Theoretische Physik fürs Lehramt: L2 Beatrix C. Hiesmayr Faculty of Physics, University Vienna Beatrix.Hiesmayr@univie.ac.at WS 2015
Kapitel 4 Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! Mit dem Wissen, das wir uns erworben haben, ist es bereits möglich zu verstehen, warum die Quantengesetze uns erstmals in der Geschichte erlauben, abhörsicher zu kommunizieren. 4.0.1 Kryptographie Kryptographie ist eine beeindruckende Art der Kommunikation und wurde nachweislich schon 400 Jahre vor Christi Geburt verwendet. Im Jahre 1949 veröffentlichte C. Shannon den ersten Artikel zu diesem Thema und damit wurde Kryptographie ein Teil der Mathematik und der Informationstheorie. Kurz zusammengefasst könnte man es so definieren, Kryptographie ist ein mathematisches System zum Transformieren von Informationen (einer Nachricht), so dass die übertragene Information für einen Dritten unverständlich und dadurch sinnlos ist. Es sollte dabei bestenfalls unmöglich, im Realitätsfall zumindest sehr schwer, sein, das Kryptogramm, den Code oder den Geheimtext, ohne den Schlüssel zu knacken. Allerdings ist der Prozess, der nötig ist, um die Information zu verschlüsseln, immer ein physikalischer Vorgang. D.h. man kann die mathematische Struktur von den zugrunde liegenden physikalischen Gesetzen beim Verschlüsselungsprozess nicht trennen. David Deutsch war einer der ersten, der bemerkte, dass die Quantenphysik, die wie keine andere Theorie unserer Alltagserfahrung so stark widerspricht, unsere Möglichkeiten des Verschlüsselungsprozesses nicht nur erweitert, sondern dass erstmals eine absolut abhörsichere Kommunikation aufgrund von Naturgesetzen möglich sein wird. Abbildung 4.1: Klassische Kryptographie: Hier ist die nachweislich in Sparta verwendete Codierung, die sogenannte Skytale abgebildet. 43
Kapitel 4. Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! Abbildung 4.2: Das Schema. Gewöhnlicherweise erfolgt die Entschlüsselung einer Nachricht zwischen zwei verschiedenen Personen, die wir im Folgenden Alice und Bob nennen werden, über einen gemeinsamen sicheren Schlüssel (secret key). Solange man den Schlüssel nicht besitzt, ist es unmöglich oder mit sehr viel Aufwand verbunden die Nachricht zu entschlüsseln. Im Prinzip ist es immer möglich, dass ein Dritter, der im Folgenden Eve genannt wird (eavesdropper... Dachvorsprung), bei der Schlüsselvergabe/-erzeugung unbemerkt an diesen herankommt. Alice und Bob können nie sicher sein, dass ihr Schlüssel nicht kopiert wurde. Dieses große Schlupfloch (loophole) der klassischen Kryptographie kann durch die Erzeugung des Schlüssels über Quantensysteme umgangen werden. Wir werden hier das erste und äußerst effektive Protokoll kennenlernen, um einen Schlüssel zu erzeugen. Das wird uns einerseits die gewaltigen Vorzüge gegenüber der klassischen Erzeugung eines Schlüssels aufzeigen, andererseits lernen wir das grundlegende Prinzip, das auf den Quantengesetzen beruhtdie Sicherheit garantiert, kennen. Damit sollten wir uns das Basiswissen der neuen Technologie, der Quantenkryptographie, erarbeitet haben, die schon in naher Zukunft eingesetzt werden wird. Erste Prototypen gibt es bereits zu kaufen.im zweiten Teil (Ekert Protokoll) kann man während der Schlüsselerzeugung instantan bemerken, ob man belauscht wird oder nicht. 4.0.2 Klassische Kryptographie-Geheimnisse will niemand beliebig teilen Wir wollen uns zunächst beschäftigen, worauf es bei klassischer Kryptographie ankommt. Transpositionsalgorithmen Transpositionsalgorithmen beruhen darauf, dass alle Zeichen des gegebenen Klartextes einer bestimmten Permutationsvorschrift gehorchend umgeordnet werden, es bleiben also alle Klartextzeichen erhalten. Die allgemeine Struktur ist dabei: 44
Der Sender verschlüsselt den Klartext mit einer Permutationsvorschrift und der Empfänger wendet die inverse Permutation auf den Geheimtext an und erhält somit die Nachricht. Die Sicherheit dieses Algorithmus hängt im Allgemeinen von der Komplexität der Vertauschungsvorschrift ab. In Anbetracht der heutigen Rechenleistung moderner Computer stellt dieses System jedoch bei weitem nicht genug Sicherheit zu Verfügung. Der Code könnte einfach dadurch geknackt werden, indem alle möglichen Permutationen ausprobiert werden. Substitutionsalgorithmen und der Vernam Code Die prinzipielle Funktionsweise von Substitutionsalgorithmen ist, dass jedes Zeichen des Klartextes durch ein anderes Zeichen ersetzt wird. Ein solches Chiffrezeichen wird unter Verwendung einer meist einfachen mathematischen Funktion aus dem Klartextzeichen generiert. Der wesentliche Unterschied zu den Transpositionsalgorithmen besteht darin, dass zur Verschlüsselung des Klartextes und zur Entschlüsselung des Geheimtextes ein Schlüssel vorhanden sein muss. Der Vorteil gegenüber den Transpositionsalgorithmen besteht darin, dass der Algorithmus nicht geheim bleiben muss, sonderen eben nur der zur Verschlüsselung nötige Schlüssel. Man unterscheidet je nach Schlüssel unter folgenden Substitutionsalgorithmen: 1. Monoalphabetische Substitutionsalgorithmen 2. Das One-Time-Pad oder der Code nach Vernam - ein spezieller polyalphapetischer Substitutionsalgorithmus Bei der einfachsten Art von eines Substitutionsalgorithmus besteht der Schlüssel aus einem einzigen Zeichen. Diese Art ist auch als Cäsar-Code bekannt und wurde jedenfalls nachweislich von Gaius Julius Cäsar für seine militärische Korrespondenz verwendet. Im 15. Jahrhundert wurde diese Art der Verschlüsselung von Leon Battista Alberti erleichtert, durch die Erfindung der Chiffrierscheibe, siehe Abbildung??. Ersetzt man zum Beispiel jeden Buchstaben des Klartextes m durch eine Zahl die seine Position im Alphabet bezeichnet (also A 1, B 2 usw.) und wählt ein Schlüsselzeichen k aus dem Alphabet. Klartext m: MONO ALPHABETISCHER SUBSTITUTIONS ALGORITHMUS Schlüssel k: FFFF FFFFFFFFFFFFFF FFFFFFFFFFFFF FFFFFFFFFFF Code c: SUTU GRVNGHKZOYINKX YAHYZOZAZOUTY GRMUXOZNSAY Dann kann der monoalphabetische Transpositionsalgorithmus wie folgt geschrieben werden c i = (m i + k) mod N (4.1) 45
Kapitel 4. Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! Abbildung 4.3: Chiffrierscheibe: Damit kann die Cäsar Verschlüsselung bzw. Entschlüsselung einfach durchgeführt werden. Die zwei Scheiben können zum Beispiel von den SchülerInnen ausgeschnitten werden, um sich gegenseitig verschlüsselte Texte zu schreiben. wobei mod für Modulo steht, also die Restklasse (Definition: Modulo berechnet den Rest r der Division N geteilt durch k). In unserem Fall ist N = 26, entsprechend der Anzahl an Buchstaben im Alphabet. Der Index i geht dabei von 1 bis Anzahl der Klartextzeichen L = 40. Diese Art von Algorithmus ist jedoch gegenüber Häufigkeitsanalysen - vorausgesetzt man kennt die Sprache des Geheimtextes - sehr anfällig (siehe Abbildung??). Bei einem einzigen Schlüsselzeichen ist der Code natürlich schnell zu knacken. Sogenannte Polyalphabetische Algorithmen bieten in der Hinsicht mehr Sicherheit. Wie der Name schon sagt, wird bei den Polyalphabetischen Substitutionsalgorithmen ein Schlüssel aus mehreren Zeichen verwendet, meist ein sog. Schlüsselwort. Dieses wird dann so oft hintereinander gereiht, bis es die Länge des Klartextes erreicht hat (ein sog. Vignére-Chiffre). Klartext m: POLY ALPHABETISCHER SUBSTITUTIONS ALGORITHMUS Schlüssel k: GEHE IMESWORTGEHEIM ESWORTGEHEIME SWORTGEHEIM Code c: WTTD JYUAXQWNPXKMNE XNYHLCAZBNXA XTIVGLPYPRD Die Häufigkeitsanalyse der Buchstaben als Entschlüsselungsmethode wird dadurch hinfällig. Der Code kann jedoch nach aufeinanderfolgende Buchstabenkombinationen untersucht werden. Wird der Klartext nämlich mit einem in Relation zu kurzen Schlüsselwort codiert (siehe Beispiel oben), so ist es möglich, dass für die jeweilige Sprache typische Zeichenfolgen mit demselben Teil des Schlüsselwortes chiffriert werden. Daraus folgt, dass mit zunehmender Schlüssellänge der Code auch sicherer wird. Ein Spezialfall ist hierbei das Verfahren des sog. Vernam- Codes, der auch unter one-time-pad bekannt ist. Die Idee dieses Verfahren geht auf den amerikanischen Kryptologen Gilbert Vernam zurück, der diese erstmals 1918 äußerte. Er schrieb dem Schlüssel dabei folgende Eigenschaften zu: 1. Die Länge des Schlüssels soll gleich der Länge des Klartextes sein. 2. Der Schlüssel muss zufällig erzeugt werden. 3. Der Schlüssel darf nur ein einziges Mal verwendet werden. 46
Abbildung 4.4: Buchstabenhäufigkeit in der deutschen Sprache. Quelle: Wikipedia Der amerikanische Mathematiker Claude Shannon, der Begründer der Informationstheorie, bewies mathematisch, dass dieses Verfahren als 100%ig sicher gilt, solange die absolute (!) Geheimhaltung des Schlüssels gewährleistet wird. Der Verschlüsselungsprozess kann folgendermaßen dargestellt werden: c i = (m i + k i ) mod N (4.2) Der Unterschied zu monoalphabetischen Verschlüsselung, Gl. (??), ist, dass jedem Klartextzeichen ein eigenes Schlüsselzeichen zugeordnet wird. Ein potentieller Angreifer muss daher alle 26 L möglichen Schlüssel ausprobieren. Selbst bei einer relativ kurzen Nachricht von nur 70 Zeichen entspräche dies dem Testen mit 10 99 Schlüsseln. Das ist jedoch dem Erraten der Nachricht gleichzusetzen. In der Praxis wird diese Methode jedoch nie verwendet, da die Verteilung und gleichzeitige Geheimhaltung des Schlüssels viel zu aufwendig wäre! Klartext m: Schlüssel k: Code c: DERCODENACHVERNAMISTHUNDERTPROZENTABHOERSICHER MLFUJBFDEAMGIPKCVGDETFDQYHKBHSLJMIJHTGDKDWYMWH QQXXYFKRFDUCNHYDIPWYBARUDZERZHLOACKJBVICWFBUBZ Dank der Computer kann man aber den Vernan-Code einfach in der Binärdarstellung anwenden. Die Buchstaben werden über den Binärcode durch die Bits 0 und 1 dargestellt. Wir haben 26 Buchstaben im Alphabet. Wir brauchen also mindestens 5 Stellen, um alle darstellen zu können (2 4 ist nur 16, während 2 5 = 32). Dabei werden alle Buchstaben durchnummeriert und zum Beispiel erhält man: 47
Kapitel 4. Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! Buchstabe Nummer Binärdarstellung a 1 00001 b 2 00010 r 18 01010 z 26 11010 Wobei man meist 8 Stellen verwendet und 010 für Großbuchstabe und 011 für Kleinbuchstabe steht. Die einzige Unsicherheit beim Vernan Verfahren liegt im Verteilen des Schlüssels an Alice und Bob. Quantensysteme erlaubt jedoch eine Schlüsselerzeugung zwischen Sender Alice und Empfänger Bob über einen direkten Verbindungskanal, deren Sicherheit und Vertrauen basierend auf physikalische Gesetze, den Quantengesetzen, überprüft werden kann. Sie bildet daher eine ideale Ergänzung zum Code von Vernam und ermöglicht beweisbar sichere Kommunikation, nämlich auf physikalischen Gesetzen basierend! 4.0.3 Das BB84 Protokoll Für dieses Protokoll, das C. H. Bennett und G. Brassard erst 1984 entwickelten, muss Alice einzelne Photonen zu Bob schicken. Sie präpariert diese ganz zufällig in vier möglichen Polarisationszuständen H, V, + 45 oder 45. Bob analysiert die zu ihm gesendeten Photonen mit einem Zwei-Kanal-Analysator, welchen er zufällig zwischen H/V und +45/ 45 Basis variiert. Dabei wird das Photon entweder im oberen Detektor gemessen, es wird mit 0 bezeichnet (Zustand des Photons ist entweder H oder +45 je nach der eingestellter Basis) oder im unteren Detektor gemessen und mit 1 bezeichnet (das Photon ist im Zustand V oder 45 ). Nachdem eine gewisse Anzahl an Photonen an Bob gesendet wurde, diskutieren Alice und Bob ganz öffentlich darüber, welche Basis Bob gewählt hat und Alice sagt Bob, wann beide zufälligerweise die gleiche Basis verwendet haben. In diesem Fall sind die Messresultate im Idealfall identisch und können zur Produktion des Keys verwendet werden. Sobald Alice und Bob den Key erzeugt haben, können sie zum Beispiel über das einfache, aber effektive Verschlüsselungs-Schema von Vernam (1926) kommunizieren. Dabei muss der Key völlig zufällig erzeugt worden sein und mindestens die Länge der Nachricht haben. Wenn jedes Bit des Keys nur einmal verwendet wird, dann ist es nicht möglich über irgendwelche statistischen oder numerischen Methoden die Nachricht zu dechiffrieren. 48
Hier ist die einfache Funktionsweise eines Key demonstriert. Dabei wird jedes Bit (0 oder 1) der Nachricht bitweise durch eine Exklusive-Oder Transformation (XOR) verschlüsselt (0 + 0 = 0; 0 + 1 = 1; 1 + 0 = 1; 1 + 1 = 0). Wobei die verschlüsselten Nachrichten durchwegs über einen öffentlichen Kanal an Alice geschickt werden können. Wie könnte eine Attacke von der bösen Eve ausschauen? Könnte sie einfach das Photon am Weg zu Bob messen? Könnte Eve das von Alice gesendete Photon einfach kopieren und das Original oder die Kopie an Bob weiter senden? Wie kann man testen, ob man abgehört wird? 4.0.4 Das Ekert Protokoll 1990 hat Athur Ekert das BB84 Protokoll auf verschränkte Teilchen erweitert. Dabei misst nun Alice ihr Teilchen in drei Basen, nämlich in den Basen 22, 5, 45, 67, 5. Bob misst sein Teilchen in den drei Basen 0, 22, 5, 45. Öffentlich vergleichen sie wieder die Basen und falls beide in der gleichen Basis gemessen haben, müssen sie falls der Anfangszustand der antisymmetrische Bellzustand ist gegengleiche Ergebnisse bekommen. Diese Bits können sie für die Schlüsselerzeugung benützen (siehe Abbildung??). Der Vorteil nun ist, dass die Messungen in ungleichen Basen nicht verworfen werden müssen! Diese Ergebnisse werden benützt, um die Bell Ungleichung zu berechnen! Falls eine Verletzung der Bell Ungleichung vorliegt, kann Eve nicht abgehört haben, da eine Messung die Verschränkung der zwei Teilchen aufhebt! Genauer noch könnte die ganze Quelle im Besitz von Eve sein (bei Sicherheitsbeweisen in der Kryptographie geht man immer davon aus, dass Eve alle technischen machbaren Möglichkeiten zur Verfügung hat), aber nur durch Benützung von (mindest) verschränkten Teilchen kann die Bell Ungleichung verletzt werden, dann hat sie aber keine Kontrolle über die Polarisation der einzelnen Photonen und damit nicht auf die Ergebnisse bei Alice und Bob. 4.0.5 Quantenkryptographie: Eine neue Perspektive? Ob die Quantenkryptographie wirklich eine neue alltägliche Technologie werden wird, steht noch in den Sternen. Umgekehrt gibt es zahlreiche Fälle in der Geschichte (Entdeckung des Lasers, Transistoren,... ), die man in ihrer Reichweite start unterschätzt hatte. Natürlich auch umgekehrte Fälle. Es ist schwierig Vorhersagen zu machen, besonders über die Zukunft, wie es so schön heißt. Eines ist natürlich klar, die Leistung von Bennett, Brassard und Ekert: sie haben erkannt, dass die Schwierigkeiten der Quantentheorie (wir kennen den Weg eines Teilchens nicht, wir können keine Messung vornehmen ohne das Resultat nachfolgender Messungen zu beeinflussen) genutzt werden können: weil jede Messung das Ergebnis verändert, erwischt man 49
Kapitel 4. Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! Abbildung 4.5: Ekert-Protokoll: Messungen in gleichen Basen werden für die Schlüsselerzeugung benützt, während die Messungen in ungleichen Basen zum Testen der Bell Ungleichung benützt wird. Falls die Bell Ungleichung verletzt ist, ist 100% gegeben, dass Eve nicht abgehört hat, bzw. keine relevante Information erhalten konnte. 50
einen Lauscher, sobald er eine Messung vornimmt, um an Informationen zu kommen. Die Natur zeigt Phänomene, die uns erstaunen und verwirren, aber die die Quantenkryptographie ausnützt, um zuvor unmögliches möglich zu machen. 51
Kapitel 4. Zur Idee der Quantenkryptographie: Abhörsicher kommunizieren?! 52