Peter Schwabe leitet eine Forschungsgruppe am Max-Planck-Institut für Sicherheit und Privatsphäre. [© RUB, Michael Schwettmann]
Von 69 Methoden wurden vier ausgewählt – drei mit Max-Planck-Beteiligung
Um den Datenverkehr künftig auch gegen Angriffe mit Quantencomputern zu schützen, haben insgesamt 69 internationale Teams aus der Kryptografie-Gemeinde beim NIST Vorschläge für neue kryptografische Methoden eingereicht – sie sprechen von Post-Quanten-Kryptografie. Nach mehreren Runden hat das NIST nun entschieden, vier dieser Verfahren zu standardisieren. „Sie stellen einen besseren Schutz für die digitale Kommunikation dar – gerade, weil Quantencomputer die bisherigen Verschlüsselungsmethoden und Signatursysteme aushebeln würden“, sagt Eike Kiltz, Professor an der Ruhr-Universität Bochum und Sprecher des Bochumer Exzellenzclusters Cyber Security in the Age of Large Scale Adversaries (Casa). „Die neuen Verfahren zeigen, wie wichtig eine Zusammenarbeit zwischen der Grundlagenforschung und einer anwendungsorientierten Forschung ist, damit die Verschlüsselung unserer Daten auch zukünftig sicher ist.“
Zwei der ausgewählten Methoden dienen der Authentifizierung, nämlich die Verfahren Sphincs+ und Crystals-Dilithium, an deren Entwicklung Peter Schwabe beteiligt war: „Bei der Authentifizierung stellt eine Signatur in einem digitalen Handshake sicher, dass etwa ein Web-Browser tatsächlich mit dem Server verbunden ist, den dieser vorgibt zu sein.“ Peter Schwabe gehört außerdem dem internationalen Team an, das Crystals-Kyber konzipiert und zur Anwendungsreife gebracht haben. Mit diesem Verfahren werden auf sichere Weise Schlüssel für die weitere Kommunikation übertragen. Bei Crystals-Dilithium und Crystals-Kyber kooperierte Peter Schwabe unter anderem mit Eike Kiltz.
Die Post-Quanten-Kryptografie beruht auf mathematischen Operationen, die für Quantencomputer nach derzeitigem Stand des Wissens fast genauso knifflig sind wie für herkömmliche Rechner. So nutzen sowohl die Verfahren für den Schlüsselaustausch als auch diejenigen für die Authentifizierung Hash-Funktionen. Diese Algorithmen berechnen aus einer sehr großen Eingabezahl eine kleine Zahl. Aus der kleinen Zahl, die in der Kryptografie Fingerabdruck heißt, lässt sich die ursprüngliche Zahl nicht mehr ermitteln. Solch ein mathematischer Fingerabdruck bildet daher ein wesentliches Element einer digitalen Signatur.
Die Kryptografie-Community ist an der Auswahl beteiligt
Das National Institute for Standards and Technology hat bei seiner Auswahl überprüft, ob die Verfahren prinzipiell sicher sind, aber auch ob sie sich sicher und effizient implementieren lassen. Nun wird es zu den ausgewählten Verfahren Standards schreiben. Das heißt, es wird die kryptografischen Grundlagen und ihre Umsetzung erläutern und auch Hinweise formulieren, damit etwa online-Diensten sie mit vergleichsweise geringem Aufwand in ihre Anwendungen einbinden können – und vor allem, ohne dabei Löcher in die Sicherungsvorkehrungen zu reißen.
Gegen die Arbeit des NIST gibt es dabei auch Vorbehalte. Manche Kritiker fürchten, die Behörde könnte auf Geheiß der NSA Verschlüsselungsmethoden standardisieren, die dem US-Geheimdienst Hintertüren offenlassen. „Es ist ziemlich sicher, dass das in der Vergangenheit in einem Fall geschehen ist“, sagt Peter Schwabe. Das habe die Behörde aber vermutlich nicht wissentlich getan und inzwischen selbst auch als großen Fehler eingeräumt. „Das Verfahren mit der Hintertür kam anders als die Methoden, die jetzt zur Auswahl standen, auch nicht aus der Wissenschaft, und heute ist die Krypto-Community an der Auswahl auch stärker beteiligt.“ So klopfe nun nicht nur NIST die zur Wahl stehenden Methoden auf mögliche Sicherheitslücken ab, sondern auch mehr oder weniger die gesamte Kryptografiegemeinde der Welt. „NIST hat die Auswahl für neue Kryptografiestandards schon zweimal so gestaltet wie bei der Post-Quanten-Kryptografie“, sagt Schwabe. „Und die Verfahren, die dabei herausgekommen sind, haben sich als sehr sicher erwiesen und werden heute auf der ganzen Welt genutzt.“
Europäische Behörden dürften sich der Auswahl des NIST anschließen
Es ist daher zu erwarten, dass das NIST mit seiner Entscheidung zumindest für die USA und Europa Standards setzen wird. „Der neue NIST-Standard wird sicherlich eines der einflussreichsten Dokumente in der IT-Sicherheit werden“, sagt Eike Kiltz. Die europäischen Behörden prüften die vom NIST ausgewählten Verfahren zwar auch noch, schlössen sich aber erfahrungsgemäß der Einschätzung ihrer US-Kollegen an, wenn sie keine Sicherheitslücken fänden, erklärt Peter Schwabe. Das tun sie nicht zuletzt, um verschlüsselten Datenaustausch zwischen US-amerikanischen und europäischen Diensten und Computerprogrammen zu ermöglichen. Und auch für Google, Amazon, Apple sowie quasi alle anderen Unternehmen, die online-Dienste anbieten, ist die Kommunikation untereinander ein Grund, auf die vom NIST standardisierten Verschlüsselungsmethoden zu setzen. „Außerdem können sie dann auf die Verantwortung des NIST verweisen, wenn doch mal Sicherheitslücken auftreten“, sagt Schwabe.
Die Standardisierung könnte Ende 2023 abgeschlossen sein, vermutet der Informatiker. Doch schon jetzt nutzen etwa Google und Infineon testweise Methoden der post-Quanten-Kryptografie gemeinsam mit den heutigen Standard-Verfahren, die für Angriffe mit Quantencomputern verletzlich sind. Und auch Automobilhersteller beschäftigen sich bereits mit Post-Quanten-Kryptografie, um sicherzustellen, dass sie die Software ihrer heute gebauten Fahrzeuge auch in 15 oder 20 Jahren noch ohne großen Aufwand sicher aktualisieren können. „Wir gehen davon aus, dass nach der Standardisierung immer mehr Dienste die neuen Verfahren einsetzen werden“, sagt Peter Schwabe. Dann werden die Verschlüsselungsmethoden, die die Bochumer Forschenden mitentwickelt haben, den Besuch einer Webseite, den Mailverkehr oder Bankgeschäfte hoffentlich schon sichern, bevor es den ersten Quantencomputer gibt.