М. Нильсен, И. Чанг - Квантовые вычисления и квантовая информация (1156771), страница 169
Текст из файла (страница 169)
Рассмотрим два классических линейных кода С1 и Сг, которые удовлетворяют условиям для СЯЯ ~п, т)-кода, исправляющего ~ ошибок: Сг С См С1 и Сга исправляют 1 ошибок. Алиса выбирает случайную и-битовую строку Х и передает ее Бобу, который получает У. Допустим, что в канале связи между Алисой и Бобом ожидаемое число ошибок на кодовый блок, вызванное всеми источниками шума, включал подслушивание, меньше, чем г; на практике зто может быть установлено случайным тестированием канала. Предположим также, что Ева ничего не знает о кодах С1 и Сг, зто можно гарантировать, если Алиса случайным образом выбирает код. Наконец, предположим, что существует известная Алисе и Бобу верхняя грэлица для взаимной информации данных Я Евы с их собственными данными Х и У.
Боб получает У = Х + г, где г — некоторая ошибка. Поскольку известно, что ошибок меньше, чем 1, если Алиса и Боб исправляют свои состояния до ближайшего кодового слова в Сы то их результаты Х', У' Е С1 идентичны, и И' = Х' = У', Этот шаг — не что иное, как согласование информации. Конечно, взаимная информация Евы с Иг может оставаться недопустимо большой. Чтобы ее уменьшить, Алиса и Боб устанавливают, к какому из 2 классов смежности Сз в С1 принадлежит их состояние Иг, т. е.
они вычисляют класс смежности И~+ Сз в Сп В результате Алиса и Боб получают т-битовую строку ключа Я. Благодаря тому, что Ева не знает Сг, зта процедура может уменьшить взаимную информацию Евы с Я до приемлемого уровня, усилив конфиденциальность. 12.6.3 Квантовое распределение ключей Квантовое распределение ключей (КРК) является протоколом, который гарантированно надежен, и посредством которого биты закрытого ключа могут быть созданы в процессе коммуникации двух сторон по оглкрытому каналу. Эти биты ключа могут быть использованы для реализации классической криптосистемы с закрытым ключом, что обеспечивает безопасную связь. Единственное требование для протокола КРК состоит в том, что при передаче кубитов по открытому каналу частота появления ошибок должна быть меньше определенного порога.
Безопасность получающегося в результате ключа гарантируется свойствами квантовой информации и, следовательно, обусловлена только фундаментальными законами физики. Квантовое распределение ключей основано на том, что Ева не может извлечь никакой информации из кубитов, передаваемых от Алисы к Бобу, не нарушив их состояние. Во-первых, согласно теореме о невозможности копирования (вставка 12.1), Ева не может копировать кубит Алисы.
Во-вторых, у нас есть следующее утверждение. 712 Глава 12. Квантовая теория информации Утверждение 12.18 (полученне информации приводит к возмущению сигнала). При любой попытке различить два неортогональных квантовых состояния извлечение информации сопровождается возмущением сигнала. Доказательство. Пусть ~Ф) и (р) — неортогональные квантовые состояния, о которых Ева пытается получить информацию. Исходя из результатов равд. 8.2, без потери общности можно допустить, что процесс, который Ева использует для получения информации, представляет собой унитарное взаимодействие состояния ( ~ ф) или ~~р)) с вспомогательной системой, приготовленной в стандартном состоянии ~и).
Допуская, что этот процесс не нарушает ни одно из этих состояний, получаем (12.175) (12.176) Для Евы желательно, чтобы ~е) и ~е') были различными, с тем, чтобы она могла получить информацию о состоянии. Однако, поскольку скалярные произведения сохраняются при унитарных преобразованиях, должны выполняться следующие равенства: (12.177) (12.178) откуда следует, что /и) и /и') должны совпадать. Таким образом, установление различия между ф) и (р) должно неизбежно нарушить, по меньшей мере, одно из этих состояний. И Мы воспользуемся этой идеей передачи неортогональных кубитовых состояний между Алисой и Бобом. Проверяя переданные состояния на предмет нарушения, Алиса и Боб получают верхнюю оценку любого шума и подслушивания, которые имеют место в их канале связи. Эти «контрольные» кубиты случайным образом вставляются между кубитами данных (из которых позднее извлекаются биты ключа), так что верхнее ограничение также применяется к кубитам данных.
Затем Алиса и Боб выполняют согласование информации и усиление конфиденциальности для выделения общей строки секретного ключа. Таким образом, максимальное значение приемлемой скорости возникновения ошибок определяется эффективностью лучших протоколов согласования информации и усиления конфиденциальности.
Ниже представлены три различных протокола КРК, которые работают таким образом. Протокол ВВ84 Алиса начинает с двух строк а и Ь, каждая из которых содержит (4 + Ь)п случайных классических битов. Затем она кодирует эти строки блоком (4+ Ь)п ку битов, 12.6. Квантовая криптография 713 (4+б) и !Ф) = ® !Фааьа)~ э=1 (12.179) где аь — й-й бит а (и так же для 6), а состояния >16„ь,) задаются как (12.180) (12.181) (12.182) (12.183) >'гее) = >О), !Ф~е) = >1), !Фоз) = ~+) = ()О) + )1))/~/2, 1~„) = >-) = (!0) — Р))(~Гг. При этом а кодируется в базисе Х или Я в зависимости от 6.
Отметим, что не все четыре состояния взаимно ортогональны, и поэтому никакое измерение не может позволить с уверенностью различить их (все). Затем Алиса посылает ~ф) Бобу по открытому квантовому каналу связи. Воб получает Е(>ф)(ф~), где Š— квантовое преобразование, описывающее общее действие канала и Евы, и публично объявляет об этом. Теперь у Алисы, Боба и Евы есть свои собственные состояния, описываемые различными матрицами плотности. Отметим, что поскольку Алиса не раскрыла 6, Ева не знает, в каком базисе ей нужно провести измерения, побы подслушать сообщение Алисы, посланное Бобу.
В лучшем случае она может только гадать, и если ее догадка неверна, то она нарушит состояние, полученное Бобом. Более того, поскольку шум Е может частично возникать в результате воздействия среды (плохой канал), а не только потому, что Ева подслушивает, Ева не может полностью контролировать б. Конечно, Боб также не может извлечь никакой информации из Е(~ф)(ф), поскольку ничего не знает о 6. Тем не менее, он измеряет каждый кубит в базисе Х или Я в соответствии со строкой 6' случайных (4+ б)п битов, которую он создает самостоятельно. Пусть результатом измерения Боба будет а'. После этого Алиса публично объявляет 6. Ведя обсуждение по открытому каналу, Боб и Алиса отбрасывают все биты из (а', а), кроме тех, для которых соответствующие биты Ь' и 6 одинаковы.
Оставшиеся биты удовлетворяют равенству а' = а, поскольку для этих битов Боб проводил измерения в том же базисе, в котором Алиса их приготавливала. Отметим, что 6 не несет никакой информации ни об а, ни о битах а', полученных в результате измерения Боба, но важно, что Алиса не объявляет 6 до тех пор, пока Боб не объявит о том, что он получил кубиты Алисы. Чтобы упростить нижеследующее объяснение, предположим, что Алиса и Боб сохраняют только 2п битов полученного ими результата; величину 6 можно выбрать достаточно большой, чтобы это можно было сделать с экспоненциально малой вероятностью ошибки.
Теперь Алиса и Боб выполняют тесты, чтобы определить величину шума или подслушивания во время их связи. Алиса случайным образом выбирает и битов (из оставшихся 2п битов) и открыто объявляет о своем выборе. Затем Боб и Алиса объявляют и сравнивают значения этих контрольных битов. 714 Глава 12. Квантовая теория информации Если больше, чем 1 битов не совпадает, то они прерывают выполнение протокола и начинают все с начала.
Величину $ Алиса и Боб выбирают так, что если тест завершается успешно, они могут использовать алгоритмы согласования информации и усиления конфиденциальности для получения т вполне секретных совместных битов ключа из оставшихся и битов. Протокол ВВ84 1. Алиса выбирает (4 + д)п случайных битов данных. 2. Алиса выбирает случайную (4 + б)и-битовую строку 6 и кодирует каждый бит данных как ЯО), )1)), если соответствующий бит 6 равен О, или ()+), ( — )), если бит равен 1.
3. Алиса посылает Бобу полученное состояние. 4. Боб получает (4+ 4) и кубитов, объявляет об этом событии и измеряет каждый кубит в базисе Х или Я случайным образом. 5. Алиса объявляет 6. 6. Алиса и Боб отбрасывают все биты, которые Боб измерил в базисе, отличном от того, в котором их приготовила Алиса. С большой вероятностью остается, по меньшей мере, 2п битов (в противном случае выполнение протокола прекращается).
7. Алиса выбирает п битов, чтобы использовать их для проверки вмешательства Евы, и сообщает Бобу, какие биты выбраны. 8. Алиса и Боб объявляют и сравнивают значения п контрольных битов. Если количество не совпадающих битов больше допустимого числа, Алиса и Боб прекращают выполнениепротокола. 9. Алиса и Боб выполняют согласование информации и усиление конфиденциальности по оставшимся и битам для получения тл совместных битов ключа. Рис.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
