Was ist ein Quantenkryptographie?


Die Quantenkryptografie verwendet quantenmechanische Effekte für kryptografische Verfahren, also zur Verschlüsselung von Nachrichten. Die Quantenmechanik wurde als physikalische Theorie ab Mitte der 1920er Jahre entwickelt, bekannte mit dem Thema befasste Physiker waren unter anderem Werner Heisenberg, Max Born, Erwin Schrödinger und Pascual Jordan. Grundsätzlich sind mit dieser Theorie Gesetzmäßigkeiten von Atomen und noch kleineren Teilchen besser als mit der klassischen Physik erklärbar. Inzwischen basiert darauf der Quantenschlüsselaustausch, der wiederum die Grundlage für die Quantenkryptografie ist.



Vorteile gegenüber der klassischen Kryptografie

Mit der Quantenkryptografie lassen sich Verschlüsselungsverfahren entwickeln, die ohne sie unmöglich sind. So kann beispielsweise in einem auf diese Weise verschlüsselten Kanal ein Abhörversuch entdeckt werden. Dieser beeinflusst nämlich die Daten auf Quantenebene (also auf der Ebene der gemessenen Atome und kleinerer Elementarteilchen), der Einfluss ist durch Quantenverfahren messbar. Aktuell geht es um die abhörsichere Online-Kommunikation.


Ein österreichisches Forscherteam schaffte Ende 2018 auf diesem Gebiet einen Durchbruch: Dem Wiener Team vom Institut für Quantenoptik (Gesamtleitung: Dr. Rupert Ursin) gelang es erstmals, vier Teilnehmer per Quantenverschlüsselung online abhörsicher zu verbinden. Bislang war das mit maximal zwei Teilnehmern möglich gewesen.


Die Quantenkryptografie wäre damit das Mittel der Wahl für abhörsichere Konferenzschaltungen, wenn sich dieser Teilnehmerkreis noch weiter vergrößern lässt. Die Netzwerkarchitektur beschrieben die österreichischen Wissenschaftler im Dezember 2018 im Fachblatt Nature. Sie verwiesen schon darauf, dass sich der Teilnehmerkreis wahrscheinlich relativ einfach erweitern lässt. Mit klassischer Kryptografie ist nach gegenwärtigem Erkenntnisstand (Mitte 2019) grundsätzlich keine absolut abhörsichere Kommunikation möglich. Moderne Computer eines Angreifers sind bei ausreichender Rechenleistung in der Lage, früher oder später jeden klassischen Schlüssel zu knacken – manchmal in Minuten oder gar Sekunden.

Wie funktioniert die Quantenkryptografie?

Ihre theoretische Grundlage ist das durch die Quantenphysik beschriebene Phänomen, dass zwei Teilchen zunächst in einen gemeinsamen Zustand übergehen können (zum Beispiel durch Erwärmung, elektrische Aufladung etc.) und diesen dann auch nach ihrer Trennung – selbst über große Entfernungen – beibehalten.


Diese Erklärung ist zugegebenermaßen etwas populärwissenschaftlich gehalten, die physikalische Wahrheit ist deutlich komplexer. Ein wichtiges Paradigma ist beispielsweise der Dualcharakter Teilchen-Welle, der auch Licht und elektromagnetische Impulse betrifft (wir erinnern uns an den Physikunterricht Klasse 12). Wenn nun die Teilchen ihre Eigenschaften, wie etwa die Schwingungsrichtung, korrespondierend ausrichten, so ändern sie diese auch gemeinsam – selbst nach der Trennung. Diese Eigenschaft lässt sich nutzen, um einen abhörsicheren Schlüssel beim Sender einer Nachricht und deren Empfänger gleichzeitig zu erzeugen. Zu diesem Zweck werden lediglich einzelne Photonen (Lichtteilchen) ausgetauscht. Den Schlüssel kann ein Lauscher nicht abfangen, weil er ihn damit ändert. Das besagen die Gesetze der Quantenphysik: Der Quantenzustand eines Photons ist nicht fehlerlos kopierbar. Also wird der Abfangversuch gemessen (siehe oben), mithin der Lauscher entdeckt, was einen Algorithmus automatisch zur Änderung des Schlüssels veranlasst (in Sekundenbruchteilen). Die Teilnehmer der Kommunikation müssen gar nicht gewarnt werden.

Probleme und Lösungsansätze der Quantenkryptografie

Anlagen auf der Basis von Quantenphysik sind hochkomplex, sie stecken noch in den Kinderschuhen. Neben Verschlüsselungsverfahren gibt es beispielsweise auch Quantencomputer, die echte Supercomputer, aber mit Stand 2019 noch nicht praktikabel einsetzbar sind (zu groß, zu teuer etc.). Auch an der Quantenkryptografie wird eifrig geforscht. Bisher schaffte man damit nur die Verschlüsselung von Leitungen zwischen zwei Teilnehmern, weitere Verbindungen wurden sehr kompliziert und fehleranfällig, außerdem führten sie zu Kommunikationseinschränkungen. Das österreichische Team nutzte als innovativen Ansatz für die vier Teilnehmer eine zentrale Quelle, aus der sogenannte verschränkte Photonen auf die Reise geschickt wurden. Das klappte, auf allen vier Leitungen entstanden wirklich abhörsichere kryptografische Verschlüsselungen. Die Architektur ist flexibel, schon mit minimalen Eingriffen lässt sich laut Dr. Ursin der Teilnehmerkreis erweitern.

Wie lange wird an der Quantenkryptografie schon geforscht?

Der Quantenschlüsselaustausch wurde bereits in den 1970er Jahren durch den US-amerikanischen Physiker Stephen J. Wiesner theoretisch beschrieben. Seine Theorie war aber so komplex und erschien Wiesner selbst so unausgereift, dass er sie erst 1983 veröffentlichte.


Seine Kollegen Gilles Brassard und Charles H. Bennett stellten dann darauf basierend 1984 mit BB84 das erste Quantenschlüsselaustauschprotokoll vor. Es griff zunächst die Grundlage jedes Schlüsselaustauschprotokolls auf: Zwei Parteien einigen sich auf einen geheimen Schlüssel, eine feindliche, die Nachricht abfangende Partei kann diese ohne Schlüssel nicht lesen.


Das funktioniert schon seit grauen Vorzeiten so: Die alten Ägypter überbrachten sich in Stein gehauene oder auf Papyrus geschriebene verschlüsselte Nachrichten, nachdem zuvor ein Bote den Schlüssel an den Empfänger übergeben hatte. Wenn der Bote nicht sicher angekommen war, musste man davon ausgehen, dass der Schlüssel dem Feind in die Hände gefallen war, es wurde also ein neuer Schlüssel kreiert und erneut ein Bote losgeschickt.


Das Problem besteht darin, dass die Schlüssel einer bestimmten Logik folgen, die sich mit etwas Mühe und Rechenkunst herausfinden lässt. Das prominenteste Beispiel so einer Entschlüsselung war die Berechnung des Enigma-Codes, den die deutsche Wehrmacht im Zweiten Weltkrieg verwendet hatte und der nach dem damaligen Stand der Technik und Mathematik als unknackbar galt. Nachdem aber Teile des Schlüssels durch alliierte Spione entwendet worden waren, konnte der 27-jährige polnische Mathematiker Marian Rejewski den gesamten Schlüssel mit sehr innovativen Methoden knacken – eine kriegsentscheidende Leistung.


Diese oft zitierte Enigma-Entschlüsselung gilt bis heute als neuzeitlicher Beweis dafür, dass es sichere klassische Kryptografieverfahren nicht gibt. Dennoch greift auch die Quantenkryptografie zunächst das Ursprungsprinzip jeder Verschlüsselung auf: Sender und Empfänger müssen den Schlüssel kennen, der Feind darf ihn aber nicht erhalten. Sollte vermutet werden, dass der Feind über den Schlüssel verfügt, ist dieser unverzüglich auszutauschen. Dieser Austausch ist aber umständlich und basiert immer auf einer Vermutung. Niemand weiß genau, ob der Feind den Schlüssel hat. Bei der Quantenkryptografie wird der feindliche Angriff nun durch die oben beschriebenen Gesetze der Quantenmechanik sofort entdeckt, der Schlüsselaustausch erfolgt automatisch. Das ist die Innovation, die nur möglich ist, weil ganz andere physikalische Gesetze als bei allen früheren Verschlüsselungsverfahren genutzt werden.

Beweise für die Sicherheit der Quantenkryptografie

Während bei der klassischen Kryptografie niemand genau weiß, ob der Gegner schon über den Schlüssel verfügt, lässt sich für das Quantenschlüsselaustauschprotokoll der Nachweis der Sicherheit führen.


Durch die physikalische Veränderung der Photonen bei einem Lauschangriff, die automatisch protokolliert wird, gibt es den Beweis für den Angriff. Daraus wird automatisch der Schlüsselaustausch abgeleitet.


Natürlich haben auch frühere Kryptografen die Schlüssel ausgetauscht, im Falle von Enigma beispielsweise zum Schluss prophylaktisch im 24-Stunden-Takt. Das war freilich umständlich und verursachte immense Zeitverzögerungen, die aufgrund der europa- und nordafrikaweit operierenden Wehrmacht (und anderer Dienste, die Enigma verwendeten) sehr kontraproduktiv wirkten.


Das größte Problem dabei war und ist es auch heute bei klassischer Kryptografie, dass der neue Schlüssel wiederum verschlüsselt zu übermitteln ist, während man nicht weiß, ob der Gegner den vorherigen Schlüssel kennt oder nicht. Der Gegner verfügt über gewisse Ressourcen, die seinen Angriff mehr oder weniger beschränken. Diese Ressourcen sind unbekannt. Daher lässt sich nicht beweisen, ob und wann der Gegner den Schlüssel erlangt und ob und wann er Nachrichten abfängt und entschlüsselt sowie die Informationen in feindseliger Absicht verwendet hat.


So weiß beispielsweise in unseren modernen Zeiten mit digitaler (klassischer) Verschlüsselung niemand, auf welche Rechenleistung der Gegner für seine Entschlüsselungsprogramme zugreifen kann. Das bedeutet: Die Sicherheit eines klassischen Kryptografieprogramms kann weder bewiesen noch widerlegt werden. Die Sicherheit der Quantenkryptografie hingegen ist eindeutig: Der Angriff wird durch die Messung der Teilchenänderung physikalisch eindeutig identifiziert, der Schlüssel wird blitzschnell ausgetauscht. Damit lässt sich auch der Sicherheitsbeweis antreten, selbst wenn der Gegner (theoretisch) über unbegrenzte Ressourcen verfügt. Das wurde seit dem praktischen Einsatz solcher Programme (experimentell in der Zweier-Kommunikation seit den 1990er Jahren) auch bewiesen.

Quantenkryptografie: Ende des Hackings?

Nach den bislang vorgetragenen Erkenntnissen könnten wir vermuten, dass die Quantenkryptografie, wenn sie demnächst praktikabel (preiswert) überall eingesetzt wird, das Ende des Codeknackens und Hackings bedeuten muss. Die ganze Welt könnte damit aufatmen, denn danach hat sie im wahrsten Sinne des Wortes seit Jahrtausenden gesucht.


Leider müssen wir dieser riesigen und sehr verständlichen Hoffnung einen kleinen Dämpfer verpassen. Es ist theoretisch durchaus möglich, auch eine Quantenverschlüsselung zu knacken. Der Ansatzpunkt sind jene Milli- oder gar Nanosekunden, in denen das Programm den Angriff (durch die Veränderung der Photonen) entdeckt und blitzschnell den Schlüssel wechselt. Wenn sich der Angreifer in dieser winzigen Zeitspanne in die Kommunikation einklinkt, für das Programm wie ein Teilnehmer wirkt und dadurch den neuen Schlüssel erhält, kann er künftig unbemerkt mitlesen oder -hören. Er gilt dann für das Programm nicht mehr als Angreifer.


So ein Szenario ist auch bei der klassischen Kryptografie und beim Virenbefall von Computern als Man-in-the-Middle-Angriff bekannt. Natürlich gäbe es Gegenmaßnahmen, so die fortlaufende Identifikation der legalen Teilnehmer, doch wenn sich von diesen jemand zeitweise ausklinkt, entstünde eine winzige Kommunikationspause, die der Angreifer – bis zu diesem Zeitpunkt als Schläfer inaktiv und daher auch unbemerkt – zum Auslesen der bisherigen Kommunikation nutzt. All das würden sehr leistungsfähige Computer erledigen. Es sind auch sehr theoretische Szenarien, auf die dennoch hingewiesen werden soll. Eine alte Weisheit der Kryptografen besagt, dass es leider noch nie einen Code gab, der nicht irgendwann geknackt wurde.

Zusammenfassung zur Quantenkryptografie

Die Quantenkryptografie ist nach derzeitigem Erkenntnisstand das modernste und – wiederum nach derzeitigem Erkenntnisstand – ein noch nicht zu überwindendes Verschlüsselungsverfahren. Daher dürften wir wahrscheinlich nach der flächendeckenden Einführung der Quantenkryptografie wirklich für längere Zeit aufatmen. Zumindestens, Stand jetzt ...

Quellen und Verweise

  • c't 15 vom 6.7.2019 - Sichere Schlüssel vom Satelliten - Europa baut Quantenkommunikation auf, S. 72-73
  • c't 03 vom 18.1.2020 - Die Superverschlüsselung - QuNET-Projekt baut Quantenkommunikation auf, S. 130-133


Artikel vom 26.01.2020.

Das könnte dich auch interessieren: