B92

Протокол B92 — один из первых протоколов квантового распределения ключа, который был предложен в 1992 году Чарльзом Беннетом (англ. Charles H. Bennett). Отсюда и название B92, под которым этот протокол известен в наше время[1]. Протокол B92 основан на принципе неопределённости в отличие от таких протоколов, как E91. Носителями информации являются 2-х уровневые системы, называемые кубитами (квантовыми битами). Важной особенностью протокола[2][3] является использование двух неортогональных квантовых состояний.

Описание

Фундаментальные законы физики утверждают, что наблюдение за квантовой системой изменяет её состояние. Эта непреодолимая трудность имеет положительный эффект, позволяя предотвратить нежелательное получение информации из публичной квантовой системы и решая проблему сохранения конфиденциальности при коммуникации по открытому каналу связи[4].

Протокол B92 является обобщением[2] квантового криптографического протокола BB84. В отличие от своего предшественника, данный протокол может использовать неортогональные квантовые состояния. Чарльз Беннет разработал данный протокол, чтобы показать принципиальную возможность такого разделения ключа[5].

Схема кодирования квантовых состояний[Прим. 1] в протоколе B92 схожа со схемой кодирования протокола BB84, но использует только два неортогональных из четырёх состояний BB84, а в качестве базиса используются различные поляризации[4]:

  1. линейную (+):
    1. горизонтальную (↔);
    2. вертикальную (↕);
  2. круговую (◯):
    1. правую круговую (↻);
    2. левую круговую (↺).

В данном протоколе классический бит кодируется двумя неортогональными состояниями:

ПоляризацияГоризонтальная (↔)Вертикальная (↕)Правая круговая (↻)Левая круговая (↺)
Бит0110

Поскольку в соответствии с принципом неопределённости Гейзенберга при измерении нельзя отличить два неортогональных состояния друг от друга, поэтому невозможно достоверно определить значение бита. Более того, любые попытки узнать состояние кубита непредсказуемым образом изменят его. Это и есть идея[6], лежащая в основе квантового протокола разделения ключей B92. Так как схема кодирования протокола использует только лишь два состояния, то иногда она проще в реализации, нежели другие схемы. Однако, получение достаточной надёжности такого протокола в некоторых экспериментах является трудной задачей, и часто оказывается, что протокол является совсем не безопасным.

Алгоритм распределения ключей

Начальное состояние фотонов зависит от реализации протокола. Если протокол реализован на основе ЭПР-коррелированных фотонов, то Алиса генерирует такие пары фотонов и базисы, в которых она измеряет их состояние, а отправляет Бобу невозмущённые частицы. В противном случае, Алиса генерирует фотоны случайной поляризации и посылает их Бобу. Вторым этапом протокола является выявление поляризаций полученных от Алисы фотонов. Состояние частиц измеряется в случайно выбранном базисе. На следующем этапе Алиса и Боб сравнивают используемые для измерения базисы (в случае не ЭПР-реализации Алиса использует поляризации, созданных фотонов) и сохраняют информацию только при совпавших базисах. Алиса и Боб выбирают случайное подмножество бит и сравнивают их чётность. Если хотя бы один бит изменился в результате действий Евы, то стороны узнают об этом с вероятностью ½. Затем необходимо отбросить один бит, так как в результате такой проверки открывается один бит ключа. Выполнение проверки чётности произвольного подмножества бит k раз позволяет установить, что канал связи Алисы и Боб не прослушивается с вероятностью p(k) = 1 - (½)k[7].

Пример распределения ключей

Процесс разделения ключей можно проанализировать по шагам. Результат выполнения каждого действия соответствует строке таблицы[7].

123456789101112131415
1++++++++
2
3++++++
4
5++++++
6
7
810101101
910011
100101101
  1. В случае ЭПР-реализации, Алиса случайно выбирает базис для измерения состояния одного фотона из ЭПР-коррелированной пары либо линейный, либо круговой.
  2. Во втором шаге действия Алисы зависят от версии протокола.
    1. при ЭПР-реализации, выбирает случайную последовательность базисов для измерения поляризаций фотонов;
    2. Алиса выбирает случайную последовательность поляризованных фотонов и шлёт их Бобу.
  3. Боб измеряет поляризации его фотонов, используя последовательность случайных базисов.
  4. Результаты измерений Боба(неидеальность источника, канала связи и детектора приводят к потере фотонов).
  5. Боб сообщает Алисе базис измерения поляризации каждого полученного фотона.
  6. Алиса сообщает Бобу, какие базисы выбраны верно.
  7. Алиса и Боб сохраняют данные о фотонах, измеренных в правильных поляризациях, а все остальные отбрасывают.
  8. Оставшиеся данный интерпретируют в соответствии с кодовой таблицей:
  9. Алиса и Боб проверяют их ключи на соответствие по чётности выбранного подмножества бит. Если хотя бы один бит отличается, то такая проверка показывает существование Евы, прослушивающей канал.
  10. Стороны отбрасывают один из битов выбранного подмножества.

В результате коммуникации по протоколу B92 Алиса и Боб получают общий секретный ключ 0101101 и выявляют отсутствие Евы с вероятностью ½[8].

Недостатки

Протокол B92 не стал конкурентом для предшественника BB84, поскольку кардинальных перемен в алгоритме нового протокола не произошло, однако в B92 Ева вносит (½ * ½ * ½)*100% = 12.5% ошибок в ключ, против 25% протокола BB84, то есть обнаружить ее сложней, нежели раньше. К тому же полезной для генерации ключа оказывается только четверть фотонов (50%, что Боб угадал базис и ещё 50%, что не угадал, но получил «0»), в то время, как в BB84 половина, что приводит к удвоенному количеству операций передачи фотонов для генерации ключа. Единственное преимущество - необходимость двух источников вместо четырех, как в BB84, что не компенсирует появившиеся проблемы.

Так же существует ряд трудностей в практической реализации протокола.

Во-первых, несовершенство источников одиночных фотонов, а именно низкая скорость их генерации.

Во-вторых, несовершенство приемников одиночных фотонов, такое как срабатывание датчика не только на фотоны, но и на иные частицы.

В-третьих, современные существующее волоконно-оптические линии передачи не гарантируют достижение фотоном конечной точки из-за различных оптических потерь, то есть имеет место проблема дальности передачи информации. На расстоянии в 100 километров интенсивность излучения падает в 100 раз. То есть, если Алиса пошлёт 100 фотонов-битов, до Боба в среднем дойдёт только один. Что говорить про дальние расстояния. Нынешние волоконные линии связи спасает то, что можно использовать не единичные фотоны а также усилители. Квантовой криптографии не дано ни того, ни другого. Потому что если передавать фотоны не по одному, то у Евы появляется возможность отобрать часть фотонов и измерить поляризацию пучка. Созданию усилителя препятствует так называемая теорема о запрете клонирования, которая утверждает о невозможности создания идеальной копии произвольного неизвестного квантового состояния. Но даже если бы удалось создать усилитель, то им же могла бы воспользоваться Ева и так же отобрать часть фотонов для измерения поляризации.

В-четвертых, сейчас стоимость такой системы оценивается в 100 000 евро. По оценкам, если поставить производство этих систем на поток, стоимость снизится до 10 000, что хотя и на порядок меньше, но обыденное пользование установки с такой ценой не предвидится.

Практическая реализация

Практическая интерферометрическая реализация

В своей статье[7] Чарльз Беннет предложил практическую интерферометрическую реализацию протокола для слабых когерентных световых импульсов[5]. Алиса при помощи полупрозрачного зеркала разделяет световой импульс от источника на две части. Один из пучков проходит по длинному каналу в результате чего приобретает задержку ΔtA. А второй проходит через устройство, которое сдвигает фазу на 0 или π. Затем расщеплённые лучи собираются в один при помощи полупрозрачного зеркала. Результирующий сигнал будет иметь два фронта, отстоящих друг от друга на ΔtB. Получившийся сигнал передаётся по оптическому каналу связи Бобу, где он проводит аналогичные действия с сигналом.

Каждый фронт полученного сигнал расщепляется на два, которые получают либо дополнительную задержку распространения, либо сдвиг фазы. Если задержки распространения устройств Алисы и Боба равны ΔtA = ΔtB, то Боб наблюдает на три световых импульса. Если же суммарный набег фазы ΔφA + ΔφB равен π, то на выходе вовсе останется два импульса, так как интерференция пучков равной интенсивности увеличивает интенсивность при совпадении фаз лучей или компенсирует пучки в противофазе. В данной реализации кодирование определяется наличием или отсутствием второго импульса в полученном сигнале. Последний импульс не несёт никакую информацию о фазе, тем не менее, он используется для подтверждения получения Бобом сигнала, уменьшая воздействия шумов на систему.

Экспериментальная реализация

Несмотря на недостатки B92 перед другими протоколами, иногда системы, основанные на его осуществлении, удобней использовать из-за простоты реализации протокола.

С свзяи с этим были проведены эксперименты по реализации данного протокола.

Ученые из Бразилии в своей статье[9] описали установку, с помощью которой реализовали протокол B92. В выводе они обратили внимание на проблемы, которые возникли в установке, но написали о возможности их устранения.

Так же группа ученых из Китая собрали установку длиной 2,2 метра и поставили эксперимент по передаче информации с помощью протокола B92. Они так же подметили необходимость замены протокола для передачи фотона на дальние расстояния[10].

Криптостойкость

Криптостойкость протокола B92 использует тот факт, что при попытке измерить Евой состояние фотона, вносится ошибка в другое неортогональное состояние данному[11][5]. Таким образом, Алиса и Боб совместными усилиями могут выявить существование Евы.

Для описания криптостойкости протокола квантового разделения ключей вводя специальный критерий:

Протокол КРК[Прим. 2] является надёжным, если для любых параметров s > 0 и l > 0, выбранных Алисой и Бобом, и для любой стратегии подслушивания выполнение протокола либо прекращается, либо успешно завершается с вероятностью, по меньшей мере, 1 - O(2-s), и гарантирует, что взаимная информация Евы с окончательным ключом меньше, чем 2-l. Строка ключа должна быть существенно случайной.

Нильсен М., Чанг И.[12]

Протокол B92 удовлетворяет критерию надёжности[13], что достигается подходящим выбором контрольных кубитов и квантового кода, но в том случае, если существует идеальный канал, метод приготовления и измерения состояний единичных фотонов[14][15]. Развитие формализма анализа данных при передачи позволило предложить новые методы обнаружения Евы[16]. Также существует утверждение о том, что возможность различать неортогональные квантовые состояния, нарушает надёжность данного протокола, и более того, протоколов BB84 и E91[17].

Криптоанализ

Исследования в области криптостойкости квантовых протоколов стали отправной точкой для криптоанализа протокола и криптоатак на него. Данный протокол в некоторых физических реализациях может быть взломан PNS-атакой. Идея атаки основана на том, что протокол может быть реализован на не единичных фотонах. В таком случае, как говорилось в Недостатках, появляется возможность отобрать часть фотонов из квантового канала связи, достаточную для измерения поляризации данного пучка Евой[18].

Сравнение с другими протоколами

Как было отмечено ранее, существенных преимуществ перед предшественником BB84 B92 не имел, то есть та же уязвимость для атак и другие недостатки BB84 остались и в B92. Поэтому учёные взялись за создание новых, усовершенствованных протоколов.

В 1991 году польским физиком был предложен квантовый криптографический протокол, основанный на «мысленном эксперименте» Эйнштейна-Подольского-Розена[19]. В отличие от широко известных протоколов BB84 и B92, этот протокол использует отброшенные ключи для обнаружения присутствия криптоаналитика (Евы) с помощью неравенства Белла. То есть, при отсутствии криптоаналитика система будет описываться законами квантовой механики и, следовательно, нарушать неравенство Белла, а при его наличии становится теорией со скрытым параметром, удовлетворяющей этому неравенству.

Затем в 1995 году Б. Хаттнером, Н. Иммото, Н. Гисином, Т. Мором был впервые предложен протокол квантового распределения ключей BB84(4+2). В своей работе ученые подробно описали принцип работы протокола, его реализация и преимущества перед протоколом BB84 под угрозой PNS-атак. Считается, что этот протокол был первой осмысленной попыткой противостоять атаке с разделением по числу фотонов или PNS-атаке в истории развития криптографии. В протоколе используются 4 квантовых состояния для кодирования «0» и «1» в двух базисах, что соответствует протоколу BB84, и состояния в каждом базисе выбираются неортогональными , что соответствует протоколу B92, состояния в разных базисах также попарно неортогональны. 4+2 использует своеобразную комбинацию протоколов BB84 и  B92, отсюда и его название[20]. Одним из самых важных преимуществ перед двумя другими базовыми квантовыми протоколами BB84 и B92 является, так называемая, живучесть в смысле дальности или длины оптоволоконной линии. Квантовый протокол 4+2 остается секретным до длин квантового оптоволоконного канала связи около 150 км, в то время как критическая длина для протокола BB84 около 50 км, а для B92 около 20 км.

В 2004 году группа криптографов опубликовала в Physical Review Letters свою работу по исследованию протоколов на устойчивость к PNS-атакам, где была показана уязвимость протокола 4+2 (комбинация BB84 и B92) , который являлся первой попыткой противостоять PNS-атаке. Вместе с тем они предложили решение этой проблемы, а именно была придумана конфигурация векторов, не позволяющая провести измерение, которое бы ортогонализовало состояния в каждой паре базисов (с ненулевой вероятностью). Так появилась улучшенная версия протокола BB84 под названием SARG04. Ее главным отличией от BB84 и B92 является устойчивость к PNS-атакам, но за счет падения передачи скорости в 2 раза.

См. также

Примечания

Комментарии

  1. Схема, по которому поляризации фотона ставится в соответствие значение бита.
  2. Квантового разделения ключей.

Источники

  1. Нильсен, Чанг, 2006, с. 737.
  2. Нильсен, Чанг, 2006, с. 715.
  3. Bennett Science, 1992, p. 3121.
  4. Bennett Science, 1992, p. 752.
  5. Bennett Phys. Rev. Let., 1992, p. 3122.
  6. Гринштейн, Зайонц, 2008, с. 268.
  7. Bennett Phys. Rev. Let., 1992, p. 3121.
  8. Charles H. Bennett. Quantum Cryptography Using Any Two Nonorthogonal States (англ.) // Physical Review Letters. — 1992. — 25 мая. С. 3122.
  9. Fábio A. Mendonça, Daniel B. de Brito, João B. R. Silva, George A. P. Thé, and Rubens V. Ramos. [http://ieeexplore.ieee.org/document/4433365/ Experimental Implementation of B92 Quantum Key Distribution Protocol] // IEEE. — 2006. — Сентябрь.
  10. WANG Chuan, ZHANG Jingfu, WANG Pingxiaо, DENG Fuguo, AI Qing & LONG Guilu. Experimental realization of quantum cryptography communication in free space // Science in China Series G Physics Mechanics and Astronomy. — 2005. № 48. С. 237-246.
  11. Нильсен, Чанг, 2006, с. 716.
  12. Нильсен, Чанг, 2006, с. 720.
  13. Mayers JACM, 2001, p. 351-406.
  14. Нильсен, Чанг, 2006, с. 721.
  15. Ekert et al Phys. Rev. A, 1994, p. 1055.
  16. Barnett et al Phys. Rev. A, 1993, p. R7.
  17. Нильсен, Чанг, 2006, с. 732.
  18. Scarani et al Phys. Rev. Lett., 2004, p. 1.
  19. Einstein A., Podolsky B., Rosen N. Can Quantum-Mechanical Description of Physical Reality Be Considered Complete? // Physical Review. — 1935. — 15 мая (№ 47).
  20. Д.А.Кронберг,Ю.И.Ожигов,А.Ю.Чернявский. Квантовая криптография. — 5-е изд. — МАКС Пресс, 2011. — С. 94-100. — 111 с.

Литература

Книги

  • Шнайер Б. Прикладная криптография = Applied Cryptography. — Триумф, 2002. — 816 с. — ISBN 5-89392-055-4.
  • Нильсен М., Чанг И. Квантовые вычисления и квантовая информация = Quantum computation and quantum information. М.: Мир, 2006. — 824 с. — ISBN 5-03-003524-9.
  • Гринштейн Дж., Зайонц А. Квантовый вызов. Современное исследование оснований квантовой механики = The Quantum Challange. Modern research on foundations of quantum mechanics. М.: Издательский дом "Интеллект", 2008. — 400 с. — ISBN 978-5-91559-013-6.

Научные статьи

Ссылки

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.