Wiener Forschergruppen entwickeln erstmals Verschlüsselungsverfahren, die auch künftige Gefahren im Blick haben. © Markus Spiske on Unsplash

Es ist der Alptraum jedes Unternehmens, das mit sensiblen Informationen zu tun hat: Eine Verschlüsselungstechnologie, die als sicher galt, wird geknackt und mit einem Mal ist die Unternehmenskommunikation für alle Welt sichtbar. In Zeiten, in denen jegliche Kommunikation über Jahre gespeichert wird, gibt es ein starkes Bedürfnis, sich nicht nur gegen aktuelle Bedrohungen zu schützen, sondern auch gegen künftige. Dieses auf den ersten Blick paradox anmutende Unterfangen ist das Forschungsgebiet des Kryptologen Daniel Slamanig vom Austrian Institute of Technology (AIT). Im Rahmen einer netidee-Science-Förderung der Internet Privatstiftung Austria (IPA) in Kooperation mit dem Wissenschaftsfonds FWF untersucht er Verschlüsselungsverfahren, die vorausschauend agieren. Das Projekt nennt sich PROFET, Projektpartner ist die Technische Universität Wien. Verschlüsselte Botschaften gibt es seit der Antike, die sogenannte „Caesar“-Chiffre, bei der jeder Buchstabe einer Nachricht durch einen anderen Buchstaben des Alphabets ersetzt wird, ist heute im wahrsten Sinn des Wortes ein Kinderspiel. Inzwischen ist unser Alltag von komplexen kryptografischen Methoden durchdrungen, die in den meisten Fällen für uns nicht wahrnehmbar im Hintergrund agieren. Heute kommunizieren nicht nur Menschen, sondern auch Geräte verschlüsselt, die Zahl und die Möglichkeiten der Angreifer ist vielfältiger, Computer können viel komplexere und aufwändigere Codierungsverfahren umsetzen und Verschlüsselung ist nicht mehr nur eine militärische Technologie, sondern ein wichtiger unternehmerischer Faktor geworden – nicht zuletzt in diesen Tagen, wo Firmen auf Heimarbeit umstellen und sicheren Datenaustausch vom Heimarbeitsplatz zum Unternehmen garantieren müssen.

Mehr als ein Katz-und-Maus-Spiel

„Lange Zeit haben die Menschen Verschlüsselungsmethoden entwickelt und waren zufrieden, wenn es zum aktuellen Zeitpunkt niemandem gelang, die Verschlüsselung zu brechen“, sagt Projektleiter Slamanig. Wurde der Code gebrochen, versuchte man etwas Neues. So wurde bis in den zweiten Weltkrieg hinein agiert, wo Verschlüsselungsverfahren wesentlichen Einfluss auf den Kriegsverlauf hatten. Heute sei der Anspruch viel höher, erläutert Slamanig: „Der wesentliche Unterschied ist, dass die moderne Kryptografie sich in der Wissenschaft entwickelt hat und kein reines Katz- und Maus-Spiel mehr ist.“ Heute werde von einer Verschlüsselungsmethode verlangt, dass sich ihre Sicherheit in besonders pessimistisch gewählten Modellsituationen mathematisch beweisen lässt. Das führt zur Frage, was mit alten, verschlüsselten Daten passiert, wenn doch irgendwann der Schlüssel dazu gefunden wird. Seit den Snowden-Enthüllungen wisse man, dass der Internetverkehr an manchen Punkten in der Welt, etwa in London, abgeschöpft und gespeichert wird, sagt Daniel Slamanig. „Manche Informationen müssen also über viele Jahrzehnte geschützt sein und nicht lediglich gegen aktuelle Angriffe“, so der Forscher.

Schlüssel können „vergessen“

Das Stichwort lautet „Vorwärtssicherheit“, also Sicherheit, die in die Zukunft gedacht ist. Das ist besonders für „asymmetrische“ Verschlüsselungsverfahren relevant. Diese gängige Variante operiert mit zwei getrennten Schlüsseln: Einer wird nur zur Verschlüsselung verwendet und kann öffentlich sein, der andere ist geheim und dient nur dem Entschlüsseln. Die verblüffende Erkenntnis, dass so etwas überhaupt möglich ist, entstand in den 1970er-Jahren. Heute gehört asymmetrische Verschlüsselung zu den wichtigsten Verfahren. Vorwärtssicherheit wäre ganz einfach möglich, würden die Schlüssel regelmäßig geändert werden, betont Slamanig. Doch bei asymmetrischen Verfahren ist das ein Problem: Den öffentlichen Schlüssel zu aktualisieren ist mit Aufwand verbunden. Es muss etwa sichergestellt werden, dass er nicht gefälscht werden kann. Dieses Problem will Slamanig lösen: „Es ist möglich, über sehr lange Zeit einen konstanten öffentlichen Schlüssel zu verwenden und nur den geheimen Schlüssel in einer Art und Weise zu aktualisieren, dass alte Dinge damit nicht mehr entschlüsselt werden können“, erklärt der Forscher. Die Idee sei, einen Schlüssel zu haben, der „vergessen“ kann, gewisse Dinge zu entschlüsseln. „Das lässt sich so fein adaptieren, dass etwa ein Schlüssel vergessen kann, wie man eine ganz bestimmte Nachricht entschlüsselt, für alle anderen Nachrichten aber weiterhin funktioniert“, so der Kryptologe. Man spricht von „Punctural Encryption“, „punktierbarer“ Verschlüsselung.

Nach dem Quantencomputer

Ein weiteres großes Thema in der Kryptografie ist das Schreckgespenst eines Quantencomputers, der alle derzeit praktisch verwendeten asymmetrischen Verschlüsselungsverfahren aushebeln würde. Durch Ausnutzen des intuitiv schwer zu fassenden Phänomens der quantenphysikalischen „Verschränkung“ ist es theoretisch möglich, einen Computer zu bauen, der so leistungsfähig ist, dass ein wesentlicher Teil der bisher üblichen asymmetrischen Verfahren mit einem Schlag obsolet wären. Zwar sei immer noch nicht klar, ob es jemals möglich sein wird, einen Quantencomputer zu bauen, der „skalierbar“ ist, also in beliebiger Größe und Leistungsfähigkeit konstruierbar und einsetzbar – manche Expertinnen und Experten zweifeln das an, so Slamanig. Doch die wissenschaftliche Kryptografie-Gemeinschaft bereitet sich seit einiger Zeit intensiv auf dieses Szenario vor. Mögliche Kandidaten für Verfahren, die auch mit Quantencomputern nicht zu knacken wären, gibt es seit den 70er Jahren. Aufgrund verschiedener Nachteile konnten sie sich bisher nicht durchsetzen – Nachteile, die heute zum Teil keine Gültigkeit mehr haben, so Slamanig.

Internationaler Wettbewerb

Das Feld erlebt einen Aufschwung, seit das „NIST“, das nationale US-amerikanische Institut für Standards und Technologie einen Wettbewerb für quantensichere Verschlüsselungsverfahren – man spricht von „Post-Quanten-Kryptografie ausgeschrieben hat. Diese Wettbewerbe haben Tradition und münden üblicherweise in die Entwicklung neuer Verfahren, die dann als Standard etabliert werden. Der Bewerb läuft derzeit, Slamanig ist mit einem internationalen Team in der zweiten Runde. „Um das Thema gibt es derzeit einen Hype, weil vielen Leuten bewusst geworden ist, dass in zehn Jahren vieles anders aussehen könnte“, sagt Slamanig, der betont, dass in der Industrie diesbezüglich zunehmend Nervosität herrscht. Man will vorbereitet sein. „Was wir anbieten wollen, ist ein Verschlüsselungsverfahren mit starker Forward-Security in einem Post-Quantum-Setting“, so der Forscher. Das sei ein wesentliches Ziel dieses Projekts, das 2019 startete und noch bis 2022 läuft.


Zur Person Daniel Slamanig ist Kryptologe am Austrian Institute of Technology (AIT) im Center for Digital Safety & Security in Wien. Er forscht an Grundlagen der Public-Key-Kryptografie sowie deren Anwendung in Could-Computing und dem Internet der Dinge (IoT) und lehrt moderne Kryptografie an der Technischen Universität Wien. Slamanig erhielt 2019 eine netidee Science-Förderung der Internet Privatstiftung Austria in Kooperation mit dem Wissenschaftsfonds FWF im Umfang von 325.000 Euro.


Publikationen & Beiträge

Behzad Abdolmaleki, Sebastian Ramacher, Daniel Slamanig: Lift-and-Shift: Obtaining Simulation Extractable Subversion and Updatable SNARKs Generically, in: 27th ACM Conference on Computer and Communications Security - ACM CCS 2020 (pdf)
David Derler, Sebastian Ramacher, Daniel Slamanig, Christoph Striecks: I Want to Forget: Fine-Grained Encryption with Full Forward Secrecy in the Distributed Setting, in: IACR Cryptology ePrint Archive 2019 (pdf)
David Derler, Tibor Jager, Daniel Slamanig, Christoph Striecks: Bloom Filter Encryption and Applications to Efficient Forward-Secret 0-RTT Key Exchange. 37th Annual International Conference on the Theory and Applications of Cryptographic Techniques - EUROCRYPT 2018 (pdf)
Melissa Chase, David Derler, Steven Goldfeder, Claudio Orlandi, Sebastian Ramacher, Christian Rechberger, Daniel Slamanig, Greg Zaverucha: Post-Quantum Zero-Knowledge and Signatures from Symmetric-Key Primitives. 24th ACM Conference on Computer and Communications Security - ACM CCS 2017 (pdf)