\u00dcber IT-Sicherheit in Form von Verschl\u00fcsselung macht man sich keinen Kopf. Es sei denn, der\u00a0 BND oder die NSA h\u00f6ren einen ab. Aber auch dann regt man sich allenfalls auf, dass doch tats\u00e4chlich jemand den 3 Stunden unbeaufsichtigt auf die Mauer gelegten 500 \u20ac-Schein mitgenommen hat, macht sich aber immer noch keinen Kopf. Verschl\u00fcsselung von Emails, das w\u00fcrde mindesten 2 zus\u00e4tzliche Mausklickes erfodern, wenn \u00fcberhaupt! Wo kommen wir denn da hin, wenn das einrei\u00dfen w\u00fcrde?<\/p>\n
Wenn man trotzdem mal auf solche M\u00f6glichkeiten hinweist, kommt in der Regel ein kecker 1-Semester-Studi, der noch Reste der Eischale auf dem Kopf hat und belehrt den Vortragenden „RSA? Da hole ich mir einen Quantencomputer, und das war’s dann! Also warum sich mit solcher Technik besch\u00e4ftigen?“ So so, S\u00f6hnchen! Dann reden wir mal Klartext:<\/p>\n
Asymmetrische Verschl\u00fcsselungssysteme, die Grundlage der heutigen Verschl\u00fcsselungs- und Signaturprotokolle, basieren auf der technischen Nichtl\u00f6sbarkeit bestimmter algebraischer Operationen auf endlichen K\u00f6rpern mit konventionellen Computern (die Details – Ringe und K\u00f6rper \u00fcber ganzen Zahlen, Polynomen \u00fcber K\u00f6rpern oder erweitert rationalen Polynomk\u00f6rpern, K\u00f6rpern auf elliptischen Kurven oder, wem das nicht gen\u00fcgt, hyperelliptischen Kurven, usw – lasse ich mal weg, um niemanden zu verwirren). F\u00fcr bestimmte Operationen sind nur L\u00f6sungen bekannt, die einen exponentiell mit der Anzahl der verwendeten Bits steigenden Aufwand erfordern, andere Operationen sind ohne Kenntnis bestimmter Nebenbedingungen mit dem gleichen Problem behaftet.<\/p>\n
1994 entwickelte Peter Shor einen Algorithmus f\u00fcr (nur in der Theorie existierende) Quantencomputer, der das Problem beseitigt, da der Aufwand \u201enur\u201c polynomial und nicht mehr exponentiell mit der Bitanzahl steigt. 2001 konnte das Prinzip experimentell verifiziert werden – f\u00fcr die Faktorisierung der Zahl 15. Seitdem nimmt das Thema \u201eQuantencomputer\u201c und Sicherheit der Verschl\u00fcsselung besonders in popul\u00e4rwisschenschaftlichen Medien einen breiten Raum ein. Neben den Bem\u00fchungen, einen Quantencomputer zu konstruieren, laufen Bestrebungen, Algorithmen zu konstruieren, die nicht angreifbar sind. Immer wieder wird gemutma\u00dft, Geheimdienste wie die NSA (oder gewisse 1-Semester-Studis) verf\u00fcgten bereits \u00fcber Quantencomputer und k\u00f6nnten die gebr\u00e4uchliche Verschl\u00fcsselung angreifen (bei der Klausur war er nicht so gut, also hat er ihn wohl noch nicht, denn sonst h\u00e4tte er ja meine Mails mit den Klausuren gelesen).<\/p>\n
Technisch w\u00e4ren dazu Quantencomputer notwendig, die bei heute gebr\u00e4uchlichen Schl\u00fcsseln von 2.048 Bit \u00fcber ca. 6.150 Qbits verf\u00fcgen m\u00fcssen. Da bei dieser Gr\u00f6\u00dfenordnung eine Quantenkontrolle und\/oder Korrektur notwendig ist, weil das System durch Wechselwirkung mit der Umgebung oder einfach aus statistischen Gr\u00fcnden gewisserma\u00dfen auseinander f\u00e4llt (man nennt das Dekoh\u00e4renz), erh\u00f6ht sich die Zahl etwa auf 20.000 \u2013 332.100 Qbit, je nach Ansatz und Qualit\u00e4tsvorstellungen. Das ist \u00fcbringens die Registerbreite der Quanten-CPU, weil Quantencomputer nur \u00fcber CPU-Register, aber keinen RAM verf\u00fcgen.<\/p>\n
Der Quantencomputer liefert nicht etwa die gesuchten Schl\u00fcssel in einer Rechnung, sondern nur mit einer Wahrscheinlichkeit, die in etwa proprotional zu Anzahl der Bits ist,\u00a0 eine L\u00f6sung (vorausgesetzt, die Rechnung kann bis zu Ende durchgef\u00fchrt werden, ohne dass das System dekoh\u00e4rent wird), die in einem aufw\u00e4ndigen Zusatzschritt mittels eines herk\u00f6mmlichen Computers ausgewertet werden muss und sich Kettenbr\u00fcchen bedient, was vermutlich die meisten erst einmal nachschlagen m\u00fcssen, um herauszubekommen, was das wohl ist. Der Rechenaufwand auf dem klassischen Computer ist etwa kubisch in der Zahl der Bits, d.h. die Rechenzeit steigt mit der dritten Potenz, wenn die Anzahl der Bits erh\u00f6ht wird. Ben\u00f6tigt man f\u00fcr 1.024 Bits beispielsweise 1 h Rechenzeit, sind das bei 2.048 Bits bereits 8 h und bei 4.096 Bits 64 h. Das ist zwar nicht mehr exponentiell, sondern polynomial, aber immer noch Aufwand.<\/p>\n
Auch der Rechenaufwand f\u00fcr den Quantencomputer zur Erzeugung eines Ergebnisses ist nicht exponentiell, sondern ebenfalls kubisch in der Zahl der zu verarbeitenden Bits (merkw\u00fcrdig: die Energieausbeute bei Windkraftwerken ist auch kubisch in der Windgeschwindigkeit. Ob das der Grund ist, weshalb Windenergie ebenfalls nicht funktioniert?). F\u00fcr den Quantenalgorithmus alleine sind im Standardmodell somit O(20483<\/sup>) d.h. ca 100 Mrd.\u00a0 Operationen notwendig (ohne Kontrollbits!), was zu Ausf\u00fchrungszeiten f\u00fchrt, die nahe an der maximalen statistischen Lebensdauer der Quantenzust\u00e4nde liegen. Die Zeiten kann in Abh\u00e4ngigkeit vom Quantensystem mit Hilfe der Heisenbergschen Unsch\u00e4rferelation berechnet werden, und an den Werten gibt es nichts zu diskutieren, da Heisenberg schon tot ist und die Diskussion \u00fcber l\u00e4ngere Lebensdauern verweigert. Das wiederum f\u00fchrt dazu, dass viele Rechnungen aufgrund vorzeitiger Dekoh\u00e4renz keine L\u00f6sungen liefern. Zumindest kann man das erkennen und muss den Schwachfug nicht auch noch klassisch auswerten.<\/p>\n Erschwerend kommt hinzu, dass jedes der Qbits im Laufe der Operationen mit jedem anderen Qbit mehrfach direkt wechselwirken muss, was mehr oder weniger bedeutet, dass die Qbits in direkten Kontakt gebracht werden m\u00fcssen (wer will, kann ja mal bei Spin-Spin-Wechselwirkung nachschauen, denn das ist so das Standardmodell). Egal wie man die anordnet, ein Teil der 20.000 – 331.200 Qbits ist weit weg von dem, um das es gerade geht, und muss erst irgendwie herangekarrt werden, wozu es zwar Modellvorstellungen beim Design eines Quantencomputers gibt, was aber auf jeden Fall wieder Zeit kostet. Der Aufwand ist also enorm, die Erfolgsaussichten schwinden mit zunehmender Bitanzahl in Richtung Null – zumindest nach dem derzeitigen Stand der Kenntnisse.<\/p>\n