Das Herzstück des Quantencomputers "Quantum System One" des US-amerikanischen Unternehmens IBM könnte man für eine Art außerirdisches Heiligtum halten: Der Rechenkern ist einem rätselhaft verschachtelten Tropfstein ähnlich; durchzogen von goldenen Kabeln wie Adern hängt er unter dem Glassturz des Kryostats, der die Quantenschaltkreise mithilfe flüssigen Heliums kühlt.

Diesem Kühlsystem ist es auch geschuldet, dass Quantencomputer ganze Lagerhallen füllen. Obwohl die Geräte groß und teuer sind, können sie bisher nur vergleichbar wenige Qubits fehlerfrei realisieren. Doch diese überlagerten Pendants klassischer Bits haben es in sich.

Zwei grundlegende Prinzipien

Quantencomputer beruhen auf zwei Prinzipien der Quantenphysik. Das erste ist Überlagerung. Sind Quantensysteme von ihrer Umwelt abgeschirmt, können sie in mehreren Zuständen gleichzeitig sein, die sich für unser Verständnis eigentlich ausschließen müssten. Können klassische Bits, also die kleinste Speichereinheit eines Computers, nur den Wert "null" oder "eins" annehmen, können Qubits in beliebig gewichteten Überlagerungszuständen beider Werte sein.

Diese Superposition erlaubt es, Rechenschritte gleichzeitig auszuführen, die herkömmliche Computer nacheinander durchführen müssen. Außerdem können so Quantensysteme besser simuliert werden. Der zweite Trick der Quantencomputer ist Verschränkung. Sind zwei Qubits verschränkt, scheint das eine sofort auf Veränderungen des zweiten zu reagieren, selbst wenn große Distanzen zwischen den beiden Qubits liegen. Diese seltsame Verbindung sorgt dafür, dass Quantencomputer manche Aufgaben deutlich schneller berechnen können als klassische Computer.

Ein solches Problem ist die Zerlegung von Zahlen in ihre Primfaktoren. Handelt es sich um sehr große Zahlen, ist diese Aufgabe für klassische Computer faktisch unmöglich. Ein Quantenalgorithmus hingegen erlaubt die Berechnung in vergleichbar kurzer Zeit.

Unsichere Verschlüsselung

Die Aussicht, bald in einer Welt mit leistungsfähigen Quantencomputern zu leben, macht Datenschützerinnen und Datenschützer nervös. Es ist genau ihre Fähigkeit, manche mathematischen Aufgaben viel schneller als klassische Rechner zu lösen, die diese Geräte zu einer Bedrohung für unsere digitale Privatsphäre macht. So etwa beruht die gängige RSA-Verschlüsselung darauf, dass zwei Parteien einen öffentlichen Schlüssel und eine codierte Nachricht austauschen. Fangen Hacker beides ab, müssten sie, um die geheime Botschaft zu lesen, eben jene Primfaktorisierung großer Zahlen durchführen, an der sich klassische Computer die Zähne ausbeißen. Mithilfe eines Quantencomputers hingegen wäre die Nachricht im Nu entziffert.

Das sind schlechte Neuigkeiten für alle Informationen, die mittels RSA oder ähnlicher Verfahren codiert werden, wie beispielsweise Bankdaten. Doch dem Physiker Hannes Hübel vom Austrian Institute of Technology (AIT) bereiten weniger solche ohnehin kurzlebigen Daten Kopfzerbrechen: "Eine TAN gilt höchstens ein paar Minuten, es gibt aber auch Daten, die langfristig geheim bleiben müssen, etwa genetische und gesundheitliche Informationen, oder aber Staatsgeheimnisse. Solche Daten müssen auch in einer Zukunft mit Quantencomputern sicher sein", betont Hübel. Doch bisher wurde noch kein Quantencomputer entwickelt, der leistungsstark – und fehlerfrei – genug ist, um etwa die RSA-Verschlüsselung zu knacken. Müssen wir uns heute schon Sorgen machen?

Schwachstellen auf zwei Wegen umgehen

Auch wenn Quantencomputer noch an Kinderkrankheiten leiden, die Gefahr ist real: "Schon jetzt könnten Kriminelle oder andere Akteure die verschlüsselten Daten speichern und sie später mit neuen, leistungsfähigeren Quantencomputern auswerten", gibt Hübel zu bedenken. Also wie sich gegen mögliche Quantenangriffe wehren?

"Die Schwachstelle jedes Verschlüsselungsprotokolls ist der Schlüsselaustausch. Haben erst einmal Sender und Empfänger denselben sicheren Schlüssel, haben wir gewonnen. Bis vor kurzem gab es kein Austauschverfahren, das nicht für Quantencomputer angreifbar ist", erklärt Hübel. Um uns dennoch zu schützen, haben wir zwei Optionen: Die erste Möglichkeit besteht darin, Verschlüsselungsverfahren zu entwickeln, die auf mathematischen Problemen beruhen, für die es noch keinen Quantenalgorithmus gibt. Weltweit suchen Fachleute, unter anderem auch am AIT im Center for Digital Safety & Security, nach solchen quantenresistenten Verschlüsselungen.

"Einige solcher Verfahren werden bereits geprüft", sagt Hübel. Künftig sollen so unsere Daten auf Dauer geschützt werden – ob sie jedoch wirklich sicher sind, kann heute niemand sagen. "Noch gibt es relativ wenige Quantenalgorithmen, doch das wird sich in Zukunft ändern. Vielleicht werden dann manche quantenresistenten Verschlüsselungen durch Quantencomputer angreifbar", sagt Hübel.

Lauschangriff bemerkbar

Die zweite Möglichkeit, der Gefahr durch Quantencomputer entgegenzutreten, liegt in der Quantenphysik selbst. Schicken sich Sender und Empfänger etwa eine Reihe einzelner Lichtteilchen, oder Photonen, und führen dann eine strenge Abfolge von Messungen an ihnen durch, können sie einen zufälligen, aber identischen Schlüssel auf beiden Seiten erzeugen. Fängt ein Eindringling die Lichtteilchen ab und misst sie bereits vorab, verändert das den Gesetzen der Quantenphysik nach das Photon – der Lauschangriff bleibt nicht unbemerkt.

Solche Protokolle, und ähnliche mit verschränkten Lichtteilchen, sind aufgrund physikalischer Gesetze abhörsicher – nicht nur bis ein Computer die nötige Rechenleistung hat, um das zugrunde liegende Problem schnell zu lösen. Darin liegt die Stärke der Quantenschlüsselverteilung. Werden wir also bald mit Quantenverschlüsselung telefonieren? "Solche Verfahren erfordern zusätzliche physikalische Infrastruktur, etwa Photonenquellen und optische Fasern, was das Ganze natürlich aufwendiger und teurer macht. Sie können das im Moment nicht einfach auf dem Handy installieren", sagt Hübel.

Reif für realen Einsatz

Doch grundsätzlich ist die Technik reif genug für den realen Einsatz. So haben Hübel und sein Team bereits ein Quantennetzwerk in Wien aufgebaut, mit dem Quantenschlüssel zwischen einigen Bundesministerien ausgetauscht wurden.

Dem Physiker schwebt ein hybrides Format vor: Sowohl quantenresistente Verschlüsselung sowie Quantenschlüsselaustausch werden Teil unserer künftigen IT-Sicherheitsnetze sein. Ist damit die Quantentechnologie Fluch oder Segen für den Datenschutz? Für Hübel ist die Antwort klar: "Codeknacken ist nur ein kleiner Teil der Fähigkeiten eines Quantencomputers.

Diese Geräte werden zu enormen Fortschritten, etwa in der Medikamentenentwicklung und der Materialforschung führen. Und auf die Gefahren können wir uns jetzt schon vorbereiten." Vielleicht gilt auch bei der Quantentechnologie, was bereits Friedrich Hölderlin schrieb: "Wo aber Gefahr ist, wächst das Rettende auch." (Dorian Schiffer, 24.10.2022)