Einleitung Quantenkryptoanalyse

Bitte beachten Sie die Abgrenzungen zwischen Quantenkryptologie, Quantenkryptografie, Quantenkryptoanalyse und Post-Quanten-Kryptografie, wie sie auf der Index-Seite nachzulesen ist.

Quantenkryptoanalyse ist das, was man gemeinhin unter Kryptoanalyse, also das Knacken von Chiffren, versteht, nur halt mit Quantencomputern statt mit herkömmlichen Computern.

Der große Unterschied zwischen herkömmlichen und Quanten-Computern ist, dass ein herkömmlicher Computer alles sequentiell, also Eins nach dem Anderen abarbeiten muss, während ein Quantencomputer alle Vielzahl von Rechenschritten parallel ausführen kann. Er findet sozusagen die sprichwörtliche Nadel im Heuhaufen sofort, statt sich sich einen Strohhalm (oder vermeintliche Nadel) nach dem anderen anzuschauen.

Der herkömmliche Computer führt die sequentiellen Schritten zwar sehr sehr schnell aus - milliardenfach pro Sekunde - doch kommt er unterm Strich trotzdem nicht an die Geschwindigkeit eines Quantencomputers heran, wenn es um Aufgaben geht, die durch paralleles Rechnen gelöst werden können. Bei weitem nicht. Wie das genau funktioniert, erfahren Sie im Artikel Quantencomputer und wie sie funktionieren, dessen Lektüre ich vor dem Weiterlesen sehr empfehle, um das hier Geschriebene zu verstehen.

Es gibt Verschlüsselungsalgorithmen, die sind anfälliger für Quantenkryptoanalyse, eben weil die Aufgabenstellung, diese Chiffre zu knacken, wie gemacht ist für das Rechenprinzip von Quantencomputern. Dies sind vornehmlich asymmetrische Chiffren wie zum Beispiel RSA.

Und es gibt Verschlüsselungsalgorithmen, bei denen man keinen großen Geschwindigkeits-Vorteil durch den Einsatz von Quantencomputern erreichen kann. Das sind vornehmlich symmetrische Chiffren wie zum Beispiel AES.
Bei solchen erhält man beispielsweise durch Einsatz des Grover-Algorithmus für Quantencomputer maximal eine Beschleunigung auf das Quadrat des ursprünglichen Geschwindigkeit.

Das kann im Fall von AES aber allein schon dadurch ausgeglichen werden, dass man die Schlüssellänge verdoppelt, also statt den 128 Bit, die für herkömmliche Computer derzeit als sicher gelten, 256 Bit benutzt. Das Knacken von 256 Bit gegenüber 128 Bit dauert im Quadrat länger. Was genau den Vorteil, den ein Quantencomputer bietet, ausgleicht bzw. zunichte macht.

Allgemein für die Kryptoanalyse gilt, dass ein Verfahren solange als sicher gelten kann, wie das Knacken der Chiffre so lange dauert, dass sich das Knacken wirtschaftlich nicht lohnt oder die Information inzwischen wertlos geworden ist. Da Quantencomputer heutzutage (2025) noch wahnsinnig teuer sind und auch noch nicht die Leistung zum Quadrat bieten, die ein herkömmlicher Computer heutzutage hat, hat Quantenkryptoanalyse gegen symmetrische Chiffren derzeit keinen Sinn.

Anders sieht es bei asymmetrischen Algorithmen aus. Das sind Verfahren, die in eine Richtung schnell berechenbar sind und in die andere wesentlich schwieriger. Das nennt man eine Einwegfunktion oder Einbahnfunktion. RSA zum Beispiel benutzt als Einwegfunktion Primzahlen. Zahlen, auch große Primzahlen miteinander zu multiplizieren ist für einen herkömmlichen Computer einfach und geht schnell. Aber herauszufinden, aus welchen Faktoren das Ergebnis eine Multiplikation zweier Primzahlen besteht, das ist schwierig und dauert. Bisher. Für Menschen und herkömmliche Computer. Das macht sich RSA zunutze.

Für Quantencomputer, die massiv parallel rechnen, ist es allerdings nicht ganz so schwierig, die beiden Nadeln (Primzahlen) im Heuhaufen zu finden. Dafür wurde sogar schon ein spezieller Algorithmus entwickelt, der Shor-Algorithmus. In der Theorie kann man damit RSA-Chiffren knacken.

Theorie und Praxis

Wie so oft divergieren Theorie und Praxis hier. Nur, weil es theoretisch möglich ist, heißt das nicht, dass es jetzt und sofort auch praktisch möglich ist.

Gerade weil die Quantenkryptoanalyse auf Quantencomputern basiert - eine noch in den Kinderschuhen steckende Technologie - kann man schwer abschätzen, wann es soweit sein wird, dass Quantencomputer RSA knacken können. Es gibt sogar schon einen Namen für den Zeitpunkt, an dem dies möglich sein wird: die sogenannte Kryptokalypse, ein Kofferwort aus Kryptografie und Apokalypse. Ein Wort, dass eher einer Marketingabteilung entsprungen ist, als dass es irgendeinen wissenschaftlichen Wert hätte.

Genau wie die Zombie-Apokalypse erfunden wurde, um Panik zu schüren, ist es mit der Kryptokalypse: eine unmittelbare Gefahr besteht noch nicht. Also, ich habe weder einen echten Zombie, noch eine durch einen Quantencomputer geknackten RSA-Verschlüsselung gesehen. Zombies gibt es nur im Film. Und auch die Kryptokalypse ist noch in weiter Ferne. Und ich habe auch keine Äxte, Schrotflinten und riesige Lebensmittelvorräte in meinem Keller. Es soll aber Leute geben, die sich auf Fälle wie die Zombie-Apokalypse vorbereitet haben. Googlen Sie mal nach "Prepper"... Wobei: sicher ist sicher, oder? Vorsicht ist besser als Nachsicht.

Eines ist auf jeden Fall klar: solche Panikmache treibt den Umsatz bei Prepper-Ausstattern nach oben. Je mehr daran glauben, desto höher der Umsatz.

Trau, schau, wem!

Ich bin mal 2024 über die IT-Security-Messe it-sa geschlendert und habe die Leute an den relevanten Ständen interviewt, was sie denn so meinen, ob, wann und wie sehr Quantencomputer in Zukunft eine Gefahr für asymmetrischen Chiffren darstellen werden. Dabei haben sich drei Parteien herauskristallisiert.

Die einen verkaufen auf RSA oder anderen asymmetrischen Chiffren basierende Produkte. Und sehen die Kryptokalypse in ferner, ferner Zukunft. Wenn sie denn überhaupt einmal eintritt. Dort bezieht man sich gerne auf den derzeitigen Stand der Technologie und erntet Sprüche wie: "15! Das ist die Zahl, die Quantencomputern nach zig Jahren Entwicklung imstande sind, zu faktorisieren. Wir benutzen hundertstellige Primzahlen. Bis die Kryptokalypse eintritt, sind wir alle schon lange tot!".

Ich kann jetzt nicht beweisen, dass diese Behauptung falsch wäre. Ich kann aber auch nicht das Gegenteil beweisen. Man weiß es einfach nicht, wie schnell der Fortschritt bei Quantencomputern gehen wird.

Die zweite Partei verkauft Verfahren, die sicher gegen Quantencomputer sind, zum Beispiel Quantenkryptografie und Quantenschlüsselaustausch. Eine der wenigen Verfahren, die gegen Quantencomputer und auch Man-in-the-Middle-Attacks immun sind. Und sehr kostspielig. Die Leute der zweiten Partei malen gerne mal den Teufel an die Wand und tun so, als ob morgen schon die Kryptokalypse ausbrechen würde.

Gerne wird das Argument hergenommen, dass Chiffrate - also verschlüsselte Daten - von einem Angreifer (der Konkurrenz, einer feindlichen Regierung etc.) bereits jetzt schon gespeichert werden können, um sie dann später mit Quantencomputern, wenn diese soweit sind, zu knacken. Dabei stellt sich die Frage, ob die gewonnenen Informationen aus der Dechiffrierung dann überhaupt noch einen Wert haben. Irgendwann kommt nämlich der Zeitpunkt, an dem die Informationen nutzlos geworden sind: das Geschäftsgeheimnis patentiert und das Patent ausgelaufen, der Spion schon lange umgekommen oder der verdeckt gehaltene Angriff schon lange ausgeführt.

Auch hier kann ich weder beweisen, noch widerlegen. Eben weil die Entwicklung neuer Technologien schwer abschätzbar ist. Wer weiß zum Beispiel heute schon, wann es den ersten wirtschaftlichen Kernfusionreaktor geben wird?

Ein Umstand, den die zweite Partei gerne verschweigt, ist natürlich, dass man auch symmetrischen Chiffren mit doppelter Schlüssellänge benutzen könnte, um sicher gegen die Kryptokalypse zu sein. Man könnte auch das mathematisch beweisbar absolut sichere One Time Pad Verfahren benutzen. Das hat man schon damals vor Jahrzehnten für das rote Telefon zwischen der USA und der UDSSR benutzt. Sicher aufwändiger im Schlüsselaustausch als ein asymmetrischen Verfahren, aber sicher auch günstiger als eigene Hardware für Quantenschlüsselaustausch.

Und dann gibt es noch die dritte Partei, mit denen ich mich am liebsten unterhalten habe. Die die Entwicklung von einem wissenschaftlichen Standpunkt aus sehen und der Meinung sind, dass das schwer abzuschätzen ist, anstatt die Zuhörer zu manipulieren und mit halbseidenen Geschichten zu der einen oder anderen Seite zu drängen, damit dieser das angepriesene Produkt eher kauft. Wissenschaftler sind eben nur der Wahrheit verpflichtet. Bzw. sollten es zumindest. Sonst sind es eben keine echten Wissenschaftler mehr.

Wann bricht die Kryptokalypse aus?

Wie gesagt, weiß man einfach nicht, wie schnell der Fortschritt bei Quantencomputern gehen wird. Für den Fortschritt bei herkömmlichen Computern gibt es eine Faustregel, dass sogenannte Mooresche Gesetz. Das besagt, dass sich die Zahl der Transistoren integrierter Schaltkreise, und damit die Leistungsfähigkeit, regelmäßig verdoppelt. Je nach Quelle werden Zeiträume von eins bis zwei Jahren für die Verdoppelung genannt. Wobei der jährliche Zuwachs bei CPUs für PCs nicht mehr 100% wie in den Neunzigern ist, sondern nur noch ca. 20%. Irgendwann sind halt physikalische Grenzen erreicht und das Wachstum wird gebremst, bis ein Ausweg gefunden ist.

Man kann sagen, dass sich die Leistungsfähigkeit von Quantencomputern durch die Anzahl Qubits, die sie verwenden, vergrößert. Erst mit einer großen Anzahl von Qubits wird es möglich sein, zum Beispiel den RSA-Algorithmus mit einer bestimmten Schlüssellänge (sagen wir einmal heute üblichn 2048 Bit) zu knacken. Nun kann man aber auch einfach, sobald die Quantenkryptoanalyse eine Gefahr darstellt, die Schlüssellänge auf 4096 Bit verdoppeln, was dann auch mehr Quantenbits erforderlich macht, weil sich der Zahlenraum, den man betrachten muss, vergrößert hat.

Und es ist so, dass Quantencomputer nicht beliebig groß gebaut werden können, denn pro logischem Qubit, das rechnet, braucht man viele weitere Qubits zur Überprüfung und Fehlerkorrektur, welche selbst wiederum Qubits zur Überprüfung brauchen.

Zudem rechnen Quantencomputer mit Wahrscheinlichkeiten. Normalerweise wird eine Rechnung bspw. 1000 mal wiederholt, um zu schauen, welches Ergebnis am häufigsten vorkommt und dann wohl das richtige ist. Das kann man sich bei RSA zwar schenken, indem man das Ergebnis einfach mit einem herkömmlichen Computer in der Richtung der Einbahnstraße verifiziert. Dennoch muss man die Rechnung mit Quantencomputern so oft wiederholen, bis ein herkömmliche Computer das probierte Ergebnis als richtig erkannt hat.

Dies zu den theoretischen Variablen. Dazu kommen die praktischen Variablen. Quantencomputer stehen noch sehr am Anfang der Entwicklung. Man experimentiert zum Beispiel noch herum, welche Arten von Qubits sich am besten eignen. Es gibt tiefgekühlte supraleitende Qubits. Es gibt Qubits, die mit Ionenfallen realisiert werden. Es gibt Spin-Qubits und Silizium-basierte Qubits, die eventuell von Erkenntnissen in der schon bestehenden Halbleiterindustrie profitieren können. Es gibt Topologische Qubits, ein vielversprechender, aber noch experimenteller Ansatz. Und es gibt Qubits mit Photonen. Und jede Qubit-Art hat ihre ganz eigenen Vor- und Nachteile bezüglich Kohärenz-Stabilität, Fehlerrate und Fehlerkorrektur-Aufwand, physikalischem Aufwand wie Erzeugung, Kühlung und Energiebedarf.

Es gibt also keinen "One-Size-Fits-All"-Ansatz, mit dem man kalkulieren könnte. Die einzelne Qubit-Arten müssen erst erforscht werden und es muss sich zeigen, welcher Ansatz für welche Aufgabe am besten geeignet ist. Und man kann nicht einfach Moore's Law für Qubits anwenden.

Mit steigenden Anzahl von Qubits steigt auch die Fehleranfälligkeit mit Gefahr des Zusammenbruchs der Kohärenz, was bedeutet, dass die Rechnung ungültig wird. Es gibt Ansätze der Verteilung der Qubits auf mehrere Rechner und Nutzung von Quantennetzwerken, aber auch hier steht die Entwicklung erst am Anfang und muss erst reifen, bevor man mit ihr kalkulieren könnte.

Vielleicht hatte der Mann von der oben zitierte ersten Partei recht: das jeder, der sich derzeit in seiner zweiten Lebenshälfte befindet, die Kryptokalypse nicht mehr erleben wird. Allerdings ist natürlich auch nicht ausgeschlossen, dass in einem so jungen Wissenschaftsfeld "zufällig" neue Erkenntnisse gefunden werden, die die Sache wesentlich beschleunigen werden.

Kurzum: Nichts genaues weiß man derzeit noch nicht.

Es kann aber ganz sicher nicht schaden, an Gegenmaßnahmen zur Quantenkryptoanalyse zu forschen. Dabei muss man aber nicht mit Kanonen auf Spatzen schießen und sich gleich eine quantenkryptografische Anlage anschaffen. Für symmetrische Chiffren reicht schon eine Verdoppelung der Schlüssellänge, um die gleiche Sicherheit wie vorher zu gewährleisten.

Don't panic (in freundlichen Buchstaben) ;)

Bei asymmetrischen Chiffren sollte man sicherheitshalber schon heute etwa längere Schlüssellängen benutzen und ein wenig abwarten. Zur Zeit werden Algorithmen für herkömmliche Computer entwickelt und z. b: vom NIST evaluiert, die gegen Quantencomputer gewappnet sein werden. Quantencomputer haben dann keine wesentliche Vorteile beim Knacken mehr.

Diese zur Post-Quanten-Kryptografie gehörenden Chiffren wird man dann zunehmend einsetzen. Dies geschieht teilweise schon heute, ohne das wir es merken. So wird Quantenkryptoanalyse wahrscheinlich erst gar keine Gefahr werden, solange man - salopp gesagt - als Endverbraucher die Updates einspielt.

Und es ist leider so, dass die eine Ente der anderen nachquakt, ohne selbst wirklich Ahnung zu haben oder sich umfassend informiert und die Sache von allen Seiten betrachtet zu haben. In der heutigen schnelllebigen Zeit scheinen sich wohl nur noch die wenigsten Zeit für eine anständige Recherche zu nehmen, so zumindest mein Verdacht bei manche Meldungen.

Ich gebe zu, dass Quantenphysik und Kryptoanalyse unbestreitbar schwierige und nicht ad hoc zu erfassende Themenfelder sind. Aber sollte ich, wenn ich mir nicht sicher bin, das Richtige zu sagen, nicht besser schweigen, als Gefahr zu laufen, Fake News zu verbreiten? Das führt nur zur Verunsicherung der Endnutzer, die noch weniger Ahnung von der Materie haben. Was zugegebenerweise einigen Meldenden ins Konzept passen könnte, auch um Geld damit zu verdienen.

Quellen, Literaturverweise und weiterführende Links