Einleitung Quantenkryptografie

Bitte beachten Sie die Abgrenzungen zwischen Quantenkryptologie, Quantenkryptografie, Quantenkryptoanalyse und Post-Quanten-Kryptografie, wie sie auf der Index-Seite nachzulesen ist.

Als Quantenkryptologie werden - wie auch in der klassischen Kryptologie - die Verfahrung zum Verschlüsseln (bzw. zur Schlüsselgenerierung), also Quantenkryptografie, und zur analytischen Entschlüsselung (ohne Schlüssel) , also Quantenkryptoanalyse, zusammengefasst, die sich quantenmechanische Effekte zunutze machen.

Die Quantenkryptografie betrachtet also nur den Aspekt des Verschlüsseln mithilfe der Quantenphysik.

Man könnte zwar theoretisch den gesamten Datenverkehr mittels einer langen Reihe quantenmechanisch generierter Zufallszahlen verknüpfen, z. B. mit XOR wie es beim One Time Pad-Verfahren gemacht wird, doch ist die Generierung der quantenmechanischen Effekte, wie zum Beispiel das Verschränken von Photonen, relativ aufwendig. Deswegen ist die Generierungs-Bandbreite meistens limitiert bzw. es wird teurer, mehr quantenmechanische Effekte in gleichem Zeitraum zu erzeugen.

Quantenschlüsselaustausch

Aus diesem Grund wird nur ein im Vergleich zum Klartext relativ kurzer Schlüssel erzeugt und dieser an beide Parteien, also Nachrichtensender und -empfänger übertragen bzw. es werden Protokolle angewendet, so dass nach Durchführung der Verfahren ein gleichlautender Schlüssel beim Sender als auch beim Empfänger vorliegt.

Quantenmechanische, also physikalische Gesetze sorgen dafür, dass sich zum Beispiel bei Photonenverschränkung niemand in die Nachrichtenübertragung einklinken kann, um mitzuhören. Dies würde sofort auffallen, weil die Messung eines quantenmechanischen Zustands diesen aktiv festlegt, dessen Unschärfe zerstört und damit unbrauchbar macht. Und zwar auf beiden Seiten der verschränkten Photonen.

So kann sichergestellt werden, dass die Photonen, die beim Empfänger angekommen und gemessen werden (und zu dem beim Sender verbliebenen damit verschränkten Photonen im Zustand übereinstimmen), auch tatsächlich vom Sender stammen und nicht etwa durch einen Man in the middle, der sich zwischengeschaltet hat, abgehört und kopiert wurden. (1, 2, 3, 4, 5, 6, 7)

Die Verfahren zur Schlüsselgenerierung und Verteilung werden auch Quantenschlüsselaustausch oder Quantum Key Distribution, kurz QKD genannt.

Die Verschlüsselung der eigentlichen Payload (Nutzlast), also des Klartextes, geschieht dann symmetrisch mit dem generierten und auf beiden Seiten vorliegenden, sicheren Schlüssel, was sehr viel schneller geht und ressourcenschonender ist.

Ähnlich geht man auch in den klassischen asymmetrischen Verfahren vor, zum Beispiel bei HTTPS und RSA: die komplexeren und zeitaufwänderigen Berechnungen werden nur für die Vereinbarung eines gemeinsamen Schlüssels verwendet. Der Klartext selbst wird dann mittels klassischer, symmetrischen Kryptografie wie z. B. AES verschlüsselt.

Gegen quantenkryptoanalytische Angriffe sind die klassischen symmetrischen Verfahren relativ stabil. Es gilt, dass die Geschwindigkeitsvorteile der Kryptoanalyse mit Quantencomputern durch eine Verdoppelung der Schlüssellänge ausgeglichen wird. Benutzt man also AES-256 statt AES-128 bleibt man weiterhin auf der sicheren Seite, auch bezüglich Quantencomputer.

Gegen klassische, asymmetrische Verfahren wie RSA allerdings gibt es sehr effektive Angriffe (zur Zeit eher noch nur in der Theorie), um diese mit Quantencomputern zu brechen. Mehr dazu unter Quantenkryptoanalyse.

Sicherheit, Vor- und Nachteile

Sozusagen Quanteneffekte gegen Quanteneffekte gegeneinander auszuspielen und mit Quantenkryptografie der Quantenkryptoanalyse entgegenzuwirken und klassische asymmetrische Verfahren wie RSA durch auch in Zukunft sichere Quantenschlüsselaustausch-Verfahren wie mit verschränkten Photonen zu ersetzen, kann darum sinnvoll sein bzw. ist erste Wahl, wenn es nicht aufs Geld ankommt und die Sicherheit erste Priorität hat. Denn die technische Ausrüstung zur QKD kostet heute (Stand 2024/2025) noch einen mindestens sechsstellige Euro-Betrag.

Günstiger, wenn vielleicht auch nicht so sicher wie echte Quantenkryptografie zur Schlüsselgenerierung mit anschließender symmetrischer Verschlüsselung, sind die Verfahren der Post-Quanten-Kryptografie. Diese setzen klassische Computer ein mit Verfahren, die gegen Quantenkryptoanalyse gehärtet sind, ein Quantencomputer also keine oder nur geringe Vorteile hat, die Verschlüsselung zu brechen.

Die Vorteile von Funk, also das Versenden und Empfangen elektromagnetischen Wellen durch die Luft, z. B. das problemlose Erreichen von Schiffen und sich bewegenden Fahrzeugen fallen größtenteils weg. Beim Versenden von Photonen ist eine Glasfaserleitung erste Wahl. Auch wenn eine Übertragung per Laser durch die Luft generell möglich ist, ist diese schwieriger, denn in der Atmosphäre könnten die Quantenzustände (z. B. die Polarität der Photonen) durch Interaktion mit anderen Teilchen verändert und die Nachricht dadurch unlesbar werden.

Ablauf einer Verschlüsselung unter Zuhilfenahme von Quantenschlüsselaustausch (QKD)






Der direkte Schlüsselaustausch zwischen Sender und Empfänger benötigt folgendes Equipment:

Auf Seiten des Senders: Zwischen Sender und Empfänger: Auf Seiten des Empfängers:

Der Ablauf einer quantengesicherten Verschlüsselung ist der folgende:

A. Quantenschlüsselaustausch: B. Verschlüsselung und Entschlüsselung mit dem auf beiden Seiten vorliegenden Schlüssel: Dem Empfänger wurden die Nutzdaten nur für ihn lesbar zugestellt. Während der Quantenschlüsselaustausch beweisbar und bei richtiger Anwendung aufgrund physikalischer Gesetze absolut sicher ist, liegt für die Verschlüsselung mit dem symmetrischen Verfahren die jeweils tagesaktuelle Sicherheit vor. AES-256 gilt derzeit und in naher Zukunft als sicher genug und bietet aufgrund seiner symmetrischen Natur auch genügend Schutz gegen zukünftige Quantenkryptoanalyse.

Hohe Sicherheit beim Quantenschlüsselaustausch erhält man, wenn man den Schlüssel für jede Datei neu generiert. Um Kosten zu sparen, kann ein Schlüssel zwischen dem gleichen Sender und Empfänger vielleicht auch nur in bestimmten Zeitintervallen ausgetauscht werden, was allerdings die Sicherheit herabsetzt.

Absolute Sicherheit kann nur erreicht werden, wenn auch die winzigen Unsicherheiten des symmetrischen Verfahrens eliminiert werden, indem man einen so langen Quantenschlüssel erzeugt, wie die Nutzdaten lang sind. Dies kommt dann dem One Time Pad-Verfahren gleich, das mathematisch beweisbar absolut sicher ist, solange ein Schlüssel nur einmalig verwendet wird. Zudem ist der Quantenschlüsselaustausch absolut sicher. Auf der anderen Seite steht der Aufwand und damit die Kosten, so lange Quantenschlüssel zu erzeugen. Diese Kosten sind abhängig von der Größe der Nutzdaten.

Es ist darauf zu achten, dass die Photonen- Erzeuger und Detektoren vor Zugriff von außen geschützt werden. Eine direkte Glasfaser-Verbindung für die Quantenkommunikation zwischen Sender und Empfänger kann mit heutiger Technologie ungefähr 100 km, maximal 200 km überbrücken.

Je länger die Glasfaserleitung ist, desto höher ist die Dämpfung ("Attenuation") und die Qualität der Signale wird schlechter. Das heißt auch: je länger die Leitung ist, desto geringer ist die Schlüsselbitgenerierungsrate ("Secret Key Rate", SKR). Außerdem hängt die Rate von der Güte des Einzel-Photonen-Detektors ("Single Photon Detector", SPD) ab, die man als Detektionseffizienz ("Detection efficiency") bezeichnet. Je besser der SPD und je höher dessen Effizienz ist, desto mehr Photonen können korrekt erkannt und zur Schlüsselgenerierung verwendet werden. Heutiger Stand der Technik (2024/2025) sind Schlüsselbitgenerierungsraten im dreistelligen Kilobit bis zweistelligen Megabit pro Sekunde - Bereich.

Die maximalem, noch sinnvolle Entfernung der Glasfaserleitung zwischen Sender und Empfänger, also des Quantenkanals, liegt derzeit also bei etwa 100 km, maximal um die 200 km.

Sind weitere Entfernungen zu überwinden, so muss man so etwas wie ein "Repeater" zwischenschalten, die den Schlüssel - sehr vereinfacht gesagt - kopieren und weiterleiten. Diese "Repeater"-Stationen müssen ebenfalls vor Zugriff von außen geschützt werden.

Arten von quantenkryptografischen Verfahren

Zur Zeit existieren zwei Arten von Verfahren für den Quantenschlüsselaustausch.

Die erste Art nutzt einzelne Photonen zur Übertragung, dessen Quantenzustand durch polarisiertes Licht festgelegt wird. Aufgrund des No-Cloning-Theorems kann ein Angreifer ("Man in the Middle") die Photonen nicht kopieren, denn dies würde an Änderungen im Messergebnis erkannt werden. Ein klassischer Vertreter dieser Art ist das sogenannte BB84-Protokoll. Die oben auf den Fotos von Keequant gezeigte Anlage folgt diesem Prinzip.

Die zweite Art nutzt Photonenpaare, die in sich verschränkte Quantenzustände zueinander aufweisen. Hier trägt jeder der zwei Paarhälften einen unbestimmten, also unbekannten, Zustand, der erst mit einer Messung festgelegt wird und dann gleichzeitig auf beiden Seiten (sogenannte "spukhafte Fernwirkung"). Jede vorhergehende Messung, auch eine durch einen Angreifer zwischen Sender und Empfänger, legt den Zustand für beide Hälften fest, was auf der Empfängerseite auffallen würde. Die oben auf den Fotos von Quantum Optics gezeigte Anlage ELVIS folgt diesem Prinzip.



Quellen, Literaturverweise und weiterführende Links

Meinen Dank an Dr. Kevin Füchsel und Dr. Oliver de Vries von Quantum Optics Jena, Imran Khan von Keequant aus Fürth und Florian Fröwis von ID Quantique aus Genf, die mir auf der it-sa Messe in Nürnberg in Interviews Rede und Antwort gestanden haben und auf der auch die Fotos in diesem Artikel entstanden sind.