Sichere Verschlüsselung: Wie Quanten unsere Geheimnisse schützen

Die Quantenphysik bietet zumindest theoretisch einen Weg, Nachrichten sicher zu verschlüsseln – in der Praxis ergeben sich trotzdem Sicherheitslücken. Ein neues Verfahren kann diese nun schließen.

von Nicolas Sangouard

Ein erleuchteter Schlüssel, wie ein Atom von Elektronen umwabert, vor aus Zahlen bestehendem Hintergeundwie ein Ato — © ArtemisDiana / stock.adobe.com (Ausschnitt)
Es gibt »die« perfekte Verschlüsselung: Doch dafür muss es gelingen, einen Schlüssel sicher auszutauschen. Eine Möglichkeit bieten Quanten.

Seit Jahrtausenden stellen sich Herrscher und Militärs eine Frage, die über Sieg oder Niederlage entscheiden kann: Wie lässt sich ein Geheimnis über weite Distanzen hinweg sicher übermitteln? In der Vergangenheit betrafen solche Überlegungen hauptsächlich diplomatische Nachrichten und militärische Befehle. Im heutigen Informationszeitalter sehen sich jedoch alle mit diesem Problem konfrontiert – schließlich sollten persönliche Informationen wie Gesundheitsdaten oder finanzielle Transaktionen geschützt sein.

Die Geschichte zeigt, dass es Menschen bei der Entwicklung von Lösungen nicht an Fantasie mangelt. Es gibt zahlreiche Beispiele für Verschlüsselungstechniken wie die Cäsar-Chiffre (durch Verschieben der Buchstaben des Alphabets) oder die Enigma-Maschine, welche die deutsche Armee im Zweiten Weltkrieg genutzt hat. Die Geschichte lehrt uns aber auch, dass keine dieser Methoden unfehlbar ist. Selbst die für ihre Zeit hochkomplexen Nachrichten von Enigma wurden dank des Teams um den Mathematiker Alan Turing entschlüsselt.

Die Kryptografie ist ein Katz-und-Maus-Spiel. Je ausgefeilter die Angriffsmethoden, desto stärker werden die Verschlüsselungstechniken – aber letztlich werden sie immer geknackt. Um aus diesem Teufelskreis auszubrechen, bietet die Quantenphysik einen Ausweg: Sie ermöglicht Verschlüsselungsprotokolle, die nachweislich unangreifbar sind. 2022 haben wir vom Institut für theoretische Physik in Saclay zusammen mit einem Team der University of Oxford erstmals eine sichere Verschlüsselung umgesetzt, die auf dem quantenphysikalischen »Bell-Spiel« beruht. Dieser Ansatz ist so stark, dass die Vertraulichkeit auch dann gewährleistet ist, wenn die genutzten Geräte nicht exakt eingestellt sind und teilweise von einer Person mit bösen Absichten kontrolliert werden.

Die Quantenphysik setzt aber nicht nur neue Verschlüsselungsstandards – zugleich bedroht sie die aktuellen Standards. Die zur Zeit verwendeten Systeme, wie das RSA-Verfahren oder der Diffie-Hellman-Schlüsselaustausch, beruhen auf schwierigen mathematischen Problemen. Bei RSA ist es die Primfaktorzerlegung: Zu einer großen vorgegebenen Zahl muss man die beiden Primzahlen bestimmen, deren Produkt die Zahl ergibt. Mit klassischen Algorithmen lassen sich solche Aufgaben kaum lösen. Allerdings gilt das nicht für Quantenalgorithmen. Der 1994 entwickelte Shor-Quantenalgorithmus kann beispielsweise die Primfaktoren einer großen Zahl effizient berechnen und macht RSA damit verwundbar.

Bedrohung durch Quanten

Für die Nutzung von Quantenalgorithmen sind Quantencomputer unerlässlich. Diese Geräte verwenden quantenphysikalische Konzepte wie Überlagerung und Verschränkung, um Berechnungen durchzuführen, die für herkömmliche Computer nicht möglich sind. Leistungsfähige Exemplare sind zwar noch nicht verfügbar, doch die jüngsten Fortschritte in dem Bereich bedrohen die Kryptografie.

Die Leistung eines Quantencomputers wird unter anderem an der Anzahl der Qubits gemessen, die er enthält. Diese quantenphysikalischen Informationseinheiten sind allerdings sehr empfindlich. Sie verlieren bei der geringsten Störung ihre überlagerten Zustände. Deshalb müssen sie isoliert, gekühlt und vorsichtig behandelt werden. Solche Einschränkungen begrenzen die Entwicklung leistungsfähiger Quantencomputer. Derzeit verfügen die fortschrittlichsten Maschinen über etwa 1000 Qubits, und es ist unklar, wie sich ihre Anzahl deutlich weiter erhöhen lässt.

RSA-Protokoll | Viele digitale Systeme sind durch das RSA-Verfahren geschützt, das auf zwei Schlüsseln fußt: einem öffentlichen (grün), der einem geöffneten Vorhängeschloss ähnelt, und einem privaten (violett), der dem Schlüssel für das Schloss entspricht. Das Schloss kann von jedem angesteuert werden, der Kontakt mit dessen Besitzer aufnehmen möchte. Dafür muss man die Nachricht mit dem Vorhängeschloss verschließen und an die Person schicken. Das Schloss lässt sich nur mit dem dazugehörigen privaten Schlüssel öffnen. Das ganze Verfahren basiert auf einem mathematischen Problem: In vereinfachter Form entspricht das Schloss dem Produkt zweier großer Primzahlen; der private Schlüssel enthält Informationen zu diesen zwei Zahlen. Das Schloss öffnet sich also nur, wenn man die beiden großen Primzahlen findet. Falls die Nachricht von einem Dritten abgefangen wird, wird dieser sie nicht öffnen können, da es extrem schwierig ist, die Primteiler großer Zahlen zu bestimmen.

Wie viele Qubits nötig sind, um das RSA-Verfahren zu knacken, hängt von der verwendeten Technologie ab. Quantencomputer, die auf supraleitenden Schaltkreisen beruhen, würden dafür etwa 20 Millionen Qubits benötigen. Die Zahl sinkt auf 300 000 für robustere »Cat-Qubits«, die aktuell testweise entwickelt werden. Diese Werte lassen sich weiter senken, wenn man über Quantenspeicher verfügt. Das französische Commissariat à l’énergie atomique et aux énergies alternatives (CEA), an dem ich arbeite, sowie andere Labore entwickeln Systeme, mit denen sich die empfindlichen Quantenzustände speichern lassen sollen, ohne sie zu verändern.

Auch wenn Quantencomputer noch nicht existieren, bedrohen sie bereits unsere Privatsphäre. Sensible Daten könnten schon jetzt abgegriffen werden, um sie später mit leistungsfähigen Quantencomputern zu entschlüsseln. Experten arbeiten daher an so genannten Post-Quanten-Verschlüsselungen, die auch den künftigen Rechnern standhalten sollen. Allerdings müssen sich die Methoden erst noch beweisen. Ihre Funktionsweise bleibt der von RSA und Co. ähnlich: Sie beruhen auf einem schwierigen mathematischen Problem – mit dem Risiko, dass eine neue Rechentechnik die Systeme gefährden könnte.

Aber es gibt auch einen anderen Weg, um wirklich zuverlässige Verschlüsselungsmethoden zu entwickeln. Ebenso wie die Bedrohung kommt die Lösung aus der Quantenphysik.

Ein Ausweg durch Quanten

Quantenverschlüsselungen greifen nicht in die Verschlüsselung der Nachricht ein, sondern in den Austausch des Schlüssels, der die Botschaft chiffriert. Die Chiffrierung beruht dabei auf einer klassischen Technik, der Einmalverschlüsselung: Zwei Parteien tauschen einen Schlüssel aus, der nur ihnen bekannt ist und aus einer Folge zufälliger Bits besteht, die so lang ist wie die Nachricht selbst. Der Sender addiert die Bits der Botschaft mit denen des Schlüssels und sendet das Ergebnis an den Empfänger, der die Bits des Schlüssels abzieht und so den Klartext erhält.

Der Begründer der Informationstheorie, der US-Amerikaner Claude Shannon, bewies bereits 1949, dass sich eine solche Einmalverschlüsselung nicht knacken lässt – vorausgesetzt, die Bits des Schlüssels sind zufällig gewählt, geheim und werden nur einmal verwendet. Aber ein Problem bleibt: Wie können Sender und Empfänger den Schlüssel miteinander teilen und dabei sicherstellen, dass er nicht abgefangen wird?

Beispiel für eine Einmalverschlüsselung

1882 beschrieb der Banker und Kryptograf Frank Miller erstmals eine Einmalverschlüsselung. Der Mathematiker Claude Shannon bewies, dass sich dieses Verfahren – sofern es korrekt umgesetzt wird – unmöglich knacken lässt. Das Prinzip ist einfach: Die Nachricht wird durch einen Schlüssel gleicher Länge chiffriert. Im Fall eines binären Codes (der nur aus Nullen und Einsen besteht), muss man die Bits des Texts paarweise mit den Zeichen des Schlüssels addieren (modulo 2). Um ein etwas weniger abstraktes Beispiel zu liefern, kann man das gewöhnliche Alphabet nutzen (und damit die Basis 26, wobei A = 0, B = 1, und so weiter).

Nachricht	S	C	I	E	N	C	E
(in Basis 26)	18	2	8	4	13	2	4
Schlüssel	H	M	O	B	T	A	I
(in Basis 26)	7	12	14	1	19	0	8
Summe	25	14	22	5	32	2	12
(in Basis 26)	25	14	22	5	6	2	12
verschlüsselte Nachricht	Z	O	W	F	G	C	M

Diese Nachricht wird an einen Empfänger gesendet, der ebenfalls über den Schlüssel verfügt. Indem er diesen von der erhaltenen Zeichenfolge abzieht, erhält er den Klartext:

verschlüsselte Nachricht	Z	O	W	F	G	C	M
(in Basis 26)	25	14	22	5	6	2	12
Schlüssel	H	M	O	B	T	A	I
(in Basis 26)	7	12	14	1	19	0	8
Differenz	18	2	8	4	-13	2	4
(in Basis 26)	18	2	8	4	13	2	4
Nachricht	S	C	I	E	N	C	E

Die Schwierigkeit dieser Technik besteht darin, den Schlüssel auszutauschen, ohne dass sie von einem Dritten abgefangen wird.

1984 schlugen Charles Bennett und Gilles Brassard ein quantenphysikalisches Protokoll namens BB84 vor. Die Idee ist folgende: Die erste, üblicherweise Alice genannte Person wählt ein Bit (0 oder 1) und sendet es in Form eines Photons, das sie entweder in die horizontal-vertikale oder in die diagonale Richtung linear polarisiert, an ihren Partner Bob. Den entsprechenden Polarisationsfilter wählt sie zufällig aus und hält ihre Wahl geheim. Bob nutzt ebenfalls einen Filter, um die Polarisation des ankommenden Lichtteilchens zu bestimmen. Der Vorgang wird viele Male wiederholt. Anschließend teilt Bob Alice mit, welche Filter er für jede Messung gewählt hat. Wenn beide denselben Filter genutzt haben, behalten sie das zugehörige Messergebnis und codieren es als Bit – andernfalls verwerfen sie es. Die Folge der so erhaltenen Bits ist bei Alice und Bob gleich. Das ist der Schlüssel der Einmalverschlüsselung.

Der Vorteil des Verfahrens ist, dass ein Angreifer (Charlie) den Schlüssel nicht unbemerkt abhören kann. Fängt er ein Photon ab, muss er dafür eine Orientierung seines Messfilters wählen. Falls diese nicht mit jener von Alice übereinstimmt, kann das Bobs Ergebnis stören. Während des BB84-Protokolls verwenden Alice und Bob bestimmte Bits des Schlüssels, um zu überprüfen, ob sie die gleichen Werte gemessen haben (diese enthüllten Bits werden nicht für die Schlüsselgenerierung verwendet). Sollten sie nicht exakt übereinstimmen, wissen sie, dass möglicherweise ein Angreifer ihre Nachrichten abgefangen hat. Alice und Bob verwerfen dann den gesamten Schlüssel.

Systeme, die auf solchen Protokollen beruhen, werden bereits vermarktet. Sie haben aber einen entscheidenden Nachteil: Die Geräte müssen perfekt kalibriert sein und müssen es während der gesamten Dauer des Schlüsselaustauschs bleiben. Das heißt, dass unter anderem die Filter exakt aufeinander abgestimmt sind; selbst kleine Abweichungen können die Sicherheit des Systems gefährden.

Sichere Kryptografie für die Praxis

1991 schlug Artur Ekert von der University of Oxford ein sicheres Verfahren vor, das nicht von perfekt kalibrierten Geräten abhängt. In diesem E91-Protokoll werden die Messvorrichtungen als Blackbox behandelt. Seine Idee beruht auf einem der merkwürdigsten Phänomene der Quantenphysik: der Verschränkung.

Wenn man zwei verschränkte Quantenteilchen misst, sind die Ergebnisse perfekt aufeinander abgestimmt – und sind trotzdem zufällig. Diese Eigenschaft wird genutzt, um den Schlüssel für die Einmalverschlüsselung auszutauschen. Eine Quelle sendet dabei Paare verschränkter Teilchen aus, von denen eines an Alice und das andere an Bob geht. Beide messen jeweils ihr Quantenteilchen; das Ergebnis definiert den Schlüssel.

Die Grundlagen der Quantenkryptografie | In der Quantenkryptografie nutzt man polarisierte Photonenpaare, um kryptografische Schlüssel auszutauschen. Das Protokoll BB84 lässt sich am einfachsten erklären. Dabei polarisiert Alice ein Photon, indem sie einen von vier Filtern (blau) verwendet, und schickt das Teilchen zu Bob. Um die Polarisation des empfangenen Lichtquants zu bestimmen, wählt Bob einen von zwei Filtern (violett). Alice und Bob vergleichen anschließend die von ihnen genutzten Filter, um einen Schlüssel zu erzeugen (unten). Das Protokoll E91 fußt auf der gleichen Idee, allerdings gibt es in dieser Version eine zentrale Photonenquelle, die verschränkte Photonenpaare an Alice und Bob schickt. In diesem Fall müssen die beiden Personen zwischen je zwei Filtern wählen, um die Polarisation des empfangenen Teilchens zu ermitteln. Falls Alice und Bob den gleichen Filter gewählt haben, stimmen ihre Messergebnisse überein, so dass sie diese als Bit für den Schlüssel nutzen können.

Alle Versuche eines Angreifers, den Austausch abzuhören, werden durch die Regeln der Quantenphysik vereitelt. Falls Charlie ein für Bob bestimmtes Signal abfängt und versucht, ihm ein weiteres Teilchen mit der gleichen Information zu übermitteln, zerstört er die Verschränkung zwischen dem ursprünglichen Quantenpaar. Indem Alice und Bob einige ihrer Bits vergleichen, können sie diesen Korrelationsverlust leicht feststellen. Sie erkennen, dass sie angegriffen werden und verwerfen den kompromittierten Schlüssel.

Die Quanteninformation eines Teilchens kann wegen des so genannten No-Cloning-Theorems nicht auf ein neues System kopiert werden. Damit kann Charlie nicht einfach die Verschränkung duplizieren. Ebenso ist es unmöglich, dass er ein drittes Teilchen mit den Partikeln von Alice und Bob verschränkt: Verschränkung ist ein »monogames« Konzept. Wenn ein Teilchen mit einem anderen Teilchen maximal verschränkt ist, kann man es nicht mit einem dritten verbinden.

Einen Schlüssel erzeugen | Bob notiert die Polarisation jedes Photons und verzeichnet zusätzlich, welche Filter er dabei genutzt hat. Alice teilt ihm mit, welche Filter sie verwendet hat – und damit, welche Bits sie behalten und welche sie verwerfen. Die aufbewahrten Bits definieren den Schlüssel.

Zusammen mit der Einmalverschlüsselung bietet der Quantenschlüsselaustausch (BB84, E91 oder andere Varianten) ein Protokoll, dessen Sicherheit auf den Prinzipien der Quanteninformationstheorie beruht. Es lässt sich beweisen, dass ein solches System wirklich unknackbar ist. Das ist ein wesentlicher Unterschied zur gewöhnlichen und zur Post-Quanten-Kryptografie: Diese Konzepte stützen sich auf Vermutungen, dass die zu Grunde liegenden mathematischen Probleme schwer genug sind.

Das Risiko der Quantenverschlüsselung liegt in der Umsetzung. Insbesondere lauern die Schwachstellen bei den Teilchenquellen und Messgeräten, die Alice und Bob verwenden. Man muss sicherstellen, dass die Quelle tatsächlich verschränkte Teilchen aussendet und dass der Schlüssel nicht abgefangen werden kann, selbst wenn ein Angreifer die Geräte kontrolliert.

An dieser Stelle braucht man das Bell-Spiel. Es prüft, ob sich die Quellen und Detektoren wie erwartet verhalten, ohne im Vorfeld Annahmen darüber zu treffen, wie genau sie funktionieren.

Ein Spiel mit Verschränkung

Zwei Teilchen heißen verschränkt, wenn ihre Eigenschaften stärker korreliert sind, als es die klassische Physik erklären kann. Die Messung vieler Teilchenpaare kann zeigen, ob sie tatsächlich verschränkt sind. Der Ansatz wird durch das Bell-Spiel formalisiert, benannt nach dem nordirischen Theoretiker John Bell, der in den 1960er Jahren die Grenzen der klassischen Physik aufzeigte.

Bei diesem Spiel findet man Elemente, die ich bereits vorgestellt habe: zwei Spieler (Alice und Bob) sowie eine Quelle, die Teilchen aussendet. Das Ziel ist hier aber nicht, einen Schlüssel auszutauschen, sondern die Wahrscheinlichkeit für einen »Gewinn« zu berechnen.

Um zu sehen, wie sich die Verschränkung von den Konzepten der klassischen Physik unterscheidet, kann man sich zunächst eine Quelle vorstellen, die zwei klassische Teilchen aussendet: eines an Alice, das andere an Bob. Beide Spieler haben ein Messgerät, mit dem sie zwei mögliche Fragen beantworten können. Darauf erhalten sie jeweils eine binäre Antwort, eins oder null. Falls die Teilchen beispielsweise Photonen sind, könnten die Fragen lauten: »Ist das Photon vertikal oder horizontal polarisiert?« sowie »Ist das Photon diagonal oder antidiagonal polarisiert?«

Das Bell-Spiel an sich ist sehr allgemein formuliert, es hängt weder von der Art der Teilchen noch von der Funktionsweise der Messgeräte ab. Man bezeichnet die zwei möglichen Fragen einfach als null und eins und die zugehörigen Antworten werden ebenfalls durch null und eins codiert. Beispielsweise können Alice und Bob jeweils die Fragen eins wählen und beide die Antwort null erhalten.

Die Spielregeln sind einfach: Alice und Bob gewinnen eine Runde, falls die Ergebnisse für die zwei Fragen gleich sind – außer, wenn sich beide für die Frage eins entscheiden. In diesem Fall müssen ihre Antworten für einen Sieg unterschiedlich sein. Alice und Bob stellen ihre Frage nach dem Zufallsprinzip. Mit welcher Strategie lässt sich das Spiel mit der größten Wahrscheinlichkeit gewinnen?

Da die Auswahl der Fragen nicht beeinflussbar ist, muss man die Teilchenquelle versuchen so zu wählen, dass Alice und Bob möglichst oft siegen. Beispielsweise könnte man eine Quelle nehmen, die Teilchen produziert, die auf alle Fragen die Antwort eins geben.

In diesem Fall gewinnen Alice und Bob das Spiel immer, es sei denn beide wählen Frage eins, was in etwa 25 Prozent der Fälle geschieht. Die Wahrscheinlichkeit zu siegen beträgt also 75 Prozent. Insgesamt gibt es 16 verschiedene Spielstrategien, aber die Gewinnwahrscheinlichkeit kann maximal bei diesem Wert liegen.

Der Quantensieg

Doch tatsächlich ist es möglich, eine höhere Erfolgsquote zu erzielen, wenn man die Prinzipien der Quantenphysik nutzt. Sendet die Quelle beispielsweise maximal verschränkte Teilchenpaare aus, führt eine geeignete Auswahl der Messgeräte zu einer Gewinnwahrscheinlichkeit von 85 Prozent! Mit klassischen Konzepten lässt sich ein solches Ergebnis nicht erklären.

Eine Gewinnwahrscheinlichkeit von mehr als 75 Prozent belegt die Existenz »nichtlokaler Korrelationen«. Das heißt, die Verbindung zwischen den Teilchen lässt sich nicht durch eine klassische Einstellung der Quelle herleiten. Stattdessen können die verschränkten Teilchen gemeinsam in einem überlagerten Zustand sein, der erst durch eine Messung festgelegt wird. Die natürliche Vorstellung von Lokalität, nach der sich Ursache und Wirkung eines Ereignisses von einem Ort zum anderen im Raum ausbreitet, muss in der Quantenphysik verworfen werden. 2022 erhielten Alain Aspect, John Clauser und Anton Zeilinger den Nobelpreis für Physik, weil sie den nichtlokalen Charakter der Quantenverschränkung in Experimenten nachgewiesen haben. Dabei haben sie während eines Bell-Spiels eine Gewinnwahrscheinlichkeit von mehr als 75 Prozent erzielt.

Neben nichtlokalen Korrelationen kann man mit dem Bell-Spiel auch die verschränkte Natur eines Teilchenpaares bescheinigen. Wenn die Gewinnwahrscheinlichkeit 85 Prozent beträgt, dann sendet die Quelle mit Sicherheit maximal verschränkte Teilchen aus. Damit lässt sich das Spiel verwenden, um die korrekte Funktionsweise von Messgeräten zu prüfen.

Der Trumpf des Bell-Spiels

Nutzt man eine Einmalverschlüsselung und einen durch das Bell-Spiel gesicherten Schlüssel, lässt sich mathematisch beweisen, dass diese Art der Kryptografie sicher ist. Der Beweis hängt dabei nicht von den Details einer bestimmten Quantentheorie ab, sondern ist allgemein gehalten.

Das ist wichtig, denn es ist nicht gesichert, dass die Quantenphysik tatsächlich die ultimative Beschreibung von Teilchen und ihren grundlegenden Wechselwirkungen ist. Daher könnte es sein, dass einige Teile der Theorie geändert werden müssen. Doch das hätte höchstwahrscheinlich nur wenige Auswirkungen auf die Sicherheit der Quantenkryptografie. Beispielsweise würde eine Änderung der Schrödingergleichung zur Einbeziehung von Gravitationseffekten nicht zwangsläufig die Sicherheit eines durch Quantenaustausch gewonnenen Schlüssels gefährden. Prinzipiell sollten Modifikationen der Quantentheorie keine größere Vorhersagekraft verleihen, was einem Angreifer neue Angriffsmöglichkeiten eröffnen würde.

In der Praxis ist wiederum wichtig, dass die Auswahl der Messungen zufällig und unabhängig von der Quelle und den Messgeräten erfolgt. Wenn die von der Quelle emittierten Teilchen die Wahl der Messungen beeinflussen, reichen lokale Korrelationen aus, um das Bell-Spiel systematisch zu gewinnen – und sind somit vom Gegner nutzbar, um die Messergebnisse im Voraus festzulegen.

Zu diesen Grundannahmen kommen bei einem Sicherheitsbeweis weitere Annahmen über die Funktionsweise der Quellen und Messungen hinzu. Beispielsweise geht das Protokoll BB84 davon aus, dass die gemessenen Systeme aus zwei möglichen Zuständen bestehen und dass die Messungen mit genau definierten Filtern durchgeführt werden. Solche Voraussetzungen erleichtern es, einen Sicherheitsnachweis zu erbringen – aber sie führen zu starken Einschränkungen, die sich experimentell nicht immer erfüllen lassen. Wenn man zum Beispiel annimmt, dass die Messfilter bekannt sind, müssen diese perfekt kalibriert sein und sollten während der gesamten Dauer des Quantenschlüsselaustauschs ihre Einstellung beibehalten, was sich kaum bewerkstelligen lässt.

Wenn der Sicherheitsnachweis aber auf dem Bell-Spiel beruht, ist eine Spezifizierung der Funktionsweise von Quelle und Messgeräten nicht nötig – das vereinfacht eine praktische Umsetzung ungemein. Es ist das Bell-Spiel selbst, das ihre ordnungsgemäße Funktion garantiert.

Die zentrale Zutat für die Schlüsselerzeugung besteht darin, zwei maximal verschränkte Teilchen zu messen. Artur Ekert schlug vor, die Verschränkung durch ein Bell-Spiel sicherzustellen. Man spricht von einem durch den Bell-Test zertifizierten Quantenschlüsselaustausch – und allgemeiner von einem geräteunabhängigen Quantenschlüsselaustausch. Für E91 bestimmt das Bell-Spiel die Qualität der Messvorrichtungen: Sollte die Kalibrierung der Geräte oder der Teilchenquelle zu schlecht sein, fällt die Punktzahl im Bell-Spiel zu niedrig aus und die Benutzer wissen, dass das System unzuverlässig ist.

Unter solchen Bedingungen zu arbeiten, ist zwangsläufig aufwändig. Im Vergleich zu Protokollen wie BB84, die stärkere Annahmen über die Funktionsweise und Zuverlässigkeit der Geräte treffen, ist die experimentelle Durchführung bei E91 schwieriger. Man muss eine große Anzahl von Photonenpaaren erzeugen und sehr genau messen, um daraus einen Schlüssel zu konstruieren.

Von der Idee zur Umsetzung

Es dauerte lange, bis der Grundgedanke von Artur Ekert aus dem Jahr 1991 formalisiert wurde. Erst 2014 bewiesen Umesh Vazirani von der University of California in Berkeley und Thomas Vidick, damals am MIT, dass das Protokoll den üblichsten Angriffen standhält. Vier Jahre später verallgemeinerten Thomas Vidick, Renato Renner und ihre Kollegen in Zürich das Ergebnis, indem sie eine gewisse Resistenz gegen experimentelles Rauschen einbezogen.

Die gesamten theoretischen Bemühungen wurden schrittweise optimiert und vereinheitlicht. 2022 führten diese Fortschritte zu einem umfassenden Protokoll – und der ersten praktischen Umsetzung eines Quantenschlüsselaustauschs, der durch den Bell-Test zertifiziert wurde.

Gefangene Ionen

Zusammen mit meinem Kollegen Jean-Daniel Bancal von der CEA habe ich an der Entwicklung dieses Experiments mitgewirkt, das im Clarendon-Labor der University of Oxford stattfand. Das Spezialgebiet der dort ansässigen Forschungsgruppe sind so genannte Ionenfallen. Durch elektrische Felder lassen sich geladene Teilchen wie Ionen (hier Strontium-88) einfangen. Laser kühlen sie auf extrem niedrige Temperaturen. Dann ist es möglich, die Ionen mit Licht anzuregen, woraufhin sie ein einzelnes Photon aussenden. Dadurch wird die Energie des Ions mit der Polarisation des Lichtquants maximal verschränkt.

Wir nutzten zwei Ionenfallen, um zwei verschränkte Ionen-Photon-Zustände zu erzeugen. Dann führten wir die beiden Lichtteilchen durch Wellenleiter in ein Gerät, das eine so genannte Bell-Messung durchführte. Dieser Vorgang führt dazu, dass sich die Verschränkung auf die zwei Ionen überträgt: Sie sind nun miteinander verschränkt, obwohl sie nie direkt interagiert haben.

Oxford-Protokoll | Im Oxford-Protokoll, das 2022 durchgeführt wurde, verwendeten die Fachleute Ionen, die sie in elektrischen Feldern fingen. Alice und Bob regten jeweils ein Ion an, damit dieses ein Photon aussandte, das maximal mit dem Ion verschränkt war. Die beiden Photonen wurden durch eine spezielle Operation gemeinsam gemessen, wodurch sich die Verschränkung der Photonen auf beide Ionen übertrug, auch wenn diese nie direkt in Kontakt standen. Alice und Bob konnten dann die Ionen messen, um Bits miteinander zu teilen, die als Schlüssel und als Bell-Spiel zur Zertifizierung des Systems dienten.

Die Ionen werden dann nach den Regeln des Bell-Spiels registriert. Das Experiment wird oft wiederholt, um die Gewinnwahrscheinlichkeit zu bestimmen. Mit dem Oxford-Team führten wir diese Messungen einige Millionen Mal durch (was wenige Stunden dauerte) und konnten zeigen, dass das Bell-Spiel in 83 Prozent der Fälle gewonnen wird – was nah am quantenmechanisch maximal möglichen Wert von 85 Prozent liegt.

Anschließend erzeugten mit mit Hilfe eines Protokolls einen Schlüssel. Das Verfahren legt fest, wie oft man das Experiment wiederholen, wie häufig man das Bell-Spiel durchführen und wie viele vorläufige Schlüssel man konstruieren muss sowie welche Nachbearbeitungstechniken nötig sind, um daraus eine gewisse Sicherheitsgarantie abzuleiten.

Schließlich haben wir das Experiment mit den berechneten Parametern durchgeführt. Die Datenaufnahme dauerte mehrere Stunden; die Nachbearbeitung nur einige Minuten. Auf diese Weise konnten wir einen Schlüssel mit einer Länge von etwa 100 000 Bit erzeugen. Dieser ist gegen die allgemeinsten Angriffe gewappnet: Die Wahrscheinlichkeit, dass das Protokoll versagt (also dass ein Angreifer unbemerkt Informationen abfängt), war im Vorfeld auf 10^-10 festgelegt. Ein Spion kann demnach lediglich mit einer Wahrscheinlichkeit von 1 zu 10 Milliarden die gesendeten Daten entnehmen.

Aufbau des Experiments | Um das Bell-Spiel umzusetzen, war ein komplizierter experimenteller Aufbau nötig. Der Versuch mit Ionenfallen durchgeführt, für künftige Anwendungen sollten aber Photonen genutzt werden.

Wir haben den auf diese Weise generierten Schlüssel genutzt, um eine Datei mit Hilfe der Einmalverschlüsselung zu ver- und wieder zu entschlüsseln. Die gesendeten Daten waren ein Foto von … John Bell, natürlich!

Auf dem Weg zur kommerziellen Anwendung

Das Experiment ist nur ein erster Schritt. Für einen kommerziellen Einsatz gibt es viele Herausforderungen zu bewältigen. Zunächst einmal sind Ionenfallen teuer sowie schwierig zu implementieren und zu betreiben. Das Forschungsteam in Oxford hat diesen Aufbau gewählt, um grundlegende Versuche durchzuführen – das System ist aber nicht für den industriellen Gebrauch geeignet.

Photonische Systeme lassen sich einfacher verwenden und in ein Kommunikationsnetz integrieren. Zudem ist eine solche Technik deutlich schneller: Im Oxford-Experiment wurde der 100 000-Bit-Schlüssel in knapp zehn Stunden erzeugt, was wenigen Bits pro Sekunde entspricht. Für kommerzielle Anwendungen sind viel höhere Raten nötig. Das langfristige Ziel besteht darin, die Geschwindigkeit von klassischen Systemen zu erreichen, die typischerweise in der Größenordnung von 10¹⁰ Bits pro Sekunde liegen.

Auch auf der theoretischen Seite gibt es noch Herausforderungen. Wir streben eine Sicherheitsnachweis an, der allgemeinsten Angriffen und Photonenverlusten standhält. Denn wenn man die Schlüssel über Hunderte von Kilometern überträgt, verschwinden viele Lichtteilchen aus den Glasfasern. Es werden bereits Strategien untersucht, die diese Verluste eindämmen sollten. Sie beruhen auf Quantennetzwerken, Faser- oder Satellitenverbindungen. Dazu gehört auch die Entwicklung von Quantenspeichern, die eine große Anzahl von Lichtteilchen konservieren können und dabei die Quanteninformation unverfälscht bewahren.

Der Weg zu kommerziellen Systemen ist lang, aber die Mühe lohnt sich. Denn herkömmliche oder sogar Post-Quanten-Verschlüsselungsprotokolle beruhen bloß auf einer vermuteten Sicherheit. Das führt zu einem weiter andauernden Katz-und-Maus-Spiel, bei dem sich Kryptografen und Hacker immer wieder zu übertreffen versuchen. Eine Einmalverschlüsselung kombiniert mit einem Quantenschlüsselaustausch bietet hingegen einen Ausweg aus dem Teufelskreis. Die unumstößlichen Prinzipien der Quanteninformationstheorie gewährleisten in diesem Fall die Sicherheit – unabhängig von technischen Entwicklungen.

Schreiben Sie uns!

Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.

Quellen

Arnon-Friedman, R. et al.: Practical device-independent quantum cryptography via entropy accumulation. Nature Communications 9, 2018 Nadlinger, D. P. et al.: Experimental quantum key distribution certified by Bell's theorem. Nature 607, 2022 Vazirani, U., Vidick, T.: Fully Device-Independent Quantum Key Distribution. Physical Review Letters 116, 2016

Artikel zum Thema

Post-Quanten-Kryptografie: Wie sicher sind unsere Daten vor künftigen Quantenhackern?

Darüber streiten sich aktuell einige Kryptografen. Manche befürchten, der US-Geheimdienst NSA könnte versuchen, künftige Verschlüsselungen zu schwächen.

Die fabelhafte Welt der Mathematik: Wie Quantencomputer eines Tages unsere Verschlüsselungen knacken

Sobald Quantencomputer leistungsfähig genug sind für den Shor-Algorithmus, sind unsere Daten nicht mehr sicher. Der nutzt ein simples Rechenrezept – und einen Quanten-Vorteil.

Doktor Whatson: Quantenkryptografie

Die geballte Rechenpower der Quantencomputer könnte in Zukunft unsere herkömmlichen Methoden der Verschlüsselung zunichtemachen. Das Video erklärt Lösungsansätze.