»Es könnte an der Zeit sein, dass die Quantencomputing-Community darüber diskutiert, ob solche Arbeiten weiterhin offen publiziert werden sollten«, schreibt der theoretische Informatiker Scott Aaronson von der University of Texas in seinem Blog. Anlass für sein Unbehagen ist ein noch nicht begutachtetes Paper, das eine Möglichkeit vorstellt, wie sich gängige Verschlüsselungen mithilfe von Quantencomputern mit deutlich weniger Aufwand aushebeln lassen als bislang nötig. Statt Millionen von Qubits – den quantenmechanischen Informationseinheiten, mit denen Quantencomputer operieren – könnten bereits weniger als 100 000 ausreichen. Damit liegt der Tag, an dem unsere Verschlüsselungen nicht mehr sicher sind, vielleicht deutlich näher als angenommen.

Einige heute verwendete Verschlüsselungen fußen auf einem Verfahren namens RSA-2048. Dessen Sicherheit basiert auf der Schwierigkeit, große Zahlen in ihre Primteiler zu zerlegen. In den 1990er-Jahren erkannte der Mathematiker Peter Shor, dass Quantenalgorithmen solche Aufgaben erstaunlich gut meistern können – zumindest theoretisch. Denn um den komplizierten Algorithmus auszuführen, braucht ein Quantencomputer Tausende Qubits, die praktisch fehlerfrei funktionieren und sich gut kontrollieren lassen. Und hierin besteht die Schwierigkeit.

Zwar gibt es bereits Quantencomputer, die mit mehr als 1000 Qubits arbeiten, doch diese Quanteninformationseinheiten sind nicht sonderlich stabil. Kleinste Schwankungen in der Umgebung können sie stören, sodass fehlerhafte Berechnungen entstehen. Eine Möglichkeit, diesem Problem zu begegnen, besteht in der Fehlerkorrektur: Wird ein Qubit gestört, gibt es einen Mechanismus, der das registriert und ausbessert. Hierfür ist es aber nötig, jede einzelne Informationseinheit, mit der man eine Berechnung durchführen möchte, durch Hunderte oder gar Tausende physischer Qubits zu codieren.

Da Shors Algorithmus Tausende fehlerfreie Quanteninformationseinheiten erfordert, sind daher Quantencomputer mit Millionen von physischen Qubits nötig. Damit schien unsere Verschlüsselungstechnik noch für einige Zeit sicher.

Das Ende der Geheimnisse

Doch nun hat ein Team um den Physiker Paul Webster vom australischen Start-up Iceberg Quantum gezeigt, dass deutlich weniger physische Qubits erforderlich sein könnten als bisher gedacht. Hierfür sei eine spezielle Form der Fehlerkorrektur nötig, die QLDPC-Codes (quantum low‑density parity check codes). Diese verteilen die Quanteninformationen besonders effizient, wodurch sich viele logische Qubits platzsparend, robust und hardwarefreundlich speichern und verarbeiten lassen. Indem man diese Fehlerkorrekturmethode mit einem passenden Aufbau kombiniert, ließe sich eine RSA-Verschlüsselung mit Schlüsseln einer Größe von 2048 Bits bereits mit weniger als 100 000 Qubits knacken, so die Forschenden. Damit bräuchte man rund zehnmal weniger Qubits als bislang vermutet.

»Die Behauptung erscheint mir völlig plausibel«, schreibt Aaronson dazu, der nicht an der Arbeit beteiligt war. »Meine größte Sorge ist, dass QLDPC-Codes schwieriger zu entwickeln sind als herkömmliche Quantenfehlerkorrekturverfahren.« Denn bei QLDPC ist es nötig, auch weit voneinander entfernte physische Qubits miteinander zu verschränken, was für viele Arten von Quantencomputern eine Schwierigkeit darstellt. 

Damit scheint das Ende der klassischen Verschlüsselungen näher zu sein als bisher angenommen. Und tatsächlich gibt Aaronson zu bedenken, dass kryptografische Verfahren, die auf elliptischen Kurven basieren und als sicherer gelten, Quantencomputern noch früher zum Opfer fallen könnten: »Die ›bessere Sicherheit‹ der Elliptische-Kurven-Kryptografie (gegen klassische Angriffe) veranlasste Menschen dazu, 256-Bit-Schlüssel anstelle von 2048-Bit-Schlüsseln zu verwenden. Shors Algorithmus hängt aber hauptsächlich von der Schlüsselgröße ab.« Damit könnten einige Verschlüsselungsverfahren in der Praxis sogar mit noch weniger Ressourcen gebrochen werden. Wann genau es so weit sein wird, lässt sich aber schwer abschätzen.