# Quantenkryptografie: Grundlagen, Protokolle und Herausforderungen
Die Sicherheit der digitalen Kommunikation beruht heute auf kryptografischen Verfahren wie RSA, Diffie–Hellman und elliptischen Kurven. Diese Algorithmen basieren auf der Schwierigkeit bestimmter mathematischer Probleme, etwa der Faktorisierung großer Zahlen oder des diskreten Logarithmus. Ein leistungsfähiger Quantencomputer könnte viele dieser Probleme effizient lösen – der **Shor‑Algorithmus** bricht RSA und Diffie–Hellman, während **Grovers Algorithmus** Suchaufgaben quadratisch beschleunigt. Das führt zu zwei sehr unterschiedlichen Ansätzen, um sich gegen Quantenangriffe zu wappnen:
1. **Post‑Quantum‑Kryptografie (PQC)** verwendet neue mathematische Probleme (Gitter, Codes, multivariate Gleichungen), die auch für Quantencomputer schwer zu lösen sind.
2. **Quantenkryptografie** nutzt die physikalischen Prinzipien der Quantenmechanik, um die Sicherheit zu garantieren.
Dieser Artikel behandelt die Grundlagen der Quantenkryptografie, insbesondere **Quanten‑Schlüsselverteilungsprotokolle (QKD)**, erläutert praktische Implementierungen und diskutiert die Herausforderungen bei der Realisierung sicherer Quantenkommunikation.
## Prinzipien der Quantenkryptografie
Die Quantenmechanik bietet Eigenschaften, die sich für die Kryptografie nutzen lassen:
* **No‑Cloning‑Theorem:** Es ist unmöglich, einen unbekannten Quantenzustand perfekt zu kopieren. Ein Abhörer kann also keine identischen Kopien der übertragenen Photonen erstellen, ohne sie zu stören.
* **Messungsstörung:** Die Messung eines Quantenzustands verändert ihn. Greift ein Abhörer die Quantenbits ab, hinterlässt er Spuren in Form einer erhöhten Fehlerrate.
* **Entanglement und Nichtlokalität:** Verschränkte Photonen zeigen perfekte Korrelationen, die sich nicht durch klassische verborgene Variablen erklären lassen. Dies ermöglicht **Device‑Independent‑QKD**, bei der man Geräten nur die Einhaltung der Quantenmechanik unterstellt.
Quantenkryptografie ist **kein Verschlüsselungsverfahren** per se, sondern ein Verfahren zur **Schlüsselverteilung**. Zwei Parteien (traditionell „Alice“ und „Bob“) erzeugen einen gemeinsamen, zufälligen Schlüssel, dessen Sicherheit auf den Gesetzen der Physik beruht. Dieser Schlüssel kann anschließend in einem klassischen Verfahren wie dem One‑Time‑Pad eingesetzt werden.
## Das BB84‑Protokoll
Das erste und bekannteste QKD‑Protokoll wurde 1984 von Charles Bennett und Gilles Brassard vorgeschlagen. **BB84** nutzt vier mögliche Polarisationszustände eines Photons, verteilt auf zwei Mutually Unbiased Bases (MUBs): die **rectilinear Basis** (Horizontal |→⟩ und Vertikal |↑⟩) und die **diagonale Basis** (45° |↗⟩ und 135° |↖⟩). Der Ablauf ist wie folgt:
1. **Zustandserzeugung:** Alice erzeugt zufällig eine Folge von Bits (0 oder 1) und wählt für jedes Bit zufällig eine der beiden Basen. Sie codiert die Bits als polarisierte Photonen und sendet sie an Bob.
2. **Messung:** Bob wählt für jedes Photon zufällig eine der beiden Basen und misst die Polarisation. Aufgrund der Basiswahl erhält er in 50 % der Fälle den korrekten Wert (wenn seine Basis mit der von Alice übereinstimmt) und in den anderen Fällen ein zufälliges Ergebnis.
3. **Basisabgleich:** Über einen authentisierten klassischen Kanal teilen Alice und Bob mit, welche Basen sie verwendet haben, ohne die Bitwerte preiszugeben. Sie verwerfen alle Messungen, bei denen die Basen unterschiedlich waren – der sogenannte „Sifting“‑Schritt.
4. **Fehlerabschätzung:** Ein Teil der übrig gebliebenen Bits wird offengelegt, um die Fehlerquote zu schätzen. Eine hohe Fehlerrate deutet auf das Vorhandensein eines Abhörers (Eve) hin. Liegt die Fehlerquote unterhalb einer kritischen Schwelle, können sie fortfahren.
5. **Fehlerkorrektur und Privatsphärenverstärkung:** Alice und Bob führen eine **Information Reconciliation** (z. B. mittels Cascade‑Protokoll) durch, um verbleibende Diskrepanzen zu korrigieren, und anschließend eine **Privacy Amplification**, um den endgültigen Schlüssel zu kürzen und alle möglichen Informationen zu entfernen, die Eve besitzen könnte.
Der Sicherheitsnachweis von BB84 basiert auf den oben genannten Prinzipien. Wenn Eve versucht, die Polarisation zu messen, ohne die Basis zu kennen, führt dies zu Fehlern, die Alice und Bob feststellen können. Das Protokoll ist nachweislich sicher, solange die Geräte ideal funktionieren und der Fehleranteil unterhalb der Abhörschwelle liegt.
## Entanglement‑basierte Protokolle
In entanglement‑basierten QKD‑Protokollen werden verschränkte Photonenpaare erzeugt. Die prominentesten Beispiele sind das **E91‑Protokoll** (Ekert 1991) und **BBM92**. Hier erzeugt eine Quelle Paare von Photonen, die in einem verschränkten Zustand, etwa einem singulären Bell‑Zustand, vorliegen. Alice und Bob messen die Photonen in zufälligen Basen. Aufgrund der Nichtlokalität sind die Messergebnisse korreliert, und aus diesen Korrelationen lässt sich ein Schlüssel extrahieren. Gleichzeitig können Verletzungen von **Bell‑Ungleichungen** nachgewiesen werden, was die Abwesenheit lokaler realistischer Modelle bestätigt und das Protokoll gegen bestimmte Angriffe absichert.
Ein großer Vorteil entanglement‑basierter Ansätze besteht darin, dass die Quelle nicht vertrauenswürdig sein muss. Selbst wenn ein Abhörer die Quelle kontrolliert, können Alice und Bob durch die Korrelationen und die Verletzung der Bell‑Ungleichung feststellen, ob der Kanal sicher ist. Diese Idee mündet in **Device‑Independent QKD (DI‑QKD)**, das allerdings extrem hohe Nachweiseffizienzen erfordert und derzeit experimentell sehr anspruchsvoll ist.
## Kontinuierliche Variablen und andere Protokolle
Neben diskreten Photonenpolarisationen können auch **kontinuierliche Variablen (CV‑QKD)** wie Amplitude und Phase eines kohärenten Lichtfeldes verwendet werden. CV‑QKD basiert auf homodynen oder heterodynen Messungen und kann in vorhandenen Glasfasernetzwerken implementiert werden. Die Schlüsselrate ist in der Regel höher als bei diskreten Systemen, aber CV‑QKD erfordert eine sorgfältige Kalibrierung und hat andere Sicherheitsannahmen.
Weitere Varianten sind **Differential Phase Shift (DPS)**, **Coherent One‑Way (COW)** und **Twin‑Field‑QKD**, die versuchen, die Reichweite und Schlüsselrate zu erhöhen. Twin‑Field‑QKD ist besonders interessant, da es das Skalierungsverhalten verbessert und Distanzen über 500 km ohne Quantenrepeater ermöglicht.
## Praxis der Quanten‑Schlüsselverteilung
Die ersten Demonstrationen von QKD fanden Mitte der 1990er Jahre statt. Seitdem wurden zahlreiche Experimente durchgeführt:
* **Glasfaser‑Links:** Kommerzielle Systeme von Firmen wie **ID Quantique**, **MagiQ** oder **Toshiba** übertragen QKD über Glasfasern auf Distanzen von 100–200 km. Im Jahr 2017 ging die **Beijing–Shanghai‑QKD‑Backbone** in China in Betrieb, ein 2 000 km langes Netzwerk aus 32 Knoten mit Trusted‑Nodes.
* **Satelliten‑QKD:** Die chinesische Mission **Micius** demonstrierte 2017 erstmals QKD zwischen einem Satelliten und zwei Bodenstationen über Entfernungen von mehr als 1 000 km. 2018 wurde eine Entschlüsselung mittels teleportierter Schlüssel über Satellit realisiert. Andere Länder (Europa, USA, Kanada, Singapur) arbeiten an ähnlichen Projekten.
* **Metro‑Netzwerke:** Mehrere Städte (Genf, Wien, London, Tokyo) betreiben Testnetze mit QKD, um Banken und Behörden zu verbinden. Diese Netze nutzen Trusted‑Nodes oder Repeater‑ähnliche Ansätze.
Die **Schlüsselraten** reichen von wenigen Kilobit pro Sekunde (über lange Glasfasern) bis zu mehreren Megabit pro Sekunde (über kurze Distanzen). Diese Schlüssel können zur Verschlüsselung sensibler Daten oder zur Absicherung von Netzwerkzugängen genutzt werden.
## Herausforderungen und Grenzen
Trotz großer Fortschritte bleibt die Quantenkryptografie noch weit von der breiten Anwendung entfernt. Wichtige Herausforderungen sind:
1. **Verluste und Reichweite:** Glasfasern dämpfen Photonen exponentiell; ohne Verstärker oder **Quantenrepeater** ist die Reichweite begrenzt. Quantenrepeater auf Basis von Verschränkungs‑Verstärkung und Fehlerkorrektur befinden sich erst im Forschungsstadium.
2. **Geräteimperfektionen und Side‑Channel‑Attacken:** Realistische Detektoren und Quellen weisen Effizienzschwankungen, Dunkelzählinge und zeitliche Jitter auf. **Detector‑Blinding‑Attacks** und **Trojan‑Horse‑Attacks** konnten in Laboren viele kommerzielle Systeme kompromittieren. Gegenmaßnahmen wie **Measurement Device Independent QKD (MDI‑QKD)** oder verbesserte Hardware sind notwendig.
3. **Schlüsselrate vs. Distanz:** Hohe Distanzen reduzieren die Schlüsselrate drastisch. Neue Protokolle wie Twin‑F
4. **Kosteneffizienz:** QKD erfordert teure Single‑Photon‑Detektoren, Lasersysteme und hochpräzise Optiken. Für viele Anwendungen ist PQC derzeit eine günstigere Alternative.
5. **Integration mit klassischer Infrastruktur:** Das Overlay von QKD auf bestehende Netze erfordert Trusted‑Nodes oder spezielle WDM‑Technik. Die Skalierbarkeit über weite Strecken steht und fällt mit dem Fortschritt in Quantenrepeater‑Technologien.
## Quantenkryptografie versus Post‑Quantum‑Kryptografie
Die **Quantenkryptografie** bietet fundamentale Sicherheit – bei idealen Geräten garantiert die Quantenmechanik, dass ein Abhörversuch entdeckt wird. Allerdings ist die Infrastruktur teuer und anspruchsvoll; die Technologien stecken noch in den Kinderschuhen. **Post‑Quantum‑Algorithmen** (etwa basierend auf Gittern, wie [Kyber und Dilithium](/post-quantum-kryptografie-sicherheit-im-zeitalter-der-quantencomputer/)) können auf bestehenden Computern implementiert werden und sind für die Masse leichter zugänglich. Sie beruhen jedoch auf unbewiesenen mathematischen Annahmen – theoretisch könnte es unerwartete Algorithmen geben, die auch diese Probleme lösen.
In der Praxis wird es wahrscheinlich eine **Koexistenz** beider Ansätze geben: PQC wird verbreitet eingesetzt, während QKD und andere Quantenkommunikationsverfahren in Hochsicherheitsbereichen (Regierung, Militär, kritische Infrastruktur) ergänzend genutzt werden.
## Ausblick: der Weg zum Quanteninternet
Längerfristig ist QKD ein Schritt hin zum **Quanteninternet**, das verschränkte Zustände über große Distanzen verteilt und damit Anwendungen wie **Distributed Quantum Computing** oder **quantensichere Cloud‑Dienste** ermöglicht. Kernkomponenten auf diesem Weg sind:
* **Quantenrepeater** mit Speicherqubits (z. B. NV‑Zentren, Ionenfallen) zur Verschränkungs‑Verstärkung und -Verteilung.
* **Integrierte Photonik** auf Silizium‑Nitrit oder Lithium‑Niobat‑Chips für kompakte Sender und Detektoren.
* **Standardisierung** durch Organisationen wie ETSI, ITU und ISO, um Schnittstellen und Sicherheitsprofile festzulegen.
Die Forschung an Quantenkryptografie ist eng mit der Entwicklung von **quantenbasierten Netzwerkarchitekturen** verknüpft. Fortschritte bei Verschränkungsquellen, fehlerarmen Quantenprozessoren und neuen Protokollen werden die Reichweite und die Schlüsselraten von QKD verbessern.
## Fazit
Quantenkryptografie nutzt fundamentale Gesetze der Physik, um Kommunikationssicherheit zu gewährleisten. Das BB84‑Protokoll und seine Ableger beweisen, dass Angreifer durch ihre Messungen unausweichlich Spuren hinterlassen. Erste Glasfaser- und Satellitenverbindungen zeigen die prinzipielle Machbarkeit. Gleichzeitig ist Quantenkryptografie kein Allheilmittel: Neben hohen Kosten und beschränkter Reichweite müssen Implementierungsschwächen adressiert werden. Für die nächsten Jahre ist **Post‑Quantum‑Kryptografie** die pragmatischere Lösung für die breite Masse, während QKD in besonders schutzwürdigen Bereichen ein mächtiges zusätzliches Werkzeug darstellt.
### Weiterführende Artikel
* Eine Einführung in die **Quantum‑Fourier‑Transformation und den Shor‑Algorithmus** finden Sie im Artikel [„Shor‑Algorithmus: Wie Quantencomputer die Primfaktorzerlegung revolutionieren“](/shor-algorithmus-primfaktorzerlegung-quantum/).
* Für einen tieferen Einblick in **Fehlerkorrektur und NISQ‑Geräte** lesen Sie [„NISQ‑Ära: Herausforderungen und Chancen der rauschanfälligen Quantencomputer“](/nisq-aera-herausforderungen-chancen/).
* Wenn Sie erfahren möchten, wie neue Mathematik Post‑Quantum‑Kryptografie ermöglicht, besuchen Sie den Beitrag [„Post‑Quantum‑Kryptografie: Sicherheit im Zeitalter der Quantencomputer“](/post-quantum-kryptografie-sicherheit-im-zeitalter-der-quantencomputer/).
ield‑QKD oder CV‑QKD in Verbindung mit Code‑Division bieten Besserungen, benötigen aber komplexe Phasen‑Stabilisierungen.