Протокол квантового распределения ключей на основе случайных группировок

Материал из Циклопедии
Перейти к навигации Перейти к поиску

Протокол квантового распределения ключей на основе случайных группировок — четырёхкубитный квантовый криптографический протокол, основанный на случайных группировках кубитов и измерениях состояний Белла[1]. Кубиты объединяются в единый блок, передаваемый от отправителя к получателю в каждом сообщении. Шифрование осуществляется путем случайной группировки четырех отдельных кубитов в две новые пары; аналогичный механизм также является одним из способов обнаружить подслушивающее устройство в квантовом канале. Незамедлительно после приёма блока кубитов приемник случайным образом разбивает четыре кубита на пары и проверяет их при помощи измерений состояний Белла. Из сравнения информации о группировке этих четырех кубитов обе стороны соединения могут обнаружить нелегального пользователя в канале. В рассматриваемом протоколе приемник обрабатывает блок кубитов мгновенно во время получения, что является эффективным способом преодоления ультракороткого времени когерентности квантовых состояний.

История и предпосылки создания[править]

Одним из подходов квантовой криптографии является квантовое распределение ключей. Квантовое распределение ключей (англ.: Quantum Key Distribution, QKD) — метод передачи ключа, который использует квантовые явления для гарантии безопасной связи. Этот метод позволяет двум сторонам, соединенным по открытому классическому каналу связи, создать общий случайный ключ, который известен только им, и использовать его для шифрования и расшифрования сообщений, передаваемых по классическому каналу. Различные типы QKD также были продемонстрированы экспериментально[2][3].

В настоящее время было предложено много протоколов квантового распределения ключей. Самый первый протокол QKD был предложен Беннеттом и Брассаром в 1984 году. Данный протокол получил название BB84 и базировался на использовании двух взаимно несмещенных состояний поляризации фотонов[4]. Авторами был описан способ распределения случайного секретного ключа между Алисой и Бобом.

Позднее Экерт предложил другой протокол QKD, названный E91, основанный на парадоксе Эйнштейна-Подольского-Розена[5][6]. После этого были теоретически предложены и экспериментально реализованы различные протоколы QKD, например, базирующиеся на однофотонных и множественных состояниях[7][8]. В этих работах для переноса информации широко используются фотоны, поскольку ими легко манипулировать и они передают информацию со скоростью света.

Новый виток в развитии QKD был связан с использованием состояний Белла[6]. В качестве квантового канала состояние Белла было предложено и подтверждено как максимально запутанное состояние двухкубитной квантовой системы[9][10]. Кроме того, по сравнению с другими мультикубитными аналогами (состояния W, GHZ и кластерные состояния), состояние Белла легче всего реализовать с помощью нелинейного процесса[11][12][13][14].

В 2008 был представлен протокол, в котором две стороны разделяют секретный ключ, сравнивая форму начального состояния Белла и результат измерения состояния Белла после квантовой передачи[9]. Затем была повышена общая эффективность коммуникации до 100% по сравнению с ранее достигнутыми 50%[15]. В скором времени был представлен первый аутентифицированный полуквантовый протокол распределения ключей без использования аутентифицированных классических каналов, основанный на состояниях Белла[16].

После чего был предложен ряд протоколов QKD, которые используют состояния Белла, распределенные между отправителем и получателем. В этих протоколах две пары состояний Белла разделены между двумя сертифицированными сторонами связи. Отправитель и получатель хранят по два кубита, запутанные друг с другом. После одновременного измерения состояний Белла с двух сторон реализуется квантовая запутанность уже между четырьмя кубитами[9][15].

В апреле 2020 было предложено усовершенствование для предотвращения подслушивания с более низким коэффициентом ошибок при подтверждении сообщений, а также с более быстрым обнаружением битов ключа, основанное на четырехкубитном состоянии, которое состоит из двух пар состояний Белла[1]. Данный протокол рассматривается далее.

Основные идеи[править]

Схема работы предлагаемого протокола QKD. Алиса подготавливает состояние из четырех кубитов и отправляет Бобу по квантовому каналу. Затем Боб группирует их случайным образом и измеряет эти кубиты в базисе состояний Белла.

Протокол предполагает использование четырёхкубитных конфигураций, состоящих из двух пар состояний Белла. Каждый раз передатчик (Алиса) подготавливает группу, состоящую из четырёх кубитов, для незамедлительной отправки приёмнику (Бобу). Боб производит измерение квантового состояния сразу же после получения всей партии кубитов. Это односторонний процесс, что является важным нововведением по сравнению с двусторонними протоколами, в которых квантовое состояние должно сохраняться до завершения передачи[9][15]. Благодаря этому протокол решает проблему ультракороткого времени когерентности квантовых состояний.

Если приводить более формальное описание, то четыре кубита двух состояний Белла будут обозначены как и . Условимся, что квантовая запутанность имеет место между и , а также между и . После измерения состояний Белла с обеих сторон запутанными окажутся и , и соответственно. Базисные функции состояний Белла, которые являются базисом запутанных состояний, выражаются следующим образом:

,

Например, если начальными состояниями Белла были и , то общее запутанное состояние из четырёх кубитов запишется следующим образом (см. подробнее приложение):

,

где индексы 1, 2, 3 и 4 обозначают номер запутанного кубита, а обозначает операцию тензорного произведения.

Из полученного выражения можно сделать вывод, что общее состояние становится суперпозицией четырех состояний, это означает, что при измерении можно получить четыре различных результата при измерении комбинаций состояний Белла. Также обратим внимание, что это уравнение представляет лишь одну из возможных комбинаций, подробный анализ всех состояний можно найти в соответствующих научных работах[1][17]. Вкратце, существует несколько форм случайной группировки этих четырех кубитов, из которых только одна группировка будет определена как правильная. Это основной метод шифрования информации во время коммуникации. Схема предлагаемого протокола показана на рисунке, где Алиса и Боб являются сертифицированными отправителем и приемником соответственно.

Алгоритм распределения ключа[править]

  • Шаг 1. Подготовка состояний. Алиса подготавливает одну из комбинаций четырёхкубитных состояний. Такая комбинация состоит из четырёх кубитов , где . Каждой паре состояний Белла ставятся в соответствие два информационных бита ключа. Алиса запоминает текущую случайную группировку и пару состояний Белла, которая участвует в передаче.
  • Шаг 2. Передача кубитов. Алиса случайным образом перемешивает эти четыре кубита и отправляет их Бобу по квантовому каналу.
  • Шаг 3. Измерение состояний Белла. Боб принимает отправленные ему кубиты и случайным образом разбивает их на две части. После чего он выполняет измерение состояний Белла на этих двух частях и отправляет информацию о группировке Алисе по классическому каналу.
  • Шаг 4. Сравнение результатов. Алиса принимает информацию о группировке Боба и сравнивает их с сохранённой информацией о . Если Алиса увидит совпадение, она объявит по классическому каналу True и весь процесс коммуникации может перейти к шагу 5 или вернуться на шаг 1 для следующей итерации. Если же совпадения не случится, она объявит False, после чего оба участника отбросят данные текущей итерации и процесс коммуникации начнётся сначала с шага 1 или оборвётся.
  • Шаг 5. Формирование согласованных ключей. После нескольких итераций последовательностей шагов c 1 по 4 Алиса и Боб получают двоичную последовательность, которая представляет собой некоторый необработанный ключ (также называемый сырым). Под и понимаются необработанные ключи Алисы и Боба соответственно. Алиса случайным образом выбирает части и собирает из них свой согласованный ключ , после чего объявляет позиции выбранных частей по классическому каналу. Затем Боб согласно этим позициям выбирает свой согласованный ключ из ключа .
  • Шаг 6. Усиление конфиденциальности. Из полученного набора битов Боб выбирает некоторые в качестве битов чётности и объявляет вместе с их соответствующими позициями. Аналогичным образом Алиса выбирает свой набор и сравнивает его с полученным . Если процент битовых ошибок в таком сравнении меньше некоторого наперёд заданного порога, то соединение может считаться безопасным и процесс коммуникации может перейти к следующему шагу 7; если нет, то необходимо вернуться на шаг 1 или же окончательно оборвать связь.
  • Шаг 7. Формирование окончательных ключей. На последнем шаге окончательно выбираются ключи и , которые будут использоваться для шифрования в дальнейшем процессе коммуникации по классическому каналу. Теоретически, в идеальном случае должно получиться = , где — это необработанный ключ исключая биты , аналогичное верно для .

Анализ доли ошибочных кубитов[править]

Как уже отмечалось, существует несколько различных способов группировок кубитов. Без ограничения общности можно считать, что группировка, приведённая ранее является правильной, а остальные — неправильными. Учитывая, что каждая из группировок получается равновероятно, вероятность правильной группировки для Боба равна . Измеряя состояния Белла, в каждом из случаев Боб может получить любую из перечисленных комбинаций состояний Белла: и . Отметим, что если Боб выберет правильную группировку, то он может получить верную комбинацию состояния Белла с вероятностью . Если в канале нет подслушивающего устройства, то вероятность ошибки может быть получена из анализа совпадений пары состояний Белла для каждой группировки[1].

Пусть Боб случайным образом получил неправильную группировку кубитов, например . Тогда состояние выражается следующим образом (см. подробнее приложение):

В этом случае при измерении из всех возможных комбинаций состояний Белла он может получить только . Сравнивая с изначальным выражением, заключаем, что Боб получит правильную группировку состояний c вероятностью .

Повторяя данные действия для всех возможных группировок, находим, что доля ошибочных кубитов [1].

Взаимная информация Алисы и Боба:

бит.

Криптоанализ[править]

Атака перехвата — повторной передачи[править]

Одной из атак на QKD протоколы является атака перехвата — повторной передачи. Суть атаки заключается в измерении злоумышленником (Евой) непосредственно квантового состояния носителя (например, фотона) и последующей повторной посылке нового фотона в состоянии, полученном в результате измерения[18][19][20]. Поскольку злоумышленник не пропускает квантовые состояния отправителя, а фактически генерирует новые и отправляет их получателю, то данная атака также называется непрозрачной.

В рассматриваемом протоколе Ева может взаимодействовать с полученным сообщением и повторно послать Бобу новое состояние из четырех кубитов, чтобы он продолжал получать сообщения. Тогда Ева играет ту же роль, что и Боб в процессе коммуникации. Злоумышленник аналогично Бобу может разбить состояние из четырех кубитов на две части и измерить состояния Белла каждой из них. После шага 2 распределения ключа четыре кубита, отправленные Алисой, будут передаваться по квантовому каналу связи. Ева перехватывает эти четыре кубита и обрабатывает их так же, как и Боб. Затем Ева пересылает свои четыре обновлённых кубита Бобу. Перебирая все возможные случаи группировок кубитов Евой и Бобом, можно получить полную вероятность того, что Боб получит неверный результат с вероятностью [1].

Число битов двоичной случайной последовательности , которые нужно сравнить Алисе и Бобу, чтобы обнаружить Еву с вероятностью .

Минимальное значение , в то время как Алиса и Боб должны сравнить в протоколе BB84, чтобы достичь аналогичной вероятности[1][21].

Взаимная информация между Алисой и Евой:

бит.

Получаем, что , то есть связь безопасна. Более того, в рассматриваемом протоколе больше чем бит в протоколе BB84.

Теоретическое значение секретности ключа:

Атака троянского коня[править]

Атака троянского коня подразумевает, что система QKD может быть взломана Евой путем отправки яркого света в квантовый канал и анализа обратного отражения. Ева использует вспомогательный источник, модулирует его и анализирует обратно рассеянный сигнал с помощью детектора. Как правило, схема обнаружения истинного сигнала основана на особенностях вспомогательного источника, например, на его фазе[22]. Еве необходимо удалить часть истинного сигнала, и затем компенсировать введенные потери с помощью улучшения квантового канала. Следовательно, Еве нужно подготовить канал, который имеет меньшее затухание, чем изначальный квантовый канал[22][23][24]. Если это выполнено, Ева может измерить перехваченное состояние с помощью квантовой памяти[1].

При атаке троянского коня известно измерение, которое максимизирует собственную информацию Евы, т.е. информационный выигрыш[22][25]:

где , бинарная энтропия , а обозначает номер фотона Евы.

Из полученного выражения и теоретических границ следует, что [22][1].

Следовательно, атака троянского коня может быть предотвращена в рассматриваемом протоколе.

Практическое применение[править]

Рассматриваемый протокол является перспективным усовершенствованием других квантовых протоколов распределения ключей.

Приведём некоторые примеры практического использования QKD протоколов. Лос-Аламосская Национальная Лаборатория в 2007 году продемонстрировала использование квантового распределения ключей по оптоволокну длиной более 140 км с использованием протокола BB84[26][27]. Примечательно, что этого расстояния достаточно для почти всех участков современных волоконно-оптических сетей. Имеет смысл отметить достижение физиков из Института квантовых вычислений и Университета Уотерлу, которые в 2017 впервые продемонстрировали функционирование квантового протокола распределения ключей от наземного передатчика к движущемуся самолету[28].

Авторы протокола планируют представить его практическую демонстрацию[1].

Источники[править]

  1. 1,0 1,1 1,2 1,3 1,4 1,5 1,6 1,7 1,8 1,9 D. Song and D. Chen Quantum Key Distribution Based on Random Grouping Bell State Measurement // IEEE Communications Letters. — 2020. — С. 1496--1499. — DOI:10.1109/LCOMM.2020.2988380
  2. J. Breguet and A. Muller and N. Gisin Quantum Cryptography with Polarized Photons in Optical Fibres // Journal of Modern Optics. — Taylor & Francis, 1994. — DOI:10.1080/09500349414552251
  3. Muller, A. and Herzog, T. and Huttner, B. and Tittel, W. and Zbinden, H. and Gisin, N. “Plug and play” systems for quantum cryptography // Applied Physics Letters. — AIP Publishing, 1997. — DOI:10.1063/1.118224
  4. Bennett C. H., Brassard G. Quantum Cryptography: Public Key Distribution and Coin Tossing // Proceedings of International Conference on Computers, Systems & Signal Processing. — 1984.
  5. Ekert, Artur K. Quantum cryptography based on Bell's theorem // Phys. Rev. Lett.. — American Physical Society, 1991. — С. 661-663. — DOI:10.1103/PhysRevLett.67.661
  6. 6,0 6,1 Einstein, A. and Podolsky, B. and Rosen, N. Quantum cryptography based on Bell's theorem // Phys. Rev. Lett.. — 1991. — С. 661--663.
  7. Wen-Ye Liang and Mo Li and Zhen-Qiang Yin and Wei Chen and Shuang Wang and Xue-Bi An and Guang-Can Guo and Zheng-Fu Han A simple implementation of quantum key distribution based on single-photon Bell state measurement. — 2015.
  8. Chen, D. and Zhang, P. Four-state quantum key distribution exploiting maximum mutual information measurement strategy // Quantum Inf Process. — 2016. — С. 881--891. — DOI:10.1007/s11128-015-1173-z
  9. 9,0 9,1 9,2 9,3 Gan Gao Quantum key distribution by comparing Bell states // Optics Communications. — American Physical Society (APS), 2008. — С. 876 - 879. — ISSN 0030-4018. — DOI:10.1016/j.optcom.2007.10.081
  10. M Enr'iquez and I Wintrowicz and K Zyczkowski Maximally Entangled Multipartite States: A Brief Survey // Journal of Physics: Conference Series. — 2016. — DOI:10.1088/1742-6596/698/1/012003
  11. Dür, W. and Vidal, G. and Cirac, J. I. Three qubits can be entangled in two inequivalent ways // Physical Review A. — American Physical Society (APS), 2000. — ISSN 1094-1622. — DOI:10.1103/physreva.62.062314
  12. Daniel M. Greenberger and Michael A. Horne and Anton Zeilinger Going Beyond Bell's Theorem. — 2007.
  13. Briegel, Hans J. and Raussendorf, Robert Persistent Entanglement in Arrays of Interacting Particles // Physical Review Letters. — American Physical Society (APS), 2001. — С. 910--913. — ISSN 1079-7114. — DOI:10.1103/physrevlett.86.910
  14. Kim, Yoon-Ho and Kulik, Sergei P. and Shih, Yanhua Bell-state preparation using pulsed nondegenerate two-photon entanglement // Physical Review A. — American Physical Society (APS), 2001. — С. 881--891. — ISSN 1094-1622. — DOI:10.1103/physreva.63.060301
  15. 15,0 15,1 15,2 . Hao Yuan and Jun Song and Lian-fang Han and Kui Hou and Shou-hua Shi Improving the total efficiency of quantum key distribution by comparing Bell states // Optics Communications. — 2008. — С. 4803--4806. — ISSN 0030-4018. — DOI:10.1016/j.optcom.2008.06.010
  16. Yu K., Yang C., Liao C. Authenticated semi-quantum key distribution protocol using Bell states // Quantum Inf Process. — 2014. — С. 1457--1465. — DOI:10.1007/s11128-014-0740-z
  17. Li, Chong and Song, He-Shan and Zhou, Ling and Wu, Chun-Feng A random quantum key distribution achieved by using Bell states // Journal of Optics B: Quantum and Semiclassical Optics. — IOP Publishing, 2003. — С. 155--157. — ISSN 1464-4266. — DOI:10.1088/1464-4266/5/2/306
  18. Curty, Marcos and L\"utkenhaus, Norbert Intercept-resend attacks in the Bennett-Brassard 1984 quantum-key-distribution protocol with weak coherent pulses // Phys. Rev. A. — American Physical Society, 2005. — DOI:10.1103/PhysRevA.71.062301
  19. Hiroo Azuma and Masashi Ban The intercept/resend attack and the collective attack on the quantum key distribution protocol based on the pre- and post-selection effect. — 2020.
  20. G. Mogos Intercept-Resend Attack on Quantum Key Distribution Protocols with Two, Three and Four-State Systems: Comparative Analysis. — 2015 2nd International Conference on Information Science and Security (ICISS): 2015. — С. 1--4. — DOI:10.1109/ICISSEC.2015.7371010
  21. Li J., Li N., Li L. One Step Quantum Key Distribution Based on EPR Entanglement // Sci Rep. — 2016. — DOI:10.1038/srep28767
  22. 22,0 22,1 22,2 22,3 Gisin, Nicolas and Fasel, S. and Kraus, B. and Zbinden, Hugo and Ribordy, G. Trojan-horse attacks on quantum-key-distribution systems // Physical Review. A. — 2006. — DOI:10.1103/PHYSREVA.73.022320
  23. Nitin Jain and Elena Anisimova and Imran Khan and Vadim Makarov and Christoph Marquardt and Gerd Leuchs Trojan-horse attacks threaten the security of practical quantum cryptography // New Journal of Physics. — IOP Publishing, 2014. — DOI:10.1088/1367-2630/16/12/123030
  24. Sajeed and Minshull and Jain and Makarov Invisible Trojan-horse attack // New Journal of Physics. — 2017. — DOI:10.1038/s41598-017-08279-1
  25. A. Peres Quantum Theory: Concepts and Methods. — Kluwer Academic Publishers, 1993.
  26. Hiskett, P A and Rosenberg, D and Peterson, C G and Hughes, R J and Nam, S and Lita, A E and Miller, A J and Nordholt, J E Long-distance quantum key distribution in optical fibre // New Journal of Physics. — 2006. — ISSN 1367-2630. — DOI:10.1088/1367-2630/8/9/193
  27. Schmitt-Manderbach, Tobias and Weier, Henning and F\"urst, Martin and Ursin, Rupert and Tiefenbacher, Felix and Scheidl, Thomas and Perdigues, Josep and Sodnik, Zoran and Kurtsiefer, Christian and Rarity, John G. and Zeilinger, Anton and Weinfurter, Harald Experimental Demonstration of Free-Space Decoy-State Quantum Key Distribution over 144 km // Phys. Rev. Lett.. — American Physical Society, 2007. — DOI:10.1103/PhysRevLett.98.010504
  28. Pugh, Christopher J and Kaiser, Sarah and Bourgoin, Jean-Philippe and Jin, Jeongwan and Sultana, Nigar and Agne, Sascha and Anisimova, Elena and Makarov, Vadim and Choi, Eric and Higgins, Brendon L and et al. Airborne demonstration of a quantum key distribution receiver payload // Quantum Science and Technology. — IOP Publishing, 2017. — ISSN 2058-9565. — DOI:10.1088/2058-9565/aa701f

Приложение[править]

Вывод группировок состояний Белла