Kvantová kryptografie - Quantum cryptography

Kvantová kryptografie je věda o využití kvantově mechanických vlastností k provádění kryptografických úkolů. Nejznámějším příkladem kvantové kryptografie je distribuce kvantových klíčů, která nabízí informačně teoreticky bezpečné řešení problému s výměnou klíčů . Výhoda kvantové kryptografie spočívá v tom, že umožňuje dokončení různých kryptografických úkolů, u nichž je prokázáno, že jsou nemožné, pouze pomocí klasické (tj. Nekvantové) komunikace. Například není možné kopírovat data zakódovaná v kvantovém stavu . Pokud se někdo pokusí přečíst zakódovaná data, kvantový stav se změní v důsledku kolapsu vlnové funkce ( věta bez klonování ). Toho lze využít k detekci odposlechu v distribuci kvantových klíčů .

Dějiny

Kvantová kryptografie přičítá svůj začátek dílu Stephena Wiesnera a Gillese Brassarda . Počátkem 70. let 20. století Wiesner, poté na Kolumbijské univerzitě v New Yorku, představil koncept kódování kvantovým konjugátem. Jeho klíčový článek s názvem „Conjugate Coding“ byl odmítnut společností IEEE Information Theory Society , ale nakonec byl publikován v roce 1983 v SIGACT News . V tomto článku ukázal, jak k ukládání a přenos dvou zpráv zakódováním je ve dvou „konjugovaných rozpoznatelnosti “, jako jsou lineární a kruhové polarizace z fotonů tak, že jeden, ale nikoliv oba, z které mohou být přijímány a dekódovat. Až Charles H. Bennett z výzkumného centra IBM J. J. Watsona a Gillese Brassarda se setkal v roce 1979 na 20. sympoziu IEEE o základech informatiky, které se konalo v Portoriku, a zjistili, jak začlenit zjištění Wiesner. „Hlavní průlom nastal, když jsme si uvědomili, že fotony nikdy neměly ukládat informace, ale spíše je přenášet.“ V roce 1984 na základě této práce Bennett a Brassard navrhli metodu bezpečné komunikace , která se nyní nazývá BB84 . Na základě návrhu Davida Deutsche na využití kvantové nelokality a Bellových nerovností k dosažení bezpečné distribuce klíčů analyzoval Artur Ekert ve svém příspěvku z roku 1991 podrobněji distribuci kvantových klíčů založenou na zapletení.

Náhodné rotace polarizace oběma stranami byly navrženy v Kakově třístupňovém protokolu . V zásadě lze tuto metodu použít pro kontinuální, nerozbitné šifrování dat, pokud jsou použity jednotlivé fotony. Bylo implementováno základní schéma rotace polarizace. To představuje metodu čistě kvantové kryptografie na rozdíl od distribuce kvantových klíčů, kde je skutečné šifrování klasické.

Metoda BB84 je základem metod distribuce kvantových klíčů. Mezi společnosti, které vyrábějí systémy kvantové kryptografie, patří MagiQ Technologies, Inc. ( Boston , Massachusetts , Spojené státy ), ID Quantique ( Ženeva , Švýcarsko ), QuintessenceLabs ( Canberra , Austrálie ), Toshiba ( Tokio , Japonsko ), QNu Labs a SeQureNet ( Paříž , Francie ).

Výhody

Kryptografie je nejsilnějším článkem v řetězci zabezpečení dat . Zúčastněné strany však nemohou předpokládat, že kryptografické klíče zůstanou v bezpečí po neomezenou dobu. Kvantová kryptografie má potenciál šifrovat data po delší dobu než klasická kryptografie. Pomocí klasické kryptografie vědci nemohou zaručit šifrování na dobu delší než přibližně 30 let, ale některé zúčastněné strany by mohly použít delší období ochrany. Vezměme si například zdravotnický průmysl. Od roku 2017 používá 85,9% lékařů z ordinace k ukládání a přenosu údajů o pacientech systémy elektronických zdravotních záznamů. Podle zákona o přenositelnosti a odpovědnosti zdravotního pojištění musí být zdravotní dokumentace utajena. Papírové lékařské záznamy jsou obvykle po určité době skartovány, ale elektronické záznamy zanechávají digitální stopu. Distribuce kvantových klíčů může chránit elektronické záznamy po dobu až 100 let. Kvantová kryptografie má také užitečné aplikace pro vlády a armádu, protože vlády historicky uchovávaly vojenské údaje v tajnosti po dobu více než 60 let. Existuje také důkaz, že distribuce kvantových klíčů může cestovat hlučným kanálem na velkou vzdálenost a být bezpečná. Lze jej redukovat z hlučného kvantového schématu na klasické bezhlučné schéma. To lze vyřešit klasickou teorií pravděpodobnosti. Tento proces s konzistentní ochranou přes hlučný kanál může být možný implementací kvantových opakovačů. Kvantové opakovače mají schopnost efektivně řešit chyby kvantové komunikace. Kvantové opakovače, což jsou kvantové počítače, mohou být umístěny jako segmenty přes hlučný kanál, aby byla zajištěna bezpečnost komunikace. Kvantové opakovače to dělají tak, že před připojením vyčistí segmenty kanálu a vytvoří bezpečnou komunikační linku. Kvantové kvantové opakovače mohou poskytnout efektivní množství zabezpečení prostřednictvím hlučného kanálu na velkou vzdálenost.

Aplikace

Kvantová kryptografie je obecný předmět, který pokrývá širokou škálu kryptografických postupů a protokolů. Některé z nejpozoruhodnějších aplikací a protokolů jsou popsány níže.

Distribuce kvantových klíčů

Hlavní článek: Distribuce kvantových klíčů

Nejznámější a nejrozvinutější aplikací kvantové kryptografie je distribuce kvantových klíčů ( QKD ), což je proces pomocí kvantové komunikace k vytvoření sdíleného klíče mezi dvěma stranami (například Alice a Bob) bez učení třetí strany (Eva) cokoli o tom klíči, i když Eva může odposlouchávat veškerou komunikaci mezi Alicí a Bobem. Pokud se Eva pokusí zjistit informace o právě vytvářeném klíči, dojde k nesrovnalostem, které si Alice a Bob všimnou. Jakmile je klíč zřízen, pak se obvykle používá pro šifrovanou komunikaci pomocí klasických technik. Vyměněný klíč lze například použít pro symetrickou kryptografii (např. Jednorázová podložka ).

Zabezpečení distribuce kvantových klíčů lze prokázat matematicky, aniž by byla omezena schopnost odposlouchávače, což u klasické distribuce klíčů není možné. Toto je obvykle popisováno jako „bezpodmínečné zabezpečení“, i když jsou vyžadovány některé minimální předpoklady, včetně toho, že platí zákony kvantové mechaniky a že Alice a Bob se mohou navzájem autentizovat, tj. Eva by neměla být schopna vydávat se za Alice nebo Boba jako za jinak by byl možný útok typu člověk uprostřed .

Přestože je QKD zdánlivě bezpečný, jeho aplikace čelí výzvě praktičnosti. Důvodem je omezení přenosové vzdálenosti a rychlosti generování klíčů. Probíhající studie a rostoucí technologie umožnily další pokrok v takových omezeních. V roce 2018 Lucamarini a kol. navrhl dvojité pole QKD schéma, které může případně překonat škálování ztrátové rychlosti ztrátového komunikačního kanálu. Ukázalo se, že rychlost protokolu s dvojitým polem překonává kapacitu ztrátového kanálu, známého jako PLOB vázaný bez opakovače, na 340 km optického vlákna, aby souhlasil s tajným klíčem; jeho ideální rychlost překračuje tuto hranici již na 200 km a sleduje škálování ztráty rychlosti vyšší kapacity dohody o tajném klíči s asistencí opakovače (další podrobnosti viz obrázek 1). Protokol naznačuje, že optimálních klíčových rychlostí je možné dosáhnout na „550 kilometrech standardního optického vlákna “, které se dnes již běžně používá v komunikaci. Teoretický výsledek byl potvrzen v první experimentální demonstraci QKD za hranicí rychlostní ztráty Minder et al. v roce 2019, který byl charakterizován jako první účinný kvantový opakovač. Jedním z pozoruhodných vývojů, pokud jde o dosažení vysokých sazeb na dlouhé vzdálenosti, je verze protokolu TF-QKD typu odesílání-neposílání (SNS).

Nedůvěřivá kvantová kryptografie

V nedůvěryhodné kryptografii si zúčastněné strany navzájem nevěří. Například Alice a Bob spolupracují na provedení nějakého výpočtu, kde obě strany zadávají nějaké soukromé vstupy. Alice ale nevěří Bobovi a Bob Alici nevěří. Zabezpečená implementace kryptografického úkolu tedy vyžaduje, aby po dokončení výpočtu bylo Alice zaručeno, že Bob nepodváděl a Bobovi bylo zaručeno, že ani Alice nepodváděla. Příklady úkolů v nedůvěryhodné kryptografii jsou schémata závazků a zabezpečené výpočty , které zahrnují další příklady překlápění mincí a zapomínání na převod . Distribuce klíčů nepatří do oblasti nedůvěryhodné kryptografie. Nedůvěřivá kvantová kryptografie studuje oblast nedůvěryhodné kryptografie pomocí kvantových systémů .

Na rozdíl od kvantové distribuce klíčů, kde lze dosáhnout bezpodmínečného zabezpečení pouze na základě zákonů kvantové fyziky , v případě různých úkolů v nedůvěryhodné kryptografii existují věty typu no-go, které ukazují, že je nemožné dosáhnout bezpodmínečně bezpečných protokolů založených pouze na zákony kvantové fyziky . Některé z těchto úkolů však lze implementovat s bezpodmínečným zabezpečením, pokud protokoly využívají nejen kvantovou mechaniku, ale také speciální relativitu . Například bezpodmínečně bezpečný kvantový bitový závazek ukázal Mayers a Lo a Chau jako nemožný. Lo a Chau ukázali, že bezpodmínečně zajištěné ideální převrácení kvantových mincí bylo nemožné. Lo navíc ukázal, že nemohou existovat bezpodmínečně zabezpečené kvantové protokoly pro nedbalostní přenos jeden ze dvou a další bezpečné výpočty dvou stran. Kent však ukázal bezpodmínečně zabezpečené relativistické protokoly pro převracení mincí a bitový závazek.

Obracející kvantové mince

Hlavní článek: Obracející kvantové mince

Na rozdíl od kvantové distribuce klíčů je kvantové převracení mincí protokol, který se používá mezi dvěma účastníky, kteří si navzájem nevěří. Účastníci komunikují prostřednictvím kvantového kanálu a vyměňují si informace prostřednictvím přenosu qubitů . Ale protože si Alice a Bob navzájem nevěří, každý očekává, že ten druhý bude podvádět. Proto je třeba vynaložit větší úsilí na zajištění toho, aby ani Alice, ani Bob nemohli získat významnou výhodu nad ostatními k dosažení požadovaného výsledku. Schopnost ovlivnit konkrétní výsledek se označuje jako zkreslení a je zde značné zaměření na vývoj protokolů za účelem snížení předpojatosti nepoctivého hráče, jinak známého jako podvádění. Ukázalo se, že kvantové komunikační protokoly, včetně kvantového překlápění mincí, poskytují oproti klasické komunikaci významné bezpečnostní výhody, i když je lze v praktickém světě považovat za obtížně realizovatelné.

Protokol na otočení mince se obvykle vyskytuje takto:

  1. Alice si vybere základnu (buď přímočarou nebo diagonální) a vygeneruje řetězec fotonů, které v tomto základě pošle Bobovi.
  2. Bob se náhodně rozhodne změřit každý foton v přímočarém nebo diagonálním základě, přičemž si všimne, který základ použil a naměřenou hodnotu.
  3. Bob veřejně hádá, na jakém základě Alice posílala své qubits.
  4. Alice oznámí základ, který použila, a pošle svůj původní řetězec Bobovi.
  5. Bob to potvrzuje porovnáním Aliceho řetězce s jeho stolem. Mělo by být dokonale korelováno s hodnotami, které Bob naměřil na základě Alice, a zcela nekorelovat s opakem.

K podvádění dochází, když se jeden hráč pokusí ovlivnit nebo zvýšit pravděpodobnost konkrétního výsledku. Protokol odrazuje od některých forem podvádění; například Alice mohla v kroku 4 podvádět tvrzením, že Bob nesprávně uhodl její počáteční základ, když uhodl správně, ale Alice by pak musela vygenerovat nový řetězec qubits, který dokonale koreluje s tím, co Bob naměřil v opačné tabulce. Její šance na generování shodného řetězce qubitů se exponenciálně sníží s počtem odeslaných qubitů, a pokud Bob zaznamená nesoulad, bude vědět, že lže. Alice mohla také generovat řetězec fotonů pomocí směsi stavů, ale Bob snadno viděl, že její řetězec bude částečně (ale ne plně) korelovat s oběma stranami stolu, a věděl, že v tomto procesu podváděla. U současných kvantových zařízení existuje také inherentní chyba. Chyby a ztracené qubits ovlivní Bobova měření, což má za následek díry v Bobově měřicím stole. Významné ztráty v měření ovlivní Bobovu schopnost ověřit Alicinu qubitovou sekvenci v kroku 5.

Jedním z teoreticky jistých způsobů, jak Alice podvádět, je využít paradox Einstein-Podolsky-Rosen (EPR). Dva fotony v EPR páru jsou antikorelovány; to znamená, že se vždy zjistí, že mají opačné polarizace, za předpokladu, že jsou měřeny na stejném základě. Alice mohla vygenerovat řetězec párů EPR, poslat Bobovi jeden foton na pár a druhý uložit sama. Když Bob uvede svůj odhad, mohla změřit své EPR párové fotony na opačném základě a získat dokonalou korelaci s Bobovou opačnou tabulkou. Bob nikdy nevěděl, že podváděla. To však vyžaduje schopnosti, které kvantová technologie v současné době nedisponuje, což v praxi znemožňuje. Aby to Alice úspěšně provedla, musela by být schopna ukládat všechny fotony po značnou dobu a také je měřit s téměř dokonalou účinností. Důvodem je, že jakýkoli foton ztracený při skladování nebo při měření by měl za následek díru v jejím řetězci, kterou by musela vyplnit hádáním. Čím více odhadů musí provést, tím více riskuje odhalení Bobem za podvádění.

Kvantový závazek

Kromě překlápění kvantových mincí jsou implementovány také protokoly kvantových závazků, pokud jsou zapojeny nedůvěřivé strany. Schéma závazek umožňuje stranou Alice stanovit určitou hodnotu (pro „commit“) takovým způsobem, že Alice nemůže změnit tuto hodnotu, zatímco současně zajistit, aby příjemce Bob nemůže nic dozvědět o této hodnotě, dokud ho Alice odhaluje. Taková schémata závazků se běžně používají v kryptografických protokolech (např. Obracející kvantové mince , důkaz nulové znalosti , bezpečný výpočet dvou stran a převod Oblivious ).

V kvantovém nastavení by byly obzvláště užitečné: Crépeau a Kilian ukázali, že z závazku a kvantového kanálu lze zkonstruovat bezpodmínečně bezpečný protokol pro provádění takzvaného zapomnětlivého přenosu . Na druhé straně Klivian prokázal nedůvěryhodný přenos , aby umožnil implementaci téměř jakéhokoli distribuovaného výpočtu bezpečným způsobem (takzvaný bezpečný výpočet více stran ). (Všimněte si, že jsme trochu nepřesní: Výsledky od Crépeaua a Kiliana dohromady přímo neimplikují, že s ohledem na závazek a kvantový kanál lze provádět bezpečné vícestranné výpočty. Důvodem je, že výsledky nezaručují „skladatelnost“, to znamená, že při jejich propojení může dojít ke ztrátě zabezpečení.

Počáteční protokoly kvantového závazku se bohužel ukázaly jako chybné. Mayers ve skutečnosti ukázal, že ( bezpodmínečně bezpečný ) kvantový závazek je nemožný: výpočetně neomezený útočník může porušit jakýkoli protokol kvantového závazku.

Výsledek Mayerse však nevylučuje možnost konstruovat protokoly kvantového závazku (a tedy zabezpečit protokoly výpočtu více stran) za předpokladů, které jsou mnohem slabší než předpoklady potřebné pro protokoly závazků, které nepoužívají kvantovou komunikaci. Níže popsaný model ohraničeného kvantového úložiště je příkladem pro nastavení, ve kterém lze kvantovou komunikaci použít ke konstrukci protokolů závazků. Průlom v listopadu 2013 nabízí „bezpodmínečnou“ bezpečnost informací využitím kvantové teorie a relativity, která byla poprvé úspěšně prokázána v globálním měřítku. Nedávno Wang a kol. Navrhli další schéma závazků, ve kterém je „bezpodmínečné skrývání“ dokonalé.

Fyzické neklonovatelné funkce lze také využít pro konstrukci kryptografických závazků.

Model ohraničeného a hlučného kvantového úložiště

Jednou z možností, jak zkonstruovat bezpodmínečně zabezpečené protokoly kvantového závazku a přenosu OT (Quantum Oblivious Transfer), je použít model omezeného kvantového úložiště (BQSM). V tomto modelu se předpokládá, že množství kvantových dat, která může protivník uložit, je omezeno nějakou známou konstantou Q. Množství klasických (tj. Nekvantových) dat, která může protivník ukládat, však není nijak omezeno.

V BQSM lze konstruovat závazkové a nevědomé přenosové protokoly. Základní myšlenka je následující: Strany protokolu si vyměňují více než Q kvantových bitů ( qubitů ). Protože ani nečestná strana nedokáže uložit všechny tyto informace (kvantová paměť protivníka je omezena na Q qubits), bude velká část dat muset být buď změřena, nebo vyřazena. Nucení nečestných stran k měření velké části dat umožňuje protokolu obejít výsledek nemožnosti, nyní lze implementovat závazky a zapomnětlivé přenosové protokoly.

Protokoly v BQSM předložené Damgårdem, Fehrem, Salvailem a Schaffnerem nepředpokládají, že poctiví účastníci protokolu uchovávají jakékoli kvantové informace; technické požadavky jsou podobné jako v distribučních protokolech kvantových klíčů . Tyto protokoly lze tedy alespoň v zásadě realizovat pomocí dnešní technologie. Složitost komunikace je pouze konstantním faktorem, který je větší než limit Q v kvantové paměti protivníka.

Výhodou BQSM je, že předpoklad, že kvantová paměť protivníka je omezená, je docela realistický. S dnešní technologií je uložení i jediného qubitu spolehlivě na dostatečně dlouhou dobu obtížné. (Co znamená „dostatečně dlouhý“, závisí na podrobnostech protokolu. Zavedením umělé pauzy do protokolu lze libovolně prodloužit dobu, po kterou protivník potřebuje ukládat kvantová data.)

Rozšířením BQSM je model hlučného úložiště, který představili Wehner, Schaffner a Terhal. Namísto uvažování o horní hranici fyzické velikosti kvantové paměti protivníka je protivníkovi dovoleno používat nedokonalé kvantové úložné zařízení libovolné velikosti. Úroveň nedokonalosti je modelována hlučnými kvantovými kanály. Pro dostatečně vysoké hladiny hluku lze dosáhnout stejných primitiv jako v BQSM a BQSM tvoří speciální případ modelu hlučného úložiště.

V klasickém prostředí lze podobných výsledků dosáhnout za předpokladu omezení množství klasických (nekvantových) dat, která může protivník uložit. Bylo však prokázáno, že i v tomto modelu musí poctivé strany používat velké množství paměti (konkrétně odmocninu protivníkovy paměti). Díky tomu jsou tyto protokoly nepraktické pro realistické hranice paměti. (Všimněte si, že s dnešní technologií, jako jsou pevné disky, může protivník levně ukládat velké množství klasických dat.)

Poziční kvantová kryptografie

Cílem kvantové kryptografie založené na poloze je použít jako (pouze) pověření geografickou polohu hráče. Například někdo chce poslat zprávu hráči na určeném místě se zárukou, že je lze přečíst pouze v případě, že se přijímající strana nachází na této konkrétní pozici. V základním úkolu ověření polohy chce hráč Alice přesvědčit (poctivé) ověřovatele, že se nachází v určitém bodě. Ukázali to Chandran et al. že ověření polohy pomocí klasických protokolů je nemožné proti tajným protivníkům (kteří ovládají všechny pozice kromě nárokované polohy poskytovatele). Pod různými omezeními protivníků jsou možná schémata.

Pod názvem „kvantové značkování“ byly v roce 2002 společností Kent zkoumány první kvantové systémy založené na poloze. V roce 2006 byl udělen americký patent. Pojem využití kvantových efektů pro ověřování polohy se poprvé objevil ve vědecké literatuře v roce 2010. Poté, co bylo v roce 2010 navrženo několik dalších kvantových protokolů pro ověření polohy, Buhrman et al. tvrdil obecný výsledek nemožnosti: pomocí enormního množství kvantového zapletení (používají dvojnásobně exponenciální počet párů EPR , v počtu qubitů, na kterých poctivý hráč operuje), soupeřící soupeřící protivníci vždy dokážou zajistit, aby to na ověřovatele vypadalo, jako by byli na nárokovaném místě. Tento výsledek však nevylučuje možnost praktických schémat v modelu ohraničeného nebo hlučného kvantového úložiště (viz výše). Později Beigi a König vylepšili množství párů EPR potřebných v obecném útoku proti protokolům ověřování polohy na exponenciální. Ukázali také, že konkrétní protokol zůstává bezpečný proti protivníkům, kteří ovládají pouze lineární množství párů EPR. Argumentuje se tím, že vzhledem k časově-energetické vazbě zůstává možnost formálního bezpodmínečného ověření polohy prostřednictvím kvantových efektů otevřeným problémem. Stojí za zmínku, že studium kvantové kryptografie založené na poloze má také spojení s protokolem kvantové teleportace založené na portech, což je pokročilejší verze kvantové teleportace, kde se jako porty současně používá mnoho párů EPR.

Kvantová kryptografie nezávislá na zařízení

Hlavní článek: Kvantová kryptografie nezávislá na zařízení

Kvantový kryptografický protokol je nezávislý na zařízení, pokud jeho zabezpečení nespoléhá na důvěru, že použitá kvantová zařízení jsou pravdivá. Analýza zabezpečení takového protokolu proto musí zvážit scénáře nedokonalých nebo dokonce škodlivých zařízení. Mayers a Yao navrhli myšlenku navrhnout kvantové protokoly pomocí kvantového aparátu „vlastního testování“, jehož vnitřní operace mohou být jednoznačně určeny jejich statistikou vstupů a výstupů. Následně Roger Colbeck ve své práci navrhl použití Bellových testů pro kontrolu poctivosti zařízení. Od té doby bylo ukázáno několik problémů, které připouštějí bezpodmínečné zabezpečené protokoly a protokoly nezávislé na zařízení, i když skutečná zařízení provádějící Bellův test jsou v podstatě „hlučná“, tj. Zdaleka nejsou ideální. Tyto problémy zahrnují kvantovou distribuci klíčů , rozšíření náhodnosti a zesílení náhodnosti .

V roce 2018 provedly teoretické studie Arnon-Friedman et al. naznačují, že využití vlastnosti entropie, která je později označována jako „Věta o akumulaci entropie (EAT)“, rozšíření asymptotické ekvipartiční vlastnosti , může zaručit bezpečnost protokolu nezávislého na zařízení.

Postkvantová kryptografie

Hlavní článek: Postkvantová kryptografie

Kvantové počítače se mohou stát technologickou realitou; je proto důležité studovat kryptografická schémata používaná proti protivníkům s přístupem ke kvantovému počítači. Studium takových schémat je často označováno jako postkvantová kryptografie . Potřeba postkvantové kryptografie vyplývá ze skutečnosti, že mnoho populárních šifrovacích a podpisových schémat (schémata založená na ECC a RSA ) lze prolomit pomocí Shorova algoritmu pro faktoring a výpočet diskrétních logaritmů na kvantovém počítači. Příklady schémat, která jsou podle dnešních znalostí zabezpečena proti kvantovým protivníkům, jsou schémata založená na McEliece a mřížce a také většina algoritmů se symetrickými klíči . K dispozici jsou průzkumy postkvantové kryptografie.

Existuje také výzkum toho, jak je třeba stávající kryptografické techniky upravit, aby se dokázaly vyrovnat s kvantovými protivníky. Například při pokusu o vývoj systémů odolných proti nulovým znalostem, které jsou zabezpečené proti kvantovým protivníkům, je třeba použít nové techniky: V klasickém prostředí analýza systému s nulovými znalostmi obvykle zahrnuje „převíjení“, což je technika, která je nutné kopírovat vnitřní stav protivníka. V kvantovém nastavení není kopírování stavu vždy možné ( teorém bez klonování ); musí být použita varianta převíjecí techniky.

Postkvantové algoritmy se také nazývají „kvantově rezistentní“, protože - na rozdíl od distribuce kvantových klíčů - není známo ani prokazatelné, že proti nim nebudou potenciální budoucí kvantové útoky. I když nejsou zranitelní Shorovým algoritmem, NSA oznamuje plány na přechod na kvantově odolné algoritmy. Národní institut pro standardy a technologie ( NIST ) se domnívá, že je čas myslet na kvantově bezpečné primitivy.

Kvantová kryptografie mimo distribuci klíčů

Doposud byla kvantová kryptografie identifikována hlavně s vývojem protokolů distribuce kvantových klíčů. Symetrické kryptosystémy s klíči, které byly distribuovány pomocí kvantové distribuce klíčů, se bohužel pro velké sítě (mnoho uživatelů) stávají neefektivními, a to z důvodu nutnosti zřízení a manipulace s mnoha párovými tajnými klíči (tzv. „Správa klíčů“ problém"). Navíc tato distribuce sama o sobě neřeší mnoho dalších kryptografických úkolů a funkcí, které mají v každodenním životě zásadní význam. Třístupňový protokol Kak byl navržen jako metoda bezpečné komunikace, která je zcela kvantová na rozdíl od kvantové distribuce klíčů, ve které kryptografická transformace využívá klasické algoritmy

Kromě kvantového závazku a zapomnětlivého přenosu (diskutováno výše) se výzkum kvantové kryptografie mimo distribuci klíčů točí kolem kvantové autentizace zpráv, kvantových digitálních podpisů, kvantových jednosměrných funkcí a šifrování veřejného klíče, kvantových otisků prstů a autentizace entit (například viz Quantum odečty PUF ) atd.

Implementace v praxi

Kvantová kryptografie se teoreticky jeví jako úspěšný zlom v sektoru informační bezpečnosti. Žádná kryptografická metoda však nikdy nemůže být zcela bezpečná. V praxi je kvantová kryptografie pouze podmíněně bezpečná, závislá na klíčové sadě předpokladů.

Předpoklad zdroje jednoho fotonu

Teoretický základ pro kvantovou distribuci klíčů předpokládá jednofotonový zdroj. Zdroje s jedním fotonem jsou však obtížně konstruovatelné a většina systémů kvantové kryptografie v reálném světě používá jako médium pro přenos informací slabé laserové zdroje. Tyto vícefotonové zdroje otevírají cestu odposlechovým útokům, zejména útoku dělení fotonů. Odposlouchávačka, Eva, může rozdělit vícefotonový zdroj a ponechat si jednu kopii pro sebe. Ostatní fotony jsou poté přeneseny na Boba bez jakéhokoli měření nebo stopy, která Eve zachytila ​​kopii dat. Vědci se domnívají, že si mohou zachovat zabezpečení pomocí zdroje více fotonů pomocí návnadových stavů, které testují přítomnost odposlechu. V roce 2016 však vědci vyvinuli téměř dokonalý zdroj jednoho fotonu a odhadují, že jeden by mohl být vyvinut v blízké budoucnosti.

Předpoklad účinnosti identického detektoru

V praxi se v zařízeních pro distribuci kvantových klíčů používá více jednofotonových detektorů, jeden pro Alice a jeden pro Boba. Tyto fotodetektory jsou vyladěny tak, aby detekovaly příchozí foton během krátkého okna pouze několika nanosekund. Kvůli výrobním rozdílům mezi těmito dvěma detektory budou jejich příslušná detekční okna posunuta o určité konečné množství. Odposlouchávačka, Eva, může využít této neefektivity detektoru měřením Aliceho qubitu a odesláním „falešného stavu“ Bobovi. Eve nejprve zachytí foton odeslaný Alicí a poté vygeneruje další foton, který pošle Bobovi. Eve manipuluje s fází a načasováním „falešného“ fotonu způsobem, který brání Bobovi detekovat přítomnost odposlechu. Jediným způsobem, jak tuto zranitelnost odstranit, je odstranit rozdíly v účinnosti fotodetektoru, což je obtížné provést s ohledem na konečné výrobní tolerance, které způsobují rozdíly v délce optické dráhy, rozdíly v délce vodičů a další vady.

Reference