Es wird noch eine Weile dauern, bis Quantencomputer leistungsstark genug sind, um etwas Nützliches zu tun, aber es wird immer wahrscheinlicher, dass wir in den nächsten fünf bis zehn Jahren voll funktionsfähige, fehlerkorrigierte Quantencomputer sehen werden. Das wird großartig für Wissenschaftler sein, die versuchen, schwierige Rechenprobleme in Chemie und Materialwissenschaften zu lösen, aber auch für diejenigen, die versuchen, die heute am häufigsten verwendeten Verschlüsselungssysteme zu knacken. Das liegt daran, dass die Mathematik der RSA-Algorithmus die beispielsweise die Internetverbindung zu Ihrer Bank sicher halten, sind selbst mit dem leistungsstärksten herkömmlichen Computer fast unmöglich zu knacken. Es würde Jahrzehnte dauern, den richtigen Schlüssel zu finden. Aber genau diese Verschlüsselungsalgorithmen sind fast trivial einfach dass ein Quantencomputer kaputtgeht.
Dies hat zu Post-Quanten-Kryptographie-Algorithmen geführt und am Dienstag veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) die erster Satz von Standards für Post-Quanten-Kryptographie: ML-KEM (ursprünglich bekannt als CRYSTALS-Kyber), ML-DSA (vorher bekannt als CRYSTALS-Dilithium) und SLH-DSA (ursprünglich eingereicht als SPHINCS+). Und für viele Unternehmen bedeutet dies auch, dass jetzt der richtige Zeitpunkt ist, mit der Implementierung dieser Algorithmen zu beginnen.
Der ML-KEM-Algorithmus ähnelt in gewisser Weise den heute verwendeten öffentlich-privaten Verschlüsselungsmethoden, um beispielsweise einen sicheren Kanal zwischen zwei Servern herzustellen. Im Kern verwendet er ein Gittersystem (und absichtlich erzeugte Fehler), das laut Forschern selbst für einen Quantencomputer nur sehr schwer zu lösen sein wird. ML-DSA hingegen verwendet ein ähnliches Schema zur Generierung seiner Schlüssel, dreht sich aber ausschließlich um die Erstellung und Überprüfung digitaler Signaturen; bei SLH-DSA dreht es sich ebenfalls um die Erstellung digitaler Signaturen, basiert dabei aber auf einer anderen mathematischen Grundlage.
Zwei dieser Algorithmen (ML-KEM und ML-DSA) stammen von IBM, das seit langem führend im Bau von Quantencomputern ist. Um mehr darüber zu erfahren, warum wir diese Standards jetzt brauchen, habe ich mit Dario Gil, dem Forschungsleiter von IBM, gesprochen. Er glaubt, dass wir gegen Ende des Jahrzehnts einen wichtigen Wendepunkt erreichen werden, wenn IBM erwartet ein vollständig fehlerkorrigiertes System zu bauen (das heißt, ein System, das über längere Zeiträume ausgeführt werden kann, ohne dass das System zusammenbricht und unbrauchbar wird).
„Die Frage ist dann, wie viele Jahre es dauert, bis man Systeme hat, die in der Lage sind, [breaking RSA]„Das ist offen für Diskussionen, aber es genügt zu sagen, dass wir uns jetzt in dem Zeitfenster befinden, in dem man anfängt zu sagen: Also gut, irgendwann zwischen dem Ende des Jahrzehnts und spätestens 2035 – in diesem Zeitfenster – wird das möglich sein. Sie verletzen keine Gesetze der Physik und so weiter“, erklärte er.
Gil argumentiert, dass es jetzt an der Zeit ist, dass Unternehmen darüber nachdenken, wie Kryptografie aussehen wird, wenn RSA geknackt ist. Ein geduldiger Angreifer könnte schließlich ab und zu damit beginnen, verschlüsselte Daten zu sammeln und dann in 10 Jahren einen leistungsstarken Quantencomputer verwenden, um diese Verschlüsselung zu knacken. Er merkte jedoch auch an, dass sich nur wenige Unternehmen – und vielleicht sogar Regierungsinstitutionen – dessen bewusst sind.
„Ich würde sagen, dass das Verständnis für das Problem sehr gering ist, ganz zu schweigen davon, dass man überhaupt etwas dagegen unternimmt. Es ist so gut wie niemand da. Ich übertreibe ein bisschen, aber wir stehen im Grunde noch ganz am Anfang“, sagte er.
Ein Grund dafür liege darin, dass es noch keine Standards gebe, weshalb die am Dienstag angekündigten neuen Standards so wichtig seien (und der Prozess zur Entwicklung eines Standards habe, wie man wissen sollte, bereits 2016 begonnen).
Obwohl viele CISOs sich des Problems bewusst sind, so Gil, ist die Dringlichkeit, etwas dagegen zu unternehmen, gering. Das liegt auch daran, dass Quantencomputing lange Zeit eine jener Technologien war, die wie Fusionsreaktoren immer erst in fünf Jahren Realität wurden. Nach ein oder zwei Jahrzehnten wurde es so etwas wie ein Running Gag. „Das ist eine Unsicherheit, die die Leute auf den Tisch legen“, sagte Gil. „Die zweite ist: OK, was sollten wir darüber hinaus tun? Ist in der Community klar, dass dies die richtigen Implementierungen sind? Diese beiden Dinge sind Faktoren und alle sind beschäftigt. Jeder hat begrenzte Budgets, also sagen sie: ‚Lasst uns das nach rechts verschieben. Lasst es uns verschieben.‘ Die Aufgabe der Institutionen und der Gesellschaft, von den aktuellen Protokollen auf das neue Protokoll zu migrieren, wird, vorsichtig geschätzt, Jahrzehnte dauern. Es ist ein gewaltiges Unterfangen.“
Jetzt liegt es an der Industrie, mit der Implementierung dieser neuen Algorithmen zu beginnen. „Die Mathematik war schwierig zu erstellen, die Substitution sollte jedoch nicht schwierig sein“, sagte Gil über die bevorstehende Herausforderung, räumte jedoch auch ein, dass dies leichter gesagt als getan sei.
Tatsächlich verfügen viele Unternehmen möglicherweise nicht einmal über eine vollständige Bestandsaufnahme der Bereiche, in denen sie heute Kryptografie einsetzen. Gil schlug vor, dass hier so etwas wie eine „kryptografische Stückliste“ erforderlich sei, ähnlich der Software-Stückliste (SBOM), die die meisten Entwicklungsteams heute erstellen, um sicherzustellen, dass sie wissen, welche Pakete und Bibliotheken sie beim Erstellen ihrer Software verwenden.
Wie bei so vielen Quantendingen scheint jetzt ein guter Zeitpunkt zu sein, sich auf ihre Ankunft vorzubereiten – sei es, um zu lernen, wie man diese Maschinen programmiert oder wie man seine Daten vor ihnen schützt. Und wie immer haben Sie etwa fünf Jahre Zeit, um sich vorzubereiten.