover-Quantenalgorithmus für eine quadratische Beschleunigung, sodass er sich für Brute-Force-Angriffe auf symmetrische Verschlüsselungsverfahren eignet.

Wie weit ist die Entwicklung von Quantencomputern bereits fortgeschritten?

Wann werden Quantencomputer RSA-2048-Schlüssel effizient entschlüsseln können?

Unternehmen wie IBM, Google und D-Wave überbieten sich gegenseitig darin, den grössten Quantencomputer in Aussicht zu stellen. Derzeit wird mit der Ankündigung eines universellen Quantencomputers mit mehr als 1000 Qubits für 2023 gerechnet.

Trotz dieser aktuellen Fortschritte dürfte das Quantencomputing jedoch erst am Anfang seiner Entwicklung stehen. Hinzu kommt, dass es der Quantenhardware vorläufig noch an Qubits mangelt, sodass sie nur bedingt für Rechenoperationen brauchbar ist. Die für das Quantencomputing nötigen Quantenzustände sind empfindlich gegenüber Wärme und anderen Einflüssen und damit extrem instabil. Die Steigerung der Qubits stellt damit eine enorme technische Herausforderung dar. Daneben müssen noch weitere Faktoren wie die Stabilität von Qubits berücksichtigt werden. Um beispielsweise eine RSA-2048-Zahl zu faktorisieren, werden stolze 4999 perfekte Qubits benötigt. Aktuelle Qubits sind jedoch instabil und daher nur über kurze Zeitspannen nutzbar. Diesem Umstand lässt sich mit zusätzlichen Qubits Rechnung tragen, die die Korrektur von Fehlern erlauben. Der Forschung zufolge braucht es ca. 20 Millionen verrauschte Qubits, um einen RSA-2048-Schlüssel zu faktorisieren. Grundsätzlich wird davon ausgegangen, dass fehlertolerante Angriffe auf Verschlüsselungen Milliarden von Operationen mit Millionen von Qubits voraussetzen.

Welche Gegenmassnahmen helfen gegen die Bedrohung durch Quantencomputing-Angriffe?

Um der Gefahr von Angriffen mit Quantencomputern zu begegnen, werden neue Verschlüsselungsverfahren entwickelt, die nicht nur für klassische Computer, sondern auch für Quantencomputer schwer zu lösen sind. Diese Verfahren werden meist als Post-Quanten-Kryptografie (Post-Quantum Cryptography, PQC) bezeichnet. Dazu zählen Verschlüsselungsmethoden auf Basis von Gittern, Hashfunktionen oder Code.

Das National Institute of Standards and Technology (NIST) in den USA ist führend bei der Entwicklung und Prüfung quantenresistenter Verschlüsselungsalgorithmen. Der Prozess begann 2016. Im Juli 2022 wurden vier überzeugende Algorithmen für die Standardisierung ausgewählt. Die erste Standardisierungsphase für diese Algorithmen wird voraussichtlich 2024 abgeschlossen.

Parallel haben Unternehmen wie Google und Cloudflare damit begonnen, die ausgewählten Algorithmen für die TLS-Verschlüsselung zu verwenden und so in der Praxis zu testen. Das ist deshalb wichtig, weil PQC-Algorithmen wesentlich längere öffentliche Schlüssel und Signaturen als klassische Algorithmen verwenden, was sich auf die Dauer des TLS-Handshakes auswirkt. Die Tests liefern Informationen zum Entwicklungsstand von Verschlüsselungsprotokollen für die PQC.

Warum müssen Sie jetzt aktiv werden, wenn es noch gar keine Quantencomputer gibt, die heutige Verschlüsselungsverfahren aushebeln können?

Auch wenn sich das Quantencomputing noch nicht fest etabliert hat, sind Daten bereits heute anfällig für Angriffe mit Quantencomputern. Das liegt daran, dass Daten von heute unter Umständen noch genutzt werden, wenn in Zukunft ein universeller Quantencomputer verfügbar ist, der heutige Verschlüsselungsmethoden aushebeln kann. Diese Art von Angriff wird häufig als „harvest now, decrypt later“ bezeichnet. Dabei beschaffen sich Angreifer Daten schon jetzt in der Erwartung, dass Quantencomputer die Verschlüsselung später aushebeln können. Um die Risiken und möglichen Folgen solcher Angriffe einzuschätzen, sollte Ihre Organisation folgende Fragen beantworten können:

• Welche Systeme werden verschlüsselt?
• Kann Ihre Organisation die Verschlüsselungen dieser Systeme inventarisieren (Art, Schlüsselmaterial, Zweck)?
• Welche Systeme und Daten haben Kontakt mit dem Internet?
• Wo werden die Daten über längere Zeit aufbewahrt?
• Welche geschäftlichen Folgen hätte die Entschlüsselung dieser Daten in den nächsten 10 Jahren?

Welche Massnahmen sollten Sie ergreifen, um Ihre Organisation künftig vor den Gefahren durch Quantencomputing zu schützen?

In welchen Fällen muss für den langfristigen Schutz Post-Quanten-Kryptografie eingesetzt werden?

Die Umstellung auf Post-Quanten-Kryptografie ist ein komplexer Prozess, der Zeit, Ressourcen und sorgfältige Planung verlangt. Deshalb müssen Organisationen unbedingt jetzt aktiv werden, um sich auf diese Umstellung vorzubereiten. Wir haben einen (auf der DHS-Infografik basierenden) Plan erstellt, mit dem Sie vom aktuellen Cybersecurityssystem Ihres Unternehmens zu einer quantenresistenten Umgebung wechseln können und dafür sorgen, dass wichtige Daten durchgängig geschützt sind. Der Plan umfasst folgende Schritte:

• Bewertung des aktuellen Verschlüsselungsprofils der Organisation: Erfassen Sie den Bestand an wichtigen Daten (einschliesslich ihres Lebenszyklus!) und Verschlüsselungstechnologien, die in der Organisation eingesetzt werden. Ziel ist die Bestimmung aller Systeme, die öffentliche Schlüssel oder kurze symmetrische Schlüssel verwenden. Dazu zählen üblicherweise die folgenden Systeme:
  • Datenaustausch über öffentliche Netzwerke. Dazu gehören die Kommunikation zwischen Rechenzentren, Webbrowsing und der Datenaustausch zwischen lokalen Einrichtungen und Cloud-Infrastrukturen.
  • Public-Key-Infrastrukturen (PKI). Diese nutzen nach wie vor im Wesentlichen RSA-basierte Signaturschlüssel und -zertifikate.
  • Verschlüsselungshardware. Dazu zählen Hardwaresicherheitsmodule (HSM), Krypto-Ko-Prozessoren und Hardwarebeschleuniger für Verschlüsselungsprotokolle (z. B. für IPsec).
  • Virtuelle private Netzwerke (VPN). VPN verschlüsseln Daten und leiten sie durch Einrichtung virtueller Tunnel über Remoteserver.
  • Softwareverteilung. Herkunft und Integrität der verteilten Aktualisierung werden dabei anhand von Signaturen überprüft. Dabei sollten auch Hashes von Git-Commits und signierte Commits an Git-Repositorys einbezogen werden.
  • Sichere E-Mails. Dabei wird auf Protokolle wie PGP und S/MIME zurückgegriffen, die die Vertraulichkeit und Integrität von E-Mails per asymmetrischer Verschlüsselung sicherstellen.
  • Blockchain-Technologie. Diese verwendet Signaturen, um Transaktionen zu signieren, sowie Hashes, um die Blöcke zu verketten. Blockchain-Knoten, die Kontakt zum Internet haben, müssen als anfällig für Quantencomputing-Angriffe betrachtet werden.
• Bewertung des Quantenrisikos der Organisation: Überprüfen Sie dazu Aussenkontakt und Lebensdauer der Verschlüsselungsressourcen, die Sie im vorherigen Schritt inventarisiert haben. Diese Angaben erleichtern die Bewertung der derzeitigen betrieblichen Risiken und die Bereitstellung der für den nächsten Schritt nötigen Daten.
• Systempriorisierung für Ersatzmassnahmen: Welche Priorität die einzelnen Systeme haben, ist von Organisation zu Organisation höchst unterschiedlich. Sie sollten bei der Priorisierung jedoch die folgenden Faktoren zugrunde legen:
  • Ressource von hohem Wert: Hat das System angesichts der betrieblichen Anforderungen einen hohen Wert?
  • Art der Daten: Welche Art von Daten wird mit dem System geschützt? Beispiele für geschäftskritische Daten sind Schlüsselspeicher, Public-Key-Infrastrukturen (Stammschlüssel, Signaturschlüssel), personenbezogene Daten, sensible Daten und Authentifizierungs-/Autorisierungsmechanismen (Passwörter, Tokens, Clientzertifikate).
  • Datenlebensdauer: Wie lange müssen die Daten geschützt werden?
  • Kommunikation: Mit welchen anderen Systemen kommuniziert das System? Erfolgt die Kommunikation über ein öffentliches Netzwerk wie das Internet?
  • Informationsweitergabe: In welchem Umfang gibt das System Informationen an andere Stellen weiter (potenziell ausserhalb Ihrer Organisation)?
  • Kritische Infrastruktur: Unterstützt das System kritische Infrastruktur wie Energieversorgung, Militär oder Gesundheitswesen?
• Investition für mehr Agilität: Ermöglichen Sie die reibungslose Anpassung verschiedener Verschlüsselungsalgorithmen und -protokolle und den nahtlosen Wechsel zwischen ihnen, um sich auf die Umstellung auf PQC-Algorithmen vorzubereiten. Diese Transformation kann Pilotprojekte einschliessen, mit denen Sie Post-Quanten-Verschlüsselungsalgorithmen in realen Szenarien testen und evaluieren. Das erleichtert es Ihrer Organisation, Leistungsfähigkeit, Kompatibilität und Interoperabilität der Algorithmen in Ihren Bestandssystemen und -infrastrukturen zu bewerten.
  
  Darüber hinaus können Sie im Rahmen dieser Investition auch hybride Verschlüsselungslösungen einführen, die klassische Verschlüsselungsalgorithmen und Post-Quanten-Algorithmen kombinieren. Dieser Ansatz kann eine Übergangsphase schaffen, in der beide Arten von Algorithmen unterstützt werden, um die Abwärtskompatibilität zu gewährleisten, während anfällige Algorithmen ausgemustert werden.

Kurz: Organisationen sollten ausgehend von ihrem Bestand an Verschlüsselungsressourcen, der Priorisierung der Informationen und den Erfahrungen aus Pilotprojekten einen Plan für die Umstellung anfälliger Systeme auf PQC-Algorithmen ausarbeiten.

Was kann Zühlke für Ihre Organisation tun?

Die Services von Zühlke stellen den Aufbau nachhaltiger Sicherheitslösungen der nächsten Generation ins Zentrum und berücksichtigen dazu das dynamische Bedrohungsumfeld, das mit dem Quantencomputing für aktuelle und zukünftige Projekte entsteht. Mit unserer Kompetenz in angewandter Kryptografie unterstützen wir Ihre Organisation mit einer detaillierten Bewertung Ihrer Verschlüsselungsressourcen sowie der Erfassung, Risikobewertung und Stellenwertbestimmung Ihres kryptografischen Bestands, um zu entscheiden, wie dringend der Ersatz bestehender Systeme ist.

Daneben unterstützen unsere Expert:innen unsere Kunden dabei, mit Pilotprojekten, die die Post-Quanten-Verschlüsslung innerhalb der Organisation testen, kryptografisch agil zu werden und die Eignung und Kompatibilität der neuen Verfahren zu gewährleisten. Schliesslich unterstützen wir Ihre Organisation auch bei der Entwicklung eines umfassenden Umstellungsplans, der die nötigen Schritte für die PQC-Einführung festlegt und für die reibungslose, sichere Migration zu Verschlüsselungslösungen der nächsten Generation sorgt.