A3/Technische Herausforderungen

Aus QuaNTH
Wechseln zu: Navigation, Suche

A3

Kommunikation
Einführung

Lektionen


Wir haben bisher das ideale BB84-Protokoll kennengelernt und eine intuitive Begründung für die Sicherheit des Protokolls anhand des allgemeinen Prinzips "Keine Messung ohne Störung" gesehen. Wir hatten bei der Beschreibung des BB84-Protokolls bereits darauf hingewiesen, dass für die praktische Umsetzung des Protokolls noch eine Reihe von Annahmen zu berücksichtigen sind, die sonst zu Schlupflöchern in der Sicherheitsanalyse führen.

Einzelphotonenquellen

Die wichtigste Annahme, die wir gemacht hatten, war, dass es Alice möglich ist, in jedem Intervall nur genau ein (untrennbares) Photon zu schicken. Sollte dies nicht der Fall sein, hätte Eve die Möglichkeit, unbemerkt einen Teil des Strahls für sich abzuzweigen und zu speichern, bis Alice und Bob ihre Basiswahl verkünden. Dies nennt man auch einen Strahlteilerangriff (beam-splitting attack). Dann müsste sie nur die gespeicherten Photonen in der entsprechenden Basis messen, um maximale Information über den Schlüssel zu erhalten, ohne auch nur die geringste Spur zu hinterlassen. Um das BB84 in seiner beschriebenen Form anwenden zu können, braucht man demnach Quellen, die verlässlich nur ein Photon pro Zeitintervall produzieren, so genannte Einzelphotonenquellen. Diese stellen jedoch technisch eine große Herausforderung dar.

Es kommt bei den Einzelphotonenquellen ja gerade darauf an, dass wirklich immer nur ein Photon im Signal ist. Nicht hinreichend ist eine Quelle, die im Mittel ein Photon pro Puls erzeugt. Letztgenannte Quelle wäre einfach zu erzeugen: Man nimmt einen Laser und schwächt die Intensität des Lichtes soweit ab, dass sich im Mittel nur noch ein Photon in jedem Puls befindet. Dies wäre jedoch keine Einzelphotonenquelle, da auch abgeschwächtes Laserlicht immer noch Poissonverteilt ist (An dieser Stelle wollen wir nicht weiter im Detail auf die Statistik von Laserlicht eingehen, vgl. aber Lektion C.1.). Es gibt jedoch verschiedene technische Möglichkeiten, eine Einzelphotonenquelle zu erzeugen, beispielsweise durch Einsatz von Kristallen, in denen auf kontrollierte Weise Fehlstellen existieren. Es ist zu erwarten, dass in den nächsten Jahren die Einzelphotonentechnologie immer weiter zunehmen wird, aber technisch in großem Maßstab sind sie im Moment noch nicht vorrätig.

Alternativen

Falls man bei der Implementierung des Protokolls auf Einzelphotonen verzichten möchte, so muss man das Protokoll ändern, um es gegen den Strahlteiler-Angriff abzusichern. Dies geschieht z.B., indem man ein so genanntes Decoy-Protokoll benutzt (es gibt hierfür keine klare Übersetzung, wörtlich bedeutet es "Köder Protokoll"). Hierzu benötigt Alice eine Quelle, bei der sie die mittlere Photonenzahl in jedem Puls kontrollieren kann. Praktisch wird dies beispielsweise durch Verwendung von mehreren Lasern mit unterschiedlicher Abschwächung verwirklicht. Bob führt nun zusätzliche Messungen durch, um die Intensitäten der bei ihm ankommenden Impulse zu messen. Wenn Alice und Bob am Ende der Kommunikation nun vergleichen welche Intensität Alice gesendet hat und welche bei Bob angekommen ist so können sie durch die entstandenen Unterschiede darauf schließen, wie viel Informationen an Eve geflossen sind.

Einzelphotonendetektoren

Um das BB84 zu implementieren, müssen auf der anderen Seite natürlich auch die verwendeten Detektoren in der Lage sein, verlässlich einzelne Photonen (bzw. Signale mit einer sehr geringen mittleren Photonenanzahl) zu detektieren. Die hierfür benötigten Einzelphotonendetektoren befinden sich momentan im Status der Erforschung. Es gibt verschiedene Ansätze und Technologien, wobei verschiedene Kenngrößen möglichst optimal zu gewährleisten sind. Hierbei möchte man für praktikable Einzelphotonendetektoren die Repetitionsrate, also die Anzahl der detektierten Signale pro Zeit, möglichst hoch haben.

Hierzu sind zwei Dinge wichtig: Zum einen muss der Detektor eine möglichst hohe Effizienz aufweisen, also eine hohe Wahrscheinlichkeit, ein ankommendes Photon zu sehen. Zum anderen sollte die Totzeit des Detektors, also die Zeit, die er braucht, um nach einem erfolgreichen Detektionsereignis wieder einsatzbereit zu sein, möglichst gering sein. Gleichzeitig sollte es nicht so empfindlich gegen zufällige Störungen von außen sein, was sich in einer niedrigen Anzahl von Detektionen ohne Beleuchtung (genannt Dunkelzählrate) ausdrücken würde. Ein typischer Wert für die Detektionseffizienz liegt bei etwa 10%, während momentan erreichbare Spitzenwerte bei ca. 40% liegen.

Quanten-Hacking

Eine zusätzliche Anforderung an die Detektoren besteht darin, dass sie möglichst nur auf die eingehenden Kryptographiesignale reagieren sollten und nicht von anderen Signalen beeinflusst werden können. So könnte beispielsweise die Möglichkeit bestehen, dass ein Angreifer durch Manipulation von außen die Detektoren von Bob blenden kann. In bestimmten Implementationen kann das dazu führen, dass Bob nur noch solche Signale sieht, die der Angreifer durchlassen möchte, was wiederum zu einer Sicherheitslücke führt. In den letzten Jahren ist diese Technik unter dem Stichwort Quanten-Hacking bekannt geworden.

Die Idee des Quanten-Hackings ist hierbei nur ein Beispiel für eine ganze Klasse von Problemen der Quantenkryptographie, die durch so genannte klassische Seitenkanäle entstehen. Um ein weiteres Beispiel zu nennen, könnte es sein, dass sich die Detektoren bei Bob nach einem erfolgreichen Detektionsereignis wieder aufladen müssen und dabei mehr Strom verbrauchen, als wenn sie nicht detektiert hätten. Ein Angreifer, der die Stromleitung von Bobs Labor unter Kontrolle hat, könnte so am Verlauf seines Stromverbrauchs sehen, wann der Detektor geklickt hat und so auf den Schlüssel schließen. Probleme dieser Art können an verschiedenen Stellen auftreten und sind rein technischer Natur, für eine sichere Umsetzung müssen sie aber identifiziert und gelöst werden. Natürlich hat man auch in der klassischen Kryptographie mit vergleichbaren Problemen zu tun, auch hier ist es ein langer Schritt vom theoretischen Modell eines asymmetrischen Verschlüsselungsalgorithmus bis zur sicheren Implementierung.