Содержание к диссертации
Введение
1 Введение 4
1.1 О задаче секретной передачи данных 12
1.1.1 Исторические сведения 13
1.1.2 Симметричные шифры 16
1.1.3 Криптографические системы с открытым ключом 18
1.2 Основные понятия квантовой теории информации 22
1.2.1 Квантовые состояния 22
1.2.2 Измерения 26
1.2.3 Составные квантовые системы 29
1.2.4 Передача информации по квантовым каналам 34
1.2.5 Квантовые коды коррекции ошибок 41
1.3 Протокол квантового распределения ключей ВВ84 46
1.3.1 Общая схема протокола 47
1.3.2 Стойкость протокола 51
1.3.3 Стратегии подслушивателя 57
1.4 Другие протоколы квантовой криптографии 66
1.4.1 Протокол В92 66
1.4.2 PNS-атака 67
1.4.3 Протокол 4+2 70
1.4.4 Протокол SARG04 72
2 Стойкость протокола SARG04 76
2.1 Критерий секретности ключей 76
2.2 Схема атаки на протокол 89
2.3 Стойкость протокола 93
2.4 Выводы 98
3 Квантовая криптография с фазово-временным кодированием 99
3.1 Описание протокола 100
3.2 Стойкость версии протокола с ортогональными состояниями внутри базиса . 102
3.3 Стойкость неортогональной версии в однофотонном случае 113
3.4 Стойкость протокола против PNS-атаки 127
3.5 Выводы 135
4 Квантовая схема для оптимального подслушивания протокола квантового распределения ключей с фазово-временным кодированием 137
4.1 Квантовая схема для оптимальной атаки на протокол квантового распределения ключей ВВ84 138
4.2 Квантовая схема для оптимальной атаки на протокол квантового распределения ключей с фазово-временным кодированием 165
4.3 Выводы 188
5 Расширение области секретности протоколов квантового распределения ключей с помощью предварительной обработки данных 191
5.1 Протокол квантового распределения ключей ВВ84 191
5.2 Протокол с фазово-временным кодированием 193
Заключение 200
Литература 201
- Криптографические системы с открытым ключом
- Стойкость версии протокола с ортогональными состояниями внутри базиса
- Квантовая схема для оптимальной атаки на протокол квантового распределения ключей с фазово-временным кодированием
- Протокол квантового распределения ключей ВВ84
Введение к работе
Диссертационная работа посвящена исследованнию
криптографической стойкости протоколов квантового распределения ключей с фазово-временным кодированием против различных видов атак, включая атаку с разделением по числу фотонов.
Актуальность темы.
Квантовая криптография как наука зародилась в 1984 году, когда был разработан первый протокол квантового распределения ключей, названный ВВ84 (Bennett, Brassard). Главным преимуществом квантовых криптографических протоколов распределения ключей перед классическими является тот факт, что секретность передаваемых ключей гаранируется фундаментальными законами Природы — квантовой механики, а не предположениями об ограниченных технических или вычислительных возможностях подслушивателя.
Секретность ключей в квантовой криптографии основана на двух фундаментальных запретах квантовой механики: 1) запрете на копирование (клонирование) неизвестного квантового состояния (no cloning теорема); 2) невозможности достоверного (с вероятностью единица) различения неортогональных квантовых состояний. Любые попытки вторжения в канал связи с целью получения информации о передаваемых неортогональных квантовых состояниях неизбежно приводят к ошибкам на приемной стороне, в результате чего любые попытки подслушивания обнаруживаются по дополнительным помехам. Решение о возможности секретного распространения ключей достигается легитимными пользователями на основе величины наблюдаемой ошибки на приёмной стороне. Секретное распределение ключей возможно, если ошибка не превышает некоторой критической величины.
Это означает, что важнейшей характеристикой протоколов квантовой криптографии является допустимая критическая ошибка на приёмной стороне, до которой возможно секретное распространение ключей. Чем допустимая ошибка больше, тем более устойчивой является система квантовой криптографии по отношению к собственным шумам и попыткам подслушивания. Одной из главных задач при анализе стойкости протоколов квантового распределения ключей является нахождение точной величины критической ошибки.
Экспериментальная реализация квантовой криптографии
натолкнулась на ряд технологических трудностей, наиболее важной из которых является сложность генерации строго однофотонных квантовых
состояний. На практике обычно используются ослабленные лазерные импульсы, которые описываются когерентными квантовыми состояниями. Когерентное состояние имеет пуассоновскую статистику по числу фотонов. Оказывается, что использование когерентных состояний в сочетании с неизбежным затуханием в реальных каналах связи даёт перехватчику возможность задержать часть фотонов у себя, а после получения некоторых сведений от легитимных пользователей, передаваемых по открытому каналу, извлечь из них всю необходимую информацию. В результате схемы квантовой криптографии теряют свою секретность, если длина линии связи превышает некоторую критическую величину. Подобные действия перехватчика получили название атаки с разделением по числу фотонов, или PNS-атаки (Photon number splitting attack). Поэтому следующей принципиально важной задачей при анализе криптографической стойкости реальных систем квантовой криптографии является определение критической длины линии связи, до которой гарантируется секретность распределения ключей.
Разработки в области противодействия PNS-атаке привели к появлению протокола с изменённой (по сравнению с ВВ84) конфигурацией состояний, используемых легитимными пользователями. Наиболее известным протоколом, устойчивым к PNS-атаке, является протокол SARG04, предложенный в 2004 году (Scarani, Acin, Ribordy, Gisin). Как показал анализ, протокол перестаёт быть секретным только в том случае, когда перехватчик имеет возможность блокировать все одно-, двух- и трёхфотонные посылки. А это значит, что можно говорить о понятии критической дистанции секретного распределения ключей, на которой доля импульсов с большим числом фотонов достаточно мала. Устойчивость протокола против PNS-атаки определяется именно этой критической длиной линии связи.
Другая часть усилий исследователей направлена на модификацию протоколов кватового распределения ключей с целью увеличения критической величины ошибки, и на сегодняшни день разработаны технологии, позволяющие довести её примерно до 30%. Одним из методов увеличения критической ошибки является использование классической предварительной обработки данных, сводящейся к специальным согласованным действиям легитимных пользователей после оценки количества ошибок на приёмной стороне.
В то же время теоретический предел вероятности ошибки, до которой вообще можно безошибочно передавать информацию в асимптотическом пределе длинных последовательностей, составляет, согласно теореме Шеннона, 50%. Возникает принципиально важный вопрос — существуют ли протоколы квантовой криптографии, которые позволяют
не только безошибочно передавать информацию, но и гарантировать секретность ключей, вплоть до вероятности ошибки на приемной стороне не превышающей 50%. Оказывается, что возможна конфигурация сигнальных состояний, которая даёт в определённых случаях возможность распространения ключа при ошибке на приёмной стороне вплоть до 50%, и это оказывается возможным при использовании двухпараметрических протоколов квантовой криптографии, к которым относится протокол с фазово-временным кодированием.
Существует модификация протокола с фазово-временным кодированием, которая использует конфигурацию базисных векторов, схожую с их расположением в протоколе SARG04, позволяет сделать этот протокол также устойчивым против PNS-атаки. Более того, благодаря тому, что протокол с фазово временным кодированием использует большее количество базисов по сравнению с SARG04, его устойчивость к PNS-атаке оказывается существенно больше: теперь уже для полного взлома перехватчику нужно иметь возможность блокировать все посылки, содержащие от одного до пяти фотонов (а не от одного до трёх, как в случае SARG04). Результат этого — наибольшая критическая длина линии связи среди всех изветных на сегодняшний день протоколов квантового распределения ключей.
Другой интересной и практически важной задачей является построение явной квантовой схемы оптимальной однофотонной атаки перехватчика на известные протоколы квантового распределения ключей. Работа данной квантовой схемы может рассматриваться как одношаговое квантовое вычисление. Такая схема должна сводить все действия перехватчика к использованию реализуемых на сегодняшний день элементов, преобразующих квантовые состояния. Такими элементами являются однокубитовые элементы (реализуемые с помощью асимметричных светоделителей и фазовых модуляторов) и элемент «контролируемое НЕ» (CNOT), действующий на двухчастичные состояния. Строго говоря, элемент CNOT на сегодняшний день является ещё слишком сложным для построения, и вместо него в экспериментах используются его вероятностные модификации, выполняющие нужное действие лишь с некоторой вероятностью. Однако так как произвольное квантовое преобразование невозможно без реализации двухчастичных вентилей, то будем предполагать, что элемент CNOT, как наиболее простую двухчастичную операцию, можно реализовать с применением сегодняшних технологий. Задача построения схемы оптимальной атаки важна, в частности, тем, что с её помощью можно
оценить сравнительную сложность атаки на разные криптографические протоколы.
Разработка новых протоколов квантового распределения ключей и исследование их криптографической стойкости является на сегодняшний день важной научной и практической задачей, что определяет актуальность темы диссертационной работы.
Целью диссертационной работы являлось:
Нахождение критической величины ошибки для протокола SARG04 в случае использования строго однофотонных состояний для передачи информации.
Исследование стойкости протокола с фазово-временным кодированием при использовании строго однофотонных импульсов, нахождение области секретности протокола как функции двух параметров — битовой ошибки на приёмной стороне и количества отсчётов в контрольных временных окнах.
Исследование стойкости модификации протокола с фазово-временным кодированием с неортогональными состояниями внутри базисов против атаки с разделением по числу фотонов, а также определение критической длины линии связи, до которой гарантируется секретность распространения ключей.
Построение квантовой схемы для оптимального подслушивания протокола с фазово-временным кодированием при использовании строго однофотонных состояний для передачи данных.
Получение оценок стойкости протокола с фазово-временным кодированием с классической предвартельной обработкой данных.
Научная новизна диссертационной работы заключается в следующих положениях:
Для протокола SARG04 впервые получены значения критической ошибки на приёмной стороне Qc при каждом значении параметра протокола — угла между сигнальными состояниями внутри базиса.
Найдена область секретности протокола с фазово-временным кодированием на плоскости (Q, q) параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. Показано, что при отсутствии отсчётов в контрольных временных окнах секретная передача информации возможна при битовой ошибке, меньшей 50%, что является теоретическим пределом.
Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для неортогональной модификации протокола с фазово-временным кодированием.
Построена квантовая схема оптимальной однофотонной атаки на протокол с фазово-временным кодированием и даны принципы физической реализации подобной атаки.
Научная и практическая значимость диссертации состоит в возможности использования её результатов при построении системы квантового распространения ключей с использованием ослабленных лазерных импульсов и оптоволоконных линий связи:
для оценки информации подслушивателя о ключе из наблюдаемых на приёмной стороне параметров.
для оценки критической длины линии связи, до которой перехватчик не имеет возможность применить PNS-атаку.
для оценки изменения информации перехватчика при применении метода предварительной блочной обработки данных.
Основные положения, выносимые на защиту:
Для протокола SARG04 получены значения критической ошибки на приёмной стороне, до которой возможно секретное распределение ключей, при произвольном значении угла между сигнальными состояниями внутри базиса.
Найдена область секретности протокола с фазово-временным кодированием на плоскости параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. Также исследован способ увеличения области секретности с помощью классической предварительной обработки сигналов.
Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для неортогональной модификации протокола с фазово-временным кодированием.
Построена квантовая схема оптимальной атаки на протокол с фазово-временным кодированием в случае строго однофотонного источника.
Апробация работы
Основные результаты работы докладывались на следующих
конференциях:
Международная конференция «Quantum Informatics — QI-2007», Москва, Россия, 2007 г.;
Международная конференция «Quantum Cryptography and Computing: Theory and Implementation», Гданьск, Польша, 2009 г.;
Международная конференция «Quantum Informatics — QI-2009», Москва, Россия, 2009 г.;
Международная конференция «19th International Laser Physics Workshop», Фос-ду-Игуасу, Бразилия, 2010 г.
Личный вклад автора
Все результаты, представленные в диссертационной работе, получены автором лично либо при его непосредственном участии.
Публикации
По теме диссертации опубликовано 6 научных работ в рецензируемых журналах из списка ВАК России, список которых приведен в конце автореферата.
Объем и структура работы.
Криптографические системы с открытым ключом
Теорема Шеннона даёт требования к шифру, которые более неформальным образом можно записать так: для абсолютной стойкости шифра необходимо и достаточно, чтобы ключ полностью случайно выбирался из множества, мощность которого равна мощности множества открытых текстов, и использовался лишь однократно для пересылки каждого сообщения. Подробнее эти принципы можно проиллюстрировать на примере шифра Вериама[76], который был предложен в 1917 г. (то есть до формулировки теоремы Шеннона).
Шифр Вернама работает так: передаваемое сообщение записывается в двоичном формате, а затем берется полностью случайный ключ такой же длины, и Алиса производит операцию побитового сложения сообщения и ключа. Боб, зная ключ, производит на своей стороне побитовое сложение ещё раз, получая в точности исходное сообщение. После выполнения этих операций ключ перестаёт использоваться, что объясняет другое называние шифра Вернама — одноразовый шифр-блокнот.
Следствием абсолютной стойкости шифра Вернама является то, что ранее рассмотренная задача генерации ключей может использоваться для секретной пересылки данных, так как обладая достаточным запасом случайных ключей Алиса и Боб могут воспользоваться этим шифром для распространения информации. Таким образом, одной из важнейших криптографических задач становится генерация секретных ключей у легитимных пользователей, и как показывает опыт, эта задача оказывается весьма непростой.
Большим неудобством, связанным с использованием симметричных криптографических протоколов, оказывается необходимость наличия секретного ключа между каждой парой обменивающихся информацией абонентов. Так, если имеется группа из п человек, внутри которой требуется обеспечить возможность пересылки секретных сообщений (защищенных в том числе и от других абонентов группы), то для решения подобной задачи требуется (п — 1)! ключей — число, слишком большое для практического применения. В то же время описанная ситуация встречается очень часто, особенно с появлением Интернета, в котором число взаимодействующих друг с другом иользоватеелй очень велико. Долгое время считалось, что подобная задача не может быть эффективно решена, однако в 1976 году вышла статья «Новые направления в криптографии» Диффи и Хеллмана [20], в которой была описана технология шифрования, прекрасно подходящая именно для ситуаций, подобных описанной выше.
Основным понятием статьи Диффи и Хеллмана стали односторонние функции, которые неформально можно описать так: для каждой односторонней функции F(x) существует полиномиальный алгоритм её вычисления, но в то же время не существует полиномиального алгоритма её инвертирования, то есть решения уравнения F(x) = у при известном у. С односторонними функциями также тесно связано понятие функции с секретом -Pft-(x): такой функции, которую легко вычислить при любых значениях К и ж, но возможности инвертирования которой существенно зависят от знания К: при известном К функцию можно инвертировать за полиномиальное вермя, в то время как если К неизвестно, то полиномиального алгоритма инвертирования FK{X) не существует.
Опишем, как происходит пересылка сообщения с использованием функций с секретом. Алиса, чтобы дать другим возможность отправлять ей шифрованные сообщения, выбирает функцию с секретом FK{X) и открыто объявляет её, оставляя в тайне секрет К. Боб, чтобы послать Алисе сообщение х, вычисляет за полиномиальное время FK{X) и открыто передаёт результат Алисе. Так как Алиса, зная /С, может легко инвертировать результат, она без труда сможет прочитать исходное сообщение. В то же время если результат попадёт Еве, она при достаточной его длине не сможет инвертировать функцию F (x) за разумное время, поэтому не получит никакой полезной информации. Таким образом, для пересылки секретной информации уже нет надобности генерировать специальный секретный ключ непосредственно между Алисой и Бобом, поэтому схема с открытым ключом прекрасно подходит для обмена информацией между большим количеством пользователей: каждому из них теперь достаточно иметь два ключа: открытый, который объявляется всем для возможности шифровать информацию, и секретный, который держится в секрете и используется для расшифровки приходящих сообщений.
До сих пор открытым остаётся вопрос о существовании односторонних функций и функций с секретом. Оказывается, что предположение о их существовании связано с гипотезой Р = NP [95], и в случае, если Р = NP, односторонних функций нет, однако возможно такое, что Р ф NP, но односторонниъ функций также не существует. Таким образом, утверждение о существовании односторонних функций оказывается более сильным, чем утверждение Р ф NP. В итоге из-за недоказанности Р ф NP криптосистемы с открытым ключом нельзя считать гарантированно надёжными.
Наиболее известной функцией с ловушкой является произведение двух простых чисел: действительно, легко перемножить два даже очень больших числа «в столбик» и несложно разделить число на один из его сомножителей, чтобы получить другой. В то же время до сих пор не было найдено алгоритма, достаточно быстро раскладывающего произвольное составное число на два сомножителя, хотя ввиду большой важности этой задачи над ней десятилетиями работает большое количество исследователей.
Алгоритм RSA[64], самый распространённый алгоритм шифрования с открытым ключом, основан на так называемой «задаче RSA», которая эквивалентна задаче факторизации в том смысле, что при решении одной из этих задач можно быстро (за полиномиальное время) решить вторую. Поскольку задача факторизации выглядит более наглядной, принято считать, что алгоритм RSA сводится именно к ней. Опишем схему алгоритма RSA. Сначала Алиса выбирает два больших простых числа р и q и вычисляет их произведение N. Затем она выбирает число Е, удовлетовряющее соотношению
Стойкость версии протокола с ортогональными состояниями внутри базиса
Стойкость протокола SARG04 при больших длинах линии связи анализировалась в ряде работ. Причём оказывается[2], что анализ стойкости при неоднофотонном источнике и длине линии связи больше той, когда подслушиватель полностью может блокировать однофотонную компоненту, оказыается достаточно простым. В этой главе будет сделан анализ стойкости протокола SARG04 в случае строго однофотонного источника и длины линии связи меньше классической, причём будет рассматриваться случай произвольного угла между информационными состояниями внутри базисов.
Рассмотрим сначала более строгие выводы о критерии секретности ключей в квантовой криптографии. Они необходимы при оценке длины передаваемого ключа с учётом попадания части информации к перехватчику. Критерий секретности ключей в классическом случае Ключ представляет собой случайную битовую строку. Пусть длина ключа г бит. В конце протокола легитимные пользователи должны иметь одинаковый и случайный ключ х Є X = {0,1}г (х = (хі,Х2, ...,хг)), подчинающийся равномерному распределению Ри(х) на X — Р[/(х) = р. Пусть соответствующий ключ подслушивателя ХЕ Є ХЕ = {О,1}г, который каким-то образом коррелирован с ключом легитимных пользователей х. Неформально, ключ х секретен, если он неизвестен подслушивателю. Болеее формально, ключ х секретен, если условная вероятность РХ\ХЕ(Х\ХЕ), описывающая степень корреляции ключей, равна т.е. вероятность того, что подслушиватель знает ключ, равна вероятности простого угадывания случайной строки х. Это идеальная ситуация для легитимных пользователей и наихудшая для подслушивателя. Пусть PXXE(XIXE) — совместное распределение вероятностей, которое описывает корреляцию ключей легитимных пользователей и подслушивателя, и РХЕ(ХЕ) = Ylx PXXE{XIXE) — соответствующее маргинальное распределение. Близость к идеальной ситуации может быть выражена при помощи расстояния Если данное расстояние равно нулю, то реализуется идеальная ситуация. Критерий секретности ключей в квантовой криптографии Любой протокол квантового распределения ключей состоит из следующих шагов. Далее будем рассматривать протоколы с несколькими базисами. 1. Используется несколько равноправных базисов, в каждом из которых имеется алфавит классических символов X, как правило бинарный X = {0,1}. В каждой посылке Алиса случайно в соответствии с равномерным распределением выбирает сначала базис, а затем символ классического алфавита в этом базисе и приготавливает отвечающее этому символу квантовое состояние, после чего направляет его в канал связи, причем возможны два эквивалентных способа действий. В первом Алиса готовит квантовое состояние рл и напрямую посылает к Бобу. Во втором — Алиса готовит сцепленое состояние рлв, подсистема В направляется к Бобу, а подсистема А остается у Алисы. В дальнейшем Алиса делает измерения над своей подсистемой А. Поскольку состояние рдв сцепленное, то измерение над подсистемой А фиксирует состояние подсистемы В. 2. После достаточно большого числа посылок N ситуация для всех участников протокола описывается совместным оператором плотности PANBNEN. Далее через открытый классический канал связи Алиса и Боб осуществляют согласованные случайные перестановки состояний своих подсистем в разных посылках Это приводит к тому, что частичный оператор плотности PANBN становится инвариантным относительно перестановок, и согласно квантовому аналогу классической теоремы de Finneti (см. детали в [63]), может быть сколь угодно точно представлена в виде тензорного произведения операторов плотности, относящихся к отдельным посылкам — PANBN аАВ 3. Затем Алиса и Боб через открытый канал связи выбирают базис, в котором они будут производить измерения. Как правило измерения на стороне Алисы описываются ортогональными проекторами {Л4Х} (х Є X). Измерения на стороне Боба, если состояния внутри базиса неортогональны, могут описываться неортогональными разложениями единницы. Пусть набор измеряющих операторов па приемной стороне есть {Л4У} (у Є Y, Y — множество результатов измерений. Совместный оператор плотности Алисы и Боба после измерений становится равен CTXY, соответственно, совместный оператор плотности всех участников протокола есть &XYE- В результате измерений возникает совместное распределение вероятностей Рху(х,у) = ТГ{М.ХМУСГАВ}, такое что вероятность ошибки Q на приемной стороне равна Q = хФу PXY(X, у). 4. Следующий шаг состоит в оценке степени искажения подслушивателем переданных состояний. После измерений и отбрасывания исходов с неопределенным результатом, Алиса и Боб имеют битовые строки длины п — первичный ключ, но строка Боба еще содержит ошибки. Часть последовательности раскрывается и оценивается вероятность ошибки, раскрытая часть в дальнейшем отбрасывается. При большой длине исходной последовательности в оставшейся нераскрытой части вероятность ошибки такая же как в раскрытой. 5. Следующий шаг состоит в коррекции ошибок на приемной стороне посредством обмена классической информацией через открытый аутентичный канал связи. Далее будем иметь в виду односторонние обмены. Алиса открыто выбирает код кооректирующий ошибки, зависящий от величины ошибки Q и сообщает Бобу корректирующую информацию. Теоретически минимальная информация в битах, которую необходимо сообщить Алисе через открытый канал Бобу для исправления ошибок при больших п, составляет nH(X\Y) (nH(X\Y) — условная энтропия Шеннона1.). После исправления ошибок Алиса и Боб имеют идентичные битовые строки длины п — очищенный ключ, о котором Ева имеет, при наблюдаемой ошибке Q Qc меньше критической, частичную информацию. При ошибке Q Qc Ева имеет полную информацию об очищенном ключе. fication [8]), которую Ева получила из квантового канала связи и из классического при коррекции ошибок, происходит посредством хэширования (сжатия) очищенного ключа при помощи универсальных хэш-функций второго порядка [17], сжимающих битовую строку длины п до строки длиной г. Хэш-функция f{x) Є Т = {/ : {{0,1}" — (0,1}г} сама является случайной величиной, которую легитимные пользователи выбирают открыто и случайно в соответствии с равномерным распределением на множестве таких функций J7 (см. детали в [8]). Данные функции обладают свойством, что для любой случайно выбранной функции и любых двух случайных значений аргумента, вероятность совпадения значений функции Pr{f(xi) = Дяг)} у- Строка длины г представляет собой финальный секретный ключ.
Квантовая схема для оптимальной атаки на протокол квантового распределения ключей с фазово-временным кодированием
Если длина квантового канала связи меньше критической величины, то Ева не может блокировать все однофотонные посылки и вынуждена извлекать информацию о ключе из однофотонных состояний. Ева неизбежно будет производить ошибку на приемной стороне у Боба только за счет измерения и возмущения состояний в однофотонных посылках.
Здесь будет рассмотрен наиболее интересный случай неортогональных сотсояний внутри базисов. Пусть длина линии превышает критическую длину (3.102). При неортогональных состояниях даже при известном базисе Ева будет иметь лишь частичную информацию. С ростом длины линии (соответственно потерь) Ева может блокировать посылки, содержащие два, три и т.д. фотонов. Причем из неоднофотонных посылок Еве выгодней оставить у себя как можно большее число фотонов, а один фотон из каждой многофотонной посылки отправить к Бобу через свой канал с меньшими потерями (в пределе без потерь). Чем больше фотонов из многофотонных посылок Ева оставит у себя, тем больше информации она сможет получить. Дальнейшая задача будет сводиться к вычислению информации Евы в зависимости от длины линии связи.
Будем считать, что фотодетекторы на приемной стороне не различают число фотонов. Это имеет место для лавинных фотодетекторов на основе InGaAsiP, работающих в стробируемом режиме. Хотя отметим, что на сегодняшний день имеююся эксперименты со сверхпроводящими фотодетекторами, которые способны различать посылки с числом фотонов до трех [81].
Ниже будет показано, что протокол позволяет распределять секретные ключи при длинах линии связи, когда L\ L L$. При больших длинах линии связи (/у Lg), когда Ева может блокировать все посылки вплоть до пятифотонных, распределение секретных ключей становится невозможным. В квантовой криптографии линия связи, за пределами передающей и приемной станций, не контролируется, поэтому никто не запрещает Еве иметь доступ к исходным неискаженным затуханием состояниям, покидающих приемную станцию. Данные информационные квазиоднофотонные состояния получаются ослаблением когеретного состояния. Поскольку от посылки к посылке относительная фаза в состояниях не фиксирована, то подслушиватель «видит» в канале связи усредненное по фазе когерентное состояние, которое описывается оператором плотности где \ІЬ)А — исходные состояния Алисы в (3.3 - 3.4), а // — среднее число фотонов в когерентном состоянии. Рассмотрение, представленное ниже, применимо и для источника с произвольным распределением по числу фотонов, а не только для когерентного состояния. При L L\ все однофотонные посылки блокированы, Ева используя неразрушающие измерения определяет число фотонов к в каждой посылке. Один из к фотонов направляет к Бобу через свой канал без потерь, а себе оставляет к — 1 фотонов для для измерений после раскрытия базисов Алисой и Бобом. После отбрасывания результатов с неопределенным исходом информация Боба в битах в пересчете на одну оставленную позицию составляет 1(А; В) = 1 (при идеальных фотодетекторах). Учтем теперь неидеальность фотодетекторов. В этом случае Боб имеет дело как и ранее с однофотонными состояниями. На приемной стороне Боб случайно и равновероятно выбирает измерения в одном из двух базисов. Формально измерения описываются следующими разложениями единицы. Учтем теперь неидеальность фотодететоров. Поскольку лавинные фотодетекторы в телекомуникационном диапазоне длин волн 1.3 —1.55 мкм работают в стробируемом режиме (фотодетектор активируется посредством подачи короткого импульса напряжения длительности 1-2 не в момент возможного прихода информационного состояния), то темповые отсчеты с определенной вероятностью имеют место только в момент стробирования независимо от прихода состояния. В реальных системах квантовой криптографии используется обычно пара лавинных фотодетекторов (см., например, [[87]]), которые обозначим Do и D\. Темновые шума изменяют эффективную ошибку на приемной стороне. Пусть квантовые эффективности фотодетекторов равны г/о и 771 (обычно в этом спектральном диапазоне 77од 10 — 40%). Поскольку при L L\ состояния поступают через канал модифицированный Евой на приемную сторону без искажений, то ошибка на приемной стороне обусловлена только темновыми шумами. Обозначим вероятности темповых отсчетов во временном окне стробирования для двух детекторов как pdQ и pjjarfc (обычно 10-40%).
Фотоотсчеты в детекторах Do и D\ можно разбить на следующие множества. Ло и А\ — множества отсчетов от информационных состояний. Do и D\ — множества темновых отсчетов соответственно в детекторе JDQ И D\. Напомним, что оба детектора стробируются одновременно. Поэтому темновые отсчеты могут иметь место одновременно (в одном и том же стробе) в двух фотодетекторах. Лі — множеств одновременных отсчетов только от информационных состояний Ло и темновых отсчетов DQ. Л 2 — множество одновременных отсчетов только от информационных состояний Ло и темновых отсчетов в детекторе D\. Л3 — множество одновременных отсчетов от Ло, Do и D\. Л4 — множество одновременных отсчетов только Do и D\. Множества Ло и Лі не пересекаются, поскольку Алиса посылает либо 0, либо 1. Одновременные события в одном временном стробе в одном детекторе от информационного состояния и темнового шума воспринимаются как один фотоотсчет. Одновременные фотоотсчеты в двух детекторах в одном временном стробе отбрасываются. Вероятность отсчета от информационных состояний 0 и 1 равна
Поскольку состояния, отвечающие 0 и 1, посылаются равновероятно, то только половина из каждого непересекающегося множества темновых отсчетов будет давать правильные отсчеты. Другая половина отсчетов будет ошибочной. Для вероятность ошибки на приемной стороне у Боба имеем .
Поскольку информационные состояния достигают приемной стороны через канал Евы неискаженными, а ошибка обусловлена только темновыми отсчетами, и исходы с неопределенным результатом отбрасываются, то взаимная информация между Алисой и Бобом равна пропускной способности классического симметричного бинарного канала связи с величиной ошибки Q(L). Имеем C(Q) = 1 — h(Q{L)).
Рассмотрим теперь действия подслушивателя. При задланной длине линии связи Ева блокирует посылки, либо полностью, либо частично с наименьшим числом фотонов. Из остальных она один фотон посылает Бобы, а остальные оставляет у себя. Вероятность потерь — доля посылок, исчезающих в канале связи длины L есть здесь а 0.2 дБ/км — константа затухания в одномодовом оптоволокне. Для когеретного состояния доля потерянных посылок составляет piosS{L) = е_/іГ — e_At (при L —ї со, T(L) — 0, pioss(L) — 1 — e - исходная общая доля непустых посылок). При больших длинах (I/ L\ (pioss(Li) = Pi), когда Ева может блокировать все однофотонные посылки, при атаке на которые она неизбежно производила бы ошибки на приемной стороне. С дальнейшим ростом длины линии, подслушиватель может блокировать двух, трех, ... к-фотонные посылки. Иначе говоря, при длинах L Lx L L2 L... L ... Ева может блокировать частично, а начиная с некоторой длины, полностью, fc-фотонные посылки. Зависимости длин Lk от среднего числа фотонов р. В когерентном состоянии приведены на рис.3.5.
Протокол квантового распределения ключей ВВ84
Действительно после данных процедур амплитуда состояния в разных каналах становится (см. рис.4.4Ь)), в нижнем — (cos(a)a + sin(a)/3)2), и верхнем (—sin(a)a:+ cos(a)/3)2). Это как раз те амплитуды, которые возникают при действии оператора, и стоят коэффициентами при вычислительных базисных состояниях в (4.30).
В этом случае матричное представление оператора остается таким же как и в вычислительном базисе, но строки отвечают теперь двум (верхнему и нижнему) физическим каналам.2
Другими словами, каждый элемент в матрице представляет собой оператор, действующий на состояния во временных окнах 1,2,3,... Например, единичный оператор, / = 1)(1 + 2)(2 + 3)(3 + .. (однако актуальными для нас будут состоянния только в трех временных окнах).
Отметим, что приведение состояний в верхнем и нижнем каналах может быть сделано к любому временному окну 1,2 и т.д., но обязательно общему для обеспечения интерференции. Как следует из рис.4.2, состояния в верхнем и нижнем каналах (до их разделения — это состояния, локализованные в разных временных окнах) происходят из одного и того же исходного состояния, которое было разделено на светоделителе.
Теперь необходимо учесть конкретную физическую структуру квантовых состояний. Фактически это будет сводится к сопоставлению базисным состояниям jl) и 2) однофотонных пакетов в двух пространственно разделенных каналах (оптоволокнах).
Вычислительные квантовые состояния в нашем случае фазового кодирования для протокола ВВ84 представляют собой суперпозицию базисных состояний 1) и 2) (рис.4.2), локализованных во временных окнах 1 и 2 (4.1, 4.2). И далее для фазово-временнбго кодирования суперпозицию состояния во временных окнах 1 и 2 в базисе L, и 2 и 3 — в базисе R. Отметим, что во всех системах оптоволоконной квантовой криптографии используются интенсивные (классические) оптические сигналы синхронизации, которые также передаются по открытой волоконной линии связи. Это делается для того, чтобы стробировать лавинные фотодетекторы только на момент прихода информационных состояний, тем самым уменьшить вероятность темновых отсчетов. Технически это осуществляется при помощи лазера на другой длине волны. Информационные квантовые состояния в каждой посылке привязаны по времени к импульсам синхронизации. Ева также имеет доступ к сигналам синхронизации, поэтому она может сделать вставку в оба канала. Иными словами, протокол квантового распределения ключей не содержит времени в том смысле, что Ева может удлинить обе линии связи на ту длину, которая ей требуется для вставки своей аппаратуры. Важно лишь сохранить привязку (относительное положение по времени) квантовых состояний к импульсам синхронихзации в каждой посылке.
Для приготовления своего исходного состояния Ева может использовать пару лазеров, аналогичных лазеру на передающей стороне Алисы, которые формируют в двух каналах пару квазиоднофотонных состояний локализованных во временнбм окне 1 (см. вставку на рис.4.5). Использование Евой двух разных источников для приготовления исходного квантового состояния возможно, поскольку как видно из схемы (рис.4.5) не требуется суперпозиция состояний, принадлежащих разным кубитам (фотонам из разных каналов, 2 и 3 канала).
Таким образом, приготовление исходного вспомогательного состояния Евы сводится к приготовлению двух однофотонных состояний, поступающих по верхним оптоволоконным линиям Евы в каналах 2 и 3. Моменты приготовления этих состояний по времени привязаны к приходу к Еве информационных состояний Алисы. Эта привязка осуществляется Евой с использованием оптических импульсов синхронизации. Соответствие абстрактных состояний Евы в вычислительном базисе 0)е и \1)Е явствует из рис.4.5. Присутствие амплитуды состояния в верхней волоконной линии (2 и 3) отвечает базисным состояниям 0) 0); — 1)Е1)В, а вычислительным базисным состояниям 1)Е1)Е — 1)Б1)В _ присутствие амплитуд состояний в нижних волоконных линиях 2 и 3. Здесь под 1)1)в понимается квантовое состояние, локализованное во временном окне 1, либо в верхних, либо нижних оптоволокнах Евы во 2 и 3 каналах (см. рис.4.5).
Далее, в результате взаимодействия на квантовой схеме возникает состояние, которое является суперпозицией состояний в верхних и нижних каналах у Евы. Кроме того, модифицированное состояние Евы и модифицированное состояние Алисы (Боба) оказываются в общем сцепленном (не факторизуемом) состоянии. В дальнейшем, это приводит к тому, что результат измерения Евы над своими квантовыми состояниями будет зависит от результата измерений Боба (см. разделы ниже). Фактически квантовая схема приводит к появлению эффекта Эйнштейна-Подольского-Розена [21] (ЭПР-корреляций) для двух однофотонных пакетов Евы и однофотонного пакета Боба.
Дополнительные блоки на схеме рис.4.5 (UT, U?1, Д(±), ±(f)) служат, соответственно, для преобразования состояний из одной волоконной линии в две, и переходу от формального вычислительного базиса к временному (см. формулы (4.19 - 4.23)). К описанию этих блоков мы переходим в следующем разделе.
Реализация оператора UT преобразования к физическому базису Дальнейшие действия будут сводиться к следующему. Квантовые состояния поступают к Еве по одной оптоволокошюй линии (рис.4.5). При физической реализации унитарных преобразований требуется «разведение» состояний на разные каналы, в каждом из которых присутствуют ортогональные компоненты. Займемся конструированием оператора преобразования UT, разделяющего на разные физические каналы компоненты фигурирующие перед базисными состояниями, локализованных во временных окнах 1 и 2. Отметим во избежании путаницы, что ниже в этом разделе матрицы операторов записаны в представлении номеров двух пространственных каналов, а не базисных вычислительных квантовых состояний, поэтому матричные элементы операторов действуют на сами квантовые состояния в разных пространственных каналах, а не на их амплитуды (коэффициенты), как это имеет место в (4.29,4-30). Оператор преобразования состояний может быть записан в виде канала) на два разных оптоволокна. Далее действует оператор изменяющий относительную фазу в суперпозиции состояний, во втором временном окне (нижнем канале, см. рис.4.6). Такой оператор относительного сдвига фазы в суперпозиции в нижнем канале реализуется при помощи фазового модулятора аналогичного модулятору на передающей стороне Алисы, на который подается напряжение на короткое время только в момент прохождения через него состояния во втором временном окне. Напряжение изменяет оптическую длину и, соответственно, относительную фазу состояния, локазизованного во временном окне 2 (см.рис.4.6) относительно состояния в окне 1 (т.е. относительную фазу между передней и задней «половинками», находящимися в суперпозиции — общем квантовом состоянии). Формально действие такого оператора может быть описано как Наконец, для дальнейшей реализации однокубитных операторов необходимо обеспечить интерференцию состояний в верхнем и нижнем каналах, для этого требуется привести состояния к одному временному окну — сделать задержку состояния в окне 1, 1)1 2)4
