Quantencomputer

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: rotierende Münze

Ein Quantencomputer basiert auf einer neuen Technologie, die auf der Quantenphysik aufbaut. Damit sollen unbegreiflich schnell komplexe Aufgaben berechnet werden können und eine ähnliche Umwälzung wie die Entdeckung der Elektronik ausgelöst werden.

Einzelheiten

Quantencomputer basieren auf einem anderen Prinzip als derzeit verwendete Computer. Die heutige Datenverarbeitung basiert auf Bits, der kleinsten informativen Einheit eines herkömmlichen Computers. Ein Bit hat zwei definierte Zustände, 0 oder 1.

Quantencomputer rechnen dagegen mit Qbits, die auch Zwischenzustände annehmen können (Superposition). Am Vergleich einer rotierenden Münze wechseln die Zustände ständig zwischen "Kopf" (Zustand 0) und "Zahl" (Zustand 1). Der Vorteil zeigt sich deutlich, wenn man nun mehrere Qbits koppelt (Verschränkung). So kann man mit zwei Qbits die Zustände 0 und 0, 0 und 1, 1 und 0 sowie 1 und 1 abdecken. Da aber ein Quantencomputer alle möglichen Ergebnisse quasi gleichzeitig darstellt, ist das Finden der richtigen Lösung das eigentliche Problem. Deshalb werden die Berechnungen nicht nur einmal, sondern hunderte oder tausende Male ausgeführt. Das korrekte Ergebnis wird dann statistisch ermittelt oder es wird mit grafischen Interferenz-Mustern gearbeitet.

Bedeutsam für die IT-Sicherheit bzw. die Verschlüsselung sind Quantencomputer deshalb, weil bereits 1994 der Wissenschaftler Peter Shor einen mathematischen Algorithmus (sozusagen das Interferenz-Muster) vorstellte, mit dem man die bei der RSA-Verschüsselung verwendeten Primzahlen in endlicher Zeit bestimmen und damit das Verfahren brechen könnte. Aber auch das "Diskrete Logarithmus-Problem" (DLP) ist per Quantencomputer lösbar. Derzeit basieren fast alle Public key-Verfahren auf dem RSA-Algorithmus (derzeit empfohlene RSA-Schlüsselänge 2048 Bit) oder DLP (z.B. Diffie-Hellman-Verfahren und ECC). Die Symmetrische Verschlüsselung ist dagegen vor Quantencomputern relativ sicher. Zwar gibt es auch hier einen Algorithmus (Grover-Algorithmus, eigentlich Suchalgorithmus in einer unsortierten Datenbank - hier angewandt als eine Schlüsselsuche durch alle möglichen Bit-Kombinationen im Sinne eines Brute-Force-Cracking), der den nötigen Aufwand halbieren kann. Dem kann man aber relativ leicht durch die Verdopplung der Schlüssellänge, die im symmetrischen Bereich noch relativ überschaubar ist, abhelfen (z.B. von 128 Bit auf 256 BIT bei AES). Bei asymmetrischen Verfahren ist diese Maßnahme schon allein wegen der 10-fachen Schlüssellänge so nicht anwendbar.

Allerdings ist es bisher noch nicht gelungen, einen Quantencomputer mit ausreichender Qbit-Anzahl zu bauen. Für die Brechung des RSA-Algorithmus wären geschätzt mehrere 1000 bis 10.000 logische Qbits und damit mehrere Millionen physikalische Qbits erforderlich. Derzeit können herkömmlichen Computern eine Brechung des RSA-795 (Schlüssellänge 795 Bit) erreichen[1]. Die letzte Rekord mit der Brechung von RSA-768 liegt bereits 10 Jahre zurück. Per Quantencomputer gelang es bisher lediglich, die Zahl 56 153 zu faktorisieren. Zum Vergleich: Allein RSA-1024 mit der Schlüssellänge 1024 Bit entspricht dezimal ca. einer 309-stelligen Zahl (Überschlagsrechnung: 2^n=x n=ln(x)/ln(2) - für x=Binärzahlstellen und n=Dezimalzahlstellen ergeben in diesen Zahlenbereich 10 Binärzahlstellen ca. 3 Dezimalzahlstellen).

Der in diesem Zusammenhang oft genannte Supercomputer D-Wave wurde mit Google-Hilfe von 1024 Qbits (in 2016) auf 2048 QBits (in 2019) aufgerüstet (im Jahr 2002 waren es noch 8 Qbits, 2010 schon 40 Qbits; 2014 dann 512 Qbits); bekannte Käufer bisher Google und die NASA, wohl aber auch die NSA. Bis 2020 sollen es sogar schon über 5000 QBits sein, zudem soll sich die Verschaltungen der einzelnen Qbits mit den Nachbar-Qbits von 4 ("Chimera") auf 17 ("Pegasus") erhöhen. Allerdings kann der D-Wave-Rechner nicht den RSA-Algorithmus brechen. Der D-Wave-Rechner ist als Quanten-Annealer aufgebaut und deshalb nur zur Lösung von Optimierungsproblemen geeignet. Er basiert auf der Technik des "Quantenausglühens" (nur symbolisch) zum Auffinden eines globalen Minimums über den Umweg des Zustandes niedrigster Energie. Vergleichbar mit einer Berglandschaft kann ein tieferes Tal durch den realen Effekt des (Quanten)-Tunnelns gefunden werden. Es gibt natürlich Optimierungsprobleme (z.B. das Problem des Handlungsreisenden), für die diese Technik geeignet ist (so hat Volkswagen mit D-Wave-System in 2017 das erste kommerzielle Projekt gestartet und versuchte damit Pekings Taxis staufrei ans Ziel zu lotsen[2], für Lissabon wurde ein Feldtest mit Firmenshuttle-Bussen durchgeführt); es gibt aber sicher wesentlich mehr Probleme außerhalb von Optimierungen, für die diese Technik nicht bzw. nicht ausreichend funktionieren wird.

Darüber hinaus gibt es Probleme, wo weder der klassische noch ein Quantencomputer eine Lösung liefern kann. Zudem sorgen die aktuellen Hauptschwierigkeiten Skalierbarkeit und Dekohäranz für Frustration in der aktuellen Entwicklungsphase der Quantencomputer. Auch ist das derzeitige Hauptproblem der Fehlerkorrektur bei der Zusammenschaltung tausender QBits bei den stark fehleranfälligen Quantencomputern noch völlig ungelöst. In den aktuellen Quantencomputer-Implementierungen ist nämlich die Superposition so zerbrechlich, dass zufällige Wechselwirkungen eines einzelnen QBits mit den Molekülen seiner unmittelbaren Umgebung das gesamte Netzwerk zusammenbrechen lassen. Deshalb muss eine Quantenberechnung aktiv fehlerkorrigiert werden. Aktuell in 2020 ist die Fehlerquote 1 Fehler/1000 Operationen, diese müsste noch um dem Faktor 10 gesteigert werden, um sinnvolle Berechnungen zu wagen. Um das Problem Fehlerkorrektor darzustellen, soll das nachfolgende Beispiel (im übertragenen Sinne) helfen: Bei einem Münzwurf wird entweder die Vorderseite ("Kopf") oder die Rückseite ("Zahl") geworfen. Bei einer Vielzahl von Würfen wird sollte das Verhältnis in der Nähe 50%Kopf/50%Zahl einstellen, wie es auch Quanten-Simulatoren berechnen. Da dieses Verhältnis aber nicht exakt 50%Kopf/50%Zahl ist, hat man hier schon die erste Fehlerquelle. Bei der Verwendung echter Quantencomputer kommen dann noch weitere Zustände hinzu (z.B. Münze kommt auf der Kante zum Stehen), die in der Praxis weitestgehend unrealistisch sind, aber für weitere Fehlerquellen sorgen.

Im Gegensatz zu den quasi analoge Quanten-Computer wie die Quanten-Annealer arbeiten IBM und Intel (Tangle Lake) an universellen "Quanten"-Prozessoren, die logische Operationen in einem gatterbasierenden Quantensystem ausführen können. Technisch werden derzeit besonders oft nahe dem absoluten Nullpunkt arbeitende supraleitende Metallringe verwenden. Im Stadium der Supraleitung kann Strom in beide Richtungen zugleich und ohne Widerstand fließen. Diese Art der Quantencomputer verknüpft dann die analogen einzelnen QBits mittels digitaler Interconnects.Cloudbasiert konnte jeder erste Experimente mit dem "IBM Q"-System und zunächst 5 QBits (später 16 QBits) durchführen; eine Aufrüstung auf 20 QBits soll bis Ende 2017 erfolgen. Darüber hinaus hat IBM einen ersten Prototypen eines "Quanten"-Prozessors mit zunächst 17 QBits vorgestellt, der zunächst auf 53 QBits und aktuell auf 72 QBits ausgebaut wurde.

Einen anderen Weg geht der IT-Dienstleister Atos mit einem Quanten-Simulator (der für das derzeitige Spitzenmodell in 2017 mit 40 QBits 1,3 Millionen Euro verlangt). Ebenfalls eigentlich nicht der Kategorie Quantencomputer zuzurechnen sind die "Digital Annealiner" von Fujitsu (mit Cloud-Funktionalität) und Hitachi, die auf parallel rechnender Hardware und Simultan Annealing (Einbeziehung einen Wahrscheinlichkeitsparameters für die beste Lösung) beruhen. Diese Digital Annealiner, wie auch schon oben bei D-Wave mit Quanten-Annealing dargestellt, eignen sich nicht zur Brechung von RSA-Verschlüsselungen. Die Zielrichtung ist eher die Austestung der Post-Quanten-Kryptographie[3].

Die EU will nun auch nicht mehr zurückstehen und mit Googles Hilfe einen eigenen Quantencomputer OpenSuperQ mit 100 QBits bis zum Jahr 2021 bauen(Forschungszentrum Jülich). Dazu sollen europäische Forschungen wie zu supraleitenden Schaltkreisen oder auch Mikrowellentechnik für Rechenoperationen an QBits zusammengebracht werden[4].

Ein bei der NSA-Ausspähaffäre vermuteter Einsatz von Quantencomputern zur Brechung von Verschlüsselungen scheint nach derzeitigem Stand der Technik noch ausgeschlossen. Allerdings wies die NSA im August 2015 die amerikanische Industrie darauf hin, dass sie im Hinblick auf den Fortschritt in der Erforschung der Quantencomputer ("continued progress in the research on quantum computing") zum Beispiel auf elliptischen Kurven basierende Verschlüsselungen nicht mehr unbegrenzt lange für sicher halten[5].

Aktuell wird die Möglichkeit diskutiert, als Zwischenschritt Quantenprozessoren als Coprozessoren zu verwenden. Da klassische Computer schon viele Aufgaben gut können, sollen (ähnlich wie bei den KI-Chips) diese Quanten-Coprozessoren den Rechner nur ergänzen. Damit würde man des Problem der heutigen bisher erreichten niedrigen QBit-Zahl relativieren, allerdings müsste so ein Computer dann auch nahe dem absoluten Nullpunkt arbeiten.


Quantum Computational Supremacy

Mit Quantum Computational Supremacy bezeichnet man allgemein den Nachweis der Überlegenheit der Quantencomputer gegenüber der klassischen Computertechnik. Im Herbst 2019 soll Google-Forschern dies erstmals (indirekt) gelungen sein[6]. Im Rahmen einer höchst akademischen Chaossimulations-Anwendung waren die Ausgabeergebnisse derart komplex, so dass man sie mit einem klassischen Computer nicht mehr abbilden kann bzw. für eine eigene klassische Berechnung etwa 10.000 Jahre benötigen würde.

Allerdings ist das bisher nur das erste nachgewiesene Beispiel der Überlegenheit der Quantencomputer und es handelt sich auch nur um eine Simulation von Quantenverschaltungen (53 QBits); insgesamt bleibt es dabei: Es wird Problematiken geben, für die Quantencomputer besser geeignet sind, es gibt derzeit aber sicher wesentlich mehr Probleme, für die diese Technik nicht bzw. nicht ausreichend funktioniert und der klassische Computer die bessere Wahl darstellt.


Literatur

Cristian J. Meier: Eine kurze Geschichte des Quantencomputers Hannover 2015


Weblinks


Einzelnachweise

  1. "Forscher vermelden neuen Rekord beim Knacken von RSA" in heise security vom 04.Dezember.2019
  2. 2b AHEAD und CIO Magazin präsentieren: Der Quantum Summit
  3. "Quanten-Computing für Entwickler: 30 Qubits ab 100.000 Euro" in heise security vom 04.Juli.2017
  4. Beitrag in der c´t 25/2018 "Europa entfesselt Quanten-Power"
  5. RSA in ihren Information Assurance Programms: Cryptography Today
  6. Beitrag in der c´t 22/2019 "Überlegener Qubitrechner"


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 8. Juni 2020 um 12:36 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Lea Toms und Peter Hohl.