• IT-Karriere:
  • Services:

Quantencomputer: Erste Empfehlungen für Post-Quanten-Kryptographie

Im Rahmen eines EU-Forschungsprojekts wurden jetzt erste Empfehlungen für kryptographische Algorithmen vorgelegt, die Schutz vor Quantencomputern bieten. Diese bieten zwar ein hohes Sicherheitsniveau, sie sind aber in vielen Fällen unpraktikabel.

Artikel veröffentlicht am , Hanno Böck
Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen.
Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen. (Bild: PQCRYPTO)

Das Forschungsprojekt PQCRYPTO hat erste Empfehlungen für Algorithmen vorgelegt, die auch langfristig vor Quantencomputern Schutz bieten sollen. Große Überraschungen sind nicht dabei. Bei symmetrischen Verschlüsselungsalgorithmen sollen vor allem längere Schlüssel für mehr Sicherheit sorgen. Die asymmetrischen Verfahren zum Signieren und Verschlüsseln sind das größere Problem. Hier gibt es zwar sichere Verfahren, doch diese sind für viele Anwendungen nicht praktikabel einsetzbar.

Stellenmarkt
  1. akquinet AG, Hamburg
  2. OEDIV KG, Bielefeld

Quantencomputer bedrohen einen Großteil der heute eingesetzten kryptographischen Verfahren. Bisher existieren große Quantencomputer nur als theoretisches Konzept, doch einige Wissenschaftler gehen davon aus, dass bereits in zehn Jahren praktikabel nutzbare Quantencomputer verfügbar sind. Im März startete unter der Leitung von Tanja Lange, Kryptographin an der Technischen Universität Eindhoven, das Projekt PQCRYPTO, welches die Entwicklung der sogenannten Post-Quanten-Kryptographie vorantreiben soll: Algorithmen, die sich auch mit Hilfe von Quantencomputern nicht brechen lassen. Das Projekt wird von der EU im Rahmen des Horizon-2020-Programms gefördert.

Längere Schlüssel für symmetrische Verfahren

Für symmetrische Verschlüsselungsalgorithmen, bei denen für Ver- und Entschlüsselung derselbe Schlüssel zum Einsatz kommt, sind Quantencomputer kein großes Problem. Mit Hilfe des sogenannten Grover-Algorithmus könnte ein Quantencomputer derartige Verschlüsselungsverfahren zwar angreifen, allerdings würde sich die Komplexität des Angriffs nur um die Quadratwurzel reduzieren. Anders ausgedrückt: Ein Algorithmus mit 128 Bit würde nur noch 64 Bit Sicherheit bieten. Die Lösung ist also relativ einfach: längere Schlüssel.

Die Empfehlungen des PQCRYPTO-Projekts schlagen daher zwei bewährte Verschlüsselungsalgorithmen vor, AES und Salsa20, jedoch mit einer Schlüssellänge von 256 Bit. Der Advanced Encryption Standard (AES) ist heutzutage der mit Abstand am häufigsten eingesetzte symmetrische Algorithmus und gilt trotz einiger theoretischer Angriffe nach wie vor als sehr sicher. Salsa20 gewann 2008 den sogenannten ESTREAM-Wettbewerb, bei dem ein neuer Stromverschlüsselungsalgorithmus gesucht wurde. Salsa20 wurde von Dan Bernstein entwickelt, Bernstein ist gleichzeitig einer der Autoren der neuen Empfehlungen. Als Verschlüsselungs- und Authentifizierungsmodus für die symmetrischen Verfahren werden das Galois/Counter-Mode-Verfahren (GCM) und Poly1305 empfohlen.

MCEliece, XMSS und SPHINCS

Asymmetrische Verfahren wie RSA, DSA und auf ellitpischen Kurven basierende Algorithmen sind durch Quantencomputer weit stärker bedroht. Denn der sogenannte Shor-Algorithmus wäre in der Lage, auf einem entsprechenden Quantencomputer alle diese Verfahren innerhalb kürzester Zeit zu knacken.

In Sachen asymmetrischer Verschlüsselung schlagen die Autoren das McEliece-Verfahren vor. Für die Sicherheitsparameter wird dabei auf ein Paper von 2013 verwiesen. Die privaten Schlüssel haben dabei eine Größe von etwa 1 MByte. Ob das in der Praxis einsetzbar ist, hängt vom jeweiligen Szenario ab. Für Mailverschlüsselungsprogramme wie GnuPG wären derartige Algorithmen vermutlich noch nutzbar. TLS und ähnliche Protokolle kämen aber hier schnell an ihre Grenzen, da dort üblicherweise beim Verbindungsaufbau einer oder sogar mehrere öffentliche Schlüssel übertragen werden müssen.

Für digitale Signaturen werden zwei Hash-basierte Algorithmen empfohlen: XMSS und SPHINCS. Für XMSS gibt es bereits einen Entwurf als IETF-Standard. Das Verfahren hat allerdings einen großen Haken: Es benötigt einen internen Status. Werden mehrere Signaturen mit demselben Status erzeugt, ist das Verfahren nicht mehr sicher. Damit scheidet es für viele Anwendungen aus.

SPHINCS kommt ohne Status aus. Auch die Schlüssellängen sind unproblematisch, jeweils 1 KByte für öffentlichen und privaten Schlüssel. Jedoch gibt es hier einen anderen Haken: Die Signaturen sind mit 41 KByte vergleichsweise groß. Das mag nicht viel erscheinen, allerdings muss man bedenken, dass beispielsweise bei einem TLS-Handshake üblicherweise gleich eine ganze Reihe von Signaturen über die Leitung geschickt wird, vier oder fünf Signaturen sind völlig normal.

Bislang nicht aufgeführt sind Schlüsselaustauschverfahren, die als Ersatz für das Diffie-Hellman-Verfahren eingesetzt werden können, um Forward-Secrecy-Eigenschaften zu gewährleisten. Ein von Microsoft mitgetragenes Forschungsprojekt hat hierzu das Verfahren Ring Learning With Errors (RLWE) vorgeschlagen. Allerdings gilt dieses Verfahren als nicht ausreichend gut untersucht für den Praxiseinsatz, außerdem ist ein Patent auf das Schlüsselaustauschverfahren angemeldet.

Noch viel Forschungsbedarf

Das Dokument ist eine erste Handlungsanleitung für Menschen, die bereits heute Verschlüsselungsprodukte entwickeln wollen, die Sicherheit vor Quantencomputern bieten sollen. Doch es zeigt vor allem eines: Es gibt zwar sichere Algorithmen, doch diese sind für die Praxis häufig unpraktikabel. Um Post-Quanten-Kryptographie in verbreiteten Verschlüsselungsprotokollen wie TLS zu etablieren, ist noch einiges an Forschungsarbeit notwendig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  3. 749€

Randalmaker 09. Sep 2015

Nunja, beim Großteil der im Artikel besprochenen Probleme geht es ja darum, dass Daten...

root61 09. Sep 2015

Hättest du 'eh nicht verstanden.


Folgen Sie uns
       


Immortals Fenyx Rising - Fazit

Im Video zeigt Golem.de das Actionspiel Immortals Fenyx Rising.

Immortals Fenyx Rising - Fazit Video aufrufen
Covid-19: So funktioniert die Corona-Vorhersage am FZ Jülich
Covid-19
So funktioniert die Corona-Vorhersage am FZ Jülich

Das Forschungszentrum Jülich hat ein Vorhersagetool für Corona-Neuinfektionen programmiert. Projektleiter Gordon Pipa hat uns erklärt, wie es funktioniert.
Ein Bericht von Boris Mayer

  1. Top 500 Deutscher Supercomputer unter den ersten zehn
  2. Hochleistungsrechner Berlin und sieben weitere Städte bekommen Millionenförderung
  3. Cineca Leonardo Nvidias A100 befeuert 10-Exaflops-AI-Supercomputer

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

    •  /