Das BB84-Protokoll ist ein Verfahren in der Quantenkryptografie, das den Austausch eines
Schlüssels ermöglicht. Der Name beruht auf der Tatsache, dass das Protokoll im Jahre 1984 von den beiden Wissenschaftlern
Charles H. Bennett und
Gilles Brassard vorgeschlagen wurde. Es stellt derzeit das wohl bekannteste Verfahren der Quantenkryptografie dar, jedoch existieren mittlerweile andere wichtige Verfahren, die gegenwärtig auch weiter entwickelt werden.
Die Vorgehensweise ist dabei prinzipiell wie folgt: Die Informationen werden mittels Photonen übertragen. Photonen können horizontal oder vertikal
polarisiert sein (– oder |) : Ein horizontal polarisiertes Photon wird durch einen vertikalen Filter nicht durchgelassen, durch einen horizontalen Filter mit Sicherheit. Außerdem können Photonen verschiedenartig diagonal polarisiert sein (/, „rechtsdiagonal“; oder \, „linksdiagonal“). Dies ist messbar, indem der Filter einfach um 45° gedreht wird. Dabei ist zu beachten, dass der Empfänger (
Bob), wenn er einen anders polarisierten Filter (
- oder
-Basis) verwendet als der Sender (
Alice), nur mit 50-prozentiger Wahrscheinlichkeit ein richtiges Messergebnis bekommt.
Zunächst erzeugt Alice ein Photon mit einer von ihr gewählten Polarisation (– bzw. |, oder / bzw. \) und sendet es Bob. Dieser misst es in einem von ihm zufällig gewählten Filter (die gleichen vier Möglichkeiten, aber unabhängig gewählt). Diese Prozedur wird so oft wiederholt, bis Alice und Bob eine ausreichende Anzahl von Werten erhalten haben, die sie in eine Bitfolge umsetzen können (siehe das folgende Beispiel). Alice muss dabei während des Ablaufs darauf achten, dass sie alle vier Polarisationsmöglichkeiten mit gleicher Wahrscheinlichkeit erzeugt, und Bob sollte seinen Filter ebenfalls mit gleicher Wahrscheinlichkeit auswählen (siehe
Lauschangriff).
Um nun aus den erhaltenen Werten einen Schlüssel zu erzeugen, verständigen sich Alice und Bob über eine authentifizierte Leitung darüber, in welchen Fällen sie die gleiche „Basis“ (Horizontal/Vertikalbasis, +, bzw. Diagonalbasis, ) verwendet haben. Für diese sog. „relevanten Bits“ können sie sicher sein, dass sie die gleichen Polarisationsrichtungen gemessen haben, und nur sie allein wissen auch, welche das ist (es gibt zu jeder Basis zwei Möglichkeiten). Ein „Spion“ ( „Eve“, die bei klassischer Kryptographie einen Lauschangriff durchführen würde, siehe unten) weiß nur die Tatsache der Gleichheit der Polarisationsrichtungen für die relevanten Bits, d. h. die zugehörige „Basis“, aber welches diese Polarisationsrichtungen sind, das kann Eve nicht ausspionieren, ohne sich selbst zu verraten:
Alice und Bob weisen jetzt den möglichen Polarisationen unterschiedliche Bitwerte zu: zum Beispiel 0 für horizontale Polarisation (–) oder Polarisation von links oben nach rechts unten (\), 1, für vertikale Polarisation (|) oder Polarisation von rechts oben nach links unten (/). Diesen Schritt könnten sie sich sogar sparen: Die gewählte Zuordnung darf nämlich auch vorher öffentlich festgelegt werden, weil der Spion die tatsächliche Polarisationsrichtung nicht ermitteln kann, ohne sich zu verraten, sondern nur weiß, dass sie bei Alice und Bob für die relevanten Bits gleich ist.
Die Polarisationen, für die sie den gleichen Filter verwendet haben, liefern Alice und Bob das gleiche Bit, können also für einen Schlüssel bzw. für ein
One-Time-Pad verwendet werden. Die restlichen Bits sind nur mit 50-prozentiger Wahrscheinlichkeit richtig und werden deshalb verworfen. Im Mittel können Alice und Bob also die Hälfte aller Bits für die Schlüsselerstellung weiterverwenden.