М. Нильсен, И. Чанг - Квантовые вычисления и квантовая информация (1156771), страница 171
Текст из файла (страница 171)
Напротив, ключ действительно случаен. В самом деле, тот же подход применяется и в протоколе ВВ84, поскольку он может быть сведен к обобщенной версии ЭПР протокола. Предположим, что Алиса приготавливает произвольный классический бит Ь и в соответствии с ним измеряет свою половину ЭПР пары либо в базисе )О), ~1), либо в базисе )~) = (~0) ~ )1))/~/2, получая а.
Пусть Боб делает то же самое, измеряя в своем (выбранном случайно) базисе Ь' и получая а'. Затем они обмениваются Ь и Ь' по открытому классическому каналу и сохраняют в качестве своего ключа только те (а, а'), для которых Ь = Ь'. Отметим, что этот ключ не определен до тех пор, пока Алиса и Боб не проведут измерения на своих половинах ЭПР пар. Аналогичное рассмотрение возможно и для протокола В92. Квантовая криптография иногда рассматривается не как обмен или передача секретных ключей, а скорее, как их генерация, поскольку принципиально ни Алиса, ни Боб не может предопределить ключ, на котором они остановятся по завершении протокола. 12.6.4 Секретность и когерентная информация Итак, мы описали основной протокол КРК и доказали, что он надежен, но не установили количественные ограничения.
Оказывается, существуег интересная фундаментальная связь между основными количественными мерами квантовой информации, описанными в этой главе, и мерами достижимой в принципе безопасности квантовой криптографии, которые мы опишем ниже. 12.6. Квантовая криптография 719 Квантовая когерентная информация Х(р, с) задает нижнюю гранину способности квантового канала передавать секретную информацию. В наиболее общем случае Алиса приготавливает состояния Р~А, где й = 0,1,... — номера различных возможных состояний, которые она может послать с некоторой вероятностью рь.
Боб получает состояния р~~ = Е(р~~), которые могут быть отличны от р~~ из-за шума канала или подслушивания Евы. Взаимная информация результата любого измерения, которое может произвести Боб, и выбранного Алисой значения й, Нн,б.А,и,, ограничена сверху энтропией Холево (12.6), Нвсб:Алиса ~~ Х = Ж,Р ) ~~~ РАЯРь)~ (12.190) ь где Рв = 2„АРАРАЕ.
Аналогично, взаимнаЯ инфоРмациЯ Евы с Алисой огРаничена сверху, НЕва;Алиса ~ ~Х = о(Р ) ~~ РЬо(РЬ )' (12.191) ь Поскольку любая дополнительная информация, которой обладает Боб по сравнению с Евой (по крайней мере, выше определенного порога), в принципе, может использоваться Бобом и Алисой для очищения общего секретного ключа, например с помощью усиления конфиденциальности, имеет смысл определить величину [РЕВ) л НИ")]0 > (12.193) Поскольку это чистое состояние, приведенные матрицы плотности рь и рь будут иметь одни и те же ненулевые собственные значения, и, следовательно, одинаковые энтропии Я(р~~) = Я(рь ).
Поэтому Р = ЗПР [Ннсб:Алиса НЕва:Алиса] ~ (12.192) как гарантированную секретность канала, где супремум берется по всем стратегиям, которые Алиса и Боб могут применить при использовании этого канала. Это и есть максимум дополнительной классической информации о квантовом сигнале Алисы, которую Боб может получить по сравнению с Евой.
Согласно теореме ХШВ, Алиса и Боб могут применить такую стратегию, что НВсб:Алиса = Х, тогла как Дла любой стРатегии Евы Нива,алиса ~ Х . СлеДов Е вательно, Р > хн — хв при подходящем выборе стратегии. Из упр. 12.11 следует, что нижнюю оценку секретности Р можно получить из предположения, что все состояния сигнала Алисы р~~ — — [фь )(срь ] являются чистыми состояниями, изначально не запутанными с Евой, которая начинает действовать в некотором состоянии ]ОЕ) (без потери общности можно предположить, что оно должно быть чистым).
В общем случае в канале от Алисы к Бобу существуют взаимодействия с некоторым окружением, отличным от Евы, но чтобы предоставить Еве наибольшее возможное преимущество, все эти взаимодействия могут быть приписаны ей, так что окончательное совместное состояние, полученное Евой и Бобом после передачи, таково 720 Глава 12. Квантовая теория информации ?з>Х Х в) ~~,' ~( в) ~( я) + ~~, ~( я) ~( в) ~( я) = 7(р б). (12.194) (12.195) (12.196) (12.197) Таким образом, нижняя оценка гарантированной секретности канала б задается квантовой когерентной информацией 1(р, б), определенной в (12.118). Отметим, что этот результат не обеспечивается ни одним протоколом (которые могут иметь свои недостатки в обеспечении надежности). Протокол должен также проводить тесты (которые не учитываются в этом вычислении), чтобы определить свойства канала Е, для которого эту оценку можно применить.
Итак, хотя теоретико-информационная оценка, к которой мы пришли здесь, достаточно хороша, нам еще нужно много сделать, чтобы иметь возможность количественно определить надежность КРК! 12.6.5 Безопасность квантового распределения ключей Насколько безопасно квантовое распределение ключей? Поскольку неизбежно нарушение передаваемого состояния при перехвате информации, у нас есть веская причина верить в безопасность КРК. Однако, чтобы дать заключение, что протокол действительно безопасен, необходимо ка«ичестеенное определение безопасности, которое явным образом ограничивает информированность Евы об окончательном ключе при фиксированной мере усилий Алисы и Боба. Используем следующий критерий: Протокол КРК является надежным, если для любых параметров з > 0 и ! > О, выбранных Алисой и Бобом, и для любой стратегии подслушивания выполнение протокола либо прекращается, либо успешно завершается с вероятностью, по меньшей мере, 1 — 0(2 '), и гарантирует, что взаимная информация Евы с окончательным ключом меньше, чем 2 '.
Строка ключа должна быть существенно случайной. В этом разделе мы приведем основные элементы доказательства надежности протокола ВВ84. Это доказательство будет подходящим завершением данной главы, поскольку в нем элегантно сочетаются многие идеи квантовой теории информации, обеспечивая проведение достаточно простого и ясного рассуждения.
Основой этого доказательства является весьма неожиданное наблюдение, что с учетом выполнения согласования информации и усиления конфиденциальности скорость передачи ключа, которую, в конечном счете, мы можем получить, совпадает с достижимой скоростью передачи кубита для СИЯ кодов (подразд. 10.4.2) по каналам связи с шумом! Ниже в общих чертах изложена основная идея.
Относительно просто установить, что протоколы ВВ84, В92 и ЭПР надежны, если Ева может одновременно «атаковатьь не более одного передаваемого кубита. Трудность возника- 12.6. Квантовая криптография 721 ет, если существует возможность коллективных атак, когда Ева манипулирует большими блоками передаваемых кубитов и, возможно, хранит их. Для рассмотрения этого случая необходимо более общее рассуждение. Предположим, что мы как-нибудь узнали, что Ева никогда не вносит больше $ ошибочных кубитов на блок. Тогда Алиса могла бы закодировать свои кубиты исправляющим 1 ошибок квантовым кодом, так что любое вмешательство Евы могло бы быть устранено Бобом при декодировании. Чтобы осуществить этот план, нужно прояснить два обстоятельства.
Во-первых, каким образом можно получить верхнюю гранину для 1? Это возможно с помощью подходящего выбора контрольных кубитов, что обеспечивает надежность протокола (даже при коллективных атаках!). К сожалению, для выполнения этого протокола, как правило, требуется устойчивый к ошибкам квантовый компьютер, чтобы надежно кодировать и декодировать кубиты. Поэтому вторая проблема заключается в выборе квантового кода, такого, чтобы полная последовательность кодирования, декодирования и измерения могла осуществляться с использованием не квантовых вычислений и запоминания, а только с помощью приготовления и измерения отдельных кубитов. Использование СБЯ кодов (после некоторых упрощений) сводится к протоколу ВВ84.
Ниже мы начнем с очевидно надежного протокола ЭПР, а затем решим две указанные проблемы, упростив протокол до ВВ84. Требования для надежного протокола КРК Предположим, что у Алисы есть и пар запутанных кубитов, каждая в состоя- нии (00) + (11) 1/2 (12.198) Обозначим это состоЯние как фоо)е". Алиса пеРедает половинУ каждой паРы Бобу; из-за шума и подслушивания в канале результирующее состояние может не быть чистым и его можно описать матрицей плотности р. Затем Алиса и Боб осуществляют локальные измерения, чтобы получить ключ, как описано ранее. Приведенную ниже лемму можно использовать, чтобы показать, что степень совпадения р с фоо)е" устанавливает верхнюю границу для взаимной информации Евы с ключом. Лемма 12.19 (высокая точность воспроизведения подразумевает малую энтропию).
Если Г(р, ~дю) е") > 1 — 2 ', то я(р) ( (2н+ в+ 1/ 1п2)2 '+ 0(2 з'). Доназатпеяьствео. Если Р(Р, 'э?оо)е") = Е" (Рос(р~боо)Е" > 1 — 2 ', то наибольшее собственное значение р должно быть больше, чем 1 — 2 '. Следовательно, энтропия р ограничена сверху энтропией диагональной матрицы плотности р„„„, с диагональными элементами 1 — 2 ', 2 '/(2з" — 1), 2 '/(2г" — 1),..., 2 '/(2з" — 1), т. е. р„гя, имеет наибольший элемент 1 — 2 ' и оставшаяся вероятность распределена в равной степени между остальными 2г" — 1 диагональными элементами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
