TechDays 2017
Ausschnitt der offiziellen Website der TechDays 2017.

Wir waren vor Ort: TechDays 2017 in München – Bericht

Unser Autor Jott war auf den TechDays 2017 in München vor Ort, um sich über die neuesten Trends aus der IT-Branche zu informieren.

Während die hochstehende Sommersonne Münchens Pflastersteine aufheizte, wurden in den gut klimatisierten Räumlichkeiten des Werkviertels die TechDays 2017 ausgetragen. Ein kühler Kopf war auch nötig, denn namhafte Unternehmen wie Giesecke & Devrient, Secunet, Fujitsu oder Infineon hielten Vorträge zu dem hochkomplexen und teilweise sehr theoretischen Thema „Post-Quantum-Encryption“. Aber auch eine Handvoll Startups präsentierten innovative Lösungen sowie Konzepte für eine sichere, digitale Welt.


Bericht von den TechDays 2017

Für thematische Abwechslung sorgte auf der Show-Bühne die Künstlerin YPL mit ihrer musikalisch untermalten Life-Performance „distorted vanity“ sowie Marco di Filippo, der am praktischen Beispiel „Social Engineering“ erläuterte. Das Highlight war aber ohne Frage die bereits erwähnte Vortragsreihe zur Post-Quantum-Security. Wo stehen wir heute? Was wissen wir über Quanten-Computer und wie können wir unsere Daten vor Fremdzugriff durch Konzerne und Regierungsorganisationen schützen? Um es vorwegzunehmen – einige der Antworten könnten Sie verunsichern.

Ungewissheit auf den TechDays 2017 München

Konkrete und vor allem verlässliche Details zum aktuellen Stand von Quanten-Computern sind Mangelware. Wie viele Qubits sind derzeit möglich? Die Angaben reichen von 17 echten Quantenbits bei IBM bis hin zu 2048 Qubits bei D-Wave, die jedoch „nur“ auf Basis von Quanteneffekten arbeiten und damit nicht dem Prinzip eines Quantencomputers entsprechen. Letzteres könnte in einigen Jahren eine Alternative zum klassischen Server darstellen und völlig neue Dienste ermöglichen.

Alle Redner waren sich jedoch auch einig, dass die öffentlich vorgestellten Quantencomputer nicht den aktuellen Status repräsentieren. Selbst große Konzerne wie Google und IBM haben nur begrenzte Kapazitäten zur Verfügung. Sei es das Budget, die Ausstattung der Forschungseinrichtungen oder die wissenschaftlichen Mitarbeiter. Die Quantencomputer, an denen Regierungen in aller Welt arbeiten, sind weiter fortgeschritten und werden bereits sowohl im geschlossenen, als auch offenen Betrieb getestet.

Insbesondere das Brechen von Verschlüsselungen ist für Regierungen interessant und wichtig, um an sensible sowie vertrauliche Informationen heranzukommen. Da Speicherplatz heutzutage kaum noch etwas wert ist, können die über Jahre gesammelten Daten in ein umfangreiches Archiv abgelegt und nun dank Quantentechnologie verarbeitet werden. Vor allem ältere Daten, die meistens nur unzureichend geschützt waren, sind betroffen.

Mit der Zeit und steigender Leistung der Quantencomputer, nimmt das Risiko jedoch auch für sichere Verschlüsselungsmethoden zu. Eine Empfehlung auszusprechen, welche Verschlüsselung die derzeit beste Wahl ist, fällt aber allen Experten schwer. Eine Kombination aus RSA (über 2048 Bits) und Whirlpool stehen jedoch ganz weit oben auf der Präferenzliste.

TechDays 2017
TechDays 2017 München. Vortrag zum Thema Post-Quantum-Security. Foto: Jott, thx!

Verschlüsselt jetzt. Sofort!

So tief die Angst vor Quantencomputern auch sitzen mag, komplett auf Verschlüsselung von Daten zu verzichten ist der falscheste Weg, den man gehen kann. Zum einen wird der Zugriff auf wichtige Informationen mit aktuellen, binären Computern erschwert. Zum anderen sind auch Quantencomputer keine Wundermaschinen und benötigen Zeit, um eine Verschlüsselung zu knacken. Präventiv muss eine Verschlüsselung also sowohl für lokale als auch online „in der Cloud“ gespeicherte Daten zwingend verwendet werden. Alte Daten, die auf eine schwache oder mittlerweile obsolete Verschlüsselung setzen, sind in Zero-Trust-Zonen neu zu verschlüsseln.

TechDays 2017 Logo
TechDays 2017

Neben Staatsbediensteten sind in unserer Zeit Journalisten einem Risiko ausgesetzt. Zwar gibt es noch immer solche, die behaupten nichts zu verbergen zu haben, doch der Trend entwickelt sich hin zu (abhör-)sicherer Kommunikation.

Es gibt keine guten Ausreden mehr

Ein Dank sollte nicht nur den schlauen Köpfen gelten, die hochkomplexe Verschlüsselungsverfahren ausarbeiten, sondern auch all denen ausgesprochen werden, die auf Verschlüsselung gänzlich verzichten. Jegliche Daten im Internet von sich preisgeben und Dienste wie Dropbox und Google Drive nutzen. Sie sind die Bauernopfer, die für ein Grundrauschen sorgen und die Maschinen (Anm.d.R sowie besagte Archive) mit (hoffentlich irrelevanten) Informationen füllen. So schnell Quantencomputer bei der Auswertung auch sein mögen, der Tag hat stets 24 Stunden und der menschliche (Fehler-)Faktor bei der Sortierung und Aufbereitung von Daten, sollte nicht unterschätzt werden“, so der Kommentar eines Teilnehmers in der QA-Runde.

Die technische Hürde für den Einstieg in die Verschlüsselung ist mittlerweile so gering, dass es keine sinnvollen Argumente gegen den zusätzlichen Schutz der Daten gibt. Selbst auf mobilen Geräten ist die Verschlüsselung durch die Bemühungen von Apple und Google salonfähig geworden. Staaten, wie Deutschland mit dem Bundestrojaner, bemühen sich zunehmend auf die sensiblen und privaten Daten zuzugreifen.

Ein Quantencomputer würde dieses Vorhaben mit hoher Wahrscheinlich beschleunigen, doch in erster Linie nur wenn ein physikalischer Zugriff vorhanden ist. Wesentlich mehr gefährdet sind IoT-Geräte, die entweder unverschlüsselt kommunizieren. Oder eine sehr schwache Verschlüsselung aufweisen. Vor allem die Auswertung dieser Daten kann mit der Rechenleistung eines Quantencomputers effizient durchgeführt werden. Die Redner waren sich einig: Eine frühe Implementierung starker Sicherheitsmechanismen ist für die „Internet of Evering Ära“ enorm wichtig.

TechDays 2017
TechDays 2017 München. Vortrag zum Thema Post-Quantum-Security. Foto: Jott, thx!

Mit Fehlern verschlüsseln

Dass Fehler nicht immer schlecht sind, zeigt der Vortrag zum „Learning with Errors“ von Dr. Rachid El Bansarkhani. Eine Post-Quantum-Kryptographie kann mit LWE, zumindest in der Theorie, umgesetzt werden. Für eine praktische Überprüfung fehlt der Zugang zu einem Quantencomputer – doch schon in der Vergangenheit haben Konzepte auf dem Papier auch in der Praxis funktioniert. Die Experten sprechen LWE das höchste Potential zu. Der Erfinder hinter LWE ist Oded Regev, der das Verfahren erstmals 2005 vorstellte.

LWE ist ein mathematisches Problem, das dem Lösen von Gleichungssystemen sehr ähnlich ist. Beim Learning-with-Errors-Problem wird jedoch ein oder mehrere zusätzliche Vektoren eingebaut, so dass der gewöhnliche Gaußschen Algorithmus nicht greift. Auf Basis dieses Problems wird ein Schlüsselaustausch realisiert, wobei als Voraussetzung knapp 245 KBytes an Daten zu übertragen sind. Eine Reduktion der Datenmenge wird durch den Einsatz von nicht zufälligen Zahlen im Gleichungssystem erreicht. Die Einträge des Gleichungssystems werden zyklisch rotiert, so dass das System mit einer Datenmenge von ca. 4 KBytes auskommt. Dadurch erinnert es an einen klassischen Diffie-Hellmann-Schlüsselaustausch.

Viel Theorie und Prävention

Die TechDays 2017 haben den Status Quo aufgezeigt und erneut an die Wichtigkeit und Bedeutung sicherer Verschlüsselungsverfahren erinnert. Zwar ist noch Vieles „nur“ Theorie und bis eine praktische Anwendung möglich ist, werden noch einige Jahre vergehen. Ein präventiver und aktiver Einsatz starker Verschlüsselungsverfahren ist heutzutage Pflicht. Zumindest für alle, die etwas zu verbergen haben.

Dieser Bericht war ebenfalls Bestandteil der zweiten Ausgabe des Tarnkappe.info Magazins.

Archiv

Vergangene Ausgaben herunterladen

Ausgabe 01

Tarnkappe.info