Mit einem Daumendruck auf Ihren Autoschlüssel entriegeln sich die Türen und die Wegfahrsperre Ihres Fahrzeugs ist deaktiviert. Weil der jeweilige Autoschlüssel den geheimen Code kennt, mit dem sich das zugehörige Fahrzeug öffnen lässt. Ein Quantencomputer aber wäre in der Lage, den geheimen digitalen Schlüsselcode zu extrahieren. Noch ist es aber nicht so weit. Noch gelten gängige Verschlüsselungsmethoden, wie das 1977 von den Herren Ron Rivest, Adi Shamir und Leonard Adleman entwickelte (und nach ihren ersten Namensbuchstaben benannte) RSA-Verfahren, als sicher. Dieser Sicherheit liegt eine Mathematik zugrunde, die das Problem der Primfaktorzerlegung großer natürlicher Zahlen nutzt. Denn für diese Aufgabe gibt es bis dato keine effiziente Rechenformel, die das Verfahren in kurzer Zeit bricht. Zum Ver- und Entschlüsseln nach dem RSA-Verfahren reicht hingegeben eine sehr einfache und schnell durchzuführende Rechenoperation. Zum Beispiel die Multiplikation von zwei sehr großen, jeweils rund 2.000 Bit umfassenden Primzahlen. Das entspricht in etwa einer Primzahl mit 600 Dezimalstellen.  

Mit klassischen Computersystemen lässt sich eine solche Verschlüsselung nach derzeitigem Kenntnisstand nicht knacken. Mit einer Rechenleistung aber, wie sie Quantencomputer in einigen Jahren bieten sollen, wären große Primfaktorzerlegungen in kurzer Zeit möglich – selbst wenn man noch größere Primzahlen, also nochmals erheblich längere Schlüssel, verwenden würde als die heute üblichen.  

»Eine Kryptografie, die auch in der Post-Quantum-Ära noch sicher sein wird, muss grundlegend neu aufgestellt werden. Und zwar auf Grundlage von Problemstellungen, die noch weitaus komplexer sind als die der heute üblichen Verfahren«, betont Norman Lahr vom Fraunhofer-Institut für Sichere Informationstechnologie SIT. Allerdings müssen auch die quantenresistenten Verfahren effizient auf heutigen und zukünftigen Rechensystemen ausgeführt werden können – ohne Quantencomputer. 

Komplexere Kryptografie ist Lösung und Problem zugleich 

Eigentlich sind auch solche hochkomplexen mathematischen Fragestellungen zur sicheren Verschlüsselung seit Jahrzehnten erforscht. Ein Beispiel dafür ist das sogenannte Shortest-Vector-Problem (SVP). Hier muss in einer Wolke aus Punkten, die über unterschiedlich lange Vektoren zu einem multidimensionalen Gitter verknüpft sind, der kleinste Abstand zwischen zwei Punkten gefunden werden. SVP ist nur ein Beispiel für eine ganze Reihe von Problemen, die eine deutlich höhere mathematische Sicherheit bieten als etwa RSA. Dass diese (noch) kaum für Verschlüsselungen eingesetzt werden, hat einen gewichtigen Grund: »Für alle Verschlüsselungsmethoden, die aktuell für die Post-Quantum-Kryptografie diskutiert, entwickelt und erprobt werden, gilt: der Aufwand für die Ver- und Entschlüsselungsvorgänge sowie für die Signaturgenerierung und -verifikation ist viel höher als bei den bisherigen Methoden. Die kryptographischen Schlüssel und die Rechenoperationen benötigen deutlich mehr Speicherplatz und Rechenleistung«, sagt Lahr. Würde man beispielsweise ein nicht optimiertes Post-Quanten-Verfahren für einen heutigen Fahrzeugschlüssel nutzen wollen, würde sich nach dem Drücken der Öffnen-Taste zunächst gar nichts tun. Erst nach einer längeren Wartezeit wäre das Krypto-System mit seiner Authentizitätsprüfung fertig und könnte sein O.K. zum Öffnen der Fahrzeugtüren geben.  

Bei einem Fahrzeugschlüssel ließe sich eine derartige Komforteinbuße zugunsten von mehr Sicherheit vielleicht noch akzeptieren. Ganz anders verhält es sich jedoch, wenn es um den Datenaustausch mit Steuergeräten an Bord des Fahrzeugs geht. Wenn etwa Assistenzsysteme und autonome Fahrfunktionen Informationen von anderen Fahrzeugen oder von der Verkehrsinfrastruktur anfordern, um in der Situation angemessen zu reagieren, müssen die Sicherheitsroutinen bei der Datenübertragung zwingend in Echtzeit erfolgen. »Dafür müssen sowohl die Speicher- und Rechenperformance der Systeme selbst verbessert als auch die neuen Krypto-Verfahren so weiterentwickelt werden, dass sie mit möglichst wenig Rechen-, System- und Energieaufwand betrieben werden können«, betont Lahr. Er und sein Team vom Fraunhofer SIT erforschen und erproben deshalb gemeinsam mit Partnerorganisationen aus Forschung und Industrie, wie sich Verschlüsselungs- und Authentifizierungsverfahren der Post-Quantum-Ära in eingebetteten Systemen anwenden lassen. Gefördert wird das Projekt »QuantumRISC« vom Bundesministerium für Bildung und Forschung BMBF. 

Soft- und Hardware arbeiten verstärkt zusammen 

Die Software für das Chiffrieren und Dechiffrieren der Daten möglichst zeit- und rechensparsam zu gestalten, ist dabei nur ein erster Schritt. Denn die erforderliche Berechnungseffizienz wird dadurch nur zum Teil erhöht. Mit einer Kombination aus Softwareengineering und der Entwicklung neuartiger Hardwarebausteine aber dürfte es möglich werden, eine nahezu echtzeitfähige Post-Quantum-Kryptografie auch für eingebettete Systeme zu entwickeln. Davon jedenfalls sind Lahr und die Projektpartner*innen überzeugt. »Die Hardware ist für uns mindestens ebenso wichtig, wie die Software. Denn durch das Zusammenspiel von einem spezialisierten Hardwaremodul und der entsprechenden Software lassen sich kryptografische Rechenoperationen schneller und ressourcensparsamer ausführen«, so Lahr.  

Einen Nachteil allerdings habe diese Lösung: Während sich Software durch ein Update aktualisieren und erneuern lässt, muss das Krypto-Hardwaremodul im jeweiligen Steuergerät verbaut sein, um es nutzen zu können. Gerade im Automobilbereich, aber beispielsweise auch bei Produktionsanlagen sind die Entwicklungs- und Verwendungszyklen lang. »Die Hersteller müssen also heute bereits entscheiden, welche kryptografischen Verfahren und welche dafür erforderliche Hardwareausstattung ihre Autos oder Maschinen in fünf, zehn oder sogar fünfzehn Jahren beherrschen müssen«, erklärt Lahr. 

Krypto-Agilität zukunftssicher integrieren 

Im Rahmen von » QuantumRISC« entwickeln die Projektpartner*innen deshalb nicht eine spezifische Lösung für die Post-Quantum-Kryptografie in eingebetteten Systemen. Sie wollen auch die Voraussetzungen dafür schaffen, möglichst flexibel verschiedene der neuartigen und quantensicheren Verschlüsselungsverfahren verwenden zu können, um die Systeme möglichst lang aktuell halten zu können. »Krypto-Agilität zu erreichen ist unverzichtbar – und zwar sowohl für den Bereich der Software, als auch den dafür eingesetzten Hardwarekomponenten«, betont Lahr.  

Zunächst fokussieren sich Projektpartner*innen auf den Einsatz neuer kryptografischer Verfahren im Fahrzeug – vom Schlüssel und der Wegfahrsperre über die Software-Updates für das Navigations- oder das Entertainmentsystem bis hin zum Datenaustausch zwischen Sensoren der Umfelderfassung und Fahrerassistenzsystemen. Die Lösungen, die sie dafür entwickeln, sollten dann möglichst einfach auf die unterschiedlichen Sicherheitsanforderungen des jeweiligen Einsatzfeldes angepasst werden können. Und sie sollen sich ebenso leicht auch auf eingebettete Systeme in anderen Anwendungsdomänen übertragen lassen. Auf Bezahlsysteme etwa, auf Geräte aus der Medizintechnik, auf Industrieanlagen und selbst auf kritische Infrastrukturen im Energie- und Telekommunikationsbereich. 

Bei der Frage, welches Verfahren der Post-Quantum-Kryptografie sie letztlich für was einsetzen werden, legen sich die Forscher*innen noch nicht fest. Zunächst, so heißt es, müssten verschiedene Verschlüsselungsmethoden eingehend analysiert und erprobt werden. »Es werden aber sicherlich auch in der Post-Quantum-Ära mehrere Verschlüsselungsverfahren nebeneinander existieren«, prognostiziert Lahr. Jedes Verfahren habe - je nach Anwendungskontext – seine spezifischen Vor- und Nachteile. Deshalb würden derzeit verschiedenste Verschlüsselungsverfahren parallel weiterentwickelt und bewertet. In der vom US-amerikanischen National Institute of Standards and Technology NIST initiierten Standardisierung für Post-Quantum Cryptography ist dazu gerade die dritte Runde mit zur Standardisierung ausgewählten Verfahren zu Ende gegangen. Eine vierte Runde für alternative Verfahren geht weiter. Im kommenden Jahr wird es zusätzlich ein Auswahlverfahren für neue Signaturverfahren geben.  

(stw)