Quantencomputer sorgen immer wieder durch echte oder vermeintliche Durchbrüche für Schlagzeilen. In diesem Sommer veröffentlichte ein Forschungsteam von IBM beispielsweise ein Paper, in dem die praktische Nützlichkeit bereits bestehender Quantenrechner postuliert wird. Die Forscher wollen einen Weg gefunden haben, die hohe Fehleranfälligkeit der bisherigen Geräte genau zu erfassen und bewusst einzukalkulieren. Somit könnten Quantenrechner eventuell bereits zum Einsatz kommen, bevor das Problem ihrer hohen Fehleranfälligkeit technisch in den Griff zu bekommen ist. Irgendwann wird allerdings auch das passieren und dann kann das neue Rechnerkonzept seine volle Stärke ausspielen. Um zu verstehen, warum dieses Szenario gefährlich werden kann, muss man zunächst das Prinzip des Quanten-Computing und die Funktionsweise aktueller Verschlüsselungen betrachten.
Ein Bit nimmt entweder den Wert 1 oder den Wert 0 an. Darauf basiert unsere gesamte digitale Technologie. In der mysteriösen, winzigen Quantenwelt gilt diese Gewissheit nicht mehr. Quantenobjekte können zwei Zustände gleichzeitig, beziehungsweise einen undefinierten Zwischenzustand annehmen. Das bekannteste Beispiel dafür ist vermutlich Schrödingers Katze. Das Tier hat für die Aussenwelt solange den Status tot und lebendig zugleich – bis jemand die Kiste öffnet und nachsieht. Ähnlich verhält es sich mit Quantenbits. Deren Zustand kann nur durch eine Messung bestimmt werden. Bis diese stattfindet, befinden sie sich im undefinierten Zustand, beziehungsweise nehmen die Werte 1 und 0 gleichzeitig an.
Diese in unserer makroskopischen Welt nicht vorstellbare Eigenschaft der Quantenobjekte, die Superposition, könnte dafür sorgen, dass sich sehr komplexe mathematische Probleme wesentlich schneller lösen lassen. Beziehungsweise Probleme überhaupt erst lösbar werden, die es heute nicht in reeller Zeit sind. Darauf deutet zumindest der aktuelle Forschungsstand hin. Die Entwickler des kanadischen „Borealis“-Rechners behaupten beispielsweise, ein Problem in 36 Mikrosekunden gelöst zu haben, für das ein herkömmlicher Supercomputer Tausende von Jahren benötigt hätte. Probleme schneller lösen – das klingt eigentlich positiv, kann aber auch gefährlich werden.
Die heute im Internet und in der digitalen Welt omnipräsente asymmetrische Kryptografie könnte durch überlegene Quantencomputer angegriffen werden. Das System basiert darauf, dass mittels eines Algorithmus aus einem privaten Schlüssel ein öffentlicher Schlüssel erzeugt wird und nur der öffentliche Schlüssel über das Internet übertragen wird. Der Zusammenhang zwischen privatem und öffentlichem Schlüssel wird über komplexe mathematische Operationen hergestellt, die schwer umkehrbar sind. Dies kann beispielsweise die Multiplikation sehr großer Primzahlen sein. Diese Berechnung ist einfach. Die umgekehrte Primfaktorzerlegung des Ergebnisses ist allerdings sehr komplex. Heute eingesetzte Verschlüsselungen basieren darauf, dass die leistungsstärksten konventionellen Computer derartige Berechnungen nicht in einer sinnvollen Zeitspanne durchführen können. Mit dem Quantencomputer könnte sich dies aber ändern. Wodurch es plötzlich möglich wäre, private aus öffentlichen Schlüsseln zu errechnen.
In der Theorie existieren bereits spezielle, für Quantenrechner entwickelte Algorithmen. Sobald die entsprechende Hardware verfügbar ist, können damit beispielsweise Suchvorgänge viel schneller durchgeführt werden. Der Grover-Algorithmus beschleunigt diese im Quadrat. Bei linearer Suche würde man 2128 Rechenschritte benötigen, um eine AES-128 Verschlüsselung zu knacken – mit dem Grover-Algorithmus dagegen ‚nur‘ noch 264 Schritte. In diesem speziellen Fall könnte man die Schlüssellänge verdoppeln und die Verschlüsselung wäre wieder sicher. Doch das gilt nur für den Grover-Algorithmus. Werden in Zukunft noch leistungsfähigere Verfahren für Quantenrechner gefunden, reichen immer längere Schlüssel nicht mehr aus und es werden gänzlich neue Konzepte benötigt – Probleme, deren Umkehrung auch für Quantenrechner zu komplex ist. An den entsprechenden Post-Quanten-Algorithmen wird bereits gearbeitet. Dort geht es dann beispielsweise um Problemstellungen innerhalb der algebraischen Geometrie oder in hochdimensionalen Gittern.
Wenn sich Mathematiker und Informatiker über komplizierteste Probleme und neue Algorithmen den Kopf zerbrechen, wirkt das zunächst alles andere als alltagsrelevant. Doch asymmetrische Kryptografie gehört inzwischen für fast alle Menschen zum Alltag – wenn auch meistens unbewusst. Sichere Verbindungen zwischen Websites und Nutzern (HTTPS) basieren darauf, ebenso wie die Ende-zu-Ende-Verschlüsselung bei Messengern wie WhatsApp. Digitale Dokumente, wie sie etwa in einer ID-Wallet abgelegt werden sollen, die die EU gerade erarbeitet, würden ebenfalls nach dem Muster der asymmetrischen Kryptografie funktionieren. Der Sinn dabei ist, dass jeder sie mit einem öffentlichen Schlüssel prüfen kann, aber nur Berechtigte mit den privaten Schlüsseln zur Ausstellung fähig sind. Bei qualifizierten elektronischen Signaturen wird ebenfalls asymmetrische Kryptografie eingesetzt.
In Zukunft könnte hier enormes Bedrohungspotenzial entstehen: Kriminelle mit Zugang zu einem in der Rechenleistung überlegenen Quantencomputer könnten die konventionellen Algorithmen, die die Basis für all diese Verschlüsselungen bilden, in kurzer Zeit knacken. Damit könnten sie verschlüsselten Datenverkehr und Nachrichten mitlesen, digitale Dokumente und Signaturen fälschen. Auch bestehende digital signierte Verträge wären dadurch auf einen Schlag wertlos.
Diese Gefahr ist zwar noch hypothetisch und nicht akut, man sollte sie aber keinesfalls ignorieren. Die Entwicklung der Quantenrechner schreitet unablässig fort und irgendwann werden sie in den praktischen Einsatz kommen – sei es in 10, 20 oder 30 Jahren. Und dann wird irgendwann Murphys Gesetz zuschlagen und die Geräte werden wohl oder übel auch in falsche Hände gelangen. Darauf müssen wir vorbereitet sein. IT-Sicherheitsanbieter aber auch Vertrauensdienste müssen ihre Hard- und Software daher bereits heute so designen, dass sie zukünftig neue, quantensichere Algorithmen integrieren können. Die US-amerikanische Normungsbehörde NIST veröffentlichte bereits die ersten Algorithmen-Kandidaten für eine solche Post-Quanten-Kryptografiewelt, die ihre Festigkeit aber noch beweisen müssen. Das Rennen ist in jedem Fall eröffnet.