Meine Recherche zur Quantenverschlüsselung ist endlich am Ziel, und manches hat mich überrascht.

Die beste Verständnisprobe ist bekanntlich, etwas Gelerntes wiederzugeben—deshalb hier ein kleiner Thread, der vielleicht ein paar von Euch interessiert :)

[Korrekturen willkommen!]

[ Inhaltsverzeichnis/Teaser, weil der Thread lang ist:

1) Quantencomputer und ihre Bedrohung für Crypto,
2) was Quantenverschlüsslung leistet,
3) wie sie grob funktioniert,
4) was es mit der berühmten „Quanten-Videokonferenz“ von 2017 zwischen Wien und Peking auf sich hat. ]

Besonders ulkig fand ich, dass Quantenverschlüsselung gar nicht (oder nur sehr indirekt) die Antwort auf die Bedrohung ist, die Quantencomputer für bisherige Verschlüsslungs-Techniken darstellen.

[ Dazu zunächst ein kurzer Exkurs, denn im Folgenden werden Quantencomputer keine Rolle mehr spielen.

Quantencomputer stellen eine Bedrohung für asymmetrische/public-key-crypto wie RSA oder ECC dar. Die Bedrohung ist bislang nur theoretisch, gilt aber als realistisch absehbar.

Grund ist der 1994 publizierte „Shor's alogrithm“. Er beschreibt Angriffe gegen Primfaktorzerlegung (in RSA) oder diskrete Logarithmen (in ECC, also-elliptic curve-crypto), die mithilfe zukünftiger, ausreichend starker Quantencomputer schwindelerregend einfach wären.

Als Ausweg gilt ulkigerweise nicht „Quantenverschlüsslung“ (dazu gleich mehr), sondern „post-quantum crypto“, womit verschiedene Krypto-Verfahren gemeint sind, an denen die Mathematik seit rund 10–20 Jahren arbeitet.

Der heißeste Kandidat ist offenbar „lattice-based crypto“, was nach meinem Verständnis eine Art höherdimensionale Abstraktion von elliptic-curve-crypto ist (aber da könnte ich mich irren).

Jedenfalls sind diese Verfahren hoffentlich gegen Shor's alogrithm immun! Exkurs Ende. ]

Was „Quantenverschlüsselung“ gennant wird, ist eigentlich gar kein Verschlüsslungsverfahren, sondern eine Reihe von Techniken, um symmetrische Schlüssel zwischen 2 Kommunizierenden auszutauschen.

Auf Englisch spricht man deshalb treffender von „Quantum Key Distribution“ (QKD).

Sind die Schlüssel ausgeteilt, gibt es zwei kluge Optionen für ihre Verwendung:

1) One-time-pad-Verschlüsselung, die mathematisch bewiesenermaßen perfekt sicher ist. Enormer Nachteil: Man braucht genauso viele Schlüssel-Bits wie man Daten-Bits verschicken will.

2) Bekannte Verfahren symmetrischer Verschlüsslung. Mich hat überrascht, dass AES-128 (mit schnell wechselnden Seed-Keys) auch von der Quanten-Avantgarde als ausreichend sicher angesehen wird.

Ulkigerweise scheint authentication ein gewisser blind spot der QKD zu sein. Böswillig könnte man sagen: Als authentifiziert gilt die Gegenstelle, wenn sie genauso teure QKD-Hardware wie der Sender besitzt besitzt ;)

[ Die Hardware hat es in sich: Glasfaser, durch die einzelne Photonen(!) laufen, mit hochkomplexer photonischer Elektronik an beiden Enden.

Trotzdem gibt es kommerzielle Anbieter, die über ~10–100km Glasfaser QKD anbieten, bisher offenbar vor allem für Banken in Großstädten. ]

In der Praxis wird die authentication wohl eher dem „classical channel“ überlassen, also der Intranet- oder Internetverbindung, über die am Ende die verschlüsselten Daten laufen – denn der Quantenkanal mit Glasfaser und Photonik ist wirklich nur für die Schlüsselverteilung da!

Worauf basiert nun die Sicherheit der QKD? Auf Quanteneffekten natürlich, aber interessanterweise gibt es zwei maßgebliche Verfahren, die sich im Detail stark unterscheiden. Das sind:

a) BB84 (von 1984), und
b) E91 (von 1991).

Bei BB84 werden Photonen vom Sender in verschiedenen Polarisationsrichtungen präpariert, und beim Empfänger in verschiedenen Polarisationsrichtungen gemessen (keine Verschränkung!).

Bei E91 werden hingegen verschränkte Photonen verteilt, und von beiden Seiten gemessen.

Hätte nun jemand die Photonen abgefangen und ebenfalls gemessen, so würde das in der Statistik der Messergebnisse bei Sender und Empfänger unweigerlich auffallen. Sie vergleichen also ihre Statistik und wissen dann, ob die Übertragung mitgehört worden sein könnte.

[ Ulkigerweise entspricht dieser Vergleich im Grunde dem berühmten Bell-Experiment.

Man kann also auch sagen: Sender und Empfänger schauen, ob die Quantenmechanik noch gilt. Sprechen ihre Messergebnisse dagegen, werten sie das als Indiz für Pfusch an ihren Photonen. ]

Das ganze ist natürlich von vorne bis hinten mit Komplikationen behaftet, weil es *sehr* tricky ist, mit einzelnen Photonen zu hantieren.

Es beginnt schon damit, überhaupt einzelne Photonen zu erzeugen. Das gelingt nämlich niemals perfekt, und manchmal fliegen 2 los.

Das ist eine mögliche Sicherheitslücke, denn wenn ein Bit durch 2 identische Photonen repräsentiert ist, kann ein Überwacher eines davon messen und das andere durchlassen – und dabei unentdeckt bleiben.

Dagegen gibt es ein ganzes Zusatz-Protokoll („decoy state“). Uff!

Aber kommen wir endlich zur „Quanten-Videokonferenz“ zwischen Wien und Peking. Es waren übrigens ausgerechnet diese beiden Orte, weil zwei Forscher dort (Anton Zeilinger und Jian-Wei Pan) enge Kollegen und Freunde sind.

Der Quantenkanal zwischen Österreich und China war keine Glasfaser (das wäre mit heutiger Technik unmöglich), sondern der chinesische Quanten-Forschungsatellit „Micius“ (Teil des „QUESS“-Programms). Der fliegt in 500km Höhe täglich gegen 1 Uhr morgens über jeden Ort der Welt.

Der Satellit bietet damit täglich für wenige Minuten die Möglichkeit, per BB84 (+decoy state) Schlüssel mit einer Bodenstation auszutauschen.

[ Die Bodenstation muss dafür zu den besten Quantenlaboren der Welt zählen, sodass es weltweit nur rund 5 Stück geben dürfte ;) ]

[ Interessant daran fand ich daran, dass derselbe Satellit zwar *auch* Quanten-Teleportations-Experimente macht, die auf Verschränkung beruhen – aber für die QKD ‚nur‘ BB84 ohne Verschränkung benutzt. ]

Micius hat also Schlüssel nach Österreich und China ausgeteilt, aber wegen der Zeitlimitationen und der vielen physikalischen und protokollbedingten Verluste waren es am Ende ‚nur‘ rund 100 Kilobyte, die beide Seiten als gemeinsamen, privaten Schlüssel vorliegen hatten.

Damit haben sie zwei Dinge getan:

1) Eine 75-minütige Videokonferenz mit insgesamt ~2GB Daten. Die wurde mit AES-128 verschlüsselt, das jede Sekunde mit einem neuen Seed-Key aus dem gemeinsamen Schlüssel gefüttert wurde. Das hat rund 70 kB des privaten Schlüssels verbraucht.

Das 2) finde ich einfach super knuddelig, und ich hätte es ganz genauso gemacht: Sie haben zwei winzige Bilddateien (~5kB) mit dem privaten Schlüssel perfekt one-time-pad-verschlüsselt übertragen: eins von Erwin Schrödinger und eins von dem chinesischen Philosphoen Micius <3

Das war mein Thread! Fast alles, was ich erzählt habe, steht mehr oder weniger ausführlich in diesem Paper: journals.aps.org/prl/abstract/1… – wobei ich erst nach einigen Tagen der Recherche eine Chance hatte, den Inhalt nachzuvollziehen^^

Es gibt über den chinesischen Quanten-Satelliten und die Wien–Peking-Videokonferenz unzählige Meldungen, aber sie sind praktisch alle grob unvollständig oder irreführend.

Meine größte Freude nach der ganzen Recherche war, nachzuvollziehen, was wirklich gemacht wurde :)