BAKALÁŘSKÁ PRÁCE. Kvantová kryptografie. Miroslav Gavenda

Transkript

1 BAKALÁŘSKÁ PRÁCE Kvantová kryptografie Miroslav Gavenda září 2001

2 Obsah 1 Úvod 3 2 Jemný úvod do klasické kryptografie Historická zmínka Jak si stojí klasická kryptografie? Kvantová distribuce klíče Úvod Využití No-Cloning teorému Distribuce klíče pomocí lineárně polarizovaných fotonů Distribuce klíče pomocí fázové modulace v Machově-Zehnderově interferometru Využití entanglovaných stavů Závěr 13 Reference 15 2

3 1 Úvod Ve své práci se zabývám hlavními principy kvantové kryptografie. Kryptografie je velmi důležitou součástí teorie přenosu informací, která zajišťuje bezpečnost přenášených dat v různých sférách lidského života. Uplatňuje se v oblasti telekomunikací, bankovnictví, národní i mezinárodní bezpečnosti, obchodu a jiných. Dnešní konvenční kryptografie již nemusí zanedlouho uspokojivě řešit problém bezpečného přenosu informací. Především hypotetický kvantový počítač by mohl v budoucnu všechny dnešní konvenční kryptografické systémy zlikvidovat. Problémem moderní kryptografie je bezpečný přenos kryptografického klíče. Ve své práci se proto zabývám kvantovou distribucí kryptografického klíče, která využívá kvantověmechanických vlastností mikročástic. V úvodu se krátce zmiňuji o historických souvislostech. Dále zdůvodňuji problémy klasické a dnešní moderní kryptografie založených na matematických metodách. Vysvětluji důležitou šifrovací metodu - Vernamovu šifru. Stěžejní v mé práci je kapitola věnovaná kvantové distribuci klíče, kde představuji různé možnosti přenosu klíče pomocí jednotlivých fotonů nebo entanglovaných párů fotonů. Zabývám se i některými praktickými záležitostmi. V referencích odkazuji na literaturu, z které jsem hojně čerpal a na internet, který je články o kvantové kryptografii zahlcen. Také jsem navštívil společné pracoviště Univerzity Palackého a Fyzikálního ústavu Akademie věd ČR v Olomouci, kde je vybudován laboratorní kvantový kryptograf. Práce je vypracována v typografickém systému L A TEX 2ε. 2 Jemný úvod do klasické kryptografie 2.1 Historická zmínka Lidé již od dob kdy se naučili psát, potřebovali v jistých situacích komunikovat tajně. Tato potřeba narůstala především v období válečných konfliktů. Nejstarší metody šifrování vznikly nejspíše v Mezopotámii, Egyptě, Indii a Číně. 3

4 Velmi pěknou ukázkou vynalézavosti Sparťanů 1 byl systém posílání tajných informací během války za pomocí dvou stejně opracovaných dřevěných kolíčků. Odesílatel zprávy namotal na jeden kolíček pásek plátna kolem dokola a napsal na plátno zprávu. Po sdělání pásku z kolíčku, dostal na pásku posloupnost písmen, která tvořila zašifrovanou zprávu. Pásek mohl být odeslán příjemci, který použitím úplně stejného kolíčku jako odesílatel rozluštil danou zašifrovanou zprávu namotáním na kolíček. Jako další jednoduchý příklad uvedu tajnou korespondenci Julia Caesara. Caesar ve své zprávě šifroval tím, že nahrazoval písmena ve slovech jinými podle postavení v abecedě. Např. pokud bychom použili anglickou abecedu a chtěli zašifrovat slovo CAESAR. Budeme se posouvat o dvě písmena doprava, takže dostaneme C E, A C atd. Celá šifra bude ECGUCT. Ještě bych se rád zmínil o německém kryptografickém stroji ENIGMA, který sloužil velmi dobře německé armádě během 2. světové války. Šifry užité v ENIGMě byli dešifrovány během války v Bletchley Park v Anglii ve skupině vedené Alanem Turingem. 2.2 Jak si stojí klasická kryptografie? Klasická kryptografie je založena na dvou metodách: substituční transpoziční V případě sparťanského kolíčku jde o transpozici, která pomocí permutace zamění pořadí písmen. Caesar používal metodu substituční, protože přímo měnil písmena za jiná. Možné je také kombinovat obě metody. Samozřejmě, že úspěch kryptografické metody závisí od toho, zda odolá útokům zvenčí. Klasická kryptografie si v tomto směru vede velmi špatně. Pro případného kryptografického analytika se naskýtá možnost využít frekvence používání jednotlivých písmen ve zprávě při dané abecedě. Např. využití písmen v anglicky psaném textu je v tabulce č.1. 1 Kolem 4. století př. n. l. 4

5 tabulka č. 1 písmeno e t a o n i s r h l d c u % 12,31 9,59 8,05 7,94 7,19 7,18 6,59 6,03 5,14 4,03 3,65 3,20 3,10 písmeno p f m w y b g v k q x j z % 2,29 2,28 2,25 2,03 1,88 1,62 1,61 0,93 0,52 0,20 0,20 0,10 0,09 Tato metoda kryptografické analýzy se uplatní teprve při dlouhých zprávách, kde můžeme využít statistický výskyt jednotlivých písmen (viz [3]). V novějších kryptografických metodách se využívá tzv. kryptografického klíče, který slouží k zašifrování zprávy. Celý proces se dá vyjádřit jako posloupnost několika kroků. Zpráva spolu s klíčem vytvoří kyptogram, který se posílá příjemci. Příjemce pomocí stejného klíče zpětně dešifruje kryptogram a dostane zprávu. Celý algoritmus se dá znázornit takto Ê k (Z) = K ˆD k (K) = Z, kde k znamená klíč, Z zprávu, K kryptogram, Ê resp. ˆD šifrovací resp. dešifrovací algoritmus. Operace Êk a ˆD k jsou zřejmě inverzní ˆD k (Êk(Z)) = ˆD k (K) = Z Šifrovací i dešifrovací algoritmus je veřejně známý, a proto bezbečnost kryptografické metody závisí na bezpečném přenosu kryptografického klíče. Zatím jediný známý algoritmus, který je úplně bezpečný je Vernamova šifra. Mějme zprávu, která je zakódována pomocí binární soustavy. K zakódované zprávě přičteme 2 (mod 2) klíč, kterým je úplně náhodná posloupnost binárních čísel. Výsledkem je kryptogram, který bez znalosti klíče nelze dešifrovat. příklad: Zašifrujte a dešifrujte zprávu ENTANGLEMENT pomocí Vernamovy šifry. Zakódujeme anglickou abecedu pomocí binární soustavy (viz tabulka č.2 ). Celý postup je pak vyjádřen v tabulce č.3. 2 V počítačové terminologii operace XOR (negace ekvivalence) 5

6 tabulka č. 2 písmeno A B Y Z kód tabulka č. 3 zpráva E N T A N G L E M E N T kód zprávy klíč kryptogram Nyní nám zbývá dosáhnout toho, aby příjemce zprávy dostal klíč a dešifrování je záležitostí okamžiku. V předchozí větě je vyjádřeno vše podstatné. Problém bezpečného přenosu klíče, aniž by byl zjištěn třetí stranou, se odborně nazývá distribuce kryptografického klíče. V principu každá klasická komunikace může být narušena, a proto není bezpečná. Zde jsme narazili na problém, který provází kryptografii už hodně dlouhou dobu. Jak z toho ven? Velké role se ujali v sedmdesátých letech minulého století matematici, když představili metodu veřejného kryptografického klíče. Hlavní dvě varianty, které se používají dodnes, jsou Diffie-Hellmanův protokol a RSA systém. Metoda veřejného kryptografického klíče je založena na principu velmi nesnadného počítání inverzních problémů. Jisté algoritmy nebo funkce mají tu vlastnost, že lze jednoduše spočítat hodnotu funkce f(x) pokud je dáno x, ale spočítat původní hodnotu x z f(x) může být velkým problémem. Další výhodou je absence přenosu kryptografického klíče u některých variant veřejných kryptografických systémů, protože v každé chvíli přenosu je zpráva šifrována nejméně jednou šifrou (více viz [3]). Např. RSA 3 systém je postaven na tom, že je jednoduché vynásobit dvě jakkoli velká prvočísla, ale už je velmi nesnadné rozložit tento součin na dvě prvočísla pokud neznáme jisté parametry. Je to problém faktorizace velkých čísel. V roce 1994 se však podařilo Arjenu Lenstrovi, Marku Manaseovi spolu s uživateli internetu rozložit 129 ciferné číslo (v desítkové soustavě) na součin dvou prvočísel za osm měsíců. Větším protivníkem kryptografických systémů založených na matematických metodách je však kvantový počítač, který pracuje s kvantovou super- 3 Podle tvůrců Rivesta, Shamira a Adlemana 6

7 pozicí všech možných stavů kvantového registru. Kvantový počítač by mohl výpočtovou složitost inverzních problémů tak snížit, že jakýkoli kryptografický systém založený na matematických metodách by se rozpadl ze dne na den. Ten den D ještě asi dlouho nenastane. Na vývoji kvantových počítačů se sice intenzívně pracuje, ale stále se toho musí velmi mnoho udělat. Naštěstí kvantová fyzika se dokáže s tímto dnem D vypořádat prostřednictvím kvantové kryptografie. 3 Kvantová distribuce klíče 3.1 Úvod Kvantová distribuce klíče je založena na přenosu klíče pomocí jednotlivých fotonů nebo entanglovaných párů fotonů. Šifrování neprobíhá za pomocí matematických algoritmů, ale využívá zákonů kvantové mechaniky. Jednotliví účastníci komunikace v kvantové kryptografii jsou Alice, která odesílá klíč, Bob, který ho přijímá a Eva, která se snaží odposlechnout klíč, aniž by byla odhalena. Součástí komunikace je kvantový kanál, kterým se posílá klíč a veřejný kanál, který slouží jako test dosažených výsledků. Veřejný kanál ovšem může být zcela kýmkoliv monitorován, ale musí v něm být zajištěna takzvaná autentifikace (celé schéma je na obrázku č.1 ). Alice veřejný kanál kvantový kanál Bob Obrázek č.1 Eva Autentifikace je problém jak zajistit, aby Alice i Bob, když komunikují po veřejném kanálu věděli, že komunikují mezi sebou. Eva by se totiž mohla ve veřejném kanálu začít chovat jako Alice a Bob a tím by mohla poslat své 7

8 klíče a odposlechnout zprávu. Autentifikaci samotná kvantová kryptografie neřeší, a proto musí být řešena jinými metodami. Budu předpokládat, že autentifikaci veřejného kanálu máme vyřešenu (více viz [2]). Metoda Vernamovy šifry, kterou jsem objasnil v části 1.2 nám bude sloužit za základ celé kvantové kryptografie. Přitom pro zašifrování a přenos zprávy se smí klíč použít jen jednou Využití No-Cloning teorému Využití No-Cloning teorému pro bezpečný přenos informace pochází od Stephena Wiesnera, který přišel s ideou kvantových penězí, které nemohou být okopírovány. Finta je vtom, že nelze okopírovat neorthogonální nebo neznámý stav. Vezměme si dva normalizované stavy 0 a 1 takové, že Pak formule 0 i stroj 0 0 stroj 0 1 i stroj 1 1 stroj 1 vyjadřují naklonování stavu i pomocí klonovacího stroje stroj. Operace klonování musí být unitární a musí být splněn vztah 0 1 = stroj 0 stroj 1, to je možné když 0 1 = 0 (odporuje předpokladu) nebo 0 1 = 1 (stavy jsou nerozlišitelné a nemohou být využity pro přenos informace). Pokud bychom připravili náhodnou posloupnost neorthogonálních stavů typu , je nemožné tuto posloupnost věrohodně okopírovat. 3.3 Distribuce klíče pomocí lineárně polarizovaných fotonů Schéma soustavy pro distribuci klíče pomocí lineárně polarizovaných fotonů je na obrázku č.2. Alice má laserový zdroj pulzů polarizovaného světla. V každém pulzu je právě jeden lineárně polarizovaný foton. Alice a Bob si 4 Metoda se nazývá one time pad 8

9 zvolí určitou stejnou polarizační bázi, pomocí které budou kódovat přenášené bity. Zvolíme navzájem kolmé linearní polarizace horizontální a vertikální. Horizontální polarizaci resp. vertikální polarizaci označíme resp. a tuto bázi označíme. Pokud se bude přenášet foton polarizovaný horizontálně budeme mít na mysli, že se přenáší 0, a když to bude foton polarizovaný vertikálně bude se přenášet 1. Tím jsme zvolili kódování. Alice posílá Bobovi náhodně 0 a 1, přičemž změnu polarizace kontroluje pomocí Pockelsovi cely (PC1)(lineární elektrooptický jev). Bob má k dispozici polarizační dělič svazku (PBS), který odráží foton polarizovaný horizontálně a propuští foton polarizovaný vertikálně. Dále následují dva jednofotonové detektory (D1 a D0), které signalizují, že Alice poslala buď 1 nebo 0 podle toho, který detektor foton zaznamenal za předpokladu, že Alice i Bob užívají bázi. Toto vše platí pouze v případě, že máme opravdu ideální zdroj jednotlivých fotonů a kvantový kanál je ideální (nevytváří šum). LASER PC1 PC2 PBS D0 D1 Alice Bob Obrázek č.2 Až do této chvíle Eva může odposlechnout přenos bitů, aniž by byla odhalena, pokud se ovšem trefí do používané báze. Potom si Eva může vyrobit stejný přístroj jaký má Bob, provádět stejná měření a tak posílat fotony k Bobovi v nezměněném stavu. Aby Alice zabránila Evě tajně odposlouchávat zvolí ještě jinou polarizační bázi, která má dva orthogonální polarizované stavy a (pomocí další Pockelsovy cely (PC1)). Kódování bude pro 1 a pro 0. Báze vznikne z báze rotací o 45. Alice nyní posílá fotony náhodným výběrem jedné ze čtyř polarizačních stavů a tím přenáší posloupnost 1 a 0 pomocí kódování vysvětleného dříve. Bob volí také náhodně polarizační bázi (PC2) a snaží se detekovat přicházející fotony. Pokud oba zvolí stejnou bázi dostanou i stejné bity klíče. Ovšem pokud zvolí báze různé, dostane 9

10 Bob s pravděpodobností 1/2 0 a s pravděpodobností 1/2 1. Po přenesení jistého množství bitů se Alice a Bob informují po veřejném kanále, kterou bázi použili. Tam kde se shodli ve výběru báze, bity ponechají, ostatní vyloučí. Tím se sice snižuje přenosová rychlost kanálu, ale zajistí nám to bezpečnost přenosu. Celý přenos klíče je přehledně vyjádřen v tabulce č.4. Jednotlivé kroky jsou zde: 1. náhodně vybrané vysílací polarizační báze Alicí 2. náhodné bity vytvořené Alicí 3. polarizace fotonů posílané Alicí 4. náhodně vybrané přijímací polarizační báze Bobem 5. bity obdržené Bobem 6. Alice a Bob si sdělují, které báze použili 7. přenesená náhodná posloupnost bitů(neodposlouchává-li Eva má Bob to samé co Eva) 8. Bob obětuje některé bity k odhalení Evy 9. Alice potvrzuje tyto obětované bity(eva by způsobila odchylky) 10. Bity sdílené Alicí a Bobem tedy klíč Co všechno může udělat Eva, aby tajně odposlechla přenášené bity? Eva nemůže odvést fotony, aniž by je poslala zpět k Bobovi, protože používáme jednofotonový zdroj. Pokud by chtěla nějakým kopírovacím strojem vytvořit kopii bitů v klíči, narazí na No-Cloning teorém (používáme neorthogonální stavy), který ji neumožní vytvořit stejnou kopii (viz 2.2). Eva si tedy musí vyrobit podobný přístroj jako má Bob. Měřením v různě měněných bázích se však bude Eva vždy nejméně v 50 % mýlit. Předpokládejme, že Alice a Bob komunikují v bázi a Eva zvolí bázi. Výsledky měření Evy i Boba jsou pak zcela neurčité. Za této situace Bob se bude mýlit nejméně v polovině bitů. Nepřetržitý odposlech sebou nese 25 % chyb (Eva přece jen někdy zvolí správnou bázi). 10

11 tabulka č báze Alice 2. bity Alice Alice pošle 4. báze Boba 5. bity Boba společné báze? ano ano ne ne ano ano ano ne ne ne ano 7. společné bity test Evy potvrzení ok ok 10. klíč Srovnáním dostatečného množství bitů, u kterých Alice a Bob předpokládají 100% shodu, lze Evu odhalit. Porovnáním 100 přenesených bitů mezi Alicí a Bobem je pravděpodobnost, že Eva zůstane neodhalena Bohužel v každém reálném zařízení se vyskytují chyby a nedokonalosti. Generace přesně jednofotonových pulzů je zatím nedostupná, proto se musí pulz zeslabit tak, aby pravděpodobnost, že v něm bude více než jeden foton, byla malá. Tím se v mnoha pulzech nebude vyskytovat žádný foton a přenosová rychlost je velmi snížena. V každém reálném zařízení se vyskytuje šum, který způsobuje chyby v detekci. Musíme si však uvědomit, že chybu nemusel způsobit šum ale Eva, která odposlouchává. Tento problém řešíme tak, že jistou míru informace o přenesených bitech můžeme Evě tolerovat a přitom si spočítáme jaká je pravděpodobnost, že s takovým množstvím informace o přenesených bitech může zjistit celý klíč. Popsaný protokol přenášející bezpečně kryptografický klíč byl poprvé navržen v roce 1984 C.H. Bennettem a G. Brassardem, kteří využili pulzy zeleného světla šířící se prostředím na vzdálenost 40 cm. Protokol je označován jako BB84. Nevýhodou předešlého zařízení je použití jen na malé vzdálenosti. Na delší vzdálenosti je třeba využít optická vlákna. V optickém vlákně se však velmi nesnadno udržuje polarizace, a proto musíme použít fázovou modulaci. 11

12 3.4 Distribuce klíče pomocí fázové modulace v Machově-Zehnderově interferometru Pro přenos klíče v optických vláknech se využívá fázové modulace ve vláknovém Machově-Zehnderově interferometru (MZ). Celé zařízení je v principu podobné polarizačnímu zařízení popsanému v 2.3. Alice i Bob mají fázový modulátor (PM) a Bob dva detektory (D0 a D1). Interferometr je nastaven například tak, že konstruktivní interference nastane v detektoru D0 a destruktivní v D1. Alice potom využívá svého fázového modulátoru a mění fázový posuv mezi 0 a π (báze ), jež přísluší kódování 0 a 1. Samozřejmě k odhalení Evy musí Alice zvolit ještě jednu bázi s hodnotami fázového posuvu π 2 (kód 0) a 3π 2 (kód 1). Bob si svým fázovým modulátorem vybírá mezi měřením v (fázový posuv 0) a v (fázový posuv π 2 ). Bohužel i v tomto případě je zde problém a to, že obvyklá vzdálenost mezi komunikujícími je několik kilometrů. V interferometru s tak dlouhými rameny je nemožné udržet stálý fázový rozdíl. V tomto případě se interferometr mezi Alicí a Bobem přeruší a fotony jsou vedeny mezi nimi po jednom vlákně (schéma viz obrázek č.3 ). Pulz vstupující do MZ na straně Alice je rozdělen na dva, které se šíří k Bobovi a značíme je S resp. L. Po průchodu Bobovým MZ se vytvoří tři pulzy. Dva z nich SS a LL jsou rozlišitelné, a proto neinterferují. SL nebo LS jsou nerozlišitelné a proto interferují. Celý princip je pak stejný jako v předešlém případě. Tato sestava je mnohem více stabilní než předešlá, avšak ztrácíme při ní polovinu signálu (-3 db). Laser PM PM D0 D1 Alice Obrázek č.3 Bob 12

13 3.5 Využití entanglovaných stavů V předešlých dvou kódovacích systémech bylo využito vlastností jediného fotonu. Jsou však známy takzvané entanglované stavy, které jsou tvořeny dvěma či více částicemi, mající jisté speciální vlastnosti vhodné pro přenos kryptografického klíče. Obecný dvoučásticový entanglovaný stav se dá vyjádřit takto: ψ = 1 ( e iχ ) 2 Indexy 1 a 2 označují dvě částice, stavy 0 a 1 jsou orthonormalizovány a fázi χ můžeme položit rovnu nule. Entanglovaný stav se vyznačuje tím, že provedeme-li měření na jedné částici, druhá se bude nacházet v dobře definovaném stavu, který známe. Tato vlastnost je například patrná po aplikaci operátoru ˆP = na entanglovaný stav ψ. Pro přenos klíče se využívají entanglované páry polarizovaných fotonů, které se získávají ze zdroje umístěného mezi Alicí a Bobem. Entanglované fotony se šíří k Alici a Bobovi, kteří na nich provádí měření ve třech polarizačních bazích, vzniklých rotací původní báze o dané úhly. Po naměření hodnot se Alice a Bob informují po veřejném kanále, které báze použili. Využitím korelací mezi měřením v různých bázích prováděné Alicí a Bobem se dá zjistit případný odposlech kvantového kanálu (viz [1]). Zajímavé je, že Eva v zásadě nemůže získat informaci z kvantového kanálu, protože informace se objeví až při procesu měření u Alice a Boba. Největším problémem využití entanglovaných stavů je velmi složitá generace entanglovaných párů. Pro generaci entanglovaných stavů se využívá především nelineárních optických jevů především parametrické down konverze. Výsledný pár je většinou jen částečně entanglovaný a musí se použít další metody (entanglement purification), které vytvoří uplně entanglovaný pár. 4 Závěr Kvantová kryptografie je důkazem použitelnosti principů kvantové teorie v běžném životě. Pomocí ní kvantová fyzika vyřešila problém distribuce kryptografického klíče. 13

14 Další vývoj se v této oblasti rozdělil na dva hlavní směry. Samozřejmě je to vývoj nových kódovacích kvantových systémů, které by zefektivnili přenos bitů, snížili chybovost a zvýšili tak bezpečnost současných zařízení. Případné koncové uživatele však především zajímá ten druhý směr vývoje, který je zaměřen na kompletaci celého zařízení tak, aby mohl být využíván prakticky kýmkoli. Revoluce v kryptografii je nadohled. Ve své práci jsem se zaměřil pouze na základní principy kvantové kryptografie. V kvantové kryptografii je nutné použít další techniky např. quantum error correction nebo quantum privacy amplification (viz [1]). 14

15 Reference [1] Bouwmeester, D., Ekert, A., Zeilinger, A. The Physics of Quantum Information. Berlin: Springer-Verlag, 2000 [2] Welsh, D. Codes and Cryptography. Oxford: Clarendon Press, 1988 [3] Salomaa, A. Public-Key Cryptography. Berlin: Springer-Verlag, 1990 [4] Dušek M., Haderka O., Hendrych M. Foton jako důvěryhodný kurýr. Vesmír 77, listopad 1998, pp [5] Dušek M., Cejnar P. Kvantové hlavolamy I. - V. Vesmír 77, březenčervenec 1998 [6] [7] Feynman, R. P., Leighton R. B., Sands M. Feynmenove prednášky z fyziky 5. Alfa: Bratislava, 1990 [8] Saleh B. E. A., Teich M. C. Základy fotoniky 1-4. Praha: MATFY- ZPRESS,