Schlüsselaustauschverfahren wurden erstmals 1976 von Diffie und Hellman vorgestellt und gehören zu den weitverbreitesten kryptografischen Protokollen. Sie ermöglichen zwei Protokollteilnehmern, welche zuvor noch nicht miteinander in Kontakt standen, einen gemeinsamen geheimen kryptografischen Schlüssel abzuleiten. Dieser kann anschließend dazu verwendet werden, einen sicheren Kommunikationskanal zwischen ihnen aufzubauen. Zu den Hauptanwendungsfällen für kryptographischen Schlüsselaustausch zählt die klassische Client-Server-Kommunikation, wie sie beispielsweise beim Surfen im Internet auftritt. Aber auch Ende-zu-Ende-verschlüsselte Chats werden etwa mit Schlüsselaustauschprotokollen abgesichert.

Die Sicherheitseigenschaften, die wir von Schlüsselaustauschverfahren im Allgemeinen erwarten sind zum einen die Zufälligkeit und Vertraulichkeit der ausgehandelten Schlüssel, sodass diese nur den legitimen Protokollteilnehmern bekannt sind und sich für den sicheren Einsatz in kryptographischen Protokollen eignen.Andererseits soll auch die Identität (einzelner oder aller) Protokollteilnehmer mittels Authentifizierung zweifelsfrei sichergestellt werden. Die erste formale Betrachtung dieser zentralen Sicherheitseigenschaften für authentifizierten Schlüsselaustausch geht auf Bellare und Rogaway aus dem Jahre 1993 zurück. Sie setzten damit den Grundstein für viele weitere Sicherheitsdefinitionen für Schlüsselaustauschprotokolle in Gegenwart eines starken Angreifers, der die Kontrolle über das gesamte Netzwerk verfügt. Auch die Arbeiten in dieser Thesis stützen sich im Kern auf diese ursprüngliche Definition und erweitern diese.

Der zugrundeliegende wissenschaftliche Ansatz für all diese Betrachtungen ist das Konzept der beweisbare Sicherheit, welches nicht mehr wegzudenken ist aus modernen kryptographischen Sicherheitsanalysen. Sogenannte Sicherheitsmodelle spezifizieren die erwarteten Sicherheitseigenschaften des zu analysierenden Verfahrens gegenüber einer wohldefinierten Klasse von Angreifern. Beweise, dass ein Verfahren tatsächlich die definierten Sicherheitsziele erreicht, reduzieren die Sicherheit des Gesamtverfahrens auf die Sicherheit seiner kryptographischen Komponenten.

Unglücklicherweise ist jedoch genau die Sicherheit dieser Komponenten unentwegt durch leistungsfähigere Rechner und neue Techniken in der Kryptanalyse gefährdet. Insbesondere die erwartete technische Revolution durch rechenstarke Quantencomputer droht die moderne Kryptographie stark zu erschüttern. Ein großer Teil der heutzutage verwendeten kryptographischen Algorithmen, die sogenannte Public-Key-Kryptographie, die auch in Schlüsselaustauschverfahren zum Einsatz kommt, wird durch die gesteigerte Rechenleistung von Quantencomputern gebrochen. In dieser Arbeit beleuchten wir, wie Schlüsselaustauschverfahren und ihre Sicherheitsanalysen dieser und weiteren Anforderungen der Zukunft gerecht werden können.

Zum einen zeigen wir, wie bestehende Sicherheitsmodelle für Schlüsselaustauschverfahren so erweitert werden können, dass sie dem (un)erwarteten Bruch kryptographischer Primitive und komplexitätstheoretischer Annahmen standhalten können. Ziel ist es hier, die gewünschten Sicherheitsgarantien im Hinblick auf zukünftige Angreiferarten zu definieren und dann zu untersuchen, wie sich der Bruch bestimmter kryptographischer Bausteine auf die Sicherheit von der Protokolle auswirkt. Konkreter untersuchen wir, wie man derzeit verwendete Algorithmen in Schlüsselaustauschverfahren mittels sogenannter Hybride durch quantencomputerresistente Algorithmen ersetzen kann. Hybride kombinieren die heuzutage verwendeten klassischen Verfahren mit quantencomputerresistenten Verfahren, sodass der Schlüsselaustausch sicher bleibt, solange zumindest eines der zugrundeliegenden Verfahren sicher bleibt. Zu diesem Zweck erweitern wir die bestehenden Sicherheitsmodelle so, dass sie unterschieldich starke Quantenangreifer abbilden können. Zusätzlich präsentieren wir drei praxisnahe Hybridkonstruktionen, die sich an Designvorschlägen für Hybride in einem der am weitesten verbreiteten kryptographischen Protokolle, dem Transport Layer Security (TLS) Protokoll, orientieren.

Unser Breakdown Resilience Modell erlaubt uns weiterhin die Sicherheit von bereits etablierten Schlüsseln zu untersuchen, falls kryptographische Komponenten im Schlüsselaustauschprotokoll in der Zukunft unsicher werden. Wir wenden dieses Modell dann auf Varianten des quantencomputerresistenten Schlüsselaustauschverfahrens NewHope von Alkim et al. an. Unsere Analyse unterstützt nun mit einem formalen Argument die weitherrschende Meinung, dass Schlüsselaustauschverfahren gegen Quantenangreifer in der fernen Zukunft ausreichend geschützt sind, wenn nur die Schlüsselerstellung quantencomputerresistent gestaltet ist, die Authentifizierungmechanismen jedoch nicht.

Wie bei jedem mathematischen Theorem, sind auch Theoreme über die beweisbare Sicherheit von kryptographischen Verfahren nur insofern gültig, als es die darin getroffenen Annahmen sind. Eine strukturierte Untersuchung von bisher unbekannten komplexitätstheoretischen Annahmen in Theoremen ist daher essentiell für deren Richtigkeit und Aussagekraft. Nur dies gewährleistet die bedenkenlose künftige Anwendbarkeit der Annahme selbst, als auch des Theorems.

Dieser Argumentation folgend klassifizieren wir im zweiten Teil der Thesis die komplexitätstheoretische PRF-ODH Annahme, welche sich in Sicherheitsanalysen bedeutender Schlüsselaustauschprotokolle wie TLS, Signal, und Wireguard wiederfindet. Zunächst geben wir hierzu eine vereinheitlichende, parametrisierte Definition der Annahme wieder, welche verschiedene Varianten von PRF-ODH aus der einschlägigen Literatur umfasst. Wir zeigen, wie sich die Annahmen je nach Parameterwahl in ihrer Stärke unterscheiden und wie sie in das Spektrum bereits bekannter, verwandter komplexitätsbasierter Annahmen einzuordnen sind. Seit Einführung von PRF-ODH wurde diskutiert, ob die Verwendung von PRF-ODH es erlaubt, Beweise für Schlüsselaustauschprotokolle ohne idealisierte Annahmen (im sogenannten Standardmodell) zu führen. Zu guter Letzt skizzieren wir unser Unmöglichkeitsresultat, wonach diese Betrachtungsweise unplausibel erscheint und es sich dementsprechend bei PRF-ODH um keine Annahme im Standardmodell handelt.