Müssen wir uns sorgen, dass Quantencomputer unsere Nachrichten hacken?

"In 5 Jahren sind Quantencomputer so weit, selbst sicherste Verschlüsselungen zu überlisten." Das behauptete der momentane IBM-CEO Arvind Krishna bereits im Jahr 2018. Auch die prophezeite kommerzielle Nutzung von Quantencomputern hätte 2023 passieren sollen.

Also wie gefährdet sind aktuelle Verschlüsselungstechnologien durch Quantenrechner? Wenn man chinesischen Medien Glauben schenkt, sehr. Dort spricht man sogar davon, dass chinesische Forscher militärische Verschlüsselungen mit Quantentechnologie knacken konnten. Auch westliche Medien verbreiteten die Meldung.

➤ Mehr lesen: Wie funktioniert ein Quantencomputer?

Der Artikel selbst ist falsch: Er spricht vom Verschlüsselungsstandard AES (Advanced Encryption Standard), der etwa für US-Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. In der chinesischen Studie selbst, um die es im Artikel geht, ist von diesem Standard allerdings keine Rede.

Kein "Verschlüsselungsstandard in Militärqualität"

Stattdessen geht es dort um ein Verschlüsselungsverfahren namens RSA, das weitreichend eingesetzt wird. Man findet es etwa bei E-Mail-Verschlüsselungen und der Verschlüsselung von Webseiten. Das Verfahren basiert auf der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen. Bei der Zahl 21 wären das 3 und 7. Multipliziert man die beiden Primzahlen, erhält man 21. 

Diese Zerlegung ist selbst für Supercomputer aufwändig, der momentane Rekord liegt bei einer Zahl mit 250 Stellen. Ein handelsüblicher Computer würde mehrere Hundert Jahre brauchen, um diese Berechnungen anzustellen. Doch selbst dieser Rekord reicht bei weitem nicht aus, um heutige Verschlüsselungsstandards zu überlisten.

Technik ist noch nicht so weit

Quantencomputer sind zumindest in der Theorie dazu in der Lage, diese Berechnungen deutlich schneller anzustellen. Möglich machen das sogenannte Qubits, die quasi das Hirn des Quantencomputers darstellen. Diese sind allerdings sehr fehleranfällig. “Mittlerweile gibt es Computer mit einigen fehlerfreien Qubits, aber wir sprechen von einem niedrigen zweistelligen Bereich zwischen 10 und 20 Qubits”, sagt Marcus Huber, Professor für Quanteninformation und Quantenthermodynamik an der TU Wien, zur futurezone. Um wirklich gefährlich für Verschlüsselungssysteme zu werden, bräuchte man Computer mit Millionen Qubits. 

➤ Mehr lesen: Erster Quantencomputer mit mehr als 1.000 Qubits angekündigt

“Alle derzeitigen Plattformen haben noch fundamentale Herausforderungen, um hochskaliert werden zu können”, sagt Huber. IBM hat seine Erwartungshaltung mittlerweile heruntergeschraubt und will bis 2029 einen Quantencomputer mit 200 fehlerfreien Qubits bringen. “Und selbst das ist sehr optimistisch gerechnet”, meint Huber: “Man sieht aber generell eine konstante Überhöhung des Themas, die der Sache mehr schadet, als nützt.”

Es bräuchte einen Durchbruch

“Wir befinden uns bei Quantencomputern heute da, wo man vor 60 Jahren mit Lochkartenrechenmaschinen war. Es braucht einen Durchbruch wie damals den Transistor, damit die Qubits stabil werden”, sagt der Physiker. Huber wolle den Fortschritt aber auch nicht klein reden: “Es gibt ein regelrechtes Rennen - einerseits zwischen den USA, Europa und China, andererseits zwischen Google, Microsoft, IBM und unzähligen Start-ups, die versuchen, in diesem Rennen die Nase vorn zu haben.”

Zurück zu den chinesischen Forschern: Diese hatten in ihrer Studie nie behauptet, einen Verschlüsselungsstandard geknackt zu haben, geschweige denn einen militärischen. Sie konnten allerdings eine 15-stellige Zahl in ihre Primfaktoren zerlegen.

Dabei nutzten sie keinen klassischen Quantencomputer, sondern eine Abwandlung davon. “Solche sogenannten D-Wave-Quantencomputer sind eigentlich nicht die, um die wir uns Sorgen machen müssen”, sagt Maria Eichlseder, Kryptografieprofessorin an der TU Graz. Wäre dieses Ergebnis mit einem universellen Quantencomputer erreicht worden, wäre das ein enormer Fortschritt gewesen. “D-Wave-Quantencomputer sind für kryptografische Systeme eigentlich nicht relevant. Da setzen sie meiner Meinung nach eher auf das falsche Pferd”, so Eichlseder.

Angst vor Quantencomputer?

Sollten wir Angst haben, dass Quantencomputer unsere verschlüsselten Daten innerhalb kürzester Zeit entschlüsseln können? “Angst ist nicht die richtige Reaktion, aber Aufmerksamkeit erfordert die Entwicklung auf jeden Fall”, sagt Eichlseder.

➤ Mehr lesen: Sicherheitsalbtraum: Quantencomputer und unsichere Verschlüsselung

“Die Überzeugung unter den Forschern ist die, dass Quantencomputer zuerst für die Materialforschung eingesetzt werden, bevor sie kryptografische Probleme lösen”, sagt Huber. Dieser Forschungsbereich gelte als eine Art “Kanarienvogel”, der davor warnt, dass die Entwicklungen bereits so weit fortgeschritten sind, um auch Verschlüsselungen knacken zu können. Noch sei man laut Eichlseder meilenweit davon entfernt, Verschlüsselungen mit Quantencomputern zu knacken.

Forscher sind vorbereitet

Dennoch entwickeln Forscher schon Verschlüsselungsverfahren, die Daten gegen Quantenattacken absichern sollen. Diese basieren auf mathematischen Problemen, die Quantencomputer nicht so leicht lösen können. Messenger-Apps wie Signal und iMessage haben diese bereits integriert. 

“Wir arbeiten schon vorbeugend für den Worst Case und kümmern uns um Ersatz, etwa für den RSA-Standard”, sagt Eichlseder. Dieser Worst Case setzt allerdings voraus, dass Quantencomputer wirklich Verschlüsselungen knacken können. “Und wir wollen darauf vorbereitet sein, wenn dieser Worst Case in 5 bis 10 Jahren passiert, und nicht erst in 50”, sagt die Expertin. 

Das sei auch nötig, denn es dauert seine Zeit, um die Kryptografie in der IT-Infrastruktur auszutauschen. Für “Verschlüsselungsstandards in Geheimdienstqualität”, wie AES-128, ist allerdings keine besondere Eile geboten, denn durch ihren Aufbau sind sie weniger anfällig für Quantencomputerattacken. Diese könnten selbst dann nicht viel ausrichten, wenn die Technologie bereits ausgereift wäre.