Im Dezember des letzten Jahres verkündete das amerikanische National Institute of Standards and Technology (NIST) die Absicht, eine Initiative zur Standardisierung von Post-Quanten-Kryptografie zu starten. Wie bereits in einem früheren Blogeintrag erklärt, könnte ein leistungsfähiger Quantencomputer so gut wie alle zur Zeit verwendeten asymmetrischen kryptografischen Algorithmen knacken, was katastrophale Auswirkungen auf die Sicherheit von öffentlichen Netzwerken wie dem Internet hätte. Auch wenn es vermutlich noch 10-15 Jahre dauern wird, bis solch leistungsfähige Quantencomputer gebaut werden können, macht es trotzdem Sinn, sich bereits heute mit Post-Quanten-Kryptografie zu beschäftigen. Das Ziel der NIST Initiative ist die Standardisierung neuartiger kryptografischer Algorithmen für asymmetrische Verschlüsselung, Schlüsselaustausch und digitale Signaturen, die Angriffen mit einem Quantencomputer standhalten können und somit auch im Post-Quanten-Zeitalter sicher sein werden. Kryptografen aus aller Welt konnten bis zum 30. November 2017 ihre Vorschläge für die Realisierung von Post-Quanten-Kryptosystemen beim NIST einreichen. Somit ist dieser 30. November 2017 ein historischer Tag für die Entwicklung und Verbreitung von Post-Quanten-Kryptografie.

Das NIST hat in der Vergangenheit bereits drei offene Wettbewerbe zur Standardisierung von kryptografischen Algorithmen ausgeschrieben, die jedoch allesamt auf symmetrische Verfahren ausgelegt waren. Aus dem ersten dieser Wettbewerbe, der in den 70-iger Jahren durchgeführt wurde, ging der Data Encryption Standard (DES) hervor, welcher heute als Vorläufer aller modernen Blockverschlüsselungsalgorithmen angesehen wird. Ende der 90-iger Jahre startete das NIST einen weiteren Wettbewerb, um einen Nachfolger des in die Jahre gekommenen (und aufgrund seiner geringen Schlüssellänge von 56 Bit als nicht mehr sicher angesehenen) DES zu finden. Bei diesem Wettbewerb wurden insgesamt 15 Vorschläge eingereicht und nach einer zweijährigen Begutachtungsphase, in der neben Sicherheit auch die Effizienz der eingereichten Kandidaten untersucht wurde, kürte das NIST im Oktober 2000 den Blockverschlüsselungsalgorithmus Rijndael zum Sieger. Rijndael wurde von zwei jungen Kryptografen aus Belgien entwickelt und ist im NIST Standard FIPS 197 als Advanced Encryption Standard (AES) mit Schlüssellängen von 128, 192, und 256 Bit spezifiziert. Der AES ist der mit Abstand wichtigste symmetrische Verschlüsselungsalgorithmus und kommt heute in so gut wie allen sicherheitskritischen Anwendungen zum Einsatz. Der dritte vom NIST veranstaltete Wettbewerb wurde im November 2007 angekündigt und hatte die Schaffung eines neuen Standards für kryptografische Hash-Funktionen zum Ziel. Kryptografen aus allen Teilen der Welt reichten insgesamt 64 Vorschläge ein, von denen bereits zu Beginn 13 Einreichungen wegen Formalfehlern oder offensichtlichen Mängeln aussortiert wurden. Die restlichen 51 Vorschläge wurden dann über einen Zeitraum von vier Jahren (d.h. von November 2008 bis Oktober 2012) hinsichtlich ihrer Sicherheit und Effizienz untersucht, wobei die Zahl der Kandidaten zuerst auf 14 und danach auf fünf reduziert wurde. Letztendlich entschied sich das NIST für die Hash-Funktion Keccak, eine gemeinsame Entwicklung von vier Kryptografen der Firmen STMicroelectronics und NXP Semiconductors, die im August 2015 als SHA-3 standardisiert wurde. Ein Entwurf mit österreichischer Beteiligung, nämlich die Hash-Funktion Grøstl, erreichte immerhin die Runde der letzten Fünf im Auswahlprozess.

Die aktuelle Ausschreibung zur Standardisierung von Post-Quanten-Kryptografie ist somit der vierte offene Wettbewerb den das NIST organisiert. Inoffiziellen Meldungen zufolge sollen bis zum Ende der Einreichfrist am 30. November 2017 über 80 Vorschläge für post-quanten-sichere Kryptosysteme beim NIST eingetroffen sein. Ähnlich wie bei früheren Wettbewerben wird das NIST zuerst alle Einreichungen auf Vollständigkeit und das Erfüllen einiger Formalkriterien überprüfen, und dann detailierte Spezifikationen der gültigen Einreichungen veröffentlichen, was vermutlich noch dieses Jahr erfolgen wird. Danach startet eine offene Evaluierungsphase von drei bis fünf Jahren, an der sich Kryptografen aus aller Welt beteiligen können. Im Gegensatz zu den bisherigen Wettbewerben plant das NIST jedoch nicht einen einzelnen Algorithmus zum "Sieger" zu küren, sondern wird voraussichtlich am Ende der Evaluierungsphase ein Portfolio von empfohlenen Algorithmen für asymmetrische Verschlüsselung, Schlüsselaustausch und digitale Signaturen veröffentlichen. Die beiden Hauptkriterien in der Evaluierung der eingereichten Kandidaten sind einerseits die Sicherheit gegen Angriffe mit klassischer Computer-Technologie als auch mit Quantencomputern, und andererseits die Effizienz des darunterliegenden Algorithmus im Hinblick auf Rechenaufwand und Schlüssellänge. Ein Teilaspekt dabei ist die Frage, wie gut sich die eingereichten Post-Quanten-Kryptosysteme für das Internet der Dinge eignen, d.h. wie effizient sie auf Klein- und Kleinstgeräten mit wenig Rechenleistung und wenig Speicher ausgeführt werden können. Einen Beitrag zur Beantwortung dieser Frage leistet das Projekt QUASIKOM, denn es ist anzunehmen, dass einige der eingereichten Post-Quanten-Kryptosysteme auf den im Laufe des Projekts implementierten NTRU Algorithmus basieren oder auf einem NTRU-ähnlichen Verfahren. Somit ist es nicht unwahrscheinlich, dass die Ergebnisse von QUASIKOM eine gewisse Rolle bei der Evaluierung von Post-Quanten-Kryptosystemen im Rahmen des NIST Wettbewerbs spielen werden.

Im Projekt selbst geht die Arbeit zügig voran. Im letzten Blogeintrag wurde eine wesentliche Komponente von NTRUEncrypt näher erklärt, nämlich die Polynom-Multiplikation. Eine andere wichtige Komponente von NTRUEncrypt ist die Hash-Funktion SHA-256, die ebenfalls bereits integriert wurde. Nähere Informationen dazu wird es im nächsten Blogeintrag geben. Stay Tuned!