Abo
  • Services:

Quantencomputer: Erste Empfehlungen für Post-Quanten-Kryptographie

Im Rahmen eines EU-Forschungsprojekts wurden jetzt erste Empfehlungen für kryptographische Algorithmen vorgelegt, die Schutz vor Quantencomputern bieten. Diese bieten zwar ein hohes Sicherheitsniveau, sie sind aber in vielen Fällen unpraktikabel.

Artikel veröffentlicht am , Hanno Böck
Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen.
Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen. (Bild: PQCRYPTO)

Das Forschungsprojekt PQCRYPTO hat erste Empfehlungen für Algorithmen vorgelegt, die auch langfristig vor Quantencomputern Schutz bieten sollen. Große Überraschungen sind nicht dabei. Bei symmetrischen Verschlüsselungsalgorithmen sollen vor allem längere Schlüssel für mehr Sicherheit sorgen. Die asymmetrischen Verfahren zum Signieren und Verschlüsseln sind das größere Problem. Hier gibt es zwar sichere Verfahren, doch diese sind für viele Anwendungen nicht praktikabel einsetzbar.

Stellenmarkt
  1. über duerenhoff GmbH, Köln
  2. Bosch Gruppe, Ludwigsburg

Quantencomputer bedrohen einen Großteil der heute eingesetzten kryptographischen Verfahren. Bisher existieren große Quantencomputer nur als theoretisches Konzept, doch einige Wissenschaftler gehen davon aus, dass bereits in zehn Jahren praktikabel nutzbare Quantencomputer verfügbar sind. Im März startete unter der Leitung von Tanja Lange, Kryptographin an der Technischen Universität Eindhoven, das Projekt PQCRYPTO, welches die Entwicklung der sogenannten Post-Quanten-Kryptographie vorantreiben soll: Algorithmen, die sich auch mit Hilfe von Quantencomputern nicht brechen lassen. Das Projekt wird von der EU im Rahmen des Horizon-2020-Programms gefördert.

Längere Schlüssel für symmetrische Verfahren

Für symmetrische Verschlüsselungsalgorithmen, bei denen für Ver- und Entschlüsselung derselbe Schlüssel zum Einsatz kommt, sind Quantencomputer kein großes Problem. Mit Hilfe des sogenannten Grover-Algorithmus könnte ein Quantencomputer derartige Verschlüsselungsverfahren zwar angreifen, allerdings würde sich die Komplexität des Angriffs nur um die Quadratwurzel reduzieren. Anders ausgedrückt: Ein Algorithmus mit 128 Bit würde nur noch 64 Bit Sicherheit bieten. Die Lösung ist also relativ einfach: längere Schlüssel.

Die Empfehlungen des PQCRYPTO-Projekts schlagen daher zwei bewährte Verschlüsselungsalgorithmen vor, AES und Salsa20, jedoch mit einer Schlüssellänge von 256 Bit. Der Advanced Encryption Standard (AES) ist heutzutage der mit Abstand am häufigsten eingesetzte symmetrische Algorithmus und gilt trotz einiger theoretischer Angriffe nach wie vor als sehr sicher. Salsa20 gewann 2008 den sogenannten ESTREAM-Wettbewerb, bei dem ein neuer Stromverschlüsselungsalgorithmus gesucht wurde. Salsa20 wurde von Dan Bernstein entwickelt, Bernstein ist gleichzeitig einer der Autoren der neuen Empfehlungen. Als Verschlüsselungs- und Authentifizierungsmodus für die symmetrischen Verfahren werden das Galois/Counter-Mode-Verfahren (GCM) und Poly1305 empfohlen.

MCEliece, XMSS und SPHINCS

Asymmetrische Verfahren wie RSA, DSA und auf ellitpischen Kurven basierende Algorithmen sind durch Quantencomputer weit stärker bedroht. Denn der sogenannte Shor-Algorithmus wäre in der Lage, auf einem entsprechenden Quantencomputer alle diese Verfahren innerhalb kürzester Zeit zu knacken.

In Sachen asymmetrischer Verschlüsselung schlagen die Autoren das McEliece-Verfahren vor. Für die Sicherheitsparameter wird dabei auf ein Paper von 2013 verwiesen. Die privaten Schlüssel haben dabei eine Größe von etwa 1 MByte. Ob das in der Praxis einsetzbar ist, hängt vom jeweiligen Szenario ab. Für Mailverschlüsselungsprogramme wie GnuPG wären derartige Algorithmen vermutlich noch nutzbar. TLS und ähnliche Protokolle kämen aber hier schnell an ihre Grenzen, da dort üblicherweise beim Verbindungsaufbau einer oder sogar mehrere öffentliche Schlüssel übertragen werden müssen.

Für digitale Signaturen werden zwei Hash-basierte Algorithmen empfohlen: XMSS und SPHINCS. Für XMSS gibt es bereits einen Entwurf als IETF-Standard. Das Verfahren hat allerdings einen großen Haken: Es benötigt einen internen Status. Werden mehrere Signaturen mit demselben Status erzeugt, ist das Verfahren nicht mehr sicher. Damit scheidet es für viele Anwendungen aus.

SPHINCS kommt ohne Status aus. Auch die Schlüssellängen sind unproblematisch, jeweils 1 KByte für öffentlichen und privaten Schlüssel. Jedoch gibt es hier einen anderen Haken: Die Signaturen sind mit 41 KByte vergleichsweise groß. Das mag nicht viel erscheinen, allerdings muss man bedenken, dass beispielsweise bei einem TLS-Handshake üblicherweise gleich eine ganze Reihe von Signaturen über die Leitung geschickt wird, vier oder fünf Signaturen sind völlig normal.

Bislang nicht aufgeführt sind Schlüsselaustauschverfahren, die als Ersatz für das Diffie-Hellman-Verfahren eingesetzt werden können, um Forward-Secrecy-Eigenschaften zu gewährleisten. Ein von Microsoft mitgetragenes Forschungsprojekt hat hierzu das Verfahren Ring Learning With Errors (RLWE) vorgeschlagen. Allerdings gilt dieses Verfahren als nicht ausreichend gut untersucht für den Praxiseinsatz, außerdem ist ein Patent auf das Schlüsselaustauschverfahren angemeldet.

Noch viel Forschungsbedarf

Das Dokument ist eine erste Handlungsanleitung für Menschen, die bereits heute Verschlüsselungsprodukte entwickeln wollen, die Sicherheit vor Quantencomputern bieten sollen. Doch es zeigt vor allem eines: Es gibt zwar sichere Algorithmen, doch diese sind für die Praxis häufig unpraktikabel. Um Post-Quanten-Kryptographie in verbreiteten Verschlüsselungsprotokollen wie TLS zu etablieren, ist noch einiges an Forschungsarbeit notwendig.



Anzeige
Top-Angebote
  1. 3,79€
  2. 299,00€ statt 369,00€ bei cyberport.de
  3. (u. a. Honor 9 190€)
  4. 199€

Randalmaker 09. Sep 2015

Nunja, beim Großteil der im Artikel besprochenen Probleme geht es ja darum, dass Daten...

root61 09. Sep 2015

Hättest du 'eh nicht verstanden.


Folgen Sie uns
       


Bewerbungsgespräch mit der KI vom DFKI - Bericht

Wir haben uns beim DFKI in Saarbrücken angesehen, wie das Training von Bewerbungsgesprächen mit einer Künstlichen Intelligenz funktioniert.

Bewerbungsgespräch mit der KI vom DFKI - Bericht Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
    Android-Smartphone
    10 Jahre in die Vergangenheit in 5 Tagen

    Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
    Ein Erfahrungsbericht von Martin Wolf

    1. Android Q Google will den Zurück-Button abschaffen
    2. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
    3. Google Auf dem Weg zu reinen 64-Bit-Android-Apps

    Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
    Enterprise Resource Planning
    Drei Gründe für das Scheitern von SAP-Projekten

    Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
    Von Markus Kammermeier


        •  /