PQC und die Zukunft von Krypto

Ich habe Phil Zimmermann immer für eines der größten Genies gehalten, die das Internet-Zeitalter hervorgebracht hat. Phil ist der Erfinder von PGP – eine Abkürzung, die für „Pretty Good Privacy“ steht und die es möglich macht, Nachrichten absolut sicher über das offene Internet zu transportieren.

Der Trick ist einfach: Jeder Benutzer von PGP hat einen persönlichen „privaten Schlüssel“ (Private key), den nur er kennt und der zum Entschlüsseln einer Nachricht verwendet wird. Der Absender dagegen nutzt einen so genannten „öffentlichen Schlüssel“ (public key). Dieses Verfahren nennt sich „asymmetrische Verschlüsselung“ und ist garantiert unknackbar.

Als Phil seine Erfindung in Amerika vorstellte, waren die Geheimdienste entsetzt. Unknackbar? Wie sollten sie dann den Verkehr zwischen Terroristen und anderen Verbrechern überwachen, wenn sich jeder nur ein einfaches kleines Programm herunterladen und sich einen privaten Schlüssel aussuchen muss?

Sie versuchten Phil zu zwingen, ihnen eine Hintertür, einen so genannte „back door“, zu eröffnen, den sie selbstverständlich nur mit entsprechender richterlicher Genehmigung benützen würden und den sie nie, nie, nie in falsche Hände fallen lassen würden. Und da bei NSA und FBI nur lauter ehrenwerte Männer und Frauen arbeiten, könnte der gute Phil doch nichts dagegen haben, oder?

Hatte er aber, denn auch ihm war klar, dass nicht nur ehrenwerte Menschen die Hintertür benützen würden. Und selbst denen darf man als mündiger Bürger ja weniger ehrenwerte Motive unterstellen. Ohne unknackbare Verschlüsselung, so Phil, wäre der totale Überwachunsgstaat nur noch ein paar Schritte weg.

Also sagte er nein. Aber Phil war auch Unternehmer, und er wollte seine Erfindung auch außerhalb Amerikas vermarkten. Doch da hatten die Geheimdienstler ein wirksames Mittel, ihn daran zu hindern: Sie erklärten Kryptosysteme mit Schlüsseln von mehr als 40 Bit Länge einfach zu Waffen, und das Kriegswaffengesetz in Amerika verbietet deren Export über die eigenen Landesgrenzen hinaus.

Doch der findige Phil fand heraus, dass diese Beschränkung nur für den Quellcode eines Programms gilt, also für Bits und Bytes. Über gedruckte Texte stand im Gesetz nichts. Also heuerte er eine Gruppe von über 60 Freiwilligen an und ließ sie das PG-Programm per Hand Zeile für Zeile in ein Textverarbeitungssystem abtippen und produzierte damit ein Buch, dass er „„PGP Source Code and Internals“ nannte. Als ich ihn im Herbst 1995 in Berlin zum Interview traf, strahlte er wie ein Lebkuchenpferd über sämtliche Backen. Er hatte nämlich einen Koffer voller Bücher im Gepäck, und die konnte jeder, der ein Buch erwarb, entweder selbst in ein Computer eingeben oder es – einfacher – per Texterkennung wieder in Bits und Bytes zurückwandeln.

Er sei ein amerikanischer Patriot, versicherte mir Phil mit treuherzigem Augenaufschlag, aber der Schalck blitze ihm auch aus den Augen. Denn er wusste: Damit war der Geist aus der Flasche und Pandora Kiste offen. Nie wieder würden NSA und FBI den Mail-Verkehr zwischen Aktivisten und Bürgerbewegungen hinter deren Rücken mitlesen können. Autoritäre Regime wie China oder Russland würden sich die Zähne ausbeißen beim Versuch herauszukriegen, was sich Dissidenten und Bürgerrechtler da gegenseitig zu sagen haben.  „Verschlüsselung macht frei“, sagte er mir. Und das habe ich bis heute immer geglaubt.

Allerdings sind mir da in den letzten Jahren so meine Zweifel gekommen. Mein alter Freund Bernd Schöne, wie ich einer der dienstältesten Internet-Journalisten, aber im Gegensatz zu mir ein mit allen Wassern gewaschener Techie, schrieb in dem von mir als Chefredakteur betreuten „Smart Industry – the IoT Business Magazine“ eine Kolumne, in der er das Ende von Verschlüsselung heraufbeschwor. Irgendwann in absehbarer Zeit würde es Computer geben, die jeden Code knacken könnten – auch unsymmetrische Verfahren. Das Zauberwort, das er benützte lautete „Quantentheorie“. Computer, die wie Schrödingers Katze in einer Welt leben, in der etwas gleichzeitig existieren und nicht existieren kann, wären so mächtig, dass es für sie ein Kinderspiel wäre, selbst PGP, zu knacken.

Was der gute Bernd nicht sagen konnte, war was man dagegen tun könnte. Und seitdem nagt diese Frage bei mir im Hinterkopf – bis ich heute Morgen endlich die neueste Ausgabe des Economist – des besten Wirtschaftsmagazins der Welt – aufmachte und dort eine neue Abkürzung in unserer von Abkürzungen ja so reichen IT-Welt las, nämlich PQC.

Das steht für Post-Quantum Computing und klingt eigentlich so, als ob man noch etwas besseres gefunden habe als Quantenphysik, was natürlich Unsinn ist. In Wirklichkeit ist PQC, so habe ich das jedenfalls verstanden, eigentlich ein Schritt zurück, nämlich zu symmetrischer Verschlüsselung – also Verfahren, bei der beide Teilnehmer den gleichen Schlüssel verwenden. Und das soll sicherer sein?

Wenn er tot wäre, würde Phil jetzt sicher im Grab wie ein Kreisel rotieren. Ist er zum Glück nicht – er ist 2015 mit seiner Firma Silent Circle von den USA nach Genf umgezogen und genießt den Blick auf den Genfer See — aber ein herber Schlag wird das sicher trotzdem für ihn gewesen sein.

„Informatiker haben fleißig an Protokollen für die ‚Post-Quanten-Kryptografie‘ (PQC) gearbeitet“, schreiben die Kollegen, „eine neue Verschlüsselungsmathematik, die sogar die Fähigkeiten von Quantenmaschinen übertrifft.“ Sollten Quantencomputer eines nicht allzu fernen Tages ihr Potenzial voll ausschöpfen, würden jahrzehntelang gehütete Geheimdienstinformationen, Kreditkartendaten, geistiges Eigentum sowie militärische und medizinische Daten so einfach zu lesen sein wie die Worte in der Zeitung. Die Welt würde „den umfassendsten und tiefsten Hack der Geschichte“ erleiden.

Die gute Nachricht, jedenfalls für Phil und auch für mich als PGP-Fan: „Bisher hat sich noch keines dieser Protokolle als vertrauenswürdiger Standard durchgesetzt, aber jetzt hat das NIST eine Reihe von Rezepten ausgewählt, die jahrelanges Testen überlebt haben.“ NIST ist das National Institute of Standards and Technology, die zum Beispiel die Verschlüsselungsstandards festlegt, die von Behörden und Militärs ind en USA verwendet werden. Das NIST ist immer ein großer Fan von unsymmetrischer Verschlüsselung gewesen und hat der Welt beispielsweise solche weltweit verwendeten Kryptostandard wie DES und AES gegeben, die heutzutage jedes Unternehmen in seine Datenkommunikation verwendet ob sie’s wissen oder nicht).

Quantencomputer können nicht alles, aber was sie können, machen sie gut. Unglücklicherweise sind sie besonders gut darin, Schlüssel zu entschlüsseln, hinter denen in den letzten Jahrzehnten die gesamte digitale Wirtschaft aufgebaut wurde.

„Die Schwelle zum Code-Knacken mag noch einige Jahre entfernt sein, aber sie rückt schnell näher,“ schreibt der Economist. Und da könnte sogar so ein vergleichsweise betagtes Kryptoverfahren wie AES eine echte Schlüsselrolle (bitte den Kalauer zu verzeihen!) spielen. Denn AES, oder Advanced Encryption Standard (zu Deutsch etwa „fortschrittlicher Verschlüsselungsstandard“) aus dem Jahre 2000 verwendet symmetrische Schlüssel. Bislang werden nur Schlüssellängen von 128, 160, 192, 224 oder 256 Bit verwendet, aber theoretisch sind beliebig lange Schlüssel denkbar. Und mit entsrechend leistungsstarken Computern könnten sie auch mit vertretbarem Zeitaufwand in der Praxis eingesetzt werden.

Und das Gute ist: Selbst Quantencomputer würden sich an solchen Super-Schlüsseln die Zähne ausbeißen. Deshalb sind auch fast alle führenden Entwicklerfirmen heute mit Hochdruck dabei, solche symmetrische Verschlüsselungsverfahren zu entwickeln – PQC eben.

Bis sich allerdings eines dieser Systems als Weltstandard durchsetzt, werden noch Jahre vergehen. Dann aber wird „PQC-ready“ mit Sicherheit das stärkste denkbare Werbeargument sein, und die Firma, die die Imprimatur des NIST erhält, wird sich mit Sicherheit eine goldene Nase verdienen.

Allerdings ist abzusehen, dass sich die Rüstungspirale auch hier weiterdrehen wird. Sobald der neue Standard in Kraft tritt, werden die Hersteller von Quantencomputern fieberhaft daran arbeiten, noch leistungsfähigere Systeme zu entwickeln. Vielleicht werden diese wiederum das Spiegel „PQC-proof“ tragen. Aber so ist es doch immer in dieser Welt: Die Bösewichte sind immer einen Schritt voraus. Es sei denn, sie sind vom Kaliber eines Phil Zimmermann.