NET 11/2024

27 www.net-im-web.de 11/24 Quantensichere Kommunikation tencomputer leistungsfähig genug sind, können diese Daten entschlüsselt werden. Ein Konzept, das als „Harvest now, decrypt later“ bekannt ist. Quantensichere Kommunikation Um sich gegen die von Quantencomputern ausgehenden Bedrohungen zu schützen, werden derzeit zwei Ansätze verfolgt. Zum einen geht es umneue asymmetrische krypto- grafische Algorithmen, die unter demBegriff Post-Quantum Cryptography (PQC) zu- sammengefasst werden. Beim zweiten Ansatz werden quantenphysikalische Prinzipien zur Erzeugung und Übertragung von symmetri- schem Schlüsselmaterial genutzt – genannt Quantenschlüsselaustausch (engl.: Quantum Key Distribution, QKD). Derzeit werden zwei quantensichere Methoden entwickelt: Post-Quantum Cryptography (PQC) und Quantenschlüsselaustausch. Post-Quantum Cryptography (PQC) Die Post-Quantum Cryptography (PQC) ist eine Klasse von asymmetrischen kryp- tografischen Algorithmen, die zusätzlich zu den klassischen Angriffsvektoren auch gegen Angriffe durch Quantencomputer, wie mit Algorithmen von Shor und Grover, resistent sein sollen. Die PQC-Algorithmen können auf klassischen Computern aus- geführt werden. Einsatzbereiche Die asymmetrischen Verfahren, die durch die Nutzung vonQuantencomputern in der Zukunft gebrochenwerden könnten, werden aktuell in jedemAspekt des digitalen Lebens verwendet. Sie werden unter anderem bei der Erstellung von digitalen Signaturen (zum Beispiel auf Verträgen), bei Authentisierung sowie bei Public-Key-Verschlüsselung und Schlüsselaustausch (zum Beispiel in TLS und VPN-Kommunikation sowie im E- Commerce) eingesetzt. Bei Existenz eines kryptogra- fisch relevanten Quantencomputers wäre es theoretisch möglich, durch gefälschte Authentifizierung auf Infrastruktur zuzu- greifen oder digital signierte Dokumente zu manipulieren. Dadurch wären beispielsweise verschiedene Szenarien möglich: • Erpressungsangriffe durch die Andro- hung, die erbeuteten Daten zu ver- öffentlichen • Erstellung gefälschter Softwaresigna- turen zum Einschleusen von Malware • Erstellung ununterscheidbarer gefälsch- ter Dokumente • Erstellung von betrügerischen Trans- aktionen auf Blockchains • Manipulation von Banktransaktionen • Manipulation imVerkehrswesen (zum Beispiel Automobile, Bahnbetrieb und Luftfahrzeuge). Insbesondere Produkte mit einer langen Betriebszeit werden neuen Angriffsrisiken ausgesetzt sein. • Fernsteuerung kritischer Infrastruk- turen Die Post-Quantum-Kryptografie (PQC) kann in IT- und OT-Infrastrukturen ein- gesetzt werden, um die kryptografischen Ziele Vertraulichkeit, Authentifizierung, Integrität und Nichtabstreitbarkeit im An- gesicht vonQuantencomputer-Bedrohungen zu gewährleisten. Nach dem Prinzip „Harvest now, decrypt later“ könnte allerdings ein Angreifer schon heute diese wichtigen Kommunika- tionskanäle überwachen und verschlüsselte Daten speichern, um diese später mit einem Quantencomputer zu entschlüsseln. Jede Kommunikation und Infra- struktur sind daher potenziell betroffen, insbesondere solche mit einer langen Lebens- dauer. Dazu gehören kritische Infrastruktu- ren, Verkehrsmittel, Bezahlanwendungen sowie die Kommunikation mit Banken und medizinischen Einrichtungen. Auch Perso- nalausweise nutzen derzeit Algorithmen, die in Zukunft möglicherweise gebrochen werden könnten. Sie müssen also alle auf die Nutzung von quantensicherer Kryptografie migrieren. Quantenschlüsselaustausch (QKD) Unter dem Schlagwort Quantenschlüssel- austausch werden kryptografische Protokolle zusammengefasst, die physikalische Eigen- schaften von einzelnen Lichtteilchen (Photo- nen) für die sichere Erzeugung und/oder Übertragung eines geheimen symmetrischen Schlüssels zweier Kommunikationspartner nutzen. Die Informationssicherheit ergibt sich in diesen Fällen nicht mehr ausschließ- lich durch diemathematischen Algorithmen, sondern durch die Prinzipien der Quanten- mechanik wie der Quantenverschränkung, demNo-Cloning-Theorem. Das resultiert in einem entscheidendenVorteil vonQKD, die sogenannte „Forward Security“ (Vorwärts- Unternehmen müssen für die Risiken sensibilisiert werden, die mit der Weiterentwicklung des Quantencomputings einhergehen. Es ist wichtig, die potenziellen Bedrohungen für Systeme und Daten zu erkennen (Grafik: Bitkom)