DigiCert zum Thema Quantencomputer: Bericht der National Academy of Sciences

Mit diesem Beitrag beginnen wir eine Reihe technischer Blogbeiträge über die Quanteninformatik und die kommende Umstellung zu dieser neuen Technologie. Mit diesen Beiträgen möchten wir Sie auf leicht verständliche Art darüber informieren, was sich derzeit in diesem Bereich tut und wie Sie sich und Ihr Unternehmen auf die Zukunft vorbereiten können. Setzen Sie ein Lesezeichen und folgen Sie @digicert auf Twitter, um nichts zu verpassen.

Vor Kurzem hat das Komitee für die technische Einschätzung der Machbarkeit und der Auswirkungen der Quanteninformatik (Committee on Technical Assessment of the Feasibility and Implications of Quantum Computing) der US-amerikanischen National Academy of Sciences einen Bericht mit dem Titel „Quantum Computing: Progress and Prospects” (Quanteninformatik: Fortschritt und Ausblick) veröffentlicht. In diesem 200 Seiten langen Bericht wertet das Komitee Expertenmeinungen über den derzeitigen Stand der Quanteninformatik aus und veröffentlicht eine dringende Warnung bezüglich der Kryptografie: Es ist höchste Zeit, sich auf das Quantenzeitalter vorzubereiten.

Schätzungen von DigiCert zufolge würde das Knacken eines RSA-Schlüssels mit 2048 Bit mit herkömmlichen Computern mehrere Billiarden Jahre dauern. Auf diese Einschätzung wird auch im Bericht der National Academy verwiesen. Mit einem ausreichend leistungsstarken Quantencomputer könnte derselbe Schlüssel allerdings wesentlich schneller geknackt werden, vielleicht schon in wenigen Monaten. Das wird noch eine Weile dauern, denn bevor Quantencomputer es mit RSA und ECC (den beiden meistgenutzten asymmetrischen Verschlüsselungsalgorithmen im Internet) aufnehmen können, müssen noch eine ganze Reihe technischer Herausforderungen bewältigt werden. Nach Einschätzung des Berichts wären dazu Quantencomputer erforderlich, die um fünf Größenordnungen größer sind und eine um zwei Größenordnungen niedrigere Fehlerrate haben als die derzeit verfügbaren Quantencomputer der ersten Generation. Das wird vermutlich nur mit Technologie möglich sein, die es derzeit noch nicht gibt.

Wann skalierbare Quantencomputer verfügbar sein werden, ist dem Bericht zufolge noch nicht absehbar, da die Quanteninformatik ein sehr junger Forschungsbereich ist, in dem die Innovation erst in den letzten Jahren an Tempo zugelegt hat. Bei der Bewertung des Fortschritts muss neben der steigenden Anzahl der physischen Qubits pro Computer unbedingt auch die Fehlerrate berücksichtigt werden.

Die Fehlerrate ist wichtig, weil sie sich wesentlich auf die Anzahl der physischen Qubits auswirkt, aus denen ein logisches Qubit besteht. Physische Qubits sind die individuellen Quantensysteme, die entweder eine 0 oder eine 1 enthalten. Physische Qubits sind allerdings sehr fehleranfällig, da sie selbst bei Temperaturen nahe dem absoluten Nullpunkt leicht durch Interaktionen mit der Umgebung gestört werden können. Wenn diese Fehler nicht korrigiert werden, hat das Ergebnis jeder langen, komplexen Berechnung mit Qubits eine so große Fehlerspanne, dass es jede Bedeutung verliert.

Wie in der klassischen Informatik ist es möglich, mehrere physische Qubits zu einem logischen Qubit mit Korrektur-Bits zusammenzusetzen. Die Anzahl der Korrektur-Bits, die für eine praxistaugliche Lösung erforderlich sind, ist in der Quanteninformatik allerdings wesentlich größer. Trotz großer Fortschritte ist es Forschern bisher noch nicht gelungen, auch nur ein einziges logisches Qubit zu produzieren. Sobald es logische Qubits gibt, wird ihre Anzahl eine aussagekräftigere Kennzahl für den Fortschritt in der Entwicklung von Quantencomputern sein als die Anzahl der physischen Qubits. Das Komitee der National Academy resümiert: „Prinzipiell ist die Konstruktion eines großen, fehlertoleranten Quantencomputers nicht unmöglich.”

Es wird zwar vermutlich noch geraume Zeit dauern, bis die zahlreichen Hürden überwunden sind, die dem derzeit im Weg stehen, doch dasselbe trifft auf die Entwicklung, Standardisierung und Implementierung von kryptografischen Verfahren zu, die Hackern mit Quantencomputern gewachsen sind. Experten gehen davon aus, dass beide Zeiträume etwa gleich lang sein werden. Insbesondere für Anwendungsbereiche mit sehr strengen Authentifizierungsanforderungen (wo derzeit HA- oder High-Assurance-Zertifikate genutzt werden) sollte die Planung der Umstellung daher jetzt beginnen oder bereits im Gange sein. Nur so lässt sich vermeiden, dass die Entwicklung kryptografischer Verfahren für den Schutz kritischer Daten vor Angreifern mit Quantencomputern hinter die Entwicklung von Quantencomputern zurückfällt.

Kurz- und mittelfristig wird die kommerzielle Nutzung noch recht fehleranfälliger, mittelgroßer Quantencomputer vermutlich dafür sorgen, dass die Entwicklung von Post-Quantum-Verschlüsselungsverfahren mit dem erforderlichen Nachdruck vorangetrieben wird. Wie nützlich diese Computer sind und welche Probleme sich mit ihnen lösen lassen, wird voraussichtlich einen großen Einfluss darauf haben, wie viel in ihre Weiterentwicklung investiert wird. Im Moment findet ein regelrechtes Wettrennen statt, bei dem die Entwicklung größerer und leistungsfähigerer Quantencomputer mit Budgets in Milliardenhöhe finanziert wird.

Auch Standardgremien in verschiedenen Branchen bereiten sich auf das Quantenzeitalter vor. Dabei spielt DigiCert eine sehr aktive Rolle. Am bekanntesten ist das Post-Quantum Cryptography Project des US-amerikanischen NIST (National Institute for Standards and Technology), bei dem Forscher in aller Welt gemeinsam an der Entwicklung neuer Verschlüsselungsverfahren arbeiten, die nicht anfällig für Angriffe mit Quantencomputern sind. Es wird jedoch noch mehrere Jahre dauern, bis diese Algorithmen standardisiert werden können. Eine einfachere Technologie (hash-basierte Signaturen, siehe RFC 8391) wurde bereits von der Internet Engineering Task Force standardisiert und wird bald auch vom NIST standardisiert werden. Im Vergleich zu moderneren Algorithmen haben hash-basierte Signaturen einige Nachteile (insbesondere längere Signaturen und eine Obergrenze für die Anzahl der Signiervorgänge). Sie bieten jedoch auch wichtige Vorteile: Die Technologie ist ausgereift, nicht anfällig für Angriffe mit Quantencomputern und bereits jetzt verfügbar.

Andere Standardgremien beschäftigen sich ebenfalls mit dieser Problematik. Die ANSI X9 Quantum Risk Study Group hat beispielsweise im März 2019 einen Bericht veröffentlicht, in dem speziell untersucht wird, welche Risiken Quantencomputer für die von Finanzdienstleistern genutzten Verschlüsselungsalgorithmen darstellen. Das Europäische Institut für Telekommunikationsnormen (European Telecommunication Standards Institute, ETSI) hat ebenfalls eine Gruppe, die sich mit sicherer Quantenkryptografie befasst und seit neun Jahren Informationsberichte veröffentlicht.

Die Forschung läuft auf beiden Seiten auf Hochtouren: Für die einen kann die Entwicklung großer, fehlertoleranter Quantencomputer nicht schnell genug gehen; die anderen wollen rechtzeitig praxistaugliche Verschlüsselungsverfahren parat haben, die auch mit diesen Computern nicht geknackt werden können. DigiCert wird eine Reihe von Blogbeiträgen veröffentlichen, um Leser über die Quanteninformatik und über Maßnahmen zum Schutz asymmetrischer Kryptografieverfahren wie RSA und ECC vor den damit einhergehenden Risiken zu informieren.