Wetten auf die Naturgesetze

Kaum ein Thema bewegt die Gemüter so sehr wie Datensicherheit, kein Wunder, hinterlassen wir Menschen im Digitalzeitalter doch zahlreiche Informationen auf unseren Festplatten, Online-Konten, Social Media-Auftritten oder verschiedenen Datenbanken. Das betrifft einerseits harmlose Infos, wie etwa unsere präferierten Katzen-Videos, andererseits aber auch sensible Daten, zum Beispiel medizinische oder finanzielle Informationen.

Bei der Frage, wer Zugriff auf unsere Geheimnisse hat, wollen wir eigentlich auf Nummer Sicher gehen. Darum benutzen wir Verschlüsselungsverfahren, um im Internet Daten auszutauschen oder unsere Festplatten zu sichern. Das Problem: Bisher beruhen unsere Verschlüsselungen auf Wetten, deren Quoten sich durch Quantencomputer massiv verschlechtern. Expert*innen der Uni Wien aus Informatik und Quantenphysik erklären für Rudolphina, was das für unsere digitale Sicherheit bedeutet.

Nehmen wir beispielsweise an, wir wollen übers Internet Geheimnisse kommunizieren. Das bedeutet, dass Informationen über einen öffentlich zugänglichen Kanal verschickt werden sollen, aber nur Sender und Empfänger diese Daten auch lesen können. Eine gängige Methode, dies zu erreichen, nutzt zwei verschiedene Schlüssel, einen privaten, und einen öffentlichen.

Zwei Schlüssel

Das Verfahren läuft so ab: Zunächst erzeugen wir mithilfe einer mathematischen Operation aus dem privaten Schlüssel den öffentlichen Schlüssel, den wir daraufhin an unsere Kommunikationspartner schicken – und damit an alle Welt. Unser Partner sendet uns die mithilfe des öffentlichen Schlüssels gesicherte Nachricht, wieder über einen öffentlichen Kanal. Doch nur wir können die Nachricht mit dem privaten Schlüssel entziffern.

Die Crux liegt in der Wahl der mathematischen Operation: "Für solche Verschlüsselungssysteme brauchen wir Rechenprobleme, die nur dann leicht zu lösen sind, wenn ich den privaten Schlüssel habe", sagt Karen Azari, Assistenzprofessorin an der Fakultät für Informatik der Uni Wien und Expertin für Kryptographie. Ein Beispiel für ein solches Problem ist, dass man zwei große Primzahlen schnell miteinander multiplizieren kann, es jedoch äußerst kompliziert ist, die Ausgangszahlen aus dem Ergebnis zurückzugewinnen.

Auf der Annahme, dass dieses Faktorisierung genannte Problem für mögliche Eindringlinge praktisch nicht lösbar ist, beruht etwa die allgegenwärtige RSA-Verschlüsselung, die jedoch nur ein Beispiel für die oben geschilderten Verfahren ist, die einen öffentlichen Schlüssel benutzen. Auch andere Methoden, wie sie etwa für digitale Signaturen oder andere kryptographische Situationen zum Einsatz kommen, teilen sich denselben konzeptionellen Kern: Die Sicherheit unserer digitalen Kommunikation basiert auf mathematischen Problemen, von denen wir glauben, dass sie für Eindringlinge nur in sehr langer Zeit zu knacken sind.

Problematische Annahmen

Doch wie groß müsste ich etwa die beiden Zahlen wählen, um die Sicherheit der RSA-Verschlüsselung zu gewährleisten? "Hier liegt das Hauptproblem, an dem ich arbeite", sagt Azari. "Wir verwenden in der Praxis Parameter, für die wir eigentlich keine Sicherheit beweisen können. Das heißt, wir können nur ein zu niedriges Sicherheitslevel garantieren."

Aus der Theorie kommend, kann die Informatikerin Parameter angeben, für die die Verschlüsselung sicher wäre – auch wenn es hier noch Forschungsbedarf gibt, wie die Expertin für Kryptographie ausführt: "Wir Kryptographen wollen nicht nur Sicherheit gegen bereits bekannte Angriffsmethoden bieten, sondern auch gegen zukünftige. Dabei machen wir uns zunutze, dass jeder Angriff auf das kryptographische Verfahren in eine 'Attacke' auf das zugrundeliegende Rechenproblem umgewandelt werden könnte. Aus dieser Übersetzung von einem kryptographischen Angriff in die Lösung eines Rechenproblems – etwa effiziente Faktorisierung ‒ leiten wir dann sichere Parameter für das kryptographische Verfahren ab."

Karen Azari arbeitet daran, ebendiese Übersetzungen zu verbessern, um die kleinstmöglichen Parameter zu finden, die Abhörsicherheit garantieren: "Gibt es Sicherheitsverluste in der Übersetzung, so werde ich am Ende größere Parameter empfehlen müssen, als es praktisch umsetzbar ist." Doch auch diese Sicherheitsanalysen beruhen auf Annahmen über die Lösbarkeit mathematischer Probleme. Aber was, wenn die Annahmen nicht mehr halten?

Bedrohung Quantencomputer

"Die meisten Systeme, die wir verwenden, beruhen auf Rechenproblemen, für die es effiziente Angriffe gäbe, wenn der Angreifer einen leistungsstarken Quantencomputer zur Verfügung hat", stellt Azari fest. Verwenden wir also unsere gewohnten Verschlüsselungsverfahren, gehen wir nicht nur die Wette ein, dass niemand einen solchen Quantenrechner besitzt, sondern auch, dass sich das nie ändern wird: Hacker könnten schon jetzt massenhaft verschlüsselte Daten speichern und in Zukunft mit Quanten-Algorithmen auslesen.

Freilich, diese Tatsache ist kein Grund für Alarmismus, stecken Quantencomputer doch noch in den Kinderschuhen. Jedoch gerade für Daten, die auf lange Sicht geheim bleiben müssen, etwa medizinische oder militärische Informationen, stellen Quantencomputer eine Gefahr dar, die Sicherheitsexpert*innen durchaus ernst nehmen. Eine mögliche Lösung sind dabei kryptographische Verfahren, die auf Problemen basieren, für die Quantenalgorithmen nicht nützlich sind – man spricht von Post-Quantum-Verfahren.

"Grundsätzlich migrieren viele Systeme bereits heute zu solchen Post-Quantum-Verfahren", sagt Azari. "Es werden auch hybride Methoden entwickelt, die sicher sind, solange das klassische System nicht geknackt oder das Post-Quantum-Problem nicht gelöst wurde. Beides hat den Vorteil, dass wir unsere physische Infrastruktur nicht ändern müssen, doch es fehlt wieder an Sicherheitsbeweisen."

Quanten gegen Quanten

Auch Post-Quantum-Kryptographie beruht letztlich auf mathematischen Problemen. "Theoretisch könnten schnellere klassische Algorithmen oder neue Rechenparadigmen auch diese Art der Verschlüsselung knacken", sagt Mathieu Bozzio, theoretischer Quantenphysiker an der Universität Wien. Bozzio und seine Kolleg*innen verfolgen daher einen anderen Ansatz: Was, wenn wir für unsere Datensicherheit keine Wette eingehen müssten?

Dieser Gedanke steckt hinter der Quantenkryptographie, die sich in erster Linie zwei Eigenschaften von Quantensystemen zunutze macht: "Zum einen ist es quantenphysikalisch unmöglich, ein unbekanntes System perfekt zu kopieren", erklärt Bozzio. "Wenn ich nichts über ein Quantenteilchen weiß, kann ich nicht zwei dieser Partikel erzeugen, die exakt dieselbe Information tragen." Diese Tatsache stellt einen fundamentalen Bruch zur klassischen Kryptographie dar, wo unbekannte Nachrichten ohne Probleme vervielfältigt werden können.

"Zum anderen herrscht in der Quantenphysik die Unschärferelation: Wenn Sie versuchen, eine Messung an einem Partikel durchzuführen, werden Sie einen Teil der Information zerstören, die das Teilchen trägt", ergänzt der Physiker. Gemeinsam mit Effekten wie der Verschränkung ergeben sich somit unterschiedliche Möglichkeiten, mithilfe von Quanteneffekten der Bedrohung durch Quantencomputer entgegenzutreten.
 

Vielfältige Quantenkrypto

So schlugen Physiker*innen bereits in den 1980er und 90ern vor, mithilfe von Lichtteilchen direkt geheime Schlüssel zu erzeugen. Dieser Quantenschlüsselaustausch hätte den Vorteil, dass jeglicher Versuch, den Schlüssel auszuspionieren, auffliegen muss, und zwar aufgrund der beteiligten Naturgesetze. Hier ist also keine Annahme über mathematische Probleme das Sicherheitsversprechen, einzig die Gültigkeit der Physik – eine sichere Wette.

"Dass uns Quantenkryptographie nachweisbare Sicherheit auf Basis der Naturgesetze bietet, macht sie so wertvoll", meint Bozzio. Darüber hinaus biete dieses Feld noch zahlreiche andere Verfahren, die klassisch nicht möglich wären und weit über Quantenschlüsselaustausch hinausgehen, wie der Physiker ausführt: "Wir können etwa einen Schlüssel delokalisieren, er läge dann gleichzeitig auf verschiedenen Servern. Wird so ein Server gehackt, sind die Daten noch immer sicher." Eine andere mögliche Anwendung sieht Mathieu Bozzio etwa in der Blockchain-Technologie ‒ Quantenkryptographie könnte diese resilienter gegenüber Manipulationsversuchen machen.

Der Nachteil: Quantenkryptographie benötigt im Allgemeinen eine andere Hardware, die bisher noch anfällig für Signal-Verluste und Störungen ist. Hier könnte aber die industrielle Forschung zu marktreifen Produkten beitragen.

Sicherheitsrisiko Mensch

Dabei nimmt auch die Universität Wien eine Vorreiterrolle ein, aus deren Gruppe Quantenoptik, Quantennanophysik und Quanteninformation bereits erfolgreiche Start-Ups ausgegründet wurden, zuletzt aus den Forschungsgruppen rund um Borivoje Dakić und Philip Walther. Mit QUBO wollen die Fachleute quantenbasierte Lösungen zur Sicherung des Zahlungsverkehrs sowie zur Beschleunigung von Computerchips anbieten.

Scheint also Post-Quantum-Verschlüsselung bei öffentlicher Kommunikation das Mittel der Wahl zu sein, hat die Physik Ansätze auf Lager, die unsere Privatsphäre auf Dauer schützen – sogar ohne Wetten eingehen zu müssen. Zumindest solange wir verantwortungsvoll mit unseren Daten umgehen. Denn befindet sich die größte Sicherheitslücke nicht zwischen Tastatur und Sessel, also bei Menschen, die glauben, dass ‚1234‘ ein geeignetes Passwort wäre? Ist denn gegen das Risiko Mensch ein Kraut gewachsen?

"Auch wenn sehr einfache Passwörter niemals hohe Sicherheit bieten können, gibt es kryptografische Mechanismen, die Angriffe selbst bei unsicheren Passwörtern sehr kostspielig machen. In einem gut konzipierten System würden Passwörter auch niemals im Klartext gespeichert werden". Bozzio will das Problem umgehen: "Wir könnten Passwörter mit einem Quanten-Zufallsgenerator erstellen, der darauf getestet werden kann, ob er wirklich Zufallszahlen ausgibt." Quantenphysik wirkt also auch gegen menschliches Versagen.