Test des chinesischen Satelliten Micius, der 2016 für Experimente in Quantenkryptografie ins All geschossen wurde. | Foto: IMAGO/Xinhua

«Es ist Erntezeit», sagt Vadim Lyubashevsky, der nicht etwa Landwirt ist, sondern Kryptograf bei IBM Research in Rüschlikon bei Zürich. Zurzeit werden riesige Silos mit Daten vollgepackt – Daten, die aber nicht gelesen werden können. Sie sind verschlüsselt und damit unzugänglich. Trotzdem werden sie jetzt gelagert, denn möglicherweise könnten sie in naher Zukunft mit Quantencomputern lesbar gemacht werden. «Vor allem staatliche Geheimdienste haben längst begonnen, verschlüsselte Daten zu sammeln», sagt Lyubashevsky. «Da bin ich zu 99,9 Prozent sicher.»

Kurz: Die Lage ist ernst. Sobald Quantencomputer richtig ins Laufen kommen, werden die meisten IT-Sicherheitssysteme in sich zusammenfallen. Fast jede gängige Verschlüsselung könnte geknackt werden. «Unsere Privatsphäre ist in Gefahr», sagt auch Serge Vaudenay, Kryptografieexperte von der EPFL. «Wenn wir die derzeitigen kryptografischen Systeme nicht ersetzen, werden die Konsequenzen katastrophal sein.»

«Eigentlich ist es schon zu spät, Informationen zu schützen, die gestern verschlüsselt und verschickt wurden.»Nicolas Gisin

Alle verschlüsselten Nachrichten, persönliche Gesundheitsdaten, aber auch vertrauliche Dokumente aus Unternehmen und Behörden, noch unveröffentlichte Patentanträge aus der Industrie, militärische und geheimdienstliche Berichte sind dann mehr oder weniger frei lesbar. Selbst Bitcoins können gestohlen werden. «Eigentlich ist es schon zu spät, Informationen zu schützen, die gestern verschlüsselt und verschickt wurden», sagt Nicolas Gisin, Physiker am Schaffhausen Institute of Technology und Kryptografieexperte. Es ist eine tickende Bombe. Deshalb arbeiten seit einigen Jahren Forschende an der Post-Quanten-Kryptografie.

Fast alle wichtigen Informationen, die wir im Internet oder über unsere Smartphones austauschen, sind chiffriert, sind also für Unbefugte nicht lesbar. Hacker und Geheimdienste versuchen zwar, diesen Schutz etwa über Schadsoftware zu umgehen. Doch wer gut aufpasste, war bislang auch gut geschützt. Sobald jedoch Geheimdienste wie der amerikanische NSA in der Lage sind, mit Hilfe der neuartigen Rechner die Codes zu knacken, werden sie alles lesen können, was in ihren riesigen Speichern lagert.

Tausende Rechenjahre in kürzester Zeit

Anfällig, von Quantencomputern geknackt zu werden, sind vor allem IT-Sicherheitssysteme, die auf sogenannter asymmetrischer Kryptografie beruhen. Dabei erfolgt die Chiffrierung mit einem öffentlich zugänglichen Schlüssel. Nur für die Dechiffrierung ist ein geheimer Schlüssel notwendig. Eine Nachricht lässt sich nur von Personen lesen, die den Schlüssel besitzen. Die zugrunde liegenden Algorithmen basieren auf mathematischen Problemen, die auch mit enorm viel konventioneller Rechenleistung nicht in vernünftiger Zeit zu lösen sind. Gerade das derzeit gebräuchlichste sogenannte RSA-Verfahren ist besonders anfällig für Quantencomputer. Mit seiner Hilfe sichert man derzeit beispielsweise den elektronischen Handel.

Entworfen haben es die amerikanischen Forscher Leonard Adleman und Ronald Rivest gemeinsam mit dem israelischen Kryptografen Adi Shamir. Der Algorithmus basiert darauf, grosse Zahlen in ihre Primfaktoren zu zerlegen. Aktuell haben diese bis zu 700 Stellen. «Solche Zahlen sind zwar nicht geheim», sagt Nicolas Gisin. «Aber ein Spion oder Hacker kann ihre Faktoren nicht so leicht finden, da es bis jetzt keine bekannte klassische Methode gibt, die die Aufgabe effizient lösen kann.» Es bräuchte mehrere tausend Rechnerjahre.

«Staatliche Geheimdienste haben längst begonnen, verschlüsselte Daten zu sammeln. Da bin ich zu 99,9 Prozent sicher.»Vadim Lyubashevsky

Mit Quantencomputern sind sie leicht zu knacken. Seit der amerikanische Mathematiker Peter Shor eine Methode für Quantencomputer demonstrierte, die die Faktorisierung sehr schnell erledigen könnte, ist klar: Die wichtigsten mathematischen Operationen, auf denen heutige asymmetrische kryptografische Methoden beruhen, werden in Zukunft in Echtzeit gelöst werden können.

Das amerikanische National Institute of Standards and Technology startete im Jahr 2016 einen Wettbewerb zur Standardisierung von quantencomputerresistenten kryptografischen Verfahren. Auch in der Schweiz arbeitende Forschende wie Serge Vaudenay oder Vadim Lyubashevsky beteiligten sich daran. Vier aus rund 80 eingereichten Verfahren wurden im Juli 2022 ausgewählt.

Nur noch mathematisch beschreibbar

Eine Methode dient der Verschlüsselung, drei der Erzeugung digitaler Signaturen, um sich zu authentifizieren. Technisch basieren drei der vier neuen Standards auf der sogenannten Gitter-Verschlüsselung. Damit beschäftigen sich Mathematiker schon seit Jahrhunderten. Zweidimensional kann man sich diese als eine Art Zaun mit Querlatten vorstellen, in höheren Dimensionen sind es komplexe Raster, die sich nur noch mathematisch gut beschreiben lassen. Kryptografen arbeiten derzeit mit mehr als 500 Dimensionen. Die Aufgabe ist es nun, in einem hochdimensionalen Gitter den Gitterpunkt zu finden, der dem Nullpunkt am nächsten liegt. «Dieses Problem ist extrem schwer zu lösen», sagt Lyubashevsky. Perfekt für Kryptografen also.

Für die Forschenden besteht die grösste Herausforderung darin, ein solches Problem in einen Algorithmus umzusetzen, der sowohl schnell verschlüsseln kann wie auch wenig fehleranfällig ist. Lyubashevsky entwickelt im Rahmen seiner Forschungsprojekte Felicity und Plaza seit Jahren solche Gitter-Lösungen, mit Erfolg. «Wir setzen die neuen Algorithmen schon seit einem Jahr zum Schutz auf den IBM-Servern ein, parallel zu den herkömmlichen Verschlüsselungstechniken», sagt Lyubashevsky.

«Je mehr wirtschaftliche Gefahr droht, umso mehr Ressourcen wandern dorthin.»Vadim Lyubashevsky

Grosse Technik-Unternehmen wie Amazon, Paypal oder Google übernehmen ebenfalls diese Standards, weil sie einen besseren Schutz für die digitale Kommunikation darstellen. Das Risiko für solche Konzerne mit ihren Betriebsgeheimnissen ist eben gross. Experten schätzen, dass etwa im Jahr 2030 eine Umstellung der Algorithmen für alle Daten zwingend notwendig sein wird.

Lyubashevsky glaubt, dass die Geschwindigkeit der Umstellung auf Post-Quanten-Kryptografie- Technologien vor allem wirtschaftlich getrieben sein wird. «Je mehr wirtschaftliche Gefahr droht, umso mehr Ressourcen wandern dorthin », sagt der Forscher. In jedem Fall werden die neuen Standards aus den USA zentral für die IT-Sicherheit werden, auch in Europa. China soll die Standards bereits kopiert haben.

Abhörsichere Quantenschlüssel

Absolut sicher aber, dass diese Verfahren wirklich standhalten werden, kann niemand sein. Daher halten auch manche Forschende wie der Genfer Kryptograf Nicolas Gisin einen andern Weg für sinnvoller: Quantenkryptografie ist hier das Schlagwort. Die Idee: Wenn die Quantentechnologie die Verschlüsselung zu knacken imstande ist, könnte sie vielleicht doch auch Teil der Lösung sein.

Die Fortschritte sind hier enorm, vor allem beim Erzeugen und beim sicheren Austausch von Quantenschlüsseln. In Ländern wie China, Korea und bald auch in Europa arbeiten Forschende an der Infrastruktur eines Quanteninternets. Und Quantenkryptografie wäre auch das Ende der aktuellen Strategie «Jetzt ernten, später entschlüsseln». Denn Quanteninformationen lassen sich nicht kopieren und unbemerkt abspeichern. Versucht das ein Hacker, wird die Information zerstört.

«Die asymmetrische Kryptografie konnten wir fünfzig Jahre sicher nutzen, unsere Generation hat da gewonnen.»Serge Vaudenay

Allerdings hat die Methode zwei Nachteile, sagen Experten wie Vaudenay. Zum einen ist die Reichweite im Austausch von Quantenschlüsseln aktuell auf etwa hundert Kilometer beschränkt, danach müssten Repeater zum Einsatz kommen, die dann aber zur Schwachstelle werden. Und zudem lässt sich die Technologie nicht für die Authentifizierung nutzen, also etwa für die Anmeldung beim Zahlungsverkehr oder beim Zugang zu Datenbanken oder E-Mail. Es wird eine Nischenanwendung bleiben.

Gefragt, ob sie diesen ständigen Wettlauf von Verschlüsselung und Entschlüsselung nicht als eine Art Teufelskreis empfinden, sagt Vaudenay: «Nein, die asymmetrische Kryptografie, die auf dem Faktorisieren und dem diskreten Algorithmus basiert, konnten wir fünfzig Jahre sicher nutzen, unsere Generation hat da gewonnen. Vielleicht müssen sich unsere Kinder etwas anderes einfallen lassen.» Und Lyubashevsky ergänzt: «Ich würde das nicht als Wettlauf sehen. Die Kryptografie war lange sicher, niemand konnte ahnen, dass mit dem Quantencomputer eine völlig neuartige Art zu rechnen erfunden werden würde.»

CC BY-NC-ND