»Die Unfähigkeit, richtig zu rechnen«: So lautet der Titel des Blogbeitrags von Daniel Bernstein, der gerade für Furore sorgt. In diesem greift der renommierte Kryptograf von der University of Illinois die US-amerikanische Standardisierungsbeshörde NIST (National Institute of Standards and Technology) scharf an: Sie habe einen »dummen Rechenfehler« gemacht, der die Sicherheit eines von ihr empfohlenen Verschlüsselungsalgorithmus überschätze. In dem mehr als 17 000 Wörtern umfassenden Beitrag legt er außerdem nahe, die Behörde könne mit dem US-Geheimdienst NSA (National Security Agency) unter einer Decke stecken. Aber nicht alle teilen Bernsteins Meinung – einige finden sogar, er erweise dem Fachgebiet damit einen Bärendienst. »Wir wissen, dass es echte Wölfe gibt, und deshalb ist es so wichtig, NICHT nach Wölfen zu schreien, wenn es wahrscheinlich keine gibt«, schreibt sein Kollege Matthew Green von der Johns Hopkins University in einer Kurznachricht auf X (vormals Twitter).

Dass sich die Gemüter bei dem Thema erhitzen, ist nicht überraschend. Schließlich geht es um nichts Geringeres als die Sicherheit unserer privaten Daten. Wie der Mathematiker Peter Shor im Jahr 1994 gezeigt hat, werden Quantencomputer irgendwann in der Lage sein, unsere aktuell verwendeten Verschlüsselungssysteme zu knacken. Das war der Moment, an dem die Welt in Panik ausbrach – oder? Nicht wirklich. In den 1990er Jahren lagen Quantencomputer noch in weiter Ferne und die potenzielle Bedrohung wurde daher größtenteils ignoriert.

Die Bedrohung durch Quantencomputer naht

Doch die technologischen Fortschritte der letzten Jahrzehnte haben Quantencomputer von reinem Wunschdenken in die Realität katapultiert. Damit rückt auch die Gefahr für unsere Daten in Reichweite. In den 2010er Jahren wurde allmählich klar, dass neue »quantensichere« Verschlüsselungsalgorithmen nötig werden. Die quantenmechanische Natur von Quantencomputern ermöglicht es, bestimmte Rechenoperationen schneller auszuführen – aber bei Weitem nicht alle. Damit lassen sich neue Verschlüsselungen entwickeln, die unsere Daten auch in Zukunft sichern: An ihnen sollen sowohl gewöhnliche als auch Quantencomputer scheitern.

Die Idee hinter kryptografischen Verfahren ist folgende: Man braucht ein mathematisches Problem, die einfach durchzuführen ist (verschlüsseln), aber ohne weitere Hinweise quasi unmöglich umzukehren (entschlüsseln) ist. Heutige Verschlüsselungen bauen hauptsächlich auf zwei Verfahren auf: dem RSA-Algorithmus und der Elliptischen-Kurven-Kryptografie. Bei erstem hängt die Aufgabe damit zusammen, dass sich zwei Primzahlen leicht miteinander multiplizieren lassen, es aber umgekehrt sehr schwer sein kann, eine große Zahl in ihre Primteiler zu zerlegen. Der zweite Verschlüsselungsalgorithmus, der effizienter ist und daher RSA inzwischen größtenteils abgelöst hat, hängt mit einer Art Addition von Punkten auf bestimmten Kurven zusammen.

Wie Shor gezeigt hat, könnten Quantencomputer beide kryptografischen Probleme in vertretbarer Zeit knacken. Daher müssen neue Verschlüsselungsalgorithmen her. Diese zu finden, ist gar nicht so einfach. Zunächst einmal braucht man ein geeignetes mathematisches Problem, das man anschließend in ein funktionierendes kryptografisches Protokoll überführen muss. Dabei dürfen die Schlüssel nicht zu groß sein und die Operationen müssen in vertretbarer Zeit und ohne zu viel Rechenaufwand funktionieren.

Bereits der erste Schritt führt zu Schwierigkeiten: Woher weiß man, dass eine Aufgabe für eine Verschlüsselung geeignet ist – also quasi unumkehrbar ist? Wer garantiert, dass nicht irgendeine clevere Person eine findige Idee hat, um das Problem plötzlich effizient zu lösen? Wie sich herausstellt, lässt sich diese Möglichkeit aktuell nicht ausräumen. Für die in Frage kommenden mathematischen Probleme, die Verschlüsselungen zu Grunde liegen, muss man darauf vertrauen, dass sie sich wohl kaum lösen lassen, weil bisher noch niemand eine gute Lösung gefunden hat.

Um überhaupt eine passende neue Verschlüsselung zu finden, die quantensicher ist (so genannte Post-Quanten-Algorithmen), ist man also auf das Wissen und die Erfahrung einer ganzen Gemeinschaft angewiesen. Das erkannte auch die US-amerikanische Standardisierungsbehörde NIST. Zu diesem Zweck rief sie 2016 einen Wettbewerb aus, an dem man passende Kandidaten für die Post-Quanten-Kryptografie einreichen konnte. Die Algorithmen sollten nicht nur sicher, sondern auch vielseitig einsetzbar sein und effizient funktionieren. In einem mehrstufigen Verfahren, an dem sich die gesamte Community beteiligen konnte, wurden die eingereichten Algorithmen auf Herz und Nieren geprüft. Im Juli 2022 gab das NIST schließlich die vorläufigen »Sieger« des Wettbewerbs bekannt: Insgesamt vier Algorithmen, die auf zwei unterschiedlichen mathematischen Problemen basieren. Bei einem dieser Gewinner sieht Bernstein Probleme.

Die Entscheidung des NIST hat weit reichende Konsequenzen. »NIST ist eine Organisation, die über die Grenzen hinaus ernst genommen wird und der vertraut wird. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgt deren Empfehlungen und übernimmt meist die Standards«, sagte die Mathematikerin Juliane Krämer 2022 im Interview mit »Spektrum«. Umso wichtiger ist es, dass bei der Wahl von passenden Post-Quanten-Verfahren alles mit rechten Dingen zugeht – schließlich geht es um unsere Datensicherheit.

Verbindungen zwischen NIST und NSA

Laut Bernstein sei einer der Gewinner, der Kyber-512-Algorithmus, aber nicht so sicher, wie es die Behörde behauptet. Als Argument führt er eine Berechnung vor, die einen vermeintlichen Rechenfehler enthält. Andererseits würde die Behörde nicht offen kommunizieren, wie sie mit der NSA zusammenarbeite. Letztere Anschuldigung legt nahe – auch wenn es Bernstein nicht explizit formuliert –, die Standardisierungsbehörde könnte bewusst eine schwächere Verschlüsselung wählen, damit der Geheimdienst sie knacken könnte.

Ganz aus der Luft gegriffen ist dieser Gedanke nicht, wenn man auf die Geschichte der beiden Behörden schaut. Ein vom NIST ab dem Jahr 2006 empfohlenes Programm, Dual_EC_DRBG, das Zufallszahlen für kryptografische Anwendungen erzeugt, erwies sich im Jahr 2013 als unsicher: Die NSA hatte eine Hintertür in den Algorithmus eingebaut und damit Zugang zu vielen geschützten Inhalten. Bernstein war einer der beteiligten Forscherinnen und Forscher, welche die Backdoor nachweisen konnten. Kein Wunder, dass er der NSA und NIST skeptisch gegenübersteht. Allerdings fand die Auswahl der empfohlenen Zufallsgeneratoren beim NIST nicht in einem offenen Prozess statt und es ist davon auszugehen, dass die Standardisierungsbehörde nichts von der eingebauten Hintertür wusste.

»Ich würde mir wünschen, dass jegliche Kommunikation zwischen NIST und NSA offen wäre«Peter Schwabe, Kryptograf

Das ist bei der Auswahl von Post-Quanten-Algorithmen anders: Hier läuft der Prozess deutlich offener ab. So gibt es eine offen einsehbare Google-Gruppe, bei der über das Auswahlverfahren diskutiert wird. Dennoch blieb Bernstein skeptisch und forderte NIST auf, alle Verbindungen mit der NSA offenzulegen. Als die Behörde sich – widerrechtlich – weigerte, beauftragte der Kryptograf im März 2022 eine Anwaltskanzlei, klagte und bekam Recht. In den offengelegten Dokumenten stellte sich heraus, das einige der bei NIST tätigen Personen auch NSA-Mitarbeiter sind. Zudem fanden mehrere Treffen zwischen dem NIST-Post-Quanten-Team und Mitarbeitenden der NSA und des britischen Geheimdienstes GCHQ statt.

»Ich würde mir auch wünschen, dass jegliche Kommunikation zwischen NIST und NSA offen wäre«, sagt der Kryptograf Peter Schwabe von der Radboud University in Nijmegen. »Aber insgesamt hat NIST in der Post-Quanten-Standardisierung einen deutlich offeneren Prozess unter Einbeziehung der internationalen Forschungscommunity auf die Beine gestellt als diverse andere Standardisierungsbehörden (wie ETSI oder ISO).« Eine ähnliche Meinung teilen andere Forscher aus dem Bereich. Und auch ein Sprecher des BSI (der Name liegt Spektrum.de vor) betont: »Die aktuelle Situation ist etwas völlig anderes als eine Diskussion um mögliche Hintertüren und ein solcher Vorwurf steht aktuell auch nicht im Raum.«

Haben sich die Forscher am NIST verrechnet?

Über den vermeintlichen Rechenfehler, den Bernstein bei NIST entdeckt hat, herrscht ebensowenig eine einhellige Meinung. »Die Post-Quanten-Kryptografie-Gemeinschaft debattiert aktiv über das Thema und ist sich nicht einmal sicher, dass ein Fehler vorliegt«, schreibt Matthew Green auf X. Das Problem sei vor allem, dass »Bernstein Zahlenbeispiele aufführt, die das NIST so nicht gemacht hat«, wie ein Sprecher des BSI erklärt.

Der Mathematiker Dustin Moody, der als Sicherheitsexperte beim NIST arbeitet, sagte zu »New Scientist«: »Es ist eine Frage, für die es keine wissenschaftliche Gewissheit gibt, und intelligente Menschen können unterschiedliche Ansichten haben. Wir respektieren Dans [Bernstein] Meinung, stimmen aber nicht mit dem überein, was er sagt.« Andere Fachleute, die nicht beim NIST angestellt sind, kommen zu einem ähnlichen Schluss, etwa Chris Peikert von der University of Michigan.

Bei der betreffenden Berechnung geht es um die Anzahl an Rechenschritten, die ein Computer ausführen müsste, um eine Kyber-512-Verschlüsselung zu knacken. Bernstein führt an, das NIST würde hierbei zwei Größen, die man eigentlich addieren müsse, miteinander multiplizieren, was ein deutlich größeres Ergebnis hervorbringt. Da im NIST-Report die betreffende Berechnung jedoch nicht explizit auftaucht, lassen sich Bernsteins Anschuldigungen nicht ohne Weiteres belegen oder verwerfen.»Diese Berechnungen sind noch Gegenstand aktueller Forschung«, resümiert ein Sprecher des BSI.

In den folgenden, seitenlangen Ausführungen seines Blogbeitrags erklärt der Kryptograf, warum Kyber-512 eine schlechte Wahl sei und dass NTRUprime, ein anderer Algorithmus, deutlich geeigneter sei. Hierzu muss man wissen – und das geht aus dem Beitrag nicht eindeutig hervor –, dass Bernstein eine der Personen ist, die NTRUprime mitentwickelt hat.

»Bernstein hat sich dafür entschieden, dies auf die aufrührerischste Art und Weise zu vermitteln«Thomas H. Ptacek, Sicherheitsforscher

Beim Auswahlprozess der Post-Quanten-Kryptografie hat sich NIST für Kyber und gegen NTRUprime entschieden. Kann es sein, dass die Behörde absichtlich eine schwächere Verschlüsselung gewählt hat, um es der NSA zu ermöglichen, unsere Daten künftig abzugreifen? Eine so konkrete Anschuldigung formuliert Bernstein nicht, doch der Gedanke kommt beim Lesen seines Blogbeitrags auf. Allerdings ist es nicht ganz so einfach, die Vor- und Nachteile verschiedener Verfahren abzuwägen, wie Schwabe erklärt: »Ich war in drei NIST-Auswahlverfahren involviert (Kyber, NewHope, und NTRU) und hätte für jedes der drei argumentieren können, warum es klar besser ist, als die anderen zwei.« Auch andere Forscher sehen, weshalb Kyber in manchen Bereichen Vorteile gegenüber NTRUprime haben kann.

Dass sich Bernstein darum bemüht, die Verbindungen zwischen NIST und dem US-Geheimdienst NSA offenzulegen, begrüßen viele. Ebenso sei es richtig, die Standardisierungsbehörde auf einen vermeintlichen Fehler aufmerksam zu machen. Doch wie der Softwareentwickler und Sicherheitsforscher Thomas H. Ptacek schreibt, habe Bernstein sich durch seinen Blogbeitrag »dafür entschieden, dies auf die aufrührerischste Art und Weise zu vermitteln«.