Ansichten eines Informatikers

Neues Puzzlestück: Quantenkryptographie

Hadmut
7.8.2017 21:58

Verblüffend. Auch nach fast 20 Jahren finde ich immer noch erstaunliche neue Facetten meines Promotions-Crashes. Die Frage ist, was an diesem Staat eigentlich echt ist.

Der geneigte Leser wird wissen, von wem ich rede, ich habe ja schon so viel über meinen „Doktorvater“ Beth und mein „Promotionsverfahren“ geschrieben. Wieder mal Zeit, ein Detail neu zu bewerten und die Sache etwas anders zu sehen (und wieder eine Bestätigung meiner Beschreibung!).

Beth hat sich damals ja immer gerne als einen der vier größten Kryptologen der Welt ausgegeben (und dabei süffisant grinsend die Reihenfolge der ersten vier offengelassen). Niemand könne ohne ihn, und sie wollten ja alle nur von ihm abschreiben. Hat aber elementare Dinge schon nicht verstanden.

Irgendwann kam er an, war von jetzt auf gleich von Quantencomputing und Quantenkryptographie begeistert, obwohl er von dem Thema und von Quantenphysik vorher keine Ahnung hatte. Natürlich war er von einem Tag auf den anderen vom ahnungslosen Laien zum weltweit führenden Experten geworden. Wer sich an die Schote mit dem Nokia 9000 Communicator erinnern kann: Um das Ding in Betrieb zu setzen musste ich damals natürlich eine E-Mail-Adresse einrichten und fragte ihn, wie er da heißen wolle, ob Prof.Beth@… oder Thomas.Beth@… oder sowas. Oh nein. Ganz schlecht. Das würde seinem Genie nicht gerecht. bqft@… hieß die Adresse damals (ich weiß nicht mehr, ob ich @ira.uka.de oder @eiss.uka.de eingetragen hatte, ist ja egal). bqft für Beth-Quanten-Fourier-Transformation. Er ritt ja früher auf der Fourier-Transformation (und Fourier hatte Glück, längst tot zu sein, sonst hätte Beth ihn beschuldigt, bei ihm abgeschrieben zu haben).

Nun ist mir der Quantenkram nicht ganz fremd, ich hatte im Vor- und Hauptdiplom Atom- und Quantenphysik als Nebenfach. Schrödingergleichung und so. Und hatte, wenn ich mich da jetzt recht erinnere, ist ja auch schon über 25 Jahre her, dort gelernt, dass man den Quantenkram nicht aus normaler Physik ableiten kann, sondern das eine frei hingestellte Hypothese ist, und sie halt daran arbeiten, experimentell zu untersuchen, ob es nun so oder auch nicht. Kann sein, dass es so ist, kann auch nicht sein. Ich weiß noch, dass ich meine mündliche Prüfung damals in der Kernforschungsanlage in Karlsruhe abgelegt habe, und mich darin erst mal mit dem Prof angelegt habe. Die Physiker würden ja pfuschen. Ich hatte mich damals nämlich intensiv mit Fourier-Transformation auseinandergesetzt (und als Student die ersten Kröten damit verdient, für die Zeitschrift 68000er den Amiga in Maschinensprache zu einem Echtzeit-FFT-Analyzer zu machen). Kohärentes Licht könne es nicht geben, weil es kein unendlich lange leuchtendes Licht gäbe. Jede Lichtquelle würde irgendwann ein- und auch wieder ausgeschaltet. Das entspräche einer Multiplikation mit einer Rechteckfunktion im Signalraum, was im Frequenzraum einer Faltung mit der Sinc-Funktion (Form einer Nadelspitze mit so kleineren Nebenwellen) entspräche, und das Licht damit niemals exakt einer Frequenz entsprechen könne. Also nicht dem, was Mathematiker und Informatiker unter „exakt“ verstünden. Für ein „Physiker-exakt“ würde es reichen. Aber, naja, Physiker. Und die Schrödingergleichung hielte ich auch für falsch. Weil Physiker nämlich bei ihren Fouriertransformationen schlampigerweise immer nur die positiven Frequenzen betrachteten, man aber das ganze Frequenzspektrum von minus bis plus unendlich betrachten müsse. Deshalb machten sie in ihren Differentialgleichungen einen Vorzeichenfehler, der sich bei Wiederholung ausgleiche, weshalb nur die geradzahligen ihrer Differentialgleichungen stimmen würden. Er wollte wissen, wie es denn meiner Meinung nach richtig aussehen würde, und ich habe ihm ein Integral hingeschrieben, das von minus bis plus unendlich und nicht von Null bis plus unendlich ging. Er war etwas verdutzt, meinte dann aber, dass das ja dieselbe Energie hätte, insofern also passen könnte.

Ich bin damals an der 1,0 vorbeigeschrammt. Er meinte, das hätte sich noch keiner geleistet, in die Prüfung zu kommen, und zu sagen, dass das alles irgendwie falsch wäre. Grundsätzlich sei er dem ja aufgeschlossen, aber als Informatiker damit zu den Physikern zu gehen, das sei ihm dann doch zu dreist, eine 1,0 gäb’s dafür nicht.

Was ich damit sagen will: Ich war nie ein Quantenphysiker und habe mich damit nie wirklich ausgekannt, aber ich war jetzt auch kein völliger Laie, der davon noch nie etwas gehört hatte. Anders als viele Informatik-Professoren, die damit noch nie etwas zu tun hatten und sich von heute auf morgen als Quantenexperten ausgegeben haben.

Als Beth dann irgendwann mit seiner Quantenkryptographie ankam, kam mir das nur wieder albern vor. Ich habe dann auch manche seiner Vorträge und Vorlesungen gehört, und dabei – aus meiner Sicht – elementaren Denkfehler gesehen. Was der erzählte, hatte nämlich nicht oder nur entfernt mit Physik zu tun, sondern man hatte sich da ein Kalkül gebastelt, innerhalb dessen man da herumrechnete, und einfach so dahinstellte, dass das mit der Natur übereinstimme. Alle Fragen und jede Skepsis wischte man damit weg, dass Quanten eben was für Extremintelligente und mit normalem Verstand nicht vorstellbar seien. Wer sich traut zu fragen oder gar zu zweifeln, entlarvt sich als Dummerchen. (So wie bei Gender.) Das eigentlich war schon genug Grund für mich, das Thema zu meiden, zudem interessierte es mich – ehrlich gesagt – nicht und war mehr so eine Schwafler-Baustelle. Ich hatte das schon oft erlebt, dass sich Professoren einfach selbst in irgendeinem Thema zur Koryphäe erklären, weil es da Geld und Ruhm gibt und noch keiner so genau Bescheid weiß. Ein anderer Professor, der immer nur trockene Theorie gemacht hatte, gut zwar, aber ohne Neuerungen und ohne Fördergelder, erklärte sich und sein Institut von einem Tag auf den anderen zum Multimedia-Experten-Zentrum. Keiner wusste damals, was „Multimedia“ eigentlich ist (für Videos waren die Rechner noch nicht schnell genug), und sie haben auch nie etwas zustandegebracht, aber die Politik war auf das Thema gekommen, warf mit Geld und wer als erster „Hier!“ rief, bekam es. Genau so habe ich damals auch das Quantentheater gesehen. Ich habe in der „Dissertation“ auch ganz kurz was zu Quantenkryptographie geschrieben, eigentlich ohne Zusammenhang, aber aufgrund der allgemeinen Ansage von Beth, dass in jeder Dissertation Quantenkryptographie vorkommen müsse, um seinen Ruhm zu mehren.

Natürlich hat man dann pro Forma auch mit Optik rumgenudelt, und eine sündhaft teure und extrem schwere optische Bank gekauft, nur um dann nach der Lieferung festzustellen, dass sie nicht in den Lastenaufzug passte, zu groß. Mehrere Speditionen, die wir anfragten, ob sie das Ding die Treppe hochtragen könnten, lehnten ab, sie seien nicht lebensmüde. Deshalb lag sie wochenlang im Erdgeschoss vor dem Sekretariat von Zorn herum, und man hat die Abdrücke im Boden später noch jahrelang sehen können, wenn man schräg draufgeguckt hat, und sieht sie vermutlich noch heute. (Wenn irgendein Leser Zugang zum Informatik-Gebäude hat, könnte ihr ja mal gucken, ob man sie noch entdeckt, Erdgeschoss, hinterer Flügel an der Tür zur Laderampe.) Beth fand das damals sogar phantastisch, denn dadurch hätte er einen Vorwand, einen Riesen-Kran kommen zu lassen, im großen Treppenhaus oben das Dach entfernen zu lassen und die Optische Bank von oben hereinheben zu lassen. Das wäre ein Spektakel, bei dem dann jeder sehen könnte, dass er der größte und wichtigste Prof sei. Die Uni-Verwaltung beschied ihm dagegen, dass der Umstand, dass er einen Dachschaden hätte, noch lange kein Grund sei, dem Informatik-Gebäude einen ebensolchen zuzufügen. Außerdem viel zu gefährlich. Wenn das tonnenschwere Ding abrutscht und mehrere Stockwerke durch das ganze Treppenhaus fällt und unten aufschlägt, würde das den Boden durchschlagen und das ganze Gebäude beschädigen. Das könne er sich abschminken.

Zu Beths allergrößtem Leidwesen wurde dann vom Hersteller eine pragmatische Lösung gefunden. In der Physik nämlich hatte jemand das gleiche Modell angefragt und die haben dort wirklich große Lastenaufzüge, weil die sowas öfter kaufen. Die Physiker erklärten sich ebenso lachend wie kollegial bereit, unsere Bank abzunehmen, und der Hersteller lieferte uns dafür das Modell für Feiglinge – es gab die gleiche Optische Bank nämlich auch in einer Version aus zwei Hälften, die man zusammenschrauben kann. Hätte man auch gleich drauf kommen können. Die Physiker lachten sich scheckig, Beth war stinksauer und wir hatten das Problem, das Ding zusammenzuschrauben, an einem Loch fehlte nämlich das Gewinde, und es war verdammt kompliziert, einen passenden Gewindeschneider für imperiale Gewinde aufzutreiben.

Ich habe damals gewisse Ressentiments gegen Quantenkryptographie entwickelt. Und mich seither auch nicht mehr damit beschäftigt. Ich hatte schon in der Schule im Leistungskurs Physik Quantenphysik gehabt, und konnte mich noch erinnern, dass da irgendwo mal so deutlich dargestellt wurde, dass Quanteneffekte nur bei einzelnen Teilchen zu beobachten waren. Je mehr Teilchen, desto makrophysikalischer. Das war für mich so ein Zeig, dass man das noch nicht richtig verstanden hat, und dass die Ansicht, dass man da beliebig viele Quantenrechner zusammenbauen kann, vielleicht nicht funktioniert, weil irgendwann makrophysikalisch. Gerade wegen meiner Fourier-Rechnungen im Nebenfach war ich zu der Überzeugung gekommen, dass diese Dualität Welle-Korpuskel und andere Effekte Wellenüberlagerungswirkungen sind, die man noch nicht richtig verstanden hat. Es widerstrebt mir, im Sicherheitsbereich Rechner zu bauen, wenn man die Eigenschaften nur postuliert und nicht nachgewiesen hat. Sowas kann man machen, wenn man rechnet – wenn das Ergebnis stimmt, dann funktioniert der Rechner auch dann, wenn man nicht verstanden hat, wie er funktioniert – aber nicht beim Verschlüsseln. Kryptoanalyse kann man machen, wenn man einen funktionierenden Rechner hat. Kryptographie kann man machen, wenn man die Funktion verstanden hat. Beides ist meines Wissens noch nicht der Fall. Und wenn man es schafft, so ein Ding zu bauen, wird man nicht Milliardär, sondern umgelegt.

Zumal ich mich damals nicht, wie so viele andere, darauf verlegte, Papers mit möglichst viel heißer Luft zu produzieren, die keiner zeitnah nachprüfen kann, und auch heute, 20 Jahre später, ist da noch nichts Verwendbares rübergekommen (jedenfalls nichts, wovon die Öffentlichkeit weiß). Mir ging es damals darum, etwas aktuelles zu machen, was unmittelbaren Bezug zum Zeitgeschen hatte, und was sich unmittelbar auf die Sicherheit auswirkte – staatliche Kommunikationsüberwachung und Kryptoverbot.

Dafür bin ich dann ja auch abgesägt worden.

Den Quantenheinis ist nie etwas passiert. Ich dachte damals, naja, die nimmt halt keiner ernst.

Heute bin ich fast vom Stuhl gefallen.

So hat mich heute eine Art Erkenntnisschlag getroffen, und das, wo ich ihn nicht erwartet hätte.

Ich schaue heute so durch die aktuelle c’t, Heft 17/2017, Seite 34. Ein Artikel „Quantenkrypto nur eine Ablenkung?“

Ein Krypto-Experte der IETF, der Professor Kenny Paterson, meint, dass Quantenkryptographie nicht nur nicht dienlich ist, sondern vielleicht nur als großes Ablenkungsmanöver diente. Dass es vielleicht nur darum ging, „eine ganze Menge wissenschaftlicher Forschung auf etwas zu lenken, was vielleicht irgendwann in der Zukunft passiere“, aber nicht jetzt. Gleichzeitig habe es massig grobe Fehler gegeben, etwa in den IPSec-Funktionen von Routern oder Elliptic-Curve-Parametern unklarer Herkunft.

Bingo!

Es passt immer mehr und immer besser zusammen.

Hat man damals die Kryptoforscher angewiesen, mal Hokus-Pokus statt real relevanter Kryptographie zu machen? Damit die ganzen Backdoors erhalten bleiben und nicht entdeckt oder durch Fortschritt geschlossen werden?

War das der Grund, warum Beth urplötzlich auf Quantenkryptographie machte und verkündete, wir machten am Institut jetzt nur noch das?

War das auch ein Grund, warum man mich da damals als Gefahr eingestuft hat, nämlich weil ich mich auf das Thema nicht eingelassen hatte und stattdessen bei zeitgenössischer Kryptographie geblieben bin?

Ich hatte ja schon erläutert, dass Beth urplötzlich wenige Wochen vor der Prüfung die Dissertation, die er eben noch mit Auszeichnung bewerten wollte, plötzlich als komplett falsch hinstellte, mich zwingen wollte, eine komplett neue Dissertation mit anderem Thema zu schreiben, dann die Beurteilung verweigerte, sich mit Händen und Füßen wehrte, sie zu bewerten, und schließlich ein 18-seitiges Gutachten schrieb, das nach seiner Vorstellung niemand – auch nicht ich und nicht das Gericht – hätte sehen dürfen, das doppelt eingetütet und versiegelt war wie eine Geheimsache, und das geschrieben war, als hätte er dem Bundesnachrichtendienst nachweisen müssen, mich vollständig und restlos vernichtet zu haben und ihnen den Speichel zu lecken?

Und dass mir die Uni mal erklärte, dass es ihr egal sei, ob ich einen „Dr.“ habe, es aber darum ginge, mich aus dem Forschungsbetrieb herauszuhalten. Und der Ärger anfing, nachdem man versuchte, heimlich Kopien meines Arbeitsplatzrechners zu ziehen und ein Bundestagsgutachten, das ich geschrieben hatte, und das man als gefährlich eingestuft hatte, an den Bundesnachrichtendienst geschickt hatte. Dass Beth zweifellos vom BND die Anweisung bekommen hatte, mich kaltzustellen.

Die neue Frage lautet: War sogar dieser inhaltliche Wechsel von Beth zur Quantenkryptographie vom BND angeordnet? Gar keine Kryptographie mehr zu machen wäre zu auffällig gewesen, da hätte man gefragt. Außerdem wäre dann immer die Gefahr gewesen, dass jemand anders da tätig wird. Nur wenige wissen es, aber ich war nicht der erste, dem Beth die Promotion versauen wollte und versaut hat. Es gab vor mir weitere Fälle. Einer dieser Fälle war der – inzwischen verstorbene – Andreas Pfitzmann, der später Krypto-Professor in Dresden wurde. Beth hatte mit dessen Promotion gar nichts zu tun, versuchte aber mit lächerlichen Einwänden dessen Promotion in Karlsruhe zu verhindern – es durfte niemand an ihm vorbei in Kryptographie promovieren. War das nur Herrschsucht oder ebenfalls so eine BND-Order, da die Lufhoheit zu behalten? Das würde passen, denn das Prüfungsgutachten in meinem Fall liest sich, als wollte er nachweisen, dass er da alles im Griff hat. Irgendwer sagte mir mal, dass Beth kurz nach der Eskalation meines Promotionsverfahrens das Thema Kryptographie ganz aufgegeben habe. War es ihm ganz verboten worden?

Noch einige Zeit vor meinem Promotions-Crash war ich mit Beth aneinandergeraten, weil ich ein – damals sehr innovatives – verschlüsselndes Telefon gebaut hatte, das sogar mobil (Handy + Notebook, D-Netz war gerade erst in Betrieb genommen worden) funktionierte. Eigentlich hätte er sich da freuen müssen. Stattdessen tobte er, ich solle das sofort löschen, sowas machen wir gar nicht, wir müssten sowas analog bauen. Analogverschlüsselung. Was bei einem D-Netz-Telefon wegen der Kompression nicht funktionieren konnte und auch nicht sicher war. Wir haben das damals als verrückte Spinnerei von Beth abgetan, aber vielleicht was das einfach außerhalb der Verbotsgrenzen: Analog dürft Ihr, Digital dürft Ihr nicht. Und als das dann mit analoger Verschlüsselung zu lächerlich wurde und keiner drauf abgefahren ist, ist man dann eben mit Quantenkryptographie gekommen.

Ich habe damals mit einer ganzen Reihe von anderen Professoren in der IT-Sicherheit zu tun gehabt, von denen verblüffend viele kaum Ahnung von IT-Sicherheit, noch weniger aber von Kryptographie hatten. Einer wurde Professor für Kryptographie, der nicht mal Primzahlen richtig definieren konnte und ganzzahliges Rechnen mit gerundeten Fließpunktzahlen betrieb. Die Kryptoforschung war zu einer Ansammlung von Idioten geworden – gemacht worden?

Es gab Professoren, die mir damals halfen – aber nur konspirativ im Hinterzimmer. Mit einem habe ich tief im Wald gesprochen, mit einem anderen im hintersten verstecken Plätzchen eines Cafes in einer mehrere hundert Kilometer entfernten Stadt. Vor wem hatten die solche Angst?

Ein Grund dafür, warum mir niemand offen helfen wollte, war die DFG. Denn man erzählte sich, dass jeder, der damals Pfitzmann gegen Beth geholfen hatte, dann von der DFG erledigt wurde und keine Forschungsgelder mehr bekam. Ich dachte immer, es wäre der Einfluss der Karlsruhe. War es der BND?

Ich hatte damals einen Professor als Gutachter angefragt, der als kompetent, seriös, aufrecht und einer der besten deutschen Kryptologen galt. Der sagte mir damals, es täte ihm leid, er mache gar nichts mehr in Kryptographie. War er zu aufrecht um sich auf Ablenkungsspielchen einzulassen?

Was die Frage aufwirft: Ist Kryptoforschung seit 20 Jahren nur noch Öffentlichkeitstäuschung? Nicht nur, wie ich bisher schrieb, korrupt und inkompetent, sondern wirklich flächenmäßig konstruierter Zirkus?

Nochmal zur Erinnerung: Ich hatte mal geschrieben, dass ein russischer Historiker erklärt hat, dass es geheime Anhänge zum 2+4-Vertrag zur Wiedervereinigung gibt, der gewisse Verbote für das wiedervereinigte Deutschland enthält. Waffen und so weiter. Es ist ebenfalls bekannt, dass BND und NSA kooperierten und die Amerikaner hier massiv überwachten, und dass Merkel das ziemlich regungslos überspielte, als herauskam, dass man ihr Handy abgehört hatte. Ist das Teil der Verträge, dass hier einfach alles abgehört wird und der Staat dafür zu sorgen habe, dass es auch so bleibt?

Ist das der Grund, warum hier alle so das Maul hielten und niemand etwas richtig, und mir eine Handvoll Leute nur unter konspirativen Bedingungen etwas dazu sagten?

Wenn das nämlich nicht nur ventilierte oder erpresste Geheimhaltung war (Du hältst das Maul oder Du kriegst nie wieder Geld und Aufträge), sondern echte Geheimhaltung, weil da hochgeheime Dinge im Hintergrund liefen, und damit jeder Professor als Beamter verschärften Strafandrohungen unterlag, und damit nicht nur erledigt gewesen wäre, sondern für Jahre in den Knast hätte einfahren können, dann würde das alles, das ganze Ding, erklären.

Das wirft dann aber eine andere Frage auf: Es erklärte nämlich den ganzen Universitätsschwindel, nicht aber, was an den Gerichten lief. An den Gerichten steckt aber immer wieder das Bundesverfassungsgericht im den ganzen Schwindel tief drin.

Würde ein Bundesverfassungsgericht geheime Anhänge zu einem 2+4-Vertrag als verbindlich annehmen und über unsere Grundrechte stellen, dies aber nicht sagen?