Digitale Sicherheit: Heute die Gefahr von morgen entschärfen

Größtmögliche digitale Sicherheit garantieren – diese Aufgabe zieht sich wie der berühmte rote Faden durch das berufliche Leben von Marian Margraf. Nun konzentriert er sich auf das, was viele für die bislang größte Bedrohung digitaler Sicherheit ansehen: den Quantencomputer. Der Mathematiker ist gut gerüstet. Margraf zeichnete als Mitarbeiter des Bundesinnenministeriums verantwortlich für die Einführung der Online-Funktion des Personalausweises und war Experte für Verschlüsselung im Bundesamt für Sicherheit in der Informationstechnologie. An der Freien Universität Berlin widmet er sich seit 2014 als Stiftungsprofessor der Bundesdruckerei dem Kampf gegen die Gefahr aus dem Reich der Atome, Elektronen und Lichtteilchen.

Täglich verwenden die meisten Menschen verschlüsselte Internetverbindungen – man erkennt sie am „https“ in der Adresszeile des Browsers. Auch beim Schreiben von E-Mails, beim Online-Banking oder bei Kartenzahlungen kommen Verschlüsselungen zum Einsatz. Dass ein Update auch wirklich vom authentischen Absender stammt und nicht von einem böswilligen Angreifer, wird durch eine digitale Signatur garantiert, die die gleichen kryptographischen Methoden nutzt. Milliarden solcher Transaktionen werden täglich von „asymmetrischen“ Krypto-Verfahren abgesichert. Diese heißen so, weil sie funktionieren, ohne dass die Partner zuvor einen geheimen Schlüssel austauschen müssen. Sie eignen sich mithin ideal für den weltumspannenden, oft unpersönlichen Internetverkehr.

Das alles könnte wie ein Kartenhaus zusammenfallen, wenn heute schon jemand über einen leistungsstarken Quantencomputer verfügte. Zwar weiß man noch wenig darüber, welche Arten von Aufgaben dieser Zukunftsrechner sehr viel schneller wird lösen können als jeder etagenfüllende Supercomputer herkömmlicher Bauart. Doch ein mathematisches Problem wird er lösen, da ist man sich heute schon sicher: die Zerlegung von Zahlen in ihre Primfaktoren. Bei kleinen Zahlen wie 15 oder 21 lässt sich das leicht per Kopf bestimmen: 15 setzt sich aus den Primzahlen 3 und 5 zusammen, die Zahl 21 aus 7 und 3. Eine Formel gibt es dafür nicht. Man errät das in diesen simplen Fällen einfach. Was aber, wenn man eine Zahl mit Hunderten Dezimalstellen zerlegen will? Zwar gibt es Algorithmen, die das schneller erledigen, als man es durch einfaches Ausprobieren könnte, ein herkömmlicher Rechner würde damit aber immer noch Milliarden von Jahren verbringen. Die praktische Unlösbarkeit dieses Problems liegt der asymmetrischen Verschlüsselungsmethode zugrunde.

Programmierer sollten bereits heute entsprechend geschult werden

Für einen Quantenrechner jedoch ist das Faktorisierungsproblem, wie es auch genannt wird, ganz leicht zu lösen. Die Gesetze der Quantenphysik erlauben winzigen Teilchen wie Atomen oder Elektronen, zwei Zustände simultan anzunehmen, sich etwa linksherum und gleichzeitig rechtsherum herum zu drehen. Fachleute nennen dies „Quantenbit“, kurz „Qubit“, im Gegensatz zum „Bit“ eines klassischen Rechners, das 0 und 1 nur nacheinander speichern kann. Ein Quantencomputer mit tausenden Qubits könnte eine Unmenge von Zuständen simultan besetzen und zum Rechnen nutzen. Dies ist der Grund, warum er eine große Zahl binnen Minuten faktorisieren und damit eine asymmetrische Verschlüsselung knacken könnte. Ein solcher Rechner soll Fachleuten zufolge in zehn bis fünfzehn Jahren existieren.

„Wir müssen uns jetzt schon darauf vorbereiten“, warnt Marian Margraf. Zwar gibt es mathematische Probleme, die für den Quantencomputer genauso schwer zu lösen sind wie für klassische Rechner. Kryptologen entwickeln derzeit Verfahren, diese für Verschlüsselungen anzuwenden. Doch dauert es seine Zeit, bis diese sogenannte Post-Quanten-Kryptografie einsatzreif und standardisiert sein wird.

Deshalb hat die Quanten-Zukunft sozusagen schon begonnen. Noch für Jahre werden in Soft- und Hardware gängige asymmetrische Verschlüsselungsverfahren eingebaut. Durch ihre Langlebigkeit könnten die Produkte noch in Gebrauch sein, wenn der Quantencomputer längst da sei, sagt Margraf: „Dann kann es schwierig werden mit der Sicherheit. Deshalb muss man Produkte heute schon so designen, dass sich die Verschlüsselungsmethode leicht und am Einsatzort austauschen lässt.“ Diese „Krypto-Agilität“ sei essenziell. Programmierer sollten nach Ansicht Margrafs bereits heute entsprechend geschult werden. „Wir unterstützen die Industrie dabei, frühzeitig quantencomputerresistente Methoden einzusetzen“, sagt der Wissenschaftler, der neben seiner Professur an der Freien Universität Berlin auch die Abteilung „Secure System Engineering“ des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit in Berlin leitet. Sichere Signaturverfahren, die „nur noch eingebaut werden müssen“, gebe es bereits, betont der Forscher.

Bedroht seien nicht nur Hard- und Software, sondern auch Daten, die heute erhoben, aber für lange Zeit sicher gespeichert werden sollen. Marian Margraf nennt Gesundheitsdaten als Beispiel oder als geheim eingestufte staatliche Dokumente, die aus diplomatischen oder militärischen Kreisen stammen. Der US-Geheimdienst NSA speichere massenweise Daten, die er in zehn oder fünfzehn Jahren rückwirkend entschlüsseln könne, warnt Margraf. Für ihn ist Eile geboten bei der Entwicklung quantencomputerresistenter Verschlüsselungsverfahren.

Hacker sind einfallsreich, deshalb müssen Forscher kreativ sein

Doch nicht jedes alternative Verschlüsselungsverfahren, das nicht auf das Faktorisierungsproblem setzt, ist automatisch sicher gegen einen Quantencomputer. Ebenso wenig ist automatisch darauf Verlass, dass es einem Angriff mit einem klassischen Rechner standhält. Hier kommen die Berliner Wissenschaftler ins Spiel. „Wir prüfen neue kryptographische Verfahren, indem wir untersuchen, wie man diese angreifen könnte“, erklärt Margraf. Das darf man sich jedoch nicht so vorstellen, dass Margrafs Mitarbeiter in Hacker-Manier vor dem Rechner sitzen und versuchen, ein Verschlüsselungsverfahren auf Biegen und Brechen zu knacken. Vielmehr machen die Berliner Forscher mathematische Analysen. Gibt es Algorithmen, die das Verfahren aushebeln? Auch der Quantencomputer rate Primfaktoren nicht blind, sagt Margraf, sondern nutze einen vom amerikanischen Mathematiker Peter Shor vor mehr als zwanzig Jahren entwickelten Algorithmus. Eine weitere Forschungsfrage lautet: Wenn es ein solches Entschlüsselungsverfahren gibt, welche Laufzeit besitzt es? Bräuchte ein Supercomputer Jahre, um es auszuführen, oder schaffte es schon ein Smartphone in Minutenschnelle?

Die Suche nach solchen Angriffen ist nicht nur eine Fleißarbeit. „Wir müssen auch sehr kreativ sein“, sagt Margraf. Denn Hacker sind einfallsreich. Meist bleibt die Sicherheit des neuen Verfahrens eine Annahme, die umso zuverlässiger ist, je mehr von Forschern wie Margraf erdachten Angriffen es standgehalten hat. „Besser ist es natürlich, wenn wir die Sicherheit eines Verfahrens beweisen können“, sagt der Wissenschaftler. Die Berliner Forscher versuchen, dies mit mathematischen Methoden zu erreichen.

Seit etwa einem Jahr widmet sich Marian Margrafs Team dem Forschungsfeld der quantencomputerresistenten Kryptologie. „Wir müssen das Thema Quantencomputer verstärkt betrachten“, ist sich der Mathematiker sicher. Die Berliner Forscher haben deshalb mehrere Förderanträge beim Bundesministerium für Bildung und Forschung eingereicht. Der Stifter seiner Professur an der Freien Universität Berlin, die Bundesdruckerei, lasse ihm volle Freiheit bei der Wahl seiner Forschungsthemen, sagt Margraf. Mit dem Quantencomputer hat er sich eines der brisantesten ausgesucht.