Etwas Unvermeidliches bereitet Kryptografen derzeit größte Sorgen: Eines Tages wird jemand kommen und einen Quantencomputer bauen, der die gesamte Sicherheitsarchitektur des Internets zum Einsturz bringt. Zwar mag eine solche Maschine noch zehn oder mehr Jahre in der Zukunft liegen. Aber vorbereiten sollte man sich trotzdem schon, das steht für viele Wissenschaftler fest.

In Schloss Dagstuhl, nördlich von Saarbrücken, kamen Anfang September Experten aus dem Bereich Computersicherheit zusammen, um über Verschlüsselungssysteme zu diskutieren, die sich auch mit Hilfe eines solchen Quantencomputers nicht hacken lassen.

Wenn sich heutzutage Datendiebe an vertraulichen Informationen zu schaffen machen wollen, müssen sie Passwörter erraten, jemandem Schadsoftware unterjubeln oder einen zugriffsberechtigten Nutzer imitieren – die eigentlichen Protokolle aber, mit denen sensible Daten derzeit ver- und entschlüsselt werden, sind gegenüber Angriffen geschützt. Kein existierender Computer kann sie knacken.

Aber an dem Tag, an dem der erste große Quantencomputer ans Netz geht, werden sie mit einem Schlag obsolet. Ein solcher Rechner macht sich quantenphysikalische Effekte zu Nutze – und knackt mit Leichtigkeit jedes derzeit gängige Verschlüsselungsverfahren.

"Ich mache mir ehrliche Sorgen, dass wir nicht rechtzeitig fertig werden", sagt Michele Mosca, Mitgründer des Institute for Quantum Computing (IQC) an der University of Waterloo in Kanada und Geschäftsführer bei evolutionQ, einer Beratungsfirma für Datensicherheit.

Ein Umstieg wird Jahre dauern

Behörden und Industrie werden Jahre brauchen, um sich auf eine quantensichere Alternative zu den aktuellen Verfahren zu einigen. Zudem muss jedes vorgeschlagene Verfahren – mag es auch noch so undurchdringlich erscheinen – eine Vielzahl theoretischer und praktischer Tests meistern. Erst dann würde man es als sicher genug erachten. Immerhin geht es darum, hochsensible Daten zu schützen, angefangen beim geistigen Eigentum von Unternehmen und Personen bis hin zu Finanzdaten und Staatsgeheimnissen.

"Wenn es erst in der 'New York Times' steht, ist es zu spät, um sich einen Plan auszudenken" (Michele Mosca)

"Einem Kryptosystem kann man nur vertrauen, wenn eine Menge Leute es auf Herz und Nieren getestet und sich alle möglichen Angriffe ausgedacht haben, bei denen sich Schwächen zeigen könnten", erklärt Stephen Jordan, Physiker vom US National Institute of Standards and Technology (NIST) in Gaithersburg, Maryland. "Das braucht sehr viel Zeit."

Der September-Workshop am Schloss Dagstuhl – Leibniz-Zentrum für Informatik – ist eine von gleich mehreren Veranstaltungen in diesem Jahr, bei denen Kryptografen, Physiker und Mathematiker über Verschlüsselungswerkzeuge diskutieren, die weniger anfällig für einen Hack mit dem Quantencomputer sind. Das NIST richtete ein eigenes Meeting im April aus, Anfang Oktober findet ein weiteres Treffen in Seoul statt, das das IQC gemeinsam mit dem Europäischen Institut für Telekommunikationsnormen (ETSI) ausrichtet.

"Jetzt abfangen, später entschlüsseln"

Auch Geheimdienste sind inzwischen hellhörig geworden. Am 11. August 2015 gab die US-amerikanische NSA in einem Schreiben an ihre Kunden nebst Sicherheitsempfehlungen die Absicht bekannt, auf quantenresistente Protokolle umzusteigen. Und in einem Memo auf seiner Website wies der niederländische Allgemeine Auskunfts- und Sicherheitsdienst auf eine weitere drohende Gefahr hin, die den Umstieg auf quantensichere Verschlüsselungssysteme noch dringlicher macht. Als "Jetzt abfangen, später entschlüsseln" bezeichnen die Niederländer das Szenario, in dem ein böswilliger Angreifer bereits jetzt mit dem Sammeln von Finanzdaten, persönlichen Nachrichten oder anderen verschlüsselten Informationen beginnt, um sie dann auszulesen, sobald ein Quantencomputer zur Verfügung steht. "Es würde mich überhaupt nicht überraschen, wenn das Leute längst tun", sagt Jordan.

Bereits im Jahr 1994 hat der Mathematiker Peter Shor gezeigt, dass ein Quantencomputer eines der zurzeit wichtigsten Verschlüsselungsverfahren, den RSA-Algorithmus, unterlaufen könnte. Seinerzeit sei jedoch unklar gewesen, ob man eine solche Maschine überhaupt bauen könnte, erklärt Mosca, weil allgemein angenommen wurde, dass sie nur im Fall völliger Fehlerfreiheit funktionieren würde. Eine theoretische Entdeckung aus dem Jahr 1996 legte dann allerdings nahe, dass ein fehlerbehafteter Quantencomputer genauso funktionstüchtig wäre wie ein perfekter – zumindest solange sich seine Mängel innerhalb gewisser Grenzen bewegen.

Dieser Grenzwert werde in den aktuellsten Veröffentlichungen über Experimenten mit kleinen Quantensystemen langsam erreicht, sagt Mosca. Und weil notorische Geheimniskrämer wie die NSA ein nicht unerhebliches Interesse an der Technologie haben, sind viele der Ansicht, dass die publik gemachten Resultate hinter dem tatsächlichen Stand der Forschung hinterherhinken. "Wir müssen davon ausgehen, dass manche Menschen ein paar Jahre weiter sind, als es die öffentlichen Informationen nahelegen", erklärt der Forscher. "Wenn es erst in der 'New York Times' steht, ist es zu spät, um sich einen Plan auszudenken."

Mathematik als Hürde

Die Sicherheit des heutigen Datenverkehrs im Internet beruht zum Großteil auf so genannten "Public-Key-Algorithmen", zu denen auch das RSA-Verfahren zählt. Ein Sender benutzt dazu einen öffentlichen, frei erhältlichen Schlüssel, um seine Nachricht zu verschlüsseln. Diese kann anschließend nur mit Hilfe eines privaten Schlüssels entschlüsselt werden, der sich in den Händen des Empfängers befindet und von diesem geheim gehalten wird. Konkret steht und fällt die Sicherheit von RSA mit der Schwierigkeit, eine große Zahl in ihre Primfaktoren zu zerlegen. Gelänge dies einem Angreifer, könnte er auf die privaten Schlüssel schließen und die Nachricht lesen.

Allgemein gilt dabei, je größer eine Zahl ist, desto schwieriger ist dieses Problem zu lösen. In der Tat gehen Wissenschaftler davon aus, dass jeder heutige Computer extrem lange für eine solche Primfaktorzerlegung benötigt, was möglicherweise einfach daran liegt, dass noch niemand einen weniger aufwändigen Lösungsweg gefunden hat. In jedem Fall lösen Quantencomputer jedoch die gleiche Aufgabe exponentiell schneller als konventionelle Computer – damit hat sich die einzige große Hürde, die RSA einem Angreifer entgegensetzt, in Luft aufgelöst.

Alternativen wären auch für Quantencomputer schwer zu knacken

Ideen für quantensichere Public-Key-Algorithmen gibt es bereits. Bei ihnen wird das das Faktorisierungsproblem durch ein anderes mathematisches Problem ersetzt, von dem man hofft, dass es selbst einem Quantencomputer schwerfällt. Zwar garantieren auch diese Systeme keine perfekte Sicherheit, könnten aber nach Meinung der Experten hinreichend sicher sein, um unter allen praktischen Bedingungen den Schutz der Daten zu gewährleisten.

Eines dieser Verfahren ist die so genannte gitterbasierte Kryptografie, bei der der öffentliche Schlüssel in einer rasterartigen Sammlung von Punkten in einem hochdimensionalen mathematischen Raum besteht. Eine Möglichkeit, damit eine geheime Botschaft zu versenden, besteht darin, sie in einer gewissen Entfernung zu einem der Gitterpunkte zu verstecken. Zu kalkulieren, wie weit die Nachricht von einem Gitterpunkt entfernt ist, fällt jedem Rechner schwer – ob Quantencomputer oder konventionelle Hardware. Der private Schlüssel jedoch liefert eine einfache Möglichkeit, diese Distanz zu berechnen.

Eine weitere Option ist die McEliece-Verschlüsselung. Dabei wird eine Nachricht zunächst als einfaches Problem der linearen Algebra dargestellt. Der öffentliche Schlüssel übersetzt dieses einfache Problem dann jedoch in eines, das wesentlich komplizierter aussieht. Nur wer weiß, wie er diese Transformation rückgängig machen kann – also wer den privaten Schlüssel besitzt –, kann die Botschaft lesen.

Nachteilig an diesen Alternativmethoden ist die Größe ihrer öffentlichen Schlüssel, die bis zu tausendmal mehr Speicherplatz belegen als die herkömmlicher Ansätze; mit Ausnahme einiger gitterbasierter Ansätze, deren Schlüsselgröße der von RSA entspricht. Dafür ver- und entschlüsseln beide Verfahren die Daten schneller als die derzeit gebräuchlichen Systeme, weil sie nur auf einfacher Multiplikation und Addition aufbauen. Dem RSA dagegen liegt eine deutlich komplexere Arithmetik zu Grunde.

Auch PQCRYPTO, ein Zusammenschluss von Quantenkryptografie-Experten aus Industrie und Forschung, rät zum Umstieg auf Verschlüsselungsverfahren, die resistent gegenüber Angriffen mit dem Quantencomputer sind. In einem Vorabbericht, den das Konsortium am 7. September 2015 veröffentlichte, empfiehlt es das McEliece-System.

Seit dem Jahr 1978 hat dieses Verfahren allen Attacken widerstanden – nun könnte es zur Grundlage einer neuen Publik-Key-Kryptografie werden. Wie Tanja Lange, die Leiterin des 3,9 Millionen Euro schweren Projekts, erklärt, sollten "Early Adopter" auf das Verfahren mit der größtmöglichen Sicherheit setzen. "Größe und Geschwindigkeit werden sich im Lauf des Projekts noch verbessern", sagt sie, "aber wer jetzt umsteigt, kriegt die beste Sicherheit."

Dieser Artikel erschien unter dem Titel "Online security braces for quantum revolution" bei "Nature".