Quantenschlüsselverteilung und Post-Quanten-Kryptografie sollen ausgereiften Quantencomputern trotzen

Dr. Henning Maier, Dr. Jasper Rödiger, Stefan Röhrich, alle Rohde & Schwarz

Asymmetrische Verschlüsselungstechniken sind heute weit verbreitet und gelten als sicher. In ein paar Jahren fordern Quantencomputer diesen Status heraus. Ein Szenario, aus dem es zwei Auswege gibt: Quantenschlüsselverteilung (QKD) und Post-Quanten-Kryptografie (PQC).

Ob private Chatnachrichten oder behördliche Dateien mit geheimhaltungsstufe: Sollen heutzutage Daten geschützt werden, geschieht das fast immer über eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Bei symmetrischen kryptografischen Verfahren entschlüsselt die Empfängerseite Daten mit dem gleichen Schlüssel, mit dem sie senderseitig verschlüsselt wurden. Ein Beispiel dafür ist der Advanced Encryption Standard (AES). Im Jahr 2000 hat ihn die US-Standardisierungsbehörde NIST zertifiziert. Heute wird er weltweit genutzt.

Asymmetrisch abgesichert

Der kritische Punkt einer symmetrischen Verschlüsselung ist das sichere Verteilen des Schlüssels an beide Kommunikationsparteien. Diese Verteilung wird üblicherweise mit asymmetrischer Kryptografie geschützt. Der Name drückt aus, dass hier mit zwei unterschiedlichen Schlüsseln ver- und entschlüsselt wird. Neben einem geheim zu haltenden privaten Schlüssel (Private Key) nutzt man einen öffentlichen Schlüssel (Public Key), dessen Echtheit zwar garantiert werden muss, zum Beispiel über ein Zertifikat, der aber sonst ohne weitere Schutzmaßnahmen über einen öffentlichen Kanal übertragen werden kann. Zentral ist für diese Methode, dass der öffentliche Schlüssel eine Einbahnstraße darstellt: Wurden Daten einmal mit ihm chiffriert, kann nur der private Schlüssel sie wieder dechiffrieren.

Den Anfang der Datenübertragung macht bei der asymmetrischen Verschlüsselung die Empfängerseite (Bild). Die Stärke dieser Methode ist, dass der sensible private Schlüssel von Anfang an bei der Empfängerseite liegt und nicht übertragen wird.

Weil asymmetrische Verfahren deutlich mehr Rechenleistung als symmetrische benötigen, wendet man sie in der Regel nicht auf den Datenverkehr selbst an. Stattdessen schützen sie die Schlüsselverteilung eines symmetrischen Verfahrens, das den Datenverkehr verschlüsselt.

Schutzwall Mathematik

Prinzipiell lässt sich aus dem öffentlichen Schlüssel auf den privaten Schlüssel schließen – aber nicht innerhalb eines relevanten Zeitraums. Um das sicherzustellen, basieren öffentliche Schlüssel auf mathematisch schwierig zu lösenden Problemen, in der Regel der Primfaktorzerlegung oder dem Berechnen von diskreten Logarithmen. Sie werden so angewendet, dass sich der Rückschluss auf den privaten Schlüssel praktisch in unüberwindbare Länge zieht. Ein herkömmlicher Computer benötigt dafür mehrere Millionen Jahre oder noch länger.

Gamechanger Quantencomputer

Bezieht man in dieses Szenario allerdings technisch ausgereifte Quantencomputer mit ein, entsteht eine neue Situation. Bereits seit dem Jahr 1994 steht mit dem Shor-Algorithmus ein Verfahren zur Verfügung, um die Primfaktorzerlegung und das Auffinden diskreter Logarithmen deutlich schneller zu lösen. Es ist ein Quantenalgorithmus, für den ein Quantencomputer mit genügend Rechenleistung nötig ist.

Da so gut wie alle heute eingesetzten asymmetrischen Krypto-Verfahren auf diesen beiden mathematischen Problemen basieren, würden technisch reife Quantencomputer ihnen die Grundlage entziehen. Es sind auch Quantenalgorithmen bekannt, die symmetrische Krypto-Verfahren direkt angreifen. Hier reichen zwar bereits längere Schlüssel zum Erhalt des Schutzniveaus aus, allerdings würde durch gebrochene asymmetrische Verfahren die vorhergehende Absicherung der Schlüsselverteilung fehlen.

Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) rechnen mit einer Wahrscheinlichkeit von 20 Prozent, dass im Jahr 2030 erste Quantencomputer bereitstehen, um Verschlüsselungsverfahren zu brechen, die heute als sicher gelten. Entsprechend hoch ist der Bedarf, bald Daten mit quantensicheren kryptografischen Verfahren zu verschlüsseln.

Das gilt vor allem für Organisationen und Behörden, die größere Mengen an sensiblen Daten über einen langen Zeitraum vorhalten müssen. Sie benötigen genügend Zeit, um ihre Datenvorräte auf quantensichere Verschlüsselung umzustellen.

PQC und QKD: zwei Methoden, ein Ziel

Dafür werden aktuell zwei große Ansätze verfolgt. Unter dem Begriff Post-Quanten-Kryptografie (PQC) entwickeln Wissenschaftlerinnen und Wissenschaftler spezielle asymmetrische Algorithmen, die selbst mit Hilfe eines Quantencomputers nicht auf relevanten Zeitskalen zu brechen sind.

Es existieren einige aussichtsreiche Kandidaten, die auf verschiedenen mathematischen Problemen basieren, beispielsweise auf Gittern (Lattices) oder kryptografischen Hashfunktionen. Ein weiterer Ansatz für PQC sind fehlerkorrigierende Codes, von denen man annimmt, dass auch ein Quantencomputer sie nicht effizient lösen kann.

Ein großer Vorteil von PQC ist, dass die bestehende Netzwerkinfrastruktur weiterhin genutzt werden kann. Allerdings gibt es hier noch Herausforderungen. So wurden jüngst bereits einige aussichtsreiche PQC-Kandidaten gebrochen. Im Vergleich zu klassischen asymmetrischen Verfahren haben die verschiedenen PQC-Verfahren zudem Nachteile bei Effizienz und Schlüssellänge. Auf diese Aspekte fokussiert sich aktuell ein beträchtlicher Forschungs- und Entwicklungsaufwand.

Quantum Key Distribution (QKD)

Einen gänzlich anderen Ansatz verfolgt die Quantenschlüsselverteilung, auch bekannt als Quantum Key Distribution (QKD). Es werden quantenphysikalische Gesetzmäßigkeiten ausgenutzt, um Schlüssel für symmetrische kryptografische Verfahren zu erzeugen und sicher zu verteilen. Die Kommunikationspartner tauschen anstatt klassischer Bits nun sogenannte Qubits in Form von Quantenzuständen einzelner Photonen aus.

QKD fußt darauf, dass einzelne Quantenzustände nicht perfekt kopiert werden können und dass die Messung von Photonen durch Dritte – was einem Abhörversuch gleichkommt – entdeckt werden kann. Wenden zwei Kommunikationsparteien diese beiden grundlegenden physikalischen Gesetzmäßigkeiten geschickt an, können sie gegenüber potenziellen Angreifern einen Vorteil erlangen. Durch geeignete Nachbearbeitung der gemessenen Qubits lässt sich eine Bitfolge erzeugen, die nur diesen beiden Parteien bekannt ist und als Schlüssel verwendet werden kann.

Sollten asymmetrische kryptografische Verfahren also gebrochen werden, kann QKD ihre Rolle einnehmen. Die Quantenschlüsselverteilung beruht auf physikalischen Gesetzen und ist zudem informationstheoretisch sicher. Daher ist die Sicherheit der erzeugten Schlüssel unabhängig von der Rechenleistung von Quantencomputern und klassischen Computern.

QKD-fähige Geräte und Infrastruktur

Es existieren bereits viele verschiedene QKD-Protokolle. Sie alle beruhen auf den oben beschriebenen Grundsätzen, die je nach Protokoll aber unterschiedlich umgesetzt werden. Manche basieren zum Beispiel auf polarisierten Photonen, andere auf der Zeit-Phase-Unschärferelation. Damit sind auch unterschiedliche Mechanismen zur Präparation und Messung des Quantenzustands verbunden. Einige Protokolle sind bereits recht ausgereift und anwendungsnah umgesetzt. Erste QKD-Lösungen zur sicheren Punkt-zu-Punkt-Kommunikation können bereits jetzt von verschiedenen Anbietern erworben werden. In naher Zukunft wird sich die Produktpalette weiter vergrößern.

Quantenverschlüsselung erfordert eine ergänzende Netzwerkinfrastruktur, um Quantenbits zu übertragen. Diese Infrastruktur wird momentan in verschiedenen Regionen der Welt aufgebaut. Das Vorgehen dafür ist überall ähnlich: Einzelne Punkt-zu-Punkt-Verbindungen werden zu größeren Testnetzen kombiniert, die zunehmend den Status eines kommerziell nutzbaren Netzes annehmen.

Das größte dieser QKD-Netze ist das Quanten-Backbone-Netz. Offiziell wurde es im Jahr 2017 fertiggestellt und wird seitdem über ganz China ausgeweitet. Die Europäische Union startete im Jahr 2019 die EuroQCI-Initiative (European Quantum Communication Infrastructure) für den Aufbau einer sicheren Quantenkommunikationsinfrastruktur. Durch Glasfaser- und Satellitenverbindungen soll sie sich über die gesamte Europäische Union erstrecken, einschließlich ihrer Überseegebiete. Die so entstehenden nationalen Netzwerke sollen sich in den nächsten Jahren zu einem europäischen Gesamtnetz zusammenfügen.

Rohde & Schwarz entwickelt mit am QKD-Netzwerk

Ein Quantennetzwerk besteht nicht allein aus QKD-Geräten, sondern auch aus entsprechend gehärteten Systemen zur Schlüsselverwaltung sowie QKD-fähigen Verschlüsselern, Steuer- und Managementsystemen. Auf diesem Gebiet hat die Rohde & Schwarz Cybersecurity GmbH in den letzten Jahren ihr Engagement verstärkt und entwickelt mit verschiedenen Partnern an entsprechenden Funktionalitäten und Produkten, die teilweise schon in heute angebotenen Lösungen zu finden sind.

Rohde & Schwarz Cybersecurity ist schon seit langem ein vertrauenswürdiger Anbieter von BSI-zugelassenen IT-Sicherheitslösungen und kann zum Beispiel für die Entwicklung von QKD-fähigen Verschlüsselern auf bestehende Technologie für klassische Netzwerke aufbauen. Der Funktionsumfang der Verschlüsseler wurde soweit ergänzt, dass sie in QKD-Netzwerken zum Einsatz kommen können. Im Rahmen von Forschungsprojekten haben sie sich bereits in europäischen Testnetzwerken im laufenden Einsatz bewährt.

Andere Technologien, beispielsweise die Systeme zur Schlüsselverwaltung, werden von Grund auf neu entwickelt. Auch hier ist die Erfahrung von sicherheitstechnisch gehärteten und zugelassenen Sicherheitslösungen von großem Vorteil, da auch diese Geräte für die behördliche Zulassung gehärtet werden müssen.