Original-URL des Artikels: https://www.golem.de/news/verschluesselung-die-leeren-versprechen-der-quantenkryptographie-1605-120767.html    Veröffentlicht: 10.05.2016 09:12    Kurz-URL: https://glm.io/120767

Verschlüsselung

Die leeren Versprechen der Quantenkryptographie

Quantenkommunikationsnetze und sogar ein Quanteninternet: Die EU hat große Pläne für eine Technologie, die mit großspurigen Behauptungen beworben wird. Doch die dahinterstehenden Quantenschlüsselaustauschsysteme sind weder so sicher wie versprochen, noch lösen sie praktische Probleme.

In der Debatte um Verschlüsselungstechnologien taucht immer wieder eine Möglichkeit auf, die mit wahrhaft wundersamen Versprechungen beworben wird: die sogenannte Quantenkryptographie, oder genauer: der Quantenschlüsselaustausch. Anders als gewöhnliche kryptographische Verfahren soll dieser absolut sicher sein, da er auf den physikalischen Prinzipien der Quantenmechanik statt auf mathematischen Annahmen beruhe. Was dabei gerne übersehen wird: Ein Quantenschlüsselaustausch hat nur enorm eingeschränkte Möglichkeiten, eine Nutzung im normalen Internetverkehr ist kaum vorstellbar. Die Sicherheitsversprechen sind entweder massiv übertrieben oder schlicht falsch.

Die EU-Kommission hat kürzlich ein Quantenmanifest veröffentlicht. Darin wird ein großes Förderprogramm im Rahmen des Horizon-2020-Projekts der EU für zahlreiche Technologien auf Basis der Quantenmechanik angekündigt. Ein wichtiger Teil davon soll die Entwicklung von Quanten-Kommunikationsnetzen und langfristig ein Quanteninternet sein. Gemeint ist damit die großflächige Nutzung von Quantenschlüsselaustauschsystemen. Die Probleme und Einschränkungen dieser Systeme werden dabei ignoriert - oder sogar zu Vorteilen umgedeutet.

Die Grundidee: Die Sicherheit des Systems basiert auf den grundlegenden physikalischen Gesetzen der Quantenmechanik, während gewöhnliche kryptographische Systeme auf unbewiesenen mathematischen Annahmen basieren.

Wie funktioniert ein Quantenschlüsselaustausch?

Die Funktionsweise eines Quantenschlüsselaustauschs ist vergleichsweise einfach zu verstehen: Der Sender schickt polarisierte Teilchen - beispielsweise Photonen - über eine Leitung. Diese können auf vier verschiedene Arten polarisiert sein: senkrecht, waagerecht oder in einer der beiden Diagonalen (|, -, /, \). Der Empfänger wendet nun - zufällig - für jedes Teilchen einen Polarisationsfilter an, der entweder zwischen waagerecht und senkrecht oder zwischen den beiden Diagonalen unterscheiden kann. Nur wenn ein passender Filter gewählt wurde, kann der Empfänger die Polarisation des Teilchens korrekt bestimmen.

Anschließend schickt der Empfänger die verwendeten Filterkonfigurationen an den Sender - über einen sicher authentifizierten Kanal. Dieser wiederum schickt - ebenfalls über einen sicher authentifizierten Kanal - dem Empfänger eine Liste der korrekt genutzten Filter. Anschließend können Sender und Empfänger einen gemeinsamen Schlüssel aus den Teilchen, für die ein korrekter Filter eingesetzt wurde, generieren.

Die Sicherheit des gesamten Systems basiert darauf, dass ein Angreifer die korrekte Konfiguration der Polarisationsfilter nicht kennt. Aufgrund der Heisenbergschen Unschärferelation kann der Angreifer die Polarisation der Teilchen nicht vollständig messen, ohne ihren Zustand zu zerstören.

Damit dieses System funktioniert, gibt es mehrere Voraussetzungen: Es muss zwischen Sender und Empfänger ein Kanal bestehen, über den einzelne Teilchen ungestört verschickt werden können. Der Sender muss in der Lage sein, kontrolliert einzelne entsprechend polarisierte Teilchen zu verschicken. Und zwischen Sender und Empfänger muss es einen authentifizierten Kanal geben. Dieser muss zwar nicht gegen unberechtigtes Abhören geschützt werden, ein Angreifer darf aber nicht in der Lage sein, die Daten in diesem authentifizierten Kanal zu manipulieren.

Nicht in bestehenden Netzen nutzbar und keine drahtlosen Netze

Die Anforderungen machen deutlich, welche Probleme die praktische Nutzung von Quantenschlüsselaustauschsystemen darstellt. Zwischen beiden Parteien muss ein Kanal existieren, über den einzelne Teilchen geschickt werden. Denkbar ist das beispielsweise mit Glasfaserleitungen und Photonen. Doch diese Leitung muss durchgehend sein.

Das Internet in seiner heutigen Form setzt auf eine Vielzahl von Technologien. Kupferleitungen, Glasfaser sowie Funk- und Satellitenverbindungen, dazwischen unzählige unterschiedliche Router. Ein Netzwerk, in dem ein Quantenschlüsselaustausch möglich ist, müsste fundamental anders aufgebaut sein.

Es ist kaum vorstellbar, wie das in der Praxis funktionieren soll. Abgesehen von Glasfasern sind sämtliche bestehenden Netzwerktechnologien dafür ungeeignet. Aber selbst Glasfaserleitungen nutzen heutzutage Router, die Daten in elektronische Bits konvertieren, interpretieren und dann weiterschicken. Diese Router müssten ebenfalls ersetzt werden - durch solche, die verschiedene Leitungen direkt physikalisch miteinander verbinden.

Das alleine ist so unpraktikabel, dass ein Quanteninternet eigentlich ins Reich der Phantasien gehört. Doch daraus ergibt sich noch ein weiteres Problem: Selbst wenn man ein derartiges Netz mit Glasfaserleitungen und Quantenroutern bauen würde - sämtliche mobilen Geräte blieben vom Quanteninternet ausgeschlossen, denn Funkverbindungen sind schlicht nicht mehr möglich.

Nur über begrenzte Distanz machbar

Entscheidend ist auch, dass die einzelnen Teilchen nahezu störungsfrei übertragen werden. Die gesamte Sicherheit des Systems basiert darauf, denn wenn zu viele Quantenteilchen auf dem Weg verlorengehen, ist eine Störung nicht mehr von einem Angreifer unterscheidbar. Aufgrund dieser Einschränkungen kann ein Quantenschlüsselaustausch nur über einige Dutzend oder maximal einige Hundert Kilometer erfolgen.

Als Abhilfe werden hier oft vertrauenswürdige Zwischenstationen vorgeschlagen. An diesen Zwischenstationen wird dann mit beiden Seiten eine gesicherte Kommunikationsverbindung aufgebaut. Klar ist natürlich: Wer an diesen vertrauenswürdigen Zwischenstationen betreibt, kann die Kommunikation angreifen. Das inzwischen bei sicheren Kommunikationssystemen übliche Prinzip der Ende-zu-Ende-Verschlüsselung wäre damit ausgehöhlt. Im Manifest der EU-Kommission werden die vertrauenswürdigen Zwischenstationen übrigens als Vorteil dargestellt: Diese seien dafür geeignet, staatliche "Lawful-Interception"-Zugriffe zu ermöglichen.

Woher kommt der authentifizierte Kanal?

Ein Quantenschlüsselaustausch setzt einen sicher authentifizierten Kanal zwischen Sender und Empfänger voraus. Die Frage ist dabei jedoch: Wo kommt dieser sichere Kanal eigentlich her?

Natürlich lässt sich für einen derartigen Kanal ein ganz gewöhnliches Authentifizierungsverfahren nutzen. Denkbar wäre beispielsweise eine Signatur auf Basis von RSA oder elliptischen Kurven oder alternativ ein symmetrisches Authentifizierungsverfahren wie HMAC in Kombination mit einer Hashfunktion.

Ein Quantenschlüsselaustausch setzt normale Kryptographie voraus

Jedoch wird der Quantenschlüsselaustausch ja gerade damit beworben, dass die Sicherheitseigenschaften von normalen kryptographischen Systemen, die auf mathematischen Problemen basieren, angezweifelt werden. Wenn man den mathematischen Algorithmen nicht traut, dann ergibt es keinen Sinn, diese für einen authentifizierten Kanal zu nutzen. Traut man ihnen jedoch, dann stellt sich die Frage, warum man überhaupt einen Quantenschlüsselaustausch benötigt. Auf diese Einschränkung hat ein Team um den bekannten Kryptographen Kenny Paterson bereits 2004 hingewiesen.

Übrig bleibt ein einziges Szenario, in dem ein Quantenschlüsselaustausch, wenn er denn funktioniert, einen theoretischen Sicherheitsvorteil bietet: Man nutzt für den authentifizierten Kanal ein Verfahren, dem man zwar nicht voll vertraut, bei dem man aber davon ausgeht, dass es nicht sofort geknackt werden kann. Vom Versprechen der absoluten Sicherheit, die nicht auf mathematischen Annahmen beruht, bleibt jedoch nicht viel übrig.

Theoretisch sicher, praktisch nicht

Einige Firmen bieten bereits seit längerem kommerzielle Quantenverschlüsselungssysteme an, und es gibt auch einige Testinstallationen über größere Entfernungen. Hier passiert nun etwas, das eigentlich überhaupt nicht sein kann: Die Systeme, deren Sicherheit angeblich auf den fundamentalen Gesetzen der Quantenphysik basiert, werden regelmäßig geknackt. Ein Team um den Wissenschaftler Vadim Makarov betreibt ein Quantum Hacking Lab und hat in den vergangenen Jahren zahlreiche Schwächen in derartigen kommerziellen Systemen gefunden und publiziert.

Der Grund hierfür: Die Sicherheitsbeweise für den Quantenschlüsselaustausch beruhen auf einer ganzen Reihe von Annahmen, die in der Praxis nur schwer umsetzbar sind. Dazu gehört beispielsweise, dass viele der Schlüsselaustauschverfahren darauf basieren, dass einzelne Photonen verschickt werden und auch, dass der Empfänger einzelne Photonen zuverlässig erkennt. Das ist jedoch alles andere als einfach. Es gibt keine Technologie, die das mit absoluter Zuverlässigkeit ermöglicht. Frühe Angriffe basierten daher darauf, mehrfach verschickte Photonen abzufangen.

Einige der Angriffe sind erstaunlich simpel. So macht es etwa bei manchen Systemen die Reflexion eines hellen Lichtblitzes durch die Leitung möglich, die Konfiguration des Polarisationsfilters zu messen.

Absolute Sicherheit nur mit unrealistischen Modellannahmen

Die absolute Sicherheit ist nur eine theoretische. Denn in der Praxis haben die Systeme viele Schwächen, die eine Abweichung vom idealen Modell bedeuten und die sich für Angriffe nutzen lassen. Natürlich können gegen die bekannten Angriffe Gegenmaßnahmen implementiert werden. Bislang sieht es jedoch nicht danach aus, dass die Angriffe ein Ende hätten.

In der Praxis ist eine Sicherheitslücke in einem Stück komplexer physikalischer Technologie weit schwerwiegender als eine denkbare Schwäche in einem in einer Software implementierten kryptographischen Algorithmus. Während erstere einen Austausch der Hardware erfordert, kann letztere in aller Regel durch Softwareupdates behoben werden.

Ein Quantenschlüsselaustausch hilft nicht gegen Quantencomputer

Eine der häufigsten Behauptungen, mit der die Notwendigkeit von Quantenschlüsselaustauschsystemen begründet wird, ist, dass nur Quantenkryptographie gegen Angriffe durch Quantencomputer hilft. Das klingt zwar sehr eingängig, ist aber falsch.

Ein universeller Quantencomputer wäre in der Lage, praktisch alle heute verwendeten Public-Key-Algorithmen mit dem sogenannten Shor-Algorithmus zu knacken. RSA, der Diffie-Hellman-Schlüsselaustausch und auch alle heute verwendeten Verfahren auf Basis elliptischer Kurven bieten keinen Schutz gegen einen Angreifer mit einem Quantencomputer.

Quantenschlüsselaustausch vergleichbar mit einer Stromverschlüsselung

Inwiefern hilft aber ein Quantenschlüsselaustausch hier weiter? Wie bereits erwähnt, benötigt ein Quantenschlüsselaustausch zwingend einen authentifizierten Kanal. Will man diesen nutzen, um sich gegen Quantencomputer zu schützen, fallen gewöhnliche Public-Key-Algorithmen für diesen Kanal aus. Man könnte symmetrische Algorithmen nutzen. Dann wäre ein Quantenschlüsselaustauschsystem vergleichbar mit einer Stromverschlüsselung: Aus einem kurzen Schlüssel kann zwischen zwei Kommunikationspartnern ein längerer erzeugt werden. Damit dies funktioniert, müssen die beiden Kommunikationspartner bereits vorher einen Schlüssel ausgetauscht haben.

Doch für symmetrische Verschlüsselungsverfahren sind Quantencomputer keine große Bedrohung. Zwar gibt es auch hier einen Quantenalgorithmus, der Angriffe ermöglicht - den Algorithmus von Grover -, allerdings ist dieser längst nicht so fatal wie der Shor-Angriff. Symmetrische Verschlüsselungsverfahren mit längeren Schlüsseln - beispielsweise 256 Bit - sind auch durch Quantencomputer nicht praktisch angreifbar.

Daraus ergibt sich letztendlich, dass ein Quantenschlüsselaustausch kein Problem löst, das durch Quantencomputer geschaffen wird. Denn die Funktion von Public-Key-Algorithmen lässt sich durch einen Quantenschlüsselaustausch nicht ersetzen.

Post-Quanten-Kryptographie ist praktikabler und hilft wirklich

Die Bedrohung von aktuellen Verschlüsselungssystemen durch Quantencomputer ist ein reales Problem. Doch man benötigt keine Quantentechnologie, um sich davor zu schützen. Es gibt rein mathematische Verfahren, bei denen man davon ausgeht, dass sie durch Quantencomputer nicht angreifbar sind. Die Post-Quanten-Kryptographie beschäftigt sich mit der Erforschung dieser Verfahren.

Im vergangenen Jahr hat ein Team um die Kryptographin Tanja Lange bereits erste Empfehlungen für den praktischen Einsatz veröffentlicht. Diese sind zwar vermutlich sehr sicher, aber aufgrund von Schlüssellängen und Signaturgrößen bisher eher unpraktikabel, sie werden daher noch kaum eingesetzt. Allerdings ist die Nutzung selbst dieser frühen Post-Quanten-Algorithmen immer noch viel praktikabler als der Einsatz von Quantenschlüsselaustauschsystemen.

Die Nutzung von Post-Quanten-Algorithmen erfordert kein teures physikalisches Equipment und keine neue Hardware. Was benötigt wird, ist mehr Forschung, um diese Algorithmen praktikabel nutzbar zu machen und um neue, noch experimentelle Systeme besser zu verstehen. So gibt es beispielsweise Post-Quanten-Algorithmen auf Basis sogenannter supersingulärer Isogenien in elliptischen Kurven, die sehr vielversprechend sind. Allerdings ist im Moment noch unklar, ob diese auch wirklich sicher sind.

Völlig unverständlich ist, wieso das Quantenmanifest der EU-Kommission die Post-Quanten-Kryptographie nicht einmal erwähnt. Stattdessen wird - fälschlicherweise - behauptet, dass Quantenkommunikationssysteme hier eine Lösung darstellten.

Fazit: Praktisch unbrauchbar

Quantenschlüsselaustauschsysteme zu nutzen, ist extrem aufwendig und erfordert komplexe physikalische Spezialhardware. Ein Quanteninternet ist kaum vorstellbar und hätte enorme Einschränkungen. Aber noch entscheidender ist, dass diese Technologien kein einziges praktisches Problem lösen. Weder können diese Systeme ihre Versprechen der absoluten Sicherheit einlösen, noch helfen sie gegen die bevorstehende Entwicklung von Quantencomputern.

Das ist nicht nur die Meinung des Autors dieses Textes, sondern auch die vieler Kryptographen. Daniel Bernstein hat bereits 2009 in einer frei verfügbaren Einleitung zu einem Buch auf die wichtigsten Probleme der Quantenschlüsselaustauschsysteme hingewiesen und sich aktuell auch kritisch in einem Statement zum EU-Quantenmanifest zu Wort gemeldet. Tanja Lange, Leiterin des von der EU geförderten PQCRYPTO-Projekts, kritisiert das Quantenmanifest ebenfalls. Auch andere Kryptographen wie Jean-Philippe Aumasson oder John Daemen, einer der Entwickler von AES und SHA-3, haben sich kritisch zu Quantenschlüsselaustauschsystemen geäußert.

"Grundlegende praktische Einschränkungen"

Eine Untersuchung der Communications-Electronics Security Group (CESG), der Forschungsabteilung des britischen Geheimdienstes GCHQ, kam im vergangenen Jahr zu einem ernüchternden Fazit: Quantenschlüsselaustauschsysteme haben demnach "grundlegende praktische Einschränkungen, berücksichtigen einen Großteil der Sicherheitsprobleme nicht und sind bislang in Bezug auf mögliche Angriffe schlecht verstanden".

Die Skepsis der kryptographischen Fachwelt und die praktischen Einschränkungen werden im Quantenmanifest der EU-Kommission vollständig ignoriert.

Gelegentlich werden unter dem Begriff "Quantenkryptographie" neben dem Quantenschlüsselaustausch noch weitere Technologien zusammengefasst. So gibt es auch Verschlüsselungsprotokolle, die auf der Verschränkung von Teilchen basieren. Diese haben allerdings weitgehend dieselben Probleme und Einschränkungen: Sie benötigen einen authentifizierten Kanal, der anderweitig bereitgestellt werden muss, und sie lassen sich nur mit komplexem physikalischen Equipment realisieren und sind mit der bestehenden Infrastruktur nicht nutzbar.

Einige der im EU-Manifest geforderten Technologieentwicklungen sind sicher sinnvoll. So wird dort auch die Erforschung von Quantencomputern selbst angesprochen, die - abgesehen davon, dass sie bestehende Verschlüsselungssysteme knacken - auch für physikalische Simulationen sinnvoll wären. Ein Quanteninternet ist jedoch eine Technologie, die letztendlich keine Vorteile bringen würde und deren praktische Umsetzung nicht realistisch ist. Man sollte getrost darauf verzichten, dafür Forschungsmillionen zu investieren.  (hab)


Verwandte Artikel:
Anton Zeilinger: Wissenschaftler kommunizieren quantenverschlüsselt   
(30.09.2017, https://glm.io/130370 )
NIST meldet Quanten-Kryptographie-Rekord   
(20.04.2006, https://glm.io/44793 )
Politik: EU könnte Drohnenflug mit VR-Headset einschränken   
(27.02.2018, https://glm.io/133016 )
Cisco-Studie: Ein guter Datenschutzplan verhindert Geldverluste   
(09.02.2018, https://glm.io/132692 )
EU: Europa-Parlament schränkt Geoblocking im Online-Handel ein   
(06.02.2018, https://glm.io/132619 )

© 1997–2020 Golem.de, https://www.golem.de/