Quantenschlüsselaustausch
Als Quantenschlüsselaustausch bezeichnet man mehrere Verfahren der Quanteninformatik und Quantenkryptografie, die Eigenschaften der Quantenmechanik nutzen, um zwei Parteien eine gemeinsame Zufallszahl zur Verfügung zu stellen. Diese Zahl wird in der Kryptographie als geheimer Schlüssel verwendet, um mittels klassischer symmetrischer Verschlüsselungsverfahren Nachrichten abhörsicher zu übertragen. So kann zum Beispiel das beweisbar sichere One-Time-Pad verwendet werden, das ohne Quantenschlüsselaustausch meist aufgrund des hohen Aufwands für den sicheren Schlüsselaustausch nicht zum Einsatz kommt. Da der Quantenschlüsselaustausch das bekannteste Verfahren der Quantenkryptografie ist, wird er manchmal auch als Quantenkryptografie bezeichnet.
Technische Realisierung
BearbeitenFür den Quantenschlüsselaustausch wird kein Quantencomputer, aber quantenmechanische Kohärenz der übertragenen Signale benötigt. Die dazu nötigen technischen Voraussetzungen existieren bereits; ein Beispiel: Im April 2004 wurde vom Rathaus in Wien zu einer in der Stadt ansässigen Bank ein mit Quantenkryptographie verschlüsselter Geldtransfer ausgelöst.[1]
Bei Verwendung von Glasfasertechnologien ist allerdings die Entfernung zwischen Sender und Empfänger beschränkt, da wegen der erforderlichen Kohärenz die üblichen Signalverstärker nicht einsetzbar sind. 2018 wurde ein sicherer Quantenschlüsselaustausch über 421 km Glasfaser demonstriert.[2] Im Jahr 2017 ist es gelungen, einen Quantenschlüssel von einem Satelliten auf die Erde zu übertragen (ca. 1200 km). Möglich ist dies, da das Vakuum im Weltall die Photonen kaum schwächt und fast keine Dekohärenz verursacht.[3]
Vorteil des Quantenschlüsselaustauschs
BearbeitenDer Vorteil des Quantenschlüsselaustauschs gegenüber klassischen Verfahren zur Schlüsselverteilung besteht darin, dass die damit erreichte Sicherheit auf bekannten physikalischen Gesetzmäßigkeiten beruht und nicht auf Annahmen über die Leistungsfähigkeit von Computern und Algorithmen oder über die Verlässlichkeit von Vertrauenspersonen. Die Sicherheit der verschiedenen Verfahren des Quantenschlüsselaustauschs entsteht dadurch, dass ein Angreifer, der die Schlüsselübertragung abhört, bemerkt wird. Stellt man fest, dass die Übertragung belauscht wurde, verwirft man (in der Praxis bei Überschreiten eines Fehler-Toleranzwertes) den übertragenen Schlüssel und beginnt die Schlüsselerzeugung und -übertragung neu.
Klassifizierung
BearbeitenEs existieren zwei Klassen von Verfahren zum Quantenschlüsselaustausch. Die einen, wie das BB84-Protokoll, nutzen einzelne Photonen zur Übertragung. Ein Angreifer kann diese auf Grund des No-Cloning-Theorems nicht kopieren und deshalb an Änderungen im Messergebnis erkannt werden. Andere Verfahren, wie das Ekert-Protokoll, verwenden verschränkte Zustände. Hört hier ein Angreifer die Schlüsselübermittlung ab, so verliert das System einen Teil seiner Quantenverschränkung. Dieser Verlust kann anschließend festgestellt und damit der Angriff aufgedeckt werden.
BB84-Protokoll
BearbeitenDas BB84-Protokoll ist ein Verfahren in der Quantenkryptografie, das den Austausch eines Schlüssels ermöglicht. Der Name beruht auf der Tatsache, dass das Protokoll im Jahre 1984 von den beiden Wissenschaftlern Charles H. Bennett und Gilles Brassard vorgeschlagen wurde. Es stellt derzeit das wohl bekannteste Verfahren der Quantenkryptografie dar, jedoch existieren mittlerweile andere wichtige Verfahren, die gegenwärtig auch weiter entwickelt werden.
Die Vorgehensweise ist dabei prinzipiell wie folgt: Die Informationen werden mittels Photonen übertragen. Photonen können horizontal oder vertikal polarisiert sein (– oder |) : Ein horizontal polarisiertes Photon wird durch einen vertikalen Filter nicht durchgelassen, durch einen horizontalen Filter mit Sicherheit hingegen schon. Außerdem können Photonen verschiedenartig diagonal polarisiert sein (/, „rechtsdiagonal“, oder \, „linksdiagonal“). Dies ist messbar, indem der Filter einfach um 45° gedreht wird. Dabei ist zu beachten, dass der Empfänger (Bob), wenn er einen anders polarisierten Filter ( - oder -Basis) verwendet als der Sender (Alice), nur mit 50-prozentiger Wahrscheinlichkeit ein richtiges Messergebnis bekommt.
Zunächst erzeugt Alice ein Photon mit einer von ihr gewählten Polarisation (– bzw. |, oder / bzw. \) und sendet es Bob. Dieser misst es in einem von ihm zufällig gewählten Filter (die gleichen vier Möglichkeiten, aber unabhängig gewählt). Diese Prozedur wird so oft wiederholt, bis Alice und Bob eine ausreichende Anzahl von Werten erhalten haben, die sie in eine Bitfolge umsetzen können (siehe das folgende Beispiel). Alice muss dabei während des Ablaufs darauf achten, dass sie alle vier Polarisationsmöglichkeiten mit gleicher Wahrscheinlichkeit erzeugt, und Bob sollte seinen Filter ebenfalls mit gleicher Wahrscheinlichkeit auswählen (siehe Lauschangriff).
Um nun aus den erhaltenen Werten einen Schlüssel zu erzeugen, verständigen sich Alice und Bob nach der Photonenübertragung über eine authentifizierte Leitung darüber, in welchen Fällen sie die gleiche „Basis“ (Horizontal/Vertikalbasis, +, bzw. Diagonalbasis, ) verwendet haben. Für diese sog. „relevanten Bits“ können sie sicher sein, dass sie die gleichen Polarisationsrichtungen gemessen haben, und nur sie allein wissen auch, welche das sind (es gibt zu jeder Basis zwei Möglichkeiten). Ein „Spion“ (Eve, die bei klassischer Kryptographie einen Lauschangriff durchführen würde, siehe unten), kennt nur die Tatsache der Gleichheit der Polarisationsrichtungen für die relevanten Bits, d. h. die zugehörige „Basis“, aber welches diese Polarisationsrichtungen sind, das kann Eve nicht ausspionieren, ohne sich selbst zu verraten.
Alice und Bob weisen jetzt den möglichen Polarisationen unterschiedliche Bitwerte zu: zum Beispiel 0 für horizontale (–) oder linksdiagonale (\) Polarisation, 1 für vertikale (|) oder rechtsdiagonale (/) Polarisation. Diesen Schritt könnten sie sich sogar sparen: Die gewählte Zuordnung darf nämlich auch vorher festgelegt und öffentlich bekannt sein, weil der Spion die tatsächliche Polarisationsrichtung nicht ermitteln kann, ohne sich zu verraten, sondern nur weiß, dass sie bei Alice und Bob für die relevanten Bits gleich ist.
Die Polarisationen, für die sie den gleichen Filter verwendet haben, liefern Alice und Bob das gleiche Bit, können also für einen Schlüssel bzw. für ein One-Time-Pad verwendet werden. Die restlichen Bits sind nur mit 50-prozentiger Wahrscheinlichkeit richtig und werden deshalb verworfen. Im Mittel können Alice und Bob also die Hälfte aller Bits für die Schlüsselerstellung weiterverwenden.
Ein Beispiel
Bearbeitenvon Alice gesendete Polarisation | / | / | / | \ | \ | \ | – | – | – | |||
von Bob verwendete Basis | ||||||||||||
von Bob gemessene Polarisation | / | – | \ | – | \ | / | – | \ | / | |||
Basis gleich? | ja | nein | nein | ja | nein | nein | nein | nein | ja | nein | nein | ja |
verwendeter Schlüssel | 1 | · | · | 0 | · | · | · | · | 0 | · | · | 1 |
Bemerkung: Die o. a. Tabelle soll das Prinzip des Protokolls verdeutlichen. In der Praxis wird die verwendete Basis in ca. 50 % der Messungen gleich sein.
Physikalische und technische Aspekte
BearbeitenAllgemeiner kann man sagen, Alice und Bob verwenden Qubits zur Erzeugung eines Schlüssels. Dies ist das quantenmechanische Äquivalent zum Bit, also die kleinstmögliche Informationseinheit. Weiterhin verständigen sie sich auf zwei komplementäre Basen ihres Qubit-Systems, die - und -Basis genannt werden können (diese Benennung bezieht sich auf die Koordinatenachsen bei der Bloch-Kugel). Jede dieser beiden Basen besteht aus zwei Basiszuständen: die -Basis aus und , die -Basis aus und (in Bra-Ket-Notation).
Beim Quantenschlüsselaustausch werden fast ausschließlich Photonen als Qubits verwendet. Die Polarisation der Photonen kann mit den Basiszuständen identifiziert werden: Man wählt zum Beispiel für die -Basis die lineare Polarisation in vertikaler und horizontaler Richtung und für die -Basis die diagonale Polarisation, wie im obigen Abschnitt verwendet.
Die technische Realisierung des Protokolls stellt jedoch eine Herausforderung dar. So muss unter anderem mit Fehlern durch die Messgeräte sowie durch Rauschen (Doppelbrechung im Glasfaserkanal, Wechselwirkung mit anderen Teilchen) gerechnet werden. Trotzdem gelang Charles H. Bennett 1989 selbst eine quantenmechanische Schlüsselübertragung.
Ein Lauschangriff
BearbeitenZum Entdecken von Lauschangriffen werden quantenmechanische Effekte genutzt: Nach den Gesetzen der Quantenmechanik würde Eve, eine Angreiferin, durch ihre Messung mit hoher Wahrscheinlichkeit den von Alice gesendeten Basiszustand ändern.
Im Idealfall sollten Alice und Bob durch das geschilderte Verfahren einen sicheren Schlüssel erhalten. Es ist jedoch nicht garantiert, dass keine Lauscherin mitgehört hat. Ein einfacher Weg zum Mithören wäre der folgende: Eve fängt jedes Qubit ab, misst es in einer der zwei möglichen Basen und schickt das gemessene Ergebnis anschließend weiter zu Bob. Da Alice und Bob nur die Bits weiterverwenden, bei denen sie die gleiche Basis verwendet haben, gibt es hier zwei mögliche Fälle:
- Eve misst in der gleichen Basis, in der Alice sendete: In diesem Fall bemerken Alice und Bob nichts, und Eve kennt das Bit.
- Eve misst in der anderen Basis: In diesem Fall stört Eve Bobs Messung, da sie den Zustand des Qubits verändert, so dass er mit 50 % Wahrscheinlichkeit ein falsches Bit empfängt.
Eve kennt zum Zeitpunkt ihrer Messungen weder Alices noch Bobs Basis, und daher kommen beide Fälle gleich häufig vor. Man kann also davon ausgehen, dass im Mittel 25 Prozent aller Bits fehlerhaft sind. Um dies festzustellen, wählen Alice und Bob einige ihrer Bits aus und vergleichen sie über den unsicheren Kanal. Sie können somit eine Abschätzung der Fehlerrate gewinnen (mittels statistischer Tests). Ist diese zu hoch (also zum Beispiel 25 %), so müssen sie befürchten, dass gelauscht wurde und sollten erneut mit der Schlüsselübertragung beginnen.
Eve kann aber statt des zuvor genannten auch andere Verfahren wählen: zum Beispiel kann sie nur jedes zweite Qubit messen, was (analog wie zuvor) auf 12,5 Prozent Fehlerrate führt, oder sie kann eine Kopie des Qubits herstellen, was wegen des No-Cloning-Theorems nur mit einem Fehler möglich ist. Es kann aber auch sein, dass niemand gelauscht hat und nur die Übertragung gestört oder die Messapparatur verstellt ist. Um auch bei vorhandenen, aber nicht zu hohen Fehlerraten einen Schlüssel zu erzeugen, können Alice und Bob Fehlerkorrekturverfahren und Hashfunktionen verwenden.
Auch Man-in-the-Middle-Angriffe können beim Quantenschlüsselaustausch ausgeschlossen werden, wenn der verwendete Kanal authentifiziert ist. Ansonsten könnte ein aktiver Angreifer beim Schlüsselaustausch Messungen vornehmen und beim späteren Austauschen der tatsächlich verwendeten Basen die Nachrichten modifizieren. Er führt mit Alice das Protokoll aus, als wäre er Bob. Gegenüber Bob gibt er sich als Alice aus und leitet die Basen weiter, in denen er gemessen hat. Dann teilt er sich jeweils mit Alice und Bob einen Schlüssel.
Es gibt jedoch den theoretischen Ansatz, mittels eines aktiven Mediums (Lasermedium als optischer Verstärker) quantenmechanische Kopien (inkl. Phase und Polarisation) mit Hilfe der stimulierten Emission zu erstellen und dadurch (statistisch) unbemerkt zu lauschen.
Im August 2010 veröffentlichten Wissenschaftler der Norwegian University of Science and Technology, dass es ihnen gelungen sei, bei zwei kommerziellen Systemen durch „Blendung“ des Detektors die Übertragung des Schlüssels zu belauschen, ohne Störungen oder Unterbrechungen zu verursachen und ohne Hinweise zu hinterlassen.[4][5]
Quantenschlüsselaustausch mittels Verschränkung
BearbeitenEin Protokoll zum Quantenschlüsselaustausch mit sog. verschränkten Zuständen wurde 1991 von Artur Ekert entwickelt[6]. Die Funktionsweise ähnelt der des BB84-Protokolls, genutzt werden jedoch die aus der Quantenelektrodynamik gegebenen ungewöhnlichen Eigenschaften solcher Photonen:
- Nach der Messung der Polarisation eines der beiden Photonen des verschränkten Paares ist die Polarisation des anderen eindeutig bestimmt („komplementär“ zur Polarisation des ersten, also bei Singulett-Verschränkung, das ist der gebräuchlichste Fall, bei Benutzung derselben Basis, z. B. der Diagonalbasis, einmal „rechtsdiagonal“ bzw. das dazu komplementäre Mal „linksdiagonal“). Messen also Alice und Bob mit komplementären Filtern (darüber können sie öffentlich kommunizieren), so können sie einen gemeinsamen Schlüssel festlegen.
- Misst Alice allerdings ein Photon in horizontaler Polarisation (also mit der Basis ) und Bob dann das dazu verschränkte Photon mit Benutzung der diagonalen Basis ( ), so erhält Bob auf jeden Fall mit 50 % Wahrscheinlichkeit eine der beiden diagonalen Polarisationsrichtungen (/ oder \), also einen zufälligen Wert 0 oder 1. Dieser Fall kann also zur Kommunikationsübermittlung nicht benutzt werden, ist aber, wie wir gleich sehen werden, zur Überprüfung der Sicherheit gegen Spionage wichtig.
Im Ekert-Protokoll erstellen Alice und Bob zunächst unabhängige Photonenstatistiken, um auszuschließen, dass die Photonen „auf klassische Weise“ von einer dritten Instanz erzeugt werden. Es kommen wie beim BB84-Protokoll mit gleicher Wahrscheinlichkeit horizontal/vertikale oder diagonale Filter zum Einsatz. Haben Alice und Bob genügend Photonen erhalten, vergleichen sie wieder über einen nicht notwendig gesicherten und authentifizierten Kanal oder ganz offen ihre jeweiligen Basen, d. h., ein Spion weiß im Gegensatz zu Bob und Alice erneut die zugehörige Polarisation nicht. Dabei gibt es zwei Möglichkeiten:
- Die Basen waren genau gleich eingestellt. Dann kennen Bob und Alice, nicht aber der Spion, jeweils den Zustand des Photons beim anderen Partner (0 oder 1) und können diese Bits zur Kodierung benutzen.
- Mit den Bits, welche durch unterschiedliche Basen erzeugt werden, ist eine Überprüfung der Bellschen Ungleichung möglich. Sie gibt eine Grenze für die Korrelation der Informationen über das erste und zweite Photon in der klassischen Physik an und wird durch die Quantenmechanik in signifikanter Weise verletzt:
Um zu erfahren, ob bei dieser Methode jemand gelauscht hat, überprüft man also die Daten, bei denen Alice und Bob unterschiedliche Basen verwendeten, auf diese Verletzung. Ist die Ungleichung erfüllt, so waren die Photonen nicht verschränkt, die Kommunikation wurde also belauscht.
Erneut können also Alice und Bob durch Zusammenarbeit die Existenz eines Spions mit Sicherheit feststellen.
Geschichte
BearbeitenDie Verwendung von Quanteneffekten zum Austausch von One-Time-Pads wurde unter dem Namen „Conjugate Coding“ (konjugierte Codierung) erstmals von Stephen Wiesner um 1969/70 vorgeschlagen, aber erst 1983 in den Sigact News veröffentlicht. Charles H. Bennett und Gilles Brassard entwickelten zur selben Zeit bei IBM das erste quantenmechanische Protokoll zur Übertragung von Schlüsseln und publizierten es 1984; daraus erklärt sich der Name BB84.
1989 wurde von IBM in Yorktown das erste praktische Experiment mit Quantenkryptografie durchgeführt. 1991 konnte das BB84-Protokoll erstmals erfolgreich demonstriert werden, als damit eine Distanz von 32 cm überbrückt wurde. Mittlerweile wurde der Quantenschlüsselaustausch schon in den Alpen ausprobiert: Einzelne Photonen wurden durch 23 km Luft von einer Station zur anderen geschickt und ein Schlüssel mit einer Fehlerrate von etwa 5 % erzeugt.
Der technisch kompliziertere Quantenschlüsselaustausch mit verschränkten Photonen wurde erstmals 1999 von Mitarbeitern der Universität Wien um Anton Zeilinger realisiert. Dabei erreichte man über eine Distanz von 360 m Bitraten von bis zu 800 bits/s bei einer Fehlerrate von circa 3 %.
Ende April 2004 wurde zum ersten Mal eine Geldüberweisung mittels Quantenkryptografie gesichert. Das Glasfaserkabel zur Übertragung der verschränkten Photonen war etwa 1500 m lang und führte von der Bank Austria Creditanstalt durch das Wiener Kanalnetz zum Wiener Rathaus.
Im November 2006 gelang es zwei Studenten des Massachusetts Institute of Technology, Taehyun Kim und Ingo Stork genannt Wersborg, unter der Leitung von Franco N. C. Wong und Jeffrey H. Shapiro eine nach dem BB84-Protokoll verschlüsselte Nachricht erstmals im Labor abzuhören. Bei diesem Abhörvorgang wurde ein optisches CNOT Logikgatter verwendet, um die geheimen Quantenbits auszulesen, was für den Empfänger durch eine erhöhte Fehlerrate bemerkbar wurde. Der Angriff verdeutlicht, dass zur Sicherheit des Protokolls die Anwendung von Privacy Amplification mit Hilfe einer Hashfunktion nötig ist, um mögliches Wissen eines Angreifers aus den erzeugten Schlüsseln zu eliminieren.[7][8]
Zu den Schweizer Parlamentswahlen am 21. Oktober 2007 wurden Daten aus Wahllokalen im Kanton Genf über eine Distanz von ca. 100 km in die Bundesstadt Bern übertragen.[9]
2020 realisierten Forscher der Chinesischen Universität für Wissenschaft und Technik in Hefei ein quantenverschlüsseltes Signal über einen 19,2 Kilometer langen städtischen atmosphärischen Kanal zwischen zwei Hochhäusern in Shanghai mittels eines robusten adaptiven Optiksystems, hochpräziser Zeitsynchronisation und Frequenzverriegelung.[10][11]
Literatur
BearbeitenElementare Einführungen finden sich in:
- Dagmar Bruß: Quanteninformation. Fischer Taschenbuch Verlag, Frankfurt am Main 2003, ISBN 3-596-15563-0.
- Matthias Homeister: Quantum Computing verstehen. Vieweg, Wiesbaden 2005, ISBN 3-528-05921-4.
Eine populärwissenschaftliche Darstellung findet sich in:
- Anton Zeilinger: Einsteins Schleier – Die neue Welt der Quantenphysik, 2003, ISBN 978-3-442-15302-2, S. 112 ff.
Weblinks
Bearbeiten- Interaktives Experiment mit einzelnen Photonen zur Quantenkryptographie
- NZZ: Quantenkryptografie-Systeme der zweiten Generation auf dem Markt
- NZZ: Erstmals ein Netzwerk mit sechs Punkten getestet
- Skript zur Quantenkryptographie der Uni München (PDF; 1,91 MB) ( vom 26. Juni 2007 im Internet Archive)
- Vortrag How you can build an eavesdropper for a quantum cryptosystem auf dem 26C3 im Dezember 2009
- Video: Quantenkryptografie und mögliche Angriffswege (Vortrag beim 24C3)
- Quantum Information Group des Toshiba Cambridge Research Laboratory
- Physik-Nobelpreisträger Theodor W. Hänsch spricht über Aspekte der Quantenkryptografie Umfangreiches Interview zur Quantenmechanik, vom 22. Juli 2008
- Erneut erfolgreicher Angriff auf Quantenkryptographie
Einzelnachweise
Bearbeiten- ↑ World Premiere: Bank Transfer via Quantum Cryptography Based on Entangled Photons ( vom 11. Februar 2015 im Internet Archive) (PDF; 105 kB). Pressemitteilung, Wien, 21. April 2004.
- ↑ Alberto Boaron et al. Hugo Zbinden: Secure Quantum Key Distribution over 421 km of Optical Fiber. In: Phys. Rev. Lett. Band 121, S. 190502, doi:10.1103/PhysRevLett.121.190502, arxiv:1807.03222. (Die Übertragung fand zwischen zwei 20 m voneinander entfernten Laboratorien, verbunden durch 421 km Glasfaser, statt.)
- ↑ Jian-Wei Pan, Jian-Yu Wang, Cheng-Zhi Peng, Rong Shu, Chao-Yang Lu: Satellite-to-ground quantum key distribution. In: Nature. Band 549, Nr. 7670, September 2017, ISSN 1476-4687, S. 43–47, doi:10.1038/nature23655.
- ↑ Hacking commercial quantum cryptography systems by tailored bright illumination
- ↑ Hackers blind quantum cryptographers (in Nature News vom 29. August 2010)
- ↑ Artur Ekert: Quantum cryptography based on Bell’s theorem. In: Physical Review Letters. 67. Jahrgang, Nr. 6. American Physical Society, 5. August 1991, S. 661–663, doi:10.1103/PhysRevLett.67.661, PMID 10044956, bibcode:1991PhRvL..67..661E (englisch).
- ↑ T. Kim, I. Stork genannt Wersborg, F. N. C. Wong, J. H. Shapiro: Complete physical simulation of the entangling-probe attack on the Bennett-Brassard 1984 protocol. In: Physical Review A. Band 75, Nr. 4, 2007, S. 42327, doi:10.1103/PhysRevA.75.042327, arxiv:quant-ph/0611235.
- ↑ Taehyun Kim, Ingo Stork genannt Wersborg, Franco N. C. Wong, Jeffrey H. Shapiro: Complete physical simulation of the entangling-probe attack on the BB84 protocol. In: Quantum Electronics and Laser Science Conference, 2007. QELS'07. 2007, S. 1–2, doi:10.1109/QELS.2007.4431646, arxiv:quant-ph/0611235v1.
- ↑ Frank Patalong: Quantenkryptografie: Die sicherste Datenleitung der Welt. Auf: Spiegel Online. 12. Oktober 2007. (Artikel zum Einsatz der Quantenkryptografie bei der Schweizer Parlamentswahl 2007)
- ↑ Yuan Cao, Yu-Huai Li, Kui-Xing Yang, Yang-Fan Jiang, Shuang-Lin Li: Long-Distance Free-Space Measurement-Device-Independent Quantum Key Distribution. In: Physical Review Letters. Band 125, Nr. 26, 23. Dezember 2020, ISSN 0031-9007, S. 260503, doi:10.1103/PhysRevLett.125.260503.
- ↑ Manfred Lindinger: Test für Quantenkryptografie: Quantencodes spuken über den Dächern von Schanghai. In: FAZ.NET. 7. Januar 2021, ISSN 0174-4909 (faz.net [abgerufen am 11. Januar 2021]).