Kernbotschaften

• Aus Sicht des BSI steht die Frage, "ob" oder "wann" es Quantencomputer geben wird, nicht mehr im Vordergrund. Erste Post-Quanten-Verfahren wurden von NIST zur Standardisierung ausgewählt und Post-Quanten-Kryptografie wird standardmäßig eingesetzt werden. Deshalb sollte die Migration zu Post-Quanten-Kryptografie vorangetrieben werden.
• Unabhängig von Quantencomputern können jederzeit Fortschritte in der Kryptanalyse der eingesetzten Verfahren erzielt werden. Bei der Neu- und Weiterentwicklung von Kryptoprodukten ist darauf zu achten, dass sich diese möglichst flexibel anpassen lassen ("Kryptoagilität").
• Post-Quanten-Verfahren sollten möglichst nur in Kombination mit klassischen Verfahren ("hybrid") eingesetzt werden. Aufgrund des zuvor genannten Punktes ist ein hybrider Ansatz (mit zwei oder mehr Post-Quanten-Verfahren) auch nach der Entwicklung von kryptografisch relevanten Quantencomputern eine mögliche Lösung.
• Vornehmlich sind durch Quantencomputer zunächst die Schlüsseleinigungsverfahren bedroht ("store now, decrypt later" als Bedrohung der Langzeitsicherheit). Signaturen müssen meistens nur kurzfristig sicher sein. Bei langen Gültigkeitszeiträumen von Signaturschlüsseln ist aber auch hier ein rechtzeitiger Wechsel notwendig. Zudem müssen die Migrationszeiträume berücksichtigt werden.
• Quantum Key Distribution ist eine Technologie, die nur in sehr speziellen Anwendungen eingesetzt werden kann, und ist derzeit aus Sicherheitssicht nicht einsatzreif.

Empfehlungen des BSI

Das BSI hat im Dezember 2021 den Leitfaden Kryptografie quantensicher gestalten veröffentlicht. Dieser aktualisiert die im April 2020 veröffentlichten Handlungsempfehlungen für die "Migration zu Post-Quanten-Kryptografie", ergänzt sie und ordnet sie durch eine ausführliche Darstellung der Hintergründe ein.

Zudem finden sich in der Technischen Richtlinie TR-02102-1 die aktuellen Empfehlungen des BSI zu quantensicheren Schlüsseleinigungs- und Signaturverfahren.

Zum Thema Quantum Key Distribution (QKD) hat das BSI gemeinsam mit europäischen Partnerbehörden ein Positionspapier veröffentlicht. Das Papier zeigt technologische Einschränkungen von QKD auf und gibt eine Einschätzung des Reifegrades dieser Technologie aus Sicherheitssicht.

Gemeinsame Umfrage mit KPMG in Deutschland zu „Kryptografie und Quantencomputing“

Die Bedrohung der Informationssicherheit durch Quantencomputer wird weithin unterschätzt. Das ist das Ergebnis einer Marktumfrage Kryptografie und Quantencomputing, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und KPMG in Deutschland durchgeführt haben.

Das Ziel der Befragung war es, das Bewusstsein der Unternehmen zum Thema „Bedrohung der Kryptografie durch Quantencomputer“ abzufragen und zu erhöhen. Die Rücklaufquote war mit 28 Antworten bei über 150 versandten Fragebögen gering. Sowohl die geringe Anzahl an Teilnehmenden als auch die Ergebnisse sind besorgniserregend.

Hintergrund

Quantencomputer sind eine ernst zu nehmende Bedrohung für die heute eingesetzte Public-Key-Kryptografie. Das BSI hat von Forschern der Universität des Saarlandes und der Florida Atlantic University eine Studie durchführen lassen, um eine aussagekräftige und belastbare Einschätzung zum Entwicklungstand Quantencomputer zu erhalten.

Um im Sinne eines angemessenen Risikomanagements vorbereitet zu sein, muss bereits heute mit den Vorbereitungen für die "Post-Quanten-Zeit" begonnen werden. Das Hauptaugenmerk liegt dabei auf der Entwicklung und Standardisierung quantencomputerresistenter Alternativen. Dabei unterscheidet man zwischen Post-Quanten-Kryptografie und Quantenkryptografie.

Im Kontext der Nutzung von Quantentechnologien in der Kryptographie hat sich eine Vielzahl von Fachbegriffen etabliert. Nicht einheitlich verwendete Terminologie kann zu Missverständnissen führen. In der Quanten-Nomenklatur werden häufig verwendete Fachbegriffe erläutert.