Menü
Security

PQCRYPTO empfiehlt Algorithmen für Post-Quanten-Kryptographie

Ein EU-Forschungsprojekt untersucht Kryptoalgorithmen, an denen selbst ein Quantencomputer zu knabbern hat. Jetzt wurden Verfahren vorgeschlagen.

vorlesen Drucken Kommentare lesen 58 Beiträge
Illustration Cyberkriminalität

(Bild: dpa, Oliver Bergs)

Im Rahmen des Forschungsprojektes PQCRYPTO haben Sicherheitsforscher kryptografische Ansätze empfohlen, die auch langfristig vor Quantencomputern sicher sein sollen. Vor zwei Wochen hat sich auch die NSA zu dem Thema geäußert und angekündigt, entsprechende Kryptoalgorithmen zu spezifizieren

Quantencomputer sind zwar noch Zukunftsmusik, Forscher gehen aber davon aus, dass derartige Rechner in zehn Jahren Realität sein können. Quantencomputer können asymmetrische Verfahren wie etwa DSA, Diffie Hellman und RSA in vergleichbar kurzer Zeit knacken. Davon sind auch Krypto-Ansätze betroffen, die auf elliptischen Kurven basieren. Symmetrische Verfahren mit langen Schlüsseln sind nicht gefährdet.

Dementsprechend empfiehlt das PQCRYPTO-Team AES und Salsa20 mit einer Schlüssellänge von 256 Bit. Dan Bernstein ist der Entwickler von Salsa20 und ein Autor der Empfehlungen. Beim Modus für die Authentifizierung und Verschlüsselung empfehlen die Forscher das Galois/Counter-Mode-Verfahren und Poly1305.

Das PQCRYPTO-Team schreibt asymmetrische Verfahren aber nicht ab, sie schlägt das McEliece-Verfahren vor. Bei den Sicherheitsparametern beruft es sich auf eine Abhandlung aus dem Jahr 2013. Darin beschreiben die Autoren ein Verfahren mit privaten Schlüsseln, die 1 MByte groß sind. Der Einsatz in der Praxis ist aber fraglich, denn etwa TLS stößt an seine Grenzen, da beim Verbindungsaufbau oft mehrere Schlüssel ausgetauscht werden.

Bei digitalen Signaturen sollen die Hash-Algorithmen XMSS (PDF-Donwload) und SPHINCS zum Einsatz kommen. Für XMSS liegt bereits ein erster Entwurf als IETF-Standard vor.

XMSS benötigt jedoch einen internen Status. Werden mehrere Signaturen mit dem gleichen Status erzeugt, ist der Ansatz nicht mehr sicher. Bei SPHINCS sind die Signaturen 41 KByte groß. Das kann wiederum bei TLS zu Problemen führen, da immer mehrere Signaturen bei einem Handshake übertragen werden. (des)