Eine Schlüsselrolle für Quantenverschränkung

Die Kunst der Kryptografie besteht darin, Nachrichten so umzuwandeln, dass sie für alle ausser den vorgesehenen Empfängern bedeutungslos werden. Moderne kryptografische Verfahren, wie die, die dem digitalen Handel zugrunde liegen, verhindern, dass Angreifer Nachrichten – wie etwa Kreditkarteninformationen – unrechtmässig entschlüsseln, indem sie von ihnen verlangen, mathematische Operationen durchzuführen, die eine enorme Menge an Rechenleistung verbrauchen. Seit den 1980er Jahren wurden jedoch ausgeklügelte theoretische Konzepte eingeführt, bei denen die Sicherheit nicht von den ungenügenden Rechenfähigkeiten des «Lauschers» abhängt. Stattdessen begrenzen grundlegende Gesetze der Quantenphysik die Menge an Informationen, die ein Angreifer letztendlich abfangen kann, wenn überhaupt welche. Bei einem solchen Konzept kann die Sicherheit mit nur wenigen allgemeinen Annahmen über das verwendete physikalische Gerät gewährleistet werden. Die Implementierung solcher «geräteunabhängigen» Verfahren wird seit langem angestrebt, blieb aber unerreichbar. Bis jetzt. Ein internationales Team von Forschern der Universität Oxford, der EPFL, der ETH Zürich, der Universität Genf und des CEA (Frankreich) berichtet nun in der Zeitschrift Nature über die erste Demonstration eines solchen Protokolls – ein entscheidender Schritt in Richtung praktischer Geräte, die eine solch exquisite Sicherheit bieten.

Der Schlüssel ist ein Geheimnis

Bei der sicheren Kommunikation geht es darum, Informationen geheim zu halten. Es mag daher überraschen, dass in realen Anwendungen grosse Teile einer Transaktion zwischen legitimen Nutzern öffentlich ablaufen. Der Schlüssel dazu ist, dass Sender und Empfänger nicht ihre gesamte Kommunikation geheim halten müssen. Im Grunde müssen sie nur ein «Geheimnis» teilen; in der Praxis ist dieses Geheimnis eine Bitfolge, die als kryptografischer Schlüssel bezeichnet wird und es jedem, der in ihrem Besitz ist, ermöglicht, verschlüsselte Nachrichten in sinnvolle Informationen umzuwandeln. Sobald die legitimen Parteien für eine bestimmte Kommunikationsrunde sichergestellt haben, dass sie, und nur sie, einen solchen Schlüssel teilen, kann so ziemlich die gesamte andere Kommunikation für jedermann sichtbar stattfinden. Die Frage ist also, wie sichergestellt werden kann, dass nur die rechtmässigen Parteien einen geheimen Schlüssel teilen. Das Verfahren, mit dem dies erreicht wird, ist als «Schlüsselaustausch» bekannt.

Bei den kryptografischen Algorithmen, die beispielsweise RSA – einem der am weitesten verbreiteten kryptografischen Systeme – zugrunde liegen, basiert der Quantenschlüsselaustausch auf der (unbewiesenen) Annahme, dass bestimmte mathematische Funktionen leicht zu berechnen, aber schwer umkehrbar sind. Genauer gesagt beruht RSA auf der Tatsache, dass es für heutige Computer schwierig ist, die Primfaktoren einer grossen Zahl zu finden, während es für sie einfach ist, bekannte Primfaktoren zu multiplizieren, um diese Zahl zu erhalten. Die Geheimhaltung wird also durch die mathematische Schwierigkeit gewährleistet. Doch was heute unvorstellbar schwierig ist, kann morgen schon einfach sein. Quantencomputer sind bekanntlich in der Lage, Primfaktoren wesentlich effizienter zu finden als klassische Computer. Sobald Quantencomputer mit einer ausreichend grossen Anzahl von Qubits zur Verfügung stehen, wird die RSA-Verschlüsselung durchdringbar werden.

Doch die Quantentheorie liefert nicht nur die Grundlage für das Knacken der Kryptosysteme, die das Herzstück des digitalen Handels bilden, sondern auch für eine mögliche Lösung des Problems: eine völlig andere Art der Verteilung von kryptografischen Schlüsseln als RSA – eine, die nichts mit der Schwierigkeit der Ausführung mathematischer Operationen zu tun hat, sondern mit grundlegenden physikalischen Gesetzen. Das ist der Quantenschlüsselaustausch, (engl. quantum key distribution, kurz QKD).

Quantenzertifizierte Sicherheit

1991 zeigte der polnisch-britische Physiker Artur Ekert in einer bahnbrechenden Arbeit, dass die Sicherheit des Quantenschlüsselaustauschverfahrens durch die direkte Ausnutzung einer Eigenschaft gewährleistet werden kann, die Quantensystemen eigen ist und die in der klassischen Physik keine Entsprechung hat: die Quantenverschränkung. Quantenverschränkung bezieht sich auf bestimmte Arten von Korrelationen in den Ergebnissen von Messungen, die an getrennten Quantensystemen durchgeführt werden. Wichtig ist, dass die Quantenverschränkung zwischen zwei Systemen exklusiv ist. Sprich, nichts anderes kann mit diesen Systemen korreliert werden. Im Zusammenhang mit der Kryptografie bedeutet dies, dass Sender und Empfänger durch verschränkte Quantensysteme gemeinsame Ergebnisse erzeugen können, ohne dass Dritte heimlich Kenntnis von diesen Ergebnissen erlangen können. Jeder Lauschangriff hinterlässt Spuren, die eindeutig ein Eindringen anzeigt. Kurzum: Die legitimen Parteien können auf eine Art und Weise miteinander interagieren, die – dank der Quantentheorie – grundsätzlich ausserhalb der Kontrolle eines Gegners liegt. In der klassischen Kryptographie ist eine vergleichbare Sicherheitsgarantie nachweislich unmöglich.

Im Laufe der Jahre wurde erkannt, dass QKD-Verfahren, die auf den von Ekert eingeführten Ideen beruhen, einen weiteren bemerkenswerten Vorteil haben: Die Benutzer müssen nur sehr allgemeine Annahmen über die dabei verwendeten Geräte machen. Im Gegensatz dazu erfordern frühere Formen von QKD, die auf anderen Grundprinzipien basieren, detaillierte Kenntnisse über das Innenleben der verwendeten Geräte. Die neuartige Form von QKD ist nun allgemein als «geräteunabhängige QKD» bekannt, und ihre experimentelle Umsetzung wurde zu einem wichtigen Ziel in diesem Forschungsfeld. Nun ist ein solches bahnbrechendes Experiment endlich gelungen.

Höhepunkt jahrelanger Arbeiten

Das Ausmass der Herausforderung spiegelt sich in der Zusammensetzung des Teams wider, welches führende Expert:innen aus Theorie und Experiment vereint. Bei dem Experiment wurden zwei einzelne Ionen – eines für den Sender und eines für den Empfänger – in getrennten Fallen festgehalten, die mit einer Glasfaser miteinander verbunden wurden. In diesem «Quantennetzwerk» wurde die Verschränkung zwischen den Ionen über Millionen von Durchläufen mit rekordhoher Zuverlässigkeit erzeugt. Ohne eine solche zuverlässige Quelle qualitativ hochwertiger Verschränkung hätte das Protokoll nicht auf praktisch sinnvolle Weise durchgeführt werden können. Ebenso wichtig war der Nachweis, dass die Verschränkung in geeigneter Weise ausgenutzt wird. Dies wurde gemacht, indem gezeigt wird, dass als Bell-Ungleichungen bekannte Bedingungen verletzt werden. Darüber hinaus waren für die Analyse der Daten und eine effiziente Extraktion des kryptografischen Schlüssels erhebliche Fortschritte in der Theorie erforderlich.