Warum, wann und wie Unternehmen ihre Kryptografie auf quantencomputersichere Post-Quanten-Kryptografie umstellen sollten: Countdown zum Q-Day

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die meisten Menschen denken bei Kryptografie zuerst an Verschlüsselung zur Sicherung der Vertraulichkeit von Daten und bei Verschlüsselung an symmetrische Verschlüsselung, bei der zum Entschlüsseln derselbe Schlüssel wie zum Verschlüsseln benutzt wird. Das mit Abstand verbreitetste symmetrische Verschlüsselungsverfahren ist AES (Advanced Encryption Standard), welches effizient und sehr sicher ist, und mit genügend langem Schlüssel (AES-256) auch als sicher gegen Quantencomputer gilt. Wenn zwei Parteien verschlüsselt kommunizieren wollen, stehen sie jedoch vor dem Problem, dass sie vorher ein gemeinsames Passwort für die AES-Verschlüsselung austauschen müssen.

Hierfür und für viele andere Zwecke wird asymmetrische Public-Key-Kryptografie eingesetzt. Dabei besitzt jeder Nutzer ein Schlüsselpaar aus zwei Schlüsseln, seinem geheimen Private Key und einem öffentlich bekannten Public Key. Mittels des eigenen Private Keys und des Public Keys des Gegenübers können zwei Parteien verschlüsselt und authentifiziert miteinander kommunizieren, ohne zuvor einen gemeinsamen symmetrischen Schlüssel ausgetauscht zu haben.

Nun könnten beide Parteien ihre gesamte Kommunikation mittels Public-Key-Kryptografie verschlüsseln. Allerdings benötigen Public-Key-Verschlüsselungsverfahren wesentlich mehr Rechenleistung und produzieren deutlich größere verschlüsselte Dateien als eine symmetrische AES-Verschlüsselung. Daher werden Public-Key-Schlüsselaustauschverfahren (Key Exchange Mechanism, KEM) genutzt, um am Anfang einer Kommunikation einen symmetrischen AES-Schlüssel zwischen den Parteien auszutauschen. Die Nutzdaten werden dann mit diesem Schlüssel effizient AES-verschlüsselt übertragen. Ein weiterer wichtiger Anwendungsfall von Public-Key-Kryptografie sind digitale Unterschriften.

Mittels des Public Keys des Unterzeichners kann der Leser eines Dokuments prüfen, ob die mit einer digitalen Unterschrift versehene Datei wirklich vom angeblichen Unterzeichner stammt und unverändert ist. Das wird nicht nur für digitale Verträge via Docusign oder vergleichbarer Dienste verwendet, sondern zum Beispiel auch für digitale Zertifikate zur eindeutigen Identifizierung von Servern und Geräten im Intranet und Internet oder zur Sicherung der Authentizität und Integrität von Softwareupdates.

Die Sicherheit und die Quantencomputer

Die Sicherheit der Public-Key-Kryptografie beruht darauf, dass es sehr schwierig – in der Praxis mit dem maximal zu erwartenden Aufwand eines Angreifers unmöglich – sein muss, aus dem Public Key den Private Key des Schlüsselpaares zu berechnen. Daher werden Public-Key-Kryptografieverfahren so entwickelt, dass eine kleine Vergrößerung der Schlüssellänge nur zu einer ebenso kleinen Vergrößerung des Ver- und Entschlüsselungsaufwands führt, aber der Aufwand zur Berechnung des Private Keys aus dem Public Key überproportional steigt, typischerweise exponentiell mit der Schlüsselgröße. Dadurch kann man mit gut handhabbaren Schlüssellängen hochsichere Kryptografie realisieren. Zumindest gegen Angriffe durch klassische Computer. Was Quantencomputer für Forschung und Industrie so attraktiv macht: Sie sind nicht einfach nur schnellere Versionen klassischer Computer, sondern eine vollkommen neue, disruptive Technologie, die auf der Quantenphysik basiert.

Sie können bestimmte Klassen mathematischer Probleme lösen, die auf klassischen Computern nicht lösbar sind, weil der Lösungsaufwand für klassische Computer exponentiell mit der Komplexität des Problems steigt, während er für Quantencomputer nur polynomiell wächst. Den Algorithmus, mit dem Quantencomputer die heutigen Verfahren der Public-Key-Kryptografie brechen können, hat der amerikanische Mathematiker Peter Shor bereits 1994 veröffentlicht.

Wann ist Q-Day und welche Bedrohung existiert schon heute?

Wann genau der erste kryptografisch relevante, also eine Verschlüsselung brechende Quantencomputer verfügbar sein wird, kann nur geschätzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betonte in einer detaillierten Studie im August 2024, „dass die Quanteninformatik stetige Fortschritte in Richtung kryptoanalytischer Relevanz macht“ und hält es für „wahrscheinlich, dass selbst ohne Disruptionen ein krypotanalytisch relevanter Quantencomputer in höchstens 16 Jahren realisierbar ist.“ Neue disruptive Entwicklungen könnten „dies deutlich auf knapp zehn Jahre beschleunigen.“[5] Das deckt sich gut mit der jährlich aktualisierten Expertenbefragung des Global Risk Institutes, die in ihrer 2024er-Ausgabe eine Wahrscheinlichkeit von 19 bis 34 Prozent bis zum Jahr 2034 und 60 bis 82 Prozent bis zum Jahr 2044 angibt.[11]

Je nach Sicherheitsbedarf beziehungsweise Risikotoleranz sollte also mit einem Q-Day zwischen 2033 und spätestens 2040 geplant werden. Für langfristig vertrauliche Daten besteht schon heute eine Gefahr: Bei einem „Store now, decrypt later“-Angriff wird nicht quantencomputersicher verschlüsselte Kommunikation mitgeschnitten und gespeichert, um sie in Zukunft mithilfe eines dann verfügbaren Quantencomputers zu entschlüsseln und die enthaltenen Daten zu missbrauchen.

Quantencomputersichere Kryptographie

Angesichts der Fortschritte in der Entwicklung von Quantencomputern hat das US-amerikanische National Institute of Standards and Technology (NIST) im Jahr 2016 ein weltweites Projekt zur Erforschung und Standardisierung von neuen, quantencomputersicheren Public-Key-Kryptografieverfahren gestartet, welche die heutigen Verfahren ersetzen sollen. Drei Post-Quanten-Kryptografie-(PQC)-Verfahren wurden im August 2024 standardisiert, ein weiteres soll im Jahr 2025 folgen.

Die neuen Standards sind [12]:

• ML-KEM (FIPS 203), Module-Lattice-Based Key-Encapsulation Mechanism Standard
• ML-DSA (FIPS 204), Module-Lattice-Based Digital Signature Standard
• SLH-DSA (FIPS 205), Stateless Hash-Based Digital Signature Standard
• FN-DSA (draft FIPS 206), Fast Nominative Digital Signature Algorithm

Wie bereits erwähnt, beruhen sie auf anderen mathematischen Problemen als die klassischen Public-Key-Algorithmen, um auch Quantencomputerangriffen zu trotzen.

ML-KEM und ML-DSA basieren auf multidimensionalen Gittern (Lattices). Sie sind die vom NIST empfohlenen Verfahren für den Schlüsselaustausch beziehungsweise für digitale Unterschriften, da sie im Vergleich zu den meisten anderen Post-Quantum-Kryptoverfahren relativ geringe Anforderungen an die Rechenleistung und die Schlüsselgröße stellen. Dadurch eignen sie sich für den Einsatz in den meisten bestehenden IT-Infrastrukturen. SLH-DSA und FN-DSA sind alternative Standards für digitale Unterschriften. Weitere NIST-Standards, die für spezielle Anwendungsfälle optimiert sind, werden in den nächsten Jahren in der kommenden Runde des NIST-PQC-Projekts erwartet. Diese sollten jedoch keinesfalls die Einführung der oben genannten Standards verzögern. Unternehmen sollten nicht auf weitere Standards warten.

Neben den NIST-PQC-Standards sind weitere quantencomputersichere Kryptografieverfahren:

• LMS und XMSS (NIST SP 800-208), Stateful-Hash-basierte digitale Signaturen, besonders geeignet für signierte sichere Softwareupdates und sicheres Booten,
• FrodoKEM und Classic McEliece, zwei zuverlässig erforschte Schlüsselaustausch-Verfahren, mit den Nachteilen sehr großer Schlüssellängen und fehlender Standardisierung.

Quanten-Schlüsselverteilung

Als Alternative für PQC-Schlüsselaustauschverfahren wird auch der Schlüsselaustausch mittels Quanten (Quantum Key Distribution, QKD) entwickelt. Der Reiz liegt darin, dass aufgrund der Gesetze der Quantenphysik ein Abhören der Schlüsselübertragung durch Dritte sofort erkannt würde.

Um es aber klar auf den Punkt zu bringen: QKD ist keine Alternative zu PQC und ist in den meisten Anwendungsfällen nicht nutzbar. Das bekräftigt auch ein Positionspapier des BSI gemeinsam mit europäischen Partnerbehörden: „Aufgrund aktueller und grundlegender Einschränkungen kann die Quanten-Schlüsselverteilung derzeit nur in einigen Nischenanwendungen praktisch eingesetzt werden. Für die überwiegende Mehrheit der Anwendungsfälle, in denen derzeit klassische Verfahren zur Schlüsselvereinbarung verwendet werden, ist der praktische Einsatz von QKD nicht möglich.

Darüber hinaus ist QKD aus sicherheitstechnischer Sicht noch nicht ausreichend ausgereift.”[3] QKD kann jedoch für bestimmte Anwendungen in Kernnetzen, zum Beispiel zwischen großen Niederlassungen von Banken, als zusätzliche Sicherheitsschicht zusammen mit Post-Quanten-Kryptografie genutzt werden.

Muss I denn, muss ich denn zur Post-Quantenkryptografie hinaus?

Auch aus Sicht des BSI „steht die Frage, ob oder wann es Quantencomputer geben wird, nicht mehr im Vordergrund. Erste Post-Quantenverfahren wurden von NIST zur Standardisierung ausgewählt und Post-Quanten-Kryptografie wird standardmäßig eingesetzt werden. Deshalb sollte die Migration zu Post-Quanten-Kryptografie vorangetrieben werden.“ [1]

Zusammen mit Partnern aus 17 weiteren Mitgliedstaaten der Europäischen Union hat das BSI im November 2024 eine gemeinsame Erklärung zum Thema Post-Quanten-Kryptografie veröffentlicht. Darin fordern sie von Wirtschaft, Betreibern kritischer Infrastruktur sowie der öffentlichen Verwaltung, den Übergang zu Post-Quanten-Kryptografie einzuleiten und beschreiben die notwendigen Schritte dafür [2]. Auch die Europäische Kommission hat im April 2024 allen Mitgliedstaaten empfohlen, eine umfassende Strategie für die Einführung der Post-Quanten-Kryptografie zu entwickeln. [13]

Weiterhin wird eine robuste Cybersicherheit, zu der auch die Kryptografie gehört, von gleich mehreren EU-Verordnungen und Richtlinien gefordert, etwa dem Cyber Resilience Act, der Richtlinie zum Schutz kritischer Infrastrukturen (CER), der Datenschutzgrundverordnung und der NIS-2-Richtlinie. Die Migration zur Post-Quanten-
Kryptografie ist also notwendig – und sie hat bereits begonnen.

Was macht der Rest der Welt?

In den USA ist der Fahrplan für die Migration für alle National Security Systems (NSS), also für alle Systeme, die geheime oder militärische Daten verarbeiten, bereits gesetzlich vorgeschrieben, und das mit einem sehr aggressiven Zeitplan.

Post-Quanten-Kryptografie ist

• ab 2025 Standard für Software/Firmware-Signaturen und Webbrowser,
• ab 2026 Standard für Netzwerktechnik,
• ab 2027 Standard in Betriebssystemen,
• ab 2030 Standard in allen anderen Systemen,
• ab 2033 die einzige erlaubte Kryptografie, auch in Legacy-Systemen.

Weltweit werden die NIST-PQC-Standards in den meisten Staaten bevorzugt, mit China und Südkorea als erwähnenswerte Ausnahmen (siehe Tabelle 1). Auch viele kommerzielle Unternehmen wie Apple (iMessage), Google (Chrome Browser), Signal, Meta, Zoom und Cloudflare haben die Einführung von Post-Quanten-Kryptografie auf Basis der NIST-PQC-Standards bereits begonnen oder schon ausgerollt.

Praktische Empfehlungen zur Migration

Vereinfacht gesagt, sind alle obigen Post-Quanten-Kryptografieverfahren ein Ersatz für die klassischen Kryptografieverfahren und könnten in vielen Fällen als Softwareupdate auch auf vorhandene Computer ausgerollt werden. Das ist für einen Hersteller eines proprietären Systems, der beide Kommunikationsendpunkte und das Kommunikationsprotokoll selbst definieren kann, relativ leicht umsetzbar.

In anderen Fällen ist es jedoch komplizierter: Zum einen sind viele Kommunikationsprotokolle nicht auf einen Wechsel der Kryptografie vorbereitet und verstehen die neuen Verfahren bisher nicht. Zum anderen sind in realen Infrastrukturen oft viele unterschiedliche Geräte und Hersteller involviert. Ein Update der Kryptografie muss daher unter temporärer Beibehaltung der Rückwärtskompatibilität schrittweise von allen involvierten Herstellern erfolgen.

Kryptoagilität

Hieraus sollte auch eine deutliche Lehre für die Umsetzung der Migration gezogen werden: die Forderung nach Kryptoagilität. Neue Protokolle und Implementierungen sollten auf einen einfachen Wechsel der Kryptografie vorbereitet werden. Denn es ist für die Zukunft mit weiteren und auch verbesserten PQC-Standards zu rechnen, auf die man jedoch wegen des nahenden Q-Days nicht warten kann.

Bei neu entwickelten Produkten sollte direkt Post-Quanten-Kryptografie implementiert werden, oder zumindest kryptoagil der Updatepfad auf PQC bereits vorgesehen werden. Besonders wichtig ist dies bei langlebigen Produkten zum Beispiel in Industrie, Automobiltechnik, Bahntechnik, Luftfahrt und Militär.

Kryptografie-Inventarliste

Da über Jahrzehnte die Kryptografieverfahren nicht grundlegend geändert wurden, ist Kryptografie in vielen Anwendungen tief eingebettet, und Systemadministratoren wissen meist nicht, wo genau welche Kryptografie verwendet wird. Für viele Unternehmen ist einer der ersten Schritte daher eine detaillierte Analyse ihrer Systeme und das Anlegen einer Kryptografie-Inventarliste, um danach die Migration nach Prioritäten zu planen.

In vielen Fällen wird Kryptografie zudem in Zulieferprodukten (Hardware und Software) eingebettet sein. Diese Zulieferer sollten sowohl zur Krypto-Inventarisierung als auch zur PQC-Migration mit einem zu vereinbarenden Zeitplan aufgefordert werden.

Das passende Kryptografieverfahren Die Auswahl des Verfahrens orientiert sich an den Anforderungen der Anwendung und der Plattform (Funktionalität, Rechenleistung, Bandbreite, Antwortzeiten), Kompatibilitätsanforderungen, gesetzlichen Anforderungen und Marktstandards. Sie ist also meist eine individuelle Entscheidung. Das BSI empfiehlt für allgemeine Anwendungen, die NIST-PQC-Standards in Kombination mit klassischen Verfahren („hybrid“) einzusetzen[4]. Bei einer guten Implementierung verdoppelt diese doppelte Kryptografie den Rechenaufwand angenehmerweise nicht, sondern erhöht ihn nur leicht.

Für den langfristigen Schutz hochvertraulicher Informationen empfiehlt das BSI in seiner Technischen Richtlinie TR-02102-1[4] (Stand Januar 2024, vor Veröffentlichung der NIST-PQC-Standards) derzeit noch FrodoKEM oder Classic McEliece, wobei im Laufe des Jahres 2025 eine Überarbeitung der Richtlinie mit stärkerem Fokus auf die NIST-PQC-Standards erwartet wird.

Praktische Unterstützung bei der Auswahl des Verfahrens bieten zum Beispiel das „PQC Migration Handbook“[9] der Niederländischen Organisation für Angewandte Naturwissenschaftliche Forschung (TNO) sowie mehrere Fachartikel von PQShield.[6, 7, 8]

Robuste Implementierung

Auch wenn die Kryptografieverfahren standardisiert sind, bedeutet das nicht, dass alle standardkonformen Implementierungen gleich gut sind. Selbst eine korrekte Umsetzung des Algorithmus ohne Ausführungsfehler oder Pufferüberläufe reicht oft nicht aus.

Der oft einfachste Weg, eine gute Kryptografie zu brechen, sogar ohne Quantencomputer, ist nicht das Verfahren anzugreifen (den privaten Schlüssel zurückzurechnen), sondern den Schlüssel über Schwächen der konkreten Implementierung aus dem laufenden System zu extrahieren. Seitenkanalangriffe (Side Channel Attacks, SCA) analysieren Zeitverhalten, Stromverbrauch oder elektromagnetische Abstrahlung, um daraus den geheimen Schlüssel zu ermitteln. Bei Fehlerinjektionsangriffen (Fault Injection Attacks) stört der Angreifer absichtlich das System, etwa mit Über- oder Unterspannungen, um geheime Schlüssel oder geschützte Daten offenzulegen.

Falls solche Angriffe zu erwarten sind, sollten dagegen explizit geschützte Implementierungen gewählt werden. Besonders Timing-Side-Channel-Angriffe können auch aus der Ferne, ohne physischen Zugriff auf das Zielsystem, ausgeführt werden und sind daher besonders relevant.

Priorisierung

Vornehmlich sind durch Quantencomputer zunächst die Schlüsselaustauschverfahren bedroht („Store now, decrypt later“ als Bedrohung der Langzeitsicherheit der verschlüsselten Daten). Weniger offensichtlich ist zum Beispiel, dass auch Authentifizierungsprotokolle wie OAuth oder OpenID Connect in ihren ID-Tokens persönlich identifizierbare Daten der Benutzer übertragen können, deren langfristige Vertraulichkeit ebenfalls durch „Store now, decrypt later“-Angriffe gefährdet ist.

Signaturen müssen meistens nur kurzfristig sicher sein. Bei langen Gültigkeitszeiträumen von Signaturschlüsseln, zum Beispiel für digitale Verträge und Blockchains, ist aber auch hier ein frühzeitiger Wechsel notwendig. Zudem muss die Migrationsdauer bedacht werden, die nicht zu knapp und mit Berücksichtigung möglicher Verzögerungen kalkuliert werden sollte. Wann Unternehmen spätestens mit der Migration einer Anwendung beginnen sollten, können sie leicht mit dem Moscas-Theorem berechnen: Startdatum = Q-Day minus Vertraulichkeitsdauer minus Migrationsdauer. Um für komplexere Migrationsszenarien Erfahrungen zu sammeln und Risiken zu minimieren, kann es sinnvoll sein, zügig mit einer einfach zu migrierenden Anwendung zu starten, auch wenn diese nicht die höchste Priorität hat.

Management der Migration

Aufgrund der fundamentalen Bedeutung der Kryptografie für die Cybersicherheit und ihrer breiten Anwendung ist der Migration ein hoher Stellenwert mit entsprechendem Budget, Management und Team einzuräumen. Bei großen Unternehmen kann die Einrichtung eines abteilungsübergreifenden PQC-Migrations-Teams unter Beteiligung des CISOs und des CTOs sinnvoll sein, wobei auch CEO und CFO regelmäßig informiert werden sollten. Das World Economic Forum „Quantum Readiness Toolkit“[9] und das „PQC Migration Handbook“[10] geben weitere praktische Empfehlungen.

Fazit

Zum Abschluss noch: Keine Panik, die Migration ist handhabbar. Die Planung sollte aber umgehend begonnen werden, um spätere Hektik zu vermeiden, da Zeitdruck gern zu Fehlern und Cybersicherheitsmängeln führt. Der erste Schritt besteht in der Erstellung einer Kryptografie-Inventarliste, um die vorhandenen Systeme zu analysieren und priorisierte Migrationspläne zu erstellen. Die Migration zu PQC bietet insgesamt die Chance, Sicherheitsarchitekturen zukunftssicher und resilient zu gestalten.

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Quantentechnologien und quantensichere Kryptografie, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/quantentechnologien-und-quantensichere-kryptografie.html.
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Securing Tomorrow, Today: Transitioning to Post-Quantum Cryptography, November 2024, www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Crypto/PQC-joint-statement.html
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Position Paper on Quantum Key Distribution, Januar 2024, www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Crypto/Quantum_Positionspapier.html
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), TR-02102-1: Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Februar 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie: Entwicklungsstand Quantencomputer, Version 2.1, August 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Quantencomputer/
Entwicklungstand_QC_V_2_1.html
[6] PQShield, The new NIST standards are here: What does it mean for PQC in 2024?, https://pqshield.com/new-whitepaper-thenew-nist-standards-are-here-what-does-it-mean-for-pqcin-2024/
[7] PQShield, Cryptography modernization part 2: Crypto-agility and hybrid schemes, https://pqshield.com/publications/cryptography-modernization-part-2-crypto-agility-and-hybridschemes/
[8] PQShield, Post-quantum secure boot for processors and FPGAs, https://pqshield.com/publications/post-quantum-secure-bootfor-processors-and-fpgas/
[9] World Economic Forum, Quantum readiness toolkit, 2023, www3.weforum.org/docs/WEF_Quantum_Readiness_
Toolkit_2023.pdf
[10] Niederländischen Organisation für Angewandte Naturwissenschaftliche Forschung (TNO), The PQC migration
handbook, 2024, www.tno.nl/en/newsroom/2024/12/renewedhandbook-quantum-safe-crypto/
[11] Global Risk Institute, Quantum threat timeline report 2024, 2024, https://globalriskinstitute.org/publication/2024-
quantum-threat-timeline-report/
[12] National Institute of Standards and Technology (NIST), FIPS standards, https://csrc.nist.gov/publications/fips
[13] European Commission, Recommendation on a coordinated implementation roadmap for the transition to post-quantum cryptography, https://digital-strategy.ec.europa.eu/en/library/recommendation-coordinated-implementation-roadmaptransition-post-quantum-cryptography