Für die Konzeption des ersten Schlüsselvereinbarungsprotokolls, dessen Sicherheit aus der Gültigkeit der Quantenphysik abgeleitet ist
Die Schrift ist ein sehr wirksames Mittel, um Informationen an viele Menschen und über große Entfernungen hinweg zu verbreiten und das Wissen über die Zeit zu bewahren. Die Schaffung eines Netzes von potenziellen Lesern war zu Beginn eine der größten Herausforderungen. Mit zunehmender Alphabetisierung entstand die Notwendigkeit, den Zugang zu Informationen auf ausgewählte Leser zu beschränken.
Julius Cäsar schützte Befehle an seine Truppen, indem er die Buchstaben des Alphabets in seinen Botschaften vertauschte. Konkret verschob er die Buchstaben um drei Positionen nach links, d. h. er ersetzte D durch A, E durch B und so weiter. Diese Chiffre hatte keinen expliziten Schlüssel. Die zugehörige Transformation wurde mit der Zeit bekannt und verlor ihre Schutzwirkung. So wurden komplexere Substitutionen entwickelt. Der arabische Wissenschaftler Al Kindi wandte bereits im 9th Jahrhundert statistische Analysen an, um Chiffren zu knacken. Buchstabenweise Substitutionen waren also nicht mehr sicher. Es wurden komplexere Umwandlungen benötigt, die durch Schlüssel aus einem ausreichend großen Raum kontrolliert werden mussten, um eine erschöpfende Suche zu verhindern. Diese Schlüssel mussten im Voraus vereinbart werden, was nicht sehr praktisch ist.
Die Kryptographie mit öffentlichem Schlüssel eröffnete einen neuen Ansatz, bei dem jeder in der Lage ist, eine Nachricht mit dem öffentlichen Schlüssel eines Empfängers zu verschlüsseln. Nur der Empfänger, der den entsprechenden geheimen Schlüssel kennt, kann sie entschlüsseln. Es gäbe also zwei Schlüssel, einen für die Verschlüsselung, der öffentlich ist, und einen für die Entschlüsselung, der von seinem Besitzer geheim gehalten wird. Die heute am häufigsten verwendeten Kryptosysteme mit öffentlichem Schlüssel sind RSA, Diffie-Hellman und elliptische Kurven. Koblitz und Miller erhielten den Eduard-Rhein-Technologiepreis 2020 für die Entwicklung der Kryptographie mit elliptischen Kurven für öffentliche Schlüssel. Gegenwärtig ermöglichen diese Verfahren unsere digitale Gesellschaft. Sie beruhen auf der erwarteten Komplexität der Invertierung der Verschlüsselungsfunktion ohne Kenntnis des geheimen Schlüssels. Langfristig sind diese Verfahren durch die zukünftigen Fähigkeiten von Quantencomputern bedroht. Daher werden neue Post-Quantum-Verfahren entwikkelt. Sie hängen von der Schwierigkeit ab, bestimmte Funktionen sowohl auf klassischen als auch auf Quantencomputern zu invertieren. Derzeit gibt es keine theoretische Grundlage, um Grenzen für die damit verbundene Komplexität und damit für die Sicherheit solcher Verfahren abzuleiten.
Die Konzeption des ersten Quantenschlüsselverteilungsprotokolls (QKD) von Bennett und Brassard – den diesjährigen Trägern des Eduard-Rhein-Technologiepreises – sticht in dieser Hinsicht hervor. Ihr Verfahren ist aufgrund spezifischer Eigenschaften der Quantenmechanik sicher und nicht aufgrund einer erwarteten Rechenkomplexität. Die Quantenmechanik ist eine der bestgeprüften physikalischen Theorien. Wenn sie gilt und das Verfahren korrekt implementiert wird, ist QKD nachweislich sicher. Dies ist ein qualitativer Unterschied – es gibt keine klassische Äquivalenz.
In der klassischen Physik kann jede beobachtbare Größe jeden beliebigen Wert annehmen, unabhängig von allen anderen Beobachtungsgrößen. Außerdem glaubte man, dass eine ausreichend sorgfältige Messung den Wert der Beobachtungsgröße nicht verändert. In der Quantenphysik ist dies nicht mehr der Fall. Beobachtungsgrößen nehmen häufig diskrete Werte an, und Messungen wirken sich in der Regel auf die Zustände selbst aus. Die Messung der Polarisation eines Photons kann horizontal oder vertikal erfolgen. Dies kann durch Zustände dargestellt werden, d. h. durch Vektoren in einer zweidimensionalen Ebene – dem Hilbert-Raum. In dieser Ebene zeigt der Vektor, der der horizontalen Polarisation zugeordnet ist, in die x-Richtung und der Vektor, der der vertikalen Polarisation zugeordnet ist, in die y-Richtung. Jedes einzelne Photon kann sich sowohl in einem der beiden Zustände als auch in einer Überlagerung der beiden Zustände befinden, wobei sein Zustandsvektor irgendwo in dieser Ebene liegt. Eine Messung der horizontalen/vertikalen Polarisation für einen solchen Einzelphotonenzustand liefert das Ergebnis „horizontal“ oder „vertikal“. Die Information über die Überlagerung selbst geht dabei verloren. Kein Abhörender kann also den Zustand selbst rekonstruieren. Das strenge „No-Cloning-Theorem“ verhindert die Erzeugung von Kopien von Zuständen im Allgemeinen. Dies ist die Grundlage für QKD, bei dem Alice typischerweise Ein-Photonen-Zustände vorbereitet, die an Bob übertragen werden, der sie analysiert. Beide verwenden zwei Anordnungen ihrer Apparate: die bereits beschriebene horizontal/vertikale Anordnung sowie eine um 45 Grad gedrehte Anordnung (in Gegentaktrichtung). Die Projektionen der Zustände, die von den letzteren Systemen erzeugt werden, auf die Zustände, die von dem ersteren System erzeugt werden, sind gleich lang. Wenn Alice ihren Zustand im ursprünglichen System vorbereitet, wobei der horizontale Zustand eine 0 und der vertikale Zustand eine 1 darstellt, und wenn Bob mit dem gedrehten System misst, erhält er ein Ergebnis, das nicht von den von Alice übermittelten Werten abhängt. Wenn er die gleiche Ausrichtung verwendet, erhält er identische Werte.
Das Protokoll sieht folgendermaßen aus: Alice und Bob wählen zufällig ihre Basis, d. h. die Ausrichtung ihres Geräts (nicht gedreht oder gedreht), und führen eine Folge von Vorbereitungs- und Messschritten durch. In einer anschließenden klassischen und öffentlichen Diskussion ermitteln sie die Fälle, in denen sie dieselbe Einstellung verwendet haben und in denen Bob ein Photon empfangen hat. Solange Alice nicht mehrere Kopien ihrer Photonen sendet, werden die von Eve verursachten Störungen schließlich ihre Anwesenheit aufdecken. Auf diese Weise ist sichergestellt, dass Alice und Bob einen Schlüsselstring teilen, den nachweislich niemand sonst kennen kann, es sei denn durch Zufall. Alice und Bob müssen sich jedoch gegenseitig beweisen, wer sie sind. Charles H. Bennett und Gilles Brassard verwendeten zu diesem Zweck die nachweislich sichere Wegman-Carter-Authentifizierung. Ihr Protokoll – BB84 genannt – hat inzwischen die völlig neue Möglichkeit eröffnet, sich auf beweisbar sichere Weise auf Schlüssel zu einigen.
Frank Miller (1882) und Gilbert Vernam (1917) schlugen vor, die Nachrichtenbits mit den Schlüsselbits durch XOR zu verknüpfen. Joseph Oswald Mauborgne verstand, dass dieses Verfahren sicher war, wenn jedes Schlüsselbit durch ein unabhängiges Münzwurfexperiment gewonnen wurde. Claude Shannon veröffentlichte 1949 einen Beweis für die perfekte Sicherheit dieses Verfahrens. Das gegenwärtige BB84-Protokoll liefert eine Bitfolge mit der erforderlichen Statistik und ermöglicht somit eine perfekte Geheimhaltung.
BB84 und die meisten anderen QKD-Protokolle verwenden optische Übertragungen, da sie einzelne Photonen im optischen Bereich zuverlässig erfassen können. Der Zustand dieser Photonen wird in optischen Fasern nicht wesentlich gestört, solange es keine Verstärker oder Repeater gibt. Bennett und Brassard führten übrigens eine Demonstration der Prinzipien über eine Entfernung von 30 Zentimetern durch. Heute werden Glasfasern in ausgewählten Anwendungen für Regierungen, Banken sowie in Rechenzentren eingesetzt. Die Entfernungen sind in der Regel recht kurz. Die Dämpfung begrenzt die Entfernungen auf einige 100 km. Einige Schlüsselraten wurden bis zu 1000 km mit einem Zwischenempfänger nachgewiesen. Um die Sicherheit über größere Entfernungen aufrechtzuerhalten, sind im Allgemeinen echte Quanten-Repeater erforderlich. Sie erzeugen eine Kette von Quantenverschränkungen, die die Teleportation von photonischen Zuständen von Alice zu Bob mit einer ähnlichen Abhörsicherheit wie bei Single-Hop-Systemen ermöglicht. Der Bau von Quanten-Repeatern in der Praxis ist schwierig und noch Gegenstand weiterer Forschung.
Satelliten im erdnahen Orbit (LEO) bieten eine Alternative zu Glasfaserverbindungen. Die Ausbreitung im freien Raum ist mit einer viel geringeren Dämpfung verbunden und ermöglicht QKD mit angemessenen Aperturen auf den Satelliten und am Boden. China hat mit seiner 2016 gestarteten Micius-Mission QKD über Satelliten demonstriert. Mehrere andere Missionen sind in Vorbereitung, auch in Europa. Die bekannteste ist Eagle-1, die mit Hilfe eines LEO-Satelliten beträchtliche Schlüsselraten erzielen soll. Andere Missionen sehen Satelliten bis zur Größe von CubeSats vor, z. B. das deutsche Projekt QUBE2. Ein Netz solcher Satelliten könnte einen Schlüsselverteilungsdienst zwischen weit entfernten Knotenpunkten anbieten. Aus Effizienzgründen ist der Satellit in der Regel ein vertrauenswürdiger Knoten. Dies wird für dedizierte Satelliten in vertrauenswürdigen Händen als akzeptabel angesehen, da sie sehr gut gegen Cyberangriffe geschützt werden können. Neben der Entwicklung von Satellitennutzlasten zielen mehrere Projekte darauf ab, terrestrische Verbindungen durch die Entwicklung von Quanten-Repeatern zu erweitern.
Eine weitere wichtige Aufgabe ist die Gewährleistung der Sicherheit in vernetzten QKD-Systemen. Sie wird von allen interessierten Parteien angegangen. China betreibt ein Netz von QKD-gesicherten Systemen mit Großstadtnetzen in Peking, Shanghai sowie Jinan und Hefei, die alle miteinander verbunden sind. Das letztgenannte Netz erstreckt sich über eine Strecke von 2000 km. Es wird sukzessive um weitere Städte erweitert. Darüber hinaus ermöglichen zwei Satellitenverbindungen die Integration von Terminals, die bis zu 7600 km voneinander entfernt sind. Die EuroQCI-Initiative umfasst auch ein terrestrisches Netz und ein Weltraumsegment (SAGA). Darüber hinaus befindet sich eine Reihe regionaler QKD-Netzinitiativen in Europa in verschiedenen Stadien der Planung und Inbetriebnahme. Initiativen, die sich auf Technologien und deren Anwendung konzentrieren, wie OPENQKD auf europäischer Ebene und QuNET in Deutschland, fördern die Entwicklung und Industrialisierung von QKD-Technologien sowie deren Einsatz durch Regierungen, Infrastrukturen und im Finanz-, Industrie- und Medizinsektor.
Angesichts der Abhängigkeit der modernen Gesellschaft von der Informationstechnologie in staatlichen, infrastrukturellen, medizinischen, industriellen und vielen anderen Anwendungsbereichen ist die Fähigkeit, beweisbar sichere Schlüssel zu erstellen, für unsere Gesellschaft lebenswichtig. Dies war unsere Motivation, den Eduard-Rhein-Technologiepreis 2023 an Dr. Charles H. Bennett und Prof. Gilles Brassard zu verleihen.
Dr. Bennett studierte in Harvard. Er ist IBM-Stipendiat bei IBM Research. Neben seiner bahnbrechenden Arbeit zur Quantenkryptographie ist er Miterfinder der Quantenteleportation und hat maßgeblich zur Verwendung der Verschränkung in der Informationstheorie beigetragen. Er hat die Quanteninformationstheorie mitbegründet und maßgeblich geprägt. Charles H. Bennett ist Fellow der Nationalen Akademie der Wissenschaften und der American Physical Society. Im Jahr 2022 wurde er Mitglied der Royal Society. Er ist Träger des Harvey-Preises (Technion, 2008), der Dirac-Medaille (International Center for Theoretical Physics, 2017), des Wolf-Preises in Physik (Israel, 2018), des „BBVA Foundation Frontiers of Knowledge Award in Basic Science“ (Banco Bilbao Viscaya Argentaria, 2019), des Micius Quantum Prize 2019 und des Claude E. Shannon Award (IEEE, 2020). Parallel zum Eduard-Rhein-Technologiepreis im Jahr 2023 erhielt er den renommierten „Breakthrough Prize in Fundamental Physics“.
Prof. Gilles Brassard studierte Informatik an der Cornell University. Seit 1988 ist er ordentlicher Professor an der Universität von Montreal. Von 2001 bis 2021 war er Inhaber eines kanadischen Forschungslehrstuhls. Er ist ein Fellow der Royal Society of Canada und der Royal Society in London. Er erhielt den Prix Marie-Victorin und wurde zum Fellow der „International Association of Cryptologic Research“ gewählt. Außerdem wurde er zum Offizier des kanadischen Ordens ernannt. Da Gilles Brassard und Charles H. Bennett eng zusammengearbeitet haben, teilen sie sich die Verdienste um die Gestaltung der Quanteninformationstheorie und auch einige der Auszeichnungen, darunter insbesondere den Wolf Prize in Physics (2018), den „BBVA Foundation Frontiers of Knowledge Award in Basic Science“ und den Micius Quantum Prize sowie den „Breakthrough Prize in Fundamental Physics“ und den Eduard Rhein Technology Award im Jahr 2023.
Prof. Christoph Günther