Угроза будущего: станет ли квантовое шифрование доступным для каждого. Квантовая криптография стучится в дверь

ЛЕКЦИЯ 17. Квантовая криптография

17.1. Проблема распределения ключа в классической криптографии и пути ее решения.

17.2. Физические основы квантового распределения ключа: теорема о запрете копирования и неразличимость неортогональных состояний. Общая схема протокола КРК.

17.3. Основные свойства поляризованных фотонов. Некоторые сведения из теории квантовых измерений. Сопряженные базисы. Три сопряженных базиса для поляризованных фотонов.

17.4. Протокол ВВ84. Сырой и просеянный ключ. Коррекция ошибок и усиление секретности - на примере протокола BB84. Подслушивание в протоколе ВВ84. Стратегия перехватчик-ретранслятор. Стратегия “задержанного выбора”. Активный подслушиватель и схема аутентификации Вегмана-Картера. Недостатки протокола ВВ84.

17.5. Протокол ВВ92. Его преимущества и недостатки по сравнению с ВВ84.

17.6. ЭПР протокол (протокол А.Экерта) - если есть время.

На предыдущей лекции были сформулированы две проблемы современной классической криптографии: распределение ключей и аутентификация. Вторая проблема, похоже, имеет разрешение (абсолютно защищенное) лишь при личной встрече владельцев ключа. Первая проблема – распределение ключа в классической криптографии решается с помощью криптографии с открытым ключом или двухключевых (асимметричных) протоколов. Такое ее решение назовем математическим , поскольку используется некий алгоритм, основанный на односторонних функциях с секретом, когда вычисление функции в одну сторону оказывается простым, а нахождение обратной функции занимает огромное количество вычислительных ресурсов. В частности, стойкость криптографических систем RSA и Эль-Гамаля основываются на том, что факторизация больших чисел требует экпоненциального по числу знаков факторизуемого числа N операций. Это значит, что при увеличении разряда числа на один (прибавление еще одной цифры к факторизуемому числу) умножает время, необходимое для факторизации на фиксированный множитель. При увеличении числа, задача быстро становится вычислительно не решаемой. Таким образом, в настоящий момент, защищенность двухключевых криптосистем основывается на медленности технического прогресса.

В одной из следующих лекций мы будем рассматривать алгоритм факторизации чисел, предложенный П.Шором. Этот алгоритм основан на параллельном методе вычислений, который можно осуществить в квантовом компьютере. Такой алгоритм позволяет принципиально изменить скорость факторизации – теперь она определяется полиномиальными по числу N временными затратами.

Другой путь решения проблемы распределения ключа основан на физических закономерностях. Он реализуется в квантовой криптографии. Основные аргументы в таком методе криптографии восходят к двум утверждениям:

Неизвестное квантовое состояние невозможно копировать;

Без возмущения невозможно извлечь информацию о неортогональных квантовых состояниях.

Последнее утверждение можно перефразировать: в общем случае любое измерение, выполняемое подслушивателем, приведет к изменению состояния носителя информации.

Далее будут рассмотрены основные протоколы квантовой криптографии. Строго говоря, речь будет идти не о новом типе криптографии в целом, а лишь о новом методе распределения ключа. Этот метод, вообще говоря, должен быть дополнен надлежащим протоколом аутентификации – абоненты должны идентифицировать друг друга до начала общения – об этом не следует забывать, говоря о преимуществах квантовой криптографии! На сегодняшний день единственный способ решения проблемы аутентификации состоит в обмене коротким секретным ключом при встрече абонентов. Квантовая криптография дает физический способ распределения ключа большого размера , который затем можно использовать в симметричных (одноключевых) протоколах. Поэтому, будучи до конца последовательным, следует говорить о квантовой криптографии как о протоколе увеличения секретного ключа (Quantum Secret Growing protocol ) .

Итак, общая схема квантового распределения ключа следующая.

Алиса посылает квантовое состояние, реализованное, например, в виде кванта света, Бобу. Подслушивание, как физический процесс, представляет собой серию экспериментов, выполняемых злоумышленником над перехваченными квантами. Поскольку акт подслушивания изменяет квантовое состояние носителя информации, то Алиса и Боб могут это установить с помощью определенных процедур уже по открытому каналу связи. Итак, протокол квантового распределения ключа должен включать в себя:

Установление синхронизации;

По крайней мере двух пользователей – Алису и Боба;

Канал для обмена квантовыми состояниями или квантовый канал связи ;

Открытый канал связи, который используется для проверки искажения посылаемых состояний.

Если после обмена сообщениями по открытому каналу пользователи убеждаются, что квантовые состояния не возмущены, то они включают хорошо известный протокол одноразового блокнота (код Вернама) используя распределенный секретный ключ. Если обнаруживается возмущение квантовых состояний, то сеанс связи либо прерывается, либо начинается заново.

Замечание. Открытый канал рассматривается как такой канал связи, который доступен любому желающему. Единственное ограничение, которые мы пока введем на открытый канал – чтобы подслушиватель был пассивным . В случае активного подслушивателя пользователи могут осуществлять распределение ключа, но при условии, что изначально они владели некоторой секретной информацией, распределенной между ними и если подслушиватель не настолько активен, чтобы перехватывать всю посланную информацию (атака раздельных миров или с человеком посередине).

Идея, впервые высказанная Визнером, Беннетом и Брассардом состоит в том, что пассивный подслушиватель не может достоверно различить неортогональные состояния (назовем их ), если он не знает базиса, в котором те были приготовлены. Предположим, что Ева настраивает свой измеряющий прибор в неком исходном состоянии . Ее цель – отличить состояния не возмущая их. Ее действия будут описываться следующими унитарными преобразованиями над входными состояниями (см. лекцию 6);

(17.1)

(17.2)

Унитарность сохраняет скалярное произведение, поэтому

откуда следует, что

Это означает, что конечное состояние измерительного прибора Евы одно и то же. Ева не возмутила квантовых состояний, но она и не получила никакой информации о них, в силу (17.4).

Мы рассматривали и более общее измерение, когда Ева возмущает исходные состояния:

. (17.5)

Тогда в результате действий подслушивателя:

, (17.6)

. (17.7)

И опять, в силу унитарности, получаем:

(17.8)

Наилучшая ситуация с точки зрения Евы возникает, когда скалярное произведение принимает минимальное значение. Это происходит при

(поскольку ). При этом она получает максимальную возможность различить два состояния своего прибора, но два исходно неортогональные состояния становятся неразличимыми (17.9).

Квантовое кодирование информации впервые было предложено в работах Стефана Визнера, а также Чарльза Беннета и Жиля Брассарда. С.Визнер рассматривал т.н. «квантовые деньги», т.е. деньги, которые в принципе невозможно подделать. Кроме того, он предложил способ распределения двух или трех сообщений, при котором чтение одного из них уничтожало бы информацию, содержащуюся в других. Ч.Беннет и Ж.Брассард предложили реалистичный протокол распределения ключа. Также они обсуждали криптографические схемы типа протокола жеребьевки.

ПРОТОКОЛ BB 84 [ 5 ]

Этот протокол был предложен Ч.Беннетом и Ж.Брассаром в 1984 г. Для распределения ключа они рассматривали неортогональные состояния фотонов.

В оригинальной работе Ч.Беннет и Ж.Брассард рассматривали поляризационные состояния света в качестве квантовых систем, лежащих в основе протокола распределения ключа.

Основные свойства поляризованных фотонов.

Приготовить поляризованный свет можно, пропуская пучок света через какое-нибудь поляризационное устройство, например, призму Глана-Томсона. Ослабляя затем этот свет, можно в принципе, с некоторой вероятностью получить состояния типа смеси вакуумного и однофотонного фоковского:

(17.10)

где , а m и n представляют числа фотонов в двух ортогональных поляризационных модах. Хотя поляризация является непрерывно меняющейся величиной, принцип неопределенности запрещает извлечение более одного бита информации при измерении единичного фотона. Так, если свет, поляризованный вдоль оси a, направляется на поляризационный фильтр, ориентированный вдоль оси b, то отдельные фотоны проявляют дихотомность свойств и ведут себя вероятностным образом, поскольку могут быть либо пропущены с вероятностью , либо поглощены с сопряженной вероятностью . Детерминированность свойств отдельных фотонов, согласно такой интерпретации, возникает, лишь когда две оси параллельны (достоверное пропускание), либо скрещены (достоверное поглощение). Если же оси не перпендикулярны, так что некоторые фотоны пропускаются, то казалось бы, что можно извлечь дополнительную информацию об угле a, поместив поляроид в прошедший пучок под неким третьим углом. Однако это не так, поскольку прошедшие сквозь первый поляроид фотоны имеют определенную поляризацию b, т.е. они полностью утратили информацию о начальной поляризации a. Другой путь извлечения более одного бита информации из отдельного фотона состоит в приготовлении копий такого состояния и последующего их измерения. Однако такой путь запрещен no-cloning теоремой.

Напоминание из теории измерения (см.Лекцию 8)

Формально квантовая механика описывает внутреннее состояние системы с помощью вектора состояния y, имеющего единичную длину в линейном пространстве Н , определенном на поле комплексных чисел (гильбертово пространство). В этом пространстве определено скалярное произведение векторов:

, (17.11)

где символ «*» означает комплексное сопряжение. Каждое физическое измерение М , которое может быть выполнено над системой, соответствует разложению гильбертова пространства на ортогональные подпространства, причем на каждое подпространство приходится по одному результату измерений. Таким образом, число возможных исходов измерений ограничено размерностью d гильбертова пространства. Соответственно при наиболее полных измерениях гильбертово пространство раскладывается на d одномерных подпространств.

Пусть M k является проекционным оператором в k -ое подпространство измерения М . Тогда тождественный оператор I есть просто сумма проекционных операторов:

Из определения вектора состояния известно, что если система, находящаяся в состоянии y, подвергается измерению М , ее поведение становится вероятностным: исход к-ого измерения описывается вероятностью , которая на векторном языке означает квадрат длины проекции вектора состояния в подпространство M k . После измерения система переходит в новое состояние (постулат фон Неймана) , которое является просто единичным вектором в направлении проекции старого вектора состояния в подпространство M k . Согласно этому постулату, измерение оставляет вектор состояния неизменным, (т.е. результат измерения является предопределенным, детерминированным) лишь, когда начальный вектор состояния лежал целиком в одном из ортогональных подпространств, характеризующих измерение.

Гильбертово пространство отдельного поляризованного фотона является двухмерным пространством (d = 2). Следовательно, поляризационное состояние фотона полностью может быть описано с помощью линейной комбинации, скажем, двух единичных векторов и . Например, линейно поляризованный фотон под углом a к горизонтальному направлению, описывается вектором . Измеряя такой фотон в вертикально-горизонтальном (лабораторном базисе) получим горизонтально поляризованный фотон с вероятностью и вертикально поляризованный фотон с вероятностью . В этом смысле два вектора и представляют собой разложение двухмерного гильбертова пространства в два ортогональных одномерных пространства. Эти два вектора будем назвать линейным прямоугольным базисом .

Альтернативным базисом того же гильбертова пространства является т.н. диагональный базис, образованный векторами и .

Определение. Вообще, два (рассмотренных) базиса называются сопряженными ( conjugated , mutually unbiased ) , если каждый вектор одного базиса имеет проекции одинаковой длины на все вектора другого базиса. Это означает, что система, приготовленная в некоем состоянии, представленном векторами одного базиса, будет вести себя совершенно случайным образом (потеряет всю запасенную информацию) будучи измеренной в сопряженном базисе. Математически это требование записывается как

Вообще же, в знаменателе выражения (*) должна стоять размерность гильбертова пространства.

Говоря о двухмерном гильбертовом пространстве, необходимо отметить, что существует третий базис, сопряженный линейному и диагональному – т.н. циркулярный базис, образованный право- и лево-циркулярно поляризациями:

, . Однако для описание протокола распределения ключа нам потребуются лишь первые два базиса.

Описание протокола распределение ключа.

В традиционных протоколах с открытым ключом используются односторонние функции с секретом (повторное дискретное возведение в степень) без предварительного распределения секретной информации между пользователями. В квантовом протоколе квантовый канал используется для передачи некоторого массива случайных битов квантовых информации (кубитов), открытый канал – для обсуждения, см. табл.1.

Вводится синхронизация между действиями Алисы и Боба, т.е. каждый из них знает наверняка, в какой момент времени посылается состояние;

Алиса выбирает случайный массив битов (чередование 0 или 1 в моменты, оговоренные синхронизационным протоколом);

Алиса выбирает случайную последовательность (поляризационных) базисов – чередование либо линейного, либо диагонального (L, D);

Алиса посылает Бобу последовательность фотонов, кодируя поляризацию каждого фотона, исходя из массива битов и поляризационного базиса: каждый фотон имеет определенную поляризацию и описывается одним из четырех базисных векторов . Будем полагать, что значение бита «0» отвечает за состояния , а «1» – за состояния ;

Боб принимает (измеряет) посланные Алисой фотоны в одном из двух базисов. Причем выбор базиса – случаен. Боб интерпретирует результаты своих измерений в бинарном представлении, т.е. пользуясь тем же правилом, что и Алиса: «0» и «1» . Заметим, что как следует из теории измерений, Боб полностью теряет информацию о состоянии фотона, поляризованного в лабораторном базисе (H-V ), измеряя его в диагональном базисе (+45-45) и наоборот. Следовательно, Боб получает достоверную информацию о состоянии фотонов только в половине всех случаев – когда выбранный им базис совпал с базисом Алисы, т.е. когда измерение дает детерминированный результат. Если подслушивания не было, то в оставшейся половине случаев Алиса и Боб имеют некоррелировынные результаты. Следовательно, в среднем, Боб получает массив битов с 25%-ым содержанием ошибок. Этот массив называется сырым ключом . Кроме того, будем учитывать тот факт, что часть фотонов теряется при передаче. Практически, уровень технических ошибок в квантовых протоколах на сегодняшний день составляет несколько процентов (в отличие от уровня , достижимого в современных оптотелекоммуникационных линиях связи). Этот уровень называется Quantum Bit Error Rate (QBER).

Происходит обсуждение результатов измерений по открытому каналу связи, причем и Алиса и Боб предполагают, что их могут подслушать, но не перехватить или изменить результаты. Сперва, они определяют, какие из фотонов были зарегистрированы Бобом. Затем, определяют, в каких случаях Боб угадал базис. Боб сообщает базис, в котором производилось измерение, но не сообщает сам результат. При этом теряется 50% информации – когда Боб неверно угадал базис. Если сообщение не подслушивалось, то Алиса и Боб делают вывод, что биты, закодированные этими фотонами, переданы правильно . Заметим, что по открытому каналу информация о случайной последовательности битов, посылаемых Алисой, не передается – вывод делается только на основе теории квантовых измерений! Каждый из переданных таким образом фотонов в правильном базисе несет один бит информации, а именно был ли он поляризован вертикально или горизонтально в лабораторном базисе или под углами плюс-минус 45 град. - в диагональном базисе. В итоге у Боба остается более короткий массив битов, который называется просеянным ключом .

Затем, Алиса и Боб проверяют, были ли попытки подслушивания во время распределения ключа. Для этого они сравнивают некоторые биты, которые, как они считают, были распределены правильно, по открытому каналу связи. Позиции битов по шкале синхронизационного протокола, должны выбираться случайно, скажем, сравнивая каждый третий бит. В этом случае обнаружение подслушивания имеет высокую вероятность и состоит в том, что Алиса и Боб имеют разные биты. Если сравнение не обнаруживает разницы, то Алиса и Боб делают вывод, что распределение ключа произошло с высокой степенью надежности (все же имеется вероятность не обнаружить подслушивания, но при этом, у подслушивателя окажется мало информации).

Последний шаг протокола квантовой криптографии состоит в том, чтобы используя классические алгоритмы, исправить ошибки и уменьшить информацию, доступную Еве. Последняя процедура называется усилением секретности (privacy amplification). Простейшая процедура коррекции ошибок состоит в следующем. Алиса случайно выбирает пары битов и производит над ними операцию XOR. Боб выполняет такую же операцию над соответствующими своими битами. Если результат совпадает, они сохраняют первый из двух битов и уничтожают второй – поскольку сама процедура происходит по открытому каналу и результат доступен Еве. Если результаты отличаются – оба бита выкидываются (на практике используется более сложный алгоритм). После этой процедуры Алиса и Боб имеют одинаковые копии ключа, но у Евы все же может остаться некоторая информация о нем. Возникает необходимость в ее уменьшении – вступает в силу протоколы усиления секретности . Эти классические протоколы работают следующим образом. Алиса опять выбирает случайно пары битов и вычисляет их сумму по модулю 2 (XOR). Но в отличие от процедуры коррекции ошибок, она не сообщает это значение. Она лишь оглашает какие биты были выбраны, например, 103 и 539. Затем Алиса и Боб заменяют два бита на результат операции XOR. Таким образом Алиса и Боб укорачивают их ключи. Если Еве доступна лишь часть информации о двух битах, то ее информация о результате выполнения операции XOR будет еще меньше. Рассмотрим, например, случай, когда Еве известен только первый бит и ничего не известно про второй. Тогда она вообще ничего не знает про результат операции XOR. Если же Ева знает значения каждого из битов с вероятностью, скажем, 60%, то вероятность того, что она угадает значение операции XOR будет только (сумма вероятностей того, что оба бита угатаны неправильно и правильно, соответственно). Такую процедуру можно повторить несколько раз. Подчеркнем, что на этих этапах (выполнения протоколов коррекции ошибок и усиления секретности) работают исключительно классические протоколы, использующие открытые каналы связи. Итак, если вероятность ошибок не превосходит некоторой критической величины (в нерелятивистских схемах предел, по-видимому, составляет < 11% что определяется потерями в оптическом волокне), то далее возможна коррекция ошибок в нераскрытой части при помощи классических кодов и дальнейшее сжатие ключа (privacy amplification) для получение результирующего секретного ключа.

Включается абсолютно стойкий протокол одноразового блокнота через открытый канал связи.

Весь протокол повторяется каждый раз при необходимости посылки очередного сообщения.

Заметим, что на практике для передачи квантовых битов и обмена классическими сообщениями можно использовать один и тот же канал связи.

Замечание. Потери оптического волокна в окнах телеком составляют примерно: 1.55 мкм 0.2 дБ/км (0.2=10lgI 2 /I 1 , I 2 /I 1 =1.047); 1.31 мкм 0.35 дБ/км;

0.8 мкм 2 дБ/км.

Подслушивание в протоколе BB 84

Из-за того, что по квантовому каналу передается случайная смесь двух базисов, любая попытка подслушивания приводит к риску изменения поляризационного состояния фотона. Это приведет к различию в значениях битов Алисы и Боба, если измерения проводились в совпадающих базисах. Например, в некотором смысле, оптимальная стратегия подслушивания состоит в том, что Ева перехватывает все фотоны в квантовом канале, производит свои измерения только в одном из двух базисов (или вообще, только в одном) и ретранслирует исходы (т.н. стратегия перехватчик-ретранслятор ). Затем она пересылает Бобу (ретранслирует) другой кубит в состоянии, соответствующем результату ее измерения. Это не противоречит теореме о запрете копирования. В половине всех случаев Ева правильно угадает базис и, следовательно, Алиса-Боб не распознают ее присутствие. Однако, в другой половине случаев Ева неверно угадывает базис, поэтому она перешлет Бобу правильный кубит лишь в с вероятностью 50% (mutially unbiased bases). Этот кубит будет обнаружен Алисой-Бобом, в половине от этого числа случаев, т.к. они получат некоррелированные результаты (выявляется в протоколе коррекции ошибок). В итоге при использовании этой стратегии, Ева получает 50% информации - в случае угадывания базиса - в то время как Алиса-Боб получают 25% ошибочных битов в просеянном ключе, т.е. после выкидывания исходов в неправильных базисах. Этот случай подслушивания легко регистрируется. В другом варианте этой стратегии подслушивания Ева применяет ее только к каждому десятому биту. В этом случае она получает доступ к 5 процентам информации, в то время как Алиса и Боб обнаруживают 2.5%. Заметим, что рассмотренный случай активного подслушивателя в квантовом канале не взламывает протокола.

Вообще, анализируя ситуацию на этапе, когда Алиса и Боб имеют просеянный ключ и учитывая возможное присутствие Евы, можно сказать, что существует некоторая корреляция между классической информацией, доступной легитимным пользователям (Алисе и Бобу) и подслушивателем – Евой. Такая ситуация типична для классических криптографических протоколов. Чтобы анализировать ее количественно, вводится функция распределения , где все участники протокола – Алиса Боб и Ева описываются случайными параметрами , соответственно. Предположим, что такое совместное распределение вероятностей (классическое) существует. При этом Алиса и Боб обладают лишь маргинальным распределением . Задача состоит в том, чтобы ограничить доступную Еве информацию. Для данного распределения пока неизвестен критерий, дающий секретный ключ, распределенный между Алисой и Бобом или - условная энтропия. Однако существует некая граничная мера даваемая разностью между взаимной шенноновской информацией Алисы и Боба и взаимной информацией Евы :

Эта оценка показывает, что установление секретного ключа возможно, если Боб обладает большей информацией, чем Ева !

В приведенной только что аргументации есть слабое звено – мы предполагали, что Ева выполняет атаку до того, как Алиса и Боб включили процедуру коррекции ошибок. Формально это означает, что совместное распределение существует. Однако Ева может дождаться окончания протокола коррекции ошибок и только затем провести атаку. Такой вид атак называется «стратегией задержанного выбора »

Для нейтрализации активного подслушивателя в открытом канале можно воспользоваться схемой аутентификации Вегмана-Картера. В этой схеме Алиса и Боб должны изначально иметь небольшой секретный ключ, установленный, например, при личной встрече. С помощью такого ключа устанавливается нечто вроде «контрольной суммы» или метки, зависящей от каждого бита сообщения. Подслушиватель, который не знает ключа, имеет низкую вероятность сгенерировать правильную метку. Таким образом, метка устанавливает легитимность сообщения, а ее изменение указывает на попытку подслушивания.

Рассмотренный протокол ВВ84 является типичным и иллюстрирует основные принципы квантового распределения ключа. На его примере мы также рассмотрели некоторые протоколы коррекции ошибок, усиления секретности и стратегии подслушивателя. Рассмотрим некоторые другие протоколы квантовой криптографии.

Замечание. К очевидным недостаткам квантового распределения ключа следует отнести чисто практическую сложность их реализации. Квантовые состояния очень хрупки и подвержены сильному влиянию окружения, кроме того, они не могут быть усилены (простыми способами). Говоря о криптографических приложениях, пока не ясно как осуществить цифровую подпись или ability to settle disputes before judge.

ПРОТОКОЛ В92 [ 7 ]

Рассуждения, приведенные выше, основывались на том факте, что любое измерение неортогональных состояний, которое не возмущает их, в то же время не дает о них никакой информации (т.е. информации, позволяющей различить их). В 1992 году Ч.Беннет и Ж.Брассард предложили протокол распределения ключа, основанный на передаче только двух неортогональных состояний квантовой системы вместо четырех.

Рассмотрим два неортогональных состояния и , таких, что . Пусть и - два проектора в подпространства ортогональные состояниям и , соответственно. Заметим, что эти два оператора не коммутируют и что их индексы переставлены по отношению к соответствующим состояниям. Нетрудно убедиться, что оператор Р 0 уничтожает состояние :

но дает ненулевой результат при действии на :

В последнем соотношении фигурирует величина - вероятность ненулевого исхода. Аналогичные соотношения справедливы и для оператораР 1 .

Распределение ключей происходит следующим образом.

1. Устанавливается синхронизация моментов посылки состояний.

2. Алиса приготавливает и посылает Бобу случайную бинарную последовательность квантовых состояний и , где, например, , а .

3. Боб, независимо от Алисы, случайным образом решает, какой из двух операторов Р 0 или Р 1 применить к полученной последовательности состояний.

4. Затем Боб по открытому каналу сообщает Алисе номера синхронизационной шкалы, для которых он получил положительный результат. При этом он не сообщает, какой из двух операторов он использовал. Остальные события игнорируются

5. Если подслушивания не было, то оставленные события, составляющие приблизительно, -ую часть от общего числа испытаний, должны быть коррелированы. Заметим, что для поляризационного кодирования состояний “0 о ”и “45 о ”эта величина равна 1/2. Таким образом, если Алиса посылала , а Боб измерял Р 0 , если Алиса посылала , то Боб измерял Р 1 .

6. Перед тем, как Алиса и Боб установят секретный ключ, они должны провести процедуру коррекции ошибок и усиления секретности, действуя, например, так же как и в протоколе ВВ84. Жертвуя некоторыми битами, они убеждаются в идентичности некоторого их числа. Протокол иллюстрируется в таблице 2.

Итак, наше базовое предположение о невозможности извлечения однозначной информации об неортогональных состояниях без их возмущения, позволило ввести более простой, по сравнению с ВВ84, протокол. Однако, на практике, реализация такого протокола не нашла широкого применения. Дело в том, что все-таки существуют способы различимости двух неортогональных состояний, ценой некоторых потерь. Идея и соответствующие демонстрационные эксперименты основаны на том, что измерение, выполняемое в базисе, ортогональном, например, состоянию , однозначно выделяет такое состояние, в том смысле, что только состояние не пройдет через поляроид, ориентированный горизонтально. Другое же состояние пройдет через горизонтальный поляроид с 50%-ми потерями.

ЭПР-ПРОТОКОЛ [ 6 ]

В 1991 году А.Экерт предложил протокол основанный на перепутанных состояниях. Впоследствии оказалось, что этот протокол является разновидностью ВВ84, однако в обзорах по квантовым способам распределения ключа, как правило, он фигурирует отдельно. Примечательно также, что казалось бы, абсолютно умозрительные рассуждения, приведшие Эйнштейна, Подольского и Розена к их известному парадоксу, а также идеи, высказанные Дж.Беллом, все-таки нашли свое практическое воплощение. Сам А.Экерт, формулируя суть протокола, отмечал, что здесь «распределение ключа зависит от полноты квантовой механики». Под полнотой понимается тот факт, что квантовое описание обеспечивает максимально возможную информацию о рассматриваемой системе. Экспериментальная реализация рассматриваемого протокола, во всяком случае в принципиальном смысле, мало отличается от установок по наблюдению нарушения неравенств Белла. Можно сказать, что при распределении ключа вводится квантовый канал, где сам ключ существует без какого-либо «элемента реальности», связанного с этим ключом. В этом смысле он защищен полнотой квантовой механики.

Канал состоит из источника перепутанных фотонов, находящихся в синглетном состоянии. Частицы разлетаются вдоль оси z в направлениях к легитимным пользователям – Алисе и Бобу. Каждый из них получает по одной частице или половинке перепутанной пары. Затем Алиса и Боб выполняют измерение над свой частицей, ориентируя поляризационные призмы вдоль трех направлений: для Алисы – а i , для Боба – b j (i , j = 1, 2, 3 ). Конкретно, измеряя углы от вертикальной оси:

(17.16)

(17.17)

Алиса и Боб выбирают ориентацию призм случайно и независимо друг от друга для каждой пары перепутанных частиц. Каждое измерение дает результат либо +1, либо –1, т.е. срабатывает один из двух детекторов, установленных в выходных модах поляризационной призмы Алисы и Боба. Параметризованный таким образом сигнал представляет один (для одной частицы) бит информации.

где аргументы в корреляционных функциях Р означают выбранное направление. Например, означает вероятность того, что при данных установках поляризационных призм a i , b j Алиса получила результат «-1», а Боб «+1». Можно показать, что величина Е принимает значения

Для двух пар одинаковых ориентаций анализаторов (поляризационных призм)

квантово-механические предсказания дают полную антикорреляцию результатов, полученных Алисой и Бобом:

Следуя Клаузеру, Хорну, Шимони и Хольту можно ввести наблюдаемую величину - наблюдаемую Белла, составленную из корреляционных коэффициентов (17.18):

которая равна

После того, как перепутанные частицы поступили к Алисе и Бобу, те могут объявить по открытому каналу связи ориентации анализаторов, которые были выбраны случайным образом при каждом измерении. Затем, результаты измерений разделяются на две группы. К первой группе относятся результаты, полученные при разных ориентациях анализаторов, т.е., приводящие к (21). Ко второй – при одинаковых. Не учитываются те результаты, когда частица Алисы или Боба по каким-то причинам не была зарегистрирована вообще. Затем Алиса и Боб сообщают результат, который они получили только для первой группы измерений. Это позволяет им установить то значение S , которое для невозмущенных состояний частиц должно оказаться равным (21). В свою очередь последнее утверждение дает основание легитимным пользователям считать, что результаты, относящиеся ко второй группе измерений, антикоррелированы и могут быть преобразованы в секретный набор битов – сырой ключ .

Подслушиватель не может воспользоваться информацией, перехватывая перепутанные частицы, поскольку самой информации там нет. Считается, что она появляется в результате измерений, выполняемых Алисой. По Экерту измерение Алисы приготавливает состояние частицы Боба, хотя более последовательно было бы утверждать, что эта информация закодирована в корреляционных функциях Р и величине Е .

Литература

W. Diffie and M.E. Hellman, IEEE Trans. Inf. Theory IT-22, 644 (1977).

R. Rivest, A. Shamir, and L. Adleman, "On Digital Signatures and Public-Key Cryptosystems" , MIT Laboratory for Computer Science, Technical Report, MIT/LCS/TR-212 (January 1979).

P.W. Shor, Proceedings of the 35th Annual Symposium on the Foundations of Computer Science (IEEE Computer Society, Los Alamos, CA, 1994) p. 124.

C.H. Bennett, G. Brassard, and A.K. Ekert, "Quantum cryptography" , Scientific American, October 1992, p. 50.

S. Wiesner, SIGACT News 15 , 78 (1983); original manuscript written circa 1970. C.H. Bennett and G. Brassard, in "Proc. IEEE Int. Conference on Computers, Systems and Signal Processing", IEEE, New York (1984). C.H. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, "Experimental quantum cryptography," J. Cryptology 5 , 3 (1992).

A.K. Ekert, Phys. Rev. Lett. 67 , 661 (1991); A.K. Ekert, J.G. Rarity, P.R. Tapster, and G.M. Palma, Phys. Rev. Lett. 69 , 1293 (1992).

C.H. Bennett, Phys. Rev. Lett. 68 , 3121 (1992).

A. Muller, J. Breguet, and N. Gisin, Europhys. Lett. 23 , 383 (1993).

P.R. Tapster, J.G. Rarity and P.C.M. Owens, Phys. Rev. Lett. 73 , 1923 (1994).

P D. Townsend, J.G. Rarity, and P.R. Tapster, Electron. Lett. 29 , 1291 (1993).

D.Mayers, A.Yao, Unconditional Security in Quantum Cryptography, quant-ph/9802025.

E.Biham, M.Boyer, P.O.Boykin, T.Mor, V.Roychowdhury, A Proof of the Security of Quantum Key Distribution, quant-ph/9912053.

P.W.Shor, J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, quant-ph/0003004.

Эти наборы значений углов не являются единственными.

Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики . В отличие от традиционной криптографии , которая использует математические методы, чтобы обеспечить секретность информации , квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики . Процесс отправки и приёма информации всегда выполняется физическими средствами, например, при помощи электронов в электрическом токе, или фотонов в линиях волоконно-оптической связи . Подслушивание может рассматриваться как изменение определённых параметров физических объектов - в данном случае, переносчиков информации.

Технология квантовой криптографии опирается на принципиальную неопределённость поведения квантовой системы, выраженную в принципе неопределённости Гейзенберга - невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой.

Используя квантовые явления можно спроектировать и создать такую систему связи, которая всегда может обнаруживать подслушивание. Это обеспечивается тем, что попытка измерения взаимосвязанных параметров в квантовой системе вносит в неё нарушения, разрушая исходные сигналы, а значит, по уровню шума в канале легитимные пользователи могут распознать степень активности перехватчика.

Энциклопедичный YouTube

1 / 5

✪ Что такое квантовая криптография и криптовалюта? Нестандартная модель.

✪ Квантовая криптография - Сергей Кулик

✪ Квантовая криптография

✪ А.С. Трушечкин. Математика квантовой механики

✪ Квантовые технологии №7: криптография и связь

Субтитры

История возникновения

Впервые идея защиты информации с помощью квантовых объектов была предложена Стивеном Визнером в 1970 году. Спустя десятилетие Чарльз Беннет (IBM) и Жиль Брассар (Монреальский университет), знакомые с работой Визнера, предложили передавать секретный ключ с использованием квантовых объектов. В 1984 году они предположили возможность создания фундаментально защищённого канала с помощью квантовых состояний. После этого ими была предложена схема (BB84), в которой легальные пользователи (Алиса и Боб) обмениваются сообщениями, представленными в виде поляризованных фотонов, по квантовому каналу.

Описанный алгоритм носит название протокола квантового распределения ключа BB84 . В нём информация кодируется в ортогональные квантовые состояния. Помимо использования ортогональных состояний для кодирования информации, можно использовать и неортогональные состояния (например, протокол B92).

Алгоритм Беннета

В 1991 году Чарльзом Беннетом был предложен следующий алгоритм для выявления искажений в переданных по квантовому каналу данных:

• Отправитель и получатель заранее оговаривают произвольность расположения битов в строках, что определяет произвольный характер положения ошибок.
• Все строки разбиваются на блоки длины k. Где k выбирается так, чтобы минимизировать вероятность ошибки.
• Отправитель и получатель определят четность каждого блока, и сообщают её друг другу по открытому каналу связи. После этого в каждом блоке удаляют последний бит.
• Если четность двух каких-либо блоков оказалось различной, отправитель и получатель производят итерационный поиск неверных битов и исправляют их.
• Затем весь алгоритм выполняется заново для другого (большего) значения k. Это делается для того, чтобы исключить ранее незамеченные кратные ошибки.
• Чтобы определить все ли ошибки были обнаружены, проводится псевдослучайная проверка. Отправитель и получатель открыто сообщают о произвольной перестановке половины бит в строках, а затем вновь открыто сравнивают четности (Если строки различны, четности обязаны не совпадать с вероятностью 0,5). Если четности отличаются, отправитель и получатель производят двоичный поиск и удаляют неверные биты.
• Если различий не наблюдается, после n итераций отправитель и получатель будут иметь одинаковые строки с вероятностью ошибки 2 -n .

Физическая реализация системы

Рассмотрим схему физической реализации квантовой криптографии . Слева находится отправитель, справа - получатель. Для того, чтобы передатчик имел возможность импульсно варьировать поляризацию квантового потока, а приёмник мог анализировать импульсы поляризации, используются ячейки Поккельса . Передатчиком формируется одно из четырёх возможных состояний поляризации. На ячейки данные поступают в виде управляющих сигналов. Для организации канала связи обычно используется волокно, а в качестве источника света берут лазер.

На стороне получателя после ячейки Поккельса расположена кальцитовая призма, которая должна расщеплять пучок на две составляющие, улавливаемые двумя фотодетекторами (ФЭУ), а те, в свою очередь, измеряют ортогональные составляющие поляризации. Вначале необходимо решить проблему интенсивности передаваемых импульсов квантов, возникающую при их формировании. Если в импульсе содержится 1000 квантов, существует вероятность того, что 100 из них будут отведены криптоаналитиком на свой приёмник. После чего, проводя анализ открытых переговоров, он сможет получить все необходимые ему данные. Из этого следует, что идеален вариант, когда в импульсе количество квантов стремится к одному. Тогда любая попытка перехватить часть квантов неизбежно изменит состояние всей системы и соответственно спровоцирует увеличение числа ошибок у получателя. В этой ситуации следует не рассматривать принятые данные, а заново повторить передачу. Однако, при попытках сделать канал более надёжным, чувствительность приёмника повышается до максимума, и перед специалистами встаёт проблема «темнового» шума. Это означает, что получатель принимает сигнал, который не был отправлен адресантом. Чтобы передача данных была надёжной, логические нули и единицы, из которых состоит двоичное представление передаваемого сообщения, представляются в виде не одного, а последовательности состояний, что позволяет исправлять одинарные и даже кратные ошибки.

Для дальнейшего увеличения отказоустойчивости квантовой криптосистемы используется эффект Эйнштейна - Подольского - Розена , возникающий в том случае, если сферическим атомом были излучены в противоположных направлениях два фотона. Начальная поляризация фотонов не определена, но в силу симметрии их поляризации всегда противоположны. Это определяет тот факт, что поляризацию фотонов можно узнать только после измерения. Криптосхема на основе эффекта Эйнштейна - Подольского - Розена, гарантирующая безопасность пересылки, была предложена Экертом. Отправителем генерируется несколько фотонных пар, после чего один фотон из каждой пары он откладывает себе, а второй пересылает адресату. Тогда если эффективность регистрации около единицы и на руках у отправителя фотон с поляризацией «1», то у получателя будет фотон с поляризацией «0» и наоборот. То есть легальные пользователи всегда имеют возможность получить одинаковые псевдослучайный последовательности. Но на практике оказывается, что эффективность регистрации и измерения поляризации фотона очень мала.

Практические реализации системы

В 1989 году Беннет и Брассар в Исследовательском центре IBM построили первую работающую квантово-криптографическую систему. Она состояла из квантового канала, содержащего передатчик Алисы на одном конце и приёмник Боба на другом, размещённые на оптической скамье длиной около метра в светонепроницаемом полутораметровом кожухе размером 0,5 × 0,5 м. Собственно квантовый канал представлял собой свободный воздушный канал длиной около 32 см. Макет управлялся от персонального компьютера , который содержал программное представление пользователей Алисы и Боба, а также злоумышленника. В том же году передача сообщения посредством потока фотонов через воздушную среду на расстояние 32 см с компьютера на компьютер завершилась успешно. Основная проблема при увеличении расстояния между приёмником и передатчиком - сохранение поляризации фотонов. На этом основана достоверность способа.

Созданная при участии Женевского университета компания GAP-Optique под руководством Николаса Гисина совмещает теоретические исследования с практической деятельностью. Первым результатом этих исследований стала реализация квантового канала связи с помощью оптоволоконного кабеля длинной 23 км, проложенного по дну озера и соединяющего Женеву и Нион. Тогда был сгенерирован секретный ключ, уровень ошибок которого не превышал 1,4 %. Но все-таки огромным недостатком этой схемы была чрезвычайно малая скорость передачи информации. Позже специалистам этой фирмы удалось передать ключ на расстояние 67 км из Женевы в Лозанну с помощью почти промышленного образца аппаратуры. Но и этот рекорд был побит корпорацией Mitsubishi Electric, передавшей квантовый ключ на расстояние 87 км, правда, на скорости в один байт в секунду.

Активные исследования в области квантовой криптографии ведут IBM, GAP-Optique, Mitsubishi , Toshiba , Национальная лаборатория в Лос-Аламосе , молодая компания MagiQ и холдинг QinetiQ , поддерживаемый британским министерством обороны. В частности, в национальной лаборатории Лос-Аламоса была разработана и начала широко эксплуатироваться опытная линия связи, длиной около 48 километров. Где на основе принципов квантовой криптографии происходит распределение ключей, и скорость распределения может достигать несколько десятков кбит/с.

В 2001 году Эндрю Шилдс и его коллеги из TREL и Кембриджского университета создали диод, способный испускать единичные фотоны. В основе нового светодиода лежит «квантовая точка » - миниатюрный кусочек полупроводникового материала диаметром 15 нм и толщиной 5 нм, который может при подаче на него тока захватывать лишь по одной паре электронов и дырок. Это дало возможность передавать поляризованные фотоны на большее расстояние. В ходе экспериментальной демонстрации удалось передать зашифрованные данные со скоростью 75 Кбит/с - при том, что более половины фотонов терялось.

В Оксфордском университете ставятся задачи повышения скорости передачи данных. Создаются квантово-криптографические схемы, в которых используются квантовые усилители. Их применение способствует преодолению ограничения скорости в квантовом канале и, как следствие, расширению области практического применения подобных систем.

Квантовый криптоанализ

Широкое распространение и развитие квантовой криптографии не могло не спровоцировать появление квантового криптоанализа, который в ряде случаев обладает, согласно теории, преимуществами перед обычным. Рассмотрим, например, всемирно известный и распространенный в наши дни алгоритм шифрования RSA (1977). В основе этого шифра лежит идея того, что на простых компьютерах невозможно решить задачу разложения очень большого числа на простые множители, ведь данная операция потребует астрономического времени и экспоненциально большого числа действий. Другие теоретико-числовые методы криптографии могут быть основаны на проблеме дискретного логарифмирования . Для решения этих двух проблем был разработан квантовый алгоритм Шора (1994), позволяющий найти за конечное и приемлемое время все простые множители больших чисел или решить задачу логарифмирования, и, как следствие, взломать шифры RSA и ECC . Поэтому создание достаточно крупной квантовой криптоаналитической системы является плохой новостью для RSA и некоторых других асимметричных систем. Необходимо только создание квантового компьютера, способного исполнить необходимый алгоритм.

По состоянию на 2012 год наиболее продвинутые квантовые компьютеры смогли разложить на множители числа 15 (в 150 тыс. попыток верный ответ был получен в половине случаев, в соответствии с алгоритмом Шора ) и 21.

Уязвимость реализаций квантовой системы

В 2010 году учёные успешно опробовали один из возможных способов атаки, показав принципиальную уязвимость двух реализаций криптографических систем, разработанных компаниями ID Quantique и MagiQ Technologies . И уже в 2011 году работоспособность метода была проверена в реальных условиях эксплуатации, на развёрнутой в Национальном университете Сингапура системе распространения ключей, которая связывает разные здания отрезком оптоволокна длиной в 290 м.

В эксперименте использовалась физическая уязвимость четырёх однофотонных детекторов (лавинных фотодиодов), установленных на стороне получателя (Боба). При нормальной работе фотодиода приход фотона вызывает образование электронно-дырочной пары, после чего возникает лавина, а результирующий выброс тока регистрируется компаратором и формирователем импульсов. Лавинный ток «подпитывается» зарядом, хранимым небольшой ёмкостью (≈ 1,2 пФ), и схеме, обнаружившей одиночный фотон, требуется некоторое время на восстановление (~ 1 мкс).

Если на фотодиод подавать такой поток излучения, когда полная перезарядка в коротких промежутках между отдельными фотонами будет невозможна, амплитуда импульса от одиночных квантов света может оказаться ниже порога срабатывания компаратора.

В условиях постоянной засветки лавинные фотодиоды переходят в «классический» режим работы и выдают фототок, пропорциональный мощности падающего излучения. Поступление на такой фотодиод светового импульса с достаточно большой мощностью, превышающей некое пороговое значение, вызовет выброс тока, имитирующий сигнал от одиночного фотона. Это и позволяет криптоаналитику (Еве) манипулировать результатами измерений, выполненных Бобом : она «ослепляет» все его детекторы с помощью лазерного диода, который работает в непрерывном режиме и испускает свет с круговой поляризацией, и по мере надобности добавляет к этому линейно поляризованные импульсы. При использовании четырёх разных лазерных диодов, отвечающих за все возможные типы поляризации (вертикальную, горизонтальную, ±45˚), Ева может искусственно генерировать сигнал в любом выбранном ею детекторе Боба .

Опыты показали, что схема взлома работает очень надёжно и даёт Еве прекрасную возможность получить точную копию ключа, переданного Бобу . Частота появления ошибок, обусловленных неидеальными параметрами оборудования, оставалась на уровне, который считается «безопасным».

Однако, устранить такую уязвимость системы распространения ключей довольно легко. Можно, к примеру, установить перед детекторами Боба источник одиночных фотонов и, включая его в случайные моменты времени, проверять, реагируют ли лавинные фотодиоды на отдельные кванты света.

Plug & Play

Практически все квантово-оптические криптографические системы сложны в управлении и с каждой стороны канала связи требуют постоянной подстройки. На выходе канала возникают беспорядочные колебания поляризации ввиду воздействия внешней среды и двойного лучепреломления в оптоволокне. Но недавно [когда? ] была сконструирована [кем? ] такая реализация системы, которую можно назвать Plug and Play («подключай и работай»). Для такой системы не нужна подстройка, а только синхронизация. Система построена на использовании зеркала Фарадея, которое позволяет избежать двойного лучепреломления и, как следствие, не требует регулировки поляризации. Это позволяет пересылать криптографические ключи по обычным телекоммуникационным системам связи. Для создания канала достаточно лишь подключить приёмный и передающий модули и провести синхронизацию.

Перспективы развития

Сейчас одним из самых важных достижений в области квантовой криптографии является то, что ученые смогли показать возможность передачи данных по квантовому каналу со скоростью до единиц Мбит/с. Это стало возможно благодаря технологии разделения каналов связи по длинам волн и их единовременного использования в общей среде. Что кстати позволяет одновременное использование как открытого, так и закрытого канала связи. Сейчас [ ] в одном оптическом волокне возможно создать около 50 каналов. Экспериментальные данные позволяют сделать прогноз на достижение лучших параметров в будущем:

• достижение скорости передачи данных по квантовому каналу связи в 50 Мбит/с, при этом единовременные ошибки не должны будут превышать 4 %;
• создание квантового канала связи длиной более 100 км;
• организация десятков подканалов при разделении по длинам волн.

На данном этапе квантовая криптография только приближается к практическому уровню использования. Диапазон разработчиков новых технологий квантовой криптографии охватывает не только крупнейшие мировые институты, но и маленькие компании, только начинающие свою деятельность. И все они уже способны вывести свои проекты из лабораторий на рынок. Все это позволяет сказать, что рынок находится на начальной стадии формирования, когда в нём могут быть на равных представлены и те и другие.

, № 37, 2007 ;

Красавин В. «Квантовая криптография».

Румянцев К. Е. , Плёнкин А. П. Экспериментальные испытания телекоммуникационной сети с интегрированной системой квантового распределения ключей // Телекоммуникации. 2014. № 10. С. 11 − 16.

Плёнкин А. П. Использование квантовых ключей для шифрования сетевого соединения // Десятая ежегодная научная конференция студентов и аспирантов базовых кафедр Южного научного центра РАН: Тезисы докладов (г. Ростов-на-Дону, 14 − 29 апреля 2014 г.). - Ростов н/Д: Изд-во ЮНЦ РАН, 2014. - 410 с. - С. 81 − 82.

Плёнкин А. П. Использование квантового ключа для защиты телекоммуникационной сети // Технические науки - от теории к практике. 2013. № 28. - С. 54-58.

, Синхронизация системы квантового распределения ключа в режиме однофотонной регистрации импульсов для повышения защищенности. // Радиотехника. . - 2015. - № 2. - C. 125-134

Плёнкин А. П., Румянцев К. Е. , Синхронизация системы квантового распределения ключа при использовании фотонных импульсов для повышения защищённости // Известия ЮФУ. Технические науки. - 2014. - № 8, - № 157. - С. 81-96.

Румянцев К. Е., Плёнкин А. П. , Безопасность режима синхронизации системы квантового распределения ключей // Известия ЮФУ. Технические науки. - 2015. Т. № 5,- № 166. - С. 135-153.

Представьте себе такую линию связи, которую невозможно прослушать. Вообще никак. Что бы ни делал злоумышленник и кем бы он ни был, попытки взломать защиту к успеху не приведут. Устройства для такой передачи данных, использующей принципы квантовой криптографии, создают в ООО «Квантовые коммуникации» – малом инновационном предприятии при Университете ИТМО. Генеральный директор предприятия и руководитель университетской лаборатории квантовой информатики Международного института фотоники и оптоинформатики Артур Глейм участвовал в XII Международных чтениях по квантовой оптике (IWQO-2015) в Москве и подмосковном Троицке, где он выступил с докладом о квантовой рассылке ключа шифрования на так называемых боковых частотах. О том, как этот способ позволяет улучшить качество передачи данных и как вообще работают квантовые коммуникации, Артур Глейм рассказывает в интервью нашему порталу.

Что такое квантовая криптография и зачем она нужна?

Главная идея квантовой криптографии – передавать информацию таким образом, чтобы ее было нельзя перехватить. Причем это должно быть невозможно не потому, что алгоритмы шифрования слишком сложные, и не из-за того, что злоумышленник не располагает достаточно высокими вычислительными мощностями. Мы строим систему передачи данных так, что ее взлом противоречит законам физики.

Если мы управляем какой-то системой, которую потенциально может нарушить злоумышленник, нам нужно передавать данные доверенным образом. Это могут быть, например, решения, связанные с финансами, коммерческой тайной, государственными задачами и так далее. Квантовая криптография, квантовая связь и квантовые коммуникации решают задачу так, что перехватывать информацию ограниченного доступа запрещает сама природа. Сигналы передаются по линиям связи не в классическом виде, а с помощью потока одиночных фотонов. Фотон нельзя разделить или измерить, скопировать или незаметно отвести в сторону. Он из-за этого однозначно разрушается и не доходит до принимающей стороны.

Ключевой вопрос в том, как сделать это эффективно, так как мы используем не идеальную систему, а физические линии связи – оптическое волокно или открытое пространство. На пути к получателю на фотон может воздействовать много факторов, которые могут его разрушить. Так как мы говорим о практическом применении, нас интересует скорость передачи данных между такими системами и максимальное расстояние, на которое мы можем разнести узлы. Это основные предметы разработки различных подходов, идей и принципов построения систем квантовой криптографии: эффективность использования канала передачи данных, пропускная способность и уменьшение количества повторителей, а главное – наивысший уровень защищенности и безопасности канала. В основе квантовой криптографии лежит тезис о том, что злоумышленник может пытаться делать что угодно, использовать любые инструментарий и оборудование – хотя бы технику пришельцев, но перехватить данные он не должен. А на базовый принцип уже «накручиваются» технические решения.

На каких физических принципах основывается квантовая коммуникация?

Существует несколько схем реализации этих принципов, разные подходы, которые вносят свои возможности по увеличению скорости и дальности передачи сообщений. Системы квантовой криптографии давно производятся коммерческими компаниями. Но специалисты Университета ИТМО предложили новый принцип, который иначе формулирует понятие квантового состояния, «способа приготовления» фотона как порции излучения, чтобы он был более устойчивым к внешним воздействиям, система связи не требовала дополнительных средств организации устойчивой передачи и не несла в себе явных ограничений на скорость модуляции сигнала со стороны отправителя и получателя. Мы выносим квантовые сигналы на так называемые боковые частоты, это позволяет значительно расширить возможности по скорости и снять явные ограничения по дальности, присущие уже принятым схемам.

Чтобы понять, в чем отличие вашего метода, давайте все-таки начнем с принципов работы классических схем.

Обычно люди, когда строят системы квантовой связи, генерируют слабый импульс, эквивалентный или близкий к энергии одиночного фотона, и отправляют его по линии связи. Чтобы закодировать в импульсе квантовую информацию, проводят модуляцию сигнала – изменяют поляризацию или фазовое состояние. Если мы говорим про волоконно-оптические линии связи, для них более эффективно использовать фазовые состояния, потому что сохранять и передавать поляризацию они не умеют.

Вообще фаза фотона – это вульгаризм, который придумали экспериментаторы в области квантовой физики. Фотон – это частица, у нее нет фазы, но она является частью волны. А фаза волны – это характеристика, которая показывает некоторую отстройку состояния поля электромагнитной волны. Если представить волну как синусоиду на координатной плоскости, сдвиги ее положения относительно начала координат соответствуют некоторым состояниям фазы.

Говоря простыми словами, когда человек шагает, шаг – это процесс, который повторяется по кругу, у него тоже есть период, как у волны. Если два человека идут в ногу – фазы совпадают, если не в ногу – то фазовые состояния разные. Если же один начинает движение в середине шага другого, то их шаги находятся в противофазе.

Для того, чтобы закодировать в импульсе квантовую информацию, используют модулирующее устройство, которое сдвигает волну, а чтобы измерить сдвиг, мы складываем эту волну с такой же и смотрим, что получится. Если волны находятся в противофазе, то две величины накладываются и гасят друг друга, на выходе мы получаем ноль. Если же мы угадали, то синусоиды складываются, поле увеличивается и итоговый сигнал получается высокий. Это называется конструктивной интерференцией излучения, ее можно проиллюстрировать теми же человеческими шагами.

В начале прошлого века в Петербурге рухнул Египетский мост, когда по нему маршировал взвод солдат. Если просто взять сумму всех шагов, для того, чтобы разрушить мост, энергии не хватит. Но когда шаги попадают в такт, происходит интерференция, нагрузка повышается, и мост не выдерживает. Поэтому сейчас солдатам, если они переходят через мост, отдают команду сбить шаг – идти не в ногу.

Итак, если наши фазовые предположения совпали и сигнал усилился, значит, фазу фотона мы измерили правильно. В классических системах квантовой коммуникации используются распределенные интерферометры, и они определяют квантовую информацию по положению сдвига фазы волны. Воплотить это на практике сложно – линии связи могут греться и охлаждаться, может присутствовать вибрация, все это меняет качество передачи. Фаза волны начинает смещаться сама, и мы не знаем, то ли отправитель ее так «промодулировал», то ли это помехи.

А чем отличается использование боковых частот?

Наш принцип заключается в том, что мы отправляем в линию связи специальный спектр. Это можно сравнить с музыкой – в спектре мелодии много частот, и каждая оставляет за собой звучание. Здесь примерно то же самое: мы берем лазер, который генерирует импульсы только на одной частоте, пропускаем импульс через электрооптический фазовый модулятор. На модулятор подается сигнал на другой частоте, существенно более низкой, и в результате кодирование осуществляется не основной синусоидой, а параметрами вспомогательной синусоиды – ее частотой смены фазы, фазовым положением. Мы передаем квантовую информацию отстройкой дополнительных частот в спектре импульса относительно центральной частоты.

Такое шифрование становится куда более надежным, так как спектр передается по линиям связи одним импульсом, и если среда передачи вносит какие-то изменения, их претерпевает весь импульс целиком. Мы также можем добавить не одну дополнительную частоту, а несколько, и одним потоком единичных фотонов мы можем поддерживать, к примеру, пять каналов связи. В итоге нам не нужен интерферометр в явном виде – он «зашит» внутри импульса, нет нужды в схемах компенсации дефектов в линии, нет ограничений на скорость и дальность передачи данных, а эффективность использования линий связи – не 4%, как в случае с классическими подходами, а до 40%.

Этот принцип придумал главный научный сотрудник Центра информационных и оптических технологий Университета ИТМО Юрий Мазуренко . Сейчас кодирование квантовой информации на боковых частотах также развивают две ученые группы во Франции и Испании, но в наиболее развернутом и полном виде система реализована у нас.

Как теория воплощается на практике?

Все эти квантовые премудрости нужны для формирования секретного ключа – случайной последовательности, которую мы перемешиваем с данными, чтобы их в итоге было невозможно перехватить. По принципу действия системы для безопасной передачи эквивалентны VPN-роутеру, когда мы через внешний интернет прокладываем локальную сеть, чтобы в нее никто не ломился. Мы устанавливаем два устройства, у каждого из которых есть порт, который подключается к компьютеру, и порт, который «смотрит» во внешний мир. Отправитель подает данные на вход, устройство их шифрует и безопасно передает через внешний мир, вторая сторона принимает сигнал, расшифровывает и передает получателю.

Допустим, такое устройство покупает банк, его устанавливают в серверное помещение и используют как коммутатор. Понимать принцип работы банку не нужно – нужно только знать, что за счет основ квантовой физики получаются такие степень безопасности и доверия к линии, которая на порядок выше классических сред передачи информации.

Как именно происходит шифрование?

В устройствах стоит генератор случайных чисел (причем физический, не псевдо-ГСЧ), и каждое устройство задает квантовое состояние фотонов случайным образов. В квантовой коммуникации отправителя принято называть «Алиса», а получателя – «Боб» (А и Б). Допустим, Алиса и Боб выбрали квантовое состояние, соответствующее 0, фазы оптического излучения совпали, получился высокий уровень сигнала и детектор фотонов Боба сработал. Если Алиса выбрала 0, а Боб 1, фазы разные и детектор не срабатывает. Дальше приемная сторона говорит, когда фазы совпали, допустим, на первой, пятой, пятнадцатой, сто пятьдесят пятой передачах, в остальных случаях либо были разные фазы, либо фотоны не дошли. Для ключа мы оставляем только то, что совпало. И Алиса, и Боб знают, что у них совпали передачи 1, 5, 15 и 155, но что они при этом передавали – 0 или 1 – знают только они и никто больше.

Допустим, мы станем подкидывать монетки, а третий человек будет говорить, совпали у нас выпавшие стороны или нет. У меня выпала решка, нам сказали, что монетки совпали, и я буду знать, что у вас тоже выпала решка. То же и в квантовой криптографии, но с одним условием: третья сторона не знает, что именно у нас выпало – орел или решка, это знаем только мы. Алиса и Боб копят случайные, но одинаковые биты, накладывают их на сообщение и получают идеальный шифротекст: абсолютно случайная последовательность плюс осмысленное сообщение равно абсолютно случайная последовательность.

Почему у злоумышленника не получится взломать систему?

Фотон один, делить его нельзя. Если его убрать из линии, Боб ничего не получит, детектор фотонов не сработает, и отправитель с получателем просто не станут использовать этот бит в ключе. Да, злоумышленник может перехватить этот фотон, но бит, который в нем зашифрован, не будет использован в передаче, он бесполезен. Скопировать фотон тоже невозможно – замер в любом случае его разрушает, даже когда фотон измеряет легитимный пользователь.

Есть несколько режимов использования данных систем. Для того, чтобы получить идеальную защиту, длина ключа должна быть равна длине сообщения бит в бит. Но еще их можно использовать для того, чтобы существенно повысить качество классических шифров. Когда происходит смешение квантовых битов и классических шифров, стойкость шифров вырастает по экспоненте, существенно быстрее, чем если бы мы просто увеличивали количество разрядов в ключе.

Допустим, банк выдает клиенту карточку на доступ к онлайн-клиенту, срок жизни ключа в карточке – год (считается, что за этот срок ключ не будет скомпрометирован). Система квантовой криптографии позволяет на лету менять ключи шифрования – сто раз в секунду, тысячу раз в секунду.

Оба режима возможны, если нам необходимо передать предельно конфиденциальные данные. В таком случае кодировать их можно бит в бит. Если же мы хотим значительно повысить степень защиты, но сохранить высокую скорость передачи, то мы перемешиваем квантовые и классические ключи, и получаем оба преимущества – высокую скорость и высокую защиту. Конкретная же скорость передачи данных зависит от условий используемых шифров и режимов кода.

Беседовал Александр Пушкаш ,
Редакция новостного Университета ИТМО

Технология квантового распределения криптографических ключей решает одну из основных задач криптографии - гарантированное на уровне фундаментальных законов природы распределение ключей между удаленными пользователями по открытым каналам связи. Криптографический ключ - это числовая последовательность определенной длины, созданная для шифрования информации. Квантовая криптография позволяет обеспечить постоянную и автоматическую смену ключей при передаче каждого сообщения в режиме одноразового «шифроблокнота»: на сегодняшний день это единственный вид шифрования со строго доказанной криптографической стойкостью.

История

Идея использовать квантовые объекты для защиты информации от подделки и несанкционированного доступа впервые была высказана Стефаном Вейснером в 1970 г. Спустя 10 лет ученые Беннет и Брассард, которые были знакомы с работой Вейснера, предложили использовать квантовые объекты для передачи секретного ключа. В 1984 г. они опубликовали статью, в которой описывался протокол квантового распространения ключа ВВ84.

Носителями информации в протоколе ВВ84 являются фотоны, поляризованные под углами 0, 45, 90, 135 градусов.

Позднее идея была развита Экертом в 1991 году. В основе метода квантовой криптографии лежит наблюдение квантовых состояний фотонов. Отправитель задает эти состояния, а получатель их регистрирует. Здесь используется квантовый принцип неопределенности Гейзенберга, когда две квантовые величины не могут быть измерены одновременно с требуемой точностью. Таким образом, если отправитель и получатель не договорились между собой, какой вид поляризации квантов брать за основу, получатель может разрушить посланный отправителем сигнал, не получив никакой полезной информации. Эти особенности поведения квантовых объектов легли в основу протокола квантового распространения ключа.

Алгоритм Беннета

В 1991 году Беннет для регистрации изменений в переданных с помощью квантовых преобразований данных использовать следующий алгоритм:

• Отправитель и получатель договариваются о произвольной перестановке битов в строках, чтобы сделать положения ошибок случайными.
• Строки делятся на блоки размера k (k выбирается так, чтобы вероятность ошибки в блоке была мала).
• Для каждого блока отправитель и получатель вычисляют и открыто оповещают друг друга о полученных результатах. Последний бит каждого блока удаляется.
• Для каждого блока, где четность оказалась разной, получатель и отправитель производят итерационный поиск и исправление неверных битов.
• Чтобы исключить кратные ошибки, которые могут быть не замечены, операции предыдущих пунктов повторяются для большего значения k.
• Для того чтобы определить, остались или нет необнаруженные ошибки, получатель и отправитель повторяют псевдослучайные проверки, а именно: получатель и отправитель открыто объявляют о случайном перемешивании позиций половины бит в их строках; получатель и отправитель открыто сравнивают четности (если строки отличаются, четности должны не совпадать с вероятностью 1/2); если имеет место отличие, получатель и отправитель, использует двоичный поиск и удаление неверных битов.
• Если отличий нет, после m итераций получатель и отправитель получают идентичные строки с вероятностью ошибки 2-m.

Реализация идеи квантовой криптографии

Схема практической реализации квантовой криптографии показана на рисунке. Передающая сторона находится слева, а принимающая - справа. Ячейки Покеля необходимы для импульсной вариации поляризации потока квантов передатчиком и для анализа импульсов поляризации приемником. Передатчик может формировать одно из четырех состояний поляризации. Передаваемые данные поступают в виде управляющих сигналов на эти ячейки. В качестве канала передачи данных может быть использовано оптоволокно. В качестве первичного источника света можно использовать и лазер.

На принимающей стороне после ячейки Покеля установлена кальцитовая призма, которая расщепляет пучок на два фотодетектора (ФЭУ), измеряющие две ортогональные составляющие поляризации. При формировании передаваемых импульсов квантов возникает проблема их интенсивности, которую необходимо решать. Если квантов в импульсе 1000, есть вероятность, что 100 квантов по пути будет отведено злоумышленником на свой приемник. В последующем, анализируя открытые переговоры между передающей и принимающей стороной, он может получить нужную ему информацию. Поэтому в идеале число квантов в импульсе должно быть около одного. В этом случае любая попытка отвода части квантов злоумышленником приведет к существенному изменению всей системы в целом и, как следствие, росту числа ошибок у принимающей стороны. В подобной ситуации принятые данные должны быть отброшены, а попытка передачи повторена. Но, делая канал более устойчивым к перехвату, специалисты сталкиваются с проблемой "темнового" шума (получение сигнала, который не был отправлен передающей стороной, принимающей стороной) приемника, чувствительность которого повышена до максимума. Для того, чтобы обеспечить надежную передачу данных, логическому нулю и единице могут соответствовать определенные последовательности состояний, допускающие коррекцию одинарных и даже кратных ошибок.

Дальнейшего повышения отказоустойчивости квантовой криптосистемы можно достичь, используя эффект EPR, который возникает, когда сферически симметричный атом излучает два фотона в противоположных направлениях в сторону двух наблюдателей. Фотоны излучаются с неопределенной поляризацией, но в силу симметрии их поляризации всегда противоположны. Важной особенностью этого эффекта является то, что поляризация фотонов становится известной только после измерения. Экерт предложил криптосхему на основе эффекта EPR, которая гарантирует безопасность пересылки и хранения ключа. Отправитель генерирует некоторое количество EPR фотонных пар. Один фотон из каждой пары он оставляет для себя, второй посылает своему партнеру. При этом, если эффективность регистрации близка к единице, при получении отправителем значения поляризации 1, его партнер зарегистрирует значение 0 и наоборот. Таким образом партнеры всякий раз, когда требуется, могут получить идентичные псевдослучайные кодовые последовательности. Практически реализация данной схемы проблематична из-за низкой эффективности регистрации и измерения поляризации одиночного фотона.

Экспериментальные реализации

2019: Испытания системы для квантовой защиты передачи данных на ВОЛС «Ростелекома»

2017

В России представлен квантовый телефон ViPNet

Технологию квантового 4D-кодирования впервые испытали в городских условиях

Как стало известно 30 августа 2017 года, исследователи из университета Оттавы успешно провели первые реальные испытания технологии квантового 4D-кодирования, передав зашифрованные сообщения между двумя станциями, расположенными на крышах высотных зданий, расстояние между которыми составляло 300 метров.

Технология

Традиционные технологии квантовых коммуникаций, уже используемые в некоторых местах для создания "невзламываемых" квантовых сетей, используют стандартную двоичную систему счисления, кодируя в одном фотоне один бит передаваемой информации. Некоторое время назад была изобретена технология так называемого многомерного квантового кодирования, которая позволяет удвоить объем информации, заключенной в одном фотоне света. Это, в свою очередь, позволяет каждому фотону нести одно из четырех значений - 00, 01, 10 и 11, вследствие чего технология получила название квантового 4D-кодирования. Помимо того, технологию отличает более высокий уровень защищенности от попыток преднамеренного вмешательства и большая устойчивость к влиянию посторонних факторов окружающей среды.

Эксперимент

Тест проводился на дистанции в 300 метров. В ходе эксперимента осуществлялась передача информации между двумя базовыми станциями, установленными на крышах зданий, которые предварительно были помещены внутрь деревянных коробок, защищающих их от непогоды. В таких условиях уровень ошибок при передаче данных составил 11%, что гораздо ниже уровня, требующегося для организации безопасного квантового коммуникационного канала. С учетом повторов и избыточной информации для коррекции ошибок, система смогла передать в 1,6 раза больше информации, чем система с обычным двухмерным квантовым кодированием, работающая в идеальных условиях.

Наш эксперимент стал первой в мире передачей данных, проведенной при помощи технологии многомерного квантового кодирования в реальных городских условиях, включая непогоду, - рассказал Эбрахим Карими (Ebrahim Karimi), ведущий исследователь. - Продемонстрированная нами безопасная квантовая коммуникационная система, работающая на открытом воздухе, способна обеспечить связь со спутниками на орбите и местами на поверхности Земли, куда нецелесообразно прокладывать оптическое волокно. Кроме этого, такая система может служить для организации безопасной связи с движущимися объектами, такими как самолеты и суда.

Планы

Ученые планируют провести испытания системы квантового 4D-кодирования на дистанции в 3 километра, после чего рассчитывают увеличить дистанцию до 5,6 километров с использованием промежуточных станций и системы адаптивной оптики, предназначенной для компенсации искажений, вносимых атмосферой. В более долгосрочной перспективе исследователи планируют добавить большее количество "измерений кодирования", что, в свою очередь, позволит еще больше увеличить объем информации, упакованной в один фотон.

С точки зрения технологий квантовых коммуникаций окружающий мир является весьма "шумным" местом, заполненным препятствиями, движущимся воздухом и пронизанным электромагнитными сигналами. Как результат, передача сигнала в "шумной" городской среде на расстояние в 3 километра эквивалентна передаче такого же сигнала на спутник с базовой станции, расположенной в тихом изолированном месте, подчеркнули исследователи.

Создание защищенной сети в Китае

В июле 2017 года стало известно о том, что Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии. Проект уже запущен в городе Цзинань. Как утверждает местная пресса, это исторический момент. Ранее "квантовый" канал связи был организован между двумя крупнейшими городами Китая.

К 25 июля 2017 года в цзинаньской сети насчитывается 200 абонентов - представители военных, правительственных организаций, а также финансового и энергетического сектора. Они смогут общаться, не опасаясь прослушки.

Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики - при помощи электронов в электрическом токе, или, как в случае с проектом в Цзинане, фотонов в линиях волоконно-оптической связи.

Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии

Ключевой особенностью такой системы является то, что любую атаку, любые попытки подслушивать будут немедленно обнаружены.

Технология квантовой криптографии опирается на принципиальную неопределенность поведения квантовой системы. Принцип неопределенности Гейзенберга гласит: невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Иными словами, попытка измерения взаимосвязанных параметров в квантовой системе вносит в нее нарушения, разрушая исходные сигналы, - это означает возможность немедленного выявления перехватчика в канале связи.

Традиционная (математическая) криптография предусматривает, что попытки взломать ключи шифрования - это очень сложная математическая проблема; для ее решения требуются обширные вычислительные ресурсы.

Однако, чем дальше, тем мощнее становятся компьютеры, и тем длиннее должны становиться ключи шифрования. Вдобавок на подходе квантовые компьютеры, чья вычислительная мощность будет находиться на принципиально более высоком уровне, нежели у современной техники. Традиционная криптография может оказаться слишком слабой перед ними.

Перехват ключей в квантовой криптографии в принципе возможен, но, по вышеописанным причинам, злоумышленник не сможет не выдать себя.

Что характерно, Китай оказался впереди планеты всей в вопросе квантовой криптографии. Создание инфраструктуры для ее практической реализации - дело крайне затратное, и ни европейский, ни американский бизнес не спешили вкладываться в нее.

По его словам, он еще в 2004 году призывал ЕС активнее вкладываться в "квантовые" проекты, но безрезультатно.

Высокоскоростной квантовый шифратор МГУ

На базе технологии, созданной в рамках проекта Фонда перспективных исследований , будет создан высокопроизводительный шифратор с квантовым каналом распределения криптографических ключей для быстрой и абсолютно безопасной передачи информации по оптоволоконным линиям связи.

Грант Минобрнауки России

Как ожидается, 631-килограммовый спутник «Мо-цзы» (Micius), названный в честь китайского философа-легиста, будет находиться на орбите на расстоянии 500 км от земной поверхности в течение не менее двух лет.

По информации агентства «Синьхуа», установлена устойчивая связь для передачи данных между завершившим тесты спутником «Мо-цзы» и экспериментальной платформой для квантовой телепортации на станции Али в Тибете.

Несмотря на «фантастическое» название платформы для квантовой телепортации, она не имеет отношение к телепортации, описываемой в беллетристике.

На оборудовании «Мо-цзы» реализуется канал связи на основе пар так называемых запутанных фотонов - субатомных частиц, свойства которых зависят друг от друга. Ученые рассчитывают передавать один из фотонов со спутника в исследовательские центры в Китае и Австрии.

2016: Т8 и РКЦ создадут систему защищенной квантовой связи

2015

Acronis внедряет квантовое шифрование

30 сентября 2015 года компания Acronis сообщила о планах внедрить технологии квантового шифрования в свои продукты для защиты данных. Поможет ей в этом швейцарская ID Quantique, инвестором которой является созданный Сергеем Белоусовым фонд QWave Capital .

Компания Acronis займется разработкой технологий квантовой криптографии. Вендор планирует оснастить ими свои продукты и считает, что это обеспечит более высокий уровень безопасности и конфиденциальности. Acronis рассчитывает стать первой на рынке компанией, внедрившей подобные методы защиты.

Партнером Acronis по разработке квантовой криптографии станет швейцарская компания ID Quantique, с которой вендор заключил соглашение. ID Quantique - компания, связанная с генеральным директором Acronis Сергеем Белоусовым - он основатель фонда QWave Capital , одного из инвесторов ID Quantique.

Одна из технологий, которую Acronis планирует внедрить в свои решения - квантовое распределение ключа. Ключ шифрования передается по оптоволоконному каналу посредством одиночных фотонов. Попытка перехвата или измерения определенных параметров физических объектов, которые в этом случае являются носителями информации, неизбежно искажает другие параметры. В результате, отправитель и получатель обнаруживают попытку получения неавторизованного доступа к информации. Также планируется применить квантовые генераторы случайных чисел и шифрование , устойчивое к квантовым алгоритмам.

Технологии ID Quantique ориентированы на защиту информации в государственном секторе и коммерческих компаниях.

«Квантовые вычисления требуют нового подхода к защите данных, - заявил Сергей Белоусов . - Мы в Acronis убеждены, что конфиденциальность является одной из важнейших составляющих при комплексной защите данных в облаке. Сегодня мы работаем с такими ведущими компаниями, как ID Quantique, чтобы пользователи наших облачных продуктов получали самые безопасные решения в отрасли и были защищены от будущих угроз и атак».

В компании Acronis выражают уверенность - квантовое шифрование поможет избавить заказчиков (полагающих, что провайдер сможет прочесть их данные) от страха отправки данных в облако.

Эксперимент Toshiba

По мнению разработчиков новой технологии, лучший способ защитить информацию в сети – использовать одноразовые ключи для дешифрования. Проблема в безопасной передаче самого ключа.

Квантовая криптография для этого использует законы физики, в отличие от привычных методов, основанных на математических алгоритмах. Ключ в системе, созданной Toshiba , передается в форме фотонов, сгенерированных лазером - световые частицы доставляются по специальному оптоволоконному кабелю, не подключенному к интернету. Природа фотонов такова, что любые попытки перехвата данных изменяют эти данные и это немедленно детектируется, а поскольку одноразовый ключ должен иметь размер, идентичный зашифрованным данным, исключается повторное применение одного и того же шаблона, что делает декодирование без правильного ключа невозможным.

Квантовая криптография для мобильных устройств

Кван­то­вая крип­то­гра­фия - чрез­вы­чай­но на­деж­ный в тео­рии метод за­щи­ты ка­на­лов связи от под­слу­ши­ва­ния, од­на­ко на прак­ти­ке ре­а­ли­зо­вать его пока до­воль­но труд­но. На обоих кон­цах ка­на­ла долж­на быть уста­нов­ле­на слож­ная ап­па­ра­ту­ра - ис­точ­ни­ки оди­ноч­ных фо­то­нов, сред­ства управ­ле­ния по­ля­ри­за­ци­ей фо­то­нов и чув­стви­тель­ные де­тек­то­ры. При этом для из­ме­ре­ния угла по­ля­ри­за­ции фо­то­нов необ­хо­ди­мо точно знать, как ори­ен­ти­ро­ва­но обо­ру­до­ва­ние на обоих кон­цах ка­на­ла. Из-за этого кван­то­вая крип­то­гра­фия не под­хо­дит для мо­биль­ных устройств.

Уче­ные из Бри­столь­ско­го уни­вер­си­те­та пред­ло­жи­ли схему, при ко­то­рой слож­ное обо­ру­до­ва­ние необ­хо­ди­мо толь­ко од­но­му участ­ни­ку пе­ре­го­во­ров. Вто­рой лишь мо­ди­фи­ци­ру­ет со­сто­я­ние фо­то­нов, ко­ди­руя этим ин­фор­ма­цию, и от­прав­ля­ет их об­рат­но. Ап­па­ра­ту­ру для этого можно раз­ме­стить в кар­ман­ном устрой­стве. Ав­то­ры пред­ла­га­ют и ре­ше­ние про­бле­мы ори­ен­та­ции обо­ру­до­ва­ния. Из­ме­ре­ния про­из­во­дят­ся в слу­чай­ных на­прав­ле­ни­ях. Спи­сок на­прав­ле­ний может быть опуб­ли­ко­ван от­кры­то, но при рас­шиф­ров­ке будут учи­ты­вать­ся толь­ко сов­па­да­ю­щие на­прав­ле­ния. Ав­то­ры на­зы­ва­ют метод «неза­ви­си­мым от си­сте­мы от­сче­та кван­то­вым рас­пре­де­ле­ни­ем клю­чей»: rfiQKD.

A.K. Ekert, " Quantum Cryptography Based on Bell"s Theorem", Phys. Rev. lett. 67, 661 (1991).

Toby Howard, Quantum Cryptography, 1997, www.cs.man.ac.uk/aig/staff/toby /writing/PCW/qcrypt.htm

C.H. Bennet, " Quantum Cryptography Using Any Two Non-Orthogonal States", Phys. Rev. lett. 68, 3121 (1992).

А. Корольков, Квантовая криптография, или как свет формирует ключи шифрования. Компьютер в школе, № 7, 1999

В. Красавин, Квантовая криптография

Представьте себе, что прежде чем отправить электронное письмо приятелю, вы должны достать карту, измерить расстояние до города, где он живет, и если окажется, что это расстояние больше, чем 100 км, вы со вздохом берете карандаш и бумагу и беретесь за обычное «бумажное» письмо — электронная почта дальше, чем на 100 км, не ходит.

Абсурдная ситуация? Но именно так сейчас обстоят дела с передачей квантовых данных по оптоволоконным линиям связи — рекордная дальность передачи здесь до сих пор лишь немного превышает сотню километров, а устойчивая работа на нормальных, не рекордных линиях вообще ограничивается 40 км. Это означает, например, что линию квантовой коммуникации можно организовать внутри Москвы, а вот о передаче данных в Петербург пока нечего и думать. Каковы же перспективы квантовой криптографии в области дальней связи?

Вскрытие на слух

Первый успешный эксперимент по квантовой передаче данных был проведен Беннетом и Жилем Брассаром в конце октября 1989 года, когда защищенная квантовая связь была установлена на расстоянии 32,5 см. Установка меняла поляризацию фотонов, но при этом блок питания шумел по‑разному в зависимости от того, какой была поляризация. Таким образом, окружающие могли свободно различать нули и единицы на слух. Как пишет Брассар, «наш прототип был защищен от любого подслушивающего, который оказался бы глухим». В октябре 2007 года методы квантовой криптографии были впервые применены в широкомасштабном проекте. Система квантовой защищенной связи, разработанная швейцарской компанией Id Quantique, использовалась для передачи данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева. Таким образом, голоса швейцарцев были защищены как никакая другая информация.

Банкноты и блокноты

История квантовой криптографии началась еще в конце 1960-х годов, когда студент Колумбийского университета Стивен Визнер изложил своему бывшему сокурснику Чарльзу Беннету идею квантовых банкнот, которые в принципе нельзя подделать, поскольку это исключают законы природы. Суть идеи состояла в том, чтобы поместить на каждую банкноту несколько квантовых объектов. Это могут быть, например, ловушки с фотонами, каждый из которых поляризован под определенным углом в одном из двух базисов — либо под углом 0 и 90, либо 45 и 135 градусов. Серийный номер напечатан на банкноте, но соответствующая номеру комбинация поляризаций и базисов (фильтров, с помощью которых фотону придается или измеряется его поляризация) при этом известна только банку. Чтобы подделать такую банкноту, фальшивомонетчик должен измерить поляризацию каждого фотона, но он не знает, в каком базисе поляризован каждый из них. Если он ошибется с базисом, то поляризация фотона изменится, и поддельная банкнота будет с неверной поляризацией. Квантовые деньги до сих пор не появились, поскольку пока не удалось создать достаточно надежных ловушек для фотонов. Однако тогда же Визнер предложил использовать тот же самый принцип для защиты информации, и эта технология сейчас уже близка к реализации.

Первый протокол квантового распределения ключей был создан Жилем Брассаром и Чарльзом Беннетом в 1984 году и получил название BB84. Для передачи данных используются фотоны, поляризованные в четырех разных направлениях, в двух базисах — под углом 0 и 90 градусов (обозначается знаком +) либо 45 и 135 градусов (x). Отправитель сообщения A (традиционно его называют «Алиса») поляризует каждый фотон в случайно выбранном базисе, а затем отправляет его получателю B — «Бобу». Боб измеряет каждый фотон, тоже в случайно выбранном базисе. После этого Алиса по открытому каналу сообщает Бобу последовательность своих базисов, и Боб отбрасывает неправильные (не совпавшие) базисы и сообщает Алисе, какие данные «не прошли». При этом сами значения, полученные в результате измерений, они по открытому каналу не обсуждают. Если шпион (его обычно называют «Евой», от английского eavesdropping — подслушивание) захочет перехватить секретный ключ, он должен будет измерять поляризацию фотонов. Поскольку он не знает базиса, он должен будет определять его случайным образом. Если базис будет определен неправильно, то Ева не получит верных данных, а кроме того, изменит поляризацию фотона. Появившиеся ошибки сразу обнаружат и Алиса, и Боб.

Идеи Визнера, однако, были признаны далеко не сразу. Еще в начале 1970-х годов Визнер отправил свою статью о квантовой криптографии в журнал IEEE Transactions on Information Theory, но редакторам и рецензентам язык статьи показался слишком сложным. Лишь в 1983 году эта статья увидела свет в журнале ACM Newsletter Sigact News, и именно она стала первой в истории публикацией об основах квантовой криптографии.

Первоначально Визнер и Беннет рассматривали вариант передачи зашифрованных сообщений с помощью квантовых «носителей», при этом подслушивание портило бы сообщение и не давало возможности его прочесть. Затем они пришли к улучшенному варианту — использованию квантовых каналов для передачи одноразовых «шифроблокнотов» — шифровальных ключей.

Закрытый конверт

Квантовые системы связи основаны на использовании квантовых свойств носителей информации. Если в обычных телекоммуникационных сетях данные кодируются в амплитуде и частоте излучения или электрических колебаний, то в квантовых — в амплитуде электромагнитного поля или в поляризации фотонов. Разумеется, потребуется значительно более дорогая и сложная аппаратура, но эти ухищрения оправданны: дело в том, что передача информации по квантовым каналам обеспечивает стопроцентную защиту от «прослушки». Согласно законам квантовой механики измерение свойств того или иного квантового объекта, например измерение поляризации фотона, неминуемо меняет его состояние. Получатель увидит, что состояние фотонов изменилось, и предотвратить это нельзя в принципе — таковы фундаментальные законы природы. Это можно описать такой аналогией: представьте себе, что вы пересылаете письмо в закрытом конверте. Если кто-то откроет письмо и прочитает его, цвет бумаги изменится, и получатель неминуемо поймет, что послание читал кто-то третий.

Самая ценная информация — это шифровальные ключи. Если ключ имеет длину, равную самому сообщению или еще длиннее, то расшифровать послание, не зная ключа, в принципе невозможно. Остается организовать защищенную передачу ключей, а это как раз и обеспечивают квантовые линии связи. Однако пока дистанция передачи данных для таких линий слишком коротка: из-за тепловых шумов, потерь, дефектов в оптоволокне фотоны не «выживают» на больших расстояниях.

Самая ценная информация — шифровальные ключи. Если ключ имеет длину, равную самому сообщению или еще длиннее, то расшифровать послание, не зная ключа, невозможно.

Квантовые ключи

Множество исследовательских групп по всему миру разрабатывают устройства «восстановления» квантовых данных — так называемые квантовые повторители, которые способны «оживлять» фотоны. Группа исследователей из Российского квантового центра под руководством профессора Александра Львовского нашла способ восстанавливать свойства фотонов и подтвердила в эксперименте работоспособность этого метода. Ученые занимались изучением феномена квантовой запутанности, при котором состояния двух или нескольких объектов — атомов, фотонов, ионов — оказываются связаны. Если состояние одного из пары запутанных фотонов измерить, то состояние второго немедленно станет определенным, причем состояния их обоих будут связаны однозначно — например, если один фотон окажется поляризован вертикально, то второй — горизонтально и наоборот.

«Если распределять пары запутанных фотонов между двумя удаленными партнерами, то они оба получают одну и ту же последовательность, которую можно использовать как шифровальный ключ, поскольку это истинно случайная последовательность, которую нельзя угадать или рассчитать. Если же кто-то попытается подсмотреть запутанные фотоны, корреляция между ними потеряется и из них больше нельзя будет извлечь ключ», — объясняет Александр Львовский.

Задача состоит в том, чтобы сохранить состояние квантовой запутанности при передаче на большие расстояния. До сих пор с этим возникали большие проблемы. По оптоволоконным сетям до сих пор не удавалось передавать запутанные фотоны на расстояние больше 100 км. На больших расстояниях квантовые данные просто теряются в шумах. В обычных телекоммуникационных сетях используют разные типы повторителей или усилителей сигнала, которые усиливают амплитуду сигнала и убирают шумы, но в случае с квантовыми данными этот подход не работает. Фотон нельзя «усилить», при попытке измерить его параметры состояние фотона изменится, а значит, все преимущества квантовой криптографии исчезают.

Квантовые повторители

Ученые из разных стран пытаются разработать технологию квантовых повторителей — устройств, способных «воссоздавать» квантовую информацию, не разрушая ее. Группа Львовского, кажется, нащупала путь, который может привести к успеху. Еще в 2002 году он и его коллеги обнаружили любопытный эффект, который был назван «квантовым катализом», по аналогии с химическим термином, где определенные реакции могут идти только в присутствии особого вещества — катализатора. В их эксперименте световой импульс смешивался со «вспомогательным» одиночным фотоном на частично пропускающем свет зеркале. Затем этот фотон «удаляли». Казалось бы, состояние светового импульса не должно было меняться. Но, в силу парадоксальных свойств квантовой интерференции, фотон менял его в сторону «усиления» квантовых свойств.

«В то время это явление выглядело не более чем курьезным феноменом, каковых в квантовой физике множество. Теперь же оказалось, что оно имеет важное практическое применение — позволяет восстановить запутанность квантовых состояний света», — говорит Александр Львовский.

В своей новой работе, отчет о которой был опубликован в журнале Nature Photonics, ученые научились заново запутывать «распутавшиеся» фотоны. В качестве источника запутанных фотонов в эксперименте они использовали нелинейный кристалл титанил-фосфата калия с периодической доменной структурой. Его «обстреливали» пикосекундными импульсами света, которые генерировал титан-сапфировый лазер. В результате в кристалле рождались запутанные пары фотонов, которые ученые отправляли в два разных оптических канала. В одном из них свет подвергался 20-кратному ослаблению с помощью затемненного стекла, в результате чего уровень запутанности падал почти до нуля. Это соответствует уровню потерь в 65 км обычного оптоволоконного кабеля. Затем ослабленный сигнал направляли на светоделитель, где и проходил процесс квантового катализа. Ученые из группы Львовского называют этот процесс «квантовой дистилляцией», поскольку на выходе остается меньше фотонов, зато их уровень запутанности возрастает почти до исходного. «Из миллиона слабо запутанных пар фотонов получается одна сильно запутанная. Но при этом уровень корреляции восстанавливается до первичной, и хотя скорость передачи данных несколько снижается, мы можем получить устойчивую связь на значительно большем расстоянии», — говорит коллега Львовского Александр Уланов.

Не только для шпионов

На основе этой технологии можно будет создавать квантовые повторители, пригодные для коммерческого использования. «Для этого есть и другие методы, но как их использовать в условиях существующих источников квантовой запутанности, непонятно. Это оказывается непропорционально дорого. Возможно, наш повторитель будет и проще, и дешевле», — говорит Львовский. По его мнению, при благоприятных условиях первый прототип такого повторителя может быть создан через четыре-пять лет. А появление его на рынке может открыть дорогу действительно массовому применению квантовой криптографии, что серьезно изменит жизнь не только военных или банкиров.

«Это касается каждого из нас. Квантовая криптография — это не только какие-то военные или шпионские секреты, это номера кредитных карточек, это истории болезни. У каждого из нас масса конфиденциальной информации, и чем более открытым становится мир, тем важнее для нас контролировать доступ к ней», — говорит Львовский. Использование квантовых методов передачи шифровальных ключей может серьезно ослож­нить жизнь злоумышленников, у которых теперь не будет возможности перехватить и расшифровать информацию.