Verschlüsselung: Die Kunst, so zu schreiben, dass fast niemand es versteht

Etwas so aufzuschreiben, dass keiner es versteht, ist nicht schwierig. Mit ein bisschen Kreativität und einer ordentlichen Portion Willkür schafft man sogar sehr schnell eine unknackbare Verschlüsselung. Bedauerlicherweise ist dies jedoch genauso unnütz wie einfach. Die wahre Kunst ist es nämlich, etwas so zu verschlüsseln, dass niemand es lesen kann - ausser den Personen, für welche die Nachricht bestimmt ist.

Damit das Gegenüber eine verschlüsselte Nachricht auch wieder entschlüsseln kann, benötigt der Chiffriervorgang, also die Verschlüsselung, eine gewisse Systematik. Je systematischer der Prozess ist, desto einfacher ist auch die Entschlüsselung durch Unbefugte. Mit dieser Zwickmühle befasst sich die Menschheit schon seit tausenden Jahren - wohl schon seit der Mensch gelernt hat, etwas aufzuschreiben. So gibt es etwa Beispiele altägyptischer religiöser Texte, die (wohl um gewisse Tabus zu wahren) verschlüsselt niedergeschrieben wurden.

Kryptografie vs. Steganografie

Die Kryptografie (was aus dem Altgriechischen übersetzt in etwa "Geheimschreiben" bedeutet) befasst sich mit den diversen Verschlüsselungstechniken, die im Laufe der Jahrtausende entstanden sind. Der Begriff ist dabei von der Steganografie abzugrenzen. Bei der Kryptografie geht es darum, den Inhalt einer Botschaft zu verschlüsseln, sodass ein anderer sie nicht lesen kann. Bei der Steganografie geht es hingegen darum, das Medium der Botschaft selbst zu kaschieren. Ein Beispiel hierfür wäre etwa, wenn man eine Nachricht in Zitronensaft oder einer anderen "unsichtbaren" Tinte verfasst. Einmal getrocknet, ist eine so verfasste Nachricht erst wieder sichtbar, wenn man Hitze anwendet.

In der Antike nutzte man unter anderem auch Sklaven, um Botschaften zu verstecken. So rasierte Histiaios, der griechische Herrscher von Milet, rund 499 Jahre v. Chr. etwa einem Sklaven den Kopf und tätowierte eine Nachricht auf die Kopfhaut. Sobald die nachwachsenden Haare die Botschaft verdeckten, schickte er den Sklaven los. Der Empfänger, Aristagoras, musste den Sklaven lediglich wieder rasieren, um die Nachricht - ein Aufruf, sich gegen den persischen Grosskönig Dareios I. zu erheben - zu lesen.

Eine modernere und weitaus komplexere Form der Steganografie ist das Verstecken von Bildern in anderen Bilddateien. Dazu werden die niederwertigsten Bits, welche die Farbe eines Pixels kodieren, manipuliert. Dieser Vorgang verändert das Originalbild nur minimal; eventuell wirkt das Bild so, als ob es bei schlechten Lichtverhältnissen aufgenommen wurde. Steganografie und Kryptografie schliessen sich jedoch mitnichten gegenseitig aus. Ganz im Gegenteil: In der Regel mag es wohl sehr sinnvoll sein, eine verschlüsselte Botschaft auch noch zu verstecken, sodass sie gar nicht erst gefunden wird.

Zwei grundlegende Methoden

Es gibt im Wesentlichen zwei Arten, einen Text analog zu verschlüsseln. Die erste ist die sogenannte Transposition. Hierbei werden die einzelnen Buchstaben eines zu verschlüsselnden Textes neu sortiert. Eine sehr simple Form davon ist, die Buchstaben eines Wortes rückwärts zu schreiben. So wird etwa aus dem Klartext "Die einfachste Form der Transposition" die Geheimbotschaft "EID ETSHCAFNIE MROF RED NOITISOPSNART". Übrigens: Leonardo da Vinci schrieb seine Notizen in der Regel auf vergleichbare Weise auf, nämlich spiegelverkehrt.

Eine weitere Variation dieses Verfahrens ist die sogenannte "Gartenzaun"-Methode. Der Klartext - bleiben wir beim Beispiel "Leonardo da Vinci" - wird dabei folgendermassen angeordnet:

Von links nach rechts und von oben nach unten gelesen, ergibt sich dann als Chiffrat (eine andere Bezeichnung für den verschlüsselten Geheimtext) diese Losung: LOADDVNIENROAIC. Der Text kann aber auch über mehr Zeilen verteilt werden, was den Grad der Verschlüsselung zusätzlich erhöht.

Die Transposition ist schon mindestens seit der Antike in Gebrauch. So soll etwa insbesondere der griechische Stadtstaat Sparta diese Methode genutzt haben, um geheime Botschaften etwa an Befehlshabende im Feld zu verschicken. Dazu wurde ein Leder- oder Pergamentstreifen um einen Stab mit einem bestimmten Durchmesser gewickelt. Dieser, und daraus abgeleitet auch die Verschlüsselungsmethode, wurde Skytale genannt. Die Botschaft wurde anschliessend in der Laufrichtung des Stabes geschrieben - sodass jeweils nur ein Buchstabe nebeneinander auf dem Streifen stand. Ausgerollt, standen die Buchstaben also untereinander und somit verschlüsselt auf dem Streifen.

In der Antike wurde ein Lederstreifen vor dem Beschriften um eine Skytale gewickelt. Entrollt ergab der Text - in diesem Beispiel "TIAHSRISTSPA" - keinen Sinn mehr. (Source: Netzmedien)

Der Empfänger, sofern er über einen Stab mit demselben Durchmesser verfügte, konnte den Text wieder lesbar machen, indem er den Streifen einfach um den Stab wickelte. Beim Transport wurde der Streifen manchmal auch als Gürtel getragen, was die verschlüsselte Botschaft noch weiter versteckte. Es gibt jedoch auch Zweifel an der Theorie, dass es sich hierbei um eine Verschlüsselungstechnik handelte. Möglicherweise sollte die Skytale lediglich verifizieren, dass es sich um eine authentische, unverfälschte Nachricht handelte.

Die Caesar-Chiffre

Egal wie man die Buchstaben durcheinanderwirbelt, der verschlüsselte Text bleibt stets ein Anagramm der ursprünglichen Botschaft. Das heisst, dass es auch ohne technische Hilfsmittel kein Ding der Unmöglichkeit ist, die geheime Nachricht wieder zu entschlüsseln oder auch zu erraten. Die Substitution - die andere grundlegende Verschlüsselungsform - geht einen anderen Weg. Hier werden die einzelnen Buchstaben durch andere ersetzt.

Ein bekanntes Beispiel, das auch heute noch eine gewisse Relevanz besitzt, ist die sogenannte Caesar-Chiffre. Dabei handelt es sich um ein simples Substitutionsverfahren, das Gaius Iulius Caesar gemäss Sueton schon vor über 2000 Jahren nutzte. Um eine Nachricht zu verschlüsseln, werden die Buchstaben um einen bestimmten Wert im Alphabet verschoben - dieser Wert ist der Schlüssel. Nimmt man also den Schlüssel 5, wird aus dem Ursprungstext "IT-MARKT" neu "NY-RFWPY" oder auch "NYRFW PY", wenn man es - wie bei verschlüsselten Botschaften üblich - weniger offensichtlich niederschreiben will.

Beispiel einer Caesar-Chiffre, wie sie auch Namensgeber Gaius Iulius Caesar verwendet haben soll. (Source: Netzmedien)

Die Caesar-Chiffre findet sogar in der digitalen Welt noch Verwendung und zwar als ROT13. Dabei werden die einzelnen Buchstaben um den Wert 13 verschoben. Diese Methode gehört etwa zu den Basis-Tools vieler Linux- und Unix-Betriebssysteme - und auch Windows XP nutzte ROT13 für gewisse Registrierungsschlüssel. Ferner wird das Verfahren vor allem bei Onlineforen genutzt, um etwa Spoiler oder Pointen zu verschleiern. Der Wert 13 ist kein Zufall. Da das lateinische Alphabet aus 26 Buchstaben besteht, lässt sich ein Text mit demselben Algorithmus ver- und auch wieder entschlüsseln. Denn in beiden Fällen verschiebt man das Alphabet um jeweils 13 Stellen.

Eine echte Verschlüsselung bietet die Caesar-Chiffre und somit auch ROT13 nicht. Da auch hier wieder gilt: Der Geheimtext lässt sich leicht knacken - auch ohne technische Hilfsmittel. Je länger das Chiffrat, desto einfacher ist es, die Botschaft zu entschlüsseln. Dafür muss man lediglich wissen, wie oft bestimmte Buchstaben in einer Sprache vorkommen. Der häufigste Buchstabe in deutschen Texten ist gemäss Duden etwa das "e" mit über 12 Prozent. Darauf folgen "n" und "r" mit jeweils über 8 Prozent. Um den Text zu knacken, muss man nur die Buchstaben zählen.

Da ROT13 überhaupt keinen echten Schutz bietet, ist das Verfahren daher in gewissen Kreisen selbst zur Pointe geworden. Etwa, wenn man sich über eine schwache Verschlüsselung lustig machen will.

Das Freimaurer-Alphabet

Die Buchstaben einer Nachricht müssen nicht zwingend mit anderen Buchstaben ausgetauscht werden. Ein Beispiel hierfür ist die im englischsprachigen Raum als Pigpen Cipher bekannte Methode. Auf Deutsch kennt man sie vor allem als Freimaurer-Alphabet. Für diese Methode wird das lateinische Alphabet wie folgt grafisch dargestellt:

Die Anordnung im Gitter bestimmt das Symbol, das zur Substitution verwendet wird: Der Buchstabe wird ersetzt und der Teil des Gitters, in dem er sich befindet, wird als Geheimbuchstabe substituiert. Das heisst, die Losung ­ITMARKT wird folgendermassen chiffriert:

Der Begriff "Freimaurer-Alphabet" ist allerdings etwas irreführend. Zwar findet man heute noch zahlreiche derart verschlüsselte Botschaften auf Fassaden und Grabsteinen, die auf die Freimaurer zurückgeführt werden. Die Methode ist jedoch deutlich älter als die Freimaurerei. So gibt es etwa Anzeichen, dass die Rosenkreuzer und auch die Templer schon zuvor Botschaften auf diese Weise geometrisch verschlüsselten.

Der Ursprung, so vermutet man, liegt jedoch in der Antike und im hebräischen Sprachraum. Die Chiffre ist auch besser geeignet für das hebräische Alphabet. Dieses hat nämlich 22 Buchstaben; 5 davon haben eine zusätzliche Sonderform, die verwendet wird, wenn der Buchstabe am Ende eines Wortes steht. Insgesamt ergibt dies 27 Symbole, die drei Quadrate mit drei mal drei Feldern perfekt ausfüllen. Beim lateinischen Alphabet würde eine Zelle leer bleiben. Um dies zu vermeiden, werden die letzten 8 Buchstaben des Alphabets manchmal auch um zwei Kreuze herum statt in einem weiteren Quadrat angeordnet.

Beim Substitutionsverfahren stellt sich noch die Frage, ob man den Text monoalphabetisch oder polyalphabetisch verschlüsselt. Bei der monoalphabetischen Substitution wird nur ein Geheimalphabet verwendet. Das heisst, bei jedem ausgetauschten Buchstaben findet derselbe Prozess statt, und so werden etwa beide Ts im Wort ITMARKT im Geheimtext durch dasselbe Symbol wiedergegeben.

Bei der polyalphabetischen Substitution werden die Regeln bei jedem Buchstaben neu festgelegt. Folglich kann derselbe Buchstabe im Klartext nachher im Chiffrat jeweils unterschiedlich dargestellt werden - die Verschlüsselung nutzt also für jeden Buchstaben ein eigenes Geheim­alphabet.

Die Enigma-Maschine

Ein sehr bekanntes Beispiel für eine polyalphabetische Verschlüsselung ist die Enigma-Maschine aus dem Zweiten Weltkrieg. Die Maschine ähnelt optisch einer gewöhnlichen Schreibmaschine. Sie ist jedoch viel massiger, da sie neben der Tastatur auch noch eine mit Lampen funktionierende Anzeige sowie ein Walzensystem beherbergt.

Eine stark vereinfachte Darstellung einer Enigma-Maschine: unten die Tastatur, in der Mitte die Leuchtanzeige, oben das Walzensystem und in Rot der Draht, der das elektrische Signal weiterleitet. (Source: Netzmedien)

Drückt der Nutzer auf eine Taste, wird ein elektrisches Signal ausgesendet. Dieses geht von der Tastatur zum Walzensystem. Die Walzen haben auf beiden Seiten jeweils 26 Kontakte - einen für jeden Buchstaben im Alphabet. Allerdings sind die Kontakte unregelmässig verknüpft. Das heisst, der Kontakt auf der Vorderseite ist nicht mit dem gegenüberlegenden Kontakt auf der anderen Seite der Walze verknüpft. Und eine Enigma-Maschine hatte drei bis vier solcher Walzen. Die erste Walze dreht sich nach jedem Tastenanschlag, die darauffolgende erst, wenn die vorherige eine volle Umdrehung gemacht hat. So muss sich das elektrische Signal bei jedem Buchstaben einen neuen Weg durch das Walzenlabyrinth bahnen. Das Signal geht anschliessend zu einer der 26 Lampen der Anzeige und erleuchtet einen Buchstaben.

Da sich die Walzen auf eine bestimmte Position einstellen lassen, kann eine Enigma-Maschine sowohl Botschaften verschlüsseln, als auch verschlüsselte Botschaften wieder rekonstruieren - sofern man wusste, wie die Maschine bei der Verschlüsselung eingestellt war. Übrigens: Alan Turing, der "Vater" des Computers, war massgeblich an der Entschlüsselung der Enigma-Maschine beteiligt.

Symmetrische Verschlüsselung

Mit dem Aufkommen des Computers änderte sich die Verschlüsselung grundlegend. War man zuvor noch daran gebunden, die Buchstaben an sich zu codieren, wirkt die moderne, IT-basierte Verschlüsselung auf der Ebene der einzelnen Bits. Das heisst, dass etwa auch Bilder mit denselben Methoden verschlüsselt werden können wie Texte.

Eine der wichtigsten Fragen bei modernen Verschlüsselungsverfahren ist, ob man einen symmetrischen oder asymmetrischen Schlüssel verwendet. Bevor der Mensch seine eigene Rechenleistung mit dem Computer zu steigern begann, waren alle Verschlüsselungsverfahren symme­trisch. Das heisst, dass eine codierte Nachricht stets mit demselben Schlüssel entschlüsselt wurde, den man zuvor auch benutzt hatte, um den Text zu verschlüsseln.

Ein Beispiel: Der Klartext "IT-MARKT" wird mit der Caesar-Chiffre verschlüsselt - das heisst, die Buchstaben der Nachricht werden um einen bestimmten Wert im Alphabet verschoben. Dieser Wert ist der Schlüssel. Nimmt man also den Schlüssel 5, wird aus "IT-MARKT" neu "NY-RFWPY". Um daraus wieder einen lesbaren Klartext zu machen, muss man die Buchstaben des Chiffrats, also des verschlüsselten Textes, wieder um den Wert 5 verschieben - einfach in die andere Richtung.

Computer wurden zwar schon seit dem Zweiten Weltkrieg für die Entschlüsselung von geheimen Botschaften genutzt. Dennoch dauerte es fast 30 Jahre, bevor die ersten computergestützten Verschlüsselungsverfahren aufkamen, die eine weite Verbreitung erreichten. Zu den frühesten Beispielen gehört die symme­trische Verschlüsselung DES. Die Abkürzung steht für Data Encryption Standard. Das Verfahren wurde in den 1970er-Jahren von IBM entwickelt und 1976 als Standard zugelassen. Auch die NSA, der Auslandsgeheimdienst der Vereinigten Staaten, wirkte daran mit. Gewisse kritische Stimmen behaupteten damals, die NSA kompromittiere die Sicherheit des Standards, damit sie die Verschlüsselung insgeheim knacken könnte.

Cybersecurity- und Kryptografie-Experte Bruce Schneier 2019 im Interview mit der Redaktion. (Source: Netzmedien)

Tatsächlich machten die Optimierungen der NSA den Standard in der Tat besser. Die akademische Gemeinschaft brauchte einfach zwei Jahrzehnte, um dies zu erkennen, wie der Cybersecurity-Experte Bruce Schneier später sagte. "Das bedeutet, dass die Nationale Sicherheitsbehörde in den 70er-Jahren dem Stand der Technik um zwei Jahrzehnte voraus war", verriet er 2004 in einem Interview mit "Cnet". Diesen Vorsprung, sagte er, habe die akademische Gemeinschaft jedoch schon fast wieder aufgeholt.

Von DES zu AES

Während 30 Jahren war DES der Standard im Bereich der Verschlüsselungstechnologie. Das Verfahren setzte jedoch auf eine relativ kurze Schlüssellänge von lediglich 56 Bit. Dies war ebenfalls der NSA zu verdanken. Das heisst, dass es insgesamt 72 057 594 037 927 936 mögliche Schlüssel gibt. Das mag nach viel klingen. Für einen Computer ist es aber nur eine Frage der Zeit, bis er mit einer Brute-Force-Attacke, also dem systematischen Ausprobieren aller möglichen Schlüssel, eine Nachricht entschlüsselt. 1997 wurde DES im Rahmen eines Wettbewerbs daher erstmals öffentlich geknackt. Das DESCHALL-Projekt gewann 10 000 US-Dollar, indem es sieben Millionen Schlüssel pro Sekunde ausprobierte. In weniger als einem Tag hatte man rund einen Viertel aller möglichen Schlüssel geprüft - und den richtigen gefunden. Zwei Jahre später war es bereits möglich, sämtliche Kombinationen in weniger als einem Tag durchzuspielen.

Im Jahr 2000 wurde DES schliesslich von AES abgelöst - dem Advanced Encryption Standard, auch bekannt als Rijndael. Der neue Standard ist ebenfalls symmetrisch, verwendet aber deutlich längere Schlüssellängen von 128, 192 oder 256 Bit. Eine korrekt implementierte, volle Verschlüsselung mit AES kann mit den heutigen Mitteln nicht geknackt werden. Jedenfalls sind gegenwärtig keine praktischen Angriffsmöglichkeiten bekannt.

AES verschlüsselt in mehreren Etappen. Jede Etappe besteht zudem aus verschiedenen Schritten, in denen Bits ersetzt, Zeilen verschoben und Spalten gemischt werden. (Source: Netzmedien)

Bei der Verschlüsselung wird der Text in einzelne Blöcke von 128 Bit aufgeteilt. Die Blöcke werden in einer Tabelle dargestellt und in mehreren aufeinanderfolgenden Runden verschlüsselt. Jede Runde erhält einen eigenen Schlüssel, der aus dem Originalschlüssel berechnet wird. In einer Runde werden zunächst alle Bytes ausgetauscht. Was dabei durch was ersetzt wird, bestimmt die sogenannte S-Box. Anschliessend werden die Zeilen verschoben und danach die Daten innerhalb der Spalten vermischt, bevor ein neuer Schlüssel generiert wird und der ganze Prozess erneut beginnt (Bild 4). In der letzten Runde entfällt der letzte Schritt, die Vermischung innerhalb der Spalten.

Das Schlüsselverteilungsproblem

Ein symmetrisches System bedingt natürlich, dass Absender und Empfänger einer Nachricht denselben Schlüssel haben. Bevor man miteinander kommunizieren kann, müssen beide Parteien also zunächst diesen Schlüssel teilen. Und den Schlüssel zu teilen - egal ob digital oder analog - bringt immer das Risiko mit sich, dass dieser in die falschen Hände gerät. Je grösser die Anzahl Nutzer, desto grösser ist das Risiko eines Schlüsselverlusts. Und falls das passiert, ist auch die beste Verschlüsselung vollkommen nutzlos.

Asymmetrische Verfahren sollen dieses sogenannte Schlüsselverteilungsproblem lösen. Der erste Schritt: Der Schlüssel wird breit gestreut. Jeder, der eine Nachricht senden will, soll auch einen Schlüssel haben. Aus diesem Grund wird der Schlüssel auch als Public Key bezeichnet. Mit diesem lassen sich Nachrichten allerdings nur verschlüsseln. Um sie zu entziffern, braucht der Empfänger einen anderen Schlüssel, den Private Key (Bild 5). Da dieser nicht genutzt wird, um etwas zu verschlüsseln, kann der Empfänger den privaten Schlüssel für sich behalten und trotzdem verschlüsselt mit anderen Personen kommunizieren.

So gesehen, können asymmetrische Verfahren deutlich sicherer sein als symmetrische - sofern sich der private Schlüssel nicht aus dem öffentlichen berechnen lässt und der Empfänger diesen auch wirklich geheim behalten kann.

Bei symmetrischen Verschlüsselungen (links) wird eine Nachricht mit demselben Schlüssel codiert und auch wieder entziffert. Bei asymmetrischen werden dafür unterschiedliche Schlüssel genutzt: der Public Key und der Private Key. (Source: Netzmedien)

Diese Form der Verschlüsselung beruht auf sogenannten Falltür- beziehungsweise Trapdoor-Einwegfunktionen. Dabei handelt es sich um mathematische Funktionen, die sich in eine Richtung einfach berechnen lassen. Die Umkehrfunktion ist hingegen schwer oder unmöglich zu berechnen - es sei denn, man besitzt eine gewisse Zusatzinformation. Obwohl dieses Prinzip seit Jahrzehnten genutzt wird, gibt es noch keinen mathematischen Beweis dafür, dass solche Funktionen tatsächlich existieren.

RSA - auf den Schultern von riesigen Primzahlen

Zu den wohl bekanntesten Beispielen einer asymmetrischen Verschlüsselung gehört RSA. Die Methode blickt ebenfalls auf eine rund 50-jährige Geschichte zurück. 1976 publizierten die US-amerikanischen Kryptologen Whitfield Diffie und Martin Hellman ihr Konzept eines asymmetrischen Verschlüsselungssystems mit einem öffentlichen und einem privaten Schlüssel. Was in ihrem Konzept jedoch noch fehlte, war die Einwegfunktion. Diese formulierten später Ron Rivest, Adi Shamir und Leonard Adleman vom Massachusetts Institute of Technology (MIT).

Nachdem sie ein Jahr lang daran herumgetüftelt und die Aufgabe zuweilen als unmöglich erachtet hatten, soll Rivest das Problem angeblich in einer einzelnen durchzechten und schlaflosen Nacht gelöst haben. Die drei Herren gaben der Methode ihre Namen: Rivest, Shamir, Adleman - RSA. Die Methode wird auch heute noch eingesetzt - allerdings schwindet ihre Popularität. Denn jeder Fortschritt in der Rechenleistung von Computern tastet zugleich die Sicherheit von RSA an.

Das Team hinter RSA (v.l.): Adi Shamir, Ron Rivest und Leonard Adleman. (Source: http://people.csail.mit.edu/rivest)

Das Verschlüsselungsverfahren basiert auf Primzahlen, immens grossen Primzahlen. Gegenwärtig liegt die standardmässige Schlüssellänge bei 2048 Bit. Diese Zahlen miteinander zu multiplizieren, ist noch immer relativ einfach. Aber dieses Produkt zu faktorisieren, also zurück in seine Primfaktoren zu zerlegen, ist sehr viel rechenintensiver. Die Umkehrung benötigt folglich Zeit, und sofern sie mehr Zeit braucht als die erwartete Lebensdauer der codierten Nachricht, gilt das System als sicher. Als die Methode erfunden wurde, schätzte Rivest, dass ein Computer 40 Billiarden Jahre brauchen würde, um die Verschlüsselung zu knacken. Der Empfänger kennt aber die verwendeten Primzahlen und kann die Verschlüsselung so wieder rückgängig machen.

Natürlich bestehen auch asymmetrische Verschlüsselungsverfahren nicht nur aus Vorteilen. Sie mögen zwar - zumindest im Hinblick auf die Schlüsselverteilung - sicherer sein als symmetrische, aber dafür benötigen sie auch deutlich mehr Rechenleistung und Zeit, um etwas zu verschlüsseln. Manche Systeme, wie etwa PGP, nutzen daher einen hybriden Ansatz. Die Nachricht wird dabei symmetrisch verschlüsselt - lediglich der Schlüssel selbst wird für die Übermittlung in einem Public-Key-Verfahren codiert.

Die Post-Quanten-Kryptografie

Das Problem moderner Verschlüsselungssysteme ist, dass sie in der Regel auf Rechenaufgaben basieren. Die Rechenleistung konventioneller Computer steigt jedoch jährlich. Und die ersten Gehversuche im Bereich der Quantencomputer stellen diese Leistungen auch noch in den Schatten.

Was heisst das nun für Verschlüsselungslösungen? Gemäss dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) würden leistungsfähige Quantencomputer praktisch alle heutigen Public-Key-Verfahren unsicher machen. Symmetrische Verfahren stehen zwar etwas besser da. Der russische IT-Security-Anbieter Kaspersky etwa ist überzeugt, dass AES auch Quantencomputern standhalten könnte.

Für die Schlüsselverteilung setzen symmetrische Verfahren jedoch oft auf Public Keys. Das heisst, dass auch hier der Status quo künftig nicht genügen wird. Das heisst aber auch, dass sämtliche bisher verschlüsselten Dokumente ab dem Zeitpunkt nicht mehr geschützt sein werden. Man munkelt, dass gewisse Geheimdienste daher jetzt verschlüsselte Dateien im grossen Stil sammeln, um sie später zu entschlüsseln.

Wann es so weit sein wird, ist schwierig vorherzusagen. Dafür bräuchte es einen Quantencomputer mit Tausenden oder Millionen von Qubits sowie niedrigen Fehlerraten, wie der Europäische Datenschutzbeauftragte (EDSB) in einem aktuellen Bericht schreibt. In absehbarer Zukunft sei dies wohl nicht realistisch. Zum Vergleich: IBM will bis 2023 einen 1121-Qubit-Prozessor lancieren.

Die Post-Quanten-Kryptografie befasst sich dennoch schon heute mit der Verschlüsselung in der Ära der Quantencomputer. Ein Ansatz ist gemäss dem EDSB etwa die Verwendung komplett anderer mathematischer Probleme - und zwar solcher, die mit Quantencomputern nicht effizienter verarbeitet werden können als mit herkömmlichen Rechnern. Eine solche Verschlüsselungslösung würde aber während der Operation wohl auch mehr Rechenleistung und Zeit benötigen.

Die ersten Ansätze für solche Lösungen existieren bereits. Und auch das National Institute of Standards and Technology (NIST) der USA arbeitet schon an einem Standard­verfahren. Bis spätestens 2024 soll dieses definiert sein. Die komplette Migration auf den neuen Standard wird gemäss dem EDSB aber schätzungsweise 15 bis 20 Jahre dauern. Das BSI hat allerdings schon einen Leitfaden dafür vorbereitet.

Quantencomputer werden die Art, wie Daten verschlüsselt werden, massiv verändern. Was heute als sicher gilt, wird vielleicht schon in wenigen Jahren antiquiert sein. Aber eines ist klar: Im Gegensatz zur Meinung einiger werden Quantencomputer gewiss nicht das Ende der Verschlüsselung sein. Sondern der Anfang einer neuen Form der Cybersecurity.