КвКр(Лекции) (Квантовая криптогафия)

15

Лекции по квантовой криптографии

Имеет место глубокая взаимосвязь криптографии с такими базисными понятиями современной науки, как информация, случайность, сложность, алгоритм, так что эффективность криптографической науки коренным образом зависит от результатов и выводов соответствующих теорий. Здесь мы покажем, что криптография, как это ни покажется на первый взгляд странным, тесно связана еще с одной фундаментальной теорией, позволяющей познавать природу в малых масштабах, на ее дискретном уровне, а именно — с квантовой механикой [1], и ее основным постулатом — принципом неопределенности Гейзенберга. Такая многогранность и многосложность криптографической науки, по-видимому, объясняется основополагающим существом предмета, который она изучает.

§ 1. Введение

Когда для пересылки цифровой информации применяются такие элементарные квантовые системы, как поляризованные фотоны, то использование принципа неопределенности Гейзенберга позволяет достичь совершенно нового криптографического феномена, который абсолютно недостижим для обычных средств передачи информации. А именно, можно получить такой канал связи, в котором в принципе невозможно какое бы то ни было прослушивание без наличия таких нарушений при передаче, которые не были бы обнаружены легитимными участниками с очень большой вероятностью. Посредством квантового канала достигается одно из основных преимуществ криптографии с открытым ключом: он позволяет осуществить безопасное распределение ключей между Алисой и Бобом (так традиционно называют легитимных участников квантовой передачи), которые первоначально не обладали никакой совместно используемой секретной информацией. Это распределение ключей осуществляется при условии, что Алиса и Боб имеют доступ, кроме квантового, еще и к обычному каналу, который, в свою очередь, допускает прослушивание со стороны злоумышленника, называемого по традиции Евой.

В теории информации и криптографии считается не требующим доказательств то, что цифровая связь (шифртекст) может всегда просматриваться или копироваться лицом, которое не осведомлено об информации, которая передается. Злоумышленник надеется, что в дальнейшем по прошествии какого-то времени, возможно, после того, как будет накоплен достаточный объем шифртекста, ему удастся вычислить (или разузнать) секретный ключ.

В противоположность этому, когда информация закодирована в неортогональных квантовых состояниях, (например, в одиночных фотонах с направлениями поляризации 0°, 45°, 90° и 135°, о чем пойдет речь ниже) то получается такой канал связи, что почта в нем даже в принципе не может с достоверностью ни читаться, ни копироваться нарушителем, не знающим некую информации о ключе, которая используется при формировании пересылаемого сообщения. Нарушитель не может извлечь никакой частичной информации об этой пересылке, позволяющей отличить ее от случайной, и таким способом, который не поддавался бы контролю и который не смогли бы обнаружить законные пользователи канала.

Впервые квантовое шифрование было предложено Стефеном Уиснером [2] наряду с двумя его применениями: созданием денег, которые в принципе невозможно подделать, и мультиплексной передачей двух или трех сообщений таким образом, что при чтении одного из них остальные разрушаются.

Более чем десятилетие спустя Чарльз Беннетт, Жиль Брассар и Сет Брейдбард совместно со Стефеном Уиснером [3] показали, как использовать это квантовое шифрование вместе с методами из криптографии с открытым ключом для построения нескольких схем неподделываемых жетонов в метро. Позже Беннетт и Брассар [4] изобрели описанный выше квантовый канал, а также квантовое подбрасывание жребия.

В настоящих лекциях мы остановимся на описании квантового канала, используемого только для открытого распределения ключей. Подробное обсуждение вопросов квантовой криптографии представлено в научных работах [5, 6], а также в популярных статьях [7, 8].

§ 2. Основные свойства поляризованных фотонов

Поляризованный свет можно получить, пропуская обычный световой луч через какое-нибудь поляризующее устройство, вроде поляроидного фильтра или кристалла кальцита – двоякопреломляющую призму. Ось поляризации луча определяется ориентацией  оптической оси призмы, так что на выходе оптического устройства (призмы) получаются два луча – с направлением поляризации  (прямой луч) и с перпендикулярным направлением +90⁰ (ортогональный луч). Вообще говоря, можно предположить, что можно порождать и одиночные поляризованные фотоны, выделяя их из поляризованного светового луча, хотя технологически это может быть неосуществимо. В следующем параграфе мы принимаем для простоты, что такие одиночные фотоны с определенными направлениями поляризации уже имеются, но затем в § 4 показываем, как можно избавиться от этого предположения.

Несмотря на то, что направление поляризации является величиной непрерывной, принцип неопределенности Гейзенберга не допускает такого измерения состояния любого одиночного фотона, которое раскрывало бы более одного бита информации (в вероятностном смысле) об угле его поляризации.

Например, если луч света с осью поляризации, направленной под углом , падает на двоякопреломляющую призму с углом оптической оси , то все отдельно взятые фотоны ведут себя дихотомическим и совершенно непредсказуемым образом, появляясь на выходе призмы в прямом луче с вероятностью cos²(-) и в ортогональном луче, соответственно, с вероятностью sin²(-), поляризуясь, при этом, соответственно, под углом  и +90⁰. Детерминировано все фотоны ведут себя только тогда, когда обе направляющих либо параллельны друг другу (= и тогда все фотоны появляются в прямом луче), либо перпендикулярны (   и в этом случае все фотоны появляются в ортогональном луче). (Приложение, п. 1)

В том случае, когда оси не перпендикулярны друг другу, остается надежда на то, что можно было бы выяснить дополнительную информацию об , проведя для фотонов повторные измерения в прямом и ортогональном луче при помощи какого-нибудь поляризатора, который будет ориентирован под неким третьим углом. Однако такое измерение оказывается совершенно бесполезным, потому что все появившиеся фотоны в прямом или ортогональном луче, оказываются поляризованными в точности под углом  или +90⁰, потеряв при этом какую бы то ни было информацию о своей предыдущей поляризации под углом . Конечно, если известно, что луч состоит из нескольких одинаково поляризованных фотонов, то для того, чтобы получить более одного бита информации относительно их общего угла поляризации, можно для разных фотонов сделать различные измерения.

Другими словами, можно было бы надеяться узнать более одного бита информации об одиночном фотоне, не измеряя напрямую угол его поляризации, а скорее так или иначе расширить (клонировать) один фотон до ансамбля из одинаково поляризованных фотонов, чтобы впоследствии выполнить над ними различные измерения. Однако эта надежда также оказывается тщетной, потому что существование такого ансамбля, как это можно показать, не согласуется с основными положениями квантовой механики – а именно, с линейностью преобразований над векторами некоторого Гильбертового пространства, представляющего собой множество квантовых состояний [9].

Формально в квантовой механике внутреннее состояние квантовой системы (такое, как поляризация фотона) представляется в виде вектора единичной длины в линейном пространстве над полем комплексных чисел, то есть в так называемом гильбертовом пространстве. Размерность этого гильбертова пространства зависит от самой системы и может быть довольно большой (или даже бесконечной) для более сложных систем.

Каждое физическое измерение, которое может выполняться в системе, соответствует некоторому разложению гильбертова пространства на ортогональные подпространства, каждое из которых отвечает одному из возможных результатов этого измерения, происходящих с той или иной вероятностью. Таким образом, число возможных результатов измерения (элементарных исходов соответствующей вероятностной схемы) ограничено размерностью d рассматриваемого гильбертова пространства. Наиболее полными измерениями являются такие, которые соответствуют разложению гильбертова пространства на d одномерных подпространств.

Гильбертово пространство для одиночного поляризованного фотона является 2-мерным. Таким образом, состояние фотона может быть полностью описано в виде линейной комбинации, к примеру, двух единичных векторов r₁=(1,0) и r₂=(0,1), представляющих соответственно горизонтальную и вертикальную поляризации. В частности фотон, поляризованный под углом  к горизонтали, описывается вектором состояния (cos, sin). В том случае, когда такой фотон подвергается измерению на предмет горизонтальности или вертикальности своей поляризации, то в действительности он как бы выбирает, стать ли ему горизонтально" поляризованным с вероятностью cos² и вертикально поляризованным с вероятностью sin². Два ортогональных вектора r₁ и r₂, таким образом, служат примером разложения 2-мерного гильбертова пространства на 2 ортогональных одномерных подпространства. С этого момента мы будем говорить, что пара векторов (r₁, r₂) составляют прямоугольный базис рассматриваемого гильбертова пространства.

Другой возможный базис того же гильбертова пространства задается двумя диагональными векторами

d₁= (1,1) и d₂= (1,-1).

В этом диагональном базисе d₁ представляет фотон, поляризованный под углом 45°, а d₂ — фотон с поляризацией под углом 135°.

Два базиса называются сопряженными, если каждый вектор одного базиса имеет проекции одинаковой длины на все векторы другого базиса. Таковыми, очевидно, являются прямоугольный и диагональный базисы. Равенство проекций означает, что система, подготовленная в виде одного из векторов в одном из таких базисов, будет вести себя совершенно непредсказуемо и потеряет всю информацию о себе, отражающуюся в этом базисе, после того, как подвергнется измерению, которое соответствует другому базису.

С практической точки зрения достаточно понимать только, что имеются два простых прибора. Один из этих приборов может детерминированно различать горизонтально поляризованные фотоны от вертикально поляризованных, а другой может детерминированно различать фотоны с разной диагональной поляризацией - 45° и 135°. Однако если первый прибор используется для определения состояния диагонально поляризованного фотона (а второй — для прямоугольно поляризованного), то в такой ситуации фотон поведет себя совершенно случайным и непредсказуемом образом, и подобное измерение вообще не позволит определить угол его поляризации. В вероятностном смысле при таком измерении оба значения поляризации становятся равновероятными.

§ 3. Квантовое распределение открытых ключей

Цель квантового распределения открытых ключей заключается в том, чтобы, используя квантовый канал, обеспечить передачу последовательности случайных битов между двумя пользователями, которые до этого не имели никакой совместно используемой и секретной для других информации. Достигается это таким способом, что легитимные пользователи, обмениваясь информацией по обычному, не квантовому, каналу связи (допускающему прослушивание без каких бы то ни было ограничений) могут с большой вероятностью определить, была ли нарушена такая первоначальная квантовая передача информации во время ее перехвата в канале. (Подобное достоинство, которое присуще исключительно квантовому каналу, фактически вынуждает сводить любой тип прослушивания к активной фальсификации.)

Если квантовая передача не нарушалась, то пользователи могут с уверенностью применять эту совместную секретную последовательность в качестве исходного секретного ключа в любой традиционной криптосистеме (наподобие одноразового шифра) для того, чтобы скрыть содержание всей последующей связи.

С другой стороны, если обнаружится, что передача была нарушена, то пользователи могут не принимать во внимание только что полученную двоичную последовательность и должны попытаться произвести квантовую передачу еще раз. Поэтому для обеспечения намеченной цели они вынуждены будут задерживать некую важную связь до тех пор, пока не осуществят успешную передачу достаточного количества случайных битов через квантовый канал. Поэтому, несмотря на то, что нарушитель, перекрывая квантовый канал передачи информации, может препятствовать связи между пользователями, он окажется неспособным ввести их в заблуждение до такой степени, чтобы они были уверены, что передача прошла успешно, когда на самом деле это было не так.

Рассмотрим более подробно, каким образом Алиса и Боб могут осуществить открытое распределение ключей с использованием квантового канала.