Kloiber: Quantenverschlüsselung galt bis vor vier Jahren als eine sichere Sache. Doch dann wurde nach und nach bekannt, wie Geheimdienste und Kryptografie-Experten der organisierten Kriminalität selbst diese als unknackbar geltende Verschlüsselung aushebelten. Auf dem 31C3 werden nun Methoden diskutiert, Quantenkryptografie wieder sicher zu machen. Wo setzen denn die Codeknacker an, wenn sie quantenverschlüsselte Daten abhören wollen, Peter Welchering?

Welchering: Ähnlich wie Hacker, die beim Online-Banking Passwörter, Transaktionsnummern und andere Kontendaten erbeuten – mit der "Man-in-the-middle-Attacke". Die fangen die Lichtteilchen einfach ab und lesen sie aus.

Kloiber: Aber wer Lichtteilchen bei der Quantenverschlüsselung abfängt und ausliest, verändert sie doch und fällt dadurch auf.

Welchering: Der Sender schickt beim quantenkryptographischen Verfahren Photonen genante Lichtteilchen als Quantenbits über die Leitung. Photonen weisen vier unterschiedliche Polarisationszustände auf. Der Empfänger misst die Polarisationszustände der Lichtteilchen, leitet daraus eine Bitfolge ab und vergleicht diese Bitfolge mit den ursprünglich vom Sender verschickten Quantenbits. Will ein Datenspion die Leitung abhören, muss er dafür einzelne Lichtteilchen abfangen und deren Polarisation messen. Durch diese Messung werden die Lichtteilchen tatsächlich verändert.

Kloiber: Und mit welchem Trick täuschen die Photonen-Diebe den Empfänger, sodass der nicht merkt, dass abgehört wurde?

Welchering: Damit der Empfänger nicht merkt, dass die Photonen abgefangen worden waren und manipuliert sind, blenden die NSA-Spione die Empfängerdetektoren regelrecht. Sie senden einen sehr hellen Blendpuls. Durch den hellen Blendpuls steht die Photodiode im Empfangsgerät unter einer Art Dauerbeschuss. Damit ist sie unempfindlich für einzelne Photonen geworden. Sie kann auch die Quanteneigenschaften einzelner Photonen nicht mehr erkennen. Der Detektor im Empfangsgerät ist geblendet, arbeitet nur noch als ganz normaler Lichtsensor. Das nutzen die Datenspione aus. Sie fangen einzelne Photonen vom Sender ab, rekonstruieren den Quantenschlüssel und schicken die Photonen dann weiter zum Empfangsgerät. Und da merkt niemand, dass sie verändert worden sind, weil das Empfangsgerät einzelne Photonen gar nicht mehr erkennen kann. Deshalb hält es die von den Datenspionen geschickten Quantenbits für die originalen Quantenbits des Senders. Die Datenspione haben aber dadurch den gleichen Schlüssel wie Sender und Empfänger, die verschlüsselte Daten mit Quantenkryptografie austauschen und können direkt mitlesen.

Kloiber: Und wie soll das jetzt verhindert werden?

Welchering: Ein Ansatz, der auf dem 31C3 diskutiert wird, besteht darin, eine Art Verhandlungsfolge von Photonen an das Empfangsgerät zu schicken. Eine Prüfroutine wertet dann aus, ob einzelne Photonen und deren Polarisationszustände erkannt werden können. Dann kommen die verschlüsselten Nutzdaten. Aber auch die werden auch nicht alle hintereinander weg gesendet, sondern immer wieder von Testdaten unterbrochen, bei denen extra geprüft wird, dass kein Blendimpuls abgeschickt wurde. Wichtig ist dabei, dass die Prüf-Photonen nicht regelmäßig gesendet werden. Dann könnte ein Datenspion immer dann einen Blendimpuls senden, wenn so eine Folge von Prüf-Photonen gerade verarbeitet worden ist. Die Prüf-Photonen müssen in einer vollkommen zufälligen Reihenfolge gesendet werden und verarbeitet werden.

Kloiber: Ist so ein Sicherheitskonzept mit Prüf-Photonen denn schon getestet worden?

Welchering: In zwei Laboratorien in Deutschland und Japan. Aber das ist noch tatsächlich noch im Stadium der Laborentwicklung. Sozusagen von der Idee zum Gerät mit ersten Testaufbauten.