Missverstandene „Quanten-Hegemonie“ - Bis 2030 brauchst du keine Angst zu haben

Heutzutage sind die Prognosen auf dem Markt darüber, wann „quantencomputergestützte Kryptografie (CRQC)“ entstehen wird, oft zu optimistisch und übertreiben — was dazu führt, dass Menschen zu einem sofortigen und umfassenden Übergang zur Post-Quanten-Kryptographie aufrufen.

Doch diese Forderungen ignorieren häufig die Kosten und Risiken eines zu frühen Übergangs und übersehen die erheblichen unterschiedlichen Risikoeigenschaften verschiedener kryptografischer Primitive:

• Post-Quanten-Verschlüsselung (Post-quantum encryption) muss tatsächlich sofort implementiert werden, obwohl die Kosten hoch sind: „HNDL“-Angriffe (Harvest Now, Decrypt Later) finden bereits statt. Sensible Daten, die heute verschlüsselt sind, könnten auch Jahrzehnte später bei Eintreten eines Quantencomputers noch wertvoll sein. Obwohl die Implementierung von Post-Quanten-Verschlüsselung Performance-Overheads und Betriebsrisiken mit sich bringt, bleibt bei HNDL-Angriffen den Daten, die langfristig geheim bleiben sollen, keine andere Wahl.
• Post-Quanten-Signaturen (Post-quantum signatures) haben eine völlig andere Rechenlogik: Sie sind nicht von HNDL-Angriffen betroffen. Zudem bestimmen die Kosten und Risiken (größere Datenvolumina, schlechtere Performance, unreife Technik, potenzielle Bugs) für Post-Quanten-Signaturen, dass eine durchdachte, weniger hektische Migrationsstrategie notwendig ist.

Diese Unterschiede klar zu verstehen ist essenziell. Missverständnisse verzerren die Kosten-Nutzen-Analyse und führen dazu, dass Teams die unmittelbar gefährlichsten Sicherheitsrisiken übersehen — etwa Code-Bugs.

Bei der Migration zur Post-Quanten-Kryptographie besteht die eigentliche Herausforderung darin, den Ernst der Lage mit den tatsächlichen Bedrohungen in Einklang zu bringen. Im Folgenden werden gängige Missverständnisse bezüglich der Quantengefahr durch die Betrachtung von Kryptographie, Signaturen und Zero-Knowledge-Proofs (insbesondere deren Auswirkungen auf Blockchain) geklärt.

Wie weit sind wir von der Quantengefahr entfernt?

Obwohl die öffentliche Diskussion diesbezüglich aufgeheizt ist, ist die Wahrscheinlichkeit, dass in den 2020er Jahren „quantencomputergestützte Kryptografie (CRQC)“ entsteht, äußerst gering.

Mit „CRQC“ meine ich einen fehlerkorrigierten, fehlertoleranten Quantencomputer, der groß genug ist, um in vertretbarer Zeit Shor’s Algorithmus auszuführen, um elliptische Kurven-Kryptografie oder RSA (z.B. in maximal einem Monat, um secp256k1 oder RSA-2048 zu knacken) anzugreifen.

Durch eine vernünftige Einschätzung der Meilensteine und Ressourcen ist die Herstellung eines solchen Geräts noch sehr weit entfernt. Obwohl einige Firmen behaupten, CRQC könnte vor 2030 oder 2035 entstehen, untermauern die derzeit öffentlich bekannten Fortschritte diese Aussagen nicht.

Objektiv betrachtet gibt es bei allen aktuellen technischen Architekturen — Ionenfallen, supraleitende Qubits, neutrale Atomsysteme — heute keinen einzigen Ansatz, der an die Anzahl von Hunderttausenden bis Millionen physischer Qubits herankommt, die für die Ausführung von Shor’s Algorithmus erforderlich wären (abhängig von Fehlerquoten und Fehlerkorrekturverfahren).

Einschränkungen sind nicht nur die Anzahl der Qubits, sondern auch die Gate-Fidelties, die Verbindungsfähigkeit der Qubits sowie die tiefe, dauerhafte Fehlerkorrektur notwendig ist, um komplexe Quantenalgorithmen auszuführen. Zwar verfügen einige Systeme inzwischen über mehr als 1.000 physische Qubits, doch rein zahlenmäßig ist das irreführend: Diese Systeme fehlen die nötige Verknüpfung und Fidelties für kryptografisch relevante Berechnungen.

Jüngste Systeme nähern sich der Schwelle für funktionierende Quantenfehlerkorrektur in Bezug auf die physische Fehlerquote, doch niemand hat bislang mehr als wenige logische Qubits mit nachhaltiger Fehlerkorrektur gezeigt… geschweige denn die Tausende von hochfidelen, tiefen, fehlerkorrigierten logischen Qubits, die für die praktische Ausführung von Shor’s Algorithmus notwendig sind. Der Unterschied zwischen „theoretischer Machbarkeit der Quantenfehlerkorrektur“ und „erreichbarer kryptografischer Skala“ ist noch immer enorm.

Kurz gesagt: Solange die Anzahl und Fidelties der Qubits nicht um mehrere Größenordnungen steigen, bleibt CRQC unerreichbar.

Allerdings werden diese Einschätzungen häufig durch PR-Statements und Medienberichte verzerrt. Hier einige häufige Missverständnisse:

• Demonstrationen „quantum advantage“: Diese beziehen sich meist auf speziell entwickelte Aufgaben. Diese Aufgaben sind nicht praktisch relevant, sondern dienen nur dazu, auf existierender Hardware enorme Quantenbeschleunigung zu demonstrieren — was in den Ankündigungen oft verschleiert wird.
• Firmen, die Tausende physischer Qubits angeben: Das bezieht sich meist auf Quanten-Annealer, nicht auf Geräte, die Shor’s Algorithmus ausführen können.
• Missbrauch des Begriffs „logische Qubits“: Für kryptografische Angriffe braucht man Tausende stabile logische Qubits. Durch Quantenfehlerkorrektur kann man viele physische Qubits zu einem logischen Qubit zusammenfassen — meist braucht man dafür hunderte bis tausende physische Qubits. Manche Firmen haben diesen Begriff jedoch maßlos überdehnt. Kürzlich wurde z.B. behauptet, mit nur zwei physikalischen Qubits pro logisches Qubit könnten 48 logische Qubits realisiert werden. Diese Art von minimalem Redundanz-Code kann nur Fehler erkennen, aber nicht korrigieren. Für die kryptografische Anwendung sind fehlerkorrigierte logische Qubits erforderlich, die jeweils hunderte bis tausende physische Qubits benötigen.
• Spiel mit Definitionen: Viele Roadmaps verwenden „logische Qubits“ nur für Qubits, die nur Clifford-Operationen unterstützen. Diese sind effizient klassisch simuliert und daher ungeeignet, um Shor’s Algorithmus auszuführen.

Selbst wenn eine Roadmap das Ziel hat, „bis Jahr X Tausende von logischen Qubits zu realisieren“, bedeutet das nicht, dass das Unternehmen auch dort in der Lage sein wird, Shor’s Algorithmus zu laufen und klassische Kryptografie zu knacken.

Diese Marketing-Methoden verzerren die Wahrnehmung der Öffentlichkeit — sogar einiger erfahrener Beobachter — bezüglich des tatsächlichen Fortschritts bei der Quantengefahr.

Dennoch sind einige Forscher tatsächlich optimistisch: Scott Aaronson hat kürzlich gesagt, dass angesichts des Tempos der Hardwareentwicklung „es möglich ist, vor der nächsten US-Präsidentschaftswahl einen fehlerkorrigierten Quantencomputer zu haben, der Shor’s Algorithmus ausführt.“ Er betonte aber auch, dass das nicht gleichbedeutend mit einer CRQC ist, die Kryptografie tatsächlich bedroht: Selbst eine einfache Faktorisierung wie 15 = 3 × 5 in einem fehlerkorrigierten System würde als „Vorhersage“ zählen. Das ist eindeutig nicht auf die Lösung von RSA-2048 vergleichbar.

Tatsächlich verwenden alle bisherigen „Faktorisierungs-Experimente“ mit Quanten nur vereinfachte Schaltungen, nicht den vollständigen, fehlerkorrigierten Shor-Algorithmus; das Faktorisieren von 21 erfordert zusätzliche Hinweise und Abkürzungen.

Kurz gesagt: Es gibt keine öffentlichen Fortschritte, die belegen, dass wir in den nächsten fünf Jahren eine Quantenmaschine bauen können, die RSA-2048 oder secp256k1 knackt.

Auch innerhalb von zehn Jahren bleibt das eine sehr optimistische Prognose.

Die US-Regierung plant, bis 2035 die Migration ihrer staatlichen Systeme auf Post-Quantum-Kryptographie abzuschließen — dies ist der Zeitplan für das Migrationsprojekt selbst, nicht die Prognose, dass in dieser Zeit CRQC entstehen werden.