BB84-Protokoll

Das BB84-Protokoll hat seinen Namen von den beiden Wissenschaftlern Charles H. Bennett und Gilles Brassard, die dieses Verfahren 1984 vorschlugen. Es war damit das erste Quantenkryptographieprotokoll.

Das BB84-Verfahren ist ein Quantenschlüsselaustauschverfahren (Quantum Distribution System, kurz QKD) basierend auf Quantenkryptografie mit polarisiertem Licht. Bei einer fehlerlosen Implementierung ist es nachweislich sicher.

Für das BB84-Protokoll bedarf es zweier Bedingungen. Zum einem die quantenphysikalische, die als No-Cloning-Theorem bezeichnet wird: Ein Informationsgewinn ist nur auf Kosten einer Signalstörung möglich ist, wenn die beiden Zustände, die man unterscheiden möchte, nicht orthogonal sind. Und zweitens wird ein zweiter Datenübertragungs-Kanal benötigt. Die Übertragung muss authentifiziert sein, der Kanal darf dann öffentlich sein (zum Beispiel Internet).

Eine gesamt kryptografisch beweisbar sichere Verschlüsselung ist gegeben, wenn das One Time Pad-Verfahren zusammen mit einem mittels BB84-Protokoll generierten Schlüssels, der mindestens genauso lang ist wie der zu verschlüsselnde Klartext und nur einmal benutzt wird.

Das BB84-QKD-System überträgt einzelne Photonen über ein Glasfaserkabel, wobei jedes Photon ein Datenbit (Null oder Eins) darstellt. Polarisationsfilter auf der Senderseite legen die Ausrichtung jedes Photons fest, während der Empfänger Strahlteiler verwendet, um es zu lesen. Sender und Empfänger vergleichen dann ihre Photonenausrichtungen, wobei der übereinstimmende Satz zum kryptografischen Schlüssel wird.

Diese Verfahren basieren auf der Quantenmechanik und auf einzelnen polarisierten Photonen, die vom Sender (Alice) zum Empfänger (Bob) geschickt werden. Die Polarisation eines einzelnen Photons kann man nur messen, indem man es durch einen Polarisationsfilter schickt.

Dabei gibt es zwei Arten von Filtern: die erste Art, "(+)-Filter", lässt nur vertikal (|) und horizontal (--) polarisierte Photonen durch. Der zweite "(x) Filter" lässt nur diagonal (\ und /) polarisierte Photonen passieren. Wird ein polarisiertes Photon durch den falschen Filter geschickt, bleibt es an der Barriere hängen und wird verschluckt. Ebenso wird es bei der Messung, beim Auftreffen auf den Sensor, verschluckt und zu einem messbaren Impuls (1).

Der Sender generiert im ersten Schritt einen zufälligen Schlüssel, hält diesen aber geheim und überträgt ihn nicht. Dann polarisiert der Sender die Photonen einzeln nacheinander mit einem zufällig gewählten orthogonalen (+, | oder --) oder einem diagonalen (X, \ oder /) Filter. Die so polarisierten Photonen mit dem Zustand /, \, -- oder | schickt er über die Glasfaserleitung. Das wird wiederholt bis genügend Bits zusammen sind.

Dabei ergibt:
0 D / 1 D \ 0 R -- 1 R | 0, 1: Alice geheime Bits D, R: zufällig gewählte Filterart (diagonal (D, X) bzw. orthogonal (R, +)) /, \, --, |: Ergebnis der Verknüpfung von Bit und Filterart
Der Empfänger (Bob) errechnet nun eine eigene zufällige Filterfolge und wendet diese zur Messung den empfangenen Photonen an. Dabei wird er im statistischen Mittel bei 50% der Bits falsch liegen. Zudem werden eventuell einige der Photonen auf dem Weg zu Bob verloren gehen.

Dazu ein Beispiel:



Bob, der Empfänger, schickt nun dann Alice seine Reihenfolge angewandter Filter (R und D bzw. + und X) über die zweite Leitung. Alice vergleicht die von Bob erhaltenen Filter mit den selbst benutzten und geheimen Filtern und sagt Bob, an welche Bitpositionen er den selbe Filter wie Alice benutzt hat. Damit weiß Bob, wo er den richtigen Filter angewandt hat. Daraus ergibt sich, welche Bits Bob richtig errechnet hat. Diese Bits stimmen dann mit denen von Alice überein.

Zur Sicherheit werden nun ein paar hundert Bits stichprobenweise verglichen, indem sich Alice und Bob über Bitpositionen und Inhalt austauschen. Dieser Vergleich dient dazu festzustellen, ob es einen Angreifer gab, der mitgehört hat. Das hätte die Polarisation in durchschnittlich 50% der Bits zerstört und würde jetzt auffallen. Die bekannt gewordenen Bits werden natürlich nicht für den Schlüssel benutzt, da über den öffentlichen Kanal kommuniziert.

Wurde eine Manipulation festgestellt wird der gesamte Bitstrom verworfen und das Verfahren wiederholt. Je nach Güte der Verbindung und der verloren gehenden Photonen können so etwa 25% der übertragenen Photonen als auf beiden Seiten vorhandenen Schlüssel-Bits für eine symmetrische Verschlüsselung benutzt werden.



Quellen, Literaturverweise und weiterführende Links

  1. Wikipedia: BB84-Protokoll
  2. Charles H. Bennett, Gilles Brassard: Quantum cryptography: Public key distribution and coin tossing
  3. Glossar Helmholtz: Quantenzustand
  4. LEIFIphysik: Wesenszüge Quantenphysik, Eindeutige Messergebnisse
  5. Wikipedia: Schrödingers Katze
  6. Wikipedia: Heisenbergsche Unschärferelation
  7. LEIFIphysik: Wesenszüge Quantenphysik, Die Heisenbergsche Unbestimmtheitsrelation
  8. LEIFIphysik: Polarisation von Licht
  9. Wikipedia: Polarisation
  10. Prof. Dr. Harald Weinfurter, Ludwig-Maximilians-Universität München: Überprüfbare Sicherheit durch Quantenschlüsselverteilung (durch Polarisation von Licht)
  11. Wikipedia: BB84-Protokoll