Quantenkryptographie

So funktioniert Quantenkryptographie in der Theorie

Theoretisch funktioniert Quantenmechanik wie folgt (die Beschreibung basiert auf dem „klassischen” Modell, das von Bennett und Brassard 1984 entwickelt wurde; es gibt aber auch andere Interpretationen):

Angenommen, zwei Personen wollen Nachrichten sicher miteinander austauschen. Traditionell werden sie Alice und Bob genannt. Alice beginnt den Datenaustausch, indem sie Bob einen Schlüssel schickt, den dieser zum Verschlüsseln der Daten benötigt. Diese Daten haben als Bits entweder den Wert 0 oder 1.

Bei der Quantenkryptographie besteht der Schlüssel aus einem Strom von Photonen, die in eine Richtung gesendet werden und ebenfalls entweder den Wert 0 oder 1 haben. Zusätzlich zu diesem linearen Datenstrom oszillieren (vibrieren) alle Photonen in einem bestimmten Muster. Prinzipiell können diese Oszillationen in einem 360-Grad-Radius in jeder vorstellbaren Achse auftreten. Um es allerdings etwas vereinfacht darzustellen (sofern dies in der Quantenkryptographie überhaupt möglich ist), nehmen wir an, dass ihre Oszillationen nur in vier Stadien gruppiert werden können: Wir definieren diese als RAUF/RUNTER, LINKS/RECHTS, LINKSOBEN/RECHTSUNTEN und RECHTSOBEN/LINKSUNTEN. Der Winkel dieser Vibration wird als Polarisierung des Photons bezeichnet. Nun fügen wir noch einen Polarisator zu unseren Überlegungen hinzu. Ein Polarisator ist nichts anderes als ein Filter, der es passenden Photonen erlaubt, ihn mit derselben Oszillation wie zuvor zu passieren. Andere als die passenden Photonen erhalten allerdings einen veränderten Oszillationsstatus. Es ist sogar möglich, dass der Filter manche Photonen komplett blockiert (bei diesem Beispiel ignorieren wir diesen Punkt jedoch). Alice hat also einen Polarisator, der die Photonen in jeder der vier erwähnten Stadien filtern kann. Sie kann also entweder zwischen geradlinigen (RAUF/RUNTER und LINKS/RECHTS) sowie diagonalen (LINKSOBEN/RECHTSUNTEN und RECHTSOBEN/LINKSUNTEN) Polarisationsfiltern wählen.

Alice wechselt für die Übertragung jedes einzelnen Photons ihr Polarisationsschema zufällig zwischen geradlinigen und diagonalen Filtern. Egal welches Schema sie nutzt, die Übertragung und Polarisation ergibt aber immer ein Bit mit entweder dem Wert 0 oder 1.

Beim Eintreffen des Photonenschlüssels muss Bob jedes Photon entweder mit seinem eigenen geradlinigen oder mit dem diagonalen Polarisator erfassen. Manchmal wird er den richtigen Polarisator wählen, andere Male einen falschen. Ebenso wie Alice wählt er jeden Polarisator zufällig aus. Was passiert also mit den Photonen, wenn der falsche Polarisator gewählt wurde?

Die Heisenbergsche Unschärferelation besagt, dass es sich nicht genau vorhersagen lässt, was mit jedem einzelnen Photon geschieht. Bereits dadurch, dass versucht wird, einen Zustand zu erfassen, wird er verändert. Dazu kommt, dass wenn es zwei Eigenschaften in einem System gibt, das erfasst werden soll, das Messen einer der Eigenschaften bereits verhindert, dass die zweite aufgenommen wird. Es lässt sich allerdings eine Vermutung erstellen, was mit ihnen als Gruppe geschieht. Angenommen, Bob verwendet einen geradlinigen Polarisator, um diagonale Photone (LINKSOBEN/RECHTSUNTEN und RECHTSOBEN/LINKSUNTEN) zu erfassen. Dadurch verändert sich der Status der gefilterten Photonen jeweils zur Hälfte zu RAUF/RUNTER und der anderen Hälfte zu LINKS/RECHTS. Man kann aber nicht voraussagen, welche Photonen welchen Status annehmen. Es kommt außerdem vor, dass manche Photonen durch das Filtern blockiert werden. Das tritt, wie erwähnt, in der Praxis auf, hat aber keine Auswirkungen auf unsere theoretischen Überlegungen.

Bob erfasst also manche Photonen korrekt, andere falsch. Zu diesem Zeitpunkt haben Alice und Bob einen Kommunikationskanal aufgebaut, der aber noch als unsicher einzustufen ist. Andere Personen können die übertragenen Inhalte belauschen. Alice geht deswegen weiter und teilt Bob mit, welchen Polarisator sie für jedes einzelne Photon verwendet hat, Sie sagt ihm aber nicht, wie sie sie genau polarisiert hat. So könnte sie ihm beispielsweise mitteilen, dass Photon 8597 mit dem geradlinigen Polarisator gesendet wurde. Sie sagt ihm aber nicht, ob sie RAUF/RUNTER oder LINKS/RECHTS verwendet hat. Bob bestätigt anschließend, ob er den jeweils richtigen Polarisator verwendet hat, um jedes einzelne Photon zu erfassen. Alice und Bob verwerfen dann alle Photonen, bei denen Bob den falschen Polarisator verwendet hat. Dadurch entsteht im Durchschnitt eine Sequenz von Nullen und Einsen, die etwa halb so lang ist wie die ursprüngliche Übertragung. Sie formt die Basis für ein so genanntes One-Time-Pad. Dieses auch Einmalschlüssel genannte Verfahren ist das einzige Verschlüsselungssystem, das als vollständig zufällig und sicher gilt – sofern es fehlerfrei umgesetzt wurde.

Das Beispiel lässt sich noch weiterführen: Fügen wir Lauscherin Eve hinzu. Sie versucht, in die Kommunikation hinein zu hören. Sie verfügt dazu über den gleichen Polarisator wie Bob und wählt ebenfalls zufällig aus, ob sie den geradlinigen oder diagonalen Filter verwenden soll. Sie hat allerdings auch dasselbe Problem wie Bob: In etwa der Hälfte der Fälle wählt sie den falschen Polarisator. Bob hat jedoch den Vorteil, dass er von Alice erfahren hat, welcher Polarisatortyp für jedes einzelne Photon gewählt wurde. Eve hat diesen Vorteil nicht und in der Hälfte der Fälle deswegen den falschen Polarisator gewählt. Ein Teil der Photonen wurde dadurch falsch interpretiert. Der endgültige Schlüssel ist also wertlos.

Außerdem gibt es noch eine weitere Sicherheitsstufe in der Quantenkryptographie: Die der Intrusion Detection. Alice und Bob bemerken es, wenn Eve sie belauscht. Aus dem im folgendem beschriebenen Grund ist es offensichtlich, dass sich Eve ebenfalls auf dem „Photonen-Highway” befindet.

Nehmen wir an, dass Alice zum Beispiel das Photon mit der Nummer 349 als ein RECHTSOBEN/LINKSUNTEN an Bob schickt. Wenn Eve nun aber den geradlinigen Polarisator dafür verwendet, kann dieser nur RAUF/RUNTER und LINKS/RECHTS korrekt erfassen. Dadurch verwandelt Eve das Photon selbst in RAUF/RUNTER oder zu LINKS/RECHTS, weil es nur so den Filter passieren kann. Wenn Bob anschließend seinen geradlinigen Polarisator einsetzt, ist es gleichgültig, was dabei herauskommt. Beim finalen Check, bei dem Alice und Bob die eingesetzten Polarisatoren vergleichen, wird die Veränderung auffallen, so dass das Photon verworfen wird. Aber selbst, wenn Bob den diagonalen Polarisator verwendet, entsteht ein Problem, wenn er die Polarisation des Photons erfassen will. Eventuell erfasst er es korrekt als RECHTSOBEN/LINKSUNTEN. Nach der Heisenbergschen Unschärferelation besteht aber eine gleich hohe Chance, dass er es fehlerhaft als LINKSOBEN/RECHTSUNTEN einstuft. Nämlich allein weil Eve ihrerseits bereits einen Polarisator eingesetzt hat, hat sich das Photon verändert. Bei Bob kommt es in der Folge also sogar zu Fehlern, wenn er den richtigen Polarisator verwendet.

Um das schändliche Verhalten von Eve zu entdecken, müssen Alice und Bob die oben beschriebenen Prozeduren durchführen. Nur so kommen sie am Ende zu identischen Schlüsselsequenzen aus Nullen und Einsen. Wenn aber jemand die Kommunikation belauscht, kommt es zu mehreren Unterschieden, die auffallen müssen. Alice und Bob können dann weitere Tests durchführen, um die Echtheit ihres Schlüssels zu bewerten. Es ist allerdings nicht nötig, wirklich alle Bits des Schlüssels über die unsichere Verbindung zu vergleichen.

Warum ist das so? Angenommen, der Schlüssel besteht aus 4000 Zeichen. Alice und Bob müssen jetzt nicht den gesamten Schlüssel überprüfen. Es reichen auch 200 zufällig ausgewählte Stellen, zum Beispiel die Positionen 2, 34, 65 und 911 sowie jeweils ihr Wert von 0 oder 1. Es genügt, wenn Alice und Bob diese Untersumme vergleichen. Wenn alle Werte übereinstimmen, ist es praktisch unmöglich, dass ihre Kommunikation von Eve belauscht wurde. Wenn sie aber doch gelauscht hat, ist ihre Chance, dabei unentdeckt zu bleiben, 1 zu mehreren Billionen. Alice und Bob würden bemerken, dass sie jemand belauscht hat und den Schlüssel nicht verwenden. Stattdessen sollten sie den Schlüsselaustausch über einen sicheren Kanal neu beginnen, der für Eve nicht erreichbar ist. Der Vergleich der Schlüssel kann aber, wie oben beschrieben, auch über eine unsichere Verbindung durchgeführt werden. Vorsichtshalber sollten die 200 über den unsicheren Kanal verglichenen Daten aber nicht mehr in dem endgültigen Schlüssel verwendet werden. Seine Länge sinkt also von 4000 Zeichen auf 3800 Zeichen.

Letztlich ist Quantenkryptographie ein Weg, um relativ einfach und bequem einen wirklich sicheren Schlüsselaustausch durchzuführen, der die gleichen Vorteile wie ein One-Time-Pad bietet.

So funktioniert Quantenkryptographie in der Praxis

In der Praxis haben IBM und andere demonstriert, dass Quantenkryptographie funktioniert, allerdings nur im Labor und über relativ kurze Distanzen. Der Universität Genf und dem Hersteller Corning ist es jedoch im Sommer 2015 gelungen, eine Distanz von mehr als 300 Kilometern zu überwinden. Darüber hinaus machen zu hohe BERs (Bit Error Rates) eine Übertragung bislang unmöglich. Sie entstehen aus einer Kombination der Heisenbergschen Unschärferelation und mikroskopischen Unreinheiten in dem verwendeten Glasfasersystem. Manchen Forschern ist es auch bereits gelungen, Daten über die Luft zu übertragen. Aber das funktioniert bislang nur über sehr kurze Distanzen und bei idealen Wetterbedingungen. Es bleibt also noch abzuwarten, wie weit die Techniker die maximalen Distanzen noch erhöhen können, bevor Quantenkryptographie in der Praxis wirklich eingesetzt werden kann.

Zu den geplanten Anwendungen gehören etwa eine dedizierte Verbindung zwischen dem Weißen Haus und dem Pentagon in Washington D.C. sowie direkte Kanäle zwischen wichtigen Militäreinrichtungen, Großlieferanten aus dem Verteidigungsbereich und Forschungslabors in unmittelbarer Nähe zueinander.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!