Lesezeit: 8 Min.
Cloudflare beschleunigt den Post-Quanten-Fahrplan. Wir streben nun an, bis 2029 vollständig Post-Quanten-sicher (PQ) zu sein, einschließlich – und das ist entscheidend – der Post-Quanten-Authentifizierung.
Wir bei Cloudflare glauben daran, das Internet standardmäßig privat und sicher zu gestalten. Bereits 2014 haben wir kostenlose Universal-SSL-Zertifikate eingeführt, 2019 mit der Vorbereitung auf die Post-Quanten-Migration begonnen und 2022 die Post-Quanten-Verschlüsselung für alle Websites und APIs aktiviert, um Harvest-now-decrypt-later-Angriffe zu verhindern. Zwar sind wir stolz darauf, dass inzwischen über 65 % des menschlichen Traffic zu Cloudflare post-quanten-verschlüsselt ist, doch unsere Arbeit ist erst abgeschlossen, wenn auch die Authentifizierung entsprechend modernisiert ist. Neue, glaubwürdige Forschungsergebnisse und die rasanten Entwicklungen in der Branche zeigen, dass das Zeitfenster für die Migration deutlich kleiner ist als bislang angenommen. Diese Herausforderung betrifft jedes Unternehmen und sie erfordert jetzt entschlossenes Handeln. Deshalb beschleunigen wir unseren eigenen Zeitplan zur Vorbereitung auf den Q-Day.
Was ist passiert? Letzte Woche kündigte Google an, dass es den Quantenalgorithmus zur Entschlüsselung der Elliptic Curve Cryptography, die weithin zur Sicherung des Internets verwendet wird, drastisch verbessert hat. Das Unternehmen hat den Algorithmus nicht offengelegt, sondern stattdessen einen Zero-Knowledge-Beweis geliefert.
Dies ist nicht einmal der größte Durchbruch. Am selben Tag veröffentlichte Oratomic eine Ressourcenschätzung für das Knacken von RSA-2048 und P-256 auf einem neutralen Atomcomputer. Für P-256 sind nur erstaunlich geringe 10.000 Qubits erforderlich. Jetzt wird deutlich, welche Motive hinter der jüngsten Ankündigung von Google stehen, neben supraleitenden Quantencomputern auch neutrale Atome zu verfolgen. Obwohl Oratomic ihren grundlegenden Ansatz erläutert, lässt das Unternehmen immer noch wichtige Details absichtlich aus.
Diese unabhängigen Fortschritte veranlassten Google, den Zeitplan für die Post-Quanten-Migration auf 2029 zu beschleunigen. Darüber hinaus hat Google in der Ankündigung und in anderen Gesprächen der quantensicheren Authentifizierung Priorität eingeräumt gegenüber der Bekämpfung von „Harvest-Now/Decrypt-Later“-Angriffen. Wie wir als Nächstes erörtern, deutet diese Priorität darauf hin, dass Google den Q-Day bereits 2030 befürchtet. Nach den Ankündigungen zeigt sich der CTO von IBM Quantum Safe pessimistischer und kann Quanten-„Moonshot-Angriffe“ auf hochwertige Ziele bereits 2029 nicht ausschließen.
Die Quantenbedrohung ist bekannt: Q-Day ist der Tag, an dem ausreichend leistungsfähige Quantencomputer die wichtige Kryptographie knacken können, die heute zum Schutz von Daten und Zugang zu Systemen verwendet wird. Kryptografisch relevante Quantencomputer (CRQCs) gibt es noch nicht, aber viele Forschungszentren auf der ganzen Welt verfolgen unterschiedliche Ansätze, um einen solchen Computer zu bauen. Bis vor kurzem waren die Fortschritte bei CRQCs weitgehend öffentlich, aber es gibt keinen Grund anzunehmen, dass dies auch weiterhin der Fall sein wird. In der Tat gibt es genügend Grund zu der Annahme, dass der Fortschritt aus der Öffentlichkeit eher verschwinden wird. Wie der Quanteninformatiker Scott Aaronson Ende 2025 warnte:
[I]rgendwann werden die Leute, die detaillierte Schätzungen darüber vornehmen, wie viele physische Qubits und Gates nötig sind, um tatsächlich eingesetzte Kryptosysteme mit Hilfe des Shor-Algorithmus zu knacken, diese Schätzungen nicht mehr veröffentlichen; schon allein, um nicht zu viele Informationen an seine Gegner weiterzugeben. Soweit wir wissen, könnte dieser Punkt sogar bereits überschritten sein.
Dieser Zeitpunkt ist nun in der Tat überschritten.
Warum jetzt? Unabhängiger Fortschritt an drei Fronten
Wir möchten ein paar Worte dazu sagen, warum es schwierig ist, Fortschritte im Bereich Quantencomputing vorherzusagen. Plötzliche „Quanten“-Sprünge im Verständnis, wie wir sie letzte Woche erlebt haben, können auftreten, auch wenn alles in den Augen der Öffentlichkeit abläuft. Einfach ausgedrückt: Um die Kryptographie mit einem Quantencomputer zu knacken, ist Technik an drei unabhängigen Fronten erforderlich: Quantenhardware, Fehlerkorrektur und Quantensoftware. Fortschritte an einer Front verstärken die Fortschritte an den anderen.
Hardware. Es gibt viele verschiedene konkurrierende Ansätze. Wir haben neutrale Atome und supraleitende Qubits erwähnt, aber es gibt auch Ionenfallen, Photonik und gewagte Projekte wie topologische Qubits. Komplementäre Ansätze können sogar kombiniert werden. Die meisten dieser Ansätze werden von mehreren Forschungseinrichtungen auf der ganzen Welt verfolgt. Sie alle haben ihre eigenen technischen Herausforderungen und Probleme, die gelöst werden müssen, bevor sie skaliert werden können. Vor ein paar Jahren hatten sie alle eine lange Liste offener Herausforderungen, und es war unklar, ob eine davon skalierbar sein würde. Heute haben die meisten von ihnen gute Fortschritte gemacht. Bislang hat sich keines davon als skalierbar erwiesen: Wenn das der Fall wäre, hätten wir nur noch wenige Jahre. Aber diese Ansätze sind jetzt viel näher, insbesondere in Fall neutraler Atome. Wer diesen Fortschritt ignorieren möchte, müsste davon ausgehen, dass jeder einzelne Ansatz an seine Grenzen stößt.
Fehlerkorrektur. Alle Quantencomputer sind fehleranfällig und benötigen Fehlerkorrekturcodes, um sinnvolle Berechnungen durchzuführen. Dies verursacht einen erheblichen Mehraufwand, der jedoch von der Architektur abhängt. Mehr Fehler erfordern mehr Fehlerkorrektur, aber noch interessanter ist, dass eine verbesserte Qubit-Konnektivität viel effizientere Codes erlaubt. Zum besseren Verständnis der Skalierbarkeit: Typischerweise werden für ein logisches Qubit bei den superleitenden Quantencomputern etwa tausend physische Qubits benötigt. Diese Computer sind fehleranfällig und haben nur eine Nachbar-Qubit-Konnektivität. Wir wussten, dass „rekonfigurierbare Qubits“ wie die von Neutralatom-Maschinen eine um eine Größenordnung bessere Fehlerkorrektur für Codes ermöglichen. Überraschenderweise hat Oratomic gezeigt, dass der Vorteil noch größer ist: Pro logischem Qubit sind nur etwa 3–4 physische neutrale atomare Qubits erforderlich.
Software. Schließlich können die Quantenalgorithmen zum Knacken der Kryptographie verbessert werden. Dies ist der Durchbruch von Google: Der Algorithmus wurde massiv beschleunigt, um P-256 zu knacken. Darüber hinaus zeigte Oratomic weitere architekturspezifische Optimierungen für rekonfigurierbare Qubits.
Es ergibt sich folgendes Bild: Im Jahr 2025 erwiesen sich neutrale Atome als besser skalierbar als erwartet, und nun hat Oratomic herausgefunden, wie sich mit so hochgradig vernetzten Qubits Fehler von Codes viel besser korrigieren lassen. Außerdem erfordert das Knacken von P-256 viel weniger Aufwand. Das Ergebnis ist, dass der Q-Day gegenüber den typischen „um 2035 herum“-Zeitplänen deutlich nach vorn verlagert wurde, wobei neutrale Atome führen und andere Ansätze nicht weit dahinter folgen.
In früheren Blogbeiträgen haben wir erörtert, wie verschiedene Quantencomputer in Bezug auf die Anzahl der physischen Qubits und die Zuverlässigkeit abschneiden – im Vergleich zum konservativen Ziel, RSA-2048 auf einer supraleitenden Qubit-Architektur zu knacken. Diese Analyse gibt uns eine grobe Vorstellung davon, wie viel Zeit uns zur Verfügung steht, und sie ist sicherlich besser als das Verfolgen von Quantenfaktorisierungs-Rekorden, lässt jedoch architekturspezifische Optimierungen und Softwareverbesserungen außer Acht. Jetzt muss man darauf achten, wann die endgültigen fehlenden Funktionen für jede Architektur erreicht sind.
Nun ist es an der Zeit, sich auf die Authentifizierung zu konzentrieren
In der Vergangenheit basierte der Fokus der Branche in der Post-Quanten-Kryptographie (PQC) weitgehend auf der PQ-Verschlüsselung, die „Harvest-Now/Decrypt-Later“-Angriffe (HNDL) stoppt. Bei einem HNDL-Angriff sammelt ein Angreifer sensiblen verschlüsselten Netzwerkverkehr schon heute und speichert ihn bis zu einem zukünftigen Zeitpunkt, an dem er die Daten mit einem leistungsstarken Quantencomputer entschlüsseln kann. HNDL-Angriffe sind die primäre Bedrohung, sollte der Q-Day noch weit entfernt sein. Deshalb haben wir uns bisher auf die Minderung dieses Risikos konzentriert, indem wir standardmäßig Post-Quanten-Verschlüsselung in unseren Produkten seit 2022 eingesetzt haben. Wie bereits erwähnt, sind die meisten Cloudflare-Produkte heute sicher gegen HNDL-Angriffe, und wir arbeiten daran, den Rest zu aktualisieren.
Die andere Kategorie von Angriffen richtet sich gegen die Authentifizierung: Angreifer, die mit funktionierenden Quantencomputern ausgestattet sind, geben sich als Server aus oder fälschen Zugangsdaten. Wenn Q-Day noch weit entfernt ist, ist die Authentifizierung nicht dringend: Der Einsatz von PQ-Zertifikaten und -Signaturen bringt keinen Mehrwert, nur Aufwand.
Ein bevorstehender Q-Day kehrt das Blatt um: Datenlecks sind zwar schwerwiegend, aber eine fehlerhafte Authentifizierung wäre katastrophal. Jeder übersehene, quantenanfällige Remote-Anmeldeschlüssel ist ein Zugangspunkt für einen Angreifer, der tun und lassen kann, was er will – sei es, Ihr System zu erpressen, lahmzulegen oder auszuspionieren. Jeder Mechanismus zur automatischen Softwareaktualisierung wird zu einem Vektor für die Remote-Code-Ausführung. Ein aktiver Quantenangreifer hat es leicht. Er muss nur einen vertrauenswürdigen, quantenanfälligen Schlüssel finden, um Zugang zu erhalten.
Wenn Experten auf dem Gebiet der Herstellung von Quantencomputern mit dem Patchen von Authentifizierungssysteme beginnen, sollten wir alle gut hinhören. Die Frage ist nicht mehr: „Wann sind unsere verschlüsselten Daten gefährdet?“, sondern: „Wie lange dauert es, bis ein Angreifer mit einem quantengefälschten Schlüssel durch die Haustür kommt?“
Priorisierung der anfälligsten Systeme
Wenn Quantencomputer in den nächsten Jahren auf den Markt kommen, werden sie knapp und teuer sein. Angreifer bevorzugen hochwertige Ziele, wie langlebige Schlüssel, die umfangreiche Assets freischalten, oder dauerhaften Zugriff wie Root-Zertifikate, API-Authentifizierungsschlüssel und Code-Signatur-Zertifikate. Wenn ein Angreifer in der Lage ist, einen solchen Schlüssel zu kompromittieren, behält er auf unbestimmte Zeit Zugriff, bis er entdeckt oder dieser Schlüssel widerrufen wird.
Dies legt nahe, dass langlebige Schlüssel Vorrang haben sollten. Das gilt sicherlich, wenn der Quantenangriff eines einzelnen Schlüssels teuer und langsam ist. Für die erste Generation von Quantencomputern mit neutralen Atomen ist dies zu erwarten. Das ist bei skalierbaren superleitenden Quantencomputern und späteren Generationen von Quantencomputern mit neutralen Atomen nicht der Fall. Diese werden die Schlüssel durchaus viel schneller knacken. Solche schnellen CRQCs könnten das Skript noch einmal umkehren. Ein Angreifer mit einer solchen könnte sich ausschließlich auf HNDL-Angriffe konzentrieren, so dass seine Angriffe unentdeckt bleiben. Google-Sprecherin Sophie Schmieg vergleicht dieses Szenario mit der Kryptoanalyse der Enigma, die den Verlauf des Zweiten Weltkriegs verändert hat.
Es reicht nicht aus, Unterstützung für PQ-Kryptographie hinzuzufügen. Die Systeme müssen die Unterstützung für quantenanfällige Kryptographie deaktivieren, um vor Downgrade-Angriffen geschützt zu sein. In größeren, insbesondere föderierten Systemen wie dem Web ist dies nicht möglich, da nicht jeder Client (Browser) Post-Quanten-Zertifikate unterstützt und die Server diese alten Clients weiterhin unterstützen müssen. Ein Downgrade-Schutz für HTTPS ist jedoch weiterhin erreichbar, indem „PQ HSTS“ und/oder Zertifikatstransparenz verwendet wird.
Die Deaktivierung der quantenanfälligen Kryptographie ist nicht der letzte Schritt: Sobald dies geschehen ist, müssen alle Geheimnisse (wie Passwörter und Zugriffstoken), die zuvor in dem quantenanfälligen System offengelegt wurden, rotiert werden. Im Gegensatz zur Post-Quanten-Verschlüsselung, die einen großen Schritt erfordert, hat die Umstellung auf Post-Quanten-Authentifizierung eine lange Abhängigkeitskette. Ganz zu schweigen von der Validierung durch Dritte und der Betrugsüberwachung. Das wird Jahre dauern, nicht Monate.
Es ist ganz natürlich, dass Unternehmen, die dies lesen, darüber nachdenken, welche internen Systeme sie aktualisieren müssen. Aber das ist noch nicht das Ende der Geschichte. Q-Day bedroht alle Systeme. Daher ist es wichtig, die direkten und indirekten Auswirkungen eines möglichen Q-Day auf Drittanbieterabhängigkeiten zu verstehen. Nicht nur für die Drittanbieter, mit denen Sie über Kryptographie kommunizieren, sondern auch für alle Drittanbieter, die kritische Geschäftsabhängigkeiten darstellen, wie z. B. Finanzdienstleister und Energieversorger.
Da der Q-Day immer näher rückt, hat die Post-Quanten-Authentifizierung oberste Priorität. Langzeitschlüssel sollten zuerst aktualisiert werden. Tiefe Abhängigkeitsketten und die Tatsache, dass wir alle Drittanbieter haben, bedeuten, dass dieser Aufwand Jahre in Anspruch nehmen wird. Ein Upgrade auf Post-Quanten-Kryptographie ist nicht genug: Um Downgrades zu verhindern, muss auch die quantenanfällige Kryptographie deaktiviert werden.
Cloudflares Roadmap für vollständige Post-Quanten-Sicherheit
Heute bietet Cloudflare für die meisten unserer Produkte Post-Quanten-Verschlüsselung an, die dem „Harvest-Now/Decrypt-Later“-Problem entgegenwirkt. Das ist das Ergebnis unserer Arbeit, die wir vor mehr als einem Jahrzehnt begonnen haben, um unsere Kunden und das Internet im Allgemeinen zu schützen.
Wir zielen auf vollständige Post-Quanten-Sicherheit, einschließlich Authentifizierung, für unsere gesamte Produktpalette bis 2029 ab. Hier präsentieren wir einige der von uns gesetzten Zwischenziele. Diese können sich ändern, da sich unser Verständnis für die Risiken und die Herausforderungen bei der Implementierung ändert.
Für Unternehmen empfehlen wir, Post-Quanten-Unterstützung zu einer Voraussetzung für jede Beschaffung zu machen. Gängige Best Practices, wie die Aktualisierung der Software und die Automatisierung der Zertifikatsausstellung, sind sinnvoll und bringen Sie ziemlich weit. Wir empfehlen, kritische Anbieter frühzeitig darauf zu prüfen, was es für Ihr Unternehmen bedeuten würde, wenn ihrerseits keine Maßnahmen ergriffen werden.
Für Regulierungsbehörden und Regierungen: Die Festlegung früher Zeitpläne war bisher entscheidend für den branchenweiten Fortschritt. Wir befinden uns jetzt in einer entscheidenden Position, in der die Fragmentierung von Standards und Bemühungen zwischen und innerhalb der Gerichtsbarkeiten den Fortschritt gefährden könnte. Wir empfehlen Regierungen, eine federführende Behörde zu ernennen und zu ermächtigen, die Migration nach einem klaren Zeitplan zu koordinieren, den Fokus auf die Sicherheit zu legen und die Anwendung bestehender internationaler Standards zu fördern. Die Regierungen brauchen nicht in Panik zu geraten, können die Migration aber selbstbewusst vorantreiben.
Was Cloudflare-Kunden betrifft, müssen sie in Bezug auf unsere Dienste keine abwehrenden Maßnahmen ergreifen. Wir verfolgen die neuesten Fortschritte im Bereich Quantencomputing genau und ergreifen proaktive Schritte zum Schutz Ihrer Daten. Wie wir es bereits in der Vergangenheit getan haben, werden wir die Post-Quanten-Sicherheit standardmäßig aktivieren, ohne dass ein Schalter umgelegt werden muss. Was wir nicht kontrollieren, ist die andere Seite: Browser, Anwendungen und Ursprünge müssen aktualisiert werden. Der Traffic im Firmennetzwerk über Cloudflare muss sich keine Sorgen machen: Cloudflare One bietet End-to-End-Schutz, wenn der Traffic durch unsere post-quanten-verschlüsselte Infrastruktur getunnelt wird.
Datenschutz und Sicherheit sind grundlegende Voraussetzungen für das Internet. Deshalb wird jedes von uns entwickelte Post-Quanten-Upgrade auch weiterhin für alle Kunden und jeden Tarif ohne zusätzliche Kosten verfügbar sein. Post-Quanten-Sicherheit zum Standard zu machen, ist die einzige Möglichkeit, das Internet umfassend zu schützen.
Free TLS half bei der Verschlüsselung des Webs. Kostenlose Post-Quanten-Kryptographie wird dabei helfen, es für die Zukunft zu sichern.