Fachartikel

Datensicherheit in Zeiten von Quantum Computing

Quantencomputer machen klassische Verschlüsselungsverfahren in absehbarer Zeit obsolet. Daher müssen Unternehmen und öffentliche Einrichtungen bereits heute Vorkehrungen treffen, um die Sicherheit ihrer Daten und IoT-Systeme zu gewährleisten. Der Beitrag erklärt, welche Maßnahmen dafür in Betracht kommen. Dazu zählt der Einsatz einer Post-Quantum-Verschlüsselung. Wichtig sind außerdem die lückenlose Erfassung geschäftskritischer Daten und der Aufbau von Quantencomputer-Know-how.
Quantenrechner wie hier Juniq mit 5000 Qubits sind keine Science-Fiction mehr.
Computer, die sich die Quantenmechanik zunutze machen, sind keine Science-Fiction mehr. Alle führenden Industrienationen arbeiten an solchen Systemen. Dazu zählen Unternehmen und Forschungsinstitute in Nordamerika und Europa sowie in Ländern wie China, Indien, Japan und Südkorea. In Deutschland ging beispielsweise im Januar 2022 im Forschungszentrum Jülich der Quanten-Annealer "Juniq" (Juelicher Nutzer-Infrastruktur für Quantencomputing) in Betrieb. Dieser Rechner basiert auf der Technologie des US-Unternehmens D-Wave und stellt eine Leistung von 5000 Qubit zur Verfügung.

Mittlerweile stellen auch kommerzielle Anbieter Quantum-Computing-Ressourcen bereit. Interessenten haben beispielsweise die Möglichkeit, Quantenrechner "as a Service" über die Cloud zu nutzen. Solche Angebote haben Serviceprovider wie Amazon Web Services (Amazon Braket), Google (Google Quantum Computing Service), Microsoft (Azure Quantum) und IBM (IBM Quantum Computing) entwickelt. Der chinesische Internetkonzern Baidu hat im August 2022 einen entsprechenden Dienst angekündigt, inklusive eines Software-Stacks und einer Hardware-Integrationslösung.

Quantum Annealer und universelle Quantenrechner
Interessenten müssen allerdings nicht zwangsläufig auf Clouddienste zurückgreifen, wenn sie Erfahrungen mit Quantum Computing sammeln möchten. Sie haben beispielsweise die Option, auf Quantum Annealer von Anbietern wie D-Wave, IBM, Atos und Rigetti zurückzugreifen oder einen Digital Annealer einsetzen, etwa die Digital Annealing Unit (DAU) von Fujitsu. Ein Annealer nutzt quantenmechanische Effekte und entsprechende Prozessoren (QPUs), um in erster Linie Problemstellungen aus dem Bereich Optimierung zu lösen, etwa die Lenkung von Verkehrsströmen und Verbesserung von Prozessen in der Logistik. Auch das Erkennen von Mustern und Machine Learning zählen zu den Einsatzfeldern.

Neben Annealern sind universell einsetzbare Quantenrechner verfügbar, die auf Quanten-Gattern beruhen. Speziell Firmen und Forschungseinrichtungen in China und US-Unternehmen arbeiten an solchen Quantenrechnern. IBM hat beispielsweise mit Q System One ein solches Modell vorgestellt. Auch Rigettis Universal-Gate-Model-Computer der Aspen-Reihe mit supraleitenden QPUs zählen zu dieser Kategorie. Der Vorteil von Systemen auf Basis von Quanten-Gattern ist, dass sich auf ihnen beliebige Algorithmen implementieren lassen, nicht nur solche, die auf die Lösung von Optimierungsproblemen ausgelegt sind.
Risiken für Verschlüsselungsalgorithmen
Ein zentraler Vorteil von Quantensystemen ist, dass sie Rechenoperationen deutlich schneller ausführen können als konventionelle Computer. Das gilt für Problemstellungen, bei denen eine große Zahl von Varianten und Lösungsmöglichkeiten zu berücksichtigen ist. Das hat für Unternehmen und öffentliche Einrichtungen allerdings nicht nur positive Effekte. Ein Problempunkt ist, dass sich mithilfe solcher Systeme effizientere Cyberangriffe auf Verschlüsselungsalgorithmen durchführen lassen. Das gilt insbesondere für asymmetrische Verschlüsselungstechniken, die mit einem öffentlichen und privaten Schlüssel arbeiten (Public-Key-Infrastruktur-Systeme, PKI).

Beispiele sind das RSA-Verfahren sowie Verschlüsselungstechniken auf Basis des Digital Signature Algorithm (DSA) und des Diffie-Hellman-Algorithmus (DH). Auch Ansätze, die auf elliptischen Kurven beruhen (Elliptic Curve Digital Signature Algorithm, ECDSA), verlieren durch Quantum Computing einen Großteil ihrer Schutzwirkung.

Der Grund ist, dass solche Verschlüsselungsverfahren darauf basieren, dass es einen hohen Rechenaufwand erfordert, um Produkte von Primzahlen in ihre Bestandteile zu zerlegen, etwa 37.710.903 in 4231 und 8913. Mit konventionellen Rechnern sind solche Aufgaben nicht mit einem akzeptablen Zeitaufwand zu bewältigen. Je nach Schlüssellänge kann es Jahrtausende von Rechenzeit erfordern, eine solche Verschlüsselung zu brechen. Anders bei Quantensystemen: Sie sind in der Lage, solche Berechnungen in kurzer Zeit, sprich Minuten oder Stunden, durchzuführen. Ein Quantenrechner mit 4000 Qubit benötigt beispielsweise etwa zehn Sekunden, um einen RSA-Schlüssel mit 2048 Bit zu knacken. Der amerikanische Mathematiker Peter Shor hat bereits 1994 einen entsprechenden Algorithmus für solche Zwecke erarbeitet.

Daten entwenden und später entschlüsseln
Staatliche Organisationen wie Geheimdienste können daher in absehbarer Zeit mithilfe von Quantum Computing die verschlüsselte Kommunikation von Unternehmen und öffentlichen Einrichtungen dechiffrieren. Dies gilt ebenso für Informationen, die in verschlüsselter Form in Archiven liegen. Sicherheitsexperten und das BSI warnen daher bereits heute vor Attacken nach dem Motto "Store Now – Decrypt Later". Das heißt, Angreifer entwenden vertrauliche Informationen, die mit gängigen Verfahren verschlüsselt wurden. Mithilfe von Quantensystemen können sie diese Daten zu einem späteren Zeitpunkt entschlüsseln, etwa technische Unterlagen, vertrauliche E-Mails und Geschäftsinformationen.

Für Unternehmen und öffentliche Einrichtungen bedeutet dies, dass ein Großteil der vertraulichen Informationen gefährdet ist. Und dies vor dem Hintergrund, dass Compliance-Regelungen und die EU-Datenschutzgrundverordnung (DSGVO) explizit verlangen, dass sensible Daten vor dem Zugriff Unbefugter geschützt sind. Das gilt nicht nur für Dokumente, die beispielsweise in CRM-Systemen, Datenbanken und auf Archivierungssystemen abgelegt sind. Auch vertrauliche Daten, die per E-Mail oder über Collaboration-Tools übermittelt werden, gilt es vor Angriffen mit Quantenrechnern zu schützen.

Noch offen ist, wann mit solchen Attacken zu rechnen ist. Experten schätzen die Zeitspanne auf drei bis fünf Jahre. Zu diesem Zeitpunkt dürften die bislang aufwendigen und fehlerträchtigen Verfahren für die Fehlerkorrektur bei Quantenrechnern so weit optimiert sein, dass sich die Technologie einfacher und mit geringerem Aufwand einsetzen lässt. Das gilt insbesondere für Systeme auf Basis von Quantengattern.

Seite 1: Risiken für Verschlüsselungsalgorithmen


Seite 1 von 2 Nächste Seite >>
5.10.2022/ln/Dr. Francis Gaffney, Senior Director of Threat Intelligence bei Mimecast

Nachrichten

Besserer Schutz für vernetzte Medizingeräte [5.12.2022]

Gesundheitsdienstleister setzen digitale Geräte wie Diagnose- und Überwachungssysteme, Ambulanzgeräte und Operationsroboter ein, um die Patientenversorgung zu verbessern. Die Sicherheit dieser Geräte ist daher ebenso wichtig wie ihre primäre Funktion. Palo Alto Networks hat nun "Medical IoT Security" vorgestellt, das dank Machine Learning für Schutz sorgen soll. [mehr]

Hacker dringen bei GoTo und LastPass ein [1.12.2022]

Der Anbieter von Remote-Access-Software GoTo ist Opfer eines Hacks geworden. Dabei konnten die Angreifer auf die Entwicklungsumgebung und auf den von GoTo verwendeten, extrernen Cloudspeicher zugreifen. Die Firmenprodukte sollen davon nicht beeinträchtigt sein. Auch LastPass, das denselben Cloudspeicher nutzt, ist von der Attacke betroffen. [mehr]

Auf Bedrohungssuche [1.12.2022]

Verkehrskontrolle [29.11.2022]

Tipps & Tools

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Zahl der Cloudnative-Anwender legt weiter zu [1.11.2022]

Laut einer aktuellen Umfrage nimmt die Attraktivität Public-Cloud-gestützter Entwicklungs- und Betriebskonzepte spürbar zu. Ein wichtiger Treiber ist dabei der Kostendruck in Unternehmen. Doch steht ein grundlegender Paradigmenwechsel weiterhin aus – vor allem weil der Fachkräftemangel als immer stärkerer Hemmschuh wahrgenommen wird. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen