Квантовая криптография что это
Немного о квантовой криптографии
Квантовые компьютеры и связанные с ними технологии в последнее время становятся все актуальнее. Исследования в этой области не прекращаются вот уже десятилетия, и ряд революционных достижений налицо. Квантовая криптография — одно из них.
Владимир Красавин «Квантовая криптография»
Данная статья является прологом к циклу статей и переводов по теме Квантовая криптография.
Действительно в последнее время все чаще мы слышим такие понятия как «Квантовый компьютер», «Квантовые вычисления» и конечно же «Квантовая криптография».
И если с первыми двумя понятиями в принципе всё понятно, то «Квантовая криптография» — понятие, которое хоть и имеет точную формулировку, до сих пор остается для большинства людей темным и не совсем понятным этакий Ёжик в тумане.
Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.
Квантовая физика – раздел теоретической физики, в котором изучаются квантово-механические и квантово-полевые системы и законы их движения. Основные законы квантовой физики изучаются в рамках квантовой механики и квантовой теории поля и применяются в других разделах физики.
Квантовая криптография – метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики.
Ортогональность – понятие, являющееся обобщением перпендикулярности для линейных пространств с введённым скалярным произведением.
Quantum Bit Error Rate (QBER) – уровень квантовых ошибок.
Квантовая криптография – направление молодое, но медленно развивающиеся в силу своей необычности и сложности. С формальной точки зрения это не есть криптография в полном понимании этого слова, так как базируется она не столько на математических моделях, сколько на физики квантовых частиц.
Главной её особенностью, а заодно и особенностью любой квантовой системы является невозможность вскрытия состояние системы на протяжении времени, так при первом же измерении система меняет свое состояние на одно из возможных неортогональных значений. Помимо всего прочего существует «Теорема о запрете клонирования» сформулированная в 1982 году Вуттерсом, Зуреком и Диэксом, которая говорит о невозможности создания идеальной копии произвольного неизвестного квантового состояния, хотя и существует лазейка, а именно — создание неточной копии. Для этого нужно привести исходную систему во взаимодействие с большей вспомогательной системой и провести унитарное преобразование общей системы, в результате которого несколько компонентов большей системы станут приблизительными копиями исходной.
Основы передачи данных
Дабы не приводить сложных и не всем понятных схем, прибегну к помеси физики и геометрии.
В качестве носителей информации, чаще всего, используются одиночные или парные связанные фотоны. Значения 0/1 кодируются различными направлениями поляризации фотонов. При передаче используются случайно выбранный 1 из двух или трех неортогональных базисов. Соответственно правильно обработать входной сигнал возможно только если получатель смог подобрать правильный базис, в противном случае исход измерения считается неопределенным.
Если же хакер попытается получить доступ к квантовому каналу, по которому происходит передача, то он, как и получатель будет ошибаться в выборе базиса. Что приведет к искажению данных, которое будет обнаружено обменивающимися сторонами при проверке, по некому выработанному тексту, о котором они договорились заранее, например, при личной встрече или по зашифрованному, методами классической криптографии, каналу.
Ожидание и Реальность
При использовании идеальной системы перехват данных невозможен, так как моментально обнаруживается участниками обмена. Однако при обращении к реальным системам все становится намного прозаичней.
Появляются две особенности:
Неправильные, или точнее говоря искаженные биты могут возникать по двум основным причинам. Первая причина это я, несовершенность оборудования используемого при передаче данных, вторая причина — это вмешательство криптоаналитика или хакера.
Решение первой причины очевидно Quantum Bit Error Rate.
Quantum Bit Error Rate представляет собой уровень квантовых ошибок, который вычисляется по довольно замысловатой формуле:
Говоря о второй особенности стоит упомянуть, что во всех системах присутствует затухание сигнала. И, если в используемых ныне способах передачи данных эта проблема решается за счет различных способов усиления. То в случае с квантовым каналом на данный момент максимальна достигнутая скорость 75 Кбит/с, но уровень потерянных фотонов почти достиг 50%. Хотя справедливость ради скажу, что по известным данным минимальные потери при передаче составляют 0,5% на скорости всего лишь 5 кбит/с.
Таким образом можно сделать следующие выводы:
— Но как же так есть ведь протоколы E91 и Lo05. И он принципиально отличается от BB84, B92.
— Да, и все же есть одно, НО…
Квантовая криптография что это
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Добавить в закладки
Вы сможете увидеть эту публикацию в личном кабинете
Подпишитесь на нашу рассылку и получайте новости о последних проектах, мероприятиях и материалах ПостНауки
Квантовая криптография: что это такое?
Представьте себе, что прежде чем отправить электронное письмо приятелю, вы должны достать карту, измерить расстояние до города, где он живет, и если окажется, что это расстояние больше, чем 100 км, вы со вздохом берете карандаш и бумагу и беретесь за обычное «бумажное» письмо — электронная почта дальше, чем на 100 км, не ходит.
Абсурдная ситуация? Но именно так сейчас обстоят дела с передачей квантовых данных по оптоволоконным линиям связи — рекордная дальность передачи здесь до сих пор лишь немного превышает сотню километров, а устойчивая работа на нормальных, не рекордных линиях вообще ограничивается 40 км. Это означает, например, что линию квантовой коммуникации можно организовать внутри Москвы, а вот о передаче данных в Петербург пока нечего и думать. Каковы же перспективы квантовой криптографии в области дальней связи?
Первый успешный эксперимент по квантовой передаче данных был проведен Беннетом и Жилем Брассаром в конце октября 1989 года, когда защищенная квантовая связь была установлена на расстоянии 32,5 см. Установка меняла поляризацию фотонов, но при этом блок питания шумел по-разному в зависимости от того, какой была поляризация. Таким образом, окружающие могли свободно различать нули и единицы на слух. Как пишет Брассар, «наш прототип был защищен от любого подслушивающего, который оказался бы глухим». В октябре 2007 года методы квантовой криптографии были впервые применены в широкомасштабном проекте. Система квантовой защищенной связи, разработанная швейцарской компанией Id Quantique, использовалась для передачи данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева. Таким образом, голоса швейцарцев были защищены как никакая другая информация.
Банкноты и блокноты
История квантовой криптографии началась еще в конце 1960-х годов, когда студент Колумбийского университета Стивен Визнер изложил своему бывшему сокурснику Чарльзу Беннету идею квантовых банкнот, которые в принципе нельзя подделать, поскольку это исключают законы природы. Суть идеи состояла в том, чтобы поместить на каждую банкноту несколько квантовых объектов. Это могут быть, например, ловушки с фотонами, каждый из которых поляризован под определенным углом в одном из двух базисов — либо под углом 0 и 90, либо 45 и 135 градусов. Серийный номер напечатан на банкноте, но соответствующая номеру комбинация поляризаций и базисов (фильтров, с помощью которых фотону придается или измеряется его поляризация) при этом известна только банку. Чтобы подделать такую банкноту, фальшивомонетчик должен измерить поляризацию каждого фотона, но он не знает, в каком базисе поляризован каждый из них. Если он ошибется с базисом, то поляризация фотона изменится, и поддельная банкнота будет с неверной поляризацией. Квантовые деньги до сих пор не появились, поскольку пока не удалось создать достаточно надежных ловушек для фотонов. Однако тогда же Визнер предложил использовать тот же самый принцип для защиты информации, и эта технология сейчас уже близка к реализации.
Идеи Визнера, однако, были признаны далеко не сразу. Еще в начале 1970-х годов Визнер отправил свою статью о квантовой криптографии в журнал IEEE Transactions on Information Theory, но редакторам и рецензентам язык статьи показался слишком сложным. Лишь в 1983 году эта статья увидела свет в журнале ACM Newsletter Sigact News, и именно она стала первой в истории публикацией об основах квантовой криптографии.
Первоначально Визнер и Беннет рассматривали вариант передачи зашифрованных сообщений с помощью квантовых «носителей», при этом подслушивание портило бы сообщение и не давало возможности его прочесть. Затем они пришли к улучшенному варианту — использованию квантовых каналов для передачи одноразовых «шифроблокнотов» — шифровальных ключей.
Закрытый конверт
Квантовые системы связи основаны на использовании квантовых свойств носителей информации. Если в обычных телекоммуникационных сетях данные кодируются в амплитуде и частоте излучения или электрических колебаний, то в квантовых — в амплитуде электромагнитного поля или в поляризации фотонов. Разумеется, потребуется значительно более дорогая и сложная аппаратура, но эти ухищрения оправданны: дело в том, что передача информации по квантовым каналам обеспечивает стопроцентную защиту от «прослушки». Согласно законам квантовой механики измерение свойств того или иного квантового объекта, например измерение поляризации фотона, неминуемо меняет его состояние. Получатель увидит, что состояние фотонов изменилось, и предотвратить это нельзя в принципе — таковы фундаментальные законы природы. Это можно описать такой аналогией: представьте себе, что вы пересылаете письмо в закрытом конверте. Если кто-то откроет письмо и прочитает его, цвет бумаги изменится, и получатель неминуемо поймет, что послание читал кто-то третий.
Самая ценная информация — это шифровальные ключи. Если ключ имеет длину, равную самому сообщению или еще длиннее, то расшифровать послание, не зная ключа, в принципе невозможно. Остается организовать защищенную передачу ключей, а это как раз и обеспечивают квантовые линии связи. Однако пока дистанция передачи данных для таких линий слишком коротка: из-за тепловых шумов, потерь, дефектов в оптоволокне фотоны не «выживают» на больших расстояниях.
Квантовые ключи
Множество исследовательских групп по всему миру разрабатывают устройства «восстановления» квантовых данных — так называемые квантовые повторители, которые способны «оживлять» фотоны. Группа исследователей из Российского квантового центра под руководством профессора Александра Львовского нашла способ восстанавливать свойства фотонов и подтвердила в эксперименте работоспособность этого метода. Ученые занимались изучением феномена квантовой запутанности, при котором состояния двух или нескольких объектов — атомов, фотонов, ионов — оказываются связаны. Если состояние одного из пары запутанных фотонов измерить, то состояние второго немедленно станет определенным, причем состояния их обоих будут связаны однозначно — например, если один фотон окажется поляризован вертикально, то второй — горизонтально и наоборот.
«Если распределять пары запутанных фотонов между двумя удаленными партнерами, то они оба получают одну и ту же последовательность, которую можно использовать как шифровальный ключ, поскольку это истинно случайная последовательность, которую нельзя угадать или рассчитать. Если же кто-то попытается подсмотреть запутанные фотоны, корреляция между ними потеряется и из них больше нельзя будет извлечь ключ», — объясняет Александр Львовский.
Задача состоит в том, чтобы сохранить состояние квантовой запутанности при передаче на большие расстояния. До сих пор с этим возникали большие проблемы. По оптоволоконным сетям до сих пор не удавалось передавать запутанные фотоны на расстояние больше 100 км. На больших расстояниях квантовые данные просто теряются в шумах. В обычных телекоммуникационных сетях используют разные типы повторителей или усилителей сигнала, которые усиливают амплитуду сигнала и убирают шумы, но в случае с квантовыми данными этот подход не работает. Фотон нельзя «усилить», при попытке измерить его параметры состояние фотона изменится, а значит, все преимущества квантовой криптографии исчезают.
Квантовые повторители
Ученые из разных стран пытаются разработать технологию квантовых повторителей — устройств, способных «воссоздавать» квантовую информацию, не разрушая ее. Группа Львовского, кажется, нащупала путь, который может привести к успеху. Еще в 2002 году он и его коллеги обнаружили любопытный эффект, который был назван «квантовым катализом», по аналогии с химическим термином, где определенные реакции могут идти только в присутствии особого вещества — катализатора. В их эксперименте световой импульс смешивался со «вспомогательным» одиночным фотоном на частично пропускающем свет зеркале. Затем этот фотон «удаляли». Казалось бы, состояние светового импульса не должно было меняться. Но, в силу парадоксальных свойств квантовой интерференции, фотон менял его в сторону «усиления» квантовых свойств.
«В то время это явление выглядело не более чем курьезным феноменом, каковых в квантовой физике множество. Теперь же оказалось, что оно имеет важное практическое применение — позволяет восстановить запутанность квантовых состояний света», — говорит Александр Львовский.
В своей новой работе, отчет о которой был опубликован в журнале Nature Photonics, ученые научились заново запутывать «распутавшиеся» фотоны. В качестве источника запутанных фотонов в эксперименте они использовали нелинейный кристалл титанил-фосфата калия с периодической доменной структурой. Его «обстреливали» пикосекундными импульсами света, которые генерировал титан-сапфировый лазер. В результате в кристалле рождались запутанные пары фотонов, которые ученые отправляли в два разных оптических канала. В одном из них свет подвергался 20-кратному ослаблению с помощью затемненного стекла, в результате чего уровень запутанности падал почти до нуля. Это соответствует уровню потерь в 65 км обычного оптоволоконного кабеля. Затем ослабленный сигнал направляли на светоделитель, где и проходил процесс квантового катализа. Ученые из группы Львовского называют этот процесс «квантовой дистилляцией», поскольку на выходе остается меньше фотонов, зато их уровень запутанности возрастает почти до исходного. «Из миллиона слабо запутанных пар фотонов получается одна сильно запутанная. Но при этом уровень корреляции восстанавливается до первичной, и хотя скорость передачи данных несколько снижается, мы можем получить устойчивую связь на значительно большем расстоянии», — говорит коллега Львовского Александр Уланов.
Квантовая криптография: простейшие протоколы и чуть-чуть криптоанализа
Введение
Азы квантовой механики
Не будем вдаваться в подробности, а просто сформулируем основные утверждения. Начнем с принципа неопределенности. Он гласит, что некоторые физические величины вместе абсолютно точно не измеряются. Приведем в пример импульс и координату частицы: если поместить частицу в прибор точно измеряющий координату (например он показал 
),а потом в прибор точно измеряющий импульс, то второй прибор выдаст случайное число(пусть это число 
, т.е.
). Важный момент: раньше это была частица с координатой 
, теперь это частица с импульсом 
. Если ее поместить обратно в прибор измеряющий координату, он выдаст случайное число.
Теперь перейдем к поляризациям (нам неважно знать что это такое, будем считать ее просто физической величиной, характеризующей частицу). У одной поляризации есть два взаимно перпендикулярных направления, и зная какая поляризацию, мы можем эти направления определить. Пусть у нас есть две поляризации 
и 
(значками показано направление поляризации),у каждой соответственно по 2 состояния. Принцип неопределенности гласит, что не существует прибора, который смог бы различить все 4 состояния. Есть только два отдельных прибора, один различает состояния 
, второй 
. На этом факте и основан протокол BB84.
Протокол BB84
Выпишем наш словарь:
1) _+ = |\rightarrow>» alt=»|0>_+ = |\rightarrow>» src=»https://habrastorage.org/getpro/habr/upload_files/cf1/fe5/550/cf1fe55508ecd46e1dea50c449951867.svg»/> (индексом обозначен базис квантового состояния)
2) _+ = |\uparrow>» alt=»|1>_+ = |\uparrow>» src=»https://habrastorage.org/getpro/habr/upload_files/76e/086/3fc/76e0863fc2b998e60728bbd791bc3ec3.svg»/>
3) _\times = |\nearrow>» alt=»|0>_\times = |\nearrow>» src=»https://habrastorage.org/getpro/habr/upload_files/3c3/946/0cb/3c39460cb76c92b100229881f5390b30.svg»/>
4) _\times = |\searrow>» alt=»|1>_\times = |\searrow>» src=»https://habrastorage.org/getpro/habr/upload_files/d35/cfb/54f/d35cfb54fe8a5fbe3bceeb0c2af4bc39.svg»/>
рис.1
На рисунке 1 показана схема передачи.
Случайно выбирает базис и бит (0 или 1). Отправляет последовательность 0 и 1 в соответствующих базисах Бобу
Получает бит и, чтобы его расшифровать, случайно выбирает базис в котором будет измерять поляризацию. Если он угадал базис, то он получил верный бит, если нет, то он не знает никакой информации о переданном бите. Аналогично со следующими битами информации
После сеанса передачи Алиса и Боб созваниваются по открытому каналу. Далее Боб спрашивает у Алисы по каждому переданному биту правильно ли он выбрал базис (сам бит не называет). Если выбранные Бобом и Алисой базисы совпадают, то бит успешно передан, если нет, то отбрасывается. В процессе передачи данных, бит мог «испортится» (при применении верной поляризации получается неправильный бит). Это может произойти например из-за активной атаки Евы или же из-за особенностей квантового канала. При просмотре бита неверной поляризацией, его поляризация изменяется и невозможно вычислить его изначальное состояние. Для проверки количества ошибок Алиса и Боб раскрывают часть неверных битов. В протоколе BB84 критической величиной ошибок является 11% [10], это значит что Ева пыталась перехватить сообщение. В таком случае перепроверяют квантовый канал и начинают заново.
Рассмотрим возможные действия Евы. Она может пытаться перехватывать биты через квантовый канал: так же как Боб случайно выбирать поляризацию. Однако ей это не сильно поможет прочитать сообщение, она, в отличие от Боба, не может переговариваться с Алисой для выбора нужных позиций битов(вероятность, того что она будет выбирать ту же поляризацию, что и Боб крайне мала для длинных последовательностей). При, этом в случае неправильно угаданных поляризаций, она будет «портить» биты. Боб и Алиса будут знать: их сообщения пытаются перехватить. Теперь пусть Ева дополнительно активно атакует классический канал (активно, то есть не просто подслушивает, а еще может менять информацию). Тогда она может представиться Алисе Бобом, прочитать сообщение, а после стать Алисой для Боба и передать сообщение дальше. В таком случае Ева прочитает секретное сообщение, а Алиса и Боб ничего не заподозрят.
Из рассмотренного выше следует, что для надежности передачи информации нужно предъявить определенные требования к каналам связи:
1)Информацию из квантового канала можно менять, но нельзя подслушать.
2)Информацию из классического канала можно прослушивать, но ни в коем случае нельзя менять.
КРК основанное на ЭПР
Создает ЭПР пары фотонов, одну частицу из каждой пары оставляет себе, вторую отправляет Бобу. Она случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.
Случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.
После этого Алиса и Боб созваниваются по открытому каналу и смотрят, какие поляризации у них совпали, а потом конвертирует их в последовательность 0 и 1.
Объясним в чем отличие этих двух протоколов. В BB84 состояния передаются по квантовому каналу от Алисы к Бобу. В BB84 ключ полностью защищен только при создании, а после его приходится хранить классическим образом. В ЭПР Алиса может отправить вторую запутанную частицу Бобу, а потом они их могут хранить до непосредственного использования ключа в квантово защищенном режиме.
Криптоанализ и безопасность КРК
Рассмотрим более подробно защищенность квантового распределения ключей.
Теорема 1 Если
1) квантовая механика верна
2) аутентификация безопасна
3) устройства достаточно безопасны,
то с большой вероятностью ключ, установленный квантовым распределением ключей, является случайным секретным ключом независящим от входных значений.
Предположение 1 Квантовая механика верна. Это предположение требует, чтобы любой перехватчик был ограничен законами квантовой механики. В частности, мы позволяем перехватчику технологию квантовых вычислений, гораздо мощнее нынешнего.
Предположение 2 Аутентификация безопасна. Это предположение является одной из самых проблемных в квантовой криптографии. Это предположение необходимо для защиты от атаки злоумышленника на классический канал связи.
Проиллюстрируем важность третьего предположения. Скрытое устройство связи может быть спрятано внутри оборудования, рассмотрим, как пример, оптоволоконные модуляторы фазы ниобата лития, использующиеся во многих схемах КРК. Модуляторы ниобата лития поставляются с завода в герметичной коробке. Эта запечатанная коробка a) имеет полную информацию о значениях битов в настройке Алисы (базисы, несущие напряжение модуляции, значения битов подаются непосредственно на его разъемы); б) имеет доступ к оптоволоконному каналу; в) имеет значительную электрическую мощность г) не может быть вскрыт для проверки без нанесения вреда устройству. Это позволяет скрыть «жучок» внутри нормально функционирующего фазового модулятора, который будет сообщать бит значения через оптоволоконный канал и управляться через оптоволоконный канал.
Безопасность протокола BB84 для идеального случая доказана Майерсом [7], а так же многими другими. Для идеальной модели количество битов окончательного секретного ключа на бит просеянного ключа. Выражается формулой [8]
Где H двоичная Шенноновская энтропия, а QBER количество ошибок измеренных Бобом.
рис.2
Перейдем теперь к реальной жизни, где для злоумышленника открываются обширные возможности для атак. Начнем с источника фотонов. В идеале он должен выдавать их по одному, такие устройства существуют, однако стоят больших денег. Поэтому производители используют обычные лазеры на аттенюаторе (прибор, который уменьшает амплитуду, без существенного искажения сигнала). Проблема в том, что такие лазеры с довольно большой вероятностью дают на выходе в одном световом пакете больше одного фотона. Это дает возможность совершить PNS атаку(photon number splitting)[2]. Ева разделяет световой пакет: один фотон пропускает, остальные хранит у себя в памяти, а все пакеты состоящие из одного фотона блокирует. Потом, после озвучивания базиса по открытому каналу, она узнает все биты ключа. Первый способ избежать таких атак, свести уровень мультифотонных пакетов к минимуму, второй включать в последовательность световых импульсов мощный эталонный импульс[1].
Теперь рассмотрим протокол SARG04[1]. Алиса случайно отправляет одно из четырех состояний: _+=|\rightarrow>, |b>_+ = |\uparrow>_+, |a>_\times=|\nearrow>, |b>_\times = |\searrow> » alt=» |a>_+=|\rightarrow>, |b>_+ = |\uparrow>_+, |a>_\times=|\nearrow>, |b>_\times = |\searrow> » src=»https://habrastorage.org/getpro/habr/upload_files/526/a94/df9/526a94df94287cd27b168b49dd35415b.svg»/>. В данном случае закодированным битом является БАЗИС состояния (ЭТО КРАЙНЕ ВАЖНО. ). Боб, так же как и в BB84, их принимает. Дальше, на шаге сравнения базисов, Алиса публично объявляет одну из четырех пар неортогональных состояний:
Пусть для определенности Алиса отправила _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/136/1cb/42b/1361cb42b598cab34e6042dcb7520597.svg»/>и объявила пару _\times, » alt=» |a>_\times, » src=»https://habrastorage.org/getpro/habr/upload_files/047/d5e/e54/047d5ee5485dae9b0746004f375d1069.svg»/> _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/db8/e0f/c91/db8e0fc91b5dc4e1c873820173527ab1.svg»/>(одно состояние в паре обязательно отправленное состояние, а второе случайное из другого базиса). Если Боб мерил в базисе 
, он может получить точный результат, однако этот результат равновероятен для обоих базисов из пары(так как правильный результат одинаков для обоих базисов). Ему придется отбросить это значение. Если он взял базис 
(в этом случае равновероятно получится 
или 
)и получил 
, он опять не может их различить( по той же самой причине). Однако если он измерил в базисе 
и получил 
(вероятность этого 1/4), он понимает, что отправленное состояние _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/6ac/4ac/3c2/6ac4ac3c2c026e12973dc74123e1a024.svg»/>(в правильном базисе обязательно получилось бы 
, а он получил 
, значит 
неверный базис). Данная модификация сильно усложняет Еве проведение PNS атаки: ей нужно блокировать все импульсы, содержащие 1 или 2 фотона, и разделять где 3 и больше. Более подробный анализ протокола можно посмотреть в [1].
Однако все не так просто, как может показаться. SARG04 уязвим для LPA(large pulse attack). Пусть Ева запустит яркую вспышку света в линию передачи, тогда часть света попадет в передающее устройство и отразится от некоторых оптических приборов внутри него(любой реальный объект имеет ненулевой коэффициент отражения). Таким образом импульс света может попасть во внутренний модулятор и промодулироваться им. Измеряя промодулированный импульс, Ева получит некоторую информацию о настройках модулятора [6].
Кроме пассивного прослушивания, Ева может действовать более активно. Например, изменять параметры настройки установок Алисы и Боба. Коротко обсудим некоторые возможные вредоносные изменения. Для примера возьмем установку одной из двух современных коммерческих схем КРК, продаваемой id Quantique [9], показанной на рис.4
рис.4
Детектор DA, кроме детектирования сигналов Боба, автоматически отслеживает сильную импульсную атаку и ее нейтрализует или бьет тревогу, в зависимости от настроек. Детектор также генерирует сигнал запуска, используемый для синхронизации часов Алисы и Боба. Если чувствительность к падающему свету значительно снизится, или если ослабление регулируемого аттенюатора значительно уменьшится по сравнению с заводской калибровкой, схема становится небезопасной. В таком случае Ева сможет провести импульсную атаку (среднее количество фотонов в световом пакете увеличивается). Для достижения этой цели Ева может: 1) попытаться сжечь детектор; 2) повредить разъемы в детекторе, чтобы уменьшить ослабление аттенюатора; 3)повредить светоделитель BS (надеясь, что его коэффициент расщепления изменится в лучшую для нее сторону); Ева может попытаться контролировать место и характер повреждения, варьируя такие параметры, как длина волны, поляризация, энергия и временной профиль своего лазерного импульса.
Напоследок кратко обсудим атаку с перехватом и повторной передачей, при которой Ева не пытается восстановить исходные состояния, а сохраняет импульсы Алисы себе и пересылает их копии Бобу. В этом случае Алиса и Боб даже не будут подозревать о взломе. Такие световые импульсы называются ложными состояниями. Поддельные состояния специфичны для каждой конкретной схемы или даже конкретного образца атакуемого оборудования. Успешная атака с использованием фальшивых состояний дает Еве полное знание ключа.
Заключение
Может возникнуть закономерный вопрос, неужели нельзя передавать ключи более простым образом? Ведь квантовая криптография дорогое удовольствие: нужен оптоволоконный квантовый канал, фотонная пушка, которая могла бы выстреливать по одному фотону, приборы для определения состояния. К тому же до 1984 года люди как-то справлялись с шифрованием данных, зачем все менять? Дело в том, что классическая криптография базируется на сложности математических задач, например дискретном логарифмировании (RSA). Эти задачи обычные компьютеры решают очень долго, однако в 1994 году Питер Шор предложил алгоритмы их решения на квантовом компьютере. Поэтому требуется создавать новые методы шифрования и перераспределения ключей, невзламываемых любыми вычислительными мощностями. Как можно было заметить неприступная на бумаге квантовая криптосистема на деле дает сбои, так что криптоаналитикам предстоит еще много работы, чтобы сделать эти системы полностью безопасными.
Источники:
1) A. Acin, N. Gisin, and V. Scarani, “Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks”
2) C. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, “Experimental quantum cryptography”(1992)
3) D. Gottesman, H.-K. Lo, N. L ̈utkenhaus, and J. Preskill, Quant. Inf. Comp. 4, 325 (2004)
4) W.-Y. Hwang, “Quantum key distribution with high loss: toward global secure communication”
6) Vadim Makarov, “Quantum cryptography and quantum cryptanalysis ”, (2006)
7) D. Mayers, “Quantum key distribution and string oblivious transfer in noisy channels” (1996); D. Mayers, “Unconditional security in quantum cryptography” (2001).
8) P. Shor and J. Preskill, “Simple proof of security of the BB84 quantum key distribution protocol”(2000).
9) D. Stucki, N. Gisin, O. Guinnard, G. Ribordy, and H. Zbinden, “Quantum key distribution over 67 km with a plug&play system”
10) Xiaoqing Tan, “Introduction to Quantum cryptography”,(2013)