Reflexionen zur ungewissen Zukunft der Quantenüberlegenheit

10 Mai 2018

Ungewissheit ist vermutlich das beste Wort, mit dem sich das Gefühl beschreiben lässt, das in mir aufgestiegen ist, als ich in den Hallen der RSA-Konferenz 2018 herumgelaufen bin und an den Sitzungen teilgenommen habe, die sich mit Quantencomputern und Gefahren für die Cybersicherheit beschäftigt haben. Glücklicherweise stand ich mit diesem Gefühl nicht alleine da. Bereits in der Eröffnungsrede wurde die „Zunahme der Rechenleistung von Quantencomputern“ als eine der Zukunftsbedrohungen für die Cybersicherheitsindustrie dargestellt. Für den genauen Zeitpunkt, wann sich diese Theorie in die Praxis umsetzen wird, gab es allerdings keine genaueren Schätzungen. In diesem Beitrag möchten wir einige auf der RSA-Konferenz behandelte Punkte zum Thema Quantencomputer miteinander verknüpfen und unsere eigene Prognose stellen.

Für gewöhnlich versuchen wir Ungewissheit, die im Bereich der Quantenmechanik relativ häufig vorkommt, in unserem normalen und geschäftlichen Leben zu vermeiden. Der durchschnittliche Mensch reagiert auf Ungewissheit mit Angst. So auch die auf der Konferenz vertretenen Branchenvertreter, die befürchten, dass alle verschlüsselten Daten in ungewisser Zukunft für das Quantencomputing anfällig sein werden. Ihre Angst ist nicht unbegründet – und die Verantwortung dafür trägt die sogenannte Quantenüberlegenheit.

Vermutlich haben Sie bereits von diesem Begriff gehört, der einen hypothetischen Zustand der technologischen Reife beschreibt, in dem Quantencomputer Aufgaben erfüllen können, die für klassische Computer schlichtweg unmöglich sind. Eine solche Aufgabe ist beispielsweise die Faktorisierung von Primzahlen, ein Vorgang, der in Bezug auf die Rechenleistung asymmetrisch ist. Die Faktorisierung großer Zahlen nimmt (noch) unglaublich viel Zeit in Anspruch und ist die Grundlage, auf der praktisch alle gängigen kryptografischen Verfahren basieren.

Die quantitative Definition des Begriffs „Quantenüberlegenheit“ ist momentan noch relativ neu. Was mit der Quantenüberlegenheit auf unsere moderne Welt zukommt, wird ausführlich in diesem Artikel von Nature Physics beschrieben. Die Redakteure von Nature Physics schätzen, dass der Qubit-Schwellenwert – die analoge Rolle zum klassischen Bit – ungefähr 50 Qubits beträgt. Googles vor einem Monat vorgestellter Quantencomputer namens Bristlecone hat eine Rechenleistung von 72 Quantenbits und sollte in der Lage sein, den weltweit bekanntesten Supercomputer bei der Faktorisierung von Primzahlen zu schlagen. Sollten wir uns also Sorgen machen?

Jein. Die Antwortet lautet Ja, wenn Sie oder Ihre Kunden verschlüsselte Informationen für längere Zeit speichern, und Nein, wenn Sie dies nicht tun.

Aber was genau kann man unter „lang“ verstehen? Die Antwort ist von verschiedenen Algorithmen abhängig. Während seines Vortrags auf der RSA-Konferenz schätzte Konstantinos Karagiannis, CTO von Security Consulting, BT Americas, dass asymmetrische Algorithmen (DES, AES) mit 512-Bit-Schlüssellängen erst dann dahinschwinden werden, wenn die Anzahl der Qubits 100 übersteigt und auf diese Weise 512-Bit-Nachrichten pro Minute faktorisieren können. Symmetrische Algorithmen (z. B. RSA) mit 4096-Bit-Schlüsseln erfordern 1000 Qubits oder mehr, um in einem ähnlichen Zeitrahmen arbeiten zu können.

Wie Sie sehen, hat selbst Googles Bristlecone noch einen langen Weg vor sich. Wenn wir davon ausgehen, dass Moores Gesetz auch für Quantencomputer gilt, dann könnte Bristlecone sein Ziel aber auch schon nächstes Jahr erreichen. Unter dieser Annahme können wir ab März 2018 voraussagen, dass die asymmetrische Verschlüsselung mit 512-Bit-Schlüsseln irgendwann gegen Ende 2019 durch einen hypothetischen Bristlecone-Nachkommen mit 144 Qbit durchbrochen werden könnte. Die asymmetrische Verschlüsselung mit 4096-Bit-Schlüsseln bleibt dann bis 6 Jahre später bestehen, was uns Zeit bis Ende 2025 geben würde. Das ist ein sehr hypothetischer Zeitrahmen, der die Einführung neuer Technologien verständlicherweise nicht berücksichtigt.

Zumindest haben wir eine ungefähre Zeitschätzung, um unsere Zukunft vorauszuplanen. Wenn Sie nicht vorhaben, verschlüsselte Daten so lange zu speichern, müssen Sie sich keine Sorgen machen – internationale oder lokale Regulierungsbehörden werden vor 2025 quantenresistente Algorithmen entwickeln müssen. Was übrigens bedeutet, dass Daten im Ruhestand entweder nicht mehr verschlüsselt werden (was eine schlechte Idee sein könnte), oder regelmäßige Wartungen gespeicherter Daten durchgeführt werden müssen.

Wenn Sie nicht warten wollen, bis internationale oder lokale Aufsichtsbehörden mit quantensicheren Standards aufwarten, sollten Sie über den Einsatz der Hybridtechnologie nachdenken – eine Kombination aus erstklassigen Kryptografietechnologien wie RSA mit Schlüsseln geeigneter Länge und Algorithmen basierend auf elliptischen Kurven (ECC). Diese Kombination könnte ausreichen, um Ihre Daten vorerst sicher zu verwahren, zumindest während Sie sich besser auf die Zukunft des Quantencomputers vorbereiten. Inzwischen ist es ratsam, die Fortschritte in der Verschlüsselungsindustrie zu verfolgen und neue Algorithmen zu übernehmen, sobald sie verfügbar sind (und sich als quantenresistent erwiesen haben).

Obwohl auch andere Technologien auf der asymmetrischen Natur des digitalen Computings beruhen, stellt die Blockchain das größte potenzielle Opfer des Quanten-Hackings dar. Bisher hat lediglich die Kryptowährung Ethereum einen öffentlichen Plan angekündigt, um „quantenresistent zu werden“. Dabei habe ich vollkommen vergessen zu erwähnen, dass das One-Time-Pad (ein symmetrisches Verschlüsselungsverfahren, das 1882 erfunden wurde) praktisch immun gegen Quanten-Hacking ist! Eine Alternative, die sich durchaus als zukunftsfähig erweisen könnte.