Что такое квантовое шифрование? Это не серебряная пуля, но может улучшить безопасность. Квантовая связь в действии - описание, особенности и интересные факты

ЛЕКЦИЯ 17. Квантовая криптография

17.1. Проблема распределения ключа в классической криптографии и пути ее решения.

17.2. Физические основы квантового распределения ключа: теорема о запрете копирования и неразличимость неортогональных состояний. Общая схема протокола КРК.

17.3. Основные свойства поляризованных фотонов. Некоторые сведения из теории квантовых измерений. Сопряженные базисы. Три сопряженных базиса для поляризованных фотонов.

17.4. Протокол ВВ84. Сырой и просеянный ключ. Коррекция ошибок и усиление секретности - на примере протокола BB84. Подслушивание в протоколе ВВ84. Стратегия перехватчик-ретранслятор. Стратегия “задержанного выбора”. Активный подслушиватель и схема аутентификации Вегмана-Картера. Недостатки протокола ВВ84.

17.5. Протокол ВВ92. Его преимущества и недостатки по сравнению с ВВ84.

17.6. ЭПР протокол (протокол А.Экерта) - если есть время.

На предыдущей лекции были сформулированы две проблемы современной классической криптографии: распределение ключей и аутентификация. Вторая проблема, похоже, имеет разрешение (абсолютно защищенное) лишь при личной встрече владельцев ключа. Первая проблема – распределение ключа в классической криптографии решается с помощью криптографии с открытым ключом или двухключевых (асимметричных) протоколов. Такое ее решение назовем математическим , поскольку используется некий алгоритм, основанный на односторонних функциях с секретом, когда вычисление функции в одну сторону оказывается простым, а нахождение обратной функции занимает огромное количество вычислительных ресурсов. В частности, стойкость криптографических систем RSA и Эль-Гамаля основываются на том, что факторизация больших чисел требует экпоненциального по числу знаков факторизуемого числа N операций. Это значит, что при увеличении разряда числа на один (прибавление еще одной цифры к факторизуемому числу) умножает время, необходимое для факторизации на фиксированный множитель. При увеличении числа, задача быстро становится вычислительно не решаемой. Таким образом, в настоящий момент, защищенность двухключевых криптосистем основывается на медленности технического прогресса.

В одной из следующих лекций мы будем рассматривать алгоритм факторизации чисел, предложенный П.Шором. Этот алгоритм основан на параллельном методе вычислений, который можно осуществить в квантовом компьютере. Такой алгоритм позволяет принципиально изменить скорость факторизации – теперь она определяется полиномиальными по числу N временными затратами.

Другой путь решения проблемы распределения ключа основан на физических закономерностях. Он реализуется в квантовой криптографии. Основные аргументы в таком методе криптографии восходят к двум утверждениям:

Неизвестное квантовое состояние невозможно копировать;

Без возмущения невозможно извлечь информацию о неортогональных квантовых состояниях.

Последнее утверждение можно перефразировать: в общем случае любое измерение, выполняемое подслушивателем, приведет к изменению состояния носителя информации.

Далее будут рассмотрены основные протоколы квантовой криптографии. Строго говоря, речь будет идти не о новом типе криптографии в целом, а лишь о новом методе распределения ключа. Этот метод, вообще говоря, должен быть дополнен надлежащим протоколом аутентификации – абоненты должны идентифицировать друг друга до начала общения – об этом не следует забывать, говоря о преимуществах квантовой криптографии! На сегодняшний день единственный способ решения проблемы аутентификации состоит в обмене коротким секретным ключом при встрече абонентов. Квантовая криптография дает физический способ распределения ключа большого размера , который затем можно использовать в симметричных (одноключевых) протоколах. Поэтому, будучи до конца последовательным, следует говорить о квантовой криптографии как о протоколе увеличения секретного ключа (Quantum Secret Growing protocol ) .

Итак, общая схема квантового распределения ключа следующая.

Алиса посылает квантовое состояние, реализованное, например, в виде кванта света, Бобу. Подслушивание, как физический процесс, представляет собой серию экспериментов, выполняемых злоумышленником над перехваченными квантами. Поскольку акт подслушивания изменяет квантовое состояние носителя информации, то Алиса и Боб могут это установить с помощью определенных процедур уже по открытому каналу связи. Итак, протокол квантового распределения ключа должен включать в себя:

Установление синхронизации;

По крайней мере двух пользователей – Алису и Боба;

Канал для обмена квантовыми состояниями или квантовый канал связи ;

Открытый канал связи, который используется для проверки искажения посылаемых состояний.

Если после обмена сообщениями по открытому каналу пользователи убеждаются, что квантовые состояния не возмущены, то они включают хорошо известный протокол одноразового блокнота (код Вернама) используя распределенный секретный ключ. Если обнаруживается возмущение квантовых состояний, то сеанс связи либо прерывается, либо начинается заново.

Замечание. Открытый канал рассматривается как такой канал связи, который доступен любому желающему. Единственное ограничение, которые мы пока введем на открытый канал – чтобы подслушиватель был пассивным . В случае активного подслушивателя пользователи могут осуществлять распределение ключа, но при условии, что изначально они владели некоторой секретной информацией, распределенной между ними и если подслушиватель не настолько активен, чтобы перехватывать всю посланную информацию (атака раздельных миров или с человеком посередине).

Идея, впервые высказанная Визнером, Беннетом и Брассардом состоит в том, что пассивный подслушиватель не может достоверно различить неортогональные состояния (назовем их ), если он не знает базиса, в котором те были приготовлены. Предположим, что Ева настраивает свой измеряющий прибор в неком исходном состоянии . Ее цель – отличить состояния не возмущая их. Ее действия будут описываться следующими унитарными преобразованиями над входными состояниями (см. лекцию 6);

(17.1)

(17.2)

Унитарность сохраняет скалярное произведение, поэтому

откуда следует, что

Это означает, что конечное состояние измерительного прибора Евы одно и то же. Ева не возмутила квантовых состояний, но она и не получила никакой информации о них, в силу (17.4).

Мы рассматривали и более общее измерение, когда Ева возмущает исходные состояния:

. (17.5)

Тогда в результате действий подслушивателя:

, (17.6)

. (17.7)

И опять, в силу унитарности, получаем:

(17.8)

Наилучшая ситуация с точки зрения Евы возникает, когда скалярное произведение принимает минимальное значение. Это происходит при

(поскольку ). При этом она получает максимальную возможность различить два состояния своего прибора, но два исходно неортогональные состояния становятся неразличимыми (17.9).

Квантовое кодирование информации впервые было предложено в работах Стефана Визнера, а также Чарльза Беннета и Жиля Брассарда. С.Визнер рассматривал т.н. «квантовые деньги», т.е. деньги, которые в принципе невозможно подделать. Кроме того, он предложил способ распределения двух или трех сообщений, при котором чтение одного из них уничтожало бы информацию, содержащуюся в других. Ч.Беннет и Ж.Брассард предложили реалистичный протокол распределения ключа. Также они обсуждали криптографические схемы типа протокола жеребьевки.

ПРОТОКОЛ BB 84 [ 5 ]

Этот протокол был предложен Ч.Беннетом и Ж.Брассаром в 1984 г. Для распределения ключа они рассматривали неортогональные состояния фотонов.

В оригинальной работе Ч.Беннет и Ж.Брассард рассматривали поляризационные состояния света в качестве квантовых систем, лежащих в основе протокола распределения ключа.

Основные свойства поляризованных фотонов.

Приготовить поляризованный свет можно, пропуская пучок света через какое-нибудь поляризационное устройство, например, призму Глана-Томсона. Ослабляя затем этот свет, можно в принципе, с некоторой вероятностью получить состояния типа смеси вакуумного и однофотонного фоковского:

(17.10)

где , а m и n представляют числа фотонов в двух ортогональных поляризационных модах. Хотя поляризация является непрерывно меняющейся величиной, принцип неопределенности запрещает извлечение более одного бита информации при измерении единичного фотона. Так, если свет, поляризованный вдоль оси a, направляется на поляризационный фильтр, ориентированный вдоль оси b, то отдельные фотоны проявляют дихотомность свойств и ведут себя вероятностным образом, поскольку могут быть либо пропущены с вероятностью , либо поглощены с сопряженной вероятностью . Детерминированность свойств отдельных фотонов, согласно такой интерпретации, возникает, лишь когда две оси параллельны (достоверное пропускание), либо скрещены (достоверное поглощение). Если же оси не перпендикулярны, так что некоторые фотоны пропускаются, то казалось бы, что можно извлечь дополнительную информацию об угле a, поместив поляроид в прошедший пучок под неким третьим углом. Однако это не так, поскольку прошедшие сквозь первый поляроид фотоны имеют определенную поляризацию b, т.е. они полностью утратили информацию о начальной поляризации a. Другой путь извлечения более одного бита информации из отдельного фотона состоит в приготовлении копий такого состояния и последующего их измерения. Однако такой путь запрещен no-cloning теоремой.

Напоминание из теории измерения (см.Лекцию 8)

Формально квантовая механика описывает внутреннее состояние системы с помощью вектора состояния y, имеющего единичную длину в линейном пространстве Н , определенном на поле комплексных чисел (гильбертово пространство). В этом пространстве определено скалярное произведение векторов:

, (17.11)

где символ «*» означает комплексное сопряжение. Каждое физическое измерение М , которое может быть выполнено над системой, соответствует разложению гильбертова пространства на ортогональные подпространства, причем на каждое подпространство приходится по одному результату измерений. Таким образом, число возможных исходов измерений ограничено размерностью d гильбертова пространства. Соответственно при наиболее полных измерениях гильбертово пространство раскладывается на d одномерных подпространств.

Пусть M k является проекционным оператором в k -ое подпространство измерения М . Тогда тождественный оператор I есть просто сумма проекционных операторов:

Из определения вектора состояния известно, что если система, находящаяся в состоянии y, подвергается измерению М , ее поведение становится вероятностным: исход к-ого измерения описывается вероятностью , которая на векторном языке означает квадрат длины проекции вектора состояния в подпространство M k . После измерения система переходит в новое состояние (постулат фон Неймана) , которое является просто единичным вектором в направлении проекции старого вектора состояния в подпространство M k . Согласно этому постулату, измерение оставляет вектор состояния неизменным, (т.е. результат измерения является предопределенным, детерминированным) лишь, когда начальный вектор состояния лежал целиком в одном из ортогональных подпространств, характеризующих измерение.

Гильбертово пространство отдельного поляризованного фотона является двухмерным пространством (d = 2). Следовательно, поляризационное состояние фотона полностью может быть описано с помощью линейной комбинации, скажем, двух единичных векторов и . Например, линейно поляризованный фотон под углом a к горизонтальному направлению, описывается вектором . Измеряя такой фотон в вертикально-горизонтальном (лабораторном базисе) получим горизонтально поляризованный фотон с вероятностью и вертикально поляризованный фотон с вероятностью . В этом смысле два вектора и представляют собой разложение двухмерного гильбертова пространства в два ортогональных одномерных пространства. Эти два вектора будем назвать линейным прямоугольным базисом .

Альтернативным базисом того же гильбертова пространства является т.н. диагональный базис, образованный векторами и .

Определение. Вообще, два (рассмотренных) базиса называются сопряженными ( conjugated , mutually unbiased ) , если каждый вектор одного базиса имеет проекции одинаковой длины на все вектора другого базиса. Это означает, что система, приготовленная в некоем состоянии, представленном векторами одного базиса, будет вести себя совершенно случайным образом (потеряет всю запасенную информацию) будучи измеренной в сопряженном базисе. Математически это требование записывается как

Вообще же, в знаменателе выражения (*) должна стоять размерность гильбертова пространства.

Говоря о двухмерном гильбертовом пространстве, необходимо отметить, что существует третий базис, сопряженный линейному и диагональному – т.н. циркулярный базис, образованный право- и лево-циркулярно поляризациями:

, . Однако для описание протокола распределения ключа нам потребуются лишь первые два базиса.

Описание протокола распределение ключа.

В традиционных протоколах с открытым ключом используются односторонние функции с секретом (повторное дискретное возведение в степень) без предварительного распределения секретной информации между пользователями. В квантовом протоколе квантовый канал используется для передачи некоторого массива случайных битов квантовых информации (кубитов), открытый канал – для обсуждения, см. табл.1.

Вводится синхронизация между действиями Алисы и Боба, т.е. каждый из них знает наверняка, в какой момент времени посылается состояние;

Алиса выбирает случайный массив битов (чередование 0 или 1 в моменты, оговоренные синхронизационным протоколом);

Алиса выбирает случайную последовательность (поляризационных) базисов – чередование либо линейного, либо диагонального (L, D);

Алиса посылает Бобу последовательность фотонов, кодируя поляризацию каждого фотона, исходя из массива битов и поляризационного базиса: каждый фотон имеет определенную поляризацию и описывается одним из четырех базисных векторов . Будем полагать, что значение бита «0» отвечает за состояния , а «1» – за состояния ;

Боб принимает (измеряет) посланные Алисой фотоны в одном из двух базисов. Причем выбор базиса – случаен. Боб интерпретирует результаты своих измерений в бинарном представлении, т.е. пользуясь тем же правилом, что и Алиса: «0» и «1» . Заметим, что как следует из теории измерений, Боб полностью теряет информацию о состоянии фотона, поляризованного в лабораторном базисе (H-V ), измеряя его в диагональном базисе (+45-45) и наоборот. Следовательно, Боб получает достоверную информацию о состоянии фотонов только в половине всех случаев – когда выбранный им базис совпал с базисом Алисы, т.е. когда измерение дает детерминированный результат. Если подслушивания не было, то в оставшейся половине случаев Алиса и Боб имеют некоррелировынные результаты. Следовательно, в среднем, Боб получает массив битов с 25%-ым содержанием ошибок. Этот массив называется сырым ключом . Кроме того, будем учитывать тот факт, что часть фотонов теряется при передаче. Практически, уровень технических ошибок в квантовых протоколах на сегодняшний день составляет несколько процентов (в отличие от уровня , достижимого в современных оптотелекоммуникационных линиях связи). Этот уровень называется Quantum Bit Error Rate (QBER).

Происходит обсуждение результатов измерений по открытому каналу связи, причем и Алиса и Боб предполагают, что их могут подслушать, но не перехватить или изменить результаты. Сперва, они определяют, какие из фотонов были зарегистрированы Бобом. Затем, определяют, в каких случаях Боб угадал базис. Боб сообщает базис, в котором производилось измерение, но не сообщает сам результат. При этом теряется 50% информации – когда Боб неверно угадал базис. Если сообщение не подслушивалось, то Алиса и Боб делают вывод, что биты, закодированные этими фотонами, переданы правильно . Заметим, что по открытому каналу информация о случайной последовательности битов, посылаемых Алисой, не передается – вывод делается только на основе теории квантовых измерений! Каждый из переданных таким образом фотонов в правильном базисе несет один бит информации, а именно был ли он поляризован вертикально или горизонтально в лабораторном базисе или под углами плюс-минус 45 град. - в диагональном базисе. В итоге у Боба остается более короткий массив битов, который называется просеянным ключом .

Затем, Алиса и Боб проверяют, были ли попытки подслушивания во время распределения ключа. Для этого они сравнивают некоторые биты, которые, как они считают, были распределены правильно, по открытому каналу связи. Позиции битов по шкале синхронизационного протокола, должны выбираться случайно, скажем, сравнивая каждый третий бит. В этом случае обнаружение подслушивания имеет высокую вероятность и состоит в том, что Алиса и Боб имеют разные биты. Если сравнение не обнаруживает разницы, то Алиса и Боб делают вывод, что распределение ключа произошло с высокой степенью надежности (все же имеется вероятность не обнаружить подслушивания, но при этом, у подслушивателя окажется мало информации).

Последний шаг протокола квантовой криптографии состоит в том, чтобы используя классические алгоритмы, исправить ошибки и уменьшить информацию, доступную Еве. Последняя процедура называется усилением секретности (privacy amplification). Простейшая процедура коррекции ошибок состоит в следующем. Алиса случайно выбирает пары битов и производит над ними операцию XOR. Боб выполняет такую же операцию над соответствующими своими битами. Если результат совпадает, они сохраняют первый из двух битов и уничтожают второй – поскольку сама процедура происходит по открытому каналу и результат доступен Еве. Если результаты отличаются – оба бита выкидываются (на практике используется более сложный алгоритм). После этой процедуры Алиса и Боб имеют одинаковые копии ключа, но у Евы все же может остаться некоторая информация о нем. Возникает необходимость в ее уменьшении – вступает в силу протоколы усиления секретности . Эти классические протоколы работают следующим образом. Алиса опять выбирает случайно пары битов и вычисляет их сумму по модулю 2 (XOR). Но в отличие от процедуры коррекции ошибок, она не сообщает это значение. Она лишь оглашает какие биты были выбраны, например, 103 и 539. Затем Алиса и Боб заменяют два бита на результат операции XOR. Таким образом Алиса и Боб укорачивают их ключи. Если Еве доступна лишь часть информации о двух битах, то ее информация о результате выполнения операции XOR будет еще меньше. Рассмотрим, например, случай, когда Еве известен только первый бит и ничего не известно про второй. Тогда она вообще ничего не знает про результат операции XOR. Если же Ева знает значения каждого из битов с вероятностью, скажем, 60%, то вероятность того, что она угадает значение операции XOR будет только (сумма вероятностей того, что оба бита угатаны неправильно и правильно, соответственно). Такую процедуру можно повторить несколько раз. Подчеркнем, что на этих этапах (выполнения протоколов коррекции ошибок и усиления секретности) работают исключительно классические протоколы, использующие открытые каналы связи. Итак, если вероятность ошибок не превосходит некоторой критической величины (в нерелятивистских схемах предел, по-видимому, составляет < 11% что определяется потерями в оптическом волокне), то далее возможна коррекция ошибок в нераскрытой части при помощи классических кодов и дальнейшее сжатие ключа (privacy amplification) для получение результирующего секретного ключа.

Включается абсолютно стойкий протокол одноразового блокнота через открытый канал связи.

Весь протокол повторяется каждый раз при необходимости посылки очередного сообщения.

Заметим, что на практике для передачи квантовых битов и обмена классическими сообщениями можно использовать один и тот же канал связи.

Замечание. Потери оптического волокна в окнах телеком составляют примерно: 1.55 мкм 0.2 дБ/км (0.2=10lgI 2 /I 1 , I 2 /I 1 =1.047); 1.31 мкм 0.35 дБ/км;

0.8 мкм 2 дБ/км.

Подслушивание в протоколе BB 84

Из-за того, что по квантовому каналу передается случайная смесь двух базисов, любая попытка подслушивания приводит к риску изменения поляризационного состояния фотона. Это приведет к различию в значениях битов Алисы и Боба, если измерения проводились в совпадающих базисах. Например, в некотором смысле, оптимальная стратегия подслушивания состоит в том, что Ева перехватывает все фотоны в квантовом канале, производит свои измерения только в одном из двух базисов (или вообще, только в одном) и ретранслирует исходы (т.н. стратегия перехватчик-ретранслятор ). Затем она пересылает Бобу (ретранслирует) другой кубит в состоянии, соответствующем результату ее измерения. Это не противоречит теореме о запрете копирования. В половине всех случаев Ева правильно угадает базис и, следовательно, Алиса-Боб не распознают ее присутствие. Однако, в другой половине случаев Ева неверно угадывает базис, поэтому она перешлет Бобу правильный кубит лишь в с вероятностью 50% (mutially unbiased bases). Этот кубит будет обнаружен Алисой-Бобом, в половине от этого числа случаев, т.к. они получат некоррелированные результаты (выявляется в протоколе коррекции ошибок). В итоге при использовании этой стратегии, Ева получает 50% информации - в случае угадывания базиса - в то время как Алиса-Боб получают 25% ошибочных битов в просеянном ключе, т.е. после выкидывания исходов в неправильных базисах. Этот случай подслушивания легко регистрируется. В другом варианте этой стратегии подслушивания Ева применяет ее только к каждому десятому биту. В этом случае она получает доступ к 5 процентам информации, в то время как Алиса и Боб обнаруживают 2.5%. Заметим, что рассмотренный случай активного подслушивателя в квантовом канале не взламывает протокола.

Вообще, анализируя ситуацию на этапе, когда Алиса и Боб имеют просеянный ключ и учитывая возможное присутствие Евы, можно сказать, что существует некоторая корреляция между классической информацией, доступной легитимным пользователям (Алисе и Бобу) и подслушивателем – Евой. Такая ситуация типична для классических криптографических протоколов. Чтобы анализировать ее количественно, вводится функция распределения , где все участники протокола – Алиса Боб и Ева описываются случайными параметрами , соответственно. Предположим, что такое совместное распределение вероятностей (классическое) существует. При этом Алиса и Боб обладают лишь маргинальным распределением . Задача состоит в том, чтобы ограничить доступную Еве информацию. Для данного распределения пока неизвестен критерий, дающий секретный ключ, распределенный между Алисой и Бобом или - условная энтропия. Однако существует некая граничная мера даваемая разностью между взаимной шенноновской информацией Алисы и Боба и взаимной информацией Евы :

Эта оценка показывает, что установление секретного ключа возможно, если Боб обладает большей информацией, чем Ева !

В приведенной только что аргументации есть слабое звено – мы предполагали, что Ева выполняет атаку до того, как Алиса и Боб включили процедуру коррекции ошибок. Формально это означает, что совместное распределение существует. Однако Ева может дождаться окончания протокола коррекции ошибок и только затем провести атаку. Такой вид атак называется «стратегией задержанного выбора »

Для нейтрализации активного подслушивателя в открытом канале можно воспользоваться схемой аутентификации Вегмана-Картера. В этой схеме Алиса и Боб должны изначально иметь небольшой секретный ключ, установленный, например, при личной встрече. С помощью такого ключа устанавливается нечто вроде «контрольной суммы» или метки, зависящей от каждого бита сообщения. Подслушиватель, который не знает ключа, имеет низкую вероятность сгенерировать правильную метку. Таким образом, метка устанавливает легитимность сообщения, а ее изменение указывает на попытку подслушивания.

Рассмотренный протокол ВВ84 является типичным и иллюстрирует основные принципы квантового распределения ключа. На его примере мы также рассмотрели некоторые протоколы коррекции ошибок, усиления секретности и стратегии подслушивателя. Рассмотрим некоторые другие протоколы квантовой криптографии.

Замечание. К очевидным недостаткам квантового распределения ключа следует отнести чисто практическую сложность их реализации. Квантовые состояния очень хрупки и подвержены сильному влиянию окружения, кроме того, они не могут быть усилены (простыми способами). Говоря о криптографических приложениях, пока не ясно как осуществить цифровую подпись или ability to settle disputes before judge.

ПРОТОКОЛ В92 [ 7 ]

Рассуждения, приведенные выше, основывались на том факте, что любое измерение неортогональных состояний, которое не возмущает их, в то же время не дает о них никакой информации (т.е. информации, позволяющей различить их). В 1992 году Ч.Беннет и Ж.Брассард предложили протокол распределения ключа, основанный на передаче только двух неортогональных состояний квантовой системы вместо четырех.

Рассмотрим два неортогональных состояния и , таких, что . Пусть и - два проектора в подпространства ортогональные состояниям и , соответственно. Заметим, что эти два оператора не коммутируют и что их индексы переставлены по отношению к соответствующим состояниям. Нетрудно убедиться, что оператор Р 0 уничтожает состояние :

но дает ненулевой результат при действии на :

В последнем соотношении фигурирует величина - вероятность ненулевого исхода. Аналогичные соотношения справедливы и для оператораР 1 .

Распределение ключей происходит следующим образом.

1. Устанавливается синхронизация моментов посылки состояний.

2. Алиса приготавливает и посылает Бобу случайную бинарную последовательность квантовых состояний и , где, например, , а .

3. Боб, независимо от Алисы, случайным образом решает, какой из двух операторов Р 0 или Р 1 применить к полученной последовательности состояний.

4. Затем Боб по открытому каналу сообщает Алисе номера синхронизационной шкалы, для которых он получил положительный результат. При этом он не сообщает, какой из двух операторов он использовал. Остальные события игнорируются

5. Если подслушивания не было, то оставленные события, составляющие приблизительно, -ую часть от общего числа испытаний, должны быть коррелированы. Заметим, что для поляризационного кодирования состояний “0 о ”и “45 о ”эта величина равна 1/2. Таким образом, если Алиса посылала , а Боб измерял Р 0 , если Алиса посылала , то Боб измерял Р 1 .

6. Перед тем, как Алиса и Боб установят секретный ключ, они должны провести процедуру коррекции ошибок и усиления секретности, действуя, например, так же как и в протоколе ВВ84. Жертвуя некоторыми битами, они убеждаются в идентичности некоторого их числа. Протокол иллюстрируется в таблице 2.

Итак, наше базовое предположение о невозможности извлечения однозначной информации об неортогональных состояниях без их возмущения, позволило ввести более простой, по сравнению с ВВ84, протокол. Однако, на практике, реализация такого протокола не нашла широкого применения. Дело в том, что все-таки существуют способы различимости двух неортогональных состояний, ценой некоторых потерь. Идея и соответствующие демонстрационные эксперименты основаны на том, что измерение, выполняемое в базисе, ортогональном, например, состоянию , однозначно выделяет такое состояние, в том смысле, что только состояние не пройдет через поляроид, ориентированный горизонтально. Другое же состояние пройдет через горизонтальный поляроид с 50%-ми потерями.

ЭПР-ПРОТОКОЛ [ 6 ]

В 1991 году А.Экерт предложил протокол основанный на перепутанных состояниях. Впоследствии оказалось, что этот протокол является разновидностью ВВ84, однако в обзорах по квантовым способам распределения ключа, как правило, он фигурирует отдельно. Примечательно также, что казалось бы, абсолютно умозрительные рассуждения, приведшие Эйнштейна, Подольского и Розена к их известному парадоксу, а также идеи, высказанные Дж.Беллом, все-таки нашли свое практическое воплощение. Сам А.Экерт, формулируя суть протокола, отмечал, что здесь «распределение ключа зависит от полноты квантовой механики». Под полнотой понимается тот факт, что квантовое описание обеспечивает максимально возможную информацию о рассматриваемой системе. Экспериментальная реализация рассматриваемого протокола, во всяком случае в принципиальном смысле, мало отличается от установок по наблюдению нарушения неравенств Белла. Можно сказать, что при распределении ключа вводится квантовый канал, где сам ключ существует без какого-либо «элемента реальности», связанного с этим ключом. В этом смысле он защищен полнотой квантовой механики.

Канал состоит из источника перепутанных фотонов, находящихся в синглетном состоянии. Частицы разлетаются вдоль оси z в направлениях к легитимным пользователям – Алисе и Бобу. Каждый из них получает по одной частице или половинке перепутанной пары. Затем Алиса и Боб выполняют измерение над свой частицей, ориентируя поляризационные призмы вдоль трех направлений: для Алисы – а i , для Боба – b j (i , j = 1, 2, 3 ). Конкретно, измеряя углы от вертикальной оси:

(17.16)

(17.17)

Алиса и Боб выбирают ориентацию призм случайно и независимо друг от друга для каждой пары перепутанных частиц. Каждое измерение дает результат либо +1, либо –1, т.е. срабатывает один из двух детекторов, установленных в выходных модах поляризационной призмы Алисы и Боба. Параметризованный таким образом сигнал представляет один (для одной частицы) бит информации.

где аргументы в корреляционных функциях Р означают выбранное направление. Например, означает вероятность того, что при данных установках поляризационных призм a i , b j Алиса получила результат «-1», а Боб «+1». Можно показать, что величина Е принимает значения

Для двух пар одинаковых ориентаций анализаторов (поляризационных призм)

квантово-механические предсказания дают полную антикорреляцию результатов, полученных Алисой и Бобом:

Следуя Клаузеру, Хорну, Шимони и Хольту можно ввести наблюдаемую величину - наблюдаемую Белла, составленную из корреляционных коэффициентов (17.18):

которая равна

После того, как перепутанные частицы поступили к Алисе и Бобу, те могут объявить по открытому каналу связи ориентации анализаторов, которые были выбраны случайным образом при каждом измерении. Затем, результаты измерений разделяются на две группы. К первой группе относятся результаты, полученные при разных ориентациях анализаторов, т.е., приводящие к (21). Ко второй – при одинаковых. Не учитываются те результаты, когда частица Алисы или Боба по каким-то причинам не была зарегистрирована вообще. Затем Алиса и Боб сообщают результат, который они получили только для первой группы измерений. Это позволяет им установить то значение S , которое для невозмущенных состояний частиц должно оказаться равным (21). В свою очередь последнее утверждение дает основание легитимным пользователям считать, что результаты, относящиеся ко второй группе измерений, антикоррелированы и могут быть преобразованы в секретный набор битов – сырой ключ .

Подслушиватель не может воспользоваться информацией, перехватывая перепутанные частицы, поскольку самой информации там нет. Считается, что она появляется в результате измерений, выполняемых Алисой. По Экерту измерение Алисы приготавливает состояние частицы Боба, хотя более последовательно было бы утверждать, что эта информация закодирована в корреляционных функциях Р и величине Е .

Литература

W. Diffie and M.E. Hellman, IEEE Trans. Inf. Theory IT-22, 644 (1977).

R. Rivest, A. Shamir, and L. Adleman, "On Digital Signatures and Public-Key Cryptosystems" , MIT Laboratory for Computer Science, Technical Report, MIT/LCS/TR-212 (January 1979).

P.W. Shor, Proceedings of the 35th Annual Symposium on the Foundations of Computer Science (IEEE Computer Society, Los Alamos, CA, 1994) p. 124.

C.H. Bennett, G. Brassard, and A.K. Ekert, "Quantum cryptography" , Scientific American, October 1992, p. 50.

S. Wiesner, SIGACT News 15 , 78 (1983); original manuscript written circa 1970. C.H. Bennett and G. Brassard, in "Proc. IEEE Int. Conference on Computers, Systems and Signal Processing", IEEE, New York (1984). C.H. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, "Experimental quantum cryptography," J. Cryptology 5 , 3 (1992).

A.K. Ekert, Phys. Rev. Lett. 67 , 661 (1991); A.K. Ekert, J.G. Rarity, P.R. Tapster, and G.M. Palma, Phys. Rev. Lett. 69 , 1293 (1992).

C.H. Bennett, Phys. Rev. Lett. 68 , 3121 (1992).

A. Muller, J. Breguet, and N. Gisin, Europhys. Lett. 23 , 383 (1993).

P.R. Tapster, J.G. Rarity and P.C.M. Owens, Phys. Rev. Lett. 73 , 1923 (1994).

P D. Townsend, J.G. Rarity, and P.R. Tapster, Electron. Lett. 29 , 1291 (1993).

D.Mayers, A.Yao, Unconditional Security in Quantum Cryptography, quant-ph/9802025.

E.Biham, M.Boyer, P.O.Boykin, T.Mor, V.Roychowdhury, A Proof of the Security of Quantum Key Distribution, quant-ph/9912053.

P.W.Shor, J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, quant-ph/0003004.

Эти наборы значений углов не являются единственными.

Представьте себе такую линию связи, которую невозможно прослушать. Вообще никак. Что бы ни делал злоумышленник и кем бы он ни был, попытки взломать защиту к успеху не приведут. Устройства для такой передачи данных, использующей принципы квантовой криптографии, создают в ООО «Квантовые коммуникации» – малом инновационном предприятии при Университете ИТМО. Генеральный директор предприятия и руководитель университетской лаборатории квантовой информатики Международного института фотоники и оптоинформатики Артур Глейм участвовал в XII Международных чтениях по квантовой оптике (IWQO-2015) в Москве и подмосковном Троицке, где он выступил с докладом о квантовой рассылке ключа шифрования на так называемых боковых частотах. О том, как этот способ позволяет улучшить качество передачи данных и как вообще работают квантовые коммуникации, Артур Глейм рассказывает в интервью нашему порталу.

Что такое квантовая криптография и зачем она нужна?

Главная идея квантовой криптографии – передавать информацию таким образом, чтобы ее было нельзя перехватить. Причем это должно быть невозможно не потому, что алгоритмы шифрования слишком сложные, и не из-за того, что злоумышленник не располагает достаточно высокими вычислительными мощностями. Мы строим систему передачи данных так, что ее взлом противоречит законам физики.

Если мы управляем какой-то системой, которую потенциально может нарушить злоумышленник, нам нужно передавать данные доверенным образом. Это могут быть, например, решения, связанные с финансами, коммерческой тайной, государственными задачами и так далее. Квантовая криптография, квантовая связь и квантовые коммуникации решают задачу так, что перехватывать информацию ограниченного доступа запрещает сама природа. Сигналы передаются по линиям связи не в классическом виде, а с помощью потока одиночных фотонов. Фотон нельзя разделить или измерить, скопировать или незаметно отвести в сторону. Он из-за этого однозначно разрушается и не доходит до принимающей стороны.

Ключевой вопрос в том, как сделать это эффективно, так как мы используем не идеальную систему, а физические линии связи – оптическое волокно или открытое пространство. На пути к получателю на фотон может воздействовать много факторов, которые могут его разрушить. Так как мы говорим о практическом применении, нас интересует скорость передачи данных между такими системами и максимальное расстояние, на которое мы можем разнести узлы. Это основные предметы разработки различных подходов, идей и принципов построения систем квантовой криптографии: эффективность использования канала передачи данных, пропускная способность и уменьшение количества повторителей, а главное – наивысший уровень защищенности и безопасности канала. В основе квантовой криптографии лежит тезис о том, что злоумышленник может пытаться делать что угодно, использовать любые инструментарий и оборудование – хотя бы технику пришельцев, но перехватить данные он не должен. А на базовый принцип уже «накручиваются» технические решения.

На каких физических принципах основывается квантовая коммуникация?

Существует несколько схем реализации этих принципов, разные подходы, которые вносят свои возможности по увеличению скорости и дальности передачи сообщений. Системы квантовой криптографии давно производятся коммерческими компаниями. Но специалисты Университета ИТМО предложили новый принцип, который иначе формулирует понятие квантового состояния, «способа приготовления» фотона как порции излучения, чтобы он был более устойчивым к внешним воздействиям, система связи не требовала дополнительных средств организации устойчивой передачи и не несла в себе явных ограничений на скорость модуляции сигнала со стороны отправителя и получателя. Мы выносим квантовые сигналы на так называемые боковые частоты, это позволяет значительно расширить возможности по скорости и снять явные ограничения по дальности, присущие уже принятым схемам.

Чтобы понять, в чем отличие вашего метода, давайте все-таки начнем с принципов работы классических схем.

Обычно люди, когда строят системы квантовой связи, генерируют слабый импульс, эквивалентный или близкий к энергии одиночного фотона, и отправляют его по линии связи. Чтобы закодировать в импульсе квантовую информацию, проводят модуляцию сигнала – изменяют поляризацию или фазовое состояние. Если мы говорим про волоконно-оптические линии связи, для них более эффективно использовать фазовые состояния, потому что сохранять и передавать поляризацию они не умеют.

Вообще фаза фотона – это вульгаризм, который придумали экспериментаторы в области квантовой физики. Фотон – это частица, у нее нет фазы, но она является частью волны. А фаза волны – это характеристика, которая показывает некоторую отстройку состояния поля электромагнитной волны. Если представить волну как синусоиду на координатной плоскости, сдвиги ее положения относительно начала координат соответствуют некоторым состояниям фазы.

Говоря простыми словами, когда человек шагает, шаг – это процесс, который повторяется по кругу, у него тоже есть период, как у волны. Если два человека идут в ногу – фазы совпадают, если не в ногу – то фазовые состояния разные. Если же один начинает движение в середине шага другого, то их шаги находятся в противофазе.

Для того, чтобы закодировать в импульсе квантовую информацию, используют модулирующее устройство, которое сдвигает волну, а чтобы измерить сдвиг, мы складываем эту волну с такой же и смотрим, что получится. Если волны находятся в противофазе, то две величины накладываются и гасят друг друга, на выходе мы получаем ноль. Если же мы угадали, то синусоиды складываются, поле увеличивается и итоговый сигнал получается высокий. Это называется конструктивной интерференцией излучения, ее можно проиллюстрировать теми же человеческими шагами.

В начале прошлого века в Петербурге рухнул Египетский мост, когда по нему маршировал взвод солдат. Если просто взять сумму всех шагов, для того, чтобы разрушить мост, энергии не хватит. Но когда шаги попадают в такт, происходит интерференция, нагрузка повышается, и мост не выдерживает. Поэтому сейчас солдатам, если они переходят через мост, отдают команду сбить шаг – идти не в ногу.

Итак, если наши фазовые предположения совпали и сигнал усилился, значит, фазу фотона мы измерили правильно. В классических системах квантовой коммуникации используются распределенные интерферометры, и они определяют квантовую информацию по положению сдвига фазы волны. Воплотить это на практике сложно – линии связи могут греться и охлаждаться, может присутствовать вибрация, все это меняет качество передачи. Фаза волны начинает смещаться сама, и мы не знаем, то ли отправитель ее так «промодулировал», то ли это помехи.

А чем отличается использование боковых частот?

Наш принцип заключается в том, что мы отправляем в линию связи специальный спектр. Это можно сравнить с музыкой – в спектре мелодии много частот, и каждая оставляет за собой звучание. Здесь примерно то же самое: мы берем лазер, который генерирует импульсы только на одной частоте, пропускаем импульс через электрооптический фазовый модулятор. На модулятор подается сигнал на другой частоте, существенно более низкой, и в результате кодирование осуществляется не основной синусоидой, а параметрами вспомогательной синусоиды – ее частотой смены фазы, фазовым положением. Мы передаем квантовую информацию отстройкой дополнительных частот в спектре импульса относительно центральной частоты.

Такое шифрование становится куда более надежным, так как спектр передается по линиям связи одним импульсом, и если среда передачи вносит какие-то изменения, их претерпевает весь импульс целиком. Мы также можем добавить не одну дополнительную частоту, а несколько, и одним потоком единичных фотонов мы можем поддерживать, к примеру, пять каналов связи. В итоге нам не нужен интерферометр в явном виде – он «зашит» внутри импульса, нет нужды в схемах компенсации дефектов в линии, нет ограничений на скорость и дальность передачи данных, а эффективность использования линий связи – не 4%, как в случае с классическими подходами, а до 40%.

Этот принцип придумал главный научный сотрудник Центра информационных и оптических технологий Университета ИТМО Юрий Мазуренко . Сейчас кодирование квантовой информации на боковых частотах также развивают две ученые группы во Франции и Испании, но в наиболее развернутом и полном виде система реализована у нас.

Как теория воплощается на практике?

Все эти квантовые премудрости нужны для формирования секретного ключа – случайной последовательности, которую мы перемешиваем с данными, чтобы их в итоге было невозможно перехватить. По принципу действия системы для безопасной передачи эквивалентны VPN-роутеру, когда мы через внешний интернет прокладываем локальную сеть, чтобы в нее никто не ломился. Мы устанавливаем два устройства, у каждого из которых есть порт, который подключается к компьютеру, и порт, который «смотрит» во внешний мир. Отправитель подает данные на вход, устройство их шифрует и безопасно передает через внешний мир, вторая сторона принимает сигнал, расшифровывает и передает получателю.

Допустим, такое устройство покупает банк, его устанавливают в серверное помещение и используют как коммутатор. Понимать принцип работы банку не нужно – нужно только знать, что за счет основ квантовой физики получаются такие степень безопасности и доверия к линии, которая на порядок выше классических сред передачи информации.

Как именно происходит шифрование?

В устройствах стоит генератор случайных чисел (причем физический, не псевдо-ГСЧ), и каждое устройство задает квантовое состояние фотонов случайным образов. В квантовой коммуникации отправителя принято называть «Алиса», а получателя – «Боб» (А и Б). Допустим, Алиса и Боб выбрали квантовое состояние, соответствующее 0, фазы оптического излучения совпали, получился высокий уровень сигнала и детектор фотонов Боба сработал. Если Алиса выбрала 0, а Боб 1, фазы разные и детектор не срабатывает. Дальше приемная сторона говорит, когда фазы совпали, допустим, на первой, пятой, пятнадцатой, сто пятьдесят пятой передачах, в остальных случаях либо были разные фазы, либо фотоны не дошли. Для ключа мы оставляем только то, что совпало. И Алиса, и Боб знают, что у них совпали передачи 1, 5, 15 и 155, но что они при этом передавали – 0 или 1 – знают только они и никто больше.

Допустим, мы станем подкидывать монетки, а третий человек будет говорить, совпали у нас выпавшие стороны или нет. У меня выпала решка, нам сказали, что монетки совпали, и я буду знать, что у вас тоже выпала решка. То же и в квантовой криптографии, но с одним условием: третья сторона не знает, что именно у нас выпало – орел или решка, это знаем только мы. Алиса и Боб копят случайные, но одинаковые биты, накладывают их на сообщение и получают идеальный шифротекст: абсолютно случайная последовательность плюс осмысленное сообщение равно абсолютно случайная последовательность.

Почему у злоумышленника не получится взломать систему?

Фотон один, делить его нельзя. Если его убрать из линии, Боб ничего не получит, детектор фотонов не сработает, и отправитель с получателем просто не станут использовать этот бит в ключе. Да, злоумышленник может перехватить этот фотон, но бит, который в нем зашифрован, не будет использован в передаче, он бесполезен. Скопировать фотон тоже невозможно – замер в любом случае его разрушает, даже когда фотон измеряет легитимный пользователь.

Есть несколько режимов использования данных систем. Для того, чтобы получить идеальную защиту, длина ключа должна быть равна длине сообщения бит в бит. Но еще их можно использовать для того, чтобы существенно повысить качество классических шифров. Когда происходит смешение квантовых битов и классических шифров, стойкость шифров вырастает по экспоненте, существенно быстрее, чем если бы мы просто увеличивали количество разрядов в ключе.

Допустим, банк выдает клиенту карточку на доступ к онлайн-клиенту, срок жизни ключа в карточке – год (считается, что за этот срок ключ не будет скомпрометирован). Система квантовой криптографии позволяет на лету менять ключи шифрования – сто раз в секунду, тысячу раз в секунду.

Оба режима возможны, если нам необходимо передать предельно конфиденциальные данные. В таком случае кодировать их можно бит в бит. Если же мы хотим значительно повысить степень защиты, но сохранить высокую скорость передачи, то мы перемешиваем квантовые и классические ключи, и получаем оба преимущества – высокую скорость и высокую защиту. Конкретная же скорость передачи данных зависит от условий используемых шифров и режимов кода.

Беседовал Александр Пушкаш ,
Редакция новостного Университета ИТМО

В июле команда физиков из Гарвардского университета заявила о создании 51-кубитного квантового компьютера. Уже понятно, что он принесет не только новые возможности, но и новые опасности. Есть ли шанс защититься?

Фото: фото из архива пресс-службы Российского квантового центра

Кубиты — тип битов, которыми оперируют квантовые компьютеры, и до июля самым сложным был компьютер производства IBM на 17 кубитах. Пока ученые спорят о том, способен ли новый компьютер решать задачи, которые недоступны обычным компьютерам, стоит подумать, какие опасности он может представлять?

Одна из них — квантовый компьютер сможет расшифровать любые данные, которые закодированы с помощью сложных математических алгоритмов, и обычные методы криптографии здесь не помогут. Защиту способны обеспечить только устройства, основанные на принципах той же квантовой физики. В России вывод на рынок устройств квантовой криптографии готовят три команды — Российского квантового центра (РКЦ), Московского государственного университета и совместная группа Университета ИТМО и Казанского квантового центра. Команда РКЦ обещает сделать это первой — уже в 2018 году.

Квантовые ключи

Когда два года назад директор РКЦ Руслан Юнусов пообещал инвестору центра, Газпромбанку, первым в России выпустить на рынок коммерческий продукт в сфере квантовой защиты информации, в положительный исход с трудом верил даже лидер проекта физик Юрий Курочкин, посвятивший теме квантового шифрования без малого десять лет. Сейчас 30 физиков, инженеров и программистов посменно дорабатывают «квантовый криптограф», чтобы успеть запустить его в серию в следующему году.

Большинство современных систем защиты информации основано на крайней сложности применяемых в них математических алгоритмов. Один из самых популярных сегодня методов предполагает использование криптографии с открытым ключом. Ключ — секретная информация, с помощью которой зашифровано сообщение, передается по открытому, незащищенному каналу, отсюда и название. Создать ключ довольно просто, а вот взлом сообщения, которое с его помощью зашифровано, — очень сложная математическая задача, решить которую с существующими компьютерными мощностями практически невозможно, поскольку на это потребуется очень много времени, объясняет научный сотрудник РКЦ и один из руководителей проекта квантовой криптографии Алексей Федоров.

Ситуация может в одночасье измениться: в следующие пять—десять лет в мире может появиться квантовый компьютер, мощностей которого окажется достаточно для расшифровки сообщений, зашифрованных криптографией с открытым ключом, и против которого сегодняшние методы этой криптографии будут бесполезны. Решение проблемы нашлось там же, где и ее причина: на смену математической криптографии приходит квантовая, базирующаяся на физических законах.

Технологии квантовой криптографии точнее будет назвать технологиями квантового распределения ключа, и решают они как раз главную проблему классической криптографии — безопасного распределения ключей. «Вы можете выработать ключ, с помощью которого зашифруете сообщение так, что никто не сможет его прочесть. Но передать этот ключ получателю сообщения так, чтобы быть абсолютно уверенным, что он не был прочитан третьей, нежелательной стороной, вы не можете», — объясняет Федоров.

Квантовое распределение ключей решает эту проблему: ключ генерируется и передается с помощью фотонов, приведенных в определенное квантовое состояние. Перехватить передачу этих элементарных частиц, оставшись незамеченным, невозможно: это противоречит законам физики. Нельзя клонировать неизвестное квантовое состояние — это закон физики, сформулированный Уильямом Вуттерсом, Войцехом Зуреком и Деннисом Диэксом в 1982 году. «Если информация закодирована элементарными квантовыми состояниями, то попытка ее «подслушать» внесет в передаваемые данные ошибки, которые очень легко заметить и измерить. Если ошибок много, информацию могли пытаться узнать посторонние. Тогда ключ просто выкидывается и подбирается новый, и так пока не найдется вариант, при передаче которого не будет превышен допустимый уровень ошибок», — объясняет Вадим Макаров, эксперт по квантовой связи и руководитель лаборатории квантового взлома в Институте квантовых вычислений Университета Ватерлоо (Канада).

Для безопасного коннекта у обеих сторон соединения должно быть два устройства: лазер, источник фотонов, с одной стороны, и детектор, «считыватель» фотонов — с другой. Они соединены оптоволоконным кабелем, по которому передается ключ. Скопировать квантовый ключ нельзя. Таким образом, система дает абсолютную защиту пересылаемым данным. Но сейчас у квантовой коммуникации есть заметная слабость: передавать ключи с помощью фотонов можно только на расстояния 50-100 км. На более длинных дистанциях оптоволокно поглощает фотоны, что кратно снижает скорость передачи информации и делает систему непригодной для практического использования, рассказывает Макаров.
Чтобы создать защищенную линию, например между Москвой и Санкт-Петербургом, понадобится примерно десять раз воспроизвести систему «защищенные — источник-детектор одиночных фотонов», каждый раз устанавливая приемно-передающие станции с защищенным узлом, доступ к которым будет только у доверенных лиц. Пока не проложены магистральные «квантовые» каналы связи, использовать которые смогут одновременно многие пользователи, потребителями технологии, скорее всего, будут компании, которым необходима защищенная линия внутри одного города.

«Фотон как курица»

Проект РКЦ самый молодой: разработку коммерческого устройства ученые центра начали около двух лет назад, тогда как университетские команды работают над своими проектами уже по восемь—десять лет. «Под проект получили инвестиции от Газпромбанка и изначально начинали разработку с прицелом максимально быстрого выхода на рынок. Возможности работать в «университетском» формате и тратить на разработку многие годы у нас не было», — говорит Курочкин. В 2015 году Газпромбанк вложил в эту и другие разработки РКЦ 230 млн руб. Сократить срок разработки команде РКЦ помогло и то, что в проекте использовались разработанные предшественниками из других научных организаций инженерные решения, а также алгоритм генерации ключа, известные всем научным группам, ведущим исследования в этой области.

Фото: Артем Голощапов для РБК

Другое устройство, которое разрабатывает команда Университета ИТМО, проходит испытания в Петербурге, Казани и Самаре. Оно появится в ближайшие год-два, обещают в вузе. Разработчики придумали свой способ передачи фотонов, который, по словам участников команды проекта, поможет улучшить технические характеристики. Обычно в устройствах такого типа квантовый сигнал формируется непосредственно источником и передается сначала в одну сторону, затем отражается и идет обратно: это нужно для компенсации воздействия внешней среды на линию связи, говорит лидер проекта, физик Артур Глейм.

«Мы придумали другой способ: идея в том, чтобы поместить квантовый сигнал на боковой частоте сильного классического оптического сигнала, отправлять сильный импульс, а рядом с ним с отстройкой по частоте квантовый сигнал. Кодирование происходит относительно центральной (опорной) частоты. Благодаря этому ему не нужно проходить путь дважды, увеличиваются скорость и расстояние», — объясняет Глейм.

Все три проекта российских институтов примерно равнозначны по своим характеристикам, очевидного лидера среди них нет, считает Вадим Макаров. «Фотон как курица. Каждый «ресторан» готовит его по-своему, но отличие только в этом, а принцип работы остается одним и тем же». На мировом рынке уже есть работающие устройства для квантовой криптографии. Швейцарская ID Quantique сделала первую коммерческую систему больше десяти лет назад. Выпускают такие устройства компании из Японии (Toshiba), Великобритании (QinetiQ), Австрии (Austrian Institute of Technology) и Китая — правда, купить на открытом рынке можно только швейцарские и австрийские устройства.

Конкурировать с зарубежными производителями, по мнению Макарова, российским компаниям будет довольно сложно: все они уже не первый год рынке, новичкам же только предстоит пройти этот путь. Но информационная безопасность — очень болезненная тема, и по крайней мере один рынок, российский, останется полностью в распоряжении местных производителей, говорит ученый. «У российских устройств есть и экспортный потенциал: в конце концов, для России экспорт оружия — одна из существенных статей дохода, не вижу причин, почему не найдутся покупатели и на устройства квантового шифрования», — добавляет Макаров.

Спрос и предложение

Комплект устройства квантовой криптографии от швейцарской ID Quantique обойдется в $200 тыс. Устройство от РКЦ должно стоить меньше — около $150 тыс., говорят в РКЦ. Выводить на рынок разработку, представляющую черную коробку размером примерно с системный блок компьютера, будет отдельный стартап РКЦ — компания QRate.

Основными покупателями новых систем, считает Макаров, станут правительство, банки и крупный бизнес — те структуры, у которых бюджеты на информационную безопасность достаточно велики, чтобы дополнительные траты не внесли в них радикальных изменений. В РКЦ ориентируются прежде всего на банки. Кроме Газпромбанка команда лаборатории договорилась о сотрудничестве в сфере квантовых технологий с ВЭБом. Когда угроза современным методам шифрования станет вполне реальной, квантовая связь должна уже быть налажена, заявил журналу РБК старший вице-президент банка Глеб Юн. Всего ВЭБу могут потребоваться десятки таких устройств, на внедрение которых может понадобиться несколько лет, говорит он. Газпромбанк не ответил на вопросы журнала РБК.

$1 млрд — приблизительно такой объем у рынка квантовой криптографии на сегодняшний день

50-100 км — примерно на таком расстоянии сегодня могут работать устройства квантовой криптографии

$200 тыс. — ориентировочная стоимость комплекта устройств квантовой криптографии от швейцарской компании ID Quantique, лидирующей на рынке квантовой связи

Немного о квантовой криптографии

• Информационная безопасность ,
• Криптография

Квантовые компьютеры и связанные с ними технологии в последнее время становятся все актуальнее. Исследования в этой области не прекращаются вот уже десятилетия, и ряд революционных достижений налицо. Квантовая криптография - одно из них.
Владимир Красавин «Квантовая криптография»

Действительно в последнее время все чаще мы слышим такие понятия как «Квантовый компьютер», «Квантовые вычисления» и конечно же «Квантовая криптография».

И если с первыми двумя понятиями в принципе всё понятно, то «Квантовая криптография» - понятие, которое хоть и имеет точную формулировку, до сих пор остается для большинства людей темным и не совсем понятным этакий Ёжик в тумане.

Но прежде чем непосредственно перейти к разбору данной темы введем базовые понятия:

Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Квантовая физика – раздел теоретической физики, в котором изучаются квантово-механические и квантово-полевые системы и законы их движения. Основные законы квантовой физики изучаются в рамках квантовой механики и квантовой теории поля и применяются в других разделах физики.

Квантовая криптография – метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики.

Ортогональность – понятие, являющееся обобщением перпендикулярности для линейных пространств с введённым скалярным произведением.

Quantum Bit Error Rate (QBER) – уровень квантовых ошибок.

Главной её особенностью, а заодно и особенностью любой квантовой системы является невозможность вскрытия состояние системы на протяжении времени, так при первом же измерении система меняет свое состояние на одно из возможных неортогональных значений. Помимо всего прочего существует «Теорема о запрете клонирования» сформулированная в 1982 году Вуттерсом, Зуреком и Диэксом, которая говорит о невозможности создания идеальной копии произвольного неизвестного квантового состояния, хотя и существует лазейка, а именно - создание неточной копии. Для этого нужно привести исходную систему во взаимодействие с большей вспомогательной системой и провести унитарное преобразование общей системы, в результате которого несколько компонентов большей системы станут приблизительными копиями исходной.

Основы передачи данных

В качестве носителей информации, чаще всего, используются одиночные или парные связанные фотоны. Значения 0/1 кодируются различными направлениями поляризации фотонов. При передаче используются случайно выбранный 1 из двух или трех неортогональных базисов. Соответственно правильно обработать входной сигнал возможно только если получатель смог подобрать правильный базис, в противном случае исход измерения считается неопределенным.

Если же хакер попытается получить доступ к квантовому каналу, по которому происходит передача, то он, как и получатель будет ошибаться в выборе базиса. Что приведет к искажению данных, которое будет обнаружено обменивающимися сторонами при проверке, по некому выработанному тексту, о котором они договорились заранее, например, при личной встрече или по зашифрованному, методами классической криптографии, каналу.

Ожидание и Реальность

Появляются две особенности:

• Существует возможность неправильно переданных битов, в силу того, что процесс носит вероятностный характер.
• Так как главная особенность системы – это использование импульсов с низкой энергией, это сильно снижает скорость передачи данных.

Неправильные, или точнее говоря искаженные биты могут возникать по двум основным причинам. Первая причина это я, несовершенность оборудования используемого при передаче данных, вторая причина - это вмешательство криптоаналитика или хакера.
Решение первой причины очевидно Quantum Bit Error Rate.

Quantum Bit Error Rate представляет собой уровень квантовых ошибок, который вычисляется по довольно замысловатой формуле:

QBER= «p_f+(p_d*n*q*∑(f_r* t_l) /2)*μ»

Где:

p_f: вероятность неправильного «щелчка» (1-2%)
p_d: вероятность неправильного сигнала фотона:
n: количество обнаружений
q: фаза= 1/2; поляризация = 1
Σ: detector efficiency
f_r: частота повторения
p_l: скорость передачи данных (чем больше расстояние, тем меньше)
µ: затухание для световых импульсов.

Таким образом можно сделать следующие выводы:

1. Хоть в идеале защищенный методами Квантовой криптографии канал взломать практически невозможно, по крайней мере известными на данный момент способами, на практике следуя правилу, что стойкость системы определяется стойкостью самого слабого её звена, мы убеждаемся в обратном;
2. Квантовая криптография развивается, причем довольно-таки быстро, но к сожалению практика не всегда поспевает за теорией. И как следствие вытекает третий вывод;
3. Созданные на данный момент системы использующие такие протоколы как BB84, B92 подвержены атакам, и по своей сути не обеспечивают достаточной стойкости.

Но как же так есть ведь протоколы E91 и Lo05. И он принципиально отличается от BB84, B92.
- Да, и все же есть одно, НО…

Но об этом в следующей статье.

Представьте себе, что прежде чем отправить электронное письмо приятелю, вы должны достать карту, измерить расстояние до города, где он живет, и если окажется, что это расстояние больше, чем 100 км, вы со вздохом берете карандаш и бумагу и беретесь за обычное «бумажное» письмо — электронная почта дальше, чем на 100 км, не ходит.

Абсурдная ситуация? Но именно так сейчас обстоят дела с передачей квантовых данных по оптоволоконным линиям связи — рекордная дальность передачи здесь до сих пор лишь немного превышает сотню километров, а устойчивая работа на нормальных, не рекордных линиях вообще ограничивается 40 км. Это означает, например, что линию квантовой коммуникации можно организовать внутри Москвы, а вот о передаче данных в Петербург пока нечего и думать. Каковы же перспективы квантовой криптографии в области дальней связи?

Вскрытие на слух

Первый успешный эксперимент по квантовой передаче данных был проведен Беннетом и Жилем Брассаром в конце октября 1989 года, когда защищенная квантовая связь была установлена на расстоянии 32,5 см. Установка меняла поляризацию фотонов, но при этом блок питания шумел по‑разному в зависимости от того, какой была поляризация. Таким образом, окружающие могли свободно различать нули и единицы на слух. Как пишет Брассар, «наш прототип был защищен от любого подслушивающего, который оказался бы глухим». В октябре 2007 года методы квантовой криптографии были впервые применены в широкомасштабном проекте. Система квантовой защищенной связи, разработанная швейцарской компанией Id Quantique, использовалась для передачи данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева. Таким образом, голоса швейцарцев были защищены как никакая другая информация.

Банкноты и блокноты

История квантовой криптографии началась еще в конце 1960-х годов, когда студент Колумбийского университета Стивен Визнер изложил своему бывшему сокурснику Чарльзу Беннету идею квантовых банкнот, которые в принципе нельзя подделать, поскольку это исключают законы природы. Суть идеи состояла в том, чтобы поместить на каждую банкноту несколько квантовых объектов. Это могут быть, например, ловушки с фотонами, каждый из которых поляризован под определенным углом в одном из двух базисов — либо под углом 0 и 90, либо 45 и 135 градусов. Серийный номер напечатан на банкноте, но соответствующая номеру комбинация поляризаций и базисов (фильтров, с помощью которых фотону придается или измеряется его поляризация) при этом известна только банку. Чтобы подделать такую банкноту, фальшивомонетчик должен измерить поляризацию каждого фотона, но он не знает, в каком базисе поляризован каждый из них. Если он ошибется с базисом, то поляризация фотона изменится, и поддельная банкнота будет с неверной поляризацией. Квантовые деньги до сих пор не появились, поскольку пока не удалось создать достаточно надежных ловушек для фотонов. Однако тогда же Визнер предложил использовать тот же самый принцип для защиты информации, и эта технология сейчас уже близка к реализации.

Первый протокол квантового распределения ключей был создан Жилем Брассаром и Чарльзом Беннетом в 1984 году и получил название BB84. Для передачи данных используются фотоны, поляризованные в четырех разных направлениях, в двух базисах — под углом 0 и 90 градусов (обозначается знаком +) либо 45 и 135 градусов (x). Отправитель сообщения A (традиционно его называют «Алиса») поляризует каждый фотон в случайно выбранном базисе, а затем отправляет его получателю B — «Бобу». Боб измеряет каждый фотон, тоже в случайно выбранном базисе. После этого Алиса по открытому каналу сообщает Бобу последовательность своих базисов, и Боб отбрасывает неправильные (не совпавшие) базисы и сообщает Алисе, какие данные «не прошли». При этом сами значения, полученные в результате измерений, они по открытому каналу не обсуждают. Если шпион (его обычно называют «Евой», от английского eavesdropping — подслушивание) захочет перехватить секретный ключ, он должен будет измерять поляризацию фотонов. Поскольку он не знает базиса, он должен будет определять его случайным образом. Если базис будет определен неправильно, то Ева не получит верных данных, а кроме того, изменит поляризацию фотона. Появившиеся ошибки сразу обнаружат и Алиса, и Боб.

Идеи Визнера, однако, были признаны далеко не сразу. Еще в начале 1970-х годов Визнер отправил свою статью о квантовой криптографии в журнал IEEE Transactions on Information Theory, но редакторам и рецензентам язык статьи показался слишком сложным. Лишь в 1983 году эта статья увидела свет в журнале ACM Newsletter Sigact News, и именно она стала первой в истории публикацией об основах квантовой криптографии.

Первоначально Визнер и Беннет рассматривали вариант передачи зашифрованных сообщений с помощью квантовых «носителей», при этом подслушивание портило бы сообщение и не давало возможности его прочесть. Затем они пришли к улучшенному варианту — использованию квантовых каналов для передачи одноразовых «шифроблокнотов» — шифровальных ключей.

Закрытый конверт

Квантовые системы связи основаны на использовании квантовых свойств носителей информации. Если в обычных телекоммуникационных сетях данные кодируются в амплитуде и частоте излучения или электрических колебаний, то в квантовых — в амплитуде электромагнитного поля или в поляризации фотонов. Разумеется, потребуется значительно более дорогая и сложная аппаратура, но эти ухищрения оправданны: дело в том, что передача информации по квантовым каналам обеспечивает стопроцентную защиту от «прослушки». Согласно законам квантовой механики измерение свойств того или иного квантового объекта, например измерение поляризации фотона, неминуемо меняет его состояние. Получатель увидит, что состояние фотонов изменилось, и предотвратить это нельзя в принципе — таковы фундаментальные законы природы. Это можно описать такой аналогией: представьте себе, что вы пересылаете письмо в закрытом конверте. Если кто-то откроет письмо и прочитает его, цвет бумаги изменится, и получатель неминуемо поймет, что послание читал кто-то третий.

Самая ценная информация — это шифровальные ключи. Если ключ имеет длину, равную самому сообщению или еще длиннее, то расшифровать послание, не зная ключа, в принципе невозможно. Остается организовать защищенную передачу ключей, а это как раз и обеспечивают квантовые линии связи. Однако пока дистанция передачи данных для таких линий слишком коротка: из-за тепловых шумов, потерь, дефектов в оптоволокне фотоны не «выживают» на больших расстояниях.

Самая ценная информация — шифровальные ключи. Если ключ имеет длину, равную самому сообщению или еще длиннее, то расшифровать послание, не зная ключа, невозможно.

Квантовые ключи

Множество исследовательских групп по всему миру разрабатывают устройства «восстановления» квантовых данных — так называемые квантовые повторители, которые способны «оживлять» фотоны. Группа исследователей из Российского квантового центра под руководством профессора Александра Львовского нашла способ восстанавливать свойства фотонов и подтвердила в эксперименте работоспособность этого метода. Ученые занимались изучением феномена квантовой запутанности, при котором состояния двух или нескольких объектов — атомов, фотонов, ионов — оказываются связаны. Если состояние одного из пары запутанных фотонов измерить, то состояние второго немедленно станет определенным, причем состояния их обоих будут связаны однозначно — например, если один фотон окажется поляризован вертикально, то второй — горизонтально и наоборот.

«Если распределять пары запутанных фотонов между двумя удаленными партнерами, то они оба получают одну и ту же последовательность, которую можно использовать как шифровальный ключ, поскольку это истинно случайная последовательность, которую нельзя угадать или рассчитать. Если же кто-то попытается подсмотреть запутанные фотоны, корреляция между ними потеряется и из них больше нельзя будет извлечь ключ», — объясняет Александр Львовский.

Задача состоит в том, чтобы сохранить состояние квантовой запутанности при передаче на большие расстояния. До сих пор с этим возникали большие проблемы. По оптоволоконным сетям до сих пор не удавалось передавать запутанные фотоны на расстояние больше 100 км. На больших расстояниях квантовые данные просто теряются в шумах. В обычных телекоммуникационных сетях используют разные типы повторителей или усилителей сигнала, которые усиливают амплитуду сигнала и убирают шумы, но в случае с квантовыми данными этот подход не работает. Фотон нельзя «усилить», при попытке измерить его параметры состояние фотона изменится, а значит, все преимущества квантовой криптографии исчезают.

Квантовые повторители

Ученые из разных стран пытаются разработать технологию квантовых повторителей — устройств, способных «воссоздавать» квантовую информацию, не разрушая ее. Группа Львовского, кажется, нащупала путь, который может привести к успеху. Еще в 2002 году он и его коллеги обнаружили любопытный эффект, который был назван «квантовым катализом», по аналогии с химическим термином, где определенные реакции могут идти только в присутствии особого вещества — катализатора. В их эксперименте световой импульс смешивался со «вспомогательным» одиночным фотоном на частично пропускающем свет зеркале. Затем этот фотон «удаляли». Казалось бы, состояние светового импульса не должно было меняться. Но, в силу парадоксальных свойств квантовой интерференции, фотон менял его в сторону «усиления» квантовых свойств.

«В то время это явление выглядело не более чем курьезным феноменом, каковых в квантовой физике множество. Теперь же оказалось, что оно имеет важное практическое применение — позволяет восстановить запутанность квантовых состояний света», — говорит Александр Львовский.

В своей новой работе, отчет о которой был опубликован в журнале Nature Photonics, ученые научились заново запутывать «распутавшиеся» фотоны. В качестве источника запутанных фотонов в эксперименте они использовали нелинейный кристалл титанил-фосфата калия с периодической доменной структурой. Его «обстреливали» пикосекундными импульсами света, которые генерировал титан-сапфировый лазер. В результате в кристалле рождались запутанные пары фотонов, которые ученые отправляли в два разных оптических канала. В одном из них свет подвергался 20-кратному ослаблению с помощью затемненного стекла, в результате чего уровень запутанности падал почти до нуля. Это соответствует уровню потерь в 65 км обычного оптоволоконного кабеля. Затем ослабленный сигнал направляли на светоделитель, где и проходил процесс квантового катализа. Ученые из группы Львовского называют этот процесс «квантовой дистилляцией», поскольку на выходе остается меньше фотонов, зато их уровень запутанности возрастает почти до исходного. «Из миллиона слабо запутанных пар фотонов получается одна сильно запутанная. Но при этом уровень корреляции восстанавливается до первичной, и хотя скорость передачи данных несколько снижается, мы можем получить устойчивую связь на значительно большем расстоянии», — говорит коллега Львовского Александр Уланов.

Не только для шпионов

На основе этой технологии можно будет создавать квантовые повторители, пригодные для коммерческого использования. «Для этого есть и другие методы, но как их использовать в условиях существующих источников квантовой запутанности, непонятно. Это оказывается непропорционально дорого. Возможно, наш повторитель будет и проще, и дешевле», — говорит Львовский. По его мнению, при благоприятных условиях первый прототип такого повторителя может быть создан через четыре-пять лет. А появление его на рынке может открыть дорогу действительно массовому применению квантовой криптографии, что серьезно изменит жизнь не только военных или банкиров.

«Это касается каждого из нас. Квантовая криптография — это не только какие-то военные или шпионские секреты, это номера кредитных карточек, это истории болезни. У каждого из нас масса конфиденциальной информации, и чем более открытым становится мир, тем важнее для нас контролировать доступ к ней», — говорит Львовский. Использование квантовых методов передачи шифровальных ключей может серьезно ослож­нить жизнь злоумышленников, у которых теперь не будет возможности перехватить и расшифровать информацию.