Квантовая криптография.
Квантовые компьютеры и связанные с ними технологии в последнее время становятся все актуальнее. Исследования в этой области не прекращаются вот уже десятилетия, и ряд революционных достижений налицо. Квантовая криптография - одно из них.
Технология квантовой криптографии крайне сложна, и, естественно, данная статья не претендует на широкое освещение темы. Мы также не будем начинать, что называется, "с места в карьер". Начнем с основ шифрования. Это вполне уместно, тем более что нам понадобится рассмотреть, какими же преимуществами обладает квантовая криптография над распространенными ныне алгоритмами. Итак...
В современном мире передача конфиденциальных данных между несколькими абонентами в различных сетях связи может привести как к потере передаваемой информации, так и к ее компрометации. Компрометация означает превращение секретных данных в несекретные, т. е. разглашение информации, ставшей известной какому-либо лицу, не имеющему права доступа к ней.
Криптография - это наука о шифрах. Она представляет собой огромное количество методов изменения открытого сообщения для того, чтобы передаваемое сообщение стало бесполезным для криптоаналитика, специалиста по криптоанализу. Криптоанализ - наука о вскрытии шифров. Криптографические преобразования служат для достижения двух целей по защите информации. Во-первых, они обеспечивают недоступность ее для лиц, не имеющих ключа, и, во-вторых, поддерживают с требуемой надежностью обнаружение несанкционированных искажений. Важным понятием в криптографии является ключ - сменный элемент шифра, который применяется для шифрования конкретного сообщения.
Все криптографические системы основаны на использовании криптографических ключей. Практически все криптографические схемы делятся на симметричные и асимметричные криптосистемы.
Симметричные криптосистемы
В симметричной криптосистеме отправитель и получатель сообщения используют один и тот же секретный ключ.
Этот ключ должен быть известен всем пользователям и требует периодического обновления одновременно у отправителя и получателя.
Симметричная криптосистема генерирует общий секретный ключ и распределяет его между законными пользователями. С помощью этого ключа производится как шифрование, так и дешифрование сообщения.
Процесс распределения секретных ключей между абонентами обмена конфиденциальной информации в симметричных криптосистемах имеет весьма сложный характер. Имеется в виду, что передача секретного ключа нелегитимному пользователю может привести к вскрытию всей передаваемой информации. Наиболее известные симметричные криптосистемы - шифр Цезаря, шифр Вижинера, американский стандарт шифрования DES, шифр IDEA и отечественный стандарт шифрования данных ГОСТ 28147-89.
Асимметричные криптосистемы
Асимметричные криптосистемы предполагают использование двух ключей - открытого и секретного.
В таких системах для зашифрования сообщения используется один ключ, а для расшифрования - другой.
Асимметричные криптосистемы используют
для работы два ключа. Первый, открытый, доступен любому
пользователю, с помощью которого зашифровывается сообщение. Второй,
секретный, должен быть известен только получателю
сообщений.
Первый ключ является открытым и может быть опубликован для использования всеми пользователями системы, которые зашифровывают данные. Расшифрование сообщения с помощью открытого ключа невозможно. Для расшифрования данных получатель зашифрованного сообщения применяет второй ключ, секретный. Ключ расшифрования не может быть определен из ключа зашифрования. Схему асимметрической криптографии в 1976 г. предложили два молодых американских математика Диффи и Хеллман. Наиболее известные асимметричные криптосистемы это шифр RSA и шифр Эль Гамаля. Данная схема является довольно-таки сложной для криптоанализа. Чем больше ключ, тем сложнее его подобрать обычным простым перебором. Для вскрытия современной криптосистемы со средней длиной ключа потребуется около 1050 машинных операций, что практически невозможно на современных компьютерных системах.
Безопасность любого криптографического алгоритма определяется используемым криптографическим ключом. Для получения ключей используются аппаратные и программные средства генерации случайных значений ключей. Как правило, применяют датчики псевдослучайных чисел. Однако степень случайности генерации чисел должна быть достаточно высокой. Идеальными генераторами являются устройства на основе натуральных случайных процессов, например на основе белого шума.
Важной задачей при работе с ключами является их распределение. В настоящее время известны два основных способа распределения ключей: с участием центра распределения ключей и прямой обмен ключами между пользователями.
Распределение ключей с участием центра распределения ключей
При распределении ключей между участниками предстоящего обмена информацией должна быть гарантирована подлинность сеанса связи, т. е. все участники должны пройти процедуру аутентификации. Центр распределения ключей осуществляет взаимодействие с одним или более участниками сеанса с целью распределения секретных или открытых ключей.
Прямой обмен ключами между пользователями
При использовании для обмена конфиденциальными данными криптосистемы с симметричным секретным ключом два пользователя должны обладать общим секретным ключом. Они должны обменяться им по каналу связи безопасным образом.
Однако современная наука произвела на свет новый алгоритм шифрования - генерацию секретного ключа при помощи квантовой криптографии.
Квантово-криптографические системы - это побочный продукт разрабатываемого в настоящее время так называемого квантового компьютера. Что это такое? Здесь самым лучшим для вас, дорогие читатели, будет освежить в памяти материал под названием "Квантовые компьютеры, нейрокомпьютеры и оптические компьютеры", который был опубликован в ПЛ №11 за 1999 г. Мы лишь вкратце перечислим базовые понятия.
Итак, основной строительной единицей квантового компьютера является кубит (qubit, Quantum Bit). Классический бит имеет, как известно, лишь два состояния - 0 и 1, тогда как множество состояний кубита значительно больше. Это означает, что кубит в одну единицу времени равен и 0, и 1, а классический бит в ту же единицу времени равен либо 0, либо 1. Основная причина бурных исследований в области квантовых компьютеров - это естественный параллелизм квантовых вычислений. Например, если квантовая память состоит из двух кубитов, то мы параллельно работаем со всеми ее возможными состояниями: 00, 01, 10, 11. За счет возможности параллельной работы с большим числом вариантов квантовому компьютеру необходимо гораздо меньше времени для решения задач определенного класса. К таким задачам, например, относятся задачи разложения числа на простые множители, поиск в большой базе данных и др.
Бурное развитие квантовых технологий и волоконно-оптических линий связи привело к появлению квантово-криптографических систем. Они являются предельным случаем защищенных ВОЛС. Использование квантовой механики для защиты информации позволяет получать результаты, недостижимые как техническими методами защиты ВОЛС, так и традиционными методами математической криптографии. Защита такого класса применяется в ограниченном количестве, в основном для защиты наиболее критичных с точки зрения обеспечения безопасности систем передачи информации в ВОЛС.
Природа секретности квантового канала связи
При переходе от сигналов, где информация кодируется импульсами, содержащими тысячи фотонов, к сигналам, где среднее число фотонов, приходящихся на один импульс, много меньше единицы (порядка 0,1), вступают в действие законы квантовой физики. Именно на использовании этих законов в сочетании с процедурами классической криптографии основана природа секретности квантового канала связи (ККС). В квантово-криптографическом аппарате применим принцип неопределенности Гейзенберга, согласно которому попытка произвести измерения в квантовой системе вносит в нее нарушения, и полученная в результате такого измерения информация определяется принимаемой стороной как дезинформация. Процесс измерений в квантовой физике характеризуется тем, что он может активно вносить изменения в состояние квантового объекта, и ему присущи определенные стандартные квантовые ограничения. Следует выделить ограничения, связанные с невозможностью одновременного измерения взаимодополняемых параметров этой системы, т. е. мы не можем одновременно измерить энергию и поляризацию фотона. Исследования показали, что попытка перехвата информации из квантового канала связи неизбежно приводит к внесению в него помех, обнаруживаемых законными пользователями этого канала. Квантовая криптография использует этот факт для обеспечения возможности двум сторонам, которые ранее не встречались и не обменивались никакой предварительной секретной информацией, осуществлять между собой связь в обстановке полной секретности без боязни быть подслушанными злоумышленником.
Так в квантово-оптическом канале связи
распространяются одиночные фотоны.
Немного истории
В 1984 г. Ч. Беннет (фирма IBM) и Ж. Брассард (Монреальский университет) предположили, что квантовые состояния (фотоны) могут быть использованы в криптографии для получения фундаментально защищенного канала. Они предложили простую схему квантового распределения ключей шифрования, названную ими ВВ84. Эта схема использует квантовый канал, по которому пользователи (пусть это будут Алиса и Боб) обмениваются сообщениями, передавая их в виде поляризованных фотонов.
Подслушивающий злоумышленник может попытаться производить измерение этих фотонов, но, как сказано выше, он не может сделать это, не внося в них искажений. Алиса и Боб используют открытый канал для обсуждения и сравнения сигналов, передаваемых по квантовому каналу, проверяя их на возможность перехвата. Если они при этом ничего не выявят, они могут извлечь из полученных данных информацию, которая надежно распределена, случайна и секретна, несмотря на все технические ухищрения и вычислительные возможности, которыми располагает злоумышленник.
Схема ВВ84
Схема ВВ84 работает следующим образом. Сначала Алиса генерирует и посылает Бобу последовательность фотонов, поляризация которых выбрана случайным образом и может составлять 0, 45, 90 и 135°. Боб принимает эти фотоны и для каждого из них случайным образом решает, замерять его поляризацию как перпендикулярную или диагональную. Затем по окрытому каналу Боб объявляет для каждого фотона, какой тип измерений им был сделан (перпендикулярный или диагональный), но не сообщает результат этих измерений, например 0, 45, 90 или 135°. По этому же окрытому каналу Алиса сообщает ему правильный ли вид измерений был выбран для каждого фотона. Затем Алиса и Боб отбрасывают все случаи, когда Боб сделал неправильные замеры. Если квантовый канал не перехватывался, оставшиеся виды поляризации и будут поделенной между Алисой и Бобом секретной информацией, или ключом. Этот этап работы квантово-криптографической системы называется первичной квантовой передачей.
| Алиса посылает фотоны, имеющие одну из
четырех возможных поляризаций, которую она выбирает случайным
образом. Для каждого фотона Боб выбирает случайным
образом тип измерения: он изменяет либо прямолинейную
поляризацию (+) , либо диагональную (х). Боб записывает результаты изменения и
сохраняет в тайне. Боб открыто объявляет, какого типа измерения
он проводил,а Алиса сообщает ему, какие измерения были
правильными. Алиса и Боб сохраняют все данные, полученные
в тех случаях, когда Боб применял правильное измерение. Эти
данные затем переводятся в биты (0 и 1), последовательность
которых и является результатом первичной квантовой передачи.
Принципы первичной квантовой передачи. Рассматривается простой пример создания общего секретного ключа в квантово-криптографической системе. |
Следующим важным этапом является оценка попыток перехвата информации в квантово-криптографическом канале связи. Это может производиться Алисой и Бобом по открытому каналу путем сравнения и отбрасывания случайно выбранных ими подмножеств полученных данных. Если такое сравнение выявит наличие перехвата, Алиса и Боб отбрасывают все свои данные и начинают повторное выполнение первичной квантовой передачи. В противном случае они оставляют прежнюю поляризацию, принимая фотоны с горизонтальной или 45°-й поляризацией за двоичный "0", а с вертикальной или 135°-й поляризацией - за двоичную "1". Согласно принципу неопределенности, злоумышленник не может замерить как прямоугольную, так и диагональную поляризацию одного и того же фотона. Даже если он для какого-либо фотона произведет измерение и перешлет Бобу этот фотон в соответствии с результатом своих измерений, то в итоге количество ошибок намного увеличится, и это станет заметно Алисе. Это приведет к стопроцентной уверенности Алисы и Боба в состоявшемся перехвате фотонов.
Более эффективной проверкой для Алисы и Боба является проверка на четность, осуществляемая по открытому каналу. Например, Алиса может сообщить: "Я просмотрела 1-й, 4-й, 4-й, 8-й... и 998-й из моих 1000 бит, и они содержат четное число единиц". Тогда Боб подсчитывает число "1" на тех же самых позициях. Можно показать, что, если данные у Боба и Алисы отличаются, проверка на четность случайного подмножества этих данных выявит количество ошибок. Достаточно повторить такой тест 20 раз с 20 различными случайными подмножествами, чтобы вычислить процент ошибок. Если ошибок слишком много, то считается, что производился перехват в квантово-криптографической системе.
Первое устройство квантовой криптографии
В 1989 г. все те же Беннет и Брассард в Исследовательском центре компании IBM построили первую работающую квантово-криптографическую систему. Она состояла из квантового канала, содержащего передающий аппарат Алисы на одном конце и приемный аппарат Боба на другом, размещенных на оптической скамье длиной около 1 м, в светонепроницаемом кожухе размерами 1,5х0,5х0,5 м. Он представлял собой свободный воздушный канал длиной около 32 см. Во время функционирования макет управлялся от персонального компьютера, который содержал программное представление пользователей Алисы и Боба, а также злоумышленника.
Надежность сохранения в тайне передаваемых сообщений в значительной степени зависит от интенсивности используемых для передачи вспышек света. Слабые вспышки затрудняют перехват сообщений, но приводят к увелечению числа ошибок в измерении правильной поляризации у законного пользователя. Усиление же интенсивности вспышек облегчает возможность перехвата путем расщепления исходного пучка света или одиночного фотона на два: одного, направляемого законному получателю, и другого, анализируемого злоумышленником. Алиса и Боб могут использовать для исправления ошибок коды, исправляющие ошибки, обсуждая результаты кодирования по открытому каналу.
Первая квантово-криптографическая
схема. Система состоит из квантового канала и специального
оборудования на обоих концах схемы.
Однако при этом часть информации может попасть к злоумышленнику. Тем не менее Алиса и Боб, зная интенсивность вспышек света и количество обнаруженных и исправленных ошибок, могут оценить количество информации, попадающее к злоумышленнику.
Состав квантово-оптической криптографической системы
Основные технические характеристики квантово-криптографических систем (скорость передачи, коэффициент ошибок и т. д.) определяются параметрами образующих квантовый оптический канал связи элементов, осуществляющих формирование, передачу и измерение квантовых состояний. В общем случае квантово-оптическая криптографическая система (КОКС) состоит из передающей и приемной частей, связанных каналом передачи.
Источники излучения для волоконно-оптических систем, в которых реализуется квантовый оптический канал связи, можно разделить на три класса: светоизлучающие диоды, лазеры и микролазеры. В качестве среды передачи оптических сигналов в КОКС используются волоконно-оптические световоды - оптические волокна, которые объединяются в волоконно-оптические кабели различной конструкции. Наконец, приемную часть КОКС составляют, как правило, оптический модулятор и фотодетектор.
Современные системы квантовой криптографии
Большинство схем КОКС требует постоянной подстройки и сложного управления на каждой стороне канала связи. Из-за двойного лучепреломления в оптическом волокне и эффекта воздействия внешней среды поляризация на выходе системы беспорядочно колеблется. Однако недавно была предложена реализация КОКС, которую можно назвать системой plug and play ("подключай и работай"), которая не требует никакой подстройки, кроме синхронизации. В данной системе используется специальное устройство, называемое Зеркало Фарадея, которое позволяет устранить все эффекты двойного лучепреломления и потери, связанные с поляризацией, происходящие в течение передачи. Следовательно, данная система не требует никакой регулировки поляризации. Используя такую систему, можно обмениваться криптографическими ключами по стандартным телекоммуникационным системам связи, значительно снизив необходимость подстройки. Для организации квантового канала необходимо просто подключить приемный и передающий модули, синхронизировать сигналы и начать передачу. Именно поэтому данная система обладает характери-стикой plug and play.
Результатом теоретической разработки швейцарских ученых стала практическая реализация описанной системы. Расстояние между приемным и передающим концами - 23 км волоконно-оптического кабеля по дну Женевского озера между городами Нион и Женева. Экспериментально был сформирован секретный ключ длиной 20 кбит с уровнем ошибок 1,35%. Такое низкое значение уровня ошибок выделяет данную схему из множества других, однако скорости передачи информации, полученные в данной системе, чрезвычайно низки для практических приложений.
В настоящее время уже во многих странах мира квантовые криптосистемы на базе ВОЛС реализованы экспериментально, а в некоторых странах введены в опытную эксплуатацию. В частности, в Лос-Аламосской национальной лаборатории завершена разработка и введена в опытную эксплуатацию в США линия связи общей длиной 48 км (4х12 км), в которой на принципах квантовой криптографии осуществляется распределение ключей со скоростью несколько десятков кбит/с.
В университете Дж. Хопкинса (США) реализована локальная вычислительная сеть с квантовым каналом связи длиной 1 км, в которой за счет оперативной автоматической подстройки каждые 10 мин достигнут низкий уровень ошибок в канале (0,5%) при скорости передачи 5 кбит/с.
В Великобритании, в Оксфордском университете, реализован ряд квантово-криптографических схем с использованием квантовых усилителей для повышения скорости передачи. Как вы, наверное, заметили, скорость передачи в квантовом канале по ряду причин очень низка. Применение квантовых усилителей как раз призвано способствовать преодолению существующих ограничений по скорости передачи в квантовом канале и резкому расширению диапазона возможных применений подобных систем.
Самым важным достижением в области квантовой криптографии можно считать то, что была доказана возможность существенного повышения скоростей передачи - до 1 Мбит/с и более. Это достигается путем уплотнения данных по длинам волн в волоконно-оптической системе. Разделение каналов по длинам волн в одной ВОЛС применительно к случаю КОКС позволяет реализовать как последовательную, так и одновременную работу и открытого высокоскоростного, и секретного квантового каналов связи. Одновременно с этим можно говорить и о повышении скорости передачи информации по КОКС при использовании разделения каналов. Это может быть достигнуто за счет одновременной организации нескольких квантовых каналов по одной общей среде передачи - одному оптическому волокну. В настоящее время в одном стандартном оптическом волокне можно организовать около 50 каналов. Последние экспериментальные схемы подтверждают, что при небольшой доработке системы данного вида будут главенствовать среди КОКС.
С учетом известных экспериментальных результатов по созданию КОКС можно прогнозировать в ближайшие годы достижение следующих параметров:
1. Эффективная скорость передачи информации по квантовому каналу при количестве ошибок, не превышающем 4%, около 50 Мбит/с.
2. Максимальная длина квантового оптического канала связи - 50 км.
3. Количество подканалов при разделении по длинам волн - 8-16.
Квантовый криптоанализ
Выше мы кратко рассмотрели классический криптоанализ. В результате развития квантовых компьютеров и квантовой криптографии на свет появился квантовый криптоанализ. Он обладает неоспоримыми преимуществами. Возьмем, к примеру, известный и распространенный ныне шифр RSA (Rivest, Shamir, Adleman, 1977). В основе системы RSA лежит предположение о том, что решение математической задачи о разложении больших чисел на простые множители на классических компьютерах невозможно - оно требует экспоненциально большого числа операций и астрономического времени. Для решения этой задачи был разработан квантовый алгоритм, который дает возможность вычислить простые множители больших чисел за практически приемлемое время и взломать шифр RSА. Таким образом, для RSA квантовый компьютер, а следовательно, квантовый криптоанализ - крайне плохая новость. Процедура квантового криптоанализа может быть применена ко всем классическим шифросистемам. Остается только создать квантовый компьютер достаточной мощности.
В заключение хотелось бы сказать, что последние разработки в области квантовой криптографии позволяют создавать системы, обеспечивающие практически 100%-ю защиту ключа и ключевой информации. Используются все лучшие достижения по защите информации как из классической криптографии, так и из новейшей "квантовой" области, что позволяет получать результаты, превосходящие все известные криптографические системы. Можно с уверенностью говорить, что в ближайшем будущем вся криптографическая защита информации и распределение ключей будут базироваться на квантово-криптографических системах.
ЛЕКЦИЯ 17. Квантовая криптография
17.1. Проблема распределения ключа в классической криптографии и пути ее решения.
17.2. Физические основы квантового распределения ключа: теорема о запрете копирования и неразличимость неортогональных состояний. Общая схема протокола КРК.
17.3. Основные свойства поляризованных фотонов. Некоторые сведения из теории квантовых измерений. Сопряженные базисы. Три сопряженных базиса для поляризованных фотонов.
17.4. Протокол ВВ84. Сырой и просеянный ключ. Коррекция ошибок и усиление секретности - на примере протокола BB84. Подслушивание в протоколе ВВ84. Стратегия перехватчик-ретранслятор. Стратегия “задержанного выбора”. Активный подслушиватель и схема аутентификации Вегмана-Картера. Недостатки протокола ВВ84.
17.5. Протокол ВВ92. Его преимущества и недостатки по сравнению с ВВ84.
17.6. ЭПР протокол (протокол А.Экерта) - если есть время.
На предыдущей лекции были сформулированы две проблемы современной классической криптографии: распределение ключей и аутентификация. Вторая проблема, похоже, имеет разрешение (абсолютно защищенное) лишь при личной встрече владельцев ключа. Первая проблема – распределение ключа в классической криптографии решается с помощью криптографии с открытым ключом или двухключевых (асимметричных) протоколов. Такое ее решение назовем математическим , поскольку используется некий алгоритм, основанный на односторонних функциях с секретом, когда вычисление функции в одну сторону оказывается простым, а нахождение обратной функции занимает огромное количество вычислительных ресурсов. В частности, стойкость криптографических систем RSA и Эль-Гамаля основываются на том, что факторизация больших чисел требует экпоненциального по числу знаков факторизуемого числа N операций. Это значит, что при увеличении разряда числа на один (прибавление еще одной цифры к факторизуемому числу) умножает время, необходимое для факторизации на фиксированный множитель. При увеличении числа, задача быстро становится вычислительно не решаемой. Таким образом, в настоящий момент, защищенность двухключевых криптосистем основывается на медленности технического прогресса.
В одной из следующих лекций мы будем рассматривать алгоритм факторизации чисел, предложенный П.Шором. Этот алгоритм основан на параллельном методе вычислений, который можно осуществить в квантовом компьютере. Такой алгоритм позволяет принципиально изменить скорость факторизации – теперь она определяется полиномиальными по числу N временными затратами.
Другой путь решения проблемы распределения ключа основан на физических закономерностях. Он реализуется в квантовой криптографии. Основные аргументы в таком методе криптографии восходят к двум утверждениям:
Неизвестное квантовое состояние невозможно копировать;
Без возмущения невозможно извлечь информацию о неортогональных квантовых состояниях.
Последнее утверждение можно перефразировать: в общем случае любое измерение, выполняемое подслушивателем, приведет к изменению состояния носителя информации.
Далее будут рассмотрены основные протоколы квантовой криптографии. Строго говоря, речь будет идти не о новом типе криптографии в целом, а лишь о новом методе распределения ключа. Этот метод, вообще говоря, должен быть дополнен надлежащим протоколом аутентификации – абоненты должны идентифицировать друг друга до начала общения – об этом не следует забывать, говоря о преимуществах квантовой криптографии! На сегодняшний день единственный способ решения проблемы аутентификации состоит в обмене коротким секретным ключом при встрече абонентов. Квантовая криптография дает физический способ распределения ключа большого размера , который затем можно использовать в симметричных (одноключевых) протоколах. Поэтому, будучи до конца последовательным, следует говорить о квантовой криптографии как о протоколе увеличения секретного ключа (Quantum Secret Growing protocol ) .
Итак, общая схема квантового распределения ключа следующая.
Алиса посылает квантовое состояние, реализованное, например, в виде кванта света, Бобу. Подслушивание, как физический процесс, представляет собой серию экспериментов, выполняемых злоумышленником над перехваченными квантами. Поскольку акт подслушивания изменяет квантовое состояние носителя информации, то Алиса и Боб могут это установить с помощью определенных процедур уже по открытому каналу связи. Итак, протокол квантового распределения ключа должен включать в себя:
Установление синхронизации;
По крайней мере двух пользователей – Алису и Боба;
Канал для обмена квантовыми состояниями или квантовый канал связи ;
Открытый канал связи, который используется для проверки искажения посылаемых состояний.
Если после обмена сообщениями по открытому каналу пользователи убеждаются, что квантовые состояния не возмущены, то они включают хорошо известный протокол одноразового блокнота (код Вернама) используя распределенный секретный ключ. Если обнаруживается возмущение квантовых состояний, то сеанс связи либо прерывается, либо начинается заново.
Замечание. Открытый канал рассматривается как такой канал связи, который доступен любому желающему. Единственное ограничение, которые мы пока введем на открытый канал – чтобы подслушиватель был пассивным . В случае активного подслушивателя пользователи могут осуществлять распределение ключа, но при условии, что изначально они владели некоторой секретной информацией, распределенной между ними и если подслушиватель не настолько активен, чтобы перехватывать всю посланную информацию (атака раздельных миров или с человеком посередине).
Идея, впервые высказанная Визнером, Беннетом и Брассардом состоит в том, что пассивный подслушиватель не может достоверно различить неортогональные состояния (назовем их ), если он не знает базиса, в котором те были приготовлены. Предположим, что Ева настраивает свой измеряющий прибор в неком исходном состоянии . Ее цель – отличить состояния не возмущая их. Ее действия будут описываться следующими унитарными преобразованиями над входными состояниями (см. лекцию 6);
(17.1)
(17.2)
Унитарность сохраняет скалярное произведение, поэтому
откуда следует, что
Это означает, что конечное состояние измерительного прибора Евы одно и то же. Ева не возмутила квантовых состояний, но она и не получила никакой информации о них, в силу (17.4).
Мы рассматривали и более общее измерение, когда Ева возмущает исходные состояния:
. (17.5)
Тогда в результате действий подслушивателя:
, (17.6)
. (17.7)
И опять, в силу унитарности, получаем:
(17.8)
Наилучшая ситуация с точки зрения Евы возникает, когда скалярное произведение принимает минимальное значение. Это происходит при
(поскольку ). При этом она получает максимальную возможность различить два состояния своего прибора, но два исходно неортогональные состояния становятся неразличимыми (17.9).
Квантовое кодирование информации впервые было предложено в работах Стефана Визнера, а также Чарльза Беннета и Жиля Брассарда. С.Визнер рассматривал т.н. «квантовые деньги», т.е. деньги, которые в принципе невозможно подделать. Кроме того, он предложил способ распределения двух или трех сообщений, при котором чтение одного из них уничтожало бы информацию, содержащуюся в других. Ч.Беннет и Ж.Брассард предложили реалистичный протокол распределения ключа. Также они обсуждали криптографические схемы типа протокола жеребьевки.
ПРОТОКОЛ BB 84 [ 5 ]
Этот протокол был предложен Ч.Беннетом и Ж.Брассаром в 1984 г. Для распределения ключа они рассматривали неортогональные состояния фотонов.
В оригинальной работе Ч.Беннет и Ж.Брассард рассматривали поляризационные состояния света в качестве квантовых систем, лежащих в основе протокола распределения ключа.
Основные свойства поляризованных фотонов.
Приготовить поляризованный свет можно, пропуская пучок света через какое-нибудь поляризационное устройство, например, призму Глана-Томсона. Ослабляя затем этот свет, можно в принципе, с некоторой вероятностью получить состояния типа смеси вакуумного и однофотонного фоковского:
(17.10)
где , а m и n представляют числа фотонов в двух ортогональных поляризационных модах. Хотя поляризация является непрерывно меняющейся величиной, принцип неопределенности запрещает извлечение более одного бита информации при измерении единичного фотона. Так, если свет, поляризованный вдоль оси a, направляется на поляризационный фильтр, ориентированный вдоль оси b, то отдельные фотоны проявляют дихотомность свойств и ведут себя вероятностным образом, поскольку могут быть либо пропущены с вероятностью , либо поглощены с сопряженной вероятностью . Детерминированность свойств отдельных фотонов, согласно такой интерпретации, возникает, лишь когда две оси параллельны (достоверное пропускание), либо скрещены (достоверное поглощение). Если же оси не перпендикулярны, так что некоторые фотоны пропускаются, то казалось бы, что можно извлечь дополнительную информацию об угле a, поместив поляроид в прошедший пучок под неким третьим углом. Однако это не так, поскольку прошедшие сквозь первый поляроид фотоны имеют определенную поляризацию b, т.е. они полностью утратили информацию о начальной поляризации a. Другой путь извлечения более одного бита информации из отдельного фотона состоит в приготовлении копий такого состояния и последующего их измерения. Однако такой путь запрещен no-cloning теоремой.
Напоминание из теории измерения (см.Лекцию 8)
Формально квантовая механика описывает внутреннее состояние системы с помощью вектора состояния y, имеющего единичную длину в линейном пространстве Н , определенном на поле комплексных чисел (гильбертово пространство). В этом пространстве определено скалярное произведение векторов:
, (17.11)
где символ «*» означает комплексное сопряжение. Каждое физическое измерение М , которое может быть выполнено над системой, соответствует разложению гильбертова пространства на ортогональные подпространства, причем на каждое подпространство приходится по одному результату измерений. Таким образом, число возможных исходов измерений ограничено размерностью d гильбертова пространства. Соответственно при наиболее полных измерениях гильбертово пространство раскладывается на d одномерных подпространств.
Пусть M k является проекционным оператором в k -ое подпространство измерения М . Тогда тождественный оператор I есть просто сумма проекционных операторов:
Из определения вектора состояния известно, что если система, находящаяся в состоянии y, подвергается измерению М , ее поведение становится вероятностным: исход к-ого измерения описывается вероятностью , которая на векторном языке означает квадрат длины проекции вектора состояния в подпространство M k . После измерения система переходит в новое состояние (постулат фон Неймана) , которое является просто единичным вектором в направлении проекции старого вектора состояния в подпространство M k . Согласно этому постулату, измерение оставляет вектор состояния неизменным, (т.е. результат измерения является предопределенным, детерминированным) лишь, когда начальный вектор состояния лежал целиком в одном из ортогональных подпространств, характеризующих измерение.
Гильбертово пространство отдельного поляризованного фотона является двухмерным пространством (d
= 2). Следовательно, поляризационное состояние фотона полностью может быть описано с помощью линейной комбинации, скажем, двух единичных векторов 
и . Например, линейно поляризованный фотон под углом a к горизонтальному направлению, описывается вектором 
. Измеряя такой фотон в вертикально-горизонтальном (лабораторном базисе) получим горизонтально поляризованный фотон с вероятностью и вертикально поляризованный фотон с вероятностью . В этом смысле два вектора и представляют собой разложение двухмерного гильбертова пространства в два ортогональных одномерных пространства. Эти два вектора будем назвать линейным прямоугольным базисом
.
Альтернативным базисом того же гильбертова пространства является т.н. диагональный базис, образованный векторами 
и 
.
Определение. Вообще, два (рассмотренных) базиса называются сопряженными ( conjugated , mutually unbiased ) , если каждый вектор одного базиса имеет проекции одинаковой длины на все вектора другого базиса. Это означает, что система, приготовленная в некоем состоянии, представленном векторами одного базиса, будет вести себя совершенно случайным образом (потеряет всю запасенную информацию) будучи измеренной в сопряженном базисе. Математически это требование записывается как
Вообще же, в знаменателе выражения (*) должна стоять размерность гильбертова пространства.
Говоря о двухмерном гильбертовом пространстве, необходимо отметить, что существует третий базис, сопряженный линейному и диагональному – т.н. циркулярный базис, образованный право- и лево-циркулярно поляризациями:
, 
. Однако для описание протокола распределения ключа нам потребуются лишь первые два базиса.
Описание протокола распределение ключа.
В традиционных протоколах с открытым ключом используются односторонние функции с секретом (повторное дискретное возведение в степень) без предварительного распределения секретной информации между пользователями. В квантовом протоколе квантовый канал используется для передачи некоторого массива случайных битов квантовых информации (кубитов), открытый канал – для обсуждения, см. табл.1.
Вводится синхронизация между действиями Алисы и Боба, т.е. каждый из них знает наверняка, в какой момент времени посылается состояние;
Алиса выбирает случайный массив битов (чередование 0 или 1 в моменты, оговоренные синхронизационным протоколом);
Алиса выбирает случайную последовательность (поляризационных) базисов – чередование либо линейного, либо диагонального (L, D);
Алиса посылает Бобу последовательность фотонов, кодируя поляризацию каждого фотона, исходя из массива битов и поляризационного базиса: каждый фотон имеет определенную поляризацию и описывается одним из четырех базисных векторов . Будем полагать, что значение бита «0» отвечает за состояния , а «1» – за состояния ;
Боб принимает (измеряет) посланные Алисой фотоны в одном из двух базисов. Причем выбор базиса – случаен. Боб интерпретирует результаты своих измерений в бинарном представлении, т.е. пользуясь тем же правилом, что и Алиса: «0» и «1» . Заметим, что как следует из теории измерений, Боб полностью теряет информацию о состоянии фотона, поляризованного в лабораторном базисе (H-V ), измеряя его в диагональном базисе (+45-45) и наоборот. Следовательно, Боб получает достоверную информацию о состоянии фотонов только в половине всех случаев – когда выбранный им базис совпал с базисом Алисы, т.е. когда измерение дает детерминированный результат. Если подслушивания не было, то в оставшейся половине случаев Алиса и Боб имеют некоррелировынные результаты. Следовательно, в среднем, Боб получает массив битов с 25%-ым содержанием ошибок. Этот массив называется сырым ключом . Кроме того, будем учитывать тот факт, что часть фотонов теряется при передаче. Практически, уровень технических ошибок в квантовых протоколах на сегодняшний день составляет несколько процентов (в отличие от уровня , достижимого в современных оптотелекоммуникационных линиях связи). Этот уровень называется Quantum Bit Error Rate (QBER).
Происходит обсуждение результатов измерений по открытому каналу связи, причем и Алиса и Боб предполагают, что их могут подслушать, но не перехватить или изменить результаты. Сперва, они определяют, какие из фотонов были зарегистрированы Бобом. Затем, определяют, в каких случаях Боб угадал базис. Боб сообщает базис, в котором производилось измерение, но не сообщает сам результат. При этом теряется 50% информации – когда Боб неверно угадал базис. Если сообщение не подслушивалось, то Алиса и Боб делают вывод, что биты, закодированные этими фотонами, переданы правильно . Заметим, что по открытому каналу информация о случайной последовательности битов, посылаемых Алисой, не передается – вывод делается только на основе теории квантовых измерений! Каждый из переданных таким образом фотонов в правильном базисе несет один бит информации, а именно был ли он поляризован вертикально или горизонтально в лабораторном базисе или под углами плюс-минус 45 град. - в диагональном базисе. В итоге у Боба остается более короткий массив битов, который называется просеянным ключом .
Затем, Алиса и Боб проверяют, были ли попытки подслушивания во время распределения ключа. Для этого они сравнивают некоторые биты, которые, как они считают, были распределены правильно, по открытому каналу связи. Позиции битов по шкале синхронизационного протокола, должны выбираться случайно, скажем, сравнивая каждый третий бит. В этом случае обнаружение подслушивания имеет высокую вероятность и состоит в том, что Алиса и Боб имеют разные биты. Если сравнение не обнаруживает разницы, то Алиса и Боб делают вывод, что распределение ключа произошло с высокой степенью надежности (все же имеется вероятность не обнаружить подслушивания, но при этом, у подслушивателя окажется мало информации).
Последний шаг протокола квантовой криптографии состоит в том, чтобы используя классические алгоритмы, исправить ошибки
и уменьшить информацию, доступную Еве. Последняя процедура называется усилением секретности
(privacy amplification). Простейшая процедура коррекции ошибок
состоит в следующем. Алиса случайно выбирает пары битов и производит над ними операцию XOR. Боб выполняет такую же операцию над соответствующими своими битами. Если результат совпадает, они сохраняют первый из двух битов и уничтожают второй – поскольку сама процедура происходит по открытому каналу и результат доступен Еве. Если результаты отличаются – оба бита выкидываются (на практике используется более сложный алгоритм). После этой процедуры Алиса и Боб имеют одинаковые копии ключа, но у Евы все же может остаться некоторая информация о нем. Возникает необходимость в ее уменьшении – вступает в силу протоколы
усиления секретности
. Эти классические протоколы работают следующим образом. Алиса опять выбирает случайно пары битов и вычисляет их сумму по модулю 2 (XOR). Но в отличие от процедуры коррекции ошибок, она не сообщает это значение. Она лишь оглашает какие биты были выбраны, например, 103 и 539. Затем Алиса и Боб заменяют два бита на результат операции XOR. Таким образом Алиса и Боб укорачивают их ключи. Если Еве доступна лишь часть информации о двух битах, то ее информация о результате выполнения операции XOR будет еще меньше. Рассмотрим, например, случай, когда Еве известен только первый бит и ничего не известно про второй. Тогда она вообще ничего не знает про результат операции XOR. Если же Ева знает значения каждого из битов с вероятностью, скажем, 60%, то вероятность того, что она угадает значение операции XOR будет только 
(сумма вероятностей того, что оба бита угатаны неправильно и правильно, соответственно). Такую процедуру можно повторить несколько раз. Подчеркнем, что на этих этапах (выполнения протоколов коррекции ошибок и усиления секретности) работают исключительно классические протоколы, использующие открытые каналы связи. Итак, если вероятность ошибок не превосходит некоторой критической величины (в нерелятивистских схемах предел, по-видимому, составляет < 11% что определяется потерями в оптическом волокне), то далее возможна коррекция ошибок в нераскрытой части при помощи классических кодов и дальнейшее сжатие ключа (privacy amplification) для получение результирующего секретного ключа.
Включается абсолютно стойкий протокол одноразового блокнота через открытый канал связи.
Весь протокол повторяется каждый раз при необходимости посылки очередного сообщения.
Заметим, что на практике для передачи квантовых битов и обмена классическими сообщениями можно использовать один и тот же канал связи.
Замечание. Потери оптического волокна в окнах телеком составляют примерно: 1.55 мкм 0.2 дБ/км (0.2=10lgI 2 /I 1 , I 2 /I 1 =1.047); 1.31 мкм 0.35 дБ/км;
0.8 мкм 2 дБ/км.
Подслушивание в протоколе BB 84
Из-за того, что по квантовому каналу передается случайная смесь двух базисов, любая попытка подслушивания приводит к риску изменения поляризационного состояния фотона. Это приведет к различию в значениях битов Алисы и Боба, если измерения проводились в совпадающих базисах. Например, в некотором смысле, оптимальная стратегия подслушивания состоит в том, что Ева перехватывает все фотоны в квантовом канале, производит свои измерения только в одном из двух базисов (или вообще, только в одном) и ретранслирует исходы (т.н. стратегия перехватчик-ретранслятор ). Затем она пересылает Бобу (ретранслирует) другой кубит в состоянии, соответствующем результату ее измерения. Это не противоречит теореме о запрете копирования. В половине всех случаев Ева правильно угадает базис и, следовательно, Алиса-Боб не распознают ее присутствие. Однако, в другой половине случаев Ева неверно угадывает базис, поэтому она перешлет Бобу правильный кубит лишь в с вероятностью 50% (mutially unbiased bases). Этот кубит будет обнаружен Алисой-Бобом, в половине от этого числа случаев, т.к. они получат некоррелированные результаты (выявляется в протоколе коррекции ошибок). В итоге при использовании этой стратегии, Ева получает 50% информации - в случае угадывания базиса - в то время как Алиса-Боб получают 25% ошибочных битов в просеянном ключе, т.е. после выкидывания исходов в неправильных базисах. Этот случай подслушивания легко регистрируется. В другом варианте этой стратегии подслушивания Ева применяет ее только к каждому десятому биту. В этом случае она получает доступ к 5 процентам информации, в то время как Алиса и Боб обнаруживают 2.5%. Заметим, что рассмотренный случай активного подслушивателя в квантовом канале не взламывает протокола.
Вообще, анализируя ситуацию на этапе, когда Алиса и Боб имеют просеянный ключ и учитывая возможное присутствие Евы, можно сказать, что существует некоторая корреляция между классической информацией, доступной легитимным пользователям (Алисе и Бобу) и подслушивателем – Евой. Такая ситуация типична для классических криптографических протоколов. Чтобы анализировать ее количественно, вводится функция распределения , где все участники протокола – Алиса Боб и Ева описываются случайными параметрами , соответственно. Предположим, что такое совместное распределение вероятностей (классическое) существует. При этом Алиса и Боб обладают лишь маргинальным распределением . Задача состоит в том, чтобы ограничить доступную Еве информацию. Для данного распределения пока неизвестен критерий, дающий секретный ключ, распределенный между Алисой и Бобом или - условная энтропия. Однако существует некая граничная мера даваемая разностью между взаимной шенноновской информацией Алисы и Боба и взаимной информацией Евы 
:
Эта оценка показывает, что установление секретного ключа возможно, если Боб обладает большей информацией, чем Ева !
В приведенной только что аргументации есть слабое звено – мы предполагали, что Ева выполняет атаку до того, как Алиса и Боб включили процедуру коррекции ошибок. Формально это означает, что совместное распределение существует. Однако Ева может дождаться окончания протокола коррекции ошибок и только затем провести атаку. Такой вид атак называется «стратегией задержанного выбора »
Для нейтрализации активного подслушивателя в открытом канале можно воспользоваться схемой аутентификации Вегмана-Картера. В этой схеме Алиса и Боб должны изначально иметь небольшой секретный ключ, установленный, например, при личной встрече. С помощью такого ключа устанавливается нечто вроде «контрольной суммы» или метки, зависящей от каждого бита сообщения. Подслушиватель, который не знает ключа, имеет низкую вероятность сгенерировать правильную метку. Таким образом, метка устанавливает легитимность сообщения, а ее изменение указывает на попытку подслушивания.
Рассмотренный протокол ВВ84 является типичным и иллюстрирует основные принципы квантового распределения ключа. На его примере мы также рассмотрели некоторые протоколы коррекции ошибок, усиления секретности и стратегии подслушивателя. Рассмотрим некоторые другие протоколы квантовой криптографии.
Замечание. К очевидным недостаткам квантового распределения ключа следует отнести чисто практическую сложность их реализации. Квантовые состояния очень хрупки и подвержены сильному влиянию окружения, кроме того, они не могут быть усилены (простыми способами). Говоря о криптографических приложениях, пока не ясно как осуществить цифровую подпись или ability to settle disputes before judge.
ПРОТОКОЛ В92 [ 7 ]
Рассуждения, приведенные выше, основывались на том факте, что любое измерение неортогональных состояний, которое не возмущает их, в то же время не дает о них никакой информации (т.е. информации, позволяющей различить их). В 1992 году Ч.Беннет и Ж.Брассард предложили протокол распределения ключа, основанный на передаче только двух неортогональных состояний квантовой системы вместо четырех.
Рассмотрим два неортогональных состояния и , таких, что . Пусть и - два проектора в подпространства ортогональные состояниям и , соответственно. Заметим, что эти два оператора не коммутируют и что их индексы переставлены по отношению к соответствующим состояниям. Нетрудно убедиться, что оператор Р 0 уничтожает состояние :
но дает ненулевой результат при действии на :
В последнем соотношении фигурирует величина 
- вероятность ненулевого исхода. Аналогичные соотношения справедливы и для оператораР 1
.
Распределение ключей происходит следующим образом.
1. Устанавливается синхронизация моментов посылки состояний.
2. Алиса приготавливает и посылает Бобу случайную бинарную последовательность квантовых состояний и , где, например, , а .
3. Боб, независимо от Алисы, случайным образом решает, какой из двух операторов Р 0 или Р 1 применить к полученной последовательности состояний.
4. Затем Боб по открытому каналу сообщает Алисе номера синхронизационной шкалы, для которых он получил положительный результат. При этом он не сообщает, какой из двух операторов он использовал. Остальные события игнорируются
5. Если подслушивания не было, то оставленные события, составляющие приблизительно, -ую часть от общего числа испытаний, должны быть коррелированы. Заметим, что для поляризационного кодирования состояний “0 о ”и “45 о ”эта величина равна 1/2. Таким образом, если Алиса посылала , а Боб измерял Р 0 , если Алиса посылала , то Боб измерял Р 1 .
6. Перед тем, как Алиса и Боб установят секретный ключ, они должны провести процедуру коррекции ошибок и усиления секретности, действуя, например, так же как и в протоколе ВВ84. Жертвуя некоторыми битами, они убеждаются в идентичности некоторого их числа. Протокол иллюстрируется в таблице 2.
Итак, наше базовое предположение о невозможности извлечения однозначной информации об неортогональных состояниях без их возмущения, позволило ввести более простой, по сравнению с ВВ84, протокол. Однако, на практике, реализация такого протокола не нашла широкого применения. Дело в том, что все-таки существуют способы различимости двух неортогональных состояний, ценой некоторых потерь. Идея и соответствующие демонстрационные эксперименты основаны на том, что измерение, выполняемое в базисе, ортогональном, например, состоянию , однозначно выделяет такое состояние, в том смысле, что только состояние не пройдет через поляроид, ориентированный горизонтально. Другое же состояние пройдет через горизонтальный поляроид с 50%-ми потерями.
ЭПР-ПРОТОКОЛ [ 6 ]
В 1991 году А.Экерт предложил протокол основанный на перепутанных состояниях. Впоследствии оказалось, что этот протокол является разновидностью ВВ84, однако в обзорах по квантовым способам распределения ключа, как правило, он фигурирует отдельно. Примечательно также, что казалось бы, абсолютно умозрительные рассуждения, приведшие Эйнштейна, Подольского и Розена к их известному парадоксу, а также идеи, высказанные Дж.Беллом, все-таки нашли свое практическое воплощение. Сам А.Экерт, формулируя суть протокола, отмечал, что здесь «распределение ключа зависит от полноты квантовой механики». Под полнотой понимается тот факт, что квантовое описание обеспечивает максимально возможную информацию о рассматриваемой системе. Экспериментальная реализация рассматриваемого протокола, во всяком случае в принципиальном смысле, мало отличается от установок по наблюдению нарушения неравенств Белла. Можно сказать, что при распределении ключа вводится квантовый канал, где сам ключ существует без какого-либо «элемента реальности», связанного с этим ключом. В этом смысле он защищен полнотой квантовой механики.
Канал состоит из источника перепутанных фотонов, находящихся в синглетном состоянии. Частицы разлетаются вдоль оси z в направлениях к легитимным пользователям – Алисе и Бобу. Каждый из них получает по одной частице или половинке перепутанной пары. Затем Алиса и Боб выполняют измерение над свой частицей, ориентируя поляризационные призмы вдоль трех направлений: для Алисы – а i , для Боба – b j (i , j = 1, 2, 3 ). Конкретно, измеряя углы от вертикальной оси:
(17.16)
(17.17)
Алиса и Боб выбирают ориентацию призм случайно и независимо друг от друга для каждой пары перепутанных частиц. Каждое измерение дает результат либо +1, либо –1, т.е. срабатывает один из двух детекторов, установленных в выходных модах поляризационной призмы Алисы и Боба. Параметризованный таким образом сигнал представляет один (для одной частицы) бит информации.
где аргументы в корреляционных функциях Р означают выбранное направление. Например, означает вероятность того, что при данных установках поляризационных призм a i , b j Алиса получила результат «-1», а Боб «+1». Можно показать, что величина Е принимает значения
Для двух пар одинаковых ориентаций анализаторов (поляризационных призм)
квантово-механические предсказания дают полную антикорреляцию результатов, полученных Алисой и Бобом:
Следуя Клаузеру, Хорну, Шимони и Хольту можно ввести наблюдаемую величину - наблюдаемую Белла, составленную из корреляционных коэффициентов (17.18):
которая равна
После того, как перепутанные частицы поступили к Алисе и Бобу, те могут объявить по открытому каналу связи ориентации анализаторов, которые были выбраны случайным образом при каждом измерении. Затем, результаты измерений разделяются на две группы. К первой группе относятся результаты, полученные при разных ориентациях анализаторов, т.е., приводящие к (21). Ко второй – при одинаковых. Не учитываются те результаты, когда частица Алисы или Боба по каким-то причинам не была зарегистрирована вообще. Затем Алиса и Боб сообщают результат, который они получили только для первой группы измерений. Это позволяет им установить то значение S , которое для невозмущенных состояний частиц должно оказаться равным (21). В свою очередь последнее утверждение дает основание легитимным пользователям считать, что результаты, относящиеся ко второй группе измерений, антикоррелированы и могут быть преобразованы в секретный набор битов – сырой ключ .
Подслушиватель не может воспользоваться информацией, перехватывая перепутанные частицы, поскольку самой информации там нет. Считается, что она появляется в результате измерений, выполняемых Алисой. По Экерту измерение Алисы приготавливает состояние частицы Боба, хотя более последовательно было бы утверждать, что эта информация закодирована в корреляционных функциях Р и величине Е .
Литература
W. Diffie and M.E. Hellman, IEEE Trans. Inf. Theory IT-22, 644 (1977).
R. Rivest, A. Shamir, and L. Adleman, "On Digital Signatures and Public-Key Cryptosystems" , MIT Laboratory for Computer Science, Technical Report, MIT/LCS/TR-212 (January 1979).
P.W. Shor, Proceedings of the 35th Annual Symposium on the Foundations of Computer Science (IEEE Computer Society, Los Alamos, CA, 1994) p. 124.
C.H. Bennett, G. Brassard, and A.K. Ekert, "Quantum cryptography" , Scientific American, October 1992, p. 50.
S. Wiesner, SIGACT News 15 , 78 (1983); original manuscript written circa 1970. C.H. Bennett and G. Brassard, in "Proc. IEEE Int. Conference on Computers, Systems and Signal Processing", IEEE, New York (1984). C.H. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, "Experimental quantum cryptography," J. Cryptology 5 , 3 (1992).
A.K. Ekert, Phys. Rev. Lett. 67 , 661 (1991); A.K. Ekert, J.G. Rarity, P.R. Tapster, and G.M. Palma, Phys. Rev. Lett. 69 , 1293 (1992).
C.H. Bennett, Phys. Rev. Lett. 68 , 3121 (1992).
A. Muller, J. Breguet, and N. Gisin, Europhys. Lett. 23 , 383 (1993).
P.R. Tapster, J.G. Rarity and P.C.M. Owens, Phys. Rev. Lett. 73 , 1923 (1994).
P D. Townsend, J.G. Rarity, and P.R. Tapster, Electron. Lett. 29 , 1291 (1993).
D.Mayers, A.Yao, Unconditional Security in Quantum Cryptography, quant-ph/9802025.
E.Biham, M.Boyer, P.O.Boykin, T.Mor, V.Roychowdhury, A Proof of the Security of Quantum Key Distribution, quant-ph/9912053.
P.W.Shor, J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, quant-ph/0003004.
Эти наборы значений углов не являются единственными.
Технология квантового распределения криптографических ключей решает одну из основных задач криптографии - гарантированное на уровне фундаментальных законов природы распределение ключей между удаленными пользователями по открытым каналам связи. Криптографический ключ - это числовая последовательность определенной длины, созданная для шифрования информации. Квантовая криптография позволяет обеспечить постоянную и автоматическую смену ключей при передаче каждого сообщения в режиме одноразового «шифроблокнота»: на сегодняшний день это единственный вид шифрования со строго доказанной криптографической стойкостью.
История
Идея использовать квантовые объекты для защиты информации от подделки и несанкционированного доступа впервые была высказана Стефаном Вейснером в 1970 г. Спустя 10 лет ученые Беннет и Брассард, которые были знакомы с работой Вейснера, предложили использовать квантовые объекты для передачи секретного ключа. В 1984 г. они опубликовали статью, в которой описывался протокол квантового распространения ключа ВВ84.
Носителями информации в протоколе ВВ84 являются фотоны, поляризованные под углами 0, 45, 90, 135 градусов.
Позднее идея была развита Экертом в 1991 году. В основе метода квантовой криптографии лежит наблюдение квантовых состояний фотонов. Отправитель задает эти состояния, а получатель их регистрирует. Здесь используется квантовый принцип неопределенности Гейзенберга, когда две квантовые величины не могут быть измерены одновременно с требуемой точностью. Таким образом, если отправитель и получатель не договорились между собой, какой вид поляризации квантов брать за основу, получатель может разрушить посланный отправителем сигнал, не получив никакой полезной информации. Эти особенности поведения квантовых объектов легли в основу протокола квантового распространения ключа.
Алгоритм Беннета
В 1991 году Беннет для регистрации изменений в переданных с помощью квантовых преобразований данных использовать следующий алгоритм:
- Отправитель и получатель договариваются о произвольной перестановке битов в строках, чтобы сделать положения ошибок случайными.
- Строки делятся на блоки размера k (k выбирается так, чтобы вероятность ошибки в блоке была мала).
- Для каждого блока отправитель и получатель вычисляют и открыто оповещают друг друга о полученных результатах. Последний бит каждого блока удаляется.
- Для каждого блока, где четность оказалась разной, получатель и отправитель производят итерационный поиск и исправление неверных битов.
- Чтобы исключить кратные ошибки, которые могут быть не замечены, операции предыдущих пунктов повторяются для большего значения k.
- Для того чтобы определить, остались или нет необнаруженные ошибки, получатель и отправитель повторяют псевдослучайные проверки, а именно: получатель и отправитель открыто объявляют о случайном перемешивании позиций половины бит в их строках; получатель и отправитель открыто сравнивают четности (если строки отличаются, четности должны не совпадать с вероятностью 1/2); если имеет место отличие, получатель и отправитель, использует двоичный поиск и удаление неверных битов.
- Если отличий нет, после m итераций получатель и отправитель получают идентичные строки с вероятностью ошибки 2-m.
Реализация идеи квантовой криптографии
Схема практической реализации квантовой криптографии показана на рисунке. Передающая сторона находится слева, а принимающая - справа. Ячейки Покеля необходимы для импульсной вариации поляризации потока квантов передатчиком и для анализа импульсов поляризации приемником. Передатчик может формировать одно из четырех состояний поляризации. Передаваемые данные поступают в виде управляющих сигналов на эти ячейки. В качестве канала передачи данных может быть использовано оптоволокно. В качестве первичного источника света можно использовать и лазер.
На принимающей стороне после ячейки Покеля установлена кальцитовая призма, которая расщепляет пучок на два фотодетектора (ФЭУ), измеряющие две ортогональные составляющие поляризации. При формировании передаваемых импульсов квантов возникает проблема их интенсивности, которую необходимо решать. Если квантов в импульсе 1000, есть вероятность, что 100 квантов по пути будет отведено злоумышленником на свой приемник. В последующем, анализируя открытые переговоры между передающей и принимающей стороной, он может получить нужную ему информацию. Поэтому в идеале число квантов в импульсе должно быть около одного. В этом случае любая попытка отвода части квантов злоумышленником приведет к существенному изменению всей системы в целом и, как следствие, росту числа ошибок у принимающей стороны. В подобной ситуации принятые данные должны быть отброшены, а попытка передачи повторена. Но, делая канал более устойчивым к перехвату, специалисты сталкиваются с проблемой "темнового" шума (получение сигнала, который не был отправлен передающей стороной, принимающей стороной) приемника, чувствительность которого повышена до максимума. Для того, чтобы обеспечить надежную передачу данных, логическому нулю и единице могут соответствовать определенные последовательности состояний, допускающие коррекцию одинарных и даже кратных ошибок.
Дальнейшего повышения отказоустойчивости квантовой криптосистемы можно достичь, используя эффект EPR, который возникает, когда сферически симметричный атом излучает два фотона в противоположных направлениях в сторону двух наблюдателей. Фотоны излучаются с неопределенной поляризацией, но в силу симметрии их поляризации всегда противоположны. Важной особенностью этого эффекта является то, что поляризация фотонов становится известной только после измерения. Экерт предложил криптосхему на основе эффекта EPR, которая гарантирует безопасность пересылки и хранения ключа. Отправитель генерирует некоторое количество EPR фотонных пар. Один фотон из каждой пары он оставляет для себя, второй посылает своему партнеру. При этом, если эффективность регистрации близка к единице, при получении отправителем значения поляризации 1, его партнер зарегистрирует значение 0 и наоборот. Таким образом партнеры всякий раз, когда требуется, могут получить идентичные псевдослучайные кодовые последовательности. Практически реализация данной схемы проблематична из-за низкой эффективности регистрации и измерения поляризации одиночного фотона.
Экспериментальные реализации
2019: Испытания системы для квантовой защиты передачи данных на ВОЛС «Ростелекома»
2017
В России представлен квантовый телефон ViPNet
Технологию квантового 4D-кодирования впервые испытали в городских условиях
Как стало известно 30 августа 2017 года, исследователи из университета Оттавы успешно провели первые реальные испытания технологии квантового 4D-кодирования, передав зашифрованные сообщения между двумя станциями, расположенными на крышах высотных зданий, расстояние между которыми составляло 300 метров.
Технология
Традиционные технологии квантовых коммуникаций, уже используемые в некоторых местах для создания "невзламываемых" квантовых сетей, используют стандартную двоичную систему счисления, кодируя в одном фотоне один бит передаваемой информации. Некоторое время назад была изобретена технология так называемого многомерного квантового кодирования, которая позволяет удвоить объем информации, заключенной в одном фотоне света. Это, в свою очередь, позволяет каждому фотону нести одно из четырех значений - 00, 01, 10 и 11, вследствие чего технология получила название квантового 4D-кодирования. Помимо того, технологию отличает более высокий уровень защищенности от попыток преднамеренного вмешательства и большая устойчивость к влиянию посторонних факторов окружающей среды.
Эксперимент
Тест проводился на дистанции в 300 метров. В ходе эксперимента осуществлялась передача информации между двумя базовыми станциями, установленными на крышах зданий, которые предварительно были помещены внутрь деревянных коробок, защищающих их от непогоды. В таких условиях уровень ошибок при передаче данных составил 11%, что гораздо ниже уровня, требующегося для организации безопасного квантового коммуникационного канала. С учетом повторов и избыточной информации для коррекции ошибок, система смогла передать в 1,6 раза больше информации, чем система с обычным двухмерным квантовым кодированием, работающая в идеальных условиях.
| Наш эксперимент стал первой в мире передачей данных, проведенной при помощи технологии многомерного квантового кодирования в реальных городских условиях, включая непогоду, - рассказал Эбрахим Карими (Ebrahim Karimi), ведущий исследователь. - Продемонстрированная нами безопасная квантовая коммуникационная система, работающая на открытом воздухе, способна обеспечить связь со спутниками на орбите и местами на поверхности Земли, куда нецелесообразно прокладывать оптическое волокно. Кроме этого, такая система может служить для организации безопасной связи с движущимися объектами, такими как самолеты и суда. |
Планы
Ученые планируют провести испытания системы квантового 4D-кодирования на дистанции в 3 километра, после чего рассчитывают увеличить дистанцию до 5,6 километров с использованием промежуточных станций и системы адаптивной оптики, предназначенной для компенсации искажений, вносимых атмосферой. В более долгосрочной перспективе исследователи планируют добавить большее количество "измерений кодирования", что, в свою очередь, позволит еще больше увеличить объем информации, упакованной в один фотон.
С точки зрения технологий квантовых коммуникаций окружающий мир является весьма "шумным" местом, заполненным препятствиями, движущимся воздухом и пронизанным электромагнитными сигналами. Как результат, передача сигнала в "шумной" городской среде на расстояние в 3 километра эквивалентна передаче такого же сигнала на спутник с базовой станции, расположенной в тихом изолированном месте, подчеркнули исследователи.
Создание защищенной сети в Китае
В июле 2017 года стало известно о том, что Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии. Проект уже запущен в городе Цзинань. Как утверждает местная пресса, это исторический момент. Ранее "квантовый" канал связи был организован между двумя крупнейшими городами Китая.
К 25 июля 2017 года в цзинаньской сети насчитывается 200 абонентов - представители военных, правительственных организаций, а также финансового и энергетического сектора. Они смогут общаться, не опасаясь прослушки.
Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики - при помощи электронов в электрическом токе, или, как в случае с проектом в Цзинане, фотонов в линиях волоконно-оптической связи.
Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии
Ключевой особенностью такой системы является то, что любую атаку, любые попытки подслушивать будут немедленно обнаружены.
Технология квантовой криптографии опирается на принципиальную неопределенность поведения квантовой системы. Принцип неопределенности Гейзенберга гласит: невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Иными словами, попытка измерения взаимосвязанных параметров в квантовой системе вносит в нее нарушения, разрушая исходные сигналы, - это означает возможность немедленного выявления перехватчика в канале связи.
Традиционная (математическая) криптография предусматривает, что попытки взломать ключи шифрования - это очень сложная математическая проблема; для ее решения требуются обширные вычислительные ресурсы.
Однако, чем дальше, тем мощнее становятся компьютеры, и тем длиннее должны становиться ключи шифрования. Вдобавок на подходе квантовые компьютеры, чья вычислительная мощность будет находиться на принципиально более высоком уровне, нежели у современной техники. Традиционная криптография может оказаться слишком слабой перед ними.
Перехват ключей в квантовой криптографии в принципе возможен, но, по вышеописанным причинам, злоумышленник не сможет не выдать себя.
Что характерно, Китай оказался впереди планеты всей в вопросе квантовой криптографии. Создание инфраструктуры для ее практической реализации - дело крайне затратное, и ни европейский, ни американский бизнес не спешили вкладываться в нее.
По его словам, он еще в 2004 году призывал ЕС активнее вкладываться в "квантовые" проекты, но безрезультатно.
Высокоскоростной квантовый шифратор МГУ
На базе технологии, созданной в рамках проекта Фонда перспективных исследований , будет создан высокопроизводительный шифратор с квантовым каналом распределения криптографических ключей для быстрой и абсолютно безопасной передачи информации по оптоволоконным линиям связи.
Грант Минобрнауки России
Как ожидается, 631-килограммовый спутник «Мо-цзы» (Micius), названный в честь китайского философа-легиста, будет находиться на орбите на расстоянии 500 км от земной поверхности в течение не менее двух лет.
По информации агентства «Синьхуа», установлена устойчивая связь для передачи данных между завершившим тесты спутником «Мо-цзы» и экспериментальной платформой для квантовой телепортации на станции Али в Тибете.
Несмотря на «фантастическое» название платформы для квантовой телепортации, она не имеет отношение к телепортации, описываемой в беллетристике.
На оборудовании «Мо-цзы» реализуется канал связи на основе пар так называемых запутанных фотонов - субатомных частиц, свойства которых зависят друг от друга. Ученые рассчитывают передавать один из фотонов со спутника в исследовательские центры в Китае и Австрии.
2016: Т8 и РКЦ создадут систему защищенной квантовой связи
2015
Acronis внедряет квантовое шифрование
30 сентября 2015 года компания Acronis сообщила о планах внедрить технологии квантового шифрования в свои продукты для защиты данных. Поможет ей в этом швейцарская ID Quantique, инвестором которой является созданный Сергеем Белоусовым фонд QWave Capital .
Компания Acronis займется разработкой технологий квантовой криптографии. Вендор планирует оснастить ими свои продукты и считает, что это обеспечит более высокий уровень безопасности и конфиденциальности. Acronis рассчитывает стать первой на рынке компанией, внедрившей подобные методы защиты.
Партнером Acronis по разработке квантовой криптографии станет швейцарская компания ID Quantique, с которой вендор заключил соглашение. ID Quantique - компания, связанная с генеральным директором Acronis Сергеем Белоусовым - он основатель фонда QWave Capital , одного из инвесторов ID Quantique.
Одна из технологий, которую Acronis планирует внедрить в свои решения - квантовое распределение ключа. Ключ шифрования передается по оптоволоконному каналу посредством одиночных фотонов. Попытка перехвата или измерения определенных параметров физических объектов, которые в этом случае являются носителями информации, неизбежно искажает другие параметры. В результате, отправитель и получатель обнаруживают попытку получения неавторизованного доступа к информации. Также планируется применить квантовые генераторы случайных чисел и шифрование , устойчивое к квантовым алгоритмам.
Технологии ID Quantique ориентированы на защиту информации в государственном секторе и коммерческих компаниях.
«Квантовые вычисления требуют нового подхода к защите данных, - заявил Сергей Белоусов . - Мы в Acronis убеждены, что конфиденциальность является одной из важнейших составляющих при комплексной защите данных в облаке. Сегодня мы работаем с такими ведущими компаниями, как ID Quantique, чтобы пользователи наших облачных продуктов получали самые безопасные решения в отрасли и были защищены от будущих угроз и атак».
В компании Acronis выражают уверенность - квантовое шифрование поможет избавить заказчиков (полагающих, что провайдер сможет прочесть их данные) от страха отправки данных в облако.
Эксперимент Toshiba
По мнению разработчиков новой технологии, лучший способ защитить информацию в сети – использовать одноразовые ключи для дешифрования. Проблема в безопасной передаче самого ключа.
Квантовая криптография для этого использует законы физики, в отличие от привычных методов, основанных на математических алгоритмах. Ключ в системе, созданной Toshiba , передается в форме фотонов, сгенерированных лазером - световые частицы доставляются по специальному оптоволоконному кабелю, не подключенному к интернету. Природа фотонов такова, что любые попытки перехвата данных изменяют эти данные и это немедленно детектируется, а поскольку одноразовый ключ должен иметь размер, идентичный зашифрованным данным, исключается повторное применение одного и того же шаблона, что делает декодирование без правильного ключа невозможным.
Квантовая криптография для мобильных устройств
Квантовая криптография - чрезвычайно надежный в теории метод защиты каналов связи от подслушивания, однако на практике реализовать его пока довольно трудно. На обоих концах канала должна быть установлена сложная аппаратура - источники одиночных фотонов, средства управления поляризацией фотонов и чувствительные детекторы. При этом для измерения угла поляризации фотонов необходимо точно знать, как ориентировано оборудование на обоих концах канала. Из-за этого квантовая криптография не подходит для мобильных устройств.
Ученые из Бристольского университета предложили схему, при которой сложное оборудование необходимо только одному участнику переговоров. Второй лишь модифицирует состояние фотонов, кодируя этим информацию, и отправляет их обратно. Аппаратуру для этого можно разместить в карманном устройстве. Авторы предлагают и решение проблемы ориентации оборудования. Измерения производятся в случайных направлениях. Список направлений может быть опубликован открыто, но при расшифровке будут учитываться только совпадающие направления. Авторы называют метод «независимым от системы отсчета квантовым распределением ключей»: rfiQKD.
Есть ли будущее у квантовой криптографии? Хотя классическая криптография и не сдает свои позиций, ее будущее целиком зависит от развития алгоритмов квантового распределения ключа.
Квантовая криптография - это один из тех удивительных инструментов, который был обнаружен еще задолго до того, как в нем появилась практическая необходимость. Некоторые компании уже сейчас предлагают криптографические решения, обладающие свойством “доказуемой безопасности” и основанные на фундаментальных принципах квантовой механики. Но, несмотря на все уверения подобных компаний, можно найти публикации, в которых описываются практически осуществимые способы того, как пассивный нарушитель Ева может подслушать, о чем щебечут Алиса и Боб по квантовому каналу.
Терзаемый любопытством, я запрыгнул на парижский скоростной поезд, чтобы совершить путешествие в саму колыбель квантовой криптографии: в Женеву. Именно в Женеве в реальных условиях была продемонстрирована работа алгоритма квантового распределения ключа (quantum key distribution - QKD). Именно в Женеве находится компания Id Quantique, которая специализируется на изготовлении продуктов безопасности, работающих по принципам квантовой физики. Именно Женева – резиденция исследовательского центра квантовой оптики GAP-Optique (при Женевском университете).
Моя цель понять, так что же такое квантовая криптография? Кто покупает QKD-системы? Зачем? Как повсеместное внедрение QKD отразится на противостоянии белых и черных хакеров. Каковы направления будущих исследований QKD?
Квантовый нарушитель
Пока поезд на всех парах мчался к пункту моего назначения, я размышлял (надо сказать, с долей неохоты) о современной криптографии. Существует множество способов защищать информацию, но меня интересовали только коммерческие асимметричные системы. Все криптографические системы можно разделить на два класса: симметричные и асимметричные. В асимметричных системах у меня есть два ключа: один из которых закрытый и я храню его дома под подушкой; второй ключ – открытый. Теперь, чтобы отправить мне зашифрованное сообщение, вам нужно зашифровать его отрытым ключом, я же смогу расшифровать сообщение, воспользовавшись своим закрытым ключом.
Простые числа (Внимание: дальше много математики)
В стойкой асимметричной системе нарушитель не сможет вычислить закрытый ключ, если ему известен только открытый ключ. Алгоритм RSA (названный в честь тройки своих создателей) считается стойкой асимметричной системой. Давайте взглянем, как работает RSA.
Сначала выберем два простых числа p и q , например, p = 13 и q = 17 . Перемножив два числа, мы получим pq = 221 .
Нам также понадобится второе чиcло: произведение p -1 и q -1 , (p -1)(q -1)=192 . Теперь в диапазоне от 1 до 192 выберем любое число, которое было бы взаимно простым с 221. Давайте в качестве такого числа возьмем 7.
Для того чтобы вычислить ключи, последовательно будем находить значения выражения (p ‑1)(q -1)(1,2,3,…) + 1 до тех пор, пока мы не получим число, которое нацело делится на выбранное ранее число (в нашем случае на 7). При вычислении выражения у нас получится следующий ряд: 193, 385, 578… 385 делится на 7, и в результате дает 55.
Итак, мы получили два ключа: {7, 221} и {55, 221}. Но, не зная простых чисел, перемножением которых получено число 221, нам не удастся вычислить один ключ, зная только другой. Тем не менее, мы знаем произведение простых множителей, так что в качестве варианта можно попробовать факторизовать 221 и найти те самые простые множители.
Оказывается, разложение на множители не такая уж и простая задача. Я написал простенький скрипт, который позволяет узнать, как время нахождения простых множителей зависит от размера факторизируемого числа. Скрипт не оптимизирован и в нем используется метод перебора. Время загрузки Питона и необходимых библиотек ничтожно мало по сравнению со временем работы самого скрипта. Но тут важно скорее не само время работы, а то, насколько быстро время разложения на множители возрастает при увеличении размера факторизуемого числа.
В идеальной ситуации, когда размер факторизуемого числа увеличивается на порядок, время нахождения простых множителей должно увеличиваться как минимум на порядок. В частности для моего скрипта, чтобы увеличить время факторизации на один порядок, нужно увеличить на порядок каждый из простых множителей (или увеличить произведение на два порядка).
Но наше преимущество перед нарушителем заключается в том, что время генерации ключа практически не зависит от размера простых множителей. Следовательно, чтобы сделать факторизацию практически неосуществимой, мы можем просто выбрать простые числа достаточно большой длины. И именно поэтому битовая длина ключей в ассиметричных системах такая большая.
Шор in da house
Хорошо, мой скрипт действительно не отличается изысканностью. Другие бы попытались, и я не сомневаюсь, нашли бы способ оптимизировать скрипт. Но, так или иначе, никакая оптимизация не спасет от достаточно большой пары простых чисел. И вот тут на сцену выходят квантовые информационные технологии. Шор обнаружил, что на квантовом компьютере задачу разложения на множители можно решить за полиномиальное время. С тех пор алгоритм Шора стал источником развития как технологии QKD, так и классической криптографии.
Физики из Университета Рочестера, Национального института стандартов и технологий и Массачусетского технологического института впервые реализовали на практике абсолютно стойкуюсистему квантового шифрования. Она позволяет передавать шесть бит информации в каждом фотоне сигнала, причем длина ключа меньше чем длина сообщения. Это позволяет передавать новый ключ внутри основного сообщения, что невозможно в классических вариантах шифрования. Описание метода доступно на arXiv.org, кратко о нем сообщает MIT Technology Review.
Абсолютно стойкими называются те алгоритмы шифрования, которые не позволяют расшифровать сообщение без секретного ключа даже такому злоумышленнику, который обладает безгранично большими вычислительными мощностями. К таким алгоритмам относится, например, шифр Вернама.
Для его использования необходима пара условных «блокнотов» со случайно-сгенерированными секретными ключами, каждая страница которых используется лишь один раз. К каждому символу сообщения добавляется число из секретного ключа, соответственно, для расшифровки это число необходимо вычесть. При попытке злоумышленника подобрать секретный ключ, он получит набор всевозможных фраз такой же длины, как и зашифрованное сообщение. Идентифицировать искомую информацию среди них будет невозможно.
В 1949 году Клод Шеннон определил основные требования к абсолютно стойким шифрам. В частности, ключ для такого шифра должен быть равен по длине или превосходить длину кодируемого сообщения. Но физики доказали, что в квантовой криптографии это требование теоретически можно обойти и сделать ключ экспоненциально короче самого сообщения.
В новой работе ученые продемонстрировали на практике технологию такого квантового шифрования. В основе устройства лежатпространственные модуляторы света (SLM) - матрицы (в эксперименте - 512×512), преобразующие фазу и интенсивность проходящего сквозь них света определенным известным образом в зависимости от положения матрицы. Затем прошедший свет передавался напрямую, открытым способом. При этом происходит линейный сдвиг точки фокуса луча. Не зная, какие именно преобразования были сделаны, невозможно восстановить исходные характеристики света.
Схема шифрования и дешифровки сигнала. Alice - отправитель, Bob - получатель, Eve - третья сторона.
Для расшифровки также используется модулятор света, выполняющий обратное преобразование. После этого свет фокусируется на однофотонный детектор 8×8 пикселей - положение точки фокуса соответствует записанной в фотонах информации. Таким образом, используя единичные фотоны для передачи данных, возможна передача до шести бит (2 6 =8×8) информации на фотон.
Даже если перехватывающий открытую информацию злоумышленник будет обладать таким же модулятором света, каким обладают отправитель и получатель сигнала, не зная последовательность действий с модулятором, он не сможет восстановить информацию.
Кроме того ученые показали, что размер ключа, используемого в шифровании меньше, чем длина сообщения, что позволяет помещать в сообщение новый ключ. Это позволяет решить проблему безопасной передачи ключа от отправителя к получателю. В эксперименте исследователи кодировали на 6 бит ключа 1 бит сообщения 2,3 бита секретного ключа и 2,7 бит избыточной информации, необходимой для того, чтобы понять, правильно ли расшифровано сообщение.
Квантовая криптография (шифрование)
Квантовая криптография по праву считается новым витком в эволюции информационной защиты. Именно она позволяет создать практически абсолютную защиту шифрованных данных от взлома.
История
Идея использовать квантовые объекты для защиты информации от подделки и несанкционированного доступа впервые была высказана Стефаном Вейснером в 1970 г. Спустя 10 лет ученые Беннет и Брассард, которые были знакомы с работой Вейснера, предложили использовать квантовые объекты для передачи секретного ключа. В 1984 г. они опубликовали статью, в которой описывался протокол квантового распространения ключа ВВ84.
Носителями информации в протоколе ВВ84 являются фотоны, поляризованные под углами 0, 45, 90, 135 градусов.
Позднее идея была развита Экертом в 1991 году. В основе метода квантовой криптографии лежит наблюдение квантовых состояний фотонов. Отправитель задает эти состояния, а получатель их регистрирует. Здесь используется квантовый принцип неопределенности Гейзенберга, когда две квантовые величины не могут быть измерены одновременно с требуемой точностью. Таким образом, если отправитель и получатель не договорились между собой, какой вид поляризации квантов брать за основу, получатель может разрушить посланный отправителем сигнал, не получив никакой полезной информации. Эти особенности поведения квантовых объектов легли в основу протокола квантового распространения ключа.
Алгоритм Беннета
В 1991 году Беннет для регистрации изменений в переданных с помощью квантовых преобразований данных использовать следующий алгоритм:
- Отправитель и получатель договариваются о произвольной перестановке битов в строках, чтобы сделать положения ошибок случайными.
- Строки делятся на блоки размера k (k выбирается так, чтобы вероятность ошибки в блоке была мала).
- Для каждого блока отправитель и получатель вычисляют и открыто оповещают друг друга о полученных результатах. Последний бит каждого блока удаляется.
- Для каждого блока, где четность оказалась разной, получатель и отправитель производят итерационный поиск и исправление неверных битов.
- Чтобы исключить кратные ошибки, которые могут быть не замечены, операции предыдущих пунктов повторяются для большего значения k.
- Для того чтобы определить, остались или нет необнаруженные ошибки, получатель и отправитель повторяют псевдослучайные проверки, а именно: получатель и отправитель открыто объявляют о случайном перемешивании позиций половины бит в их строках; получатель и отправитель открыто сравнивают четности (если строки отличаются, четности должны не совпадать с вероятностью 1/2); если имеет место отличие, получатель и отправитель, использует двоичный поиск и удаление неверных битов.
- Если отличий нет, после m итераций получатель и отправитель получают идентичные строки с вероятностью ошибки 2-m.
Реализация идеи квантовой криптографии
Схема практической реализации квантовой криптографии показана на рисунке. Передающая сторона находится слева, а принимающая – справа. Ячейки Покеля необходимы для импульсной вариации поляризации потока квантов передатчиком и для анализа импульсов поляризации приемником. Передатчик может формировать одно из четырех состояний поляризации. Передаваемые данные поступают в виде управляющих сигналов на эти ячейки. В качестве канала передачи данных может быть использовано оптоволокно. В качестве первичного источника света можно использовать и лазер.
На принимающей стороне после ячейки Покеля установлена кальцитовая призма, которая расщепляет пучок на два фотодетектора (ФЭУ), измеряющие две ортогональные составляющие поляризации. При формировании передаваемых импульсов квантов возникает проблема их интенсивности, которую необходимо решать. Если квантов в импульсе 1000, есть вероятность, что 100 квантов по пути будет отведено злоумышленником на свой приемник. В последующем, анализируя открытые переговоры между передающей и принимающей стороной, он может получить нужную ему информацию. Поэтому в идеале число квантов в импульсе должно быть около одного. В этом случае любая попытка отвода части квантов злоумышленником приведет к существенному изменению всей системы в целом и, как следствие, росту числа ошибок у принимающей стороны. В подобной ситуации принятые данные должны быть отброшены, а попытка передачи повторена. Но, делая канал более устойчивым к перехвату, специалисты сталкиваются с проблемой “темнового” шума (получение сигнала, который не был отправлен передающей стороной, принимающей стороной) приемника, чувствительность которого повышена до максимума. Для того, чтобы обеспечить надежную передачу данных, логическому нулю и единице могут соответствовать определенные последовательности состояний, допускающие коррекцию одинарных и даже кратных ошибок.
Дальнейшего повышения отказоустойчивости квантовой криптосистемы можно достичь, используя эффект EPR, который возникает, когда сферически симметричный атом излучает два фотона в противоположных направлениях в сторону двух наблюдателей. Фотоны излучаются с неопределенной поляризацией, но в силу симметрии их поляризации всегда противоположны. Важной особенностью этого эффекта является то, что поляризация фотонов становится известной только после измерения. Экерт предложил криптосхему на основе эффекта EPR, которая гарантирует безопасность пересылки и хранения ключа. Отправитель генерирует некоторое количество EPR фотонных пар. Один фотон из каждой пары он оставляет для себя, второй посылает своему партнеру. При этом, если эффективность регистрации близка к единице, при получении отправителем значения поляризации 1, его партнер зарегистрирует значение 0 и наоборот. Таким образом партнеры всякий раз, когда требуется, могут получить идентичные псевдослучайные кодовые последовательности. Практически реализация данной схемы проблематична из-за низкой эффективности регистрации и измерения поляризации одиночного фотона.
Экспериментальные реализации
Американские эксперименты
Еще сравнительно недавно метод квантового распространения ключа воспринимался как научная фантастика. Но в 1989 г. в Уотсоновском исследовательском центре IBM группой ученых под руководством Чарльза Беннета и Джила Брасарда была построена первая система экспериментально-практической реализации протокола ВВ84. Эта система позволила двум пользователям обмениваться секретным ключом со скоростью передачи данных 10 бит/с на расстоянии 30 см.
Позже идея получила развитие в Национальной лаборатории Лос-Аламоса в эксперименте по распространению ключа по оптоволоконному кабелю на расстояние 48 км. При передаче сигнала в воздушной среде расстояние составило 1 км. Разработан план эксперимента по передаче квантового сигнала на спутник. Если этот эксперимент увенчается успехом, можно надеяться, что технология вскоре станет широко доступной.
Квантово-криптографические исследования развиваются быстрыми темпами. В ближайшем будущем методы защиты информации на основе квантовой информации будут использоваться в первую очередь в сверхсекретных военных и коммерческих приложениях.
Эксперимент Toshiba
23 июня 2015 года компания Toshiba сообщила о начале подготовки к выводу на рынок не взламываемой системы шифрования .
По мнению разработчиков новой технологии, лучший способ защитить информацию в сети – использовать одноразовые ключи для дешифрования. Проблема в безопасной передаче самого ключа.
Квантовая криптография для этого использует законы физики, в отличие от привычных методов, основанных на математических алгоритмах. Ключ в системе, созданной Toshiba, передается в форме фотонов, сгенерированных лазером – световые частицы доставляются по специальному оптоволоконному кабелю, не подключенному к интернету. Природа фотонов такова, что любые попытки перехвата данных изменяют эти данные и это немедленно детектируется, а поскольку одноразовый ключ должен иметь размер, идентичный зашифрованным данным, исключается повторное применение одного и того же шаблона, что делает декодирование без правильного ключа невозможным.
Toshiba начала исследования в сфере технологий квантовой криптографии в 2003 году. Свою первую систему компания представила в октябре 2013 года, а в 2014 году в компании добились стабильной передачи квантовых ключей по стандартному оптоволокну в течение 34 дней.
При всех своих принципиальных достоинствах этому методу свойственны значительные базовые ограничения: вследствие затухания светового сигнала, передача фотонов (без репитера) возможна на расстояние не более 100 км. Фотоны чувствительны к вибрации и высоким температурам, это также осложняет их передачу на большие расстояния. А для внедрения технологии требуется оборудование, где один сервер стоит около $81 тыс.
По состоянию на 24 июня 2015 года Toshiba не отказывается от планов запуска долгосрочного тестирования системы для верификации метода. В ходе тестирования, оно начнется 31 августа 2015 года, зашифрованные результаты анализа генома, полученные в Toshiba Life Science Analysis Center, будут передаваться в Tohoku Medical Megabank (при университете Tohoku), на расстояние примерно 7 км. Программа рассчитана на два года, до августа 2017 года. В ходе исследования будут контролироваться стабильность скорости передачи при длительной работе системы, влияние условий окружающей среды, включая погоду, температура и состояние оптического соединения.
Если эксперимент завершится успешно, коммерческое использование технологии станет возможно через несколько лет. К 2020 году компания предполагает начать предоставление услуг государственным организациям и крупным предприятиям. С удешевлением технологии, сервис придет и к частным пользователям.
2015: Acronis внедряет квантовое шифрование
30 сентября 2015 года компания Acronis сообщила о планах внедрить технологии квантового шифрования в свои продукты для защиты данных. Поможет ей в этом швейцарская ID Quantique, инвестором которой является созданный Сергеем Белоусовым фонд QWave Capital .
Компания Acronis займется разработкой технологий квантовой криптографии. Вендор планирует оснастить ими свои продукты и считает, что это обеспечит более высокий уровень безопасности и конфиденциальности. Acronis рассчитывает стать первой на рынке компанией, внедрившей подобные методы защиты.
Партнером Acronis по разработке квантовой криптографии станет швейцарская компания ID Quantique, с которой вендор заключил соглашение. ID Quantique - компания, связанная с генеральным директором Acronis Сергеем Белоусовым – он основатель фонда QWave Capital, одного из инвесторов ID Quantique.
Одна из технологий, которую Acronis планирует внедрить в свои решения – квантовое распределение ключа. Ключ шифрования передается по оптоволоконному каналу посредством одиночных фотонов. Попытка перехвата или измерения определенных параметров физических объектов, которые в этом случае являются носителями информации, неизбежно искажает другие параметры. В результате, отправитель и получатель обнаруживают попытку получения неавторизованного доступа к информации. Также планируется применить квантовые генераторы случайных чисел и шифрование, устойчивое к квантовым алгоритмам.
Технологии ID Quantique ориентированы на защиту информации в государственном секторе и коммерческих компаниях.
«Квантовые вычисления требуют нового подхода к защите данных, - заявил Сергей Белоусов. - Мы в Acronis убеждены, что конфиденциальность является одной из важнейших составляющих при комплексной защите данных в облаке. Сегодня мы работаем с такими ведущими компаниями, как ID Quantique, чтобы пользователи наших облачных продуктов получали самые безопасные решения в отрасли и были защищены от будущих угроз и атак».
В компании Acronis выражают уверенность – квантовое шифрование поможет избавить заказчиков (полагающих, что провайдер сможет прочесть их данные) от страха отправки данных в облако.
Перспективы развития
Квантовая криптография еще не вышла на уровень практического использования, но приблизилась к нему. В мире существует несколько организаций, где ведутся активные исследования в области квантовой криптографии. Среди них IBM, GAP-Optique, Mitsubishi, Toshiba, Национальная лаборатория в Лос-Аламосе, Калифорнийский технологический институт (Caltech), а также молодая компания MagiQ и холдинг QinetiQ, поддерживаемый британским министерством обороны. Диапазон участников охватывает как крупнейшие мировые институты, так и небольшие начинающие компании, что позволяет говорить о начальном периоде в формировании рыночного сегмента, когда в нем на равных могут участвовать и те, и другие.
Конечно же, квантовое направление криптографической защиты информации очень перспективно, так как квантовые законы позволяют вывести методы защиты информации на качественно новый уровень. На сегодняшний день уже существует опыт по созданию и апробированию компьютерной сети, защищенной квантово-криптографичекими методами – единственной в мире сети, которую невозможно взломать.
Квантовая криптография для мобильных устройств
Квантовая криптография - чрезвычайно надежный в теории метод защиты каналов связи от подслушивания, однако на практике реализовать его пока довольно трудно. На обоих концах канала должна быть установлена сложная аппаратура - источники одиночных фотонов, средства управления поляризацией фотонов и чувствительные детекторы. При этом для измерения угла поляризации фотонов необходимо точно знать, как ориентировано оборудование на обоих концах канала. Из-за этого квантовая криптография не подходит для мобильных устройств.
Ученые из Бристольского университета предложили схему, при которой сложное оборудование необходимо только одному участнику переговоров. Второй лишь модифицирует состояние фотонов, кодируя этим информацию, и отправляет их обратно. Аппаратуру для этого можно разместить в карманном устройстве. Авторы предлагают и решение проблемы ориентации оборудования. Измерения производятся в случайных направлениях. Список направлений может быть опубликован открыто, но при расшифровке будут учитываться только совпадающие направления. Авторы называют метод «независимым от системы отсчета квантовым распределением ключей»: rfiQKD.
Литература
- Charles H. Bennett, Francois Bessette, Gilles Brassard, Louis Salvail, and John Smolin, “Experimental Quantum Cryptography”, J. of Cryptography 5, 1992, An excellent description of
- A.K. Ekert, ” Quantum Cryptography Based on Bell’s Theorem”, Phys. Rev. lett. 67, 661 (1991).
- Toby Howard, Quantum Cryptography, 1997, www.cs.man.ac.uk/aig/staff/toby /writing/PCW/qcrypt.htm
- C.H. Bennet, ” Quantum Cryptography Using Any Two Non-Orthogonal States”, Phys. Rev. lett. 68, 3121 (1992).
- А. Корольков, Квантовая криптография, или как свет формирует ключи шифрования. Компьютер в школе, № 7, 1999
- В. Красавин, Квантовая криптография