Können Quantencomputer sämtliche Kryptographie knacken?

Beitrag teilen

Quantencomputer sind in der Lage, die heutzutage meist verwendeten Public-Key-Verfahren vollständig und unumkehrbar zu brechen. Post-Quanten-Kryptographie kann dies verhindern. Aber wie sicher sind die neuen Verfahren und was ist bei ihrer Implementierung zu beachten?

Was vor einigen Jahren noch nach Science-Fiction klang, ist mittlerweile in greifbare Nähe gerückt: Quantencomputer, die mit einer bisher ungekannten Rechenleistung die heutige Kryptographie – und damit die gesamte digitale Infrastruktur – gefährden.

Quantencomputer: Die Gefahr, die aus der Zukunft kommt

Zwar werden bis zu einem flächendeckenden Einsatz wohl noch einige Jahre vergehen, dennoch gilt es für Unternehmen, sich sicherheitstechnisch bereits jetzt auf das Quantenzeitalter vorzubereiten. Mithilfe von Quantencomputer-resistenten Verschlüsselungsverfahren ist es heute schon möglich, die Vertraulichkeit und den Schutz von Informationen auch langfristig zu gewährleisten. Die sogenannte Post-Quanten-Kryptographie greift hierfür auf kryptographische Methoden zurück, die sowohl sicher gegenüber Angriffen mit Quantencomputern als auch gegenüber klassischen Angriffen sind.

Post-Quanten-Algorithmen als neue Verschlüsselung

2016 initiierte das US-amerikanische National Institute of Standards and Technology (NIST) einen Standardisierungsprozess, dessen Ziel es ist, mehrere Post-Quanten-Algorithmen für den Schlüsselaustausch und die digitale Signatur zu prüfen und zu standardisieren. Sieben Finalisten zogen dabei im vergangenen Jahr in die dritte und letzte Runde des Prozesses ein. Darunter unter anderem auch CRYSTALS-Kyber, ein gitterbasierter Algorithmus, der sich für die Verschlüsselung von Informationen die Komplexität von Gittern und damit ein schwieriges mathematisches Problem zu Nutze macht. Aber wie sicher ist dieser potenzielle Post-Quanten-Standard wirklich? Diese Frage haben sich IT-Sicherheitsexpert:innen der TÜV Informationstechnik GmbH (TÜViT) gestellt und CRYSTALS-Kyber genauer unter die Lupe – bzw. das Oszilloskop – genommen.

Post-Quanten-Sicherheit am Beispiel CRYSTALS-Kyber

Das Projekt-Team, bestehend aus Hauke Malte Steffen, Lucie Johanna Kogelheide und Timo Bartkewitz, untersuchte dabei einen Chip, auf dem der Post-Quanten-Algorithmus, wie vom Entwickler vorgesehen, implementiert wurde. Für die Prüfung des Chips legten sie zugrunde, was aus der klassischen Kryptographie bereits bekannt ist: Die Tatsache, dass aktuelle kryptographische Verfahren durch die Ausnutzung von Seitenkanälen angegriffen werden können.

„Im Fokus stand die Frage, ob wir trotz quantensicherer Verschlüsselung auf die eigentlich vertraulichen Daten des Chips zugreifen können“, erklärt Hauke Malte Steffen, Werkstudent der Abteilung Hardware Evaluation bei TÜViT. „Dazu haben wir in unserem Hardwarelabor den Strom gemessen, den der Chip während der Nachrichtenverschlüsselung verbraucht. Hintergrund ist, dass unterschiedliche Operationen auch zu einem unterschiedlichen Stromverbrauch führen, durch den wir wiederum Rückschlüsse auf die verschlüsselten Daten ziehen können.“ Mit Erfolg: Denn den IT-Sicherheitsexpert:innen gelang es, die Referenzimplementierung von CRYSTALS-Kyber anzugreifen und die Daten entsprechend auszulesen.

In einem nächsten Schritt überlegte sich das Projekt-Team deshalb, wie der gitterbasierte Algorithmus sicher implementiert werden kann. In diesem Rahmen entwickelten sie vier verschiedene Implementierungen mit einem jeweils komplexeren Grad an Gegenmaßnahmen. Darunter beispielsweise das Erstellen eines Dummys oder die Randomisierung von Bits. Das Ergebnis: Bereits die erste Stufe reduzierte die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich, die vierte Implementierung verhinderte diesen gänzlich.

Mehr bei TUVit.de

 


Über TÜV Informationstechnik

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen