Als Quantenkryptografie oder Quanten-Schlüsselaustausch bezeichnet man mehrere Verfahren der Quanteninformatik. Sie nutzen Eigenschaften der Quantenmechanik um zwei Parteien eine gemeinsame Zufallszahl zur Verfügung zu stellen. Diese Zahl wird in der Kryptografie als geheimer Schlüssel verwendet, um mittels klassischer symmetrischer Verschlüsselungsverfahren Nachrichten abhörsicher zu übertragen. So kann zum Beispiel das beweisbar sichere One-Time-Pad verwendet werden, das ohne Quantenkryptografie meist auf Grund des hohen Aufwands für den Schlüsselaustausch nicht zum Einsatz kommt.

Der Vorteil der Quantenkryptografie gegenüber klassischen Verfahren zur Schlüsselverteilung besteht darin, dass die damit erreichte Sicherheit auf physikalischen Gesetzmäßigkeiten beruht und nicht auf Annahmen an die Leistungsfähigkeit von Computern und Algorithmen. Die Sicherheit der verschiedenen Verfahren der Quantenkryptografie entsteht dadurch, dass ein Angreifer, der die Schlüsselübertragung abhört, fast immer bemerkt wird. Stellt man fest, dass die Übertragung belauscht wurde, verwirft man den übertragenen Schlüssel und beginnt die Schlüsselerzeugung und -übertragung neu.

Es existieren zwei Klassen von Verfahren zur Quantenkryptografie. Die einen, wie das BB84-Protokoll, nutzen einzelne Photonen zur Übertragung. Ein Angreifer kann diese auf Grund des No-Cloning-Theorems nicht kopieren und deshalb erkannt werden. Andere Verfahren, wie das Ekert-Protokoll, verwenden verschränkte Zustände. Hört hier ein Angreifer die Schlüsselübermittlung ab, so verliert das System einen Teil seiner Quantenverschränkung. Dieser Verlust kann anschließend festgestellt und damit der Angriff aufgedeckt werden.

BB84-Protokoll

Ein Verfahren zur Übertragung der Schlüssel in der Quantenkryptografie heißt BB84, da es 1984 von Charles H. Bennett und Gilles Brassard veröffentlicht wurde. Mittlerweile gibt es andere wichtige Verfahren, die auch immer weiter entwickelt werden.

Angenommen, Alice will Bob mithilfe der Quantenkryptographie einen Schlüssel schicken. Sie verwendet dabei z.B. Photonen. Und sowohl Alice als auch Bob messen deren Polarisation. Die Polarisation kann zum einen mit einem Filter gemessen werden. Dieser Filter agiert wie ein Gitter:

• Photonen können horizontal oder vertikal polarisiert sein (+). Ein horizontal polarisiertes Photon wird durch einen vertikalen Filter nicht durchgelassen, durch einen horizontalen Filter allerdings schon.
• Außerdem können Photonen verschiedenartig diagonal polarisiert sein (×). Dies ist messbar, indem der Filter einfach um 45° gedreht wird.

Die verschiedenen Polarisationsrichtungen von Photonen sind komplementär, d.h. es ist nicht möglich sowohl die horizontale als auch die diagonale Polarisation eines Photons zu bestimmen. Bestimmt man eine dieser Eigenschaften, so bekommt die andere durch die Messung einen zufälligen Wert. Misst man z.B. zweimal hintereinander die horizontale Polarisation, so bekommt man zweimal das gleiche Ergebnis. Misst man aber zwischen zwei Messungen der horizontalen Polarisation die diagonale Polarisation, so ändert diese mittlere Messung die horizontale Polarisation auf einen zufälligen Wert.

Der Austausch eines zufälligen Bits passiert nun in der Quantenkryptographie wie folgt:

• Alice erzeugt ein Photon
• Alice misst die Polarisation des Photons. Sie verwendet dabei zufällig entweder die Polarisationsrichtungen + oder ×
• Alice überträgt das Photon zu Bob
• Bob misst die Polarisation des empfangenen Photons. Er verwendet dabei ebenfalls zufällig entweder die Polarisationsrichtungen + oder ×

Nun können Alice und Bob die geheime Zufallszahl errechnen. Dazu weisen sie den möglichen Polarisationen unterschiedliche Bitwerte zu: zum Beispiel 0 für horizontale Polarisation oder Polarisation von links oben nach rechts unten, 1 für vertikale Polarisation oder Polarisation von rechts oben nach links unten. Die Codierung kann über einen (unsicheren) öffentlichen Kanal ausgetauscht werden. Alice und Bob tauschen nun über den öffentlichen Kanal aus, auf welche Art sie die Polarisation gemessen haben. Alice kann nun entscheiden, welche zugehörigen Ergebnisse von Bob korrekt sind und teilt diesem mit, welche Messergebnisse er für den Schlüssel verwenden darf. Nur deren Nummer, nicht den am Ende gemessenen Wert. Im Mittel kann Bob 50% aller Werte behalten.

Die Zufallszahlen sind nun ausgetauscht, es ist jedoch nicht sicher, ob die Kommunikation nicht abgehört wurde. Um dies zu überprüfen, tauschen Alice und Bob über den öffentlichen Kanal eine beliebige Anzahl von den soeben errechneten Zufallsbits aus. Sie geben dazu dessen Position und dessen Wert an: "Das 642. Bit hat den Wert 1". Nach dem Austausch steht das entsprechende Bit für die Verschlüsselung nicht mehr zur Verfügung - man hat es ja schon verraten - und muss gelöscht werden.

Wird die Kommunikation nicht belauscht, so sollten alle ausgetauschten Bits übereinstimmen. Hat allerdings Eve die Kommunikation zwischen Alice und Bob abgehört, so musste sie sich beim Abhören ebenfalls entscheiden, ob sie die schräge oder die gerade Polarisation misst. In jedem Fall definiert die Messung jedoch die Polarisation neu.

Mit einer Wahrscheinlichkeit von 50% misst Eve allerdings mit der richtigen Polarisation, das wäre ein funktionierender Lauschangriff. Ein dauerhafter Lauscher würde sich dabei derart bemerkbar machen, dass etwa 25% der Bits von Sender und Empfänger unterschiedlich sind. Etwa 25% deshalb, da Eve ja mit 50% Wahrscheinlichkeit die richtige Polarisierung errät, und das verfälschte Photon mit 50% Wahrscheinlichkeit die Polarisierung hatte, die erwartet wurde.

In der Praxis ist jedoch auch noch die Quantenbit-Fehlrate eine wichtige Eigenschaft des Systems. Diese enthält den Fehler, welcher z.B. bei der Übertragung (schlechte Leitungen) oder bei der Messung (87° statt 90°) entsteht. Moderne Systeme besitzen einen Fehler von 5 - 10%.

Zusammenfassung:

Normal:

• Alice erzeugt Photon und polarisiert es durch die Messung horizontal
• Bob misst das Photon und erhält als Messergebnis horizontal

Mit Lauscher:

• Alice erzeugt Photon und polarisiert es durch die Messung horizontal
• Eve registriert das Photon und polarisiert es vertikal (links unten nach rechts oben)
• Bob misst Photon und erhält zu 50% vertikal und zu 50% horizontal

Je mehr Bits ausgetauscht werden, desto sicherer können Alice und Bob sein, nicht abgehört worden zu sein (nur, wenn sie den erwarteten Wert haben). Sollten sie abgehört werden, dann müssen sie sich nochmal die Mühe machen, das ganze zu übertragen und/oder sie suchen den Lauscher auf der Leitung.

Falls Eve aber nur ab und zu hineinhört, könnte sie möglicherweise einen Teil abgehört haben, der nicht überprüft wurde. Alice und Bob können dies unwahrscheinlicher machen, indem sie nach erfolgreicher Prüfung eine so genannte "Privacy Amplification" durchführen. Dazu wählt Alice oder Bob einfach zwei Bits aus, verknüpft sie per XOR-Verknüpfung. Dann wird dem jeweiligen Partner mitgeteilt, welche Bits verknüpft wurden: "3. und 5020. Bit"

Ist das alles erledigt, dann wurden viele Daten übertragen, die nicht mehr verwendet werden können (falsche Polarisierung, Überprüfung der Bits). Das übrig gebliebene Bitmuster kann in einem One-Time-Pad verwendet werden, dies ist ein klassisches Kryptographieverfahren, von welchem mathematisch bewiesen wurde, dass es nicht geknackt werden kann, sofern der Schlüssel mindestens so groß wie die Nachricht ist.

Verschränkte Photonen

---

Mit verschränkten Photonen funktioniert das Experiment ähnlich, aber kommen wir zunächst zu den Eigenschaften von verschränkten Photonen:

• Nach der Messung der Polarisation eines Photons besitzt das andere Photon die gleiche Polarisation. Es kommen also bei gleichem Filter entweder beide durch oder keins durch.
• Dies gilt allerdings nur, wenn beide Male entweder horizontal/vertikal oder diagonal gemessen wird. Misst man bei einem Photon also eine horizontale Polarisierung und beim zweiten Photon eine schräge Polarisierung, so kann man keine Aussage über die weitere Polarisierung des Photons machen. Das zweite Photon ist dann zufällig mit 50% Wahrscheinlichkeit entweder horizontal oder vertikal polarisiert.

Nun erhalten Alice und Bob ihre Photonen aus einer Quelle und messen sie, jeweils bei sich. Haben sie genügend Photonen erhalten, vergleichen sie wieder über einen ungesicherten Kanal ihre jeweiligen Stellungen. Dabei gibt es genau drei Möglichkeiten:

1. Ihre Filter waren genau gleich eingestellt. Dann kennen sie jeweils den Zustand des anderen Photons (0 oder 1) und können diese Bits zur Kodierung benutzen.
2. Da bei bestimmten Winkeln (um 22,5°) die sogenannte Bellsche Ungleichung am stärksten verletzt wird, ist dort eine Überprüfung auf die Bellsche Ungleichung möglich
3. Die restlichen Ergebnisse enthalten keine weiteren verwertbaren Informationen.

Um zu erfahren, ob bei dieser Methode jemand gelauscht hat, überprüft man die Daten der 2. Möglichkeit auf die Verletzung der Bellschen Ungleichung. Ist sie verletzt, waren die Photonen verschränkt und die Kommunikation wurde nicht belauscht.

Geschichte

---

Die Verwendung von Quanteneffekten zum Austausch von One-Time-Pads wurde unter dem Namen "Conjugate Coding" (Konjugierte Codierung) erstmals von Stephen Wiesner in den 1970er-Jahren vorgeschlagen. Die erste Publikation zum Thema wurde 1983 in den Sigact News veröfferntlicht. Charles H. Bennett und Gilles Brassard entwickelten zur gleichen Zeit das erste quantenmechanische Protokoll zur Übertragung von Schlüsseln und publizierten es 1984 unter dem Namen BB84.

1989 wurde von IBM in Yorktown das erste praktische Experiment mit Quantenkryptographie durchgeführt. 1991 konnte das BB84 Protokoll erstmals erfolgreich demonstriert werden, als damit eine Distanz von 32 cm überbrückt wurde. Mittlerweile wurde die Quantenkryptographie schon in den Alpen ausprobiert: Ein Einzelphotonenlichtstrahl wurde durch 23 km Luft von einer Station zur anderen geschickt.

Ende April 2004 wurde zum ersten Mal eine Geldüberweisung mittels Quantenkryptographie gesichert. Das Glasfaserkabel zur Übertragung der verschränkten Photonen war etwa 1.500 m lang und führte von der Bank Austria Creditanstalt durch das Wiener Kanalnetz zum Wiener Rathaus.

Weblinks

---

• http://xqp.physik.uni-muenchen.de/exp/qc/index.html
• http://www.quantenkryptographie.at
• http://www.quantum.at
• http://www.pro-physik.de/Phy/pdfs/ISSART12536DE.PDF - Artikel über Quantenkryptographie (PDF-Format)
• Quantenkryptographie-Systeme der zweiten Generation auf dem Markt

von Telepolis

• Quantenkryptographie - Wissenschaftler konnten ein System herstellen, das nur ein Photon erzeugt
• »Es stellt sich letztlich heraus, dass Information ein wesentlicher Grundbaustein der Welt ist« - Interview mit Prof. Dr. Anton Zeilinger
• Plug&Play mit Quantenkryptografie - schweizer Physikern ist es gelungen, einen Quantencode über eine Distanz von 67 Kilometern zu übermitteln
• Neuer Weltrekord zwischen Zug- und Karwendelspitze - Einem deutsch-englischen Forscherteam ist es gelungen, Nachrichten über eine Entfernung von 23,4 Kilometern abhörsicher zu übertragen
• Bob und Eve tun es im Quantenland - Einsatz von kontinuierlichen Variablen anstatt Q-Bits
• Navajo für alle - Quantenkryptografie wird kommerziell - Militärs und Geheimdienste stehen schon Schlange
• Beam Your Money! - Weltweit erste Demonstration einer "abhörsicheren" Banküberweisung mittels Quantenkryptographie in Wien

Quellen

---

• Dagmar Bruß: Quanteninformation. Fischer Taschenbuch Verlag, Frankfurt am Main 2003, ISBN 3-596-15563-0
• Matthias Homeister: Quantum Computing verstehen. Vieweg, Wiesbaden 2005, ISBN 3-528-05921-4

Kryptologie | Quanteninformatik

Kvantová kryptografie | Quantum cryptography | Criptografía cuántica | Cryptographie quantique | Crittografia quantistica | 量子暗号 | Kryptologia kwantowa | Criptare cuantică | Квантовая криптография | Kvantkryptering | Mật mã lượng tử