Krypto-Experten über Verschlüsselung: „Auch Bitcoin wird angreifbar“
Das Zeitalter der Rechner, die heutige Verschlüsselung knacken können, rückt näher. Ein Gespräch mit zwei Krypto-Experten über neue Standards.
taz: Herr Petri, Herr Kreutzer, im Onlinebanking, in der Messenger-App fürs Smartphone, im vernetzten Fahren – Verschlüsselung steckt heute in praktisch allen Digitalanwendungen. Werden wir eines Tages feststellen, dass das alles knackbar ist durch leistungsfähige Quantencomputer?
Richard Petri: Wir gehen davon aus, dass es Quantencomputer, je nach Schätzung, in etwa 10 bis 30 Jahren geben wird. Die werden dann tatsächlich die gängigen Verschlüsselungsverfahren, die derzeit genutzt werden, knacken können.
Michael Kreutzer: Es ist aber nicht so, dass wir untätig auf diesen Tag warten und dann von der Entwicklung überrascht werden. Dass Verschlüsselungsverfahren altern, das war schon immer so. Was vor zehn Jahren noch Standard war, ist es heute nicht mehr. Einfach deshalb, weil leistungsfähigere Rechner die alten Verfahren knacken können oder Mathematiker:innen Schwächen entdecken. Cryptoforscher:innen arbeiten daher laufend an neuen Verfahren.
Aber haben wir dann mit Quantencomputern eine Situation, in der sehr plötzlich sehr viele Verfahren unbrauchbar werden?
Petri: Ja, wenn Quantencomputer kommen, wird das recht plötzlich sein. Alle asymmetrischen Verfahren, die zum Beispiel beim Onlinebanking oder bei Messenger-Diensten eingesetzt werden, werden dann knackbar sein. Bei den symmetrischen, die etwa zur Festplattenverschlüsselung verwendet werden, sieht es etwas besser aus. Die werden zwar auch geschwächt, sind aber nicht alle direkt knackbar. Außerdem muss man davon ausgehen, dass die Ersten, die sich solch ein Gerät leisten können, große staatliche Akteure sind. Es ist also nicht so, dass der Nachbar sich sofort in das eigene Gerät hacken kann.
Aber auch ein Staat sollte ja nicht unbedingt von Onlinebanking bis zu privaten Nachrichten mitlesen können. Wie ist der Stand, was quantensichere Verschlüsselung angeht?
Petri: Beim National Institute of Standards and Technology in den USA läuft gerade ein entsprechendes Verfahren. Dabei werden neue Standards entwickelt und ausgewählt, die robust gegen Angriffe mit Quantencomputer sein sollen – und natürlich auch sicher für aktuelle Computer. Die dritte Runde des Verfahrens ist gerade vorbei und es sieht ganz gut aus, dass es am Ende mehrere taugliche Verfahren geben wird.
Aber woher weiß man, ob die wirklich quantensicher sind? Das lässt sich schließlich nicht testen, solange noch keine derart leistungsfähigen Computer existieren.
Kreutzer: Auch wenn wir noch keine leistungsfähigen Quantencomputer haben – wir wissen ziemlich genau, was sie können werden. Wir haben schon Zugang zu kleinen Quantencomputern und können auch deren Berechnungen simulieren. Damit lässt sich sehr sicher abschätzen, ob unsere mathematischen Theorien dazu stimmen.
Wann werden wir die ersten neuen Verschlüsselungsverfahren in Geräten oder Software sehen, die wir tagtäglich nutzen?
Petri: So wie es aussieht, wird es noch in diesem Jahr erste Empfehlungen geben, welche Verfahren sich eignen. Und ich denke, dass wir in den nächsten zwei Jahren Postquantenstandards haben werden. Dann werden wir sie auch sehr bald in Anwendungen sehen. Der Chromebrowser hatte sogar schon mal probeweise ein Postquantenverfahren eingebaut. Das hat allerdings den Standardisierungsprozess nicht überstanden.
Wie sollen Verbraucher denn dann erkennen können, ob ihr Auto oder ihr Messenger schon zukunftsfähig verschlüsselt?
52, ist Informatiker am SIT und forscht seit 20 Jahren zu Cybersicherheit.
33, ist Informatiker und Kryptografiespezialist für eingebettete Systeme wie Smartphones oder Autos am Fraunhofer-Institut für Sichere Informationstechnologie (SIT).
Petri: Das ist momentan noch Zukunftsmusik, aber ich kann mir vorstellen, dass es da noch eine Art Siegel oder eine Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geben wird. Auf alle Fälle wird aber die Industrie damit werben, nach dem Motto: Unser Browser benutzt eine quantensichere Verschlüsselung.
Kreutzer: Das wird sich auch sehr stark unterscheiden, je nachdem über welche Anwendung wir sprechen. Nehmen wir beispielsweise einen Onlineshop. Da ist es vergleichsweise einfach, das darunterliegende Verschlüsselungsverfahren auszutauschen. Viel spannender wird es etwa in der Automobilindustrie, da gibt es Produktzyklen von 20 oder sogar 30 Jahren. Die Autos sind auf der Straße, da kann nicht so einfach ein Verfahren ersetzt werden. Die Frage ist also: Müssen die Fahrzeuge dann in die Werkstatt für ein Update? Die kleinsten Steuergeräte können eventuell die neuen Verfahren nicht unterstützen, das heißt, mit einem Softwareupdate ist es nicht getan.
Wer sich also heute ein Auto der aktuellen Generation kauft, die ja schon ziemlich vernetzt sind, hat womöglich in 10 oder 20 Jahren ein Problem?
Petri: Ja. Ein Angreifer mit Zugang zu einem Quantencomputer könnte beispielsweise die digitalen Signaturen, mit denen Software-Updates vor Veränderungen geschützt werden, fälschen und so Schaden anrichten. Und bei vernetzten Fahrzeugen könnte das dann aus der Ferne und auch potenziell bei der breiten Masse passieren. Entsprechende Quantencomputer dürften aber anfangs nur wenigen zur Verfügung stehen. Viele Unternehmen haben das Thema mittlerweile auf dem Schirm und holen sich Unterstützung, um sich auf das Risiko vorzubereiten.
Ist dann auch damit zu rechnen, dass Geräte mit vielen Steuerungsinstrumenten, wie eben Autos, teurer werden?
Petri: Wahrscheinlich. Die Verfahren, die bei Postquantenkryptografie eingesetzt werden, sind in der Regel ressourcenintensiver. Manche haben einen höheren Speicherbedarf, andere brauchen mehr Ressourcen für die Berechnung. Andererseits bekommt man bei Chiptechnik für dasselbe Geld immer mehr Leistung. Dennoch sind vermutlich schnellere Chips oder solche mit mehr Speicher nötig, das erhöht dann die Kosten.
Kreutzer: Es könnte sein, dass die Unternehmen, die sich heute schon um das Thema kümmern, später einen Vorteil haben. Denn gerade bei so komplexen Systemen wie einem Auto oder auch einer Fabrik braucht das Zeit. Man muss sich erst mal anschauen: Wo sind in dem Auto eigentlich kryptografische Systeme drin? Wo muss man da ran?
Wobei die Autoindustrie ja bislang nicht gerade mit vorbildlicher IT-Sicherheit aufgefallen ist.
Petri: Es hat eine Weile gedauert, bis das Thema auch im Automobilsektor angekommen ist. Aber da tut sich etwas. Aktuell sehen wir eine große Nachfrage nach Verschlüsselungslösungen für diese Systeme.
Wie werden wir eigentlich mitbekommen, wenn der erste Quantencomputer, der aktuelle Verschlüsselung knacken kann, am Netz ist?
Petri: Das hängt natürlich ganz davon ab, wer den betreibt.
Kreutzer: Es sind ja nicht nur Staaten, die da in Frage kommen, sondern auch die Industrie. Google, IBM, alle großen Namen arbeiten daran. In dem Bereich sehe ich auch aktuell die großen Fortschritte. Und wenn ein Player aus der Industrie der Erste ist, der würde das natürlich publik machen.
Wenn die neuen Verfahren absehbar mehr Ressourcen benötigen – heißt das auch, dass der Energieverbrauch steigen wird?
Kreutzer: Die Verfahren, die derzeit im Rennen sind, unterscheiden sich alle sehr stark. Manche benötigen mehr Rechenleistung auf dem Gerät, bei anderen müssen mehr Daten übers Netz geschickt werden, weil die Schlüssel so groß sind. Aber die Ökobilanz der einzelnen Verfahren mal auszurechnen, das ist eine interessante Forschungsfrage. Nehmen wir mit. Und apropos Stromverbrauch: Wenn Quantencomputer kommen, wird auch Bitcoin angreifbar.
Wieso?
Kreutzer: Nicht die Blockchain an sich. Aber sämtliche digitalen Identitäten, die zur Nutzung der Währung gebraucht werden, basieren auf einem gängigen asymmetrischen Signaturverfahren. Und dieses Problem wird die allermeisten Kryptowährungen betreffen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an
Deutungskampf nach Magdeburg
„Es wird versucht, das komplett zu leugnen“
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands
Aktionismus nach Magdeburg-Terror
Besser erst mal nachdenken
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Gedenken an den Magdeburger Anschlag
Trauer und Anspannung