Die Sicherheit digitaler Infrastrukturen beruht maßgeblich auf kryptografischen Algorithmen und Protokollen. Gängige Verschlüsselungsverfahren wie der in vielen Internet-Protokollen wie Transport Layer Security (TLS) und Internet Key Exchange (IKE) verwendete Diffie-Hellman-Schlüsselaustausch setzen voraus, dass bestimmte mathematische Probleme aufgrund limitierter Rechenkapazitäten praktisch nicht lösbar sind. Digitale Signaturen mit dem Verfahren RSA, die z. B. zur Authentifizierung in Webbrowsern genutzt werden, gelten als sicher, solange kein effizienter Algorithmus zur Faktorisierung existiert.

Darauf konnte man sich jahrzehntelang verlassen. Doch als Experten vor einigen Jahren die ersten Konzepte für Quantencomputer diskutierten, wurde schnell klar, dass die Tage der herkömmlichen Kryptografie gezählt sind. Bis die neuartigen Rechner den gängigen Algorithmen gefährlich werden können, wird es voraussichtlich noch einige Zeit dauern. Bislang existieren Quantencomputer nur als raumfüllende Versuchsaufbauten in Forschungslaboren, und ihre Leistungsfähigkeit beschränkt sich derzeit auf das Lösen einfacher Rechenaufgaben. Doch es wird erwartet, dass weiterentwickelte Quantencomputer schon in wenigen Jahren klassischen Rechnern in vielen Bereichen deutlich überlegen sein werden. Dazu gehört eben auch das Lösen mathematischer Probleme, die der konventionellen Kryptografie als Grundlage dienen.

Rechnen mit Qubits

Quantencomputer basieren auf einer völlig anderen Technologie als herkömmliche Systeme. Statt sich wie diese auf das binäre Rechnen mit Nullen und Einsen zu beschränken, können ihre fundamentalen Informationseinheiten, die Qubits, auch mit Abstufungen dazwischen arbeiten. Das liegt daran, dass die Qubits auf quantenmechanischen Zuständen basieren und daher nicht eindeutig einen der Werte Null oder Eins annehmen müssen. Vielmehr können sich die beiden Werte überlagern, wobei dann unterschiedliche Wahrscheinlichkeiten für sie gelten. Verbindet man zahlreiche Qubits, können logische Operationen durchgeführt werden, die allerdings eher den Prozessen in neuronalen Netzen gleichen als dem seriellen Rechnen in klassischen Computern. Quantencomputer gehen nicht Schritt für Schritt vor, sondern beschreiten viele mögliche Lösungswege gleichzeitig und finden gegebenenfalls auch mehrere Lösungen. Dann müssen Algorithmen die Rechenoperationen sinnvoll eingrenzen, so dass verwertbare Ergebnisse herauskommen.

Sobald absehbar war, dass die neue Art des maschinellen Rechnens die herkömmliche Kryptografie bedrohen würde, begann die Suche nach alternativen Kryptoverfahren, die resistent gegenüber Quantencomputern sind. Denn nicht nur aufgrund der raschen Entwicklung der neuen Technologie ist Eile geboten. Die Herausforderung besteht auch darin, dass Angreifer bereits heute verschlüsselte Daten mitschneiden und speichern können, um sie erst später, wenn hinreichend leistungsfähige Quantencomputer verfügbar sind, zu entschlüsseln. Das ist ein sehr ernstzunehmendes Szenario, weil besonders sensible Daten, etwa mit der Einstufung GEHEIM, mitunter nicht nur für Jahre, sondern für Jahrzehnte unter Verschluss bleiben sollen. Somit ist der Quantencomputer bereits heute, bevor seine Entwicklung überhaupt den erforderlichen Reifegrad erreicht hat, eine signifikante Bedrohung für die Informationssicherheit auch von Staaten und internationalen Organisationen.

PQC im Einsatz

Um dieser Bedrohung zu begegnen, führt die US-amerikanische Normierungsbehörde National Institute of Standards and Technology (NIST) derzeit einen Prozess zur Standardisierung von PQC durch und hat kürzlich die ersten Algorithmen ausgewählt, die bis 2024 standardisiert werden sollen. Da jedoch mögliche Angriffe nach dem Muster „jetzt mitschneiden und später entschlüsseln“ sofortige Präventivmaßnahmen erfordern, hat sich secunet in Abstimmung mit dem BSI entschieden, PQC bereits vor der Standardisierung durch das NIST zu implementieren.

Als IT-Sicherheitspartner der Bundesrepublik stellt secunet Technologie her, die hoch eingestufte Daten bis zum Grad GEHEIM schützt und unter anderem von der Bundeswehr sowie von Bundesministerien mit besonderen Sicherheitsanforderungen wie z. B. dem Bundesministerium für Verteidigung genutzt wird. Insgesamt wurden seit dem Jahr 2002 in Deutschland und anderen EU- bzw. NATO-Staaten rund 30.000 für GEHEIM bzw. SECRET zugelassene SINA Verschlüsselungsgeräte ausgeliefert. In Deutschland stellt SINA den De-facto-Standard für Verschlüsselungen auf diesem hohen Sicherheitslevel dar. Drei zentrale Produkte dieses Portfolios hat secunet bereits mit PQC-Elementen ausgestattet: den SINA Communicator H, der abhörsichere Sprachkommunikation sowie viele weitere moderne Kommunikationsfeatures bietet, das hochsichere VPN-Gateway SINA L3 Box H sowie den Arbeitsplatzrechner SINA Workstation H Client V, der eine einzigartige Kombination von performanter Kryptografie und hoher Rechenleistung liefert.

Das BSI hat diese drei SINA Komponenten als erste Verschlüsselungsprodukte mit PQC in Deutschland für die Geheimhaltungsstufe GEHEIM zugelassen. Im europäischen Vergleich ist Deutschland damit Vorreiter bei Kryptogeräten, die bereits heute mit PQC arbeiten. Und mit der SINA Workstation H R RW14 steht die neueste Generation von gehärteten Laptops, die für den Einsatz unter extremen Bedingungen konzipiert sind, bereits in den Startlöchern für den Eintritt ins PQC-Zeitalter.

Hybride Verfahren

In den bisher drei SINA Komponenten mit PQC wird der Schlüsselaustausch quantenresistent umgesetzt. Was bedeutet das? Um die Vertraulichkeit von Daten bei der Übertragung gegenüber Quantencomputern zu gewährleisten, müssen sowohl der Verschlüsselungsalgorithmus als auch das Schlüsselaustauschverfahren, das zur Ableitung des Schlüssels verwendet wird, quantenresistent sein. In der Regel ist der Verschlüsselungsalgorithmus bereits quantenresistent, wenn er mit ausreichend großen Schlüsseln verwendet wird. Die konventionellen Schlüsselaustauschverfahren sind jedoch gegenüber Quantencomputern potentiell anfällig. Da sich die PQC-Algorithmen noch in der Endphase der Standardisierung befinden, empfiehlt das BSI die Verwendung von so genannten Hybridverfahren: Durch die Kombination von konventioneller Kryptografie und PQC müsste ein Angreifer jeden Algorithmus brechen, um die Hybridlösung zu knacken. Die drei SINA Produkte mit PQC unterstützen einen hybriden quantenresistenten Schlüsselaustausch mit dem vom BSI empfohlenen Algorithmus FrodoKEM. Perspektivisch, im Laufe der nächsten Jahre, wird secunet alle kritischen Funktionalitäten des gesamten SINA Portfolios für die Stufe GEHEIM, aber auch für niedrigere Geheimhaltungsstufen wie VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD), mit PQC realisieren.

Dabei können Hybridmodi nicht nur als vorübergehende Migrationsstrategie in Richtung PQC dienen, sondern als Beitrag zu langfristiger Sicherheit und Agilität hinsichtlich der Verschlüsselungsverfahren. Generell beginnt mit dem Einsatz von PQC eine neue kryptografische Ära, die nicht nur durch Resistenz gegenüber Quantencomputern, sondern auch durch eine erhöhte kryptografische Agilität gekennzeichnet ist. Als Reaktion auf die Bedrohung erfindet die Kryptografie sich also neu – und gewinnt an Stärke hinzu.