Kryptokalypse: Wieder ein NIST-Kandidat weniger – und nun?

Der NIST-Standardisierungswettbewerb um die quantensicheren Kryptoalgorithmen ist noch nicht beendet, da ist schon wieder ein Kandidat geknackt.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 45 Beiträge

(Bild: M.Moira / Shutterstock.com)

Von
  • David Fuhr

Da waren’s nur noch sieben – und das auch nur, wenn man alle Wackelkandidaten großzügig mitzählt. Dabei hatte es doch so vielversprechend begonnen, als vor etwas mehr als fünf Jahren das amerikanische National Institute of Standards and Technology (NIST) den Startschuss zur Suche quantensicherer kryptografischer Verfahren (PQC, Post Quantum Cryptography) gestartet hatte.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und über Cyber schreiben: Im Hauptberuf Sicherheitsforscher bei der HiSolutions AG, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus. Neben neuen erscheinen hier auch bereits in der iX abgedruckte Artikel – stets mit einem augenzwinkernden Update zur aktuellen Lage der Security.

Beflügelt von den offenen Wettbewerben zur Kür von AES (1997 – 2000) und SHA-3 (2007 – 2012) hatte sich die Community diesmal richtig ins Zeug gelegt: Fast 70 Einreichungen kamen letztlich zusammen für das Wettrennen gegen die Zeit, zur Rettung der Welt, wie wir sie kennen. Denn, erinnern wir uns, ein einziger ausreichend großer Quantencomputer wird wahrscheinlich irgendwann in den nächsten fünf bis zwanzig Jahren alles an Kryptografie knacken, was wir im Großmaßstab im Einsatz haben, mithin sämtliche asymmetrische (und damit auch hybride) Verschlüsselung – und alle digitalen Signaturen.

Freilich wurden anfangs viele Vorschläge schnell ausgesiebt, ein bisschen Schwund ist immer, und so war 2020 noch ein Viertel der Kandidaten übrig, die eventuell (!) geeignet sein könnten, uns vor der drohenden Kryptokalypse zu bewahren.

Heute, im September 2022, wäre so langsam ein guter Zeitpunkt, in Panik zu verfallen. Ohne den kürzlich ganz klassisch ohne Quantencomputer mit einem PC innerhalb einer Stunde gebrochenen neumodischen Algorithmus SIKE haben wir jetzt noch ganze sieben Pferde im Rennen, die hoffentlich (!) den Karren aus dem Dreck werden ziehen können, von denen jedoch drei noch unter Beobachtung stehen. Wäre es das biologische Artensterben, das in diesem Tempo voranschritte – wir hätten noch etwa vier Jahre zu leben.

Es wird also allmählich knapp: Nicht nur, dass uns die Zeit ausgeht, eine nie dagewesene Großmigration aller Technologie zu planen und durchzuführen, vom Großrechner über die Banking-App bis zum Herzschrittmacher. Uns könnten auch noch die Algorithmen ausgehen. Insbesondere bei den Verschlüsselungsverfahren wird es dünn, denn davon ist momentan nur noch ein einziges (!) empfohlen.

Nun heißt es Daumen drücken, dass wenigstens das hält, während wir gleichzeitig draufhauen müssen mit allem, was wir an Expertise haben. Denn das Einzige, was noch gefährlicher wäre, als keine sicheren Algorithmen mehr übrigzuhaben, wäre zu denken, man hätte noch sichere Algorithmen übrig.

Die (wenigen), die schon ernsthafte Real-Life-Feldversuche mit PQC-Algorithmen durchgeführt haben, betonen gerne, dass ihre Experimente sicher seien, weil sie ja klassische und Post-Quanten-Algorithmen parallel (Signatur) beziehungsweise in Reihe (Verschlüsselung) anwenden. Das stimmt – aber auch nur, bis der Quantencomputer da ist. Dann brauchen wir von heute auf morgen überall die neuen Verfahren am Start – und verlieren immer noch alles an Daten, was irgendjemand irgendwann einmal mitgeschnorchelt hat. Und die Hoffnung auf die Quanten-Kryptografie (im Gegensatz zur Post-Quanten-Kryptografie die Kryptografie unter Nutzung von Quanteneffekten) sollte uns nicht zu sehr einlullen, da diese zwar grundsätzlich funktioniert, aber noch auf sehr lange Sicht nicht für den Großmaßstab tauglich sein wird.

Man stelle sich einmal vor, die Träume der Kryptovisionäre Ralph Merkle, Whitfield Diffie und Martin Hellman wären 1976 nicht wahr geworden. James Ellis, Clifford Cocks und Malcolm Williamson hätten bei den britischen Schlapphut-Nerds (GCHQ) ihre Erfindung und die von RSA nicht vorweggenommen. Und niemand hätte herausgefunden, wie man Dinge mit einem Schlüssel verschlüsseln, aber nur mit einem anderen entschlüsseln kann. Es ist unklar, ob sich das Internet – vor allem (aber nicht nur) als ökonomischer Raum – annähernd so hätte entwickeln können, wie wir es heute nutzen.

Wäre ich bei Extinction Rebellion, ich wüsste heute nicht, ob ich mich eher an die Datenautobahn ketten sollte, um zu verhindern, dass weiter unbeschwert fossil (mit RSA oder elliptischen Kurven) "verschlüsselte" Daten versandt werden, oder an die letzten überlebenden Verfahren im NIST-Wettbewerb. Wir sind also in der ungemütlichen Lage, auf einem kleiner werdenden Sack von möglicherweise rettenden Algorithmen zu sitzen, von denen wir (wie bei Erwin Schrödingers berühmter Katze) nicht wissen, ob sie vielleicht schon tot (leicht zu brechen) sind.

Grundsätzlich ist das zwar bei allen Algorithmen der Fall, die nicht beweisbar sicher gemäß gewissen Kriterien sind. Aber bei der PQC haben wir zu lange geschlafen, uns zu sehr auf RSA, elliptische Kurven und Co. verlassen. Hoffen wir, dass sich das nicht rächt und wir The Big Migration™ erstens früh genug angehen können und zweitens nicht einer Mathematik um den Hals fallen, die genau dann unter uns zusammenbricht.

Software- und Kryptoagilität sind halbwegs harmlos klingende Stichworte. Sie könnten für uns aber bedeuten, dass wir in Zukunft – vermutlich sogar mehr als einmal – unsere komplette Vertrauenstechnik innerhalb kurzer Zeit umstellen müssen. Da kommt mir eine Idee: Ich werde mir gleich mal die Wortmarke "Crypto-Agile at Scale" sichern – und wenn es nur dazu dient, diejenigen unter meiner geschätzten Leserschaft freundlich zu triggern, die Berater-Speak so sehr lieben.

Diese Kolumne ist erstmals in iX 9/2022 erschienen.

Mehr von iX Magazin Mehr von iX Magazin

(ur)