Abhörsichere Übertragung auch ohne Quanten?
Bekommt die Quantenkryptographie bald "klassische" Konkurrenz?
Abhörsichere Übertragung auch ohne Quanten?
Bekommt die Quantenkryptographie bald „klassische“ Konkurrenz?
Die Quantenkryptographie macht es möglich, geheime Informationen vollkommen abhörsicher zu übertragen, z. B. mit einzelnen linear polarisierten Photonen. Dabei nutzen der Sender (Alice) und der Empfänger (Bob) ihr gemeinsames Wissen über den Polarisationszustand eines Photons aus, um sich auf den Wert eines Bits zu einigen, vom dem Außenstehende keine Kenntnis haben können. Eine Lauscherin (Eve), die den Photonenstrom anzapft, verrät sich nach einiger Zeit dadurch, dass sie zwangsläufig die Polarisationsrichtungen der Photonen verändert. Eves Versuch, vorher "Sicherungskopien" von den Photonen zu machen, scheitert am quantenmechanischen Klonierungsverbot.
Die Möglichkeit zur abhörsicheren Übertragung scheint demnach sehr eng mit den Gesetzen der Quantentheorie zusammenzuhängen. Umso überraschender ist die Behauptung, dass man auch mit einem elektrischen Schaltkreis, der auf den Gesetzen der klassischen Physik beruht, Daten abhörsicher übertragen kann. Laszlo Kish von der Texas A&M University hatte im vergangenen Jahr in mehreren Preprints ein solches Verschlüsselungsverfahren vorgestellt und damit intensive Diskussionen ausgelöst. Seine Arbeiten scheinen diese erste Feuertaufe überstanden zu haben. Sie wurden jetzt in Fachzeitschriften veröffentlicht.
Kishs Verfahren geht so: Zwischen Alice und Bob ist ein Metalldraht gespannt, der an jedem seiner beiden Enden wahlweise über einen großen oder über einen kleinen Widerstand (R 0<<R 1) geerdet wird. Wenn Alice den Bitwert 0 übertragen will, dann wählt sie den kleinen Widerstand R 0, für den Bitwert 1 nimmt sie den großen Widerstand R 1. Für den davon unabhängigen Bitwert, den Bob übertragen will, schaltet er den entsprechenden Widerstand R 0 oder R 1 zu. In dem so entstandenen kurzgeschlossenen Schaltkreis, der im thermischen Gleichgewicht ist, tritt das so genannte Johnson-Rauschen auf: In ihrem Verbindungsdraht messen Alice und Bob sowohl ein Strom- als auch ein Spannungsrauschen.
Die Stärke der gemessenen Strom- und Spannungsschwankungen hängt von der Temperatur und von den zugeschalteten Widerständen ab. An den elektrischen Schwankungen können Alice und Bob erkennen, ob sie gleiche oder unterschiedliche Widerstände gewählt haben. Sind die Widerstände gleichgroß, dann werden die entsprechenden Bits nicht benutzt. Im Falle unterschiedlicher Widerstände hängen die Strom- und Spannungsschwankungen symmetrisch von R 0 und R 1 ab. Durch eine Strom- oder Spannungsmessung können Alice und Bob somit unabhängig voneinander herausfinden, ob sie tatsächlich unterschiedlich große Widerstände zugeschaltet haben. Da sie aber jeweils den von ihnen selbst gewählten Widerstand kennen, wissen sie sofort, welchen Widerstand ihr Partner gewählt hat und damit auch welcher Bitwert vorgelegen hatte. Damit ist die Übertragung der entsprechenden (komplementären) Bits abgeschlossen.
Wenn Eve die Strom- oder Spannungsschwankungen belauscht, weiß sie ob Alice und Bob gleiche oder unterschiedliche Widerstände zugeschaltet haben. Für gleiche Widerstände wird indes kein Bit übertragen. Sind die Widerstände jedoch unterschiedlich, so kann Eve nicht herausfinden, ob Alice den großen oder den kleinen Widerstand zugeschaltet hat. Die symmetrische Widerstandsabhängigkeit der elektrischen Schwankungen verhindert dies. Wenn Eve einen schwachen und stochastisch schwankenden Strom in den Draht einspeist, kann sie die zugeschalteten Widerstände austesten. Der eingespeiste Strom verursacht unterschiedliche Stromschwankungen in dem zu Alice bzw. zu Bob führenden Leitungsabschnitt. Zwar kann Eve auf diese Weise ein Bit erlauschen, doch sie verrät sich sofort durch den eingespeisten Strom. Im Vergleich dazu fällt ein Lauschangriff auf eine quantenkryptographisch geschützte Übertragung z. B. mit polarisierten Photonen erst viel später auf, nachdem Eve eine größere Zahl von Photonen abgefangen und dadurch eine merkliche statistische Abweichung des Photonenstroms verursacht hat.
Doch die Kritiker von Kishs Verfahren ließen so schnell nicht locker. Es wurde eingewandt, dass ein plötzliches Umschalten von einem Widerstand auf den anderen einen messbaren Spannungspuls in der Leitung erzeugt, den Eve nutzen könnte, um den Wert des übertragenen Bits zu erschließen. Durch langsames Umschalten in Verbindung mit geeigneten Filtern ließe sich dieser Spannungspuls indes so stark abschwächen, dass er für Eve wertlos wird. Wenn die Leitung zwischen Alice und Bob selbst einen merklichen elektrischen Widerstand hat, dann sollten die Strom- und Spannungsschwankungen auf der Seite der Leitung, wo der größere Widerstand R 1 zugeschaltet ist, größer sein als die Schwankungen auf der anderen Seite. Eve könnte dann durch einen Vergleich der elektrischen Schwankungen, die an unterschiedlichen Stellen in der Leitung auftreten, das übertragene Bit erlauschen. Dieser Laufangriff ließe sich abwehren, indem man zahlreiche Leitungen bündelt und dadurch das Anzapfen derselbe Leitung an zwei verschiedenen Stellen sehr unwahrscheinlich macht.
Eve wiederum könnte kurzerhand die Leitung zwischen Alice und Bob kappen und fingierte Sender und Empfänger an den beiden blanken Enden installieren. Auf diese Weise könnte sie Alice und Bob täuschen und ihnen geheime Informationen entlocken. Doch Alice und Bob wiederum könnten sehr schnell herausfinden, dass sie nicht mehr am selben Schaltkreis hängen, indem sie einige Testbits übertragen und die von ihnen gemessenen Strom- und Spannungsschwankungen öffentlich, z. B. über Funk, miteinander vergleichen. Eignet sich Kishs Verfahren aber auch dazu, Daten über sehr große Entfernungen zu übertragen? Sind dann die elektrischen Schwankungen in der Leitung nicht viel zu schwach? In diesem Fall könnten Alice und Bob geeignete Spannungsgeneratoren zuschalten, die ein hinreichend starkes künstliches Rauschen erzeugen, das an die Stelle des Johnson-Rauschens tritt.
Laszlo Kish und seine Mitarbeiter sind zuversichtlich, dass die bisher von ihren Kritikern vorgebrachten Einwände an der neuen Verschlüsselungsmethode deren Übertragungssicherheit nicht grundsätzlich infrage stellen, sondern nur praktischer Art sind und durch geeignete Maßnahmen ausgeräumt werden können. Träfe dies zu, dann erwüchse den quantenkryptographischen Methoden ein ernstzunehmender Konkurrent mit dessen Hilfe man geheime Daten robuster, einfacher, schneller und preiswerter übertragen kann.
RAINER SCHARF
Weitere Infos
Originalveröffentlichungen:
- Laszlo B. Kish: Totally secure classical communication utilizing Johnson (-like) noise
and Kirchhoff’s law. Physics Letters A 352, 178 (2006)
http://dx.doi.org/10.1016/j.physleta.2005.11.062
http://arxiv.org/physics/0509136 - L. B. Kish: Protection against the man-in-the-middle attack... Fluctuation and Noise Letters 6, L57 (2006)
http://www.ece.tamu.edu/%7Enoise/research_files/KLJN_Man_in_the_Middle_Attack.pdf - Homepage von Laszlo Kish:
http://www.ece.tamu.edu/People/bios/bkish.html
http://www.ece.tamu.edu/~noise/research_files/research_secure.htm - Diskussion unter Bruce Schneiers Blog:
http://www.schneier.com/blog/archives/2005/12/totally_secure.html
http://www.schneier.com/blog/archives/2006/02/more_on_kishs_c.html
Weitere Literatur:
- L. B. Kish: Protection against the man-in-the-middle attack... Fluctuation and Noise Letters 6, L57 (2006)
http://www.ece.tamu.edu/%7Enoise/research_files/KLJN_Man_in_the_Middle_Attack.pdf - Adrian Cho: Simple Noise May Stymie Spies Without Quantum Weirdness. Science 309, 2148 (2005)
http://www.ee.tamu.edu/%7Enoise/news_files/science_secure.pdf (frei!) - Jacob Scheuer and Amnon Yariv: A Classical Key-Distribution System based on Johnson
(like) noise - How Secure?
http://arxiv.org/physics/0601022 - Laszlo B. Kish: Response to Scheuer-Yariv: "A Classical Key-Distribution System based on Johnson (like) noise - How Secure?"
http://arxiv.org/physics/0602013 - Nicolas Gisin et al.: Quantum Cryptography. Rev. Mod. Phys. 74, 145 (2002)
http://dx.doi.org/10.1103/RevModPhys.74.145
http://xxx.arxiv.org/quant-ph/0101098 - Wolfgang Tittel et al.: Quantenkryptographie. Phys. Bl. 6/1999, S. 25
http://www.pro-physik.de/Phy/pdfs/ISSART12536DE.PDF