Einleitung Quantenkryptografie
Bitte beachten Sie die Abgrenzungen zwischen Quantenkryptologie, Quantenkryptografie, Quantenkryptoanalyse und Post-Quanten-Kryptografie, wie sie auf der Index-Seite nachzulesen ist.Als Quantenkryptologie werden - wie auch in der klassischen Kryptologie - die Verfahrung zum Verschlüsseln (bzw. zur Schlüsselgenerierung), also Quantenkryptografie, und zur analytischen Entschlüsselung (ohne Schlüssel) , also Quantenkryptoanalyse, zusammengefasst, die sich quantenmechanische Effekte zunutze machen.
Die Quantenkryptografie betrachtet also nur den Aspekt des Verschlüsseln mithilfe der Quantenphysik.
Man könnte zwar theoretisch den gesamten Datenverkehr mittels einer langen Reihe quantenmechanisch generierter Zufallszahlen verknüpfen, z. B. mit XOR wie es beim One Time Pad-Verfahren gemacht wird, doch ist die Generierung der quantenmechanischen Effekte, wie zum Beispiel das Verschränken von Photonen, relativ aufwendig. Deswegen ist die Generierungs-Bandbreite meistens limitiert bzw. es wird teurer, mehr quantenmechanische Effekte in gleichem Zeitraum zu erzeugen.
Quantenschlüsselaustausch
Aus diesem Grund wird nur ein im Vergleich zum Klartext relativ kurzer Schlüssel erzeugt und dieser an beide Parteien, also Nachrichtensender und -empfänger übertragen bzw. es werden Protokolle angewendet, so dass nach Durchführung der Verfahren ein gleichlautender Schlüssel beim Sender als auch beim Empfänger vorliegt.Quantenmechanische, also physikalische Gesetze sorgen dafür, dass sich zum Beispiel bei Photonenverschränkung niemand in die Nachrichtenübertragung einklinken kann, um mitzuhören. Dies würde sofort auffallen, weil die Messung eines quantenmechanischen Zustands diesen aktiv festlegt, dessen Unschärfe zerstört und damit unbrauchbar macht. Und zwar auf beiden Seiten der verschränkten Photonen.
So kann sichergestellt werden, dass die Photonen, die beim Empfänger angekommen und gemessen werden (und zu dem beim Sender verbliebenen damit verschränkten Photonen im Zustand übereinstimmen), auch tatsächlich vom Sender stammen und nicht etwa durch einen Man in the middle, der sich zwischengeschaltet hat, abgehört und kopiert wurden. (1, 2, 3, 4, 5, 6, 7)
Die Verfahren zur Schlüsselgenerierung und Verteilung werden auch Quantenschlüsselaustausch oder Quantum Key Distribution, kurz QKD genannt.
Die Verschlüsselung der eigentlichen Payload (Nutzlast), also des Klartextes, geschieht dann symmetrisch mit dem generierten und auf beiden Seiten vorliegenden, sicheren Schlüssel, was sehr viel schneller geht und ressourcenschonender ist.
Ähnlich geht man auch in den klassischen asymmetrischen Verfahren vor, zum Beispiel bei HTTPS und RSA: die komplexeren und zeitaufwänderigen Berechnungen werden nur für die Vereinbarung eines gemeinsamen Schlüssels verwendet. Der Klartext selbst wird dann mittels klassischer, symmetrischen Kryptografie wie z. B. AES verschlüsselt.
Gegen quantenkryptoanalytische Angriffe sind die klassischen symmetrischen Verfahren relativ stabil. Es gilt, dass die Geschwindigkeitsvorteile der Kryptoanalyse mit Quantencomputern durch eine Verdoppelung der Schlüssellänge ausgeglichen wird. Benutzt man also AES-256 statt AES-128 bleibt man weiterhin auf der sicheren Seite, auch bezüglich Quantencomputer.
Gegen klassische, asymmetrische Verfahren wie RSA allerdings gibt es sehr effektive Angriffe (zur Zeit eher noch nur in der Theorie), um diese mit Quantencomputern zu brechen. Mehr dazu unter Quantenkryptoanalyse.
Sicherheit, Vor- und Nachteile
Sozusagen Quanteneffekte gegen Quanteneffekte gegeneinander auszuspielen und mit Quantenkryptografie der Quantenkryptoanalyse entgegenzuwirken und klassische asymmetrische Verfahren wie RSA durch auch in Zukunft sichere Quantenschlüsselaustausch-Verfahren wie mit verschränkten Photonen zu ersetzen, kann darum sinnvoll sein bzw. ist erste Wahl, wenn es nicht aufs Geld ankommt und die Sicherheit erste Priorität hat. Denn die technische Ausrüstung zur QKD kostet heute (Stand 2024/2025) noch einen mindestens sechsstellige Euro-Betrag.Günstiger, wenn vielleicht auch nicht so sicher wie echte Quantenkryptografie zur Schlüsselgenerierung mit anschließender symmetrischer Verschlüsselung, sind die Verfahren der Post-Quanten-Kryptografie. Diese setzen klassische Computer ein mit Verfahren, die gegen Quantenkryptoanalyse gehärtet sind, ein Quantencomputer also keine oder nur geringe Vorteile hat, die Verschlüsselung zu brechen.
Die Vorteile von Funk, also das Versenden und Empfangen elektromagnetischen Wellen durch die Luft, z. B. das problemlose Erreichen von Schiffen und sich bewegenden Fahrzeugen fallen größtenteils weg. Beim Versenden von Photonen ist eine Glasfaserleitung erste Wahl. Auch wenn eine Übertragung per Laser durch die Luft generell möglich ist, ist diese schwieriger, denn in der Atmosphäre könnten die Quantenzustände (z. B. die Polarität der Photonen) durch Interaktion mit anderen Teilchen verändert und die Nachricht dadurch unlesbar werden.
Ablauf einer Verschlüsselung unter Zuhilfenahme von Quantenschlüsselaustausch (QKD)




Der direkte Schlüsselaustausch zwischen Sender und Empfänger benötigt folgendes Equipment:
Auf Seiten des Senders:
- einen Quantenzustandsgenerator, z. B. durch Erzeugung von verschränkten Photonen.
- ein Quantenzustandsmessgerät, z. B. ein Einzel-Photon-Detektor (single photon detector, SPD), um die verbliebenen Photonen nach Protokoll zu messen.
- ggf. eine Steuerleitung (Ethernet) für das Management des Systems
- eine Glasfaserleitung (Quantenkanal, quantum channel, die jeweils eine Photonenpaarhälfte vom Sender zum Empfänger überträgt.
- eine Ethernet-Leitung (im Foto "Partner") zum Abstimmen zwischen Sender und Empfänger und Durchführung des Protokolls.
- ein Quantenzustandsmessgerät, z. B. ein Einzel-Photon-Detektor (single photon detector, SPD), um die eingehenden Photonen nach Protokoll zu messen.
- ggf. eine Ethernet-Leitung für das Management des Systems
Der Ablauf einer quantengesicherten Verschlüsselung ist der folgende:
A. Quantenschlüsselaustausch:
- Der Sender erzeugt ein verschränktes Photonenpaar
- Ein Photon des Photonenpaars wird beim Sender belassen und das andere Paarteil über eine Glasfaserleitung (Quantenkanal, quantum channel) an den Empfänger geschickt.
- Über den Protokollkanal wird ausgehandelt, welche Photonen in den quantengenerierten Schlüssel eingehen. Dies erzeugt im Idealfall jeweils ein Schlüsselbit pro Photon.
- Die oberen Punkte werden solange wiederholt, bis genügend Schlüssel-Bits zusammengekommen sind, z. B. 256 für AES-256.
- Der 256 Bit lange Schlüssel, der am Schluss abhör- und fälschungssicher zwischen Sender und Empfänger übertragen bzw. ausgehandelt wurde (je nach Protokoll) liegt bei Sender als auch Empfänger bitgleich vor.
- Mithilfe des Schlüssels wird ein hinreichend sicheres klassisches symmetrisches Verschlüsselungsverfahren wie etwas AES-256 verwendet, um die eigentlich zu übertragenden Daten (die Nutzdaten, "Payload") zu verschlüsseln, woraus ein unlesbares Chiffrat resultiert.
- Das Chiffrat wird über eine weiteren Kanal wie das Internet an den Empfänger übertragen. Dieser muss nicht sicher sein.
- Der Empfänger, dem der Schlüssel als Einzigem ebenfalls vorliegt, kann damit das Chiffrat entschlüsseln und erhält so wieder die ursprünglichen Daten (Klartext).
Hohe Sicherheit beim Quantenschlüsselaustausch erhält man, wenn man den Schlüssel für jede Datei neu generiert. Um Kosten zu sparen, kann ein Schlüssel zwischen dem gleichen Sender und Empfänger vielleicht auch nur in bestimmten Zeitintervallen ausgetauscht werden, was allerdings die Sicherheit herabsetzt.
Absolute Sicherheit kann nur erreicht werden, wenn auch die winzigen Unsicherheiten des symmetrischen Verfahrens eliminiert werden, indem man einen so langen Quantenschlüssel erzeugt, wie die Nutzdaten lang sind. Dies kommt dann dem One Time Pad-Verfahren gleich, das mathematisch beweisbar absolut sicher ist, solange ein Schlüssel nur einmalig verwendet wird. Zudem ist der Quantenschlüsselaustausch absolut sicher. Auf der anderen Seite steht der Aufwand und damit die Kosten, so lange Quantenschlüssel zu erzeugen. Diese Kosten sind abhängig von der Größe der Nutzdaten.
Es ist darauf zu achten, dass die Photonen- Erzeuger und Detektoren vor Zugriff von außen geschützt werden. Eine direkte Glasfaser-Verbindung für die Quantenkommunikation zwischen Sender und Empfänger kann mit heutiger Technologie ungefähr 100 km, maximal 200 km überbrücken.
Je länger die Glasfaserleitung ist, desto höher ist die Dämpfung ("Attenuation") und die Qualität der Signale wird schlechter. Das heißt auch: je länger die Leitung ist, desto geringer ist die Schlüsselbitgenerierungsrate ("Secret Key Rate", SKR). Außerdem hängt die Rate von der Güte des Einzel-Photonen-Detektors ("Single Photon Detector", SPD) ab, die man als Detektionseffizienz ("Detection efficiency") bezeichnet. Je besser der SPD und je höher dessen Effizienz ist, desto mehr Photonen können korrekt erkannt und zur Schlüsselgenerierung verwendet werden. Heutiger Stand der Technik (2024/2025) sind Schlüsselbitgenerierungsraten im dreistelligen Kilobit bis zweistelligen Megabit pro Sekunde - Bereich.
Die maximalem, noch sinnvolle Entfernung der Glasfaserleitung zwischen Sender und Empfänger, also des Quantenkanals, liegt derzeit also bei etwa 100 km, maximal um die 200 km.
Sind weitere Entfernungen zu überwinden, so muss man so etwas wie ein "Repeater" zwischenschalten, die den Schlüssel - sehr vereinfacht gesagt - kopieren und weiterleiten. Diese "Repeater"-Stationen müssen ebenfalls vor Zugriff von außen geschützt werden.
Arten von quantenkryptografischen Verfahren
Zur Zeit existieren zwei Arten von Verfahren für den Quantenschlüsselaustausch.Die erste Art nutzt einzelne Photonen zur Übertragung, dessen Quantenzustand durch polarisiertes Licht festgelegt wird. Aufgrund des No-Cloning-Theorems kann ein Angreifer ("Man in the Middle") die Photonen nicht kopieren, denn dies würde an Änderungen im Messergebnis erkannt werden. Ein klassischer Vertreter dieser Art ist das sogenannte BB84-Protokoll. Die oben auf den Fotos von Keequant gezeigte Anlage folgt diesem Prinzip.
Die zweite Art nutzt Photonenpaare, die in sich verschränkte Quantenzustände zueinander aufweisen. Hier trägt jeder der zwei Paarhälften einen unbestimmten, also unbekannten, Zustand, der erst mit einer Messung festgelegt wird und dann gleichzeitig auf beiden Seiten (sogenannte "spukhafte Fernwirkung"). Jede vorhergehende Messung, auch eine durch einen Angreifer zwischen Sender und Empfänger, legt den Zustand für beide Hälften fest, was auf der Empfängerseite auffallen würde. Die oben auf den Fotos von Quantum Optics gezeigte Anlage ELVIS folgt diesem Prinzip.
Quellen, Literaturverweise und weiterführende Links
Meinen Dank an Dr. Kevin Füchsel und Dr. Oliver de Vries von Quantum Optics Jena, Imran Khan von Keequant aus Fürth und Florian Fröwis von ID Quantique aus Genf, die mir auf der it-sa Messe in Nürnberg in Interviews Rede und Antwort gestanden haben und auf der auch die Fotos in diesem Artikel entstanden sind.