Квантовое распределение ключей - Quantum key distribution

Квантовое распределение ключей ( QKD ) - это безопасный метод связи, реализующий криптографический протокол, включающий компоненты квантовой механики . Это позволяет двум сторонам создавать общий случайный секретный ключ, известный только им, который затем может использоваться для шифрования и дешифрования сообщений . Ее часто неправильно называют квантовой криптографией , поскольку это самый известный пример квантовой криптографической задачи.

Важным и уникальным свойством квантового распределения ключей является способность двух взаимодействующих пользователей обнаруживать присутствие любой третьей стороны, пытающейся получить информацию о ключе. Это является следствием фундаментального аспекта квантовой механики: процесс измерения квантовой системы в целом нарушает ее. Третья сторона, пытающаяся подслушать ключ, должна каким-то образом измерить его, тем самым создавая обнаруживаемые аномалии. Используя квантовые суперпозиции или квантовую запутанность и передачу информации в квантовых состояниях , можно реализовать систему связи, которая обнаруживает подслушивание. Если уровень подслушивания ниже определенного порога, может быть получен ключ, который гарантированно будет безопасным (т. Е. Перехватчик не имеет информации о нем), в противном случае безопасный ключ невозможен и связь прерывается.

Безопасность шифрования, использующего квантовое распределение ключей, опирается на основы квантовой механики, в отличие от традиционной криптографии с открытым ключом , которая полагается на вычислительную сложность определенных математических функций и не может предоставить никаких математических доказательств фактической сложности обращения используются односторонние функции. QKD обладает доказанной безопасностью, основанной на теории информации , и прямой секретностью .

Главный недостаток квантового распределения ключей заключается в том, что оно обычно зависит от наличия аутентифицированного классического канала связи. В современной криптографии наличие аутентифицированного классического канала означает, что либо уже произведен обмен симметричным ключом достаточной длины, либо открытые ключи достаточного уровня безопасности. С такой информацией уже доступны, можно достичь подлинности и безопасные коммуникации без использования QKD, например, с помощью Галуа / Режим счетчика от Advanced Encryption Standard . Таким образом, QKD выполняет работу потокового шифра во много раз дороже. Известный эксперт по безопасности Брюс Шнайер заметил, что квантовое распределение ключей «столь же бесполезно, сколь и дорого».

Квантовое распределение ключей используется только для создания и распространения ключа, а не для передачи каких-либо данных сообщения. Затем этот ключ можно использовать с любым выбранным алгоритмом шифрования для шифрования (и дешифрования) сообщения, которое затем может быть передано по стандартному каналу связи . Алгоритм, чаще всего связанный с QKD, - это одноразовый блокнот , поскольку он доказуемо безопасен при использовании с секретным случайным ключом. В реальных ситуациях он также часто используется с шифрованием с использованием алгоритмов с симметричным ключом, таких как алгоритм Advanced Encryption Standard .

Квантовый обмен ключами

Квантовая связь включает в себя кодирование информации в квантовых состояниях или кубитах , в отличие от использования битов в классической коммуникации . Обычно для этих квантовых состояний используются фотоны . Квантовое распределение ключей использует определенные свойства этих квантовых состояний для обеспечения своей безопасности. Существует несколько различных подходов к квантовому распределению ключей, но их можно разделить на две основные категории в зависимости от того, какое свойство они используют.

Подготовить и измерить протоколы
В отличие от классической физики, акт измерения является неотъемлемой частью квантовой механики. В общем, измерение неизвестного квантового состояния каким-то образом меняет это состояние. Это является следствием квантовой неопределенности и может быть использовано для обнаружения любого перехвата связи (что обязательно включает измерение) и, что более важно, для вычисления количества перехваченной информации.
Протоколы на основе запутывания
Квантовые состояния двух (или более) отдельных объектов могут быть связаны вместе таким образом, что они должны описываться комбинированным квантовым состоянием, а не как отдельные объекты. Это называется запутыванием и означает, что, например, измерение одного объекта влияет на другой. Если запутанная пара объектов используется двумя сторонами, любой, кто перехватывает любой из них, изменяет всю систему, показывая присутствие третьей стороны (и объем полученной информации).

Каждый из этих двух подходов может быть дополнительно разделен на три семейства протоколов: кодирование с дискретной переменной, непрерывной переменной и распределенное фазовое эталонное кодирование. Протоколы с дискретными переменными были изобретены первыми, и они остаются наиболее широко применяемыми. Два других семейства в основном озабочены преодолением практических ограничений экспериментов. Оба описанных ниже протокола используют кодирование дискретных переменных.

Протокол BB84: Чарльз Х. Беннет и Жиль Брассар (1984)

Этот протокол, известный как BB84 в честь его изобретателей и года публикации, был первоначально описан с использованием состояний поляризации фотонов для передачи информации. Однако любые две пары сопряженных состояний могут использоваться для протокола, и многие реализации на основе оптического волокна, описанные как BB84, используют состояния с фазовым кодированием. Отправитель (традиционно называемый Алисой ) и получатель (Боб) связаны квантовым каналом связи, который позволяет передавать квантовые состояния . В случае фотонов этот канал обычно представляет собой либо оптическое волокно, либо просто свободное пространство . Кроме того, они общаются через общественный классический канал, например, используя радиовещание или Интернет. Протокол разработан с предположением, что перехватчик (называемый Eve) может каким-либо образом вмешиваться в квантовый канал, в то время как классический канал должен быть аутентифицирован .

Безопасность протокола обеспечивается кодированием информации в неортогональных состояниях . Квантовая неопределенность означает, что эти состояния, как правило, нельзя измерить без нарушения исходного состояния (см. Теорему о запрете клонирования ). BB84 использует две пары состояний, причем каждая пара сопряжена с другой парой, и два состояния внутри пары ортогональны друг другу. Пары ортогональных состояний называются базисом . Обычно используются пары состояний поляризации: прямолинейный базис для вертикального (0 °) и горизонтального (90 °), диагональный базис 45 ° и 135 ° или круговой базис для лево- и праворукости. Любые два из этих оснований сопряжены друг с другом, поэтому любые два могут использоваться в протоколе. Ниже используются прямолинейные и диагональные основания.

Основа 0 1
PlusCM128.svg Стрелка на север.svg Стрелка на восток.svg
Знак умножения.svg Стрелка northeast.svg Стрелка southeast.svg

Первый шаг в BB84 - квантовая передача. Алиса создает случайный бит (0 или 1), а затем случайным образом выбирает одно из двух своих оснований (в данном случае прямолинейное или диагональное) для его передачи. Затем она подготавливает состояние поляризации фотона в зависимости от значения бита и основы, как показано в соседней таблице. Так, например, 0 кодируется в прямолинейном базисе (+) как состояние вертикальной поляризации, а 1 кодируется в диагональном базисе (x) как состояние 135 °. Затем Алиса передает одиночный фотон в указанном состоянии Бобу, используя квантовый канал. Затем этот процесс повторяется, начиная со стадии случайных битов, при этом Алиса записывает состояние, основу и время каждого отправленного фотона.

Согласно квантовой механике (особенно квантовой неопределенности ), никакое возможное измерение не различает 4 различных состояния поляризации, поскольку не все они ортогональны. Единственное возможное измерение - между любыми двумя ортогональными состояниями (ортонормированный базис). Так, например, измерение по прямолинейному принципу дает результат по горизонтали или вертикали. Если фотон был создан как горизонтальный или вертикальный (как прямолинейное собственное состояние ), тогда это измеряет правильное состояние, но если он был создан как 45 ° или 135 ° (диагональные собственные состояния), тогда прямолинейное измерение вместо этого возвращает либо горизонтальное, либо вертикальное случайным образом. Кроме того, после этого измерения фотон поляризуется в том состоянии, в котором он был измерен (горизонтальном или вертикальном), при этом вся информация о его начальной поляризации теряется.

Поскольку Боб не знает основы, в которой были закодированы фотоны, все, что он может сделать, - это случайным образом выбрать основу для измерения, прямолинейную или диагональную. Он делает это для каждого получаемого фотона, записывая время, используемую основу измерения и результат измерения. После того, как Боб измерил все фотоны, он общается с Алисой по общедоступному классическому каналу. Алиса передает базис, в котором был отправлен каждый фотон, а Боб - базис, в котором каждый фотон был измерен. Они оба отбрасывают измерения фотонов (биты), где Боб использовал другой базис, который составляет половину в среднем, оставляя половину битов в качестве общего ключа.

Случайный бит Алисы 0 1 1 0 1 0 0 1
Основа случайной отправки Алисы PlusCM128.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg Знак умножения.svg Знак умножения.svg Знак умножения.svg PlusCM128.svg
Поляризация фотона, которую посылает Алиса Стрелка на север.svg Стрелка на восток.svg Стрелка southeast.svg Стрелка на север.svg Стрелка southeast.svg Стрелка northeast.svg Стрелка northeast.svg Стрелка на восток.svg
Базис случайных измерений Боба PlusCM128.svg Знак умножения.svg Знак умножения.svg Знак умножения.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg PlusCM128.svg
Поляризация фотона, измеренная Бобом Стрелка на север.svg Стрелка northeast.svg Стрелка southeast.svg Стрелка northeast.svg Стрелка на восток.svg Стрелка northeast.svg Стрелка на восток.svg Стрелка на восток.svg
ПУБЛИЧНОЕ ОБСУЖДЕНИЕ ОСНОВЫ
Общий секретный ключ 0 1 0 1

Чтобы проверить наличие перехватчика, Алиса и Боб теперь сравнивают заранее определенное подмножество своих оставшихся битовых цепочек. Если третья сторона (обычно называемая Евой, что означает «подслушивающий») получила какую-либо информацию о поляризации фотонов, это вносит ошибки в измерения Боба. Аналогичным образом ошибки могут возникать и в других условиях окружающей среды. Если различаются более чем битами, ключ прерывается и повторяется попытка, возможно, с другим квантовым каналом, поскольку безопасность ключа не может быть гарантирована. выбирается так, чтобы, если количество битов, известных Еве, меньше этого, можно использовать усиление секретности, чтобы уменьшить знание Евой ключа до произвольно малого количества за счет уменьшения длины ключа.

Протокол E91: Артур Экерт (1991)

Схема Артура Экерта использует запутанные пары фотонов. Они могут быть созданы Алисой, Бобом или каким-либо источником отдельно от них обоих, включая подслушивающую Еву. Фотоны распределяются так, что Алиса и Боб получают по одному фотону от каждой пары.

Схема основывается на двух свойствах запутанности. Во-первых, запутанные состояния идеально коррелированы в том смысле, что если Алиса и Боб оба измеряют, имеют ли их частицы вертикальную или горизонтальную поляризацию, они всегда получают один и тот же ответ со 100% вероятностью. То же самое верно, если они оба измеряют любую другую пару дополнительных (ортогональных) поляризаций. Это требует, чтобы две удаленные стороны имели точную синхронизацию направленности. Однако конкретные результаты совершенно случайны; Алиса не может предсказать, получит ли она (и, следовательно, Боб) вертикальную поляризацию или горизонтальную поляризацию. Во-вторых, любая попытка подслушивания со стороны Евы разрушает эти корреляции таким образом, что Алиса и Боб могут обнаружить.

Подобно BB84 , протокол включает частный протокол измерения до обнаружения присутствия Евы. На этапе измерения Алиса измеряет каждый фотон, который она получает, используя некоторый базис из набора, в то время как Боб выбирает, где будет вращаться базис . Они сохраняют свою серию базовых выборов в секрете до тех пор, пока измерения не будут завершены. Создаются две группы фотонов: первая состоит из фотонов, измеренных с использованием того же базиса Алисой и Бобом, а вторая содержит все остальные фотоны. Чтобы обнаружить подслушивание, они могут вычислить статистику теста, используя коэффициенты корреляции между базами Алисы и Боба, аналогичные показанным в тестовых экспериментах Белла . Максимально запутанные фотоны привели бы к . Если бы это было не так, то Алиса и Боб могли бы сделать вывод, что Ева внесла в систему локальный реализм, нарушив теорему Белла . Если протокол успешен, первая группа может использоваться для генерации ключей, поскольку эти фотоны полностью анти-выровнены между Алисой и Бобом.

Согласование информации и усиление конфиденциальности

Описанные выше протоколы квантового распределения ключей предоставляют Алисе и Бобу почти идентичные общие ключи, а также оценку расхождения между ключами. Эти различия могут быть вызваны подслушиванием, а также дефектами линии передачи и детекторов. Поскольку невозможно различить эти два типа ошибок, гарантированная безопасность требует предположения, что все ошибки вызваны подслушиванием. При условии, что частота ошибок между ключами ниже определенного порога (27,6% по состоянию на 2002 г.), могут быть выполнены два шага, чтобы сначала удалить ошибочные биты, а затем уменьшить знание Евой ключа до произвольного небольшого значения. Эти два шага известны как согласование информации и усиление конфиденциальности, соответственно, и впервые были описаны в 1992 году.

Согласование информации - это форма исправления ошибок, выполняемая между ключами Алисы и Боба, чтобы гарантировать идентичность обоих ключей. Он осуществляется по общедоступному каналу, поэтому очень важно минимизировать информацию, отправляемую о каждом ключе, поскольку ее может прочитать Ева. Распространенным протоколом, используемым для согласования информации, является каскадный протокол , предложенный в 1994 году. Он работает в несколько циклов, причем оба ключа делятся на блоки в каждом цикле, и сравнивается четность этих блоков. Если обнаруживается разница в четности, выполняется двоичный поиск, чтобы найти и исправить ошибку. Если ошибка обнаружена в блоке из предыдущего раунда, который имел правильную четность, тогда в этом блоке должна содержаться другая ошибка; эта ошибка обнаруживается и исправляется, как и раньше. Этот процесс повторяется рекурсивно, что и является источником имени каскада. После сравнения всех блоков Алиса и Боб одинаково случайным образом меняют порядок своих ключей, и начинается новый раунд. В конце нескольких раундов Алиса и Боб имеют одинаковые ключи с высокой вероятностью; однако у Евы есть дополнительная информация о ключе из полученной информации о четности. Однако с точки зрения теории кодирования согласование информации - это, по сути, исходное кодирование с дополнительной информацией, в результате любая схема кодирования, которая работает для этой проблемы, может использоваться для согласования информации. В последнее время для этой цели используются турбокоды, коды LDPC и полярные коды, повышающие эффективность каскадного протокола.

Усиление конфиденциальности - это метод уменьшения (и эффективного устранения) частичной информации Евы о ключах Алисы и Боба. Эта частичная информация могла быть получена как путем прослушивания квантового канала во время передачи ключа (таким образом, вводя обнаруживаемые ошибки), так и через общедоступный канал во время согласования информации (где предполагается, что Ева получает всю возможную информацию о четности). Усиление конфиденциальности использует ключ Алисы и Боба для создания нового, более короткого ключа, так что Ева имеет лишь незначительную информацию о новом ключе. Это можно сделать с помощью универсальной хеш-функции , выбранной случайным образом из широко известного набора таких функций, которая принимает на вход двоичную строку длины, равную ключу, и выводит двоичную строку выбранной более короткой длины. Сумма, на которую укорачивается этот новый ключ, рассчитывается на основе того, сколько информации Ева могла получить о старом ключе (которая известна из-за ошибок, которые это может внести), чтобы уменьшить вероятность того, что Ева знает о старом ключе. новый ключ к очень низкому значению.

Реализации

Экспериментальный

В 2008 году обмен ключами безопасности со скоростью 1 Мбит / с (более 20 км оптического волокна) и 10 кбит / с (более 100 км волокна) был достигнут благодаря сотрудничеству Кембриджского университета и Toshiba с использованием протокола BB84 с импульсы состояния приманки .

В 2007 году Лос-Аламосская национальная лаборатория / NIST достигла распределения квантового ключа на 148,7 км оптического волокна с использованием протокола BB84. Примечательно, что этого расстояния достаточно для почти всех участков современных оптоволоконных сетей. Европейское сотрудничество достигло QKD в свободном пространстве на расстоянии более 144 км между двумя Канарскими островами с использованием запутанных фотонов (схема Экерта) в 2006 году и с использованием BB84, усиленного ложными состояниями в 2007 году.

По состоянию на август 2015 года самое большое расстояние для оптического волокна (307 км) было достигнуто Женевским университетом и Corning Inc. В том же эксперименте была сгенерирована секретная ключевая скорость 12,7 кбит / с, что сделало ее системой с самой высокой скоростью передачи данных на расстояниях. 100 км. В 2016 году команда из Corning и различных учреждений в Китае достигла расстояния 404 км, но со слишком медленной скоростью передачи данных, чтобы быть практичной.

В июне 2017 года физики под руководством Томаса Дженневейна из Института квантовых вычислений и Университета Ватерлоо в Ватерлоо, Канада, впервые продемонстрировали квантовое распределение ключей от наземного передатчика к движущемуся самолету. Они сообщили об оптических каналах с расстояниями от 3 до 10 км и сгенерировали ключи безопасности длиной до 868 килобайт.

Кроме того, в июне 2017 года, в рамках квантовых экспериментов на космической шкале проекта, китайские физики во главе с Пан Jianwei в Университете науки и техники Китая измеряется запутанные фотоны на расстояние 1203 км между двумя наземными станциями, закладывая основу для будущего межконтинентальные эксперименты с квантовым распределением ключей. Фотоны были отправлены с одной наземной станции на спутник, который они назвали Мициус, и обратно на другую наземную станцию, где они «наблюдали выживание двухфотонной запутанности и нарушение неравенства Белла на 2,37 ± 0,09 в строгих условиях местонахождения Эйнштейна» вдоль «суммарная длина варьируется от 1600 до 2400 километров». Позже в том же году BB84 был успешно реализован по спутниковым каналам связи от Micius до наземных станций в Китае и Австрии. Ключи были объединены, и результат использовался для передачи изображений и видео между Пекином, Китай, и Веной, Австрия.

В мае 2019 года группа под руководством Хун Го из Пекинского университета и Пекинского университета почты и телекоммуникаций сообщила о полевых испытаниях системы QKD с непрерывным изменением параметров через коммерческие оптоволоконные сети в Сиане и Гуанчжоу на расстояниях 30,02 км (12,48 дБ) и 49,85 км / ч. км (11,62 дБ) соответственно.

В декабре 2020 года Индийская организация оборонных исследований и разработок провела испытания QKD между двумя своими лабораториями на объекте в Хайдарабаде. Установка также продемонстрировала проверку обнаружения третьей стороны, пытающейся получить информацию о связи. Квантовая защита от подслушивания была подтверждена для развернутой системы на расстоянии более 12 км (7,5 миль) и затухании 10 дБ по оптоволоконному каналу. Для генерации фотонов без эффекта деполяризации использовался непрерывный лазерный источник, а точность синхронизации, используемая в установке, составляла порядка пикосекунд. Одиночный фотон лавинный детектор (СПАД) записывается приход фотонов и ключевой скорости был достигнут в диапазоне кбит с низкой скоростью битовых ошибок Quantum.

В марте 2021 года Индийская организация космических исследований также продемонстрировала квантовую связь в свободном космосе на расстоянии 300 метров. QKD в свободном пространстве был продемонстрирован в Центре космических приложений (SAC), Ахмедабад, между двумя зданиями прямой видимости в кампусе для видеоконференцсвязи с помощью сигналов, зашифрованных с квантовым ключом. В эксперименте использовался приемник NAVIC для синхронизации времени между модулями передатчика и приемника. После демонстрации квантовой связи между двумя наземными станциями Индия планирует разработать спутниковую квантовую связь (SBQC).

Коммерческий

В настоящее время шесть компаний по всему миру предлагают коммерческие системы распределения квантовых ключей; ID Quantique (Женева), MagiQ Technologies, Inc. (Нью-Йорк), QNu Labs ( Бангалор , Индия ), QuintessenceLabs (Австралия), QRate (Россия) и SeQureNet (Париж). Несколько других компаний также имеют активные исследовательские программы, включая Toshiba , HP , IBM , Mitsubishi , NEC и NTT ( прямые ссылки на исследования см. В разделе « Внешние ссылки»).

В 2004 году в Вене , Австрия, был осуществлен первый в мире банковский перевод с использованием квантового распределения ключей . Технология квантового шифрования, предоставленная швейцарской компанией Id Quantique, использовалась в швейцарском кантоне (штате) Женева для передачи результатов голосования в столицу на национальных выборах, состоявшихся 21 октября 2007 года. В 2013 году Battelle Memorial Institute установил систему QKD, созданную ID Quantique между их главным кампусом в Колумбусе, штат Огайо, и их производственными предприятиями в соседнем Дублине. Полевые испытания сети Tokyo QKD продолжаются некоторое время.

Квантовые сети распределения ключей

DARPA

DARPA Quantum Network , был квантовый ключ распределительной сети 10-узла, который постоянно бежал в течение четырех лет, 24 часа в сутки, с 2004 по 2007 году в штате Массачусетс в Соединенных Штатах. Он был разработан BBN Technologies , Гарвардским университетом , Бостонским университетом в сотрудничестве с IBM Research , Национальным институтом стандартов и технологий и QinetiQ . Он поддерживает основанную на стандартах компьютерную сеть Интернет, защищенную квантовым распределением ключей.

SECOQC

Первая в мире компьютерная сеть, защищенная квантовым распределением ключей, была реализована в октябре 2008 года на научной конференции в Вене. Название этой сети SECOQC ( Se излечение Co mmunication на основе Q uantum C ryptography) и ЕС финансирование этого проекта. Сеть использовала 200 км стандартного оптоволоконного кабеля для соединения шести точек в Вене и города Санкт-Пельтен, расположенного в 69 км к западу.

SwissQuantum

Id Quantique успешно завершила самый продолжительный проект по тестированию квантового распределения ключей (QKD) в полевых условиях. Основная цель сетевого проекта SwissQuantum, установленного в столичном районе Женевы в марте 2009 года, заключалась в проверке надежности и устойчивости QKD в непрерывной работе в течение длительного периода времени в полевых условиях. Квантовый слой проработал почти 2 года, пока проект не был закрыт в январе 2011 года, вскоре после первоначально запланированной продолжительности испытаний.

Китайские сети

В мае 2009 года иерархическая квантовая сеть была продемонстрирована в Уху , Китай . Иерархическая сеть состоит из магистральной сети из четырех узлов, соединяющих несколько подсетей. Магистральные узлы были подключены через квантовый маршрутизатор с оптической коммутацией. Узлы в каждой подсети также были подключены через оптический коммутатор, который был подключен к магистральной сети через доверенный ретранслятор.

Запущенная в августе 2016 года космическая миссия QUESS создала международный канал QKD между Китаем и Институтом квантовой оптики и квантовой информации в Вене , Австрия - на расстоянии 7500 км (4700 миль), что позволило осуществить первый межконтинентальный безопасный квантовый видеозвонок. К октябрю 2017 года между Пекином , Цзинань , Хэфэй и Шанхаем была введена в действие волоконно-оптическая линия протяженностью 2000 км . Вместе они составляют первую в мире квантовую сеть космос-земля. Ожидается, что до 10 спутников Micius / QUESS позволит создать европейско-азиатскую сеть с квантовым шифрованием к 2020 году и глобальную сеть к 2030 году.

Токийская сеть QKD

Сеть Tokyo QKD была открыта в первый день конференции UQCC2010. Сеть предполагает международное сотрудничество между 7 партнерами; NEC , Mitsubishi Electric , NTT и NICT из Японии, а также участие из Европы Toshiba Research Europe Ltd. (Великобритания), Id Quantique (Швейцария) и All Vienna (Австрия). «Вся Вена» представлена ​​исследователями из Австрийского технологического института (AIT), Института квантовой оптики и квантовой информации (IQOQI) и Венского университета .

Лос-Аламосская национальная лаборатория

С 2011 года Лос-Аламосская национальная лаборатория управляет распределенной сетью. Все сообщения маршрутизируются через концентратор. Система оснащает каждый узел сети квантовыми передатчиками, то есть лазерами, но не дорогими и громоздкими детекторами фотонов. Только хаб получает квантовые сообщения. Для связи каждый узел отправляет на концентратор одноразовый блокнот, который затем использует для безопасного обмена данными по классическому каналу. Концентратор может направить это сообщение другому узлу, используя еще одну временную панель от второго узла. Вся сеть защищена только в том случае, если защищен центральный концентратор. Для отдельных узлов требуется немного больше, чем лазер: узлы-прототипы имеют размер примерно со спичечный коробок.

Атаки и доказательства безопасности

Перехватить и повторно отправить

Самый простой тип возможной атаки - это атака с перехватом-повторной отправкой, когда Ева измеряет квантовые состояния (фотоны), посланные Алисой, а затем отправляет состояния замещения Бобу, подготовленные в том состоянии, которое она измеряет. В протоколе BB84 это приводит к ошибкам в общих ключах Алисы и Боба. Поскольку Ева не знает основы, в которой закодировано состояние, посланное Алисой, она может только догадываться, на каком основании проводить измерения, точно так же, как и Боб. Если она делает правильный выбор, она измеряет правильное состояние поляризации фотона, отправленное Алисой, и повторно отправляет правильное состояние Бобу. Однако, если она выберет неправильно, состояние, которое она измеряет, будет случайным, и состояние, отправленное Бобу, не может быть таким же, как состояние, отправленное Алисой. Если Боб затем измеряет это состояние на той же основе, что и Алиса, он тоже получит случайный результат - поскольку Ева отправила ему состояние на противоположной основе - с 50% вероятностью ошибочного результата (вместо правильного результата он получит без присутствия Евы). В таблице ниже показан пример этого типа атаки.

Случайный бит Алисы 0 1 1 0 1 0 0 1
Основа случайной отправки Алисы PlusCM128.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg Знак умножения.svg Знак умножения.svg Знак умножения.svg PlusCM128.svg
Поляризация фотона, которую посылает Алиса Стрелка на север.svg Стрелка на восток.svg Стрелка southeast.svg Стрелка на север.svg Стрелка southeast.svg Стрелка northeast.svg Стрелка northeast.svg Стрелка на восток.svg
Базис случайных измерений Евы PlusCM128.svg Знак умножения.svg PlusCM128.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg
Ева поляризации измеряет и посылает Стрелка на север.svg Стрелка northeast.svg Стрелка на восток.svg Стрелка на север.svg Стрелка southeast.svg Стрелка на восток.svg Стрелка northeast.svg Стрелка на восток.svg
Базис случайных измерений Боба PlusCM128.svg Знак умножения.svg Знак умножения.svg Знак умножения.svg PlusCM128.svg Знак умножения.svg PlusCM128.svg PlusCM128.svg
Поляризация фотона, измеренная Бобом Стрелка на север.svg Стрелка northeast.svg Стрелка northeast.svg Стрелка southeast.svg Стрелка на восток.svg Стрелка northeast.svg Стрелка на север.svg Стрелка на восток.svg
ПУБЛИЧНОЕ ОБСУЖДЕНИЕ ОСНОВЫ
Общий секретный ключ 0 0 0 1
Ошибки в ключе

Вероятность того, что Ева выберет неправильный базис, составляет 50% (при условии, что Алиса выбирает случайным образом), и если Боб измеряет этот перехваченный фотон в базисе, отправленном Алисой, он получает случайный результат, то есть неверный результат с вероятностью 50%. Вероятность того, что перехваченный фотон вызовет ошибку в ключевой строке, тогда составляет 50% × 50% = 25%. Если Алиса и Боб публично сравнивают свои биты ключа (таким образом, отбрасывая их как биты ключа, поскольку они больше не являются секретными), вероятность того, что они обнаружат разногласия и идентифицируют присутствие Евы, равна

Таким образом, чтобы с вероятностью обнаружить перехватчика, Алисе и Бобу необходимо сравнить биты ключей.

Атака "человек посередине"

Квантовое распределение ключей уязвимо для атаки « злоумышленник посередине» при использовании без аутентификации в той же степени, что и любой классический протокол, поскольку ни один известный принцип квантовой механики не может отличить друга от врага. Как и в классическом случае, Алиса и Боб не могут аутентифицировать друг друга и установить безопасное соединение без каких-либо средств проверки идентичности друг друга (таких как начальный общий секрет). Если у Алисы и Боба есть начальный общий секрет, они могут использовать безоговорочно безопасную схему аутентификации (такую ​​как Картер-Вегман ) вместе с квантовым распределением ключей, чтобы экспоненциально расширить этот ключ, используя небольшое количество нового ключа для аутентификации следующего сеанса. . Было предложено несколько методов для создания этого исходного общего секрета, например, с использованием теории сторонних разработчиков или теории хаоса. Тем не менее, только «почти универсальное» семейство хеш-функций может использоваться для безусловно безопасной аутентификации.

Атака расщеплением числа фотонов

В протоколе BB84 Алиса отправляет Бобу квантовые состояния с помощью одиночных фотонов. На практике во многих реализациях для отправки квантовых состояний используются ослабленные до очень низкого уровня лазерные импульсы. Эти лазерные импульсы содержат очень небольшое количество фотонов, например 0,2 фотона на импульс, которые распределяются согласно распределению Пуассона . Это означает, что большинство импульсов фактически не содержат фотонов (импульс не отправляется), некоторые импульсы содержат 1 фотон (что желательно), а несколько импульсов содержат 2 или более фотонов. Если импульс содержит более одного фотона, то Ева может отделить лишние фотоны и передать оставшийся одиночный фотон Бобу. Это основа атаки расщеплением числа фотонов, когда Ева сохраняет эти дополнительные фотоны в квантовой памяти, пока Боб не обнаружит оставшийся одиночный фотон, а Алиса не раскроет основу кодирования. Затем Ева может правильно измерить свои фотоны и получить информацию о ключе, не внося обнаружимых ошибок.

Даже с учетом возможности атаки PNS секретный ключ все еще может быть сгенерирован, как показано в доказательстве безопасности GLLP; тем не менее, требуется гораздо большее усиление конфиденциальности, что значительно снижает скорость безопасного ключа (с PNS скорость масштабируется по сравнению с одиночными источниками фотонов, где коэффициент пропускания квантового канала).

Есть несколько вариантов решения этой проблемы. Наиболее очевидным является использование настоящего источника одиночных фотонов вместо ослабленного лазера. Пока такие источники все еще находятся на стадии разработки, QKD с ними успешно проводился. Однако, поскольку источники тока работают с низким КПД и частотами, ключевые скорости и расстояния передачи ограничены. Другое решение - изменить протокол BB84, как это сделано, например, в протоколе SARG04 , в котором скорость безопасного ключа масштабируется как . Наиболее многообещающим решением являются ложные состояния, в которых Алиса случайным образом посылает некоторые из своих лазерных импульсов с меньшим средним числом фотонов. Эти состояния-ловушки могут использоваться для обнаружения атаки PNS, поскольку Ева не имеет возможности сказать, какие импульсы являются сигнальными, а какие - ложными. Используя эту идею, безопасная ключевая скорость масштабируется так же, как и для источника одиночных фотонов. Эта идея была успешно реализована сначала в Университете Торонто, а также в нескольких последующих экспериментах QKD, что позволило обеспечить высокую скорость передачи ключей, защищенную от всех известных атак.

Отказ в обслуживании

Поскольку в настоящее время требуется выделенная оптоволоконная линия (или линия прямой видимости в свободном пространстве) между двумя точками, связанными квантовым распределением ключей, атака отказа в обслуживании может быть проведена путем простого обрезания или блокировки линии. Это одна из мотиваций для развития сетей распределения квантовых ключей , которые в случае сбоя могли бы направлять связь по альтернативным каналам.

Атаки троянских коней

Система распределения квантовых ключей может быть исследована Евой, посылая яркий свет из квантового канала и анализируя обратные отражения при атаке троянского коня. В недавнем исследовании было показано, что Ева распознает выбор секретного базиса Боба с вероятностью более 90%, нарушая безопасность системы.

Доказательства безопасности

Если предположить, что у Евы неограниченные ресурсы, например, как классические, так и квантовые вычислительные мощности, возможно гораздо больше атак. BB84 зарекомендовал себя как защищенный от любых атак, разрешенных квантовой механикой, как для отправки информации с использованием идеального источника фотонов, который испускает только один фотон за раз, так и с использованием практических источников фотонов, которые иногда излучают многофотонные импульсы. Эти доказательства безоговорочно безопасны в том смысле, что никакие условия не накладываются на ресурсы, доступные перехватчику; однако требуются и другие условия:

  1. Ева не может физически получить доступ к устройствам кодирования и декодирования Алисы и Боба.
  2. Генераторы случайных чисел, используемые Алисой и Бобом, должны быть надежными и действительно случайными (например, квантовый генератор случайных чисел ).
  3. Классический канал связи должен быть аутентифицирован с использованием безусловно безопасной схемы аутентификации .
  4. Сообщение должно быть зашифровано по схеме одноразового блокнота.

Квантовый взлом

Хакерские атаки нацелены на уязвимости в работе протокола QKD или недостатки в компонентах физических устройств, используемых при построении системы QKD. Если оборудование, используемое в квантовом распределении ключей, может быть взломано, его можно заставить генерировать незащищенные ключи с помощью атаки с помощью генератора случайных чисел . Другой распространенный класс атак - это атака троянского коня, которая не требует физического доступа к конечным точкам: вместо того, чтобы пытаться прочитать одиночные фотоны Алисы и Боба, Ева посылает большой импульс света обратно Алисе между передаваемыми фотонами. Оборудование Алисы отражает часть света Евы, показывая состояние основы Алисы (например, поляризатора). Эта атака может быть обнаружена, например, с помощью классического детектора для проверки нелегитимных сигналов (например, света от Евы), поступающих в систему Алисы. Также предполагается, что большинство хакерских атак аналогичным образом можно отразить, изменив реализацию, хотя формальных доказательств нет.

Сейчас известно несколько других атак, включая атаки с фальшивым состоянием, атаки с перераспределением фаз и атаки со сдвигом во времени. Атака со сдвигом во времени была даже продемонстрирована на коммерческой квантовой криптосистеме. Это первая демонстрация квантового взлома системы распределения квантовых ключей, созданной не в домашних условиях. Позже атака с перераспределением фаз была также продемонстрирована на специально сконфигурированной, ориентированной на исследования открытой системе QKD (разработанной и предоставленной швейцарской компанией Id Quantique в рамках их программы Quantum Hacking). Это одна из первых атак типа «перехват и повторная отправка» на основе широко используемой реализации QKD в коммерческих системах QKD. Эта работа широко освещалась в СМИ.

Первая атака, которая претендовала на возможность прослушивания всего ключа, не оставляя следов, была продемонстрирована в 2010 году. Экспериментально было показано, что однофотонные детекторы в двух коммерческих устройствах могут полностью дистанционно управляться с использованием специально настроенного яркого освещения. В ходе последовавших за этим публикаций сотрудничество между Норвежским научно-техническим университетом в Норвегии и Институтом науки о свете Макса Планка в Германии в настоящее время продемонстрировало несколько методов успешного подслушивания коммерческих систем QKD, основанных на недостатках фотодиодов Avalanche ( APD), работающие в стробированном режиме. Это вызвало исследования новых подходов к защите сетей связи.

Противодействующее квантовое распределение ключей

Задача распространения секретного ключа может быть достигнута даже тогда, когда частица (на которой закодирована секретная информация, например, поляризация) не проходит через квантовый канал с использованием протокола, разработанного Тэ-Гон Но. служит для объяснения того, как на самом деле работает эта неинтуитивная или контрфактическая идея. Здесь Алиса генерирует фотон, который, не производя измерения до позднего времени, существует в суперпозиции, находясь на путях (a) и (b) одновременно. Путь (a) остается внутри защищенного устройства Алисы, а путь (b) идет к Бобу. Отвергая фотоны, которые получает Боб, и принимая только те, которые он не получает, Боб и Алиса могут установить безопасный канал, то есть попытки Евы прочитать ложные фотоны все равно будут обнаружены. В этом протоколе используется квантовый феномен, при котором возможность отправки фотона действует даже тогда, когда он не отправляется. Так называемое измерение без взаимодействия также использует этот квантовый эффект, как, например, в задаче испытания бомбы , посредством чего вы можете определить, какие бомбы не являются неразорвавшимися, не взорвав их, кроме как в противоположном смысле.

История

Квантовая криптография была предложена сначала Стивеном Визнером , затем в Колумбийском университете в Нью-Йорке, который в начале 1970-х представил концепцию квантового сопряженного кодирования. Его основополагающая статья под названием «Сопряженное кодирование» была отклонена IEEE Information Theory, но в конечном итоге была опубликована в 1983 году в SIGACT News (15: 1, стр. 78–88, 1983). В этой статье он показал, как сохранять или передавать два сообщения, кодируя их в двух «сопряженных наблюдаемых», таких как линейная и круговая поляризация света, так что любое из них, но не оба, может быть получено и декодировано. Он проиллюстрировал свою идею дизайном из неподделанных банкнот. Десять лет спустя, опираясь на эту работу, Чарльз Х. Беннет , в IBM Томас Дж исследовательского центра Watson , и Жиль Brassard , из Монреальского университета , был предложен метод для безопасной связи , основанной на «сопряженных наблюдаемыми» Wiesner в. В 1990 году Артур Экерт , тогда аспирант Вольфсон-колледжа Оксфордского университета , разработал другой подход к квантовому распределению ключей, основанный на квантовой запутанности .

Будущее

Текущие коммерческие системы ориентированы в основном на правительства и корпорации с высокими требованиями к безопасности. Распространение ключей курьером обычно используется в таких случаях, когда традиционные схемы распределения ключей не обеспечивают достаточной гарантии. Это имеет то преимущество, что не ограничивается внутренним расстоянием, и, несмотря на длительное время прохождения, скорость передачи может быть высокой из-за доступности портативных запоминающих устройств большой емкости. Основное отличие квантового распределения ключей заключается в возможности обнаружения любого перехвата ключа, тогда как с курьером безопасность ключа не может быть подтверждена или протестирована. Системы QKD (квантовое распределение ключей) также имеют то преимущество, что они автоматические, с большей надежностью и более низкими эксплуатационными расходами, чем безопасная сеть курьерской службы, работающей с людьми.

Трехэтапный протокол Кака был предложен в качестве метода безопасной связи, который является полностью квантовым, в отличие от квантового распределения ключей, в котором криптографическое преобразование использует классические алгоритмы.

Факторы, препятствующие широкому распространению квантового распределения ключей за пределами областей с высоким уровнем безопасности, включают стоимость оборудования и отсутствие доказанной угрозы для существующих протоколов обмена ключами. Тем не менее, благодаря оптоволоконным сетям, уже имеющимся во многих странах, имеется инфраструктура для более широкого использования.

Группа отраслевых спецификаций (ISG) Европейского института телекоммуникационных стандартов ( ETSI ) была создана для решения проблем стандартизации в квантовой криптографии.

Европейские метрологические институты в рамках специальных проектов разрабатывают измерения, необходимые для определения характеристик компонентов систем QKD.

Смотрите также

использованная литература

внешние ссылки

Общие и обзор
Более конкретная информация
Дальнейшая информация
Моделирование квантового распределения ключей
Исследовательские группы по квантовой криптографии
Компании, продающие квантовые устройства для криптографии
  • id Quantique продает продукты Quantum Key Distribution
  • MagiQ Technologies продает квантовые устройства для криптографии
  • QuintessenceLabs Решения на основе лазеров непрерывного действия
  • SeQureNet продает продукты квантового распределения ключей с использованием непрерывных переменных
Компании с исследовательскими программами в области квантовой криптографии