Einführung in die Quantenkryptographie

University of Applied Sciences Aachen Einführung in die Quantenkryptographie Autor: Nikolay Kim Matrikel-Nr.: 837067 Betreuer: Prof. Ulrich Stegelmann Dr. Michael Gude

Inhaltsverzeichnis Übersicht...3 1 Klassische Kryptographie...5 1.1 Kryptographie von der Antik bis heute...5 1.1.1 Geschichte in Kürze...5 1.1.2 Ziele...6 1.1.3 Monoalphabetische und polyalphabetische Verschlüsselungen...6 1.1.4 Weitere Begriffe und Regeln...6 1.2 Verschlüsselungsarten...7 1.2.1 Symmetrische Verschlüsselung...7 1.2.2 Asymmetrische Verschlüsselung...8 1.3 Sicherheitsanforderungen einer Verschlüsselungsfunktion...8 1.4 Der One-Time-Pad-Algorithmus...9 1.5 Der DES-Algorithmus...9 1.6 Der RSA-Algorithmus...10 1.7 Potenzielle Angriffsmöglichkeiten der klassischen Kryptographie...11 2 Quantenkryptographie...13 2.1 Theoretische Basis der Quantenkryptographie...13 2.1.1 Qubit...13 2.1.2 No-Cloning-Theorem...14 2.1.3 Quanteninformationsverarbeitung und Entropie...15 2.2 Aufbau eines Quantenkryptosystems...16 2.3 Polarisation...18 2.4 Messen und Eindeutigkeit der Messergebnisse...19 2.5 BB84-Protokoll...22 2.6 Paritätsprüfung und Sicherheit...23 3 Beispiele anhand des Protokolls BB84...24 3.1 Beispiel 1. Quantenschlüsselübertragung (ohne Lauschen)...24 3.2 Beispiel 2. Quantenschlüsselübertragung (mit Lauschen)...25 Fazit...27 Anhang...28 Literaturverzeichnis...30-2 -

Übersicht Diese Arbeit beschäftigt sich mit der Quantenkryptographie, welche aus heutiger Sicht die Möglichkeit einer absolut sicheren Schlüsselübertragung bietet. Zudem gibt die Arbeit eine ausreichende Vorstellung des Bereiches der Quanteninformation und eine Analyse des Standes moderner Sicherheitsmechanismen. Der erste Teil beginnt mit der Geschichte und formalen Aufteilung der allgemeinen Kryptographie. Außerdem werden hier die Ziele betrachtet und die wichtigen allgemeinen Begriffe und Regeln erklärt. Zum Vergleich und um die Schwachstellen der ante-quantum Verfahren zu ermitteln, wird die klassische Kryptographie im ersten Teil an Beispielen der meistens benutzten Algorithmen wie One-Time-Pad, DES und RSA erläutert. Als Grundlage werden im zweiten Teil die wichtigsten Regeln und Konzepte der Quantenphysik und deren Anwendung im Bereich der Kryptographie vorgestellt. Unter anderem enthält der zweite Teil die Beschreibung und die Funktionalitätsansätze der quantenkryptographischen Mechanismen, die für eine sichere Schlüsselübertragung notwendig sind. Die aktuelle Methode der Quantenschlüsselübertragung wird hier sowohl von der theoretischen als auch von der praktischen Seite betrachtet. Im dritten Teil dieser Arbeit wird ein Beispiel einer sicheren Schlüsselübertragung unter Anwendung des BB-84-Protokolls mit und ohne Lauschen gezeigt. - 3 -

Einleitung Seit jeher versuchen die Menschen Information geheim zu halten. Früher waren die geheimen Botschaften meistens in textueller Form nur für seltene Zwecke verfasst und heutzutage sind die verschlüsselten Dateien in jeder Art und in vielen Bereichen notwendig. Vor der Computer-Epoche wurden die Nachrichten, die man verschlüsseln wollte, entweder per Hand oder mittels spezieller Mechanismen verschlüsselt. Kein Verfahren garantierte absolute Sicherheit. Bevor Computer entwickelt wurden, zählten diese Verfahren als effiziente Verschlüsselungsmöglichkeiten. In unserer heutigen hochcomputerisierten Welt braucht die Maschine Bruchteile von Sekunden, um die Geheimtexte, die mit so einem Verfahren verschlüsselt wurden, zu entziffern. Die Rechengeschwindigkeit der Computer war die Ursache, dass die Menschheit neue und ganz andere Verschlüsselungsalgorithmen brauchte. Solche Algorithmen, meistens mit sehr komplizierter Struktur, oder im Gegenteil mit einfacher Eleganz, wurden nach Bedarf der Menschen und zeitentsprechend entwickelt. Sie haben in vielen Bereichen des Lebens ihre praktische Realisierung gefunden. Die klassische Kryptographie umfasst alle oben genannten Methoden. Kryptographie (von altgriechisch kryptós = geheim und gráphein = schreiben) ist die Kunst, private Information durch Verwendung verschiedener Algorithmen und Mechanismen geheim zu halten. Ein wichtiger Schwachpunkt der Wissenschaft der Kryptographie ist die Inexistenz mathematischer Beweise fast aller klassischen Verschlüsselungsmechanismen. Keine Schlüsselübertragung ist im Rahmen der klassischen Kryptographie 100% sicher. Die Robustheit solcher Verfahren liegt in dem Rechenaufwand, welcher für das Brechen des Verfahrens nötig ist. Je nach der Entwicklung entsprechender Technologie vergrößert man den Rechenaufwand der möglichen Entzifferung ohne Kenntnis des Schlüssels. Dies geschieht beispielsweise durch Vergrößerung der Schlüssellänge. Das wird möglich bis zu dem Zeitpunkt, wenn das Problem in polynomialer Rechenzeit allgemein gelöst werden könnte. Die aktuelle Situation sieht so aus, dass es einen Bedarf für einen sicheren, bewiesenen Verschlüsselungsmechanismus im Zusammenhang mit der absolut geschützten Schlüsselübertragung existiert. So wird das Kryptosystem auf allen Ebenen notwendige Sicherheit liefern. Dem Bedürfnis entspricht beispielsweise der One-Time-Pad-Algorithmus mit dem Quanten- Schlüsselaustausch. Quantenkryptographie vervollständigt die klassischen Verschlüsselungsalgorithmen um die abhörsichere Schlüsselübertragung, da alle klassischen Verfahren keine Mechanismen für den geschützten Schlüsselaustausch haben. Quantenkryptographie an sich ist keine Verschlüsselung, sondern bietet eine absolut sichere theoretische Basis für die Schlüsselübertragung. Klassische Kryptographie benutzt Mathematik, wobei der Quantenkryptographie Physik zugrunde liegt. Im Bereich der Mikroteilchen existieren Effekte, die in der Makrowelt ihren Weg in die praktische Anwendung finden. Eine zukünftige Perspektive der Quantenkryptographie ist die allgemeine abhörsichere Datenübermittlung unabhängig von der Dateigröße und ohne Begrenzung der Entfernung. - 4 -

1 Klassische Kryptographie 1.1 Kryptographie von der Antik bis heute 1.1.1 Geschichte in Kürze Die ersten Einsätze der Kryptographie finden sich, vorwiegend im militärischen Bereich, schon im fünften Jahrhundert vor Christus. In der jetzigen Zeit hat die Kryptographie großen Einfluss im zivilen Leben gewonnen, wobei der Unterschied zwischen Militär- und Zivilkryptographie sehr unscharf ist. Ist es eine militärische oder zivile Situation, wenn z.b. jemand die Meteodaten, die die Flugpiloten verschlüsselt bekommen, verfälscht? Die Übermittlung geheimer Nachrichten spielte oft eine entscheidende Rolle nicht nur für einzelne Menschen, sondern auch für ganze Gesellschaften und Länder. Viele Geschichten, wo die Verschlüsselung eingesetzt wurde, blieben natürlich unbekannt, aufgrund der Besonderheit der Kryptographie. Kryptographie ist sehr mit anderen Wissenschaftsgebieten verwandt: Kombinatorik, Statistik, vielen mathematischen Untergebieten wie Zahlentheorie und Analysis, Informationsübertragung, Komplexitätstheorie, Nachrichtentechnik sowie heutzutage auch Stochastik und Physik. Inzwischen hat sich Kryptographie zu einem weltweiten Standard entwickelt. Der öffentliche Bedarf an Kryptographie wächst von Tag zu Tag. Die verlangte kryptographische Sicherheit wächst noch stärker, so dass die meistens nicht bewiesenen und nur unter bestimmten Voraussetzungen sicheren Algorithmen der klassischen Kryptographie die Anforderungen nicht vollständig bewältigen. Als mögliche Lösung dieses Problems soll die praktische Quantenkryptographie dienen. In der modernen Welt sehen wir schon die ersten Anfänge praktischer Realisierung der Quantenkryptographie, wobei die praktischen Einsätze noch weit weg von der theoretischen Basis liegen. Der Grund dafür ist die Abhängigkeit von der Implementierung physikalischer Prozesse. Allgemeine Kryptographie Ante-Computer Kryptographie Computer Kryptographie Verschlüsselung per Hand Beispiele: Caesar-Verschiebung, Skytale, Vigenère-Chiffre Verschlüsselung durch spezielle Maschinen Beispiele: ENIGMA, Kryha, Lorenz- Schlüsselmaschine, M-209 Tabelle 1: Einteilung der Kryptographie - 5 - Klassische Kryptographie Beispiele: RSA, DES, One-Time-Pad Neue Kryptographie Beispiele: Quantenkryptographie, Post- Quantenkryptographie, Kryptographie durch Synchronisation Neuronaler Netzwerke

1.1.2 Ziele Geheimhaltung: Die Nachrichten müssen so ausgetauscht werden, dass Zugriffsrechte die Daten nicht entziffern können. Personen ohne Integrität: Es muss möglich sein, festzustellen, ob die Nachricht nach der Verschlüsselung geändert (verfälscht) wurde. Authentifikation: Der Absender und der Empfänger müssen die Möglichkeit haben zu prüfen, ob die beiden Teilnehmer genau die berechtigten Personen sind. Anonymität: Nach Bedarf müssen der Empfänger, der Absender oder die Tatsache, dass die Datenübertragung stattfindet, geheim sein. (Datenschutz) Verfügbarkeitsnachweis: Der Absender muss dem Empfänger oder einem Dritten nachweisen können, dass er die richtige Nachricht hat, ohne sie zu senden. (z.b. beim Online-Kauf) 1.1.3 Monoalphabetische und polyalphabetische Verschlüsselungen Monoalphabetisch: Jedem Buchstaben ist ein festes Symbol zugeordnet. (durch Häufigkeitsbetrachtungen brechbar) Polyalphabetisch: Einem Buchstaben sind unterschiedliche Symbole zugeordnet, so dass keine Eindeutigkeit besteht. (mit geschickter Implementierung praktisch unknackbar) 1.1.4 Weitere Begriffe und Regeln Kerckhoffs Maxime (Grundsatz der modernen Kryptographie) Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf der Geheimhaltung des Schlüssels. Kryptoanalyse die Sammlung aller Methoden und Techniken, um die verschlüsselten Nachrichten zu entziffern. Kryptologie = Kryptographie + Kryptoanalyse Steganographie auch die Wissenschaft der Verschlüsselung, wobei aber, im Gegensatz zur Kryptographie, die Tatsache der Nachrichtenübermittlung geheim sein muss. Kryptographische Stabilität das Maß, welches zeigt, wie das Kryptosystem gegen Entzifferung mittels Kryptoanalyse gesichert ist. Digitale Signatur ist ein asymmetrisches kryptographisches Verfahren, welches es ermöglicht, elektronische Dokumente zu signieren, so dass die Urheberschaft geprüft werden kann. - 6 -

1.2 Verschlüsselungsarten 1.2.1 Symmetrische Verschlüsselung Ein symmetrischer Algorithmus verschlüsselt den Klartext m mit nur einem Schlüssel k, welcher sowohl zur Verschlüsselung als auch zur Entschlüsselung dient. Die Verschlüsselungsfunktion, die den Schlüssel k und den Klartext m als Eingabeparameter bekommt und den Geheimtext c zurückliefert, sieht wie folgt aus: c= f k,m Die Verschlüsselungsfunkton muss selbstverständlich umkehrbar sein, da ansonsten die Entschlüsselung unmöglich wird. Die Umkehrfunktion für die Entschlüsselung sieht wie folgt aus: m= f * k,c Es gibt symmetrische Verfahren, wo die Schlüssel für die Ver- und Entschlüsselung trotzdem verschieden sind. Aber in dem Fall kann der Schlüssel für die Entschlüsselung aus dem Schlüssel, mit dem die Nachricht verschlüsselt wurde, abgeleitet werden und umgekehrt. Nach dem Kerckhoffsschen Prinzip muss nur der Schlüssel unbekannt sein und nicht die Funktion selbst. Die Algorithmen zur symmetrischen Verschlüsselung von Daten unterteilt man in Blockchiffren und Stromchiffren 1. Bei einer Blockchiffre wird die Nachricht in Blöcke m 1, m 2, m 3..., fester Länge eingeteilt (typische Zahlen sind 64 oder 128 Bit), und jeder Block m i wird unter Verwendung des Schlüssels einzeln verschlüsselt: c i = f k,m i für i=1,2,3,... k f m 5 m 4 m 3 c 1 c 2 c 3 Bild 1: Blockchiffre Bei einer Stromchiffre wird eine Nachricht zeichenweise verschlüsselt. Hierzu wird ein Schlüsselstrom erzeugt, der die gleiche Länge hat wie der Klartext, so dass jeweils ein Klartextzeichen mit einem Schlüsselzeichen zu einem Chiffretextzeichen verknüpft werden kann. Während also bei einer Blockchiffre (jedenfalls im Grundmodus) gleiche Klartextblöcke in gleiche Geheimtextblöcke überführt werden, so wird (und sollte) eine Stromchiffre gleiche Klartextzeichen nicht in gleiche Geheimtextzeichen verschlüsseln. 1 entnommen aus: Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie 2010-7 -

1.2.2 Asymmetrische Verschlüsselung. Jedem Teilnehmer des asymmetrischen Verschlüsselungssystems wird ein privater Schlüssel und ein öffentlicher Schlüssel k pb zugeordnet. Mit der Verschlüsselungsfunktion f sieht der asymmetrische Algorithmus wie folgt aus: Für die Verschlüsselung benutzt man einen öffentlichen Schlüssel: c= f 1 k pb,m Mit einem privaten Schlüssel wird die Nachricht eindeutig entschlüsselt: m= f 2 k pr, c Die beiden Schlüssel haben eine bestimmte mathematische Beziehung, so dass die Nachricht, die mit einem öffentlichen Schlüssel verschlüsselt wurde, mit einem privaten Schlüssel entschlüsselt werden kann. Dabei ist auch zu beachten, dass aus dem öffentlichen Schlüssel kein privater Schlüssel oder keine Teilinformation abgeleitet werden kann, da der öffentliche Schlüssel nicht geheim sein soll. Die Bedingung ist erfüllt, wenn z.b. eine nicht umkehrbare 1 mathematische Funktion benutzt wird. Hier gilt das Kerckhoffssche Prinzip natürlich auch, so dass nur der private Schlüssel geheim sein muss. Der öffentliche Schlüssel kann auf einem nicht geschützten Kanal übermittelt werden und die Verschlüsselungsfunktion darf bekannt sein. 1.3 Sicherheitsanforderungen einer Verschlüsselungsfunktion Eine Verschlüsselungsfunktion f ist sicher, wenn sie die folgenden Angriffe übersteht 2 : - Ciphertext-only attack: Der Angreifer kennt eine begrenzte Anzahl von Geheimtexten und möchte daraus die zugehörigen Klartexte bzw. den verwendeten Schlüssel berechnen. - Know-plaintext attack: Der Angreifer kennt eine begrenzte Anzahl von Geheimtexten mit den zugehörigen Klartexten und möchte daraus den verwendeten Schlüssel bzw. den Klartext zu einem weiteren Chiffretext berechnen. - Chosen-plaintext attack: Der Angreifer hat sich den Zugang zu der mit dem Schlüssel k parametrisierten Verschlüsselungsfunktion f verschafft. Er kann den Schlüssel k zwar nicht auslesen, aber bestimmte von ihm ausgewählte Klartexte (z.b. spezielle Klartexte wie 100000000 ) mit Hilfe von f k verschlüsseln. Mit Hilfe dieser Information möchte er andere Geheimtexte entschlüsseln bzw. den Schlüssel k berechnen. - Chosen-ciphertext attack: Der Angeifer hat sich Zugang zu der mit dem Schlüssel k parametrisierten Entschlüsselungsfunktion f verschafft. Er kann den Schlüssel k zwar nicht auslesen, aber bestimmte von ihm ausgewählte Geheimtexte mit Hilfe von f k entschlüsseln. Mit Hilfe dieser Information versucht er, den Schlüssel k zu berechnen. 1 Nach heutigem Stand der Technik und Kenntnis sind solche Funktionen in polynomialer Zeit nicht umkehrbar. Die Umkehrungen in exponentialer Zeit sind theoretisch möglich. 2 entnommen aus: Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie 2010-8 - k pr

1.4 Der One-Time-Pad-Algorithmus Der One-Time-Pad Algorithmus wurde als symmetrisches Verschlüsselungsverfahren von Joseph O. Mauborgne und GilbertVernam im Jahre 1918 entwickelt und gehört als Prototyp zu allen polyalphabetischen Stromchiffreverfahren. Bei einer Stromchiffre wird eine Nachricht zeichenweise verschlüsselt. Damit das Kerckhoffsche Prinzip erfüllt wird, muss der Schlüssel: genauso lang wie die zu verschlüsselte Nachricht sein, gleichverteilt und zufällig gewählt werden, geheim bleiben und darf nicht wiederverwendet werden. (Die Teilinformation des Schlüssels darf auch nicht wiederverwendet werdet, da mit Hilfe der Häufigkeitsanalyse die Entzifferung möglich wird) Der One-Time-Pad-Algorithmus ist ein Substitutionsverfahren, wobei jeder Buchstabe des Alphabetes durch ein Substitutionssymbol kodiert wird. In der modernen Welt sind die Nachricht und der Schlüssel zwei Folgen von Bits. Für die Verschlüsselung benutzt man z.b. die XOR Verknüpfung. Das One-Time-Pad Verfahren ist absolut kryptographisch stabil. Die Aussage wurde im Jahre 1949 von Claude Shannon mathematisch bewiesen. Selbst wenn man alle Möglichkeiten ausprobiert, bekommt man nicht eindeutig die richtige Nachricht. Der Nachteil dieses Verfahrens ist die Tatsache, dass man, um eine Nachricht geheim übertragen zu können, vorher einen Schlüssel gleicher Länge geheim übertragen muss. Die perfekte Sicherheit basiert auf folgenden Aspekten: Jeder mögliche Schlüssel liefert eine Nachricht, die mit bestimmter Wahrscheinlichkeit als richtige logische Nachricht interpretiert werden kann. Nur die Kenntnis des Schlüssels gibt eindeutig die richtige Nachricht. 1.5 Der DES-Algorithmus DES Data Encryption Standart ist ein symmetrischer Verschlüsselungsalgorithmus, welcher als Blockchiffre funktioniert. Der DES-Algorithmus wurde für die US-Regierung im Jahr 1976 entwickelt. Dem Verfahren liegen Permutationen und Substitutionen zugrunde, die nach bestimmtem Schema (s. Feistal-Netzwerk [1]) durchgeführt werden müssen. Der Klartext wird in 64-Bits-Blocke eingeteilt und jeder Block einzeln mit einem 64-Bit-Schlüssel verschlüsselt. Dabei beträgt die effektive Schlüssellänge nur 56 Bits, da 8 Bits für die Paritätsprüfung benötigt werden. Nach dem gesamten Ablauf, welcher aus 16 Runden besteht, werden die Blöcke im Geheimtext zusammengefasst. Die gesamte Sicherheit liegt im Schlüssel, aus welchem die für jeden Block notwendigen Rundenschlüssel durch verschiedene Permutationen berechnet werden. Zur Entschlüsselung muss jeder Geheimblock alle Operationen in umgekehrter Reihenfolge mit demselben Algorithmus durchlaufen. Der Algorithmus hat eine sehr komplizierte Struktur. Aber die gesamte Dokumentation ist vollständig veröffentlicht, so dass die weitere Untersuchung für jeden möglich ist. (s. zum Beispiel [2]) - 9 -

1.6 Der RSA-Algorithmus Der RSA-Algorithmus 1 wurde 1978 von R. Rivest, A. Shamir und L. Adleman erfunden. Deiser Algorithmus kann sowohl zur Verschlüsselung als auch zur Erzeugung digitaler Signaturen verwendet werden. Wichtige Grundbausteine der Kryptographie sind Funktionen, die leicht zu berechnen, aber möglichst schwer umzukehren sind. Ein Beispiel für eine solche Funktion ist die Multiplikation natürlicher Zahlen; diese ist einfach durchzuführen, aber ihre Umkehrung, also Faktorisierung, ist für große Zahlen praktisch unmöglich. Dem RSA-Algorithmus liegt folgende mathematische Tatsache zugrunde: Sei n= pq das Produkt zweier verschiedener Primzahlen p und q. Dann gilt für jede natürliche Zahl m n und jede natürliche Zahl j die Gleichung m j p 1 q 1 1 mod n=m Erzeugung des öffentlichen und privaten Schlüssels: 1. Wähle zufällig und stochastisch unabhängig zwei Primzahlen p q 2. Berechne das Produkt n= pq 3. Berechne die Funktion φ n = p 1 q 1 4. Wähle eine Zahl e, so dass e und φ n teilerfremd sind und gilt 1 e φ n 5. Berechne d, so dass gilt de=1 jφ n mit j N 6. Benutze k pb = e,n als öffentlichen Schlüssel 7. Benutze k pr = d, n als privaten Schlüssel Verschlüsselung: Entschlüsselung: c= f 1 k pb,m =m e mod n m= f 2 k pr, c =c d mod n wo m = Klartext, c = Geheimtext Digitale Signaturen: erzeuge eine digitale Signatur s= f k pr, m =m d mod n und sende ( m,s ) empfange ( m,s ) und prüfe f k pb, s =s e mod n m richtige Signatur 1 entnommen aus: Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie 2010-10 -

1.7 Potenzielle Angriffsmöglichkeiten der klassischen Kryptographie Erhöhung der CPU-Frequenz. Durch die Erhöhung der CPU-Frequenz ist es möglich, die notwendige Rechengeschwindigkeit zu erreichen, so dass die heutigen Verschlüsselungsmechanismen mit öffentlichen Schlüsseln gebrochen werden können. Auch die symmetrischen Algorithmen sind nicht mehr sicher. Die Erhöhung der CPU-Taktfrequenz stößt aber auf technisch bedingte Grenzen. Die Bandbreite der Bus-Leitungen lässt sich, wegen der Abhängigkeiten der Widerstands- und Kapazitätsbeläge der Leitungen, nicht mehr erhöhen. Die weitere wesentliche Erhöhung der Bausteinanzahl des Prozessors auf einem Mikrochip führt dazu, dass der Chip thermische Verlustleistung nicht mehr abführen kann, da die vorhandenen Abkühlungsmöglichkeiten nicht mehr ausreichen. Selbst wenn man andere Technologien und Materialien benutzen würde, z.b. Superleitfähigkeit und Graphen, kann man die Sicherheit der Verschlüsselungsalgorithmen durch Erhöhung des Rechenaufwandes immer auf dem gewünschten Stand halten. Parallele Programmierung und verteiltes Rechnen. Parallele Programmierung und verteiltes Rechnen ermöglichen bis zu gewissen Grenzen das Dechiffrieren ohne Schlüsselkenntnis. Die Rechengeschwindigkeit, die durch parallele Programmierung und verteiltes Rechnen potentiell erreicht werden kann, ist nach dem Amdahlschen Gesetz sehr begrenzt. Der Grund dafür ist die Synchronisation, die man nur für eine bestimmte Anzahl der Rechner bekommen kann. Die weitere Vergrößerung der Anzahl paralleler PCs lohnt sich nicht mehr, da der Synchronisationsaufwand größer wird, als die dadurch gewonnene Rechengeschwindigkeit. Clevere Algorithmen. Die Erfindung der cleveren Algorithmen (z.b. wenn P = NP) könnte die Einwegfunktionen allgemein in polynomialer Zeit umkehren. Solche Algorithmen würden die asymmetrische, RSAähnliche Kryptographie unbrauchbar machen. Die Existenz solcher Algorithmen halten die Wissenschaftler für sehr unwahrscheinlich. GPU-Programmierung. Kryptographische Operationen wie zum Beispiel Schlüsseltest oder Brute-Force-Attake, lassen sich sehr gut parallelisieren. GPU Programmierung bietet im Vergleich zu dem verteilten Rechnen oder der klassischen parallelen Programmierung bessere Synchronisation, da die GPU-Kerne nah an einander platziert sind und eine logische Einheit bilden. Um die Rechengeschwindigkeit zu vergrößern, ist es möglich einen GPU-Cluster zu konstruieren. Da GPUs relativ preiswert und weit verbreitet sind, ist es möglich sie für das Dechiffrieren zu nutzen. Außerdem erweitert die GPU- Programmierung die allgemeine parallele Programmierung indem man nicht nur die PCs, sondern auch die Spielkonsolen miteinander einbinden kann. Für die GPU Programmierung gelten auch die Synchronisationseinschränkungen der klassischen parallelen Programmierung, so dass man ein kryptographisches Verfahren nicht allgemein brechen kann und die kryptographische Stabilität immer durch die Vergrößerung der Schlüssellänge auf einem hohen Niveau gehalten werden kann. Spezielle Hardware. Die Verwendung spezieller Hardware ist heute eine meist gefahrbringende Angriffsmöglichkeit auf Verschlüsselungsmechanismen. Eine mögliche Architektur bekommt man, wenn mehrere speziell - 11 -

entwickelte Krypto-Chips in einem Set auf einer Platine nah an einander platziert werden, so dass bessere Synchronisation erreicht werden kann. Solche Krypto-Chips werden speziell für das Schlüsseltesten entwickelt. Ein Beispiel hierfür ist die Maschine Deep Crack, die etwa 88 Milliarden Schlüssel pro Sekunde testen kann. Die FPGA Technologie gibt uns die Möglichkeit ein FPGA als Krypto-Chip zu programmieren. Ein Set von FPGAs kann potenziell jedes klassische RSA- oder DAS-ähnliche Verschlüsselungssystem brechen. Der entscheidenden Grund, warum es nicht passiert, ist die Produktionskosten solcher Hardware, die aber mit der Zeit kostengünstiger werden. Der derzeitige Rekord wurde 2008 von der Firma SciEngines GmbH aufgestellt und auf einem Workshop 2009 erneut verbessert. Mit 128 Xilinx FPGAs lag der Durchsatz bei über 292 Milliarden Schlüsseln pro Sekunde.[3] Quantencomputer. Obwohl Quantencomputer noch nicht im praktischen Einsatz sind, sind Algorithmen bekannt, die man auf einem Quantencomputer ausführen könnte. Ein solcher Algorithmus ist der Shor- Algorithmus, welcher zum Faktorisieren der Zahlen mit polynomialer Laufzeit dient. Ein Teilgebiet der Kryptographie ist die post-quantum Kryptographie, die die klassischen Verfahren nach der Entwicklung eines Quantencomputers ersetzen müsste, da weder RSA-ähnliche noch DESähnlche Verschlüsselungen brauchbar wären. Nichtdeterministische Turingmaschine. Es ist aus der Komplexitätstheorie bekannt, dass die nicht polynomialen Probleme auf einer nichtdeterministischen Turingmaschine polynomial gelöst werden können. Diese Tatsache wurde theoretisch sehr gut untersucht. Sie hat bis heute aber keine praktische Realisierung. Eine nichtdeterministische Turingmaschine ist heute also nur eine theoretische Abstraktion, welche die formale Beschreibung einiger Problemstellungen in der Komplexitätstheorie leichter macht. Angriff auf unsichere Implementierung. Um die Algorithmen zu beschleunigen, verwendet die klassische Kryptographie manchmal eine unsichere Implementierung, z.b. wenn man anstatt echter Primzahltests die probabilistischen Primzahltests benutzt. Ein typisches Beispiel ist das RSA-Kryptosystem. Da die Laufzeit der echten Primzahltests 1 für praktische Anwendungen meist zu hoch ist, wird oft der probabilistische Miller-Rabin-Test eingesetzt. Der Miller-Rabin-Test liefert ein richtiges Ergebnis mit einer relativ großen (aber < 100%) Wahrscheinlichkeit. Es ist möglich die Wahrscheinlichkeit für ein richtiges Ergebnis beliebig groß zu machen, was aber zur Erhöhung der Laufzeit führt. Für die Kryptographie-Software besteht immer eine kleine Wahrscheinlichkeit, dass eine zusammengesetzte Zahl fälschlicherweise als eine Primzahl interpretiert wird. Selbst die Wahrscheinlichkeit, dass beide notwendigen Primzahlen keine Primzahlen sind, ist größer als Null. Die Faktorisierung von zusammengesetzten Zahlen benötigt viel weniger Rechenaufwand, was das Dechiffrieren ohne Schlüsselkenntnis in polynomialer Zeit ermöglicht. Da die Wahrscheinlichkeit der Fehler sehr klein ist und da wir nicht wissen, welche RSA-Session fehlerhafte Schlüssel enthält, sind solche Angriffe praktisch kaum anwendbar. Nichtsdestotrotz ist die Wahrscheinlichkeit, die Einwegfunktion einfach umzukehren und die beiden Schlüssel mit wenig Aufwand zu finden, größer als Null. 1 Fast alle Primzahltests sind nicht deterministische Algorithmen. Ausnahme ist der AKS-Primzahltest, dessen Determinismus und die polynomiale Laufzeit im Jahre 2002 bewiesen wurden. - 12 -

2 Quantenkryptographie 2.1 Theoretische Basis der Quantenkryptographie 2.1.1 Qubit Ein Qubit ist ein Zweizustands-Quantensystem, welches einen von beiden Zuständen mit bestimmter und steuerbarer Wahrscheinlichkeit annehmen darf. Ein Qubit ist die kleinste Informationseinheit im Rahmen der Quantenkryptographie und darf nur durch die Quantenmechanik beschrieben werden. Obwohl ein quantenmechanisches System theoretisch beliebig viele (auch unendlich viele) Zustände annehmen kann, was dem quantenmechanischen Superpositionsprinzip entspricht, ist die Rede in der Quantenkryptographie von zwei Zuständen, nämlich Null und Eins. Ein Qubit ist auch ein Maß für Quanteninformation. Da es unmöglich ist, ein quantenmechanisches System nur durch Koordinaten zu beschreiben, verwendet man in der Quantenphysik für solche Zwecke eine Wellenfunktion Ψ. Die Wellenfunktion Ψ ist eine stetige Abbildung aller möglichen Zustände, die ein Quantensystem annehmen darf. Für ein Zweizustands-Quantensystem sieht die Wellenfunktion wie folgt aus 1 : Ψ =α 0 β 1 wobei α und β die Wahrscheinlichkeitsamplituden sind, deren Quadrate den Wahrscheinlichkeiten entsprechen und komplexe Werte annehmen dürfen. Also ist jeder Zustand eines Quantensystems ein normierter Vektor im Hilbertraum. Ein Qubit nimmt den Zustand 0 mir der Wahrscheinlichkeit α 2 und den Zustand 1 mit der Wahrscheinlichkeit β 2 an. Da es um ein Zweizustands-Quantensystem geht, gilt folgende Gleichheit: α 2 β 2 =1 Alternative Definition eines Qubits über seine Dichtematrix lässt sich die Qubits auch in einem gemischten Zustand beschreiben: ρ Ψ = Ψ Ψ wobei 3 ρ= 1 2 E c i σ i, mit c 1 c 2 c 3 1, E die 2x2 Einheitsmatrix und σ i - die i=1 Pauli-Matrizen, die Dichtematrix für ein Qubit ist. 1 Im Allgemein ist diese Beschreibung nicht eindeutig, da die Phasenverschiebung nicht berücksichtigt wird. Zwei Vektoren, die sich nur durch einen Phasenfaktor e iφ nur für eine Komponente unterscheiden, Ψ 1 =α 0 β 1 Ψ 2 = α 0 e iφ β 1 befinden sich in demselben Zustand, obwohl die Vektoren zwei verschiedene Zustände beschreiben. - 13 -

Die Wahrscheinlichkeit, dass ein Quantensystem sich im Zustand Ψ durch: ρ Ψ = Ψ ρ Ψ befindet, ist gegeben 2.1.2 No-Cloning-Theorem Nach dem No-Cloning-Theorem: Es ist unmöglich einen unbekannten Quantenzustand perfekt zu kopieren. Beweis (durch Widerspruch): Annahme: Es existiert eine unitäre Operation F, die jeden Quantenzustand perfekt kopiert. D.h. es ist möglich einen Zustand auf einen anderen davon unabhängigen Zustand k zu kopieren. F k = Für einen zweiten Zustand gilt also F k = Für das Skalarprodukt F ( k ) F ( k ) muss gelten F ( k ) F ( k ) = F ( k ) F ( k ) = k k Daraus folgt = k k Das lässt sich schreiben als = k k Da k k =1 ist, folgt daraus 2 = Die Gleichheit stimmt nur, wenn entweder =0 oder =1 ist. Aus =1 folgt = Aus =0 folgt, dass orthogonal zu steht. Also ist es nur möglich alle orthogonalen Zustände perfekt zu kopieren. Das Kopieren eines beliebigen Zustandes ist unmöglich. Damit ist die Annahme falsch. q.e.d. Obwohl es unmöglich ist, eine echte Kopie eines unbekannten Quantenzustands zu erzeugen, besteht die Möglichkeit, eine unechte Kopie zu erzeugen. Wenn man eine Folge unbekannter - 14 -

Zustände kopiert, bekommt man eine unscharfe Kopie dieser Folge, welche nur zum kleinen Teil fehlerhaft ist. Diese Tatsache kann man benutzen, um ein Quantenkryptosystem zu brechen, da es heute noch schwer zu unterscheiden ist, ob die an der Empfängerseite vorhandenen Fehler Übertragungsfehler sind oder ob sie beim Abhören entstandenen sind. 2.1.3 Quanteninformationsverarbeitung und Entropie Quanteninformationsverarbeitung beschäftigt sich mit den Prozessen, die zum Speichern und Auslesen sowie zur Übertragung von Daten in einzelnen Quantensystemen dienen. Als Datenträger benutzt Quantenkryptographie die Photonen, deren Polarisationseigenschaften die quantenmechanischen Zustände beschreiben. Je nach der Abstimmung entsprechen einige Polarisationen dem Zustand '1' und andere dem Zustand '0'. Die Information ist gespeichert, wenn ein Photon eine bestimmte und protokollierte Polarisation hat. Das Auslesen wird durch die Verwendung eines Polarisationsfilters durchgeführt, dessen Wahl von der Basis abhängt. Bei der Erklärung der Quanteninformationsverarbeitung spielt die Entropie eine wichtige Rolle. Die Entropie ist ein Maß der Unbestimmtheit eines Zustandes in einem geschlossenen System. Vier folgende Zustände sind in der Quantenkryptographie möglich: ={ 1 4 0, 1 4 1, 1 4 +, 1 4 - } Zustand '1' '0' Polarisation 90 (V) oder 45 (+) 0 (H) oder -45 (-) Tabelle 2: Polarisationszustände In der Informationstheorie unterscheidet man zwischen der Shannon- (nicht Quanten-) Entropie und der von Newmann- (Quanten-)Entropie. Die Shannon-Entropie ist definiert durch: n S p = p i log 2 p i, i=1 wobei p i die Wahrscheinlichkeit ist, mit welcher der i te Quantenzustand auftritt. Sie beträgt: - für die vier obengenannten Zustände: S p = S 1 4 4 = i=1 - für einen reinen Zustand: S p = S 1 = 1log 2 1 = 0[ Bit] p i log 2 p i = 4 1 4 log 1 2 = 2[ Bit ] 4-15 -

Die von Newmann-Entropie ist definiert durch: n H p = tr plog 2 p = i log 2 i i =1 wobei p eine entsprechende Dichtematrix bezeichnet, deren Eigenwerte i sind. Sie beträgt: - für die vier obengenannten Zustände: n H p = i log i i = plog 2 p 1 p log 2 1 p = 2 plog 2 p = 2 1 1 = 1[Qubit ] i=1 2 mit p= p 0 0 p 1 - für einen reinen Zustand: H p = 1log 2 1 0log 2 0 = 0[Qubit], mit p= 0 0 0 1 p= 1 0 0 0 Folge: - Einem Qubit im Rahmen der Quantenkryptographie entsprechen zwei klassische Bits. - Nach dem Messen bekommen wir 1 Qubit der Information. - Es ist keine Wiederholung der Messung möglich, da S p =H p =0 für den reinen Zustand gilt. 2.2 Aufbau eines Quantenkryptosystems Ein mögliches Quantenschlüsselübertragungssystem ist im Bild 2 dargestellt und besteht aus einem Sender und einem Empfänger, welche mittels Quantenkanal miteinander verbunden sind. Ferner muss ein öffentlicher Kanal vorhanden sein. Dafür kann zum Beispiel eine Internet- oder Telefonverbindung benutzt werden. Offener Kanal Sender Empfänger Quantenkanal Bild 2: Quantenschlüsselübertragungssystem - 16 -

Der Sender muss Photonen in vier notwendigen, zufälligen und gleichverteilten Polarisationen erzeugen und aussenden können. Dies wird durch Laserpulse mit einer Wellenlänge im Nano- Bereich realisiert. Die Übertragung von Photonen erfolgt über einen Quantenkanal. Dies geschieht über Glasfaser oder im freien Raum durch die Luft. Der Empfänger muss die Polarisationen der Photonen mit einem Polarisationsfilter messen und detektieren können. Als Filter kann man beispielsweise einen doppelbrechenden Kristall verwenden, der die Polarisationen bestimmter Basis unterscheiden kann. Als aktives Element für das Detektieren von Photonen können Photodioden verwendet werden. Funktionalität 1 Der Sender erzeugt zunächst Photonen mit Polarisation, die in zufälliger Weise die Werte 0, 45, 90, und -45 Grad annehmen können und übermittelt diese Folge dem Empfänger. Der Empfänger wählt für jedes eintreffende Photon zufällig die Anordnung seines Filters, mit dem er entweder innerhalb der geraden Richtungen (0 und 90 Grad) oder innerhalb der schrägen Richtungen (45 und 35 Grad), aber nie bei beiden Richtungstypen zugleich exakt messen kann. Gerade und schräge Polarisation sind nämlich im Sinne der Unschärferelation zueinander komplementär. Der Empfänger teilt dem Sender über einen öffentlichen Kanal mit, wie sein Filter bei den einzelnen gemessenen Photonen eingestellt war, worauf der Sender ihm meldet, welche Stellungen die richtigen waren. Die jeweiligen (richtigen) Messergebnisse halten sie jedoch beide geheim. Aus den nur dem Sender und Empfänger bekannten, sonst aber geheimen Richtungen können sie eine Bitfolge definieren, indem sie z.b. 0 und -45 Grad als Null und 90 und 45 Grad als Eins festlegen. Da die Filteranordnung des Empfängers nur in der Hälfte der Fälle mit der Polarisation der Photonen übereinstimmt, wird nur die Hälfte aller Photonen richtig gemessen. Jeder Versuch eines Angreifers, im Quantenkanal die Polarisation eines Photons zu messen, würde bei richtig eingestelltem Filter des Angreifers die korrekte Polarisation wiedergeben und die Polarisation des Photons nicht verändern. Bei falsch eingestelltem Filter würde durch den Messprozess die Polarisation aber unwiederbringlich zerstört werden. Durch diesen doppelten Messprozess würde der Empfänger nur ein Viertel aller Photonen richtig messen. Ungewöhnlich ist, dass die Informationen, die durch Polarisationsrichtungen repräsentiert sind, mit dieser Technik zum vertraulichen Informationsaustausch gar nicht chiffriert oder auch nur durch Einwegfunktionen verdeckt werden, sondern offen übertragen werden. Sender und Empfänger überzeugen sich vielmehr davon, welche Information garantiert nicht abgehört wurden. 1 entnommen aus: Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie 2010-17 -

2.3 Polarisation Polarisation ist eine Eigenschaft aller transversalen 1 Wellen, welche die Richtung ihrer Schwingung beschreibt. In der Quantenkryptographie sind die Qubits durch Photonen realisiert, deren Polarisationen die Quantenzustände sind, in denen das System sich befinden kann. Die Polarisation bezüglich eines gegeben Koordinatensystems ist eindeutig durch den Winkel (Polarisationsgrad ) beschrieben. Ψ =cos φ 0 sin φ 1, mit φ=[0,360 ] wobei natürlich gilt cos φ 2 sin φ 2 =1 Das Quantensystem befindet sich im Zustand 0 mit der Wahrscheinlichkeit cos φ 2 Zustand 1 mit der Wahrscheinlichkeit sin φ 2.. und im Damit die Basisprinzipien der Quantenkryptographie erfüllt werden, muss das Zweizustands- Quantensystem beide Zustände gleich wahrscheinlich annehmen. Das gilt wenn: cos φ 2 =sin φ 2 = 1 => cos φ =sin φ = 1 => φ=45 2 2 Aufgrund der Symmetrie reicht es, die Beschreibung der Polarisation auf den Winkelbereich φ=[ 90, 90 ] einzuschränken Die Wellenfunktion eines Photons mit solchen Eigenschaften ist gegeben durch: Ψ = 2 1 2 0 1 1 Und ein Polarisationszustand wird beschrieben durch: Ψ = 2 1 1 2 Pol 1 2 Pol, wobei Pol 1 und Pol 2 die Polarisationsvektoren sind und senkrecht aufeinander stehen. Nur zwei senkrechte Polarisationsvektoren sind nicht genügend, um die notwendigen quantenmechanischen Effekte zu realisieren, da die Polarisation eindeutig nur mit einem Polarisationsfilter bestimmt werden kann. Um den Wahrscheinlichkeitsfaktor zu bekommen, müssen wir vier Polarisationen verwenden, so dass jeder Zustand ohne Kenntnis der Polarisation nur mit einem Filter nicht eindeutig bestimmt werden darf. In der Quantenkryptographie benutzt man zwei orthogonale Paare von Polarisationszuständen. Ein Paar V und H für vertikal und horizontal polarisierte Zustände und ein Paar 45 und 45 für diagonal polarisierte Zustände. 1 Wellen heißen transversal, wenn sie quer zur Richtung ihrer Ausbreitung schwingen. - 18 -

2.4 Messen und Eindeutigkeit der Messergebnisse Es besteht die Möglichkeit ein Photon so zu präparieren, dass es eine beliebige, vorher definierte, lineare Polarisation hat. Die Polarisation entspricht dem Vektor des elektrischen Feldes und wird in Grad bezüglich der vertikalen Achse gemessen. Um die gleichverteilte Wahrscheinlichkeit zu bekommen, sind in der praktischen Quantenkryptographie nur die senkrecht zueinander stehenden Polarisationen relevant. Obwohl es nur mit einem Polarisationspaar möglich ist, die Information zu übertragen, wird diese Übertagung nicht abhörsicher. Um die Sicherheit zu bekommen, darf keine Möglichkeit vorhanden sein, einen unbekannten Polarisationszustand richtig zu messen. Damit der Wahrscheinlichkeitsfaktor beim Messen erfüllt wird, spricht man von zwei Polarisationspaaren (vier Polarisationsmöglichkeiten), deren Vektoren senkrecht zueinander stehen. Mit zwei Polarisationspaaren kann man den unbekannten Zustand eines Photons nur mit 25% Wahrscheinlichkeit richtig bestimmen. Der Einfachheit halber sind folgende Polarisationsvektoren gewält: - vertikale Polarisation. (V) entspicht der 0 Polarisation. - horizontale Polarisation. (H) entspricht der 90 Polarisation. V H - + 45 Polarisation. (+ 45 ) - - 45 Polarisation. (- 45 ) + 45-45 0-45 + 45 90 Bild 3: Polarisationsvektoren Jedes Polarisationspaar bildet eine orthogonale Basis, so dass wir insgesamt zwei Basen haben: Basis Polarisation Orientierung des Filters H/V φ = 0 oder φ = 90 ρ = 0 + 45 / - 45 φ = -45 oder φ = + 45 ρ = + 45 Tabelle 3: Basiseinstellungen Für das Bestimmen einer von vier möglichen Polarisationszuständen sind zwei Polarisationsfilter und ein Lichtdetektor notwendig. Mit einem Polarisationsfilter mit der Orientierung ρ= 0 ist es möglich, beide H und V Zustände richtig zu messen. Die Analogie gilt für den Filter mit der Orientierung ρ= + 45. Dabei ist zu beachten, dass die für das Polarisieren benutzte Basis bekannt sein muss, da die Auswahl des notwendigen Filters von dieser Information abhängt. Aus diesem Grund ist es unmöglich den Zustand eindeutig zu messen, wenn die gewählte Basis unbekannt ist. Wenn die Basis bekannt ist, gilt folgendes: - 19 -

Wenn ein Photon den Filter passiert, folgt daraus, dass die Polarisation des Photons gleich der Orientierung des Filters ist. In diesem Fall wird das Photon auf dem Lichtdetektor registriert. Photonendetektor Filter mit ρ=0 z φ=0 x Photonenquelle Bild 4: Polarisation φ=0 y Wenn ein Photon auf dem Filter absorbiert wird, folgt daraus, dass die Polarisation des Photons orthogonal zur Orientierung des Filters steht. In diesem Fall registriert der Lichtdetektor nichts. Photonendetektor Filter mit ρ=0 z φ=90 x Photonenquelle Bild 5: Polarisation φ=90 y - 20 -

Interessante Effekte betrachten wir, wenn die Polarisation des Photons weder der Orientierung des Filters entspricht, noch orthogonal zu ihm steht. Das heißt wenn 90 < φ < 90 Photonendetektor Filter mit ρ=0 z φ=[-90 ;90 ] x Photonenquelle Bild 6: Polarisation 90 < φ < 90 y Hier bekommen wir den notwendigen Wahrscheinlichkeitsfaktor. Ein Photon wird entweder den Filter passieren oder an dem Filter absorbiert. Der Zustand kann nicht vorhergesagt werden und tritt mit bestimmter Wahrscheinlichkeit ein. Die Wahrscheinlichkeit hängt von dem Polarisationswinkel und dem Winkel der Filterorientierung ab. Wenn die Polarisationsvektoren paarweise orthogonal sind, sind beide Ereignisse gleichwahrscheinlich. p Photon passiert den Filter =cos φ ρ 2 p Photonabsorbiert andem Filter =sin φ ρ 2 Also, wenn ein Photon mit der Polarisation φ = 45 mit einem H V Filter gemessen wird, wird der Lichtdetektor mit 50% Wahrscheinlichkeit das Photon registrieren, was dem Zustand '1' entspricht. Mit 50% Wahrscheinlichkeit kann das Ergebnis als '0' interpretiert werden, wenn das Photon an dem Filter absorbiert wird und den Lichtdetektor nicht erreicht. Die Polarisation eines Photons kann nur einmal gemessen werden. Die Wiederholung ist ausgeschlossen, da das Photon entweder an dem Filter oder an dem Detektor absorbiert wird. So wird der quantenmechanische Effekt erfüllt, dass die Messung des Quantenzustandes den Zustand ändert. - 21 -

2.5 BB84-Protokoll Mit der Veröffentlichung des BB84-Protokolls haben Charles H. Bennett und Gilles Brassard im Jahre 1984 den Anfang der Quantenschlüsselübertragung bezeichnet. Seitdem wurden viele andere Protokolle entwickelt. Bis jetzt hat das BB84-Protokoll einen hervorragenden Platz in der Liste existierender Protokolle, da es das am meisten analysierte und am häufigsten implementierte Protokoll ist, einschließlich derjenigen, die in kommerziellen Produkten benutzt werden 1. Beschreibung 1 Alice und Bob sind zwei Teilnehmer des Quantenschlüsselübertragungssystems. Alice (Sender) will einen Schlüssel an Bob (Empfänger) senden. 1. Alice wählt zufällig und unabhängig voneinander Elemente eines binären Schlüssels, welche als Zufallsvariablen X ={ 0,1 } bezeichnet werden. 2. Alice schickt Bob eine Folge von Qubits (Photonen) mit der Eigenschaft, dass jedes Photon eine zufällig gewählte und gleichverteilte Polarisation hat. Dazu präpariert sie ein Qubit entweder mit der Basis { 0, 1 } als X X oder mit der Basis { +, - } als X 2 12 0 1 X 1. 3. Bob misst die Zustände einzelner Qubits, jeden mit einer zufällig und gleichverteilt gewählten Basis. 4.Bob schickt Alice über einen öffentlichen Kanal alle Basiszustände, die er für die Messung einzelner Qubits benutzt hat. 5. Alice prüft für welche Qubits die Basis stimmte und teilt es Bob mit. 6. Alice und Bob verwerfen alle Qubits, in denen die Basis nicht stimmte. 7. Alice und Bob führen für die verbleibenden Qubits die Paritätsprüfung. 8. Anhand der Ergebnisse der Paritätsprüfung berechnen Alice und Bob die Fehlerrate. Wenn die Fehlerrate unter einer bestimmten Grenze (typisch 11% - 20%) liegt, folgt daraus, dass die Übertragung nicht abgehört wurde. Die zulässige Fehlerrate wird durch Übertragungsfehler im Quantenkanal, Depolarisation, Dämpfung der Lichtimpulse verursacht und ist in realen Systemen größer Null. Aus der Sicht des externen Betrachters sind die gemischten Zustände, die Alice sendet, nicht erkennbar, d.h. 1 2 0 0 1 2 1 1 = 1 2 + + 1 2 - - = I 2 Demzufolge ist ein Lauschangriff ausgeschlossen, da es unmöglich ist, festzustellen, mit welcher Basis man Qubits messen sollte, unabhängig davon welche Statistik man schon hat 1. 1 übersetzt aus: Quantum Cryptography And Secret-Key Distillation Gilles van Assche, Cambridge University Press 2006-22 -

2.6 Paritätsprüfung und Sicherheit Die Folge von Photonen ist nichts anderes als ein Lichtstrahl, welchen man durch Spiegelung oder durch Verwendung optischer Prismen kopieren kann. Das No-Cloning-Theorem sagt aber, dass es unmöglich ist, eine perfekte Kopie von solchen Folgen zu erzeugen. Ansonsten wäre es möglich die Messungen von Photonen erst nach dem Veröffentlichen der Basiskombinationen durchzuführen, da die verwendeten Basiszustände über einen öffentlichen Kanal übermittelt werden. Das No- Clonning-Theorem schließt diese Angriffsmöglichkeit aus. Verschiedene Ursachen, wie das Rauschen des Detektors oder Depolarisation von Photonen während der Übertragung, sowie das Belauschen des Quantenkanals können das Ergebnis verfälschen. Deswegen führen beide Teilnehmer der Quantenschlüsselübertragung nachdem sie sich für eine Folge von Qubits geeinigt haben, eine Paritätsprüfung durch. Beide Teilnehmer teilen ihren Schlüssel in Blocks bestimmter Länge. Sie berechnen die Paritätssumme jedes Blocks und teilen sie einander mit. Wenn die Paritätssumme nicht stimmt, teilen sie den fehlerhaften Block in zwei Teile und vergleichen die Paritätssummen der beiden Teilblocks. Sie wiederholen diese Operation rekursiv, bis das falsche Bit gefunden wird. Hier besteht natürlich die Gefahr, wie bei den anderen Paritätsprüfungen, dass die Fehler nicht erkannt werden, wenn sie paarweise in demselben Block auftauchen. Die perfekte Abhörsicherheit basiert auf folgenden Eigenschaften: - Der Zustand eines Qubits kann nur ein einziges Mal gemessen werden. Eine Wiederholung ist nicht möglich, da das Photon nach der Messung zerstört wird. Wenn die Polarisation mit der falschen Basis gemessen wurde, wird das Messergebnis als Endergebnis interpretiert. - Es ist unmöglich die Folge von Qubits perfekt zu kopieren, um die Quantenzustände später, wenn die Basiszustände bekannt sind, zu messen. - 23 -

3 Beispiele anhand des Protokolls BB84 3.1 Beispiel 1. Quantenschlüsselübertragung (ohne Lauschen) Alice Bob Ergebnis Nummer Bit gesendete Polarisation richtige Basis verwendete Basis gemessene Polarisation Bit Basis gleich? Schlüssel 1 0 0 H/V H/V 0 0 ja 0 2 0-45 +/- +/- -45 0 ja 0 3 1 45 +/- H/V 90 1 nein 4 0 0 H/V H/V 0 0 ja 0 5 1 90 H/V +/- 45 1 nein 6 0-45 +/- H/V 0 0 nein 7 1 90 H/V +/- -45 0 nein 8 1 45 +/- H/V 90 1 nein 9 0 0 H/V +/- -45 0 nein 10 1 45 +/- +/- 45 1 ja 1 11 0-45 +/- +/- -45 0 ja 0 12 0 0 H/V H/V 0 0 ja 0 13 1 90 H/V H/V 90 1 ja 1 14 0 0 H/V +/- 45 1 nein 15 1 45 +/- +/- 45 1 ja 1 16 1 90 H/V H/V 90 1 ja 1 17 0-45 +/- +/- -45 0 ja 0 18 1 90 H/V +/- 45 1 nein 19 0 0 H/V +/- -45 0 nein 20 1 45 +/- H/V 90 1 nein Paritätsprüfung Paritätscheck Schlüssel Alice 0 0 0 1 0 0 1 1 1 0 0 Bob 0 0 0 1 0 0 1 1 1 0 0 Paritätssumme Alice 1 0 1 ok Bob 1 0 1-24 -

3.2 Beispiel 2. Quantenschlüsselübertragung (mit Lauschen) Nummer Alice Eva Bob Bit gesen dete Polari sation richtige Basis verwen dete Basis gemesse ne und weiterge leitete Polarisa tion Bit Basis gleich? Schlü ssel verwen dete Basis geme ssene Polari sation Bit Basis gleich? Schlü ssel 1 0 0 H/V H/V 0 0 ja 0 H/V 0 0 ja 0 2 0-45 +/- H/V 90 1 nein +/- 45 1 ja 1 3 1 45 +/- +/- 45 1 nein H/V 90 1 nein 4 0 0 H/V H/V 0 0 ja 0 H/V 0 0 ja 0 5 1 90 H/V +/- -45 0 nein +/- -45 0 nein 6 0-45 +/- H/V 90 1 nein H/V 90 1 nein 7 1 90 H/V +/- 45 1 nein +/- 45 1 nein 8 1 45 +/- +/- 45 1 nein H/V 0 0 nein 9 0 0 H/V H/V 0 0 ja 0 +/- -45 0 nein 10 1 45 +/- +/- 45 1 ja 1 +/- 45 1 ja 1 11 0-45 +/- H/V 0 0 nein +/- -45 0 ja 0 12 0 0 H/V +/- -45 0 nein H/V 90 1 ja 1 13 1 90 H/V +/- 45 1 nein H/V 0 0 ja 0 14 0 0 H/V H/V 0 0 ja 0 +/- -45 0 nein 15 1 45 +/- H/V 90 1 nein +/- -45 0 ja 0 16 1 90 H/V +/- 45 1 nein H/V 0 0 ja 0 17 0-45 +/- H/V 0 0 nein +/- 45 1 ja 1 18 1 90 H/V +/- -45 0 nein +/- -45 0 nein 19 0 0 H/V +/- 45 1 nein +/- 45 1 nein 20 1 45 +/- H/V 90 1 nein H/V 90 1 nein Hier wurde eine 1-Bit-Paritätsprüfung durchgeführt, welche nicht mehr als ein Fehler je Block erkennen kann. Der letzte Block enthält jedoch zwei Fehler, die sich gegenseitig aufheben und nicht erkannt werden. Aus diesem Grund enthält der Schlüssel fehlerhafte Bits. Paritätsprüfung gibt keine sichere Fehlerkontrolle. Durch andere Blockaufteilung ist es möglich, weitere Paritätsprüfungen durchzuführen, die die Wahrscheinlichkeit erhöhen, die Schlüsselfehler zu erkennen. - 25 -

Paritätsprüfung Paritätscheck Schlüssel Alice 0 0 0 1 0 0 1 1 1 0 0 Bob 0 1 0 1 0 1 0 0 0 1 0 Paritätssumme Alice 1 0 1 ok Bob 0 1 1 nicht ok nicht ok ok Alice 0 1 0 0 Bob 1 1 1 0 nicht ok ok nicht ok ok verbleibende Schlüssel Alice 0 1 1 1 1 0 Bob 0 1 0 0 0 1 Erläuterung zu den Beispielen z.b. Beispiel 1, Zeile 2 Alice wählt das Bit 0 und sendet es mit der Polarisation -45 Grad. Bob misst das Photon mit der Basis +/- und bekommt den Zustand 0. Da die beiden Basen gleich sind, wird das Bit als Bit des künftigen Schlüssels verwendet. z.b. Beispiel 2, Zeile 2 Alice wählt das Bit 0 und sendet es mit der Polarisation -45 Grad. Eva misst das Photon ohne Kenntnis der Basis mit der zufällig gewählten Basis H/V und bekommt die Polarisation 90, welche dem Zustand 1 entspricht. Eva präpariert ein Photon mit der Polarisation 90 und leitet an Bob weiter. Bob misst das Photon mit der Basis +/- und bekommt den Zustand 1. Trotz gleicher Basis, die Alice und Bob gewählt haben, bekommen beide verschiedene Bits. Eva hat den Zustand durch Messung geändert. - 26 -

Fazit In der heutigen Welt, wo die Information eine besonders große Rolle spielt, muss die Übertragung von Daten maximal abhörsicher sein. Wenn ein Quantenkryptosystem entwickelt wird, welches über große Entfernungen funktioniert und keine oder wenig Übertragungsfehler erzeugt, wird die Evolution der Chiffren ihre Endphase erreichen. Die Übertragung der Qubits erfolgt im Rahmen der Quantenkryptographie mit Lichtgeschwindigkeit. Diese Tatsache macht es möglich, große Datenmengen in kurzer Zeit zu übertragen. D.h. zum Beispiel kann die Schlüssellänge relativ groß sein, was die Dechiffrierung ohne Schlüsselkenntnis praktisch ausschließt. Die Sicherheit der Quantenschlüsselübertragung hängt nicht vom Stand der Technik oder von der Inexistenz der notwendigen Algorithmen ab. Quantenkryptographie wird durch technische Weiterentwicklungen nicht ihre prinzipielle Sicherheit verlieren. Diese Arbeit hat eine Einführung in die Quantenkryptographie gegeben. Viele Aspekte wie Zufallszahlenerzeugung, Teilnehmer-Authentifizierung, Heisenbergsche Unschärferelation und darauf basiertes Ekert Protokoll, Angriffsmöglichkeiten und Gegenmaßnahmen etc. wurden hier nicht betrachtet. - 27 -