Kvantová kryptografie

Kvantová kryptografie Ondřej Haderka Univerzita Palackého, Olomouc www.rcptm.com

Kvantová kryptografie Metoda bezpečné komunikace na rozhraní klasické kryptografie, teorie informace a kvantové mechaniky Zřejmě první aplikace kvantové mechaniky na úrovni prvních principů Řeší některé nedostatky klasické kryptografie Dnes už komerčně nabízena Řada teoretických i praktických těžkostí

Kvantové optické komunikace Bezpečné komunikace (kvantová kryptografie) Kvantová distribuce klíče (QKD) Kvantová identifikace (QI) Kvantové sdílení tajemství (QSS) Kvantový generátor náhodných čísel Neklasické komunikace Kvantová teleportace Kvantové husté kódování Předávání kvantové provázanosti

Co je na tom kvantového? Detekce světla po kvantech h Principiální náhodnost individuálních událostí Měření obecně mění stav měřeného objektu Superpozice stavů (qubit) Kvantová provázanost (entanglement) Teorém o neklonování

Foton na dělid liči i svazku detektor B detektor A

Generátor náhodných n čísel J. Soubusta, O. Haderka, M. Hendrych, P. Pavlíček, Quantum random number generator, Proc. SPIE Vol. 5259, p. 7 13 (2003)

Měření neortogonáln lních stavů Polarizing cube I I/2 0 I/2 resend? 100% 50% Probability 0% 50% Intensity I intercept original signal beamsplitting classical light beamsplitting impossible single photon

Superpozice a entanglement superpozice stavů 45 H V 1 2

Foton v interferometru Machův Zehnderůvinterferometr, 4x10 6 fotonu na impuls

Superpozice a entanglement superpozice stavů 45 1 2 H V kvantová provázanost systémů A a B (entanglement) H c ij A H A AB c A i c B i B j 1 2 c A i i, j c i ij HV A i, A B j VH B j c B j j B kvantové korelace výsledky měření neexistují před jeho provedením (porušují Bellovy nerovnosti)

Teorém m o nemožnosti nosti klonování No cloning theorem (Wootters & Żurek, Nature 1982) b 0 f Znalost limitů přibližného klonování je podstatná pro bezpečnost kvantové kryptografie 1 45, b,0 H V 1 2 H, b,0 V, b,0 2 H, H, f V, V, f H, H, f H V, V, fv 45, 45, f45 V H b,0

Dnešní kryptosystémy asymetrické ALICE ALICE symetrické Diffie & Hellman (1976) Rivest, Shamir, Adleman (1978) jednosměrné funkce veřejný klíč soukromý klíč SAFE Vernam (1926) Shannon (1949) DES, AES problém distribuce klíče BOB a) b) BOB

Vernamova šifra, one time pad G. S. Vernam, 1926 nepodmíněná bezpečnost

Bezpečnost klasické kryptografie Asymetrické systémy spoléhají na výpočtovou složitost (nedokázanou!) Kvantové počítače (P. Shor, 1994) Symetrické systémy jsou při dané délce klíče o něco bezpečnější, ale potřebují častou (a bezpečnou) distribuci klíče kvantová kryptografie řeší problém distribuce klíče

Historie kvantové kryptografie S. Wiesner (1983) kvantovénepadělatelné bankovky C. H. Benett & G. Brassard (1984) kvantová distribuce klíče založená na no cloningteorému nezávisle A. Ekert (1991) QKD založená na porušení Bellových nerovností Bennett, Brassard, Mermin (1992) oba přístupy jsou ekvivalentní první experiment (BB et al., 1992, experiment 1989) 1993 2000 řada dalších experimentů (včetně Olomouce ) 1999 kvantové sdílení tajemství 2000 důkazy bezpečnosti, další protokoly, praktické aspekty, komerční aplikace

Princip QKD klasický kanál autentizovaný EVA ALICE BOB kvantový kanál komunikace pomocí neortogonálních kvantových stavů Množství informace, které může Eva získat, lze kvantifikovat na základě měřitelného stupně degradace komunikace na kvantovém kanálu. To při komunikaci po klasickém kanálu nelze!!!

Protokol BB84 1 2 3 4 5 6 7 8 9 10 11 12 Bitová perioda 1 1 1 0 0 0 1 1 1 0 0 0 Alice generuje náhodnou sekvenci bitů Alice náhodně vybírá báze Alice kóduje bity do polarizací Bob náhodně vybírá báze Bob detekuje 1 1 0 0 1 0 1 1 0 1 0 Bob dekóduje Y N N Y N N Y N N Y N N Bob veřejně oznamuje Alici, jaké báze použil a Alice potvrzuje, kdy použili identické báze, nehovoří se však o bitových hodnotách (sifting). 1 0 1 0 Hrubý klíč 0 Výběr podmnožiny k testu chyb Y Test úspěšně proveden 1 1 0 Sdílený tajný klíč (po EC a PA)

Kvantová distribuce klíče 1. Přenos hrubé bitové sekvence (BB84) Eva zachytí foton, změřího a pošle dál (intercept resend) způsobí průměrně 25% chyb na jeden zkoumaný bit 2. Odhad chybovosti na vybraných bitech = odhad množství informace, kterou mohla Eva získat 3. Oprava chyb (např. a i XOR a i+1 : b i XOR b i+1 a i, b i ) 4. Zesílení utajení (např. a i, a i+1 : b i, b i+1 a i XOR a i+1, b i XOR b i+1 NEPODMÍNĚNĚ BEZPEČNÝ KLÍČ (vůči útokům na komunikační lince) klasický postprocessing

Další protokoly Kódování do diskrétních proměnných (polarizace fotonů nebo fáze fotonů v interferometru) detekce využívá čítání fotonů BB84, BBM, E91 SARG04 kóduje se do volby báze Kódování do spojitých proměnných homodynní detekce (vyšší účinnost detekce, ale větší šum) stlačené stavy koherentní stavy Distributed phase reference coding kóduje se do rozdílů fází sousedních qubitů (DPS) nebo do páru prázdného a neprázdného impulsu (COW)

Praktická implementace Nosiče informace: pro šíření ve volném prostoru: polarizační stavy fotonů v optických vláknech: fáze fotonu v interferometru Zdroje fotonů zeslabené laserové impulsy (nenulová pravděpodobnost vícefotonových stavů) sub poissonovské zdroje (kvantové tečky, NV centra, heralded singlephoton zdroje) Přenosové trasy klasická optická vlákna nebo volný prostor Detektory čítače fotonů homodynní detektory

Proč fotony? V principu lze kvantově informační experimenty provádět s jakýmikoliv kvantovými objekty ionty, atomy, molekuly, fotony světlo je praktické médium při komunikaci na makroskopické vzdálenosti jen slabě interaguje s okolím kvantové stavy kódované do fotonů jen slabě podléhají dekoherenci lze (s jistými omezeními) implementovat do současných komunikačních sítí v optických vláknech nebo volném prostoru

Útoky Individuální (nekoherentní) útoky Útok dělením svazku (photon number splitting) Zachyť a pošli (intercept resend) Interakce s pomocným systémem Kolektivní útok předpokládá, že Eva disponuje kvantovou pamětí a může odložit měření na svých pomocných systémech až po ukončení postprocessingové fáze QKD Koherentní útok Eva má neomezené možnosti, může např. nechat pomocné systémy koherentně interagovat před měřením. Pro mnohé protokoly a jejich praktické implementace lze spočítat horní mez informace, kterou může Eva získat kolektivním útokem (mez pro koherentní útok je obvykle stejná)

Bezchybové útoky a hacking Zero error attacks Nedokonalé nosiče qubitů (např. vícefotonové stavy) Kalibrace zařízení Ztráty Šum detektorů Chybovost systému a komponent Všechny nedostatky systému může Eva zneužít. Je třeba spočítat množství informace, které může Eva získat, a eliminovat ji pomocí PA. Hacking použití Trojského koně (např. zkoumat Bobovo nastavení silným impulsem) emise fotonů z detektorů příliš přesné časování

Bezpečnost QKD Nepodmíněná bezpečnost byla dokázána pro řadu protokolů (zejména diskrétních) a jejich praktických implementací v limitě nekonečně dlouhých klíčů Mayers (1996), Lo & Chau (1999), Shor & Preskill (2000) Důkazy bezpečnosti pro konkrétní implementaci vedou k optimalizaci nastavení systému s ohledem na rychlost generace klíče (na základě stanovení mezí informace, kterou může Eva získat)

Principiáln lní problémy Nutnost autentizace (má li být zachována nepodmíněná bezpečnost, pak vyžaduje určité množství předsdíleného tajemství) QKD je vlastně multiplikátor sdíleného tajemství Omezený dosah v důsledku šumu detektorů, ztrát a přítomnosti vícefotonových stavů (typicky jednotky až desítky km se současnou technologií) Omezená přenosová rychlost (několik řádů pod možnostmi klasických komunikací) Lepší zdroje fotonů Lepší detektory Kvantové opakovače

Současný stav implementace dosah 1-ph: perfect single-photon source, unconditional; WCP: weak coherent pulses without decoy states, unconditional; decoy: weak coherent pulses with decoy states, unconditional; EB: entanglement-based, unconditional; CV: continuous-variables with Gaussian modulation, security against collective attacks; COW: Coherent-One-Way, security against the restricted family of attacks

Současný stav implementace sítě 1-ph: perfect single-photon source, unconditional; WCP: weak coherent pulses without decoy states, unconditional; decoy: weak coherent pulses with decoy states, unconditional; EB: entanglement-based, unconditional; CV: continuous-variables with Gaussian modulation, security against collective attacks; COW: Coherent-One-Way, security against the restricted family of attacks

Perspektivy Teorie optimalizace pro klíče konečné délky důkazy bezpečnosti pro ostatní protokoly (distributedphase reference) a se zahrnutím kalibrace zařízení Praxe technické zlepšení parametrů (cca 2 3x prodloužení komunikační vzdálenosti) satelity (tracking, bezúdržbová zařízení) kvantové opakovače založené na předávání entanglementu, vyžadují kvantové paměti sítě založené na důvěryhodných uzlech využití jako generátor klíče pro symetrické šifry

QKD v Olomouci (1998) Vzdálenost 0,5 km Vizibilita: 99,7% Chybovost: 0,3% Rychlost: 4,3 kbit/s

Literatura N. Gisin et al.: Quantum cryptography, Rev. Mod. Phys. 74, 145 (2002) V. Scarani et al.: The Security of Practical Quantum Key Distribution, Rev. Mod. Phys. 81, 1301 (2009) Děkuji za pozornost!