Können Quantencomputer sämtliche Kryptographie knacken?

Beitrag teilen

Quantencomputer sind in der Lage, die heutzutage meist verwendeten Public-Key-Verfahren vollständig und unumkehrbar zu brechen. Post-Quanten-Kryptographie kann dies verhindern. Aber wie sicher sind die neuen Verfahren und was ist bei ihrer Implementierung zu beachten?

Was vor einigen Jahren noch nach Science-Fiction klang, ist mittlerweile in greifbare Nähe gerückt: Quantencomputer, die mit einer bisher ungekannten Rechenleistung die heutige Kryptographie – und damit die gesamte digitale Infrastruktur – gefährden.

Anzeige

Quantencomputer: Die Gefahr, die aus der Zukunft kommt

Zwar werden bis zu einem flächendeckenden Einsatz wohl noch einige Jahre vergehen, dennoch gilt es für Unternehmen, sich sicherheitstechnisch bereits jetzt auf das Quantenzeitalter vorzubereiten. Mithilfe von Quantencomputer-resistenten Verschlüsselungsverfahren ist es heute schon möglich, die Vertraulichkeit und den Schutz von Informationen auch langfristig zu gewährleisten. Die sogenannte Post-Quanten-Kryptographie greift hierfür auf kryptographische Methoden zurück, die sowohl sicher gegenüber Angriffen mit Quantencomputern als auch gegenüber klassischen Angriffen sind.

Post-Quanten-Algorithmen als neue Verschlüsselung

2016 initiierte das US-amerikanische National Institute of Standards and Technology (NIST) einen Standardisierungsprozess, dessen Ziel es ist, mehrere Post-Quanten-Algorithmen für den Schlüsselaustausch und die digitale Signatur zu prüfen und zu standardisieren. Sieben Finalisten zogen dabei im vergangenen Jahr in die dritte und letzte Runde des Prozesses ein. Darunter unter anderem auch CRYSTALS-Kyber, ein gitterbasierter Algorithmus, der sich für die Verschlüsselung von Informationen die Komplexität von Gittern und damit ein schwieriges mathematisches Problem zu Nutze macht. Aber wie sicher ist dieser potenzielle Post-Quanten-Standard wirklich? Diese Frage haben sich IT-Sicherheitsexpert:innen der TÜV Informationstechnik GmbH (TÜViT) gestellt und CRYSTALS-Kyber genauer unter die Lupe – bzw. das Oszilloskop – genommen.

Post-Quanten-Sicherheit am Beispiel CRYSTALS-Kyber

Das Projekt-Team, bestehend aus Hauke Malte Steffen, Lucie Johanna Kogelheide und Timo Bartkewitz, untersuchte dabei einen Chip, auf dem der Post-Quanten-Algorithmus, wie vom Entwickler vorgesehen, implementiert wurde. Für die Prüfung des Chips legten sie zugrunde, was aus der klassischen Kryptographie bereits bekannt ist: Die Tatsache, dass aktuelle kryptographische Verfahren durch die Ausnutzung von Seitenkanälen angegriffen werden können.

„Im Fokus stand die Frage, ob wir trotz quantensicherer Verschlüsselung auf die eigentlich vertraulichen Daten des Chips zugreifen können“, erklärt Hauke Malte Steffen, Werkstudent der Abteilung Hardware Evaluation bei TÜViT. „Dazu haben wir in unserem Hardwarelabor den Strom gemessen, den der Chip während der Nachrichtenverschlüsselung verbraucht. Hintergrund ist, dass unterschiedliche Operationen auch zu einem unterschiedlichen Stromverbrauch führen, durch den wir wiederum Rückschlüsse auf die verschlüsselten Daten ziehen können.“ Mit Erfolg: Denn den IT-Sicherheitsexpert:innen gelang es, die Referenzimplementierung von CRYSTALS-Kyber anzugreifen und die Daten entsprechend auszulesen.

In einem nächsten Schritt überlegte sich das Projekt-Team deshalb, wie der gitterbasierte Algorithmus sicher implementiert werden kann. In diesem Rahmen entwickelten sie vier verschiedene Implementierungen mit einem jeweils komplexeren Grad an Gegenmaßnahmen. Darunter beispielsweise das Erstellen eines Dummys oder die Randomisierung von Bits. Das Ergebnis: Bereits die erste Stufe reduzierte die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich, die vierte Implementierung verhinderte diesen gänzlich.

Mehr bei TUVit.de

 


Über TÜV Informationstechnik

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen