Informatik und Kryptographie: Grundlagen der digitalen Sicherheit

Die Rolle der Kryptographie in der Informatik

Kryptographie ist eines der grundlegenden und kritischen Teilgebiete der Informatik. Sie stammt aus den griechischen Wörtern kryptos (geheim) und graphein (schreiben). Das Bedürfnis, Informationen zu schützen, war seit der Antike ein grundlegendes menschliches Anliegen; die moderne Kryptographie jedoch, geboren an der Schnittstelle von Mathematik und Informatik, ist eine völlig andere Disziplin. Heutzutage basiert jede Online-Banking-Transaktion, jede E-Mail, die wir senden, und jede digitale Signatur, die wir verwenden, auf kryptographischen Algorithmen.

Claudes Shannons Papier aus dem Jahr 1949, „Communication Theory of Secrecy Systems", markierte einen Wendepunkt in der Transformation der Kryptographie von einer spekulativen Kunst zu einer mathematischen Wissenschaft. Durch die Anwendung von Konzepten der Informationstheorie auf Verschlüsselungssysteme definierte Shannon den Begriff der perfekten Geheimhaltung. Er zeigte, dass das One-Time-Pad-Verfahren (einmalig verwendetes Verschlüsselungspad) diese Eigenschaft erreicht, seine praktische Anwendbarkeit jedoch durch Probleme bei der Schlüsselverteilung eingeschränkt ist. Shannons Arbeit führte auch zwei grundlegende Prinzipien der modernen Kryptographie ein: Verwirrung und Verbreitung. Verwirrung kompliziert die Beziehung zwischen dem Schlüssel und dem verschlüsselten Text, während Verbreitung statistische Muster im Klartext im Chiffretext verteilt.

In diesem Artikel werden wir die historischen Ursprünge der Kryptographie erforschen und symmetrische sowie asymmetrische Verschlüsselungsalgorithmen, Hash-Funktionen, Mechanismen für digitale Signaturen, Strukturen der Public Key Infrastructure (PKI), TLS/SSL-Protokolle, Blockchain-Anwendungen und postquanten-Kryptographie-Ansätze untersuchen, die entwickelt wurden, um quantentechnischen Bedrohungen entgegenzuwirken.

Historischer Überblick: Von Cäsar bis Enigma

Einer der frühesten bekannten Beispiele für Kryptographie stammt aus der Praxis der Hieroglyphensymbolersetzung im alten Ägypten um 1900 v. Chr. Die systematische Verschlüsselung beginnt jedoch mit dem Caesar-Chiffre, benannt nach Julius Caesar. Bei dieser Methode wird jeder Buchstabe um eine feste Anzahl von Positionen im Alphabet verschoben. Mathematisch ausgedrückt als: E(x) = (x + k) mod 26, wobei k die Verschiebungsmenge ist. Die Caesar-Chiffre ist eine monoalphabetische Substitutionchiffre und enthält nur 25 mögliche Schlüssel, was sie extrem anfällig für Brute-Force-Angriffe macht.

Im 9. Jahrhundert definierte der arabische Mathematiker Al-Kindi die Frequenzanalyse in seinem Werk Risalah fi Istikhraj al-Mu'amma. Diese Methode basiert auf der Tatsache, dass jedes Schriftzeichen in einer Sprache eine bestimmte Häufigkeit aufweist. So gehören beispielsweise die Buchstaben 'a' und 'e' zu den am häufigsten verwendeten Buchstaben im Türkischen. Die Frequenzanalyse ist bis heute eine grundlegende Methode zum Knacken von Monoalphabet-Substitutionschiffren.

Im 15. Jahrhundert stellte Leon Battista Albertis Entwicklung der mehralphabetischen Verschlüsselung und des späteren Vigenère-Chiffriers, benannt nach Blaise de Vigenère, einen bedeutenden Fortschritt dar, der die Häufigkeitsanalyse deutlich erschwerte. Der Vigenère-Chiffre wendet für jeden Buchstaben eine andere Verschiebung an, die durch ein Schlüsselwort bestimmt wird. Über Jahrhunderte galt sie als unknackbar; jedoch entwickelten Friedrich Kasiski und unabhängig davon Charles Babbage im Jahr 1863 eine Methode, um sie zu knacken, indem sie die Schlüssellänge bestimmten.

Die dramatischste Kryptografie-Episode des 20. Jahrhunderts ist zweifellos die Geschichte von Enigma. Die Enigma-Maschine, die das nationalsozialistische Deutschland verwendete, erzeugte dank der Kombination aus Rotoren, Reflektor und Steckerbrett eine astronomische Anzahl möglicher Einstellungen – etwa 158 Quintilliarden (158 × 10^18) verschiedene Konfigurationen waren möglich. Die Pionierarbeit der polnischen Mathematiker Marian Rejewski, Jerzy Różycki und Henryk Zygalski – gefolgt von der Entwicklung der Bombe-Maschine durch Alan Turing und sein Team in Bletchley Park – machte das Knacken von Enigma möglich. Historiker schätzen, dass das Entschlüsseln von Enigma den Krieg um etwa zwei Jahre verkürzt hat. Turing's Arbeit veränderte nicht nur den Verlauf des Krieges, sondern legte auch die Grundlagen der modernen Informatik und Algorithmenlehre.

Symmetrische Verschlüsselung: Gleicher Schlüssel für Verschlüsselung und Entschlüsselung

Symmetrische Kryptographie ist eine Methode, bei der derselbe geheime Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Aufgrund ihrer Geschwindigkeitsvorteile wird sie bevorzugt für die Verschlüsselung großer Datenmengen eingesetzt. Sie lässt sich in zwei Hauptkategorien unterteilen: Blockchiffren und Stromchiffren. Blockchiffren arbeiten mit Blöcken fester Größe, während Stromchiffren Daten auf Bit- oder Byte-Ebene verschlüsseln. ChaCha20, entwickelt von Daniel Bernstein, ist eine moderne Stromchiffre, die als Alternative zu AES insbesondere auf mobilen Geräten verwendet wird.

Data Encryption Standard (DES) und Triple Data Encryption Standard (3DES)

Data Encryption Standard (DES) wurde 1977 vom National Institute of Standards and Technology (NIST, damals als NBS bekannt) als Bundesstandard eingeführt. Er wurde von Horst Feistel bei IBM auf Basis des Lucifer-Algorithmus entwickelt. DES arbeitet mit 64-Bit-Blöcken und einem 56-Bit-Schlüssel und nutzt eine 16-Runden-Feistel-Netzwerkstruktur. In jeder Runde wird der Datenblock in zwei Teile geteilt, durchläuft Erweiterungspermutationen, Schlüsselmischung, S-Box-Substitutionen und Permutationsoperationen. Mit der zunehmenden Rechenleistung in den 1990er Jahren wurde die 56-Bit-Schlüssellänge unzureichend. 1998 demonstrierte die Electronic Frontier Foundation (EFF) die Unsicherheit des Algorithmus, indem sie einen DES-Schlüssel innerhalb von 56 Stunden mit einer speziellen Hardware namens „DES Cracker“ knackte. Als vorübergehende Lösung wurde Triple DES (3DES) entwickelt, das DES dreimal hintereinander anwendet (Verschlüsselungs-Entschlüsselungs-Verschlüsselungs-Modus, EDE-Modus), um die Schlüssellänge effektiv auf 112 Bit zu erhöhen. Allerdings hat 3DES eine schlechte Leistung, und NIST empfiehlt seine Verwendung nach 2023 nicht mehr.

Advanced Encryption Standard (AES): Der heutige Goldstandard

AES (Advanced Encryption Standard) wurde 2001 vom NIST (FIPS 197) als Ersatz für DES eingeführt. Nach einem offenen Wettbewerb, an dem 15 Algorithmen aus der ganzen Welt teilnahmen, wurde der Rijndael-Algorithmus von Joan Daemen und Vincent Rijmen ausgewählt. Anstelle einer Feistel-Struktur verwendet AES ein Substitutions-Permutations-Netzwerk (SPN). Es arbeitet mit einer Blockgröße von 128 Bit und unterstützt Schlüssellängen von 128, 192 oder 256 Bit. Jede Runde besteht aus vier grundlegenden Operationen: SubBytes (Byte-Substitution über das Galoisfeld GF(2^8)), ShiftRows (Zeilenverschiebung), MixColumns (Spaltenmischung – Matrixmultiplikation im Galoisfeld) und AddRoundKey (Schlüsseladdition). Die Anzahl der Runden beträgt je nach Schlüssellänge 10, 12 oder 14.

Die Sicherheit von AES basiert auf seiner Resistenz gegen alle bekannten praktischen Angriffe. Obwohl theoretische Arbeiten wie der Biclique-Angriff im Vergleich zu Brute-Force-Methoden geringfügig bessere Ergebnisse liefern können, sind sie in der Praxis nicht umsetzbar. AES-256 wurde vom NSA für die Verschlüsselung geheimer Informationen zugelassen. Hardwarebeschleunigungsanweisungen in modernen Prozessoren, wie z. B. AES-NI, ermöglichen AES-Verschlüsselungs-/Entschlüsselungsoperationen in Gigabyte pro Sekunde. Im Alltag nutzen wir AES bei der WLAN-Sicherheit (WPA2/WPA3), der Datenträgerverschlüsselung (BitLocker, FileVault, LUKS), VPN-Tunneln und HTTPS-Verbindungen.

Betriebsarten

Blockchiffren verschlüsseln nur Blöcke fester Größe einzeln. In realen Anwendungen werden verschiedene Betriebsmodi verwendet. Der ECB-Modus (Elektronisches Codebuch) ist der einfachste, hat aber eine erhebliche Sicherheitslücke, da er für identische Klartextblöcke identische verschlüsselte Blöcke erzeugt, wie im berühmten „ECB-Pinguin“-Beispiel zu sehen ist, wo Muster im verschlüsselten Bild das Originalbild offenbaren. Der CBC-Modus (Chiffre-Blockkettung) löst dieses Problem, indem jeder Block mit dem vorherigen verschlüsselten Block XOR-verknüpft wird, kann aber nicht parallelisiert werden und kann anfällig für Angriffe wie POODLE sein. Der CTR-Modus (Zähler) nutzt die Blockchiffre wie einen Stromchiffre und ermöglicht Parallelisierung. Der GCM-Modus (Galois/Zähler-Modus) ist eine moderne Wahl, die sowohl Vertraulichkeit als auch Authentizität (authentifizierte Verschlüsselung mit zugehörigen Daten – AEAD) bietet. Er ist im NIST SP 800-38D-Standard definiert und der Standardmodus in TLS 1.3.

Asymmetrische Verschlüsselung: Die Revolution der offenen Schlüssel

Im Jahr 1976 war das Papier „Neue Richtungen in der Kryptographie“ von Whitfield Diffie und Martin Hellman eine revolutionäre Arbeit in der Geschichte der Kryptographie. Der Artikel stellte das Diffie-Hellman-Schlüsselaustauschprotokoll vor, das zeigt, dass zwei Parteien über einen unsicheren Kanal ein gemeinsames Geheimnis vereinbaren können. Das Protokoll basiert auf der berechnungsbedingten Schwierigkeit des diskreten Logarithmusproblems. Interessanterweise war eine ähnliche Methode bereits zuvor von James Ellis, Clifford Cocks und Malcolm Williamson beim britischen Geheimdienst GCHQ entdeckt worden, blieb aber aufgrund von Geheimhaltungsbedenken unveröffentlicht.

Der RSA-Algorithmus

Entwickelt im Jahr 1978 von Ron Rivest, Adi Shamir und Leonard Adleman, ist RSA das erste praktische System für die öffentliche Schlüsselverschlüsselung und digitale Signaturen. Die Sicherheit von RSA basiert auf der rechnerischen Schwierigkeit, große Zahlen zu faktorisieren (Ganzzahlfaktorisierung). Die Schlüsselerzeugung funktioniert wie folgt: Es werden zwei große Primzahlen p und q gewählt, es wird n = p × q berechnet, die Eulersche Totientfunktion φ(n) = (p-1)(q-1) bestimmt, ein öffentlicher Exponent e gewählt, sodass gcd(e, φ(n)) = 1 (typischerweise 65537), und der private Exponent d wird als d ≡ e^-1 (mod φ(n)) berechnet. Der öffentliche Schlüssel ist (e, n) und der private Schlüssel ist (d, n). Verschlüsselung: c = m^e mod n; Entschlüsselung: m = c^d mod n. Heutzutage wird eine Schlüssellänge von mindestens 2048 Bit empfohlen; für Anwendungen mit hoher Sicherheit sind 4096 Bit bevorzugt. Das NIST hat darauf hingewiesen, dass 2048 Bit nach 2030 möglicherweise nicht mehr ausreichen.

Elliptische Kurvenkryptographie (ECC)

Unabhängig voneinander im Jahr 1985 von Neal Koblitz und Victor Miller vorgeschlagen, basiert ECC auf dem diskreten Logarithmusproblem über elliptischen Kurven und bietet bei deutlich kürzeren Schlüssellängen die gleiche Sicherheitsstufe. Ein 256-Bit-ECC-Schlüssel bietet eine Sicherheit, die etwa der eines 3072-Bit-RSA-Schlüssels entspricht. Diese Effizienz macht ECC zur bevorzugten Wahl in ressourcenbeschränkten Umgebungen wie Mobilgeräten und dem Internet der Dinge (IoT). Zu den vom NIST empfohlenen Kurven gehören P-256, P-384 und P-521, obwohl der mögliche Einfluss des NSA auf die Parameter dieser Kurven weiterhin umstritten ist. Curve25519, entworfen von Daniel Bernstein, hat dank seiner hohen Leistung, der Möglichkeit einer konstanten Implementierung und seiner Resistenz gegen Seitenausfallangriffe schnell an Popularität in modernen Anwendungen gewonnen. Das Signal-Protokoll, WireGuard VPN, SSH (Ed25519) und TLS 1.3 unterstützen alle diese Kurve.

Hash-Funktionen und Datenintegrität

Kryptografische Hash-Funktionen sind Einwegfunktionen, die Eingaben beliebiger Länge in einen festen Ausgabewert (Hashwert) konvertieren. Eine kryptografische Hash-Funktion sollte drei grundlegende Sicherheitsmerkmale aufweisen: Vorwärts-Resistenz – es sollte rechnerisch unmöglich sein, die Eingabe aus der Ausgabe zu rekonstruieren; Zweit-Vorwärts-Resistenz – es sollte unmöglich sein, eine andere Eingabe zu finden, die dieselbe Ausgabe erzeugt, wenn eine Eingabe gegeben ist; und Kollisionsresistenz – es sollte unmöglich sein, zwei verschiedene Eingaben zu finden, die denselben Ausgabewert erzeugen. Aufgrund des Geburtstags-Paradoxons erfordert das Finden von Kollisionen in einer n-Bit-Hash-Funktion etwa 2^n/2 Versuche.

MD5 (128-Bit-Ausgabe, von Ron Rivest 1991 entwickelt) und SHA-1 (160-Bit-Ausgabe, vom NSA entwickelt) gelten nicht mehr als sicher. Im Jahr 2004 entdeckte Xiaoyun Wang mit ihrem Team praktische Kollisionen bei MD5; 2017 demonstrierten Google und das CWI Amsterdam die erste praktische Kollision bei SHA-1 im Rahmen des Projekts SHAttered (mit etwa 9 Quintilliarden SHA-1-Berechnungen). Heute ist die SHA-2-Familie (SHA-256, SHA-384, SHA-512) der gängige Standard. SHA-256 bildet die Grundlage für das Mining von Bitcoin. Standardisiert durch das NIST im Jahr 2015, verfügt SHA-3 (Keccak, entworfen von Guido Bertoni und seinem Team) über eine völlig andere interne Struktur – eine Spongestruktur – und steht als Backup bereit, falls jemals eine Schwachstelle in SHA-2 entdeckt werden sollte.

Hash-Funktionen werden in verschiedenen Bereichen eingesetzt, wie z. B. der Speicherung von Passwörtern (zusammen mit Schlüsselableitungsfunktionen wie bcrypt, scrypt, Argon2 – die Verwendung reiner Hash-Funktionen macht sie anfällig für Regenbogen-Tabelle-Angriffe), der Überprüfung der Dateiintegrität, digitalen Signaturen, Merkle-Bäumen in Blockchains, HMAC (Hash-basierter Nachrichtenauthentikode, RFC 2104) und HKDF (HMAC-basierte Schlüsselableitungsfunktion).

Digitale Signaturen und PKI-Infrastruktur (Public Key Infrastructure)

Digitale Signaturen bieten Authentifizierung, Integrität und Nicht-Zurückweisung einer Nachricht oder eines Dokuments durch kryptografische Mechanismen. Sie sind das digitale Äquivalent zu handschriftlichen Unterschriften, bieten aber deutlich stärkere Sicherheitsgarantien. Der Signierprozess funktioniert wie folgt: Es wird ein Hash-Wert der Nachricht berechnet, dieser Hash-Wert wird mit dem privaten Schlüssel des Absenders verschlüsselt und die resultierende Signatur wird zusammen mit der Nachricht gesendet. Der Empfänger überprüft die Signatur mithilfe des öffentlichen Schlüssels des Absenders und vergleicht die Hash-Werte.

Häufig verwendete digitale Signaturalgorithmen umfassen RSA-PSS (Probabilistische Signaturverfahren – sicherer als das deterministische PKCS#1 v1.5), DSA (Digital Signature Algorithm – definiert in NIST FIPS 186), ECDSA (Elliptische-Kurven-DSA – verwendet von Bitcoin und Ethereum) und EdDSA (Edwards-Kurven-DSA, insbesondere Ed25519). EdDSA ist weniger anfällig für Schwachstellen bei Zufallszahlengeneratoren aufgrund seiner deterministischen Natur – ein Fehler bei der Erzeugung zufälliger Zahlen in der ECDSA-Implementierung der Sony PlayStation 3 führte 2010 zum Kompromittieren des privaten Schlüssels. Daher wird aus Sicherheitsgründen EdDSA gegenüber ECDSA bevorzugt.

Public Key Infrastructure (PKI) ist die Vertrauensinfrastruktur, die öffentliche Schlüssel über digitale Zertifikate mit Identitäten verknüpft. Digitale Zertifikate, definiert durch den X.509-Standard (ITU-T, RFC 5280), werden von einer Zertifizierungsstelle (CA) signiert. Zertifikatsketten schaffen ein hierarchisches Vertrauensmodell, das von einer Root-CA über Zwischen-CAs bis hin zu Endbenutzerzertifikaten reicht. Browser und Betriebssysteme werden mit vorinstallierten vertrauenswürdigen Root-CA-Zertifikaten ausgeliefert. Kostenlose CA-Dienste wie Let's Encrypt (betrieben von der Internet Security Research Group) ermöglichen die automatisierte Ausstellung und Erneuerung von Zertifikaten über das ACME-Protokoll und revolutionieren damit die Verbreitung von HTTPS. Bis 2024 entfielen mehr als 95 % des Webverkehrs auf HTTPS. Certificate Transparency (CT)-Logs bieten einen offenen Prüfmechanismus zur Erkennung der Ausstellung betrügerischer Zertifikate und sollen Vorfälle wie den DigiNotar-CA-Verstoß von 2011 verhindern.

Transport Layer Security (TLS) Protokoll: Die Grundlage der Internetsicherheit

TLS (Transport Layer Security) ist das grundlegende Protokoll zur Verschlüsselung der Kommunikation im Internet. Als Nachfolger des von Netscape entwickelten SSL (Secure Sockets Layer) begann TLS mit TLS 1.0 (RFC 2246) im Jahr 1999 und erhielt mit TLS 1.3 (RFC 8446), veröffentlicht im Jahr 2018, erhebliche Verbesserungen. Die Unterstützung für TLS 1.0 und 1.1 wurde 2020 von allen großen Browsern eingestellt; während TLS 1.2 noch weit verbreitet ist, beschleunigt sich der Übergang zu TLS 1.3.

TLS 1.3 bringt mehrere Verbesserungen gegenüber früheren Versionen mit sich: Der Handshake-Prozess wurde auf eine Round-Trip-Zeit (RTT) von zuvor 2 RTTs reduziert. Im Modus 0-RTT (frühe Daten) können Daten sofort an bereits verbundene Server gesendet werden (mit dem Risiko von Replay-Angriffen). Schwache Chiffre-Pakete (CBC-Modus, RC4, 3DES, statischer RSA-Schlüsselaustausch, MD5 und SHA-1-basierte Signaturen) wurden vollständig entfernt. Es werden nur noch AEAD-Verschlüsselungsmodi (Authentifizierte Verschlüsselung mit zugehörigen Daten) unterstützt: AES-128-GCM, AES-256-GCM und ChaCha20-Poly1305. Perfekte Vorwärtsgeheimhaltung wurde zur Pflicht gemacht – es wird nur noch ein vorübergehender Diffie-Hellman- oder ECDHE-Schlüsselaustausch verwendet. So kann selbst bei einem Kompromittieren des privaten Schlüssels des Servers vergangene Sitzungsdaten nicht entschlüsselt werden.

Ein typischer TLS 1.3-Handshake über eine HTTPS-Verbindung umfasst folgende Schritte: Der Client sendet unterstützte Verschlüsselungspakete und Schlüsselaustauschparameter (ClientHello). Der Server präsentiert sein Zertifikat, vervollständigt den Schlüsselaustausch und beendet den Handshake sicher (ServerHello, EncryptedExtensions, Certificate, CertificateVerify, Finished). Der Client verifiziert das Zertifikat und initiiert die verschlüsselte Übertragung von Anwenderdaten. Dieser gesamte Prozess wird innerhalb einer einzigen Netzwerk-Hin- und Rücksendung abgeschlossen.

Blockchain und Kryptographie

Die Blockchain-Technologie hat viele Komponenten der Kryptographie zusammengeführt, um einen praktischen Bereich für die Konkretisierung kryptographischer Konzepte zu schaffen. Diese Struktur, die Satoshi Nakamoto in seinem Artikel von 2008 über Bitcoin definiert hat, basiert auf mehreren kryptographischen Elementen: der SHA-256-Hashfunktion, die zur Verknüpfung von Blöcken und dem Proof-of-Work-Mechanismus (PoW) verwendet wird – Bergleute finden den Nonce-Wert, der das Hashing des Blocks mit einer bestimmten Anzahl von Nullen am Anfang ermöglicht, nachdem sie Billionen von SHA-256-Berechnungen durchgeführt haben. ECDSA (unter Verwendung der secp256k1-Kurve) wird für die digitale Signierung von Transaktionen eingesetzt. Merkle-Bäume ermöglichen die Überprüfung der Integrität aller Transaktionen innerhalb eines Blocks unter Verwendung eines einzigen Root-Hash-Werts, sodass leichte Clients (SPV-Knoten) Transaktionen validieren können, ohne die gesamte Blockchain herunterzuladen.

Ethereum nutzt die Keccak-256-Hash-Funktion und hat durch Smart Contracts kryptografische Protokolle programmierbar gemacht. Technologien für den Nullwissen-Beweis – insbesondere zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge) und zk-STARKs (Scalable Transparent Arguments of Knowledge) – ermöglichen es, die Richtigkeit einer Information zu beweisen, ohne diese selbst preiszugeben. Diese Technologie wird in datenschutzorientierten Kryptowährungen wie Zcash und in Skalierungslösungen von Ethereum (zk-Rollups: zkSync, StarkNet, Polygon zkEVM) eingesetzt.

Quantencomputing und Post-Quanten-Kryptographie

Quantencomputer haben das Potenzial, die Grundlagen der modernen Kryptographie zu untergraben. Der Shor-Algorithmus, entwickelt von Peter Shor im Jahr 1994, kann große Zahlen in ihre Primfaktoren zerlegen und das diskrete Logarithmusproblem in polynomieller Zeit auf Quantencomputern lösen. Das bedeutet, dass RSA, DSA, ECDSA, Diffie-Hellman und alle auf elliptischen Kurven basierenden Algorithmen gegen Quantencomputer unsicher werden. Der Grover-Algorithmus reduziert auch die Sicherheit symmetrischer Verschlüsselung und Hash-Funktionen um den Faktor Quadratwurzel, wodurch AES-256 in der Quantenära äquivalent zu AES-128 wird. Für symmetrische Algorithmen ist die Lösung einfach: Eine Verdoppelung der Schlüssellänge reicht aus. Bei asymmetrischen Algorithmen sind jedoch völlig neue mathematische Strukturen erforderlich.

Um dieser Bedrohung entgegenzuwirken, führt das NIST seit 2016 den Post-Quanten-Kryptographie-Standardisierungsprozess durch. Nach einer langen Evaluierungsphase mit 82 Kandidaten wurden die ersten Standards im Jahr 2024 veröffentlicht:

• ML-KEM (CRYSTALS-Kyber, FIPS 203): Ein modulargitterbasierter Schlüsselaustauschmechanismus. Seine Sicherheit basiert auf der Schwierigkeit des Lernens mit Fehlern (LWE)-Problems. Er wird RSA/ECDH in TLS und anderen Schlüsselaustauschprotokollen ersetzen.
• ML-DSA (CRYSTALS-Dilithium, FIPS 204): Ein modulares Gitter-basierter digitales Signaturalgorithmus. Empfohlen für den allgemeinen Einsatz digitaler Signaturen.
• SLH-DSA (SPHINCS+, FIPS 205): Ein haschbasierter digitaler Signaturalgorithmus, der als Rückfalloption dient, falls später Schwachstellen in gitterbasierten Algorithmen entdeckt werden. Seine Sicherheit basiert ausschließlich auf der Sicherheit von Hashfunktionen.

Die Quantendrohung ist zwar noch nicht akut, doch aufgrund der Strategie „Ernte jetzt, entschlüssle später“ sind bereits heute Maßnahmen erforderlich. Staatlich geförderte Akteure können verschlüsselten Datenverkehr, den sie heute erfassen, speichern und ihn zu einem späteren Zeitpunkt entschlüsseln, wenn leistungsstarke Quantencomputer (cryptographisch relevante Quantencomputer) verfügbar sind. Die NSA hat in ihrem Leitfaden CNSA 2.0 aus dem Jahr 2022 festgelegt, dass Bundesbehörden bis 2035 auf postquanten-kryptografische Algorithmen umstellen müssen.

Ein hybrider Ansatz wird während des Übergangsprozesses vorgeschlagen: die Verwendung bestehender klassischer Algorithmen zusammen mit postquanten Algorithmen. Google Chrome hat im Jahr 2024 den hybriden Schlüsselaustausch X25519Kyber768 standardmäßig für TLS-Verbindungen aktiviert. Das Signal-Nachrichtenprotokoll hat ebenfalls eine postquanten Schutz mit dem PQXDH-Protokoll hinzugefügt. Cloudflare und Amazon Web Services haben begonnen, postquante TLS-Unterstützung anzubieten.

Seitenkanalangriffe und Implementierungssicherheit

Selbst wenn kryptografische Algorithmen eine starke theoretische Sicherheit aufweisen, können Schwachstellen in ihrer Implementierung die gesamte Sicherheit gefährden. Nebenkanalangriffe, die darauf abzielen, durch Ausnutzung von Informationen, die bei der physischen Implementierung des Algorithmus anfallen, Schlüssel zu extrahieren, stellen eine erhebliche Bedrohung dar. Zeitmessangriffe (Paul Kocher, 1996) analysieren beispielsweise Unterschiede in den Verarbeitungszeiten, um sensible Informationen wie den Exponenten in RSA-Operationen zu extrahieren, der vom privaten Schlüssel abhängt. Auch Stromanalyseangriffe (einfache SPA und differenzielle DPA) extrahieren Schlüsselinformationen aus Mustern des Stromverbrauchs des Geräts. Selbst elektromagnetische Emissionsangriffe und akustische Kryptanalyse wurden untersucht.

Um sich gegen solche Angriffe zu schützen, werden konstante-Zeit-Implementierungen, Techniken zur Tarnung des Stromverbrauchs, die Einfügung zufälliger Verzögerungen und physische Gegenmaßnahmen eingesetzt. Die berühmte Heartbleed-Schwachstelle (CVE-2014-0160) entstand durch einen Pufferüberlauf-Fehler in OpenSSL und führte zum Auslaufen von privaten Schlüsseln, Passwörtern und Sitzungsdaten aus dem Speicher von Servern. Betroffen war etwa ein Drittel des Internets. Dieser Vorfall zeigte schmerzhaft, dass in der Kryptographie die Qualität der Implementierung und die Strenge der Code-Überprüfung genauso wichtig sind wie das Design des Algorithmus selbst.

Die Zukunft der Kryptographie

Die Kryptographie bleibt eines der dynamischsten und wichtigsten Gebiete der Informatik. Von den Grundlagen der Informations theorie von Shannon bis zu Turings Arbeit an Enigma, vom Durchbruch von Diffie-Hellman in der asymmetrischen Verschlüsselung bis hin zu den heutigen postquanten Algorithmen repräsentiert diese Entwicklung eine der ausgefeiltesten Errungenschaften der Menschheit. Im digitalen Zeitalter sind sichere Kommunikation, E-Commerce, digitale Identität und Privatsphäre ohne Kryptographie undenkbar.

Blickt man in die Zukunft, fallen mehrere Bereiche ins Auge. Vollständig homomorphe Verschlüsselung (FHE) ermöglicht die Verarbeitung verschlüsselter Daten ohne vorherige Entschlüsselung; seit Craig Gentrys bahnbrechender Arbeit aus dem Jahr 2009 wurden erhebliche Leistungsverbesserungen erzielt. Sichere Mehrparteienberechnung (MPC) ermöglicht es mehreren Parteien, eine gemeinsame Berechnung durchzuführen, ohne ihre individuellen Daten gegenseitig preiszugeben. Differenzielle Privatsphäre gewährleistet mathematisch die Privatsphäre von Einzelpersonen beim Extrahieren statistischer Informationen aus Datensätzen. Der Übergang zur Post-Quanten-Kryptographie, die vollständige Einführung von TLS 1.3 und Fortschritte bei Technologien zur Verbesserung der Privatsphäre (PETs) bestätigen erneut, dass Kryptographie nicht nur ein Sicherheitswerkzeug ist, sondern eine grundlegende Infrastruktur der digitalen Gesellschaft.