Quantenkryptografie für Manager

Das Thema Verschlüsselung spielt in Zeiten von Cyberattacken eine immer größere Rolle. Kaum ein Prozess in der Wirtschaft oder in staatlichen Institutionen kommt ohne Vertraulichkeit, Integrität und Authentizität von Nachrichten aus. Dies führt zu immer ausgefeilteren kryptographischen Algorithmen und Protokollen, so dass sich bei Managern eine immer tiefere Wissenslücke auftut. Nichts hassen Manager mehr, als „zu tief“ oder „zu oberflächlich“ in Technologien eintauchen zu müssen. So ist es auch mit der Quantenkryptographie (zwei Wörter – Quanten und Kryptographie). In den Medien taucht es immer häufiger auf, aber was ist das genau und welche Auswirkungen hat es auf Organisationen? Dieser Blogartikelserienreige beschäftigt sich genau damit und soll die Technologie „Quantenkryptographie“ anschaulich und im Kontext der praktischen Umsetzung beschreiben. Es liegt in der Natur der Quantenmechanik, dass das “Abhören” von Informationskanälen die Übertragung von Nachrichten stört und somit auch aufdeckt.

Die „unknackbare“ Verschlüsselung

Bitte was? Eine „unknackbare“ Verschlüsselung? Ja, Sie haben richtig gehört. Es gibt sie und sie heißt „One Time Pad“ oder „Einmalverschlüsselung“. Nicht nur das. Diese Verschlüsselung wurde bereits im 19. Jahrhundert entwickelt, aber erst in den 20er Jahren von den Deutschen im diplomatischen Nachrichtenverkehr eingesetzt. Vor allem während des Kalten Krieges wurde diese Verschlüsselung von Spionen genutzt, allerdings nur für sehr „brisante“ Nachrichten oder als „heißer Draht“ (bekannt als rotes Telefon) zwischen dem amerikanischen Präsidenten und dem sowjetischen Generalsekretär. Seit dieser Zeit und bis heute wird diese Verschlüsselung immer noch verwendet. Die Frage ist: Warum nicht immer? Warum verwenden wir andere “unsichere” Verfahren? Um das zu verstehen, muss man das Grundprinzip dieser Verschlüsselung verstehen. Dann wird jedem sofort klar, warum der Einsatz von „Einmal-Verschlüsselungen“ nur in Ausnahmefällen erfolgt.

Das Prinzip der Einmalverschlüsselung

Das Verschlüsselungsverfahren wird nicht umsonst „one-time-pad“ oder „Einmalverschlüsselung“ genannt. Damit das Verschlüsselungsverfahren „unknackbar“ ist, müssen folgende Voraussetzungen erfüllt sein:

1. Schlüssellänge: Der Schlüssel muss mindestens so lang sein wie die zu verschlüsselnde Nachricht selbst.
2. Zufälligkeit: Der Schlüssel muss völlig zufällig sein.
3. Nutzung: Der Schlüssel darf nur einmal verwendet werden. Aus diesem Grund spricht man auch von „Einmalverschlüsselung“.

Was folgt aus diesen Bedingungen? Es müssen riesige Mengen an Schlüsseldaten zwischen den Parteien ausgetauscht und verwaltet werden. Der Aufwand für die Schlüsselverwaltung ist so groß, dass die Kosten umso höher sind, je größer die Nachrichten sind.

Warum muss der Schlüssel so lang und zufällig sein? Dies wird deutlich, wenn wir uns das folgende Beispiel ansehen.

Wir haben hier zwei Botschaften. Die eine heißt „Angriff“, die andere „Rückzug“. Beide sind gleich lang, nämlich sieben Buchstaben. Wenn wir einen völlig zufälligen Schlüssel mit sieben Buchstaben wählen (z.B. „G D K N H K F“) und diese zu den Nachrichten 1 und 2 addieren, erhalten wir Modulo 26 (siehe Blogbeitrag „Rechnen mit Uhren“):

Nachricht 1 ist verschlüsselt als „GFQQCPPK“ und Nachricht 2 als „XXMXGEL“. Da der Schlüssel die gleiche Länge hat und völlig zufällig gewählt wurde, ist der verschlüsselte Text nicht von einem „Rauschen“ zu unterscheiden. Wir können aus der Nachricht nicht ableiten, ob es sich um das Wort “Angriff” oder einen “Ruckzug” handelt. Trotzdem sollten wir den Schlüssel nicht noch einmal verwenden. Warum nicht? Angenommen, der Absender hat für beide verschlüsselten Nachrichten denselben Schlüssel verwendet, dann kann der Angreifer die Differenz zwischen den beiden verschlüsselten Texten analysieren. Denn Klartexte und damit auch Klartextunterschiede weisen im Gegensatz zu Zufallstexten eine Reihe von Auffälligkeiten auf, die statistisch ausgewertet und zur Entschlüsselung ausgenutzt werden können.

Chifriertext 1 – Chifierttext 2 = Nachricht 1 – Nachricht 2

Noch einfacher wird es, wenn man später weiß, was die erste Nachricht war (z.B. „ANGRIFF“).

Nachteile

Die „Einmal-Verschlüsselung“ erfordert einen Schlüssel, der genauso lang ist wie die Nachricht selbst. Für die Wahl des Schlüssels ist ein physikalischer Zufallsgenerator erforderlich. Dieser wird durch spezielle Hardware realisiert. Die Sicherheit der Einmalverschlüsselung hängt von der Qualität des Zufallsgenerators ab. Wenn Nachrichten verschlüsselt übertragen werden sollen, muss der Schlüssel über einen anderen sicheren Kanal übertragen werden als die Nachricht. Zum Beispiel durch Boten. Aufgrund des hohen logistischen Aufwands hat sich die Einmalverschlüsselung in größeren Kommunikationsnetzen nicht durchgesetzt.

Vorteile

Das One-Time-Pad ist informationstheoretisch sicher gegen Kryptoanalyse und kann nicht entschlüsselt werden, wenn der Schlüssel so lang wie die Nachricht ist, aus zufälligen und unabhängigen Zeichen besteht und nur einmal zur Verschlüsselung verwendet wird. Unter diesen Bedingungen kann der Geheimtext nur mit Kenntnis des Schlüssels entschlüsselt werden. Um die einmalige Verwendung des Schlüssels zu gewährleisten, wird empfohlen, den Schlüssel unmittelbar nach seiner Verwendung unwiderruflich zu löschen.

Andere Verschlüsselungsverfahren (z.B. AES) erreichen ihre Sicherheit durch den immensen Rechenaufwand der theoretisch denkbaren Entschlüsselung, der in absehbarer Zeit praktisch nicht realisierbar ist. Mit anderen Worten: Einem potentiellen Angreifer fehlen die notwendigen Ressourcen (z.B. Rechenleistung oder Zeit), um seinen Entschlüsselungsversuch erfolgreich durchführen zu können. Im Gegensatz dazu beruht die Sicherheit des One-Time-Pad auf der einmaligen Verwendung des Schlüssels und der zufälligen Wahl des verwendeten Schlüssels. Bei richtiger Anwendung bietet es eine unübertroffene Sicherheit für die zweiseitige geheime Kommunikation und kann auch mit beliebig hoher Rechenleistung nicht gebrochen werden.

Die Frage ist: „Gibt es einen sicheren und effizienten Weg, so lange Schlüssel zwischen zwei Parteien auszutauschen? Ja, es gibt ihn, und zwar mit Hilfe der Quantenmechanik. Ich kann Ihnen das ohne komplizierte Mathematik und Physik erklären.

Quantenmechanik sorgt für Vertraulichkeit

Die Quantenmechanik kann uns helfen, weil es nicht möglich ist, etwas beliebig genau zu messen oder zu beobachten. Es gibt eine natürliche Grenze, die durch die Heisenbergsche Unschärferelation gegeben ist. Das bedeutet, dass das „Mithören“ von Informationskanälen diese stört und wir dies bei der Übertragung von Daten bemerken. Wir „hören“, wenn jemand mithört! Dieses Naturgesetz wurde 1984 von Charles Bennett (IBM) und Gilles Brassard (Universität Montreal) in ihrem Protokoll BB84 ausgenutzt. Das Protokoll ist verblüffend einfach.

Licht besteht aus Quanten, den Photonen. Jeder Hobbyfotograf kennt Polarisationsfilter. Es gibt zwei verschiedene Arten von Polarisationsfiltern. Wir nennen sie lineare und diagonale Polarisationsfilter. Der lineare Polarisationsfilter lässt nur Photonen durch, die in ihrer Ausbreitungsrichtung horizontal oder vertikal schwingen, während der diagonale Polarisationsfilter Photonen durchlässt, die unter 45° zur Ausbreitungsrichtung schwingen. Wir bezeichnen eine vertikale Photonenschwingung mit „1“ und eine horizontale mit „0“ bzw. eine +45° Photonenschwingung ebenfalls mit „1“ und eine -45° Photonenschwingung mit „0“.

Nehmen wir nun an, dass Alice mit Bob einen “Einmalschlüssel” vereinbaren möchte. Sie macht nun folgendes:

1. Alice erzeugt einen hinreichend großen “Einmalschlüssel”, der nur aus “0” und “1” besteht.
2. Völlig zufällig wählt Alice mit Hilfe ihres Polarisationsfilters einmal die “horizontale” und einmal die “diagonale” Polarisation eines Photons aus einer Lichtquelle aus und sendet es kodiert als “0” oder “1” (horizontal/vertikal oder 45°/-45°) des gewählten “Einmalschlüssels” zu Bob.
3. Bob empfängt das Photon und entscheidet ebenfalls völlig zufällig, ob er eine “horizontale” oder eine “diagonale” Polarisationsmessung des Photons durchführt.
4. Beide Parteien veröffentlichen ihre Wahl der Messungen (nicht die Ergebnisse). In 50% der Fälle stimmen die Auswahlentscheidungen der Polarisationsmessungen von Alice und Bob überein.
5. Bei gleichen Auswahlentscheidungen müssen die Messergebnisse übereinstimmen und beide Parteien verwenden dies als “eindeutigen Schlüssel”.

Warum funktioniert das? Könnte nicht ein Lauscher (Eave genannt) in der Mitte die Photonen abfangen und ihre Polarisation messen? Ja, aber in 50% der Fälle würde Eave falsch liegen und die Polarisation stören. Das bedeutet, dass es keine Übereinstimmung zwischen Alice und Bob geben kann. Der Grund dafür ist nicht, dass Eave nicht „leise genug lauscht“, sondern es liegt an der grundlegenden quantenmechanischen Natur unserer Welt, oder einfacher ausgedrückt, es gibt eine natürliche Grenze, wie „leise Eave lauschen kann“ und das ist die sogenannte Plank-Konstante.

Es gibt viele andere quantenkryptographische Protokolle, aber alle basieren auf dem Prinzip, dass es Grenzen in der Unschärfe von Messungen gibt (Heisenbergsche Unschärferelation). Dies garantiert die Vertraulichkeit und Integrität der Nachricht, aber wie sieht es mit der Authentizität aus?

Quantenmechanik garantiert keine Authentizität?

Es bedeutet, dass weder Bob noch Alice sicher sein können, dass ihre Photonen von ihnen stammen. Eave könnte sich gegenüber Alice als Bob ausgeben und gegenüber Bob als Alice. So etwas nennt man Man-in-the-Middle-Angriff. Sicherheitsexperten sagen, dass die Authentizität von Alice und Bob nicht garantiert werden kann.

Dieses Sicherheitsproblem begegnet uns täglich im Internet, wenn wir mit unserem Browser eine Verbindung zu unserer Bank herstellen wollen. Sie (aber auch die Bank) wollen wissen, mit wem Sie kommunizieren. Dies wird heute durch digitale Signaturen und Zertifikate gewährleistet, hinter denen eine Mathematik steht, die mit herkömmlichen Computern heute nicht geknackt werden kann (vorausgesetzt, man implementiert und schützt den Algorithmus ausreichend). Wir wissen jedoch, dass es sogenannte “Quantenalgorithmen” gibt und geben könnte, die es in nicht allzu ferner Zukunft ermöglichen könnten, auch diese mit Hilfe von “Quantencomputern” zu knacken.

Zusammenfassung

Die Natur der Quantenmechanik ermöglicht es uns einen Eavesdropper zu erkennen und damit einen vertraulichen Kommunikationskanal zu eröffnen. Dieser Kommunikationskanal ist jedoch nicht sicher, da die Authentizität der Kommunikationsteilnehmer nicht sichergestellt werden kann. Glücklicherweise haben Daniel Gottesmann und Isaac Chuang bereits 2001 das Konzept einer Quantensignatur entwickelt, die das Authentizitätsproblem löst. Das Thema digitale Signatur und Quantensignatur werde ich in meinem nächstem Blogbeitrag ausführlicher behandeln.

Referenzen

[1] Bennett, Brassard: Quantum Cryptography: Public key distribution and coin tossing. In: Proceedings of the IEEE International Conference on Computers, Systems, and Signal Processing. Bangalore, 1984, S. 175

[2] https://www.frontiersofknowledgeawards-fbbva.es/noticias/the-bbva-foundation-recognizes-charles-h-bennett-gilles-brassard-and-peter-shor-for-their-fundamental-role-in-the-development-of-quantum-computation-and-cryptography/

[3] https://de.m.wikipedia.org/wiki/Quantenschlüsselaustausch

[4] https://de.m.wikipedia.org/wiki/One-Time-Pad

[5] https://de.m.wikipedia.org/wiki/Man-in-the-Middle-Angriff

[6] https://de.m.wikipedia.org/wiki/Heisenbergsche_Unschärferelation