Kvantová kryptografie Ondřej Haderka
Univerzita Palackého, Olomouc www.rcptm.com
Kvantová kryptografie Metoda bezpečné komunikace na rozhraní klasické kryptografie, teorie informace a kvantové mechaniky Zřejmě první aplikace kvantové mechaniky na úrovni prvních principů Řeší některé nedostatky klasické kryptografie Dnes už komerčně nabízena… Řada teoretických i praktických těžkostí…
Kvantové optické komunikace Bezpečné komunikace (kvantová kryptografie) Kvantová distribuce klíče (QKD) Kvantová identifikace (QI) Kvantové sdílení tajemství (QSS)
Kvantový generátor náhodných čísel Neklasické komunikace Kvantová teleportace Kvantové husté kódování Předávání kvantové provázanosti
Co je na tom „kvantového“?
Detekce světla po kvantech h Principiální náhodnost individuálních událostí Měření obecně mění stav měřeného objektu Superpozice stavů (qubit) Kvantová provázanost (entanglement) Teorém o neklonování
Foton na děliči svazku
detektor B
detektor A
Generátor náhodných čísel
J. Soubusta, O. Haderka, M. Hendrych, P. Pavlíček, Quantum random number generator, Proc. SPIE Vol. 5259, p. 7‐13 (2003)
Co je na tom „kvantového“?
Detekce světla po kvantech h Principiální náhodnost individuálních událostí Měření obecně mění stav měřeného objektu Superpozice stavů (qubit) Kvantová provázanost (entanglement) Teorém o neklonování
Měření neortogonálních stavů I I/2 Polarizing cube
? 0 I/2
100% 50% Probability 0% 50%
resend
Intensity I
intercept
original signal beamsplitting
classical light
beamsplitting impossible
single photon
Co je na tom „kvantového“?
Detekce světla po kvantech h Principiální náhodnost individuálních událostí Měření obecně mění stav měřeného objektu Superpozice stavů (qubit) Kvantová provázanost (entanglement) Teorém o neklonování
Superpozice a entanglement superpozice stavů
1 H V 45 2
Foton v interferometru
Machův‐Zehnderův interferometr, 4x10‐6 fotonu na impuls
Superpozice a entanglement superpozice stavů
kvantová provázanost systémů A a B (entanglement)
45
1 H V 2
HA HB
A
i ciA i A ,
AB
i , j cij i
A
B
j c Bj j
j
B
B
cij ciAc Bj
1 HV VH 2
kvantové korelace – výsledky měření neexistují před jeho provedením (porušují Bellovy nerovnosti)
Co je na tom „kvantového“?
Detekce světla po kvantech h Principiální náhodnost individuálních událostí Měření obecně mění stav měřeného objektu Superpozice stavů (qubit) Kvantová provázanost (entanglement) Teorém o neklonování
Teorém o nemožnosti klonování No‐cloning theorem (Wootters & Żurek, Nature 1982)
b 0 f
Znalost limitů přibližného H , b,0 H , H , f H klonování je podstatná pro V , b,0 V ,V , fV bezpečnost kvantové 1 kryptografie H V b,0 45, b,0 2
1 H , H , f H V , V , fV 2
45,45, f 45
Dnešní kryptosystémy
ALICE
ALICE
symetrické
asymetrické
Vernam (1926) Shannon (1949)
Diffie & Hellman (1976) Rivest, Shamir, Adleman (1978)
SAFE
veřejný klíč
jednosměrné funkce
problém distribuce klíče
soukromý klíč
BOB
a)
BOB
DES, AES
b)
Vernamova šifra, one‐time pad G. S. Vernam, 1926
nepodmíněná bezpečnost
Bezpečnost klasické kryptografie Asymetrické systémy spoléhají na výpočtovou složitost (nedokázanou!) Kvantové počítače (P. Shor, 1994) Symetrické systémy jsou při dané délce klíče o něco bezpečnější, ale potřebují častou (a bezpečnou) distribuci klíče kvantová kryptografie řeší problém distribuce klíče
Historie kvantové kryptografie S. Wiesner (1983) – kvantové nepadělatelné bankovky C. H. Benett & G. Brassard (1984) – kvantová distribuce klíče založená na no‐cloning teorému nezávisle A. Ekert (1991) – QKD založená na porušení Bellových nerovností Bennett, Brassard, Mermin (1992) – oba přístupy jsou ekvivalentní první experiment (BB et al., 1992, experiment 1989) 1993‐2000 – řada dalších experimentů (včetně Olomouce ) 1999 ‐ kvantové sdílení tajemství 2000… důkazy bezpečnosti, další protokoly, praktické aspekty, komerční aplikace
Princip QKD
klasický kanál ‐ autentizovaný
EVA
ALICE
BOB
kvantový kanál komunikace pomocí neortogonálních kvantových stavů
Množství informace, které může Eva získat, lze kvantifikovat na základě měřitelného stupně degradace komunikace na kvantovém kanálu. To při komunikaci po klasickém kanálu nelze!!!
Protokol BB84 1
2
3
4
5
6
7
8
9
10
11
12
Bitová perioda
1
1
1
0
0
0
1
1
1
0
0
0
Alice generuje náhodnou sekvenci bitů
Alice náhodně vybírá báze
Alice kóduje bity do polarizací
Bob náhodně vybírá báze
Bob detekuje
1
1
0
0
1
0
1
1
0
1
0
Bob dekóduje
Y
N
N
Y
N
N
Y
N
Y
N
N
Bob veřejně oznamuje Alici, jaké báze použil a Alice potvrzuje, kdy použili identické báze, nehovoří se však o bitových hodnotách (sifting).
1
1
0
‐
‐
N
1
0
Hrubý klíč
0
Výběr podmnožiny k testu chyb
Y
Test úspěšně proveden
‐
‐
‐
1
‐
‐
0
‐
‐
Sdílený tajný klíč (po EC a PA)
Kvantová distribuce klíče 1.
Přenos hrubé bitové sekvence (BB84)
Eva zachytí foton, změří ho a pošle dál (intercept‐resend) – způsobí průměrně 25% chyb na jeden zkoumaný bit 2. 3. 4.
Odhad chybovosti na vybraných bitech = odhad množství informace, kterou mohla Eva získat Oprava chyb (např. ai XOR ai+1 : bi XOR bi+1 ai, bi) Zesílení utajení (např. ai, ai+1 : bi, bi+1 ai XOR ai+1, bi XOR bi+1 NEPODMÍNĚNĚ BEZPEČNÝ KLÍČ (vůči útokům na komunikační lince)
klasický postprocessing
Další protokoly Kódování do diskrétních proměnných (polarizace fotonů nebo fáze fotonů v interferometru) detekce využívá čítání fotonů BB84, BBM, E91 SARG04 – kóduje se do volby báze
Kódování do spojitých proměnných homodynní detekce (vyšší účinnost detekce, ale větší šum) stlačené stavy koherentní stavy
Distributed‐phase‐reference coding kóduje se do rozdílů fází sousedních qubitů (DPS) nebo do páru prázdného a neprázdného impulsu (COW)
Praktická implementace Nosiče informace: pro šíření ve volném prostoru: polarizační stavy fotonů v optických vláknech: fáze fotonu v interferometru
Zdroje fotonů zeslabené laserové impulsy (nenulová pravděpodobnost vícefotonových stavů) sub‐poissonovské zdroje (kvantové tečky, NV‐centra, heralded single‐ photon zdroje)
Přenosové trasy – klasická optická vlákna nebo volný prostor Detektory čítače fotonů homodynní detektory
Proč fotony? V principu lze kvantově‐informační experimenty provádět s jakýmikoliv kvantovými objekty – ionty, atomy, molekuly, fotony… světlo je praktické médium při komunikaci na makroskopické vzdálenosti jen slabě interaguje s okolím kvantové stavy kódované do fotonů jen slabě podléhají dekoherenci lze (s jistými omezeními) implementovat do současných komunikačních sítí v optických vláknech nebo volném prostoru
Útoky Individuální (nekoherentní) útoky Útok dělením svazku (photon‐number splitting) „Zachyť a pošli“ (intercept‐resend) Interakce s pomocným systémem
Kolektivní útok – předpokládá, že Eva disponuje kvantovou pamětí a může odložit měření na svých pomocných systémech až po ukončení postprocessingové fáze QKD Koherentní útok – Eva má neomezené možnosti, může např. nechat pomocné systémy koherentně interagovat před měřením. Pro mnohé protokoly a jejich praktické implementace lze spočítat horní mez informace, kterou může Eva získat kolektivním útokem (mez pro koherentní útok je obvykle stejná)
Bezchybové útoky a hacking Zero‐error attacks Nedokonalé nosiče qubitů (např. vícefotonové stavy) Kalibrace zařízení Ztráty Šum detektorů Chybovost systému a komponent
Všechny nedostatky systému může Eva zneužít. Je třeba spočítat množství informace, které může Eva získat, a eliminovat ji pomocí PA. Hacking použití Trojského koně (např. zkoumat Bobovo nastavení silným impulsem)
emise fotonů z detektorů příliš přesné časování
Bezpečnost QKD Nepodmíněná bezpečnost byla dokázána pro řadu protokolů (zejména diskrétních) a jejich praktických implementací v limitě nekonečně dlouhých klíčů Mayers (1996), Lo & Chau (1999), Shor & Preskill (2000)…
Důkazy bezpečnosti pro konkrétní implementaci vedou k optimalizaci nastavení systému s ohledem na rychlost generace klíče (na základě stanovení mezí informace, kterou může Eva získat)
Principiální problémy Nutnost autentizace (má‐li být zachována nepodmíněná bezpečnost, pak vyžaduje určité množství předsdíleného tajemství) QKD je vlastně multiplikátor sdíleného tajemství Omezený dosah v důsledku šumu detektorů, ztrát a přítomnosti vícefotonových stavů (typicky jednotky až desítky km se současnou technologií) Omezená přenosová rychlost (několik řádů pod možnostmi klasických komunikací) Lepší zdroje fotonů Lepší detektory Kvantové opakovače
Současný stav implementace ‐ dosah 1-ph: perfect single-photon source, unconditional; WCP: weak coherent pulses without decoy states, unconditional; decoy: weak coherent pulses with decoy states, unconditional; EB: entanglement-based, unconditional; CV: continuous-variables with Gaussian modulation, security against collective attacks; COW: Coherent-One-Way, security against the restricted family of attacks
Současný stav implementace ‐ sítě 1-ph: perfect single-photon source, unconditional; WCP: weak coherent pulses without decoy states, unconditional; decoy: weak coherent pulses with decoy states, unconditional; EB: entanglement-based, unconditional; CV: continuous-variables with Gaussian modulation, security against collective attacks; COW: Coherent-One-Way, security against the restricted family of attacks
Perspektivy Teorie optimalizace pro klíče konečné délky důkazy bezpečnosti pro ostatní protokoly (distributed‐ phase‐reference) a se zahrnutím kalibrace zařízení
Praxe technické zlepšení parametrů (cca 2‐3x prodloužení komunikační vzdálenosti) satelity (tracking, bezúdržbová zařízení) kvantové opakovače založené na předávání entanglementu, vyžadují kvantové paměti sítě založené na důvěryhodných uzlech využití jako generátor klíče pro symetrické šifry
QKD v Olomouci (1998)
Vzdálenost 0,5 km Vizibilita: 99,7% Chybovost: 0,3% Rychlost: 4,3 kbit/s
Literatura N. Gisin et al.: Quantum cryptography, Rev. Mod. Phys. 74, 145 (2002) V. Scarani et al.: The Security of Practical Quantum Key Distribution, Rev. Mod. Phys. 81, 1301 (2009)
Děkuji za pozornost!