Der Countdown läuft

Quantencomputer bedrohen IT-Sicherheit

25.10.2017
Von   IDG ExpertenNetzwerk
Elmar Eperiesi-Beck leitet die von ihm gegründete eperi GmbH als CEO. Eine seiner Kernkompetenzen ist die Beratung von Unternehmen in Bezug auf die sichere und rechtskonforme Speicherung personenbezogener Daten in der Cloud. In den letzten Jahren hat er sich als geschätzter Berater für Cloud-Sicherheitsfragen auf Landes-, Bundes- und EU-Ebene etabliert. Angetrieben wird er von dem Bestreben, Menschen dabei zu unterstützen, zu jedem Zeitpunkt die Kontrolle über ihre personenbezogenen Daten zu erhalten.
Der Durchbruch der Quantencomputer rückt näher - und wirft ernsthafte Fragen nach der IT-Sicherheit auf. Da die heutigen Verschlüsselungsverschlüsselungsverfahren dann völlig nutzlos werden könnten, ist Postquantenkryptografie (PQC) gefragt.

Das Gefährdungspotenzial von Quantencomputing für die IT-Sicherheit ist bereits seit 1994 sattsam bekannt. Damals nämlich veröffentlichte der amerikanische Mathematiker und Informatiker Peter W. Shor einen Algorithmus für Quantencomputer, mit dem sich sicher geglaubte Verschlüsselungsverfahren innerhalb weniger Sekunden knacken, das heißt in ihre Faktoren zerlegen - kurz: faktorisieren - lassen.

Dazu nutzt der Shor-Algorithmus die sehr großen parallelen Rechenfähigkeiten von Quantencomputern. Anders als traditionelle Computer, die nur den Wert "1" oder "0" kennen und Rechenoperationen nacheinander ausführen, operieren Quantencomputer mit einem "Sowohl-1-als-auch-0-Zustand". Das macht sie beim Faktorisieren mit dem Shor-Algorithmus so schnell.

Quantencomputer machen klassische Verschlüsselungsverfahren nutzlos.
Quantencomputer machen klassische Verschlüsselungsverfahren nutzlos.
Foto: sakkmesterke - shutterstock.com

Technologischer Wettlauf in Gang

Mehr als zwanzig Jahre nach Shors Veröffentlichung wird die - zunächst rein theoretische - IT-Sicherheitsgefährdung durch Quantencomputing immer realer: Weltweit findet heute ein technologischer Wettlauf zwischen Europa, den USA und China um die Entwicklung des ersten Supercomputers des 21. Jahrhunderts statt. Während von Google erwartet wird, vielleicht noch 2017 einen Quantencomputer herauszubringen, sollen Geheimdienste bereits an Prototypen arbeiten, die ihnen das Knacken von heute sicheren Algorithmen ermöglichen.

Auch wenn sich Quantencomputer künftig nicht als Universalrechner durchsetzen werden, bietet sich ihr Einsatz bei speziellen mathematischen Problemen an, um signifikante Performance- und Effizienzverbesserungen zu erzielen. Beispiele dafür sind Wettervorhersagen oder Berechnungen von Verkehrsströmen, die auf zahlreichen Parametern basieren und eine Vielzahl an Varianten zulassen. Hier kann die Ausnutzung quantenmechanischer Effekte zu Echtzeit-Berechnungen führen, für die konventionelle Rechner heute noch bis zu mehrere Tage benötigen.

Verschlüsselungscodes werden nutzlos

Mit dem Einsatz von Quantencomputern wird für die herkömmlichen Verschlüsselungsverfahren die Stunde schlagen, sind die Sicherheitsexperten weltweit überzeugt. Betroffen ist vor allem der RSA-Algorithmus, der heute von 99 Prozent aller Anwendungen und damit fast überall dort genutzt wird, wo Kommunikationsdaten und Software-Updates sicher über das Netz übertragen und gespeichert werden sollen. Im Unternehmensumfeld gehören dazu weit verbreitete Cloud-Anwendungen, zum Beispiel Office 365 oder Salesforce, sowie eigene Systeme, die aus der Cloud zur Verfügung gestellt werden.

RSA ist ein asymmetrisches kryptografisches Verfahren, das zum Verschlüsseln von Daten und digitalen Signieren verwendet wird. Es nutzt einen öffentlichen Schlüssel zum Verschlüsseln oder Prüfen von Signaturen sowie einen privaten Schlüssel zum Entschlüsseln oder Signieren von Daten. Obwohl der private Schlüssel geheim gehalten wird, ist es mit Quantencomputern höchstwahrscheinlich möglich, diesen aus dem öffentlichen Schlüssel in kürzester Zeit zu berechnen und die Verschlüsselung zu knacken.

Hacker könnten dann leichtes Spiel haben, um an geschäftskritische Informationen zu gelangen oder Software-Updates übers Netz zu manipulieren. Gelingt es Angreifern beispielsweise, eine Hintertür während eines Updates einer Steuerungssoftware für eine Industrieanlage oder für ein Auto einzuschleusen, könnten sie die komplette Kontrolle über beide Systeme übernehmen.