Warum Quantencomputer die Privatsphäre gefährden werden

Im Juni dieses Jahres stellten IBM und das Fraunhofer-Institut den ersten Quantencomputer an einem deutschen Standort vor. Er steht in Ehningen bei Stuttgart und verfügt über 27 supraleitende Qubits, die nun für Forschungsprojekte zur Verfügung stehen. Wissenschaftler:innen versprechen sich Fortschritte zum Beispiel in der Medizin, der Materialforschung, der Logistik und in der künstlichen Intelligenz. Aber die revolutionäre Entwicklung hat eine Schattenseite: Quantencomputer werden zu einer Gefahr für die Datensicherheit und die Privatsphäre, da sie aktuelle Verschlüsselungen wertlos machen werden.

Quantencomputer vs Kryptografie

Aber wieso sind die als sicher geltenden Verschlüsselungssysteme plötzlich knackbar? Um dies zu beantworten, ist es wichtig zu wissen, dass sie es theoretisch schon immer waren. Kryptographie kann nicht zu 100 Prozent sicher sein, sonst wären Daten auch mit einem Schlüssel nicht mehr lesbar. Das Ziel der Kryptographie ist eher vergleichbar mit einem Virenschutz oder einer Firewall – es geht darum, es Angreifern so schwer wie möglich zu machen, in ein System einzudringen, so dass der Aufwand sich nicht lohnt. Kryptographie ist allerdings erfolgreicher – denn der Zeitaufwand, die Verschlüsselung zu knacken, ist so hoch, dass selbst heutige Superrechner damit überfordert sind.

Die heutigen Verfahren machen es sich zu nutze, dass es in der Mathematik bisher keine effizienten Algorithmen gibt, um die Faktoren von Primzahlen zu berechnen. Einfach ausgedrückt: Es ist leicht, zwei Primzahlen zu finden und sie miteinander zu multiplizieren. 617 mal 751 ergibt zum Beispiel 463.367. Ausgehend von diesem Ergebnis ist es aber schwierig, die zwei ursprünglichen Primzahlen zu bestimmen. Natürlich sind die Zahlen in der Kryptographie weitaus größer, deshalb bräuchten Computer für die Berechnung Zeiten, die über unsere Vorstellungskraft hinausgehen. Wir sprechen von Millionen von Jahren an Rechenzeit, zumindest bei Zahlen, die länger als 2048 Bit sind – was heute bei der RSA-Verschlüsselung als Standard empfohlen wird. Ein Quantencomputer kann diese Berechnungen indes bewältigen.

Das kleinste Rechenelement im heutigen Rechner ist das Bit, das entweder 0 oder 1 sein kann. Das Quantenäquivalent ist ein Qubit. Quantenrechner basieren auf der Quantenmechanik und ihren Eigenschaften, dank derer ein Qubit nicht nur 0 und 1 sei kann, sondern beides gleichzeitig – die sogenannte Superposition. Das hat zur Folge, dass eine kleine Anzahl von Teilchen eine enorme Menge an Information speichern kann: Schon 1.000 Teilchen können jede Zahl von 1 bis 10300 repräsentieren. Ein Quantencomputer kann diese Zahlen zudem parallel manipulieren. Damit kann er zwar heutige Rechner nicht in konventionellen Anwendungen ablösen, aber mit Algorithmen, die sich diese Eigenschaften zunutze machen, bräuchte ein Quantencomputer nur etwa 4.000 fehlerfreie Qubits, um die RSA-Verschlüsselung in kurzer Zeit zu bewältigen.

Qubits haben jedoch den Nachteil, dass sie extrem störanfällig sind. Um Tausende fehlerfreie Qubits nutzen zu können, müssen die Rechner Millionen von Qubits haben, die dazu dienen, dieses sogenannte Rauschen auszugleichen. Das klingt zunächst beruhigend, denn der IBM-Rechner hat gerade mal 27 fehlerfreie Qubits – er ist also weit von dem genannten Schwellwert entfernt. Aber IBM hat schon für 2023 die Entwicklung eines Quantenrechners mit mehr als 1.000 Qubits Rechnerleistung angekündigt, und auch Google zieht eifrig mit. Zudem bemühen sich Forschern, die Algorithmen zu verbessern, so dass nicht mehr so viele Quibts notwendig sind.

Breite Angriffsfläche durch Quantencomputer – Vom IoT bis zur Telemedizin

Die Zielgruppe für Angriffe wäre groß: Die RSA Verschlüsselung ist weit verbreitet, zum Beispiel im Online-Banking, E-Commerce, in der Telemedizin oder im Cloud Computing, im Internet der Dinge (IoT) und in autonome Fahrzeugen. Darüber hinaus sind hochsensible Finanzdaten und Daten zur nationalen Sicherheit damit geschützt. Das Problem daran ist: Die Daten von heute können in einigen Jahren immer noch bedeutsam sein, etwa diplomatische, militärische oder geschäftsstrategische Informationen, ebenso wie private Daten. Es ist ein Fehler, sie erst zu schützen, wenn die Quantentechnik ihre Reife erreichen wird.

Standardisierungsorganisationen wie das US-amerikanische National Institute of Standards and Technology (NIST) suchen derzeit nach einer "Post-Quantum Kryptographie" – das sind quantumsichere Verschlüsselungsverfahren, die auf klassischen Computern bereits funktionieren. Allerdings werden sie noch nicht standardmäßig eingesetzt. Allein die Prüfung der Vorschläge wird einige Jahre in Anspruch nehmen, die Standardisierung ist anschließend ebenfalls langwierig.

Blockchain gegen Angriffe durch Quantencomputer

Blockchains bieten hingegen heute schon Möglichkeiten, unsere Kommunikation und Daten zu schützen. (Lesen Sie auch: wie funktioniert eine Blockchain) Zwar sind die bekannten Blockchains nicht quantensicher – weder Bitcoin noch Ethereum noch alle anderen. Sie hinterlegen Daten in Form von Blöcken, die eine Kette bilden. Die Kette ist dezentral auf beliebig vielen Rechnern verteilt. Ein Rechner fungiert dabei als Knoten, der die gesamte Blockchain speichert und neue Blöcke prüft. Erst wenn die Mehrheit der Knoten sich über die Erstellung eines Blocks einig ist, wird er Teil der Blockchain. Das macht die Blockchain sicher, aber auch langsam, denn die Validierung ist rechenintensiv.

Das xx network verfügt unter anderem über ein Konsens-Protokoll, genannt xx consensus, mit einem Gruppensignatur-Schema, das das Unternehmen "Endorser Sampling" nennt: Um einen Konsens zu erreichen, verwenden xx network eine konstante Teilmenge von Knoten, um jeden Block zu validieren; das gesamte Netzwerk muss daher nicht kommunizieren. Stattdessen signiert jeder “Endorser” nur eine kleine Anzahl von Bits, die dem Block entsprechen. Daher ist die einzelne Unterschrift für sich genommen unsicher, aber da genügend Teilnehmer denselben Block unterschreiben, ist die Unterschrift als Ganzes quantensicher, kompakt und schnell zu validieren – auch mit einem Smartphone. Das Verfahren ist skalierbar, da die Gruppen immer die gleichen Größenordnungen haben.