Quantenkryptografie mit verschränkten Photonen

Zur Quantenkryptografie können einfache Photonen eingesetzt werden. Oder eben Photonenpaare, die miteinander verschränkt werden.

Bei der Methode mit den einfachen Photonen wird nur eine Abfolge von Photonen erzeugt, der beim Sender zum Beispiel wie beim BB84-Protokoll polarisiert und dann zum Empfänger weitergeleitet wird. Der Empfänger schickt die Photonen dann durch Filter, die ihm teilweise Aufschluss über die Polarisation gibt. Durch Abstimmung von Sender und Empfänger können dann gemeinsame Ergebnisse zur Quantenschlüssel-Erzeugung herangezogen werden.

Bei der Methode mit verschränkten Photonen - um die es hier geht - gibt es zwei in der Verschränkungseigenschaft identische Abfolgen von Photonen. Die Verschränkungseigenschaft ist häufig ebenfalls die Polarisation von Photonen, nur das es eben zwei "Kopien" gibt. Die eine Kopie bleibt beim Sender, die andere wird zum Beispiel per Glasfaser zum Empfänger geschickt. Das Verschicken, also das Senden durch Glasfaser selbst, ändert den Quantenzustand der Photonen nicht. Wenn aber ein Photon manipuliert wird, indem sein Quantenzustand gemessen wird, dann wird gleichzeitig und instantan auch der Quantenzustand des verschränkten Photons (des anderen Partners eines Paares) festgelegt. Dadurch würde auch sofort auffallen, wenn jemand mithört, was ein Vorteil dieser Methode ist.

Die Methode mit den verschränkten Photonen ist aufwendiger, weil man hier verschränkte Photonen erzeugen muss.

Quantenverschränkte Photonen lassen sich auf verschiedene Arten erzeugen, wobei eine der gängigsten Methoden die parametrische Fluoreszenz (Spontaneous parametric down-conversion, SPDC) ^{(10, 11)}) in einem nichtlinearen Kristall ist.

Dabei wird ein starker Laserstrahl mit der nötigen Energie (oft im ultravioletten Bereich) verwendet, um den Prozess anzustoßen. Der Laserstrahl wird auf einen speziellen Kristall gerichtet, der nichtlineare optische Eigenschaften besitzt (z. B. Beta-Bariumborat, BBO). In diesem Kristall kann ein einzelnes hochenergetisches Photon in zwei Photonen mit geringerer Energie "herunterkonvertiert" werden.

Dabei entstehen zwei Photonen, die quantenmechanisch miteinander verschränkt – das heißt, ihre Eigenschaften (zum Beispiel Polarisation, Frequenz oder Impuls) sind miteinander korreliert, auch wenn sie räumlich getrennt sind.

Es gibt hier zwei gängigen Arten der Verschränkung: Typ-I SPDC und Typ-II SPDC. Bei Typ I haben beide Photonen dieselbe Polarisation, aber sie können in andere Eigenschaften (wie Impulsrichtung) verschränkt sein. Bei Typ II haben die beiden Photonen entgegengesetzte Polarisationen, was eine direkte Verschränkung in der Polarisation ermöglicht.

Zu beachten ist jedoch, dass dieser Prozess zufällig ist. Nicht jedes mit dem Photon aus dem Laser spaltet sich, aber bei genügend Photonen entstehen regelmäßig verschränkte Paare. Um die Verschränkung nachzuweisen, werden oft Detektoren und Koinzidenzmessungen verwendet. Durch die gleichzeitige Detektion der beiden Photonen und den Vergleich ihrer gemessenen Eigenschaften lässt sich die quantenmechanische Verschränkung bestätigen.

Neben SPDC gibt es auch weitere Ansätze, wie beispielsweise Quantenpunkte oder photonische Schaltkreise. Quantenpunkte sind Halbleiter-Nanostrukturen, die einzelne Photonen emittieren und in bestimmten Konfigurationen verschränkte Zustände erzeugen können. Und photonische Schaltkreise sind Integrierte Schaltkreise auf Chipbasis, die durch gezielte Interferenzeffekte verschränkte Photonenpaare generieren.

Ablauf einer Verschlüsselung unter Zuhilfenahme von Quantenschlüsselaustausch (QKD)

Der Quantenzustand der beim Sender erzeugten verschränkten Photonen ist solange unbestimmt, wie keine Manipulation (z. B. Messung) an den jeweiligen Photonen vorgenommen ist. Erst mit der Messung wird auf beiden Seiten gleichzeitig der Quantenzustand bekannt. Dieser kann dann zur Erzeugung eines gemeinsam bekannten Quantenschlüssels für eine symmetrische Verschlüsselung genutzt werden.



Der Ablauf einer quantengesicherten Verschlüsselung ist der folgende:

A. Quantenschlüsselaustausch:

• Der Sender erzeugt ein verschränktes Photonenpaar
• Ein Photon des Photonenpaars wird beim Sender belassen und das andere Paarteil über eine Glasfaserleitung (Quantenkanal, quantum channel) an den Empfänger geschickt.
• Über den Protokollkanal wird ausgehandelt, welche Photonen in den quantengenerierten Schlüssel eingehen. Dies erzeugt im Idealfall jeweils ein Schlüsselbit pro Photon.
• Die oberen Punkte werden solange wiederholt, bis genügend Schlüssel-Bits zusammengekommen sind, z. B. 256 für AES-256.

B. Verschlüsselung und Entschlüsselung mit dem auf beiden Seiten vorliegenden Schlüssel:

• Der 256 Bit lange Schlüssel, der am Schluss abhör- und fälschungssicher zwischen Sender und Empfänger übertragen bzw. ausgehandelt wurde (je nach Protokoll) liegt bei Sender als auch Empfänger bitgleich vor.
• Mithilfe des Schlüssels wird ein hinreichend sicheres klassisches symmetrisches Verschlüsselungsverfahren wie etwas AES-256 verwendet, um die eigentlich zu übertragenden Daten (die Nutzdaten, "Payload") zu verschlüsseln, woraus ein unlesbares Chiffrat resultiert.
• Das Chiffrat wird über eine weiteren Kanal wie das Internet an den Empfänger übertragen. Dieser muss nicht sicher sein.
• Der Empfänger, dem der Schlüssel als Einzigem ebenfalls vorliegt, kann damit das Chiffrat entschlüsseln und erhält so wieder die ursprünglichen Daten (Klartext).

Dem Empfänger wurden die Nutzdaten nur für ihn lesbar zugestellt. Während der Quantenschlüsselaustausch beweisbar und bei richtiger Anwendung aufgrund physikalischer Gesetze absolut sicher ist, liegt für die Verschlüsselung mit dem symmetrischen Verfahren die jeweils tagesaktuelle Sicherheit vor. AES-256 gilt derzeit und in naher Zukunft als sicher genug und bietet aufgrund seiner symmetrischen Natur auch genügend Schutz gegen zukünftige Quantenkryptoanalyse.

Hohe Sicherheit beim Quantenschlüsselaustausch erhält man, wenn man den Schlüssel für jede Datei neu generiert. Um Kosten zu sparen, kann ein Schlüssel zwischen dem gleichen Sender und Empfänger vielleicht auch nur in bestimmten Zeitintervallen ausgetauscht werden, was allerdings die Sicherheit herabsetzt.

Absolute Sicherheit kann nur erreicht werden, wenn auch die winzigen Unsicherheiten des symmetrischen Verfahrens eliminiert werden, indem man einen so langen Quantenschlüssel erzeugt, wie die Nutzdaten lang sind. Dies kommt dann dem One Time Pad-Verfahren gleich, das mathematisch beweisbar absolut sicher ist, solange ein Schlüssel nur einmalig verwendet wird. Zudem ist der Quantenschlüsselaustausch absolut sicher. Auf der anderen Seite steht der Aufwand und damit die Kosten, so lange Quantenschlüssel zu erzeugen. Diese Kosten sind abhängig von der Größe der Nutzdaten.

Quellen, Literaturverweise und weiterführende Links