Meine Merkliste
my.chemie.de  
Login  

Quantenkryptografie



Als Quantenkryptografie oder Quanten-Schlüsselaustausch bezeichnet man mehrere Verfahren der Quanteninformatik. Sie nutzen Eigenschaften der Quantenmechanik, um zwei Parteien eine gemeinsame Zufallszahl zur Verfügung zu stellen. Diese Zahl wird in der Kryptografie als geheimer Schlüssel verwendet, um mittels klassischer symmetrischer Verschlüsselungsverfahren Nachrichten abhörsicher zu übertragen. So kann zum Beispiel das beweisbar sichere One-Time-Pad verwendet werden, das ohne Quantenkryptografie meist auf Grund des hohen Aufwands für den sicheren Schlüsselaustausch nicht zum Einsatz kommt.

Prinzipiell beruht Quantenkryptografie auf dem erstmals 1927 als Heisenbergsche Unschärferelation beschriebenen Phänomen, wonach allein durch die Messung bzw. durch die Wahrnehmung des Zustands eines kleinsten Teilchens durch einen Beobachter, auch ohne Energiezufuhr, eine unwiderrufliche Selektion unter den möglichen Zuständen bewirkt wird.

Inhaltsverzeichnis

Technologische Realisierung

Um einem verbreiteten Missverstängnis vorzubeugen: Für Quantenkryptographie wird kein funktionierender Quantencomputer gebraucht, eine Technologie, die gegenwärtig noch nicht ausgereift ist. Es geht vielmehr um die absolut sichere Verschlüsselung von Botschaften, wie sie auch mit den gegenwärtigen konventionellen Computern übertragen werden können. Was man aber auf jeden Fall benötigt, ist quantenmechanische Kohärenz der übertragenen Signale. Die dazu nötigen technologischen Voraussetzungen existieren bereits. Um ein konkretes Beispiel zu geben: Im April 2004 wurde vom Rathaus in Wien zu einer in der Stadt ansässigen Bank ein mit Quantenkryptographie verschlüsselter Scheck übertragen.

Bei den gegenwärtigen Glasfasertechnologien ist allerdings die Entfernung zwischen Sender und Empfänger beschränkt, da wegen der erforderlichen Kohärenz die üblichen Signalverstärker nicht einsetzbar sind. Dadurch sind zur Zeit, 2007, die Verfahren auf eine Entfernung von ungefähr 100 Kilometern begrenzt.

Vorteil der Quantenkryptographie

Der Vorteil der Quantenkryptografie gegenüber klassischen Verfahren zur Schlüsselverteilung besteht darin, dass die damit erreichte Sicherheit auf absoluten, physikalischen Gesetzmäßigkeiten beruht und nicht auf Annahmen über die Leistungsfähigkeit von Computern und Algorithmen oder über die Verlässlichkeit von Vertrauenspersonen. Die Sicherheit der verschiedenen Verfahren der Quantenkryptografie entsteht dadurch, dass ein Angreifer, der die Schlüsselübertragung abhört, bemerkt wird. Stellt man fest, dass die Übertragung belauscht wurde, verwirft man (in der Praxis bei Überschreiten eines Toleranzwertes) den übertragenen Schlüssel und beginnt die Schlüsselerzeugung und -übertragung neu.

Klassifizierung

Es existieren zwei Klassen von Verfahren zur Quantenkryptografie. Die einen, wie das BB84-Protokoll, nutzen einzelne Photonen zur Übertragung. Ein Angreifer kann diese auf Grund des No-Cloning-Theorems nicht kopieren und deshalb an Änderungen im Messergebnis erkannt werden. Andere Verfahren, wie das Ekert-Protokoll, verwenden verschränkte Zustände. Hört hier ein Angreifer die Schlüsselübermittlung ab, so verliert das System einen Teil seiner Quantenverschränkung. Dieser Verlust kann anschließend festgestellt und damit der Angriff aufgedeckt werden.

BB84-Protokoll

Das BB84-Protokoll ist ein Verfahren in der Quantenkryptografie, das die Erzeugung eines Schlüssels ermöglicht. Es wurde 1984 von Charles H. Bennett und Gilles Brassard vorgeschlagen und ist das wohl bekannteste Verfahren der Quantenkryptografie. Mittlerweile gibt es andere wichtige Verfahren, die gegenwärtig auch weiter entwickelt werden.

Die Vorgehensweise ist dabei prinzipiell wie folgt: Die Informationen werden mittels Photonen übertragen. Photonen können horizontal oder vertikal polarisiert sein (– oder |). Ein horizontal polarisiertes Photon wird durch einen vertikalen Filter nicht durchgelassen, durch einen horizontalen Filter mit Sicherheit. Außerdem können Photonen verschiedenartig diagonal polarisiert sein (/ oder \). Dies ist messbar, indem der Filter einfach um 45° gedreht wird. Dabei ist zu beachten, dass der Empfänger (Bob), wenn er einen anders polarisierten Filter (\times oder + ) verwendet als der Sender (Alice), nur mit 50-prozentiger Wahrscheinlichkeit ein richtiges Messergebnis bekommt.

Zunächst erzeugt Alice ein Photon mit einer von ihr gewählten Polarisation (–,|,/ oder \) und sendet es zu Bob. Dieser misst es in einem von ihm zufällig gewählten Filter (\times oder + ). Diese Prozedur wird so oft wiederholt, bis Alice und Bob eine ausreichende Anzahl von Werten erhalten haben, die sie in Bits umsetzen können. Alice muss dabei während des Ablaufs darauf achten, dass sie alle vier Polarisationsmöglichkeiten mit gleicher Wahrscheinlichkeit erzeugt, und Bob sollte seinen Filter ebenfalls mit gleicher Wahrscheinlichkeit auswählen (siehe Lauschangriff).

Um nun aus den erhaltenen Werten einen Schlüssel zu erzeugen, verständigen sich Alice und Bob über eine (unsichere aber authentifizierte) Leitung, in welchen Fällen sie den gleichen Filter verwendet haben. Bei diesen können sie sicher sein, dass sie die gleichen Polarisationsrichtungen gemessen haben. Nun weisen sie den möglichen Polarisationen unterschiedliche Bitwerte zu: zum Beispiel 0 für horizontale Polarisation (–) oder Polarisation von links oben nach rechts unten (\), 1 für vertikale Polarisation (|) oder Polarisation von rechts oben nach links unten (/).

Die Polarisationen, für die sie den gleichen Filter verwendet haben, liefern Alice und Bob das gleiche Bit, können also für einen Schlüssel bzw. für ein One-Time-Pad verwendet werden. Die restlichen Bits sind nur mit 50-prozentiger Wahrscheinlichkeit richtig und werden deshalb verworfen. Im Mittel können Alice und Bob also die Hälfte aller Bits für die Schlüsselerstellung weiterverwenden.

Ein Beispiel

von Alice gesendete Polarisation / / / \ \ \ | | |
von Bob verwendete Basis \times + + \times + + \times \times + \times \times +
von Bob gemessene Polarisation / | \ | \ / \ / |
Basis gleich? ja nein nein ja nein nein nein nein ja nein nein ja
verwendeter Schlüssel 1 · · 0 · · · · 0 · · 1

Physikalische und technische Aspekte

Allgemeiner kann man sagen, Alice und Bob verwenden Qubits zur Erzeugung eines Schlüssels. Dies ist das quantenmechanische Äquivalent zum Bit, also die kleinstmögliche Informationseinheit. Weiterhin verständigen sie sich auf zwei komplementäre Basen ihres Qubit-Systems, die z- und x-Basis genannt werden können (diese Benennung bezieht sich auf die Koordinatenachsen bei der Bloch-Kugel). Jede dieser beiden Basen besteht aus zwei Basiszuständen: die z-Basis aus \vert z+\rangle und \vert z-\rangle, die x-Basis aus \vert x+\rangle und \vert x-\rangle (in Bra-Ket-Notation).

In der Quantenkryptografie werden hierbei fast ausschließlich Photonen als Qubits verwendet. Die Polarisation der Photonen kann mit den Basiszuständen identifiziert werden: man wählt zum Beispiel für die z-Basis die lineare Polarisation in vertikaler und horizontaler Richtung und für die x-Basis die diagonale Polarisation, wie im obigen Abschnitt verwendet.

Die technische Realisierung des Protokolls stellt jedoch eine Herausforderung dar. So muss unter anderem mit Fehlern durch die Messgeräte sowie durch Rauschen (Doppelbrechung im Glasfaserkanal, Wechselwirkung mit anderen Teilchen) gerechnet werden. Trotzdem gelang Charles H. Bennett 1989 selbst eine quantenmechanische Schlüsselübertragung.

Ein Lauschangriff

Um Lauschangriffe zu entdecken werden quantenmechanische Effekte genutzt, denn durch seine Messung ändert ein Angreifer unter Umständen den von Alice gesendeten Basiszustand.

Im Idealfall sollten Alice und Bob durch das geschilderte Verfahren einen sicheren Schlüssel erhalten. Es ist jedoch nicht garantiert, dass kein Lauscher (Eve) mitgehört hat. Ein einfacher Weg zum Mithören wäre der folgende: Eve fängt jedes Qubit ab, misst es in einer der zwei möglichen Basen und schickt das gemessene Ergebnis anschließend weiter zu Bob. Da Alice und Bob nur die Bits weiterverwenden, bei denen sie die gleiche Basis verwendet haben, gibt es hier zwei mögliche Fälle:

  • Eve misst in der gleichen Basis wie Alice: in diesem Fall bemerken Alice und Bob nichts, und Eve kennt das Bit.
  • Eve misst in der anderen Basis: in diesem Fall stört Eve Bobs Messung, da sie den Zustand des Qubits verändert, so dass er in der Hälfte aller Fälle ein falsches Bit empfängt.

Eve kennt zum Zeitpunkt ihrer Messungen weder Alices noch Bobs Basis, und daher kommen beide Fälle gleich häufig vor. Man kann also davon ausgehen, dass im Mittel 25 Prozent aller Bits fehlerhaft sind. Um dies festzustellen, wählen Alice und Bob einige ihrer Bits aus und vergleichen sie über den unsicheren Kanal. Sie können somit eine Abschätzung der Fehlerrate gewinnen (mittels statistischer Tests). Ist diese zu hoch (also zum Beispiel 25 %), so müssen sie befürchten, dass gelauscht wurde und sollten erneut mit der Schlüsselübertragung beginnen.

Eve kann aber statt des zuvor genannten auch andere Verfahren wählen: zum Beispiel kann sie nur jedes zweite Qubit messen, was (analog wie zuvor) auf 12,5 Prozent Fehlerrate führt, oder sie kann eine Kopie des Qubits herstellen, was wegen des No-Cloning-Theorems nur mit einem Fehler möglich ist. Es kann aber auch sein, dass niemand gelauscht hat und nur die Übertragung gestört oder die Messapparatur verstellt ist. Um auch bei vorhandenen, aber nicht zu hohen Fehlerraten einen Schlüssel zu erzeugen, können Alice und Bob Fehlerkorrekturverfahren und Hash-Funktionen verwenden.

Man-In-The-Middle-Angriffe können jedoch auch in der Quantenkryptografie nur durch einen authentifizierten Übertragungskanal für den Basenvergleich ausgeschlossen werden.

Quantenkryptografie mittels Verschränkung

Ein Protokoll zur Quantenkryptografie mit verschränkten Zuständen wurde 1991 von Artur Ekert entwickelt. Die Funktionsweise ähnelt der des BB84-Protokolls, genutzt werden jedoch Eigenschaften von verschränkten Photonen (näheres zu den quantenmechanische Hintergründen siehe Quantenverschränkung):

  • Nach der Messung der Polarisation eines Photons des verschränkten Paares ist die Polarisation des zweiten Photons eindeutig bestimmt (orthogonal zur Polarisation des Ersten). Messen Alice und Bob also beide mit dem gleichen Filter, so können sie einen gemeinsamen Schlüssel festlegen.
  • Misst Alice allerdings bei einem Photon eine horizontale Polarisation (also mit dem Filter + ) und Bob dann das dazu verschränkte Photon mit diagonalem Filter (\times), so erhält Bob mit 50% Wahrscheinlichkeit eine der beiden diagonalen Polarisationsrichtungen (/ oder \), also einen zufälligen Wert 0 oder 1.

Im Ekert-Protokoll teilen sich Alice und Bob verschränkte Photonenpaare und messen sie jeweils bei sich. Diese Paare können sowohl von Alice als auch von Bob oder einer dritten Instanz erzeugt werden, so dass die Kommunikationspartner nicht direkt miteinander verbunden sein müssen. Es kommen wie beim BB84-Protokoll mit gleicher Wahrscheinlichkeit horizontal/vertikale oder diagonale Filter zum Einsatz. Haben Alice und Bob genügend Photonen erhalten, vergleichen sie wieder über einen ungesicherten, aber authentifizierten Kanal ihre jeweiligen Filterstellungen. Dabei gibt es zwei Möglichkeiten:

  1. Ihre Filter waren genau gleich eingestellt. Dann kennen sie jeweils den Zustand des anderen Photons (0 oder 1) und können diese Bits zur Kodierung benutzen.
  2. Mit den Bits, welche durch unterschiedliche Filter erzeugt werden, ist eine Überprüfung der Bellschen Ungleichungen möglich. Sie geben eine Grenze für die Korrelation der Informationen über das erste und zweite Photon in der klassischen Physik an.

Um zu erfahren, ob bei dieser Methode jemand gelauscht hat, überprüft man die Daten, bei denen Alice und Bob unterschiedliche Filter verwendeten, auf die Verletzung der Bellschen Ungleichung. Ist sie verletzt, waren die Photonen verschränkt, und die Kommunikation wurde nicht belauscht.

Geschichte

Die Verwendung von Quanteneffekten zum Austausch von One-Time-Pads wurde unter dem Namen "Conjugate Coding" (Konjugierte Codierung) erstmals von Stephen Wiesner um 1969/70 vorgeschlagen, aber erst 1983 in den Sigact News veröffentlicht. Charles H. Bennett und Gilles Brassard entwickelten zur gleichen Zeit bei IBM das erste quantenmechanische Protokoll zur Übertragung von Schlüsseln und publizierten es 1984; daraus erklärt sich der Name BB84.

1989 wurde von IBM in Yorktown das erste praktische Experiment mit Quantenkryptografie durchgeführt. 1991 konnte das BB84-Protokoll erstmals erfolgreich demonstriert werden, als damit eine Distanz von 32 cm überbrückt wurde. Mittlerweile wurde die Quantenkryptografie schon in den Alpen ausprobiert: Einzelne Photonen wurden durch 23 km Luft von einer Station zur anderen geschickt und ein Schlüssel mit einer Fehlerrate von etwa 5% erzeugt.

Die technisch kompliziertere Quantenkryptografie mit verschränkten Photonen wurde erstmals 1999 von Mitarbeitern der Universität Wien um Anton Zeilinger realisiert. Dabei erreichte man über eine Distanz von 360 m Bitraten von bis zu 800 Bits/s bei einer Fehlerrate von circa 3%.

Ende April 2004 wurde zum ersten Mal eine Geldüberweisung mittels Quantenkryptografie gesichert. Das Glasfaserkabel zur Übertragung der verschränkten Photonen war etwa 1.500 m lang und führte von der Bank Austria Creditanstalt durch das Wiener Kanalnetz zum Wiener Rathaus.

Im November 2006 gelang es zwei Studenten des Massachusetts Institute of Technology, Taehyun Kim und Ingo Stork genannt Wersborg, unter der Leitung von Franco N. C. Wong und Jeffrey H. Shapiro eine nach dem BB84-Protokoll verschlüsselte Nachricht erstmals im Labor abzuhören. Bei diesem Abhörvorgang wurde ein optisches CNOT Logikgatter verwendet, um die geheimen Quantenbits auszulesen. Die bei diesem Angriff in der Übertragung entstehenden Fehler müsste ein Angreifer bei realen Systemen hinter den üblichen Übertragungsfehlern verstecken. Die Resultate des Experimentes wurden am 25. April 2007 in der Fachzeitschrift Physical Review veröffentlicht.[1]

Zu den Schweizer Parlamentswahlen am 21. Oktober 2007 wurden Daten aus Wahllokalen im Kanton Genf über eine Distanz von ca. 100 km in die Bundeshauptstadt Bern übertragen.[2]

Literatur

Elementare Einführungen finden sich in:

  • U. Krey, A. Owen, Basic Theoretical Physics, Springer, Berlin Heidelberg, New York, 2007, ISBN 978-3-540-36804-5
  • Dagmar Bruß: Quanteninformation. Fischer Taschenbuch Verlag, Frankfurt am Main 2003, ISBN 3-596-15563-0
  • Matthias Homeister: Quantum Computing verstehen. Vieweg, Wiesbaden 2005, ISBN 3-528-05921-4

Einzelnachweise

  1. Taehyun Kim, Ingo Stork genannt Wersborg, Franco N. C. Wong, Jeffrey H. Shapiro: Complete physical simulation of the entangling-probe attack on the BB84 protocol.
  2. Spiegel-Artikel zum Einsatz der Quantenkrypotografie bei der Schweizer Parlamentswahl 2007
  • http://www.toshiba-europe.com/research/crl/QIG/ - Quantum Information Group des Toshiba Cambridge Research Laboratory
  • http://xqp.physik.uni-muenchen.de/exp/qc2/index.html

von Telepolis

  • Quantenkryptographie - Wissenschaftler konnten ein System herstellen, das nur ein Photon erzeugt
  • »Es stellt sich letztlich heraus, dass Information ein wesentlicher Grundbaustein der Welt ist« - Interview mit Prof. Dr. Anton Zeilinger
  • Plug&Play mit Quantenkryptografie - Schweizer Physikern ist es gelungen, einen Quantencode über eine Distanz von 67 Kilometern zu übermitteln
  • Neuer Weltrekord zwischen Zug- und Karwendelspitze - Einem deutsch-englischen Forscherteam ist es gelungen, Nachrichten über eine Entfernung von 23,4 Kilometern abhörsicher zu übertragen
  • Bob und Eve tun es im Quantenland - Einsatz von kontinuierlichen Variablen anstatt Q-Bits
  • Navajo für alle - Quantenkryptografie wird kommerziell - Militärs und Geheimdienste stehen schon Schlange
  • Beam Your Money! - Weltweit erste Demonstration einer abhörsicheren Banküberweisung mittels Quantenkryptographie in Wien
 
Dieser Artikel basiert auf dem Artikel Quantenkryptografie aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.
Ihr Bowser ist nicht aktuell. Microsoft Internet Explorer 6.0 unterstützt einige Funktionen auf ie.DE nicht.