Учебное пособие - Отличная квантовая механика - Львовский А. (1238821), страница 11
Текст из файла (страница 11)
Протоколы шифрования с открытым ключом при помощи односторонних функций обеспечивают надежную связь между участниками, у которых не быловозможности обменяться секретными ключами.Протоколы с открытым ключом удобны и недороги, но не обеспечивают абсолютной секретности на фундаментальном уровне. Доступные нам вычислительныемощности удваиваются чуть ли не ежегодно, так что расчет, на который в настоящее время требуются годы, через несколько лет, возможно, будет занимать всегонесколько часов. Более того, квантовые компьютеры (разд.2.5)потенциально способны взламывать сообщения, зашифрованные по протоколам с открытым ключом,почти мгновенно.52ГЛАВА1.КВАНТОВЫЕ ПОСТУЛАТЫмежду надежным, но дорогим одно ключевым шифрованием и дешевым,но не полностью безопасным шифрованием с открьrrым ключом.Квантовая механика предлагает нам решение проблемы, с которыми волки будуг сыты, и овцы целы.
С одной стороны, оно обеспечиваетинформационную безопасность с гарантией на уровне фундаментальных законов природы. С другой, это решение не требует обязательногопредварительного обмена большим объемом случайной информациимежду сторонами.1.6.1.Протокол8884Квантовая криптография, или, точнее, квантовое распределениеК.!lюча(quantum key distribution),основана на свойстве измеренийизменять квантовое состояние, к которому они применяются. Идеяв том, что отправляющая сторона (Алиса) высылает секретные данные принимающей стороне (Бобу) посредством единичных фотонов,в квантовых состояниях которых зашифрованы передаваемые данные.Всякий, кто попытается «подслушать» передачу, либо разрушит, либоизменит эти фотоны, выдав таким образом свое вмешательство.Самый известный квантовый протокол шифрования называется«ВВ84» в честь его изобретателей Чарльза Беннета и Жиля Брассара 1 •При его применении Алиса и Боб выполняют следующие операции.1.Алиса случайно выбирает значение бита, О или1,которое следует передать.2.Алиса случайно выбирает базис шифрования-каноническийили диагональный.3.Алиса генерирует фотон и шифрует свой бит в поляризацииэтого фотона:После этого она отправляет фотон Бобу.4.Боб случайно выбирает базис измеренияканоническийили диагональный.5.Боб измеряет полученный фотон в выбранном базисе:1С.Н.
Bennett, G. Brassard, "Quantum Cryptography: PuЬlic Кеу Distribution and CoinTossing", Int. Conf. on Computers, Systems and Signal Processing, Bangalore, India (IEEE,NewYork, 1984), р. 175.53ОТЛИЧНАЯ КВАНТОВАЯ МЕХАНИКАесли он выбирает тот же базис, что и Алиса, то в результате•измерения он получит то самое значение бита, которое отправила Алиса;если он выбирает друтой базис, то получит случайное значе•ние бита.Эта процедура повторяется много раз. Конечно, и Алиса, и Бобдолжны тщательно все записывать: какие базисы использовали,какие состояния отправили или измерили, а также точное время,в которое фотоны были отправлены или получены.
После тогокак окажутся собраны многие тысячи таких записей, Алиса и Бобсообщают друг другу (по классическому незащищенному каналу),какие базисы были выбраны для каждого фотона, но не конкретные значения отправленных или измеренных ими битов. Боб такжесообщает Алисе о тех случаях, когда фотон ему измерить не удалось-если, например, тот был поглощен где-то в линии передачи(для этого нужно, конечно, чтобы время передач Алисы было точноизвестно Бобу, но эту информацию засекречивать не нужно). Послеобмена информацией Алиса и Боб отбрасывают данные по тем событиям, где были использованы разные базисы или фотон былпотерян.Теперь у Алисы и Боба имеется строка идентичных битов, которыеони могут использовать как одноразовый блокнот в классическомпротоколе.
Чтобы понять, почему эта строка будет гарантированносекретной, предположим, что «шпион»(eavesdropper, Ева) перерезаетлинию передачи, перехватывает фотоны Алисы, измеряет их поляризацию и затем отправляет Бобу то, что измерила (рис.1.4). Сможет лиона получить копию секретного ключа?Рис.1.4.Перехват сообщений в квантовой криптографииОтвет отрицательный. Проблема Евы в том, что согласно постулатуоб измерениях она должна измерять в конкретном базисе и не знает,какой базис выбрать.
Какой бы базис она ни выбирала, все равно будут54ГЛАВА1.КВАНТОВЫЕ ПОСТУЛАТЫтакие случаи, что Алиса и Боб работают в одном базисе, а Ева-в другом. Но в этом случае измерение Евы изменит состояние фотона и Боб,возможно, получит значение бита, не равное тому, которое отправилаему Алиса. Секретные ключи, записанные Алисой и Бобом, в конечном итоге окажутся разными, и это станет для них свидетельством возможного перехвата.Предположим, например, что и Алиса, и Боб работают в каноническом базисе, а Ева-в диагональном.
Алиса отправляет горизонтальнополяризованный фотон, в котором зашифрован бит О. Но Ева пользуется диагональным базисом, поэтому она увидит1+) или 1-) с равнойвероятностью. Если после перехвата она отошлет Бобу фотон в томсостоянии, которое она задетектировала, Боб (измеряющий в каноническом базисе) с равной вероятностью увидит 1Н) илиокажется11 V). Если этоV), Боб запишет значение бита, отличное от того, котороеотправила ему Алиса.Чтобы проверить, не следит ли кто-нибудь за их перепиской, Алисеи Бобу нужно будет обменяться по незащищенному каналу частьюсекретной битовой строки, полученной ими обоими.
Если ошибокв ней нет (или очень мало), они могут использовать остальную частьстроки в качестве одноразового блокнота.Упражнение1.18.Предположим, Ева перехватывает фотоныАлисы и измеряет их либо в каноническом, либо в диагональномбазисе (базис она выбирает случайным образом). Затем она кодируетизмеренный бит в том же базисе и посылает его Бобу. Какова средняя доля битов создаваемого ими секретного ключа, которая получится разной?Ответ:25%.Это упражнение показывает, что если Алиса и Боб видят в получаемом ими секретном ключе определенную долю неидентичных битов,то они не могут больше быть уверены, что их сообщения не перехватываются. Однако значение доли ошибок, полученное в упр.1.18, относится только к случаю одной конкретной стратегии перехвата (атаки)со стороны Евы. Выбрав более хитроумную атаку, Ева может получитькопию секретного ключа, оставив при этом в записях Алисы и Бобадаже более низкую долю ошибок.Так насколько низкой должна быть доля ошибок у Алисы и Боба,чтобы они могли уверенно полагаться на безопасность своей связи?55ОТЛИЧНАЯ КВАНТОВАЯ МЕХАНИКАДоказано1, что граница проходит примерно по11 %.Какую бы стратегию ни выбрала Ева, если частота ошибок ниже этой величины, Алисаи Боб смогуг, воспользовавшись процедурой усиления секретности(privacy amplification),«отфильтровать» для себя совершенно надежный и полностью идентичный секретный ключ из частично несовпадающей битовой строки, полученной посредством квантового протокола.Упражнение1.19.
Как уже говорилось, значительная доля фотонов,отправленных Алисой, до Боба не доходит. Но Алиса и Боб не знают,были ли на самом деле эти фотоны потеряны из-за поглощенияна линии или их «украл» перехватчик. Влияет ли это соображениена безопасность передачи ключа?1.6.2. Практические вопросы квантовойкриптографииКвантовая криптография-не фантастика. Описанный выше протокол вполне реализуем современными техническими средствами.Мало того, существуют коммерческие квантово-криптографическиесерверы, которые можно подключать к коммерческим оптоволоконным линиям связи, где они будут реализовывать протокол ВВ84.Многие крупные города уже обзавелись своими квантовыми коммуникационными сетями.
Квантовое шифрование использовалосьдля связи во время выборов в Федеральное собрание Швейцариив2007г. и чемпионата мира по футболу2010г. в Южной Африке.Существуют такие сети и в Москве, Петербурге, Казани. За время,прошедшее с момента публикации этой книги, наверняка появилисьновые примеры.Тем не менее мы пока не наблюдаем повсеместной замены классических криптографических протоколов квантовым распределениемключей. Что мешает? Существует ли здесь какое-то техническое препятствие или проблема в психологической инерции?К сожалению, в этой области действительно имеются нерешенные практические вопросы, главный из которыхсвязи. Потери эти подчиняются закону Бугера--потери в линияхЛамберта-Бера1P.W.
Shor and J. Preskill, Simple Proof of Security of the ВВ84 Quantum Кеу DistributionProtocol, Physical Review Letters 85, 441 (2000).ГЛАВА1.КВАНТОВЫЕ ПОСТУЛАТЫ(L) = n 0 e-PL, где п (L) - число непоглощенных фотоновна расстоянии L от Алисы, а Р - коэффициент поглощения. Лучшие(Beer's law):пволокна, используемые в системах связи на сегодняшний день, даютпотери около5% на километр.Кажется, что это немного; тем не менеепри передаче по небезопасной линии связи до Боба дойдет лишь крохотная часть фотонов; остальные будут утрачены.Упражнение1.20.Алиса отправляет фотон Бобу, который нахо300 км, по оптоволоконной линии. Кажпоглощает 5% энергии света, распространяюдится от нее на расстояниидый километр волокнащегося по нему.а) Найдите коэффициент потерь Р этого волокна.Подсказка: ответ0,05 км- 1близок к верному, но не совсемточен.Ь) Какая доля фотонов, отправленных Алисой, дойдет до Боба?Помимо потерь существует еще проблема, связанная с темновымсчетом (см.
отступлениефотонIH),1.2).Может случиться так, что, например,отправленный Алисой, будет потерян и в это же времядетектор Боба в канале вертикальной поляризации даст ложное срабатывание. Тогда Боб интерпретирует это срабатывание как фотон1V),полученный от Алисы, и сделает соответствующую запись.
В результате Алиса и Боб увидят ошибку и, возможно, потеряют уверенностьв безопасности связи.Если линия передачи не слишком длинна, до Боба будет доходитьдостаточно фотонов, чтобы доля ошибок, связанных с темновым счетом, была невелика. Но доля дошедших фотонов с увеличением расстояния экспоненциально падает, тогда как частота темновых срабатываний остается постоянной. Так что в какой-то момент надежнаяпередача данных станет попросту невозможной.Этот эффект показан на рис.1.5.Когда длина линии связи невелика, частота получения надежных битов(secure Ьit rate),отфильтрованных Алисой и Бобом (пунктирные линии), равна частоте получения фотонов Бобом (сплошные линии), умноженной на некоторыйпостоянный коэффициент. Но когда частота их получения снижается настолько, что доля ошибок, связанных с темновым счетом, становится значимой, число надежных битов начинает падать быстрее,а протокол усиления секретности становится все менее эффективным.Когда число фотонов, доходящих до Боба, падает ниже некоторого57ОТЛИЧНАЯ КВАНТОВАЯ МЕХАНИКАкритического уровня, соответствующего доле ошибок в11 %, передачаперестает быть надежной.Частота получения10 10получениясекретных битфотонов Бобом1081uro1-106о1-......uro..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
