Können Quantencomputer sämtliche Kryptographie knacken?

Anzeige

Beitrag teilen

Quantencomputer sind in der Lage, die heutzutage meist verwendeten Public-Key-Verfahren vollständig und unumkehrbar zu brechen. Post-Quanten-Kryptographie kann dies verhindern. Aber wie sicher sind die neuen Verfahren und was ist bei ihrer Implementierung zu beachten?

Was vor einigen Jahren noch nach Science-Fiction klang, ist mittlerweile in greifbare Nähe gerückt: Quantencomputer, die mit einer bisher ungekannten Rechenleistung die heutige Kryptographie – und damit die gesamte digitale Infrastruktur – gefährden.

Anzeige

Quantencomputer: Die Gefahr, die aus der Zukunft kommt

Zwar werden bis zu einem flächendeckenden Einsatz wohl noch einige Jahre vergehen, dennoch gilt es für Unternehmen, sich sicherheitstechnisch bereits jetzt auf das Quantenzeitalter vorzubereiten. Mithilfe von Quantencomputer-resistenten Verschlüsselungsverfahren ist es heute schon möglich, die Vertraulichkeit und den Schutz von Informationen auch langfristig zu gewährleisten. Die sogenannte Post-Quanten-Kryptographie greift hierfür auf kryptographische Methoden zurück, die sowohl sicher gegenüber Angriffen mit Quantencomputern als auch gegenüber klassischen Angriffen sind.

Post-Quanten-Algorithmen als neue Verschlüsselung

2016 initiierte das US-amerikanische National Institute of Standards and Technology (NIST) einen Standardisierungsprozess, dessen Ziel es ist, mehrere Post-Quanten-Algorithmen für den Schlüsselaustausch und die digitale Signatur zu prüfen und zu standardisieren. Sieben Finalisten zogen dabei im vergangenen Jahr in die dritte und letzte Runde des Prozesses ein. Darunter unter anderem auch CRYSTALS-Kyber, ein gitterbasierter Algorithmus, der sich für die Verschlüsselung von Informationen die Komplexität von Gittern und damit ein schwieriges mathematisches Problem zu Nutze macht. Aber wie sicher ist dieser potenzielle Post-Quanten-Standard wirklich? Diese Frage haben sich IT-Sicherheitsexpert:innen der TÜV Informationstechnik GmbH (TÜViT) gestellt und CRYSTALS-Kyber genauer unter die Lupe – bzw. das Oszilloskop – genommen.

Anzeige

Post-Quanten-Sicherheit am Beispiel CRYSTALS-Kyber

Das Projekt-Team, bestehend aus Hauke Malte Steffen, Lucie Johanna Kogelheide und Timo Bartkewitz, untersuchte dabei einen Chip, auf dem der Post-Quanten-Algorithmus, wie vom Entwickler vorgesehen, implementiert wurde. Für die Prüfung des Chips legten sie zugrunde, was aus der klassischen Kryptographie bereits bekannt ist: Die Tatsache, dass aktuelle kryptographische Verfahren durch die Ausnutzung von Seitenkanälen angegriffen werden können.

„Im Fokus stand die Frage, ob wir trotz quantensicherer Verschlüsselung auf die eigentlich vertraulichen Daten des Chips zugreifen können“, erklärt Hauke Malte Steffen, Werkstudent der Abteilung Hardware Evaluation bei TÜViT. „Dazu haben wir in unserem Hardwarelabor den Strom gemessen, den der Chip während der Nachrichtenverschlüsselung verbraucht. Hintergrund ist, dass unterschiedliche Operationen auch zu einem unterschiedlichen Stromverbrauch führen, durch den wir wiederum Rückschlüsse auf die verschlüsselten Daten ziehen können.“ Mit Erfolg: Denn den IT-Sicherheitsexpert:innen gelang es, die Referenzimplementierung von CRYSTALS-Kyber anzugreifen und die Daten entsprechend auszulesen.

In einem nächsten Schritt überlegte sich das Projekt-Team deshalb, wie der gitterbasierte Algorithmus sicher implementiert werden kann. In diesem Rahmen entwickelten sie vier verschiedene Implementierungen mit einem jeweils komplexeren Grad an Gegenmaßnahmen. Darunter beispielsweise das Erstellen eines Dummys oder die Randomisierung von Bits. Das Ergebnis: Bereits die erste Stufe reduzierte die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich, die vierte Implementierung verhinderte diesen gänzlich.

Mehr bei TUVit.de

 


Über TÜV Informationstechnik

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.


 

Passende Artikel zum Thema

REvil: Bilanz einer Bande Cyber-Erpresser

REvil war eine der produktivsten Ransomware-as-a-Service-Kampagnen der jüngsten Vergangenheit. Zu ihren Opfern zählten weltweit Tausende Technologieunternehmen, Managed-Service-Provider und Betriebe aus ➡ Weiterlesen

Chronologie eines Angriffs mit Midas Ransomware

Das Problem ungenutzter und vergessener Tools – Chronologie eines Angriffs mit Midas Ransomware. Das Sophos Rapid-Response-Team beschreibt, wie Cyberkriminelle in einem ➡ Weiterlesen

Einfache E-Mail-Verschlüsselung mit QUICK

Cryptshare erhält Patent für einfache, verschlüsselte Kommunikation. In Deutschland entwickelte QUICK Technology wurde nun patentiert. Die Technologie für E-Mail-Verschlüsselung stellt ➡ Weiterlesen

ThycoticCentrify verbessert die Benutzerfreundlichkeit des Secret Server

Verbesserte Benutzerfreundlichkeit des Secret Server durch eine automatisierte und vereinfachte Verwaltung von Secrets: Mit neuen Sicherheitskontrollen, Automatisierungsfunktionen und Design-Updates bietet die ➡ Weiterlesen

Sicherer E-Mail-Versand in der Cloud gewinnt an Bedeutung

2021 ist die E-Mail 50 Jahre alt geworden. In dieser Zeit hat sie sich längst als Hauptkommunikationsmittel im Business-Alltag etabliert ➡ Weiterlesen

Tausende unsichere Webserver bei beliebten Websites

TLS Telemetry Report 2021 analysiert Verschlüsselung und Zertifikate. Mehr als die Hälfte aller Webserver erlauben immer noch den Einsatz von unsicheren ➡ Weiterlesen

Pflegedienste: Personendaten von Pflegebedürftigen und Personal rechtssicher verwalten

Pflegedienste unterliegen seit 2018 den strengen Vorschriften der Datenschutz-Grundverordnung (DSGVO). Doch viele Anbieter nehmen die damit verbundenen Auflagen beim Datenschutz ➡ Weiterlesen

Leitfaden zum aktuellen Stand der quantensicheren Kryptografie

Das BSI, das Bundesamts für Sicherheit in der Informationstechnik, veröffentlicht einen Leitfaden zum aktuellen Stand der quantensicheren Kryptografie. Der Bericht ➡ Weiterlesen