Forschungsbericht 2022 - Max-Planck-Institut für Sicherheit und Privatsphäre
Die Verschlüsselung der Zukunft
Ob beim Besuch einer Website, beim E-Mail-Verkehr oder beim Onlinebanking – Daten dürften künftig in vielen Fällen mit Verfahren verschlüsselt werden, an deren Entwicklung wir am Max-Planck-Institut für Sicherheit und Privatsphäre beteiligt waren. Das US-amerikanische National Institute for Standards and Technology (NIST) hat im Juli 2022 bekanntgegeben, welche kryptografischen Methoden es standardisieren wird, um die Kommunikation auch vor künftigen Angriffen mit Quantencomputern zu schützen. Drei der vier ausgewählten Verfahren habe ich als Leiter einer Forschungsgruppe am Max-Planck-Institut zusammen mit mehreren nationalen und internationalen Partnern entwickelt.
Der Quantencomputer ist für viele eine Verheißung – sicherlich für viele Geheimdienste dieser Welt. Onlinedienste, die auf einen sicheren Datenaustausch angewiesen sind, sehen darin dagegen auch eine Bedrohung. Quantencomputer werden zwar derzeit noch entwickelt, und es ist noch nicht abzusehen, wann die ersten leistungsfähigen Rechner dieser Art ihre Arbeit aufnehmen. Klar ist aber, dass die derzeitige Kryptografie, welche quasi den gesamten Datenverkehr schützt, wertlos wird, sobald es die ersten Quantencomputer gibt: Diese können die beiden mathematischen Operationen lösen, auf denen heutige zentrale kryptografische Methoden beruhen. So können Quantencomputer eine große Zahl im Handumdrehen in zwei Primzahlfaktoren zerlegen. Da herkömmliche Computer dafür zehntausende Jahre benötigen würden, ist die Primzahlfaktorisierung bisher die mathematische Grundlage einer weitverbreiteten Verschlüsselung.
Von 69 Methoden wurden vier ausgewählt – drei mit Max-Planck-Beteiligung
Um den Datenverkehr künftig auch gegen Angriffe mit Quantencomputern zu schützen, haben insgesamt 69 internationale Teams aus dem Forschungsgebiet der Kryptografie beim NIST Vorschläge für neue kryptografische Methoden eingereicht – sie sprechen von Post-Quanten-Kryptografie (PQC). Nach mehreren Runden hat das NIST nun entschieden, vier dieser Verfahren zu standardisieren. Diese stellen einen besseren Schutz für die digitale Kommunikation dar – gerade, weil Quantencomputer die bisherigen Verschlüsselungsmethoden und Signatursysteme aushebeln würden. Außerdem zeigen die neuen Verfahren, wie wichtig eine Zusammenarbeit zwischen der Grundlagenforschung und einer anwendungsorientierten Forschung ist, damit die Verschlüsselung unserer Daten auch in Zukunft sicher ist.
Drei der ausgewählten Methoden dienen der Authentifizierung. An der Entwicklung von zwei dieser Verfahren, nämlich Sphincs+ und Crystals-Dilithium, war ich beteiligt: Bei der Authentifizierung stellt eine Signatur in einem digitalen Handshake sicher, dass etwa der eigene Web-Browser tatsächlich mit dem Server verbunden ist, den dieser vorgibt zu sein. Zusätzlich dazu gehöre ich dem internationalen Team an, das Crystals-Kyber konzipiert und zur Anwendungsreife gebracht hat. Mit diesem Verfahren werden auf sichere Weise kryptografische Schlüssel übertragen. Bei Crystals-Dilithium und Crystals-Kyber kooperierte ich unter anderem mit Eike Kiltz, Professor an der Ruhr-Universität Bochum.
Die PQC beruht auf mathematischen Operationen, die für Quantencomputer nach derzeitigem Stand des Wissens fast genauso knifflig sind wie für herkömmliche Rechner. So nutzen sowohl die Verfahren für den Schlüsselaustausch als auch diejenigen für die Authentifizierung Hash-Funktionen. Diese Algorithmen berechnen aus einer sehr großen Eingabezahl eine kleine Zahl. Aus der kleinen Zahl, auch Fingerabdruck genannt, lässt sich die ursprüngliche Zahl nicht mehr ermitteln.
Die Kryptografie-Community ist an der Auswahl beteiligt
Das NIST hat bei seiner Auswahl überprüft, ob die Verfahren prinzipiell sicher sind, aber auch, ob sie sich sicher und effizient implementieren lassen. Nun wird es zu den ausgewählten Verfahren Standards schreiben. Das heißt, es wird die kryptografischen Grundlagen und ihre Umsetzung erläutern und auch Hinweise formulieren, damit etwa Onlinedienste sie mit vergleichsweise geringem Aufwand und vor allem sicher in ihre Anwendungen einbinden können.
Kritische Stimmen fürchten, das NIST könnte auf Geheiß der NSA Verschlüsselungsmethoden standardisieren, die dem US-Geheimdienst Hintertüren offenlassen. Es ist ziemlich sicher, dass so etwas in der Vergangenheit in einem Fall geschehen ist, was die Behörde aber vermutlich nicht wissentlich getan und inzwischen selbst auch als großen Fehler eingeräumt hat. Das Verfahren mit der Hintertür, um das es damals ging, kam anders als die Methoden, die jetzt zur Auswahl standen, auch nicht aus der Wissenschaft, und heute ist die Krypto-Community an der Auswahl viel stärker beteiligt. So klopft nun nicht nur das NIST die zur Wahl stehenden Methoden auf mögliche Sicherheitslücken ab, sondern auch mehr oder weniger die gesamte Kryptografie-Community der Welt. Das NIST hat die Auswahl für neue Standards schon zweimal so gestaltet wie jetzt bei der PQC. Die Verfahren, die dabei herausgekommen sind, haben sich als sehr sicher erwiesen und werden heute auf der ganzen Welt genutzt.
Europäische Behörden dürften sich der Auswahl des NIST anschließen
Es ist daher zu erwarten, dass das NIST mit seiner Entscheidung zumindest für die USA und Europa Standards setzen wird, weshalb der neue NIST-Standard sicherlich eines der einflussreichsten Dokumente in der IT-Sicherheit werden wird. Die europäischen Behörden prüfen die vom NIST ausgewählten Verfahren zwar auch noch, schließen sich aber erfahrungsgemäß der Einschätzung der US-Kollegschaft an, wenn sie keine Sicherheitslücken finden. Das tun sie nicht zuletzt, um verschlüsselten Datenaustausch zwischen US-amerikanischen und europäischen Diensten und Computerprogrammen zu ermöglichen. Und auch für Google, Amazon, Apple sowie quasi alle anderen Unternehmen, die Onlinedienste anbieten, ist die Kommunikation untereinander ein Grund, auf die vom NIST standardisierten Verfahren zu setzen.
Die Standardisierung könnte vermutlich Ende 2023 abgeschlossen sein. Doch schon jetzt nutzen Firmen wie Google, IBM, Amazon, Cloudflare und Infineon testweise PQC-Methoden gemeinsam mit den heutigen Standardverfahren, die für Angriffe mit Quantencomputern verletzlich sind. Wir gehen davon aus, dass nach der Standardisierung immer mehr Dienste die neuen Verfahren einsetzen werden. Zu dem Zeitpunkt werden die Verschlüsselungsmethoden, die wir mitentwickelt haben, den Besuch einer Website, den E-Mail-Verkehr oder Bankgeschäfte hoffentlich schon sichern, lange bevor es den ersten Quantencomputer gibt.