Die Perspektive eines Kryptoingenieurs auf den Zeitrahmen des Quantencomputings

 (words.filippo.io)
6 Punkte von GN⁺ 22 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Jüngste Forschungsergebnisse haben das mögliche Auftauchen eines kryptografisch relevanten Quantencomputers (CRQC) auf wenige Jahre vorgezogen und die Dringlichkeit der Einführung von Post-Quantum-Kryptografie (PQC) stark erhöht
  • Studien von Google und Oratomic zeigen eine Verringerung der für Angriffe auf 256-Bit-Elliptische-Kurven erforderlichen Ressourcen und bestätigen den Trend zu schnellen Verbesserungen bei Hardware- und Algorithmuseffizienz
  • Experten nennen 2029 als Stichtag für den Abschluss der PQC-Migration und warnen, dass wir nun in die Phase einer „nicht mehr zu leugnenden Bedrohung“ eingetreten sind
  • Als Gegenmaßnahmen werden die sofortige Einführung von ML-DSA und ML-KEM, die schrittweise Ablösung nicht-PQ-sicherer Systeme und der Verzicht auf hybride Authentifizierung vorgeschlagen
  • Fazit: CRQC ist keine Annahme mehr, sondern ein reales Risiko, und ein vollständiger Umstieg auf PQC vor 2029 ist zwingend erforderlich

Die Perspektive eines Kryptoingenieurs auf den Zeitrahmen des Quantencomputings

  • Die Dringlichkeit der Einführung von Post-Quantum-Kryptografie (PQC) ist zuletzt sprunghaft gestiegen
    • Noch vor wenigen Monaten ging man davon aus, dass ausreichend Zeit vorhanden sei, doch neue Forschungsergebnisse haben die Lage grundlegend verändert
    • Es mehren sich die Signale, dass das Auftauchen eines kryptografisch relevanten Quantencomputers (CRQC) auf wenige Jahre vorgerückt sein könnte

Zwei kürzlich veröffentlichte Forschungsergebnisse

  • Das Google-Forschungsteam hat eine Arbeit veröffentlicht, die die für das Brechen von 256-Bit-Elliptische-Kurven (NIST P-256, secp256k1 usw.) benötigte Zahl an logischen Qubits und Gates deutlich reduziert
    • Für eine schnelle Clock-Architektur auf Basis supraleitender Qubits wird berechnet, dass ein Angriff innerhalb weniger Minuten möglich wäre
    • Die Arbeit ist zwar im Kontext von Kryptowährungen geschrieben, tatsächlich hat sie aber noch gravierendere Auswirkungen auf Man-in-the-Middle-Angriffe gegen WebPKI
  • Das Oratomic-Forschungsteam beschreibt in einem System aus neutralen Atomen mit nichtlokaler Konnektivität (non-local connectivity) ein Szenario, in dem nur 10.000 physische Qubits ausreichen, um 256-Bit-Elliptische-Kurven zu brechen
    • Zwar ist es langsamer, doch wenn ein Schlüssel auch nur einmal pro Monat gebrochen werden kann, kann das verheerende Folgen haben
  • Beide Arbeiten zeigen denselben Trend: bessere Hardwareleistung, effizientere Algorithmen und geringere Anforderungen an Fehlerkorrektur

Warnungen von Experten und veränderte Zeitpläne

  • Heather Adkins und Sophie Schmieg von Google sagen, die „Quanten-Grenze sei viel näher als erwartet“, und nennen 2029 als Stichtag für den Abschluss der Migration
    • Das entspricht einem Zeitfenster von nur noch 33 Monaten und ist der bislang aggressivste genannte Zeitplan
  • Scott Aaronson zieht einen Vergleich mit der Zeit, in der die Kernspaltungsforschung 1939 bis 1940 öffentlich verstummte, und warnt vor der Möglichkeit nicht veröffentlichter radikaler Fortschritte
  • Auch der auf der RWPQC 2026 vorgestellte Zeitplan war schon nach wenigen Wochen veraltet, und der Witz, Quantencomputer seien „immer noch zehn Jahre entfernt“, funktioniert nicht mehr
  • Die gemeinsame Botschaft der Experten lautet, dass wir uns jetzt in einer „Phase nicht mehr zu leugnender Bedrohung“ befinden

Risikowahrnehmung und notwendige Reaktion

  • Die zentrale Frage ist nicht mehr: „Ist es möglich, dass es 2030 einen CRQC gibt?“, sondern: „Sind wir sicher, dass es 2030 keinen CRQC gibt?
    • Wer für die Sicherheit von Nutzern verantwortlich ist, kann selbst eine Wahrscheinlichkeit von unter 1 % nicht ignorieren
  • Der Skeptizismus, dass „noch viel Zeit bleibt“, gilt als Signal mangelnder Fachkenntnis
    • Scott Aaronson vergleicht es damit, nach dem Verständnis fehlertoleranter Quantencomputer zu fragen, „wann man 35 faktorisieren könne“ — so, als hätte man 1943 Physiker des Manhattan-Projekts gefragt, „wann sie eine kleine Nuklearexplosion bauen könnten“
  • Prognosen können sich zwar als falsch erweisen, aber inzwischen ist wichtiger, dass sie richtig sein könnten, als dass sie falsch sein könnten, und das aktuelle Risiko ist nicht mehr akzeptabel

Was jetzt zu tun ist

  • Sofort ausrollen (Ship Now) ist erforderlich
    • Auch wenn noch nicht alles perfekt ist, muss die heute verfügbare PQC sofort eingeführt werden
    • ML-DSA-Signaturen sollten an die Stelle von ECDSA treten, und Merkle Tree Certificates für WebPKI sind bereits weit genug fortgeschritten
  • Früher nahm man an, es bleibe genug Zeit, Protokolle an größere Signaturen anzupassen, doch mit der Frist 2029 gibt es diesen Spielraum nicht mehr

Umstellung von Schlüsselaustausch und Authentifizierungssystemen

  • PQ-Schlüsselaustausch auf Basis von ML-KEM kommt gut voran, dennoch sind weitere Schritte nötig
    1. Nicht-PQ-Schlüsselaustausch muss sofort als Risiko aktiver Angriffe behandelt werden, und Nutzer sollten wie bei OpenSSH gewarnt werden
    2. Nicht-interaktiver Schlüsselaustausch (NIKE) sollte vorerst aufgegeben werden; nutzbar sind nur einseitige Authentifizierungsverfahren auf KEM-Basis

  • Neue nicht-PQ-Kryptosysteme dürfen nicht mehr eingeführt werden

    • ECDSA, Pairings, identitätsbasierte Kryptografie und Ähnliches sind nicht länger praktikabel
    • Hybride Authentifizierung (klassisch + PQ) ist unnötig; stattdessen sollte auf reines ML-DSA-44 umgestellt werden
    • Hybride Signaturen bedeuten nur zusätzliche Komplexität und Zeitverschwendung, und die Wahrscheinlichkeit des Auftauchens eines CRQC ist höher als die Wahrscheinlichkeit, dass ML-DSA klassisch gebrochen wird
    • Eine Ausnahme gilt nur für Protokolle, die bereits Mehrfachsignaturen unterstützen; dort ist ein einfaches hybrides Signaturschema vom Typ 2-of-2 vertretbar

Symmetrische Kryptografie und der Grover-Algorithmus

  • Symmetrische Kryptografie muss nicht geändert werden

    • Vereinfachte Darstellungen des Grover-Algorithmus haben zu dem Missverständnis geführt, dass „256-Bit-Schlüssel nötig sind“
    • Tatsächlich reichen 128-Bit-Schlüssel aus, da der Quanten-Geschwindigkeitsvorteil von Grover nicht parallelisierbar ist
    • Unnötige Anforderungen an 256 Bit gefährden Interoperabilität und verzögern den PQC-Umstieg

Auswirkungen auf Software- und Hardware-Ökosysteme

  • Mehr als die Hälfte der Go-Standardbibliothek könnte bald unsicher werden
    • Das Gleichgewicht zwischen Downgrade-Angriffen und Abwärtskompatibilität wird zu einer neuen Herausforderung
    • Es ist mit deutlich größerem Chaos zu rechnen als beim Übergang von SHA-1 zu SHA-256

  • TEE (Trusted Execution Environment) — etwa Intel SGX, AMD SEV-SNP usw. — sind wegen fehlender Unterstützung für PQ-Schlüssel nicht vertrauenswürdig

    • Aufgrund von Geschwindigkeitsgrenzen auf Hardwareebene ist ein PQ-Umstieg unmöglich, sodass sie auf das Niveau von Defense in Depth herabgestuft werden müssen

Identitätsbasierte Krypto-Ökosysteme und Dateiverschlüsselung

  • Kryptografiebasierte Identitätssysteme (z. B. atproto, Kryptowährungen usw.) müssen sofort mit der Migration beginnen

    • Wird sie nicht vor dem Erscheinen von CRQC abgeschlossen, bleibt nur die Wahl zwischen Beeinträchtigung der Nutzer oder Aufgabe von Konten
    • Dateiverschlüsselung ist besonders anfällig für Angriffe nach dem Muster store-now-decrypt-later
    • Für nicht-PQ-age-Empfängertypen sollen Warn- und Sperrfunktionen eingeführt werden
    • PQ-Empfänger wurden erstmals in age Version 1.3.0 eingeführt

Ausbildung und Generationenwechsel

  • In der Doktorandenvorlesung zur Kryptografie an der Universität Bologna werden RSA, ECDSA und ECDH nur noch als Legacy-Algorithmen behandelt
    • Studierende werden ihnen in ihrer späteren Karriere als „Technologien der Vergangenheit“ begegnen
    • Das unterstreicht, dass der PQC-Umstieg ein Generationenwechsel ist

Förderung und Pflege von Open Source

  • Geomys ist eine spezialisierte Wartungsorganisation für das Go-Ökosystem und wird von Ava Labs, Teleport, Tailscale und Sentry unterstützt
    • Diese Unternehmen fördern die nachhaltige Pflege und Absicherung kryptografischer Open-Source-Protokolle
    • Teleport betont die Stärkung der Zugriffskontrolle zur Abwehr von Kontoübernahmen und Phishing, Ava Labs die langfristige Vertrauenswürdigkeit kryptografischer Protokolle im Blockchain-Bereich

Fazit

  • Die Möglichkeit des Auftauchens eines CRQC ist keine Annahme mehr, sondern ein reales Risiko
  • Ein vollständiger Umstieg auf PQC vor 2029 ist zwingend erforderlich
  • ML-KEM und ML-DSA müssen sofort ausgerollt und nicht-PQ-Systeme schrittweise außer Betrieb genommen werden
  • Für Kryptografie-Praktiker und Entscheidungsträger gleichermaßen ist jetzt der Zeitpunkt zum Handeln gekommen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 22 일 전
Hacker-News-Kommentare

  • Wenn der Zeitpunkt näher rückt, an dem Quantencomputer praktisch einsetzbar werden, sollte FIPS 203 (ML-KEM) vorrangig für den Austausch von Sitzungsschlüsseln in Protokollen wie TLS oder SSH eingesetzt werden
    ML-KEM soll das bisherige Diffie-Hellman (klassisch und elliptische Kurven) ersetzen
    Wird es nicht verwendet, können Angreifer Daten schon heute speichern und später entschlüsseln
    Zertifikate oder elektronische Signaturen lassen sich dagegen nicht rückwirkend fälschen, daher ist die Dringlichkeit dort geringer
    Allerdings braucht man für Fälle, in denen Fälschungen auch in Zukunft relevant wären, etwa digitalen Dokumenten mit Rechtswirkung, Signaturverfahren, die auch künftig sicher sind
    Wichtige Bibliotheken wie OpenSSH und OpenSSL unterstützen ML-KEM bereits, sodass sich das auf dem Niveau privater Server leicht umsetzen lässt, ohne das Authentifizierungssystem zu ändern

    • Bis letztes Jahr hatte ich dieselbe Position, und das war auch der breite Konsens in der Branche
      Aber der Zeitplan könnte sich von 2035 auf 2029 vorziehen, sodass nun auch die Umstellung der Authentifizierung parallel vorangetrieben werden sollte
      Die Verbreitung von ML-KEM läuft bereits gut, aber jetzt sollten nicht-quantenresistente Schlüsselaustauschverfahren als potenzielles Risiko gelten
      Das heißt: Wenn Daten länger als drei Jahre aufbewahrt werden, sollte das als Warnstufe behandelt werden
    • Wichtig ist, bestehendes Diffie-Hellman nicht vollständig zu ersetzen, sondern parallel als hybriden Schlüsselaustausch zu verwenden
      Dann wäre ein Angriff nur möglich, wenn sowohl klassische Kryptografie als auch quantenresistente Kryptografie gebrochen würden
      Auch ML-KEM ist ein neuer Algorithmus und könnte sich als angreifbar erweisen, daher ist Hybrid in der Praxis die realistische Verteidigung
      Experten wie Dan Bernstein (djb) betonen ebenfalls, dass alles außer Hybrid eine unverantwortliche Entscheidung sei
    • Tatsächlich werden rechtliche Dokumente oder kryptografische Zeitstempel schon heute mit RSA- oder EC-basierten Signaturen signiert
      In solchen Fällen ist ein Wechsel zu quantenresistenten Signaturen nötig, um künftige Fälschungen zu verhindern

  • Diese Diskussion wirkt nichtlinear
    Bei RSA stieg die Schwierigkeit schrittweise von 8 Bit über 64 Bit auf 256 Bit, aber bei Quantencomputern gab es in den letzten zehn Jahren keinen Fortschritt bei RSA oder EC
    Zu behaupten, dass plötzlich innerhalb weniger Jahre alle Public-Key-Verfahren gebrochen werden könnten, wirkt daher seltsam
    Bevor man nicht wenigstens RSA-256 im Labor gebrochen sieht, ist eine vorschnelle Schlussfolgerung schwierig

    • Wenn man sich Bas Westerbaans Text und Scott Aaronsons Kommentar ansieht, ist der Kernpunkt die Fehlerkorrektur (error correction)
      Sobald das möglich wird, ist der Schritt von 32-Bit-RSA zu 2048-Bit-RSA kein großer Unterschied mehr
      Es ist ähnlich wie bei einer nuklearen Kettenreaktion: Sobald sie sich selbst trägt, ist es nicht mehr schwer, die Größe der Bombe zu erhöhen
      Deshalb sagen Experten, dass der Zeitplan so kurz sein könnte
    • Tatsächlich haben sich in den letzten zehn Jahren Gate-Genauigkeit und Zahl der Qubits um ein Vielfaches erhöht, und auch die Effizienz der Fehlerkorrektur hat sich stark verbessert
      Vor allem in den letzten vier Jahren waren die Fortschritte in diesem Bereich explosionsartig
    • Der Kern des Textes ist, dass der Public-Key-Austausch riskant ist, nicht dass die anschließende symmetrische Verschlüsselung selbst gefährdet wäre
    • Zur Einordnung: Die bislang größte von einem Quantencomputer faktorisierte Zahl ist 21

  • Ich halte das für einen guten Text
    Bemerkenswert fand ich, dass die Standardisierung hybrider HPKE-Empfänger wegen Verzögerungen in der CFRG ganze zwei Jahre gedauert hat
    Solche Prozessprobleme sollte die IETF intern aufarbeiten

    • Ich halte die im Text vertretene Anti-Hybrid-Logik für falsch
      Selbst wenn es CRQC schon jetzt gäbe, würden hybride Algorithmen die Angriffskosten auf mindestens eine Million Dollar anheben
      Wenn man bedenkt, dass sich einige Kandidaten der dritten PQC-Runde sogar auf einem Laptop brechen ließen, ist das deutlich besser
    • Schade, dass ich dich beim letzten CRFG-Treffen nicht gesehen habe

  • Durch diesen Text habe ich meine Haltung „Quantencomputer sind noch weit entfernt und RSA ist okay“ etwas geändert
    Danke, dass die Risiken so realistisch erklärt werden, dass sie auch für Skeptiker nachvollziehbar sind

    • Besonders eindrucksvoll fand ich Scott Aaronsons Aussage
      Die Analogie, dass die Frage „Wann werdet ihr 35 faktorisieren?“ an Wissenschaftler des Manhattan-Projekts 1943 so sei, als würde man sie fragen: „Wann werdet ihr eine kleine nukleare Explosion erzeugen?“, hat meine Sicht komplett verändert

  • Die Forderung, hybride Schlüssel wegzulassen, ist gefährlich
    Die neuen Algorithmen sind in der Praxis noch nicht ausreichend erprobt, daher könnte schon ein einzelner Fehler großen Schaden anrichten

  • Quantencomputing könnte auch zur Beschleunigung des LLM-Trainings genutzt werden, daher ist es klug von Google, dort zu investieren
    Google und SoftBank haben letztes Jahr 230 Millionen Dollar investiert, und Microsoft, IBM und Google haben in den letzten 20 Jahren zusammen 15 Milliarden Dollar ausgegeben
    Wenn man aber bedenkt, dass Google jährlich 150 Milliarden Dollar in Rechenzentren investiert, könnte das auch ein Signal dafür sein, dass die praktische Nutzung noch weit entfernt ist

  • Es ist gut möglich, dass Regierungen bereits Supercomputer entwickeln, um Kryptografie zu brechen
    Wie beim Manhattan-Projekt sind die Prinzipien bekannt, und es bleiben im Wesentlichen nur noch technische Umsetzungsprobleme
    Regierungen sind gut darin, Geld zu mobilisieren, also könnte das tatsächlich bereits laufen

    • Damals war die Uranbombe (Little Boy) konstruktiv so einfach, dass man auch ohne Test vom Erfolg überzeugt war
      Die Plutoniumbombe (Fat Man) war dagegen viel komplexer, aber effizienter und wurde zur Grundlage der Kernwaffentechnik
      Die Designs von Little Boy und Fat Man sind selbst heute noch interessant
    • Ein Quantencomputer ist wie der ultimative Zero-Day
      Eine Technologie, die man nicht sofort einsetzt, sondern für den entscheidenden Moment zurückhält
    • Ich finde es schwer zu glauben, dass Regierungen solche Technologien nicht im Geheimen entwickeln
      Beispiele wie XKeyscore hat es schließlich bereits gegeben
    • Das Manhattan-Projekt war allerdings ein gigantisches Industrieprojekt, an dem ein erheblicher Teil der US-Bevölkerung beteiligt war
      Eine Mobilisierung in diesem Ausmaß wird man vermutlich nie wieder sehen

  • Dieser Text hat mir die Bedeutung symmetrischer Verschlüsselung noch einmal vor Augen geführt
    Bis sich PQE vollständig etabliert hat, könnten manche wichtigen Systeme mit symmetrischer Kryptografie auf Basis von Pre-Shared Keys (PSK) ergänzt werden
    Wenn man etwa ein WireGuard-VPN mit PSK betreibt, müssen Schlüssel zwar manuell verteilt werden, aber abgefangener Traffic wird wertlos
    Dieser Ansatz skaliert zwar nicht, kann aber eine sofort umsetzbare, realistische zusätzliche Sicherheitsschicht sein
    Am Ende ist PQE wohl die beste Lösung, aber neue Mathematik und neue Systeme sind noch nicht ausreichend geprüft, daher braucht es parallele Vorsorge

  • Ich verstehe nicht, warum der Autor auf AES-128 besteht
    AES-256 kostet kaum mehr und ist auch gegen Store-now-decrypt-later-Angriffe besser gewappnet
    Der Industriestandard empfiehlt 256-Bit-Schlüssel, also sollte man einfach diesem Standard folgen
    Auch Werkzeuge wie Age sollten standardmäßig 256-Bit-Dateischlüssel verwenden

    • NIST und BSI erklären jedoch ausdrücklich, dass AES-128, 196 und 256 auch nach dem Quantenzeitalter sicher seien
      Dass AES-128 ausreicht, ist der allgemeine Konsens in der Branche
      Ein Szenario, in dem CRQC symmetrische Kryptografie bedroht, gibt es nicht
    • Der Autor hat klar gesagt, dass AES-128 aktuell nicht gefährdet ist
      Eine erzwungene Umstellung auf 256 könnte im Gegenteil von den wirklich wichtigen Migrationsaufgaben ablenken

  • Quantencomputing scheint auf Verschränkung (entanglement) zu beruhen und Effekte über Lichtgeschwindigkeit hinaus zu erzeugen, verletzt aber tatsächlich keine physikalischen Gesetze
    Deshalb sollte man es weniger als Science-Fiction sehen, sondern eher als extrem schwierige ingenieurtechnische Herausforderung