Протокол квантового распределения ключей на основе случайных группировок

Протокол квантового распределения ключей на основе случайных группировок — четырёхкубитный квантовый криптографический протокол, основанный на случайных группировках кубитов и измерениях состояний Белла^[1]. Кубиты объединяются в единый блок, передаваемый от отправителя к получателю в каждом сообщении. Шифрование осуществляется путем случайной группировки четырех отдельных кубитов в две новые пары; аналогичный механизм также является одним из способов обнаружить подслушивающее устройство в квантовом канале. Незамедлительно после приёма блока кубитов приемник случайным образом разбивает четыре кубита на пары и проверяет их при помощи измерений состояний Белла. Из сравнения информации о группировке этих четырех кубитов обе стороны соединения могут обнаружить нелегального пользователя в канале. В рассматриваемом протоколе приемник обрабатывает блок кубитов мгновенно во время получения, что является эффективным способом преодоления ультракороткого времени когерентности квантовых состояний.

История и предпосылки создания[править]

Одним из подходов квантовой криптографии является квантовое распределение ключей. Квантовое распределение ключей (англ.: Quantum Key Distribution, QKD) — метод передачи ключа, который использует квантовые явления для гарантии безопасной связи. Этот метод позволяет двум сторонам, соединенным по открытому классическому каналу связи, создать общий случайный ключ, который известен только им, и использовать его для шифрования и расшифрования сообщений, передаваемых по классическому каналу. Различные типы QKD также были продемонстрированы экспериментально^[2][3].

В настоящее время было предложено много протоколов квантового распределения ключей. Самый первый протокол QKD был предложен Беннеттом и Брассаром в 1984 году. Данный протокол получил название BB84 и базировался на использовании двух взаимно несмещенных состояний поляризации фотонов^[4]. Авторами был описан способ распределения случайного секретного ключа между Алисой и Бобом.

Позднее Экерт предложил другой протокол QKD, названный E91, основанный на парадоксе Эйнштейна-Подольского-Розена^[5][6]. После этого были теоретически предложены и экспериментально реализованы различные протоколы QKD, например, базирующиеся на однофотонных и множественных состояниях^[7][8]. В этих работах для переноса информации широко используются фотоны, поскольку ими легко манипулировать и они передают информацию со скоростью света.

Новый виток в развитии QKD был связан с использованием состояний Белла^[6]. В качестве квантового канала состояние Белла было предложено и подтверждено как максимально запутанное состояние двухкубитной квантовой системы^[9][10]. Кроме того, по сравнению с другими мультикубитными аналогами (состояния W, GHZ и кластерные состояния), состояние Белла легче всего реализовать с помощью нелинейного процесса^{[11][12][13][14]}.

В 2008 был представлен протокол, в котором две стороны разделяют секретный ключ, сравнивая форму начального состояния Белла и результат измерения состояния Белла после квантовой передачи^[9]. Затем была повышена общая эффективность коммуникации до 100% по сравнению с ранее достигнутыми 50%^[15]. В скором времени был представлен первый аутентифицированный полуквантовый протокол распределения ключей без использования аутентифицированных классических каналов, основанный на состояниях Белла^[16].

После чего был предложен ряд протоколов QKD, которые используют состояния Белла, распределенные между отправителем и получателем. В этих протоколах две пары состояний Белла разделены между двумя сертифицированными сторонами связи. Отправитель и получатель хранят по два кубита, запутанные друг с другом. После одновременного измерения состояний Белла с двух сторон реализуется квантовая запутанность уже между четырьмя кубитами^[9][15].

В апреле 2020 было предложено усовершенствование для предотвращения подслушивания с более низким коэффициентом ошибок при подтверждении сообщений, а также с более быстрым обнаружением битов ключа, основанное на четырехкубитном состоянии, которое состоит из двух пар состояний Белла^[1]. Данный протокол рассматривается далее.

Основные идеи[править]

Схема работы предлагаемого протокола QKD. Алиса подготавливает состояние из четырех кубитов и отправляет Бобу по квантовому каналу. Затем Боб группирует их случайным образом и измеряет эти кубиты в базисе состояний Белла.

Протокол предполагает использование четырёхкубитных конфигураций, состоящих из двух пар состояний Белла. Каждый раз передатчик (Алиса) подготавливает группу, состоящую из четырёх кубитов, для незамедлительной отправки приёмнику (Бобу). Боб производит измерение квантового состояния сразу же после получения всей партии кубитов. Это односторонний процесс, что является важным нововведением по сравнению с двусторонними протоколами, в которых квантовое состояние должно сохраняться до завершения передачи^[9][15]. Благодаря этому протокол решает проблему ультракороткого времени когерентности квантовых состояний.

Если приводить более формальное описание, то четыре кубита двух состояний Белла будут обозначены как ${\displaystyle P_{1},P_{2},P_{3}}$ и ${\displaystyle P_{4}}$. Условимся, что квантовая запутанность имеет место между ${\displaystyle P_{1}}$ и ${\displaystyle P_{2}}$, а также между ${\displaystyle P_{3}}$ и ${\displaystyle P_{4}}$. После измерения состояний Белла с обеих сторон запутанными окажутся ${\displaystyle P_{1}}$ и ${\displaystyle P_{3}}$, ${\displaystyle P_{2}}$ и ${\displaystyle P_{4}}$ соответственно. Базисные функции состояний Белла, которые являются базисом запутанных состояний, выражаются следующим образом:

${\displaystyle |\phi ^{\pm }\rangle ={\frac {1}{\sqrt {2}}}(|00\rangle \pm |11\rangle )}$, ${\displaystyle |\psi ^{\pm }\rangle ={\frac {1}{\sqrt {2}}}(|01\rangle \pm |01\rangle ).}$

Например, если начальными состояниями Белла были ${\displaystyle |\phi ^{-}\rangle }$ и ${\displaystyle |\phi ^{+}\rangle }$, то общее запутанное состояние из четырёх кубитов запишется следующим образом (см. подробнее приложение):

${\displaystyle |{\mathcal {C}}\rangle _{1234}=|\phi ^{-}\rangle _{12}\otimes |\phi ^{+}\rangle _{34}={\frac {1}{2}}(|\phi ^{+}\rangle _{13}|\phi ^{-}\rangle _{24}+|\phi ^{-}\rangle _{13}|\phi ^{+}\rangle _{24}+|\psi ^{+}\rangle _{13}|\psi ^{-}\rangle _{24}+|\psi ^{-}\rangle _{13}|\psi ^{+}\rangle _{24})}$,

где индексы 1, 2, 3 и 4 обозначают номер запутанного кубита, а ${\displaystyle \otimes }$ обозначает операцию тензорного произведения.

Из полученного выражения можно сделать вывод, что общее состояние становится суперпозицией четырех состояний, это означает, что при измерении можно получить четыре различных результата при измерении комбинаций состояний Белла. Также обратим внимание, что это уравнение представляет лишь одну из возможных комбинаций, подробный анализ всех состояний можно найти в соответствующих научных работах^[1][17]. Вкратце, существует несколько форм случайной группировки этих четырех кубитов, из которых только одна группировка будет определена как правильная. Это основной метод шифрования информации во время коммуникации. Схема предлагаемого протокола показана на рисунке, где Алиса и Боб являются сертифицированными отправителем и приемником соответственно.

Алгоритм распределения ключа[править]

• Шаг 1. Подготовка состояний. Алиса подготавливает одну из комбинаций четырёхкубитных состояний. Такая комбинация состоит из четырёх кубитов ${\displaystyle P_{\gamma }}$, где ${\displaystyle \gamma \in \{1,2,3,4\}}$. Каждой паре состояний Белла ставятся в соответствие два информационных бита ключа. Алиса запоминает текущую случайную группировку и пару состояний Белла, которая участвует в передаче.

• Шаг 2. Передача кубитов. Алиса случайным образом перемешивает эти четыре кубита и отправляет их Бобу по квантовому каналу.

• Шаг 3. Измерение состояний Белла. Боб принимает отправленные ему кубиты и случайным образом разбивает их на две части. После чего он выполняет измерение состояний Белла на этих двух частях и отправляет информацию о группировке Алисе по классическому каналу.

• Шаг 4. Сравнение результатов. Алиса принимает информацию о группировке Боба и сравнивает их с сохранённой информацией о ${\displaystyle P_{\gamma }}$. Если Алиса увидит совпадение, она объявит по классическому каналу True и весь процесс коммуникации может перейти к шагу 5 или вернуться на шаг 1 для следующей итерации. Если же совпадения не случится, она объявит False, после чего оба участника отбросят данные текущей итерации и процесс коммуникации начнётся сначала с шага 1 или оборвётся.

• Шаг 5. Формирование согласованных ключей. После нескольких итераций последовательностей шагов c 1 по 4 Алиса и Боб получают двоичную последовательность, которая представляет собой некоторый необработанный ключ ${\displaystyle {\mathcal {R}}}$ (также называемый сырым). Под ${\displaystyle {\mathcal {R}}_{A}}$ и ${\displaystyle {\mathcal {R}}_{B}}$ понимаются необработанные ключи Алисы и Боба соответственно. Алиса случайным образом выбирает части ${\displaystyle {\mathcal {R}}_{A}}$ и собирает из них свой согласованный ключ ${\displaystyle {\mathcal {C}}_{A}}$, после чего объявляет позиции выбранных частей по классическому каналу. Затем Боб согласно этим позициям выбирает свой согласованный ключ ${\displaystyle {\mathcal {C}}_{B}}$ из ключа ${\displaystyle {\mathcal {R}}_{B}}$.

• Шаг 6. Усиление конфиденциальности. Из полученного набора битов ${\displaystyle {\mathcal {C}}_{B}}$ Боб выбирает некоторые в качестве битов чётности ${\displaystyle {\mathcal {D}}_{B}}$ и объявляет ${\displaystyle {\mathcal {D}}_{B}}$ вместе с их соответствующими позициями. Аналогичным образом Алиса выбирает свой набор ${\displaystyle {\mathcal {D}}_{A}}$ и сравнивает его с полученным ${\displaystyle {\mathcal {D}}_{B}}$. Если процент битовых ошибок в таком сравнении меньше некоторого наперёд заданного порога, то соединение может считаться безопасным и процесс коммуникации может перейти к следующему шагу 7; если нет, то необходимо вернуться на шаг 1 или же окончательно оборвать связь.

• Шаг 7. Формирование окончательных ключей. На последнем шаге окончательно выбираются ключи ${\displaystyle {\mathcal {R}}_{A}'}$ и ${\displaystyle {\mathcal {R}}_{B}'}$, которые будут использоваться для шифрования в дальнейшем процессе коммуникации по классическому каналу. Теоретически, в идеальном случае должно получиться ${\displaystyle {\mathcal {R'}}_{A}}$ = ${\displaystyle {\mathcal {R}}_{B}'}$, где ${\displaystyle {\mathcal {R}}_{A}'}$ — это необработанный ключ ${\displaystyle {\mathcal {R}}_{A}}$ исключая биты ${\displaystyle {\mathcal {C}}_{A}}$, аналогичное верно для ${\displaystyle {\mathcal {R}}_{B}'}$.

Анализ доли ошибочных кубитов[править]

Как уже отмечалось, существует несколько различных способов группировок кубитов. Без ограничения общности можно считать, что группировка, приведённая ранее является правильной, а остальные — неправильными. Учитывая, что каждая из ${\displaystyle m}$ группировок получается равновероятно, вероятность правильной группировки для Боба равна ${\displaystyle 1/m}$. Измеряя состояния Белла, в каждом из случаев Боб может получить любую из перечисленных комбинаций состояний Белла: ${\displaystyle \{|\phi ^{+}\rangle ,|\phi ^{-}\rangle \},\{|\phi ^{-}\rangle ,|\phi ^{+}\rangle \},\{|\psi ^{+}\rangle ,|\psi ^{-}\rangle \}}$ и ${\displaystyle \{|\psi ^{-}\rangle ,|\psi ^{+}\rangle \}}$. Отметим, что если Боб выберет правильную группировку, то он может получить верную комбинацию состояния Белла с вероятностью ${\displaystyle 1}$. Если в канале нет подслушивающего устройства, то вероятность ошибки ${\displaystyle \varepsilon _{0}}$ может быть получена из анализа совпадений пары состояний Белла для каждой группировки^[1].

Пусть Боб случайным образом получил неправильную группировку кубитов, например ${\displaystyle \{(P_{1},P_{2}),(P_{3},P_{4})\}}$. Тогда состояние ${\displaystyle |{\mathcal {C}}\rangle _{1234}}$ выражается следующим образом (см. подробнее приложение):

${\displaystyle |{\mathcal {C}}\rangle _{1234}={\frac {1}{2}}(|0000\rangle +|0011\rangle +|1100\rangle +|1111\rangle )_{1234}=(|\phi ^{-}\rangle _{12}|\phi ^{+}\rangle _{34}).}$

В этом случае при измерении из всех возможных комбинаций состояний Белла он может получить только ${\displaystyle |\phi ^{-}\rangle _{12}|\phi ^{+}\rangle _{34}}$. Сравнивая с изначальным выражением, заключаем, что Боб получит правильную группировку состояний c вероятностью ${\displaystyle {\frac {1}{4}}}$.

Повторяя данные действия для всех возможных группировок, находим, что доля ошибочных кубитов ${\displaystyle \varepsilon _{0}=0{,}0417}$^[1].

Взаимная информация Алисы и Боба:

${\displaystyle {\mathcal {I}}(A;B)=1-(-\varepsilon _{0}\log _{2}\varepsilon _{0}-(1-\varepsilon _{0})\log _{2}(1-\varepsilon _{0}))=0{,}7501}$ бит.

Криптоанализ[править]

Атака перехвата — повторной передачи[править]

Одной из атак на QKD протоколы является атака перехвата — повторной передачи. Суть атаки заключается в измерении злоумышленником (Евой) непосредственно квантового состояния носителя (например, фотона) и последующей повторной посылке нового фотона в состоянии, полученном в результате измерения^[18][19][20]. Поскольку злоумышленник не пропускает квантовые состояния отправителя, а фактически генерирует новые и отправляет их получателю, то данная атака также называется непрозрачной.

В рассматриваемом протоколе Ева может взаимодействовать с полученным сообщением и повторно послать Бобу новое состояние из четырех кубитов, чтобы он продолжал получать сообщения. Тогда Ева играет ту же роль, что и Боб в процессе коммуникации. Злоумышленник аналогично Бобу может разбить состояние из четырех кубитов на две части и измерить состояния Белла каждой из них. После шага 2 распределения ключа четыре кубита, отправленные Алисой, будут передаваться по квантовому каналу связи. Ева перехватывает эти четыре кубита и обрабатывает их так же, как и Боб. Затем Ева пересылает свои четыре обновлённых кубита Бобу. Перебирая все возможные случаи группировок кубитов Евой и Бобом, можно получить полную вероятность того, что Боб получит неверный результат с вероятностью ${\displaystyle \varepsilon _{e}=0{,}1597}$^[1].

Число битов двоичной случайной последовательности ${\displaystyle n}$, которые нужно сравнить Алисе и Бобу, чтобы обнаружить Еву с вероятностью ${\displaystyle p_{d}=1-10^{-9}=1-\varepsilon _{e}^{n}}$.

Минимальное значение ${\displaystyle n=11}$, в то время как Алиса и Боб должны сравнить ${\displaystyle n=72}$ в протоколе BB84, чтобы достичь аналогичной вероятности^[1][21].

Взаимная информация между Алисой и Евой:

${\displaystyle {\mathcal {I}}(A;E)=1-(-\varepsilon _{e}\log _{2}\varepsilon _{e}-(1-\varepsilon _{e})\log _{2}(1-\varepsilon _{e}))=0{,}3664}$ бит.

Получаем, что ${\displaystyle {\mathcal {I}}(A;B)>{\mathcal {I}}(A;E)}$, то есть связь безопасна. Более того, ${\displaystyle {\mathcal {I}}(A;B)}$ в рассматриваемом протоколе больше чем ${\displaystyle {\mathcal {I'}}(A;B)=0{,}1887}$ бит в протоколе BB84.

Теоретическое значение секретности ключа:

${\displaystyle {\mathcal {R}}={\mathcal {I}}(A;B)-{\mathcal {I}}(A;E)=0{,}7501-0{,}3664=0{,}3837>0.}$

Атака троянского коня[править]

Атака троянского коня подразумевает, что система QKD может быть взломана Евой путем отправки яркого света в квантовый канал и анализа обратного отражения. Ева использует вспомогательный источник, модулирует его и анализирует обратно рассеянный сигнал с помощью детектора. Как правило, схема обнаружения истинного сигнала основана на особенностях вспомогательного источника, например, на его фазе^[22]. Еве необходимо удалить часть истинного сигнала, и затем компенсировать введенные потери с помощью улучшения квантового канала. Следовательно, Еве нужно подготовить канал, который имеет меньшее затухание, чем изначальный квантовый канал^[22][23][24]. Если это выполнено, Ева может измерить перехваченное состояние с помощью квантовой памяти^[1].

При атаке троянского коня известно измерение, которое максимизирует собственную информацию Евы, т.е. информационный выигрыш^[22][25]:

${\displaystyle {\mathcal {I}}_{Eve}^{T}(|\alpha |^{2})=1-h(p),}$ где ${\displaystyle p={\frac {1}{2}}({\sqrt {1-|\langle \alpha ,0|0,\alpha \rangle |^{2}}})\approx {\frac {1+{\sqrt {2}}|\alpha |}{2}}}$, бинарная энтропия ${\displaystyle h(p)=-p\log _{2}(p)-(1-p)\log _{2}(1-p)}$, а ${\displaystyle |\alpha |^{2}}$ обозначает номер фотона Евы.

Из полученного выражения и теоретических границ следует, что ${\displaystyle \max \limits _{|\alpha |^{2}}\{{\mathcal {I}}_{Eve}^{T}(|\alpha |^{2})\}<{\mathcal {I}}(A;B)}$^[22][1].

Следовательно, атака троянского коня может быть предотвращена в рассматриваемом протоколе.

Практическое применение[править]

Рассматриваемый протокол является перспективным усовершенствованием других квантовых протоколов распределения ключей.

Приведём некоторые примеры практического использования QKD протоколов. Лос-Аламосская Национальная Лаборатория в 2007 году продемонстрировала использование квантового распределения ключей по оптоволокну длиной более 140 км с использованием протокола BB84^[26][27]. Примечательно, что этого расстояния достаточно для почти всех участков современных волоконно-оптических сетей. Имеет смысл отметить достижение физиков из Института квантовых вычислений и Университета Уотерлу, которые в 2017 впервые продемонстрировали функционирование квантового протокола распределения ключей от наземного передатчика к движущемуся самолету^[28].

Авторы протокола планируют представить его практическую демонстрацию^[1].

Источники[править]

Приложение[править]

Вывод группировок состояний Белла