Quantencomputing: So bleibt CBDC-Kryptografie sicher

Laut einer Studie des Atlantic Council haben weltweit schon elf Länder eine digitale Zentralbankwährung (CBDC) eingeführt. Hundert weitere Staaten erforschen und entwickeln Lösungen oder sind bereits in der Erprobungsphase.¹ Die Studie weist darauf hin, dass es genau diese Länder sind, die auch 95 % des globalen BIP erwirtschaften. Angesichts dieser Bedeutung ist es umso wichtiger, aktuelle und zukünftige Schwachstellen zu erkennen und zu beseitigen.

Das gilt vor allem für das Thema Sicherheit: CBDCs können sich zwar im Design unterscheiden, aber im Prinzip werden CBDC-Wallets alle durch kryptografische Algorithmen gesichert. Das macht sie anfällig für Cyberangriffe mit Quantencomputern – deren konkrete Verfügbarkeit immer näher rückt.

Es gibt unterschiedliche Expertenmeinungen, wann ein solcher Angriff erfolgreich durchgeführt werden könnte. „Auf keinen Fall bald“, beantwortet der Kryptograf und Blogger Bruce Schneier die Frage, wann Quantencomputer in der Lage sein werden, 256-Bit-Schlüssel auf elliptischen Kurven zu knacken, die derzeit als Industriestandard gelten.² Das Bedrohungspotenzial dieser völlig neuartigen und leistungsstarken Computer für die Sicherheit von CBDCs – und für viele andere Anwendungen – lässt sich jedoch bereits jetzt klar erkennen. Und generell ist es immer ratsam, Gegenmaßnahmen zu entwickeln, ehe der Ernstfall eintritt.

Es geht schließlich darum, Geld zu schützen

Eine CBDC ist im Grunde nichts anderes als eine digitale Variante des Bargelds. Daher ist es hilfreich, einmal zu betrachten, worin sich CBDC- und Bargeldtransaktionen unterscheiden. Die Sicherheitsanforderungen, die eine CBDC erfüllen muss, sind jedoch größtenteils andere als beim Bargeld, da es sich bei Letzterem um physische Inhaberinstrumente bzw. Wertträger handelt.

1. Identitätsfeststellung Bei Bargeld treffen der Zahlungsempfänger und der Zahlende direkt aufeinander. Das schafft Vertrauen.
2. Echtheit Bei Bargeld kann die Echtheit vom Empfänger visuell und haptisch geprüft werden. In bestimmten Fällen, etwa bei größeren Scheinen oder Summen, können zusätzliche Kontrollen wie ultraviolettes Licht eingesetzt werden.
3. Besitznachweis Der Besitzer eines Geldscheins ist (höchstwahrscheinlich) der rechtmäßige Eigentümer.
4. Nicht-Abstreitbarkeit Wechseln Geldscheine den Besitzer, wird der Wert sofort physisch übertragen. Der Empfänger kann nicht abstreiten, sie erhalten zu haben. 
5. Keine doppelten Ausgaben Eine Banknote kann sich nicht an zwei Orten gleichzeitig befinden.
6. Keine Rückverfolgung/Privatsphäre Da Bargeldtransaktionen so schnell abgewickelt werden, ist es für Dritte praktisch unmöglich, ein Zahlungsmuster zurückzuverfolgen.

Eine CBDC ist per Definition digital. Daher müssen all die oben angeführten Sicherheitsanforderungen mit kryptografischen Primitiven kontrolliert werden. Doch genau diese klassischen kryptografischen Algorithmen werden durch die Weiterentwicklungen im Quantencomputing leichter zu entschlüsseln sein.

Um diese Herausforderung besser zu verstehen, ist es wichtig zu wissen, wie Kryptografie zum Schutz digitaler Vermögenswerte wie CBDC eingesetzt wird. 

Unterschiedliche Arten der Kryptografie

Jeder digitale Vermögenswert benötigt unterschiedliche Arten von Kryptografie.

Hash-Funktionen Hash-Funktionen dienen dazu, die Integrität von Daten zu schützen. Diese Anforderung besteht in zahlreichen Protokollen, beispielsweise Signaturverfahren. Eine kryptografische Hash-Funktion ist eine mathematische Einwegfunktion. Diese nutzt in der Regel Eingaben in unterschiedlicher Länge, um Ausgaben in einer festen Länge zu erzeugen. Kryptografische Hash-Funktionen ergänzen typische Hash-Funktionen mit zusätzlichen Sicherheitsfunktionen – so wird es schwerer, die Eingabe unbemerkt zu manipulieren.

Symmetrische Kryptografie wird für End-to-End-Verschlüsselungen genutzt, unter anderem in der sicheren Kommunikation. Symmetrische kryptografische Algorithmen ver- und entschlüsseln stets mit demselben geheimen Schlüssel, der nur den direkten Teilnehmerinnen und Teilnehmern bekannt ist und nicht an andere weitergegeben werden darf. Die symmetrische Kryptografie wird unter anderem beim Advanced Encryption Standard (AES) eingesetzt.

Asymmetrische Kryptografie, auch als Public-Key-Kryptografie bekannt, wird für die digitalen Signaturen genutzt, die in jedem digitalen Geldwert verwendet werden. Hier kommen Schlüsselpaare zum Einsatz. Jedes Paar besteht aus einem öffentlichen und einem privaten Schlüssel. Die Sicherheit hängt davon ab, dass der private Schlüssel geheim gehalten wird, da der öffentliche Schlüssel allgemein bekannt ist.

Der private Schlüssel signiert, während der öffentliche Schlüssel validiert. Genutzt wird dieses Verfahren bei RSA und EC und auch die meisten Krypto-Assets nutzen derzeit diese Verschlüsselung – ebenso wie es CBDC tun.

Asymmetrische Kryptografie und CBDC

Bei eingehenden Zahlungen muss der Absender oder die Absenderin den öffentlichen Schlüssel des Empfängers oder der Empfängerin kennen. Dieser Schlüssel wird meist als „Adresse“ bezeichnet. Für ausgehende Zahlungen muss hingegen mit dem privaten Schlüssel eine digitale Signatur erstellt werden – die dann mit dem öffentlichen Schlüssel validiert wird. Dieser öffentliche Schlüssel wird in der Regel in einer Blockchain oder, im Fall von CBDC, in einem Register gespeichert.

Jeder kann Zahlungen an andere Personen senden. Aber nur der angegebene Zahlungsempfänger bzw. die angegebene Zahlungsempfängerin kann das so erhaltene Geld auch ausgeben. Das Vermögen des Zahlungsempfängers oder der Zahlungsempfängerin ist direkt an den privaten Schlüssel gebunden. Daher ist klar, dass dieser Schlüssel sicher verwahrt werden muss. Die Operationen selbst werden automatisch von der Soft- und Hardware der digitalen Wallets ausgeführt.

Herausforderungen der asymmetrischen Kryptografie

CBDCs sollten so nutzerfreulich wie möglich sein: Abgesehen von regelmäßigen Hardware-Upgrades, sollten Nutzerinnen und Nutzer daher nur wenig oder gar nicht in die Abläufe eingreifen müssen. Das ist in etwa vergleichbar mit dem Zyklus von Bankkarten, Smartphones und Wearables, die im Schnitt alle zweieinhalb Jahre erneuert werden müssen.

Ähnlich wie bei Smartphones und Wearables müssen daher auch bei einer CBDC die für die Sicherheit zuständigen kryptografischen Algorithmen regelmäßig aktualisiert werden. Tatsächlich laufen, ähnlich wie bei Mobiltelefonen, alte und neue Algorithmen oft über mehrere Monate, manchmal sogar über Jahre, parallel auf den Geräten – je nachdem, ob der Algorithmus nur in der Software oder auch in der Hardware eingesetzt wird.

Genau das kann die Systeme jedoch angreifbar machen. Sowohl RSA als auch EC können von Quantencomputern geknackt werden – mit ihrer Rechenleistung können sie den leicht verfügbaren öffentlichen Schlüssel nutzen, um den privaten, geheimen Schlüssel zu berechnen. So können Unbefugte Zugang zu den Geldern erlangen.

Dass dies theoretisch möglich ist, hat Peter W. Shor schon 1994 mit seinem nach ihm benannten Algorithmus bewiesen. Ein ausreichend leistungsfähiger Quantencomputer, so seine Kalkulation, könnte anhand des öffentlichen Schlüssels recht effizient den privaten Schlüssel berechnen.³ Damals gab es diese Computer noch nicht. Inzwischen gibt es sie – aber sie sind glücklicherweise (noch) nicht leistungsfähig genug.

So können CBDCs gegen Angriffe geschützt werden

Hash-Algorithmen und die symmetrische Kryptografie sind zum Glück für Quantencomputer schwerer zu knacken. Ausreichend lange Hashes sollten in der Lage sein, das Vermögen in CBDC-Wallets zu schützen. Um dieses Geld auszugeben, muss jedoch der öffentlichen Schlüssel zur Authentifizierung vorgelegt werden. In genau diesem Moment – also auf dem Transportweg quasi – bietet sich ein Angriffspunkt. In diesen Situationen kommen PQC-Algorithmen zum Tragen – eine andere Form der asymmetrischen Kryptografie. Diese Algorithmen sind ein aktuelles Forschungsgebiet bei G+D.

Zertifikate werden bei der Authentifizierung weiterhin die erste Wahl bleiben. Da sie aber auf asymmetrischer Kryptografie beruhen, sind auch sie potenziell angreifbar. Als Herausgeber der CBDC eines Landes sind hier die Zentralbanken gefragt, eine Public-Key-Infrastruktur (PKI) aufzubauen, die auf die künftigen Bedrohungen durch Quantencomputer ausgelegt ist.

Da die meisten Zertifikate lange gültig sind, sollte unbedingt darauf geachtet werden, dass die kryptografischen Mechanismen flexibel genug sind.

Eine existierende PKI abzuschalten und eine völlig neue Infrastruktur aufzubauen, ist nicht praktikabel. Deswegen müssen Zertifikate, die Angriffen durch Quantencomputer standhalten können, nach und nach eingeführt werden. Klassische und „quantensichere“ Zertifikate müssen, zumindest eine Weile lang, gleichzeitig zum Einsatz kommen – zumindest, bis das gesamte Ökosystem gesichert ist und alle Nutzerinnen und Nutzer an Bord sind.

Sicherheit steht bei G+D an erster Stelle. Deshalb haben wir uns mit Deutschlands führendem Cybersecurity-Unternehmen, der secunet Security Networks AG (ein Unternehmen der G+D Gruppe), zusammengetan, um die Sicherheitsarchitektur und die Public-Key-Infrastruktur für unsere CBDC-Lösung Filia^® zu entwickeln.

So wie Banknoten durch haptische, optische und andere Sicherheitsmerkmale gegen Fälschungen geschützt sind, müssen auch CBDCs höchsten Sicherheitsanforderungen genügen, um eine gute und sichere Ergänzung zum Bargeld zu sein. Deshalb sollte Post-Quantum-Kryptografie auf jeden Fall fest im CBDC-Design verankert sein.

Veröffentlicht: 22.06.2023