Website-Icon Fraunhofer IAO – BLOG

Ein Quantum Vorsprung: eine Quantum Security Checkliste gegen Cyberangriffe von morgen

Quantencomputing (QC) – Blogreihe zu Quantencomputing
Quantencomputer können komplexe Probleme lösen, die herkömmliche Computer an Grenzen stoßen lässt. Die Technologie birgt viele Potenziale für die Industrie und bedeutet nicht nur einen Vorstoß in der Wissenschaft, sondern auch eine große Chance für innovative Geschäftsmodelle und vielversprechende Anwendungszenarien.

Sobald Quantencomputer in der Lage sind, die innovativen Quantenalgorithmen auszuführen, für die sie derzeit entwickelt werden, wird ein Wendepunkt erreicht: Unternehmen und Staaten, die darauf vorbereitet sind, diese zu effektiv nutzen, können einen radikalen und transformativen Wettbewerbsvorteil nutzen. Quantencomputer und die sie umgebende Infrastrukturen werden damit zugleich zu einem ausgesprochen attraktiven Angriffsziel.

Am 8. Oktober 2024 habe ich auf der Quantum Effects unter dem Titel »Secure Quantum Cloud Computing« Herausforderungen, Chancen und neue Lösungsansätze aus der Forschung vorgestellt

Es ist zu erwarten, dass viele Angriffsszenarien einen Fokus auf die Verfügbarkeit und Vertraulichkeit haben werden. Dies umfasst »denial of service«-Angriffe im Hinblick auf die gesamte Wertschöpfungskette von Quantencomputing (Infrastruktur und Lieferketten) sowie Industriespionage. Diese Probleme kann sowohl klassische als auch Quantenkryptographie nur sehr begrenzt adressieren. Daher muss die Entwicklung von Quantencomputing von einer umfassenden Sicherheitsinitiative begleitet werden.

Eine Sicherheitsinitiative Quantum Security muss eine breite Bandbreite von Themen abdecken. Dazu gehören:

Quantum Meltdown: Verschlüsselungsverfahren quantensicher machen

Die heute vorwiegend genutzten kryptografischen Verfahren können durch Quantencomputer gebrochen werden. Im Juli 2022 hat das National Institute of Standards and Technology (NIST) die ersten vier quantensicheren Verschlüsselungsalgorithmen ausgewählt, die in Zukunft als Standards eingesetzt werden sollen. Zudem sind alle quantenbasierten Verschlüsselungsverfahren sicher. Obwohl dieses Thema mittlerweile weitgehend bekannt ist, sind viele Unternehmen darauf nur unzureichend vorbereitet.

Insbesondere gibt es Herausforderungen in allen Bereichen, wo die Rechnerleistung und Bandbreiten begrenzt sind wie in IoT Anwendungen, Mikrochips (wie sie in Pässen sowie in Bank- und Gesundheitskarten eingesetzt werden), und der Kommunikation z.B. zu Satelliten. Zudem sind viele Anwendungen der Operational Technology (OT) in kritischen Infrastrukturen und der Produktion bisher nicht auf einen »Quantum Meltdown« vorbereitet.

Eine weitere Herausforderung liegt im Bereich »copy now, decrypt later«: Angreifende können derzeit noch sicher verschlüsselte Datenbanken heute schon kopieren mit der Absicht, diese in Zukunft mit Quantencomputern zu entschlüsseln und so später Zugang z.B. zu vertraulichen Daten zu erhalten.

Securing Quanten-Clouds: Innovative Entwicklungen schützen

Quantencomputing erfordert eine besonders aufwändige Infrastruktur und wird daher den meisten Anwendern zumindest anfänglich nur als semi-öffentlicher Clouddienst zur Verfügung stehen. In diesem Zusammenhang wird die Vertraulichkeit zu einer erheblichen Herausforderung. Wenn schon heute Unternehmen hunderte Millionen Euro in die Entwicklung von innovativen Quantenalgorithmen investieren, möchten sie nicht riskieren, dass diese Innovation in von internationalen Unternehmen betriebenen Quanten Clouds einfach abgegriffen werden. Hier gibt es Lösungsansätze wie »blind quantum computing«, bei denen der Cloudbetreiber keinen brauchbaren Einblick in Input, Output sowie die verwendeten Algorithmen der Nutzenden erhält und gleichzeitig die Integrität der Berechnungen überprüfbar bleibt. Die Schärfung des Problembewusstseins für diese Herausforderungen sowie die Erforschung von Implementierungs- und Skalierungsmöglichkeiten solcher Lösungsansätze müssen weiter vorangetrieben werden.

Weitere theoretische Angriffsmöglichkeiten bieten »quantum side-channel attacks«, bei denen physische Aspekte eines Quantencomputers wie Energieverbrauch oder Strahlung genutzt werden, um Informationen über den Zustand des Systems zu gewinnen. Auch solche Angriffsszenarien müssen bei dem Aufbau von sicheren Quanten-Clouds beachtet werden.

Distributed Quantum Computing und Quantum Storage sicher ermöglichen

Quantenbasierte Umsetzungen moderner klassischer Verfahren wie »Federated Learning« werden die Verwaltung und Implementierung föderierter Zugriffsrechte auf Quantenressourcen in der Cloud einschließlich Storage und Algorithmen erfordern. Auch hier steht die Forschung bisher erst in den Anfängen.

Securing Hybrid Infrastructures: Den Übergang sicher gestalten

Quantencomputer sind nicht für alle Probleme besser geeignet und effizienter einsetzbar als klassische Computer. Daher werden sie voraussichtlich in hybriden Infrastrukturen betrieben werden, in denen klassische Cloudumgebungen mit Quanten-Clouds gekoppelt werden. Zudem werden Quantencomputer sowohl über quantenbasierte als auch über klassische Kommunikationskanäle angesteuert werden. All dies erfordert daher eine enge Kopplung zwischen quantenbasierten und klassischen (IT/OT) Sicherheitsmaßnahmen. Effiziente und wirtschaftliche Ansätze für die Absicherung dieser hybriden Infrastrukturen sowie die Mitigation von kaskadierenden Risiken (Klassisch zu Quanten und Quanten zu Klassisch) müssen weiter erforscht werden.

Securing Quantum Software: Fehler vermeiden

Genauso wie klassische Software wird auch die Software für Quantencomputer fehleranfällig sein. Wie bei klassischer Softwareentwicklung können Designfehler, Schwachstellen in den Implementierungen oder nicht bedachte Angriffspunkte zu erheblichen Sicherheitsproblemen führen. Da die Quantenalgorithmik noch jung ist, sind viele dieser Probleme noch nicht erfasst. Die Expertise zur Analyse und Behebung von Schwachstellen muss erst noch aufgebaut werden.

Quantencomputer arbeiten mit Qubits, die ausgesprochen anfällig für Rauschen und Fehler sind. Ohne geeignete Fehlerkorrekturtechniken können Quantenberechnungen schnell ungenau und damit unbrauchbar werden. Daher erfordert die Entwicklung von Software für Quantencomputer robuste Fehlerkorrekturprotokolle. Dies stellt auch eine Sicherheitsherausforderung dar, da ungenaue Berechnungen zu falschen Ergebnissen führen und so kritische Anwendungen gefährden können. Die Komplexität von Quantencomputern und ihrer Algorithmen inklusive Fehlerkorrekturprotokolle erschwert die Verifizierung von Quantenprogrammen erheblich. Methoden, um sicherzustellen, dass Software auf Quantencomputern sicher und korrekt funktioniert, bevor sie in sensiblen Bereichen eingesetzt wird, befinden sich noch in der Entwicklung.

Quantum Computing for Quantum Security: Risiken minimieren

Quantencomputer sind nicht nur ein attraktives Angriffsziel, sondern können auch eingesetzt werden, um die Sicherheit von komplexen IT- und Quantensystemen zu erhöhen. Insbesondere bei der Suche nach erfolgsversprechenden »kill-chains« d.h. nach Möglichkeiten der sukzessiven Ausnutzung von Schwachstellen in komplexen IT- und Quanten-Infrastrukturen bis zum Erreichen des Angriffsziels und deren Mitigation sowie für Risikoanalysen und zur Risikominimierung könnten Quantenverfahren weitaus effektiver als klassische Verfahren genutzt werden. Auch hier besteht ebenfalls weiterer Forschungsbedarf.

Beyond technology: Ganzheitliche Lösungen entwickeln

Die Adressierung dieser und weiterer Herausforderungen erfordert sowohl organisatorische als auch technische Maßnahmen, flankiert von Risikobewertungen und wirtschaftlichen Kosten-Nutzen-Betrachtungen sowie Maßnahmen zur Awareness und Verhaltensänderung in vielen Bereichen von Wirtschaft, Gesellschaft und öffentlicher Hand. Der zu erwartende Umfang der mit dieser Transformation verbundenen Herausforderungen ist nicht zu unterschätzen.

Genauso wie IT-Sicherheit ist auch die Quantum Security eine sozio-technische Herausforderung. Gesellschaftliche, organisatorische, administrative, sozio-ökonomische sowie psychologische Faktoren müssen gleichberechtigt und zusammen mit technischen Aspekten erforscht und adressiert werden, um eine umfassende Sicherheit zu gewährleisten.

Mit Sicherheit lässt sich schon heute feststellen, dass alles getan werden muss, um die Fehler der Vergangenheit, in der IT-Sicherheit in erster Linie als technisches Problem begriffen wurde, im Bereich der Quantum Security zu vermeiden.

Leselinks:

Die mobile Version verlassen