Komerční výrobky pro kvantovou kryptografii

Komerční výrobky pro kvantovou kryptografii Miroslav Dobšíček Katedra počítačů, Fakulta elektrotechnická, České vysoké učení technické v Praze, Karlovo náměstí 13, 121 35 Praha 2, Česká republika dobsicm@fel.cvut.cz Kvantová kryptografie je poměrně mladý obor, který v blízké budoucnosti slibuje přinést bezpodmínečně bezpečný přenos dat. Teoretický základ je znám již 20 let, laboratorní prototypy ověřují v reálných podmínkách snad všechny světové banky a pro širokou veřejnost jsou dostupné první komerční výrobky. V tomto doprovodném textu k přednášce bude vysvětleno, co vlastně ona kvantová kryptografie znamená, ve kterých oblastech nalezne své uplatnění, a v jakém časovém horizontu začne být zajímavá pro střední a malé společnosti. Konkrétně budou zmíněny výrobky pro kvantovou distribuci klíčů a generátory náhodných čísel. Stranou nezůstanou ani informace o stavu vývoje kvantových počítačů. 1 Úvod Všichni máme svůj stín, touhy a přání, vlastnosti, které nás činí zvláštními a jedinečnými. Zatímco stín skrýváme možná snad v případě, že silueta činí naše střední partie větší než ve skutečnosti jsou, soukromí si střežíme mnohem více a lépe. A jak už tomu bývá, čím lépe něco střežíme, tím více to ostatní zajímá. V digitálním světě nám s ochranou dat pomáhají šikovné matematické teorie a neméně šikovní programátoři, kteří je uvádějí v život. Ochranou fyzickou se zde zabývat nebudeme. Bourání zdí, vrtání trezorů a jiné manuální práce přenecháme pro dnešek jiným. Pro úplnost zbývá říci, že sociální útoky také vynecháme. Místo toho si povíme, jak zatím nejúplnější fyzikální pohled na fungování světa - kvantová mechanika - pomůže vyřešit některé problémy, které klasická kryptografie, potažmo informatika, má. Kryptografie se zejména snaží řešit autorizovanost přístupu, autentičnost a integritu dat, bezpečnou komunikaci a bezpečné počítání. Základní stavební kameny jsou jednosměrné hash funkce, kombinované transpoziční a substituční šifry, redukce ke známým nedeterministicky polynomiálním problémům jako rozklad na prvočíselný součin nebo výpočet diskrétních logaritmů, generování náhodných čísel. Při bližším zkoumání i laik brzy zjistí, že jednosměrné hash funkce nejsou tak úplně jednosměrné, náhodná čísla jsou náhodná až na tu periodu, bezpečnost transpozičních a substitučních bloků se ověřuje tak, že výstupní posloupnost se jeví dostatečně náhodná a podobně. Odborný termín hovoří o takzvané podmíněné

bezpečnosti. Nepodmíněnou bezpečností se může pochlubit pouze několik málo primitiv jako například one-time pad. Jeho použití bohužel vyžaduje klíč nejméně stejně dlouhý jako zpráva určená k zašifrování, a tudíž je značně nepraktický. V praxi se proto používají podmíněně bezpečná primitiva a protokoly, přičemž míra podmíněnosti se zpravidla vyjadřuje dobou potřebnou k provedení útoku hrubou silou. Doby útoku přepočítané na stáří vesmíru vypadají bezesporu impozantně a dostatečně bezpečně, ale na pozadí by nás mělo trápit vědomí, že pokud někdo vymyslí matematickou zkratku, prolomí šifru za týden nebo přes noc. V roce 1994 publikoval Peter Shor algoritmy pro nalezení prvočíselního rozkladu a výpočet diskrétních logaritmů v polynomiálním čase na takzvaném kvantovém počítači. Pokud se v budoucnu podaří vyřešit technologické problémy a kvantové počítače budou postaveny, je značná část současné kryptografie ohrožena. Zákony kvantové mechaniky se ale naštěstí dají použít nejen pro kryptoanalýzu. První komerční výrobky pro kvantovou kryptografii, přesněji řečeno pro kvantovou distribuci klíčů a generování kvantově náhodných čísel, se již takřka dají koupit na pultu nebo alespoň rezervovat dodání. 2 Základní principy Základní jednotkou klasické (Shannonovy) informace je bit, který může nabývat pouze dvou diskrétních hodnot 0 a 1. Kvantový bit, zvaný qubit, oproti tomu může nabývat nekonečně mnoha hodnot, zjednodušeně řečeno, mezi hodnotami 0 a 1 včetně. Tuto vlastnost zapisujeme pomocí Diracovy notace takto: φ = α 0 + β 1 φ je název qubitu, α, β jsou komplexní čísla a { 0, 1 } je báze Hilbertova prostoru H 2. Pro názornost si představíme následující příklad. Máme slečnu Alici (je to běžnější dívčí jméno než φ), jako báze stanovíme {život, smrt} a potom prohlásíme, že Alice je z 80% živá a z 20% mrtvá. Příklad se také hodí pro vysvětlení Kodaňské interpretace kvantového stavu. Problém je následující. Qubit může být realizován jakýmkoliv dvojdimenzionálním kvantovým systémem. V praxi se nejčastěji používá polarizace fotonu (horizontální/vertikální) nebo 1/2-spinový moment částice (nahoru/dolu). Pokud se pokusíme změřit polarizaci zachyceného fotonu z nějakého konkrétního zdroje, můžeme začít dostávat výsledky 60% horizontální polarizace a 40% vertikální polarizace. Jak si s tímto poznatkem poradit? Albert Einstein byl zastáncem teorie chybějících parametrů, která říkala, že foton byl již před měřením v daném polarizovaném stavu. Náhodnost výsledku, kterou pozorujeme při měření, je dána doposud neobjevenými parametry systému.

Tato interpretace je sice logická, nicméně během času byla experimentálně pomocí Bellových nerovností vyvrácena. Kodaňská interpretace oproti tomu říká, že foton je v obou stavech najednou a měření je destruktivní událost, která foton nutí přijmout jednu z klasických hodnot (vertikální/horizontální polarizaci), které jsme vymezili jako jediné možné výstupy měření. Paralela k Alici spočívá v tom, že její stav snadno prohlásíme za stav mezi životem a smrtí zároveň. Až po měření přijmeme možné výsledky {byla živá, byla mrtvá} podle toho, jestli pod skalpelem křičela nebo ne. Tento příklad je trochu morbidní, ale dobře vyjadřuje, že v kvantovém světě naše klasická měření a hodnoty nedávají dost dobře smysl. Tedy lépe řečeno, nedává smysl získané hodnoty v kvantovém světě interpretovat. Takové uvažování vede k tzv. paradoxům kvantového světa. Jinak samozřejmě klasickou hodnotu z měření potřebujeme získat, abychom s ní dále mohli v naší realitě pracovat. 3 Aplikace v kryptografii V současné době je rozpracováno několik teorií jak zákony kvantového světa využít pro kryptografické účely. Kvantová distribuce klíčů a generování kvantově náhodných čísel se již dostaly z fáze prototypů k prvním komerčním výrobkům, a proto si o nich povíme více. Kvantová distribuce klíče Jednou z nejdůležitějších vlastností je, že neznámý kvantový stav nemůžeme kopírovat. Anglicky je tato skutečnost označována jako no-cloning theorem. Z toho vyplývá, že před kopírováním je potřeba stav nejdříve změřit. Jak již víme, měření nenávratně zničí lineární superpozici a přinutí qubit kolabovat na jednu z os báze ve které provádíme měření. Když vzpomeneme na pár vlastností vektorových prostorů, uvědomíme si, že ke zničení lineární superpozice nedojde v případě, pokud tato pozice bude přímo jednou z os báze měření. Na ilustraci tohoto tvrzení si vezmeme k ruce komplexní čísla. Mějme komplexní číslo z = 4 + 3j. Vynesení do systému souřadnic je jednoduché. Nyní když provedeme měření a výsledkem bude hodnota 4, víme že komplexní číslo zkolabovalo na reálnou osu x. Opačný případ znamená kolaps na imaginární osu y. Nyní si ale představme situaci, že souřadnice oproti jejich standardní pozici pootočíme tak aby osa x protínala bod z. Při měření v takto upravených souřadnicích vždy naměříme reálnou osu a qubit nijak nezměníme. S touto znalostí se již můžeme pustit do popisu protokolu BB84 pro kvantovou distribuci klíčů, který v roce 1984 vymysleli pánové G. Brassard a Ch. Bennet. Alice se chce s Bobem dohodnout na posloupnosti bitů, kterou budou znát pouze oni dva. Alice vygeneruje dva náhodné bitové řetězce délky n, Bob jeden náhodný

bitový řetězec téže délky. Alice nyní po kvantovém kanálu (kvalitní optické vlákno) posílá polarizované fotony a to následovně: Odesílaný řetězec 1 0 1 1 1 0 Volba báze 1 0 1 0 0 1 Odeslaný qubit 1 0 1 1 1 0 Alice připravuje qubity tak, aby správná báze pro měření občas byla standardní a občas tzv. báze duální, která je oproti standardní pootočena o 45 stupňů. Bobův náhodný řetězec není nic jiného než volba báze, ve které zkusí ten a ten přijatý qubit změřit. Dle pravděpodobnosti se trefí zhruba v 50% případů. Po přijetí všech qubitů Bob Alici požádá (nyní již komunikace probíhá po běžném veřejném kanále), aby mu sdělila její volbu bází a on tak věděl, které pozice má dobře. Dobré pozice jí ohlásí a v tuto chvíli oba sdílí tajný řetězec. Tajný v uvozovkách, protože jsme ještě do hry nezapojili špióna Evu. Eva odposlouchává kvantový kanál, a protože neznámé kvantové stavy nemůže kopírovat pro pozdější zpracování, nezbývá jí jiná technika než tipnout báze, změřit a přeposlat. Jenže její měření v nesprávných bázích způsobí neopravitelné chyby, které Alice a Bob odhalí vzájemným porovnáním části sdíleného řetězce. Při výskytu nesrovnalostí je zřejmé, že kvantový kanál bud byl odposloucháván nebo je porouchaný. Pokud k žádné chybě nedojde, tak Alice a Bob považují zbytek sdíleného řetězce za opravdu tajný. Sdílený klíč nyní mohou použít pro one-time pad nebo třeba AES. Kvantové generování náhodných čísel Náhodná čísla jsou jedním ze základních primitiv pro mnoho kryptografických protokolů. Klasickým počítačem nikdy nedokážeme skutečně náhodná čísla generovat, vždy se jedná o deterministickou posloupnost danou algoritmem. Do dnešní doby se proto náhodná čísla získávala měřením fyzikálních jevů, které bez znalosti počátečních podmínek působí chaoticky. Jako příklad můžeme uvést proudový šum na rezistoru. Získávání náhodných čísel tímto způsobem není příliš pohodlné a rychlé. Bohužel také získaná čísla vykazovala jisté tendence (bias), které bylo potřeba dalším zpracováním eliminovat. V současné době se povedlo vylepšit technologie do té míry, že již dokážeme vystřelit jediný foton, nechat ho odrazit/projít polopropustným zrcadlem a následně detekovat, která situace nastala. Odraz nebo průchod fotonu na polopropustném zrcadle je považován za jev zcela náhodný. Také bias způsobený nedokonalostí polopropustného zrcadla je malý a není potřeba ho korigovat.

4 Komerční výrobky Ačkoliv se všechny velké IT společnosti jako IBM, NEC, HP, Toshiba zabývají vývojem komerčních výrobků pro kvantovou kryptografii, pouze dvě menší společnosti se mohou pochlubit opravdu hotovými výrobky k prodeji. Jedná se o švýcarskou firmu id Quantique založenou při Ženevské univerzitě a americkou firmu MagiQ. id Quantique nabízí produkt pro kvantovou distribuci klíčů. Jedná se o dvě černé skříňky, které se propojí standardním optickým vláknem a USB kabelem k osobnímu počítači. Samotné počítače pak mohou být propojeny libovolnou technologií, např. Ethernetem. Přenos je možné uskutečnit až do vzdálenosti 70 km. Maximální rychlost je do 1000 bit/s. Vedle tohoto výrobku lze samostatně zakoupit jednofotonová děla a odpovídající detektory. Dalším výrobkem je modul pro kvantové generování náhodných čísel. Rychlost generování je až 4Mb/s. Modul je možno zakoupit bud samostatně nebo integrovaný na PCI kartě. Varianta karty se čtyřmi moduly dokáže generovat náhodná čísla až rychlostí 16Mb/s. Výrobek firmy MagiQ pro kvantovou distribuci klíčů se nazývá Navajo. Od konkurenčního výrobku firmy id Quantique se liší zabudovanou vlastní technologií pro budování virtuálních privátních sítí. Maximální rychlost je uvedena poměrně málo říkajícím údajem 100 klíčů za sekundu. Nejvyšší možná vzdálenost je také mlhavě uvedena na hranici 60-70 km. Cena se pohybuje v řádu 50 000 dolarů. Vedle komerční verze existuje ještě varianta pro univerzity a výzkumná pracoviště, která nabízí širší škálu nastavení přístroje. Firma NEC uvádí, že se jí v roce 2004 povedlo vyzkoušet přenos rychlostí 100kb/s na vzdálenost 40 km a nemá prý v těchto parametrech konkurenci. Dostupné informace od všech firem mají společné především to, že mlží v konkrétních hodnotách rychlosti při dané vzdálenosti. Místo toho poukazují na maximální hodnoty, honosí se množstvím průkopnických přívlastků a cenu produktů vám sdělí pouze při telefonické objednávce. Potřebné je také říci, že po kvantovém kanálu je zatím možné komunikovat pouze point-to-point. Rozbočovače jsou problém, protože abychom mohli qubit nakopírovat, je potřeba ho nejdříve změřit. Řešením by mohly být rozbočovače využívající kvantovou teleportaci, ale tato technologie je teprve ve svých počátcích. Obdobná řešení potom bude možné použít pro přenos qubitu na delší vzdálenost. Současná hranice okolo 70 km je dána nedokonalostí optických vláken. Při této vzdálenosti je již většina fotonů pohlcena vláknem a zesílení není možné, protože by poškodilo přenášený stav.

5 Kvantové počítače Samotné kvantové počítače se zatím vyvíjejí pomalu. Pro smysluplné využití je potřeba mít systém s desítkami až stovkami qubitů. Odborněji se hovoří ox-qubitovém kvantovém registru. Bohužel je obtížné udržet evoluci kvantového registru pod taktovkou algoritmu izolovaně od okolního prostředí. Známé technologie mají své hranice zhruba na nedostatečných 10-20 qubitech. Posledním známým úspěchem byla v roce 2001 faktorizace (Shorův algoritmus) čísla 15 na 7-mi qubitovém systému, který používal magnetickou nukleární rezonanci. Tento experiment proběhl v laboratořích firmy IBM. Pro představu, onen počítač byla zkumavka s trochou kapaliny. Diametrální rozdíl mezi stavem kvantové kryptografie a samotnými kvantovými počítači je lehce vysvětlitelný. Stačí použít analogii ke klasickému světu. Poslat bit informace po médiu umělo lidstvo mnohem dříve než mohlo obdivovat architekturu procesorů řady Alpha. 6 Závěr Závěrem můžeme říci, že během nadcházejících let se kvantová kryptografie stane běžnou součástí sítí s vysokým důrazem na bezpečnost. Prodej výrobků podpoří vývoj technologií pro práci ve světě malých částic a kvantové počítače se stanou skutečností. Pokud tedy všechno nebude úplně jinak. Reference [1] Nielsen, M.A. - Chuan, I.L.: Quantum Computation and Quantum Information, Cambridge University Press, 2000. [2] Shor, P.W.: Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer, SIAM Journal on Computing, 26(5), 1997. [3] Bennet, Ch. - Brassard, G.: Quantum crzptography: publick-key distribution and coin tossing, IEEE Systems and Signal Processing, 1984. [4] http://www.idquantique.com. [5] http://www.magiqtech.com.