(Einführung in die Quantenkryptographie).

Transcription

Ludwig-Maximilians-Universität München
WS 2005/2006
Erste Staatsprüfung für das Lehramt an Gymnasien
Prüfungstermin: Herbst 2006
Schriftliche Hausarbeit aus dem Fach Physik
Einführung in die Grundlagen
der Quantenkryptographie
Verfasser:
M IRKO Z EPPMEISEL
Dozent:
P ROF. D R . D R . H ARTMUT W IESNER
Einführung in die Grundlagen der
Quantenkryptographie
M IRKO Z EPPMEISEL
2
Inhaltsverzeichnis
Einleitung
1
2
5
Klassische Kryptographie
1.1 Arten der Kryptographie . . . . . . . . . . . . . . . . . . . .
1.1.1 Transpositionen . . . . . . . . . . . . . . . . . . . . .
1.1.2 Substitution . . . . . . . . . . . . . . . . . . . . . . .
1.2 Das One Time Pad . . . . . . . . . . . . . . . . . . . . . . .
1.3 Moderne Verschlüsselungsmethoden . . . . . . . . . . . . . .
1.3.1 DES . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2 Asymmetrische Verschlüsselungen . . . . . . . . . . .
Einschub: Mathematische Grundlagen 1 . . . . . . . .
1.3.2.1 Schlüsselaustausch nach Diffie und Hellman
1.3.2.2 RSA . . . . . . . . . . . . . . . . . . . . .
1.3.3 PGP . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Wesenszüge der Quantenmechanik . . . . . . . . . . . . .
2.1.1 Polarisation von Photonen und deren Messung . .
Einschub: Mathematische Grundlagen 2 . . . . . .
2.1.1.1 Die Unbestimmtheitsrelation . . . . . .
2.1.1.2 Die Eindeutigkeit der Messergebnisse .
2.1.2 No Cloning Theorem . . . . . . . . . . . . . . . .
2.1.3 Das EPR-Paradoxon und die Bellsche Ungleichung
2.1.3.1 Das EPR-Paradoxon . . . . . . . . . . .
Einschub: Mathematische Grundlagen 3 . . . . . .
2.1.3.2 Bells Ungleichungen . . . . . . . . . .
2.1.3.3 Schneller als das Licht? . . . . . . . . .
2.2 Quantenmechanische Schlüsselübertragung . . . . . . . .
2.2.1 Schlüsselübertragung mit Einteilchensystemen . .
2.2.1.1 BB84 Protokoll . . . . . . . . . . . . .
2.2.1.2 Sicherheit des BB84 Protokolls . . . . .
3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
10
11
13
19
23
23
24
26
27
28
30
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
33
34
41
42
44
45
47
47
52
53
59
60
62
63
67
INHALTSVERZEICHNIS
4
2.3
2.4
3
2.2.1.3 Umsetzung in die Praxis . . . . . . . . . .
2.2.2 Schlüsselübertragung mit Zweiteilchensystemen . .
2.2.2.1 Schlüsselübertragung ohne Bells Theorem
2.2.2.2 E91 Protokoll . . . . . . . . . . . . . . .
2.2.2.3 Sicherheit des E91 Protokolls . . . . . . .
2.2.2.4 EPR-Photonenquellen . . . . . . . . . . .
Quantenkryptographie in der Praxis . . . . . . . . . . . . .
2.3.1 Abhörattacken . . . . . . . . . . . . . . . . . . . .
2.3.2 Fehlerkorrektur . . . . . . . . . . . . . . . . . . . .
2.3.3 Eine technische Umsetzung . . . . . . . . . . . . .
2.3.3.1 Das Experiment . . . . . . . . . . . . . .
2.3.3.2 Die Ergebnisse . . . . . . . . . . . . . . .
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . .
Anhang
3.1 RSA Algorithmus . . . . . . . . . . . . . . . .
3.2 Ausschnitt aus: Der Goldkäfer, Edgar Allen Poe
3.3 HTML Kurzfassung . . . . . . . . . . . . . . .
3.3.1 Einleitung . . . . . . . . . . . . . . . .
3.3.2 Klassische Kryptographie . . . . . . .
3.3.3 Quantenkryptographie . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
70
73
74
75
79
84
85
85
87
88
89
91
92
.
.
.
.
.
.
95
95
98
103
103
104
105
Literaturverzeichnis
111
Nachwort
115
Erklärung
117
Einleitung
Diese Arbeit ist eine Erweiterung der Lehrerfortbildung milq1, die sich an Lehrerinnen und Lehrer richtet, die Quantenphysik unterrichten und sich gerne noch
etwas ausführlicher damit beschäftigen wollen. Neben einem Basiskurs in Quantenmechanik, werden zusätzlich Spezialgebiete behandelt, die sich mit verschiedenen Anwendungsgebieten, aber auch Unterrichtskonzepten und Schülervorstellungen befassen. In Abbildung 1 ist die HTML Seite abgebildet; von dort gelangen Sie zu den verschiedenen Spezialgebieten. Sie finden Sie im Internet unter:
http://www.c ip.physik.uni-muenchen.de/%7Emilq/milq_spe
zialp01.html.
Abbildung 1: Screenshot der HTML Seite für die Spezialgebiete in milq. Von
dieser Seite aus, wird man direkt auf die verschiedenen Spezialgebiete geleitet
(Stand: 02.02.2006).
1
milq: Münchener Internet-Projekt zur Lehrerfortbildung
(http://www.cip.physik.uni-muenchen.de/∼milq/)
5
in
Quantenmechanik
INHALTSVERZEICHNIS
6
Zu diesen Spezialgebieten zählt auch die Quantenkryptographie. Mit einer
Einführung in die Grundzüge der Quantenkryptographie, bietet Ihnen milq einen
ersten Einstieg in das Thema. Der Text auf den HTML Seiten soll Ihnen einen
groben Überblick in die Thematik verschaffen, ohne besonders tief in die Materie
einsteigen zu müssen. Dieser Text befindet sich auch im Anhang dieser Zulassungsarbeit. Die ausführlichen Lehrtexte zu den Teilgebieten, sowie die gesamte
Arbeit können auf den entsprechenden Seiten als pdf-Dokument heruntergeladen
werden.
Das Spezialgebiet Quantenkryptographie soll in dieser Arbeit anschaulich und
detailliert erklärt werden und eines von vielen Anwendungsgebieten der Quantenmechanik zeigen. Die dafür benötigten Grundlagen der Quantenmechanik werden
am Anfang des zweiten Kapitels strukturiert und einfach dargestellt, um so einen
leichten Einstieg zu erhalten und das alte Wissen auffrischen zu können. Das erste
Kapitel „Klassische Kryptographie"’ dient nicht nur als Motivation, sondern bildet auch die Grundlage für die erstmals 100% sichere Kommunikation mithilfe
der Quantenkryptographie. Mathematische Einschübe, sowie Fußnoten und Anhänge bieten einen tieferen Einblick in die Materie.
Im Gegensatz zu manch anderen theoretischen Anwendungsgebieten der Quantenmechanik, wie z.B. der Quantencomputer oder die Quantenteleportation, funktioniert die Quantenkryptographie nicht nur theoretisch, sondern wurde in vielen
Experimenten bestätigt und teilweise auch schon für den kommerziellen Bedarf
produziert. Dieses macht die Quantenkryptographie als Anwendungsgebiet besonders interessant. Der Nutzen der Quantenkryptographie und die Jahrtausend
alte Geschichte der Kryptographie bilden eine hervorragende Grundlage der Motivation und können fächerübergreifend mit Mathematik, Informatik und Geschichte verknüpft werden.
In einem Zeitalter in der sich die Informationstechnologie rasant entwickelt,
in der Daten schneller und in größeren Mengen transferiert werden als je zuvor,
bleibt die Frage nach einer sicheren Kommunikation oft unbeantwortet. Heutige Algorithmen liefern zwar recht schnelle und zuverlässige Verschlüsselungsmethoden, doch die Geschichte hat gezeigt, dass Kryptoanalytiker nie vor dem
Versuch scheuen eine codierte Nachricht zu entschlüsseln. Der Gedanke an einen
universellen Verschlüsselungscomputer der NSA2 , wie es Dan Brown´s Bestseller
Diabolus beschreibt, mag wohl mehr Fiktion als Realität sein. Skepsis über einen
gleichmäßig technischen Fortschritt bleibt dennoch bestehen. Gründe für das Abhören persönlicher Anrufe, das Abfangen und Lesen von E-Mails mag in Zeiten
des Terrorismus für manch einen gerechtfertigt scheinen, dennoch vertreten viele
die Meinung, dass jeder das Recht auf Geheimnisse hat.
2
NSA ist die Kurzform für National Security Agency. Der amerikanische Nachrichtendienst
entspricht der deutschen Behörde des Bundesnachrichtendienstes.
INHALTSVERZEICHNIS
7
Ebenso kann die Kryptographie der Kriminalität, Spionage und dem Terrorismus entgegenwirken. Jeder ist mit den heutigen Algorithmen in der Lage Geheimnisse zu bewahren. Dennoch geht die Entwicklung weiter und es ist nur eine Frage
der Zeit bis Algorithmen wie RSA, denen heute noch ein hohes Maß an Sicherheit
zugesprochen wird, durch einen Quantencomputer mühelos geknackt werden.
Ironischerweise beruht wiederum auf den Gesetzen der Quantenmechanik ein
Verfahren, welches die Kryptographie revolutioniert. Erstmals ist es möglich 100%
sicher zu kommunizieren, ohne dass sich beide zu einem Schlüsselaustausch treffen müssen.
8
INHALTSVERZEICHNIS
Kapitel 1
Klassische Kryptographie
Die geheime Kommunikation lässt sich in zwei voneinander unabängige Disziplinen untergliedern, die Steganographie1 und die Kryptographie2 . Geht es rein
um die Wissenschaft des Verschlüsselns, so spricht man von der Kryptographie
und von der Kryptoanalyse, wenn es um das Entziffern geheimer Botschaften,
ohne Kenntnis des Schlüssels geht. Spricht der Kryptograph von einem Klartext,
so meint er den Originalzustand der Nachricht. Die verschlüsselte Botschaft heißt
Geheimtext. Zur besseren Unterscheidung wird der Klartext meist in kleinbuchstaben, der Geheimtext in GROSSBUCHSTABEN geschrieben.
Bei der Steganographie liegt der Sinn der Geheimhaltung darin, die Botschaft
zu verdecken, so dass ihre Existenz von vornherein verborgen bleibt, insbesondere
dann, wenn Kryptographie verboten ist. Diese Art der geheimen Kommunikation
reicht bis weit in das fünfte Jahrhundert vor Christus zurück:
Griechen, Perser und Chinesen verwendeten sie zur Kommunikation mit Spionen und zur Übermittlung strategischer Pläne. Unzählige Mythen und Geschichten berichten über kriegsentscheidende Nachrichtenübermittlungen, auf die ich
hier jedoch nicht näher eingehen möchte. Doch sollen kurz einige der damaligen
Techniken vorgestellt werden:
• In der Antike verwendeten die Griechen Boten, deren Kopf sie rasierten und
auf diesen eine Nachricht einbrannten oder tätowierten. Nachdem das Haar
nachgewachsen war, schickte man sie zur Zielperson.
• In einem anderem Fall wurde von einer Schreibtafel berichtet, bei der das
Wachs heruntergekratzt, die Mitteilung in das Holz geschrieben und später
mit Wachs wieder überzogen wurde.
1
Steganographie lässt sich aus dem griechischen Wort steganos (=bedeckt) ableiten.
Kryptographie setzt sich zusammen aus den Worten krypto (=verborgen) und graphein
(=schreiben).
2
9
10
KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE
• Die Chinesen schrieben ihre Botschaften auf sehr dünnes Papier oder Seide,
rollten diese ein und tauchten sie in Wachs. Die Boten konnten die Kugeln
in ihrer Kleidung verstecken oder verschluckten sie gar.
• Im 1. Jahrhundert verwendeten die Römer die sogenannte ThithymallusPflanze um aus ihrem Saft eine unsichtbare Tinte herzustellen.
Im 20. Jahrhundert war die Steganographie fester Bestandteil der Nachrichtenübermittlung. Insbesonders während der ersten Hälfte dieses Jahrhunderts war
der Erfindungsreichtum der Wissenschaftler groß. Auf punktgröße verkleinerte
Mikrofilme, sogenannte Microdots dienten zur Übertragung geheimer Botschaften. Dabei wurden Dokumente fotografiert, verkleinert und mithilfe einer Spritze
an die Stelle eines i-Punktes auf einen unbedeutenden Brief fixiert. Diese Technik
wurde bis weit in die Phase des Kalten Krieges verwendet. Der Nachteil dieser
Kommunikation besteht darin, dass bei einer Enttarnung der Botschaft, der Inhalt offen vorliegt. Bei nur akribisch genauer und intensiver Kontrolle bleibt die
Sicherheit der Geheimhaltung auf der Strecke.
Hier liegt der Vorteil der Kryptographie. Fast genauso alt wie die Steganographie versucht sie nicht die Existenz der Botschaft zu verschleiern, vielmehr soll
der Sinn der Mitteilung verborgen bleiben und mithilfe eines Verfahrens (Algorithmus) jederzeit verschlüsselt und entschlüsselt werden können. Im Allgemeinen dient hierzu ein Schlüssel, der zwischen Sender und Empfänger vereinbart
wird, so dass einer dritten Person das Entschlüsseln der Nachricht nicht möglich
ist oder einen zu großen Zeitaufwand benötigen würde.
Einer der Gründe für die rasante Entwicklung der Kryptographie liegt in dem
Nutzen der geheimen Kommunikation des Militärs. Gerade in den Zeiten der Militarisierung des Kalten Krieges wurde von den Kryptographen und -analytikern
viel abverlangt. Immer komplexere Methoden der Verschlüsselung wurden entwickelt und immer leistungsfähigere Maschinen zu deren Entschlüsselung gebaut.
Im Folgenden wollen wir uns mit den Grundlagen der Kryptographie beschäftigen. Einfache Beispiele sollen die Methoden anschaulich darstellen, sowie die
Vor- und Nachteile zeigen. Wir werden uns dem sogenannten One Time Pad etwas genauer zuwenden, da es die Grundlage der Quantenkryptographie liefert,
und am Ende des Kapitels einige moderne Verschlüsselungsmethoden betrachten.
1.1 Arten der Kryptographie
Man unterteilt die Verfahren der Verschlüsselung in Transpositionen und Substitutionen und letzteres nochmals in Codes und Chiffren (siehe dazu auch Abbildung
1.1). Der Begriff Chiffrieren wird jedoch im Allgemeinem bei beiden Verfahren
benutzt. Eine andere Unterteilung gliedert nach der Art der Verschlüsselung auf.
1.1. ARTEN DER KRYPTOGRAPHIE
11
Geheime Kommunikation
Kryptographie
Steganographie
Substitution
Codierung
Transposition
Chiffrierung
(Wörter ersetzen)
(Buchstaben ersetzen)
Abbildung 1.1: Gliederung der geheimen Kommunikation (Quelle: S INGH [5])
Man unterscheidet zwischen symmetrischer und asymmetrischer Verschlüsselung.
Die nun folgenden Techniken gehören alle zur symmetrischen Verschlüsselung.
Hierbei vereinbaren beide Kommunikationspartner einen gemeinsamen Schlüssel, dessen Übergabe vor einer geheimen Kommunikation stattfinden muss. Die
Vor- und Nachteile dieses Verfahrens zeigen sich in den nächsten Unterkapiteln.
Am Ende dieses Kapitels wird kurz auf die asymmetrische Verschlüsselung eingegangen. Sie kommt ohne Schlüsselvereinbarung aus.
1.1.1 Transpositionen
Die Transposition ist eine Methode, bei der die einzelnen Buchstaben eines Wortes oder Satzes vertauscht werden, ohne einzelne Buchstaben zu ersetzen. Die
Sicherheit beruht dabei auf der Anzahl der Permutationen, die mit n!3 (gesprochen: n-Fakultät) zunimmt, wobei n die Anzahl der Zeichen in der Mitteilung
ist. Das Wort geheimnis besitzt 362.880 verschiedene Permutationen, die Wörter
geheime botschaft sogar 355.687.428.096.000. Dieses bietet ein scheinbar hohes
Maß an Sicherheit. Es kann jedoch nicht jede beliebige Permutation verwendet
werden, da der Empfänger mit einer zufällig angeordneten Buchstabenreihe ebenso wenig anfangen kann, wie ein Lauscher. Somit muss hinter einer Transposition
stets ein Algorithmus stecken, der vorschreibt, wie die Vertauschung stattzufinden
hat. Nur so kann auch eine Entschlüsselung möglich sein. Ein Kryptoanalytiker
hat es nun sehr viel einfacher, da er zum einen einen Transpositionsalgorithmus
vermuten muss und des Weiteren alle Buchstaben der Nachricht kennt. Ein erfah3
n! = 1 · 2 · 3 · ... · (n − 1) · n ≈
√
2πn ·
n n
e
(Approximation durch die Stirlingformel).
12
rener Analytiker kann mithilfe der Sprachanalyse und etwas Geschick diese Art
der Verschlüsselungen knacken. Bei den Substiutionen (Kapitel 1.1.2) werden einige Analysemöglichkeiten vorgestellt. Heute werden reine Transpositionen kaum
noch verwendet. Sie dienen mehr zur Erschwernis bestehender kryptographischer
Verschlüsselungen, die auf der Substitution beruhen.
A N
F F G R
P E D E I
R
R
R
S
E
Abbildung 1.2: Skytale
Die ältesten Transpositionsmethoden sind um das 5. Jahrhundert vor Christus
bekannt. Die Spartaner benutzten zur damaligen Zeit einen Holzstab (eine sogenannte Skytale), umwickelt mit einem Leder- oder Pergamentstreifen. Beschrieben mit dem Klartext, längs entlang der Skytale wird der Streifen wieder abgewickelt. Die Nachricht war somit unlesbar und nur der Empfänger, der eine gleiche
Bauart der Skytale besaß, konnte die Botschaft entschlüsseln (siehe Abbildung
1.2). Im Jahre 404 v. Chr. benutzte ein Bote seinen Gürtel als Lederstreifen, bei
dem sich der Geheimtext auf der Innenseite befand. Den Geschichtsbüchern nach,
konnte dieser Soldat mit der Botschaft einer Warnung den Angriff der Perser auf
Sparta vereiteln.
Eine weitere, jedoch einfachere Form der Transposition ist die „Gartenzaun“Transposition: Die Buchstaben werden abwechselnd auf zwei Zeilen geschrieben und zeilenweise aneinandergehängt. Die Entschlüsselung muss folglich umgekehrt erfolgen. Zahlreiche Varianten können die Entschlüsselung des Geheimtextes erschweren, sind aber im Allgemeinem nicht sicher. Im folgenden Beispiel4
ist eine solche Transposition dargestellt:
4
aus E DGAR A LLEN P OE´s Der Goldkäfer von 1843 [9]
Klartext:
1.Zeile:
2.Zeile:
13
„ohne allzu große mühe! habe ich doch geheimschriften gelesen,
die tausendmal schwieriger waren"
O
N
H
A
E
L
L
U
Z
R
G
ß
O
M
E
H
Ü
Geheimtext in „ONALURßMHH BIHOHEEMCR FEGLSNITUE DASHIRGRAE
10er Blöcken: HELZGOEÜEA ECDCGHISHI TNEEEDEASN MLCWEIEWRN“
Tabelle 1.1: Gartenzauntechnik
1.1.2 Substitution
Bei dem Verfahren der Substitution wird der Klartext durch Austauschen der
Buchstaben mit anderen Buchstaben, Ziffern oder Zeichen (Homophon) verschlüsselt. Aus dem Wort geheimschrift wird 7 5 8 5 9 13 19 3 8 18 9 6 20, wenn man
die Buchstaben durch die entsprechenden Ordnungszahlen des Alphabetes ersetzt,
wie in Tabelle 1.2 zu sehen ist. Eine Variante erhält man beispielsweise durch das
Ersetzen des Alphabets mit der Buchstabenreihenfolge der deutschen Tastaturbelegung. Wird bei der Verschlüsselung nur ein Geheimtextalphabet verwendet, so
spricht man von einer monoalphabetischen Substitution. Das Geheimtextalphabet
dient zugleich als Schlüssel zum Dechiffrieren der Botschaft.
Klartextalphabet:
a b c d e f gh i j k l m n o p q r s t u v w x y z
Geheimtextalphabet: 1 2 3 4 5 6 7 8 9 1011121314151617181920212223242526
Variante:
QWERTZU IO P A S D F G H J K L Y X C V B N M
Tabelle 1.2: Geheimtextalphabet
Die älteste und wohl einfachste Form der Buchstabensubstitution ist die CesarVerschiebung, die erstmals belegbar von Julius Cäsar in den „Gallischen Kriegen“
verwendet wurde. Dabei wird jeder Buchstabe im Klartextalphabet um eine bestimmte Anzahl von Stellen verschoben. Dies ist in Tabelle 1.3 mit drei Stellen
dargestellt.
Klartextalphabet:
a b c d e fg h i j k l m n o p q r s t u v w x y z
Geheimtextalphabet: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Klartext:
„veni vidi vici"
Geheimtext:
„YHQL YLGL YLFL"
Tabelle 1.3: Cesarverschlüsselung
Vermutet jedoch ein Gegner die Cesar-Verschiebung, so bleiben ihm nur 25
verschiedene Möglichkeiten eine Verschiebung zu testen, welches zu einer sehr
14
unsicheren Verschlüsselung führt. Bei einer allgemeinen Herstellung eines Geheimtextalphabetes gibt es 26! Möglichkeiten, was 4, 03 · 1026 verschiedenen Verschlüsselungen entspricht. Diese Unmenge an Möglichkeiten bescherte den Verwendern der monoalphabetischen Substitution über die Jahrhunderte absolute Sicherheit und man glaubte lange Zeit, auf der sicheren Seite zu stehen.
Doch der Schein trügt. Das Zauberwort lautete damals: Häufigkeitsanalyse.
Dieses Verfahren hat seine Wurzeln in den arabischen Ländern und verdankt ihre
Entdeckung den dort lebenden Theologen, die akribisch genau den Koran studierten. Diese analysierten nicht nur den Inhalt, sondern auch die Häufigkeit einzelner
Buchstaben, Wörter und Sätze. Sie erhofften sich so mehr Aufschluss über den
chronologischen Aufbau des Korans zu erhalten. Die Häufigkeitsanalyse als Mittel zur Entschlüsselung von Geheimschriften wurde jedoch erstmals belegbar im
neunten Jahrhundert beschrieben. In seinem Werk Abhandlung über die Entzifferung kryptographischer Botschaften beschreibt der Gelehrte A BU Y USUF YAQUB
IBN I S - HAQ IBN AS S ABBAH IBN ’ OMRAN IBN I SMAIL A L -K INDI , wie durch
eine Analyse der Häufigkeit einzelner Buchstaben die Entzifferung des Geheimtextes möglich ist, sofern ein genügend langer Geheimtext vorliegt.
In den meisten Sprachen kommt jeder Buchstabe mit einer bestimmten Häufigkeit vor. Im Deutschen besitzt der Buchstabe e eine Häufigkeit von 17, 40%,
hingegen das y nur eine von 0, 03%. In der Abbildung 1.3 sind jeweils die Buchstabenhäufigkeiten der deutschen und englischen Sprache dargestellt. Besonders
die unterschiedlichen Peaks (Buchstaben mit erhöhter Häufigkeit) fallen ins Auge.
Sie sind charakteristisch für die jeweilige Sprache.
(a)
(b)
20%
15%
12%
15%
9%
10%
6%
5%
0%
3%
a b c d e f g h i j k l mn o p q r s t u vwx y z
0%
a b c d e f g h i j k l mn o p q r s t u vwx y z
Abbildung 1.3: (a) Buchstabenhäufigkeit der deutschen und (b) englischen Sprache (Quelle: S INGH [5])
Besitzt man eine Vermutung über die Sprache5 , in der die Botschaft geschrieben wurde, kann man die Häufigkeit der verwendeten Zeichen mit der Buchsta5
Eine solche Vermutung erhält man leicht mithilfe des sogenannten Übereinstimmungs-Index
κ, der Aufschluss über die verwendete Sprache geben kann. Dabei wird der Geheimtext in zwei
15
benhäufigkeit der verwendeten Sprache vergleichen. Je länger dabei der Geheimtext ist, desto einfacher wird die Entschlüsselung.
Selbstverständlich werden nur relative Häufigkeiten verwendet, was mit einer eins zu eins Übersetzung der Häufigkeiten nicht unbedingt zum Erfolg führen
muss. Jedoch helfen des Weiteren auch Biagramme6 , Endungen oder Eigenschaften einzelner Buchstaben (im Deutschen folgt auf ein q stets ein u) beim Entziffern. Gerade die Anfangszeit der Kryptoanalyse wurde vorwiegend von Sprachwissenschaftlern dominiert. An einem Beispiel, wie es auch in dem Werk Der
Goldkäfer (The Gold Bug) von E DGAR A LLEN P OE beschrieben wird, möchte
ich die Einfachheit dieses Verfahrens aufzeigen.
Geheimtext: 53==+ 305)) 6*;48 26)4= .)4=; 806*; 48+8/ 60))8 5;I=( ;:=*8
+83(8 8)5*+ ;46(; 88*96 *?;8) *=;48 5);5* +2:*( ;4956 *2(5* 4)8/ 8*;40 69285 );)6+ 8)4== ;I(=9 ;4808 1;8:8 =I;48 +85;4 )485+
52880 6*81( =9;48 ;(88; 4(=?3 4;48) 4=;16 1;:18 8;=?;
Tabelle 1.4: Homophon verschlüsselter Text aus E DGAR A LLEN P OES The Gold
Bug
Zeichen:
8
;
4
=
)
*
5
6
Häufigkeit: 33
26
19 16 16 13 12 11
in %:
18,8 14,8 10,8 9,1 9,1 7,4 6,8 6,3
+
I
8
8
4,6 4,6
Zeichen:
Häufigkeit:
in %:
.
1
0,6
0
6
3,4
9
5
2,8
2
5
2,8
3
?
I
/
4
3
3
2
1
2,3 1,7 1,7 1,1 0,6
Tabelle 1.5: Häufigkeitsanalyse der Geheimbotschaft aus E DGAR A LLEN P OES
The Gold Bug
In Tabelle 1.4 liegt der verschlüsselte Text vor. Wie oft jedes Zeichen vorkommt, ist in Tabelle 1.5 illustriert. Diese werden dann wie folgt mit den Buchstabenhäufigkeiten der englischen Spache (Abb. 1.3) verglichen:
Da im Englischen der Buchstabe e am häufigsten vorkommt, kann man ihn
im obenstehenden Text für das Zeichen 8 vermuten. Dies wird bestärkt durch das
vermehrte Auftreten einer doppel 8, was im Klartext ein doppel e wäre. Im Englischen ist dies eine sehr oft vorkommende Konstellation, wie z.B. in meet, seed
Teile gegliedert und zeilenweise untereinander gestellt. Der prozentuale Anteil der gleichen Buchstaben, die genau untereinander stehen ist charakteristisch für eine Sprache.
6
Biagramme sind zwei hintereinander auftretende Buchstaben. Auch ihre Häufigkeit ist von
der verwendeten Sprache abhängig. Ein oft auftretendes Biagramm der deutschen Sprache ist das
st. Das Biagramm th ist in der deutschen Sprache eher selten. In der englischen Sprache hingegen
tritt es sehr häufig auf.
16
oder feet. Ein sehr häufig auftretendes Wort ist the. Sucht man gleiche Buchstabenkombinationen in der die 8 hinten steht, so findet man sieben an der Zahl,
nämlich ;48 . Damit ist es uns nun gelungen schon drei Buchstaben zu entziffern.
Den Rest der Entschlüsselung erhält man ebenfalls mit dieser Methode7 .
Trotz dieser Schwäche der Verschlüsselung hatte sie bis zum Ende des 16.
Jahrhunderts Bestand. Varianten der monoalphabetischen Verschlüsselung gaben
nur kurz Sicherheit und mit Entstehen der schwarzen Kammern8 wurden auch
diese nach und nach entziffert. Die Häufigkeitsanalyse forderte letztlich auch das
Leben der schottischen Königin M ARIA S TUART († 08.02.1587). Ihr Mordkomplott an der englischen Königin Elisabeth wurde aufgedeckt, als Kryptoanalytiker
am Hofe der englischen Königin mittels dieses Verfahrens die Geheimnachrichten
M ARIA S TUARTS entzifferten.
Nur ein Jahr zuvor (1585) veröffentlichte B LAISE DE V IGENÈRE9 sein Werk
Traicté des Chiffres, eine Abhandlung über Geheimschriften. In dieser beschreibt
er basierend auf den Ideen des Benediktinermönches J OHANNES T RITHEMIUS
(1462-1516) eine vollständig polyalphabetische Verschlüsselung, welche heute
noch seinen Namen trägt: Die Vignère Verschlüsselung. In Tabelle 1.6 sehen Sie
eine typische Verschlüsselung nach Vignère.
Schlüsselwort:BAUMBAUMBAUMBAUMBAUMBA U MB A UMBAUM
Klartext:
ho l me s h a t t e s t un d en l a ng s c hw e i g s am
Geheimtext: I O F Y F S BMU T Y E UUH P FN F MOGM O I WY U H S U Y
Tabelle 1.6: Vignère Verschlüsselung mit dem Schlüsselwort BAUM
Das Schlüsselwort Baum hat die Funktion jedem Klartextbuchstaben sein Geheimtextalphabet zuzuordenen. Der erste Buchstabe h wird mit dem Geheimtextalphabet verschlüsselt, das im Vignère Quadrat (Tabelle 1.7) mit B beginnt,
das o mit dem letzten Geheimtextalphabet, welches mit A beginnt, usw.
Vignère´s Absicht war es aber nicht, kurze Schlüsselwörter zu verwenden oder
die Geheimtextalphabete alphabetisch anzuordnen. Der Einfachheit halber wurde
es aber von vielen genauso praktiziert und sie galt über Generationen als undechiffrierbar10 . Doch gerade diese zyklische Verschlüsselung wurde ihr zum Verhängnis.
7
Eine detaillierte Lösung des Rätsels finden Sie im Auschnitt aus Der Goldkäfer im Anhang
3.2.
8
Schwarze Kammern waren im 16. Jahrhunderte Institute der europäischen Mächte zur Entschlüsselung geheimer Botschaften, vergleichbar mit der amerikanischen NSA (National Security
Agency).
9
B LAISE DE V IGENÈRE (1523 - 1596), französischer Diplomat und Kryptograph.
10
Sie trug den Beinamen le chiffre indéchiffrable (die nicht zu entziffernde Chiffre).
Klar:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
b
c
d
e
f
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
a
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
g
h
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
i
j
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
k
l
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
17
m
n
o
p
q
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
R S
S T
T U
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
r
s
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
u
v
w
x
y
z
U V
V W
W X
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
t
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
X Y
Y Z
Z A
A B
B C
C D
D E
E F
F G
G H
H I
I
J
J K
K L
L M
M N
N O
O P
P Q
Q R
R S
S T
T U
U V
V W
W X
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Tabelle 1.7: Vignère Quadrat
In Tabelle 1.8 befindet sich eine ausführliche Vignère Verschlüsselung. Zur
einfacheren Veranschaulichung sind Leer- und Satzzeichen übernommen worden,
die unverschlüsselt blieben. Zur damaligen Zeit sind diese natürlich nicht mit
übernommen worden. Die Silbe ein wurde hier, wie zu sehen ist, mit verschiedenen Folgen verschlüsselt.
C HARLES BABBAGE gelang es im 19. Jahrhundert als erstem die Vignère Verschlüsselung zu lösen: Aufgrund eines Streites wurde er im Wettstreit aufgefordert
eine vignère-verschlüsselte Nachricht zu dechiffrieren. Babbage bemerkte als erster die Schwäche des Systems.
Bei einem Schlüsselwort wie BAUM wird jeder vierte Buchstabe mit dem selben Alphabet verschlüsselt. Findet man im Geheimtext gleiche aufeinanderfolgende Buchstabenketten (mindestens drei, z.B. QJN oder YUO), dann kann davon
ausgegangen werden, dass ein häufig auftretendes Wort oder auch eine Silbe (hier
ein) auf dieselbe Art verschlüsselt wurde. Die Anzahl der Stellen zwischen einer solchen Folge gibt Aufschluss über die Länge des Schlüsselwortes, denn die
Freistellen gleicher Folgen müssen ein Vielfaches der Länge des Schlüsselwortes
ergeben. In unserem Beispiel betragen die freien Stellen zwischen den QJN´s 36
sowie 236. Die gemeinsamen Teiler (2 oder 4) der beiden Zahlen sind die einzigen
Möglichkeiten für die Schlüssellänge. Auch bei den YUO´s ist der gemeinsame
Teiler der Abstandszahlen (220, 192) 2 oder 4. Bei genügend vorhandenen Folgen
dezimiert sich der gemeinsame Teiler auf meist ein oder zwei Möglichkeiten, wel-
18
Klartext:
holmes hatte stundenlang schweigsam dagesessen, den langen
schmalen ruecken ueber eine retorte gebeugt, in der er ein besonders ekelhaft riechendes chemisches produkt braute. der kopf war
ihm auf die brust gesunken, und er kam mir vor wie ein fremdartiger schmaechtiger vogel mit einem stumpfem grauem gefieder und schwarzem schopf. »also, watson«, sagte er auf einmal,
»sie haben nicht die absicht, in suedafrikanische anleihen zu investieren?«. ueberrascht zuckte ich zusammen. wenn ich auch mit
holmes’ seltsamen faehigkeiten vertraut war, so blieb mir doch
dieses ploetzliche eindringen in meine innersten gedanken ganz
unerklaerlich.
Geheimtext: IOFYFS BMUTY EUUHPFNFMOG MOIWYUHSUY EAAQTEMEFN, XQO LUZHEH EDHGMMEH DVEWWFN OQCEL
QJNY DFTIDUE AQCEOSU, IH PFR YD FIH NFSIZEELE
FKYXIAZF SIYOIEHPFS WTFMCEDHYE QRIPVKN NSAOFF.
DYD LOJR XAL UIM UGG DCQ CROEU GYEVNEQO, UHP
FR EMN MCD WOL IJE YUO FLQNDUDUIAQS SWTNAYOITCSFR PAHEF YJT YUOEG EUUGBGEG SSAOQN GYRJEXQS UHP TCBIBRTQN SWTPPZ. »MMSI, IBTMAO«, SUSUE YD BUZ QJNGMM, »SCQ IAVQO NCOIT XUF AVEJCBF, JN MGFDURSIEMOIMOIE UZMECTFN TG JNPQTTCQSEH?«. GFBYDSAMOIT TGDKNQ JCB LVSUYNEH. IFNH
UDH UGDH GUU HIXNEM’ EFLNEBMYZ GAYTJGEQJTYZ
WELFSAOF XAL, EP BFUFB GUS DIOI DCQTEM BMOYFALCOIE YUODLUOGYZ JN GQJNY UONYDTTYZ HEXMOKYZ
HAHL VNYDLLUQSLCOI.
Tabelle 1.8: Vignère Verschlüsselung einer Textpassage aus Die tanzenden Männchen (1903) von C ONAN D OYLE [25]
ches hier schon durch eine Folge geschehen ist. Da die Länge 2 als Schlüsselwort
wohl unwahrscheinlich ist, sollte die Länge des Schlüsselwortes 4 betragen.
Die Wahrscheinlichkeit rein zufälliger gleich auftretender Folgen ist schon bei
einer Kette von drei Buchstaben sehr gering. Der vorhandene Geheimtext wird
nun in vier Gruppen aufgegliedert. Jede dieser Gruppen entspricht einer CesarVerschlüsselung. Das Problem ist somit auf vier einzelne Häufigkeitsanalysen
reduziert worden. Die Vignère Verschlüsselung ist also über die Ermittlung der
Schlüssellänge, auch Kasiski-Test11 genannt, zu entziffern. Aber auch die Verwen11
Der Kasiski-Test geht auf den preußischen Infanteriemajor F RIEDRICH W ILHELM K ASISKI
(1805 - 1881) zurück. Erfunden wurde dieser Test zwar 1854 von dem englischen Mathematiker C HARLES BABBAGE (1792-1871), jedoch hat BABBAGE seinen Test nie veröffentlicht. Beim
Kasiski-Test wird der Geheimtext nach Wiederholungen von Zeichenfolgen mit mindestens drei
Zeichen untersucht und deren Abstand gemessen.
1.2. DAS ONE TIME PAD
19
dung von langen Schlüsselwörtern, die sogar der Länge des Textes entsprechen,
kann keine absolute Sicherheit gewährleisten.
Sinnvolle Wörter oder Sätze im Schlüsselwort dienen schon oftmals als Angriffspunkt. Kryptoanalytiker setzen dabei häufig auftretende Wörter oder Silben
(z.B. die) an beliebige Stellen in den Klartext ein und überprüfen die dabei entstehenden Teile des Schlüsselwortes. Ergeben die Fragmente einen Sinn (z.B. YPT,
wie in Ägypten) bleiben die Wörter/ Silben vorerst bestehen, ansonsten werden
sie verworfen und an anderen Stellen eingesetzt (z.B. kommt die Folge RLT in der
deutschen Sprache nicht vor). Bei mehrmaliger Anwendung können die Schlüsselwörter teilweise entziffert, bzw. erraten werden. Ebenso die Wiederverwendung
des Schlüssels für mehrere Nachrichten ist ein Angriffspunkt für Kryptoanalytiker. Mit einer ähnlichen Taktik wie oben können Analytiker auch solche Chiffren
lösen. S IMON S INGH schrieb in seinem Buch Geheime Botschaften:
"Die Wiederholung ist der Feind der Geheimhaltung. Wiederholungen ergeben Muster und dies sind die Lieblingskinder der Kryptoanalytiker."
1.2 Das One Time Pad
Ende des Ersten Weltkrieges gelang es erstmals eine 100 % sichere Verschlüsselung zu entwerfen. M AJOR J OSEPH M AUBORGNE12 erkannte die Schwächen
der Vignère Verschlüsselung und entwickelte das sogenannte One Time Pad. Er
lies sich dabei von G ILBERT V ERNAM13 inspirieren, der 1917 erstmals einen binären (Baudot Code) Vignère Chiffriersatz für einen Fernschreiber mit Lochstreifen baute. M AUBORGNEs Schlüssel sollte
1. rein zufällig gewählt werden,
2. genauso lang wie der zu verschlüsselnde Text sein und
3. nur einmal verwendet werden.
Diese drei Kriterien garantieren eine absolute Sicherheit, wie später von C LAUDE
S HANNON14 mathematisch bewiesen wurde. M AUBORGNE schlug seinen Zufallsschlüssel erstmals für den Fernschreiber von V ERNAM vor. Später wurden auch
andere Formen verwendet.
12
M AJOR J OSEPH M AUBORGNE (1874-1971): Leiter des kryptographischen Institutes der amerikanischen Armee.
13
G ILBERT S ANDFORT V ERNAM (1890-1960): Mitarbeiter bei AT&T New York.
14
C LAUDE E LWOOD S HANNON (1916-2001): amerikanischer Mathematiker.
20
Für die Kommunikation und die Verschlüsselung mit dem One Time Pad stelle
man sich zwei identische Stapel mit Blättern vor. Auf jedem dieser Blätter stehen
hunderte von verschiedenen, rein zufällig gewählte Buchstabenfolgen. Sender und
Empfänger besitzen jeweils einen Stapel. Bei jeder zu sendenden Nachricht wurden die Buchstabenfolgen eines Blattes als Schlüsselfolge im Vignère Quadrat
verwendet und nach dem Gebrauch vernichtet. Die Nachricht konnte nun absolut sicher verschickt werden. Zum Entschlüsseln verwendete der Empfänger das
gleiche Blatt aus seinem Stapel und vernichtete auch dieses nach Gebrauch. Ein
Abhörer hatte ohne den Schlüssel keinerlei Möglichkeiten die Nachricht zu dechiffrieren.
Warum ist diese Verschlüsselung nun so sicher? Man stelle sich folgende zu
verschlüsselnde Nachricht vor:
warenuebergabe um zehn uhr
Als verwendeten Schlüssel nehmen wir eine zufällige Folge von Buchstaben, wie
es in Tabelle 1.9 illustriert ist.
Schlüsselwort: Y P K L J H W Q V X H D F A T W P I O V B M D N
Klartext:
w a r e n u e b e r g a b e u m f u e n f u h r
Geheimtext: U P B P W B A R Z O N D G E N I U C S I G G K E
Tabelle 1.9: Verschlüsselung mit dem One Time Pad
Bei einer Nachricht von 24 Buchstaben, gibt es 2624 = 9, 11 · 1033 Möglichkeiten für die Auswahl des Schlüssels. Einem Kryptoanalytiker bliebe aber nur
die Möglichkeit alle Schlüssel auszuprobieren, da unser gewählter Schlüssel sich
weder wiederholt noch eine innere Ordnung oder ein Muster besitzt, an dem man
einen Angriffspunkt hat. Vielmehr besteht für ihn das Problem, dass er bei einem
brute force attack15 auch jede andere sinnvolle Nachricht mit einer Länge von 24
Buchstaben erhält. So enthält der gleiche Geheimtext wie oben auch die Nachricht:
warenuebergabe verschoben,
wenn ein anderer Schlüssel zum Entziffern verwendet wird (siehe Tabelle 1.10).
Da der Schlüssel keinen sprachlichen Angriffspunkt liefert, bleibt nur die brute force Methode. Aber auch diese wird keine eindeutige Lösung liefern, denn es
kommen alle Klartexte mit gleicher Länge in Frage. Ebenso erhält man die Nachricht
15
brute force attack: kryptonalytischer Angriff, bei dem alle möglichen Schlüssel des Schlüsselraums durchprobiert werden, in der Hoffnung, möglichst schnell auf den richtigen Schlüssel zu
treffen.
1.2. DAS ONE TIME PAD
21
Geheimtext: U P B P W B A R Z O N D G E N I U C S I G G K E
Schlüsselwort: Y P K L J H W Q V X H D F A S E D K Q B S F G R
Klartext:
w a r e n u e b e r g a b e v e r s c h o b e n
Tabelle 1.10: Entzifferung des Geheimtextes unter Verwendung eines anderen
Schlüssels
fc bayern wird heuer meister
unter Verwendung eines anderen Schlüssels. Es ist unmöglich die ursprüngliche
Nachricht zu entziffern ohne im Besitz des Schlüssels zu sein. Diese Sicherheit
beruht jedoch auf der Bedingung, dass der Schlüssel lediglich einmal verwendet
wird. Man kann zeigen, dass schon bei zweifacher Benutzung eines Schlüssels der
Code keine 100 %ige Sicherheit mehr leistet und evtentuell dechiffrierbar ist.
Trotz der absoluten Sicherheit setzte sich dieses Verfahren nur vereinzelt durch.
In Abbildung 1.4 ist ein russisches One Time Pad abgelichtet, das zu Zeiten des
Kalten Krieges und der Spionage verwendet wurde. Beide Kommunikationspartner waren in Besitz eines solchen kleinen Buches, das mit einer großen Anzahl
zufälliger Buchstabenfolgen bedruckt wurde.
Abbildung 1.4: Russisches One Time Pad (Quelle: [23])
Die Verteilung und Koordination des Schlüssels ist jedoch mit sehr großem
Aufwand verbunden, was in der Praxis oftmals nicht umzusetzen war. Die Antwort auf dieses Problem während des Zweiten Weltkrieges waren die Chiffriermaschinen. Zwar lösten sie nicht das Problem der Schlüsselübergabe, jedoch benötigte man nur noch die jeweiligen Einstellungen der Maschine um sicher kommunizieren zu können. Die Enigma, wohl die bekannteste unter ihnen, verschlüsselte
die Nachricht nach einem zur damaligen Zeit sehr komplizierten Muster. Die Zufälligkeit des Schlüssels war aber nicht gegeben, was den Deutschen später zum
22
Verhängnis wurde. Die Chiffriersätze der Enigma wurden erstmals unter polnischer Leitung durch den Statistikstudenten M ARIAN R EJEWDKI und später nach
etwaigen Änderungen an der Enigma mit deren Hilfe von den Engländern geknackt. Hierbei sei der Name A LAN TOURING genannt, der die wesentliche Rolle
unter den Codebrechern des Bletchley Park16 trug. Er setzte erstmals Maschinen
zur Dechiffrierung ein. Diese ersten Rechenmaschinen haben im späteren Verlauf
auch die Lorentz SZ40, eine weitaus kompliziertere Chiffriermaschine, geknackt.
Sie diente zur Chiffrierung des Nachrichtenverkehrs zwischen Adolf Hitler und
seinem Generalstab.
Auch heutzutage wird die Methode des One time Pads allgemein nicht praktiziert. Dieses zeigt sich an folgendem
Beispiel. Die Stadtsparkasse München betreut ca. 691.000 Kunden17 . Gehen wir
davon aus, dass jeder Kunde im Monat rund drei Transaktionen online durchführen möchte. Das bedeutet, dass jeder Kunde mit der Bank 3 Schlüssel pro Monat
austauschen muss. Für das Geldinstitut bedeutet das 2.073.000 Schlüsselübergaben jeden Monat. Deutschlandweit gibt es rund 30 Millionen Online Konten18.
Bezieht man noch die Transaktionen der Banken untereinander mit ein und betrachtet die riesigen Datenmengen (große Datenmengen erfordern lange Schlüssel), so scheint das One Time Pad ein logistischer Alptraum zu sein. Letztendlich
bleibt die Schlüsselübergabe immer noch ein Sicherheitsrisko. Wer weiß denn, ob
nicht der Bote bestochen oder die geheime Leitung angezapft wurde.
Ein weiteres Problem ist die Generierung von Zufallszahlen. Die Herstellung
von reinen Zufallszahlen mittels Computer ist ohne weiteres nicht möglich. Diese
können lediglich einen Algorithmus befolgen, die dem Wort Zufall gegenüber
steht. Auch wenn heutzutage sogenannte Pseudozufallszahlen den meisten Tests
standhalten, kann nicht von einer reinen Zufallszahl gesprochen werden, welches
jedoch eine Bedingung für das One Time Pad ist. Eine Lösung wäre, sich die
Zufälligkeit der Natur zu Nutze zu machen, z.B. der Zerfall radioaktiver Elemente.
Dies wäre jedoch ein nicht unerheblicher Aufwand zur Generierung großer und
langer Schlüssel. Im späteren Verlauf werden wir sehen, dass sich dieses Problem
in der Quantenkryptographie von selbst löst.
16
Bletchley Park: ist der Name eines englischen Landsitzes in Buckinghamshire, etwa 70 km
nordwestlich von London, welcher auf Anweisung von Winston Churchill gegründet wurde. Dort
bemühten sich während des Zweiten Weltkriegs Wissenschaftler aus Großbritannien und Polen
darum, die Verschlüsselungsmethoden beim Nachrichtenverkehr der deutschen Wehrmacht zu brechen.
17
Stand März 2003
18
Stand Juli 2003
1.3. MODERNE VERSCHLÜSSELUNGSMETHODEN
23
1.3 Moderne Verschlüsselungsmethoden
In der heutigen Zeit werden auf nicht quantenmechanischer Ebene viele verschiedene Techniken zum Verschlüsseln angeboten:
DES19 , IDEA20 , 3DES21 , AES22 , RSA23 und PGP24 .
Wie schon am Anfang dieses Kapitels beschrieben, untergliedert man die Arten
der Schlüsselverwendungen in symmetrische und asymmetrische Verschlüsselungen. Der Vorteil der symmetrischen Verschlüsselung liegt in der Geschwindigkeit. Sie besitzen meist sehr hohe Chiffrieraten. Bei DES liegen diese in Größenordnungen von 100 MB/s. Der Nachteil liegt im Schlüsselmanagement und
der Problematik einer spontanen Kommunikation, da zuerst eine Schlüsselübergabe stattfinden muss. Die asymmetrische Verschlüsselung umgeht das Problem
der Schlüsselübergabe, indem sie sich algebraischer Methoden bedient. Die dafür verwendeten Algorithmen sind sogenannte Einwegfunktionen. Ihr Nachteil
liegt in der nicht bewiesenen Sicherheit und der niedrigeren Geschwindigkeiten.
Die genaue Funktionsweise wird beim RSA Algorithmus erläutert. Anhand einiger Beispiele sollen die Vor- und Nachteile der heutigen Kommunikation gezeigt
und die Notwendigkeit der Quantenkryptographie verdeutlicht werden.
1.3.1 DES
DES ist eine symmetrische Verschlüsselung und entstand aus einer Modifikation
des LUCIFER-Algorithmus. Dieser wurde 1974 von dem zur damaligen Zeit beim
IBM angestellten H ORST F EISTEL entwickelt. Nach Einreichung dieses Verfahrens beim Federal Register, beschränkte die NSA jedoch die Schlüssellänge von
128-Bit auf 56-Bit25 . 1975 wurde das Data Encryption Standard vom National
Bureau of Standards veröffentlicht. Die Anzahl der möglichen Schlüssel beträgt
19
Data Encryption Standard: symmetrische Verschlüsselung, Anwendung beim EC-PinVerfahren und Passwortverschlüsselung in Unix.
20
International Data Encryption Algorithm: symmetrische Verschlüsselung, ähnlich wie DES,
jedoch schneller und sicherer, verwendet 128 Bit.
21
Triple-DES: symmetrische Verschlüsselung, dreifache Anwendung des DES Algoritmus mit
verschiedenen Schlüsseln. Der mittlere Algorithmus wird dabei invers verschlüsselt.
22
Advanced Encryption Standard: symmetrische Verschlüsselung, Anwendung beim Verschlüsselungsprotokoll für WLAN und SSH.
23
Nach seinen Erfindern RONALD L. R IVEST, A DI S HAMIR und L EONARD A DLEMAN benannt, antisymmetrische Verschlüsselung.
24
Pretty Good Privacy: hybrides Verfahren.
25
Eigentlich handelt es sich um einen 64-Bit Schlüssel, bei dem nur 56 Bit frei wählbar sind
und 8 Bit zur Überprüfung von Übertragungsfehlern (durch einen Paritätsvergleich) verwendet
werden.
24
256 = 7, 21 · 1016 . Warum der Schlüsselraum so stark dezimiert wurde, unterliegt
vielen Spekulationen und Gerüchten. Der glaubhafteste Grund ist wohl, dass die
NSA, die sich selber America´s Codemakers and Codebreakers nennt, schon lange
über die nötigen Rechenkapazitäten verfügt, um in genügend schneller Zeit alle
72, 1 Billiarden Möglichkeiten zu testen („brute force attack“). Einen Schlüsselraum in der Größe von 1,33 Sextillionen (entspricht: 2120 = 1, 33 · 1036 ) wäre
durch einen brute force Angriff nicht mehr zu dechiffrieren.
Die Kritik an der kurzen Schlüssellänge war und ist groß und nicht unberechtigt. 1994 wurde ein DES Schlüssel in 50 Tagen mithilfe eines Netzwerkes von
12 Workstations ermittelt. 1998 entschlüsselte ein Spezialcomputer einen DES
Schlüssel in nur 56 Stunden und im Jahre 2001 knackte ein System im Internet
parallel geschalteter Computer den Schlüssel in 22 Stunden.
Der DES Algorithmus ist eine Mischung aus Substitution und Transposition.
Eine Nachricht, in binärer Folge codiert, wird in Blöcke von je 64 Bit aufgeteilt. In 16 Runden wird jeder Block erst durch Transposition verschlüsselt und
nachdem er halbiert wurde, substituiert und zur anderen Hälfte addiert. Die Einzelheiten der Verschlüsselung sind veränderbar und legen den Schlüssel fest. Nur
mit diesem kann eine mit DES chiffrierte Nachricht entziffert werden. Ein Abhörer müsste alle möglichen Schlüssel ausprobieren. Wie wir aber gesehen haben, ist dies schon seit langem nicht mehr unmöglich. Der Vorteil des DES Algorithmus zeigt sich beim Implementieren in die Hardware. Chiffrierraten von 100
MB/s werden dabei erreicht. Zudem haben minimale Veränderungen des Schlüssels bzw. des Klartextes erhebliche Auswirkungen auf den Geheimtext. Auch die
Kombination beider Verfahren (Substitution und Transposition) verkomplizieren
die Beziehung zwischen Klar-und Geheimtext. Alternativen bilden beispielsweise Triple-DES (Schlüssellänge von 108 Bit) oder IDEA, jedoch beruhen all diese
Verfahren auf symmetrischer Verschlüsselung und beheben nicht das Problem der
Schlüsselübergabe.
1.3.2 Asymmetrische Verschlüsselungen
Im Gegensatz zu den vorherigen Verfahren unterscheidet sich die asymmetrische
Verschlüsselung weitgehend von den bisher gezeigten Algorithmen. RSA gehört
zur Zeit zu den sichersten Verschlüsselungstechniken, wenn man von der Quantenkryptographie absieht. Eine absolute Sicherheit kann RSA aber nicht gewährleisten, denn die Sicherheit des Verfahrens beruht auf dem komplizierten Zerlegen
großer Zahlen in ihre Primfaktoren. Dieses ist zwar sehr kompliziert aber nicht
unmöglich. 1996 fand man die Primfaktoren einer Zahl der Größenordnung von
1, 8 · 10130 .
Diese Leistung ist zwar sehr beeindruckend, aber bei deutlich größeren Zahlen
ist das Faktorisieren mit heutigen üblichen Algorithmen sehr zeitaufwendig und
25
liefert somit eine scheinbar sichere Kommunikation. Eine Entschlüsselung einer
mit RSA chiffrierten Nachricht würde mit den heute verwendeten Schlüssellängen
einen unvorstellbar großen Zeitraum in Anspruch nehmen. Trotzdem bleibt dies
vorerst nur ein Problem der Rechenleistung.
Im Folgendem werden wir nur auf das Prinzip der asymmetrischen Verschlüsselung eingehen. Die genaue Funktionsweise des RSA Algorithmus wird im Anhang 3.1 erläutert.
Das Verfahren der asymmetrischen Verschlüsselung, auch Public-Key- Kryptographie genannt, ist einer der Meilensteine der Kryptographie. Sie ermöglicht es
zwei Personen erstmals sicher miteinander zu kommunizieren, ohne zuvor einen
Schlüssel zu vereinbaren, bzw. auszutauschen. Das Prinzip geht auf W HITFIELD
D IFFIE und M ARTIN H ELLMAN zurück. 1975 veröffentlichten sie eine Arbeit,
in der sie das Problem der Schlüsselübergabe erstmals in Angriff nehmen und
auch prinzipiell lösen. Bis zu diesem Zeitpunkt galt es als unmöglich, Nachrichten geheim zu verschicken, ohne ein Geheimnis (Schlüssel) zuvor ausgetauscht zu
haben. Ihre Lösung stützt sich auf sogenannte Einwegfunktionen. Dies sind Funktionen, die einfach auszuführen, aber schwer wieder umzukehren sind. Verständlich wird dies an einem einfachen analogen Beispiel, das eine solche Funktion
darstellen soll:
Mischen wir blaue und gelbe Farbe, so scheint uns dies ein einfacher Prozess
zu sein. Wir erhalten grüne Farbe. Wollen wir diese aber wieder trennen, so stehen
wir vor einem Problem. Der umgekehrte Prozess scheint unmöglich zu sein.
Betrachten wir die Funktion
f (x) =
3x + 4
.
x
(1.1)
Um für jeden x -Wert den passenden Funktionswert f (x) zu erhalten, setzt man
den Wert für x in die Gleichung ein. So erhält man für x = 2 den Wert f (x = 2) =
5. Möchte man jetzt aber zu dem Funktionswert f (x) = 4 den zugehörigen x Wert
erhalten, benötigen wir die Umkehrfunktion. Diese lässt sich einfach berechnen
und lautet:
4
f −1 (x) =
.
(1.2)
x−3
Nun setzt man lediglich 4 in die Gleichung f −1 (x) ein und erhält 4. Diese Funktion ist keine Einwegfunktion, denn es existiert eine einfache Rechenvorschrift um
inverse Funktionswerte zu erhalten. Auch die Funktion f (x) = ex ist keine Einwegfunktion. Ihre Umkehrfunktion lässt sich darstellen als f (x) = ln x und ist
genauso einfach anzuwenden.
Also was sind jetzt Einwegfunktionen? Einwegfunktionen sind in eine Richtung leicht auszuführen, aber umgekehrt sehr schwer. Für sie existieren keine Darstellungen einer einfachen Umkehrfunktion. Lediglich eine Tabelle kann dann die
26
Umkehrfunktion ersetzen. H ELLMAN fand eine solche Funktion und entwickelte ein Verfahren, das es erstmals ermöglichte ohne Schlüsselaustausch sicher zu
kommunizieren. H ELLMAN befasste sich während dieser Zeit ausgiebig mit Modulo - Arithmetik. Hierbei rechnet man mit sogenannten Restklassen der ganzen
Zahlen Z. In einem kleinen Einschub wollen wir uns kurz mit den Grundlagen
dieser Restklassen befassen.
Einschub: Mathematische Grundlagen 1
Dividiert man in der Menge der ganzen Zahlen, so erhält man einen glatten Wert (z.B. 12 : 4 = 3)
oder einen Wert mit Rest (z.B. 13 : 5 = 2 Rest 3). Man kann für einen festen Wert des Divisors
(im Bsp. 4 oder 5) alle Werte mit gleichem Rest in Klassen einteilen. So beschreibt die Klasse26
3̄, diejenige Menge an Zahlen, bei denen man mit der Division durch 5 den Rest 3 erhält:
3̄ = {. . . , −7, −2, 3, 8, 13, . . .}.
(1.3)
Folglich gibt es fünf Äquivalenzklassen zu dem Divisor 5:
{0̄, 1̄, 2̄, 3̄, 4̄}.
(1.4)
Man spricht hierbei von Z/(5) (gesprochen: „Z modulo fünf“) bzw. mod 5 (gesprochen: „modulo
fünf“). In dieser endlichen Menge lässt es sich, abgesehen von der Division, genauso wie in Z
rechnen. Mit einer Ausnahme: Zahlen die bei der Division mit fünf den gleichen Restwert besitzen
sind äquivalent. So gilt in Z/(5) beispielsweise:
2
≡ 7
≡ 12 mod 5
(1.5)
Somit können alle Zahlen aus Z durch jeweils einen von fünf Repräsentanten dargestellt werden.
Um nun zu verstehen wie man mit solchen Restklassen rechnet, folgen einige Beispiele in Z/(12):
• Addieren und Subtrahieren
2+5
10 + 3
7−9
= 7
mod 12
= 13 ≡
= −2 ≡
1 mod 12
10 mod 12
(1.6)
Eine Analogie zeigt sich beim Umgang mit Uhren. Ist es jetzt 10 Uhr und wir treffen uns
in 3 Stunden, so sagen wir entweder, dass wir uns um 13 Uhr oder um 1 treffen. 13 und 1
bilden jeweils den Rest 1 und sind somit äquivalent und in der gleichen Restklasse. Ebenso
verläuft es mit der Multiplikation und dem Potenzieren in Restklassen.
• Multiplizieren
6·5 =
30
≡
6 mod 12
(1.7)
• Potenzieren
25
26
=
32
≡
8 mod 12
(1.8)
Der Querbalken zeigt, dass es sich um eine Menge handelt. Später wird aus Gründen der
Übersicht darauf verzichtet.
27
Auf Restklassen lassen sich nun leicht Einwegfunktionen finden. Hierzu betrachten wir die diskrete Exponentialfunktion:
f (x) = ax mod b.
(1.9)
Wählen wir beispielsweise a = 3 und b = 7, so können wir ohne weiteres für
jedes beliebige x den Funktionswert f (x) berechnen:
f (x = 3) = 33
=
27
≡
6 mod 7.
(1.10)
Problematisch wird es, wenn ich für den Funktionswert f (x) = 1 den zugehörigen x Wert suche. Sicherlich gibt es eine Umkehrfunktion, da unsere Funktion
bijektiv27 ist. Jedoch gibt es keine Darstellung mittels einer Rechenvorschrift bzw.
Formel dieser diskreten Logarithmusfunktion. Der einzige Weg ist eine Wertetabelle, die hier immerhin mit einem geringen Aufwand erstellt werden kann. Das
Ergebnis ist x = 5. Schwieriger wird es, wenn die Zahlen größer werden. Wir
stellen uns folgende Rechnung vor:
453x = 355 (mod 21997).
(1.11)
Hierfür eine Wertetabelle zu erstelllen, bzw. alle Möglichkeiten durchzuprobieren
ist nur mit einem erheblichen Zeitaufwand zu schaffen. Wählt man noch viel größere Zahlen, so werden auch moderne, leistungsstarke Computer an ihre Grenzen
stoßen, bei dem Versuch die Lösung in einem kurzen Zeitraum zu finden.
1.3.2.1 Schlüsselaustausch nach Diffie und Hellman
D IFFIE und H ELLMAN nutzten die Eigenschaften solcher Einwegfunktionen um
eine Verschlüsselung zu entwickeln, die ohne Austausch eines geheimen Schlüssels auskommt. Wir wollen uns nun das Prinzip genauer ansehen:
Zwei Personen, wir nennen sie Alice und Bob, wollen miteinander kommunizieren. Alice, die Bob eine Nachricht zukommen lassen möchte, möchte diese
aber keineswegs unverschlüsselt senden. Beide sind aber nicht im Besitz eines gemeinsamen und geheimen Schlüssels, um beispielsweise mit dem One Time Pad
die Nachricht zu ver- und entschlüsseln.
Die Public Key28 Kryptographie ermöglicht es ihnen aber trotzdem eine Nachricht sicher auszutauschen. Hierfür benötigen beide lediglich einige natürliche
Zahlen:
{s, p, a, b} ∈ N
1 < s < p, a < p, b < p.
(1.12)
27
Die Vorraussetzung, dass eine Funktion auf ihrer Definitionsmenge umkehrbar ist, ist die
Bijektivität der Funktion. Ist sie gegeben, so existiert auch ihre Umkehrfunktion, nicht aber die
Existenz der Darstellung durch eine Formel. Zu beachten ist, dass die Funktion f (x) = ax mod b
nur unter gegebenen Voraussetzungen bijektiv ist.
28
Public Key: öffentlicher Schlüssel.
28
Die ersten beiden Zahlen s und p (öffentlicher Schlüssel) sind öffentlich, d.h. Alice und Bob können diese Zahlen über eine nicht abhörsichere Leitung austauschen. Selbstverständlich werden sie sehr große Zahlen wählen. Die Zahlen a und
b (geheimer Schlüssel) sind das jeweilige Geheimnis beider Parteien. Die Prozedur in Tabelle 1.11 ermöglicht einen sicheren Austausch eines Schlüssels, der im
späteren Verlauf für eine symmetrische Verschlüsselung (One Time Pad) verwendet werden kann.
Alice
Bob
A = sa mod p
B = sb mod p
Die durch Alice und Bob errechneten Zahlen A und B werden nun öffentlich untereinander ausgetauscht, denn es ist nicht möglich, ohne weiteres von A bzw. B
auf a bzw. b zu schließen. Verwendet man Zahlen in Größenordnungen von 100 bis
200 Dezimalstellen, so sind sie auch mithilfe heutiger Algorithmen nicht in ausreichender Zeit zu berechnen. Im zweiten Schritt wiederholen beide die Prozedur mit
B bzw. A
Ca = B a mod p
Cb = Ab mod p
Mit dem 2. Schritt führten damit beide folgende Rechnung durch:
b a
Ca = (s ) mod p = sba mod p
Cb = (sa )b mod p = sab mod p
Da sba = sab (Kommutativgesetz) gilt: Ca = Cb
Tabelle 1.11: Schlüsselaustausch nach D IFFIE und H ELLMAN
Verfügen beide über ein Geheimnis C = Ca = Cb , das kein anderer kennt,
können sie mithilfe einer beliebigen Verschlüsselungsmethode sicher kommunizieren. Zwar wurde auch hier letztendlich ein geheimer Schlüssel ausgetauscht,
doch weder mussten sie sich dafür treffen, noch jemanden Vertrauenswürdigen
mit der Schlüsselübergabe beauftragen. Die Sicherheit der Zahl C beruht auf dem
heutige Stand der Technik und der Mathematik. Noch wurde kein Weg gefunden
die diskrete Logarithmusfunktion auf eine sehr schnelle Art und Weise zu berechnen.
Bevor wir zum RSA Algorithmus übergehen, wollen wir den soeben gezeigten
Schlüsselaustausch nochmals anhand eines Zahlenbeispiels in Tabelle 1.12 betrachten. Der Einfachheit halber wählen wir aber kleine Zahlen. Alice und Bob
einigen sich auf s = 7 und p = 11. Für die geheime Zahl a wählt Alice 3 und Bob
für b = 6.
1.3.2.2 RSA
Das Diffie-Hellman Verfahren war zur damaligen Zeit einmalig, jedoch nicht sehr
praktisch. Eine einfache spontane Kommunikation, wie das Versenden einer E-
Alice
3
29
Bob
6
7 mod 11 = 343 mod 11 = 2 mod 11 7 mod 11 = 117649 mod 11 = 4 mod 11
A=2
B=4
43 mod 11 = 64 mod 11 = 9 mod 11
26 mod 11 = 64 mod 11 = 9 mod 11
Ca = 9
Cb = 9
Tabelle 1.12: Zahlenbeispiel zum Schlüsselaustausch nach D IFFIE und H ELLMAN
Mail ist ohne vorheriger Schlüsselerzeugung, nicht ohne weiteres möglich. Eine
erstmals einsetzbare Art der Public Key Kryptographie entwickelten 1977 RO NALD R IVEST, A DI S HAMIR und L EONARD A DLEMAN . RSA beruht auf einem
Satz der Zahlentheorie von L EONHARD E ULER (1707-1783). Die Einwegfunktion besteht aus dem Prinzip der Modularithmetik und der Primfaktorzerlegung. Es
ist leicht große Primzahlen miteinander zu multiplizieren, jedoch weitaus schwieriger (fast unmöglich mit heute verwendeten Algorithmen) sehr große Zahlen in
ihre Primfaktoren zu zerlegen.
Das Mathematische Verfahren ist nicht sehr schwer und ist im Anhang detailliert beschrieben. Prinzipiell beruht es darauf, dass zwei Schlüssel existieren. Der
öffentliche Schlüssel kann in einem Verzeichnis, im Internet oder in einem Schlüsselbuch stehen, zu dem jeder Zugriff hat. Der geheime Schlüssel hingegen bleibt
unveröffentlicht. Jeder Kommunikationspartner besitzt genau ein solches Paar an
Schlüsseln. Möchte Alice nun Bob eine Nachricht zukommen lassen, sucht sie
in einem Verzeichnis den öffentlichen Schlüssel von Bob und verschlüsselt mit
diesem die Nachricht. Nur wer im Besitz des geheimen Schlüssels ist, kann die
Nachricht wieder dechiffrieren. In diesem Falle also Bob. Er allein kann die Nachricht entziffern.Die Sicherheit des Verfahrens beruht, wie schon erwähnt auf Einwegfunktionen und Primfaktorzerlegung. Heutzutage werden im RSA Verfahren
1024 Bit-Schlüssel verwendet. Dies entspricht einer zu faktorisierenden Zahl mit
300 Dezimalstellen. Hat man keine Kenntnis über ihre Primfaktorzerlegung, so ist
es unmöglich diese Zahl in einer verhältnismäßig sinnvollen Zeit zu zerlegen. Am
10.05.2005 gelang es Mathematikern der Universität Bonn und des Centrum voor
Wiskunde en Informatica (CWI) eine Zahl mit 200 Ziffern zu faktorisieren und damit einen neuen Weltrekord29 aufzustellen. Bedenkt man aber die Dimensionen,
die zwischen den momentanen Schlüsseln und dieser faktorisierten Zahl liegen,
so bleibt die sichere Kommunikation durch RSA mit Sicherheit noch einige Zeit
gewährleistet. Mit dem gleichen Prinzip der RSA Verschlüsselung entstand zudem
die digitale Signatur. Mit ihr kann jeder Empfänger sicher sein, dass die Nachricht unter gegebenen Voraussetzungen auch von der besagten Person stammte.
Der geheime Schlüssel dient dann als Signatur.
29
Quelle: http://www.primzahlen.de/ (15.12.2005).
30
Eine besonders erfolgreiche Methode, die sich in den letzten Jahren zur Verschlüsselung von Nachrichten durchgesetzt hat, möchte ich im Folgenden noch
kurz erwähnen.
1.3.3 PGP
Das PGP ist ein sogenanntes hybrides System. Es verwendet zur Datenverschlüsselung einen schnellen und sicheren symmetrischen Algorithmus (IDEA). Zur
Übertragung des Schlüssels wird ein Public Key Verfahren (RSA) verwendet. Alice verschickt also die mit IDEA chiffrierte Nachricht inklusive des mit RSA verschlüsselten Schlüssels an Bob. Nur er kann den Schlüssel dechiffrieren, um mit
diesem die Nachricht zu entschlüsseln. Der Vorteil dieser von P HIL Z IMMER MANN entwickelten Technik liegt in der Sicherheit der asymmetrischen und der
Geschwindigkeit der symmetrischen Verschlüsselung. Beides machte PGP zu einem Welterfolg. PGP steht für nichtkommerzielle Zwecke zur freien Verfügung
und kann auf diversen Internetseiten30 heruntergeladen werden.
Fassen wir am Ende dieses Kapitels die Vor- und Nachteile der symmetrischen
und asymmetrischen Verschlüsselung zusammen:
Verschlüsselung Vorteil
symmetrisch
asymmetrisch
Nachteil
• hohe Geschwindigkeit
• Schlüsselmanagement
• 100% sichere Verschlüsse- • keine spontane Kommulung (One Time Pad)
nikation ohne Schlüsselaustausch möglich
• kein Schlüsselaustausch
• nur scheinbare Sicherheit
• spontane Kommunikation
möglich
Tabelle 1.13: Vor- und Nachteile der symmetrischen und asymmetrischen Verschlüsselung
Die klassische Kryptographie lässt uns also zwischen absoluter Sicherheit
oder spontaner Kommunikation wählen. Spontan und sicher zu kommunizieren
ist zwar heutzutage ohne Probleme möglich, doch in Zeiten der rasanten Entwicklung der Technik ist dies nur eine Frage der Zeit. Quantencomputer und deren Algorithmen könnten sehr große Zahlen mit Leichtigkeit in ihre Primfaktoren zerlegen oder verschlüsselte Nachrichten durch eine Brute Force Attacke dechiffrieren.
Man bedenke, dass die Algorithmen für Primfaktorzerlegungen schon existieren.
Lediglich die Hardware fehlt also noch. Dieser Computer würde jede Verschlüsselung mühelos dechiffrieren, sofern sie nicht mit dem One Time Pad verschlüsselt
30
http://www.pgpi.com
31
wurde. Dann aber würde jede spontane Verschlüsselung unmöglich werden, denn
vor jeder Kommunikation müssten beide Parteien erst einen geheimen Schlüssel
austauschen. Ironischerweise wurde auf Grundlage der Quantenmechanik selber
ein Verfahren entwickelt, das die Kryptographie vollständig revolutioniert. Absolute Sicherheit und spontane Kommunikationsmöglichkeit werden erstmals mit
der Quantenkryptographie erreicht.
32
Kapitel 2
Quantenkryptographie ist eine Methode zum sicheren Schlüsselaustausch zwischen zwei Kommunikationspartnern. Es ist damit kein kryptographisches
Verfahren im klassischen Sinne. Vielmehr dient es dazu, Zufallszahlen von
einer Station zu einer anderen zu übertragen. Diese Zufallszahlen können
dann zur Verschlüsselung von einer Nachricht verwendet werden.1
Wie man an dieser Definition sieht, geht es bei der Quantenkryptographie hauptsächlich um einen sicheren Schlüsselaustausch. Die Sicherheit der geheimen Kommunikation ergibt sich dann aus den Gesetzen der Mathematik, wenn die Regeln
des One Time Pad (vgl. Kapitel 1.2) befolgt werden. Bevor wir uns aber mit der
quantenmechanischen Schlüsselübertragung befassen, wollen wir uns einige Wesenszüge und Grundlagen der Quantenmechanik ansehen, um die Sicherheit dieser Methode zu verstehen. Dieses soll im ersten Teil dieses Kapitels geschehen.
Der Formalismus wird dabei nicht in den Vordergrund gestellt, wenn nötig aber
auch nicht vernachlässigt. Weiterführende Mathematik wird, wenn möglich in den
Fußnoten oder Einschüben erscheinen oder auch im Anhang näher erläutert werden. Am Ende des Kapitels werden wir uns mit eventuellen Abhörstrategien und
der praktischen Umsetzung beschäftigen.
2.1 Wesenszüge der Quantenmechanik
Die Wesenzüge der Quantenmechanik, insbesondere die im Allgemeinen nicht
deterministische Vorhersage von Ereignissen macht es möglich Kryptographie zu
betreiben, die eine 100% ige Sicherheit liefert. Im Folgenden sollen nun die hierfür wesentlichen Grundlagen erläutert werden. Informationsträger in der Quantenkryptographie sind ausschließlich Photonen, da sie die schnellstmögliche Über1
aus der freien Enzyklopädie Wikipedia
33
KAPITEL 2. QUANTENKRYPTOGRAPHIE
34
tragungsgeschwindigkeit besitzen und darüber hinaus mittels Glasfaserkabel oder
Teleskopverbindungen auf einfache Weise zuverlässig versandt werden können.
Aus diesem Grund werden wir im Folgenden die Natur der Quantenmechanik anhand der Photonen verdeutlichen, um so das grundlegende Verständnis für die absolut sichere Kommunikation aufzubauen. In den weiteren Kapiteln werden dann
die Funktionsweisen und Einzelheiten der Quantenkryptographie geschildert.
2.1.1 Polarisation von Photonen und deren Messung
Eine Eigenschaft von Lichtquanten ist die Möglichkeit ihrer Präparation in einen
definierten, linearen Polarisationszustand, entsprechend dem Vektor des elektrischen Feldes, welches im Wellenbild der Schwingungsrichtung der elektromagnetischen Welle entspricht (siehe Abb. 2.1).
z
x
y
Abbildung 2.1: Horizontal und vertikal polarisiertes Licht im Wellenbild
Auf der Teilchenebene ist eine entsprechende Analogie nur schwer zu finden.
Hier zeigt sich mitunter die Problematik des Welle-Teilchen-Dualismus. Interessiert man sich für einzelne Photonen, so betrachtet man insbesondere den Photonenspin oder auch Drehimpuls genannt, obgleich Photonen mit rotierenden Körpern zu vergleichen problematisch werden kann. Der Spin eines Photons beträgt
~k 2
sP h = ±~ |~k|
. Eine Analogie zum Wellenbild kann durch rechts und links zirkular polarisiertes Licht hergestellt werden, bei dem der Feldvektor des Lichtes
2
~ : das Plancksche Wirkungsquantum (= 6, 62607 · 10−34 Js),
: der normierte Wellenvektor (Ausbreitungsrichtung des Lichtes).
~
k
|~
k|
2.1. WESENSZÜGE DER QUANTENMECHANIK
35
vom Betrag konstant bleibt, aber senkrecht um die Ausbreitungsrichtung ~k rotiert.
Dies entspricht genauer gesagt einer Überlagerung zweier linear polarisierter Wellen mit einer Phasenverschiebung ǫ = π2 . Ebenso kann linear polarisiertes Licht
als Überlagerung von rechts und links zirkular polarisiertem Licht aufgefasst werden. Oft wird argumentiert, dass bei linear polarisiertem Licht eine Hälfte der
~k
~k
Photonen einen Spin s+ = +~ |k|
und die andere einen Spin s− = −~ |k|
besitzen,
so dass der Gesamtdrehimpuls einer linear polarisierten Welle Null ist. In Wirklichkeit können wir dies keineswegs annehmen, denn alle Photonen sind identisch
und existieren mit gleicher Wahrscheinlichkeit in einer der beiden Spinzustände.
Wir wollen linear polarisierte Photonen als eine Überlagerung beider Zustände
betrachten, wenngleich ein anschauliches Teilchenmodell fehlt.
Gegenstand dieses Kapitels werden ausschließlich die Eigenschaften und die
Natur von linear polarisiertem Licht sein, welches für das Verständnis der Quantenkryptographie vollkommen ausreicht und eine vereinfachte Darstellung ermöglicht.
Photonen linear polarisierten Lichtes können, wie in Abbildung 3.1 zu sehen ist, vertikal, horizontal oder in einer Überlagerung, einer sogenannten Superposition, beider Zustände polarisiert sein. Eine solche Überlagerung wird auch
als allgemeiner Zustand bezeichnet. Die Ausbreitungsrichtung ~k der Photonen ist
senkrecht zur Polarisationsebene und entspricht in der Grafik der x-Achse.
z
(a)
Superposition
b
Superposition
z
(b)
+45◦ polarisiert
ϕ
b
b
x
b
b
b
vertikal polarisiert
y
horizontal polarisiert
x
y
−45◦ polarisiert
Abbildung 2.2: (a) Linear polarisiertes Licht in einer H/V-Basis. (b) Linear polarisiertes Licht in einer +/- Basis.
In den folgenden graphischen Darstellungen werden die Polarisationszustände
der Photonen durch die Feldvektoren des elektrischen Feldes der entsprechenden
Lichtwelle dargestellt. Diese schon bekannte Sichtweise der Polarisation soll den
Einstieg etwas erleichtern.
Die ersten beiden Polarisationszustände (Abb. 3.1 (a)) bilden eine orthogonale
36
Basis (H/V Basis) mit horizontalen und vertikalen Basisvektoren (|Hi, |V i), 3 mit
denen jeder weitere Polarisationszustand als Linearkombination dargestellt werden kann und somit eine Linearkombination (Superposition) der Basisvektoren
bildet.
In solch einem einfachen 2-Zustands-System sieht ein allgemeiner Polarisationszustand wie folgt aus
|ψi = α |Hi + β |V i mit α, β ∈ C und |α|2 + |β|2 = 1.
(2.1)
Der Zustand |ψi ist ein Element des Hilbertraumes4 H, der in der Regel ein
mehrdimensionaler komplexer Vektorraum mit einem definierten Skalarprodukt
ist, wie z.B C2 mit dem Skalarprodukt:
ha|bi = a† · b = (a∗1 , a∗2 ) · bb12 = a∗1 b1 + a∗2 b2 .
(2.2)
Für unsere linearen Polarisationszustände |ψi genügt es der Einfachheit halber
den reellen Hilbertraum R2 mit dem euklidischen Skalarprodukt
ha|bi = a · b = (a1 , a2 ) · bb12 = a1 b1 + a2 b2
(2.3)
zu wählen, so dass wir unseren Zustand darstellen können als
|ψi = α |Hi + β |V i
α, β ∈ R mit α2 + β 2 = 1
= cos ϕ |Hi + sin ϕ |V i
mit ϕ ∈ [0◦ , 360◦] .
(2.4)
Mit ϕ wird der eingeschlossene Winkel zwischen der Polarisatonsrichtung und
der horizontalen y-Achse bezeichnet (Abb.3.1). Aufgrund der Symmetrie genügt
3
DieBasisvektoren
|Hi und |V i werden in der Matrizenschreibweise durch die Spaltenvek
toren 10 und 01 dargestellt. Da dieses der Übersicht eher schadet, werden wir die allgemeine
Notation der bracket Schreibweise verwenden:
• |ai wird mit ket bezeichnet und beschreibt den Vektor a; z.B.: |Hi ≡ 10 .
• hb| wird mit bra bezeichnet und entspricht dem adjungierten Vektor b† ; z.B.: hH| ≡
(1∗ , 0) = (1, 0).
T
• a† ist definiert als a∗ , der transformierte Vektor, dessen Einträge komplex konjungiert
†
sind. Die Konjugation entfällt im Reellen; xy = (x∗ , y) = (x, y) für x, y ∈ R.
• Das Skalarprodukt ha|bi = a† b wird mit bracket bezeichnet; z.B.: hH|V i = (1, 0) 01 = 0.
4
Ein Hilbertraum H, benannt nach dem Mathematiker David Hilbert, ist eine Verallgemeinerung des Euklidischen Raums auf unendlich viele Dimensionen. Der Hilbertraum ist ein Spezialfall eines Innenproduktraums (=Prähilbertraums), d.h. ein Vektorraum über den reellen Zahlen
R oder den komplexen Zahlen C mit einem Skalarprodukt (=Innenprodukt). Das Skalarprodukt
induziert eine Norm und eine Metrik (aus der freien Enzyklopädie Wikipedia).
37
es die Beschreibung der Polarisation auf den Winkelbereich [−90◦ , 90◦ ] einzuschränken. Ein +45◦ polarisiertes Photon wird somit durch
1
1
|ψi = √ |Hi + √ |V i
2
2
(2.5)
beschrieben.
Ebenso kann ein beliebiger Polarisationszustand |ψi auch durch andere Basisvektoren unseres Hilbertraumes dargestellt werden, wie dies in Abbildung 3.1 zu
sehen ist. In einer um 45◦ gedrehten Basis (+/- Basis) kann ein vertikal polarisiertes Photon |ψV i als eine Superposition der Basisvektoren |−i und |+i aufgefasst
werden, so dass gilt
1
1
|ψV i = |V i = √ |−i + √ |+i.
2
2
(2.6)
Allgemein lässt sich die Polarisationseigenschaft auch so formulieren:
Ein Photon besitzt die Polarisationseigenschaft ϕ, wenn es einen Polarisationsfilter mit der Orientierung ρ = ϕ sicher passiert. Photonen, deren Polarisationseigenschaft orthogonal zu der Orientierung
des Polarisationsfilters sind, werden hingegen sicher absorbiert.
Betrachten wir in Abbildung 2.3 einen Filter mit der Orientierung ρ = 90◦ und
einem dahinter stehenden Photonendetektor. Mithilfe eines Laserpuls wird eine
Taktung vorgegeben, so dass nach jeder festen Zeiteinheit ein einzelnes Photon
emittiert wird.
Photonen mit der Polarisationseigenschaft ϕ = 0◦ und ϕ = 90◦ können eindeutig bestimmt werden. Registriert der Detektor ein Teilchen, so kann mit Bestimmtheit gesagt werden, dass der Zustand vor der Messung vertikal polarisiert
war, bei einer Nicht-Registrierung des Detektors war der Polarisationszustand des
Photons horizontal ausgerichtet. Dieses geht jedoch nur solange man weiß, dass
die Polarisation der Photonen parallel, bzw. orthogonal zur Orientierung des Filters sind.
Hingegen sind Photonen, deren Polarisation nicht gerade ϕ = 0◦ oder ϕ = 90◦
beträgt, keineswegs mehr mit einem Filter der Orientierung ρ = 90◦ sicher bestimmbar. Die Photonen passieren den Filter in einem vom Winkel abhängigen
statistischen Verhalten, dessen Ereignis im Allgemeinen aber nicht vorhersagbar
und vom Zufall bestimmt ist. Dieses ist einer der Wesenszüge der Quantenmechanik [3]. Dabei ist zu beachten, dass nur zwei Messergebnisse möglich sind. Das
Photon passiert den Filter oder wird absorbiert. Passiert ein Photon den Filter,
38
Photonendetektor
Photonendetektor
(a)
(b)
z
ϕ = 90
b
x
◦
b
b
b
b
b
z
ϕ = 0◦
b
b
y
Polarisationsfilter mit
Orientierung ρ = 90◦
b
b
b
x
y
Photonendetektor
(c)
z
−90◦ < ϕ ≤ 90◦
b
x
b
b
b
b
y
b
Abbildung 2.3: (a) Vertikal polarisiertes Licht fällt auf einen Filter mit vertikaler
Orientierung. Es gilt: ρ = ϕ. (b) Horizontal polarisiertes Licht fällt auf einen
Filter mit vertikaler Orientierung. Es gilt: ρ ⊥ ϕ. (c) Unpolarisiertes Licht fällt
auf einen Filter mit vertikaler Orientierung.
so befindet es sich danach in dem Zustand, dessen Eigenschaft gemessen5 wurde, hier also die vertikale Orientierung. In Abbildung 2.3 ist dies auch farblich
hervorgehoben.
Über die Interpretation dieser Tatsache wurde im Laufe der Geschichte sehr
kontrovers diskutiert. Die einfachste Erklärung wäre die Unkenntnis des Beobachters. Die Annahme verborgener Variablen besagt, dass die Photonen uns verborgene Regeln beinhalten, ob sie einen Filter der Orientierung ρ passieren oder
5
Unter dem Begriff Messen wollen wir im weiteren Verlauf die Registrierung, bzw. NichtRegistrierung mithilfe eines Detektors und einem vorgeschalteten Polarisationsfilter verstehen.
Sprechen wir vom Messen und Weiterleiten, so ist selbstverständlich die Weiterleitung eines neuen präparierten Photons gemeint, dessen Eigenschaft (Polarisation) der Orientierung des Filters
entsprechen soll,denn nach jeder Registrierung eines Photons wird dieses unweigerlich zerstört.
39
an ihm absorbiert werden. Diese Annahme konnte spätestens mit der Bellschen
Ungleichung, auf die wir in Kapitel 2.1.3.2 stoßen, widerlegt werden. Es scheint
ganz so zu sein, als würde der Zustand, in den die Wellenfunktion bei der Messung
kollabiert, vollkommen vom Zufall abhängen und nicht vorher bestimmt sein. Mit
der Ausnahme von Photonen, die in einem zum Filter parallelen oder orthogonalen Zustand präpariert wurden, entscheiden sich diese erst bei der Messung über
den Ausgang des Experimentes.
Die hier auftretenden Wahrscheinlichkeiten müssen bei häufiger Wiederholung die Intensitätsverteilung klassischen Lichts an einem Polarisationsfilter wiederspiegeln. Somit erhalten wir für die Durchlass- und Absorbtionswahrscheinlichkeit eines Photons der Polarisation ϕ, bei einer Orientierung ρ des Filters
P(Photon passiert)
=
cos2 (δ)
P(Photon wird absorbiert) = 1 − cos2 (δ) = sin2 (δ)
(2.7)
mit δ = |ρ − ϕ| und −90◦ < ϕ, ρ ≤ 90◦ . Die Wahrscheinlichkeitsverteilung in
Abhängigkeit von δ ist in Abbildung 2.4 graphisch dargestellt.
P
P(X = 1) = cos2 (δ)
1.00
0.75
0.50
P(X = −1) = sin2 (δ)
0.25
δ
0
45
90
135
180
Abbildung 2.4: Wahrscheinlichkeitsverteilungen in Abhängigkeit von δ
Beispiel. Betrachten wir ein Experiment bei dem einzelne Photonen in einem
bestimmten Polarisationszustand präpariert wurden und auf einen Filter der Orientierung ρ = 90◦ treffen. Des Weiteren werden die Ereignisse
• {Photon passiert} mit {X = 1} und
• {Photon wird absorbiert} mit {X = −1}
bezeichnet.
40
1. Für ϕ = 90◦ folgt δ = 0◦ und es gilt:
P(X = 1) = cos2 (0◦ ) = 1
P(X = −1) = sin2 (0◦ ) = 0.
(2.8)
Wie zu erwarten, ist die Durchlasswahrscheinlichkeit für ein Photon 1 und
das Ergebnis ist absolut bestimmbar. Alle Photonen vertikaler Polarisation
passieren den Filter. Der Erwartungswert beträgt
E(X) = 1 · cos2 (0◦ ) + (−1) · sin2 (0◦ ) = 0.
(2.9)
2. Für ϕ = 70◦ folgt δ = 20◦ und wir erhalten:
P(X = 1) = cos2 (20◦ ) = 0, 883
P(X = −1) = sin2 (20◦ ) = 0, 117.
(2.10)
Beide Ereignisse {X = −1} und {X = 1} sind jetzt unbestimmt. Lediglich eine Angabe der Wahrscheinlichkeit ist möglich. Zu 11, 7% wird ein
Photon absorbiert. Eine genaue Vorhersage ist nicht mehr möglich. Der Erwartungswert beträgt
E(X) = 1 · cos2 (20◦ ) + (−1) · sin2 (20◦ ) = 0, 766.
(2.11)
Wir können also nicht mehr aussagen, als dass im Schnitt von 100 Photonen
der Polarisation ϕ = 70◦ ca. 88 den Filter passieren, bzw. die Lichtintensität
um 11,7 % abnimmt.
Eine maximale Unbestimmtheit über den Ausgang des Experimentes erreicht
man bei einem Winkel δ = 45◦ bzw. 135◦ , genau dann, wenn Absorptions- und
Durchlasswahrscheinlichkeit gleich groß sind. Ein Maß für die Unbestimmtheit
gibt uns die Varianz V(X), die der Streuung der Messergebnisse um den Erwartungswert entspricht. Ist sie maximal, so ist auch der Ausgang eines Experimentes,
wie oben geschildert maximal unbestimmt. V(X) wird oftmals mit ∆X bezeichnet. Die Varianz einer Zufallsgröße lässt sich wie folgt berechnen:
V(X) =
=
=
=
=
=
=
⇒ ∆δ =
E(X 2 ) − E2 (X)
12 · cos2 (δ) + (−1)2 · sin2 (δ) − [1 · cos2 (δ) + (−1) · sin2 (δ)]2
cos2 (δ) − cos4 (δ) + sin2 (δ) − sin4 (δ) + 2 sin2 (δ) cos2 (δ)
cos2 (δ)[1 − cos2 (δ)] + sin2 (δ)[1 − sin2 (δ)] + 2 sin2 (δ) cos2 (δ)
cos2 (δ) sin2 (δ) + sin2 (δ) cos2 (δ) + 2 sin2 (δ) cos2 (δ)
4 cos2 (δ) sin2 (δ)
[2 cos(δ) sin(δ)]2
sin2 (2δ)
(2.12)
41
In Abbildung 2.5 ist der Graph der Funktion (2.12) dargestellt. Die Unbestimmtheit hat, wie erwartet ihre Maximalwerte bei δ = 45◦ bzw. 135◦ . Ihr Minimum
stellt den Winkel dar, bei dem der Ausgang des Experimentes absolut sicher bestimmbar ist.
∆δ
∆δ = sin2 (2δ)
1.00
0.75
0.50
0.25
δ
0
45
90
135
180
Abbildung 2.5: Standardabweichung der Messergebnisse in Abhängigkeit von δ
Der Vollständigkeit halber wollen wir uns auch kurz den mathematischen Formalismus der Berechnung von Wahrscheinlichkeiten in der Quantenmechanik ansehen, welches jedoch für den
weiteren Verlauf nicht von wesentlicher Bedeutung ist und deswegen nur als Einschub erscheint:
Betrachten wir einen beliebigen Polarisationszustand |ψi = cos ϕ |Hi + sin ϕ |V i, wie wir
ihn in Gleichung (2.4) vorgestellt haben. Dieser Zustand wird in einem zweidimensionalen Vektorraum durch eine Linearkombination zweier Basisvektoren dargestellt (vergleiche Fußnote auf
Seite 36). Eine Messung des Polarisationszustandes, wird durch den Operator M, eine 2 × 2 Matrix beschrieben. Diese muss bezüglich der Orientierung ρ des Filters, die folgende Eigenwertgleichung
Mρ |vnρ i = mnρ |vnρ i mit m1ρ = +1 und m2ρ = −1
(2.13)
erfüllen. Die sogenannten Eigenwerte m1ρ = +1 und m2ρ = −1 sind die einzig möglichen Messergebnisse und die Eigenvektoren
cos(ρ)
sin(ρ)
|v1ρ i =
und |v2ρ i =
(2.14)
− sin(ρ)
cos(ρ)
bilden eine Basis unseres Zustandsraumes. Diese entspricht der Basis
in der wir
messen. Bei einem
Filter der Orientierung ρ = 0◦ erhalten wir die Basisvektoren 10 und 01 , die eine H/V-Basis
bilden. Der Messoperator M hat die Form:
cos(2ρ)
sin(2ρ)
M=
.
(2.15)
sin(2ρ) − cos(2ρ)
Letztendlich lassen sich die Wahrscheinlichkeiten, mit denen man das Messergebnis m1ρ =
+1 (Photon passiert) oder m2ρ = −1 (Photon wird absorbiert) erhält, mithilfe eines einfachen
Skalarproduktes zwischen
42
• dem Zustandsvektor |ψi, welcher im wesentlichen die Polarisation des Photons wiederspiegelt und
• dem Eigenvektor |vnρ i, welcher der Orientierung des Filters entspricht
berechnen. Quadriert man das Skalarprodukt, so erhält man die Wahrscheinlichkeit, dass ein Photon der Polarsiation ϕ den Filter der Orientierung ρ passiert. Die Gleichung hierfür lautet:
Pρ (m1ρ = +1) =
|hv1ρ |ψi|2
=
cos(ϕ) 2
|(cos(ρ), sin(ρ))
|
sin(ϕ)
=
| cos(ρ) cos(ϕ) + sin(ρ) sin(ϕ)|2
=
=
|cos(ρ − ϕ)|2
cos2 (δ).
(2.16)
Dies entspricht genau der Wahrscheinlichkeit, die wir aus der Intensitätsverteilung des Lichtes
hergeleitet haben. Die unten abgebildete Grafik veranschaulicht dies noch einmal.
|V i
|v2ρ i
cos ϕ
sin ϕ
|ψi
ϕ
cos(
ρ−
ρ
|Hi
ϕ)
|v1ρ i
Die Graphische Darstellung zeigt einen beliebigen Polarisationszustandes in einer H/V-Basis.
ϕ entspricht der Polarisation des Photons und ρ der Orientierung des Filters. Das Betragsquadrat
des Skalarproduktes cos(ρ − ϕ) liefert die Warscheinlichkeit, dass der Zustand den Filter passiert.
2.1.1.1 Die Unbestimmtheitsrelation
Wie schon bei den oben gezeigten Beispielen, ist die Unbestimmtheit ein wesentlicher Bestandteil der Quantenmechanik. Heisenberg drückte diese Unschärfe mit
der heute allgemein bekannten Formel
∆x · ∆p ≥
~
2
(2.17)
aus. Diese beschreibt die Streuung der Messergebnisse bei gleichzeitiger Bestimmung von Ort und Impuls. Das Produkt beider kann eine feste Schranke nicht
43
unterschreiten und so nicht beliebig klein werden. Eine exakte Bestimmung beider Größen ist nicht möglich, da keine der Varianzen 0 sein darf. Eine solche
Unbestimmtheit haben wir mittlerweile auch bei unseren Photonen sehen können.
Wir wollen nun die Unbestimmtheitsrelation für polarisierte Photonen betrachten. Eine genaue Herleitung kann unter [3] nachgelesen werden. Betrachtet
man ein Photon bestimmter Polarisation bezüglich zweier unterschiedlicher Orientierungen ρ1 und ρ2 eines Filters, so kann nach Gleichung (2.12) für jeden Filter
die Varianz ∆δρi berechnet werden. Dies entspricht der Messung zweier Eigenschaften an einem Photon, entsprechend der Orts- und Impulsmessung an einem
Teilchen. Das Produkt aus beiden Varianzen ∆δρ1 und ∆δρ2 würde bei Photonen,
die bezüglich einer Orientierung absolut bestimmt sind, stets 0 ergeben, wodurch
auch auf der rechten Seite der Ungleichung 0 stehen muss. Dies ist natürlich wenig aussagekräftig. Betrachten wir aber die Summe beider Varianzen, so finden
wir eine Unbestimmtheitsrelation, die unabhängig von der Polarisationsrichtung
ϕ ist. Sie lautet:
∆δρ1 + ∆δρ2 ≥ Min [2 sin2 (ρ1 − ρ2 ), 2 cos2 (ρ1 − ρ2 )].
(2.18)
2.0
Für ein Photon der Orientierung ϕ = 90◦
1.5
∆δρ1 + ∆δρ2
1.0
b
0.5
0
45
90
135
180
δ∗
Abbildung 2.6: Unbestimmtheitsrelation zweier Polarisationsfilter in Abhängigkeit von δ ∗ = (ρ1 − ρ2 ). Die dunkel schraffierte Fläche stellt das Minimum dar.
Die hellgraue Fläche stellt den Bereich dar, in der sich die Summe der Varianzen,
abhängig von den Winkeleinstellungen der Filter und der Polarisationsrichtungen
der Filter zueinander, befinden kann.
Die Aussage dieser Gleichung ist ähnlich der aus Gleichung (2.17). Die Messergebnisse der Polarisationsrichtung von Photonen, bezüglich zweier Orientierungen, die nicht senkrecht aufeinander stehen, können nicht beide beliebig genau
bestimmt werden. In Abbildung 2.6 ist dies in einer graphischen Darstellung illustriert. Die Summe der Varianzen ∆δρ1 + ∆δρ2 befindet sich stets, in Abhängigkeit
der Winkeleinstellungen der Filter, sowie der Polarisationsrichtung der Photonen,
in dem hellgrauen Bereich. Der dunkel schraffierte Bereich stellt das Minimum
dar.
44
2.1.1.2 Die Eindeutigkeit der Messergebnisse
Ein weiteres schon erwähntes Merkmal der Quantenmechanik ist die Eindeutigkeit der Messergebnisse [3]. Wie der Name schon sagt, sind die Messergebnisse
eindeutig, auch dann, wenn der Zustand vor dem eigentlichen Messen, bezüglich
der zu messenden Größe unbestimmt war. Eine Wiederholung der Messung ist
im eigentlichen Sinne nicht möglich, denn entweder wurde das Photon schon am
Filter absorbiert oder durch die Registrierung des Detektors zerstört. Eine zweite
Messung könnte nur am weitergeleiteten Photon durchgeführt werden, was aber
keine neue Erkenntnis mit sich bringt. Dieses wurde ja selbst in einen, der Filterorientierung entsprechenden Zustand präpariert und der neue Zustand muss
keineswegs mit dem vorherigen Zustand übereinstimmen, wenn die Filterorientierung nicht zufällig der Polarisation des Photons entsprach. Somit erhalten wir
bei jeder Messung ein eindeutiges Messergebnis. Dieses ist maßgeblich für die
Funktionsweise der Quantenkryptographie.
In Bezug auf unsere Photonen bedeutet dies, dass ein Photon unbestimmter
Polarisation einen Polarisationsfilter entweder passiert oder an diesem absorbiert
wird. Findet keine Absorbtion statt, so gilt für den Polarisationszustand der Photonen danach: ϕ = ρ. Der vorher unbestimmte Zustand wurde nun bzgl. der Orientierung ρ des Polarisationsfilters umpräpariert und ist somit keineswegs mehr
unbestimmt.
Die Eindeutigkeit der Messergebnisse hat auch zur Folge, dass das Messen eines unbekannten Polarisationszustandes nur ein Bit an Information hervorbringt.
Wir erhalten 1 mit Wahrscheinlichkeit P(X = 1) = cos2 δ oder 0 mit Wahrscheinlichkeit P(X = −1) = sin2 δ.
Beispiele. Stellen wir uns folgende Situationen vor:
1. Ein Lichtstrahl unbekannter Polarisation soll bezüglich eines Filters mit der
Orientierung ρ = 90◦ bestimmt werden. Dafür müssen wir lediglich die
Intensität hinter dem Filter messen. Für diese gilt: I(ϕ) = I0 cos(|90◦ −
ϕ|). Somit lässt sich ohne weiteres die Polarisation des Lichtes bestimmen.
Dabei wird mit I0 die Intensität des Lichtstrahles vor dem Filter bezeichnet,
welche als bekannt vorausgesetzt wird.
2. Betrachten wir nun keinen Lichtstrahl mehr, sondern eine größere Anzahl
einzelner Photonen gleicher, unbekannter Polarisation. Wir möchten auch
hier die Polarisation der Photonen bestimmen. Durchlaufen diese den Polarisationsfilter der Orientierung ρ = 90◦ , so messen wir mithilfe des Photonendetektors eine relative Häufigkeit von Photonen, die den Filter passieren.
Diese konvergiert mit zunehmender Anzahl gemessener Photonen gegen die
bekannte Durchlasswahrscheinlichkeit: P(X = 1) = cos2 (δ). Womit auch
hier der Polarisationszustand beliebig genau zu bestimmen ist.
45
3. Was passiert aber, wenn die Polarisation eines einzelnen Photons zu bestimmen ist. Befindet sich der Polarisationszustand in vertikaler oder horizontaler Lage, so kann mit einem Filter entsprechender Orientierung (ρ = 0◦ , ρ =
90◦ ) ohne weiteres die Polarisation eines Photons bestimmt werden. Abhängig davon, ob das Photon den Filter passiert oder nicht. Hingegen ist dies
bei einem allgemein unbekannten Polarisationszustand nicht mehr möglich,
da die Ereignisse {X = 1} und {X = −1} zufällig sind. Wird das Photon
absorbiert, ist eine weitere Messung nicht mehr möglich. Passiert das Photon den Filter, so ist der anfangs unbestimmte Zustand in die Orientierung ρ
umpräpariert worden. Eine weitere Messung ist zwecklos, denn wir erhalten keine neuen Informationen. Somit ist es nicht möglich über eine relative Häufigkeit auf die Durchlass- bzw. Absorbtionswahrscheinlichkeiten zu
schließen und somit auf den Zustand des Photons.
Letzteres Beispiel verdeutlicht, dass auf Ebene der Quantenmechanik das Messen eines allgemeinen Zustandes auch gleichzeitig eine Veränderung dessen bedeutet. Die Photonen unbestimmter Polarisation werden in einen Zustand gezwungen, der von der zu messenden Größe, hier die Orientierung ρ des Filters, abhängt.
Das Potential dieses Wesenszuges der Quantemechanik liegt somit in der Veränderung eines Zustandes beim Messen, also beim Abhören, was lediglich durch
das Messen physikalischer Größen möglich ist. In der klassischen Mechanik ist
das Abhören ohne weiteres möglich, denn das Anzapfen einer Telefonleitung verändert noch nicht das Telefongespräch. Ebenso wenig wie das Abfangen und Kopieren von E-Mails den Inhalt der Nachricht verändert.
2.1.2 No Cloning Theorem
Stellen wir uns vor, es gäbe eine Maschine, wie in Abbildung 2.7, die den Zustand eines Teilchens klonen kann. In Verbindung mit einer Messapperatur wäre
es möglich ein einzelnes Photon unbestimmten Zustandes beliebig oft zu klonen
und jede dieser Kopien zu messen. Der Polarisationszustand ρ wäre somit über
die relative Häufigkeit der Messergebnisse der einzelnen Kopien beliebig genau
bestimmbar. Zudem könnte eine beliebig große Menge an Informationen in ein
einzelnes Photon gesteckt werden, wenn der Polarisationswinkel ρ eine Bitfolge
repräsentiert (die Genauigkeit des Winkels entscheidet über die Länge der Information).
Aus der Eindeutigkeit der Messergebnisse ist die Existenz einer solchen Maschine nicht möglich, denn es würde im Widerspruch zu deren Folgen stehen.
Der Beweis zum folgenden Satz ist der Vollständigkeit halber aufgeführt, für
den weiteren Verlauf jedoch nicht notwendig und kann übersprungen werden,
wenngleich er nicht sonderlich kompliziert ist.
46
b
|ψi
b
|ψi
b
|ψi
|φi b
Abbildung 2.7: Klonmaschine
Satz 2.1.1. Es ist nicht möglich einen unbekannten Quantenzustand perfekt zu
klonen.
Mit anderen Worten ist es unmöglich einen allgemeinen (unbekannten) Zustand eines quantenmechanischen Teilchens auf ein anderes zu übertragen, ohne
das ursprüngliche Teilchen zu verändern.
Beweis. Betrachten wir ein System aus zwei Photonen und einer Kopiermaschine,
deren Zustände wie folgt definiert sind:
• |ψi: Zustand des zu kopierenden Photons.
• |φi: Leerzustand des Photons, auf welches der Zustand |ψi kopiert werden
soll.
• |Mi: Zustand der Maschine, der sich nach dem Kopiervorgang zu |Mψ∗ i
ändern darf. Der Index ψ bedeutet, dass der Endzustand der Kopiermaschine
von der Wellenfunktion |ψi selber abhängt.
Angenommen es gäbe eine Maschine, die die Transformation
|ψi|φi|Mi → |ψi|ψi|Mψ∗ i
ermöglicht. Eine solche unitäre6 Transformation in einem zweidimensionalem Zustandsraum sieht dann wie folgt aus:
U(|ψi|φi|Mi) = |ψi|ψi|M ∗ i
= (α |Hi + β |V i)(α |Hi + β |V i)|Mψ∗ i,
(2.19)
U(|Hi|φi|Mi) = U(|Hi|Hi|MH∗ i)
(2.20)
wobei für |ψi = α |Hi+β |V i gesetzt wurde und |Mψ∗ i den Zustand der Maschine
nach dem Kopiervorgang beschreibt. Ist das erste Photon im Zustand |Hi, also
horizontal polarisiert, so lässt sich die Transformation darstellen als
∗
Unitäre Transformation: |ψ ′ i = U (|ψi), wobei U U † = 1 gilt mit U † = U T , welches einer
transponierten Matrix entspricht, deren Elemente komplex konjungiert wurden.
6
47
und ebenso für ein vertikal polarisiertes Photon |V i als
U(|V i|φi|Mi) = U(|V i|V i|MV∗ i).
(2.21)
Für ein Photon mit allgemeinem Zustand |ψi = α |Hi + β |V i sieht die Transformation wie folgt aus:
U((α |Hi + β |V i)|φi|Mi) = α U(|Hi|φi|Mi) + β U(|V i|φi|Mi),
(2.22)
wobei wir die Linearität der Quantenmechanik angewendet haben. Setzen wir
Gleichung (2.20) und (2.21) ein, erhalten wir
U((α |Hi + β |V i)|φi|Mi) = α |Hi|Hi|MH∗ i + β |V i|V i|MV∗ i,
(2.23)
welches im Widerspruch zu Gleichung (2.19) steht.
Dieses Gesetz ist ein grundlegender Unterschied zur klassischen Informationstheorie und sorgt, wie wir später sehen werden, für eine beliebig große Sicherheit
beim Austausch eines Schlüssels. Es verbietet dem Abhörer die Zustände so oft
wie nötig zu kopieren, um dann durch einzelne Messungen den anfangs unbekannten Zustand zu ermitteln.
Es sei aber noch gesagt, dass sich dieses Theorem lediglich auf einen unbekannten Zustand bezieht. Wissen wir von Beginn an, dass sich das Photon in
einem uns bekannten oder dazu orthogonalen Zustand befindet, so können wir ohne weiteres den Zustand mit 100% Sicherheit bestimmen und soviele Kopien wie
nötig herstellen.
2.1.3 Das EPR-Paradoxon und die Bellsche Ungleichung
2.1.3.1 Das EPR-Paradoxon
Ein weiteres beeindruckendes Phänomen der Quantenmechanik ist die Existenz
der Verschränkung, die oftmals auch unter den Namen EPR-Paradoxon7 auftaucht.
Das daraus resultierende Verhalten von Quantenteilchen ist mit der menschlichen
Intuition nur schwer zu vereinbaren und ebenso wenig mit einer lokalen Theorie8
zu erklären, wie wir später sehen werden.
Bevor wir uns näher an die Verschränkung von Quantenobjekten (Photonen)
wagen, betrachten wir zur Verdeutlichung dieser Eigenschaft einen
7
Die Abkürzung EPR leitet sich aus den Namen E INSTEIN, P ODOLSKY und ROSEN ab, welche
als erstes öffentlich über das Problem der Verschränkung diskutierten.
8
Lokale Theorien beschreiben Vorgänge, bei denen sich Änderungen an einer Stelle in kurzer Zeit nur in unmittelbarer Umgebung, also lokal auswirken. Kräfte der Elektrizität und der
Gravitation sind mit lokalen Theorien beschreibar. Beide diese Kräfte können nur maximal mit
Lichtgeschwindigkeit wirken. Eine spukhafte Fernwirkung (instantan wirkende Kraft) gibt es in
der klassischen Physik nicht.
48
Versuch. Wir erzeugen mit einer Photonenquelle sogenannte verschränkte Photonen. Beide verlassen die Quelle in entgegengesetzter Richtung und durchlaufen
einen Polarisationsfilter mit der Orientierung ρ = 90◦ , wie in Abbildung 2.8 zu
sehen ist. Hinter dem Filter ist wieder ein Detektor, der passierte Photonen registrieren kann. Dabei können wir zwei Beobachtungen machen:
Photonendetektor
Photonenquelle
Photonendetektor
b
Photon A
b
b
Photon B
Abbildung 2.8: Verschränktes Photonenpaar
1. Wir beobachten, dass im Schnitt die Hälfte aller Photonen beide Filter passieren. Dies geschieht unabhängig von der Orientierung des Filters. Nehmen wir an, dass die Quelle Photonen jeder Polarisation (wir sprechen von
unpolarisiertem Licht) emittiert, dann passieren im Mittel rund die Hälfte der Photonen die jeweiligen Filter. Jedes emittierte Photon könnte weiterhin durch den beliebigen Zustand |ψi = cos ϕ |Hi + sin ϕ |V i mit
ϕ ∈ [−90◦ , 90◦ ] beschrieben werden und das Ereignis ist mit unserem bisherigen Verständnis vereinbar.
2. Sehen wir genauer hin, können wir beobachten, dass jedesmal, wenn Photon A den linken Filter passiert, auch Photon B auf der rechten Seite den
Filter passiert. Dieses gilt ebenso umgekehrt, wenn einer der Photonen absorbiert wird. Beide Zufallsprozesse sind nicht mehr unabhängig voneinander, wodurch die Beobachtung nicht mehr damit begründet werden kann,
dass beide Photonen sich nach der Emmission einfach nur in demselben Polarisationszustand |ψi = cos ϕ |Hi + sin ϕ |V i befinden. Beide Photonen
besäßen jeweils die Durchlasswahrscheinlichkeit cos2 (90◦ − ϕ), was dazu
führen würde, dass durchaus Fälle auftreten, bei denen ein Photon absorbiert wird und das andere den Filter passiert. Aber genau das wird nicht
beobachtet. Entweder passieren beide Photonen den Filter oder werden an
ihm absorbiert. Und zwar unabhängig von seiner Orientierung ρ. In diesem
Falle sprechen wir von einer Korrelation oder auch Verschränkung.
49
Um dieses Phänomen besser zu verstehen, wollen wir zwei lokale Theorien
betrachten, die die Verschränkung vielleicht plausibel erklären können. Die erste
lokale Theorie beruht auf einen Informationsaustausch beider Photonen:
Beide Photonen tauschen über Signale Informationen aus. Photon
A, das beispielsweise den Filter passiert informiert Photon B darüber,
dass es in den Zustand |Hi übergegangen ist. Dieses nimmt darauf
dieselbe Eigenschaft an.
Ändern wir das Experiment, so dass beide Filter einen sehr großen Abstand voneinander besitzen, kommen wir schnell zu einem Widerspruch. Nach Einsteins
Relativitätstheorie ist kein Signal schneller als die Lichtgeschwindigkeit. Werden die Abstände nur groß genug gewählt, so dass die Dauer eines Signales von
Filter zu Filter länger ist, als die Zeitspanne zwischen beiden Ereignissen, so ist
auch der Informationsaustausch der Photonen untereinander nicht mehr rechtzeitig möglich. In verschiedenen Experimenten konnten trotz solcher Abstände keine
Abweichungen von den zuvor genannten Beobachtungen gemacht werden. Dieses
wird oftmals als spukhafte Fernwirkung bezeichnet, bei der die Ursache (Photon
A passiert den Filter) instantan auf Photon B wirkt. Somit kommen wir zu dem
Schluss, dass eine lokale Theorie des Informationsaustauschs für eine korrekte
Beschreibung der Quantenphysik nicht nützlich ist.
Bevor wir die zweite lokale Theorie, die Annahme von verborgenen Variablen
betrachten, gehen wir zurück zu unseren sogenannten verschränkten Photonen.
Wir können also nicht mehr von einem gleichen Polarisationszustand ausgehen,
denn dies widerspricht unserer zweiten Beobachtung. Wir halten fest, dass die
Messergebnisse voneinander abhängig sind. Aus diesem Grunde betrachten wir
die Photonen nicht mehr als einzelne Zustände, sondern vielmehr als ein einziges
quantenmechanisches Zustandssystem, welches sich wie folgt darstellen lässt:
|ψi = α |HA HB i + β |VA VB i
mit α2 + β 2 = 1.
(2.24)
Setzen wir für α und β den Wert √12 ein, so erhalten wir den sogenannten BellZustand, welchen wir auch in unserem Experiment verwendet haben. Die Zustandsvektoren |HA HB i und |VA VB i werden zusammengesetzt durch die Basisvektoren {|HA i, |VA i} und {|HB i, |VB i} der Hilberträume HA = R2 und HB =
R2 . Wir erhalten vier neue Basisvektoren
{|HA HB i, |VA VB i, |HA VB i, |VA HB i}
(2.25)
des Tensorproduktes H = HA ⊗HA , welches auf Grund der Isormophie mit einem
vierdimensionalen Raum verglichen werden kann. Nach der Notation gilt:
|iA jB i ≡ |iA i ⊗ |jB i für
i, j ∈ {H, V }.
(2.26)
50
Auch in diesem System kann ein beliebiger Zustand als Linearkombination, also
als eine Superposition seiner Basisvektoren dargestellt werden:
X
X
|ψi =
cij |iji mit cij ∈ R und
c2ij = 1.
(2.27)
i,j∈{H,V }
i,j∈{H,V }
Der erste Index in |iji bezieht sich auf den Hilbertraum HA und der zweite auf
HB . Das Quadrat des Koeffizienten cij gibt die Wahrscheinlichkeit wieder, dass
die Wellenfunktion in den Zustand |iji übergeht, wenn Photon A bezüglich der
Eigenschaft i, bzw. Photon B bezüglich der Eigenschaft j gemessen wird. Ein
beliebiger Zustand, der nicht als ein Tensorprodukt zweier Zustände aus HA und
HB geschrieben werden kann, ist nach Definition verschränkt. Betrachten wir diese Definition anhand eines Beispiels.
Beispiel. Der Zustand
1
1
|ψi = √ |HA HB i + √ |VA VB i
2
2
(2.28)
ist verschränkt. Hingegen ist der Zustand
1
1
|ψi = √ |HA VB i + √ |VA VB i
2
2
seperabel (nicht verschränkt), denn er lässt sich darstellen als
1
1
|ψi = √ |HA i + √ |VA i ⊗ |VB i.
2
2
(2.29)
(2.30)
Wenn also zwei Systeme miteinander verschränkt sind, können ihnen keine eigenen individuellen Zustandsvektoren zugeschrieben werden. Dies ist in (2.30)
nicht der Fall, denn der Gesamtzustand kann als Tensorprodukt des Zustandes
|ψA i = √12 |HA i + √12 |VA i aus HA und |ψB i = |VB i aus HB dargestellt werden,
wodurch die Messung an einem der beiden Photonen keine Auswirkungen mehr
auf das andere Photon haben kann.
Kehren wir wieder zurück zu unseren Photonen. Diese bilden zusammen ein
quantenmechanisches System, deren Polarisation absolut unscharf (unbestimmt)
ist. Dieses System wird durch die Wellenfunktion
1
1
2
2
(2.31)
beschrieben, dem sogenannten Bell-Zustand. Dieser hat die besondere Eigenschaft, dass für beide Teilchen die Wahrscheinlichkeit die Filter gleichzeitig zu
51
passieren, bzw. an ihnen absorbiert zu werden genau 12 beträgt. Messen wir das
System in der Basis |VA VB i, also beide Filter sind vertikal aufgestellt, so beträgt die Wahrscheinlichkeit, dass der Zustand |ψi in den Zustand |VA VB i über 2
geht genau √12 . Eine Messung an dem System findet jedoch schon mit der
Messung an nur einem Photon statt. Nach einer Messung kollabiert die Wellenfunktion in die gemessene Eigenschaft oder senkrecht dazu. In unserem Fall in
den Zustand |VA VB i oder |HA HB i. Die Wellenfunktion ist jetzt nicht mehr verschränkt, denn der Zustand |iA iB i kann dargestellt werden durch das Tensorprodukt |ψi = |iA i ⊗ |iB i. Messen wir nun das zweite Photon in der gleichen Basis
wie das erste Photon, so erhalten wir die triviale Wahrscheinlichkeit 1 für das
gleiche Ereignis, welches zu einer Gesamtwahrscheinlichkeit von 12 führt.
Diese Eigenschaft des Bell-Zustandes ist unabhängig von der Orientierung
der Filter, solange beide Filter dieselbe Orientierung beibehalten. Somit ist ein
verschränkter Zustand absolut unscharf bezüglich einer Messung, egal in welcher
Basis er gemessen wird. Im Gegensatz dazu war der Zustand |ψi = √12 |Hi +
√1 |V i in Abhängigkeit der gemessenen Basis, also der Orientierung der Filter
2
unbestimmt. In einer +/- Basis war der Zustand genau bestimmbar. Die Herleitung
der Wahrscheinlichkeiten zum Passieren der Filter bei einem Bell-Zustand findet
sich in dem Einschub auf Seite 52.
Neben dem in Gleichung (2.31) gezeigten Bell-Zustand, gibt es noch weitere.
Der Zustand
1
1
|ψi = √ |VA HB i − √ |HA VB i
(2.32)
2
2
hat die Eigenschaft, dass wenn ein Photon registriert wird, das andere stets absorbiert wird und umgekehrt. Die Wahrscheinlichkeit für das Passieren, bzw. die Absorbtion der Photonen beträgt wieder unabhängig von der Orientierung der Filter
1
. Selbstverständlich existieren theoretisch noch andere Zustände der Verschrän2
kung. Möglich wäre der Zustand
4
3
|ψi = |HA HB i − |VA VB i.
(2.33)
5
5
Hier ist die Wahscheinlichkeit für das Passieren beider Photonen nicht mehr unabhängig von der Orientierung der Filter. Sie beträgt in diesem Falle 54 cos2 (ρ) +
3
sin2 (ρ).
5
Das ursprüngliche EPR-Gedankenexperiment wurde von den Autoren A L BERT E INSTEIN , B ORIS P ODOLSKY und NATHAN ROSEN in einer etwas anderen Form verfasst. Sie verwendeten für ihre unbestimmten Größen Ort und Impuls
zweier Teilchen. Das Paradoxe an dem Experiment war jedoch dasselbe, wie in
unserem Versuch. Ihre Argumentation beruht auf der Lokalitätsannahme, nach
der eine Messung eines Teilchens nicht instantan auf die Eigenschaft eines anderen (verschränkten) Teilchens wirken kann. Sie erklärten die Quantenmechanik
52
für unvollständig, denn nach ihnen sei die Vollständigkeit einer physikalischen
Theorie dadurch gegeben, dass jedes Element einer physikalischen Realität seine
Entsprechung in der physikalischen Theorie haben muss. Mithilfe der Verschränkung ist es möglich jeweils das zweite Photon bezüglich seiner Polarisationsrichtung mit Wahrscheinlichkeit 1 zu bestimmen. In Bezug auf zwei unterschiedliche
Orientierungen (ρ = 0◦ oder ρ = 45◦ ) können wir die Eigenschaft des zweiten
Photons also immer sicher bestimmen. Somit sind nach den Autoren diese Eigenschaften Elemente der Realität, die aber keine entsprechenden Elemente in der
Theorie haben, da sie mit der Unbestimmtheitsrelation im Widerspruch stehen.
Die quantenmechanische Beschreibung von Teilchen durch die Wellenfunktion
|ψi ist also nach E INSTEIN, P ODOLSKY und ROSEN unvollständig.
Wie schon auf Seite 41, besteht hier die Möglichkeit sich einen tieferen Einblick in den mathematischen Formalismus zu verschaffen. Für den weiteren Verlauf kann auch dieser Einschub übersprungen werden.
Wir haben gesehen, dass die Basisvektoren |Hi und |V i durch Spaltenvektoren dargestellt
werden
können.
Ebenso können wir den Vektor |HV i durch das Tensorprodukt der Spaltenvektoren 10 ⊗ 01 darstellen. Einfacher geht es aber, indem wir die Isormophie zu R4 ausnützen. Dies
bedeutet lediglich, dass jeder Vektor in R2 ⊗ R2 durch einen Vektor des R4 repräsentiert wird
(R2 ⊗ R2 ∼
= R4 ). Unsere vier Basisvektoren aus 2.25 können somit durch

1
 0 

|HA HB i = 
 0 
0


0
 0 

, |VA VB i = 
 0 
1


0
 1 

, |HA VB i = 
 0 
0


0
 0 

, |VA HB i = 
 1 
0

beschrieben werden. Allgemein wird ein Vektor aus R2 ⊗ R2 durch folgende Rechnung in den R4
abgebildet:
|ai ⊗ |bi =
a1
a2
⊗
b1
b2
→
a · b1
a · b2


a1 · b 1
 a1 · b 2 

= 
 a2 · b 1  .
a2 · b 2
(2.34)
Die Wahrscheinlichkeit, dass zwei Photonen jeweils einen Filter der Orientierung ρ passieren,
wird, ähnlich wie zuvor, durch das Betragsquadrat des Skalarproduktes des Zustandsvektors |ψi
und jetzt dem Tensorprodukt der Eigenvektoren (|v1ρ i⊗|v1ρ i = |v1ρ v1ρ i) errechnet. Beide Photonen sollen ja ihre Filter passieren und der Eigenvektor |v1ρ i gehört zu dem Eigenwert m1ρ = +1,
welches das Ereignis Photon passiert darstellt. Auf Seite 41 können wir die Eigenvektoren für
einen Filter mit der Orientierung ρ ablesen:
|v1ρ i =
cos(ρ)
− sin(ρ)
und |v2ρ i =
sin(ρ)
cos(ρ).
(2.35)
53
Für das Tensorprodukt erhalten wir:
cos(ϕ)
cos(ϕ)
⊗
− sin(ϕ)
− sin(ϕ)

cos2 (ϕ)
 − cos(ϕ) sin(ϕ) 

=
 − sin(ϕ) cos(ϕ)  .
sin2 (ϕ)

Die Wahrscheinlichkeit, dass beide Photonen des Zustands |ψi =
ihren Filter passieren, lautet somit:
√1
2
|HA HB i +
(2.36)
√1
2
|VA VB i
B
P(mA
1ρ = +1, m1ρ = +1) =
|hv1ρ v1ρ |ψi|2

 2
T
cos2 (ϕ)
1  − cos(ϕ) sin(ϕ)  1  0 
 √  
= 

cos(ϕ) 
2  0 
− sin(ϕ)
1 sin2 (ϕ)
2
2
1
cos (ϕ) + sin2 (ϕ)2
√
=
2
1
.
(2.37)
=
2
Die Wahrscheinlichkeit beträgt also, unabhängig von der Orientierung der Filter, immer 21 . Dies
entspricht genau unseren Beobachtungen. Bei der Wahl eines anderen Zustandes oder unterschiedlicher Orientierungen der Filter, können wir selbstverständlich andere Werte erhalten.
2.1.3.2 Bells Ungleichungen
Wir haben gesehen, dass eine lokale Theorie, in der die Photonen Informationen
austauschen, nicht haltbar ist. Eine alternative Deutung der Ergebnisse wäre die
lokale Theorie der verborgenen Variablen (LHV)9 :
Photon A und Photon B enthalten für jede Orientierung ρ des
Filters eine uns verborgene Regel, die besagt, ob sie den Filter passieren können oder absorbiert werden. Da es für jeden Winkel ρ ∈
[−90◦ , 90◦] einer eigenen Regel bedarf, benötigen sie eine unendlich lange Liste mit Verhaltensregeln. Da beide Photonen verschränkt
sind, enthalten sie die gleichen Listen.
Auch dieser Ansatz einer lokalen Theorie konnte widerlegt werden. J OHN S TE WART B ELL10 zeigte 1964, dass die Grundsätze der Lokalität zu Ungleichungen
führen, die mit der Vorhersage der Quantentheorie nicht im Einklang stehen.
Gegenstand wird jedoch nicht die von B ELL herausgearbeitete Gleichung sein,
sondern eine Umformung, die unter den Namen CHSH-Ungleichung11 bekannt
9
LHV: Local Hidden Variables.
J OHN S TEWART B ELL (1928 - 1990): irischer Physiker, der in den Bereichen der Elementarteilchenphysik, den Grundlagen der Quantenphysik und dem Gebiet der Quantenfeldtheorie arbeitete.
11
Benannt nach ihren Entdeckern: C LAUSER , H ORNE , S HIMONY, H OLT.
10
54
ist. Ihre spätere Anwendung im E92-Protokoll ist wesentlicher einfacher. Da die
Herleitung etwas komplizierter ist, werden wir uns nur mit der Ungleichung an
sich und ihren Folgen auseinander setzen. Zuvor wollen wir uns aber eine andere Ungleichung von E UGENE W IGNER12 ansehen, die gerade in didaktischen
Werken der Quantenmechanik unter der Bellschen Ungleichung zu finden ist, da
ihre Herleitung wesentlich anschaulicher und wenig komplizierter ist, trotzdem
aber auf der gleichen Grundlage basiert. Wir werden hier ein Modell von J.J. S A KURAI vorstellen, dass die Annahme einer lokalen Theorie auf einfachem Wege
widerlegt.
In unserem vorherigen Versuch haben wir beide Photonen mit Filtern der gleichen Orientierung ρ gemessen. Unser Messergebnis war auf beiden Seiten immer
dasselbe. Wenn wir nun aber mit unterschiedlichen Orientierungen messen, können wir nicht mehr von gleichen Messergebnissen ausgehen. Wir betrachten nun
drei Fälle mit unterschiedlichen Orientierungen der Filter. Wir verwenden wieder
den Bell-Zustand
1
1
(2.38)
|ψi = √ |HA HB i + √ |VA VB i.
2
2
Für die unterschiedlichen Orientierungen der Filter, wie sie in Abbildung 2.9 zu
sehen sind, verwenden wir die Bezeichnungen:
• a: ρ = 0◦
• b: ρ = 22, 5◦
• c: ρ = 45◦ .
b
a
c
Abbildung 2.9: Filter der Orientierungen a, b und c
Zudem führen wir die Ereignisse
(iA ±, iB ±)
12
i ∈ {a, b, c}
(2.39)
E UGENE W IGNER(1902-1995): amerikanischer Physiker (ungarisch-jüdischer Herkunft) und
Nobelpreisträger (1963).
55
ein, die beschreiben, welches Photon bei welcher Orientierung passiert ist oder
absorbiert wurde. So bedeutet (a+, c−), dass Photon A den Filter mit der Orientierung a passiert hat und Photon B bei dem Filter der Orientierung c absorbiert
wurde.
Im Folgenden wollen wir nun von drei ausgewählten Ereignissen die Wahrscheinlichkeiten berechnen. Diese benötigen wir im späteren Verlauf um zu zeigen, dass die Vorhersage der Quantenmechanik die Ungleichung von W IGNER
verletzt und somit eine Lokalität auf Grundlage von verborgenen Variablen ausschließt.
1. (a+, b+):
Beide Photonen passieren die Filter der entsprechenden Orientierung a und
b. Die Wahrscheinlichkeit, dass Photon A seinen Filter passiert (Pa+ ) beträgt stets 21 , unabhängig von der Orientierung des Filters. Beide Photonen
befinden sich nach dem Kollaps der Wellenfunktion in dem wohldefinierten
Zustand |Hi. Die Wellenfunktion ist jetzt nicht mehr verschränkt. Photon
B, dessen Polarisationswinkel nun ρ = 0◦ beträgt, passiert den Filter der
Orientierung b mit der Wahrscheinlichkeit
Pb+ = cos2 (δ) = cos2 (|ρ − ϕ|) = cos2 (|0◦ − 22, 5◦|) = 0, 854.
(2.40)
Somit erhalten wir für die Wahrscheinlichkeit des Ereignisses (a+, b+):
P(a+,b+) = Pa+ · Pb+ =
1
· 0, 854 = 0, 427.
2
(2.41)
2. (a+, c+):
Beide Photonen passieren die Filter der Orientierung a und c. Die Wahrscheinlichkeit für A beträgt wieder Pa+ = 12 . Die Wahrscheinlichkeit für
Photon B lautet:
1
Pc+ = cos2 (δ) = cos2 (|ρ − ϕ|) = cos2 (|45◦ − 0◦ |) = ,
2
(2.42)
wodurch die Gesamtwahrscheinlichkeit für das Ereignis (a+, c+) gegeben
ist durch
1 1
1
P(a+,c+) = Pa+ · Pc+ = · = .
(2.43)
2 2
4
3. (b+, c−)
Photon A passiert den Filter der Orientierung b wieder mit Wahrscheinlichkeit 21 . Beide Photonen befinden sich fortan in dem Zustand |ψi =
56
cos(22, 5◦)|Hi + sin(22, 5◦)|V i. Photon B hat nun einen Polarisationswinkel gegenüber der Vertikalen von ϕ = 22, 5◦. Die Wahrscheinlichkeit den
Filter mit Orientierung c nicht zu passieren ist:
Pc− = 1−Pc+ = 1−cos2 (δ) = sin2 (|ρ−ϕ|) = sin2 (|45◦ −22, 5◦ |) = 0, 146.
(2.44)
Das Ereignis (b+, c−) hat somit eine Wahrscheinlichkeit von
P(b+,c−) = Pb+ · Pc− =
1
· 0, 146 = 0, 073.
2
(2.45)
Gehen wir jetzt zurück zu der Annahme, dass jedes Photon neben seiner Polarisationseigenschaft ϕ verborgene Variablen besitzt. Für jede Orientierung eines
Filters existiert eine uns verborgene Regel, ob das Photon diesen passiert oder
von ihm absorbiert wird. Letztendlich benötigt also jedes Photon unendlich viele dieser Vorschriften, da der Bereich [−90◦ , 90◦ ] für ρ unendlich viele Elemente
enthält. Wir wollen uns nun die Regeln anschauen, die für unsere drei Orientierungen a, b und c notwendig sind. Hierfür benötigt ein Photon acht verschiedene Vorschriften. Eine Vorschrift könnte (a+, b−, c+) sein, was bedeutet, dass solch ein
Photon durch die Filter der Orientierungen a und c durchkommt, aber durch einen
Filter der Orientierung b absorbiert wird. In Tabelle 2.1 sind die acht gemeinsamen Vorschriften für Photon A und Photon B aufgelistet. Die Regeln müssen für
beide Photonen aufgrund der Beobachtungen in unserem Versuch identisch sein.
Anzahl der Photonen Vorschrift Photon A
N1
N2
N3
N4
N5
N6
N7
N8
(a+, b+, c+)
(a+, b+, c−)
(a+, b−, c+)
(a−, b+, c+)
(a+, b−, c−)
(a−, b−, c+)
(a−, b+, c−)
(a−, b−, c−)
Vorschrift Photon B
(a+, b+, c+)
(a+, b+, c−)
(a+, b−, c+)
(a−, b+, c+)
(a+, b−, c−)
(a−, b−, c+)
(a−, b+, c−)
(a−, b−, c−)
Tabelle 2.1: Verborgene Regeln bezüglich dreier Orientierungen für das verschränktes Photonenpaar |ψi = √12 |HA HB i + √12 |VA VB i.
Betrachten wir jetzt eine große Anzahl N von Photonen. Ni ist dabei die Anzahl, also die absolute Häufigkeit der Photonen der Gruppe i mit der in Tabelle
2.1 entsprechenden Vorschrift. Führen wir eine große Anzahl von Messungen bezüglich der Eigenschaften a, b und c durch, so werden wir für die Ereignisse
(a+, b+), (a+, c+) und (b+, c−) folgende relative Häufigkeiten feststellen, die
57
bei einer großen Anzahl von Photonen ohne weiteres durch die Wahrscheinlichkeiten ersetzt werden können:
Hr (a+, b+) = P(a+,b+) =
N1 + N2
N
N1 + N3
N
N2 + N7
Hr (b+, c−) = P(b+,c−) =
N.
Wir können nun folgende Ungleichung erstellen:
Hr (a+, c+) = P(a+,c+) =
N1 + N2 ≤ (N1 + N3 ) + (N2 + N7 )
N1 + N2
N1 + N3 N2 + N7
≤
+
,
N
N
N
(2.46)
(2.47)
(2.48)
(2.49)
wodurch wir
P(a+,b+) ≤ P(a+,c+) + P(b+,c−)
(2.50)
erhalten. Vergleichen wir dies nun mit den Vorhersagen der Quantenmechanik
und setzen die berechneten Wahrscheinlichkeiten aus (2.41), (2.43) und (2.45) in
Ungleichung (2.50) ein. Wir erhalten
0, 427 ≤ 0, 25 + 0, 073 = 0, 323,
(2.51)
was zu einem Widerspruch führt. Die Verletzung der Ungleichung (2.50) bringt
uns zu dem Schluss, dass eine Theorie verborgener Parameter, zumindest bei
unterschiedlichen Orientierungen der Filter keine korrekte Beschreibung liefert,
denn die Vorhersagen der Quantenmechanik lassen sich mit den experimentellen Befunden einwandfrei zeigen. Photonen lassen sich nur mit einer nichtlokalen
Theorie beschreiben. Doch genau diese nicht vorhandene Lokalität garantiert uns
letztendlich die Sicherheit der Quantenkryptographie.
Die Ungleichung von W IGNER, oder auch die Ungleichung von B ELL, sind
für den Gebrauch des E92-Protokolls schwer zu handhaben. Eine schon am Anfang erwähnte Form der Bell-Ungleichungen ist die sogenannte CHSH-Ungleichung.
Hierfür betrachten wir für zwei Parteien jeweils drei unterschiedliche Filterorientierungen, die wir jeweils durch die Drehung der H/V-Basis um die x-Achse erhalten. Die Werte für die Orientierungen ρ sind in Tabelle 2.2 aufgelistet und in
Abbildung 2.10 graphisch dargestellt.
Desweiteren verwenden wir ein System verschränkter Teilchen. Wir wollen
der Abwechslung halber den Zustand |ψi = √12 |VA HB i − √12 |HA VB i aus Gleichung (2.32) verwenden. Statt der gleichen Messergebnisse werden bei den Filtern gleicher Orientierung jeweils das gegenteilige Messergebnis registriert. Für
58
A
a1 :
a2 :
a3 :
ρ
ρ
ρ
B
=
0◦
=
45◦
= 22, 5◦
b1 :
b2 :
b3 :
=
0◦
= −22, 5◦
=
22, 5◦
ρ
ρ
ρ
Tabelle 2.2: Orientierungen der Filter in der CHSH-Ungleichung
x
x
a2
a3
b3
a1
b1
y
y
b2
Abbildung 2.10: Orientierungen der Filter in der CHSH-Ungleichung
die Beschreibung der Messergebnisse zweier Filter der in Tabelle 2.2 gezeigten
Orientierungen verwenden wir ähnlich wie in (2.39) die Ereignisse
(ai ±, bi ±)
mit i, j ∈ {1, 2, 3}.
(2.52)
Wir fügen noch zusätzlich eine Zufallsvariable ein, die jedem Einzelereignis (ai ±)
und (bj ±) den entsprechenden Wert ±1 zuschreibt. Das Ereignis (a2 +) bzw.
(a2 = +1) beschreibt dann, dass ein Photon den Filter der Orientierung ρ = 45◦
passiert hat.
P
Mit diesen Bezeichnungen können wir nun den Erwartungswert E =
X·
P(X) bzgl. zweier Filterorientierungen berechnen. In der Quantenmechanik wird
dieser als sogenannter Korrelationskoeffizient bezeichnet und errechnet sich wie
folgt:
E(ai , bj ) = 1 · P(ai +) · 1 · P(bj +) + (−1) · P(ai −) · (−1) · P(bj −) +
1 · P(ai +) · (−1) · P(bj −) + (−1) · P(ai −) · 1 · P(bj +)
= P(ai +, bj +) + P(ai −, bj −) − P(ai +, bj −) − P(ai −, bj +).
(2.53)
Dieser lässt sich mit den uns schon bekannten Gesetzen vereinfachen zu
E(ai ±, bj ±) = − cos[2(ai − bj )].
(2.54)
59
Wenn mit beiden Filtern gleicher Orientierung (a1 , b1 oder a3 , b3 ) eine Messung
vorgenommen wird, so erhalten wir für ein perfekt antikorreliertes Paar von Photonen für den Erwartungswert:
E(a1 , b1 ) = E(a3 , b3 ) = −1.
(2.55)
Man kann nun eine Größe S definieren, die sich aus den Korrelationskoeffizienten
ergibt. Dabei werden nur Erwartungswerte mit unterschiedlichen Orientierungen
beider Filter verwendet:
S = E(a1 , b3 ) + E(a1 , b2 ) + E(a2 , b3 ) − E(a2 , b2 ).
(2.56)
Diese Summe S der Erwartungswerte kann mit (2.54) leicht errechnet werden.
Wir erhalten:
√
S = −2 2.
(2.57)
Die CHSH-Ungleichung sagt nun voraus, dass bei einer Annahme verborgener
Variablen,
−2 ≤S≤2
(2.58)
ist, wodurch wir wieder zu einem Widerspruch kommen. Es existiert zahlreiche
Literatur bzgl. dieser Ungleichung, weswegen ich auch hier nicht weiter darauf
eingehen möchte. Der Beweis dieser Ungleichung kann unter [11] nachgelesen
werden. Wir werden aber in Kapitel 2.2.2.2 noch einmal auf diese Ungleichung
näher eingehen, um die Sicherheit des E92-Protokolls zu zeigen.
Seit der Existenz dieser Gleichungen gab es zahlreiche Experimente, in denen
versucht wurde, die Verletzung der Gleichung (2.58) durch die Quantenmechanik
zu verifizieren, bzw. zu widerlegen. Sämtliche Versuche konnten jedoch die Vorhersage der Quantenmechanik bestätigen und damit die Theorie der verborgener
Variablen widerlegen. Eine Beschreibung eines solchen Experimentes findet sich
in [3] auf Seite 135.
2.1.3.3 Schneller als das Licht?
Am Ende dieses Abschnittes wollen wir uns ein paar weiterführenden Gedanken
widmen. Die Existenz einer instantan wirkenden Kraft, wie sie bei der Verschränkung von Quantenteilchen auftritt, erlaubt noch keinen Informationsaustausch mit
Überlichtgeschwindigkeit, da eine kontrollierte Bitübertragung nicht möglich ist.
Wird an Photon A eine Messung durchgeführt, so befindet sich Photon B zwar
sofort in demselben Zustand, doch der Ausgang der Einzelmessung an dem ersten Photon hängt vom Zufall ab. Die Übertragung von Zufallbits kann zwar, wie
wir später sehen werden, für die quantenmechanische Schlüsselübertragung von
Vorteil sein, aber ermöglicht es nicht mit Überlichtgeschwindigkeit Informationen auszutauschen. E INSTEIN bewies dies schon 1905 in seiner Arbeit über die
60
spezielle Relativitätstheorie, als die Quantentheorie noch in den Kinderschuhen
steckte.
Dies führt uns zurück zu unserem No Cloning Theorem. Die Existenz einer
Klonmaschine, die quantenmechanische Zustände perfekt kopieren kann, würde zu einem Widerspruch mit E INSTEIN´s Relativitätstheorie führen. Zwei beliebig entfernte Personen (Alice und Bob) könnten mit verschränkten Photonen die
Lichtgeschwindigkeit um ein Vielfaches sprengen. Hierfür brauchen beide EPRPhotonenpaare, die sie zu irgendeinem vorherigen Zeitpunkt ausgetauscht haben
und nun aufbewahren. Hier sollte hinzugefügt werden, dass die Aufbewahrung
von verschränkten Teilchen über einen längeren Zeitraum noch in weiter Zukunft
liegt. Theoretisch könnte Alice jedoch jedes ihrer Photonen in einer H/V, bzw.
±45◦ -Basis messen. Dies entscheidet sie in Abhängigkeit der Digits (1 oder 0)
ihrer Nachricht. Bob erhält instantan die gleiche Bitfolge, die Alice verschickt
hat, steht aber vor dem Dilemma nicht zu wissen in welcher Basis er die einzelnen Zustände messen soll, welches der eigentlichen Nachricht ja entspricht. Mit
einer Klonmschine könnte Bob jedoch beliebig viele Kopien seiner Zustände herstellen, wodurch er mithilfe der relativen Häufigkeiten entscheiden kann, ob der
vorher verschränkte Zustand von Alice in einer H/V-Basis oder in einer ±45◦ Basis gemessen wurde. Entsprechend weiß er, ob sein Photon nun dem Bit 1 oder
0 entspricht. Beide können so Nachrichten in kürzester Zeit von einer Galaxie in
eine von Millionen Lichtjahren entfernten Galaxie verschicken. Da aber kein Signal schneller als die Lichtgeschwindigkeit ist, darf es eine solche Maschine, auch
nach der speziellen Relativitätstheorie, nicht geben. Die Maschine würde zudem
Zeitreisen ermöglichen, welches eine direkte Folge der Überschreitung der Lichtgeschwindigkeit, nach der speziellen Relativitätstheorie ist.
Die Quantentheorie scheint also, trotz ihrer intuitiven Widersprüche, unsere
Beobachtungen allgemein, einfach und beobachtungsnah13 zu beschreiben. Die
fundamentalen Gesetze der Quantenmechanik können nicht abgeleitet werden und
ein Beweis wird es nie geben, denn eine Theorie kann nur falsifiziert werden. Bis
zum heutigen Zeitpunkt scheint es aber keine Experimente oder Beobachtungen
zu geben, die dieses bewirken würden. Somit zählt die Quantentheorie zu einer
erfolgreichen Theorie, die einen Teil unserer Wirklichkeit beschreibt.
2.2 Quantenmechanische Schlüsselübertragung
Wie schon im ersten Kapitel gezeigt wurde, existiert eine Verschlüsselungsmethode, die nachweisbar 100%ige Sicherheit liefert unter Verwendung eines zufälligen,
nur einmal verwendeten Schlüssels dessen Länge gleich der zu verschlüsselnden
13
Unter beobachtungsnah versteht man richtige Vorhersagen zu liefern.
2.2. QUANTENMECHANISCHE SCHLÜSSELÜBERTRAGUNG
61
Nachricht ist. Das One Time Pad, oder auch Vernam Chiffre genannt, hat lediglich
den Nachteil, dass eine Schlüsselübergabe stattfinden muss. Dieses Verfahren verhindert einen spontanen Nachrichtenaustausch, sofern zuvor kein Schlüssel ausgetauscht wurde. Die Übertragung eines Schlüssels über einen klassischen Kanal
(Telefon, E-Mail,...) bietet keine Sicherheit, da diese abgehört werden können.
Somit bleibt nur eine direkte Übergabe des Schlüssels übrig, was in unserer Zeit
zu einem logistischen Chaos führen würde und jegliche Spontanität ausschließt,
wie wir es in Kapitel 1.2 (Das One Time Pad) gesehen haben.
Die Gesetze der Quantenmechanik erlauben jedoch eine Schlüsselvereinbarung, dessen Sicherheit beliebig groß gewährleistet werden kann, um mithilfe des
One Time Pad nicht nur eine 100%ige sichere Kommunikation zu erlauben, sondern auch die nötige Spontanität ermöglicht. Eine direkte Schlüsselübergabe entfällt, womit ein erhöhter logistischer Aufwand entfällt.
Sender und Empfänger, im Folgenden auch mit Alice und Bob bezeichnet,
benötigen einen öffentlichen Kanal wie z.B. eine Telefonleitung und einen Quantenkanal, in dem polarisierte Photonen übertragen werden. Hierfür können Lichtfaserkabel oder Teleskopverbindungen verwendet werden. Zudem ist eine zusätzliche Hardware erforderlich, die von den jeweiligen verwendeten Protokollen14
abhängt. Man unterscheidet zwei Arten der Schlüsselübertragung, basierend auf
Ein- oder Zweiteilchensystemen. Beide sollen anhand zweier dargestellter Protokolle näher erläutert werden. Dabei werde ich besonders auf die von C HARLES H.
B ENNETT15 und G ILLES B RASSARD16 im Jahre 1984 entwickelte Schlüsselübergabe BB84 eingehen, da es nicht nur das erste Protokoll seiner Art war, sondern
auch die einfachste Struktur aufweist.
(a)
(b)
Abbildung 2.11: (a) C HARLES H. B ENNETT und (b) G ILLES B RASSARD (Quelle: [24] und [25]).
14
Mit Protokoll wird die Prozedur der Schlüsselvereinbarung bezeichnet.
C HARLES H. B ENNETT (geboren 1943) arbeitet bis heute als IBM-Mitglied am IBM Research in den USA.
16
G ILLES B RASSARD (geboren 1955) ist Professor an der Universität in Montreal.
15
62
2.2.1 Schlüsselübertragung mit Einteilchensystemen
Diese Methode beruht auf einer Idee von S TEPHEN W IESNER aus den sechziger
Jahren. W IESNER, damaliger Doktorand an der Columbia University, war seiner
Zeit weit voraus und entwickelte eine Form von fälschungssicheren Banknoten,
deren Seriennummer durch polarisierte Photonen im Geldschein verifiziert werden kann. Eine Fälschung durch Kopieren der Seriennummer ist somit weiterhin
möglich, aber das Kopieren der Photonen ist ohne Kenntnis der verwendeten Basen nicht möglich. Wir haben in 2.1.2 (No Cloning Theorem) gesehen, dass die
Gesetze der Quantenmechanik ein genaues Kopieren, bzw. Messen und Reproduzieren eines beliebigen und somit unbekannten Quantenzustandes verbieten.
Abbildung 2.12: S TEPHEN W IESNERs Quantengeld. Jede Note ist aufgrund ihrer
Seriennummer und der eingeschlossenen Lichtteilchen einzigartig. Nur die Zentralbanken kennen die Polarisationen der Photonen zu den zugehörigen Seriennummern. Ein Fälscher kann zwar die Seriennummer eines Geldscheines kopieren, aber nicht die eingeschlossenen Photonen.
Da eine praktische Umsetzung einer solchen Note weder zur damaligen Zeit
noch heute in entferntester Weise möglich ist, wurde ihm von seinem Doktorvater
und Kollegen keinerlei Beachtung geschenkt und seine Artikel dazu von mehreren
Zeitschriften abgelehnt. Dennoch interessierte sich ein alter Freund W IESNER´s
für diese Theorie. B ENNETT erkannte schnell das Potential dieser Banknoten und
ihm wurde klar, dass dies ein Quantensprung für die absolute sichere Kommunikation zwischen Bob und Alice werden könnte. Zusammen mit B RASSARD entwickelten beide das erste Protokoll der Quantenkryptographie. B ENNETT lieferte
vier Jahre später mit seinem Assistenten J. S MOLIN den praktischen Beweis nach
und ließ Alice und Bob über eine Entfernung von 30 cm die erste quantenmechanische Schlüsselübertragung tätigen. Das Protokoll basiert auf vier einzelnen
Schritten, die im Folgenden näher erläutert werden sollen. Auf die Sicherheit dieser Methode wird dann im Anschluss eingegangen.
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Basis Photon ψ
⊕
⊕
⊗
⊗
⊕
⊗
⊕
⊗
⊕
⊕
⊕
⊗
⊗
⊕
⊗
⊗
⊗
⊕
⊗
⊕
⊗
⊕
⊗
⊗
|Hi
|V i
|+i
|−i
|Hi
|+i
|Hi
|+i
|V i
|V i
|Hi
|−i
|−i
|V i
|−i
|+i
|+i
|Hi
|−i
|Hi
|+i
|V i
|−i
|−i
Schritt 1:
Bit
1
0
1
0
1
1
1
1
0
0
1
0
0
0
0
1
1
1
0
1
1
0
0
0
Senden und Messen
63
Bob
Basis Filter ρ
⊕
⊕
⊗
⊕
⊗
⊕
⊕
⊗
⊕
⊕
⊗
⊗
⊗
⊗
⊕
⊗
⊕
⊕
⊗
⊕
⊗
⊗
⊗
⊕
Detektion Bit
◦
0
0◦
+45◦
0◦
−45◦
0◦
0◦
−45◦
90◦
90◦
+45◦
+45◦
−45◦
−45◦
0◦
+45◦
90◦
0◦
+45◦
90◦
+45◦
+45◦
−45◦
0◦
•
◦
•
•
•
◦
•
◦
•
•
•
◦
•
•
◦
•
•
•
◦
◦
•
•
•
◦
1
×
1
1
0
×
1
×
0
0
1
×
0
1
×
1
1
1
×
×
1
1
0
×
Tabelle 2.3: Schritt 1 - Senden und Messen der Photonen
2.2.1.1 BB84 Protokoll
Schritt 1: Alice sendet über einen Quantenkanal polarisierte Photonen in einer
der vier Basisvektoren |Hi, |V i, |+i, |−i, welches den Polarisationsrichtungen
ϕ = 0, 90◦ , +45◦, −45◦ entspricht. Dies geschieht nach dem Zufallsprinzip. Zwei
Polarisationsrichtungen bilden jeweils eine Basis (H/V, +/-) eines Zwei-ZustandsSystems, in der jeweils ein Vektor dem Bit 0, der andere dem Bit 1 entspricht, so
dass folgende Übersetzung gilt:
• Bit 1 ≡ |Hi oder |+i
• Bit 0 ≡ |V i oder |−i.
Bob, der die Photonen empfängt, verwendet einen Polarisationsfilter mit den gleichen Orientierungen ρ = {0, 90◦ , +45◦, −45◦ }. Die Richtung des Filters wird zu
jedem Eintrag neu ausgewürfelt, sodass auch er eine zufällige Reihenfolge der
verwendeten Orientierungen erhält. Beide notieren sich zu jeder laufenden Nummer ihre Einstellungen und Messergebnisse.
64
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Basis Photon ψ
⊕
⊕
⊗
⊗
⊕
⊗
⊕
⊗
⊕
⊕
⊕
⊗
⊗
⊕
⊗
⊗
⊗
⊕
⊗
⊕
⊗
⊕
⊗
⊗
|Hi
|V i
|+i
|−i
|Hi
|+i
|Hi
|+i
|V i
|V i
|Hi
|−i
|−i
|V i
|−i
|+i
|+i
|Hi
|−i
|Hi
|+i
|V i
|−i
|−i
Schritt 2:
Bit
1
0
1
0
1
1
1
1
0
0
1
0
0
0
0
1
1
1
0
1
1
0
0
0
Filtern der detektierten
Photonen
Bob
Basis Filter ρ
⊕
⊕
⊗
⊕
⊗
⊕
⊕
⊗
⊕
⊕
⊗
⊗
⊗
⊗
⊕
⊗
⊕
⊕
⊗
⊕
⊗
⊗
⊗
⊕
0◦
0◦
+45◦
0◦
−45◦
0◦
0◦
−45◦
90◦
90◦
+45◦
+45◦
−45◦
−45◦
0◦
+45◦
90◦
0◦
+45◦
90◦
+45◦
+45◦
−45◦
0◦
Detektion Bit
•
◦
•
•
•
◦
•
◦
•
•
•
◦
•
•
◦
•
•
•
◦
◦
•
•
•
◦
1
×
1
1
0
×
1
×
0
0
1
×
0
1
×
1
1
1
×
×
1
1
0
×
Tabelle 2.4: Schritt 2 - Filtern der detektierten Photonen
Beispielsweise sehen wir im 2. Eintrag der Tabelle 2.3, dass sich Alice für
eine H/V-Basis und ein vertikal polarisiertes Photon entscheidet. Nach der obigen Notation entspricht dies einem Bit von 0. Bob wählt in zufälliger Weise die
gleiche Basis, jedoch mit einem Filter der Orientierung ρ = 0◦ . Er registriert mit
Bestimmtheit kein Photon und erhält somit auch kein Bit. Im 9. Eintrag hat Alice
wieder die gleichen Einstellungen wie im 2. Eintrag gewählt. Diesmal hat Bob
aber ein Filter der Orientierung 90◦ gewählt und registriert ein Photon. Er schreibt
dieser Messung nach obiger Notation das Bit 0 zu. In einigen Fällen wird Bob ein
Photon registrieren, obwohl er sich für die falsche Basis entschieden hat, wie dies
in Eintrag 11 zu sehen ist. Die Wahrscheinlichkeit, dass das horizontal polarisierte Photon den Filter der Orientierung ρ passiert, beträgt genau 21 . Diese Einträge
werden im 3. Schritt genauer betrachtet. Zunächst werden beide im 2. Schritt die
Einträge der nicht detektierten Photonen herausfiltern.
Schritt 2: Ab jetzt können alle weiteren Informationen über einen öffentlichen Kanal (z.B. E-Mail, Telefon, etc.) ausgetauscht werden. Bob teilt Alice als
nächstes mit, bei welchen Einträgen er ein Photon registriert hat und bei welchen
nicht. Letztere werden von beiden aus ihren Listen gelöscht (in Tabelle 2.4 grau
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Schritt 3:
Basis Photon ψ
Bit
Vergleich der Basen
65
Bob
Basis Filter ρ
0
Detektion Bit
◦
•
1
⊕
|Hi
1
⊕
⊗
⊗
⊕
|+i
|−i
|Hi
1
0
1
⊗
⊕
⊗
+45◦
0◦
−45◦
•
•
•
1
1
0
⊕
|Hi
1
⊕
0◦
•
1
⊕
⊕
⊕
|V i
|V i
|Hi
0
0
1
⊕
⊕
⊗
90◦
90◦
+45◦
•
•
•
0
0
1
⊗
⊕
|−i
|V i
0
0
⊗
⊗
−45◦
−45◦
•
•
0
1
⊗
⊗
⊕
|+i
|+i
|Hi
1
1
1
⊗
⊕
⊕
+45◦
90◦
0◦
•
•
•
1
1
1
⊗
⊕
⊗
|+i
|V i
|−i
1
0
0
⊗
⊗
⊗
+45◦
+45◦
−45◦
•
•
•
1
1
0
Tabelle 2.5: Schritt 3 - Vergleich der Basen
hinterlegt).
Wie schon im 1. Schritt gezeigt wurde, haben sich Alice und Bob im 2. Eintrag
zwar für dieselbe Basis entschieden, aber eine jeweils unterschiedliche Orientierung des Photons bzw. des Filters gewählt, was dazu führte, dass Bob kein Photon
registriert hat. Dieser Eintrag wird somit gelöscht. Ebenso werden die Einträge 6,
8, 12, 15, 19, 20 und 24 aus der Liste gestrichen.
Es sollte noch erwähnt werden, dass ein einfallendes Photon nicht immer eine
Registrierung des Detektors auslöst. Hier spielt die Empfindlichkeit des Detektors
eine wesentliche Rolle. In Kapitel 2.3.2 (Fehlerkorrektur) werden die daraus resultierenden Folgen genauer betrachtet und sollen der Einfachheit hier nicht mit
aufgeführt werden. Einträge dieser Art werden aber ebenso herausgefiltert, wie
eine unterschiedliche Wahl der Orientierungen zwischen Photon und Filter.
Schritt 3: In diesem Schritt vergleichen Alice und Bob ihre verwendeten Basen in den verbleibenden Einträgen. Entscheidend ist, dass sie nur die Information
der jeweils verwendeten Basis austauschen, nicht aber die Polarisation der Photonen oder die Richtung des Polarisationsfilters bekannt geben. Dies ist besonders
wichtig um die gewünschte Sicherheit zu gewährleisten. Nun werden alle Einträ-
66
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Basis Photon ψ
Schritt 3:
Bit
Fehlervergleich
Bob
Basis Filter ρ
0
Detektion Bit
◦
•
1
⊕
|Hi
1
⊕
⊗
|+i
1
⊗
+45◦
•
1
⊕
|Hi
1
⊕
0◦
•
1
⊕
⊕
|V i
|V i
0
0
⊕
⊕
90◦
90◦
•
•
0
0
⊗
|−i
0
⊗
−45◦
•
0
⊗
|+i
1
⊗
+45◦
•
1
⊕
|Hi
1
⊕
0◦
•
1
⊗
|+i
1
⊗
+45◦
•
1
⊗
|−i
0
⊗
−45◦
•
0
Tabelle 2.6: Schritt 4 - Fehlervergleich
ge bei denen sie unterschiedliche Basen gewählt haben herausgefiltert (in Tabelle
2.5 grau hinterlegt).
Aufgrund der nun gleich gewählten Basen, sollten Alice und Bob auch beide
zu den entsprechenden Einträgen eine identische Bitfolge erhalten. Diese wird als
Rohschlüssel bezeichnet, der im nächsten Schritt nur noch auf eventuelle Fehler
überprüft werden muss.
Schritt 4: Die verbliebene Bitfolge 1110001110 kann, wie schon erwähnt,
noch nicht als Schlüssel verwendet werden. Zuvor muss mithilfe von Korrekturalgorithmen der Schlüssel auf Fehler überprüft werden, bevor der verbleibende
Teil als Schlüssel für das One Time Pad verwendet werden kann.
Die besondere Bedeutung der Überprüfung des Schlüssels liegt in der Identifizierung von Abhörattacken. Noch ist nicht sicher, ob ein Abhörer (traditionell
mit Eve17 bezeichnet) beide Leitungen angezapft hat. Eine Möglichkeit besteht
durch den Vergleich eines beliebigen Teiles des Schlüssels, den Alice und Bob
auf Gleichheit hin überprüfen. Darauf hin entscheiden sie, ob sie den Rest der
17
Eve ist in der Kryptographie der übliche Name für eine Lauscherin und lässt sich aus dem
englischen Wort eavesdropping (= lauschen, heimlich abhören) ableiten.
67
Bits als Schlüssel verwenden oder ihn verwerfen. In Tabelle 2.6 wurden die ersten drei Bits gewählt. Selbstverständlich werden diese Einträge später nicht als
Teil des Schlüssels verwendet, denn die öffentliche Leitung kann stets problemlos
abgehört werden. Im Folgenden soll genauer beschrieben werden, wie der Schlüssel auf seine Sicherheit hin überprüft wird und eventuelle Lauschangriffe enttarnt
werden.
2.2.1.2 Sicherheit des BB84 Protokolls
Die Sicherheit des Protokolls liegt also nicht im Verhindern des Lauschens, sondern in der Erkennung einer Abhörattacke. Nachdem beide den Schlüssel vereinbart haben, sind sie in der Lage zu überprüfen, ob ein Lauschangriff stattgefunden
hat oder nicht. Da lediglich der Schlüssel vereinbart wurde, sind vor der Überprüfung der Sicherheit noch keine Informationen durchgelassen worden. Die absolute
Sicherheit liefert letztendlich das One Time Pad, das mit dem vereinbarten Schlüssel chiffriert wird, sofern eine Abhörattacke ausgeschlossen werden kann.
Die Grundlage der Sicherheit für die Schlüsselvereinbarung liegt in der Unschärferelation des Messens. In Kapitel 2.1 (Wesenszüge der Quantenmechanik)
haben wir gesehen, dass das Ergebnis beim Messen eines beliebigen Polarisationszustandes vom Zufall abhängt. Viel wichtiger dennoch ist, dass der Zustand
nach dem Messen zerstört wurde. Eine weitere Messung ist nicht mehr möglich,
ausgenommen an dem weitergeleiteten Photon, welches selbstverständlich keine
neuen Informationen bringt. Da auch das perfekte Klonen nicht möglich ist, kann
jeweils nur eine Messung durchgeführt werden. Die Ergebnisse des Messens haben ihre größte Unbestimmtheit bei einem gegenseitigen Winkel von δ = 45◦ und
nur bei einem Winkel von δ = 0◦ bzw. 90◦ zwischen Polarisation und Filter sind
die Ergebnisse des Messvorgangs mit Sicherheit absolut bestimmt.
Ein vollständiger Beweis zur Sicherheit dieses Protokolls würde den Rahmen
dieser Arbeit sprengen. Ein vereinfachter Beweis wurde im Juli 2000 von P ETER
W. S HOR und J OHN P RESKILL in den Physical Review Letters veröffentlicht und
kann dort detailliert nachgelesen werden. Eine genaue Angabe zur dieser Literatur finden Sie unter [17]. Wir wollen hier lediglich das Prinzip der Fehlerverursachung genauer betrachten.
Trotz der garantierten und beweisbaren Sicherheit gibt es einige Möglichkeiten bzw. Ideen einen erfolgreichen Lauschangriff durchzuführen. Die Erfolgschancen beruhen aber lediglich auf den Problemen der technischen Umsetzung. In
einem idealen System, in dem Einzelphotonenquellen verwendet werden und in
dem keine Fehlregistrierungen der Detektoren stattfinden, kann ein Abhörer stets
mühelos erkannt werden. Genau diese Bedingungen wollen wir hier voraussetzen
und uns dem wohl trivialsten Fall einer Abhörattacke widmen: Die sogenannte
68
intercept and resend 18 Attacke, bei der Eve die Leitungen anzapft, die einzelnen
Photonen misst und sie dann weiterleitet. Auf weitere, vielleicht erfolgsversprechendere Methoden des Lauschangriffs wird in Kapitel 2.3.1 (Abhörattacken) eingegangen.
Eve, der alle technischen Möglichkeiten offen stehen, kann ohne weiteres den
öffentlichen Kanal unbemerkt belauschen und es steht ihr auch zu, in den Quantenkanal anfangs unbemerkt einzudringen. Jedoch steht sie vor demselben Problem wie Bob, denn auch sie weiß vor der Messung nicht, in welcher Basis Alice
ihre Photonen jeweils präpariert hat. Deswegen wird auch sie die Wahl ihrer Filterorientierungen vom Zufall abhängig machen. Durch das Messen und Weiterschicken der neu präparierten Photonen im Quantenkanal verfälscht sie unbewusst im
Schnitt jedes vierte Photon.
In 50% der Fälle wählt sie die falsche Basis beim Messen und leitet die Photonen mit falscher Polarisation weiter. Da sie damit die Photonen in einen um 45◦
gedrehten Zustand zwingt, registriert Bob wiederum nur die Hälfte der von Eve
falsch weitergeleiteten Photonen. Wählt sie zufällig die richtige Basis, so wird
sie die Photonen unverfälscht weitersenden. In Abbildung 2.13 wird anhand eines Baumdiagramms gezeigt, welche Ereignisse, mit welcher Wahrscheinlichkeit
eintreten, wenn Eve o.B.d.A. ein vertikal polarisiertes Photon abfängt.
Bob, der scheinbar vor demselben Problem wie Eve steht, kann durch den öffentlichen Austausch mit Alice alle Einträge streichen, bei der er nicht dieselbe
Basis zum Messen, wie Alice zur Präparierung der Photonen verwendet hat. Bei
gleicher Basis aber müssen alle Polarisationen der Photonen und damit die Schlüsselbitfolge übereinstimmen. Zwar erhält Eve ebenfalls die Information über die
verwendeten Basen, die ihr aber nichts nützen, denn ihr Messvorgang ist schon
passé und rund 25% der Photonen wurden von ihr falsch weitergeleitet.
Alice und Bob müssen lediglich einen Teil des Schlüssels auf Übereinstimmung prüfen. Die Wahrscheinlichkeit für ein richtig weitergeleitetes Photon bei
einer Abhörattacke liegt bei
3
P(Bit nicht fehlerhaft) = .
4
(2.59)
Da die Wahrscheinlichkeiten der fehlerhaften Bits stochastisch unabhängig voneinander sind, gilt für n übertragene Bits, die von Eve nicht verfälscht wurden
n
3
P(n unverfälschte Bits) =
.
(2.60)
4
Diese Wahrscheinlichkeit konvergiert für n → ∞ gegen 0. Dies bedeutet, dass
mit zunehmender Länge des Schlüssels es immer unwahrscheinlicher wird, dass
18
intercept and resend: abfangen und weiterleiten.
abgefangenes
Photon
Eve´s zufällige Wahl
des Filters
1
2
1
2
⊗
1
2
b
1
2
1
2
⊕
1
2
aufgrund der Messergebnisse
weitergeleitete Photonen
Bob´s
Messergebnisse
1
2
1
2
1
2
69
1
2
1
2
1
2
◦
1
4
•
1
4
1
1
•
1
4
1
1
•
1
4
Abbildung 2.13: Baumdiagramm zu Eve´s Abhörattacke. Bob registriert mit einer
Wahrscheinlichkeit von 25% kein Photon. Da aber in diesem Eintrag die Orientierung seines Filters mit der Polarisationsrichtung des Photons übereinstimmt,
beträgt die Durchlasswahrscheinlichkeit P(X = 1) = 1. Vergleichen Bob und
Alice einen Teil ihrer Einträge, bei denen sie die gleiche Orientierung gewählt
haben, so werden sie eine Fehlerquote von 25% registrieren.
Eve einen erfolgreichen Lauschangriff unternommen hat. Um dies zu überprüfen,
können Alice und Bob einen beliebige Bitfolge des Rohschlüssels vergleichen.
Schon bei einem Vergleich von 25 Bits fällt die Wahrscheinlichkeit eines erfolgreichen Lauschangriffes auf unter 0,1%. Diese kann so beliebig klein gehalten
werden, dass schon bei einem Vergleich von 65 Bits die Wahrscheinlichkeit der
eines Lottogewinnes mit Zusatzzahl gleicht.
Alice und Bob können daraufhin die restliche Bitfolge als Schlüssel verwenden. Andererseits müssten sie die Prozedur wiederholen um eine Abhörattacke
auszuschließen.
Ein direkter Fehlervergleich ausgewählter Bits ist allerdings sehr aufwendig,
insbesondere wenn Eve nur sporadisch abhört und eine geringe Zahl von Fehlern verursacht, denn mit diesem Schritt wird der Rohschlüssel ein weiteres Mal
minimiert.
Eine Alternative ist ein sogenannter Paritätsvergleich. Hierbei tauschen Alice
und Bob lediglich Informationen darüber aus, ob die Anzahl von 1er an zufällig
bestimmten Stellen gerade oder ungerade ist. So teilt Alice Bob mit, dass sie an
erster, vierter, achter,..., 996ste und 999ste von 1000 Datenbits eine gerade Anzahl
von 1er gezählt hat. Zählt Bob an diesen Stellen eine ungerade Anzahl von 1er, so
steht fest, dass ihr Rohschlüssel voneinander abweicht.
70
Mit einer geraden Anzahl von Bob Datenbits, können beide aber noch nicht
auf einen sicheren Schlüssel schließen. Die Wahrscheinlichkeit liegt hierfür bei 50
%, dass bei erfolgtem Lauschangriff die Parität beider Datenbits übereinstimmt.
Dennoch liegt die Wahrscheinlichkeit einer unentdeckten Abweichung im Rohschlüssel bei 1 : 1048576, wenn beide einen Paritätsvergleich von nur zwanzig
verschiedenen Teilmengen durchführen. Dabei wird die Schlüssellänge im Gegensatz zum Fehlervergleich nicht dezimiert.
2.2.1.3 Umsetzung in die Praxis
Wir wollen uns hier einmal kurz mit der praktischen Umsetzung des BB84 befassen, bevor wir in Kapitel 2.3.3 (Eine technische Umsetzung) näher darauf eingehen werden. Uns interessiert insbesondere die Vorrichtung für das Empfangen der
Photonen, also der Aufbau des Empfängers von Bob (Abb. 2.14).
PBS
λ/2-Plättchen (α = 22, 5◦ )
Detektor H
(registriert mit Bestimmtheit
-45◦ polarisierte Photonen)
50/50 BS
eintreffende Photonen
Detektor V
( registriert mit Bestimmtheit
+45◦ polarisierte Photonen)
PBS
Detektor H
Detektor V
Abbildung 2.14: Bobs Empfänger
In Schritt 2 (Seite 64) des BB84 Protokolls haben wir alle Einträge gelöscht,
bei denen Bob kein Photon registriert hat, also auch diejenigen, bei denen Alice
und Bob die gleiche Basis, aber eine um 90◦ gedrehte Orientierung der Filter gewählt haben. Diese Einträge sind ebenso sicher bestimmbar. Dieser Schritt kann
im Grunde genommen weggelassen werden, da beide im 3. Schritt des Protokolls alle Einträge löschen, bei denen unterschiedliche Basen festgestellt wurden.
Bei unterschiedlicher Orientierung, aber gleicher Basis, wissen beide, dass sie ein
genau gegenteiliges Messergebnis erhalten haben. Andererseits dürfen wir nicht
71
vergessen, dass in einem realen System die Leitungen, sowie die Detektoren keine 100%ige Effizienz aufweisen können. Ein nicht registriertes Photon muss nicht
zwangsweise am Filter absorbiert worden sein.
Schritt 2 minimiert also die registrierte Fehlerquote, aber im Gegenzug wird
auch die Schlüsseleffizienz19 verringert. Desweiteren besteht bei hohen Schlüsselraten20 das Problem, dass es kaum mehr möglich ist einen Polarisationsfilter nach
jedem Photon in eine neue Orientierung zu drehen.
Beide Probleme, also die Minimierung der Schlüsseleffizenz und die Drehung
des Filters, kann durch eine geschickte Wahl von optischen Hilfsmitteln umgangen werden. In Abbildung 2.14 wird ein entsprechender Aufbau eines solchen
Empfängers gezeigt.
Neben vier Detektoren wird ein Phasenverschieber (λ/2-Plättchen), ein einfacher und zwei polarisierende Strahlteiler benötigt. Der einfache Strahlteiler (50/50
BS) bildet die Grundlage der Zufälligkeit des Messprozesses. Er teilt das Licht so,
dass die Intensität auf beiden Seiten 50 % beträgt. Im Falle einzelner Photonen bedeutet das aber, dass die Wahrscheinlichkeit für ein Photon durchzukommen bzw.
abgelenkt zu werden 50 % beträgt. Dieses sorgt dafür, dass jedes empfangene
Photon zufällig, aber mit gleicher Wahrscheinlichkeit, in einer von beiden Basen
gemessen wird. Bei unserem Aufbau in Abbildung 2.14 entspricht der untere Arm
der H/V-Basis und der rechte Arm der +45◦ /-45◦ -Basis.
Die polarisierenden Strahlteiler (PBS) in beiden Armen lenken das Licht in
Abhängigkeit der Polarisation ab. Dies geschieht mithilfe doppelbrechender Kristalle, wie Kalkspat (CaCO3 ), welche die Eigenschaft haben eine unterschiedliche Brechung hervorzurufen. Ein solcher Kristall besitzt eine optische Achse, um
die eine hohe Symmetrie des Kristalls herrscht. Lichtstrahlen, deren elektrisches
Feld (die Polarisation) senkrecht zum Hauptschnitt21 des Kristalls steht, besitzen
einen anderen Brechungsindex als Licht, das im Hauptschnitt polarisiert ist. Letzteres wird als außerordentlicher Strahl bezeichnet, für den das Snelliussche Brechungsgesetz nicht gilt. Der ordentliche Strahl, der senkrecht zur optischen Achse/
Hauptschnitt polarisiert ist, weist eine andere Brechung als der außerordentliche
Strahl auf und zeigt einen anderen Strahlenverlauf, da für diesen das Snelliussche Brechungsgesetz weiterhin gilt. Letztendlich wird das Licht in Abhängigkeit
der Polarisation auf verschiedene Weise gebrochen. Bei Betrachtung einzelner
Photonen gelten wiederum die gleichen Eigenschaften, wie wir sie bei den Polarisationsfiltern festgestellt haben. Photonen, die in einem Überlagerungszustand
19
Mit der Schlüsseleffizienz sind die verbleibenden Photonen gemeint, die letztendlich für die
Verschlüsselung vorgesehen sind, bezüglich der gesamt übertragenden Photonen.
20
Die Anzahl der übertragenden Photonen pro Zeiteinheit.
21
Der Hauptschnitt eines Kristalls wird durch den Wellenvektor ~k des Lichtes und der optischen Achse des Mediums aufgespannt. Die Orientierung der optischen Achse lässt sich durch die
Anordnung des Kristalls im Raum festlegen.
72
sind, werden im Kristall bei ausgewähltem Eintrittswinkel (bezüglich der optischen Achse) umgelenkt oder nicht, statt durchgelassen oder absorbiert zu werden. In Abbildung 2.15 (a) ist dies graphisch dargestellt. Auch hier beherrscht der
Zufall den Ausgang der Messung, wenn beliebige Polarisationszustände (Überlagerungszustände) gewählt werden.
(a)
(b)
H
eA
ch
se
+45°
op
tis
ch
V
Kristall
konischer Spiegel
-45°
Raumfilter
Abbildung 2.15: (a) Schemazeichnung der Lichtausbreitung in einem doppelbrechendem Medium. (b) Alice Sender.
Das λ/2-Plättchen22 , welches um α = 22, 5◦ gedreht ist, bewirkt eine Änderung der Polarisationsrichtung im rechten Arm um genau 2α = 45◦ . Dadurch
werden alle +45◦ und −45◦ polarisierten Photonen in horizontal und vertikal polarisierte Photonen gedreht, wodurch sie mit dem gleichen polarisierten Strahlteiler,
entsprechend ihrer Polarisation, getrennt und mit einem Detektor mit absoluter
Bestimmtheit registriert werden. Jeder Detektor misst somit eine ganz spezielle
Orientierung. Beim Empfangen der Photonen hält Bob fest, welcher Detektor reagiert und weiß sogleich mit welcher Basis es gemessen wurde.
Der Aufbau zum Empfangen der Photonen kann ebenso für den Sender verwendet werden. Statt der vier Detektoren werden lediglich vier seperate Laserdioden eingesetzt, die jeweils horizontal oder vertikal polarisierte Photonen erzeugen können. Die um ±45◦ polarisierten Photonen werden wiederum durch das
λ/2-Plättchen erzeugt. Die Laserdioden werden von einer Elektronik gesteuert, die
für die zufällige Wahl der Dioden sorgt. Die Zufälligkeit kann zuvor mithilfe eines
Quantenzufallsgenerators23 erzeugt und zwischengespeichert werden. Bei Bedarf
wird die Zahlenfolge von der Elektronik abgerufen.
22
Auch das λ/2-Plättchen ist ein optisch anisotropisches Medium, das zwischen ordentlichem
und ausserordentlichem Strahl eine Phasenverschiebung von einer halben Wellenlänge verursacht.
Das führt zu einer Drehung der Polarisation um 2α, wobei α der Winkel des einfallenden Feldes
ist.
23
Ein Quantenzufallsgenerator macht sich den Zufall der Quantenmechanik zu Nutze und generiert eine absolut zufällige Bitfolge aus Nullen und Einsen. Zwar können auch Computer Zu-
73
Im Gegensatz zum Empfänger kommt der Sender aber auch ohne optische
Komponenten, wie polarisierende oder teilweise transparente Strahlteiler aus. In
Abbildung 2.15 (b) sind vier relativ verdrehte Laserdioden um einen konischen
Spiegel montiert. Für eine technische Umsetzung bedeutet dies eine relativ einfache Montage der Dioden und eine Verkleinerung der Größe des Senders auf bis
zu 2 × 3 × 3 cm3 . Die Raumfilter (2 Lochblenden) verhindern, dass ein Abhörer
anhand der zwar gering aber doch unterschiedlichen Positionen der Strahlrichtungen Rückschlüsse auf die Polarisation der Photonen schließen kann. Dieser
Sender wurde von der Gruppe experimental quantum physics (xqp) der Ludwig
Maximilian Universität in München unter der Leitung von P ROF. D R . H ARALD
W EINFURTER entwickelt und in zahlreichen Experimenten erfolgreich eingesetzt.
In 2.3.3 (Eine technische Umsetzung) werden wir auf einen dieser Versuche näher
eingehen.
2.2.2 Schlüsselübertragung mit Zweiteilchensystemen
Wir haben in Kapitel 2.1.3 das EPR-Paradoxon kennengelernt und mit ihm gezeigt, dass eine lokale Theorie zur Beschreibung der Quantenmechanik unvollständig ist. Nun wollen wir das EPR-Paradoxon in der Anwendung der quantenmechanischen Schlüsselübertragung betrachten und zeigen, dass die Nichtlokalität hier von besonderer Bedeutung ist. Bei der Verwendung von Zweiteilchensytemen können wir prinzipiell auf zwei verschiedene Protokolle zurückgreifen.
Das erste entspricht im wesentlichen dem BB84. Das zweite Protokoll E91 wurde
nach A RTUR E KERT24 benannt, der dieses 1991 in den Physical Review Letters
vorgeschlagen hat (nachzulesen unter [16]). Dieses unterscheidet sich vom BB84
insbesondere durch die Überprüfung von Abhörattacken mittels der Bellschen Ungleichung. E KERT beschrieb es als eine neue und interessante Erweiterung zu
B ENNETT und B RASSARDS ursprünglicher Methode, dessen Sicherheit auf der
Vollständigkeit der Quantenmechanik beruhen soll.
In beiden Protokollen benötigen Alice und Bob eine Photonenquelle, die verschränkte Photonenpaare erzeugt. Jeder der beiden bekommt ein Photon zugeschickt. Es sei zu bemerken, dass Alice und Bob keine dritte Partei benötigen.
Alice kann ebenso die Paare erzeugen und jeweils eines der beiden Photonen an
fallszahlen generieren, jedoch unterliegen diese stets einem Algorithmus, was dem Zufall klar
widerspricht. Ein Quantenzufallsgenerator ist leicht herzustellen. Abbildung 2.15 (a) zeigt einen
solchen. Stellen wir uns ein unpolarisierten Strahl vor, der auf ein doppelbrechendes Medium
trifft. Dies hat zur Folge, dass jedes Photon zu je 50 % Wahrscheinlichkeit abgelenkt wird oder
den Kristall geradlinig durchquert. Mit zwei Detektoren hinter dem Kristall können dann mühelos
zufällige Bitfolgen generiert werden.
24
A RTUR E KERT (geboren am 1961) ist Professor der Quantenphysik an der Cambridge Universität.
74
Abbildung 2.16: A RTUR E KERT (Quelle: [26])
Bob senden.
2.2.2.1 Schlüsselübertragung ohne Bells Theorem
Wollen Alice und Bob, ähnlich wie im BB84, ihren Schlüssel vereinbaren, so
benötigen beide die gleiche Messaperatur, wie beispielsweise die in Abbildung
2.14. Beide messen jedes ihrer Photonen in einer jeweils zufällig gewählten Basis. Die folgenden Schritte entsprechen genau dem Protokoll BB84. Sie tauschen
nach dem Messvorgang die Informationen über die verwendeten Basen aus und
streichen die Einträge, bei denen kein Photon registriert wurde oder die Orientierungen der Filter unterschiedlich waren. In Abhängigkeit des Zustandssystems
haben Alice und Bob entweder die exakte Bitfolge, wenn
1
1
2
2
(2.61)
lautet, oder ihre Bitfolge ist genau gegenteilig, wenn
1
1
|ψi = √ |HA VB i + √ |VA HB i.
2
2
(2.62)
Im letzteren Falle, müsste einer der beiden seine Bits jeweils vertauschen, so dass
er für eine 1 eine 0 und für eine 0 eine 1 schreibt. Durch die Drehung der Messapperatur um 90◦ , bzw. durch den Einsatz eines λ/2-Plättchen im entsprechenden
Winkel (2α = 45◦ ) kann dies ebenso umgangen werden. Letztendlich müssen beide wieder ihren Schlüssel auf dessen Sicherheit hin überprüfen, indem sie einen
Abgleich eines Schlüsselteils oder einen Paritätsvergleich durchführen, wie dies
auf Seite 68 beschrieben wird.
Am 21.04.2004 wurde mit diesem Protokoll die weltweit erste quantenkryptographisch verschlüssselte Geldüberweisung getätigt. Zwischen dem Wiener Rathaus und der Bank Austria Creditanstalt wurde unter der Leitung von Prof. Dr.
75
A NTON Z EILINGER eine Spende über 3000,- Eur von der Stadt Wien an die Universität Wien überwiesen. Die Sicherheit konnte aufgrund einer Fehlerquote, die
unter 11, 4% lag, garantiert werden. In Abbildung 2.17 ist das Rathaus und die
Bank BA CA abgebildet, sowie das 1500 m lange Glasfaserkabel, das durch die
Abwasserkanäle verlegt wurde.
Abbildung 2.17: Die weltweit erste quantenkryptographisch verschlüsselte Geldüberweisung in Höhe von 3000,- Eur zwischen dem Wiener Rathaus und der Bank
- Austria - Creditanstalt (Quelle: [27]).
Ekert hingegen garantiert in seinem Protokoll die Sicherheit mithilfe der CHSHUngleichung und löst das Problem des Schlüsselvergleichs auf eine etwas kompliziertere, aber elegante Art. Diese Methode und die auf ihr beruhende Sicherheit
werden wir nun genauer betrachten.
2.2.2.2 E91 Protokoll
Anders als im BB84 benötigen wir nicht zwei, sondern vier verschiedene Basen.
Beim Messen der Photonen teilen sich Alice und Bob zwei gemeinsame Basen
und besitzen jeweils eine unterschiedliche Basis. Die Orientierungen der Filter
entsprechen denen, die wir bei der CHSH-Ungleichung verwendet haben. Es sind
aber auch andere Kombinationen möglich, die aus einer Drehung unserer Filter
hervorgehen. Alices (A) und Bobs (B) Basen lauten:
A
a1 : ρ
a2 : ρ
a3 : ρ
=
=
=
B
0◦
45◦
22, 5◦
b1 : ρ
b2 : ρ
b3 : ρ
=
=
=
0◦
−22, 5◦
22, 5◦
Tabelle 2.7: Orientierungen der Filter für das E91 Protokoll
76
Alice
Nr.
Filter ρ
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
a2
a2
a1
a1
a1
a2
a2
a2
a3
a2
a1
a3
a2
a2
a3
a1
a1
a1
a2
a2
a3
a3
a1
a3
Detektion Bit
•
◦
◦
•
•
◦
•
◦
•
◦
◦
•
◦
•
•
◦
•
◦
•
◦
•
◦
•
◦
1
0
0
1
1
0
1
0
1
0
0
1
0
1
1
0
1
0
1
0
1
0
1
0
Schritt 1:
Bob
Messen der Photonenpaare
Filter Detektion Bit
b1
b1
b3
b2
b1
b3
b2
b2
b3
b1
b1
b3
b3
b2
b2
b1
b3
b3
b3
b2
b2
b3
b2
b2
◦
•
•
◦
◦
◦
•
•
◦
◦
•
◦
•
◦
◦
•
◦
•
◦
•
•
•
◦
•
1
0
0
1
1
1
0
0
1
1
0
1
0
1
1
0
1
0
1
0
0
0
1
0
Tabelle 2.8: Schritt1 - Messen der Photonenpaare
Im Gegensatz zum BB84 haben wir der Einfachheit halber in unserem Beispiel
für jede Basis lediglich eine Orientierung der Filter gewählt, so dass wir annehmen, dass die Effizienz unserer Detektoren 100% beträgt und der Quantenkanal
keinerlei Rauschen verursacht. Eine Photon, das nicht registriert wurde, wird so
betrachtet, als wäre es mit Bestimmtheit vom davor stehenden Filter absorbiert
worden. Das Protokoll durchläuft im Wesentlichen vier Schritte, die wir zuerst
zeigen werden, bevor wir uns der Sicherheit des gesamten Protokolls widmen.
Schritt 1: Alice und Bob empfangen jeweils beide ein Photon des Zwei-ZustandsSystems
1
1
(2.63)
|ψi = √ |VA HB i − √ |HA VB i,
2
2
was zur Folge hat, dass beide bei gleicher Wahl der Basen (a1 b1 oder a3 b3 )
jeweils das gegenteilige Messergebnis mit absoluter Sicherheit erhalten. Für jeden Eintrag wählen sie zufällig zwischen einer ihrer drei Basen und messen ihr
jeweiliges Photon mit der Orientierung a1 , a2 , a3 bzw. b1 , b2 , b3 . Entsprechend
einer Registrierung •, bzw. Nichtregistrierung ◦ erhalten sie eine Bitfolge. Wir
verwenden für dieses Protokoll folgende Bitübersetzung:
•
◦
Bit Alice
Bit Bob
1
0
0
1
77
Tabelle 2.9: Bitübersetzung für die Messergebnisse
Im 5. Eintrag des Protokolls sehen wir, dass sich Alice und Bob für dieselbe
Orientierung ihrer Filter entschieden haben. Mit dem oben verwendeten Zustand
müssen sie bei gleicher Orientierung unterschiedliche Messergebnisse erhalten.
Die Notation in Tabelle 2.9 liefert für beide das gleiche Bit 1. Andere Kombinationen hingegen liefern keine eindeutigen Ergebnisse bezüglich der Gleichheit der
Messergebnisse. Diese werden im nächsten Schritt betrachtet.
Die Übertragung der Photonen findet, wie im BB84 Protokoll, über einen
Quantenkanal statt. Hierfür können wieder Teleskopverbindungen oder Lichtfaserkabel verwendet werden.
Schritt 2: Von nun an werden, genau wie in Schritt 2 des BB84 Protokolls alle
weiteren Informationen über eine öffentliche Leitung ausgetauscht. Die Sicherheit
des Schlüssels wird erst im letzten Schritt verifiziert. Alice und Bob vergleichen
ihre Basen und streichen alle Einträge, bei denen die Basen eine Differenz von
δ ∗ = ai − bi
=
45◦
(2.64)
aufweisen. Die Gleichung
∆δρ1 + ∆δρ2 ≥ Min [2 sin2 (ρ1 − ρ2 ), 2 cos2 (ρ1 − ρ2 )],
(2.65)
die wir schon auf Seite 43 kennengelernt haben, zeigt dass das Minimum der Unbestimmtheitsrelation bezüglich zweier Filter (ρ1 undρ2 ) mit einer gegenseitigen
Orientierung δ ∗ = ρ1 − ρ2 = 45◦ ihren maximalen Wert annimmt. Die Messergebnisse von Alice und Bob stimmen somit nur in 50% der Fälle überein. Diese
Einträge sind weder für einen Schlüssel, noch für die CHSH-Ungleichung nützlich. In Tabelle 2.10 wurden diese grau markiert.
Schritt 3: Nun entnehmen Alice und Bob alle Einträge, bei denen ihre Basen
eine Differenz von
δ ∗ = ai − bi = 0◦
(2.66)
aufweisen. Bei diesen Einträgen, wie wir es schon im 1. Schritt gesehen haben,
können beide davon ausgehen, dass sie gegensätzliche Messergebnisse haben. Ihre Bitfolge 110100 stimmt, nach der Bitübersetzung für die Messergebnisse, überein. Diese Folge ist absolut zufällig, denn die Wahrscheinlichkeit, dass das erste
Photon detektiert bzw. absorbiert wird, beträgt genau 21 . Die Folge 110100 kann
wieder als Schlüssel für das One Time Pad verwendet werden. Ist die Sicherheit
78
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Filter ρ
a2
a2
a1
a1
a1
a2
a2
a2
a3
a2
a1
a3
a2
a2
a3
a1
a1
a1
a2
a2
a3
a3
a1
a3
Schritt 2:
Detektion Bit
•
◦
◦
•
•
◦
•
◦
•
◦
◦
•
◦
•
•
◦
•
◦
•
◦
•
◦
•
◦
1
0
0
1
1
0
1
0
1
0
0
1
0
1
1
0
1
0
1
0
1
0
1
0
Bob
∗
Löschen der Basen mit δ = 45
∗
◦
δ = a2 − b1 = 45
δ ∗ = a2 − b1 = 45◦
δ ∗ = a2 − b1 = 45◦
δ ∗ = a3 − b2 = 45◦
δ ∗ = a3 − b2 = 45◦
δ ∗ = a3 − b2 = 45◦
◦
b1
b1
b3
b2
b1
b3
b2
b2
b3
b1
b1
b3
b3
b2
b2
b1
b3
b3
b3
b2
b2
b3
b2
b2
◦
•
•
◦
◦
◦
•
•
◦
◦
•
◦
•
◦
◦
•
◦
•
◦
•
•
•
◦
•
1
0
0
1
1
1
0
0
1
1
0
1
0
1
1
0
1
0
1
0
0
0
1
0
Tabelle 2.10: Schritt 2 - Vergleich der Basen und löschen aller Einträge, deren
Basen eine Differenz von 45◦ aufweist.
des Schlüssels verifiziert worden und wird er nur einmal für einen Text gleicher
Länge verwendet, ist die Sicherheit garantiert. Bevor wir zum letzten und entscheidenden Schritt gehen folgt noch eine kurze
Bemerkung. Im BB84 Protokoll haben wir eine durchschnittliche Biteffizienz von
25% (mit einer Wahrscheinlichkeit von 14 wählen beide den Filter mit gleicher
Orientierung). Bei geeigneter Messapparatur können im Mittel 50% der Photonen
als Bit dienen, nämlich immer dann, wenn sie die gleiche Basis gewählt haben.
Im E91 Protokoll gibt es 32 = 9 Möglichkeiten für die Kombinationen der 3
Filter von Alice und Bob. In zwei von den neun Fällen, wenn die gleiche Basis
gewählt wurde, können sie das Messergebnis als Bit verwenden. Dies entspricht
einer Effizienz von 22,2% und liegt doch weit unter den Möglichkeiten des BB84
Protokolls.
Schritt 4: Nachdem Alice und Bob im vorherigen Schritt den Schlüssel extrahiert haben, müssen sie noch alle Einträge, bei denen die Basen eine Differenz
von
δ ∗ = ai − bi = ±22, 5◦ oder 67, 5◦
(2.67)
Alice
Nr.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Filter ρ
Detektion Bit
a1
a1
a1
a2
a2
a2
a3
◦
•
•
◦
•
◦
•
0
1
1
0
1
0
1
a1
a3
a2
a2
◦
•
◦
•
0
1
0
1
a1
a1
a1
a2
a2
◦
•
◦
•
◦
a3
a1
◦
•
79
Schritt 3:
Bob
Filtern des Schlüssels
b3
b2
b1
b3
b2
b2
b3
•
◦
◦
◦
•
•
◦
0
1
1
1
0
0
1
δ ∗ = a1 − b1 = 0◦
δ ∗ = a3 − b3 = 0◦
b1
b3
b3
b2
•
◦
•
◦
0
1
0
1
0
1
0
1
0
δ ∗ = a1 − b1 = 0◦
b1
b3
b3
b3
b2
•
◦
•
◦
•
0
1
0
1
0
0
1
δ ∗ = a3 − b3 = 0◦
b3
b2
•
◦
0
1
δ ∗ = a1 − b1 = 0◦
δ ∗ = a3 − b3 = 0◦
Tabelle 2.11: Schritt 3 - Vergleich der Basen und filtern aller Einträge, deren Basen
eine Differenz von 0◦ aufweisen.
aufweisen, herausfiltern. Dies ist nötig, um mithilfe der CHSH-Ungleichung festzustellen, ob ihre Photonen vor der Messung verschränkt waren oder nicht. Im
letzteren Falle müssten sie von einer Abhörattacke ausgehen und das Protokoll
von neuem starten. In Tabelle 2.12 sind die entsprechenden Einträge grau markiert (die hellgrauen Einträge zeigen den Schlüssel). Wir werden im Folgenden
noch etwas näher auf die Sicherheit des E91 Protokolls eingehen.
2.2.2.3 Sicherheit des E91 Protokolls
Wie schon zuvor im BB84 wollen wir uns noch mal näher mit dem Protokoll
befassen, um ein tieferes Verständnis für die Sicherheit, auf der die Quantenkryptographie beruht, zu bekommen. In Kapitel 2.1.3 (Das EPR-Paradoxon) und die
Bellsche Ungleichung, sahen wir, dass die Nichtlokalität zu einer Verletzung der
Bellschen Ungleichung führt, die wiederum aus der Annahme der Lokalität hervorging. Diese Gleichung haben wir in Form der CHSH-Ungleichung kennengelernt. Zur Erinnerung fassen wir das Wesentliche nochmal zusammen:
80
Alice
Nr.
Filter ρ
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Detektion Bit
a1
a1
a1
a2
a2
a2
a3
◦
•
•
◦
•
◦
•
0
1
1
0
1
0
1
a1
a3
a2
a2
◦
•
◦
•
0
1
0
1
a1
a1
a1
a2
a2
◦
•
◦
•
◦
0
1
0
1
0
a3
a1
◦
•
0
1
Schritt 4:
Bob
Sicherheit des Schlüssels
δ ∗ = a1 − b3 = −22, 5◦
δ ∗ = a1 − b2 = 22, 5◦
δ ∗ = a2 − b3 = 22, 5◦
δ ∗ = a2 − b2 = 67, 5◦
δ ∗ = a2 − b2 = 67, 5◦
δ ∗ = a2 − b3 = 22, 5◦
δ ∗ = a2 − b2 = 67, 5◦
δ∗
δ∗
δ∗
δ∗
= a1 − b3
= a1 − b3
= a2 − b3
= a2 − b2
= −22, 5◦
= −22, 5◦
= 22, 5◦
= 67, 5◦
δ ∗ = a1 − b2 = 22, 5◦
b3
b2
b1
b3
b2
b2
b3
•
◦
◦
◦
•
•
◦
0
1
1
1
0
0
1
b1
b3
b3
b2
•
◦
•
◦
0
1
0
1
b1
b3
b3
b3
b2
•
◦
•
◦
•
0
1
0
1
0
b3
b2
•
◦
0
1
Tabelle 2.12: Schritt 4 - Vergleich der Basen und filtern aller Einträge, deren Basen
eine Differenz von ±22, 5◦ oder 67, 5◦ aufweist.
Erinnerung
Der sogenannte Korrelationskoeffizient (Erwartungswert) einer Messung zweier Orientierungen
wird berechnet durch:
E(ai , bj ) = P(ai +, bj +) + P(ai −, bj −) − P(ai +, bj −) − P(ai −, bj +)
(2.68)
und lässt sich in vereinfachter Form darstellen als
E(ai , bj ) = − cos[2(ai − bj )].
(2.69)
Die Größe S definiert sich durch die Korrelationskoeffizienten. Dabei werden nur Erwartungswerte
mit unterschiedlichen Orientierungen beider Filter verwendet
S = E(a1 , b3 ) + E(a1 , b2 ) + E(a2 , b3 ) − E(a2 , b2 ).
(2.70)
Aus der Summe S der Erwartungswerte ergibt sich nach den Gesetzen der Quantenmechanik:
√
S = −2 2.
(2.71)
Die CHSH-Ungleichung sagt aber voraus, dass bei der Annahme von verborgenen Variablen
−2≤S≤2
(2.72)
81
gilt.
Wir wollen uns nun eine mögliches Abhörszenario ansehen und die damit verbundenen Folgen betrachten. Wie schon zuvor besitzt Eve alle technischen Möglichkeiten, die es ihr erlauben unbemerkt zu lauschen. Selbstverständlich bezieht
sich dies nur auf den Abhörvorgang der öffentlichen Leitung. Eve wird, ohne es
zu wollen, Fehler verursachen, die zum späteren Zeitpunkt entdeckt werden. Auch
hier wollen wir von einem möglichen Rauschen der Leitungen, bzw. von Fehldetektionen der Messgeräte absehen. Wir werden nun folgende Abhörattacke analysieren:
Eve hat die Möglichkeit sämtliche Photonenpaare zu präparieren, die Alice
und Bob zur Schlüsselvereinbarung verwenden wollen. Alice und Bob gehen zuvor von einer vertrauenswürdigen Quelle aus und wissen nicht, dass die Photonenpaare von Eve erzeugt werden. Eve muss jedes Photon des EPR-Paares seperat erzeugen, so dass sie jedem Teilchen eine wohldefinierte Polarisationsrichtung
zuschreiben kann. Selbstverständlich ist der Name EPR-Paar für solche Teilchen
nicht korrekt, denn die Photonen sind keineswegs mehr verschränkt und haben
somit bei einem Messvorgang auch keine Wirkungen aufeinander. Die Polarisationsrichtungen, die sie für beide Teilchen wählt, sollen rein zufällig sein. Wir
wollen uns hier keine besonderen Richtungen anschauen, sondern ihre Wahl sehr
allgemein halten. Sie entscheidet sich also bei jedem Teilchenpaar mit einer Wahrscheinlichkeit p(ϕa , ϕb ) für die Polarisationsrichtung ϕa und ϕb der Lichtteilchen, die sie unmittelbar nach der Erzeugung an Alice und Bob weiterleitet. Dabei
bleibt es vollkommen ihr überlassen, welche Verteilung sie wählt. Beispielsweise
könnte sie bestimmte Polarisationsrichtungen bevorzugt wählen.
Der Einfachheit halber wählen wir eine diskrete Verteilung. Für die Veranschaulichung unseres Beispiels reicht dies aber vollkommen aus. Es seien Na und
Nb Teilmengen von [− π2 , π2 ], die nicht notwendigerweise endlich sein müssen, jedoch abzählbar. Sie stellen alle möglichen Einstellungen dar, für die sich Eve oder
ihr Zufallsgenerator entscheiden kann, so dass ϕa ∈ Na und ϕb ∈ Nb gilt.
Betrachten wir nun Schritt 4 in E KERT´s Protokoll. Alice und Bob wählen alle
Einträge, bei denen sie eine Differenz ihrer Basiswinkel von ±22, 5◦ oder 67, 5◦
auffinden25 . Diese verwenden sie um nachzuweisen, ob die CHSH-Ungleichung
verletzt wurde. Dafür brauchen sie nur die relativen Häufigkeiten H(ai ±, bj ±)
zählen, die bei einer großen Zahl von Photonen gegen die Wahrscheinlichkeiten P(ai ±, bj ±) konvergieren. Betrachten wir in unserem vorherigem Beispiel
Tabelle 2.12 auf Seite 80. Die Konstellation (a2 , b2 ), bei der Alice und Bob
ihre Filter auf a2 = 45◦ und b2 = −22, 5◦ eingestellt haben, kommt genau
viermal in 24 Einträgen vor. Betrachten wir bei gegebener Einstellung die An25
Dies trifft nach unserer Notation in Tabelle 2.7 auf Seite 75 genau bei den Konstellationen
(a1 , b2 ), (a1 , b3 ), (a2 , b2 ), (a2 , b3 ) ein.
82
zahl der Einträge bei der Alice kein Photon, Bob aber eins registriert, so zählen wir genau 2 von 24 Einträgen. Damit erhalten wir für die relative Häufigkeit
1
H(a2 −, b2 +) = 12
= 8, 33%. Zählen Alice und Bob nun die Häufigkeiten der
restlichen Kombinationen (a2 +, b2 +), (a2 +, b2 −) und (a2 −, b2 −), so können
sie mithilfe der Gleichung
E(ai , bj ) = P(ai +, bj +)+P(ai −, bj −)−P(ai +, bj −)−P(ai −, bj +) (2.73)
den Korrelationskoeffizienten E(a2 , b2 ) berrechnen. Nach gleicher Prozedur berechnen sie E(a1 , b3 ), E(a1 , b2 ) und E(a2 , b3 ), um dann mit Gleichung (2.70)
die Größe S zu ermitteln. Sind die √
Photonen vor der Messung verschränkt gewesen, müssten sie für S den Wert −2 2 erhalten. Natürlich werden sie diesen Wert
nie exakt feststellen können, doch mit zunehmender Zahl an Photonen nimmt die
Streuung immer mehr ab, so dass der gemessene Wert gegen den theoretischen
Wert konvergiert.
Was passiert aber, wenn Eve die Photonen selbst erzeugt und sie an beide Parteien verschickt? Sie kann zwar keine Verschränkung erzeugen, doch√besteht die
Möglichkeit mit einer ausgesuchten Verteilung nahe an den Wert −2 2 zu kommen? Diese Frage werden wir durch einige einfache Rechnungen beantworten. Im
Grunde dreht sich alles um die Größe S, sie entscheidet über die Akzeptanz oder
die Verwerfung des Schüssels. Wir versuchen nun den theoretischen Wert einzugrenzen, den Alice und Bob für S erhalten, wenn Eve mit der Verteilung p(ϕa , ϕb )
die Photonenpaare selbst erzeugt. Es soll nochmals erwähnt werden, dass sie für
jedes Paar die Polarisationen neu und zufällig wählt, aber mit einer von ihr gewählten Gewichtung der einzelnen Polarisationen. Auch hier gilt wieder, dass der
experimentelle Wert, bei einer großen Anzahl von Photonen, gegen den theoretischen Wert konvergieren wird. Alice und Bob messen weiterhin in ihren drei
Basen ai und bj (mit i, j ∈ [1, 2, 3]). Der Erwartungswert E(ai , bj ) hängt nun
nicht mehr allein von den Winkeleinstellungen der Filter untereinander ab, sondern auch von der Wahl der Polarisation der beiden verschickten Photonen, was
bei dem verschränkten Bell-Zustand nicht der Fall war. Für den Erwartungswert
für feste Polarisationsrichtungen ϕa und ϕb der Photonen erhalten wir
E(ai , bj ) = cos[2(ai − ϕa )] cos[2(bi − ϕb )].
(2.74)
Eine ausführliche Rechnung soll uns hier erspart bleiben. Würde Eve jedes Photon, das sie an Alice und Bob weiterleitet eine feste Polarisationsrichtung zuteilen
und diese für jedes Paar konstant halten (p(ϕa , ϕb ) = 1, für ein festes a und b, so
müssten wir lediglich die Erwartungswerte für die Paare (a1 b3 , a1 b2 , a2 b3 , a2 b2 )
nach obiger Gleichung (2.74) berechnen und sie in Gleichung
S = E(a1 , b3 ) + E(a1 , b2 ) + E(a2 , b3 ) − E(a2 , b2 )
(2.75)
83
einsetzen. Wir erhalten
die Summe S der Erwartungswerte und vergleichen sie
√
mit dem Wert −2 2, den wir eigentlich erwarten würden, wenn unsere Photonen verschränkt wären. Versucht man selber mit festen Werten für ϕa und ϕb die
Erwartungswerte E(ai , bj ) nach Gleichung (2.74) zu berechnen und diese nach
(2.70) zu S zusammenzufügen,
so stellt man schnell fest, dass es nicht möglich ist
√
den Wert −2 2 zu erhalten.
Nun muss Eve aber nicht jedes Photon für Alice und Bob mit einer festen
Polarisationsrichtung ϕa und ϕb verschicken, sondern kann diese für jedes Paar
verändern. Da wir nicht wissen, wie sie das macht, nehmen wir ganz allgemein
an, dass sie für jedes Paar die Verteilung p(ϕa , ϕb ) wählt. Diese umfasst eine
unendlich große Menge an Kombinationen, die in irgendeiner Häufigkeit auftreten
können. Unser Erwartungswert lässt sich nun wie folgt berechnen:
X X
p(ϕa , ϕb ) cos[2(ai − ϕa )] cos[2(bi − ϕb )].
(2.76)
E(ai , bj ) =
ϕa ∈Na ϕb ∈Nb
Setzen wir dies in Gleichung (2.75) ein, erhalten wir
P
P
S =
ϕa ∈Na
ϕb ∈Nb p(ϕa , ϕb ) ( cos[2(a1 − ϕa )] cos[2(b3 − ϕb )]
+ cos[2(a1 − ϕa )] cos[2(b2 − ϕb )]
+ cos[2(a2 − ϕa )] cos[2(b3 − ϕb )]
− cos[2(a2 − ϕa )] cos[2(b2 − ϕb )]) .
(2.77)
Dies lässt sich umformen zu
√
P
P
S =
cos[2(ϕa − ϕb )]
ϕa ∈Na
ϕb ∈Nb p(ϕa , ϕb ) 2 |
{z
}
−1≤...≤1
√ X X
2
⇔ |S| ≤
p(ϕa , ϕb )
(2.78)
ϕa ∈Na ϕb ∈Nb
{z
}
|
√ =1
⇔ |S| ≤
2
Alice und Bob erhalten beim Auswerten ihrer Ergebnisse einen Wert für S, √
der
bestenfalls (aus Eve´s Sicht) um den Faktor 21 vom erwarteten Ergebnis −2 2
abweicht. Unabhängig davon, wie Eve die Verteilung der Polarisationsrichtungen
wählt, schafft sie es nicht unbemerkt zu bleiben.
Der Vorteil an dieser Methode liegt darin, dass man der Quelle nicht vertrauen
muss. Eine solche Quelle könnte sich beispielsweise auf einem Satelliten befinden, der unsere Erdumlaufbahn umkreist. Mit einer Photonenquelle verschränkter Zustände, könnten Kommunikationspartner über den gesamten Globus sicher
kommunizieren. Sie müssten aber nicht besorgt sein, dass die Photonen manipuliert wurden. Die Berechnung der Erwartungswerte würde eine Manipulation
84
der Photonenquelle ans Licht bringen. Eine mögliche Erzeugung soll im nächsten
Abschnitt kurz dargestellt werden. Ein Nachteil der Erzeugung eines Schlüssels
mithilfe der Verschränkung liegt in der Effizienz der Bitlänge. Im Mittel können
sie nur 22, 2% der Einträge des Protokolls zur Schlüsselgenerierung verwenden.
2.2.2.4 EPR-Photonenquellen
Da wir uns im weiteren Verlauf wieder vorwiegend auf Einteilchensysteme beziehen, soll hier der Vollständigkeit halber noch die Erzeugung von verschränkten
Photonen, den sogenannten EPR-Paaren, kurz erklärt werden.
Abbildung 2.18: Spontane parametrische Fluoreszenz (Quelle: [28])
Solche Zustände können in einem Prozess der spontanen parametrischen Fluoreszenz erzeugt werden. Beim Auftreffen eines starken Pumpfeldes auf einen
nichtlinearen Kristall (doppelbrechendes Medium) findet eine spontane Umwandlung statt. Die außerordentlich polarisierten Photonen der Energie ~ωp und dem
Impuls ~~kp , werden in zwei Photonen mit den Energien ~ωǫ , ~ωo und Impulsen
~~kǫ , ~~ko umgewandelt. Dabei bleiben Energie und Impuls erhalten:
~ωp = ~ωǫ + ~ωo
~kp = ~kǫ + ~ko .
(2.79)
Die dabei paarweise erzeugten Photonen zeigen neben starken Korrelationen bezüglich Entstehungszeitpunkt, Energie und Impuls auch Polarisationskorrelationen auf, welches zu einem verschränkten System führt. Beide Teilchen werden,
wie in Abbildung 2.18 zu sehen ist, entlang zweier Kegel emittiert, auf denen sie
unterschiedlich polarisiert sind. Die Kegel schneiden sich entlang der Geraden
1 und 2, an denen die Tangentialebenen senkrecht zueinander stehen und beide
Fluoresenzphotonen dieselbe Wellenlänge haben. Die entlang der Schnittgeraden
2.3. QUANTENKRYPTOGRAPHIE IN DER PRAXIS
85
emittierten Photonen können jedoch keinem der beiden Kegel eindeutig zugewiesen werden, wodurch auch ihre Polarisation nicht klar zu bestimmen ist. Es liegt
somit ein verschränkter Zustand bezüglich der Polarisation beider Teilchen vor.
2.3 Quantenkryptographie in der Praxis
Wir wollen uns am Ende dieser Arbeit noch ein wenig mit den Problemen in
der Praxis beschäftigen, sowie Ausblicke auf momentane Realisierungen geben.
Lauschangriffe und Fehlerkorrekturen sollen hier im Kurzen geschildert werden,
bevor wir uns eine technische Umsetzung der Schlüsselvereinbarung mittels Teleskopen ansehen werden.
2.3.1 Abhörattacken
In Kapitel 2.2.1.2 (Sicherheit des BB84 Protokolls) haben wir gesehen, dass die
Sicherheit des BB84 bei einer Intercept and Resend Attacke auf den unvermeidlichen Fehler, die Eve beim Messen verursacht, basiert. Im Mittel wird jedes vierte
Photon durch Eve verfälscht, was zu einer Fehlerrate ǫir von 0, 25 führt. Diese
Fehlerrate ist ein Maß für die Sicherheit bei der Vereinbarung des Schlüssels. Da
in der Praxis ein ideales System nicht realisierbar ist, stellt die Fehlerrate eine obere Schranke der technischen Umsetzung dar. Durch Fehlregistrierungen der Detektoren (Rauschen) und Depolarisation in optischen Leitungen (Glasfaserkabel)
erzeugt das System eine eigen verursachte Fehlerrate. Solange aber die sogenannte Quantenfehlerrate unter dieser Schranke bleibt, können Alice und Bob jederzeit
einen Lauschangriff von einem Rauschen unterscheiden. Damit bleibt die Sicherheit gewährt. Um beispielsweise eine Intercept and Resend Attacke ausschließen
zu wollen, sollte die selbst verursachte Fehlerrate unter 0, 25 liegen.
Ein weiters Problem bei Glasfaserkabel sind neben der Depolarisation auch
die Verluste entlang der Leitungen, welche die Zahl der übertragenden Photonen
stark reduzieren kann. Die Absorbtion steigt mit zunehmender Länge exponentiell an, so dass technische Realisationen mit Übertragungsdistanzen von über 100
km sehr schwer umzusetzen sind.Verluste stellen zwar im Allgemeinen kein Sicherheitsrisiko dar (Alice und Bob streichen alle Einträge, bei denen sie kein Photon registrieren), aber beschränken die Reichweite der Übertragung. Die Gesetze
der Quantenmechanik verbieten einen fehlerfreien Verstärker. Dieser würde das
gleiche Rauschen wie ein Abhörer verursachen, was zu einer erhöhten Quantenfehlerrate führt. Für längere Distanzen würden dann Quantenrepeater in Betracht
kommen, die ebenso im Quantencomputing ihre Anwendung finden. Solche Verfahren zur Reinigung von Zuständen sind aber experimentell noch nicht verwirklicht worden.
86
Die Intercept and Resend Attacke liegt mit einer Fehlerrate von 0, 25 weit weg
von einem optimalen Lauschangriff. Mit einer universellen Klonmaschine ist eine
Fehlerrate von ǫuk = 0, 167 möglich. Eine solche Maschine steht nicht im Widerspruch zu dem No Cloning Theorem, denn sie beruht nicht ausschließlich auf
unitären Transformationen, sondern ebenso auf Messvorgängen. Statt vom deterministischen Klonen, spricht man vom probabilistischen Klonen, da man die gewünschten Kopien nur mit gewissen Wahrscheinlichkeiten erhält. Ein perfektes
Klonen bleibt weiterhin unmöglich. C HRISTOPHER A. F UCHS, N ICOLAS G ISIN
und weitere zeigten, dass eine optimale Abhörattacke existiert und diese eine untere Schranke darstellt (nachzulesen
in den Physical Review Letters [14]). Mit einer
√
1
1
Fehlerrate von ǫop = 2 − 4 2 ≈ 0, 146, stellt es das bestmögliche Ergebnis für
Eve dar. Wollen Alice und Bob jeglichen Lauschangriff ausschließen, müssen sie
dafür sorgen, dass ihre Quantenfehlerrate unter 0, 146 bleibt.
Die soeben gezeigten Abhörversuche beziehen sich eher auf den theoretischen
Verlauf des Protokolls und zeigen, dass eine minimale Fehlerrate existiert, die unvermeidlich bei einem optimalen Lauschangriff auftritt. Liegen Alice und Bob
mit ihrer Quantenfehlerrate unter 0, 146, so besteht keine Gefahr26 , egal welche
technischen Mittel Eve zur Verfügung stehen. Dies setzt aber eine wichtige Bedingung voraus: Alice und Bob dürfen pro Schlüsselbit nur ein Photon verschicken. Die zur Zeit existierenden Einzelphotonenquellen sind noch nicht praktikabel einsetzbar. Für die Realisierung der Photonenquelle wird ein Laser verwendet,
der einen schwachen koherenten Laserpuls erzeugt. Die Wahrscheinlichkeit in einem solchen Laserpuls Photonen aufzufinden gehorcht der Poission Verteilung
k
P(k) = µk! e−µ . Mit k wird die Anzahl der Photonen pro Puls dargestellt und
mit µ = hki die durchschnittliche Photonenanzahl pro Puls bezeichnet. Bei einer
durchschnittlichen Photonenzahl von µ = hki = 0, 1 beträgt die Wahrscheinlichkeit für
• P(k = 0) = 0, 9048
• P(k = 1) = 0, 0905
• P(k = 2) = 0, 0045.
Die Wahrscheinlichkeit zwei Photonen in einem Puls aufzufinden ist zwar verschwindend gering, aber im Vergleich zur Wahrscheinlichkeit für k = 1 nicht
ganz zu vernachlässigen. Wählt Eve nun eine geeignete Strategie, so ermöglicht
dies ihr einen unbemerkten Lauschangriff durchzuführen.
26
Selbstverständlich sollte der Wert der Quantenfehlerrate deutlich unter dieser Grenze liegen,
um auch wirklich sicher zu stellen, dass ein Abhörversuch von einem Rauschen unterschieden
werden kann.
87
Jedesmal, wenn der Puls nur ein Photon enthält, blockt sie dieses ab. Dieser
Eintrag wird generell nicht zur Überprüfung einer Lauschattacke verwendet. Enthält der Puls zwei oder mehrere Photonen, so fängt sie eines ab und speichert
dieses. Erst später, wenn Alice und Bob ihre Informationen über die verwendeten
Basen austauschen, führt sie ihre eigenen Messungen durch. Die Laserpulse, in
denen kein Photon enthalten ist, können außer Acht gelassen werden.
Die Speicherung polarisierter Photonen ist, wie schon bei der Verschränkung
gezeigt, sehr problematisch und noch weit von einer Realisierung entfernt. Zudem konnte L ÜTKENHAUS beweisen, dass die Sicherheit des BB84 unter realistischen Bedingungen gegeben ist, wenn eine optimale durchschnittliche Photonenzahl µopt verwendet wird [15]. Diese hängt von der Transmissions- und Detektoreffizienz des Systems ab.
2.3.2 Fehlerkorrektur
Für Alice und Bob ist es notwendig, dass beide Parteien den absolut identischen
Schlüssel besitzen. Da dieses aber in einem realistischen System, aufgrund des
Rauschens der Detektoren und der Depolarisation27 einzelner Photonen nicht möglich ist, müssen sie mithilfe von Fehlerkorrekturalgorithmen ihre Schlüssel wieder
angleichen. Um dies durchzuführen, müssen Alice und Bob ein Minimum an Information über den öffentlichen Kanal austauschen, wodurch sie einen Teil ihres
Schlüssels bekanntgeben müssen. Das Minimum lässt sich durch
r = n[−ǫ log2 ǫ − (1 − ǫ) log2 (1 − ǫ)]
(2.80)
berechnen, wobei n die Länge des Schlüssels darstellt und ǫ die Quantenfehlerrate.
Dieses Minimum wurde erstmals von C LAUDE S HANNON bewiesen und wird
deswegen auch Shanon Coding Theorem genannt. Leider liefert der dazugehörige
Beweis keine Möglichkeit, wie man an dieses Minimum herankommt, sondern
zeigt nur, dass ein solches Minimum existiert.
Eine gute Annäherung an dieses Minimum gelang Brassard and Salvail mit ihrer Cascade Methode. Sie ähnelt dem Paritätsvergleich, den wir schon zur Überprüfung des Schlüssels kennengelernt haben. Die Methode lässt sich wie folgt
beschreiben:
Alice und Bob teilen ihren vereinbarten Schlüssel in Blocks einer gegebenen
Länge. Daraufhin tauschen sie die Parität der einzelnen Blöcke öffentlich aus.
Stimmt die Parität eines Blockes nicht überein, so wissen sie, dass eine ungerade
Anzahl an Fehlern in diesem Block vorhanden ist. Sie teilen diesen in zwei Unterblöcke und überprüfen daraufhin wieder die Parität. Dies wird rekursiv mit jedem
27
Bei der Depolarisation verlieren die Photonen auf ihrem Weg ihre bestimmte Polarisationseigenschaft.
88
weiteren Unterblock fortgeführt. Nach dem ersten Schritt haben alle betrachteten
Blöcke entweder eine gerade Anzahl von Fehlern oder keinen Fehler. Alice und
Bob tauschen die Positionen der Bits und starten wieder das gleiche Prozedere mit
Ausnahme einer größeren Blocklänge, welche optimiert werden kann. Mit einer
zunehmenden Anzahl an Paritätsvergleichen sinkt die Wahrscheinlichkeit einer
Diskrepanz zwischen Alice und Bobs Schlüssel. Die Anzahl der durchzuführenden Schritte kann bezüglich der Wahrscheinlichkeit der Diskrepanz und der Informationspreisgabe an eventuelle Lauscher optimiert werden. Der Vorteil dieser
Methode zu anderen Fehlerkorrekturen liegt an der fast minimalen Preisgabe an
Informationen, wie es S HANNONs Theorem verlangt und zum anderen, dass kein
einziges Bit gestrichen werden muss. Die Fehlerkorrektur kann gleichzeitig auch
zur Überprüfung des Schlüssels herangezogen werden.
2.3.3 Eine technische Umsetzung
Alice
23,4
km
Zugspitze
Max-Planck-Hütte
2950m
Bob
Karwendelbahn
Bergstation
2244m
Abbildung 2.19: Übertragungsstrecke von der Zugspitze zur westlichen Karwendelspitze (Quelle: [28]).
Zum Ende dieser Abeit möchte ich ein Experiment zur Quantenkryptographie vorstellen, das 2002 unter Leitung von Prof. Dr. H ARALD W EINFURTER von
der Ludwig Maximilian Universität in München und seinen Mitarbeitern Dr. C.
K URTSIEFER , M. H ALDER , P. Z ARDA und H. W EIER erfolgreich durchgeführt
wurde. Dabei handelt es sich um die quantenkryptographische Übertragung eines
Schlüssels mittels einer Teleskopverbindung. Die Vorteile einer solchen Verbindung gegenüber Lichtfaserkabeln sind enorm:
Teleskope sind mobil einsetzbar und somit auch relativ kostengünstig wenn
es um längere Entfernungen geht, denn ein teures Verlegen von langen Lichtfa-
89
serkabeln entfällt. Geht es um transatlantische Verbindungen via sicherer28 Satelliten, sind Teleskopverbindungen unabdingbar. Eine weltweite Vernetzung von
Lichtfaserkabeln wäre mit unvorstellbaren Kosten verbunden. Die Wartung und
Reperatur eines solchen Netzes würde zudem zu hohen Unterhaltskosten führen.
Ein weiterer Vorteil liegt darin, dass die zur Zeit existierenden Einzelphotonendetektoren (Silizium Avalanche Photodioden) für den nahen Infrarotbereich von
780 bis 850 nm die besten Ergebnisse aufweisen können. Dieser Wellenlängenbereich ist für eine freie Übertragung besonders geeignet, denn er wirkt in der Luft
sehr transparent, was zu einer verminderten Verlustrate führt. Lichtfaserkabel benötigen hingegen Wellenlängenbereiche von 1300 nm bzw. 1550 nm, um geringe
Verluste aufzuweisen. Die hierfür existierenden Einzelphotonendetektoren arbeiten jedoch deutlich schlechter als die für den nahen Infrarotbereich.
2.3.3.1 Das Experiment
Das Experiment zur quantenkryptographischen Freiraumübertragung wurde zwischen der Experimentierhütte des Max-Planck-Instituts auf der Zugspitze in 2.950
m Höhe und der Bergstation der Karwendelseilbahn auf der westlichen Karwendelspitze in 2244 m Höhe durchgeführt (siehe Abbildung 2.19). Die Wahl dieses
Ortes liegt auf der Hand:
• geringere Turbulenzen
• geringere Absorption
• weniger Hintergrundlicht.
Um eine Verbindung zwischen Alice und Bob herzustellen, wurden zwei Teleskope mit den jeweiligen Sender- und Empfängermodulen gekoppelt. Für das Empfangen der Photonen wurde ein herkömmliches 25 cm Spiegelteleskop eingesetzt.
Alice wurde mit einem Gallileischen Teleskop mit 7,5 cm Austrittsapperatur ausgestattet. Abbildung 2.20 zeigt den Aufbau des Experimentes.
Die verwendete Empfänger- und Senderoptik entspricht dem gezeigten Aufbau in den Abbildungen 2.14 und 2.15 auf den Seiten 70 und 72 und ist in Abbildung 2.20 nochmals detalliert dargestellt. Der Sender besteht aus 4 Laserdioden, die um einen konischen Spiegel, relativ zueinander verdreht, angeordnet
sind. Sie erzeugen die einzelnen Polarisationsrichtungen. Eine Elektronik steuert
28
Mit sicher ist gemeint, dass dem Satelliten vertraut werden kann, wenn er am Schlüsselaustausch als Zwischenstation beteiligt wird. Eine Alternative wäre die Erzeugung von EPR-Paaren
auf dem Satelliten, der die Lichtquanten an jeweils eine Partei sendet.
90
Abbildung 2.20: Aufbau des Experimentes: Alices Sender (links im Bild) und
Bobs Empfänger (rechts im Bild) (Quelle: [28]).
die jeweiligen Dioden an. Die zufällige Wahl der Bitsequenz und der damit anzusteuerenden Dioden wird durch einen Quantenzufallsgenerator29 generiert, dessen erzeugte Bitsequenz im Computer zwischengespeichert wird. Bei Erzeugung
des Schlüssels wird diese zur Ansteuerung der Dioden verwendet. Ein Raumfilter
sorgt für die räumliche Ununterscheidbarkeit der einzelnen Photonen.
Die Laserdioden sind keine Einzelphotonenquellen, sondern erzeugen sehr
kurze Lichtpulse, in denen sich mit einer Wahrscheinlichkeit von unter 0,5 %
mehr als zwei Photonen befinden. Im Schnitt befindet sich in jedem 10. Puls ein
Photon. Diese Einstellungen sind in der Regel nach dem Transmissionsgrad einzustellen. Für den Empfänger wurden die Detektoren auf -20◦ Gekühlt um die
Dunkelzählrate zu minimieren. Dies wurde mittels zweistufigen Peltierelementen
erreicht.
Damit die Hintergrundstrahlung einen möglichst geringen Einfluss auf die
Quantenfehlerrate hat, werden die Photonen mit sehr kurzen Lichtpulsen erzeugt.
Das Zeitfenster des Detektors wird der Zeitdauer des Lichtpulses angeglichen. Die
Laserpulse besitzen eine Dauer von Rund 500 ps (= 0, 5 · 109 s), die Zeitfenster
29
Der von W EINFURTER und seinen Mitarbeiter entwickelte Quantenzufallsgenerator erreicht
erstmals eine Rate von 20 Mbit/s. Höhere Raten sind ohne erheblichen Aufwand zu realisieren.
91
der Detektoren ca. 1 ns. Durch die Synchronisation der Zeiterfassung ist es so
möglich, die gesendeten Photonen von einer Hintergrundstrahlung zu unterscheiden.
2.3.3.2 Die Ergebnisse
Das Testexperiment zeigte erstaunliche Ergebnisse: Die Quantenfehlerrate betrug
ǫ = 0, 05, was deutlich unter dem Wert ǫopt = 0, 146 eines optimalen Lauschangriffs liegt. Die Schlüsselvereinbarung wurde mit einer effektiven Übertragungsrate von 1500 bit/s durchgeführt. Dieser Rohschlüssel musste lediglich auf seine
Sicherheit verifiziert werden.
Da die Dioden von ihrer spektralen Intensität, wenn auch nur minimal, abweichen können, stellt dies ein gewisses Sicherheitsrisiko dar. In diesem Fall würden
die Lichtpulse ein von der Diode charakteristisches Merkmal enthalten. Damit
könnte auf die verwendete Basis zurückgeschlossen werden. Die spektrale Intensität der 4 Dioden im Experiment überlappten sich um mehr als 98%. Ebenso ist
die genaue Justierung der Dioden bezüglich des Polarisationsgrades für einen erfolgreichen Ausgang des Experimentes unabdingbar. In dem Versuch konnte diese
auf eine Abweichung unter 1% minimiert werden.
W EINFURTER und seine Mitarbeiter arbeiten zur Zeit an einer quantenkryptographischen Verschlüsselung, die in städtischen Gebieten ihre Anwendung findet.
Über eine 500m lange Strecke tauschen sie über den Dächern Münchens30 Schlüssel mit Bitraten zwischen 50 und 100 kbit/s aus. Die Quantenfehlerrate liegt bei
ca. 3,4%. Mit geeigneten Blenden, Filtern und extrem kurzen Zeitfenstern soll
auch die Nutzung des Systems bei Tageslicht realisiert werden.
Die zur Zeit durchgeführten Experimente zeigen deutlich, dass Quantenkryptographie keine Fiktion mehr oder der Wunschtraum der Kryptographen ist. Es ist
real und funktioniert mit erstaunlicher Präzision. W EINFURTER und seine Mitarbeiter zeigten erstmals, dass die Technik der Teleskopverbindungen nicht nur in
klimatisierten Räumen stattfinden kann, sondern auch unter realen Bedingungen
funktioniert.
Mehr Informationen und Bilder zu den Experimenten befinden sich auf der
Internetseite: http://xqp.physik.uni-muenchen.de.
30
Sender und Empfänger des Systems sind auf den Dächern der Gebäude für theoretische Physik in der Theresienstraße und dem Hauptgebäude der Experimentalphysik in der Schellingstraße
montiert.
92
2.4 Zusammenfassung
Geheimnisse zu bewahren und sicher zu Kommunizieren waren im Laufe der
Geschichte bedeutende Funktionen in der Politik, der Wirtschaft, im Militär, sowie unter der Zivilbevölkerung31. Versagten diese Funktionen, so konnten folgenschwere Konsequenzen eintreten, von denen viele positiv aber auch negativ
endeten. Unzählige Beispiele in den Bereichen der Politik, Wirtschaft und Militär
zeigten uns, wie die Kryptographie den Lauf der Geschichte beeinflusst hat32 .
Die klassische Kryptographie hat sich in den letzten Jahrhunderten rasant entwickelt und letztendlich das One Time Pad hervorgebracht, das zwar eine absolute Sicherheit gewährleisten kann, dennoch aufgrund des notwendigen Schlüsselaustauschs unbrauchbar ist. Unsymmetrische Verschlüsselungen dominieren den
Markt, denn sie benötigen keinen Schlüsselaustausch. Basierend auf dem Unvermögen der Menschheit, bzw. der Computer, große Zahlen in ihre Primfaktoren zu
zerlegen (in angemessener Zeit), ist RSA wohl das erfolgreichste Modell Nachrichten geheim zu halten. Das Zerlegen von Zahlen ist bei den heutigen verwendeten Algorithmen und Computern ein Problem exponentieller Zeit33 und somit
unbrauchbar für große Zahlen. Doch gibt es auch Algorithmen, die solche Probleme mithilfe von Quantencomputern in polynominaler Zeit34 lösen könnten. Solche
Rechenmaschinen würden ein RSA300 mühelos dechiffrieren.
Die Quantenmechanik liefert aber nicht nur die Grundlage für solche Rechenmaschinen, sondern löst auch das Problem der Schlüsselübergabe des One Time
Pads. Gestützt auf den Gesetzen der Quantenmechanik zeigten uns B ENNETT und
B RASSARD, wie ein einfaches Protokoll und einige Photonen dieses Problem lösen können. Seit diesem Zeitpunkt entwickeln Forscher auf der ganzen Welt Ideen
und Lösungen den Fortschritt der technischen Umsetzung voranzubringen.
Dass sich die Quantenkryptographie eines Tages durchsetzen wird, kann wohl
angenommen werden. Und mit der rasanten Entwicklung dieser Technik scheint
auch der Zeitpunkt nicht in allzu langer Ferne zu liegen. Die enorme Sicherheit
macht es für viele Unternehmen einfach zu attraktiv, um darauf verzichten zu
können. Spätestens wenn jeder Bürger diese Technik anwenden kann, stellt sich
dennoch die Frage, wie man Kriminalität und Terrorismus bekämpfen kann, ohne
Prävention, wie z.B. durch das Abhören der Telefonleitungen verdächtiger Per31
Man denke an die Abhörstrategien der STASI in der ehemaligen DDR um angebliche Staatsgegner unter der Bevölkerung auszuspähen.
32
Besonders eindrucksvoll nachzulesen in Geheime Botschaften von S IMON S INGH [5].
33
In der Komplexitätstheorie bezeichnet man ein Problem als in Exponentialzeit lösbar, wenn
die Rechenzeit m mit der Problemgröße n exponentiell wächst. Solche Probleme werden auch als
nicht lösbar bezeichnet.
34
In Polynomialzeit lösbare Probleme werden als lösbar betrachtet. Die Abhängigkeit der Rechenzeit m von der Problemgröße n kann durch ein Polynom dargestellt werden.
2.4. ZUSAMMENFASSUNG
93
sonen, denn auch dieses wird durch die Anwendung der Quantenkryptographie
nicht mehr möglich sein. Welchen Stellenwert das Recht auf Geheimnisse dann
noch hat, bleibt offen.
94
Kapitel 3
Anhang
3.1 RSA Algorithmus
Die Mathematik von RSA ist unwesentlich komplizierter, als die Schlüsselvereinbarung nach D IFFIE und H ELLMAN, jedoch etwas umfangreicher. Die Sicherheit
des Verfahrens beruht auf der diskreten Exponentialfunktion f (x) = ax mod b
und der Primfaktorzerlegung. Die Verschlüsselungsfunktion beruht auf einem von
E ULER um 1760 bewiesenen
Satz 3.1.1. Es seien a ∈ Z und n ∈ N mit n > 1, sowie a und n relativ prim (
ggT(a, n) = 1), dann gilt:
aϕ(n) ≡ 1 mod n
aϕ(n)+1 ≡ a mod n
(3.1)
mit ϕ(n) = |{a ∈ Z, n ∈ N, 0 ≤ a < n, a und n relativ prim}| (Eulersche ϕFunktion).
Schränken wir n so ein, dass
n=p·q
mit p, q Primzahlen,
p 6= q
(3.2)
gilt, so lässt sich ϕ(n) darstellen als
ϕ(n) = (p − 1) · (q − 1).
(3.3)
Betrachten wir nochmals den Satz von E ULER. Es gilt:
aϕ(n)
(aϕ(n) )s
as·ϕ(n)
as·ϕ(n)+1
am
≡
≡
≡
≡
≡
95
1 mod n
1s mod n
1 mod n
a mod n
a mod n.
(3.4)
KAPITEL 3. ANHANG
96
Für m = s · ϕ(n) + 1 und s ∈ Z können wir auch sagen, dass Gleichung 3.4 für
alle m gilt, die der Restklasse 1 modulo ϕ(n) zugehören, denn teilt man m durch
ϕ(n), so erhält man stets Rest 1 für alle s ∈ Z.
Diese Gleichung ist der Kern der Verschlüsselung. Nehmen wir an, Alice
möchte eine Nachricht an Bob schicken. Dafür muss Bob zuerst seinen öffentlichen Schlüssel erzeugen. Dies geschieht indem er zwei große Primzahlen p und
q (verwendet werden bis zu 300 Dezimalstellen) miteinander multipliziert. Die
dabei entstehende Zahl n = p · q ist der erste Teil des öffentlichen Schlüssels.
Der zweite Teil besteht aus der Zahl e, die Alice frei wählen kann unter Berücksichtigung, dass ϕ(n) und e teilerfremd1 sind (ggT(e, ϕ(n)) = 1). Diese beiden
Zahlen werden öffentlich bekanntgegeben. Jedermann der mit Bob kommunizieren möchte kann sich diesen Schlüssel besorgen.
Den geheimen Schlüssel d generiert Bob mithilfe der Primfaktoren, die nur er
kennt. d muss so gewählt sein, dass
e · d = 1 mod ϕ(n)
ϕ(n) = (p − 1) · (q − 1)
(3.5)
gilt. Damit befindet sich e · d in der gleichen Restklasse wie m und wir erhalten:
ae·d ≡ a mod n
(3.6)
Um d zu berechnen, muss Bob lediglich den euklidischen Algorithmus anwenden.
Ohne Kenntnis der Primfaktorzerlegung wäre dies aber nicht möglich, wodurch d
ein echtes Geheimnis für jeden anderen bleibt.
Alice, die Bob eine verschlüsselte Nachricht zukommen lassen möchte, muss
diese zuerst in eine Zahl k umwandeln mit k < n. Der Klartext k wird dann
durch folgende Gleichung zum Geheimtext g verschlüsselt. Dafür benötigt Alice
nur Bobs öffentlichen Schlüssel n und e:
g ≡ k e mod n.
(3.7)
Alice, die im Besitz des geheimen Schlüssels d ist, kann die Nachicht g ohne
weiteres dechiffrieren:
k ∗ ≡ g d mod n.
(3.8)
Um zu zeigen, dass k ∗ = k ist, benötigen wir nur einen kleinen Rechenbeweis:
1
Diese Bedingung ist notwendig, für die Voraussetzung, dass e in Z mod ϕ(n) ein inverses
Element besitzt, so dass die Gleichung e · d = 1 mod ϕ(n) gilt. Anmerkung aus der Algebra: Z
mod ϕ(n) ist bezüglich der Multiplikation nur ein Monoid (Halbgruppe mit neutralem Element),
denn ϕ(n) ist keine Primzahl, welches die Vorraussetzung für eine multiplikative Gruppe ist. In
einem Monoid existiert jedoch nicht zu jedem Element ein Inverses, so dass gilt: a · b = 1. 1
entspricht hier dem neutralen Element bezüglich der Multiplikation.
3.1. RSA ALGORITHMUS
97
Beweis.
k∗ ≡
≡
≡
≡
≡
≡
≡
g d mod n
(k e )d mod n
k ed mod n
k s·ϕ(n)+1 mod n
k s·ϕ(n) · k mod n
(k ϕ(n) )s · k mod n
1s · k mod n.
(3.9)
Somit gilt: k ∗ = k
Betrachten wir den Algorithmus anhand eines Zahlenbeispiels:
1. Schritt:
Bob erzeugt einen öffentlichen Schlüssel
• Er verwendet hierzu die Primzahlen p = 13 und q = 17. Man erhält
für n = p · q = 221 und für (p − 1) · (q − 1) = 192
• Er wählt e = 7 (ggT(192, 7) = 1)
• Der öffentliche Schlüssel lautet: n = 221 und e = 7
• Der geheime Schlüssel lautet: d = 55
2. Schritt:
Alice verschlüsselt ihren Klartext k, für den wir der Einfachheit halber den Buchstaben k wählen, der in binärerer Schreibweise (nach dem
ASCII Code) 1001011 lautet und in dezimaler Schreibweise 75 ergibt.
Unsere Nachricht k lautet nun 75 und wird in die oben stehende Einwegfunktion eingesetzt. Hierzu helfen einige Tricks beim Berechnen
ohne Computer:
g ≡ 757 mod 221 ≡ 754+3 mod 221
≡ 31.640.625 · 421.875 mod 221 ≡ 55 · 207 mod 221
≡ 11.385 mod 221 ≡ 114 mod 221
Der Geheimtext g lautet 114 und kann sicher an Bob versendet werden.
3. Schritt:
Alice dechiffriert den Geheimtext 114 mit ihrem Geheimschlüssel d
k ≡ 11455 mod 221 ≡ 7511·5 mod 221
≡ 19.254.145.82411 mod 221 ≡ 17311 mod 221
≡ 1733·3 · 1732 mod 221 ≡ 1293 · 94 mod 221
≡ 2.146.689 · 94 mod 221 ≡ 116 · 94 mod 221
≡ 10.904 mod 221 ≡ 75 mod 221
Die Nachricht ist entziffert.
Tabelle 3.1: Zahlenbeispiel zur Verschlüsselung durch den RSA Algorithmus.
98
KAPITEL 3. ANHANG
3.2 Ausschnitt aus: Der Goldkäfer, Edgar Allen Poe
...« Hier zeigte mir Legrand das Pergamentstück, das er eben wieder erwärmt
hatte. Zwischen dem Totenkopf und dem jungen Bock erblickte ich folgende, anscheinend von ungeübter Hand geschriebene Zeichen:
53 Ø Ø Å 305 ) ) 6 * ; 4826 ) 4 Ø . ) 4 Ø ) ; 806 * 48 Å 8 ]/ 60 ) )
85 ; 1 Ø ( ; : Ø * 8 Å 83 (88) 5 * Å ; 46 ( ; 88 * 96 * ? ; 8) * Ø ( ; 485
) ; 5 * Å 2 : * Ø ( ; 4956 * 2 ( 5 * – 4 ) 8 ]/ 8 * ; 40 69 285 ) ; ) 6 Å 8
) 4 Ø Ø; 1 ( Ø 9 ; 48 0 81 ; 8 : 8 Ø 1 ; 48 Å 85 ;4 ) 485 Å 52 8806 *
81 ( Ø 9 ; 4 8 ; ( 88 ; 4 ( Ø ? 34 ; 48 ) 4 Ø ; 161 ; : 188 ; Ø ? ;
»Ich bin allerdings noch gerade so im unklaren wie früher«, antwortete ich und
gab Legrand das Blatt zurück. »Und verspräche mir jemand für die Lösung des
Rätsels alle Edelsteine von Golconda, ich könnte sie nicht verdienen.«
»Und doch ist sie keineswegs so schwierig«, meinte Legrand, »wie diese Zeichen auf den ersten Blick vermuten lassen. Sie bilden, wie leicht zu erraten ist,
eine Chiffre, das heisst, sie drücken einen Sinn aus. Alles, was ich jedoch von
Kapitän Kidd gehört hatte, ließ darauf schliessen, dass er kein allzu gewandter
Kryptograph gewesen ist. Ich nahm also an, dass diese Chiffre ziemlich einfach
sein müsse und nur dem ungebildeten Seemann, solange ihm der Schlüssel fehlte,
unverständlich bleiben konnte.«
»Und Sie haben den Sinn vollständig erraten?«
»Ohne allzu grosse Mühe! Habe ich doch Geheimschriften gelesen, die tausendmal schwieriger waren. Es reizte mich immer sehr, solche Rätsel zu lösen,
und außerdem ist es sehr zu bezweifeln, ob der menschliche Scharfsinn ein Rätsel
ersinnen könnte, das menschlicher Scharfsinn bei gehörigem Fleiß nicht wieder
zu lösen vermöchte! Und in der Tat dachte ich, nachdem ich dem Pergament die
Zeichen einmal entlockt hatte, kaum mehr daran, es könnte irgendwie schwierig
sein, ihren Sinn zu enträtseln.
In meinem Fall, ja, wohl in allen Fällen, in denen es sich um Geheimschrift
handelt, ist die erste Frage die, in welcher Sprache die Chiffre geschrieben ist,
denn die Prinzipien der Lösung hängen, besonders wenn es sich um einfachere
Chiffren handelt, fast allein von dem Geist der betreffenden Sprache ab. Im allgemeinen bleibt jemandem, der eine solche Geheimschrift lesen will, nichts übrig,
als mit allen ihm bekannten Sprachen die Experimente anzustellen, die ihm am
ehesten Erfolg zu versprechen scheinen, bis er endlich das Richtige findet. Jedoch
die Unterschrift unserer Chiffre enthob mich jeder Schwierigkeit. Das Wortspiel
›Kidd‹ wies mich klar und deutlich auf die englische Sprache. Wäre dies nicht
der Fall gewesen, so hätte ich mit der spanischen oder französischen Sprache begonnen, da sich die Piraten aus den spanischen Gewässern ihrer wohl am ehesten
3.2. AUSSCHNITT AUS: DER GOLDKÄFER, EDGAR ALLEN POE
99
bedient haben würden. So jedoch musste ich annehmen, die Chiffre beziehe sich
auf die englische Sprache.
Sie sehen, dass die Worte nicht voneinander getrennt sind; in diesem Fall wäre
meine Arbeit bedeutend leichter gewesen. Ich hätte dann damit begonnen, die
kürzeren Worte zu analysieren und miteinander zu vergleichen, und hätte ich ein
aus einem einzigen Buchstaben bestehendes Wort gefunden – ein a oder J zum
Beispiel -, so hätte ich die Lösung als gelungen ansehen können. Doch da die
Worte eben nicht abgeteilt waren, beschränkte ich mich darauf, die am häufigsten
sowie die am seltensten vorkommenden Buchstaben ausfindig zu machen. Als ich
alle gezählt hatte, fertigte ich folgende Tabelle an:
Die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
die Chiffre
8
;
4
Ø und )
*
5
6
Å und 1
0
9 und 2
: und 3
?
] und /
– und .
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
kommt
35
26
19
16
13
12
11
8
6
5
4
3
2
1
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
mal vor
Nun kommt in der englischen Sprache der Vokal e am öftesten vor. Dann folgen a, o, i, d, h, n, r, s, t, u, y, c, f, g, l, m, w, b, k, p, q, x, z. Der Buchstabe e jedoch
herrscht so auffallend vor, dass man überhaupt kaum einen längeren Satz trifft, in
dem er nicht bedeutend öfter als alle übrigen Buchstaben enthalten ist. Wir haben also hier gleich am Anfang die Grundlage zu einer sicheren Vermutung. Wie
nützlich im allgemeinen eine Tabelle wie die unsrige ist, liegt auf der Hand, bei
unserer Geheimschrift jedoch werden wir sie nur teilweise nötig haben. Unsere
vorherrschende Chiffre ist 8, und wir wollen damit beginnen, sie als das e des natürlichen Alphabetes anzusehen. Um uns von der Richtigkeit unserer Vermutung
zu überzeugen, forschen wir noch nach, ob die Zahl 8 oft paarweise vorkommt
– ein doppeltes e findet man im Englischen sehr häufig, man denke nur an meet,
fleet, speed, seen, been, agree usw. Wir finden denn auch die Zahl nicht weniger
als fünfmal doppelt vor, obwohl die ganze Mitteilung nur sehr kurz ist.
Nehmen wir also an, 8 bedeute e. Nun aber kommt von allen englischen Wörtern der Artikel the am häufigsten vor; wir müssen also nachforschen, ob wir nicht
Wiederholungen von drei Zahlen in derselben Reihenfolge finden, deren letzte ei-
KAPITEL 3. ANHANG
100
ne 8 ist. Gelingt uns dies, so können wir mit ziemlicher Sicherheit annehmen, dass
sie das Wort the bedeuten. Bei genauer Untersuchung finden wir nicht weniger als
sieben solcher Zeichenstellungen, und zwar die Chiffren ; 4 8. Wir können also
annehmen, dass ; t bedeutet, 4 das Zeichen für h und 8 das Zeichen für e ist, und
hätten damit schon einen grossen Schritt nach vorwärts getan. Nachdem wir dies
eine Wort gefunden haben, können wir einen anderen unendlich wichtigen Punkt
feststellen, nämlich verschiedene Wortanfänge und Endungen. Sehen wir uns die
Stelle an, wo die Kombination ; 4 8 zum vorletztenmal vorkommt – nicht weit
vom Ende der ganzen Schrift. Wir wissen, dass das ; , welches unmittelbar darauf
folgt, den Anfang eines neuen Wortes bildet, und von den sechs Zeichen, die auf
dieses the folgen, sind uns nicht weniger als fünf bekannt. Diese Zeichen wollen
wir in die Buchstaben des gewöhnlichen Alphabetes übersetzen und für die uns
noch unbekannten einen leeren Raum lassen – t eeth.
Das th können wir bald fallen lassen, weil es kein Teil des t anfangenden Wortes sein kann; denn wenn wir das ganze Alphabet nach einem passenden Buchstaben durchsuchen, so würde sich doch keiner finden der mit den vorhandenen
ein Wort bildete. So sind wir also auf t ee beschränkt, und wenn wir noch einmal
wie zuvor das Alphabet durchsuchen, finden wir einzig und allein den Buchstaben
r, der in Verbindung mit t ee einen Sinn, das Wort tree nämlich ergibt. So haben
wir einen neuen Buchstaben erkannt, der durch das Zeichen ( dargestellt ist, und
zwei nebeneinander stehende Worte the tree. Sehen wir etwas weiter, so finden
wir bald wieder die Kombination ; 4 8 und wollen sie diesmal als Endung für das,
was unmittelbar voransteht, gebrauchen. Wir haben dann folgende Anordnung:
the tree ; ( Ø ? 3 4 the
oder in die uns bekannten Buchstaben übersetzt:
the tree thr Ø ? 3 h the
Lassen wir nun für die unbekannten Schriftzeichen freien Raum oder setzen wir
Pünktchen, so erhalten wir folgende Lesart:
the tree thr... h the
und denken sofort unwillkürlich an das Wort through. Diese Entdeckung jedoch
verschafft uns drei neue Buchstaben, o, u und g, die sich unter den Zeichen Ø ?
und 3 verbargen.
Durchsuchen wir nun die Chiffre von neuem, um Verbindungen bekannter Zeichen herauszufinden, so entdecken wir ziemlich am Anfang die Anordnung:
83(88
3.2. AUSSCHNITT AUS: DER GOLDKÄFER, EDGAR ALLEN POE
101
oder egree was offenbar den Schluss des Wortes degree bildet. Auf diese Weise
haben wir wieder einen neuen Buchstaben gefunden, nämlich d unter dem Zeichen
Å. Vier Zeichen hinter dem Wort degree sehen wir die Kombination ; 4 6 ( 8 8 *
Übersetzen wir die bekannten Zeichen in Buchstaben und stellen die unbekannten
durch Pünktchen dar, so lesen wir th.rtee. und werden unbedingt an das Wort
thirteen erinnert und mit zwei neuen Buchstaben – i und n unter den Zeichen 6 und
* bekannt gemacht. Betrachten wir nun den Anfang des Kryptogramms, so finden
wir die Verbindung: 5 3 Ø Ø Å Übersetzen wir dies nach unserem vorherigen
Schema, so erhalten wir . good und kommen leicht zu der Überzeugung, dass das
erste Zeichen A bedeutet, der Anfang der Chiffre also lautet:
A good
Doch müssen wir nun unseren Schlüssel, soweit wir ihn fanden, in einer Tabelle
ordnen, um grössere Klarheit zu erhalten. Wir wissen, dass:
5
(
6
8
3
=
=
=
=
=
a
r
i
e
g
4
Å
;
*
Ø
=
=
=
=
=
h
d
t
n
o
Wir kennen also bis jetzt nicht weniger als zehn der wichtigsten Buchstaben,
und es ist unnötig, auf die Details der Lösung noch weiter einzugehen. Ich habe Ihnen genügend gezeigt, dass Chiffren dieser Art sehr leicht lösbar sind und
auf welche Prinzipien man ihre Lösung aufbaut. Doch glauben Sie mir, dass die
vorliegende Geheimschrift wohl die einfachste ist, die ich je kennengelernt habe. Ich will Ihnen nun eine vollständige Übersetzung der Zeichen geben, die das
Pergament enthielt:
›A good glass in the bishop’s hostel in the devil’s seat forty-one degress and thirteen minutes northeast and by north main branch seventh
limb east side shoot from the left eye of the death’s head a bee line
from the tree through the shot fifty feet out.
Ein gutes Glas im Bischofshotel in des Teufels Sitz einundvierzig
Grad und dreizehn Minuten nordöstlich und nördlich Hauptast siebenter Ast Ostseite schieß von dem linken Auge des Totenkopfes eine kerzengerade Linie von dem Baum durch den Schuss fünfzig Fuß
hinaus.« »Aber«, warf ich ein, »das Rätsel erscheint mir noch immer
so unlösbar wie vorher. Wie konnten Sie nur aus dem Kauderwelsch
von ›Teufelssitz‹, ›Totenkopf‹ und ›Bischofshotel‹ einen Sinn entnehmen?«
KAPITEL 3. ANHANG
102
»Ich gestehe gern«, erwiderte Legrand, »dass die Sache noch immer schwierig
aussieht, wenn man sie nur oberflächlich betrachtet. Ich bemühte mich also weiter,
den Satz so einzuteilen, wie er im Sinn des Kryptographen eingeteilt gewesen
ist.«2
2
Quelle siehe [9]
3.3. HTML KURZFASSUNG
103
3.3 HTML Kurzfassung
Die folgende Einleitung und die Zusammenfassungen über die Klassische Kryptographie und Quantenkryptographie sind aus den HTML Seiten von milq entnommen. Sie stimmen mit dem genauen Wortlaut der sich dort befindenden Texte überein und sind der Vollständigkeit halber hier mit aufgenommen (Stand:
02.02.2006).
3.3.1 Einleitung
Durch die rasante Entwicklung der Informationstechnologie und der Globalisierung der Welt, ist das Bestreben nach absolut sicherer Kommunikation in Politik,
Wirtschaft und Militär größer als je zuvor. Zwar können brisante Informationen
mit heutigen Algorithmen gut und sicher verschlüsselt werden, doch blickt man in
die Vergangenheit, so stellt man fest, dass die absolute Sicherheit nicht existiert.
Zumindest nicht ohne Einschränkung auf eine spontane Kommunikation.
1984 entwickelten C HARLES H. B ENNETT3 und G ILLES B RASSARD4 ein
Verfahren, das die klassische Kryptographie und die Quantenmechanik auf eindrucksvolle Weise verbindet und jedem Nutzer 100%ige Sicherheit bietet. Diese
revolutionäre Entdeckung bietet eine Sicherheit, die auf den Gesetzen der Mathematik und der Quantenmechanik beruht und nicht, wie viele andere Algorithmen,
auf der Unfähigkeit des Abhörers.
Ein heute weit verbreiteter Standard in der klassischen Kryptographie ist der
RSA5 -Algo-rithmus, dessen Sicherheit auf der Primfaktorzerlegung beruht. Nach
heutigem Standard wird das Problem der Zerlegung großer Zahlen in ihre Primfaktoren als nicht lösbar eingestuft. Das bedeutet, dass die Anzahl der benötigten
Rechenschritte und damit die benötigte Zeit exponentiell mit der Länge der Ziffernfolge ansteigt, so dass die Geheimhaltung der Nachricht vorerst gesichert ist.
Dennoch existieren schon heute Algorithmen, die das Problem der Primfaktorzerlegung in polynomialer Zeit bewältigen und somit eine RSA Verschlüsselung in
ausreichender Zeit decodieren können. Diese Algorithmen laufen jedoch nur auf
sogenannten Quantencomputern, die zwar Mittelpunkt vieler Forschungsgebiete,
dennoch zur Zeit nicht realisierbar sind. Letztendlich bleibt alles eine Frage der
Zeit, bis die Fähigkeit des Abhörers zunimmt und Algorithmen wie RSA mühelos
geknackt werden können.
3
C HARLES H. B ENNETT (geboren 1943) arbeitet bis heute als IBM-Mitglied am IBM Research in den USA.
4
G ILLES B RASSARD (geboren 1955) ist Professor an der Universität in Montreal.
5
Nach seinen Erfindern RONALD L. R IVEST, A DI S HAMIR und L EONARD A DLEMAN benannt.
104
KAPITEL 3. ANHANG
Die Quantenkryptographie liefert hingegen schon heute die Antwort auf die
absolut sichere Verschlüsselung und ist schon lange keine Fiktion mehr. Viele
unterschiedliche Experimente wurden bis heute realisiert und erfolgreich durchgeführt.
Auf den folgenden Internetseiten finden sie kurze Einführungen in die Klassische Kryptographie sowie in die Quantenkryptographie. Die zu Grunde liegenden
ausführlichen pdf-Dateien können Sie sich jeweils am Ende der Darstellungen auf
den HTML-Seiten herunterladen oder im Gesamten an dieser Stelle.
3.3.2 Klassische Kryptographie
Wie schon auf der ersten Seite erwähnt, bildet die klassischen Kryptographie mit
einem einfachen Verfahren, dem sogenannten One Time Pad die Grundlage der
absolut sicheren Kommunikation. Das One Time Pad wurde Ende des Ersten Weltkrieges von M AJOR J OSEPH M AUBORGNE6 entwickelt und bestand im Wesentlichen aus drei Forderungen an eine schon viel älter existierende Verschlüsselung,
der Vignère-Verschlüsselung. Ohne auf diese näher eingehen zu wollen, betrachten wir das One Time Pad in einer vereinfachten Version. Jede digitale Nachricht
wird als eine Folge von Nullen und Einsen dargestellt. Wird eine weitere Folge
von Nullen und Einsen (der sogenannte Schlüssel) komponentenweise und modulo7 2 auf die zu verschlüsselnde Nachricht aufaddiert, so erhält man einen Geheimtext, der unter Einhaltung dreier Forderungen nicht dechiffrierbar ist. M AU BORGNEs Schlüssel sollte
1. rein zufällig gewählt werden,
2. genauso lang wie der zu verschlüsselnde Text sein und
3. nur einmal verwendet werden.
Letztere Forderung erklärt auch den Namen One Time Pad. Alle drei Kriterien
garantieren eine absolute Sicherheit, wie später von C LAUDE S HANNON8 mathematisch bewiesen wurde. Folgendes Beispiel illustriert die Einfachheit dieser
Verschlüsselung:
Wenn dieses Verfahren alleine die 100%ige Sicherheit liefert, stellt sich selbstverständlich die Frage, warum wir die Quantenmechanik benötigen?
Das One Time Pad gehört zur Kategorie der symmetrischen Verschlüsselungen
und Bedarf vor jedem Einsatz den Austausch eines Schlüssels. Damit reduziert
6
M AJOR J OSEPH M AUBORGNE (1874-1971): Leiter des kryptographischen Institutes der amerikanischen Armee.
7
modulo 2: 0 + 0 = 0 0 + 1 = 1 1 + 0 = 1 1 + 1 = 0.
8
C LAUDE E LWOOD S HANNON (1916-2001): amerikanischer Mathematiker.
Schlüssel:
1
Nachricht:
1
Verschlüsselte Nachricht: 0
105
0 1 0
1 0 1
1 1 1
0 1
1 1
1 0
1 1
1 0
0 1
1 0
0 0
1 0
1 0 0
1 1 0
0 1 0
sich das Problem der Verschlüsselung nicht mehr auf den Algorithmus, sondern
lediglich auf den Austausch des Schlüssels. Besteht keine Möglichkeit für einen
direkten Schlüsselaustausch, hängt die Sicherheit der Verschlüsselung letztendlich
von dem Kurier ab, der den Schlüssel überliefern soll. Der digitale Versand per
Email oder Telefon ist nicht besonders sinnvoll, denn diese können meistens mühelos abgehört werden. Eine Verschlüsselung dieser Medien würde lediglich den
Grad der Sicherheit des One Time Pads auf den Grad der Sicherheit der Emailoder Telefonverschlüsselung reduzieren und das One Time Pad unnötig machen.
Insbesondere bedarf es in unserer Zeit der Informationstechnologie einem logistischen Superakt, alle Nutzer des One Time Pads mit einer ausreichend großen
Anzahl an Schlüsseln zu versorgen. Man bedenke, dass diese genauso lang wie
die Nachricht sein müssen und stets nur einmal verwendet werden dürfen.
Eine Antwort auf das Problem der symmetrischen Verschlüsselung wurde 1975
von W HITFIELD D IFFIE und M ARTIN H ELLMAN gegeben. Wie später auch der
RSA Algorithmus beruht ihr Verfahren ebenso auf der Primfaktorzerlegung. Diese sogenannte asymmetrische Verschlüsselung vollzieht den Schlüsselaustausch,
ohne dass die betreffenden Personen Kontakt miteinander aufnehmen oder einen
Kurier in Anspruch nehmen müssen. Jedoch beruht die Sicherheit des Schlüsselaustausches lediglich auf dem Unvermögen des Abhörers große Zahlen in ihre
Primfaktoren zu zerlegen. Letztendlich können auch D IFFIE und H ELLMAN keine
absolute Sicherheit gewährleisten.
Wenn sie sich ausführlicher mit der Thematik der Klassischen Kryptographie
beschäftigen möchten, laden sie sich bitte den Lehrtext über die Klassische Kryptographie als pdf-Datei herunter.
Wie die Quantenmechanik das Problem des Schlüsselaustausches nun löst,
werden wir auf den folgenden Seiten sehen.
3.3.3 Quantenkryptographie
Das, wobei unsere Berechnungen versagen, nennen wir Zufall.
Dieses Zitat von Albert Einstein beschreibt alles andere als den mathematischen
Formalismus, der hinter der Quantenmechanik steckt, denn in ihr ist der Zufall
fester Bestandteil. Keine andere Theorie erfuhr im letzten Jahrhundert solch einen
Siegeszug, wie die Quantentheorie. In unzähligen Experimenten konnten sämtliche aus ihr hervorgehende Vorhersagen verifiziert werden, wodurch diese Theorie
106
KAPITEL 3. ANHANG
ein fester Bestandeil der modernen Physik wurde. In ihr finden sich Begriffe wie
Superpositionsprinzip, Nichtlokalität oder Unschärferelation. Insbesondere aber
der Zufall macht die Quantenmmechanik so seltsam für uns Menschen. Denn die
Aufgabe des klassischen Determinismus widerstrebt unserer Vorstellungskraft.
Noch glaubt man gerne daran, dass man mathematisch alles vorhersagen kann,
wenn man nur sämtliche Randbedingungen kennt. Nicht aber im Mikrokosmos
der Quantenmechanik, denn hier werden der klassischen Physik Grenzen gesetzt.
Eben diese Grenzen nutzt die Quantenkryptographie, um einen absolut sicheren Schlüsselaustausch für das One Time Pad zu erlangen.
In der Quantenkryptographie unterscheiden wir zwischen zwei Klassen von
Austauschprotokollen, basierend auf Ein- oder Zweiteilchensystemen. Wir wollen
hier lediglich das Prinzip der Einteilchensysteme betrachten. Grundlage hierfür
sind Photonen, welche in einen definierten Polarisationszustand präpariert werden können. B ENNETT und B RASSARD verwendeten für ihr BB84 Protokoll9
ausschließlich linear polarisierte Photonen. Ihre Vorgehensweise wird wie folgt
beschrieben:
Alice (Sender), die Bob (Empfänger) eine Nachricht schicken möchte, muss,
bevor sie das One Time Pad verwenden kann, mit Bob einen geheimen Schlüssel austauschen. Hierfür schickt sie Bob einzeln nacheinander linear polarisierte
Photonen10 . Wir unterscheiden zwischen horizontal und vertikal (⊕-Basis), sowie
zwischen diagonal, also −45◦ und +45◦ (⊗-Basis) polarisierten Photonen. Alice,
die eine zufällige Wahl von Nullen und Einsen (welche dem späteren Schlüssel
entsprechen sollen) verschicken möchte, wählt für eine Eins einen vertikalen oder
+45◦ polarisierten Zustand und für eine Null den horizontalen oder −45◦ polarisierten Zustand. Die Wahl der Basis (⊕ und ⊗) geschieht, wie die Wahl zwischen
Null und Eins, rein zufällig. Dies ist, wie wir schon ahnen, eine Vorraussetzung
für die Sicherheit des One Time Pads. Hier noch einmal die Übersetzung:
• Bit 1 ≡ horizontal (↑) oder +45◦ diagonal (ր) polarisiert.
• Bit 0 ≡ vertikal (→) oder −45◦ diagonal (ց) polarisiert.
Für jedes Photon, das Alice verschickt, verzeichnet sie einen Eintrag in einer
Liste (dies übernimmt später natürlich ein Computer). Sie notiert sich die Basis
und die Polarisation eines jeden Photons.
Bob, der im Besitz zweier Analysatoren (Polarisationsfilter) ist, misst jedes
Photon einzeln und notiert auch seine Ergebnisse. Seine zwei Polarisationsfilter
funktionieren dabei wie folgt:
9
Mit Protokoll wird die Prozedur der Schlüsselvereinbarung bezeichnet.
Eine Eigenschaft von Lichtquanten ist die Möglichkeit ihrer Präparation in einen definierten, linearen Polarisationszustand, entsprechend dem Vektor des elektrischen Feldes, welches im
Wellenbild der Schwingungsrichtung der elektromagnetischen Welle entspricht.
10
107
Jeder Filter kann den Polarisationszustand eines Photons genau dann mit Sicherheit bestimmen, wenn er zur gleichen Basis wie das polarisierte Photon eingestellt wurde. Beispielsweise wird ein horizontal polarisiertes Photon von einem horizontalen bzw. vertikalen Polarisationsfilter eindeutig identifiziert, in dem
es den horizontalen Filter mit Sicherheit passiert bzw. vom vertikalen Filter mit
100%iger Sicherheit absorbiert wird. Stellt Bob einen Detektor hinter den jeweils
verwendeten Filter, weiß er sofort, in welchem Polarisationszustand sich das Photon befunden hat. Ebenso gilt dies für ±45◦ polarisierte Photonen, die in einer
⊗-Basis gemessen werden. Anders hingegen, wenn ein horizontal polarisiertes
Photon durch einen Filter der ⊗-Basis gemessen wird: Zum einen ist das Ereignis, ob das Photon den Filter passiert rein zufällig, also mit jeweils 50% Wahrscheinlichkeit belegt, zum anderen wurde das Photon, falls es den Filter passiert
und im Detektor registriert wurde, zerstört. Eine weitere notwendige Messung zur
genaueren Bestimmung der Polarisation ist nicht mehr möglich. Jede Messung ist
einmalig und ihr Ergebnis eindeutig. In beiden Fällen (Passieren des Filters oder
Absorbtion durch den Filter) ist der vorherige Zustand zerstört und man erhält
keinerlei weitere Informationen über ihn. Da die Wahrscheinlichkeiten beider Ereignisse genau 50% betragen ist die Messung ohne jegliche Information. Dieser
Zufall ist die Grundlage, auf der die Quantenkryptographie basiert. Sie gehört zu
den fundamentalen Eigenschaften der Quantenmechanik. Abbildung 3.1 stellt den
Zusammenhang nochmals dar.
Photonendetektor
(a)
(b)
z
b
x
b
b
b
b
b
(c)
z
z
b
b
b
y Polarisationsfilter mit
vertikaler Orientierung
x
b
b
b
b
x
b
b
b
b
Abbildung 3.1: (a) und (b) zeigt, wie vertikal und horizontal polarisierte Lichtquanten auf einen Filter mit vertikaler Orientierung auftreffen. (c) Diagonal polarisierte Photonen treffen auf einen Filter mit vertikaler Orientierung.
Da Bob nicht weiß, in welcher Basis Alice ihre Photonen verschickt, muss
auch er sich für die Wahl der Basen erstmal rein zufällig entscheiden. Dies geschieht für jedes Photon einzeln. Auf seiner Liste notiert sich Bob für jedes Photon einen separaten Eintrag, in dem er die gewählte Basis und das Ergebnis des
Detektors notiert - also ob das Photon den Filter passierte oder von ihm absorbiert
wurde.
Nachdem Alice Bob eine große Zahl an Photonen übermittelt hat und beide
ihre Einträge notiert haben, können sie über eine öffentliche Leitung die Infor-
KAPITEL 3. ANHANG
108
mationen für ihre verwendeten Basen austauschen. Diejenigen Einträge, die eine
unterschiedliche Basis aufzeigen, werden gestrichen, denn ein übereinstimmendes Ergebnis muss nicht mit Sicherheit vorliegen (die Wahrscheinlichkeit eines
Ereignisses beträgt in diesem Falle nur jeweils 50%). Anders hingegen, wenn sich
beide jeweils für dieselbe Basis entschieden haben: Bei diesen Einträgen können
sie von einer gleichen Bitfolge ausgehen. Diese gemeinsame Bitfolge, die rein
zufällig gewählt wurde (deswegen auch die zufällige Wahl der Basen), kann aber
noch nicht direkt als Schlüssel verwendet werden. Schließlich ist ja noch nicht
sicher, dass die Photonen nicht abgefangen wurden oder die öffentliche Leitung
angezapft wurde. Folgende Tabelle illustriert den Vorgang nochmals:
Alice
Bob
Beide
Bitfolge:
1 0
Basis:
⊗ ⊕
Photonen:
ր →
Basis:
⊗ ⊗
Ergebnis:
1 1
Rohschlüssel 1
-
1 0 0 1
⊗ ⊗ ⊕ ⊗
ր ց → ր
⊕ ⊗ ⊕ ⊕
0 0 0 1
0 0
-
1 1 1 0 1 0
⊕ ⊕ ⊗ ⊕ ⊕ ⊕
↑ ↑ ր → ↑ →
⊗ ⊕ ⊕ ⊕ ⊗ ⊕
0 1 0 0 1 0
- 1 0 - 0
0
⊗
ց
⊕
0
-
Wieso ist nun das Protokoll so sicher. Schauen wir uns den Vorgang nochmals im Detail an. Jedesmal, wenn Bob eine neue Basis für ein ankommendes
Photon wählt, entscheidet er sich in der Hälfte der Fälle für die falsche Basis.
Davon wiederum werden 50% der Photonen falsch registriert. Bei einer großen
Zahl von Photonen werden somit rund 25% der Photonen falsch identifiziert, was
beide aber nicht sonderlich stört, denn sie streichen ja alle Einträge, die eine unterschiedliche Basis aufzeigen. Die restliche Bitfolge muss, zumindest theoretisch11 ,
mit absoluter Sicherheit übereinstimmen.
Möchte ein Abhörer (im Folgenden Eve genannt) die beiden abhören, so bleibt
ihr nichts anderes übrig, als vorerst die Photonen abzufangen und auch diese mit
zufälliger Wahl der Basen zu messen, das Ergebnis zu notieren und neu präparierte Photonen weiterzuleiten. Im Falle eines nicht registrierten Photons präpariert
sie ein neues mit der jeweiligen gemessenen Eigenschaft. Aber auch sie wird eine
Fehlerrate von 25% verursachen, denn sie weiß ja nicht, welche jeweilige Basis
von Alice gewählt wurde, wodurch sie sich in rund der Hälfte der Fälle für die
falsche Basis entscheidet und nur mit weiteren 50% Wahrscheinlichkeit ein richtiges Messergebnis notieren kann. Auch eine zweite Messung wird ihr nicht weiterhelfen, denn schon in der ersten Messung hat sie bei falscher Wahl der Basis,
den vorherigen Zustand zerstört.
Eve leitet somit rund 25% der Photonen falsch an Bob weiter. Bei der späteren
Überprüfung der Basen zwischen Alice und Bob, kann Eve auf den Lauschan11
Mögliches Rauschen der Leitungen, bzw. Fehldetektionen der Messgeräte können Fehler verursachen, die aber in der Regel weit aus geringer als 25% sind.
109
griff keinen Einfluss mehr nehmen, denn der Messvorgang durch Bob ist längst
passé. Nachdem beide den sogenannten Rohschlüssel extrahiert haben, wird er
unweigerlich eine Fehlerrate von 25% aufweisen.
Bob und Alice werden nach jedem Schlüsselaustausch, den Rohschlüssel auf
seine Sicherheit hin überprüfen. Dafür nehmen beide eine Teilfolge des Rohschlüssels und überprüfen ihn öffentlich auf Übereinstimmung. Übersteigt seine
Fehlerrate eine vorher festgelegte Schwelle (in Abhängigkeit des Rauschen der
Leitungen oder möglicher Fehldetektionen), so wird der Rohschlüssel abgelehnt.
Da die zur Kontrolle verwendeten Teilfolge beliebig lang gewählt werden kann, ist
der Grad der Sicherheit frei wählbar. Bei der Überprüfung von nur 65 Bits, ist die
Wahrscheinlichkeit eines erfolgreichen Abhörversuches (Eve wird nicht entdeckt)
gleich der eines Lottogewinns mit Zusatzzahl und somit doch sehr unwahrscheinlich.
Die verbleibende Bitfolge kann nun als Schlüssel für das One Time Pad dienen. Vorausgesetzt, ihr Schlüssel ist solange wie ihre Nachricht und sie verwenden
ihn nur einmal, bleibt ihre Botschaft mit absoluter Sicherheit geheim. Die Zufälligkeit des Schlüssels wurde durch die zufällige Bitfolge von Alice, sowie der
zufällig gewählten Basen beider garantiert.
Selbstverständlich darf der Informationsaustausch der Basen erst nach der
Übermittlung der Photonen geschehen, da Eve sonst ihre Filter schon vorher jeweils richtig positionieren könnte. Dafür müsste sie das Gespräch vorher nur abhören.
Alice und Bob konnten somit eine spontane, geheime Kommunikation starten,
ohne sich vorher für einen Schlüsselaustausch zu treffen oder sich einem Kurier
anzuvertrauen.
Nur vier Jahre später (1988) lieferte B ENNETT mit seinem Assistenten J.
S MOLIN den praktischen Beweis nach und ließ Alice und Bob über eine Entfernung von 30 cm die erste quantenmechanische Schlüsselübertragung tätigen. Heute sind Übertragungen von mehreren Kilometern via Teleskopverbindung oder
Lichtfaserkabeln Routine und auch schon kommerzielle Anbieter betreten den
Markt der Informationstechnologie. Im April 2004 wurde in Wien unter Leitung
von Prof. Dr. A NTON Z EILINGER die erste Banküberweisungen mittels Quantenkryptographie getätigt. Im Jahre 2002 gelang es Prof. Dr. H ARALD W EINFURTER
von der Ludwig Maximilian Universität in München und seinen Mitarbeitern Dr.
C. K URTSIEFER , M. H ALDER , P. Z ARDA und H. W EIER eine Teleskopverbindung über 23,4 km aufzubauen und erfolgreich einen Schlüssel auszutauschen.
Die rasante Entwicklung dieser Technologie lässt auf weit mehr hoffen und
wird eines Tages sicherlich zum Standard der Kryptographie zählen.
Wenn sie sich ausführlicher mit der Thematik der Quantenkryptographie beschäftigen möchten, laden sie sich bitte den Lehrtext über die Quantenkryptographie als pdf-Datei herunter.
110
KAPITEL 3. ANHANG
Literaturverzeichnis
[1] W RIXON , F RED B.: Codes, Chiffren und andere Geheimsprachen, Könemann Verlag, Köln (2000)
[2] D OYLE , S IR A RTHUR C ONAN: Die Rückkehr des Sherlock Holmes, Weltbild Verlag, Augsburg (2002)
[3] K ÜBLBECK , J OSEF ; M ÜLLER , R AINER: Die Wesenzüge der Quantenmechanik, Aulis Verlag Deubner, Köln (2003)
[4] D EMTROEDER , D R . WOLFGANG: Experimentalphysik 3: Atome, Moleküle
und Festkörper, Springer Verlag, Berlin Heidelberg (19965 )
[5] S INGH , S IMON: Geheime Botschaften, Deutscher Taschenbuch Verlag,
München (2003)2
[6] B EUTELSPACHER , A LBRECHT: Geheimsprachen, Beck´sche Verlag, München (1997)
[7] M ESCHEDE , D IETER: Gerthsen Physik, Springer Verlag, Berlin (200422 )
[8] E. H ECHT: Optik Oldenbourg Verlag, München (20013 )
[9] P OE , E DGAR A LLEN: Phantastische Geschichten, Grondrom Verlag, Bindlach (2002)
[10] F LIESSBACH , T HORSTEN: Quantenmechanik, Spektrum Akademischer
Verlag GmbH, Berlin (20003 )
[11] B OUWEMEESTER , D IRK ; E KERT, A RTHUR ; Z EILLINGER , A NTON: The
Physics of Quantum Information, Springer Verlag, Berlin (2000)
[12] P ROF. D R . H ARALD W EINFURTER und D R . C HRISTIAN K URTSIEFER:
Bewerbung zum Philip Morris Forschungspreis, 07.10.2002, Verfügbar unter:
http://xqp.physik.uni-muenchen.de (31.08.2005)
111
112
LITERATURVERZEICHNIS
[13] D R . C HRISTIAN K URTSIEFER: Neue Experimente zu Quantenkryptographie, 07.10.2002, Verfügbar unter:
http://scotty.quantum.physik.uni-muenchen.de/people/
kurtsiefer/download/bad_honnef_2002/vortrag.pdf
(17.10.2005)
[14] C. A. F UCHS , N. G ISIN , R. B. G RIFFITHS , C.-S. N IU und A. P ERES:
Optimal eavesdropping in quantum cryptography. I. Information bound and
optimal strategy, Phys. Rev. A, 56, 2:1163–1172, (1997)
[15] N. L ÜTKENHAUS: Security against individual attacks for realistic quantum
key distribution, Phys. Rev. A, 61, 052304, (2000)
[16] A. K. E KERT: Quantum Cryptography Based on Bell’s Theorem, Phys. Rev.
Lett., 67, 6:661–663, (1991)
[17] P ETER W. S HOR, J OHN P RESKILL: Simple Proof of Security of the BB84
Quantum Key Distribution Protocol, Phys. Rev. Lett., 85, 2:441–444, (2000)
[18] F RANZ E MBACHER: EPR-Paradoxon und Bellsche Ungleichung, Verfügbar
unter:
http://homepage.univie.ac.at/Franz.Embacher/
Quantentheorie/ (17.10.2005)
[19] WOLFGANG T ITTEL , J ÜRGEN B RENDEL , N ICOLAS G ISIN , G RÉGOI RE R IBORDY und H UGO Z BINDEN : Quantenkryptographie, Physikalische
Blätter 55 (1999) Nr. 6
[20] P ROF. D. B RUSS: Quanteninformationstheorie, Vorlesungsskript von der
Heinrich Heine Universität Düsseldorf (WISE 2004/05), Verfügbar unter:
http://ramses.thphy.uni-duesseldorf.de/ ls3/
QI-Skriptum-050210.pdf (17.10.2005)
[21] H ENNING W EIER: Experimental Quantum Cryptography, Diplomarbeit an
der Technischen Universität München (12.12.2003), Verfügbar unter:
weier.html (31.08.2005)
[22] PATRICK Z ARDA: Quantenkryptographie - Ein Experiment im Vergleich,
Diplomarbeit an der Universität Innsbruck (September 1999), Verfügbar
unter:
zarda.html (17.10.2005)
113
[23] http://www.ranum.com/security/computer_security/
papers/otp-faq/ (17.10.2005)
[24] http://www.inexistant.net/Gilles/ (17.10.2005)
[25] http://www.research.ibm.com/people/b/bennetc/
home.html (17.10.2005)
[26] http://cam.qubit.org/users/artur/index.php
(17.10.2005)
[27] http://www.quantenkryptographie.at/ (17.10.2005)
[28] http://scotty.quantum.physik.uni-muenchen.de/w̃eier/
images/ (17.10.2005)
[29] http://www.dieuniversitaet-online.at/personalia/
beitrag/news/weltpremiere-bankuberweisung-mittels-quantenkryptographie/301.html (17.10.2005)
[30] http://scotty.quantum.physik.uni-muenchen.de/exp/
psrc/index.html (17.10.2005)
114
Nachwort
Am Ende dieser Arbeit möchte ich mich noch gerne bei all denen bedanken,
die mich während dieser Zeit unterstützt haben. Insbesondere bei B ERNADETTE
S CHORN, die mich bei dieser Arbeit intensiv betreut und mir das Thema ermöglicht hat. Ebenso danke ich der Fachdidaktik, nicht nur für den köstlichen Kaffee,
sondern auch für deren fachliche Unterstützung. Des weiteren danke ich H ARALD
W EINFURTER, sowie H ENNING W EIER für die Versorgung mit Bildmaterialien
und auch für deren fachliche Unterstützung. Für die Gesellschaft in der Staatsbibliothek und den endlosen Unterhaltungen über verschränkte Zustände danke ich
M ARCUS S CHAFFRY.
Des weiteren danke ich meiner Familie für ihre Unterstützung und ihr Verständnis, dass ich doch kein Bankkaufmann geworden bin. Insbesondere meiner
Großmutter, die mir während meiner Studienzeit sehr geholfen hat.
Einen besonderen Dank geht aber an den Menschen, der stets an meiner Seite
ist und den ich über alles liebe. Diese Arbeit widme ich meiner Freundin S IMONA.
115
116
Erklärung
Hiermit erkläre ich, dass ich diese Arbeit selbständig verfasst, noch nicht anderweitig für Prüfungszwecke vorgelegt, sowie keine anderen angegebenen Quellen
und Hilfsmittel benutzt habe.
München, den 30. Januar 2006
M IRKO Z EPPMEISEL
117

(Einführung in die Quantenkryptographie).

Transcription

Similar documents

Untersuchungen zur Quantenkryptographie mit unscharfen

Die elektronische Signatur

Digitalisierung von Audio - Skip-Bo

Brücken+Licht

Oktober - Arcor-FAQ

user group - Austromath

Kabel BW - Antrag

Vorlesungsskript Physik IV - Walther Meißner Institut

Grundkenntnisse über Kryptologie