Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit

Quantenbasierte Schlüsseleinigung (QKD)

Klassische Public-Key-Verfahren zum Austausch eines kryptografischen Schlüssels könnten durch künftige Quantencomputer gebrochen werden. Derzeit werden zwei grundlegend verschiedene Ansätze für den quantensicheren Schlüsselaustausch diskutiert:

  • Post-Quanten-Kryptografie (PQC): Kryptografische Verfahren, die auf schweren mathematischen Problemen basieren und sowohl gegen Angriffe von klassischen als auch von Quantencomputern resistent sind. Diese lassen sich auf klassischen Computern und Kommunikationsnetzwerken einsetzen und können in bestehende IT-Systeme integriert werden. Entsprechende Verfahren wurden bereits 2024 von der NIST standardisiert.

  • Quantum Key Distribution (QKD): Ansatz, bei dem quantenphysikalische Effekte genutzt werden, um einen kryptografischen Schlüssel zwischen zwei Parteien über einen unsicheren Quantenkanal zu vereinbaren. Eine entscheidende Eigenschaft des QKD-Protokolls ist, dass jeder Abhörversuch die quantenmechanischen Zustände verändert und dadurch ein Man-in-the-Middle-Angriff erkennbar wird. Diese Eigenschaft macht QKD theoretisch sehr sicher.

Wichtig: Während sowohl PQC als auch QKD das gleiche Ziel verfolgen (Quantensicherheit), sind es grundlegend verschiedene Ansätze. PQC beruht auf Mathematik und läuft auf klassischer Hardware – QKD hingegen nutzt selbst Quantenphysik und Quantentechnologien.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit den Sicherheitsbehörden aus Frankreich, den Niederlanden und Schweden den aktuellen Stand der Quantenbasierten Schlüsseleinigung (engl. Quantum Key Distribution (QKD)) in einem Positionspapier analysiert. Es kommt zum Ergebnis, dass QKD aufgrund technischer Einschränkungen und fehlender Sicherheitsreife derzeit nur für Nischenanwendungen praktisch nutzbar ist. Für den Großteil heutiger sicherer Kommunikation ist QKD nicht geeignet.

Das BSI gibt mehrere Gründe dafür an:


Technische Einschränkungen

QKD benötigt spezielle Hardware wie Einzelphotonenquellen und -detektoren sowie eine dedizierte Kommunikationsinfrastruktur (Quantenkanal). Die Anschaffung und Wartung eines QKD-Systems ist mit sehr hohen Kosten verbunden, sodass es für die allgemeine Verwendung als sicheres Kommunikations- oder Mobilfunknetzwerk nicht geeignet ist.

Reichweitenbegrenzungen

In der Praxis sind Ende-zu-Ende-verschlüsselte Übertragungsstrecken begrenzt, da Quantensignale bei der Übertragung über Glasfaserkabel mit zunehmender Entfernung stark geschwächt werden. Es gibt alternative satellitenbasierte Ansätze, die jedoch ähnliche Reichweitenbegrenzungen aufweisen und zudem sehr kostenintensiv zu implementieren sind. Die begrenzte Übertragungsreichweite schränkt die Einsatzmöglichkeiten des QKD-Systems stark ein.
 

Abhängigkeit von zusätzlichen kryptografischen Verfahren zur Authentifizierung 

Für die gegenseitige Authentifizierung der Kommunikationsteilnehmer ist neben dem Quantenkanal ein klassischer, authentifizierter Kanal notwendig.

Zur Implementierung des Authentifizierungsmechanismus kommen zwei Ansätze in Frage:

  • Verwendung von Pre-Shared-Keys mit symmetrischer Message-Authentifizierung. Diese vorab geteilten Schlüssel müssen regelmäßig erneuert werden.
  • Verwendung von Post-Quanten-Signaturverfahren mit einer Public-Key-Infrastruktur (PKI). Die Sicherheit der Authentifizierung hängt vollständig von der Sicherheit dieses post-quanten-kryptografischen Verfahrens ab.

QKD bleibt in der Praxis auf zusätzliche kryptografische Mechanismen angewiesen.
 

Fehlende praktische Sicherheitsreife

QKD-Protokolle können in der Theorie Sicherheit auf Basis quantenphysikalischer Prinzipien gewährleisten. Es fehlen jedoch derzeit ausreichend erprobte Nachweise dafür, dass implementierte QKD-Systeme diese Sicherheit in der Praxis tatsächlich bieten. Mehrere Angriffe auf die Hardware eines QKD-Systems sind bekannt.  
 

Fazit

Laut dem Positionspapier europäischer Sicherheitsbehörden ist QKD eine interessante Technologie, die nicht zuletzt wegen aktueller und inhärenter Limitationen weiterer Forschung bedarf. Derzeit ist QKD aufgrund kostenintensiver Spezialhardware, Reichweitenbegrenzungen und offener Sicherheitsfragen nur für den Nischeneinsatz geeignet. Um Kommunikationskanäle breitflächig gegen Quantencomputer abzusichern, empfehlen das BSI und andere Behörden, sich auf die Post-Quanten-Kryptografie zu konzentrieren und so früh wie möglich die Migration zu einem hybriden Public-Key-System (klassische Public-Key-Kryptografie zusammen mit Post-Quanten-Kryptografie) zu initiieren.