Quanten-Computer-resistente Verschlüsselung: Bisher für TLS untauglich

Die US-Behörde NIST hat neue Verschlüsselungen ausgewählt, die Attacken von Quanten-Computern widerstehen sollen. Näher besehen eignen sie sich aber kaum.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 34 Beiträge

(Bild: PhotoworldPro/Shutterstock.com)

Von
  • Monika Ermert

Die Quanten-Computer-resistente Verschlüsselung (Quantum-resistant Cryptography, QCRC) sorgt in Fachkreisen weiter für intensive Diskussionen. Kürzlich haben sich Spezialisten, die die Absicherung des Internet-Verkehrs per Transport Layer Security (TLS) spezifizieren, auf dem 114. Treffen der Internet Engineering Task Force (IETF) in Philadelphia zu dem Thema ausgetauscht. Ein Zwischenfazit lautet: große Schlüssel machen große Sorgen.

Leistungsfähige Quantencomputer sind zwar noch in einiger Ferne, aber Verschlüsselungsspezialisten wollen heute schon widerstandsfähige Protokolle entwickeln, weil Quantencomputer mit Methoden wie dem Shor-Algorithmus viele heute übliche Verschlüsselungen leicht knacken werden. Die US-Behörde NIST hatte daher vor Jahren zu einem Wettbewerb aufgerufen und kürzlich nach abgeschlossener Begutachtung der Kandidaten einen Algorithmus für den Austausch von Schlüsseln und drei für Signaturen ausgewählt. Sie sollen künftigen Entschlüsselungsattacken widerstehen können. Die Gewinner des Wettbewerbs für Signaturen sind Dilitihium-II, Falcon-512 und Sphincs+, für den Schlüsselaustausch wurde Kyber ausgewählt.

Nun ist aber fraglich, ob sie je auf breiter Front eingesetzt werden, wie vielleicht erhofft. Denn sowohl die drei Signaturalgorithmen als auch Kyber erzeugen im Vergleich zu heutigen Methoden deutlich größere Datenpakete, sodass sie auf vielen Internet-Strecken die maximale Paketgröße überschreiten (MTU, Maximum Transmission Unit). Auf den ersten Blick ist das kein Beinbruch, weil Sender übergroße Pakete zerteilen können, wenn sie feststellen, dass sie die MTU überschreiten.

In der Praxis führt das aber mindestens zu erheblichen Verzögerungen beim Aufbau von TLS-Verbindungen. Problematisch sei, so erläuterte Martin Thomson von Google, wenn die übergroßen Schlüssel beim Handshake eine Fragmentierung der Pakete erzwingen, weil so zusätzliche Übertragungsschritte erforderlich werden (mehr Round-Trips). Und bei der Datagram Transport Layer Security, die auf UDP aufsetzt, seien zusätzliche Round-Trips gar nicht umsetzbar, warnen Sophia Celi von Cloudflare und Thom Wiggers von der niederländischen Radboud University.

Die einzige gute Nachricht sei laut Eric Rescorla, CTO von Mozilla, dass mächtige Quantencomputer nach wie vor Zukunftsmusik seien. Das grundsätzliche Problem der aktuellen TLS-Technik bleibt aber ungelöst: Wer sämtliche Pakete einer TLS-Verbindung speichert und Jahre später per Quantencomputer attackiert, kann heutige vertrauliche Übertragungen nachträglich aufbrechen. Das will auch die IETF möglichst verhindern, die deshalb in vielen Arbeitsgruppen am Thema Quantum-Computer-Resistenz arbeitet. Die NIST hat derweil eine weitere Runde für neue, vielleicht "sparsamere", Kandidaten ausgeschrieben.

Mehr von c't Magazin Mehr von c't Magazin

(dz)