Haltbares Quantensiegel

Ob eine digitale Nachricht echt und unverfälscht ist, lässt sich anhand einer beigefügten digitalen Signatur überprüfen. Die Sicherheit solcher Signaturen beruht jedoch auf unbewiesenen Annahmen über die Schwierigkeit bestimmter Rechenoperationen, wie etwa der Faktoren­zerlegung vielstelliger Zahlen. Grundsätzliche Sicherheit versprechen hingegen Quantensiegel, die die Eigenschaften spezieller Quantenzustände nutzen. Die diese Zustände schnell zerfallen, schienen Quantensiegel nur von kurzer Dauer zu sein. Jetzt haben Forscher in Schottland ein haltbares Quantensiegel entwickelt und getestet.

Wenn Alice eine digital signierte Nachricht mit Bob austauscht, gehen sie folgendermaßen vor. Alice berechnet für die Nachricht eine Prüfsumme P, die sie mit einem nur ihr bekannten „privaten“ Verfahren verschlüsselt. Bob erhält die Nachricht zusammen mit der verschlüsselten Prüfsumme Q, die er mit einem öffentlich bekannten Verfahren entschlüsselt, P = f(Q), und dann mit der Prüfsumme vergleicht, die er für die von ihm erhaltene Nachricht berechnet hat. Stimmen beide Prüfsummen überein, so ist die Nachricht mit hoher Wahr­schein­lich­keit unverfälscht und stammt von Alice. Dieses Verfahren ist allerdings nur sicher, wenn niemand außer Alice das private Verschlüs­selungs­verfahren kennt oder durch Umkehrung des öffentlich bekannten Verfahrens, Q = f^–1(P), erhalten kann.

Absolute Sicherheit verspricht hingegen eine Quantensignatur, die Daniel Gottesman und Isaac Chuang schon 2001 entwickelt hatten. Dabei verschlüsselt Alice die aus ihrer Nachricht gewonnen Prüfsignaturen P_k, indem sie für jedes P_k auf bestimmte Weise einen Quantenzustand |Q_k erzeugt, der aus verschiedenen nicht orthogonalen Einzel­zuständen besteht. Klonverbot und Unschärfebeziehung in der Quanten­mechanik sorgen dafür, dass es unmöglich ist, den Zustand |Q_k durch eine Messung eindeutig zu bestimmen. Bob speichert nun diese Quantenzustände bis Alice ihm die Nachricht zusammen mit den Signaturen P_k schickt. Dann kann er gezielt Messungen an den |Q_k vornehmen und überprüfen, ob die Mess­ergebnisse in Einklang mit den P_k sind.

Da nur Alice die zueinander passenden P_k und |Q_k erzeugen kann, lässt sich die Echtheit der dazu gehörenden Nachricht überprüfen. So ist Bob sicher, dass die mit Quantensiegel versehene Nachricht tatsächlich von Alice stammt, selbst wenn diese es abstreitet. Zudem kann Bob die versiegelte Nachricht an Charlie weiterzuleiten, indem er ihm die Quanten­zustände |Qk überlässt. Allerdings setzt dieses Verfahren voraus, dass man Quanten­zustände beliebig lange speichern kann, was gegenwärtig jedoch nicht der Fall ist. Spätestens nach einigen zehn Minuten macht die Dekohärenz bisher allen gespeicherten Quanten­zuständen den Garaus.

Erika Andersson von der Heriot-Watt University in Edinburgh und ihre Mitarbeiter hatten kürzlich vorgeschlagen, die Echtheit einer Nachricht mit Quantenzuständen zu besiegeln, ohne diese Zustände speichern zu müssen. Dazu werden die bei Bob ankommenden Quantenzustände direkt bestimmten Messungen unterzogen und die Ergebnisse später mit den von Alice kommenden Informationen verglichen. Jetzt haben Forscher um Erika Andersson und Gerald Buller in Edinburgh die Praxis­tauglichkeit dieser haltbaren Quantensiegel im Experiment getestet.

Die Quantenzustände |Q_k bestanden jeweils aus einer zeitlichen Folge von L kohärenten Photonenzuständen |α, die von einem gepulsten Laser erzeugt wurden. Die mittlere Zahl der Photonen war durch |α|² gegeben und lag zwischen eins und zwölf. Die Phase der einzelnen kohärenten Zustände wechselte zufällig zwischen den Werten 0, π/2, π und 3π/2, sodass jedes |Q_k aus einer Folge der vier nicht ortho­gonalen kohärenten Zustände |α, |iα, |–α und |–iα bestand. Jeder Laserpuls wurde einer „eliminierenden“ Messung unterzogen. Dabei wurde überprüft, ob man ausschließen konnte, dass es sich bei dem Puls um einen bestimmten der vier möglichen kohärenten Zustände handelte. Ergab etwa die |iα-Messung für den ankommenden Puls den Wert 0, so konnte der Laserpuls nicht der kohärente Zustand |iα sein.

Da die vier möglichen Zustände nicht orthogonal waren, ließ sich durch die eliminierende Messung nur Teilinformation über den Zustand |Q_k gewinnen. Doch bei hinreichend großer Pulszahl L genügte diese Zustands­information, um durch Vergleich mit der später übermittelten Signatur P_k auffällige Unstimmig­keiten aufzuspüren, die auf eine Verfälschung der Laserpulse oder der Signatur hindeuteten. Passte alles zusammen, so konnte man eine übermittelte Nachricht mit großer Wahrschein­lichkeit als unverfälscht ansehen.

Die Messungen der Forscher zeigten, wie die Erfolgs- und die Fehlerrate ihres Verfahrens von der mittleren Photonenzahl je (stark gefiltertem) Laserpuls abhingen. Ein Erfolg lag vor, wenn die Messung des Pulses einen der drei nicht vorliegenden kohärenten Zustände eliminiert hatte. Hingegen war es ein Fehler, wenn für einen Puls im Zustand |α die Messung ergeben hatte, dass genau dieser Zustand angeblich nicht vorlag. Die Erfolgsrate war etwa zehnmal so groß wie die Fehlerrate. Außerdem lag sie deutlich über der Erfolgsrate eines anderen Mess­verfahrens, bei dem gezielt nach dem Vorliegen eines bestimmten Zustandes gefragt wurde.

Die Forscher kommen zu dem Schluss, dass gegenwärtig etwa 10¹³ Laserpulse pro Quantenzustand |Q_k nötig wären, um die Verfälschung einer quanten­versiegelten Nachricht praktisch ausschließen zu können. Diese gigantische Pulszahl ließe sich auf 10⁹ verringern, indem man kohärente Zustände mit |α|² = 0,5 sowie ein neues verbessertes Protokoll und verbesserte optische Komponenten benutzt. Taktfrequenzen im GHz-Bereich sind mit den benutzten Lasern (VCSEL) und Frequenz­modulatoren sowie mit geeigneten elektronischen Schaltungen erreichbar, sodass sich vernünftige Über­tragungs­raten erreichen ließen.

Rainer Scharf

OD