СРАВНИТЕЛЬНЫЙ АНАЛИЗ ПРОТОКОЛОВ КВАНТОВОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ

Основная проблема симметричного шифрования — это генерация двух идентичных реплик ключа у двух удаленных пользователей таким образом, что третья реплика этого ключа не может существовать в природе, данная проблема решается с использованием квантового распределения ключей (КРК). Для передачи секретного сообщения на практике всегда используется комбинация КРК, симметричного шифрования и ряда других примитивов классической криптографии. Преимущество КРК перед асимметричными технологиями распределения ключей состоит в его безусловной защищенности, то есть в отсутствии предположений о вычислительных ресурсах злоумышленника. Кроме того, безопасность асимметричного шифрования имеет серьезную угрозу со стороны квантовых компьютеров. Дело в том, что квантовый компьютер способен решать за полиномиальное число шагов некоторые задачи, требующие экспоненциального числа шагов от классического компьютера, например, задачу факторизации целых чисел. В связи с этим взлом некоторых популярных асимметричных методов шифрования, например, RSA, не будет представлять сложности для обладателя квантового компьютера.

По мнению многих людей, криптография представляет собой отправку секретных сообщений от одной стороны к другой. Хотя на самом деле криптография заключает в себе гораздо больше, чем эта отдельная задача, проблема распределения ключа остается центральной проблемой квантовой криптографии, и только в этой области ведутся активные лабораторные исследования. Теория защищенного распределения ключа с использованием квантовых каналов развивалась весьма стремительно. Лежащая в ее основе идея использования неклонируемости и невозможности точного измерения неизвестного одиночного квантового состояния для создания секретных сообщений, которые уже по своей природе недоступны для чтения перехватчиком без внесения шума, относится к работе Визинера 1970 года.

Конкретные протоколы криптографии такого вида были разработаны независимо Беннеттом и Брассаром (BB84, В92) и Экертом. Этих работ оказалось достаточно, чтобы стимулировать серьезную экспериментальную работу, которая продолжается до сегодняшнего дня. Однако защищенность этих протоколов оставалась недоказанной для общего случая в течение многих лет, хотя доказательства для ограниченных по возможностям способам перехвата известны уже давно.

Настоящая революция в области доказательства защищенности КРК была начата Майерсом в конце 1990-х годов, который доказал, что протокол BB84 является абсолютно защищенным для достаточно низкого детектируемого уровня ошибок в квантовом канале. Доказательство Майерса было очень сложным и в течение нескольких лет оставалось непонятным большинству ученых. Только после работы Шора и Прескилла это доказательство перешло в разряд доступного широкому кругу исследователей. Отправной точкой Шора стала работа Ло и Чау, согласно которой протокол распределения ключа, использующий очищение перепутывания, является безопасным. Это доказательство было гораздо проще, чем доказательство Майерса, и показывало, что вариант «квантового шифра Вернама», предложенный Экертом, действительно эффективен при условии, если Алиса и Боб обладают квантовыми компьютерами. Шор и Прескилл показали, что, используя определенный вид квантовых кодов коррекции ошибок в протоколе Ло–Чау, можно свести доказательство его защищенности к случаю BB84. Многие из результатов этого доказательства активно используются по сей день; одним из таких результатов является усиление протокола BB84 путем использования двусторонней классической (незащищенной) связи; в настоящее время известно, что этот ресурс позволяет защищенное распределение ключа в более шумном окружении. С помощью оригинального варианта редукции Шора была также доказана защищенность протокола B92 [1, с. 572].

На данный момент деятельность в области доказательств защищенности протоколов распределения ключа нельзя считать законченной. До сих пор существуют очень важные фундаментальные и практические вопросы, относящиеся к неидеальным источникам. Остаются также открытыми фундаментальные вопросы о связи защищенности с нарушением неравенств Белла. Существует масса технических вопросов (например, использование слабых когерентных источников), которые заслуживают теоретического рассмотрения.

Протокол BB84 явился исторически первым протоколом квантового распределения ключа, протоколом, безопасность которого основана на принципах квантовой механики, что делает его абсолютно безопасным в отсутствии шума в квантовом канале связи и использовании таких состояний пересылаемых частиц, которые не допускают их клонирования. Совместное выполнение этих двух условий будем называть идеальными условиями для протоколов квантового распределения ключа. Отсутствие шума в данной ситуации предполагает, что квантовые состояния частиц не изменяются при распространении по квантовым каналам связи. В классической теории информации изначально считается, что передаваемое сообщение в принципе всегда можно прослушать и скопировать без изменения передаваемых битов. Однако если информация зашифрована в неортогональных квантовых состояниях, таких как, например, состояния одиночных фотонов с поляризацией 0, 45◦,90◦и 135, то третьей стороне прочитать или скопировать ее полностью принципиально невозможно. Перехватчик не сможет получить из сообщения даже частичную информацию без изменения его случайным и неконтролируемым образом, которое с большой вероятностью будет замечено легитимными пользователями канала связи. Изначально протокол BB84 был сформулирован на языке одиночных фотонов, и здесь мы также будем придерживаться такого его описания, хотя он легко может быть перенесен на любые другие реализации кюбитов. Для кодирования информации в протоколе используются четыре состояния поляризации, образующие два неортогональных друг другу базиса: прямоугольный: |↔⟩ и |↕⟩, и диагональный:

Суть протокола (табл. 1) состоит в том, что один из пользователей (Алиса) выбирает случайным образом последовательность битов (этап 1) и последовательность базисов (этап 2), а затем посылает другому пользователю (Бобу) последовательность фотонов (этап 3), каждый их которых кодирует один бит из выбранной последовательности в базисе, соответствующем порядковому номеру этого бита, причем состояния |↔⟩ и |⤡⟩ кодируют ноль (0), а |↕⟩ и |⤢⟩ — единицу (1).

При получении фотонов Боб случайным образом для каждого фотона и независимо от Алисы выбирает базис для измерения (прямоугольный или диагональный) (этап 4) и аналогичным образом для каждого фотона интерпретирует результат своего измерения как двоичный ноль или единицу (этап 5). Согласно законам квантовой механики после измерения диагонального фотона в прямоугольном базисе его поляризация превратится в горизонтальную или вертикальную, в соответствии с результатом измерения, и наоборот, причем сам результат будет абсолютно случайным. Таким образом, Боб получит результаты, совпадающие с состояниями отправленных фотонов примерно лишь в половине случаев, то есть когда он правильно угадал базис.

Следующий этап протокола реализуется с помощью открытого канала связи, посредством которого Алиса и Боб могут открыто сообщать друг другу классическую информацию. На данном этапе предположим, что классическая информация не меняется при распространении по этому открытому каналу. Это означает, что допускается пассивное подслушивание, то есть перехватчик может читать сообщения обеих сторон, но не может их изменять или отправлять сообщения вместо них.

Таблица 1.

Алгоритм протокола квантового распределения ключей BB84

В первую очередь Алиса и Боб определяют путем открытого обмена сообщениями, какие фотоны были успешно получены и какие из них были измерены Бобом в правильном базисе (этапы 6 и 7). После этого Алиса и Боб будут иметь одинаковые значения битов, зашифрованных в этих фотонах, несмотря на то, что эта информация никогда не обсуждалась по открытому каналу (этап 8). Другими словами, каждый из этих фотонов несет один бит случайной информации (соответствующий ответу “да-нет” на вопрос: является ли поляризация фотона вертикальной или 135-градусной), которая известна Алисе и Бобу и никому больше. Информация о фотонах, измеренных в неверном базисе, отбрасывается, в результате чего Алиса и Боб получают так называемый просеянный ключ, который в отсутствие подслушивания должен быть одним и тем же у обеих сторон [5, c. 51].

Рассмотрим теперь, к чему приводит подслушивание в квантовом канале. Из-за случайного выбора прямоугольного или диагонального базиса измерения фотонов при обмене квантовыми сообщениями перехватчик (Ева) изменяет сообщение таким образом, что Алиса и Боб обнаружат изменения в битах просеянного ключа, которые в отсутствие подслушивания должны совпадать. Ни одно измерение передаваемого фотона перехватчиком, который узнает об изначальном базисе фотона лишь после того, как выполнит его измерение), не может дать более 1/2 информации о бите, кодируемом этим фотоном; и любое такое измерение, дающее b бит информации (b < 1/2), должно вызвать несогласие с вероятностью, по крайней мере, b/2, если измеренный фотон либо его замена впоследствии будет измерен Бобом в его исходном базисе. Такое оптимальное подслушивание реализуется, например, когда Ева измеряет и передает дальше все перехваченные фотоны в прямоугольном базисе, узнавая, таким образом, правильную поляризацию половины фотонов и внося разногласие в четвертую часть тех фотонов, которые будут потом измерены в исходном базисе.

Таким образом, Алиса и Боб могут проверить существование подслушивания, открыто сравнивая часть битов (этап 9, 10), о которых у них должна быть одинаковая информация, хотя это, разумеется, сделает эти биты непригодными для использования в секретном ключе. Положения битов при этом сравнении должны быть случайным подмножеством (например, одной третью) правильно измеренных битов, так чтобы подслушивание более чем нескольких битов не могло бы избежать обнаружения. Если все сравниваемые биты совпадают, Алиса и Боб заключают, что подслушивания нет и оставшиеся правильно измеренные биты можно безопасно использовать в качестве секретного ключа (этап 11) для последующего шифрования данных и передачи их по открытому каналу. Когда этот ключ использован, они снова повторяют всю описанную выше процедуру и получают следующий секретный ключ.

Протокол B92. Для генерации криптографического ключа по протоколу В92, предложенному Беннеттом в 1992 году, используется та же техника приготовления и измерения состояний кубитов, что и для протокола ВВ84, но вместо четырех состояний используются только два, но неортогональных состояния, например, |↕⟩ и |⤢⟩, первое из которых кодирует 0, а второе — 1.

При измерении квантового бита на станции Боба производится случайный выбор одного из двух базисов. Если при выборе прямолинейного базиса {|↔⟩, |↕⟩} результатом измерения оказалось |↔⟩, Боб знает, что посылалось состояние |⤢⟩, и записывает в свою последовательность 1. Аналогично, если при выборе косоугольного базиса {|⤢⟩, |⤡⟩} результатом измерения оказалось |⤡⟩, Боб знает, что посылалось состояние |↕⟩, и записывает 0. Остальные варианты результатов измерения считаются нерезультативными и отбрасываются. В данном протоколе отсутствует процедура согласования базисов, вместо нее Боб сообщает Алисе по классическому каналу номера результативных измерений, что приводит к генерации просеянного ключа. Ева, зная номер результативных измерений, не в состоянии правильно определить значение переданного бита, так как состояния, его кодирующие, являются неортогональными, а значит – неразличными.

Протокол Экерта. Одним из перспективных направлений в квантовой криптографии является использование так называемых перепутанных состояний для создания секретного ключа. Соответствующий протокол был предложен Экертом в 1991 году, и в литературе, по аналогии с предыдущим протоколом, его иногда обозначают E91.

Хорошо известно, что перепутанность является ценным квантовым ресурсом, позволяющим решать ряд вычислительных задач и проблем передачи информации эффективнее, чем классическими средствами, то есть применение перепутанности не ограничивается рамками квантовой криптографии. Помимо прикладного, имеется и фундаментальный интерес к изучению этого замечательного свойства составных квантовых систем, обусловленный, в частности, тем, что удобной количественной меры перепутанности для много частичных смешанных состояний пока не найдено.

Модификация протокола Экерта. Протокол Е91 можно заменить на более простой протокол, по сути эквивалентный протоколу ВВ84. В упрощенном варианте протокола на перепутанных состояниях Беннетт, Брассар и Мермин предложили использовать всего два значения углов (в плоскости x − z),  =0 и   = π, задающих направления осей проецирования. Это соответствует измерению двух наблюдаемых:  и . Напомним, что собственные состояния этих наблюдаемых, (|0⟩ ± |1⟩)/√2 и |0⟩, |1⟩ соответственно, являются неортогональными друг другу. Поэтому попытка подслушивания в неверном базисе приводит к возмущению, как и в случае с тремя базисными состояниями. Просто в случае трех векторов вероятность выбора совпадающих базисов меньше. В остальном протокол остается прежним [3, c. 119].

1. Алиса и Боб независимо друг от друга выбирают с равной вероятностью одно из двух направлений при измерении спина своей частицы.
2. Они обмениваются по открытому каналу информацией о выборе базиса в каждом из серии N измерений над парами синглетов. В тех случаях, когда Алиса и Боб измеряли спины вдоль ортогональных осей, а также когда, в силу неидеальной эффективности детектирования, кто-либо из них не сумел провести измерение, результаты отбрасываются. Спины, измерявшиеся вдоль одной и той же оси, должны быть антикоррелированы.
3. Поскольку Алиса и Боб не могут быть заранее уверены в том, что доставшиеся им частицы являются частями синглетов, они проводят тест, чтобы убедиться в этом. Тест состоит в том, что они по открытому каналу сравнивают результаты, относящиеся к большой (больше половины) части случайно выбранных спинов. Если оказывается, что результаты измерений над этим подмножеством действительно антикоррелированы, то Алиса и Боб заключают, что и оставшиеся спины тоже обладают этим свойством, так что в их распоряжении имеются необходимые для генерации ключа случайные числа.

Эквивалентность между протоколами ВВ84 и модифицированным протоколом Экерта основывается на том, что перепутанность не является необходимым условием для генерации секретного ключа. Используя одно частичные состояния, как это делалось в ВВ84, можно показать, что единственной атакой на протокол ВВ84, которая проходит незамеченной, является та, которая не возмущает измеряемое состояние. С другой стороны, в протоколе на перепутанных состояниях Алиса (или Боб) может генерировать ЭПР-пары ()и одну частицу оставлять у себя, в вторую посылать Бобу (Алисе). Измеряя состояния своего спина, Алиса получает 2 строки случайных чисел (базис, ключ), что в силу антикоррелированности кубитов Алисы и Боба можно рассматривать как приготовление и посылку кубита Бобу. В данном контексте протокол на перепутанных парах сводится к протоколу с отдельными кубитами [4, c. 265].

Основные проблемы квантовой криптографиии передачи квантового ключа в первом приближении можно разделить на два класса: методологические и технологические. К методологическим относятся проблемы секретности, съема информации, возможности перехвата и дешифрации сообщений.

Технологические проблемы и перспективы увеличения длины линии передачи определяются, с одной стороны, типом используемого кодирования, а с другой—сложностью процедуры уточнения, что неизбежно влияет на допустимую точность и надежность формирования итогового секретного квантового ключа. Проблемы систем с поляризационным кодированием связаны со средой передачи. Использование оптоволокна (ОВ) в качестве среды передачи ограничено, но не затуханием сигнала, а случайным изменением состояния поляризации волокна, которое имеет место даже в специальных волокнах, сохраняющих состояние поляризации. Исходя из изложенного, поляризационное кодирование неоптимально при построении криптосистем с квантовым оптоволоконным каналом, хотя оно эффективно для криптосистем с каналом связи в открытом пространстве.

Технологические проблемы и перспективы увеличения длины линии передачи определяются, с одной стороны, типом используемого кодирования, а с другой — сложностью процедуры уточнения, что неизбежно влияет на допустимую точность и надежность формирования итогового секретного квантового ключа. Проблемы систем с поляризационным кодированием связаны со средой передачи. Использование оптоволокна (ОВ) в качестве среды передачи ограничено, но не затуханием сигнала, а случайным изменением состояния поляризации волокна, которое имеет место даже в специальных волокнах, сохраняющих состояние поляризации. Исходя из изложенного, поляризационное кодирование неоптимально при построении криптосистем с квантовым оптоволоконным каналом, хотя оно эффективно для криптосистем с каналом связи в открытом пространстве.

Список литературы

1. Балыгин К. А., Зайцев В. И., Климов А. Н., Климов А. И., Кулик С. П. Практическая квантовая криптография. Письма в "Журнал экспериментальной и теоретической физики", 105(9):570–576, 2017.
2. Голубчиков Д.М. “Анализ возможности использования квантового усилителя для съема информации с квантового канала распределения ключа и методы его обнаружения”, Информационные системы и технологии 2007: материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых специалистов. Обнинск. 2007.
3. Голубчиков Д.М. “Применение квантовых усилителей для съема информации с квантовых каналов распределения ключа”, Известия ТТИ ЮФУ. 2008. №1(78), с.119.  
4.  Курочкин В.Л., Зверев А.В., Курочкин Ю.В., Рябцев И.И., Неизвестный И.Г. Экспериментальные исследования в области квантовой криптографии. Микроэлектроника 2011, том 40, №4, с. 264 – 273.
5. Румянцев К.Е., И.Е. Хайров, “Эффективность волоконно-оптической системы передачи информации”, Научно-практический журнал «Информационное противодействие угрозам терроризма», 2004, №2, с.50-52.