Langzeitsichere Kryptografie I : Was Quantencomputer und andere Disruptionen aus Sicht der Forschung für die Verschlüsselung bedeuten
Um Kryptografie langzeitsicher zu machen, arbeiten Forschung und Praxis daran, mit heutigen Mitteln Antworten auf Herausforderungen der Zukunft zu finden. Egal, ob es um Quantencomputer oder unerwartete Durchbrüche geht– es gibt Weichenstellungen, die schon jetzt durchdacht und angegangen werden sollten.
Von Daniel Loebenberger, Weiden
Die langzeitsichere oder auch postquantensichere Kryptografie stellt ein ungewöhnliches Forschungsgebiet dar. Denn es ist selten, dass Grundlagenforschung und angewandte Forschung parallel stattfinden. Und die Lage mahnt zum Handeln! Zum einen ist Kryptografie eine entscheidende Grundlage der IT-Sicherheit – zum anderen gibt es Fortschritte bei Quantencomputern: Lange waren das rein theoretische Modelle, doch inzwischen gibt es signifikante Fortschritte bei ihrer Entwicklung.
Auch wenn Wissenschaft und Technik von einem kryptoanalytisch relevanten Quantencomputer aktuell noch weit entfernt sind, schwingen schon heute potenzielle Zukunftsszenarien mit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für den Hochsicherheitsbereich als Arbeitshypothese aufgestellt, dass es Anfang der 2030er-Jahre mit signifikanter Wahrscheinlichkeit einen kryptografisch relevanten Quantencomputer geben wird. Deshalb hat das BSI im August 2020 Handlungsempfehlungen für die Wirtschaft [1] dazu veröffentlicht, welche Maßnahmen man schon heute ergreifen kann, um dieser Bedrohung zu begegnen – schließlich wird auch der Weg zu standardisierter, allgemein verbreiteter postquantensicherer Kryptografie einige Jahren dauern.
Quantenbedrohung
Quantencomputer können für Verschlüsselung zum Problem werden, weil sie aufgrund ihrer Funktionsweise bestimmte mathematische Probleme weitaus schneller lösen könnten als klassische Computer (siehe etwa [2,3]). Die Algorithmen dafür existieren bereits – es fehlt nur die Maschine, auf der sie laufen können. Ein kryptoanalytisch relevanter Quantencomputer würde die Sicherheit bestehender asymmetrischer Verschlüsselungsverfahren grundlegend kompromittieren. Denn die ihnen zugrunde liegenden mathematischen Probleme – diskrete Logarithmen oder die Faktorisierung großer Zahlen – können Quantencomputer effizient lösen. Auch gängige symmetrische Verfahren würden signifikant geschwächt.
Der sogenannte Grover-Algorithmus wäre beispielsweise in der Lage, unstrukturierte Daten weitaus effizienter zu durchsuchen. Ein Prozess, der auf einem klassischen Rechner n Operationen benötigt, gelingt dann schon in √n Quanten-Schritten. Sprich: Das Knacken symmetrischer Verfahren würde quadratisch beschleunigt. Das bedeutet, dass ein Brute-Force-Angriff, in dem man einfach alle Varianten des Schlüsselraums ausprobiert, weitaus weniger Zeit benötigt. Der gängige Verschlüsselungsstandard AES-128 ist heute deshalb sicher, weil eine Brute-Force-Attacke ungefähr 2^128 Operationen bräuchte – mit dem Grover-Algorithmus wären es nur noch ungefähr 2^64 Operationen. Ein Vergleich: Würde ein klassischer Computer für die erste Suche 3 Trillionen CPU-Jahre benötigen, würde ein Quantencomputer sie bei gleicher Taktung in 1,74 Jahren erledigen.
Noch dramatischer ist die Lage bei asymmetrischen Verschlüsselungsverfahren – viele ihrer Algorithmen wären grundlegend nicht mehr sicher. Dafür sorgt etwa der Shor-Algorithmus, der auf Quantencomputern weitaus schneller faktorisieren oder diskrete Logarithmen berechnen kann. Auf derartigen mathematischen Problemen basieren die asymmetrischen Verfahren, zu denen etwa Diffie-Hellman zählt, das sehr verbreitet für den Schlüsselaustausch ist. Das gleiche gilt für RSA (Verschlüsselung) oder (EC)DSA (Signaturen) – diese Verfahren wären nicht zu retten.
Weitere Risikofaktoren
Quantencomputer sind jedoch nicht das einzige, was potenziell gefährlich für Kryptosicherheit ist. Genauso kann es andere Durchbrüche geben. Ein Beispiel: Viele Anwendungen der Public-Key-Kryptografie nutzen diskrete Logarithmusprobleme (DLP). Vor einigen Jahren hat man jedoch für Logarithmusprobleme in endlichen Körpern kleiner Charakteristik Algorithmen gefunden, die sie erheblich effizienter lösen konnten – womit sie nicht mehr einsatzsicher für Kryptografie waren.
Auch bei den heute üblichen Berechnungen von diskreten Logarithmen in elliptischen Kurven über endliche Körper lässt sich nicht ausschließen, dass es in den kommenden Jahren einen ähnlichen Durchbruch gibt. Zwar gelten elliptische Kurven über Primkörpern (vgl. [2]) aus heutiger Sicht als sicher – gelänge es jedoch, eine ähnliche Methodik wie beim so genannten Indexkalkülverfahren zu finden, würde diese Sicherheit vollständig zusammenbrechen und die Nutzung elliptischer Kurven in der Kryptografie letztlich in der Versenkung verschwinden. Das Indexkalkülverfahren lässt sich nämlich nach aktuellem Kenntnisstand nicht auf Kurven anwenden, sodass nur generische, langsamere Verfahren für die Berechnung diskreter Logarithmen für die Kurven existieren. Das ist letztlich der Grund, warum Schlüssellängen bei elliptischen Kurven kleiner sein können, ohne die Sicherheit zu gefährden.
Handlungsempfehlungen
Mit Blick auf die erheblichen Risiken, die ein Quantencomputer für die Kryptografie bedeuten würde, gehen einzelne Experten davon aus, dass Post-Quanten-Kryptografie langfristig zum Standard wird. Abhängig vom Anwendungsfall empfiehlt es sich abzuwägen, in welchen Bereichen und wann ein Umstieg auf Verfahren erfolgen sollte, die postquantensicher sind – denn die Einführung entsprechender Verfahren bringt ebenfalls Herausforderungen mit sich. Die folgenden Maßnahmen geben einen Überblick möglicher Stellschrauben, die Unternehmen in Zukunft berücksichtigen müssen.
Kryptoagilität
Was sich in jedem Fall empfiehlt, ist das Prinzip der Kryptoagilität: Um auf Vorfälle oder neue Angriffsarten schnell reagieren zu können, müssen kryptografische Anwendungen so flexibel sein, dass sie ausreichenden Reaktionsraum bieten. Das bedeutet etwa, dass Protokolle modular aufgebaut sein sollten, damit sich notfalls die eingesetzten Verschlüsselungsverfahren austauschen lassen. Ebenfalls sinnvoll sind hybride Lösungen, sogenannte Krypto-Combiner: Werden mehrere Verschlüsselungsverfahren nebeneinander eingesetzt, kompromittiert die wegfallende Sicherheit eines Verfahrens nicht den kompletten Mechanismus. Wenn Kryptoagilität zum neuen Designkriterium wird, schützt dies nicht nur vor einem theoretischen Quantencomputer-Durchbruch, sondern genauso vor Disruptionen bei klassischen Angriffen und sonstigen Weiterentwicklungen, die bislang sichere Verfahren brechen. All dem ließe sich mit Kryptoagilität besser begegnen. Wenn es möglich ist, geschwächte Verfahren auszutauschen, können bestehende Anwendungen dann nachgesichert werden.
Die Herausforderung besteht allerdings darin, dass Kryptoagilität typischerweise auch zu erhöhter Komplexität führt, die es wiederum schwieriger macht, das Gesamtsystem zu analysieren.
Firmware- und Software-Updates
Ebenfalls schon jetzt relevant ist der Schutz von Updates für herstellerseitig kryptografisch signierte Firm- und Software. Denn wenn die aktuell genutzten Signaturverfahren künftig angreifbar wären, könnten Attacken auf eigentlich sichere Systeme auch dadurch erfolgen, dass Angreifer durch gefälschte Signaturen ihnen genehme Hintertüren in Systeme einschleusen.
Bedenkt man, wie lange Systeme und Software teilweise eingesetzt werden, ist nachvollziehbar, dass man sich bereits heute dieses Punkts annehmen sollte. Ein simples Beispiel aus dem Software-Bereich: Das 2009 eingeführte Betriebssystem Windows 7 wurde bereits 2015 durch Windows 10 abgelöst – läuft aber Daten von Statcounter zufolge noch immer auf rund 20 % aller Windows-Desktops. Auch Behörden der Bundesregierung nutzen einem Medienbericht zufolge noch auf rund 60 000 Rechnern Windows 7. Im Bereich von Produktion und Fertigungsanlagen werden Maschinen ebenfalls typischerweise über langjährige Zeiträume eingesetzt.
Wenn für Firm- und Software-Updates zum Beispiel hashbasierte Signaturverfahren eingesetzt werden, kommt mit ihnen ein etabliertes quantencomputerresistentes Signaturverfahren zum Einsatz. Denn die Sicherheit dieser Verfahren ist im Kontext von Quantencomputern bereits heute wohlverstanden – es gibt geeignete Kandidaten, die man schon heute einsetzen kann. Ein Problem dieser Verfahren wie LMS oder XMSS besteht allerdings darin, dass sich nur eine begrenzte, vorher festgelegte Anzahl von Signaturschlüsseln verwenden lässt. Das stellt bei Software-Updates jedoch kein großes Problem dar, da diese typischerweise vergleichsweise selten erfolgen – gerade im Bereich von Firmware-Updates. Wenn hier im Sinne der Kryptoagilität quantenresistente und klassische Verfahren in einer hybriden Lösung eingesetzt werden sollen, könnte man hashbasierte Signaturen etwa auch mit RSA- oder (EC)DSA-Signaturen kombinieren.
Verdopplung der Schlüssellängen
Für symmetrische Verfahren gibt es zudem eine naheliegende Antwort auf die Gefährdung durch Quantencomputer: Verdoppelt man die Schlüssellänge, ist das ursprüngliche Sicherheitsniveau wieder ungefähr erreicht. Die Erhöhung der Schlüssellängen bei symmetrischen Verschlüsselungsalgorithmen findet sich ebenfalls in den BSI-Empfehlungen – in der Praxis ist sie in vielen etablierten Verfahren unkompliziert möglich. So sollten Organisationen von AES-128 auf AES-256 wechseln – oder von SHA-256 auf SHA-512. Zum Problem kann dabei allerdings werden, dass die Datenmengen und die Rechenzeit ansteigen und manche Applikationen darauf nicht ausgelegt sind.
Genau wie die Anpassung der Schlüssellängen hat auch der Vorschlag, Pre-Shared Keys – also im Voraus verteilte Langzeitschlüssel – einzusetzen, einen Haken: Wie lassen diese sich sicher verteilen? Das kann tatsächlich physische Prozesse wie den Einsatz von Boten bedeuten. Zudem gewährleisten derartige Verfahren keine so genannte „Perfect Forward Secrecy“: Wird der Langzeitschlüssel entwendet, ist die gesamte Kommunikation dem Angreifer ausgeliefert. Sowohl die Verdopplung der Schlüssellängen als auch Pre-Shared Keys sind deshalb nur als kurzfristige Maßnahmen der Kryptosicherheit zu bewerten.
Pragmatische Ansätze: Hybride Lösungen
Die Kombination aus mehreren Verfahren bietet hingegen eine Reihe von Vorteilen: Schließlich ist ein Angriff, der nur eines der Verfahren brechen kann, so noch immer nicht erfolgreich. Gleichzeitig sind die genutzten Verschlüsselungsverfahren etabliert sowie hinreichend erforscht und Unternehmen haben genügend Praxiserfahrung mit ihnen. Das spricht dafür, dass sie korrekt eingesetzt werden und ihnen alle Seiten Vertrauen entgegenbringen.
Kommen für einen Verschlüsselungsvorgang etwa RSA, das gitterbasierte Frodo und McEliece zum Einsatz, dann bliebe die Kommunikation auch dann abgesichert, wenn ein Quantencomputer RSA bricht oder kryptoanalytische Durchbrüche gitterbasierte Verfahren kompromittieren – solange nur das als sicher geltende McEliece-Verfahren ungebrochen wäre.
Gleichzeitig ließen sich so je nach Anwendungsfall Eigenheiten der Verfahren „einpreisen“, um auf Gegebenheiten einzugehen. Natürlich erzeugt aber auch die Kombination von Verfahren eine gesteigerte Komplexität. Der Testaufwand steigt ebenfalls, da sowohl Rechenaufwand als auch Fehleranfälligkeit höher ausfallen können und beide Seiten die gleichen kombinierten Verfahren anwenden müssen.
Standardisierung für die Zukunft
Fehleranfälligkeiten und Testaufwand stellen nur einen Teil der Gründe dar, warum es wichtig ist, bereits heute über neue langzeitsichere Standards in entsprechenden internationalen Gremien zu sprechen.
Für die reibungslose Verwendung von Protokollen geht es darum, wie sie angepasst oder durch moderne Varianten ersetzt werden müssen. Hierfür läuft seit 2016 ein Wettbewerb der US-amerikanischen Standardisierungsbehörde NIST (s. a. S. 59). Er dient dazu, allgemein akzeptierte, von der wissenschaftlichen Gemeinschaft gründlich geprüfte quantenresistente kryptografische Verfahren festzulegen. Dieser Prozess wird aber mindestens bis 2022 andauern.
Auch wird es bei standardisierten Internetprotokollen Änderungen geben müssen – denn die jeweiligen Datei- oder Schlüsselgrößen sind nicht flexibel erweiterbar, sondern oft durch das Protokoll oder externe Faktoren eingeschränkt. Experten arbeiten ebenfalls an Modifikationen; doch derart komplexe Vorgänge, die zudem international abgestimmt werden müssen, dauern Jahre. In der Zwischenzeit werden Workarounds nötig sein.
Sicherheitsprotokoll für künftige VPN
Ein Forschungsprogramm, das auf die Förderrichtlinie Postquantenkryptografie des Bundesministeriums für Bildung und Forschung zurückgeht, zeigt am Projekt QuaSiModO (Quanten-Sichere VPN-Module und -Operationsmodi), was das konkret bedeutet: Virtual Private Networks (VPN) nutzen typischerweise ein symmetrisches Verfahren, wie AES, zur Sicherung des Tunnels sowie ein asymmetrisches Schlüsseleinigungsverfahren zur Ableitung eines gemeinsamen Schlüssels.
Heutige Sicherheitsprotokolle für VPNs sind meist auf bestimmte Verfahren hin optimiert und nicht modular gestaltet. Damit wäre ein Protokoll, das auch quantenresistente Verfahren aufnimmt, nicht mehr kompatibel zur klassischen Variante. Beispielsweise sind die Verfahren nicht auf ein signifikantes Anwachsen der Datenmenge für Schlüsselmaterial ausgelegt. Im Extremfall würde in quantenresistenten Verfahren von McEliece einige Megabyte Daten übertragen – mehrere 1000 mal so viel wie jetzt.
Selbst wenn man unter dieser Grenze bleibt, wird etwa beim Einsatz des weit verbreiteten Schlüsselaustauschprotokolls IKEv2 die initiale Nachricht um weitere ergänzt werden müssen – IKEv2 kann nämlich heutzutage nur maximal 64 KB große Schlüssel behandeln. Somit müssten nach dem Handshake – ab dem ein AES-Session-Key greift – weitere Nachrichten zusätzliche Schlüsselvereinbarungen transportieren. Diese wären dann auf Empfängerseite mittels eines internen Zählers wieder zusammenzusetzen – eine entsprechende Protokollerweiterung würde dann ebenfalls eine internationale Standardisierung erfordern.
Das Forschungsprojekt QuaSiModO erprobt daher erste Entwürfe von Internet-Standards im Praxiseinsatz und evaluiert unterschiedliche kryptografische Verfahren aus dem NIST-Wettbewerb für den Einsatz in quantensicheren Erweiterungen von IKEv2. Dabei wird besonderes Augenmerk auf den Einsatz von Verfahren gelegt, die möglichst unterschiedliche Eigenschaften haben – wie etwa McEliece mit besonders großen öffentlichen Schlüsseln. So wollen die Forscher eine Übersicht gewinnen, welche Verfahren sich besonders gut für den Einsatz in VPNs eignen. Erneut ist hier die Herausforderung, dass sich Erkenntnisse in der Kryptoanalyse von Post-Quanten-Verfahren im NIST-Wettbewerb direkt auf den Einsatz in den Protokollen auswirken.
Fazit
Insgesamt zeigt sich, dass langzeitsichere Kryptografie ein Umdenken erfordert: hin zu modularen Lösungen, in denen sich Verfahren kombinieren lassen, ohne dass die Komplexität explodiert. Die Herausforderungen durch Quantencomputer kann man kurzfristig durch eine Verlängerung von Schlüsseln angehen. Grundsätzlich wird es aber sowohl hybride Lösungen als auch Veränderungen bei Kommunikationsprotokollen und allgemein akzeptierten Verfahren brauchen, um sich sowohl gegen Quantencomputer als auch andere Disruptionen langfristig abzusichern.
Prof. Dr. Daniel Loebenberger ist Professor für Cybersicherheit an der Ostbayerischen Technischen Hochschule Amberg-Weiden, Leiter der Forschungsgruppe Sichere Infrastruktur des Fraunhofer AISEC in Weiden sowie Dozent für Post-Quanten-Sicherheit der Fraunhofer Academy.
Der Autor hält zudem bei der Fraunhofer Academy regelmäßig das Seminar „Post-Quanten Sicherheit – Trends und Entwicklungen der modernen Kryptografie“, das Spezialisten der Hochsicherheitsindustrie und Administratoren für IT-Sicherheit aktuelles Wissen vermittelt.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Migration zu Post-Quanten-Kryptografie, Handlungsempfehlungen des BSI, August 2020, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/PostQuanten-Kryptografie.html
[2] Eckart Begemann, Morituri te salutant! (1), Warum Quantencomputer heutige asymmetrische Kryptoverfahren bedrohen und wie deren jetziges Sicherheitsniveau begründet ist – ein Ausflug in die Mathematik, 2019#1, S. 24
[3] Eckart Begemann, Morituri te salutant! (2), Warum Quantencomputer heutige asymmetrische Kryptoverfahren bedrohen und wie deren jetziges Sicherheitsniveau begründet ist – ein Ausflug in die Mathematik, 2019#2, S. 48