Post-Quantum Cryptography
Warum wir heute schon an „Danach“ denken müssen
Österreich gilt seit dem Nobelpreis für Anton Zeilinger endgültig als Quantenland. Ob in Wien, Innsbruck oder den Laboren des AIT, hier entstehen Technologien, die das Potenzial haben, unsere Welt nachhaltig zu verändern. Ein aktuelles Beispiel: Das neue „Quantenteleskop“ am Hafelekar (Bodenstation Marietta Blau), mit dem ein neues Kapitel der quantensicheren Kommunikation beginnt.
Doch dieser gigantische Fortschritt hat eine Kehrseite für die IT-Sicherheit. Wenn wir Begriffe wie „Post-Quantum“ hören, klingt das beruhigend weit weg. Aber das ist ein gefährlicher Trugschluss. Aus Sicht der IT-Sicherheit müsste es eigentlich „Pre-Quantum“ heißen. Laut aktueller Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) wurden zentrale technische Hürden beim Bau eines kryptografisch relevanten Quantencomputers (CRQC) überwunden. Wörtlich heißt es: „Major roadblocks […] were resolved in 2024, bringing us a lot closer to this goal.“
„Angreifende speichern bereits heute verschlüsselte Daten um sie in Zukunft mit Quantencomputern zu entschlüsseln.“
Warum „in 10 Jahren“ ein Problem von heute ist
Migration braucht Zeit: Die Umstellung einer kompletten Unternehmens-Infrastruktur auf neue Krypto-Standards dauert oft viele Jahre.
Daten leben länger: Viele Informationen müssen 10 Jahre oder länger vertraulich bleiben. Das gilt insbesondere für Kritische Infrastrukturen (KRITIS) und deren Zulieferer wie Energie, Wasser oder Verteidigung.
Die Bedrohung ist heute: Mit Methoden wie „Harvest Now, Decrypt Later“ speichern Angreifende bereits heute verschlüsselte Daten, um sie in Zukunft mit Quantencomputern zu entschlüsseln.
Die Technologie ist bereit: Die neuen PQC-Algorithmen stehen heute zur Verfügung. Wer jetzt umstellt, verhindert, dass durch klassische Verschlüsselung künftig „unsicherer Datenmüll“ entsteht.
Compliance verlangt Handeln: Vorgaben wie NIS2, ISO oder CIS Controls fordern bereits heute eine Krypto-Inventur, also Transparenz darüber, welche Verfahren wo eingesetzt werden.
PQC vs. QKD – zwei Wege, ein Ziel
Oft werden Begriffe durcheinandergeworfen. Wir haben in einem früheren Beitrag bereits über unsere Kooperation mit ZeroThird (QKD) berichtet. Aber wie grenzt sich das nun von PQC ab?
Stellen Sie sich zwei Schutzschilder vor:
1. PQC (Post-Quantum Cryptography): Die Software-Lösung.
Hier kämpft Mathematik gegen Mathematik. Es sind neue Algorithmen, die auf neuartigen kryptographischen Primitiven basieren. Sie sind nicht anfällig für den Shor-Algorithmus (der klassische Verfahren bricht), weshalb selbst leistungsfähige Quantencomputer an ihnen scheitern. Der Vorteil: Es ist „nur“ Software. Sie läuft auf bestehender Hardware, im Browser, auf dem Smartphone. Das ist die Lösung für die breite Masse.
2. QKD (Quantum Key Distribution): Die Physik-Lösung.
Hier werden (quanten)sichere Schlüssel mit Hilfe von Naturgesetzen gleichzeitig an beiden Orten generiert. Dies geschieht völlig zufällig durch unabhängige Messungen an verschränkten Photonen. Wer abhört, verändert den Schlüssel und wird sofort entdeckt. Der Vorteil: Sicherheit made by Naturgesetzen. Perfekt für hochkritische Punkt-zu-Punkt-Verbindungen (Rechenzentren, Behörden), wie wir sie mit ZeroThird realisieren.
„Die Uhr tickt und sie tickt schneller als gedacht.“
Jetzt ist der richtige Zeitpunkt für Ihre Krypto-Inventur
Die Technologie ist da. Die Standards sind gesetzt. Die Regulatorik zieht nach. Wir befinden uns mitten in der Migrationsphase zur Post-Quantum-Security.
Starten Sie mit einer Krypto-Inventur. Verschaffen Sie sich einen Überblick, wo in Ihrem Unternehmen welche Verschlüsselungsverfahren im Einsatz sind und wie lange die betroffenen Daten vertraulich bleiben müssen.
In einem zweiten Blog zu diesem Thema berichten wir praxisnah über Lösungsansätze und Projekte aus unserem Alltag.
RELAX, WE CARE