Wie können wir gewährleisten, dass unsere Kommunikation und unsere Daten resistent werden gegen Angriffe künftiger Computergenerationen? In gleich drei Projekten sucht das Fraunhofer SIT nach Wegen, schon bei der Entwicklung künftiger Systeme passende Verschlüsselungsmechanismen mit möglichst einfachen Mitteln integrieren zu können. Im Interview stellen die Experten Norman Lahr und Richard Petri drei Projekte vor, um gegen die Angriffe von Quantencomputern gewappnet zu sein. Und Sie erklären, wie realistisch es ist, diesen Kampf auch tatsächlich gewinnen zu können. 

Hallo Herr Lahr, Hallo Herr Petri, wir wollen über gleich drei Projekte sprechen, die durch das Nationale Forschungszentrum für angewandte Cyber-sicher¬heit ATHENE durchgeführt werden und für die Sie verantwortlich sind.

Lahr: Vielleicht fangen wir damit an, die Institution selbst kurz vorzustellen. ATHENE ist ein Forschungszentrum der Fraunhofer-Gesellschaft, an dem beide Darmstädter Niederlassungen mitwirken, das Fraunhofer-Institut für Sichere Informationstechnologie SIT, für das wir tätig sind, und das Fraunhofer-Institut für Graphische Datenverarbeitung IGD, sowie die Technische Universität Darmstadt und die Hochschule Darmstadt. Insgesamt arbeiten hier mehr als 500 Forscher und Forscherinnen an der Beantwortung teils sehr umfassender Fragen im Zusammenhang mit der Cyber¬sicher¬heit und der Sicherung kritischer Infrastrukturen in Deutschland. Beispielsweise erforscht ATHENE, wie man die Bereiche Stromversorgung oder Verkehrssteuerung zuverlässig schützt und wie man IT-Systeme langfristig absichert. Und das vor allem auch im Hinblick auf die Leistungsfähigkeit von Quantencomputern, die in Zukunft verstärkt für Angriffe gegen die aktuell etablierten kryptographischen Verfahren genutzt werden dürften.

Im Rahmen von ATHENE sind Sie für drei Projekte verantwortlich: Hochperformante Implementierungen von PQC-Verfahren, Quantenresistenz von symmetrischen Verfahren, kurz QSym, und PORTUNUS, ein Projekt mit dem Ziel zur flexiblen Lastenverteilung von PQC-Algorithmen. Gibt es so etwas wie einen gemeinsamen Nenner, der diese drei Projekte miteinander verbindet?

Lahr: Zunächst: Herr Petri ist Projektleiter bei PORTUNUS und ich bin verantwortlich für die anderen beiden Projekte High Performance PQC und QSym. Und was den gemeinsamen Nenner anbetrifft, so geht es bei allen drei Projekten um Kryptologie, also um die Untersuchung von Methoden des Verschlüsselns und digitalen Signierens.

Allerdings arbeiten Sie nicht für den BND oder einen anderen Geheimdienst.

Lahr: Wenn, dann nur indirekt. Aber im Ernst: Ziel ist einerseits der Bau sicherer Systeme und andererseits die Kryptanalyse, also das Herausfinden, wie sicher diese Systeme sind. Bei den drei Projekten geht es aber im Speziellen um Post-Quanten-Kryptographie (PQC), also einen Bereich, in dem das Fraunhofer SIT seine Expertise voll ausschöpfen kann. Im Fokus dabei steht die Frage, wie Forschungsergebnisse zur Post-Quanten-Kryptographie in bestehende oder kommende Systeme implementiert werden können. Es geht also auch um Verschlüsselungs- und Signaturverfahren, die im Bereich der Post-Quanten-Kryptographie erst noch entstehen werden.

Wem nützt das?

Petri: Denken Sie an elektronische Steuergeräte für Ihr Fahrzeug. Es muss auch in Zukunft gesichert sein, dass hier niemand eine manipulierte Software aufspielen kann. Selbst dann nicht, wenn der Angreifer oder die Angreiferin zur Entschlüsselung einen Quantencomputer nutzt.

Warum ist die Bedrohung ausgerechnet durch Quantencomputer so elementar?

Petri: Schon heute arbeiten Expertinnen und Experten an Algorithmen, die so komplex sind, dass sie nur auf Quantencomputern laufen können. Sie werden dann in der Lage sein, klassische Verschlüsselungsverfahren, wie wir sie bislang genutzt haben, zu brechen. Quantencomputer, die diese hochkomplexen Algorithmen verarbeiten können, gibt es zwar noch nicht, aber wir wissen heute schon, wie die Algorithmen aussehen, die eingesetzt werden könnten. Deshalb können und müssen wir uns schon heute auf entsprechende Angriffe vorbereiten.

Eines der Projekte, die in diesem Zusammenhang eine hohe Bedeutung haben, ist eine Hochleistungsimplementierung von PQC-Verfahren.

Lahr: Richtig. Um zu erklären, was wir hier genau machen, ist es wichtig, zu verstehen, was PQC beziehungsweise PQC-Verfahren sind. Sie basieren auf mathematischen und strukturellen Problemen, die, Stand heute, nicht von einem klassischen oder praktischen Quantencomputer gelöst werden können. Der Ressourcenbedarf ist für diese Verfahren generell höher. Geräte mit geringer Rechenleistung wie beispielsweise Smartcards kommen damit an ihre Grenzen und sind nicht mehr wie gewohnt nutzbar. Die Prozesse würden schlicht zu lange dauern. Auch bei einer leistungsstarken Infrastruktur – so wie beispielsweise bei Verschlüsselungen im Online-Banking, bei denen Hunderttausende Verbindungsaufbauten in wenigen Minuten stattfinden können, muss auf die Sparsamkeit von Rechenkapazitäten und die passende Lastverteilung geachtet werden. Bei meinen Forschungen im High Performance PQC-Projekt geht es nun darum, derartige Verfahren so zu optimieren und zu implementieren, dass sie möglichst effizient arbeiten.

Aber es geht nicht nur um die Verfahren an sich, sondern auch um sogenannte »Randerscheinungen«.

Lahr: Ich würde das nicht Randerscheinungen nennen. Bei der Durchführung kryptografischer Algorithmen kommt es zu physikalischen Wechselwirkungen mit der Außenwelt. Sei es durch einen spezifischen Stromverbrauch oder beispielsweise auch die elektromagnetische Abstrahlung. Diese Informationen könnten abgegriffen werden, um einen Schlüssel zu extrahieren, ohne dass das System selbst beeinflusst wird. Letztlich geht es darum, auch diese möglichen Wechselwirkungen so zu gestalten, dass Energieverbrauch oder Abstrahlung von dem Angreifer oder der Angreiferin schwer und am besten gar nicht genutzt werden können.

Das nächste Projekt setzt sich mit der Quantenresistenz von symmetrischen Verfahren auseinander.

Lahr: Richtig. Und zur genaueren Erklärung des Projekts QSym könnten wir in Gedanken kurz eine Kryptografie-Vorlesung für Erstsemester besuchen. Denn diese jungen Studentinnen und Studenten werden dort vermutlich von Alice und Bob hören: Alice möchte Bob eine Nachricht schicken und verschlüsselt diese Nachricht mit einem Schlüssel. Und wenn Bob diese Nachricht lesen möchte, dann braucht er exakt den gleichen Schlüssel. Das heißt, diese Schlüssel sind symmetrisch. Aber Alice könnte es auch anders machen und Bob eine asymmetrisch verschlüsselte Botschaft senden. Dafür würde sie einen öffentlichen und einen privaten Schlüssel nutzen. Sie nimmt den öffentlichen Schlüssel von Bob, den jeder kennen kann, und kann ihre Nachricht damit verschlüsseln. Dechiffrieren kann sie aber auch wieder nur Bob, weil er noch einen geheimen, privaten Schlüssel hat. Soweit die Vorlesung, nun zum Projekt: Die Sicherheit von aktuell eingesetzten asymmetrischen Verfahren im Zeitalter des Quantencomputers ist bekanntlich durch den Algorithmus von Shor gebrochen. Zur Analyse von symmetrischen Chiffren-Hash-Algorithmen, wie beispielsweise AES oder SHA-3, wird hauptsächlich der Grover-Algorithmus genutzt. Nach einer Anpassung der Parameter sind diese Verfahren dagegen allerdings weiterhin ausreichend resistent. Allerdings ist es nicht bekannt, ob es nicht auch andere Algorithmen gibt, die symmetrische Verfahren trotzdem brechen können. Und im Projekt untersuchen wir, wie und wo diese Algorithmen ansetzen, wie sie sich weiterentwickeln könnten und wie wir uns so dagegen wehren können, dass Alice und Bob auch in zehn oder 20 Jahren miteinander sicher kommunizieren können – trotz des Angriffs dieser speziellen Algorithmen auf einem Quantencomputer.

Das dritte Projekt, über das wir hier sprechen können, ist PORTUNUS. Ziel ist es, eine Drei-Wege-Lücke zu schließen, indem Sie an einer Full-Stack-Cross-Layer-Lösung forschen. Das ist sicherlich erklärungsbedürftig.

Petri: Bei PORTUNUS arbeiten wir an Antworten auf die Frage, wie Post-Quanten-Kryptographie so implementiert werden kann, dass die Mechanismen möglichst schnell greifen und die Algorithmen selbst möglichst überschaubar bleiben. Ein zentrales Problem, das wir dabei überwinden müssen, ist die Diskrepanz zwischen dem mathematischen Verfahren, das für sich genommen sehr komplex sein kann, und der Implementierung, die möglichst einfach gehalten und trotzdem hochgradig effizient und sicher sein soll.

Sie müssen es also schaffen, die mathematische Beschreibung so zu gestalten, dass die einzelnen Operationen möglichst problemlos implementiert werden können.

Petri: Wir gehen noch einen Schritt weiter: Unser Ziel ist es, dass ein für die Verschlüsselungstechnik zuständiger Mathematiker oder eine Mathematikerin lediglich noch angeben muss, welches Verfahren er oder sie entwickeln will. Dann erhält er oder sie alle nötigen Informationen, etwa zur Frage, welche Operationen ihm oder ihr zur Verfügung stehen und wie man sie zusammensetzen könnte, um ein neues PQC-Verfahren zu spezifizieren.

Das heißt, die Ergebnisse Ihres Projekts beeinflussen die Entwicklungen, die erst beginnen werden. Sie bereiten die Grundlage dafür vor, dass künftige Konzepte bald auch möglichst optimal implementiert werden können?

Petri: ... und das passend je nach zu entwickelnder Anwendung. Möglich werden soll das zudem möglichst automatisch, sodass der Entwickler oder die Entwicklerin, der oder die das Ganze später benutzen muss, sich nicht durch die verschiedenen Schichten der Entwicklung und Implementierung kämpfen muss, wie das sonst der Fall wäre. Er oder sie muss also nicht mehr explizit die komplexe Mathematik verstehen, die sich dahinter verbirgt. Und er oder sie muss auch nicht die jeweiligen Mechanismen der Implementierung kennen. Er oder sie muss letztlich nur sagen: ‚Ich möchte ein Verschlüsselungsverfahren, das für meine spezielle Anwendung gut funktioniert‘. Das von uns entwickelte System stellt dann alles passend zusammen.

Die Projekte, die Sie beide verantworten, sind nur ein Teil eines umfassenden Programms, das die Sicherheit der Kommunikation und unserer Daten auch in Zukunft gewährleisten soll. Wie sicher sind Sie, dass das gelingen wird?

Lahr: Auch wenn unser Beitrag im Kontext der Aufgabenfülle verhältnismäßig klein ist: Wir sind sehr sicher, dass das gelingen wird. In einigen Jahren werden wir über eine Kryptographie verfügen, die nicht nur sicher selbst beim Einsatz von Quantencomputern ist. Sie wird auch so angelegt sein, dass sie von der Industrie und privaten Nutzern und Nutzerinnen ohne viel Aufwand eingesetzt werden kann.
Petri: Die nötigen Vorschläge zur Standardisierung dürften bereits Ende des Jahres 2022 fix sein, die Algorithmen werden in den laufenden ein bis zwei Jahren in Produkte implementiert werden. Zumindest als Prototyp. Bis der Standard dann wirklich verabschiedet ist, dürften nicht mehr als zwei weitere Jahre vergehen. Und von daher sehe ich uns innerhalb der nächsten fünf Jahre auf einem sehr guten Weg, gegen Angriffe von Quantencomputer resistent zu werden.

(aku)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Sieben + = 10
Bitte Zahl eintragen!
image description
Interviewpartner
Alle anzeigen
Norman Lahr 
  • Fraunhofer-Institut für Sichere Informationstechnologie SIT
Richard Petri
  • Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Artikel
Alle anzeigen
Quadratisch, schnell, gut
Bereit zum Sprung
Türöffner für mehr Krypto-Sicherheit  
Stellenangebote
Alle anzeigen