Upload
imelda
View
127
Download
9
Embed Size (px)
DESCRIPTION
Kvantna kriptografija. Predava č : dr. Mario Stipčević, Institut Ruđer Bošković U okviru seminara prof. L. Budina 17. prosinca 2003. FER, Zagreb http://www.irb.hr/users/stipcevi/download/fer171203.pdf. Osnovni zadaci: autentikacija - PowerPoint PPT Presentation
Citation preview
1
Kvantna kriptografija
Predavač: dr. Mario Stipčević, Institut Ruđer Bošković
U okviru seminara prof. L. Budina
17. prosinca 2003. FER, Zagreb
http://www.irb.hr/users/stipcevi/download/fer171203.pdf
2
Što je kriptografija (zadaci)
Osnovni zadaci:
• autentikacija
• generiranje tajnog ključa između dvije strane koje ne dijele tajnu
• osiguranje tajnosti poruke• osiguranje integriteta poruke• osiguranje autentičnosti por.• osiguranje neporecivosti
Složeni:
• sigurne komunikacije• elektroničko trgovanje i
poslovanje• elektroničko potpisivanje• anonimne bankovne
transakcije• elektroničko glasovanje• elektronički novac
Nekad umjetnost, a danas specijalizirano područje teorije informacijakoje se bavi raznim zadacima:
3
Tipovi kriptografije
G alo isov e g ru pe E lip ticke g ru pe
L o ga r ita m ska(D iff ie -H e llm an)
P rim a lna(R S A )
K las icna
N o-c lo n ing(B B 8 4, B 92
E P R )
S um ni ka na li(S K A P D )
K va ntna
K rip to gra fi ja
Još jedna zanimljiva karakterizacija:
• klasična kriptografija je deterministička, a• kvantna je stohastička.
4
Shannonov model kriptosustava
• Ovaj kriptosustav podrazumijeva da Eve iz javnog kanala prima istu informaciju kao Alice i Bob [1].
• U Shannonovom modelu javlja se problem distribucije tajnog ključa. Osnovno je pitanje: kako dvije strane koje se nikada nisu vidjele ni čule mogu uspostaviti zajednički tajni ključ ?
5
Generiranje zajedničkog ključaTežište ovog predavanja biti će na jednom od najvažnijih zadataka
kriptografije: generiranju zajedničkog tajnog ključa između dvije
strane koje prethodno ne dijele nikakvu zajedničku tajnu.
Zamislimo prostoriju punu ljudi u kojoj dvoje (koji se ne poznaju) želeprenijeti / stvoriti neku zajedničku tajnu.
Da li je to moguće ?
6
Shannonov teorem
U svom djelu “Matematička teorija kriptografije” iz 1946. Shannon je
dokazao pesimističan rezultat da je nužan i dovoljan uvjet da šifratror
bude apsolutno siguran taj da je tajni ključ iste duljine kao i informacijski
sadržaj (Shannonova entropija H) poruke.
Prema tome, ukoliko Alice i Bob već ne dijele neku tajnu, oni je ne
mogu uspostaviti nikakvim protokolom.
7
Inženjeri G. Vernam i J. Mauborgne patentirali su 1918. sistem za
šifriranje koji se sastoji u tome da se poruka (plaintext) XOR-ira s
jednokratnim slučajnim predloškom (pad) kojeg posjeduju strane koje
žele izmjeniti poruku u tajnosti. Sistem je siguran ako se predložak
koristi samo jednom i uništi nakon korištenja.
• Kriptirane poruke ostaju zauvijek sigurne. (Dekriptiranje: - MOD 26)• Shannonov teorem ekvivalentan je tvrdnji da je jedini siguran kriptosistem OTP.
Vernamov “One Time Pad”
8
Diffie-Hellman protokol...• W. Diffie, M. Hellman (Stanford) objavili su 1976 metodu za uspostavu
tajnog ključa između dvije strane koje ne dijele prethodnu tajnu. Iako ovo prividno proturječi Shannonovom teoremu, riječ je o triku.
• Alice generira slučajan broj A i računa X=exp(A), šalje X Bobu
• Bob generira slučajan broj B i računa Y=exp(B) i šalje Y Alice
U konačnici Alice i Bob računaju tajni ključ, K.
DH je vjerojatno najveće pojedinačno otkriće klasične kripotografije.
9
…Diffie-Hellman protokol
Prisluškivačica Eve je u posjedu X i Y. Može li izračunati K ?
Da bi izračunala K, Eve mora izračunati A ili B, jer tada može
ponoviti račun ključa na isti način kao Alice odnosno Bob.
Trik je u tome što račun A ili B zahtijeva račun diskretnog logaritma:
A = log(X) ili
B = log(Y)
a za to ne postoji efikasan način ukoliko se spomenute operacije vrše
nad Galoisovim poljem GF(p) gdje je p takozvani “sigurni prim” broj.
Eve ima svu potrebnu informaciju za jednoznačni izračun ključa !
10
Pojam efikasnostiU kriptografiji se često rabi pojam efikasnosti posuđen iz Teorije
kompleksnosti (dio matematike).
Teorija kompleksnosti postavlja pitanja o složenosti općenito
definiranih problema, npr. koliko vremena (koraka) treba da bi se
problem riješio u općem slučaju, kao funkcija duljine ulaza (mjerene u
bitovima) pomoću najboljeg mogućeg algoritma.
Na primjer, za problem faktorizacije pitanje je koliko vremena treba da
se proizvoljan cijeli broj rastavi na proste faktore.
Za problem se kaže da je težak ukoliko funkcija vremena raste brže
nego polinomijalno (tj. eksponencijalno) s duljinom ulaza.
Vjeruje se da je problem faktorizacije težak.
11
Pojam slučajnostiSve što možemo reći o slučajnosti može se svesti na tvrdnje o slučaj-
nom nizu nula i jedinica. Pitanje je dakle: što je slučajni binarni niz ?
Odgovor na to pitanje ne postoji i ne može postojati. Knuth [2] daje
rukovet definicija koje su sve blesaste i uglavnom se ne pojavljuju
drugdje u literaturi.
Ne postoji mogućnost da se definira slučajnost, a da se u definiciji opet
ne spomene isti pojam.
Činjenica jest da je pojam slučajnosti binarnog niza intuitivan, a da bi
se stroga definicija sastojala od beskonačnog nabrajanja statističkih
svojstava koje mora zadovoljavati takav niz.
Primjer: vjerojatnost pojavljivanja jedinice jest 0.5, itd.
12
Generatori slučajnih bitova
Definicija: generator slučajnih bitova je idealizirani model uređaja
koji proizvodi niz statistički nezavisnih bitova, tako da je vjerojatnost
p(0)=p(1)=1/2.
Primjeri fizičkih uređaja:• bacanje novčića• mjerenje vremena između radioaktivnih raspada• vremenska sumacija šuma Zener diode• digitalizirani šum iz PC audio kartice ili temp. senzora• slučajnost ekstrahirana iz pritisaka tipki na tipkovnici• slučajnost ekstrahirana iz vremena pristupa čvrstom disku• itd.
13
Generatori pseudo-slučajnih bitova
Definicija: generator pseudo-slučajnih bitova je efikasno izračunljivo
preslikavanje iz prostora sjemena konačne (male) duljine u prostor
polu-beskonačnih binarnih nizova koje ima određena svojstva:– veliki period
– za proizvoljno k svih 2^k k-tupla pojavljuju se jednako često
– nepredvidljivost (kriptoanalitička)
– zadovoljavanje drugih statističkih kriterija odnosno “testova”.
Primjene:• kad god je generator slučajnih bitova potreban, ali neraspoloživ
(međutim sjeme mora često ipak biti slučajno odabrano)• aditivni “stream” šifratori• ekspanzija tajnog ključa• (reproducibilne) statističke simulacije itd.
14
Usporedba prave i pseudo-slučajnosti
• Pseudoslučajni generator mora primiti sjeme da bi funkcionirao. Proizvedeni niz je potpuno određen (numeriran) sjemenom. Za
kriptografske svrhe sjeme najčešće mora biti odabrano slučajno. • Ne-deterministički generator ne može primiti sjeme. Generirani niz
je nemoguće ponoviti.
Prava slučajnost dolazi samo iz fizičkog svijeta.
15
RSARivest-Shamir-Adleman (MIT, 1977) kriptosistem baziran je na teškostiproblema rastava velikog cijelog broja na proste faktore.
Prvo se odaberu dva velika prim broja p i q i neki d relativno prost sn=pq. Zatim se izračuna inverz e od d : ed=1. I na kraju se tekstenkodira brojevima iz reduciranog skupa reziduuma od n.Javni ključ čine (n, e) a tajni je d.
• Enkripcija:
• Dekripcija:
• Pokazano je da kriptanaliza nije jednostavnija od problema faktorizacije n tj. pronalaženja prostih faktora p i q.
nCT dii mod
nTC eii mod
16
...RSA
• RSA je jedinstven u tome što omogućuje istovremeno distribuciju ključa putem javnog medija i enkripciju/dekripciju putem javnog/privatnog ključa.
• Javni ključ obično se koristi za enkripciju, a tajni za dekripciju.
• Zamjenjivost uloga ključeva (tajni se ključ može koristiti i za enkripciju, a javni za dekripciju) RSA također omogućuje i elektronički potpis.
Dok je DH simetričan sistem (enkripcija i dekripcija istim ključem)
dotle je RSA je primjer nesimetričnog sistema.
17
Kompjutacijska sigurnostKompjutacijska sigurnost je bazirana na količini CPU vremena
potrebnog da se sistem “razbije” pomoću najboljih poznatih računskih
metoda.
Kažemo da je sistem siguran ako ga nije moguće razbiti u doglednom
vremenu s najjačim raspoloživim računalnim resursima.
Za najčešće korištene kriptosustave s javnim ključem (RSA, DH) kao
neke s tajnim ključem (DES, IDEA, RC5) vjeruje se da spadaju u tu
kategoriju. Njihova je sigurnost zasnovana na problemima faktoriziranja
velikih brojeva i izračuna diskretnig logaritama u određenim konačnim
grupama. Za te probleme za koje vjeruje se da su “teški” u smislu da ne
postoji bolji način da ih se riješi nego da se pogađaju sva moguća
rješenja (ključevi), tj. broj koraka raste eksponencijalno s duljinom ključa.
No teškost tih problema (još) nije dokazana !
18
Kvantna računalaKvantna računala predstavljaju novi tip računala koji može riješiti neke
teške (eksponencijalne) probleme u vremenu linearno ovisnom s
duljinom problema. To se odnosi napose na problem faktorizacije i na
problem diskretnih logaritama nad nekim konačnim poljima.
Teorija kvantne informatike i rudimentarni eksperimenti pokazuju
načelnu mogućnost realizacije kvantnih računala, no svrhovita kvantna
računala danas još ne postoje.
Ipak, s napretkom tehnologije kvantna će računala kad-tad postati
stvarnost, a tada će klasična kriptografija postati vrlo nesigurna.
Odgovor na tu prijetnju je kvantna kriptografija.
19
Bezuvjetna sigurnost
Kvantna kriptografija nudi (obećaje) bezuvjetnu sigurnost.
Pojam bezuvjetne sigurnosti baziran je na teoriji informacija i on ne
postavlja ograničenja na računalne resurse prisluškivača.
Kažemo da je sistem bezuvjetno siguran ukoliko prisluškivač
jednostavno nema dovoljno informacije da izračuna tajni ključ, dakle
bez obzira na količinu raspoložive kompjutacijske moći, memorije i
vremena.
Prvu definiciju i primjer bezuvjetne sigurnosti dao je Shannon u svojoj
knjizi o matematičkoj teoriji tajnosnih sistema [1].
20
Revizija Shannonovog modela
U ranim devedesetima pokazano je kako se Shannonov model
kriptosustava može modificirati na način koji omogućuje kreiranje
praktičnih, dokazivo bezuvjetno sigurnih kriptosustava.
Modifikacija se sastoji u slabljenju dvije pretpostavke:
• Prisluškivač ne mora primati egzaktno istu informaciju kao i legitimni korisnici
• Prisluškivačevo znanje o uspostavljenom tajnom ključu veće je od nule, ali se može učiniti po volji malenim.
Jedna od mogućih realizacija je tzv. kvantna distribucija ključa (QKD).
Druga koristi klasične binarne kanale sa šumom.
21
Kvantna kriptografija
• C.H.Bennett (IBM) i G. Brassard (U.Montreal) [5] objavili su 1984. godine prvi bezuvjetno siguran protokol za generiranje tajnog ključa između dvije strane koje ne dijele nikakovu prethodnu tajnu, baziran na zakonima kvantne fizike. Taj je protokol poznat kao
BB84.
• Tek pet godina kasnije isti autori konstruirali su prvi uređaj za generiranje tajnog ključa, koji implementira BB84.
• U tom protokolu kao i svim kasnije razvijenim QKD protokolima dvije strane vezane su s dva kanala: jednim kvantnim i jednim klasičnim (javnim).
22
Konjugirane baze kvantnih stanja
Kvantni kanal najčešće se realizira pomoću fotona dobro određene
polarizacije. Moguće su tri ortogonalne baze polarizacija koje su
međusobno konjugirane, npr:
1. vertikalna linearna - horizontalna linearna
2. linearna 45 deg - linearna 135 deg
3. cirkularna lijeva - cirkularna desna
Bilo koje dvije polarizacije iz različitih baza su konjigirane tj. ne mogu
se razlikovati sa samo jednim polarizatorom (mjerenjem).
Kvantna kriptografija je moguća ako se nule i jedinice enkodiraju
međusobno konjugiranim stanjima.
23
O detekciji polariziranih fotona
Nepolarizirano svjetlo može se shvatiti kao jednolika smjesa dvije
komponente koje čine ortonormiranu bazu, npr. vertikalne i
horizontalne polarizacije.
Polarizator propušta samo jednu polarizaciju (pola intenziteta).
Wollastonova prizma razdvaja nepolarizirani snop na dvije okomite
polarizacije, koje izlaze pod različitim kutevima.
Pockelsova ćelija može se upravljati naponom, a pretvara linearnu
polarizaciju u lijevu ili desnu cirkularnu (ovisno o naponu) i obrnuto.
24
BB84 protokol ...
25
... BB84 protokol
26
Sigurnost BB84
Bitovi koje šalje Alice su međusobno nezavisni - dovoljno je gledati što
se zbiva pri prijenosu samo jednog bita.
• O svakom bitu Eve ima slijedeću informaciju (koju dobiva prisluš-kivanjem javnog / klasičnog kanala): Bobov odabir polarizatora i Alicin odgovor o tome da li je taj odabir ispravan. Ako je Bob npr.
izabrao detektor + i taj je ispravan, onda Eve znade da
je poslan (i primljen) bit ili 0 ili 1 (jednako vjerojatno) i da će biti zadržan. Eve dakle ne zna ništa o tome bitu.
Da bi Eve imala šanse nešto doznati o ključu ona osim pasivnog
prisluškivanja javnog kanala mora intervenirati i u kvantni kanal.
27
Nemogućnost kopiranja kvantnog stanja
No-cloning teorem [8] kaže da ako imamo dva sistema od kojih je prviu nepoznatom stanju, a drugi u proizvoljnom stanju, nije moguće postićito da i prvi i drugi drugi sistem budu u stanju u kojem se početnonalazio prvi sistem. To jest, nepoznato stanje nije moguće “kopirati”.
Dokaz izlazi iz linearnosti operatora U(t) evolucije u kv. mehanici.Pretpostavimo 2 sistema s istim Hilbertovim prostorom, A i B. Sistem Analazi se u nepoznatom stanju, a sistem B u proizvoljnom stanju:
Kompozitni sistem predstavljen je tenzorskim produktom:
Jedini način manipulacije kompozitnog sistema jest da mu mijenjamoHamiltonijan pa pogledamo što se dogodilo u kasnijem trenutku t. Taje operacija opisana operatorom evolucije. Dakle ako neki U(t) djelujekao univerzalna “kopirka” tada, po definiciji, mora vrijediti:
AAA ba 1|0|| Be|
BA e ||
28
... dokaz no-cloning teorema
za bilo koju funkciju stanja i za neki fiksni t. Dakle to mora vrijediti i za
vektore baze (tj. b=0 i a=0):
Pomnožimo li gornju jednadžbu s a, te donju s b i zbrojimo, iz
linearnostioperatora U slijedi:
Desna strana u općem slučaju nije jednaka , dakleuniverzalna “kopirka” nije moguća.
BABA etU ||||)(
BABA
BABA
etU
etU
1|1||1|)(
0|0||0|)(
BABABA baetU 1|1|0|0|||)( BA ||
29
BB84 u praksiU stvarnoj realizaciji javljaju se razni efekti nesavršenosti aparature:• Fotonski “topovi” ispaljuju uglavnom Poissonovski raspodijeljen broj
fotona odjednom. Za snop s <1% primjese višestrukih fotona efikasnost topa za ispaljivanje jednog fotona je oko 0.1
• Polarizatori su nesavršeni što utječe i na produkciju i na detekciju i povećava mogućnost krivog prijenosa
• Pri prolazu kroz svjetlovod fotoni bivaju apsorbirani i mijenja im se polarizacija, što povećava mogućnost neispravne detekcije
• Detektori fotona imaju kvantnu efikasnost u rasponu 10%-30%, dakle mnogi fotoni ne budu uopće detektirani
• Detektori fotona imaju šum (reda 10-100 lažnih detekcija u sekundi)• Smjerovi osi u prijamu i predaji ne poklapaju se savršeno, što
povećava pogrešku
Prisluškivanje kanala neizostavno povećava broj pogrešno primljenihbitova.
30
Sigurnost BB84BB84 bio bi potpuno nesiguran kada bi Eve mogla napraviti bilo kojuod ove dvije intervencije u kvantnom kanalu:
1. izmjeriti polarizaciju fotona kojeg šalje Alice pa producirati isto takav foton i poslati ga Bobu;
2. umnožiti fotone što ih šalje Alice.
U prvom slučaju Alice imala bi istu informaciju koju imaju Alice i Bob,
pa bi na kraju procedure imala isti ključ. Međutim, Alice koristi fotone skojugiranih baza, tj. ne postoji orijentacija polarizatora kojom bi Evemogla nepobitno razlučiti polarizaciju fotona.
U drugom slučaju Eve želi s nekoliko različito orijentiranih polarizatoranepobitno odrediti polarizaciju fotona. No umnažanje nepoznatogkvantnog stanja nije moguće (no-cloning teorem).
Eve ipak može dokučiti nešto probabilističke informacije o ključukoristeći dvije vrste aktivnih napada na kvantni kanal.
31
Napadi na BB84 protokolIdealno, BB84 se radi tako da se kroz kvantni kanal puštaju samo
pojedinačni fotoni. U tom slučaju jedini mogući napad je:• presretni / pošalji (intercept / resend)
Ukoliko se (radi povećanja dometa) umjesto jednim, svaki bit enkodira s
više fotona moguć je i napad:• razdvajanje snopa (beamsplitting)
Razdvajanje snopa vrši se djelomično posrebrenim (tj. polupropusnim)
zrcalom.
32
...napadi na BB84 protokolPri svakom od spomenutih napada Eve dobiva informaciju o bitu s
nekom malom vjerojatnošću, neizostavno povećavajući broj pogrešno
primljenih bitova kod Boba.
Alice i Bob mogu izmjeriti razliku u primljenim bitovima:• ako je razlika dovoljno mala ona se može korigirati na način da Eve
ima vrlo malo informacije o konačnom ključu ulazeći u daljnje faze protokola;
• ako je razlika prevelika protokol se abortira.
Informacija koju Eve ima o konačnom ključu je probabilistička budući da
NITKO nema informaciju o tome koji bit Eve zna, a koji ne zna. Njeno
znanje je razmazano po cijelom ključu.
33
Daljnje faze protokola za uspostavu tajnog ključa
Nakon do sada opisanog dijela protokola Alice i Bob u posjedu su dva
jednako duga niza koji nisi sasvim jednaki (aparatura, prisluškivanje).
Osim toga Eve može imati određenu informaciju o tim nizovima.
Alice i Bob mogu odrediti gornju granicu na količinu te informacije.
Da bi se eliminirali problemi, kompletni protokol generiranja tajnog
ključa sastoji se iz tri dijela:
1. BB84
2. Izjednačenje podataka (Information Reconciliation)
3. Povećanje privatnosti (Privacy Amplification)
34
Protokol za izjednačenje podataka
Protokol za izjednačenje podataka je u stvari error-correction protokol,pri čemu se pretpostavi da npr. Alice ima “ispravan”, a Bob “oštećeni”niz, pa se protokol svodi na to da se Bobovi podaci usuglase s Alicinim.
- Alice i Bob podijele svako svoj niz na n blokova pa usporede paritete. U blokovima koji imaju različiti paritete binarnom pretragom pronalaze različiti bit. Bob invertira bit.
- Alice i Bob randomiziraju položaj svih bitova u nizovima javnim protokolom (matricom) te ponavljaju oba koraka nekoliko puta.
Budući da se protokol vodi putem javnog kanala bitan zahtjev jest štomanje curenje informacija.
35
Jednosmjerne funkcije
• Kolokvijalno rečeno jednosmjerne funkcije su one kojima je lakoizračunati vrijednost, a teško inverz. Jednu takvu funkciju smo većupoznali: exponenciranje nad Galoisovim poljem.
• Malo preciznije, one-way function je efikasno (tj. polinomijalno u duljini ulaza) izračunljivo preslikavanje:
kojem efikasan izračun inverza nije moguć ili nije poznat (tj. najbolji način je pogađanje).
rnF }1,0{}1,0{:
36
Hash ili digest funkcije
Hash funkcije su varijanta one-way funkcija čiji je argument u skupu
nizova bilo koje duljine, a vrijednost u skupu svih nizova jedne
određene duljine:
i za koje vrijedi još jedno svojstvo (tzv. collision resistance):
• za dani x, vrlo je teško naći y takav da je H(x) = H(y).
Za univerzalne hash funkcije vrijedi (Wegman 1979 [9]):
kolokvijalno rečeno, minimalna promjena x uzrokuje drastičnu
promjenu H(x).
Najpoznatije hash funkcije su MD5 (r=128) i SHA-1 (r=160).
rxH }1,0{}1,0{:)( *
rxHxHpxx 2))()(( 2121
37
Protokol za povećanje privatnostiU [11] opisan je postupak kojim se djelomično tajni niz (kakvog nakraju 2. faze imaju Alice i Bob) može putem javne komunikacijepretvortiti u kraći, vrlo tajni niz - odnosno konačni ključ.
Teorem. Ako se niz duljine n o kojem Eve ima t bitova informacijehashira nekom univerzalnom hash funkcijom na duljinu r, onda orezultirajućem nizu duljine r Eve ima manje od
bitova informacije, gdje je s=n-t-r tzv. security factor. Hash funkcijamože biti poznata Eve, ali mora biti korištena jednokratno.
2ln/2 s
38
Zašto to funkcionira ?
Već smo vidjeli da najmanja razlika između nizova E i A vodi gotovo
sigurno na na različite hash vrijednosti: H(E) H(A). Ako se E razlikuje
od A za r bitova, to znači da nam (po definiciji) treba r bitova
informacije da bismo E mogli svesti (transformirati) na A. Takovih
transformacija ima 2^r i vjerojatno je da bi svaki E (koji odgovara
jednoj od tih transformacija) imao drugačiji H(E).
Uzmimo da H preslikava u nizove duljine r. Dakle je H(A) jedan
određeni niz duljine r. S druge strane, za slučajno odabrani E je H(E)
jedan uniformno distribuirani slučajni broj duljine r.
Drugim riječima H(E) nema nikakve veze s H(A). Upravo to (malo
preciznije) govori izrečeni Teorem.
39
Fizička aparatura
Fizička aparatura koja implementira BB84 (Bennett, Bessette,
Brassard 1991) ima slijedeće parametre: efikasnost detekcije ~0.25%,
pogreška pri prijenosu p=4%, udjel višestrukih fotona =0.12.
Konzervativna procjena da je svaka pogreška u prijenosu posljedica
prisluškivanja kvantnog kanala, za niz duljine N vodi na procjenu
probabilističke informacije koju ima Eve:
Za konkretne parametre:
))224())1((5)2
4( pNpNl
NN
l 1.323.0
40
Fizička aparaturaU stvarno provedenom eksperimentu Alice je poslala 715,000 bitova
od čega je 2000 ispravno primljeno. Nakon izjednačavanja ostalo je
1400 bitova. Procjena Evine informacije o tih 1400 bitova jest
466 ± 27. Uzevši u obzir marginu od 5 i security faktor s = 20, nakon
provedenog povećanja privatnosti, došlo se do konačnog ključa duljine
754 bita o kojem Eve ima samo 10^-6 bita informacije.
U drugom eksperimentu, pri simulaciji “jakog” prisluškivanja došlo se
do ključa od samo 105 bitova.
41
Prvi komercijalni uređaj za kvantnu kriptografiju
Sredinom 2002. godine Švicarska spin-off firma idQuantique prikazala je
prvi komercijalni uređaj za kvantnu kriptografiju s nevjerojatnim
postignutim dometom od 67 kilometara.
42
No-cloning QKD protokoli• BB84 (Bennett, Brassard 1984) - originalno koristi 4 neortog. stanja• EPR (Ekert 1991) - koristi EPR parove• B92 (Bennet 1992) - koristi samo 2 neortogonalna kvantna stanja
Pokazuje se da su ti protokoli ekvivalentni te da se svode BB84 !
Postoje i brojne manje modifikacije aparature ili protokola čija je svrha
povećanje otpornosti na pojedine napade.
Općenito, kaže se da je QKD protokol siguran ako Alice i Bob mogu
odabrati parametre s > 0 i l > 0 tako da za bilo koju strateguju prisluš-
kivanja protokol uspjeva s vjerojatnošću barem i pri tom je
prisluškivačeva zajednička informacija s konačnim ključem manja od
.2 l
)2(1 SO
43
EPR paradoksEinstein nije vjerovao u kvantnu fiziku pa je pokušavao raznim
paradoksima dokazati njenu kontradiktornost ili nepotpunost. Pokazalo
se, međutim, da je svaki puta bio u krivu te da su njegovi paradoksi
doveli do novih uvida i čudesnih dokaza valjanosti kvantne fizike. Naj-
poznatiji je tzv. EPR paradoks [4] koji ukazuje na ne-lokalnost kv. fizike.
Određenim postupkom moguće je proizvesti par “isprepletenih”
(entangled) fotona. Ako se jednom od njih na put stavi polarizator,
vjerojatnost prolaska je 0.5, a njegova polarizacija odgovara smjeru
polarizatora (prolaz) ili je okomita. Istovremeno, na ma kojoj udaljenosti,
drugi foton poprima ortogonalnu polarizaciju. Paradoks je u tome što
se drugi foton “orijentira” momentalno.
Činjenica da se ne može utjecati na orijentaciju prvog fotona može se
iskoristiti za kvantnu kriptografiju.
44
Kriptografija s EPR parovima
Austrijska grupa [12] ostvarila je 1999. Ekertov protokol [6] koji je u
stvari BB84 protokol gdje je kvantni kanal ostvaren EPR parovima.
Iako logički ekvivalentan, kriptosistem s EPR parovima ima prednosti:
1. Inherentna slučajnost mjerene polarizacije fotona
2. Vrlo mala vjerojatnost dvofotonskih događaja.
Ostvarena brzina generiranja tajnog ključa je oko 550 bit/s .
45
Zaključci o no-cloning QKD
• Omogućuje uspostavu tajnog ključa o kojem prisluškivač ima proizvoljno malo informacije (npr. < 0.5 bit)
• Dovoljno je da je kvantni kanal jednosmjeran• Nužno je postojanje dvosmjernog autenticiranog klasičnog kanala
(može ići preko istog svjetlovoda)• Bilo koje dvije strane A i B koje žele uspostaviti ključ moraju biti
povezane kvantnim kanalom: za N sudionika treba N^2 kanala• Sigurnost ovisi o nemogućnosti kloniranja nepoznatog kvantnog
stanja. Međutim noviji rezultati (D. Bouwmeester, Oxford 2002) omogućuju kloniranje s teoretskim maksimumom vjernosti od 83.3% što bitno smanjuje duljinu tajnog ključa.
• Domet je konačan radi apsorpcije i dekoherencije u kvant. kanalu
Sigurnost no-cloning kvantne kriptografije još je na kušnji, a egzotična(i skupa) instrumentacija za sada ograničava širu primjenu.
46
Kriptografija kanala sa šumomPretpostavimo da su Alice, Bob (i Eve) povezani klasičnim kanalima,
ali sa šumom, tako da nitko ne prima točno onu informaciju koja mu je
poslana (Wynerov kanal).
Kod no-cloning kriptografije nakon prve faze protokola Alice i Bob
uvijek imaju prednost pred Eve. U stvari, prednost je dovoljno velika da
i nakon faze izjednačavanja podataka, u kojoj Eve doznaje još
informacije o nizu kojeg dijele Alice i Bob, ostaje dovoljno prednosti
kako bi se mogla izvršiti amplifikacija privatnosti i time doći do
konačnog ključa. Ta je prednost osigurana nemogućnošću savršenog
kopiranja informacije iz kvantnog kanala.
47
Binarni simetrični kanalBinarni simetrični kanal je klasični digitalni sistem u kojem vrijednost
transmisijske pogreške ima konstantnu vrijednost p, jednaku za “nule”
i “jedinice”. U slučaju pogreške izlazni bit je komplementaran ulaznom:
Csiszar i Koerner [7] su uočili da BSK imaju kriptografsku moć. Međutim, oni su izložili scenarij u kojem je prijenos tajne moguć samo ukoliko sulegitimni korisnici povezani kanalom koji ima manji šum nego li kanal prisluškivača, što često nije realistična pretpostavka.
48
S.K.A.P.DU. Maurer (1993) je, nastavljajući se na rad CK, predložio protokol u
kojem Alice i Bob mogu početno imati nizove koji imaju manji preklop
negoli ga imaju s nizom kojeg posjeduje prisluškivač, pa da ipak uspiju
“izvući” zajednički ključ !
Da bi to bilo moguće Maurer je osmislio poseban scenarij u kojem Alice
i Bob primaju korelirane nizove iz nekontrolabilnog izvora slučajnog
signala te uveo fazu destilacije prednosti (Advantage Distillation) u
kojoj Alice i Bob postižu prednost pred Eve i na to nakalemio posljednje
dvije faze iz no-cloning kvantnih protokola.
49
S.K.A.P.D. - scenarij
U. Maurer 1993, “Secret Key Agreement by Public Discussion” [3]
50
Faze S.K.A.P.D. protokola0. Alice, Bob i Eve primaju svoje početne nizove iz nekontrolabilnog
izvora slučajnih bitova s kojim su povezani putem BSK. Svi su nizovi različiti, ali korelirani.
1. Advantage Distillation (AD)
2. Information Reconciliation (IR)
3. Privacy Amplification (PA)
51
Nulta fazaSatelit S šalje slab signal koji enkodira niz slučajnih bitova. Alice, Bob (Eve) primaju isti komad niza slučajnih bitova te tako tvore svoje nizoveA, B (E) respektivno. Nizovi su svi duljine N, ali nisu sasvim jednakizbog šuma koji je individualan. Označimo:
Ako je i onda
Alice i Bob nemaju prednost
pred Eve i ne mogu odmah ući
u faze 2. i 3.
Eii
Bii
Aii
sep
sbp
sap
)(
)(
)(
AE BE
52
Protokol za destilaciju prednostiPretpostavljajući Alice i Bob uspostavljaju prednost koristeći
Advantage Distillation protokol.
• Alice i Bob podijele svoj niz
na parove i odrede paritet
svakog para.
• Parove kod kojih se paritet razli-
kuje odbacuju, a kod kojih je isti
zadržavaju samo prvi bit.
• Bitovi koji nisu odbačeni čine
niz koji ulazi u slijedeći korak.
Eksponencijalnim kraćenjem polaz-
nog niza A i B ostvaruju prednost.
EBA ,,
53
IR i PA protokoli
Nakon n iteracija AD protokola nizovi A_n i B_n općenito se još
međusobno razlikuju. Stoga Alice i Bob ne mogu odmah primijeniti
PA već prvo primijenjuju IR, baš kao i u slučaju no-cloning QKD.
IR protokol sam je sebi dostatan za kriterij koliko je iteracija potrebno
e da bi vjerojatnost da je p(AB) bila manja od neke unaprijed zadane
vrijednosti.
Pitanje kod PA prot. je kolika je duljina r konačnog ključa koja garantira
da je znanje Eve ograničeno na neku unaprijed zadanu veličinu
(npr. 2^-5 bita). Duljina r funkcija je samo od N, i može se
unaprijed izračunati ili odrediti simulacijama.EBA ,,
54
Zaključci o šumnoj kriptografiji
• Sigurnost ovisi o individualnosti šuma pri prijemu početnih nizova.• Omogućuje uspostavu tajnog ključa o kojem prisluškivač ima
proizvoljno malo informacije (npr. < 0.5 bit) • Bilo koje dvije strane A i B koje žele uspostaviti ključ moraju biti
međusobno povezane samo klasičnim kanalom.• Za N sudionika dovoljno je N kanala (i switchboard)• Prikazani SKAPD protokol otporan je samo na aktivnog
prisluškivača, no ukoliko A i B dijele malu prethodnu tajnu moguće je postići otpornost i na aktivnog prisluškivača.
Praktičnost šumne kriptografije još je na kušnji zbog egzotičnog
scenarija koji za sada ograničava širu primjenu.
55
Usporedba no-cloning i šumne QKD
Ukoliko se uspostavljeni ključ koristi kao OTP, kvantna kriptografijanudi dokazivu sigurnost od napadača s neograničenom kompju-tacijskom moći i neograničenom memorijom.
• Dokaziva sigurnost vrijedi za aktivnog napadača na kvantni i pasivnog na klasični kanal
Dokaziva sigurnost vrijedi samo za pasivnog napadača
Mala prethodna tajna oba prot. otporna na aktivnog napadača• A i B moraju biti povezani i klasičnim i kvantnim kanalom
SKAPD potrebuje samo klasični kanal • Skupa aparatura ograničava širu primjenu
Čudan postav koji zahtijeva nekontrolabilni izvor slučajnosti• Parametri protokola lako mjerljivi
Odlučni parametar protokola, šum prisluškivača, nije moguće mjeriti• Domet ograničen
Domet neograničen
56
Bibliografija[1] C. Shannon, Communication Theory of Secrecy Systems, Interna publikacija Bell
Systems, 1946 (zabrana tajnosti skinuta 1949)
[2] D. Knuth, The art of computer programming, Vol 2. Seminumerical algorithms, Addison-Wesley 1998
[3] U. Maurer, Secret Key Agreement by Public Discussion, IEEE Trans. Inform. Theor. 39(1993)733-742
[4] A. Einstein, B. Podolski, N. Rosen, Phys. Rev. 41(1935)777
[5] C.H.Bennett, G. Brassard, Quantum cryptography: public key distribution and coin tossing, proc. IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India 1984, pp 175-179
[6] A. Ekert, Quantum cryptography based on Bell’s theorem, Phys. Rev. Lett. 67(1991)661-663
[7] I. Csiszar, J. Koerner, Broadcast channels with confidential messages, IEEE Trans. Inform. Theor. 24(1978)339-348
[8] W.K. Wooters, W.H. Zurek, A Single Quantum Cannot be Cloned, Nature, 299(1982)802-803
[9] J.L Carter, M.N.Wegman, Universal Classes of Hash Functions, J. Compututer and System Sciences 18(1979)143-154
57
[10] C.H.Bennett, F.Besette, G.Brassard, L.Savail, J.Smolin, Experimental Quantum Cryptography, Proc. Eurocrypt 1980, pp. 253-265
[11] C.H.Bennet, G.Brassard, J-M.Robert, Privacy amplification by public discussion, SIAM J. on Computing 17(1988)210-229[12] http://www.quantum.univie.ac.at/research/crypto/index.html