Quantencomputer sollen einmal alles Mögliche können: Schwierige Optimierungsprobleme lösen, neue Materialien zur Sicherung einer umweltfreundlichen Energieversorgung entwickeln helfen oder Medikamente gegen Alzheimer und Krebs. Doch wann immer bisher auf diesem Feld Fortschritte zu vermelden waren, fehlte nie der Hinweis, es sei noch ein weiter Weg und viel Forschung müsse noch geleistet werden, bevor solch eine Maschine in der Lage sei, Berechnungen anzustellen, für die jeder konventionelle Supercomputer viele Menschenalter braucht. Ein wenig klangen solche Meldungen dann immer wie die Neuigkeiten aus der Kernfusion. Doch am 30. März erschienen auf dem Preprintserver „arXiv“ die Vorabveröffentlichungen zweier Forschergruppen, die vermuten lassen, dass wir nicht Jahrzehnte von einem funktionierenden Quantencomputer entfernt sind, sondern nur noch wenige Jahre. Die beiden neuen Arbeiten sorgen in interessierten Kreisen für nicht geringe Aufregung, allerdings nicht unbedingt für Euphorie. Normale Computer rechneten über geologische Zeiträume Denn wenn diese beiden Autorenteams recht haben, dann wird der Quantencomputer, der da kommt, zunächst einmal nicht das Heilen und Erfinden zu neuen Höhen führen, sondern die Welt buchstäblich unsicherer machen: Die Verschlüsselungsverfahren, durch die das Internet zur zentralen wirtschaftlichen und sozialen Infrastruktur aufsteigen konnte und die den Bitcoin sowie andere Kryptowährungen überhaupt erst möglich machten, sie würden von heute auf morgen unbrauchbar. Denn diese Verfahren beruhen auf der Existenz von Rechenaufgaben, die schwer durchzuführen, aber leicht zu überprüfen sind. Etwa die Zerlegung einer sehr großen Zahl in ihre Primfaktoren. Moderne Verschlüsselungen verwenden dazu Primzahlen mit mehr als 300 Ziffern. Ein Produkt aus zwei derart riesigen Zahlen wieder in selbige zu zerlegen, würde den schnellsten heute verfügbaren Supercomputer mehr als zehn Millionen Jahre beschäftigen – nicht aber einen hinreichend potenten Quantencomputer. Dieser verarbeitet Informationen nämlich nicht in Form von Bits, also klassischen Schaltzuständen, die einen von zwei Werten annehmen, sondern als Quantenzustände sogenannter Qubits. Sie enthalten Überlagerungen aller physikalisch zulässigen Zustände zugleich. Ein genialer, aber subversiver Algorithmus Im Jahr 1994 fand der amerikanische Mathematiker Peter Shor ein faszinierend trickreiches Verfahren, das es erlaubt, mittels solcher Qubits Primfaktorzerlegungen sehr viel rascher zu erledigen, als es auf klassischen Computern möglich ist. In seiner damaligen Publikation zeigte Shor auch, wie sich auf einem Quantencomputer sogenannte diskrete Logarithmen schnell berechnen ließen. Auch das ist auf einem klassischen Computer nicht effizient möglich, und auf dieser Tatsache beruht ein anderes wichtiges Verschlüsselungsverfahren: die Kryptographie mittels sogenannter Elliptischer Kurven. Viele Kryptowährungen, auch der Bitcoin, sind mit einem solchen Verfahren abgesichert – und zwar genau mit jenem, das Gegenstand einer der beiden Veröffentlichungen vom 30. März ist. Die Autoren werden angeführt von Craig Gidney von Google Quantum AI, einem Forschungslabor des Konzerns im kalifornischen Santa Barbara. Sie kommen zu dem Schluss, ein praktikabler Quantencomputer würde die Verschlüsselung von Bitcoin und anderer Kryptowährungen „in Minuten“ umgehen können und bräuchte dafür „weniger als eine halbe Million Qubits“. Nur noch ein Zwanzigstel der bisher erforderlichen Qubits Das klingt nach ziemlich vielen Qubits. Tatsächlich verfügt Googles neuester experimenteller Quantenchip „Willow“ über gerade einmal 105 Qubits aus supraleitenden Schaltkreisen. Diese müssen auf Temperaturen knapp über dem absoluten Nullpunkt gekühlt werden – und die dafür nötigen Apparaturen mit der Anmutung vergoldeter Kronleuchter wurden zu dem, was Medienberichte zum Thema Quantencomputer typischerweise abbilden. Auch das bisher größte Qubit-Ensemble aus in einem Gitter aus Licht gefangenen Caesium-Atomen, das ein Forschungsteam vom California Institute of Technology in Pasadena nahe Los Angeles im September vorgestellt hat, umfasst erst 6100 Qubits, mit denen man allerdings noch nicht richtig rechnen kann. Nun bedarf es bisherigen Erkenntnissen zufolge zum praktikablen Codeknacken rund zehn Millionen physikalischer Qubits. Nach den Abschätzungen, die Gidney und seine Kollegen jetzt vorgelegt haben, tut es aber auch ein Zwanzigstel davon. Das ist in der Tat ein erstaunlicher Fortschritt – nicht in puncto Quanten-Hardware, aber im theoretischen Verständnis dessen, was man mit einer solchen erreichen kann. Der Siegeszug der neutralen Atome Das gilt erst recht für die andere der beiden jüngsten Veröffentlichungen. Sie stammt von einem Team um Dolev Bluvstein und Madelyn Cain, die heute in ebenjenem Caltech-Labor forschen, dem kürzlich der 6100-Qubit-Rekord gelungen war. Zuvor hatten beide in Harvard im Labor von Mikhail Lukin gearbeitet. Lukin hat das Quantenrechnen mit neutralen Atomen in Lichtgittern in den vergangenen Jahren so entscheidend verbessert, dass diese heute eine ernsthafte Alternative zu den von Google, IBM und Amazon bislang favorisierten supraleitenden Qubits darstellt. Bei dieser Konkurrenz geht es darum, mit welchem System am Ende der „Q-Day“ anbrechen wird – also jener Tag, an dem erstmals ein Quantencomputer imstande sein wird, die in der Realität eingesetzten klassischen Verschlüsselungsverfahren zu umgehen. Cain, Bluvstein und ihre Kollegen kommen zu dem Schluss, dass der Shor-Algorithmus, wenn er auf einem Array aus neutralen Atomen implementiert wird, in einer kryptographisch relevanten Größenordnung mit gerade einmal 10.000 Qubits würde ausgeführt werden können. Damit ist dieses Team einerseits in der Nähe der Größenordnung der Neutralatom-Systeme, mit denen man am Caltech bereits experimentell grundsätzlich umzugehen weiß – wenn sie dort auch noch nicht in diesem Umfang zu Quanten-Schaltkreisen verknüpft wurden. Andererseits sind 10.000 physikalische Qubits nicht mehr weit entfernt von den 3000 bis 4000 logischen Qubits, die man theoretisch mindestens benötigt, um die Zerlegung eines Produkts aus 300-stelligen Primfaktoren in praktikabler Rechenzeit bewerkstelligen zu können. Physikalische und logische Qubits Der Unterschied zwischen physikalischen und logischen Qubits ist hier entscheidend. Definierte Quantenzustände sind nämlich fragile Gebilde. Nur zu leicht fallen sie Störungen aus der Umgebung zum Opfer: dem Aufprall eines in der Vakuumkammer verbliebenen Gasatoms etwa oder irgendeines Strahlungsquants, das gerade vorbeikommt. Das schlägt dann als ein Fehler im Schaltkreis zu Buche – ähnlich wie wenn in einem klassischen Computer an entscheidender Stelle der Inhalt eines Bits spontan von eins auf null wechselt oder umgekehrt. Der Fehler kann aber korrigiert werden, wenn mehrere physikalische Qubits zur Verfügung stehen, welche zusammen die Aufgabe eines dann sogenannten logischen Qubits übernehmen. Fortschritte in der Quantencomputerei sind damit vor allem an zwei Fronten möglich: erstens natürlich im Bemühen um eine Erhöhung der Anzahl physikalischer Qubits, die stabil vorgehalten, verschaltet, angesteuert und ausgelesen werden können, und zweitens im Ausbau der Leistungsfähigkeit von Fehlerkorrekturverfahren. Letzteres läuft darauf hinaus, für ein logisches Qubit immer weniger physikalische Qubits zu benötigen. In den späten 2010er-Jahren brauchte man dazu noch Tausende. Nun haben die Caltech-Forscher – sofern sie sich nicht irgendwo vertan oder zu optimistische Annahmen gemacht haben – diese Kennziffer auf unter eine Handvoll gedrückt. Google peilt das Jahr 2029 an „Man kann nicht sagen, das sei unplausibel“, sagt der Mathematiker Stephan Ehlen, Leiter des Referats Quantentechnologien und kryptographische Systeme des Bundesamts für Sicherheit in der Informationstechnologie (BSI) in Bonn. Das gelte auch für das Resultat des Google-Teams. „Für uns steht das grundsätzlich in einer Linie von Arbeiten, die wir in den vergangenen Jahren immer mal wieder gesehen haben“, sagt Ehlen. „Allerdings sind das zunächst alles theoretische Arbeiten. Das muss jetzt erst mal jemand auf einer realexistierenden Maschine schaffen.“ Wann könnte das passieren? Tatsächlich schon in wenigen Jahren? „Ein Zeithorizont von etwa zehn Jahren ist ernst zu nehmen, auch weil er in Einklang mit erwarteten Fortschritten bei der Hardware ist“, sagt Tommaso Calarco, Direktor des Institute for Quantum Control am Forschungszentrum Jülich, wo in Deutschland am stabilen fehlerkorrigierten Betrieb von Qubits geforscht wird. Tatsächlich hat die Firma Google wenige Tage vor der Veröffentlichung der Preprints aus Pasadena und Santa Barbara das Zieljahr für eine abschließende Umstellung auf sogenannte Post-Quantum-Kryptographie auf 2029 festgesetzt. Jetzt Daten klauen, später entschlüsseln Mit „Post‑Quantum“ werden kryptographische Verfahren etikettiert, die nach heutigem Kenntnisstand auch dann noch sicher bleiben, wenn eines Tages leistungsfähige Quantencomputer zur Verfügung stehen. Besonders wichtig sind dabei Verfahren, die mit sogenannten Gittern (englisch lattices) in sehr hochdimensionalen Zahlenräumen arbeiten. Auch sie beruhen auf Rechenproblemen, für die bislang keine schnellen Lösungswege bekannt sind – aber diesmal weder auf klassischen Rechnern noch auf Quantencomputern. Ein mathematischer Beweis für die Unmöglichkeit schnellerer Lösungswege existiert nicht, aber das gilt bereits für die Primzahlzerlegung auf klassischen Computern. Nachdem aber in mehr als 40 Jahren kryptographischer Praxis niemand auf einen solchen Algorithmus gestoßen ist, stehen die Chancen nicht schlecht, dass Lattice-Kryptographie im Quantenzeitalter eine Weile sicher bleibt. Geforscht wird an Post-Quantum-Verschlüsselungen schon seit mehr als einem Jahrzehnt. Das amerikanische National Institute of Standards and Technology (NIST) veröffentlichte im Jahr 2024 Standardisierungen für mehrere Post-Quantum-Verfahren, und im Jahr darauf stellte die Network and Information Security Group bei der Europäischen Kommission eine „Roadmap“ für den Übergang zur Post-Quantum-Kryptographie vor. Die Geheimdienste dürften sich mit der Thematik schon länger befassen, da davon auszugehen ist, dass in dieser Sphäre bereits jetzt große Mengen verschlüsselter Daten gehortet werden, um nach dem Motto „Harvest now, decrypt later“ zukünftige Quantencomputer damit zu füttern. Unternehmensberater besuchen jetzt Quantenkonferenzen Und anders, als Googles Verkündigung einer Deadline für 2029 vermuten lässt, treibt die Post-Quantum-Kryptographie auch die Internetindustrie schon länger um. „Die großen Player haben sie serverseitig spätestens seit letztem Jahr ausgerollt“, sagt Stephan Ehlen vom BIS. Die gängigen Browser unterstützten die Technik mittlerweile, und bei den bedeutenden Websites sei die Chance inzwischen groß, dass beim Schlüsselaustausch wirklich schon quantensichere Kryptographie verwendet wird. Auch viele von den Messengerdiensten haben umgestellt, Signal etwa. Whatsapp allerdings noch nicht. „Das Problem ist eher die kleinere Infrastruktur“, erklärt Ehlen, etwa Geräte in Industrieanlagen, die schon länger im Einsatz sind, oder Autos. Die Finanzbranche dagegen sei größtenteils auf gutem Weg. „Die Banken waren so ungefähr die Ersten, die sich bei uns gemeldet haben“, erinnert sich Ehlens Kollege Manfred Lochter. Etwas problematisch sei es im Payment-Sektor, wo noch viele ältere Kartenterminals in Gebrauch sind, nicht zuletzt außerhalb der großen Industrieländer. Alles in allem habe der Grad des Interesses für die Post-Quantum-Verschlüsselung in den vergangenen zwei bis drei Jahren aber enorm zugenommen, sagt Stephan Ehlen. Das könne man auch an den Fachtagungen ablesen. „Inzwischen kommen da auch die Unternehmensberater.“ Kann man neue Erkenntnisse noch guten Gewissens publizieren? Der Q-Day wirft seine Schatten also bereits voraus – und in manchen davon droht es tatsächlich dunkler zu werden. So hat das Google-Team um Craig Gidney sein Verfahren zum Bruch einer Verschlüsselung mittels Elliptischer Kurven nicht veröffentlicht, sondern nur seine Korrektheit demonstriert, mittels eines sogenannten Zero-Knowledge-Proofs – im Sinne einer verantwortungsvollen Offenlegung („responsible disclosure“), wie die Autoren aus Santa Barbara sich ausdrücken. Man möchte künftigen Quanten-Hackern eben keine Nachhilfe geben. In dieselbe Richtung geht, was der prominente Quanteninformatiker Scott Aaronson von der University of Texas in Austin Anfang März in einem Podcast-Interview berichtete: „Ich weiß, dass es tatsächlich Leute gibt, die sich mit den ganz konkreten Ressourcenanforderungen für Shors Algorithmus beschäftigen – also dafür, verschiedene heute eingesetzte Kryptosysteme zu brechen – und die inzwischen an dem Punkt sind, sich zu fragen: Sollten wir das veröffentlichen oder lieber nicht?“ Tommaso Calarco aus Jülich kann das allerdings so nicht bestätigen. „Ich sehe derzeit keine Entwicklung, die darauf hindeutet, dass offene Publikationen von Quantenalgorithmen eingeschränkt werden. Die Community ist weiterhin stark auf Transparenz und Austausch ausgerichtet. Sensibler wird es bei Fragen zur Hardware“, sagt Calarco. Hier begännen Debatten zu Themen wie Exportkontrollen, technologischer Souveränität und strategischen Abhängigkeiten. „Wer die leistungsfähigsten Systeme baut, möchte möglicherweise nicht jedes technische Detail dazu teilen.“ Vielleicht hat die „responsible disclosure“ des Google-Teams aber auch damit zu tun, dass ausgerechnet der Sektor, dessen Verschlüsselungsmethodik sie in ihrer Veröffentlichung untersuchen, in Sachen „Post-Quantum“ noch besonders viel zu tun hat: die traditionell um besondere Staatsferne bemühte Welt der Krypto-Währungen. „Das BSI hat 2019 das erste Mal davor gewarnt, dass etwa Bitcoin gefährdet wäre“, sagt Manfred Lochter. „Die könnten das also wissen.“