Die zwei Seiten der Quantenphysik
Die Entschlüsselung geheimer Information mithilfe der Quantenphysik bewegt derzeit die Medien. Zu wenig Beachtung finde, dass die Quantenphysik auch die Verschlüsselung von Daten revolutioniere, sagt ETH-Professor Renato Renner im Gespräch mit ETH-News.
Die Quantenphysik ist von besonderer Bedeutung, wenn es um die Sicherheit von geheimen Informationen geht – und zwar in doppelter Hinsicht: Einerseits soll es dereinst möglich sein, mit Quantencomputern heute verwendete Verschlüsselungssysteme verhältnismässig einfach zu knacken. Vergangene Woche berichtete die «Washington Post» unter Berufung auf Dokumente von Edward Snowden, dass auch der amerikanische Geheimdienst NSA ein Forschungsprogramm zum Bau solcher Quantencomputer unterhält. Für Experten ist allerdings klar, dass dies ein langfristiges Ziel ist, dessen Umsetzung noch mindestens 20 Jahre auf sich warten lässt. Auf der anderen Seite schafft die Quantenphysik mit dem Bereich der Quantenkryptografie neue Möglichkeiten zur sicheren Verschlüsselung von Daten. In diesem Bereich gibt es bereits erste Anwendungen. Auch dafür interessiert sich die NSA, wie Renato Renner, Professor am Institut für Theoretische Physik, im ETH-News-Interview sagt.
ETH-News: Der amerikanische Geheimdienst interessiert sich offenbar für das Quantencomputing – warum?
Renato Renner: Quantencomputing ist ein vielsprechendes Forschungsfeld. Wenn es dereinst Quantencomputer geben wird – davon sind wir zwar noch mindestens 20 Jahre entfernt –, dann wird man damit bestimmte Rechenaufgaben sehr viel schneller lösen können als mit herkömmlichen Computern. Heute werden Informationen oft mit dem sogenannten Public-Key-Verfahren verschlüsselt. Nicht nur staatliche Organisationen, sondern auch Private verwenden dieses System, um E-Mails sicher zu versenden oder beim E-Banking. Um auf diese Weise verschlüsselte Daten zu knacken, ist ein Rechenaufwand nötig, der von herkömmlichen Computern kaum in vernünftiger Zeit bewältigt werden kann. Das Problem gehört genau zu jenen mathematischen Aufgaben, die ein künftiger Quantencomputer sehr schnell lösen kann. Dass Geheimdienste daran interessiert sind, erstaunt wenig.
Die Quantenphysik verspricht aber nicht nur eine Revolution beim Entschlüsseln, sondern auch beim Verschlüsseln von Information – Stichwort Quantenkryptografie.
Ja, und interessanterweise dreht sich die öffentliche Diskussion derzeit wenig um dieses Feld. Obschon es hier im Gegensatz zum Quantencomputing bereits marktreife Anwendungen gibt.
Was leistet die Quantenkryptografie?
Damit lässt sich ein fundamental anderes Verschlüsselungssystem errichten, das nicht auf der Schwierigkeit mathematischer Probleme basiert. Stattdessen nutzt man die Quantenphysik, um sicherzustellen, dass man nicht unbemerkt abgehört werden kann, auch nicht mit einem künftigen Quantencomputer. Übrigens interessiert sich auch die NSA für die Quantenkryptografie. In den Dokumenten der Behörde, welche die «Washington Post» im Internet veröffentlichte, wird diese Technologie mehrmals erwähnt. Sie wird meines Erachtens für Spione aber eher Fluch als Segen bedeuten: die Abhörsicherheit von Quantenkryptografie-Systemen lässt sich nämlich mathematisch beweisen – basierend auf den Gesetzen der Quantenphysik. Und die Gesetze der Physik lassen sich auch mit dem schnellsten Computer der Welt nicht umgehen.
Worin bestehen die Hauptunterschiede der Quantenverschlüsselung zu den heutigen Standardmethoden?
Beim heute weitverbreiteten Public-Key-Verfahren liegen die Schlüssel als klassische digitale Information vor, und zwar arbeitet das System mit zwei Schlüsseln, einem geheimen und einem öffentlichen. Mehrere Personen – alle, die im Besitz des öffentlichen Schlüssels sind – können so zum Beispiel Nachrichten verschlüsseln, während nur die Person, die im Besitz des geheimen Schlüssels ist, diese entschlüsseln kann. Weil der geheime und der öffentliche Schlüssel in einer Verbindung zueinander stehen, ist es theoretisch jedoch möglich, aus dem öffentlichen Schlüssel den geheimen zu berechnen. Mit heutigen Computern ist diese Rechnung aber sehr langwierig. In der Quantenkryptografie arbeitet man mit sogenannten symmetrischen Schlüsseln, das heisst Sender und Empfänger der Nachricht benutzen denselben Schlüssel, der somit geheim gehalten werden muss. Die Herausforderung besteht nun darin, einen solchen Schlüssel zu erzeugen und an Sender und Empfänger zu verteilen, ohne dass er von jemand anderem mitgelesen werden kann.
Wie wird das bei der Quantenkryptografie erreicht?
Der Schlüssel wird beispielsweise in die Polarisierung von Lichtteilchen hineincodiert und dann über Glasfaser von Sender zu Empfänger übermittelt. Aufgrund der quantenphysikalischen Natur der Lichtteilchen würde jeder Versuch, die Polarisierung der Lichtteilchen während der Übertragung zu messen, zu einer Veränderung führen, die vom Empfänger bemerkt werden kann.
Heisst das, wer sich als Praktiker heute für Informationssicherheit interessiert, sollte sich vor allem mit der Quantenkryptografie befassen, und weniger mit dem Quantencomputing, das Zukunftsmusik ist?
Auch wenn Quantencomputer vermutlich erst in 20 oder 30 Jahren gebaut werden können, so ist das Quantencomputing bereits jetzt äusserst praktisch relevant. Wenn Sie heute Daten verschlüsseln wollen, die auch im Jahr 2035 noch vor dem Zugriff Unbefugter geschützt sein sollten, dann sind Sie bereits heute gezwungen, ein Verschlüsselungsverfahren zu verwenden, das auch mit einem Quantencomputer nicht geknackt werden kann. Solche alternative Verfahren werden bereits jetzt intensiv erforscht. Und die Quantenkryptografie ist eines davon.
Sie sagten, es gebe schon marktreife Quantenkryptografie-Anwendungen. Welche sind das?
In der Tat ist die Quantenkryptografie eine der ersten kommerziellen Anwendungen der Quantentechnologie. Die erste Firma, die ein funktionstüchtiges Quantenkryptografie-System auf den Markt brachte, ist «ID Quantique», ein Spin-off der Universität Genf. Ihr Quantenkryptografie-System besteht aus zwei Endgeräten – je eines für die beiden Partner, die sicher kommunizieren möchten – wobei diese über eine direkte Glasfaserleitung verbunden sein müssen. ID Quantique gehört zu den weltweit führenden Firmen auf dem Gebiet. Deren Technologie basiert dabei auf theoretischen Grundlagen, die unter anderem an der ETH Zürich entwickelt wurden.
Was sind das für Grundlagen?
Die Abhörsicherheit von Quantenkryptografie-Geräten lässt sich grundsätzlich nicht mit experimentellen Tests zeigen. Stattdessen benötigt man einen mathematischen Beweis dafür, dass es keine Angriffsstrategie geben kann, mit der die übertragenen Schlüssel unbemerkt mitgelesen werden können. Die mathematischen Grundlagen, um solche Beweise führen zu können, haben wir in meiner Forschungsgruppe entwickelt.
Lässt sich dieses System schon anwenden?
Ja. Auf der Kundenliste von ID Quantique stehen schon heute nicht nur Universitäten, welche das System für Forschungszwecke verwenden, sondern auch Banken. In der Praxis ist die Übertragungsdistanz heute jedoch auf rund 50 bis 100 Kilometer beschränkt, weil es noch keine Möglichkeit gibt, quantenphysikalische Informationen zu verstärken. Daran wird aber geforscht, und auf jeden Fall sind die technischen Hürden bei der Quantenkryptografie geringer als beim Quantencomputing.
Forschungsschwerpunkt QSIT
Die Schweiz gehört weltweit zu den in der Quantenwissenschaft führenden Nationen. Diese starke Position ist einerseits historisch gewachsen, sie hat aber auch damit zu tun, dass die Forschungsgruppen an den verschiedenen Hochschulen gut miteinander vernetzt sind. Begünstigst wurde sie dadurch, dass der Bund 2010 den Nationalen Forschungsschwerpunkt für Quantenwissenschaften und -technologie (NFS QSIT) geschaffen hat. Daran beteiligt sind 34 Professuren von Schweizer Hochschulen, die sich mit der Erforschung von quantenphysikalischen Grundlagen und technischen Anwendungen befassen. Die Hälfte dieser Forschungsgruppen sind an der ETH Zürich beheimatet, jene von Renato Renner ist eine davon. Die ETH Zürich amtet auch als Leading House des NFS QSIT.