Mit <kes>+ lesen

Quantensichere Kryptografie : Schnelle Migration dringend erforderlich

Kryptografische Verfahren, die heute noch als sicher gelten, können in Zukunft mit Quantencomputern gebrochen werden. Sie müssen daher in absehbarer Zeit durch neue, quantensichere Methoden ersetzt werden, beispielsweise durch die sogenannte Post-Quanten-Kryptografie. Um Staat, Wirtschaft und Gesellschaft bei diesem Thema bestmöglich zu unterstützen, haben das BSI und KPMG in Deutschland eine Umfrage unter CIOs und CTOs durchgeführt, deren Ergebnisse hier vorgestellt und diskutiert werden.

Von Dr. Frank Damm, Hans-Peter Fischer (KPMG in Deutschland), Dr. Heike Hagemeier und Dr. Manfred Lochter (BSI).

Quantencomputing nutzt die Gesetze der Quantenmechanik, um bestimmte Berechnungen effizient durchzuführen und kann potenziell manche Probleme lösen, bei denen die heute schnellsten Supercomputer versagen. Zwar ist trotz vielversprechender Ankündigungen großer Anbieter noch unklar, wann Quantencomputing tatsächlich praktisch einsetzbar sein wird – dennoch: Die Technologie existiert und wird immer leistungsfähiger.

Bei Wettersimulationen, komplexen Klimaberechnungen, der Genomanalyse oder bei Überwachung komplexer Verkehrsströme kann Quantencomputing für enorme Fortschritte sorgen. Allerdings ist bekannt, dass die Technologie auch in der Lage sein wird, viele der gängigen Verschlüsselungsmethoden und Sicherheitsvorkehrungen für IT-Infrastrukturen auszuhebeln. Diese Verfahren sind Grundbausteine der IT-Sicherheit, auf die wir heute bauen und vertrauen, und im Zeitalter des Quantencomputers werden sie schlicht nicht mehr sicher sein.

BSI warnt vor Auswirkungen auf die IT-Sicherheit

Das BSI warnt schon seit Jahren vor der Bedrohung der PublicKey-Kryptografie durch Quantencomputing. Für den Hochsicherheitsbereich hat das Amt deshalb bereits die Migration zu quantensicheren Lösungen eingeleitet. Grundlage dafür ist die Arbeitshypothese, dass Anfang der 2030er-Jahre kryptografisch relevante Quantencomputer zur Verfügung stehen werden. Das ist allerdings keine Prognose zur Verfügbarkeit von Quantencomputern, sondern ein Richtwert für die Risikobewertung. Eine detaillierte Studie zum „Entwicklungsstand Quantencomputer“ [1] wurde im Auftrag des BSI in 2018 erarbeitet und zuletzt 2020 aktualisiert. Derzeit wird an einer weiteren Aktualisierung gearbeitet. Die Studie ist auf den Webseiten des BSI verfügbar.

Abbildung 1: Antworten der befragten Unternehmen bezüglich des „Theorems“ von Mosca
Abbildung 1: Antworten der befragten Unternehmen bezüglich des „Theorems“ von Mosca

Wie aber sieht es in der Wirtschaft aus? Dazu haben BSI und KPMG in Deutschland 153 Unternehmen befragt. Ziel war es herauszufinden, wie gut die Organisationen mit dem Thema und den Empfehlungen des BSI dazu vertraut sind: Wie schätzen sie die Situation generell und für sich ein? Was tun sie schon und was würde helfen, die Migration zu quantensicherer Kryptografie zu beschleunigen?

28 Unternehmen haben diese Fragen beantwortet. Die Auswertung der Ergebnisse [2] zeigt, dass sich alle Teilnehmer:innen bereits für die Themen Quantencomputing und Kryptografie interessieren und die Auswirkungen von ausreichend leistungsfähigen Quantencomputern auf die Sicherheit als dramatisch ansehen.

Alle bis auf einen der Teilnehmer bewerten die generelle Relevanz von Quantencomputing auf die Sicherheit von heute eingesetzten kryptografischen Verfahren als „hoch“ oder „eher hoch“. Auch das durchschnittliche Risiko für die Daten in der eigenen Organisation schätzen 65 % als „hoch“ oder „eher hoch“ ein.

Das „Theorem“ von Mosca

Um abzuschätzen, wann die Migration zu quantensicherer Kryptografie notwendig ist, ist die folgende Überlegung des theoretischen Physikers Michele Mosca sehr anschaulich. Sei dafür

  • x die Anzahl der Jahre, die die zu schützenden Daten abgesichert bleiben müssen,
  • y die Anzahl der Jahre, die man benötigt, um das entsprechende System auf quantensichere Kryptografie umzustellen, sowie
  • z die Anzahl der Jahre, die es noch dauert, bis Quantencomputer existieren, die die aktuell verwendete Kryptografie gefährden,

dann gilt: Falls y+x > z ist, haben Sie ein Problem (vgl. Abb.)

Zu beachten ist dabei auch das sogenannte Store-Now-Decrypt-Later-Szenario: Bereits jetzt kann verschlüsselte Kommunikation, bei der die Schlüsseleinigung mit Public-Key-Kryptografie erfolgte, aufgezeichnet und in Zukunft entschlüsselt werden, sobald ein kryptografisch relevanter Quantencomputer verfügbar ist.

Wie aber sieht es in der Wirtschaft aus? Dazu haben BSI und KPMG in Deutschland 153 Unternehmen befragt. Ziel war es herauszufinden, wie gut die Organisationen mit dem Thema und den Empfehlungen des BSI dazu vertraut sind: Wie schätzen sie die Situation generell und für sich ein? Was tun sie schon und was würde helfen, die Migration zu quantensicherer Kryptografie zu beschleunigen?

28 Unternehmen haben diese Fragen beantwortet. Die Auswertung der Ergebnisse [2] zeigt, dass sich alle Teilnehmer:innen bereits für die Themen Quantencomputing und Kryptografie interessieren und die Auswirkungen von ausreichend leistungsfähigen Quantencomputern auf die Sicherheit als dramatisch ansehen.

Alle bis auf einen der Teilnehmer bewerten die generelle Relevanz von Quantencomputing auf die Sicherheit von heute eingesetzten kryptografischen Verfahren als „hoch“ oder „eher hoch“. Auch das durchschnittliche Risiko für die Daten in der eigenen Organisation schätzen 65 % als „hoch“ oder „eher hoch“ ein.

Werden die Organisationen die Umstellung rechtzeitig schaffen?

Insbesondere sollte von den befragten Organisationen eine Einschätzung der Werte x, y und z aus dem Theorem von Mosca (siehe Kasten) gegeben werden. Dazu wurden folgende Fragen gestellt (vgl. Abb. 1):

  • Wann, schätzen Sie, werden Quantencomputer in der Lage sein, relevante, heute eingesetzte kryptografische Verfahren zu brechen?
  • Wie hoch ist die maximale Dauer, für die Informationen durch Ihre Organisation vertraulich bleiben?
  • Wann plant Ihre Organisation, mit der Umstellung auf Post-Quanten-Kryptografie zu beginnen?
  • Wie lange wird, Ihrer Meinung nach, Ihre Organisation für obige Umstellung benötigen?

Bei den Antworten zeigte sich, dass 79 % der antwortenden Organisationen damit rechnen, dass Quantencomputer in spätestens zehn Jahren in der Lage sein werden, heute eingesetzte kryptografische Verfahren zu brechen. Und keine Organisation sieht es als ausgeschlossen an, dass dies überhaupt geschehen wird. Zudem gab eine große Mehrheit der Teilnehmer:innen (89 %) an, dass (zumindest teilweise) Informationen in ihrem Unternehmen mindestens fünf Jahre vertraulich bleiben sollen.

Insgesamt ergibt sich so ein Bild, nach dem die antwortenden Organisationen nach eigener Einschätzung die Migration auf quantensichere Kryptografie im Mittel 6,5 Jahre zu spät abgeschlossen haben werden. Diese Schätzung geht davon aus, dass die Ungleichheitszeichen einer Abweichung von 50 % entsprechen, also geht die Antwort „< 1 Jahr“ als 0,5 Jahre und die Antwort „> 5 Jahre“ als 7,5 Jahre in die Rechnung ein.

Abbildung 2: Geschätzte Zeitspanne, in der die Daten ungeschützt sein werden
Abbildung 2: Geschätzte Zeitspanne, in der die Daten ungeschützt sein werden
Abbildung 3: Einschätzung zur Verfügbarkeit von kryptografisch relevanten Quantencomputern
Abbildung 3: Einschätzung zur Verfügbarkeit von kryptografisch relevanten Quantencomputern

Die Antwort auf die Frage, wann Quantencomputer eine reale Bedrohung für die PublicKey-Kryptografie sein werden, ist eine subjektive Einschätzung der Befragten. Die Arbeitshypothese des BSI zur Verfügbarkeit von kryptografisch relevanten Quantencomputern entspricht ungefähr einem Zeitraum von zehn Jahren und wird von einem Großteil der Teilnehmer:innen (57 %, vgl. Abb. 2) geteilt. Legt man diesen Wert für z bei allen antwortenden Organisationen an, erhöht sich die Zeit, um welche die Teilnehmer:innen zu spät sind, gegenüber dem oben genannten Wert nur unwesentlich auf 7,16 Jahre. Allerdings zeigt sich, dass unter dieser Annahme in keinem der hier betrachteten Fälle Quantensicherheit rechtzeitig erreicht werden würde.

Dennoch wird die Gefährdung durch Quantencomputing nur von einem Viertel der antwortenden Organisationen im Risikomanagement berücksichtigt. Bei den Antworten zum voraussichtlichen Beginn fällt zudem auf, dass 32 % der Teilnehmer:innen angegeben haben, dass die Frage „nicht anwendbar/relevant“ sei – dies steht im Gegensatz dazu, dass nur eine einzelne Organisation angab, keine kryptografischen Verfahren einzusetzen. Das ist bemerkenswert, da die Antwort „nicht anwendbar/relevant“ darauf schließen lässt, dass in den jeweiligen Unternehmen kein Handlungsbedarf in Richtung Migration zu Post-Quanten-Kryptografie gesehen wird. Da es eher unwahrscheinlich ist, dass in den entsprechenden Organisationen nur symmetrische Kryptografie eingesetzt wird, werden sie aber voraussichtlich dennoch von der Bedrohung durch Quantencomputing betroffen sein.

Um weiter einzukreisen, was die Organisationen benötigen, um ihre Kryptosysteme quantensicher zu machen, wurden die Teilnehmer:innen gefragt, welche Aspekte ihrer Meinung nach Investitionsentscheidungen begünstigen würden (Abb. 5). Zwei Antworten stachen dabei besonders hervor: Regulatorische Vorgaben wurden von 96 % der Teilnehmer:innen genannt, die Existenz von Standards von 89 %. Sprunghafte technologische Entwicklungen wurden noch von 68 % der Teilnehmer:innen angeführt. Klassische Motivatoren, wie finanzielle Vorteile, Reputation oder Förderungen, wurden von weniger Teilnehmer:inne:n genannt (43 %, 29 % bzw. 25 %). Weiter unten werden regulatorische Aktivitäten ausführlicher angesprochen.

Abbildung 4: Berücksichtigung des Themas „Gefährdung der Kryptografie durch Quantencomputing“ im Risikomanagement
Abbildung 4: Berücksichtigung des Themas „Gefährdung der Kryptografie durch Quantencomputing“ im Risikomanagement

Diese Einschätzungen decken sich zum einen damit, dass die Erfüllung von regulatorischen Vorgaben und Datenschutzanforderungen als einer der häufigsten Einsatzzwecke von Kryptografie genannt wurde, und zum anderen damit, dass 32 % der Teilnehmer:innen angaben, dass der Hauptgrund für fehlende Initiativen in ihrer Organisation das Fehlen von Standards sei. Auch dass mangelndes Budget und Personal sehr selten (von einer bzw. zwei der teilnehmenden Organisationen) als Gründe dafür genannt wurden, dass keine Initiativen zu dem Thema existieren, und die Tatsache, dass finanzieller Förderung nur eine geringe Zugkraft zugetraut wird, erscheinen konsistent.

Dass klassische wirtschaftliche Faktoren vergleichsweise selten genannt wurden, kann so aufgefasst werden, dass es nicht an Motivation mangelt, sich den Herausforderungen zu stellen, die mit Quantencomputing einhergehen. Das deckt sich mit der hohen Relevanz, welche die Teilnehmer:innen dem Thema zuschreiben. Allerdings könnte man auch vermuten, dass die Teilnehmer:innen möglicherweise aus einer homogenen, grundsätzlich an dem Thema interessierten Gruppe stammen.

Aktuelle Aktivitäten

Besonders häufig wurde von den Teilnehmer:innen der Mangel an regulatorischen Vorgaben als Bremse für die Migration zu quantensicherer Kryptografie genannt. Wie sieht es generell mit staatlichen Aktivitäten aus? Hier kann nur ein grober Überblick über ausgewählte Aktivitäten gegeben werden.

In den USA gibt es bereits umfassende politische Vorgaben zur Quantensicherheit. Im Januar letzten Jahres hat das Weiße Haus ein Memorandum veröffentlicht, in dem unter anderem auch die Bedrohung der Public-Key-Kryptografie durch Quantencomputing betont wurde. Dieses Memorandum wurde in einem nachfolgenden weiteren Memorandum im Mai 2022 weiter konkretisiert: Darin werden Ministerien und Sicherheitsbehörden aufgefordert, innerhalb von 180 Tagen alle nicht quantensicheren Verschlüsselungsverfahren in nationalen Sicherheitssystemen (NSS) zu identifizieren und einen Zeitplan zur Migration zu erstellen. Darüber hinausgehend werden in dem Memorandum „Migrating to Post-Quantum Cryptography“ vom November 2022 „all currently deployed cryptographic systems, excluding National Security System“ behandelt. Hierfür sollen zu jedem eingesetzten Produkt verschiedenste Informationen geliefert werden, besonders die verwendeten kryptografischen Verfahren. Jede Organisation soll zudem einen Verantwortlichen für die Inventarisierung und Migration benennen.

Für die Migration im eingestuften Bereich in den USA ist die NSA zuständig. Als Ersatz für die bisher verwendet Public-Key-Kryptografie hat die NSA im September 2022 in einem Advisory die Commercial National Security Algorithms Suite 2.0 (CNSA 2.0) veröffentlicht und zudem spezifische Zeitvorgaben für die Migration von verschiedenen Anwendungen gemacht. Für alle NSS in den USA soll beispielsweise ab sofort mit der Migration zu quantensicheren Soft- und Firmware-Signaturen begonnen werden; ab 2025 sollen möglichst Verfahren aus der CNSA-2.0-Suite für diesen Einsatzzweck verwendet werden und ab 2030 dürfen nur noch ausschließlich Verfahren der CNSA-2.0-Suite für Soft- und Firmware-Signaturen verwendet werden. Bis 2035 soll in den USA die Migration zu quantensicherer Kryptografie weitestgehend abgeschlossen sein.

In Deutschland und Europa konzentrieren sich die Aktivitäten zum Thema Quantentechnologien zurzeit insbesondere darauf, bei der Entwicklung von Quantencomputern und auch im Bereich Quantenkommunikation den Anschluss an die führenden Nationen zu halten. Für die Entwicklung von deutschen Quantencomputern stehen ungefähr zwei Milliarden Euro zur Verfügung. Einen Überblick über geförderte Projekte findet man auf den Webseiten von DLR (https://qci.dlr.de) und BMBF. Daneben fördert das BMBF eine Reihe von Projekten zur Post-Quanten-Kryptografie und Quantenkommunikation. Auf europäischer Seite ist die Initiative EuroQCI hervorzuheben, die letztlich zu einem europäischen Quantenkommunikationsnetzwerk führen soll. Hierbei ist allerdings noch eine Vielzahl von offenen Fragen zu klären: Anders als die Post-Quanten-Kryptografie ist die Quantenkommunikation aus Sicherheitssicht noch nicht ausgereift genug, um im größeren Maßstab ausgerollt zu werden.

Auch von der deutschen Regierung werden die Auswirkungen von Quantencomputing auf die Kryptografie ernst genommen. In der Cybersicherheitsagenda hat das Bundesministerium des Innern und für Heimat (BMI) auch die Investition in Post-Quanten-Kryptografie als Maßnahme für die 20. Legislaturperiode formuliert. In dem im April vom Kabinett verabschiedeten Handlungskonzept Quantentechnologien der Bundesregierung wird unter anderem die „Erstellung einer Strategie der Bundesregierung für die Migration zu Post-Quanten-Kryptografie in Deutschland“ als Ziel verankert.

Als Vision 2036 sieht die Bundesregierung unter anderem folgenden Punkt: „Sensible Daten in Verwaltung und Sicherheitsbehörden werden über verwaltungsinterne Netze ausgetauscht, die auf quantencomputerresistenten Kryptografieverfahren basieren. Die verwaltungsinternen Netze besitzen sichere und definierte Übergänge zu weiteren Kommunikationspartnern. Sensible Daten kritischer Infrastrukturen und der Wirtschaft werden durch quantencomputerresistente Kryptografieverfahren geschützt und in Teilbereichen zusätzlich durch Quantenkommunikation abgesichert.“

Die Migration zu quantensicherer Kryptografie muss gestaltet werden. Mittlerweile entstehen dazu erste Handlungsorientierungen. Neben den Aktivitäten, die im Leitfaden „Kryptografie quantensicher gestalten“ (Abschnitt 6.1) des BSI genannt werden, ist insbesondere das niederländische „PQC-Migration Handbook“ zu nennen, das viele wichtige Punkte aufgreift. Dieses Handbuch ist in Zusammenarbeit von TNO (https://www.tno.nl), CWI (https://www.cwi.nl) und AVID (https://www.avid.nl) entstanden und stellt einen breiten Konsens dar.

Es bleibt abzuwarten, welche weiteren technischen, wissenschaftlichen und politischen Entwicklungen zu diesem Thema auf uns zukommen werden. Eins aber ist sicher: Post-Quanten-Kryptografie wird über kurz oder lang zum Standard werden. Es ist ratsam, sich rechtzeitig mit der Migration oder zumindest – wenn diese nicht rechtzeitig erfolgt – den möglichen Konsequenzen auseinanderzusetzen. Der vollständige Bericht zur Umfrage kann unter dem zu angegebenen Link heruntergeladen werden – weitere Informationen und alle Veröffentlichungen des BSI zu dem Thema finden Sie unter https://www.bsi.bund.de/Quanten.

Literatur

[1] BSI, Status of quantum computer development, Version 1.2, Juni 2020, www.bsi.bund.de/qcstudie
[2] BSI/KPMG, Marktumfrage Kryptografie und Quantencomputing, April 2023, www.bsi.bund.de/dok/umfrage-pqc bzw. https://kpmg.com/de/de/home/themen/2023/04/marktumfrage-kryptografie-undquantencomputing-kpmg-bsi-2023.html (Registrierung erforderlich)
[3] The White House, National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems, National Security Memorandum NSM-10, Mai 2022, www.whitehouse.gov/briefing-room/statementsreleases/2022/05/04/national-security-memorandumon-promoting-united-states-leadership-in-quantumcomputing-while-mitigating-risks-to-vulnerable-cryptographic-systems/
[4] Executive Office of the President Office of Management and Budget, Migrating to Post-Quantum Cryptography, Memorandum for the Heads of Executive Departments and Agencies M-23-02, November 2022, www.whitehouse.gov/wp-content/uploads/2022/11/M-23-02-M-Memo-on-Migrating-to-Post-Quantum-Cryptography.pdf
[5] US National Security Agency (NSA), Announcing the Commercial National Security Algorithm (CNSA) Suite 2.0, Cybersecurity Advisory, September 2022, https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF
[6] Bundesministerium für Bildung und Forschung, „Mission Quantencomputer“ gestartet, Mai 2021, www.bildung-forschung.digital/digitalezukunft/de/technologie/daten/mission-quantencomputer-gestartet/missionquantencomputer-gestartet_node.html
[7] Bundesministerium des Innern und für Heimat, Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat, Ziele und Maßnahmen für die 20. Legislaturperiode, Juni 2022, www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/sicherheit/cybersicherheitsagenda-20-legislatur.pdf
[8] Deutscher Bundestag, Handlungskonzept Quantentechnologien der Bundesregierung, Unterrichtung durch die Bundesregierung, Bundestagsdrucksache 20/6610, April 2023, https://dserver.bundestag.de/btd/20/066/2006610.pdf
[9] BSI, Kryptografie quantensicher gestalten, Grundlagen, Entwicklungen, Empfehlungen, Dezember 2021, https://bsi.bund.de/PQ-Migration
[10] TNO, The PQC Migration Handbook, Guidelines for Migrating to Post-Quantum Cryptography, April 2023, https://publications.tno.nl/publication/34640732/5LvItm/attema-2023-pqc.pdf

Diesen Beitrag teilen: