Distribuce kvantových klíčů - Quantum key distribution

Distribuce kvantových klíčů ( QKD ) je bezpečná komunikační metoda, která implementuje kryptografický protokol zahrnující součásti kvantové mechaniky . Umožňuje dvěma stranám vytvořit sdílený náhodný tajný klíč , který je znám pouze jim a který lze poté použít k šifrování a dešifrování zpráv . Často se nesprávně nazývá kvantová kryptografie , protože je nejznámějším příkladem kvantové kryptografické úlohy.

Důležitou a jedinečnou vlastností distribuce kvantového klíče je schopnost dvou komunikujících uživatelů detekovat přítomnost jakékoli třetí strany, která se pokouší získat znalosti o klíči. To vyplývá ze základního aspektu kvantové mechaniky: proces měření kvantového systému obecně narušuje systém. Třetí strana, která se pokouší odposlouchávat klíč, jej musí nějakým způsobem změřit, a tím zavést zjistitelné anomálie. Pomocí kvantových superpozic nebo kvantového zapletení a přenosu informací v kvantových stavech lze implementovat komunikační systém, který detekuje odposlechy. Pokud je úroveň odposlechu pod určitou prahovou hodnotou, lze vyrobit klíč, který je zaručeně bezpečný (tj. Odposlouchávač o něm nemá žádné informace), jinak není žádný zabezpečený klíč možný a komunikace se přeruší.

Zabezpečení šifrování, které využívá distribuci kvantových klíčů, se opírá o základy kvantové mechaniky, na rozdíl od tradiční kryptografie s veřejným klíčem , která se spoléhá na výpočetní obtížnost určitých matematických funkcí , a nemůže poskytnout žádný matematický důkaz o skutečné složitosti obrácení používané jednosměrné funkce. QKD má prokazatelné zabezpečení založené na teorii informací a forwardovém utajení .

Hlavní nevýhodou distribuce kvantových klíčů je, že se obvykle spoléhá na autentizovaný klasický komunikační kanál . V moderní kryptografii znamená, že mít ověřený klasický kanál znamená, že jeden již buď vyměnil symetrický klíč dostatečné délky, nebo veřejné klíče dostatečné úrovně zabezpečení. S takovými informacemi, které jsou již k dispozici, lze dosáhnout autentizované a bezpečné komunikace bez použití QKD, například pomocí režimu Galois/Counter v Advanced Encryption Standard . QKD tedy vykonává práci proudové šifry za mnohonásobek nákladů. Známý bezpečnostní expert Bruce Schneier poznamenal, že distribuce kvantových klíčů je „stejně zbytečná, jako drahá“.

Distribuce kvantového klíče se používá pouze k výrobě a distribuci klíče, nikoli k přenosu dat zprávy. Tento klíč pak lze použít s jakýmkoli zvoleným šifrovacím algoritmem k šifrování (a dešifrování) zprávy, kterou lze poté přenášet přes standardní komunikační kanál . Algoritmus nejčastěji spojený s QKD je jednorázový pad , protože je prokazatelně bezpečný při použití s ​​tajným náhodným klíčem. V reálných situacích se často používá také se šifrováním pomocí algoritmů symetrických klíčů, jako je algoritmus Advanced Encryption Standard .

Kvantová výměna klíčů

Kvantová komunikace zahrnuje kódování informací v kvantových stavech neboli qubitech , na rozdíl od použití bitů klasickou komunikací . Pro tyto kvantové stavy se obvykle používají fotony . Distribuce kvantových klíčů využívá určité vlastnosti těchto kvantových stavů k zajištění jeho bezpečnosti. Existuje několik různých přístupů k distribuci kvantových klíčů, ale mohou být rozděleny do dvou hlavních kategorií podle toho, jakou vlastnost využívají.

Připravte a změřte protokoly

Na rozdíl od klasické fyziky je akt měření nedílnou součástí kvantové mechaniky. Obecně platí, že měření neznámého kvantového stavu tento stav nějakým způsobem mění. To je důsledek kvantové neurčitosti a lze toho využít k detekci jakéhokoli odposlechu komunikace (což nutně zahrnuje měření), a co je důležitější, k výpočtu množství informací, které byly zachyceny.

Protokoly založené na zapletení

Kvantové stavy dvou (nebo více) samostatných objektů se mohou spojit dohromady takovým způsobem, že musí být popsány kombinovaným kvantovým stavem, nikoli jako jednotlivé objekty. Toto je známé jako zapletení a znamená to, že například provedení měření na jednom objektu ovlivní druhé. Pokud je spletená dvojice objektů sdílena mezi dvěma stranami, kdokoli zachycující některý objekt změní celkový systém a odhalí přítomnost třetí strany (a množství informací, které získal).

Tyto dva přístupy lze dále rozdělit do tří rodin protokolů: diskrétní proměnná, spojitá proměnná a distribuované fázové referenční kódování. Jako první byly vynalezeny diskrétní proměnné protokoly, které zůstávají nejrozšířenější. Zbylé dvě rodiny se zabývají hlavně překonáváním praktických omezení experimentů. Oba protokoly popsané níže používají kódování diskrétních proměnných.

Protokol BB84: Charles H. Bennett a Gilles Brassard (1984)

Tento protokol, po vynálezcích a roce vydání známý jako BB84 , byl původně popsán pomocí stavů polarizace fotonů k přenosu informací. Pro protokol však lze použít libovolné dva páry stavů konjugátu a mnoho implementací na bázi optických vláken popsaných jako BB84 používá fázově kódované stavy. Odesílatel (tradičně označovaný jako Alice ) a přijímač (Bob) jsou spojeni kvantovým komunikačním kanálem, který umožňuje přenos kvantových stavů . V případě fotonů je tento kanál obecně buď optickým vláknem, nebo jednoduše volným prostorem . Kromě toho komunikují prostřednictvím veřejného klasického kanálu, například pomocí rozhlasového vysílání nebo internetu. Protokol je navržen s předpokladem, že odposlech (označovaný jako Eva) může jakýmkoli způsobem zasahovat do kvantového kanálu, zatímco klasický kanál je třeba ověřit .

Zabezpečení protokolu pochází z kódování informací v neortogonálních stavech . Kvantová neurčitost znamená, že tyto stavy nelze obecně měřit bez narušení původního stavu (viz No-cloning theorem ). Protokol BB84 používá dva páry stavů, přičemž každá dvojice konjugátu do druhé dvojice, a dva stavy v páru navzájem kolmé. Jako základ se označují páry ortogonálních stavů . Obvyklé páry polarizačních stavů jsou buď přímočarý základ svislých (0 °) a vodorovných (90 °), diagonálních základů 45 ° a 135 ° nebo kruhový základ levotočivosti a pravorukosti. Jakékoli dvě z těchto bází jsou navzájem konjugované, a proto mohou být v protokolu použity jakékoli dvě. Pod přímočarými a diagonálními základnami jsou použity.

Základ	0	1

Prvním krokem v BB84 je kvantový přenos. Alice vytvoří náhodný bit (0 nebo 1) a poté náhodně vybere jednu ze svých dvou bází (v tomto případě přímočarou nebo diagonální), aby ji přenesla. Poté připraví stav polarizace fotonu v závislosti na bitové hodnotě i základu, jak je znázorněno na obrázku. v sousední tabulce. Například 0 je zakódována v přímočarém základě (+) jako svislý polarizační stav a 1 je zakódována v diagonálním základě (x) jako 135 ° stav. Alice poté pomocí kvantového kanálu vysílá jeden foton ve stavu určeném Bobovi. Tento proces se poté opakuje z fáze náhodných bitů, přičemž Alice zaznamenává stav, základ a čas každého odeslaného fotonu.

Podle kvantové mechaniky (zejména kvantové neurčitosti ) žádné možné měření nerozlišuje mezi 4 různými stavy polarizace, protože nejsou všechny ortogonální. Jediné možné měření je mezi jakýmikoli dvěma ortogonálními stavy (ortonormální základ). Například měření v přímočarém základě dává výsledek horizontální nebo vertikální. Pokud byl foton vytvořen jako vodorovný nebo svislý (jako přímočarý vlastní tvar ), pak to měří správný stav, ale pokud byl vytvořen jako 45 ° nebo 135 ° (diagonální vlastní počty), pak přímočaré měření místo toho vrací náhodně buď vodorovné nebo svislé. Kromě toho je po tomto měření foton polarizován ve stavu, ve kterém byl změřen (horizontální nebo vertikální), přičemž jsou ztraceny všechny informace o jeho počáteční polarizaci.

Jelikož Bob nezná základ, do kterého byly zakódovány fotony, nezbývá mu než náhodně vybrat základnu pro měření v přímočarém nebo diagonálním. Dělá to pro každý přijatý foton, zaznamenává čas, použitý základ měření a výsledek měření. Poté, co Bob změřil všechny fotony, komunikuje s Alicí přes veřejný klasický kanál. Alice vysílá základ, do kterého byl odeslán každý foton, a Bob základ, ve kterém byl každý změřen. Oba zahodí fotonová měření (bity), kde Bob použil jiný základ, což je v průměru polovina, přičemž polovinu bitů ponechal jako sdílený klíč.

Alice je náhodný kousek	0	1	1	0	1	0	0	1
Alice na základě náhodného odesílání
Polarizace fotonů, kterou Alice posílá
Bobův základ náhodného měření
Polarizace fotonů Bob měří
VEŘEJNÁ DISKUZE NA ZÁKLADĚ
Sdílený tajný klíč	0		1			0		1

Aby Alice a Bob zkontrolovali přítomnost odposlouchávače, nyní porovnávají předem určenou podmnožinu svých zbývajících řetězců bitů. Pokud třetí strana (obvykle označovaná jako Eva, „odposlouchávač“) získala nějaké informace o polarizaci fotonů, zavádí to chyby v Bobových měřeních. Podobným způsobem mohou chyby způsobit i jiné podmínky prostředí. Pokud se liší více než bitů, klíč přeruší a zkusí to znovu, případně s jiným kvantovým kanálem, protože bezpečnost klíče nelze zaručit. je zvoleno tak, že pokud je počet bitů známých Eve menší než tento, lze použít zesílení ochrany soukromí ke snížení Eviny znalosti klíče na libovolně malé množství za cenu zkrácení délky klíče. ${\ displaystyle p}$${\ displaystyle p}$

Protokol E91: Artur Ekert (1991)

Schéma Artura Ekerta používá propletené páry fotonů. Ty může vytvořit Alice, Bob nebo nějaký jiný zdroj oddělený od obou, včetně odposlouchávané Evy. Fotony jsou distribuovány tak, že Alice a Bob každý skončí s jedním fotonem z každého páru.

Schéma spoléhá na dvě vlastnosti zapletení. Zaprvé, zapletené stavy jsou dokonale korelovány v tom smyslu, že pokud Alice a Bob oba měří, zda jejich částice mají vertikální nebo horizontální polarizaci, vždy dostanou stejnou odpověď se 100% pravděpodobností. Totéž platí, pokud oba měří jakýkoli jiný pár komplementárních (ortogonálních) polarizací. To vyžaduje, aby obě vzdálené strany měly přesnou směrovou synchronizaci. Konkrétní výsledky jsou však zcela náhodné; pro Alice je nemožné předpovědět, zda (a tedy i Bob) získá vertikální polarizaci nebo horizontální polarizaci. Za druhé, jakýkoli pokus o odposlech Evy tyto korelace zničí způsobem, který Alice a Bob dokážou detekovat.

Podobně jako u BB84 obsahuje protokol soukromý měřicí protokol před detekcí přítomnosti Evy. Fáze měření zahrnuje Alice, která měří každý foton, který obdrží, na základě nějakého základu ze sady, zatímco Bob si vybírá, odkud je základna otočena . Dokud měření nejsou dokončena, ponechávají své série základních voleb v tajnosti. Jsou vytvořeny dvě skupiny fotonů: první se skládá z fotonů měřených na stejném základě Alice a Boba, zatímco druhá obsahuje všechny ostatní fotony. K detekci odposlechu mohou vypočítat testovací statistiku pomocí korelačních koeficientů mezi Alicinými základnami a Bobovými podobnými, jaké jsou uvedeny v Bell testovacích experimentech . Výsledkem by byly maximálně zapletené fotony . Pokud by tomu tak nebylo, pak Alice a Bob mohou dojít k závěru, že Eva zavedla do systému místní realismus, čímž porušila Bellovu větu . Pokud je protokol úspěšný, lze první skupinu použít ke generování klíčů, protože tyto fotony jsou mezi Alice a Bobem zcela zarovnány. ${\ displaystyle Z_ {0}, Z _ {\ frac {\ pi} {8}}, Z _ {\ frac {\ pi} {4}}}$${\ displaystyle Z_ {0}, Z _ {\ frac {\ pi} {8}}, Z _ {-{\ frac {\ pi} {8}}}}$${\ displaystyle Z _ {\ theta}}$${\ displaystyle \ {| {\ uparrow} \ rangle, \; | {\ rightarrow} \ rangle \}}$${\ displaystyle \ theta}$${\ displaystyle S}$${\ displaystyle | S | = 2 {\ sqrt {2}}}$

Sladění informací a posílení ochrany osobních údajů

Výše popsané protokoly distribuce klíčových klíčů poskytují Alice a Bobovi téměř identické sdílené klíče a také odhad nesouladu mezi klíči. Tyto rozdíly mohou být způsobeny odposlechem, ale také nedokonalostmi přenosového vedení a detektorů. Jelikož není možné tyto dva typy chyb rozlišit, zaručené zabezpečení vyžaduje předpoklad, že všechny chyby jsou způsobeny odposlechem. Za předpokladu, že je míra chyb mezi klíči nižší než určitá prahová hodnota (27,6% od roku 2002), lze provést dva kroky, které nejprve odstraní chybné bity a poté sníží Evinu znalost klíče na libovolnou malou hodnotu. Tyto dva kroky jsou známy jako sladění informací a zesílení ochrany osobních údajů a byly poprvé popsány v roce 1992.

Informační sladění je forma opravy chyb prováděná mezi klíči Alice a Boba, aby se zajistilo, že jsou oba klíče identické. Je veden přes veřejný kanál a jako takový je životně důležité minimalizovat informace zasílané o každém klíči, protože to může číst Eva. Běžným protokolem používaným pro slučování informací je kaskádový protokol , navržený v roce 1994. Tento funguje v několika kolech, přičemž oba klíče jsou v každém kole rozděleny do bloků a porovnávána parita těchto bloků. Pokud je nalezen rozdíl v paritě, provede se binární vyhledávání za účelem nalezení a opravy chyby. Pokud je v bloku z předchozího kola nalezena chyba, která měla správnou paritu, pak musí být v tomto bloku obsažena další chyba; tato chyba je nalezena a opravena jako dříve. Tento proces se rekurzivně opakuje, odkud pochází název kaskády. Poté, co byly všechny bloky porovnány, Alice a Bob oba náhodně změní pořadí klíčů a začíná nové kolo. Na konci několika kol mají Alice a Bob s vysokou pravděpodobností identické klíče; Eva si však vyměnila další informace o klíči z informací o paritě. Avšak z hlediska teorie kódování je odsouhlasení informací v podstatě zdrojové kódování s vedlejšími informacemi, v důsledku toho lze pro sladění informací použít jakékoli kódovací schéma, které funguje pro tento problém. V poslední době se pro tento účel používají turbocody, LDPC kódy a polární kódy, které zlepšují účinnost kaskádového protokolu.

Zesílení soukromí je metoda, jak omezit (a účinně eliminovat) dílčí informace Evy o klíči Alice a Boba. Tyto dílčí informace bylo možné získat jak odposlechem kvantového kanálu během přenosu klíčů (tedy zavedením detekovatelných chyb), tak veřejného kanálu během sladění informací (kde se předpokládá, že Eva získá všechny možné informace o paritě). Zesílení ochrany osobních údajů využívá klíč Alice a Boba k vytvoření nového kratšího klíče takovým způsobem, že Eva má o novém klíči jen zanedbatelné informace. To lze provést pomocí univerzální hashovací funkce , vybrané náhodně z veřejně známé sady takových funkcí, která jako vstup bere binární řetězec délky rovný klíči a vydává binární řetězec zvolené kratší délky. Částka, o kterou se tento nový klíč zkracuje, se vypočítá na základě toho, kolik informací mohla Eva získat o starém klíči (což je známo kvůli chybám, které by to zavedlo), aby se snížila pravděpodobnost, že by Eva měla jakékoli znalosti o nový klíč na velmi nízkou hodnotu.

Implementace

Experimentální

V roce 2008 byla výměna zabezpečených klíčů rychlostí 1 Mbit/s (více než 20 km optických vláken) a 10 kbit/s (více než 100 km vláken) dosažena díky spolupráci mezi University of Cambridge a Toshiba pomocí protokolu BB84 s pulzy stavu návnady .

V roce 2007 dosáhla národní laboratoř / NIST Los Alamos kvantové distribuce klíčů na 148,7 km optického vlákna pomocí protokolu BB84. Je příznačné, že tato vzdálenost je dostatečně dlouhá pro téměř všechna rozpětí nalezená v dnešních vláknových sítích. Evropská spolupráce dosáhla volného prostoru QKD přes 144 km mezi dvěma Kanárskými ostrovy pomocí zapletených fotonů (schéma Ekert) v roce 2006 a použitím BB84 vylepšeného o návnady v roce 2007.

V srpnu 2015 dosáhly nejdelší vzdálenosti pro optická vlákna (307 km) University of Geneva a Corning Inc. Ve stejném experimentu byla generována tajná klíčová rychlost 12,7 kbit/s, což z ní činí systém nejvyšší přenosové rychlosti na vzdálenosti. na 100 km. V roce 2016 dosáhl tým z Corningu a různých čínských institucí vzdálenosti 404 km, ale příliš pomalu, než aby to bylo praktické.

V červnu 2017 dosáhli fyzici pod vedením Thomase Jenneweina z Institutu pro kvantové počítače a University of Waterloo v kanadském Waterloo první ukázky distribuce kvantového klíče od pozemního vysílače k ​​pohybujícímu se letadlu. Ohlásili optické spoje se vzdáleností 3–10 km a vygenerovali bezpečné klíče o délce až 868 kilobajtů.

Také v červnu 2017 v rámci projektu Kvantové experimenty ve vesmírném měřítku změřili čínští fyzici pod vedením Pan Jianwei na Čínské univerzitě vědy a technologie zapletené fotony na vzdálenost 1203 km mezi dvěma pozemními stanicemi a položili tak základy pro budoucnost experimenty mezikontinentální kvantové distribuce klíčů. Fotony byly odeslány z jedné pozemní stanice na satelit, který pojmenovali Micius, a zpět na další pozemní stanici, kde „pozorovali přežití dvoufotonového zapletení a porušení Bellovy nerovnosti o 2,37 ± 0,09 za přísných podmínek Einsteinovy ​​lokality“ spolu „souhrnná délka se pohybuje od 1600 do 2400 kilometrů“. Později téhož roku byla BB84 úspěšně implementována přes satelitní spojení z Miciusu na pozemní stanice v Číně a Rakousku. Klíče byly sloučeny a výsledek byl použit k přenosu obrázků a videa mezi Pekingem v Číně a Vídní v Rakousku.

V květnu 2019 skupina vedená Hong Guo na Pekingské univerzitě a Pekingské univerzitě pošt a telekomunikací informovala o terénních testech systému QKD se spojitou proměnnou prostřednictvím komerčních optických sítí v Xi'an a Guangzhou na vzdálenosti 30,02 km (12,48 dB) a 49,85 km (11,62 dB).

V prosinci 2020 indická organizace pro výzkum a vývoj obrany testovala QKD mezi dvěma svými laboratořemi v zařízení v Hajdarábádu. Nastavení také prokázalo ověření detekce třetí strany, která se snaží získat znalosti o komunikaci. Kvantově založené zabezpečení proti odposlechu bylo ověřeno pro nasazený systém na více než 12 km (7,5 mi) dosahu a 10 dB útlumu přes optický kanál. Ke generování fotonů bez depolarizačního efektu byl použit laserový zdroj se spojitou vlnou a přesnost časování použitá v nastavení byla řádově pikosekundy. Single foton lavinový detektor (SPAD) zaznamenán přílet fotonů a klíčové sazby bylo dosaženo v rozmezí kbps s nízkou bitové chybovosti Quantum.

V březnu 2021 indická organizace pro vesmírný výzkum také předvedla kvantovou komunikaci ve volném prostoru na vzdálenost 300 metrů. QKD volného prostoru byla předvedena v Space Applications Center (SAC), Ahmedabad, mezi dvěma budovami s přímým výhledem v areálu pro videokonference pro šifrované signály s kvantovým klíčem. Experiment využíval přijímač NAVIC pro synchronizaci času mezi moduly vysílače a přijímače. Po předvedení kvantové komunikace mezi dvěma pozemními stanicemi má Indie v plánu vyvinout satelitní kvantovou komunikaci (SBQC).

Komerční

V současné době existuje šest společností nabízejících komerční kvantové klíčové distribuční systémy po celém světě; ID Quantique (Ženeva), MagiQ Technologies, Inc. (New York), QNu Labs ( Bengaluru , Indie ), QuintessenceLabs (Austrálie), QRate (Rusko) a SeQureNet (Paříž). Několik dalších společností má také aktivní výzkumné programy, včetně Toshiba , HP , IBM , Mitsubishi , NEC a NTT ( přímé odkazy na výzkum viz Externí odkazy).

V roce 2004 jako první na světě bankovním převodem pomocí kvantové distribuce klíče se provádí v Vídeň , Rakousko . Technologie kvantového šifrování poskytovaná švýcarskou společností Id Quantique byla použita ve švýcarském kantonu (státu) v Ženevě k přenosu výsledků hlasování do hlavního města v národních volbách, které proběhly 21. října 2007. V roce 2013 nainstaloval Battelle Memorial Institute systém QKD vybudovaný ID Quantique mezi jejich hlavním kampusem v Columbusu v Ohiu a jejich výrobním závodem v nedalekém Dublinu. Terénní testy tokijské sítě QKD již nějakou dobu probíhají.

Distribuční sítě s kvantovým klíčem

DARPA

DARPA Quantum Network , byl kvantový klíč distribuční síť 10-uzel, který probíhal nepřetržitě po dobu čtyř let, 24 hodin denně, od roku 2004 do roku 2007 v Massachusetts ve Spojených státech. Byl vyvinut společností BBN Technologies , Harvard University , Boston University , ve spolupráci s IBM Research , National Institute of Standards and Technology a QinetiQ . Podporoval internetovou počítačovou síť založenou na standardech chráněnou distribucí kvantových klíčů.

SECOQC

První počítačová síť na světě chráněná distribucí kvantových klíčů byla implementována v říjnu 2008 na vědecké konferenci ve Vídni. Název této sítě je SECOQC ( Se lék Co mmunication Na základě Q uantum C ryptography) a EU financovala tento projekt. Síť používala 200 km standardního kabelu z optických vláken k propojení šesti míst přes Vídeň a město St Poelten ležící 69 km západně.

SwissQuantum

Id Quantique úspěšně dokončil nejdéle běžící projekt testování kvantové distribuce klíčů (QKD) v polním prostředí. Hlavním cílem síťového projektu SwissQuantum instalovaného v metropolitní oblasti Ženevy v březnu 2009 bylo ověřit spolehlivost a robustnost QKD v nepřetržitém provozu po dlouhou dobu v polním prostředí. Kvantová vrstva fungovala téměř 2 roky, dokud nebyl projekt v lednu 2011 krátce po původně plánovaném trvání testu ukončen.

Čínské sítě

V květnu 2009, hierarchický kvantová síť byla prokázána v Wuhu , Čína . Hierarchická síť se skládala ze páteřní sítě čtyř uzlů spojujících několik podsítí. Páteřní uzly byly propojeny optickým přepínacím kvantovým routerem. Uzly v každé podsíti byly také propojeny pomocí optického přepínače, které byly připojeny k páteřní síti prostřednictvím důvěryhodného relé.

Kosmická mise QUESS , zahájená v srpnu 2016, vytvořila mezinárodní kanál QKD mezi Čínou a Institutem pro kvantovou optiku a kvantové informace ve Vídni v Rakousku - pozemní vzdálenost 7500 km (4700 mi), což umožňuje první mezikontinentální bezpečný kvantový videohovor. V říjnu 2017 byla mezi Pekingem , Jinanem , Hefei a Šanghají v provozu vláknová linka o délce 2 000 km . Společně tvoří první kvantovou síť vesmírných a pozemských systémů na světě. Očekává se až 10 satelitů Micius/QUESS, což umožní evropsko-asijskou kvantově šifrovanou síť do roku 2020 a globální síť do roku 2030.

Tokijská síť QKD

Tokijská síť QKD byla slavnostně otevřena první den konference UQCC2010. Síť zahrnuje mezinárodní spolupráci mezi 7 partnery; NEC , Mitsubishi Electric , NTT a NICT z Japonska a účast z Evropy společností Toshiba Research Europe Ltd. (Velká Británie), Id Quantique (Švýcarsko) a All Vienna (Rakousko). „All Vienna“ zastupují vědci z Rakouského technologického institutu (AIT), Institutu pro kvantovou optiku a kvantové informace (IQOQI) a Vídeňské univerzity .

Národní laboratoř Los Alamos

Síť rozbočovačů a paprsků provozuje Národní laboratoř Los Alamos od roku 2011. Všechny zprávy jsou směrovány přes rozbočovač. Systém vybavuje každý uzel v síti kvantovými vysílači - tj. Lasery - ale ne drahými a objemnými fotonovými detektory. Pouze centrum přijímá kvantové zprávy. Ke komunikaci každý uzel odešle jednorázovou podložku do rozbočovače, který poté použije ke zabezpečené komunikaci přes klasický odkaz. Rozbočovač může tuto zprávu směrovat do jiného uzlu pomocí jiného časového bloku z druhého uzlu. Celá síť je zabezpečená pouze v případě, že je zabezpečený centrální rozbočovač. Jednotlivé uzly vyžadují o něco více než laser: Prototypové uzly mají velikost přibližně krabičky zápalek.

Útoky a bezpečnostní důkazy

Zachytit a znovu odeslat

Nejjednodušším typem možného útoku je útok intercept-resend, kde Eva měří kvantové stavy (fotony) vyslané Alice a poté posílá náhradní stavy Bobovi, připravené ve stavu, který měří. V protokolu BB84 to vytváří chyby v klíči Alice a Bob. Protože Eva nemá znalosti o základu, do kterého je zakódován stav odeslaný Alicí, může pouze hádat, v jakém základu se má měřit, stejným způsobem jako Bob. Pokud se rozhodne správně, změří správný stav polarizace fotonů odeslaný Alice a odešle správný stav Bobovi. Pokud však zvolí nesprávně, stav, který měří, je náhodný a stav odeslaný Bobovi nemůže být stejný jako stav odeslaný Alicí. Pokud pak Bob změří tento stav na stejném základě, který Alice poslala, také dostane náhodný výsledek - jak mu Eva poslala stav na opačném základě - s 50% šancí na chybný výsledek (místo správného výsledku by dostal bez přítomnosti Evy). Následující tabulka ukazuje příklad tohoto typu útoku.

Alice je náhodný kousek	0	1	1	0	1	0	0	1
Alice na základě náhodného odesílání
Polarizace fotonů, kterou Alice posílá
Evin náhodný měřicí základ
Polarizace Eva měří a odesílá
Bobův základ náhodného měření
Polarizace fotonů Bob měří
VEŘEJNÁ DISKUZE NA ZÁKLADĚ
Sdílený tajný klíč	0		0			0		1
Chyby v klíči	✓		✘			✓		✓

Pravděpodobnost, že si Eva vybere nesprávný základ, je 50% (za předpokladu, že Alice volí náhodně), a pokud Bob změří tento zachycený foton na základě, který Alice poslala, získá náhodný výsledek, tj. Nesprávný výsledek s pravděpodobností 50%. Pravděpodobnost, že zachycený foton vygeneruje chybu v řetězci klíčů, je pak 50% × 50% = 25%. Pokud Alice a Bob veřejně porovnají své klíčové bity (čímž je vyřadí jako klíčové bity, protože již nejsou tajemstvím), pravděpodobnost, že najdou nesouhlas a identifikují přítomnost Evy, je ${\ displaystyle n}$

${\ displaystyle P_ {d} = 1- \ left ({\ frac {3} {4}} \ right)^{n}}$

Aby tedy Alice a Bob detekovali odposlouchávače s pravděpodobností, musí porovnat klíčové bity. ${\ displaystyle P_ {d} = 0,999999999}$${\ displaystyle n = 72}$

Útok man-in-the-middle

Distribuce kvantových klíčů je náchylná k útoku typu man-in-the-middle, pokud je použita bez autentizace ve stejné míře jako jakýkoli klasický protokol, protože žádný známý princip kvantové mechaniky nedokáže odlišit přítele od nepřítele. Stejně jako v klasickém případě se Alice a Bob nemohou navzájem autentizovat a navázat zabezpečené spojení bez nějakých prostředků vzájemné ověřování identit (například počáteční sdílené tajemství). Pokud Alice a Bob mají počáteční sdílené tajemství, pak mohou použít bezpodmínečně zabezpečené schéma autentizace (například Carter-Wegman ) spolu s distribucí kvantového klíče k exponenciálnímu rozšíření tohoto klíče pomocí malého množství nového klíče k ověření další relace . Bylo navrženo několik metod k vytvoření tohoto počátečního sdíleného tajemství, například pomocí teorie třetí strany nebo teorie chaosu. Nicméně pro bezpodmínečně bezpečnou autentizaci lze použít pouze „téměř silně univerzální“ rodinu hashovacích funkcí.

Útok na rozdělení počtu fotonů

V protokolu BB84 Alice posílá Bobovi kvantové stavy pomocí jednotlivých fotonů. V praxi mnoho implementací používá k odesílání kvantových stavů laserové impulsy zeslabené na velmi nízkou úroveň. Tyto laserové impulsy obsahují velmi malý počet fotonů, například 0,2 fotonu na puls, které jsou distribuovány podle Poissonova rozdělení . To znamená, že většina pulzů ve skutečnosti neobsahuje žádné fotony (není vyslán žádný puls), některé impulsy obsahují 1 foton (což je žádoucí) a několik pulzů obsahuje 2 nebo více fotonů. Pokud pulz obsahuje více než jeden foton, pak může Eva oddělit další fotony a zbývající jeden foton předat Bobovi. To je základem útoku na rozdělení počtu fotonů, kdy Eva ukládá tyto další fotony do kvantové paměti, dokud Bob nezjistí zbývající jeden foton a Alice neodhalí kódovací základ. Eve pak může změřit své fotony na správném základě a získat informace o klíči, aniž by zavedla zjistitelné chyby.

I s možností útoku PNS lze stále vygenerovat bezpečný klíč, jak ukazuje bezpečnostní důkaz GLLP; je však zapotřebí mnohem vyššího množství zesílení soukromí, čímž se významně sníží rychlost bezpečného klíče (u PNS jsou rychlostní stupnice ve srovnání se zdroji jednoho fotonu, kde je propustnost kvantového kanálu). ${\ displaystyle t^{2}}$${\ displaystyle t}$${\ displaystyle t}$

Existuje několik řešení tohoto problému. Nejviditelnější je použít skutečný zdroj jednoho fotonu místo zeslabeného laseru. Zatímco tyto zdroje jsou stále ve fázi vývoje, QKD s nimi bylo úspěšně provedeno. Protože však současné zdroje pracují s nízkou účinností a frekvencí, jsou klíčové rychlosti a přenosové vzdálenosti omezené. Dalším řešením je upravit protokol BB84, jak se to děje například v protokolu SARG04 , ve kterém se rychlost zabezpečeného klíče mění jako . Nejslibnějším řešením jsou stavy návnad, ve kterých Alice náhodně vysílá některé ze svých laserových pulzů s nižším průměrným počtem fotonů. Tyto stavy návnady lze použít k detekci útoku PNS, protože Eva nemá možnost zjistit, které impulsy jsou signál a které návnada. Pomocí této myšlenky se bezpečná klíčová rychlost mění na stejné jako u zdroje jednoho fotonu. Tato myšlenka byla úspěšně implementována nejprve na univerzitě v Torontu a v několika navazujících experimentech QKD, což umožňuje vysokou míru zabezpečení klíčů proti všem známým útokům. ${\ displaystyle t^{3/2}}$${\ displaystyle t}$

Odmítnutí služby

Vzhledem k tomu, že v současné době je mezi dvěma body spojenými kvantovou distribucí klíčů vyžadována vyhrazená linka z optických vláken (nebo přímá viditelnost), lze útok odmítnutí služby namontovat jednoduchým přerušením nebo zablokováním linky. To je jedna z motivací pro rozvoj distribučních sítí kvantových klíčů , které by v případě narušení směrovaly komunikaci přes alternativní odkazy.

Útoky trojských koní

Systém distribuce kvantových klíčů může Eva prozkoumat odesláním jasného světla z kvantového kanálu a analýzou zpětných odrazů při útoku trojského koně. V nedávné výzkumné studii bylo ukázáno, že Eve rozeznává Bobovu tajnou volbu základny s pravděpodobností vyšší než 90%, což narušuje zabezpečení systému.

Bezpečnostní důkazy

Pokud se předpokládá, že Eve má neomezené zdroje, například klasický i kvantový výpočetní výkon, je možné mnohem více útoků. Bylo prokázáno, že BB84 je bezpečný proti jakýmkoli útokům povoleným kvantovou mechanikou, a to jak pro odesílání informací pomocí ideálního fotonového zdroje, který vysílá vždy jen jeden foton, tak také pomocí praktických fotonových zdrojů, které někdy vysílají multipotonové impulsy. Tyto důkazy jsou bezpodmínečně bezpečné v tom smyslu, že na zdroje, které má odposlech k dispozici, nejsou kladeny žádné podmínky; jsou však vyžadovány další podmínky:

1. Eve nemůže fyzicky přistupovat ke kódovacím a dekódovacím zařízením Alice a Boba.
2. Generátory náhodných čísel, které používají Alice a Bob, musí být důvěryhodné a skutečně náhodné (například generátor náhodných čísel Quantum ).
3. Klasický komunikační kanál musí být ověřen pomocí bezpodmínečně zabezpečeného schématu ověřování .
4. Zpráva musí být zašifrována pomocí jednorázového schématu podobného bloku

Kvantové hackování

Hackerské útoky se zaměřují na zranitelnosti při provozu protokolu QKD nebo nedostatky v komponentách fyzických zařízení používaných při konstrukci systému QKD. Pokud by bylo možné manipulovat se zařízením používaným v distribuci kvantových klíčů, mohlo by být provedeno generování klíčů, které nebyly bezpečné, pomocí útoku generátoru náhodných čísel . Další běžnou třídou útoků je útok trojského koně, který nevyžaduje fyzický přístup ke koncovým bodům: místo aby se pokoušela číst jednotlivé fotony Alice a Boba, pošle Eva mezi přenášené fotony velký puls světla zpět Alice. Alicino vybavení odráží část Evina světla a odhaluje stav Alicina základu (např. Polarizátor). Tento útok lze detekovat, např. Použitím klasického detektoru ke kontrole nelegitimních signálů (tj. Světla od Evy) vstupujících do Aliceho systému. Rovněž se předpokládá, že většinu hackerských útoků lze podobně porazit úpravou implementace, ačkoli neexistuje žádný formální důkaz.

Nyní je známo několik dalších útoků, včetně útoků ve falešném stavu, útoků přemapování fází a časového posunu. Útok s časovým posunem byl dokonce prokázán na komerčním kvantovém kryptosystému. Toto je první ukázka kvantového hackování proti nedomácenému systému distribuce kvantových klíčů. Později byl útok přemapování fáze předveden také na speciálně konfigurovaném, výzkumně orientovaném otevřeném systému QKD (vyrobeném a poskytovaném švýcarskou společností Id Quantique v rámci jejich programu Quantum Hacking). Jedná se o jeden z prvních útoků typu „intercept-and-resend“ navrch široce používané implementace QKD v komerčních systémech QKD. Tato práce byla široce publikována v médiích.

První útok, který tvrdil, že je schopen odposlouchávat celý klíč, aniž by zanechal jakoukoli stopu, byl prokázán v roce 2010. Experimentálně bylo ukázáno, že jednofotonové detektory ve dvou komerčních zařízeních lze plně dálkově ovládat pomocí speciálně upraveného jasného osvětlení. Ve spoustě dalších publikací nyní spolupráce mezi Norskou univerzitou vědy a technologie v Norsku a Institutem Maxe Plancka pro vědu o světle v Německu nyní ukázala několik metod, jak úspěšně odposlouchávat komerční systémy QKD založené na slabinách lavinových fotodiod ( APD) pracující v režimu brány. To vyvolalo výzkum nových přístupů k zabezpečení komunikačních sítí.

Srovnávací kvantová distribuce klíčů

Úkolu distribuce tajného klíče by bylo možné dosáhnout, i když částice (na které byla zakódována tajná informace, např. Polarizace) neprochází kvantovým kanálem pomocí protokolu vyvinutého společností Tae-Gon Noh. slouží k vysvětlení, jak tato neintuitivní nebo kontrafaktuální myšlenka vlastně funguje. Zde Alice generuje foton, který tím, že neprovede měření až později, existuje v superpozici bytí v cestách (a) a (b) současně. Cesta (a) zůstává uvnitř Aliceho zabezpečeného zařízení a cesta (b) vede k Bobovi. Odmítnutím fotonů, které Bob přijímá, a přijímáním pouze těch, které nepřijímá, může Bob & Alice vytvořit zabezpečený kanál, tj. Eviny pokusy číst kontrafaktuální fotony by byly stále detekovány. Tento protokol využívá kvantový jev, přičemž možnost, že lze odeslat foton, má účinek, i když není odeslán. Takzvané měření bez interakce také používá tento kvantový efekt, jako například v problému s testováním bomb , přičemž můžete určit, které bomby nejsou blázny, aniž byste je odpálili, s výjimkou kontrafaktuálního smyslu.

Dějiny

Kvantovou kryptografii navrhl nejprve Stephen Wiesner , poté na Columbia University v New Yorku, který na začátku 70. let 20. století představil koncept kódování kvantovým konjugátem. Jeho klíčový dokument s názvem „Conjugate Coding“ byl odmítnut Teorií informací IEEE, ale nakonec byl publikován v roce 1983 v SIGACT News (15: 1 s. 78–88, 1983). V tomto příspěvku ukázal, jak ukládat nebo přenášet dvě zprávy jejich zakódováním do dvou "konjugovaných pozorovatelných", jako je lineární a kruhová polarizace světla, takže buď, ale ne obě, z nichž mohou být přijímány a dekódovány. Svůj nápad ilustroval designem neodpustitelných bankovek. O deset let později, na základě této práce, Charles H. Bennett z IBM Thomas J. Watson Research Center a Gilles Brassard z University of Montreal navrhli způsob bezpečné komunikace na základě Wiesnerových „konjugovaných pozorovatelných“. V roce 1990 Artur Ekert , tehdejší doktorand na Wolfson College, University of Oxford , vyvinul odlišný přístup ke kvantové distribuci klíčů na základě kvantového zapletení .

Budoucnost

Stávající komerční systémy jsou zaměřeny hlavně na vlády a korporace s vysokými požadavky na zabezpečení. Distribuce klíčů kurýrem se obvykle používá v takových případech, kdy se nevěří, že tradiční schémata distribuce klíčů nabízejí dostatečnou záruku. To má tu výhodu, že není ve své podstatě omezeno na vzdálenost, a navzdory dlouhým cestovním dobám může být přenosová rychlost vysoká díky dostupnosti velkokapacitních přenosných úložných zařízení. Hlavní rozdíl v kvantové distribuci klíčů je schopnost detekovat jakékoli zachycení klíče, zatímco u kurýra nelze zabezpečení klíče prokázat ani otestovat. Systémy QKD (Quantum Key Distribution) mají také tu výhodu, že jsou automatické, s vyšší spolehlivostí a nižšími provozními náklady než zabezpečená síť lidských kurýrů.

Třístupňový protokol Kak byl navržen jako metoda bezpečné komunikace, která je zcela kvantová na rozdíl od kvantové distribuce klíčů, ve které kryptografická transformace používá klasické algoritmy

Faktory, které brání širokému přijetí distribuce kvantových klíčů mimo oblasti s vysokou bezpečností, zahrnují náklady na vybavení a nedostatek prokázané hrozby pro stávající protokoly výměny klíčů. S optickými vláknovými sítěmi, které jsou již v mnoha zemích k dispozici, je však infrastruktura k dispozici pro širší využití.

Za účelem řešení problémů se standardizací v kvantové kryptografii byla zřízena průmyslová specifikační skupina (ISG) Evropského institutu pro telekomunikační normy ( ETSI ).

Evropské metrologické instituty v rámci specializovaných projektů vyvíjejí měření potřebná k charakterizaci součástí systémů QKD.

Viz také

• Seznam protokolů distribuce kvantových klíčů
• Kvantové výpočty
• Kvantová kryptografie
• Kvantová informační věda
• Kvantová síť

Reference

externí odkazy

Obecné a recenze

• Quantum Computing 101
• Scientific American Magazine (leden 2005 vydání) Best-Kept Secrets Netechnický článek o kvantové kryptografii
• Časopis Physics World (vydání z března 2007) Netechnický článek o současném stavu a budoucnosti kvantové komunikace
• Scarani, Valerio; Bechmann-Pasquinucci, Helle; Cerf, Nicolas J .; Dušek, Miloslav; Lütkenhaus, Norbert; Peev, Momtchil (2009). „Zabezpečení praktické distribuce kvantových klíčů“. Rev. Mod. Fyz . 81 (3): 1301–1350. arXiv : 0802,4155 . Bibcode : 2009RvMP ... 81.1301S . doi : 10,1103/RevModPhys.81.1301 . S2CID  15873250 .
• Nguyen, Kim-Chi; Gilles Van Assche; Cerf, Nicolas J. (2007). „Kvantová kryptografie: od teorie k praxi“. arXiv : quant-ph/0702202 .
• Bílá kniha SECOQC o distribuci a kryptografii kvantových klíčů Evropský projekt na vytvoření rozsáhlé sítě kvantové kryptografie zahrnuje diskusi o současných přístupech QKD a srovnání s klasickou kryptografií
• Budoucnost kryptografie květen 2003 Tomasz Grabowski
• Plán kvantové kryptografie ARDA
• Přednášky na Institutu Henri Poincaré (diapozitivy a videa)
• Interaktivní demonstrační experiment kvantové kryptografie s jednotlivými fotony pro vzdělávání

Více konkrétních informací

• Ekert, Artur (30. dubna 2005). "Cracking kódy, část II | plus.maths.org" . Pass.maths.org.uk . Citováno 28. prosince 2013 . Popis kvantové kryptografie založené na zapletení od Artura Ekerta.
• Xu, Qing (2009). Optické homodynové detekce a aplikace v kvantové kryptografii (PDF) (práce). Paris: Télécom ParisTech . Citováno 14. února 2017 .
• „Kvantová kryptografie a zesílení soukromí“ . Ai.sri.com . Citováno 28. prosince 2013 . Popis protokolu BB84 a zesílení soukromí od Sharon Goldwater.
• Bennett, Charles H .; Brassard, Gilles (2014). „Kvantová kryptografie: Distribuce veřejného klíče a házení mincí“ . Teoretická počítačová věda . 560 : 7–11. doi : 10,1016/j.tcs.2014.05.025 .
• Veřejná debata o bezpečnosti distribuce kvantových klíčů na konferenci Hot Topics in Physical Informatics, 11. listopadu 2013 archivována 4. března 2016 na Wayback Machine

Další informace

• Quantiki.org - kvantový informační portál a wiki
• Interaktivní simulace BB84

Simulace distribuce kvantových klíčů

• Online sada nástrojů pro simulaci a analýzu pro distribuci kvantových klíčů

Výzkumné skupiny kvantové kryptografie

• Experimentální kvantová kryptografie se zapletenými fotony
• Kvantové informační sítě NIST
• Kvantová kryptografie ve volném prostoru
• Experimentální spojitá proměnná QKD, MPL Erlangen
• Experimentální kvantové hackování, MPL Erlangen
• Laboratoř kvantové kryptografie. Pljonkin AP

Společnosti prodávající kvantová zařízení pro kryptografii

• id Quantique prodává produkty Quantum Key Distribution
• MagiQ Technologies prodává kvantová zařízení pro kryptografii
• Řešení QuintessenceLabs založené na laserech s kontinuální vlnou
• SeQureNet prodává produkty kvantové klíčové distribuce pomocí spojitých proměnných

Společnosti s programy výzkumu kvantové kryptografie

• Toshiba
• Hewlett Packard
• IBM
• Mitsubishi
• NEC
• NTT