Univerza v LjubljaniFakulteta za matematiko in fiziko

Oddelek za fiziko

SEMINAR - 4.letnik

KVANTNA KRIPTOGRAFIJA

Avtor: Enej Ilievskiemail: enej.ilievski@student.fmf.uni-lj.si

Mentor: dr. Marko Žnidarič

10. december 2009

Povzetek

Kvantna kriptografija ali kvantna distribucija ključa (QKD) uporablja pri zagotavljanjuvarnosti komunikacije principe kvantne mehanike. Pomembna in obenem unikatna lastnost kvantnekriptografije je možnost razkritja tretje osebe pri poskusu zbiranja informacij o kodirnem ključu. Toje direktna posledica dejstva, da kvantna meritev zmoti sistem in onemogoča prisluškovalcu prebratiključ, ne da bi za seboj pustil merljive anomalije v sistemu. Implementacija komunikacijskega pro-tokola je zasnovana tako, da zagotovi popolno varnost ključa v primeru, ko je “nivo prisluškovanja”pod določeno mejo.

Varnost kvantne kriptografije torej temelji na fundamentalnih lastnostih kvantne mehanike, med-tem ko se klasična kriptografija v celotni zanaša na računsko zahtevnost nekaterih matematičnihalgoritmov in zatorej ne omogoča razkritja prisluškovalca.

Treba pa je poudariti, da kvantno kriptografijo uporabljamo izključno za distribucijo privatnegakodirnega ključa in ne za pošiljanje sporočil. Ko si uporabnika enkrat lastita ključ, ki je znan samonjima, lahko komunikacija poteka preko standardnega komunikacijskega kanala.

V seminarju se bomo osredotočili na temeljne značilnosti in principe kvantne kriptografije, pred-stavili dva osnovna protokola in njune implementacije [1, 2, 3, 4] ter opisali nekatere možnostinapadov na kvantno kriptografske protokole[6, 7, 8, 11]. Ogledali si bomo tudi metodi s katerimalahko izboljšamo varnost ključa in odstranimo napake nastale pri prenosu ključa po kvantnem ka-nalu. V sklepnem delu bomo predstavili najpomembnejše mejnike v razvoju kvantne distribucijeključa in opisali nekatere osnovne elemente pratkičnih implementacij kvatnih protokolov [5, 12, 14].V tehnične podrobnosti in zapletene varnostne dokaze[13, 16] se ne bomo spuščali.

1

Kazalo1 KLASIČNA KRIPTOGRAFIJA 3

2 KVANTNA KRIPTOGRAFIJA 42.1 Uvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Kvantna izmenjava ključa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.3 Nezmožnost kopiranja kvantnega stanja - no cloning theorem . . . . . . . . . . . . . . . . 5

3 BB84 protokol (1984) 63.1 Konjugirane baze kvantnih stanj . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63.2 Kvantna izmenjava ključa po protokolu BB84 . . . . . . . . . . . . . . . . . . . . . . . . . 63.3 Uskladitev bitov in varnostna ojačitev ključa . . . . . . . . . . . . . . . . . . . . . . . . . 9

4 E91 protokol (1991) 104.1 Implementacija Ekertovega protokola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

5 Napadi na kvantni kanal 125.1 Napad “moža v sredini” (man-in-the-middle attack) . . . . . . . . . . . . . . . . . . . . . . 135.2 Ločitev števila fotonov (photon number splitting attack) . . . . . . . . . . . . . . . . . . . 135.3 Časovni napad (timing attack) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135.4 Hekerski napadi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

5.4.1 Spektralni napad (spectral attack) . . . . . . . . . . . . . . . . . . . . . . . . . . . 145.4.2 Napad z lažnimi stanji (faked states attack) . . . . . . . . . . . . . . . . . . . . . . 145.4.3 Napad s premikom časa (time-shift attack) . . . . . . . . . . . . . . . . . . . . . . 14

6 Praktična implementacija 15

2

1 KLASIČNA KRIPTOGRAFIJAPreden se spustimo v vode kvantne kriptografije je smotrno porabiti nekaj besed o klasični kriptografiji.Osnovno vprašanje kriptografije je, kako med udeležencema pogovora izmenjati zasebni skrivni kodirniključ preko nezaščitenega komunikacijskega kanala. Komunikaciji, kjer poteka kodiranje in dekodiranjepreko istega skrivnega ključa, pravimo simetrična kriptografija. Algoritem za kodiranje in dekodiranjesporočil lahko po drugi strani vključuje javni in privatni ključ. Javni ključ je dostopen vsakomur inje namenjen kodiranju sporočil. Slednja lahko dekodiramo le z ustreznim privatnim ključem. Takemukodiranju pravimo asimetrična kriptografija.

Za izmenjavo ključev se široko uporabljata asimetrična algoritma RSA in Diffie-Hellman. Varnostprvega temelji na računski zahtevnosti faktorizacije velikih števil, drugega pa na težavnosti t.i. Diffie-Hellmanovega problema - izračunati gxy, za dan element g ter znani vrednosti gx in gy.

Oglejmo si kako deluje RSA. Ključa generiramo na sledeči način:

• izberemo dve naključni veliki praštevili p in q

• izračunamo n = pq ter φ(n) = (p− 1)(q − 1)

• izberemo celo število e tako, da velja 1 < e < φ(n) in sta si e in φ(n) tuji števili

• izračunamo d, da je de ≡ 1 mod(φ(n))

Javni ključ sestoji iz modula n in javnega kodirnega eksponenta e, privatni ključ pa iz modula n inprivatnega dekripcijskega eksponenta d.

Izmenjava kodirnega ključa poteka takole: Ana pošlje svoj javni ključ (n, e) Boštjanu, svoj privatniključ pa obdrži pri sebi na varnem mestu. Če želi Boštjan poslati Ani sporočilo M, ga najprej spremeniv število m < n po enem izmed reverzibilnih protokolov (padding scheme)1in nato izračuna šifro kot

c ≡ me mod(n).

Ana lahko izlušči m iz c preko svojega privatnega dekodirnega eksponenta d.

m ≡ cd mod(n)

S poznavanjem prafaktorjev števila n lahko napadalec izračuna skrivni eksponent d iz javnega ključa(n, e). Problem faktorizacije ni izvedljiv v polinomskem času (čeprav ni dokaza, da takšen algoritem neobstaja), zato izbira dovolj velikih praštevil zagotavlja nezlomljivost algoritma.2

Algoritmi za asimetrično kodiranje so v splošnem počasnejši od algoritmov za simetrično kodira-nje. 3 V modernih kriptosistemih se zavoljo prednosti in pomankljivosti omenjenih tehnik uporabljakombinacija obojih. Asimetrične postopke uporabimo, da izmenjamo sejni ključ za simetrično komu-nikacijo. Da zagotovimo večjo varnost, sejne ključe pogosto menjujemo. Pogostost menjave določamohevristično. Komunikacija je tako teoretično ranljiva, toda pri razpoložljivi računski moči bi dešifriranjetrajalo predolgo, da bi se ga splačalo sploh pričeti.

Očitna pomankljivost takega načina komuniciranja je, da Ana v resnici ne more biti prepričana, daje sporočilo res poslal Boštjan. V praksi se zato uporablja sheme z javnimi certifikati. Gre za elektronski

1Gre za algoritem pri katerem se čisto besedilo kombinira z naključnim nizom tako, da se uporabi modularno seštevanje(za binarni zapis podatkov se uporabi funkcija XOR). Namen takega početja je povečati težavnost dekripcije. Postopek jesiguren v primeru, če se generirani niz uporabi samo enkrat in se nato uniči.

2Leta 1994 je Peter Shor pokazal, da bi kvantni računalniki lahko rešili problem faktorizacije v polinomskem času(O(logn)3), kar bi omogočalo enostavno razbitje RSA sheme.

3Tipično so asimetrični postopki stokrat do tisočkrat počasnejši.

3

dokument, ki preko digitalnega podpisa 4 združuje uporabnikov javni ključ z njegovo identiteto. Certifikattorej zagotalja verodostojnost sporočevalca.

Na tem mestu velja omeniti še Vernamov postopek šifriranja, ki je edini dokazano popolnoma va-ren kriptosistem. To pomeni, da je šifro nemogoče razbiti, ne glede na njeno dolžino in razpoložljivračunski čas. 5 Ostali kodirni postopki se v celoti zanašajo na t.i. računsko varnost (to pomeni, da jeverjetnost za razbitje kodirnega ključa v razumnem času ekstremno majhna pri uporabi trenutno razpo-ložljive računske moči). Pri Vernamovem postopku generiramo naključen niz in ga modularno prištejemooriginalnemu sporočilu (seveda morata biti oba niza enake dolžine). V primeru bitne reprezentacije se-števanje po modulu ustreza kar logični operaciji XOR. Ključnega pomena za nezlomljivost algoritma je,da naključni niz uporabimo natanko enkrat in ga po uporabi uničimo. Poleg tega moramo zagotoviti šeresnično slučajnost generiranega niza.

2 KVANTNA KRIPTOGRAFIJA

2.1 UvodPri kvantni komunikaciji informacijo zakodiramo v kvantna stanja ali qubite (pri klasični komunikaciji soto biti). Qubit je vektor stanja v dvonivojskem kvantnomehanskem sistemu, kar je formalno ekvivalentnodvorazsežnemu vektorskemu prostoru nad kompleksnimi števili. Ključna razlika med običajnim bitomin qubitom je v tem, da je vrednost bita vselej ali 0 ali 1, medtem ko je vrednost qubita lahko poljubnalinearna kombinacija 0 in 1 s kompleksnimi koeficienti.

|ψ〉 = α|0〉+ β|1〉

Ko pomerimo qubit, dobimo z verjetnostjo |α|2 stanje |0〉 in z verjetnostjo |β|2 stanje |1〉. Prostorstanja posameznega qubita lahko ponazorimo z Blochovo sfero.

Slika 1: Blochova sfera - stanje qubita lahko zapišemo kot poljubno superpozicijo stanj |0〉 in |1〉: |ψ〉 =cos (θ/2)|0〉+ eiφ sin (θ/2)|1〉.

4Ponovno se koristi asimetrična kriptografija; več o tem v virih [18] in [19].5Teoretično obstaja možnost, da nekdo ugane širfo ali poskuša dešifrirati sporočilo z vsemi možnimi kombinacijami

ključa (brute-force attack), toda verjetnost za to je pičelna: pri 128 bitnem ključu bi bilo potrebno preveriti 2128 ∝ 1040

kombinacij, kar je neizvedljivo! Na podlagi Von-Neumann-Landauerovi limite lahko namreč ocenimo, da bila energijapotrebna za izvedbo vseh potrebnih 2128 − 1 obračanja bitov (dejanskega preverjanja kombinacije sploh ne upoštevamo)nekje 1018 J , kar ustreza 30 GW moči v enem letu.

4

Druga pomembna razlika med klasičnimi biti in qubiti je ta, da slednji lahko tvorijo prepletenastanja. Prepletenost je nelokalna lastnost kvatnih sistemov, ki jo je najbolje ponazoriti na konkretnemprimeru. 6 Predstavljajmo si par prepletenih kvantnih objektov, npr. dva spina. Naj bosta verjetnosti,da izmerimo stanji posameznega spina |0〉 ali |1〉 enaki. 7 Nato spina ločimo; enega damo Ani, drugegapa Boštjanu. Če Ana izmeri stanje svojega spina in dobi |0〉, bo Boštjan pri meritvi svojega spina gledena isto os nujno dobil |1〉 ne glede na to, kako daleč vsaksebi sta si z Ano. Velja seveda tudi obratno. 8

V primeru neprepletenih delcev bi izid sleherne meritve dal katerokoli stanje z verjetnostjo 50 %.Kvantna prepletenost med drugim omogoča kvantno teleportacijo in ima pomembno vlogo pri kvan-

tnih računalnikih.

2.2 Kvantna izmenjava ključaKvantna izmenjava ključa poteka preko kvantnega kanala. To je običajno kar optično vlakno po katerihpošiljamo fotone (kvantna stanja s katerimi manipuliramo). Pri realizaciji algoritmov je mogoče ubratikar nekaj različnih pristopov, v grobem pa jih lahko uvrstimo v eno izmed dveh kategorij:

• “pripravi in izmeri” protokoli - temeljijo na ugotovitvi, da kvantnih sistemov ni mogoče po-meriti, ne da bi jih pri tem zmotili. Od tod direktno sledi, da kvantnih stanj ni mogoče klonirati,kar pomeni, da potencialni prisluškovalec ne more pomeriti stanja sistema, ne da bi za seboj pu-stil opazne posledice. Primer protokola, ki uporablja omenjeni princip je spodaj opisani protokolBB84.

• protokoli s prepletenimi stanji - kvantna stanja dveh ali več kvantnih delcev je mogoče povezatitako, da meritev enega od njih instantno vpliva na preostalega. Če je kateri izmed prepletenihdelcev prestrežen, bo to pustilo vpliv na celoten sistem in omogočilo razkritje tretje osebe. Vseminarju bomo predstavili protokol E91.

Obe tehniki lahko v principu razdelimo še v tri družine protokolov, katere uporabljajo diskretne spre-menljivke, zvezne spremenljivke ali fazno kodiranje. Prvi so bili najprej implementirani in so tudi najširšeuporabljani. Sem spadata tudi algoritma, ki smo ju že omenili in ju bomo predstavili v nadaljevanju.Preostala dva načina skušata predvsem odpraviti praktične pomankljivosti in omejitve.

2.3 Nezmožnost kopiranja kvantnega stanja - no cloning theoremKoncept nezmožnosti kopiranja kvantnega sistema (poznan kot no cloning theorem) je temelj delovanjakvantne komunikacije. O kloniranju sistema govorimo takrat, ko sistem v neznanem kvantnem stanjuspravimo v enako stanje kot sistem, ki ga želimo klonirati. Končni produkt postopka sta torej dve fizičnoločeni stanji z identičnimi lastnostmi.

Dokaz

Imejmo kvantni sistem A v stanju, ki ga želimo kopirati |ψ〉A in sistem B v istem prostoru stanj vzačetnem stanju |e〉B . Sestavljen sistem opišemo s produktnim stanjem |ψ〉A|e〉B .

6Formalno kot prepletena stanja imenujemo neseparabilna stanja. To pomeni, da stanja celotnega sistema ne moremozapisati kot direktni produkt stanj podsistemov. Posameznim podsistemom tako ne moremo pripisati čistih kvantnih stanj,celotnemu sistemu pa lahko.

7Stanje |0〉 naj pomeni spin dol, |1〉 pa spin gor glede na izbrano os.8Tu smo za zgled izbrali enega od maksimalno prepletenih stanj dvonivojskega kvantnega sistema, kjer sta spina vselej

antiparalelna. Obstajajo štiri takšna (Bellova) stanja.

5

Če tak sistem pomerimo, se valovna funkcija zruši v enega izmed lastnih stanj opazljivke, kar uničiinformacijo, ki jo vsebuje qubit |ψ〉A = a|0〉A+ b|0〉B . Tega nikakor nočemo! Edina možnost da manipu-liramo s tako sestavljenim sistemom je, da mu menjujemo Hamiltonijan in pogledamo, kaj se je zgodiloz njim po času t. Tako operacijo izvedemo z operatorjem časovnega razvoja U = exp (−iHt/~).

Naj U deluje kot operator kopiranja. Tedaj je

U|ψ〉A|e〉B = |ψ〉A|ψ〉B , U|φ〉A|e〉B = |φ〉A|φ〉B

za poljubni valovni funkciji |ψ〉 ter |φ〉 po nekem fiksnem času.Operator U(t) je unitaren, torej ohranja notranji produkt:

〈e|B〈φ|AU†U|ψ〉A|e〉B = 〈φ|B〈φ|A|ψ〉B |ψ〉A

To nas pripelje do zveze 〈φ|ψ〉 = 〈φ|ψ〉2, kar pomeni, da velja bodisi φ = ψ, bodisi sta stanjiortogonalni. Slednje v splošem ne drži, zato operator U ne more klonirati kvantnih stanj.

3 BB84 protokol (1984)BB84 protokol sta razvila Charles Bennett in Gilles Brassard leta 1984. To je bil prvi kvantno-kriptografskiprotokol. Pri protokolu navadno uporabljamo polarizacijska stanja fotonov, čeprav ga je mogoče reali-zirati tudi na drugih konjugiranih stanjih. Za komunikacijski kanal po katerem poteka kvantna komu-nikacija v primeru fotonov največkrat izberemo kar optično vlakno ali prazen prostor. Poleg kvantnegakanala pa komunikacija teče tudi preko klasičnega javnega kanala (npr. internet). Nobene potrebe ni, daje klasični kanal varen. Protokol je zasnovan tako, da upošteva možnosti prisluškovanja po kateremkoliod obeh kanalov.

3.1 Konjugirane baze kvantnih stanjKvantni kanal je najlažje realizirati s pomočjo fotonov z dobro definirano polarizacijo. Na izbiro imamotri ortogonalne baze polarizacij, ki so medsebojno konjugirane.

1. vekrtikalna in horizontalna linearna (pravokotna baza)

2. linearna pod kotom 45◦ in kotom 135◦ (diagonalna baza)

3. leva in desna cirkularna (cirkularna baza)

Katerekoli dve polarizaciji iz različnih baz sta si konjugirani. To pomeni, da ju ne moremo razločiti zuporabo enega samega polarizatorja. Dve različni polarizaciji fotona pri kvantni komunikaciji ustrezatarazličnima vrednostima bita. Nepolarizirano stanje razumemo kot poljubno linearno kombinacijo obehortogonalnih (baznih) stanj.

3.2 Kvantna izmenjava ključa po protokolu BB84Potrebujemo dve konjugirani bazi - uporabljali bomo navpično in diagonalno. Najprej se je treba do-govoriti katera polarizacija ustreza kateri vrednosti bita. Naj bo vodoravna polarizacija vrednost 0,navpična pa 1. Kot se bo izkazalo, moramo pri varni komunikaciji pošiljati fotone v dveh različnihkonjugiranih bazah. Tako mora Ana pošiljati Boštjanu ne samo vodoravno in vertikalno polariziranefotone, ampak tudi take, ki so polarizirani pod kotoma 45◦ oziroma 135◦. Označujmo odslej navpičnobazo s +, diagonalno pa z ×. Izbira posamezne baze mora biti popolnoma naključna.

Če hoče Boštjan na drugi strani linije uspešno ugotoviti ali poslani foton predstavlja stanje |0〉 ali|1〉 mora uporabiti enako bazo kot Ana. Na primer, če Ana izbere bazo + in pošlje foton, bo Boštjan

6

baza 0 1+ ↔ l× ↖ ↗

Tabela 1: Polarizacije fotonov za izbrani bazi.

z navpičnim polarizatorjem lahko določil ali gre za stanje 0 (takrat ne bo sprejel nič) ali 1 (ko fotonsprejme). Analogno seveda velja za diagonalno bazo. Ključno pa je vprašanje, kaj se zgodi, če Boštjanovaizbira baze ni kompatibilna z Anino? To se recimo zgodi, ko Ana pošlje foton v bazi ×, Boštjan pa imasvoj polarizator obrnjen v navpični smeri. Meritve ali preprost kvantni račun pokažejo, da Boštjan izmeriv polovici primerov vrednost 0, v drugi polovici pa 1! In ravno omenjena kvantna nedoločenost je temeljza varno izmenjavo ključa. Poglejmo, kako poteka izmenjava.

Ker Boštjan ne ve, v kateri bazi Ana pošilja fotone, mu ne preostane drugega kot naključna izbiramed navpično in diagonalno bazo.

Slika 2: Anin niz bitov zakodiran v naključno izbrani bazi.

Za vsak prejeti foton si Boštjan spravi čas meritve, bazo v kateri je meril ter rezultat meritve. KoBoštjan pomeri vse fotone začne z Ano komunicirati preko klasičnega kanala. Najprej naredita primerjavomed zaporedjem baz v katerih je Ana kodirala fotone in zaporedjem baz v katerih je Boštjan bral inzavržeta bite v primerih, ko sta izbrala različni bazi. Ker je Boštjan svojo bazo izbiral naključno, bo vpovprečju obdržal le 50 % bitov.

Poglejmo, kaj se zgodi, če imamo prisotno še prisluškovalko Evo. Če je Eva pridobila kakršnokoliinformacijo o polarizaciji fotonov je s tem dejanjem v niz vnesla anomalije. Eva prav tako ne ve zaAnine izbire baze, zato ji ne preostane drugega, kot da jih sproti naključno izbira, ter po opravljenimeritvi Boštjanu pošlje stanja, kot jih je sama izmerila. V primeru Evine kompatibilne izbire baze dobiBoštjan enaka stanja, ko jih je poslala Ana, v nasprotnem primeru pa bo izmerjeno stanje naključno inBoštjan ne bo dobil originalnih bitov. Tedaj tako s pravilno kot napačno izbiro baze dobi pravilen bit lev polovici primerov.

7

Slika 3: Ker Boštjan ne ve, v kateri bazi je Ana zakodirala fotone, svojo bazo izbere naključno. Izmerjeniniz bitov se bo s poslanim v povprečju ujemal v 50 %.

Eva Boštjan ujemanjeP P 100 %N P 50 %P N 50 %N N 50 %

Tabela 2: P/N označuje kompatibilnost/nekompatibilnost z Anino izbiro baze. Vsaka od naštetih situacijse zgodi v 25 %; Boštjan torej dobi v prisotnosti Eve 62, 5 % pravilnih bitov, medtem ko brez nje dobi50 %+25 % = 75 % pravilnih bitov! Ko upoštevamo, da bite pri nekompatibilnih bazah Ane in Boštjanazavržemo, dobimo 75 % ujemanje z Evo, brez nje pa 100 %.

Verjetnost, da prestreženi foton vnese napake v nizu, je torej (1/2)2 = 25 %. 9 Če Ana in Boštjanprimerjata niz dolžine n, lahko prisluškovalca razkrijeta z verjetnostjo

P = 1−(

34

)n.

Varna izmenjava ključa preko BB84 protokola ne bi bila mogoča, če bi bilo mogoče:

• izmeriti polarizacijo Aninega fotona ter sproducirati enak foton in ga poslati naprej Boštjanu

• razmnoževati fotone, ki jih pošilja Ana

V prvem primeru bi Eva imela enako informacijo kot Ana in Boštjan in bi brez težav generirala istiključ. Tega ni mogoče storiti, saj Ana kodira fotone v konjugiranih bazah, zato ne obstaja orientacijapolarizatorja, ki bi neizpodbitno določila polarizacijo fotona. V drugem primeru pa bi Eva lahko zrazličnimi polarizatorji brez težav določila polarizacijo fotona (lahko bi namreč opravila več meritevzapovrstjo). Tudi ta bojazen je odveč, saj kvantnih stanj ni mogoče kopirati.

9Upoštevati moramo samo tiste bite, kadar bazi Ane in Boštjana sovpadata.

8

Anin naključni niz bitov 0 1 1 0 1 0 0 1Anina naključna baza + + × + × × × +

polarizacija poslanega fotona l ↔ ↖ l ↖ ↗ ↗ ↔Evina naključna baza + × + + × + × +

Evina izmerjena in poslana polarizacija l ↗ ↔ l ↖ ↔ ↗ ↔Boštjanova naključna baza + × × × + × + +

Boštjanova izmerjena in poslana polarizacija l ↗ ↗ ↖ ↔ ↗ l ↔skrivni ključ 0 0 0 1

napake v ključu 2� 4 2� 2�

Tabela 3: Ilustracija kvantnega protokola BB84 s prisotnostjo prisluškovalke. Boštjan je štirikrat izbralpravilno bazo, a v enem primeru je zaradi Evine meritve v napačni bazi dobil napačen rezultat.

3.3 Uskladitev bitov in varnostna ojačitev ključaV praksi naletimo na kar nekaj težav okrog BB84 protokola. Sam kvantni kanal, npr. optično vlakno alizrak, absorbira fotone, kar ima za posledico izgubo dela podatkov. Tudi detektorji fotonov imajo svojetežave, saj imajo slab izkoristek (nekje 10 % pri detekciji posameznega fotona), poleg tega pa imajo tudiintrinzičen šum, ki prispeva k detekciji fotona, ko tega sploh ni bilo. Dodatne težave prinese netočnaporavnava detekcijskega sistem in še bi lahko naštevali.

Po drugi strani dejanski sevalci fotonov ustvarjajo pulze svetlobe, ki včasih vsebujejo m > 1 fotonov.Eva lahko tedaj izmeri en foton, ostale pa prepusti Boštjanu. Na ta način pridobi delež bitov ne da bibila pri tem razkrita.

Da zagotovimo identičnost Aninega in Boštjanovega ključa, moramo odpraviti napake, ki so nastalezaradi omenjenih nepravilnosti na kvantnem kanalu. Zavedati se moramo, da teh napak nikakor nemoremo razločevati od tistih, ki jih povzroči prisotnost prisluškovalca. To pomeni, da moramo upoštevatinajslabši primer, t.j. kadar je vsa izgubljena informacija posledica prisluškovanja. Uskladitev bitovpoteka kar preko javnega kanala (manjše puščanje informacij). Pomembno je, da poiščemo postopek, kipoenoti oba ključa in hkrati razkrije čim manj informacij. Standardno se uporablja kaskadni algoritem.

Postopek poteka v več rundah. Vsakič oba ključa razdelimo na nekaj blokov in primerjamo njihoveparnosti.10 Ko ugotovimo, da imata bloka različno parnost, opravimo binarno iskanje11, da odkrijemoin popravimo napako. Ker ne želimo, da Eva pri primerjanju parnosti preveč izve o ključu, se zadnjibit iz vsakega bloka zavrže. Verjetnost, da se v bloku pojavita dve ali več napak, je sicer majhna, ševedno pa jo moramo vzeti v obzir (če obrnemo dva bita v nizu ostane parnost enaka). Take napake jelažje odstraniti (boljša konvergenca), če opisano proceduro ponovimo na blokih sestavljenih iz naključnihpodnizov, dokler ne dosežemo zadovoljivo število zaporednih ujemajočih se parnosti. Po nekaj rundahsta torej z veliko verjetnostjo oba ključa identična. Toda za miren spanec se moramo še malo boljpotruditi. . .

Pri kaskadnem postopku je iz izmenjave podatkov o parnostih blokov Eva pridobila dodatne infor-macije o ključu. Da ne pride do zlorabe tega znanja, uporabimo postopek, ki mu pravimo varnostnaojačitev ključa. Po opravljenem algoritmu dobimo varen končni ključ, ki je krajši od dolžine ključa predzačetkom postopka. Pri varnostni ojačitvi se uporabljajo univerzalne kriptografske hash funkcije. Toso enosmerne funkcije12, ki sprejmejo niz (argument) poljubne dolžine, vrnejo pa niz točno določenedolžine. Želimo imeti takšno funkcijo, ki je odporna proti trkom. To pomeni, da je izredno težko najti

10Parnost binarnega niza je soda/liha če imamo sodo/liho število enic. Dva niza, ki se razlikujeta v enem bitu imatazato različni parnosti.

11Delamo bisekcijo bloka na manjše bloke in vsakič znova preverjamo parnost.12Pod enosmerne funkcije uvrščamo funkcije, katerih vrednost je enostavno izračunati, inverz pa izredno težko! Takšna

funkcija je na primer množenje naravnih števil. Inverz bi v tem primeru ustrezal faktorizaciji števila.

9

dve različni sporočili m1 in m2, za kateri je hash(m1) = hash(m2).13

Izrek

Če niz dolžine n bitov o katerem ima Eva t bitov informacije preslikamo z univerzalno hash funkcijo vniz dolžine r, ima Eva manj kot 2−s/ ln (2) bitov informacije. s = n− t− r imenujemo varnostni faktor.Eva lahko pozna hash funkcijo, toda le-ta mora biti uporabljena zgolj enkrat.

Število t ocenimo iz količine napak med komunikacijskim postopkom. Pri tem predpostavimo, da sovse napake posledica prisluškovanja, čeprav v praksi to ne drži.

4 E91 protokol (1991)Protokol, ki ga je predlagal Artur Ekert, temelji na kvantno prepletenih parih delcev (EPR pari). Pre-pletena fotona (lahko ju oddaja nek centralni izvor, ki je ločen od uporabnikov) se loči in razdeli medAno in Boštjana. Prepletena stanja so popolnoma korelirana. Rezultat posamezne meritve seveda ostajapovsem naključen in posledično nepredvidljiv. Vsakršen poskus prisluškovanja uniči omenjeno korelacijo,kar je mogoče tudi detektirati.

4.1 Implementacija Ekertovega protokolaZa kvantna stanja vzamemo polarizacijsko prepleteno stanje

φ =1√2(|01〉+ |10〉.

Tako stanje je superpozicija dveh stanj pri katerih je kombinirano stanje obeh delcev dobro določeno.Če izmerimo prvemu delcu vrednost 0, izmerimo drugemu zagotovo delcu 1, in obratno. Katero od obehkombinacij bomo izmerili je nemogoče napovedati - vemo le, da sta verjetnosti enaki. 14

Ana in Boštjan naključno izbereta eno od treh koplanarnih osi, glede na katere bosta merila polari-zacije svojih delcev. Naj Anine baze tvorijo vektorji ai (i = 1, 2, 3), Boštjanove pa bj (j = 1, 2, 3). Čeizberemo, da delci potujejo vzdolž osi z, ležita obe trojici vektorjev v xy ravnini. Orientacijo posameznesmeri opišemo s kotom φ glede na os x. Izberemo

φa1 = 0◦ φa2 = 45◦ φa3 = 90◦,

φb1 = 45◦ φb2 = 90◦ φb3 = 135◦.

V primeru kompatibilne izbire baze (to se zgodi v našem primeru le v 2/9 primerov) Ana in Boštjanzaradi popolne koreliranosti delcev vselej izmerita različni vrednosti bitov. Bolj zanimiv je primer, konjuni izbiri ne sovpadata. Če Ana npr. detektira spin gor v 45◦ bazi, Boštjan v 90◦ bazi izmeri stanji gorin dol z enako verjetnostjo. Kot kaže Boštjanov delec ve rezultat Anine meritve in se na njegovi podlagiodloči kako se bo orientiral (bodisi komplementarno glede na Anino izbiro, bodisi naključno v primerunekompatibilne baze). Kot kaže obstaja nekakšno misteriozno delovanje na daljavo, kar je povsem vneskladju s klasičnimi predstavami o lokalnosti. Velik nasprotnik takšnega obnašanja narave je bil celosloviti Albert Einstein.15

13S tem preprečimo tako imenovani birthday attck. Cilj tega napada je poiskati dva argumenta, ki imata enaki hashvrednosti (iščemo kar s pseudonaključnimi vhodnimi spremenljivkami). Tak par imenujemo trk. Za univerzalne hashfunkcije velja P (hash(m1) = hash(m2)) < 2−r. Pogosto uporabljana hash funkcija MD5 ima vrednost r = 128. Popribližno 1000 miljardah preverjenih vhodnih spremenljivkah je verjetnost za trk komaj 10−15.

14Kako pridemo do prepletenih polarizacijskih stanj opišemo na koncu seminarja.15Glej konec poglavja, kjer je predstavljen EPR paradoks.

10

Slika 4: Izbira položaja baz pri Ekertovem algoritmu.

Niza, ki ju na ta način zgenerirata Ana in Boštjan seveda nista korelirana, saj je, če vzamemo zareferenco Anin niz, v Boštjanovem polno bitov z napačno izbiro baze. Teh bitov se znebimo tako, dajavno objavimo izbiri baz obeh udeležencev komunikacije, in preprosto zavržemo neustrezne bite (todrastično zreducira dolžino izhodnega niza).

Sedaj poglejmo še vlogo naše prisluškovalke Eve. Zopet odigrajo poglavitno vlogo že omenjeni principikvantne mehanike. Privzemimo, da tako Ana kot Boštjan izbereta 45◦ bazi. Če Ana izmeri stanje 1,Boštjan pričakuje enak rezultat. Če se njegova pričakovanja ne uresničijo obstaja bojazen, da je Evaprestregla foton, ki je bil namenjen Boštjanu. Eva mora pri procesu detekcije ravno tako izbirati medrazpoložljivimi bazami, pri čemer z meritvijo uniči korelacijo med Anino in Boštjanovo meritvijo. Podetekciji ji ne preostane drugega, kot da izmerjeno stanje reproducira in ga pošlje Boštjanu. Kadar vsitrije udeleženci izberejo enako bazo se Evina prisotnost sploh ne pozna, saj Boštjan izmeri natako to,kar bi sicer izmeril. Problem se v resnici pojavi le v primeru, ko Ana in Botšjan izbereta kompatibilnobazo, Eva pa ne (informacija, ki jo Eva pridobi, ko Ana in Botšjan ne izbereta enaki bazi, ni koristna,saj se jo kasneje izloči). V takem primeru Botšjan dobi namesto koreliranega naključen rezultat meritve,kar se pri poznejši primerjavi nizov pozna kot napaka.

Ekertov algoritem ponuja možnost razkritja priskuškovalca brez razkrivanja dodatnih informacij oključu.

Definirajmo korelacijske koeficiente med smerema ai in bj kot

R(ai,bj) = P++(ai,bj) + P−−(ai,bj)− P+−(ai,bj)− P−+(ai,bj).

P± tu označuje verjetnost, da smo izmerili projekcijo ±1 vzdolž ai ter bj . Zadnji dve verjetnostiizražata antikoreliranost, zato ju moramo vzeti z negativnim predznakom.16

Vsota vseh korelacijskih koeficientov se za primere, ko Ana in Boštjan izbereta nekompatibilni bazizapiše kot

S = R(a1,b1)−R(a1,b3) +R(a3,b1) +R(a3,b3).

Ortogonalne kombinacije baz smo izpustili, ker je njihova koreliranost ničelna. Kadar opazujemo dvaprepletena delca je korelacija meritev vzdolž osi ai in bj enaka kar kosinusu kota med obema smerema.Med smerema a1 ter b3 je vmesni kot večji od 90◦, zato upoštevamo pripadajoči korelacijski koeficientz minusom.

Kvantni račun tako pripelje do rezultata S = 2√

2. Ana in Boštjan na podlagi bitov pri neusklajeniizbiri baze tako preprosto izračunata ustrezne korelacijske koeficiente in dobita vrednost za S. Če dobitateoretično napovedano vrednost, sta lahko prepričana, da je njun ključ varen.

Ponovno se zavedamo, da so neujemanja bitov lahko tudi posledica nepopolnosti aparatur in tehničnihomejitev komunikacijskega protokola. Kolikšen delež informacij izgubimo na ta način (Quantum BitError Rate) lahko seveda ocenimo že vnaprej in tako določimo dopustno mejo za odstopanje S.

16Če se vse štiri možnosti pojavljajo enako pogosto je korelacija enaka nič.

11

EPR ParadoksKot smo spoznali, je fundamentalni princip, ki omogoča izmenjavo informacij po E91 protokolu, nelo-kalnost sistema, ki se odraža v obliki kvantne prepletenosti delcev. Opažena nelokalnost je povzročalaprecejšne preglavice Albertu Einsteinu, ki je verjel, da je teorija kvantne mehanike nepopolna zaradikršitve principa lokalnosti, ki velja v ostalih fizikalnih teorijah. 17

Svoja razmišljanja o pomenu kvantne mehanike je s soavtorjema Podolskyjem in Rosenom objavil leta1935 v članku Can Quantum-Mechanical Description of Physical Reality Be Considered Complete?. Vrazpravi so avtorji predlagali obstoj nekakšnih dotedaj nepojasnjenih elementov resničnosti 18, s katerimibi utegnili pojasniti kako je mogoče vedeti za rezultat meritve, ki se še ni fizično izvedla. Avtorji sopostulirali, da so ti elementi lokalni (torej vezani na določeno točko prostor-časa). Einstein preprosto niverjel probabilističnosti, ki jo je narava razkrivala, zato je predlagal obstoj skritih spremenljivk, ki najbi bile odgovorne za naključne rezultate meritev. Takemu razmišljanju pravimo lokalni realizem.

Pojem paradoksa tu razumemo takole: Če kvantno mehaniko opremimo z lokalnim realizmom (karEPR postulira) dobimo nekonsistentno teorijo.

EPR-jevci so verjeli, da je kvantna mehanika nekakšna statistična aproksimacija neke splošnejšeteorije, ki bi zaobjela vse spremenljivke, ki jih lahko poimenujemo elemente resničnosti. Predlagali soteorijo skritih spremenljivk, ki bi razložile mehanizme med temi elementi in pojasnile opažene pojavemed nekomutirajočimi opazljivkami.

Leta 1964 je John Bell predlagal mehanizem, s katerim bi lahko preverili obstoj skritih spremenljivk.Osnovo eksperimenta so predstavljale neenakosti (Bellove neenakosti) med korelacijami meritev spinavzdolž različnih osi. Bell je pokazal, da če spinski eksperiment kadarkoli ne zadošča njegovim neena-kostim, teorija z lokalnimi skritimi spremenljivkami ni mogoča. In meritve spinov kvantno prepletenihstanj jasno kažejo kršitev Bellovih neenakosti!

5 Napadi na kvantni kanalDoslej smo omenili le najbolj direkten način napada na kvantni kanal - “prestreži in pošlji”. Eva priposkusu razkritja zasebnega kodirnega ključa preprosto izbere nakljčno bazo in meri stanja, ki jih pošiljaAna. Če izbere ustrezno bazo je njena meritev pravilna, Boštjanu pa lahko pošlje enako stanje kot ga jeposlala Ana. Po drugi strani nepravilna izbira baze pri Evinih meritvah postreže z naključnim rezultatomin Boštjan ne dobi nujno pravilnega rezultata ob kompatibilni izbiri svoje baze. Z izmenjavo deleža bitovlahko Ana in Boštjan z veliko verjetnostjo napovesta prisotnost prisluškovalca.

Omenjena možnosti izrabe kvantnega protokola pa še zdaleč ni edina. BB84 protokol je dokazanovaren le na napade v domeni kvantne mehanike. Med drugim smo predpostavili tudi idealne izvorefotonov (take, ki sevajo le en foton naenkrat). V praksi fotonski izvori sevajo tudi večfotonske curke.Privzeli pa smo tudi naslednje pogoje:

• Eva nima dostopa do Aninih in Boštjanovih kodirnih in dekodirnih naprav.

• Generatorji naključnih števil so brezhibni in resnično slučajni 19

• Klasični komunikacijski kanal mora preko avtentikacije zagotoviti verodostojnost obeh udeležencevpogovora.

17Princip lokalnosti pravi, da je direkten vpliv na objekt mogoč samo preko bližnje okolice objekta. Eksperimenti skvantno prepletenimi delci so pokazali kršitev tega principa, saj so izmerili instanten vpliv dveh delcev, ki sta bila fizičnoločena na razdalji 18 km.

18Če je vrednost neke fizikalne količine določena pred opravljeno meritvijo (torej lahko z gotovostjo napovemo njenovrednost), potem količina pripada elementom resničnosti.

19Taki so npr. hardverski generatorji naključnih števil. Ti naključna števila generirajo na podlagi fizikalnih procesov,kot sta termični šum in fotoelektrični pojav.

12

5.1 Napad “moža v sredini” (man-in-the-middle attack)Če Ana in Boštjan preko javnega kanala ne uspeta potrditi njihovih pravih identitet in tako vzpostavitivarne povezave, obstaja možnost da tretja oseba “prepriča” Ano, da komunicira z Boštjanom. V temprimeru nas ne reši niti kvantna mehanika. Težave tu rešujemo z avtentikacijskimi shemami, ki jihuporabljamo tudi pri klasični kriptografiji.

Ko si Ana in Boštjan enkrat lastita začetni skrivni kodirni ključ lahko s posebnimi shemami vkombinaciji s kvantno distribucijo ključa razširita delček obstoječega ključa v nov skrivni ključ, ki ganato uporabita za naslednjo sejo.

5.2 Ločitev števila fotonov (photon number splitting attack)Veliko impelementacij kvantnega protokola uporablja laserje z izredno šibkim ojačanjem. Povprečnoštevilo fotonov v enem pulzov je nekje 0.2 (to pomeni, da večina pulzov sploh ne vsebuje fotnov), številopa je porazdeljeno po Poissonovi porazdelitvi. Nekaj pulzov tako vsebuje tudi 2 ali več fotonov, karlahko Eva izkoristi sebi v prid. Efekt je pravzaprav enak, kot če bi Eva imela kopirnico kvatnih stanj.Fotone si preprosto spravi v “kvantni spomin“, enega pa prepusti Boštjanu. Ko Ana javno objavi svojeizbire baz, lahko Eva preprosto izmeri fotone v pravilnih bazah in tako pridobi vso informacijo o ključune da bi jo bilo mogoče pri tem razkriti.

Eno-fotonski laserji so trenutno še v razvojni fazi. Navkljub možnosti delitve pulza so strokovnjakiodkrili postopek, ki reproducira varen ključ (potrebna je močnejša varnostna ojačitev), bolj zanimiv paje pristop z uporabo vab (decoy state). Ana naključno izbere ali bo poslala pravo stanje (signal) ali vabo(npr. Poissonsko porazdeljeni pulzi, ki vsebujejo v povprečju dva fotona). Po končani izmenjavi kvatnihbitov Ana objavi katera stanja so bili signali in katera vabe in Boštjan lahko na podlagi prepustnostiodkrije kradljivca fotonov. 20 Če se je ”izgubilo“ preveliko število vab, protokol ne more zagotovitiustrezne varnosti in postopek se preneha.[5]

5.3 Časovni napad (timing attack)Gre način napada po t.i. stranskem kanalu. Informacijo poskušamo izvleči iz fizične implementacijekriptosistema z merjenjem časov, ki so potrebni za izvedbo posameznih opravil. Če naredimo dovoljnatančno časovno analizo sistema lahko preko meritev trajanj procesov izvlečemo nekaj informacije.21 Načeloma lahko torej iz časovnega odziva detektorjev izvemo za rezultat meritve.[11] Težavo lahkopreprečimo samo tako, da pazljivo poskrbimo, da do takšnih časovnih zamikov ne pride.

5.4 Hekerski napadiPod hekerske napade štejemo napade na fizično implementacijo protokola namesto direktnega napadana protokol. Ena od možnosti je na primer napad na generator pseudo-naključnih števil, pri čemernapadalec vsili zaporedje bitov, ki ga zna predvideti. Varnostno shemo je mogoče razbiti tudi, če nekakouspemo pridobiti informacijo o položajih polarizatorja, s katerim Ana pripravlja svoja stanja. To lahkostorimo tako, da med posameznimi poslanimi fotoni pošljemo močan pulz svetlobe v smeri Aninegapolarizatorja in prestrežemo odbito svetlobo. Ta napad je sicer mogoče enostavno preprečiti z uporabooptičnega izolatorja, ki preprečuje, da bi svetloba vstopila v Anin sistem.

20Težave v zvezi z detekcijo posamičnih fotonov (kvantni izkoristek), temno štetje in absorpcija fotonov so tukaj že všteti,saj jih je mogoče predhodno oceniti.

21Leta 2003 je bil demonstriran praktični napad na internetni strežnik z SSL protokolom na podlagi časovnega napada.

13

5.4.1 Spektralni napad (spectral attack)

V praksi je štiri različna polarizacijska stanja, ki jih zahteva BB84 algoritem, najlažje ustvariti z laser-skimi diodami. Slednje imajo širok spekter aplikacij na področju telekomunikacijskih tehnologij. Različnepolarizacije dobimo preprosto z vrtenjem laserske diode. Težava, ki ob tem nastane je, da se spektripolarizacij, ki jih dobimo iz različnih diod ne ujemajo povsem. Tako si lahko zamislimo napad, kjer Evaniti ne poskuša izmeriti polarizacije poslanih fotonov, temveč jih preprosto pošlje skozi spektrometer inna podlagi statistike izmeri spetktre vseh štirih diod. To ji omogoči z verjetnostjo P > 1/4 napovedatiza kakšne polarizacije so Anini fotoni in posledično ukrasti nekaj informacije, kar je lahko usodno vprimeru, ko varnostna ojačitev ključa ne predvideva takšnih izgub.

5.4.2 Napad z lažnimi stanji (faked states attack)

Gre za različico ”prestreži in pošlji“ napada, kjer Eva namesto rekonstrukcije originalnih stanj poskušagenerirati pulze (pravimo jim lažna stanja) na tak način, da tega udeleženca pogovora ne moreta odkriti.To je mogoče storiti, če izrabimo nepopolnosti aparatur, v tem primeru Boštjanovih detektorjev. Evinnapad temelji na temu, da lahko ”vsili“ Boštjanu v kateri bazi bo meril stanja. Predpostavimo, da Evadetektira 0 v diagonalni bazi. Nato pošlje Boštjanu, za razliko od običajnega ”prestreži in pošlji“ napada,stanje 1 v pravokotni bazi, obenem pa naredi dovolj velik časovni zamik, da lahko Boštjan izmeri le stanje0. Se pravi, če Boštjan izbere pravokotno bazo, ne bo zaznal ničesar! Če pa izbere diagonalno bazo, bo0 dobil v polovici primerov (enako kot Eva). Končni efekt je ta, da Eva ne povzroči nobenih napak, sajv vseh primerih, ko bi napake bile, Boštjan ne detektira nič. Na ta način dobi Eva ”zastonj” (brez vplivana QBER) 25 % bitov v surovem ključu. Sama izvedba napada presega nivo seminarja.[7],[8]

5.4.3 Napad s premikom časa (time-shift attack)

Nazadnje omenimo še napad, ki mu v izvirniku pravijo time-shift napad. Ponaša se s posebnim dosežkom,saj gre za prvo uspešno demonstracijo napada na komercialni kvantni distribucijski sistem. Pri napaduizkoristimo eksperimentalne težave22, ki odločilno vplivajo na veljavnost Bellovih testov. Izvori napakso lahko celo tako znatni, da zaradi nepopolnega izkoristka eksperimenta lokalnega realizma sploh nemoremo ovreči.

Najbolj tipičen eksperiment za preverjanje Bellovih neenakosti je CHSH tipa (Clauser, Horne, Shi-mony in Holt), pri katerem preverjamo veljavnost lokalnega realizma na podlagi že omenjene količine S,ki jo sestavimo iz korelacijskih koeficientov pri merjenju polarizacij prepletenih parov.

Slika 5: Za izvor S predpostavljamo, da seva pare fotonov v nasprotnih si smereh. Vsak od niju se morapri prehodu polarizatorja ”odločiti“ za eno izmed dveh možnih smeri. Fotona detektiramo simultano (vkratkem časovnem intervalu) in beležimo števila dogodkov, ki pripadajo vsaki od štirih mogočih izidov.Za različne orientacije obeh polarizatorjev nato izračunamo pripadajoče korelacijske koeficiente.

22Težave poimenujemo kot vrzeli (loopholes).

14

Lokalni realizem podaja oceno −2 ≤ S ≤ 2, toda le pri predpostavki ”poštenega vzorčenja”. Najpo-gostejši izvori napak pri eksperimentih s svetlobnimi izvori so:

• Zlom rotacijske invariantnosti: svetloba iz izvora ima lahko preferenčno smer polarizacije.

• Večkratna emisija: Izvor lahko izseva več parov ob istem času (ali v krajšem časovnem intervalu).

• Nepopolnost polazatorjev

• Nepopolnost detekcije: nezmožnost detektiranja nekaterih fotonov ali detekcija šuma

V primeru končnega izkoristka eksperimenta, se lahko ocena za S raztegre preko vrednosti 2√

2, kijo napoveduje kvantna mehanika, kar pomeni, da Bellov test ne more izključiti lokalnega realizma. 23

Kot smo videli, protokoli, ki uporabljajo prepletena stanja temeljijo na Bellovem testu. PriskuškovalkaEva igra vlogo skrite spremenljivke - ko pomeri Anin foton, uniči kvantno korelacijo.

Napak s premikom časa zlorablja neskladnost izkoristkov detekcije dveh detektorjev v časovni domeni.24 Pri varnostnih dokazih se standardno privzame, da sta izkoristka za detekcijo obeh bitov enaka, karv praksi ne drži.

Slika 6: Konceptualno neujemanje izkoristov detektorjev v časovni domeni (levo) in shema Evineganapada preko hitrega optičnega stikala (desno). Neujemanje je mogoče odpraviti zgolj v primeru, ko staizkoristka časovno neodvisna (kar ne velja niti za detektorje posamičnih fotonov).

V tehnične detajle implementacije se ne bomo spuščali, osnovna ideja pa je sledeča. Eva ima možnostpremakniti čas prihoda signala v točki A ali B. Zamike se doseže preprosto s hitrim stikalom, ki preklapljamed dvema različnima dolžinama optičnega vlakna. Na ta način lahko povzroči, da je verjetnost zadetekcijo enega bita večja od 50 %, ne pa natanko 50 %, kot v idealnem primeru! 25 Tako lahko Eva vprincipu dobi dovolj dodatne informacije, da lahko tudi po opravljenem postopku za odpravljanje napakter varnostni ojačitvi razkrije skrivni ključ. 26 Evo bi bilo pri tem početju izredno težko odkriti, sajglede na to, da sploh ne meri polarizacij Aninih fotonov, ne prispeva nobenih napak QBER.

Presunljivo je, da je napad take vrste mogoče izvesti z obstoječo tehnologijo brez večjih težav, medtemko varnostni dokazi kriptografskih protokolov že upoštevajo izrabo poljubno naprednih tehnologij.

6 Praktična implementacijaKvantna kriptografija se je uradno rodila leta 1984, ko sta Charles Bennett in Gilles Brassard na podlagiidej Stephena Wiesnerja iz sedemdesetih predlagala prvi kvantno-kriptografski protokol BB84.[3] Prvaeksperimentalna demonstracija je sledila leta 1989 (Bennett in Smolin v IBM laboratoriju). Naslednjoprelomnico je predstavljal članek Arturja Ekerta (1991), v katerem je predlagal zgoraj obravnavani

23V splošnem gre za to, da efektov fizičnih nepopolnosti ne moremo razlikovati od vpliva skritih spremenljivk (če le-teobstajajo). Čeprav je serija sofisticiranih Bellovih eksperimentov že prepričala znanstvenike v neobstoj lokalnega realizma,nekateri kritiki še vedno poudarjajo, da je vsaj v teoriji izide slehernega eksperimenta, ki kaže kršitve Bellovih neenakostimogoče razložiti z nepopolnostjo eksperimenta.

24Izkoristka detektorjev se lahko razhajata tudi v drugih domenah, npr. frekvenčni ali polarizacijski.25Ker je Eva dovolj prebrisana, poskrbi tudi, da se obe vrednosti bitov v Boštjanovem nizu pojavita v povprečju v 50 %.26Avtorji članka so uspeli s svojo implementacijo napada na shemo proizvajalca id Quantique razbiti zaščito v 4%.

15

protokol E91. Leto kasneje je Bennett predlagal še B92 protkol. 27 Verjetno najpomembnejši dosežek zakvantno distribucijo ključa je sledil leta 1995 s postopkom varnostnega ojačanja (privacy amplification),ki iz delno varnega ključa omogoča izdelavo varnega ključa. Sledilo je obdobje praktičnih implementacij,kjer velja izpostaviti prvi plug and play izdelek (1997) univerze v Ženevi.[14]. Teoretiki seveda nisogledali križem rok - predlagali so nove protokole (npr. razširitev BB84 s šestimi stanji ali protkol zdistribuirano fazno referenco[15]) ter ponudili števile dokaze o varnosti kvantne komunikacije.[16]

Slika 7: Shema realizacije kvantnega protkola E91.

Leta 2004 je bila izvršena prva bančna transakcija, ki se je posluževala kvantnega kriptografskegaprotokola (Dunaj, Avstrija).

Prvo računalniško omrežje, zaščiteno s kvantno kriptografsko shemo, je bilo implementirano oktobra2008 na znanstveni konferenci na Dunaju po okriljem EU (SECOQC). Omrežje je sestavljajo 200 kmobičajnega optičnega vlakna in povezovalo 6 lokacij na Dunaju ter nek 69 km oddaljen kraj.

Pare prepletenih fotonov navadno dobimo preko SPDC (spontaneus parametric down conversion)procesa, kjer s pomočjo nelinearnega optičnega kristala razbijemo vpadne fotone na pare fotonov znižjimi energijami, ki tvorijo polarizacijsko stanja. Proces je ugoden in še enega razloga, namreč Anane rabi aktivno izbirati polarizacije, saj so stanja, jih dobimo iz kristala že v osnovi naključna (nimajoostro določene polarizacije v nobeni od baz).[12]

Drugo zelo pomembno področje iz praktičnega aspekta predstavljajo detektorji posameznih fotonov.28 Njihove glavne karakteristike so kvantni izkoristek (verjetnost za dogodek, ko v detektor priletifoton), temno štetje (šum detektorja) ter mrtvi čas (čas, ki poteče za resetiranje detektorja po dogodku).Najobrširneje se uporabljajo plazovne fotodiode (InGaAs/InP). Obstaja še nekaj alternativ, ki so povzetev [13].

Trenutno največji dosežki na področju praktične implementacije kvantne distribucije ključa:

• Hitrost prenosa kriptografskega ključa 1 Mbit/s. Hitrost sistema pogojuje časovna resolucijasilikonskih plazovnih fotodiodnih detektorjev.[10]

27Shema je podobna protokolu BB84, pri čemer zakodiramo klasične bite v dve neortogonalni BB84 stanji (stanje bitani določeno, ker nobena meritev ne more razlikovati med dvema neortogonalnima stanjema). Za razliko od BB84 lahkotokrat prejemnik izve za vrednost bita brez nadaljne diskusije s pošiljateljem, saj obtaja direktna korespondenca medklasičnimi in kvatnimi biti (npr. horizontalna polarizacija predstavlja vrednost bita 0, poševna pa 1). Negativni stranskiučinek takšnega kodiranja je bistveno težje zagotovljena varnost.

28Te uporabljamo pri protokolih z diskretnimi spremenljivkami. Pri protokolih z zveznimi spremenljivkami se upora-bljajo pari svetlobnih žarkov, ki so korelirani v dveh različnih kvadraturnih komponentah (EPR pari), zato uporabljamohomodinsko detekcijo. Gre za metodo detekcije frekvenčno moduliranega signala preko nelinearne mešanice s signalomreferenčne frekvence (lokalni oscilator), ki ga dobimo iz istega izvora kot moduliran signal pred modulacijskim procesom.

16

Slika 8: Shema nekolinearne SPDC tipa II. s kristalom barijevega borata. Vertikalno polarizirani fotonise pojavijo v smereh zgornjega stožca, horizontalno polarizirani pa v smereh spodnjega. Preseka stožcevpredstavljata nepolarizirana fotona z relativno fazo φ v prepletenem polarizacijskem stanju.

• Implementacija BB84 na razdalji 144 km med dvema Kanarskima otokoma z uporabo teleskopa.Demonstracija sugerira na možnost uporabe satelitov. Varnost so zagotovili z analizo vab.[9]

• Najdaljši prenos preko optičnega vlakna so dosegli v Los Alamosu/NIST - 148 km. Takšna razdaljaomogoča prenos po skoraj celotnem žičnatem omrežju.

Komercialne kvantno-kriptografske sisteme lahko trenutno ponudijo štiri podjetja - id Quantique(Ženeva), MagiQ Technologies (New York), Smart Quantum (Francija) in Quintessence Labs (Avstra-lija), aktivne raziskovalne programe pa izvajajo tudi mnoga velika podjetja, kot npr. Toshiba, HP, IMB,Mitsubishi, NEC itd.

Literatura[1] Nielsen M.A., Chuang I.L.: Quantum computation & quantum information, Cambridge University

Press (2000)

[2] Žnidarič M.: Kvantna kriptografija II. - varna izmenjava ključa, Presek 34, st. 5 (2007)

[3] Bennett C., Brassard G.: Proceedings IEEE Int. Conf. on Computers, Systems and Signal Proces-sing, Bangalore, India, p.175 (1984)

[4] Ekert A.: Phys. Rev. Lett. 67 (1991)

[5] Hwang W.-Y.: Quantum Key Distribution with High Loss: Toward Global Secure Communication,Phys. Rev. Lett. 91 (2003)

[6] Yi Zhao, Chi-Hang Fred Fung, Bing Qi, Cristine Chen, Hoi-Kwong Lo: Experimental demonstrationof time-shift attack against practical quantum key distribution systems, Physical Review A, 78,042333 (2008)

[7] Makarov V., Hjelme D.: Faked states attack on quantum cryptosystems, Journal of Modern Optics,Vol. 52, No. 5 (2005)

[8] Makarov V., Skaar J.: Faked states attack using detector efficiency mismatch on SARG04, phase-time, DPSK, and Ekert protocols, Quant. Inf. Comp. 8 (2008)

17

[9] Schmitt-Manderbach T.: Phys. Rev. Lett. 98 (2007)

[10] Bienfang J.C.: Quantum key distribution with 1.25 Gbps clock shynchronization, Optics Express 12(2004)

[11] Lamas-Linares A., Kurtsiefer C.: Breaking a quantum key distribution system through a timing sidechannel, Opt. Express 15 (2007)

[12] Kurtsiefer C., Oberparleiter M., Weinfurter H.: Generation of correlated photon pairs in type-IIparametric down conversion - revisited, Journal of Modern Optics, Volume 48, Issue 13 (2001)

[13] Scarani V., Pasquinucci-Bechmann H., Cerf N., Dusek M., Lutkenhaus N., Peev M.: The Securityof Practical Quantum Key Distribution, Rev. Mod. Phys. 81 (2009)

[14] Muller A., Herzog T., Huttner B., Tittle W., Zbinden H., Gisin N.: “Plug and Play” systems forquantum cryptography, arXiv:quant-ph/9611042v1

[15] Inoue K., Waks E., Yamamoto Y.: Differential Phase Shift Quantum Key Distribution, Phys. Rev.Lett 89 (2002)

[16] Shor P., Preskill J.: Simple Proof of Security of the BB84 Quantum Key Distribution Protocol,Phys. Rev. Lett 85 (2000)

[17] Bennett C., Bessette F., Brassard G., Salvail L., Smolin J.: Experimental Quantum Cryptography,Journal of Cryptography, vol. 5, No. 1 (1992)

Internetni viri:

http://en.wikipedia.org/wiki/Quantum_cryptographyhttp://www.ai.sri.com/~goldwate/quantum.html#PrivAmphttp://www.irb.hr/users/stipcevi/http://en.wikipedia.org/wiki/Bell’s_Theoremhttp://en.wikipedia.org/wiki/EPR_paradox#Reality_and_completeness

[18] Digitalno podpisovanje: http://en.wikipedia.org/wiki/Digital_signature

[19] Rabinov algoritem za podpisovanje: http://en.wikipedia.org/wiki/Rabin_signature_algorithm

18