In einigen Jahren könnten nahezu alle heute verwendeten Verschlüsselungsverfahren nutzlos sein. Grund ist die Entwicklung von Quantencomputern, die in der Lage wären, alle gebräuchlichen Verschlüsselungstechnologien zu brechen - wenn sie einmal gebaut sind. Kürzlich warnte auch der US-Geheimdienst NSA vor der Bedrohung durch Quantencomputer und empfielt, möglichst bald auf neue Verschlüsselungsverfahren aus der sogennanten Post-Quanten-Kryptographie umzusteigen.
Die Idee von Quantencomputern geht auf den Physiker Richard Feynmann zurück ( mehr zu der Technik hier). Er hatte in den 70ern die Idee, bestimmte Effekte aus der Quantenphysik auszunutzen, um spezielle mathematische Probleme schneller zu berechnen. Rechenaufgaben, die selbst die schnellsten Supercomputer niemals berechnen könnten, ließen sich in Sekunden lösen. Quantencomputer sind aber keine Wundermaschinen. Nur für sehr spezielle mathematische Probleme gibt es Algorithmen, mit denen sie auf Quantencomputern schnell berechnet werden können.
Wissenschaftler haben Interesse an Quantencomputern, weil sich mit ihnen zum Beispiel bestimmte physikalische Simulationen berechnen lassen. Weil sie aber auch Verschlüsselungsalgorithmen brechen können, sind Geheimdienste an den Maschinen interessiert. Aus Dokumenten des Whistleblowers Edward Snowden geht hervor, dass die NSA an Quantencomputern forscht. Allerdings ist der US-Geheimdienst dabei offenbar nicht viel weiter gekommen als die öffentlich bekannte Forschung. Die NSA spielt dabei eine Doppelrolle: Auf der einen Seite ist es Aufgabe des Geheimdienstes, die Sicherheit von Behördenkommunikationen zu gewährleisten. Auf der anderen Seite sucht die NSA auch immer nach Möglichkeiten, Kommunikationsverbindungen zu belauschen.
Der Mathematiker Peter Shor konnte 1994 zeigen: Mit einem Quantencomputer könnte man sehr große Zahlen in ihre Primfaktoren zerlegen. Eine Primzahl ist eine Zahl, die nur durch sich selbst teilbar ist, beispielsweise 5. Jede Nicht-Primzahl lässt sich durch das Multiplizieren mehrerer Primzahlen darstellen, die Zahl 15 etwa besteht aus den Primfaktoren 3 und 5. Eine Primfaktorzerlegung von sehr großen Zahlen mit mehreren hundert oder tausend Stellen ist extrem schwer zu berechnen. Genau darauf basiert eines der wichtigsten Verschlüsselungsverfahren namens RSA. Deshalb sind Quantencomputer eine Bedrohung für Verschlüsselungsverfahren.
Auch für andere Arten der Verschlüsselung gibt es Quantenalgorithmen, die diese brechen würden. Im Moment sind die Verfahren noch sicher, denn Quantencomputer, mit denen man ernsthaft größere Berechnungen durchführen könnte, existieren bislang nur auf dem Papier.
Kleinste Störungen behindern die Berechnungen
Es dürfte noch Jahre dauern, bis Wissenschaftler sich auf neue Verschlüsselungs- und Signaturalgorithmen einigen können, die schnell genug sind und in deren Sicherheit Vertrauen besteht. Doch ob den Forschern diese Zeit bleibt, ist mittlerweile nicht mehr klar. Lange galten Quantencomputer als theoretisches Gedankenspiel. Die Hürden, einen von ihnen wirklich zu bauen, sind enorm. Um mit einem Quantencomputer nützliche Berechnungen durchführen zu können, müssen einzelne Teilchen kontrolliert in einem sogenannten verschränkten Zustand gehalten werden. Kleinste Störungen behindern die Berechnungen. Viele Fachleute sahen das in der Vergangenheit als so unpraktisch an, dass sie davon ausgingen, dass Quantencomputer erst in sehr ferner Zukunft oder nie gebaut werden könnten.
Doch in jüngerer Zeit kommen aus der Wissenschaft deutlich optimistischere Einschätzungen zu ihrer Zukunft. "Es ist nicht auszuschließen, dass es bereits in zehn bis fünfzehn Jahren große Quantencomputer geben könnte", sagte Jennifer Fernick vom Institut für Quantencomputer im kanadischen Waterloo. Die Prognose deckt sich mit denen anderer Wissenschaftler, so hatte sich ein Team von IBM-Forschern schon 2012 ähnlich geäußert.
"Quantenberechnungen haben das Potential, enorme Vorteile für die Menschheit zu bringen, da wir damit mathematische Probleme lösen können, die wir mit unseren jetzigen Computern aufgrund der Gesetze der Physik nicht lösen können", sagt Fernick. "Eines dieser mathematischen Probleme ist für einen Großteil der Sicherheit im Internet und in unseren Kommunikationsverbindungen verantwortlich und diese Sicherheit wird durch Quantencomputer bedroht."
Heutige Verschlüsselungstechnologien setzen in der Regel auf eine Kombination von sogenannten symmetrischen und asymmetrischen Algorithmen. Bei den asymmetrischen Verfahren kommen zwei unterschiedliche Schlüssel zum Einsatz - ein öffentlicher und ein privater. Mit mathematischen Algorithmen wird sichergestellt, dass jeder, der den öffentlichen Schlüssel hat, damit Daten verschlüsseln kann. Entschlüsseln kann diese aber nur der Besitzer des privaten Schlüssels. Nahezu alle heute verwendeten Verschlüsselungssysteme basieren auf einer relativ kleinen Zahl von Algorithmen. Das Problem: Ein Quantencomputer könnte alle heute gebräuchlichen asymmetrischen Verfahren knacken. Bei den symmetrischen Verfahren, bei denen für Ver- und Entschlüsselung derselbe Schlüssel zum Einsatz kommt, ist die Lage weniger kritisch. Quantencomputer können zwar auch diese Verfahren angreifen, aber hier reicht es, etwas größere Schlüssel zu wählen, um weiterhin sicher zu sein.
Tanja Lange von der Universität Eindhoven leitet ein von der EU gefördertes Forschungsprojekt zur sogenannten Post-Quanten-Kryptographie, also zur Erforschung von Algorithmen, die vor Quantencomputern Sicherheit bieten. Vor kurzem hat das Team von Lange eine Liste mit Empfehlungen veröffentlicht. Doch die taugen bislang kaum dafür, die Sicherheit des Internets für die Zukunft zu gewährleisten. Die dort vorgeschlagenen Algorithmen gelten zwar als sehr sicher, sind aber größtenteils kaum für die Praxis geeignet. Für eine sichere Verschlüsselung schlagen Lange und ihr Team Schlüssel mit einer Größe von einem Megabyte für das sogenannte McEliece-Verschlüsselungsverfahren vor. Würde man versuchen, auf Basis dieses Verschlüsselungsverfahren beispielsweise Webseiten mittels HTTPS zu verschlüsseln, würde der Aufruf einer Seite Minuten dauern. Für den Alltag im Internet ist das kaum zu gebrauchen.
Andere Verfahren bieten mehr Geschwindigkeit, haben jedoch andere Probleme. Ein Forscherteam, an dem unter anderem Microsoft beteiligt war, hat eine Methode vorgestellt, mit der sich verschlüsselte Internetverbindungen über HTTPS schützen ließen, das auf einem Verfahren mit dem Namen Ring Learning With Errors beruht. Schnell genug wäre das Verfahren, aber wie sicher es ist, ist noch unklar.
Dazu muss man wissen, dass man die Sicherheit von kryptographischen Algorithmen in aller Regel nicht beweisen kann. Vielmehr beruht das Vertrauen darauf, dass über einen längeren Zeitraum von Fachleuten versucht wurde, die Verfahren zu brechen. Erst wenn zahlreiche Kryptographen lange vergeblich versucht haben, Schwächen in einem Algorithmus zu finden, gilt er als brauchbar. Das Dilemma der Post-Quanten-Kryptographie: Man hat die Auswahl zwischen Algorithmen, die als sicher gelten, aber in der Praxis viel zu langsam sind - und solchen, die relativ neu sind und bei denen noch großer Forschungsbedarf besteht, um zu beurteilen, ob sie ihre Sicherheitsversprechen auch einlösen können.
Wenn sich die neuen Einschätzungen von Forschern bewahrheiten, könnte es in 15 Jahren Quantencomputer geben. Und Daten, die heute sicher sind, wären dann gefährdet. Deshalb ist es höchste Zeit, die Verschlüsselungsverfahren zu ersetzen.