Eine Schlüsselrolle für die Quantenverschränkung

Seit langem besteht die Aussicht, dass eine als Quanten­schlüssel­austausch bekannt Methode eine Kommunikations­sicherheit gewährleistet, die mit herkömm­licher Kryptographie nicht zu erreichen ist. Ein inter­nationales Forscherteam hat nun erstmals einen Ansatz für den Quanten­schlüssel­austausch experimentell umgesetzt, der Quanten­verschränkung nutzt um weitaus umfassendere Sicherheits­garantien bieten zu können als bisherige Verfahren.

Seit den 1980er Jahren wurden theoretische Konzepte eingeführt, bei denen die Sicherheit bei der Daten­über­tragung nicht von den Rechen­fähig­keiten eines etwaigen Lauschers abhängt. Statt­dessen begrenzen grundlegende Gesetze der Quantenphysik die Menge an Informationen, die ein Angreifer abfangen kann. Bei einem solchen Konzept kann die Sicherheit mit nur wenigen allgemeinen Annahmen über das verwendete physikalische Gerät gewähr­leistet werden. Die Implemen­tierung solcher geräte­unab­hängigen Verfahren wird seit langem angestrebt, blieb aber bislang unerreichbar. Doch jetzt hat ein inter­nationales Team über die erste Demonstration eines solchen Protokolls berichtet – ein entscheidender Schritt in Richtung praktischer Geräte, die eine solche Sicherheit bieten.

Bei der sicheren Kommunikation geht es darum, Informationen geheim zu halten. Es mag daher über­raschen, dass in realen Anwendungen große Teile einer Transaktion zwischen legitimen Nutzern öffentlich ablaufen. Der Schlüssel dazu ist, dass Sender und Empfänger nicht ihre gesamte Kommunikation geheim halten müssen. Im Grunde müssen sie nur ein Geheimnis teilen in der Praxis eine Bitfolge, die als krypto­grafischer Schlüssel bezeichnet wird und es jedem, der in ihrem Besitz ist, ermöglicht, verschlüsselte Nachrichten in sinnvolle Informationen umzuwandeln.

Sobald die legitimen Parteien für eine bestimmte Kommuni­kations­runde sicher­gestellt haben, dass sie, und nur sie, einen solchen Schlüssel teilen, kann so ziemlich die gesamte andere Kommunikation für jedermann sichtbar stattfinden. Die Frage ist also, wie sicher­ge­stellt werden kann, dass nur die recht­mäßigen Parteien einen geheimen Schlüssel teilen. Das Verfahren, mit dem dies erreicht wird, ist als Schlüssel­austausch bekannt.

Bei den krypto­grafischen Algorithmen, die beispiels­weise RSA – einem der am weitesten verbreiteten krypto­grafischen Systeme – zugrunde liegen, basiert der Quanten­schlüssel­austausch auf der unbewiesenen Annahme, dass bestimmte mathe­matische Funktionen leicht zu berechnen, aber schwer umkehrbar sind. Genauer gesagt beruht RSA auf der Tatsache, dass es für heutige Computer schwierig ist, die Primfaktoren einer großen Zahl zu finden, während es für sie einfach ist, bekannte Primfaktoren zu multi­pli­zieren, um diese Zahl zu erhalten.

Die Geheimhaltung wird also durch die mathe­matische Schwierigkeit gewähr­leistet. Doch was heute unvorstellbar schwierig ist, kann morgen schon einfach sein. Quanten­computer sind bekanntlich in der Lage, Primfaktoren wesentlich effizienter zu finden als klassische Computer. Sobald Quanten­computer mit einer ausreichend großen Anzahl von Qubits zur Verfügung stehen, wird die RSA-​Verschlüsselung durch­dringbar werden.

Doch die Quantentheorie liefert nicht nur die Grundlage für das Knacken der Kryptosysteme, die das Herzstück des digitalen Handels bilden, sondern auch für eine mögliche Lösung des Problems: eine völlig andere Art der Verteilung von krypto­grafischen Schlüsseln als RSA – eine, die nichts mit der Schwierigkeit der Ausführung mathe­matischer Operationen zu tun hat, sondern mit grund­legenden physi­ka­lischen Gesetzen. Das ist der Quanten­schlüssel­austausch (engl. quantum key distribution, kurz QKD).

1991 zeigte der polnisch-​britische Physiker Artur Ekert in einer bahn­brechenden Arbeit, dass die Sicherheit des Quanten­schlüssel­austausch­verfahrens durch die direkte Ausnutzung einer Eigenschaft gewähr­leistet werden kann, die Quantensystemen eigen ist und die in der klassischen Physik keine Entsprechung hat: die Quanten­ver­schränkung. Wichtig ist, dass die Quanten­ver­schränkung zwischen zwei Systemen exklusiv ist. Sprich, nichts anderes kann mit diesen Systemen korreliert werden. Im Zusammenhang mit der Kryptografie bedeutet dies, dass Sender und Empfänger durch verschränkte Quantensysteme gemeinsame Ergebnisse erzeugen können, ohne dass Dritte heimlich Kenntnis von diesen Ergebnissen erlangen können.

Jeder Lauschangriff hinter­lässt Spuren, die eindeutig ein Eindringen anzeigt. Kurzum: Die legitimen Parteien können auf eine Art und Weise mitein­ander inter­agieren, die – dank der Quantentheorie – grund­sätzlich außerhalb der Kontrolle eines Gegners liegt. In der klassischen Krypto­graphie ist eine vergleich­bare Sicherheits­garantie unmöglich.

Im Laufe der Jahre wurde erkannt, dass QKD-​Verfahren, die auf den von Ekert eingeführten Ideen beruhen, einen weiteren bemerkens­werten Vorteil haben: Die Benutzer müssen nur sehr allgemeine Annahmen über die dabei verwendeten Geräte machen. Im Gegensatz dazu erfordern frühere Formen von QKD, die auf anderen Grund­prinzipien basieren, detail­lierte Kenntnisse über das Innenleben der verwendeten Geräte. Die neuartige Form von QKD ist nun allgemein als „geräte­unab­hängige QKD“ bekannt und ihre experi­mentelle Umsetzung wurde zu einem wichtigen Ziel in diesem Forschungsfeld. Nun ist ein solches bahn­brechendes Experiment endlich gelungen.

Bei dem neuen Experiment wurden zwei einzelne Ionen – eines für den Sender und eines für den Empfänger – in getrennten Fallen festgehalten, die mit einer Glasfaser mitein­ander verbunden wurden. In diesem Quanten­netzwerk wurde die Verschränkung zwischen den Ionen über Millionen von Durchläufen mit rekordhoher Zuver­lässig­keit erzeugt. Ohne eine solche zuverlässige Quelle qualitativ hoch­wertiger Verschränkung hätte das Protokoll nicht auf praktisch sinnvolle Weise durchgeführt werden können.

Ebenso wichtig war der Nachweis, dass die Verschränkung in geeigneter Weise ausgenutzt wird. Das geschah durch den Nachweis, dass die Bell-​Ungleichungen verletzt werden. Darüber hinaus waren für die Analyse der Daten und eine effiziente Extraktion des krypto­grafischen Schlüssels erhebliche Fortschritte in der Theorie erforderlich.

Renato Renner von der ETH Zürich trug zu den theoretischen Fortschritten bei, die diese Arbeit ermöglichten. Seine Gruppe und andere haben das grundlegende Verständnis und praktische Methoden entwickelt, um die Sicherheit von quanten­krypto­graphischen Verfahren unter realistischen Bedingungen, wie Rauschen und Unvollkommen­heiten, zu beweisen. Mit diesen Werkzeugen war das Team in der Lage, genau zu bestimmen, wie viel Information an einen Angreifer durch­sickern könnte. Interes­santer­weise kann diese Grenze durch geeignete Nach­bearbeitung beliebig niedrig angesetzt werden, sobald das Leck unter einem bestimmten Schwellenwert liegt. Für das jetzt durch­ge­führte Experiment war es daher von zentraler Bedeutung, erfolgreich nach­zu­weisen, dass dieser Schwellenwert tatsächlich erreicht wurde.

Bei dem Experiment befanden sich die „recht­mäßigen Parteien“ – die Ionen – in ein und demselben Labor. Aber es gibt einen klar vorge­zeichneten Weg, die Entfernung zwischen ihnen auf Kilometer und mehr auszudehnen. Mit dieser Perspektive und den jüngsten Fortschritten bei ähnlichen Experimenten in Deutschland und China besteht nun die reale Aussicht, das theoretische Konzept von Ekert in eine praktische Technologie umzusetzen.

ETH Zürich

Weitere Infos

• Originalveröffentlichung
  D. P. Nadlinger et al.: Experimental quantum key distribution certified by Bell's theorem, Nature  607, 682 (2022); DOI: 10.1038/s41586-​022-04941-5
• Quanteninformationstheorie, Institut für theoretische Physik, Eidgenössische Technische Hochschule Zürich, Schweiz