TLS: Google und Cloudflare testen Post-Quanten-Kryptographie

Google und Cloudflare wollen gemeinsam ausprobieren, wie sich Post-Quanten-Algorithmen in der Praxis bei HTTPS-Verbindungen schlagen. Auf Cloudflares Servern und in Googles Chrome-Browser sollen dafür zwei Algorithmen zum Einsatz kommen, die als aussichtsreiche Kandidaten für zukünftige Verschlüsselungsstandards gelten.

Als Post-Quanten-Kryptographie werden Verschlüsselungs- und Signaturverfahren bezeichnet, bei denen davon ausgegangen wird, dass sie auch von Quantencomputern nicht angegriffen werden können. Bisher existieren Quantencomputer, die Verschlüsselungsverfahren knacken können, nur in der Theorie. Aber das könnte sich in Zukunft ändern - und dann wären alle heute verwendeten Public-Key-Verfahren wie RSA oder auf elliptischen Kurven basierte Verfahren unsicher.

Verbindungen aus unklaren Gründen stark verlangsamt

Google experimentierte bereits mit Post-Quanten-Verfahren. Dabei traten keine größeren Probleme auf, Google-Entwickler Adam Langley berichtete allerdings, dass in einigen Fällen Verbindungen unerwartet stark verlangsamt worden seien. Cloudflare und Google hoffen, mit dem jetzt gestarteten Großexperiment solche und andere Probleme besser zu verstehen und zu analysieren.

Zum Einsatz kommen sollen die Algorithmen HRSS-SXY und SIKE. Der Algorithmus HRSS-SXY ist eine Variante des Ntru-Verschlüsselungssystems und gehört zu den sogenannten Gitter-basierten Verschlüsselungsverfahren. SIKE wiederum basiert auf supersingulären Isogenien über elliptischen Kurven. Letztere gelten als besonders experimentell, erst seit wenigen Jahren wird diese Form von mathematischen Konstruktionen für kryptographische Verfahren genutzt.

Beide Verfahren haben Vor- und Nachteile. HRSS-SXY ist vergleichsweise schnell, dafür sind jedoch die öffentlichen Schlüssel und die verschlüsselten Daten jeweils mehr als ein Kilobyte groß. Zum Vergleich: Das größte bislang praktisch eingesetzte klassische Verschlüsselungsverfahren mit ähnlichen Eigenschaften ist entweder RSA oder Diffie-Hellman mit 4096 Bit - was 512 Byte entspricht, also knapp der Hälfte.

SIKE wiederum kommt mit viel weniger Daten aus: 330 Byte für einen öffentlichen Schlüssel und 346 Byte für die verschlüsselten Daten. Dafür ist es viel langsamer. Die Verschlüsselung ist 300 Mal langsamer als HRSS-SXY, die Entschlüsselung 100 Mal langsamer. Es besteht allerdings die Hoffnung, dass der Abstand durch Verbesserungen bei den Berechnungsalgorithmen in Zukunft kleiner wird.

Kombination mit elliptischen Kurven

Beide Algorithmen sind bisher nicht Teil des offiziellen TLS-Standards, TLS sieht es aber generell vor, dass experimentelle zusätzliche Algorithmen genutzt werden können. Die neuen Algorithmen sollen aber nicht alleine zum Einsatz kommen, sie werden mit dem X25519-Schlüsselaustausch auf Basis elliptischer Kurven kombiniert. Der Vorteil: Selbst wenn sich die neuen Algorithmen als unsicher erweisen, gibt es immer noch die Sicherheit der bewährten elliptischen Kurven.

Konkret soll das Experiment so ablaufen, dass die Cloudflare-Server beide Algorithmen unterstützen. Chrome wird bei Verbindungen zufällig einen der beiden Algorithmen anbieten. Zusätzlich wird Chrome weiterhin klassische Algorithmen anbieten, damit in jedem Fall eine Verbindung zustandekommt. Generell werden die neuen Algorithmen nur mit TLS 1.3 unterstützt. Cloudflare wird Daten über die Verbindungen sammeln und erhofft sich dadurch, Probleme besser analysieren zu können.

Nicht nur Google und Cloudflare bereiten sich auf die Zukunft der Post-Quanten-Kryptographie vor. Die US-Standardisierungsbehörde Nist führt zur Zeit einen Wettbewerb durch, bei dem Post-Quanten-Algorithmen standardisiert werden sollen. SIKE und eine leicht andere Variante von HRSS sind beide Teil des Wettbewerbs.