Krypto-Experten über Verschlüsselung: „Auch Bitcoin wird angreifbar“

Das Zeitalter der Rechner, die heutige Verschlüsselung knacken können, rückt näher. Ein Gespräch mit zwei Krypto-Experten über neue Standards.

Der Quanten­computer „Quantum System One“ von IBM, mit dem noch geforscht wird Foto: Florian Gaertner/photothek.de/imago images

taz: Herr Petri, Herr Kreutzer, im Onlinebanking, in der Messenger-App fürs Smartphone, im vernetzten Fahren – Verschlüsselung steckt heute in praktisch allen Digitalanwendungen. Werden wir eines Tages feststellen, dass das alles knackbar ist durch leistungsfähige Quantencomputer?

Richard Petri: Wir gehen davon aus, dass es Quantencomputer, je nach Schätzung, in etwa 10 bis 30 Jahren geben wird. Die werden dann tatsächlich die gängigen Verschlüsselungsverfahren, die derzeit genutzt werden, knacken können.

Michael Kreutzer: Es ist aber nicht so, dass wir untätig auf diesen Tag warten und dann von der Entwicklung überrascht werden. Dass Verschlüsselungsverfahren altern, das war schon immer so. Was vor zehn Jahren noch Standard war, ist es heute nicht mehr. Einfach deshalb, weil leistungsfähigere Rechner die alten Verfahren knacken können oder Ma­the­ma­ti­ke­r:in­nen Schwächen entdecken. Cryp­to­for­sche­r:in­nen arbeiten daher laufend an neuen Verfahren.

Aber haben wir dann mit Quantencomputern eine Situation, in der sehr plötzlich sehr viele Verfahren unbrauchbar werden?

Petri: Ja, wenn Quantencomputer kommen, wird das recht plötzlich sein. Alle asymmetrischen Verfahren, die zum Beispiel beim Onlinebanking oder bei Messenger-Diensten eingesetzt werden, werden dann knackbar sein. Bei den symmetrischen, die etwa zur Festplattenverschlüsselung verwendet werden, sieht es etwas besser aus. Die werden zwar auch geschwächt, sind aber nicht alle direkt knackbar. Außerdem muss man davon ausgehen, dass die Ersten, die sich solch ein Gerät leisten können, große staatliche Akteure sind. Es ist also nicht so, dass der Nachbar sich sofort in das eigene Gerät hacken kann.

Aber auch ein Staat sollte ja nicht unbedingt von Onlinebanking bis zu privaten Nachrichten mitlesen können. Wie ist der Stand, was quantensichere Verschlüsselung angeht?

Petri: Beim National Institute of Standards and Technology in den USA läuft gerade ein entsprechendes Verfahren. Dabei werden neue Standards entwickelt und ausgewählt, die robust gegen Angriffe mit Quantencomputer sein sollen – und natürlich auch sicher für aktuelle Computer. Die dritte Runde des Verfahrens ist gerade vorbei und es sieht ganz gut aus, dass es am Ende mehrere taugliche Verfahren geben wird.

Aber woher weiß man, ob die wirklich quantensicher sind? Das lässt sich schließlich nicht testen, solange noch keine derart leistungsfähigen Computer existieren.

Kreutzer: Auch wenn wir noch keine leistungsfähigen Quantencomputer haben – wir wissen ziemlich genau, was sie können werden. Wir haben schon Zugang zu kleinen Quantencomputern und können auch deren Berechnungen simulieren. Damit lässt sich sehr sicher abschätzen, ob unsere mathematischen Theorien dazu stimmen.

Wann werden wir die ersten neuen Verschlüsselungsverfahren in Geräten oder Software sehen, die wir tagtäglich nutzen?

Petri: So wie es aussieht, wird es noch in diesem Jahr erste Empfehlungen geben, welche Verfahren sich eignen. Und ich denke, dass wir in den nächsten zwei Jahren Postquantenstandards haben werden. Dann werden wir sie auch sehr bald in Anwendungen sehen. Der Chromebrowser hatte sogar schon mal probeweise ein Postquantenverfahren eingebaut. Das hat allerdings den Standardisierungsprozess nicht überstanden.

Wie sollen Verbraucher denn dann erkennen können, ob ihr Auto oder ihr Messenger schon zukunftsfähig verschlüsselt?

im Interview:

Michael Kreutzer

Foto: Rainer Lind

52, ist Informa­tiker am SIT und forscht seit 20 Jahren zu Cyber­sicherheit.

im Interview:

Richard Petri

Foto: privat

33, ist Informatiker und Krypto­grafiespe­zialist für ein­gebettete Systeme wie Smartphones oder Autos am Fraunhofer-Institut für Sichere Informationstechnologie (SIT).

Petri: Das ist momentan noch Zukunftsmusik, aber ich kann mir vorstellen, dass es da noch eine Art Siegel oder eine Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geben wird. Auf alle Fälle wird aber die Industrie damit werben, nach dem Motto: Unser Browser benutzt eine quantensichere Verschlüsselung.

Kreutzer: Das wird sich auch sehr stark unterscheiden, je nachdem über welche Anwendung wir sprechen. Nehmen wir beispielsweise einen Onlineshop. Da ist es vergleichsweise einfach, das darunterliegende Verschlüsselungsverfahren auszutauschen. Viel spannender wird es etwa in der Automobilindustrie, da gibt es Produktzyklen von 20 oder sogar 30 Jahren. Die Autos sind auf der Straße, da kann nicht so einfach ein Verfahren ersetzt werden. Die Frage ist also: Müssen die Fahrzeuge dann in die Werkstatt für ein Update? Die kleinsten Steuergeräte können eventuell die neuen Verfahren nicht unterstützen, das heißt, mit einem Softwareupdate ist es nicht getan.

Wer sich also heute ein Auto der aktuellen Generation kauft, die ja schon ziemlich vernetzt sind, hat womöglich in 10 oder 20 Jahren ein Problem?

Petri: Ja. Ein Angreifer mit Zugang zu einem Quantencomputer könnte beispielsweise die digitalen Signaturen, mit denen Software-Updates vor Veränderungen geschützt werden, fälschen und so Schaden anrichten. Und bei vernetzten Fahrzeugen könnte das dann aus der Ferne und auch potenziell bei der breiten Masse passieren. Entsprechende Quantencomputer dürften aber anfangs nur wenigen zur Verfügung stehen. Viele Unternehmen haben das Thema mittlerweile auf dem Schirm und holen sich Unterstützung, um sich auf das Risiko vorzubereiten.

Ist dann auch damit zu rechnen, dass Geräte mit vielen Steuerungsinstrumenten, wie eben Autos, teurer werden?

Petri: Wahrscheinlich. Die Verfahren, die bei Postquantenkryptografie eingesetzt ­werden, sind in der Regel ressourceninten­siver. Manche haben einen höheren Spei­cherbedarf, andere brauchen mehr Ressourcen für die Berechnung. Andererseits bekommt man bei Chiptechnik für dasselbe Geld immer mehr Leistung. Dennoch sind vermutlich schnellere Chips oder solche mit mehr Speicher nötig, das erhöht dann die Kosten.

Kreutzer: Es könnte sein, dass die Unternehmen, die sich heute schon um das Thema kümmern, später einen Vorteil haben. Denn gerade bei so komplexen Systemen wie einem Auto oder auch einer Fabrik braucht das Zeit. Man muss sich erst mal anschauen: Wo sind in dem Auto eigentlich kryptografische Systeme drin? Wo muss man da ran?

Wobei die Autoindustrie ja bislang nicht gerade mit vorbildlicher IT-Sicherheit aufgefallen ist.

Petri: Es hat eine Weile gedauert, bis das Thema auch im Automobilsektor angekommen ist. Aber da tut sich etwas. Aktuell sehen wir eine große Nachfrage nach Verschlüsselungslösungen für diese Systeme.

Wie werden wir eigentlich mitbekommen, wenn der erste Quantencomputer, der aktuelle Verschlüsselung knacken kann, am Netz ist?

Petri: Das hängt natürlich ganz davon ab, wer den betreibt.

Kreutzer: Es sind ja nicht nur Staaten, die da in Frage kommen, sondern auch die Industrie. Google, IBM, alle großen Namen arbeiten daran. In dem Bereich sehe ich auch aktuell die großen Fortschritte. Und wenn ein Player aus der Industrie der Erste ist, der würde das natürlich publik machen.

Wenn die neuen Verfahren absehbar mehr Ressourcen benötigen – heißt das auch, dass der Energieverbrauch steigen wird?

Kreutzer: Die Verfahren, die derzeit im Rennen sind, unterscheiden sich alle sehr stark. Manche benötigen mehr Rechenleistung auf dem Gerät, bei anderen müssen mehr Daten übers Netz geschickt werden, weil die Schlüssel so groß sind. Aber die Ökobilanz der einzelnen Verfahren mal auszurechnen, das ist eine interessante Forschungsfrage. Nehmen wir mit. Und apropos Stromverbrauch: Wenn Quantencomputer kommen, wird auch Bitcoin angreifbar.

Wieso?

Kreutzer: Nicht die Blockchain an sich. Aber sämtliche digitalen Identitäten, die zur Nutzung der Währung gebraucht werden, basieren auf einem gängigen asymmetrischen Signaturverfahren. Und dieses Problem wird die allermeisten Kryptowährungen betreffen.