Nahaufnahme RISC-V-Board. Ein RISC-V-Board als Ziel für Seitenkanalanalysen. © h_da / Markus Schmidt

Für Angreifer können sie zu Einfallstoren werden. Denn moderne Cyberattacken zielen längst nicht immer auf Schwächen in Algorithmen oder mathematischen Verfahren. Stattdessen nutzen sie physikalische Eigenschaften aus – etwa den Stromverbrauch eines Systems, elektromagnetische Abstrahlungen oder die Zeit, die ein kryptographischer Vorgang benötigt.

Prof. Campos trainiert mit den Studierenden im Labor. Prof. Campos trainiert mit den Studierenden Hannah Wieser, Sven Wroblewski und Dominik Heinz die Seitenkanalanalyse und verwendet dafür einen RISC-V Prozessor – einen Mikrocontroller. Dabei kommt auch ein Oszilloskop zum Einsatz, das elektronische Signale grafisch darstellt. © h_da / Markus Schmidt

Die Hochschule Darmstadt führt das Projekt. Weitere Partner sind die Hochschule RheinMain, die Nanyang Technological University (NTU) in Singapur sowie Chelpis, ein auf Post-Quanten-Kryptographie spezialisiertes Cybersicherheitsunternehmen aus Taiwan.

„Diese internationale Konstellation über die Grenzen Europas hinaus, ist sehr ungewöhnlich“, betont der 51-Jährige.

Zustande gekommen ist sie durch langjährige wissenschaftliche Verbindungen. Bereits als Doktorand arbeitete Campos mit Forschenden der beteiligten Institutionen zusammen. Die weltweite Community der Kryptographinnen und Kryptographen, die sich mit Seitenkanal-Resilienz und Fehlerinjektionen beschäftigt, ist überschaubar.

„Wir haben im Projekt ein Good-Guy- und ein Bad-Guy-Team“

Dass die Forschung dringlich ist, daran lässt Campos keinen Zweifel.

„Wenn der Quantencomputer kommt, haben wir ein nicht vorstellbares Problem“, sagt Professor Campos.

Denn nahezu alles, was moderne Gesellschaften heute tun, basiert auf funktionierender Kryptographie: Bankgeschäfte, Mobilfunkkommunikation, E-Mails, Messenger-Dienste, kritische Infrastrukturen oder die digitale Technik in Fahrzeugen, Flugzeugen und anderen Verkehrsmitteln. Leistungsfähige Quantencomputer könnten einen wichtigen Teil heutiger Schutzmechanismen innerhalb kürzester Zeit überwinden.

Noch weiß niemand genau, wann dieser Punkt erreicht sein wird. Doch für Campos steht fest, dass er kommen wird.

„Wir wissen nicht genau, wann es gelingt, Quantencomputer herzustellen mit einer großen Menge an Qubits, der in Quantencomputern notwendigen Recheneinheit. Aber das wird kommen“, ist er überzeugt.

Große Technologiekonzerne wie Google oder IBM investieren seit Jahren in die Entwicklung dieser Systeme. Google hat das Jahr 2030 als Zeitpunkt genannt, bis zu dem der Umstieg auf quantensichere Verfahren erfolgen sollte.

„Wer ist schneller und besser? Damit ist viel Geld verbunden.“

Klein aber effektiv: Analyse von Seitenkanälen mithilfe eines Oszilloskops und der ChipWhisperer-Plattform. © h_da / Markus Schmidt

Für Campos liegt die Herausforderung allerdings nicht nur in den öffentlich bekannten Aktivitäten der Technologiekonzerne.

„Es ist aber nicht auszuschließen, dass andere ihre Aktivitäten im Verborgenen halten. Daher ist unsere Forschung mehr als dringlich. Wir müssen vorbereitet sein.“

Das Projekt QUEST folgt dabei einem Prinzip, das in der Cyberwelt seit Langem etabliert ist: dem permanenten Wettlauf zwischen Angreifern und Verteidigern.

„Wir haben im Projekt ein Good-Guy- und ein Bad-Guy-Team“, berichtet Professor Campos.

Während ein Team neue Schutzmechanismen entwickelt, versucht das andere, diese gezielt anzugreifen. Campos bildet gemeinsam mit einem Doktoranden und Forschenden aus Taiwan das blaue Team. Wissenschaftlerinnen und Wissenschaftler der Hochschule RheinMain sowie der Nanyang Technological University Singapur übernehmen die Rolle des roten Teams.

Zunächst wollen die Projektpartner sämtliche verfügbaren Post-Quanten-Verfahren erfassen und analysieren. Im Fokus steht die Frage, wie gut diese Verfahren bereits heute gegen Seitenkanalattacken und Fehlerinjektionen geschützt sind.

„Den Status Quo zu definieren, ist sehr zeitaufwendig“, so der Experte.

Erst danach beginnt das eigentliche Katz-und-Maus-Spiel. Das blaue Team entwickelt neue Schutzmethoden, das rote Team versucht, sie zu knacken. Auf diese Weise sollen bestehende Standards und Verfahren auf Schwachstellen untersucht und geeignete Gegenmaßnahmen entwickelt werden.

Seitenkanalschwachstellen werden mit der EM-Sonde gezielt aufgespürt. © h_da / Markus Schmidt

Die Forschenden setzen dabei auf sogenannte Kryptoprimitive. Das sind grundlegende Bausteine und Algorithmen, die für komplexe Sicherheitsmechanismen und kryptographische Protokolle benötigt werden. Diese Bausteine sind universell einsetzbar und bilden die Grundlage vieler Anwendungen.

„Wir wollen eine effiziente und sichere Bibliothek von Post-Quanten-Computer-Primitiven entwickeln“, sagt Fabio Campos.

Damit soll ein breites Spektrum an Plattformen und Anwendungen abgesichert werden, die künftig quantensichere Verfahren benötigen. Priorität haben dabei zunächst besonders kritische Bereiche.

„Zunächst wollen wir Absicherungen vor Post-Quanten-Angriffen für die wichtigsten risikoreichen Bereiche schaffen – wie etwa Finanzgeschäfte, die öffentlichen Infrastruktur oder im Verkehrswesen“, erklärt Fabio Campos.

Der vernetzte Kühlschrank oder der Saugroboter haben vorerst Zeit. Entscheidend ist aus Sicht der Forschenden etwas anderes: Dass am Tag X nicht Chaos ausbricht. Sondern dass Gesellschaft, Politik und Wirtschaft vorbereitet sind.