Kryptografie – Quantentechnik knackt Verschlüsselung
Dateien und Nachrichten lassen sich so sicher verschlüsseln, dass selbst aktuelle Supercomputer Jahre oder Jahrzehnte fürs Knacken der Schlüssel benötigen. Doch das könnte sich bald ändern. Quantencomputer entschlüsseln verbreitete Codes in wenigen Stunden.
Deutschland investiert in die Quantentechnologie. Für Quantencomputer, Quantenkryptografie und weitere Quantentechnik hat die Regierung im Sommer 2020 zwei Milliarden Euro bereitgestellt. Es ist nicht der erste Riesenbetrag, den Deutschland in die Quantentechnologie steckt – und sicher nicht der letzte. Im Januar 2021 gab die bayerische Staatsregierung bekannt, 70 Millionen Euro für das „Munich Quantum Valley“ausgeben zu wollen, das einen Quantenrechner in Bayern entwickeln soll. Bis 2026 sollen rund 300 Millionen in dieses Projekt fließen.
Das Geld ist vermutlich gut angelegt, denn wenn Quantencomputer erst einmal funktionieren, wird ihr Nutzen gewaltig sein. Diese Rechner werden völlig neue Medikamente, Werkstoffe oder Düngemittel entwickeln helfen. Sie werden Lösungen zu mathematischen Gleichungen liefern, an denen aktuelle Superrechner derzeit noch scheitern.
Quantencomputer werden aber noch mehr können: Mit ihrer Funktionsweise knacken sie aktuelle Verschlüsselungscodes in kurzer Zeit. Betroffen sind die meisten Verschlüsselungsstandards im Internet – etwa die TLS-Verschlüsselung, mit der die Kommunikation zu Webseiten geschützt wird. Die typische Dateiverschlüsselung auf PC und Smartphone hingegen ist kaum in Gefahr.
Was ist das Besondere an Quantenrechnern?
Zunächst einmal funktionieren Quantenrechner anders als herkömmliche Computer. Für Euphorie sorgen die Maschinen vor allem, weil sie bestimmte Aufgaben unfassbar schnell lösen können. Das jüngste Beispiel dafür kommt aus China, wo Forscher in 200 Sekunden ein Problem gelöst haben, wofür der beste chinesische Supercomputer rund
2,5 Milliarden Jahre benötigen würde. Das berichtete die Forschergruppe um Pan Jianwei Anfang Dezember 2020 im Wissenschaftsmagazin Science. Ihr Quantencomputer ist somit um den Faktor 10 hoch 14 schneller – eine Zahl mit 14 Nullen.
Allerdings handelt es sich bei der Maschine der Chinesen nicht um einen frei programmierbaren Quantencomputer. Die Maschine arbeitet mit Spiegeln und Strahlteilern, die ein hundertfach verzweigtes optisches Netzwerk bilden. Dieser Aufbau ist genau darauf ausgelegt, um die gesuchte Lösung für eine bestimmte Frage zu „berechnen“(es geht hierbei um das Boson-Sampling-Problem), lässt sich aber für andere Aufgaben kaum einsetzen.
Auch der Quantencomputer von Google mit dem Chip „Sycamore“ist kein frei programmierbarer Computer, sondern eine Maschine, die speziell für bestimmte Aufgaben konzipiert
ist. Im Herbst 2019 konnte dieser Rechner erstmals überhaupt beweisen, dass Quantencomputer besser rechnen als herkömmliche Superrechner. Dieser Beweis wird als „Quantum Supremacy“, als Quanten-Überlegenheit, bezeichnet. Bis dahin waren die Vorteile von Quantenrechnern gegenüber heute üblichen Rechnern umstritten. Googles Computer jedoch schaffte in rund drei Minuten das, wofür ein Supercomputer 10.000 Jahre benötigen würde. Allerdings war auch diese Aufgabe optimal für einen Quantencomputer geeignet und gleichzeitig sehr schwer für einen klassischen Rechner. Dennoch gilt der Beweis als großer Durchbruch in Sachen Quantencomputing.
Funktionsweise einer Verschlüsselung
Wenn Sie heute eine Datei oder eine Nachricht verschlüsseln, dann macht das verwendete Verschlüsselungsprogramm den Inhalt mithilfe von Mathematik unleserlich. Lesbar wird der Inhalt erst dann wieder, wenn Sie den passenden Schlüssel fürs Decodieren einsetzen können. An diesem Punkt muss man zwischen zwei unterschiedlichen Methoden der Verschlüsselung unterscheiden: der symmetrischen und der asymmetrischen.
Symmetrische Verschlüsselung: Wenn Sie zum Beispiel ein Word-Dokument oder eine ZIP-Datei verschlüsseln, wird für das Ver- und für das Entschlüsseln meist derselbe Schlüssel verwendet. Das ist praktisch, solange Sie die Datei nicht jemand anderem schicken möchten. Denn dann müssen Sie dieser Person auch den Schlüssel übermitteln. Dabei kann er aber von einem Angreifer gestohlen werden. Dieses Problem entfällt bei der asymmetrischen Verschlüsselung.
Asymmetrische Verschlüsselung: Bei dieser Methode gibt es zwei Schlüssel. Einen öffentlichen zum Verschlüsseln der Nachricht und einen privaten zum Entschlüsseln. Der private Schlüssel ist geheim. Er liegt bereits beim
Empfänger einer Nachricht und muss deshalb nicht versendet werden. Der Öffentliche ist für alle einseh- und nutzbar. Natürlich stehen der öffentliche und der private Schlüssel mathematisch gesehen in Verbindung. Doch geht man davon aus, dass niemand aus dem öffentlichen Schlüssel und einer zugehörigen Nachricht den privaten Schlüssel errechnen kann. Denn die mathematische Beziehung funktioniert über sogenannte Falltürfunktionen. Diese lassen sich in eine Richtung (Verschlüsselung) sehr einfach berechnen. In die Gegenrichtung (Entschlüsselung) aber nur sehr schwer. Das passende Bild dafür ist ein Briefkasten. Briefe lassen sich dort einfach über einen Schlitz hineinwerfen. Herausholen (entschlüsseln) lassen sie sich aber nur mit dem passenden Schlüssel oder mit sehr viel Aufwand.
Als Falltürfunktion kommt zum Beispiel die Multiplikation zweier Primzahlen zum Einsatz. Das Malnehmen etwa der Primzahlen 5.801
und 9.859 ist einfach. Das Ergebnis lautet 57.192.059. Doch aus dem Ergebnis die beiden Primzahlen zu ermitteln, ist sehr schwer – zumindest für größere Primzahlen.
Quantencomputer knacken sichere Codes
Quantencomputer sind aller Voraussicht nach sehr gut darin, bekannte Falltürfunktionen zu lösen. Entsprechend können sie Nachrichten aus asymmetrischen Verschlüsselungen vermutlich in kurzer oder zumindest überschaubarer Zeit entschlüsseln. Theoretisch wurde das schon in den 1990er-Jahren durch den Shor-Algorithmus postuliert. Praktisch scheitern die aktuellen Quantencomputer noch an dieser Aufgabe – zumindest für größere Primzahlen. Experten glauben, dass dafür Quantenrechner mit einigen tausend Qubits nötig sind. IBM will 2023 einen solchen Rechner mit über tausend Qubits anbieten können. Andere Experten gehen allerdings von mehreren Millionen nötiger Qubits aus.
Für Privatanwender ist die Bedrohung der asymmetrischen Verschlüsselung nicht zu groß. Denn eine Überweisung, die Sie heute per Onlinebanking vornehmen, wird in fünf Jahren kaum noch jemanden interessieren. Anders sieht es beim Staat, Militär und bei Unternehmen aus. Neueste Forschungsergebnisse zu Impfstoffen oder Pläne des Militärs sollen vermutlich auch in fünf Jahren noch geheim sein. Darum ist es sinnvoll, sich bereits jetzt gegen die Entschlüsselungsmacht künftiger Quantencomputer zu schützen. Denn ein Angreifer könnte ein geschütztes Dokument heute speichern und in einigen Jahren dann mit Hilfe der neuen Rechner entschlüsseln.
Ab wann sind Quantenrechner zur Entschlüsselung nutzbar?
Ein Experte der Firma Post-Quantum wies vergangenes Jahr darauf hin, dass auch das Bitcoin-Netzwerk mit asymmetrischer Verschlüs
selung geschützt wird. Quantencomputer sollen laut Post-Quantum bereits im Jahr 2022 in der Lage sein, diese Bitcoin-Verschlüsselung zu knacken. So könnte ein Angreifer zum Beispiel einzelne Bitcoin-Wallets (Geldbörsen) stehlen. Allerdings gibt es gute Argumente, die dieses Szenario unwahrscheinlich erscheinen lassen. Zum einen würde ein solcher Diebstahl schnell auffallen und verfolgt werden. Zum anderen scheint es plausibel, dass ein Angreifer mit einem Quantencomputer diesen eher zum legalen Mining von Bitcoins einsetzen würde. Und schließlich besteht das Geschäftsmodell der Firma Post-Quantum darin, quantensichere Verschlüsselung zu verkaufen.
Viele Forscher gehen eher davon aus, dass Quantencomputer in fünf bis zehn Jahren genügend Qubits haben, um als Code-Knacker zu funktionieren. Mit einer steigenden Zahl von Qubits in einem Quantenrechner treten allerdings auch mehr Fehler beim Auslesen der Ergebnisse auf. Lösen lässt sich das Problem per Fehlerkorrektur, die aber wiederum mehr Qubits voraussetzt.
Verschlüsselungsschutz vor Quantencomputern
Es wird bereits aktiv an VerschlüsselungsAlgorithmen gearbeitet, die vor Angriffen durch Quantencomputer sicher sind. Neben der Forschung im akademischen Bereich ist auch die US-Behörde National Institute of Standards and Technology (NIST) dabei, Verschlüsselungsstandards für eine Post-QuantumKryptographie zu entwickeln. Ebenso arbeiten Firmen wie Infineon daran, die nötige Hardund Software für eine neue sichere Kommunikation herzustellen.
Zu früh sind die Akteure nicht dran. Schließlich gibt es eine ganze Reihe von Produkten, die in fünf, zehn oder gar 20 Jahren immer noch genutzt werden und auch dann noch sicher kommunizieren sollen. Ein Auto, das dieses Jahr entwickelt wird, kommt in etwa drei bis fünf Jahren auf dem Markt. Dann wird es etwa drei Jahre lang unverändert verkauft und sollte im Anschluss mindestens zwölf bis 15 Jahre genutzt werden können. Somit sollte die Technik eines heute entwickelten Autos auch in 23 Jahren noch sicher sein. Ähnliches gilt für Züge und industrielle Maschinen. Sie werden alle stark vernetzt arbeiten und müssen gegen Angriffe auf ihre Kommunikation geschützt werden.
Ein extremes Beispiel sind Kommunikationssatelliten. Auch diese müssen über Jahre funktionieren. Zwar kann man sie über Software-Updates während ihrer Lebenszeit aktualisieren, allerdings nur solange die neue Software keine neue Hardware voraussetzt. Denn diese lässt sich bei einem Satelliten im Weltall nicht mehr tauschen.
Quantenmechanik macht Verschlüsselung sicherer
Die Gesetze der Quantenmechanik führen aber nicht nur dazu, dass aktuelle Kommunikation unsicher wird. So kann sie auch für hohe Sicherheit beim Nachrichtenaustausch sorgen. Das funktioniert etwa über das Prinzip der Verschränkung. Zwei miteinander verschränkte
Quantenobjekte, etwa Photonen, werden stets dieselben Eigenschaften behalten, auch wenn sie weit voneinander entfernt sind. Sendet man ein verschränktes Photon zusammen mit einer Nachricht, kann man zuverlässig herausfinden, ob die Nachricht auf ihrem Weg abgehört wurde. Denn der Angreifer kann den für ihn unbekannten Zustand des Photons weder kopieren noch störungsfrei messen. Sobald er die Nachricht anfasst, ändert er zwangsläufig den Zustand des Photons. So fällt der Lauschangriff beim Empfänger auf.
Im Unterschied zu aktuellen kryptografischen Verfahren beruht diese Kontrolle auf einem physikalischen Naturgesetz (Verschränkung), und nicht auf mathematischen Annahmen. Das Forschungsinstitut Fraunhofer IOF Jena hat eine solche Photonenquelle entwickelt, die mit einem nichtlinearen Kristall 300.000 verschränkte Photonenpaare pro Sekunde produziert.
Voraussichtlich im Herbst 2022 soll das Gerät im ersten europäischen Quantenverschlüsselungssatelliten ins All geschickt werden und von dort aus Kommunikationspartner auf der Erde mit den verschränkten Quantenschlüsseln versorgen.