Wie geheim ist geheim, Herr Ekert?

Inhaltsverzeichnis

Quantenkryptographische Verschlüsselungsverfahren galten als hundertprozentig sicher – bis Hacker sie im Labor knackten. Ist also alles nur theoretische Spielerei? Nein, sagt der Quanten-Physiker Artur Ekert. Man muss sie nur richtig einsetzen.

Der Wettlauf findet seit über 2000 Jahren statt: Kryptographen verschlüsseln Botschaften, die geheim bleiben sollen. Spione versuchen, diese Verschlüsselung zu brechen. Schon die Römer sind auf die Idee gekommen, jeden Buchstaben eines Textes durch seine Zahl aus dem durchnumerierten Alphabet zu ersetzen, dann eine geheime Zahl zu addieren und das Ergebnis wieder in Buchstaben zu übertragen, damit abgefangene Kuriere keine militärischen Geheimnisse preisgeben. Seitdem sind die mathematischen Verfahren immer raffinierter geworden – auf beiden Seiten. Im Jahr 1989 haben die Physiker Charles Bennett und Gilles Brassard im IBM-Forschungszentrum in Yorktown Heights erstmals einen Quantenschlüssel aus polarisierten Photonen übertragen. Das Verfahren gilt – zumindest unter Quantentheoretikern – als nicht zu knacken.

Diese Quantenkryptographie nutzt die Gesetze der Quantenpyhsik – einer Theorie, die das Verhalten winzig kleiner Objekte wie Atome oder Moleküle beschreibt. Dazu trifft man keine absoluten Aussagen über diese Objekte, sondern stellt ihr Verhalten nur noch mit Hilfe sogenannter Wahrscheinlichkeitsfunktionen dar. Diese Funktionen können sich überlagern wie Wellen in einem Teich oder Schwingungen auf einer Klaviersaite.

In der Quantenkryptographie werden solche überlagerten Systeme verwendet, um die geheimen Botschaften zu übertragen – oft in Gestalt polarisierter Lichtteilchen (Photonen). Jeder Lauscher, der versucht, diese Photonen abzufangen, muss beim Lesen der Botschaft die Quanten-Überlagerung zerstören. Spielt der Lauscher die Botschaft weiter, nachdem er sie gelesen hat, kann der authorisierte Empfänger sofort sehen, dass jemand versucht hat, ihn zu belauschen.

Doch für Hacker ist die theoretische Unmöglichkeit der Entschlüsselung eine ultimative Herausforderung: In den vergangenen Jahren erschienen immer wieder Aufsätze, in denen Forscher zeigen konnten, wie man die eigentlich unangreifbaren Systeme buchstäblich hinters Licht führen kann. So führten die Physiker Qin Liu und Sebastien Sauge 2009 beim Hackerkongress 26C3 in Berlin vor, wie man das Empfangsgerät einer Quantenkrypto-Botschaft mit einem hellen Lichtstrahl so blenden kann, dass er auf einzelne Photonen nicht mehr anspricht. Durch gezielte, intensive Pulse ließ er sich danach jedoch immer noch auslösen. Damit konnten die Hacker die geheime Botschaft abfangen, mitlesen und danach dem Empfänger eine intakte Botschaft vortäuschen.

Artur Ekert hat an der Universität Krakau Physik und Mathematik studiert und an der Oxford University promoviert. 1998 wurde er Professor für Physik in Oxford , ab 2002 an der Cambridge University Direktor des dortigen Zentrums für Quanteninformatik und Fellow des King's College. Gleichzeitig war er ab 2002 Professor in Singapur. Seit 2007 leitet er dort das "Center for Quantum Technologies".

Technology Review: Professor Ekert, wozu brauchen wir überhaupt Quantenkryptographie? Ist konventionelle Verschlüsselung nicht sicher genug?

Artur Ekert: Konventionelle Verschlüsselungen wie RSA oder Public-Key-Verfahren beruhen auf der Annahme, dass es mathematische Probleme gibt, die schwierig zu berechnen sind. Das ist nicht gut, weil etwas, das heute als schwierig gilt, sich schon morgen als einfach erweisen kann.

TR: Was bedeutet das?

Ekert: Nehmen Sie die Faktorisierung als Beispiel. Das ist die mathematische Basis der so genannten Public Key-Verschlüsselung. Nehmen wir einmal an, ein Kennwort besteht aus einer Zahl. Wir zerlegen diese Zahl in die Primzahlen, die man miteinander multiplizieren muss, um diese Zahl zu erhalten. Die Faktoren von 15 zum Beispiel sind 5 und 3. Die Zahl ist die Basis unserer Verschlüsselung, die Faktoren sind ihre Schlüssel, die wir geheim halten wollen. So weit, so klar. Ok. Aber jetzt kommt Psychologie ins Spiel. Wenn ich Sie bitte eine sehr große Zahl zu faktorisieren, um einen Schlüssel zu knacken, müssen Sie ziemlich lange probieren, um das Ergebnis zu finden. Je größer die Zahl, desto länger dauert das. Irgendwann kommen Sie zu dem Punkt, an dem Sie aufgeben und sagen: Ich weiß es nicht. Ich kann die Lösung nicht finden. Das gilt auch, wenn Sie einen Computer haben, der tausendmal schneller rechnet. Auch dann können Sie das Faktorisierungsproblem nicht lösen, wenn der Schlüssel lang genug ist.

TR: Aber Quantenkryptographie ist anders? Die ist sicher?

Ekert: Ja. Ihre Sicherheit beruht nicht auf irgendwelchen mathematischen Annahmen, sondern auf den Gesetzen der Physik. Ganz egal, wie schlau ein Hacker sein mag, diese Gesetze kann er nicht verändern oder brechen – allerdings nur in einer idealen Welt.In der Praxis hängt die Sicherheit ihrer Verschlüsselung natürlich davon ab, wie gut Sie die Verschlüsselung implementieren. Die Geräte, die sie verwenden, Ihre Lichtquellen, Ihre Detektoren sind nicht perfekt. Das kann man ausnutzen.

TR: Man kann also auch eine Quantenverschlüsselung brechen?

Ekert: Ja, es gibt einige Leute, die sich genau diese Lücken in der konkreten Implementierung ansehen. Und das ist eine gute Sache, weil es uns zeigt, worauf wir achten müssen. Aber wenn Sie Ihre Quantenkryptographie sauber implementieren, ist die Verschlüsselung nicht zu knacken.

TR: Aber wir bewegen uns doch immer in einer Welt, die nicht perfekt ist. Und Sie haben immer eine Schnittstelle von der Quantentechnologie zur herkömmlichen Informationstechnik. Also sind die Schlüssel prinzipiell immer angreifbar.

Ekert: Ja, schon. Aber es ist doch nicht so, dass man diese Dinge niemals sauber implementieren kann. Wenn ich gute Lichtquellen habe und gute Detektoren, ist mein Schlüssel so lange sicher, bis ich dumme Fehler mache. Man darf beispielsweise nicht der ganzen Welt mitteilen, wann genau man seine Messungen durchführt. Aber da sprechen wir nicht mehr über Technologie, sondern über menschliches Verhalten.

TR: Also ist die Quantenkryptographie nur so gut, wie der Mensch, der sie anwendet?

Ekert:Natürlich ist Quantenkryptographie kein Rezept gegen menschliche Dummheit. Deshalb sind die Quanten-Hacker uns höchst willkommen. Im Moment greifen die meisten sehr einfache Sicherheitslücken an, die vielen Wissenschaftlern durchaus bewusst sind. Aber es ist gut, dass sie das tun. Denn für den Fall, dass Quantenkryptographie jemals kommerziell verfügbar werden soll, ist es sehr wichtig, solche Fehler zu korrigieren.

TR: Kommerziell ist ein gutes Stichwort. Bislang gibt es zwar viele Forschungsarbeiten zur Quantenkryptographie, aber ich kenne noch keine echte Anwendung.

Ekert: Haben Sie mal mit Bankern über das Thema gesprochen? Das ist sehr interessant.

TR: Sie meinen, die Technologie wird verwendet, aber niemand spricht darüber?

Ekert: Nein. Der Grund ist im Wesentlichen, dass der Bankensektor, der sicherlich einer der wichtigsten Kunden für diese Dinge wäre, sehr konservativ ist. Wenn Sie mit Leuten aus den Banken sprechen, sagen die: Nun, falls Sie irgendwann wirklich einen Quantencomputer bauen können, der unsere bisherige Verschlüsselungstechnik knackt, dann würden wir nicht zur Quantenverschlüsselung übergehen. Wir würden stattdessen einen Schritt zurück machen und vertrauenswürdige Kuriere einsetzen. Aber das Problem ist nicht die Kryptographie an sich.

Rund 80 Prozent der Sicherheitsprobleme, die bei Banken oder auch beim Militär auftauchen, haben nichts mit den zu Grunde liegenden Algorithmen zu tun. Niemand stiehlt Geld oder geheime Dokumente, indem er Zahlen faktorisiert oder versucht, eine RSA-Chiffre zu brechen. Stattdessen geht es wieder um die schlampige Implementierung von Sicherheitsbarrieren. Für normale Fälle reichen die bisherigen Verfahren vollkommen aus – vorausgesetzt, sie sind sauber implementiert. Vom kommerziellen Standpunkt aus gesehen macht Quantenkryptographie also nur dann Sinn, wenn die Verschlüsselung absolut lebenswichtige Bereiche betrifft.

TR: Mit anderen Worten: Es gibt keinen wirklichen Markt für Quantenkryptographie?

Ekert: Früher hätte ich das Militär genant. Aber die Ära des kalten Krieges ist vorüber. Damals haben die große Blöcke noch viel Geld in aufwendige Kryptosysteme investiert. Heute leben wir in einer Welt, wo es zwar nicht mehr so viele Feinde gibt, aber man seinen Freunden auch nicht mehr trauen kann. Dafür braucht man eine andere Art der Kryptographie, die nicht so sehr auf die ultimative Sicherheit setzt. Vielmehr geht es darum, ein vernünftiges, angemessenes Level an Sicherheit zu garantieren. Das sind alles Gründe, warum Quantenkryptographie noch nicht auf dem Markt ist. Ich bin aber sicher, dass es eine Nische dafür gibt. Früher oder später werden wir hybride Systeme mit Quanten-Komponenten sehen.

TR: Sie arbeiten seit über 20 Jahren mit Quantensystemen. Finden Sie Quantenmechanik immer noch seltsam?

Ekert: Oh ja.

TR: Denken Sie darüber nach, was in diesen Systemen physikalisch wirklich passiert? Was also diese ganzen seltsamen Berechnungen letztendlich bedeuten?

Ekert: Ja, genau genommen denke ich hauptsächlich über solche Fragen nach. Quantencomputer und Quantenverschlüsselung sind nur ein Teil meiner Interessen. Tatsächlich hat sich das gesamte Forschungsgebiet aus sehr grundlegenden wissenschaftlichen Arbeiten über die Natur der Physik und ihre fundamentalen Gesetze entwickelt. David Deutsch, der erste, der das Konzept eines Quantencomputers theoretisch beschrieben hat, wollte eigentlich zeigen, dass eine bestimmte Interpretation der Quantenmechanik richtig ist: Die Everett-Interpretation. Ich persönlich halte die übrigens auch für richtig.

TR: Sie meinen die so genannte Viele-Welten-Theorie? Nach der wir als Realität nur eine von unendlich vielen möglichen Universen wahrnehmen?

Ekert: Ja genau, diese Multiversums-Geschichte. Ich sage ja nicht, dass die richtig ist. Aber sie ist besser als viele andere Interpretationen. Jede andere Interpretation der Quantenmechanik unterscheidet zwischen Quantensystemen und der restlichen, klassischen Welt. Wenn Sie einen Physiker fragen, was ist der Unterschied zwischen diesen beiden Welten, dann wird er irgendetwas Unverständliches in seinen Bart murmeln.

Die physikalische Theorie bietet keine Entscheidungskriterien dafür an. Wenn Sie aber sagen, alles ist quantenmechanisch, dann macht das vielleicht nicht alle glücklich, und es hat auch irritierende Konsequenzen. Weil es bedeutet, dass auch makroskopische Objekte sich in quantenmechanischen Überlagerungszuständen befinden können – Sie, ich, einfach alles. Aber die Theorie ist wenigstens konsistent. (wst)