Die Beurteilung durch die “Fachwelt”

Die Quantenmechanik ist selbst für Physiker oft kein Allerweltsthema, und bei Gesprächen mit anderen Wissenschaftlern stößt man beim Thema Quantenmechanik auf die Auskunft, “ja, man habe selbst auch schon häufiger an einem Volkslauf teilgenommen”. Mit anderen Worten, kaum einer kennt sich dort aus.

Das trifft auch auf Kryptologen zu, die statt “Wissen ist Macht” eher dem Slogan “Nichts wissen macht nichts” nacheifern. Die eingängigen Schlagworte wie “Verschränkung” oder “Shor-Algorithmus” sind ihnen zwar bekannt, aber die im vorhergehenden Abschnitt dargelegten technischen Implikationen weitgehend nicht. Da wird mit dem Brustton der Überzeugung etwas Falsches verkündet, und beim Versuch, einige der im FAQ-Bereich angesprochenen technischen Details vorzustellen, trafen wir nicht etwa auf “Aha, so ist das!”, sondern auf Kommentare der Art “the authors do not seem to be very familiar with quantum computer theory”. Nun, die Flucht in die Beleidigung ist eher eine politische als eine naturwissenschaftliche Reaktion.

Selbst Leute, die es besser wissen müssen, tun sich schwer. Von der Entwicklung eines 4 Qbit-Chips durch IBM haben wir berichtet, und die Leistung soll auch gar nicht in Abrede gestellt werden. Wenn in der Presseerklärung dann aber zu lesen ist, “ein QC mit 40 Qbit kann Aufgaben schneller lösen als sämtliche Supercomputer der Welt zusammen” , dann ist das schlicht unfug, denn mit 40 Qbit kommt man nicht sehr weit.

Vieles spielt sich heute auf Konferenzen und in populärwissenschaftlichen Zeitschriften ab, während man in den wissenschaftlichen Medien meist vergebens nach etwas sucht, was die Thesen belegt. Ein Beispiel ist auf der Blogseite kommentiert: vor einem anscheinend nur bedingt sachkundigen Publikum werden Thesen wie “RSA IS DEAD! DIFFIE-HELLMAN IS DEAD! EC CRYPTOGRAPHY IS DEAD!” verkündet, mit ein paar Meinungen anderer Leute und ein paar Grafiken garniert, und das Ganze ein paar mal wiederholt, bis auch in der hintersten Reihe die Zuhörer das für bare Münze nehmen, ohne etwas geliefert bekommen zu haben, anhand dessen sie das selbst und unabhängig kontrollieren könnten.

Beispielhaft für das Marktgeschehen möge das neueste NIST-Projekt vorgestellt sein (andere Projekte unterscheiden sich nur unwesentlich). Das NIST (National Institute of Standards) ist bekanntlich das US-Gegenstück zur PTB (Physikalisch technische Bundesanstalt) in Braunschweig und hat nun ein Post-Quantum-Kryptografie-Projekt aus der Taufe zu gehoben (die EU verfolgt so etwas schon länger und fördert das mit 1 Mio €).

Das NIST prognostiziert als Begründung für die Notwendigkeit des Projektes aufgrund eines Gutachtens die Wahrscheinlichkeit der Brechbarkeit von 2.048 Bit RSA durch einen QC in 10 Jahren auf 1/7, in 15 Jahren auf 1/1. Gleiches wird für 128 Bit-AES behauptet, wobei man den Algorithmus aber durch 256 Bit-Versionen retten kann. Um das zu erreichen, benötigt laut NIST man lediglich

  • einen Etat von 1 Mrd. US-$
  • ein eigenes Kraftwerk zum Betrieb der Anlage

Wohlgemerkt: weder die mathematischen Zusammenhänge noch die physikalischen Gesetze spielen für das NIST anscheinend bei dieser Einschätzung eine Rolle. Es ist völlig uninteressant, dass der 128 Bit-AES physikalisch völlig außerhalb der derzeit bekannten theoretischen Möglichkeiten liegt, wie wir im FAQ-Teil begründet haben, und es ist anscheinend auch völlig uninteressant, wie sich die Sachlage bei 4.096 Bit-RSA oder darüber darstellt.

Wenn man den Werten 1/7 und 1/1 etwas weiter nachgeht,stößt man auf eine Abhandlung (das besagte Gutachten), in der jemand sein Ansicht äußert, dass das so sein könnte, sich aber technisch nur in Allgemeinplätzen ergeht, ohne wirklich belastbar konkret zu werden. An einzelnen Stellen werden wissenschaftliche Literaturzitate aus den Jahren 1990 - 2008 angeführt, einige weitere, die aber auch nichts wesentlich Neues zur Stützung der Thesen beibringen, reichen bis 2012.

Irgendwann um 2010 scheint in solchen Arbeiten (das trifft nicht nur auf diese zu) das “Journal of Physics” als wissenschaftliches Medium durch ein neues hochwissenschaftliches Medium namens YouTube.com abgelöst worden zu sein, und als “wissenschaftlichen Beleg” für die Thesen wird auf dort aufgezeichnete Vorträge verwiesen. Einen Vorgeschmack habt ihr schon auf der Blogseite zu sehen bekommen; andere sind vielleicht etwas seriöser aufgezogen, aber das Problem bleibt mehr oder weniger das Gleiche: vor einem wie auch immer gearteten Publikum, dem man mathematische Fakten in einem solchen Vortrag besser nicht zumutet, präsentiert jemand eigene Grafiken, Behauptungen, Behauptungen anderer Leute, usw., aber allenfalls ausnahmsweise nachprüfbare Fakten, die aber die Behauptungen nicht belegen. Man kommt sich stellenweise vor wie auf einer Star Trek - Convention, und möglicherweise ist das Publikum sogar identisch. Was aber auf jeden Fall fehlt, ist eine in die Tiefe gehende Ausarbeitung für das Fachpublikum, das in einer längeren Überlegungsphase (und nicht im vorbeirauschenden Redestrom) alles sorgfältig prüft. [1]

Auf der Basis solcher Gutachten und mehrerer Vortragsvideos kommt das NIST dann zu seiner 10-15 Jahre Prognose. [2] Da fundiertes Halbwissen heute der Standard zu sein scheint, stellt sich gleich eine weitere Frage: wenn die Leute den Quantencomputer schon nicht verstehen, wie wollen sie dann beurteilen, ob ein Algorithmus quantencomputer sicher ist? Und so lesen sich dann die Beiträge zu entsprechenden Algorithmen bislang meist ähnlich wie die Prognosen: Programme, Absichten, Möglicheiten, Ähnlichkeiten zu lebenden Algorithmen, aber kaum Konkretes. Zumindest haben wir in den verfügbaren Papieren noch nichts gefunden, was irgendwie auf einen realisierbaren QC-sicheren Algorithmus hinweisen würde, von unserem mal abgesehen. [3]

Fasst man alles zusammen, kann man den Einduck nicht verleugnen, dass zumindest im Kryptografiebereich sehr viel Schaum mit dem QC geschlagen wird. Wer kräftig genug schreit, überzeugt anscheinend das breite Nichtfachpublikum. Allerdings sind die Naturwissenschaften nach wie vor keine Demokratie: nicht die Mehrheit entscheidet, sondern schlicht die Physik.

[1]Auch dort findet man aber ähnliche Erscheinungen: manche Autoren kommen mit einem mathematischen Apparat daher, der wenn nicht völlig überzogen so jedoch so angelegt ist, dass er für die meisten nicht nachvollziehbar ist (zumindest nicht in akzeptabler Zeit). Man glaubt und zitiert, selbst dann nach, wenn sich irgendwann herausstellt, dass Fehler drin sind.
[2]Den österreichischen Quantenpapst Prof. Anton Zeilinger hat allerdings mal jemand auf einer Veranstaltung an der Uni Heidlberg kalt erwischt. “Quantencomputern gehört die Zukunft!” so seine Aussage. Beim Nachbohren musste er allerdings einräumen, dass die Realisierung “irgendwann nach 2100, möglicherweise auch 2200” zu erwarten ist. Das passt schon eher zu unserer FAQ-Einschätzung, und wer Zeilinger kennt, wird dem auch entsprechendes Gewicht beimessen.
[3]Zugegeben, auch wir können etwas übersehen. Wenn jemand wirklich etwas Handfestes findet, wären wir für entsprechende Nachricht äußerst dankbar. Wir möchten hier weder allwissend noch überheblich rüberkommen, aber so lange nichts wirklich Belastbares präsentiert wird, sondern man sich auf YouTube-Beiträge beschränkt, wird sich an unserem Echo nichts ändern.