stringtranslate.com

Квантовая криптография

Квантовая криптография — это наука об использовании квантово-механических свойств для выполнения криптографических задач. [1] [2] Самым известным примером квантовой криптографии является квантовое распределение ключей , которое предлагает теоретически безопасное решение проблемы обмена ключами . Преимущество квантовой криптографии заключается в том, что она позволяет решать различные криптографические задачи, невозможность которых доказана или предполагается с использованием только классической (т.е. неквантовой) связи. Например, невозможно скопировать данные, закодированные в квантовом состоянии . Если кто-то попытается прочитать закодированные данные, квантовое состояние будет изменено из-за коллапса волновой функции ( теорема о запрете клонирования ). Это можно использовать для обнаружения подслушивания [ как? ] в квантовом распределении ключей (QKD).

История

В начале 1970-х годов Стивен Визнер , работавший тогда в Колумбийском университете в Нью-Йорке, представил концепцию квантового сопряженного кодирования. Его основополагающая статья под названием «Сопряженное кодирование» была отклонена Обществом теории информации IEEE , но в конечном итоге была опубликована в 1983 году в SIGACT News . [3] В этой статье он показал, как хранить или передавать два сообщения, кодируя их в двух «сопряженных наблюдаемых », таких как линейная и круговая поляризация фотонов , [4] так, чтобы можно было получить одно из свойств , но не оба одновременно, и декодирован. Только когда Чарльз Х. Беннетт из Исследовательского центра Томаса Дж. Уотсона IBM и Жиль Брассар встретились в 1979 году на 20-м симпозиуме IEEE по основам компьютерных наук, проходившем в Пуэрто-Рико, они обнаружили, как использовать открытия Визнера. . «Главный прорыв произошел, когда мы поняли, что фотоны предназначены не для хранения информации, а для ее передачи». [3] В 1984 году, основываясь на этой работе, Беннетт и Брассард предложили метод безопасной связи , который сейчас называется BB84 . [5] Независимо, в 1991 году Артур Экерт предложил использовать неравенства Белла для достижения безопасного распределения ключей. [6] Протокол Экерта для распределения ключей, как это было впоследствии показано Домиником Майерсом и Эндрю Яо , предлагает аппаратно-независимое квантовое распределение ключей.

Компании, производящие системы квантовой криптографии, включают MagiQ Technologies, Inc. (Бостон), ID Quantique (Женева), QuintessenceLabs (Канберра, Австралия), Toshiba (Токио), QNu Labs (Индия) и SeQureNet (Париж).

Преимущества

Криптография является самым сильным звеном в цепи безопасности данных . [7] Однако заинтересованные стороны не могут предполагать, что криптографические ключи будут оставаться в безопасности бесконечно. [8] Квантовая криптография [2] способна шифровать данные на более длительный период, чем классическая криптография. [8] Используя классическую криптографию, ученые не могут гарантировать шифрование в течение примерно 30 лет, но некоторые заинтересованные стороны могут использовать более длительные периоды защиты. [8] Возьмем, к примеру, сферу здравоохранения. По состоянию на 2017 год 85,9% врачей используют электронные системы медицинских карт для хранения и передачи данных пациентов. [9] Согласно Закону о переносимости и подотчетности медицинского страхования, медицинские записи должны храниться в тайне. [10] Квантовое распределение ключей может защитить электронные записи на срок до 100 лет. [8] Кроме того, квантовая криптография имеет полезные применения для правительств и военных, поскольку исторически правительства хранили военные данные в секрете в течение более 60 лет. [8] Также было доказано, что квантовое распределение ключей может передаваться по зашумленному каналу на большие расстояния и быть безопасным. Ее можно свести от шумной квантовой схемы к классической бесшумной схеме. Эту проблему можно решить с помощью классической теории вероятностей. [11] Этот процесс обеспечения постоянной защиты зашумленного канала может быть возможен благодаря внедрению квантовых повторителей. Квантовые ретрансляторы способны эффективно устранять ошибки квантовой связи. Квантовые повторители, представляющие собой квантовые компьютеры, могут размещаться в виде сегментов над шумным каналом для обеспечения безопасности связи. Квантовые ретрансляторы делают это, очищая сегменты канала перед их соединением, создавая безопасную линию связи. Некачественные квантовые повторители могут обеспечить эффективный уровень безопасности через зашумленный канал на большом расстоянии. [11]

Приложения

Квантовая криптография — это общий предмет, охватывающий широкий спектр криптографических практик и протоколов. Некоторые из наиболее известных приложений и протоколов обсуждаются ниже.

Квантовое распределение ключей

Самым известным и разработанным применением квантовой криптографии является QKD , который представляет собой процесс использования квантовой связи для установления общего ключа между двумя сторонами (например, Алисой и Бобом) без того, чтобы третья сторона (Ева) ничего не узнала об этом ключе. даже если Ева сможет подслушивать все общение между Алисой и Бобом. Если Ева попытается узнать информацию об установленном ключе, возникнут несоответствия, которые заметят Алиса и Боб. После того как ключ установлен, он обычно используется для зашифрованной связи с использованием классических методов. Например, обмененный ключ может использоваться для симметричной криптографии (например, одноразовый блокнот ).

Безопасность квантового распределения ключей можно доказать математически, не налагая никаких ограничений на возможности перехватчика, что невозможно при классическом распределении ключей. Обычно это описывается как «безусловная безопасность», хотя требуются некоторые минимальные предположения, в том числе о том, что применяются законы квантовой механики и что Алиса и Боб могут аутентифицировать друг друга, т.е. Ева не должна иметь возможность выдавать себя за Алису или Боба как в противном случае возможна атака «человек посередине» .

Хотя QKD безопасен, его практическое применение сталкивается с некоторыми проблемами. Фактически существуют ограничения на скорость генерации ключей при увеличении дальности передачи. [12] [13] [14] Недавние исследования позволили добиться важных успехов в этом отношении. В 2018 году протокол двойного поля QKD [15] был предложен как механизм преодоления ограничений связи с потерями. Было показано, что скорость протокола двойного поля преодолевает пропускную способность секретного ключа в канале связи с потерями, известном как PLOB-связь без повторителей, [14] на длине оптического волокна 340 км; его идеальная скорость превышает эту границу уже на расстоянии 200 км и соответствует масштабированию потери скорости для более высокой пропускной способности секретного ключа с помощью ретранслятора [16] ( более подробную информацию см. на рисунке 1 из [15] и рисунке 11 из [2] ) . Протокол предполагает, что оптимальные ключевые скорости достижимы на «550 километрах стандартного оптического волокна », которое сегодня уже широко используется в сфере связи. Теоретический результат был подтвержден в первой экспериментальной демонстрации ККД за пределами PLOB, которая была охарактеризована как первый эффективный квантовый повторитель. [17] Заметными достижениями в плане достижения высоких скоростей на больших расстояниях является версия протокола TF-QKD без отправки (SNS). [18] [19] и схема двойного поля без фазового постселектирования. [20]

Недоверчивая квантовая криптография

В недоверчивой криптографии участвующие стороны не доверяют друг другу. Например, Алиса и Боб совместно выполняют некоторые вычисления, в ходе которых обе стороны вводят некоторые личные данные. Но Алиса не доверяет Бобу, а Боб не доверяет Алисе. Таким образом, безопасная реализация криптографической задачи требует, чтобы после завершения вычислений Алисе можно было гарантировать, что Боб не обманул, а Бобу можно было гарантировать, что Алиса также не обманула. Примерами задач недоверчивой криптографии являются схемы фиксации и безопасные вычисления , причем последние включают дальнейшие примеры подбрасывания монеты и невнимательной передачи . Распределение ключей не относится к области недоверчивой криптографии. Недоверчивая квантовая криптография изучает область недоверчивой криптографии с использованием квантовых систем .

В отличие от квантового распределения ключей , где безусловная безопасность может быть достигнута только на основе законов квантовой физики , в случае различных задач недоверчивой криптографии существуют непреодолимые теоремы, показывающие, что невозможно достичь безусловно безопасных протоколов, основанных только на законы квантовой физики . Однако некоторые из этих задач можно реализовать с безусловной безопасностью, если протоколы будут использовать не только квантовую механику , но и специальную теорию относительности . Например, Майерс [21] и Ло и Чау показали невозможность безусловно безопасного закрепления квантовых битов . [22] Ло и Чау доказали невозможность безусловно безопасного идеального подбрасывания квантовой монеты. [23] Более того, Ло показал, что не может быть безусловно безопасных квантовых протоколов для передачи «один из двух» с забвением и других безопасных двусторонних вычислений. [24] Однако Кент продемонстрировал безусловно безопасные релятивистские протоколы для подбрасывания монет и фиксации битов. [25] [26]

Подбрасывание квантовой монеты

В отличие от распределения квантовых ключей, подбрасывание квантовой монеты — это протокол, который используется между двумя участниками, которые не доверяют друг другу. [27] Участники общаются через квантовый канал и обмениваются информацией посредством передачи кубитов . [28] Но поскольку Алиса и Боб не доверяют друг другу, каждый ожидает, что другой обманет. Следовательно, необходимо приложить больше усилий для обеспечения того, чтобы ни Алиса, ни Боб не могли получить существенное преимущество перед другим для достижения желаемого результата. Способность влиять на конкретный результат называется предвзятостью, и значительное внимание уделяется разработке протоколов, позволяющих уменьшить предвзятость нечестного игрока, [29] [30], также известную как мошенничество. Было показано, что протоколы квантовой связи, включая подбрасывание квантовой монеты, обеспечивают значительные преимущества в безопасности по сравнению с классической связью, хотя их можно считать трудными для реализации на практике. [31]

Протокол подбрасывания монеты обычно выглядит следующим образом: [32]

  1. Алиса выбирает базис (прямолинейный или диагональный) и генерирует строку фотонов для отправки Бобу в этом базисе.
  2. Боб случайным образом выбирает для измерения каждый фотон прямолинейный или диагональный базис, отмечая, какой базис он использовал, и измеренное значение.
  3. Боб публично угадывает, на каком основании Алиса отправила свои кубиты.
  4. Алиса объявляет базис, который она использовала, и отправляет свою исходную строку Бобу.
  5. Боб подтверждает это, сравнивая строку Алисы со своей таблицей. Оно должно идеально коррелировать со значениями, измеренными Бобом с использованием базиса Алисы, и совершенно не коррелировать с противоположным.

Обман происходит, когда один игрок пытается повлиять или увеличить вероятность определенного результата. Протокол не поощряет некоторые формы мошенничества; например, Алиса могла бы обмануть на шаге 4, заявив, что Боб неправильно угадал ее первоначальный базис, когда он угадал правильно, но тогда Алисе нужно будет сгенерировать новую строку кубитов, которая идеально коррелирует с тем, что Боб измерил в противоположной таблице. [32] Ее шансы на создание совпадающей строки кубитов будут уменьшаться экспоненциально с увеличением количества отправленных кубитов, и если Боб заметит несоответствие, он поймет, что она лгала. Алиса также могла бы сгенерировать цепочку фотонов, используя смесь состояний, но Боб легко увидел бы, что ее цепочка будет частично (но не полностью) коррелировать с обеими сторонами таблицы, и понял бы, что она схитрила в этом процессе. [32] Существует также один изъян, присущий современным квантовым устройствам. Ошибки и потеря кубитов повлияют на измерения Боба, что приведет к появлению дыр в таблице измерений Боба. Значительные потери в измерениях повлияют на способность Боба проверить последовательность кубитов Алисы на шаге 5.

Одним из теоретически надежных способов обмана Алисы является использование парадокса Эйнштейна-Подольского-Розена (ЭПР). Два фотона в паре ЭПР антикоррелированы; то есть всегда будет обнаружено, что они имеют противоположные поляризации, при условии, что они измеряются в одном и том же базисе. Алиса могла бы генерировать цепочку пар ЭПР, отправляя по одному фотону из каждой пары Бобу и сохраняя другой самостоятельно. Когда Боб выскажет свое предположение, она сможет измерить фотоны своей пары ЭПР в противоположном базисе и получить идеальную корреляцию с противоположной таблицей Боба. [32] Боб никогда не узнает, что она обманула. Однако для этого необходимы возможности, которыми в настоящее время не обладает квантовая технология, что делает невозможным реализацию на практике. Чтобы успешно реализовать это, Алисе необходимо иметь возможность хранить все фотоны в течение значительного периода времени, а также измерять их с почти идеальной эффективностью. Это потому, что любой фотон, потерянный при хранении или измерении, приведет к образованию дыры в ее струне, которую ей придется заполнить путем догадок. Чем больше догадок ей придется сделать, тем больше она рискует обнаружить Боба за мошенничество.

Квантовое обязательство

В дополнение к квантовому подбрасыванию монеты протоколы квантовых обязательств реализуются, когда в дело вовлечены недоверчивые стороны. Схема обязательств позволяет Алисе-участнику зафиксировать определенное значение («зафиксировать») таким образом, чтобы Алиса не могла изменить это значение, в то же время гарантируя, что получатель Боб не сможет ничего узнать об этом значении, пока Алиса не раскроет его. Такие схемы обязательств обычно используются в криптографических протоколах (например, подбрасывание квантовой монеты , доказательство с нулевым разглашением , безопасные двухсторонние вычисления и забывчивая передача ).

В квантовой ситуации они были бы особенно полезны: Крепо и Килиан показали, что из коммитата и квантового канала можно построить безусловно безопасный протокол для выполнения так называемой забывчивой передачи . [33] С другой стороны, Килиан показал, что забывчивая передача позволяет реализовать практически любые распределенные вычисления безопасным способом (так называемые безопасные многосторонние вычисления ). [34] (Примечание: результаты Крепо и Килиана [33] [34] вместе взятые не означают напрямую, что при наличии обязательства и квантового канала можно выполнять безопасные многосторонние вычисления. Это потому, что результаты не гарантируют «компонуемость». ", то есть при их соединении можно потерять безопасность.)

К сожалению, ранние протоколы квантовых обязательств [35] оказались ошибочными. Фактически Майерс показал, что ( безусловно безопасное ) квантовое обязательство невозможно: злоумышленник с неограниченными вычислительными возможностями может взломать любой протокол квантового обязательства. [21]

Тем не менее, результат Майерса не исключает возможности построения протоколов квантовых обязательств (и, таким образом, безопасных протоколов многосторонних вычислений) при предположениях, которые намного слабее, чем предположения, необходимые для протоколов обязательств, которые не используют квантовую связь. Описанная ниже модель ограниченного квантового хранилища является примером ситуации, в которой квантовая связь может использоваться для создания протоколов фиксации. Прорыв ноября 2013 года обеспечивает «безусловную» безопасность информации за счет использования квантовой теории и теории относительности, что впервые было успешно продемонстрировано в глобальном масштабе. [36] Совсем недавно Ван и др. предложили другую схему обязательств, в которой «безусловное сокрытие» является идеальным. [37]

Физические неклонируемые функции также могут использоваться для создания криптографических обязательств. [38]

Модель ограниченной и шумной квантовой памяти

Одной из возможностей создания протоколов безусловно безопасной квантовой фиксации и квантово- забывчивой передачи (OT) является использование ограниченной квантовой модели хранения (BQSM). В этой модели предполагается, что объем квантовых данных, которые может хранить противник, ограничен некоторой известной константой Q. Однако не налагается никаких ограничений на объем классических (т. е. неквантовых) данных, которые противник может хранить.

В BQSM можно построить протоколы обязательств и забывчивой передачи. [39] Основная идея заключается в следующем: стороны протокола обмениваются более чем Q квантовыми битами ( кубитами ). Поскольку даже нечестная сторона не сможет хранить всю эту информацию (квантовая память противника ограничена Q кубитами), большую часть данных придется либо измерить, либо отбросить. Принуждение нечестных сторон к измерению большей части данных позволяет протоколу обойти результат невозможности, теперь могут быть реализованы протоколы передачи обязательств и забывчивости. [21]

Протоколы BQSM, представленные Дамгордом, Фером, Салвейлом и Шаффнером [39], не предполагают, что честные участники протокола хранят какую-либо квантовую информацию; технические требования аналогичны требованиям протоколов квантового распределения ключей . Таким образом, эти протоколы могут, по крайней мере в принципе, быть реализованы с помощью сегодняшних технологий. Сложность связи — это всего лишь постоянный коэффициент, превышающий ограничение Q квантовой памяти противника.

Преимущество BQSM в том, что предположение об ограниченности квантовой памяти противника вполне реалистично. С сегодняшними технологиями надежное хранение даже одного кубита в течение достаточно длительного времени затруднено. (Что означает «достаточно длинный» зависит от деталей протокола. Введя в протокол искусственную паузу, время, в течение которого злоумышленнику необходимо хранить квантовые данные, можно сделать сколь угодно большим.)

Расширением BQSM является модель накопления шума, предложенная Венером, Шаффнером и Терхалом. [40] Вместо того, чтобы учитывать верхнюю границу физического размера квантовой памяти противника, противнику разрешается использовать несовершенные квантовые запоминающие устройства произвольного размера. Уровень несовершенства моделируется шумными квантовыми каналами. Для достаточно высоких уровней шума могут быть достигнуты те же примитивы, что и в BQSM [41] , и BQSM образует частный случай модели хранения шума.

В классической ситуации аналогичные результаты могут быть достигнуты, если предположить ограничение на объем классических (неквантовых) данных, которые может хранить злоумышленник. [42] Однако было доказано, что в этой модели честным сторонам также приходится использовать большой объем памяти (а именно, квадратный корень из ограниченной памяти противника). [43] Это делает эти протоколы непрактичными для реалистичных ограничений памяти. (Обратите внимание, что с помощью современных технологий, таких как жесткие диски, злоумышленник может дешево хранить большие объемы классических данных.)

Квантовая криптография на основе позиции

Цель позиционной квантовой криптографии — использовать географическое местоположение игрока в качестве (единственных) учетных данных. Например, кто-то хочет отправить сообщение игроку в указанной позиции с гарантией того, что его можно будет прочитать только в том случае, если принимающая сторона находится в этой конкретной позиции. В основной задаче проверки позиции игрок, Алиса, хочет убедить (честных) проверяющих, что она находится в определенной точке. Это было показано Чандраном и др. что проверка позиции с использованием классических протоколов невозможна против вступающих в сговор противников (которые контролируют все позиции, кроме позиции, заявленной доказывающим). [44] При различных ограничениях на противников возможны схемы.

Первые позиционные квантовые схемы под названием «квантовая маркировка» были исследованы Кентом в 2002 году. Патент США [45] был выдан в 2006 году. Идея использования квантовых эффектов для проверки местоположения впервые появилась в научной литературе в 2010 году. [46] [47] После того, как в 2010 году было предложено несколько других квантовых протоколов для проверки местоположения, [48] ​​[49] Бурман и др. заявил общий результат невозможности: [50] используя огромную квантовую запутанность (они используют дважды экспоненциальное число пар ЭПР , в количестве кубитов, с которыми работает честный игрок), вступающие в сговор противники всегда могут заставить это выглядеть проверяющие, как если бы они находились на заявленной позиции. Однако этот результат не исключает возможности практических схем в модели ограниченной или шумной квантовой памяти (см. выше). Позже Бейги и Кениг увеличили количество пар EPR, необходимых для общей атаки на протоколы проверки позиции, до экспоненциального значения. Они также показали, что конкретный протокол остается защищенным от злоумышленников, которые контролируют только линейное количество пар EPR. [51] В [52] утверждается , что из-за связи времени и энергии возможность формальной безусловной проверки местоположения с помощью квантовых эффектов остается открытой проблемой. Стоит отметить, что исследование позиционной квантовой криптографии также связано с протоколом квантовой телепортации на основе портов, который представляет собой более продвинутую версию квантовой телепортации, где в качестве портов одновременно используются многие пары EPR.

Аппаратно-независимая квантовая криптография

Квантовый криптографический протокол является независимым от устройства, если его безопасность не зависит от уверенности в том, что используемые квантовые устройства правдивы. Таким образом, анализ безопасности такого протокола должен учитывать сценарии несовершенных или даже вредоносных устройств. [53] Майерс и Яо [54] предложили идею разработки квантовых протоколов с использованием «самотестируемого» квантового аппарата, внутренние операции которого могут быть однозначно определены их статистикой ввода-вывода. Впоследствии Роджер Колбек в своей диссертации [55] предложил использовать тесты Белла для проверки честности устройств. С тех пор было показано несколько проблем, допускающих безусловно безопасные и аппаратно-независимые протоколы, даже когда фактические устройства, выполняющие тест Белла, существенно «зашумлены», то есть далеки от идеальных. Эти проблемы включают квантовое распределение ключей , [56] [57] расширение случайности , [57] [58] и усиление случайности . [59]

В 2018 году теоретические исследования, проведенные Арноном-Фридманом и соавт. предполагают, что использование свойства энтропии, которое позже будет называться «Теоремой накопления энтропии (EAT)», расширением свойства асимптотического равнораспределения , может гарантировать безопасность независимого от устройства протокола. [60]

Постквантовая криптография

Квантовые компьютеры могут стать технологической реальностью; поэтому важно изучить криптографические схемы, используемые против противников, имеющих доступ к квантовому компьютеру. Исследование таких схем часто называют постквантовой криптографией . Потребность в постквантовой криптографии возникает из-за того, что многие популярные схемы шифрования и подписи (схемы на основе ECC и RSA ) можно взломать с помощью алгоритма Шора факторизации и вычисления дискретных логарифмов на квантовом компьютере. Примерами схем, которые, насколько нам известно, защищены от квантовых противников, являются схемы МакЭлиса и решетчатые схемы, а также большинство алгоритмов с симметричным ключом . [61] [62] Доступны обзоры постквантовой криптографии. [63] [64]

Также проводятся исследования того, как необходимо модифицировать существующие криптографические методы, чтобы справиться с квантовыми противниками. Например, при попытке разработать системы доказательства с нулевым разглашением , защищенные от квантовых противников, необходимо использовать новые методы: в классической ситуации анализ системы доказательства с нулевым разглашением обычно включает «перемотку», метод, который делает необходимо скопировать внутреннее состояние противника. В квантовой ситуации копирование состояния не всегда возможно ( теорема о запрете клонирования ); необходимо использовать вариант техники перемотки. [65]

Пост-квантовые алгоритмы также называют «квантово-устойчивыми», потому что – в отличие от квантового распределения ключей – неизвестно или доказуемо, что в будущем против них не будет потенциальных квантовых атак. Несмотря на то, что в будущем они могут оказаться уязвимыми для квантовых атак, АНБ объявляет о планах перехода на квантовоустойчивые алгоритмы. [66] Национальный институт стандартов и технологий ( NIST ) считает, что пришло время подумать о квантовобезопасных примитивах. [67]

Квантовая криптография за пределами распределения ключей

До сих пор квантовая криптография в основном ассоциировалась с разработкой протоколов распределения квантовых ключей. К сожалению, симметричные криптосистемы с ключами, которые были распределены посредством квантового распределения ключей, становятся неэффективными для больших сетей (много пользователей) из-за необходимости создания и манипулирования множеством парных секретных ключей (так называемая «система управления ключами»). проблема"). Более того, сам по себе этот дистрибутив не решает многие другие криптографические задачи и функции, имеющие жизненно важное значение в повседневной жизни. Трехэтапный протокол Кака был предложен как метод безопасной связи, который является полностью квантовым, в отличие от квантового распределения ключей, в котором криптографическое преобразование использует классические алгоритмы [68].

Помимо квантовой фиксации и забывчивой передачи (обсуждаемых выше), исследования квантовой криптографии за пределами распределения ключей вращаются вокруг квантовой аутентификации сообщений, [69] квантовых цифровых подписей, [70] [71] квантовых односторонних функций и шифрования с открытым ключом, [72] ] [73] [74] [75] [76] [77] [78] квантовая дактилоскопия [79] и аутентификация объекта [80] [81] [82] (например, см. Квантовое считывание PUF ) и т. д.

Протокол Y-00

HP Yuen представил Y-00 как поточный шифр, использующий квантовый шум, примерно в 2000 году и применил его для проекта высокоскоростной и высокопроизводительной квантовой криптографии Агентства оборонных исследований США ( DARPA ) в качестве альтернативы квантовому распределению ключей. [83] [84] В обзорном документе это хорошо резюмируется. [85]

В отличие от протоколов квантового распределения ключей, основной целью Y-00 является передача сообщения без подслушивания, а не распространение ключа. Следовательно, усиление конфиденциальности можно использовать только для распределения ключей. [86] В настоящее время исследования проводятся в основном в Японии и Китае: например, [87] [88]

Принцип работы следующий. Во-первых, законные пользователи делятся ключом и изменяют его на псевдослучайный поток ключей, используя один и тот же генератор псевдослучайных чисел. Затем законные стороны могут осуществлять традиционную оптическую связь на основе общего ключа, преобразуя его соответствующим образом. Для злоумышленников, у которых нет общего ключа, реализована модель канала прослушивания Аарона Д. Винера . Преимущество законных пользователей, основанное на общем ключе, называется «созданием преимущества». Цель состоит в том, чтобы добиться более длительной скрытой связи, чем теоретический предел безопасности ( одноразовый блокнот ), установленный Шенноном. [89] Источником шума в вышеупомянутом канале прослушивания является принцип неопределенности самого электромагнитного поля, который является теоретическим следствием теории лазера, описанной Роем Дж. Глаубером и ЕС Джорджем Сударшаном ( когерентное состояние ). [90] [91] [92] Таким образом, существующие технологии оптической связи достаточны для реализации, что описано в некоторых обзорах: например, [85] Кроме того, поскольку он использует обычный лазерный свет связи, он совместим с существующей инфраструктурой связи и может использоваться для высокоскоростная и дальняя связь и маршрутизация. [93] [94] [95] [96] [97]

Хотя основной целью протокола является передача сообщения, распределение ключей возможно путем простой замены сообщения ключом. [98] [86] Поскольку это шифр с симметричным ключом, он должен предварительно использовать общий начальный ключ; однако был также предложен метод первоначального ключевого соглашения. [99]

С другой стороны, на данный момент неясно, какая реализация реализует теоретико-информационную безопасность , и безопасность этого протокола уже давно является предметом споров. [100] [101] [102] [103] [104] [105] [106] [107] [108] [109]

Реализация на практике

Теоретически квантовая криптография кажется успешным поворотным моментом в секторе информационной безопасности . Однако ни один криптографический метод не может быть абсолютно безопасным. [110] На практике квантовая криптография безопасна лишь условно, в зависимости от набора ключей. [111]

Предположение об однофотонном источнике

Теоретическая основа распределения квантовых ключей предполагает использование однофотонных источников. Однако такие источники сложно сконструировать, и большинство реальных систем квантовой криптографии используют слабые лазерные источники в качестве среды для передачи информации. [111] Эти многофотонные источники открывают возможность для подслушивающих атак, в частности для атаки с расщеплением фотонов. [112] Подслушивающая Ева может разделить многофотонный источник и сохранить одну копию себе. [112] Остальные фотоны затем передаются Бобу без каких-либо измерений или отслеживания того, что Ева захватила копию данных. [112] Ученые полагают, что они могут обеспечить безопасность с помощью многофотонного источника, используя состояния-приманки, которые проверяют наличие подслушивающего устройства. [112] Однако в 2016 году ученые разработали почти идеальный источник одиночных фотонов и полагают, что он может быть разработан в ближайшем будущем. [113]

Допущение об одинаковой эффективности детектора

На практике в устройствах распределения квантовых ключей используются несколько однофотонных детекторов: один для Алисы, другой для Боба. [111] Эти фотодетекторы настроены на обнаружение входящего фотона в течение короткого окна длительностью всего несколько наносекунд. [114] Из-за производственных различий между двумя детекторами их соответствующие окна обнаружения будут сдвинуты на некоторую конечную величину. [114] Ева, подслушивающая, может воспользоваться неэффективностью этого детектора, измерив кубит Алисы и отправив Бобу «поддельное состояние». [114] Ева сначала улавливает фотон, посланный Алисой, а затем генерирует другой фотон для отправки Бобу. [114] Ева манипулирует фазой и временем появления «фальшивого» фотона таким образом, чтобы Боб не смог обнаружить присутствие подслушивающего устройства. [114] Единственный способ устранить эту уязвимость — устранить различия в эффективности фотодетекторов, что сложно сделать, учитывая конечные производственные допуски, которые вызывают различия в длине оптического пути, различия в длине проводов и другие дефекты. [114]

Устаревание распределения квантовых ключей от государственных учреждений

Из-за практических проблем с квантовым распределением ключей некоторые правительственные организации рекомендуют вместо этого использовать постквантовую криптографию (квантово-стойкую криптографию). Например, Агентство национальной безопасности США , [115] Агентство Европейского союза по кибербезопасности ЕС (ENISA), [116] Национальный центр кибербезопасности Великобритании , [117] Французский секретариат обороны и безопасности (ANSSI), [118] и немецкий Федеральное управление информационной безопасности (BSI) [119] рекомендует постквантовую криптографию.

Например, Агентство национальной безопасности США занимается пятью вопросами: [115]

  1. Квантовое распределение ключей — лишь частичное решение. QKD генерирует ключевой материал для алгоритма шифрования, обеспечивающего конфиденциальность. Такой ключевой материал также может использоваться в криптографических алгоритмах с симметричным ключом для обеспечения целостности и аутентификации, если имеется криптографическая гарантия того, что исходная передача QKD исходит от желаемого объекта (т. е. аутентификация источника объекта). QKD не предоставляет средств для аутентификации источника передачи QKD. Следовательно, аутентификация источника требует использования асимметричной криптографии или заранее размещенных ключей для обеспечения этой аутентификации. Более того, услуги конфиденциальности, предлагаемые QKD, могут быть предоставлены с помощью квантовоустойчивой криптографии, которая, как правило, дешевле и имеет более понятный профиль риска.
  2. Квантовое распределение ключей требует специального оборудования. QKD основан на физических свойствах, а его безопасность обеспечивается уникальной связью на физическом уровне. Для этого пользователям необходимо арендовать выделенные оптоволоконные соединения или физически управлять передатчиками в свободном пространстве. Его нельзя реализовать в программном обеспечении или как сетевую услугу, и его нельзя легко интегрировать в существующее сетевое оборудование. Поскольку QKD основан на аппаратном обеспечении, ему также не хватает гибкости для обновлений или исправлений безопасности.
  3. Квантовое распределение ключей увеличивает затраты на инфраструктуру и риски внутренних угроз. Сети QKD часто требуют использования доверенных ретрансляторов, что влечет за собой дополнительные затраты на безопасные объекты и дополнительный риск безопасности от внутренних угроз. Это исключает из рассмотрения многие варианты использования.
  4. Обеспечение и проверка квантового распределения ключей является серьезной проблемой. Фактическая безопасность, обеспечиваемая системой QKD, — это не теоретическая безусловная безопасность, основанная на законах физики (как это моделируется и часто предлагается), а скорее более ограниченная безопасность, которая может быть достигнута с помощью аппаратных средств и инженерных разработок. Однако допуск на ошибку в криптографической безопасности на много порядков меньше, чем в большинстве сценариев физической инженерии, что очень затрудняет проверку. Конкретное оборудование, используемое для выполнения QKD, может содержать уязвимости, что приводит к нескольким широко разрекламированным атакам на коммерческие системы QKD. [120]
  5. Квантовое распределение ключей увеличивает риск отказа в обслуживании. Чувствительность к перехватчику как теоретическая основа требований безопасности QKD также показывает, что отказ в обслуживании представляет собой значительный риск для QKD.

В ответ на проблему 1, описанную выше, во всем мире были предложены попытки доставить ключи аутентификации с использованием пост-квантовой криптографии (или квантово-устойчивой криптографии). С другой стороны, квантовостойкая криптография — это криптография, принадлежащая к классу вычислительной безопасности. В 2015 году уже был опубликован результат исследования о том, что «при реализации необходимо проявлять достаточную осторожность для достижения теоретико-информационной безопасности для системы в целом, когда используются ключи аутентификации, которые не являются теоретико-безопасными» (если ключ аутентификации не является информация теоретически безопасна, злоумышленник может взломать ее, чтобы взять под контроль все классические и квантовые коммуникации и передать их для запуска атаки «человек посередине» ). [121] Частная компания Ericsson также цитирует и указывает на вышеуказанные проблемы, а затем представляет отчет о том, что она, возможно, не сможет поддерживать модель безопасности с нулевым доверием , которая является недавней тенденцией в технологии сетевой безопасности. [122]

Рекомендации

  1. ^ Гизин, Николя; Риборди, Грегуар; Титтель, Вольфганг; Збинден, Хьюго (2002). «Квантовая криптография». Обзоры современной физики . 74 (1): 145–195. arXiv : Quant-ph/0101098 . Бибкод : 2002РвМП...74..145Г. doi : 10.1103/RevModPhys.74.145. S2CID  6979295.
  2. ^ abc Пирандола, С.; Андерсен, UL; Банки, Л.; Берта, М.; Бунандар, Д.; Колбек, Р.; Инглунд, Д.; Геринг, Т.; Лупо, К.; Оттавиани, К.; Перейра, JL; и другие. (2020). «Достижения квантовой криптографии». Достижения оптики и фотоники . 12 (4): 1012–1236. arXiv : 1906.01645 . Бибкод : 2020AdOP...12.1012P. дои : 10.1364/AOP.361502. S2CID  174799187.
  3. ^ аб Беннетт, Чарльз Х.; и другие. (1992). «Экспериментальная квантовая криптография». Журнал криптологии . 5 (1): 3–28. дои : 10.1007/bf00191318 . S2CID  206771454.
  4. ^ Визнер, Стивен (1983). «Сопряженное кодирование». Новости ACM SIGACT . 15 (1): 78–88. дои : 10.1145/1008908.1008920. S2CID  207155055.
  5. ^ Беннетт, Чарльз Х.; Брассар, Жиль (1984). «Квантовая криптография: распределение открытых ключей и подбрасывание монеты». Материалы Международной конференции IEEE по компьютерам, системам и обработке сигналов . 175 :8.
  6. ^ Экерт, А (1991). «Квантовая криптография, основанная на теореме Белла». Письма о физических отзывах . 67 (6): 661–663. Бибкод : 1991PhRvL..67..661E. doi : 10.1103/physrevlett.67.661. PMID  10044956. S2CID  27683254.
  7. ^ «Криптограмма: 15 декабря 2003 г. - Шнайер о безопасности». www.schneier.com . Проверено 13 октября 2020 г.
  8. ^ abcde Стебила, Дуглас; Моска, Мишель; Люткенхаус, Норберт (2010), Сергиенко, Александр; Паскацио, Саверио; Виллорези, Паоло (ред.), «Обоснование квантового распределения ключей», Квантовая коммуникация и квантовые сети , Берлин, Гейдельберг: Springer Berlin Heidelberg, vol. 36, стр. 283–296, arXiv : 0902.2839 , Bibcode : 2010qcqn.book..283S, doi : 10.1007/978-3-642-11731-2_35, ISBN 978-3-642-11730-5, S2CID  457259 , получено 13 октября 2020 г.
  9. ^ "Быстрая статистика". www.cdc.gov . 4 августа 2020 г. Проверено 13 октября 2020 г.
  10. ^ Права (OCR), Гражданское управление (7 мая 2008 г.). "Конфиденциальность". HHS.gov . Проверено 13 октября 2020 г.
  11. ^ Аб Ло, Хой-Квонг; Чау, Х.Ф. (1999). «Безусловная безопасность распределения квантовых ключей на сколь угодно большие расстояния» (PDF) . Наука . 283 (5410): 2050–2056. arXiv : Quant-ph/9803006 . Бибкод : 1999Sci...283.2050L. дои : 10.1126/science.283.5410.2050. JSTOR  2896688. PMID  10092221. S2CID  2948183.
  12. ^ Пирандола, С.; Гарсиа-Патрон, Р.; Браунштейн, СЛ; Ллойд, С. (2009). «Прямая и обратная пропускная способность секретного ключа квантового канала». Письма о физических отзывах . 102 (5): 050503. arXiv : 0809.3273 . Бибкод : 2009PhRvL.102e0503P. doi : 10.1103/PhysRevLett.102.050503. PMID  19257494. S2CID  665165.
  13. ^ Такеока, Масахиро; Гуха, Сайкат; Уайльд, Марк М. (2014). «Фундаментальный компромисс между потерями скорости для оптического квантового распределения ключей». Природные коммуникации . 5 : 5235. arXiv : 1504.06390 . Бибкод : 2014NatCo...5.5235T. doi : 10.1038/ncomms6235. PMID  25341406. S2CID  20580923.
  14. ^ аб Пирандола, С.; Лауренса, Р.; Оттавиани, К.; Банки, Л. (2017). «Фундаментальные ограничения квантовой связи без повторителей». Природные коммуникации . 8 : 15043. arXiv : 1510.08863 . Бибкод : 2017NatCo...815043P. doi : 10.1038/ncomms15043. ПМК 5414096 . ПМИД  28443624. 
  15. ^ Аб Шилдс, AJ; Дайнс, Дж. Ф.; Юань, ZL; Лукамарини, М. (май 2018 г.). «Преодоление предела скорости и расстояния квантового распределения ключей без квантовых повторителей». Природа . 557 (7705): 400–403. arXiv : 1811.06826 . Бибкод :2018Natur.557..400L. дои : 10.1038/s41586-018-0066-6. ISSN  1476-4687. PMID  29720656. S2CID  21698666.
  16. ^ Пирандола, С. (2019). «Сквозные мощности квантовой сети связи». Физика связи . 2 (1): 51. arXiv : 1601.00966 . Бибкод : 2019CmPhy...2...51P. дои : 10.1038/s42005-019-0147-3. S2CID  170078611.
  17. ^ Миндер, Мариэлла; Питталуга, Мирко; Робертс, Джордж; Лукамарини, Марко; Дайнс, Джеймс Ф.; Юань, Чжилян; Шилдс, Эндрю Дж. (февраль 2019 г.). «Экспериментальное распределение квантовых ключей за пределами емкости секретного ключа без повторителя». Природная фотоника . 13 (5): 334–338. arXiv : 1910.01951 . Бибкод : 2019NaPho..13..334M. дои : 10.1038/s41566-019-0377-7. S2CID  126717712.
  18. ^ Ван, Сян-Бин; Ю, Цзун-Вэнь; Ху, Сяо-Лун (2018). «Двойное квантовое распределение ключей с большой ошибкой несовпадения». Физический обзор А. 98 (6): 062323. arXiv : 1805.09222 . Бибкод : 2018PhRvA..98f2323W. doi : 10.1103/PhysRevA.98.062323. S2CID  51204011.
  19. ^ Сюй, Хай; Ю, Цзун-Вэнь; Ху, Сяо-Лун; Ван, Сян-Бин (2020). «Улучшенные результаты для распределения квантовых ключей с двойным полем «отправка или неотправка»: преодоление абсолютного предела скорости передачи ключей без повторителя». Физический обзор А. 101 : 042330. arXiv : 1904.06331 . doi : 10.1103/PhysRevA.101.042330. S2CID  219003338.
  20. ^ Кюи, К.; Инь, А.-К.; Ван, Р.; Чен, В.; Ван, С.; Го, Г.-К.; Хан, З.-Ф. (2019). «Двойное квантовое распределение ключей без фазового постселекции». Применена физическая проверка . 11 (3): 034053. arXiv : 1807.02334 . Бибкод : 2019PhRvP..11c4053C. doi : 10.1103/PhysRevApplied.11.034053. S2CID  53624575.
  21. ^ abc Майерс, Доминик (1997). «Безусловно безопасное обязательство по квантовым битам невозможно». Письма о физических отзывах . 78 (17): 3414–3417. arXiv : Quant-ph/9605044 . Бибкод : 1997PhRvL..78.3414M. CiteSeerX 10.1.1.251.5550 . doi : 10.1103/PhysRevLett.78.3414. S2CID  14522232. 
  22. ^ Ло, Х.-К.; Чау, Х. (1997). «Действительно ли возможно использование квантовых битов?». Письма о физических отзывах . 78 (17): 3410. arXiv : quant-ph/9603004 . Бибкод : 1997PhRvL..78.3410L. doi : 10.1103/PhysRevLett.78.3410. S2CID  3264257.
  23. ^ Ло, Х.-К.; Чау, Х. (1998). «Почему обязательство квантового бита и идеальное подбрасывание квантовой монеты невозможны». Физика D: Нелинейные явления . 120 (1–2): 177–187. arXiv : Quant-ph/9711065 . Бибкод : 1998PhyD..120..177L. дои : 10.1016/S0167-2789(98)00053-0. S2CID  14378275.
  24. ^ Ло, Х.-К. (1997). «Небезопасность квантовобезопасных вычислений». Физический обзор А. 56 (2): 1154–1162. arXiv : Quant-ph/9611031 . Бибкод : 1997PhRvA..56.1154L. doi :10.1103/PhysRevA.56.1154. S2CID  17813922.
  25. ^ Кент, А. (1999). «Безусловно безопасное битовое обязательство». Письма о физических отзывах . 83 (7): 1447–1450. arXiv : Quant-ph/9810068 . Бибкод : 1999PhRvL..83.1447K. doi : 10.1103/PhysRevLett.83.1447. S2CID  8823466.
  26. ^ Кент, А. (1999). «Подбрасывание монеты строго слабее, чем обязательство бита». Письма о физических отзывах . 83 (25): 5382–5384. arXiv : Quant-ph/9810067 . Бибкод : 1999PhRvL..83.5382K. doi : 10.1103/PhysRevLett.83.5382. S2CID  16764407.
  27. Стюарт Мейсон Дамборт (26 марта 2014 г.). «Орел или решка: экспериментальная квантовая криптография подбрасывания монет работает лучше, чем классические протоколы». Физика.орг . Архивировано из оригинала 25 марта 2017 года.
  28. ^ Дошер, К.; Кейл, М. (2002). «Введение в квантовое подбрасывание монеты». arXiv : Quant-ph/0206088 .
  29. ^ Паппа, Анна; Жуге, Поль; Лоусон, Томас; Шайу, Андре; Легре, Матье; Тринклер, Патрик; Керенидис, Иорданис; Диаманти, Элени (24 апреля 2014 г.). «Экспериментальное подбрасывание квантовой монеты по принципу Plug and Play». Природные коммуникации . 5 (1): 3717. arXiv : 1306.3368 . Бибкод : 2014NatCo...5.3717P. doi : 10.1038/ncomms4717. ISSN  2041-1723. PMID  24758868. S2CID  205325088.
  30. Амбайнис, Андрис (1 марта 2004 г.). «Новый протокол и нижние границы подбрасывания квантовой монеты». Журнал компьютерных и системных наук . 68 (2): 398–416. arXiv : Quant-ph/0204022 . дои : 10.1016/j.jcss.2003.07.010. ISSN  0022-0000.
  31. ^ «Орел или решка: экспериментальная квантовая криптография подбрасывания монет работает лучше, чем классические протоколы» . физ.орг . Проверено 18 октября 2020 г.
  32. ^ abcd Беннетт, Чарльз Х.; Брассар, Жиль (4 декабря 2014 г.). «Квантовая криптография: распределение открытых ключей и подбрасывание монеты». Теоретическая информатика . 560 : 7–11. arXiv : 2003.06557 . дои : 10.1016/j.tcs.2014.05.025 . ISSN  0304-3975. S2CID  27022972.
  33. ^ аб Крепо, Клод; Джо, Килиан (1988). Достижение незаметной передачи с использованием ослабленных предположений о безопасности (расширенное резюме) . FOCS 1988. IEEE. стр. 42–52.
  34. ^ Аб Килиан, Джо (1988). Основание криптографии на невнимательной передаче. СТОК 1988. ACM. стр. 20–31. Архивировано из оригинала 24 декабря 2004 года.
  35. ^ Брассар, Жиль; Клод, Крепо; Джожа, Ричард; Ланглуа, Дени (1993). Схема обязательств по квантовым битам, доказуемо нерушимая для обеих сторон . FOCS 1993. IEEE. стр. 362–371.
  36. ^ Лунги, Т.; Каньевски Дж.; Бюссьер, Ф.; Хоулманн, Р.; Томамичел, М.; Кент, А.; Гисин, Н.; Венер, С.; Збинден, Х. (2013). «Экспериментальное использование битов на основе квантовой связи и специальной теории относительности». Письма о физических отзывах . 111 (18): 180504. arXiv : 1306.4801 . Бибкод : 2013PhRvL.111r0504L. doi : 10.1103/PhysRevLett.111.180504. PMID  24237497. S2CID  15916727.
  37. ^ Ван, Мин-Цян; Ван, Сюэ; Чжан, Тао (2018). «Безусловно безопасная многосторонняя схема квантовых обязательств». Квантовая обработка информации . 17 (2): 31. Бибкод : 2018QuIP...17...31W. дои : 10.1007/s11128-017-1804-7. ISSN  1570-0755. S2CID  3603337.
  38. ^ Николопулос, Георгиос М. (2019). «Оптическая схема криптографических обязательств с физическими неклонируемыми ключами». Оптика Экспресс . 27 (20): 29367–29379. arXiv : 1909.13094 . Бибкод : 2019OExpr..2729367N. дои : 10.1364/OE.27.029367. PMID  31684673. S2CID  203593129 . Проверено 13 ноября 2020 г.
  39. ^ аб Дамгорд, Иван; Фер, Серж; Сальвей, Луи; Шаффнер, Кристиан (2005). Криптография в модели ограниченной квантовой памяти . ФОКС 2005. IEEE. стр. 449–458. arXiv : Quant-ph/0508222 .
  40. ^ Венер, Стефани; Шаффнер, Кристиан; Терхал, Барбара М. (2008). «Криптография из шумного хранилища». Письма о физических отзывах . 100 (22): 220502. arXiv : 0711.2895 . Бибкод : 2008PhRvL.100v0502W. doi : 10.1103/PhysRevLett.100.220502. PMID  18643410. S2CID  2974264.
  41. ^ Дошер, К.; Кейл, М.; Вулшлегер, Юрг (2009). «Безусловная безопасность от шумного квантового хранилища». Транзакции IEEE по теории информации . 58 (3): 1962–1984. arXiv : 0906.1030 . дои : 10.1109/TIT.2011.2177772. S2CID  12500084.
  42. ^ Кашен, Кристиан; Крепо, Клод; Марсиль, Жюльен (1998). Забывчивая передача с помощью получателя, ограниченного памятью . FOCS 1998. IEEE. стр. 493–502.
  43. ^ Дзембовский, Стефан; Ули, Маурер (2004). О создании исходного ключа в модели с ограниченным хранилищем (PDF) . Еврокрипт 2004. LNCS. Том. 3027. Спрингер. стр. 126–137. Архивировано (PDF) из оригинала 11 марта 2020 г. Проверено 11 марта 2020 г.
  44. ^ Чандран, Нишант; Мориарти, Райан; Гоял, Випул; Островский, Рафаил (2009). «Позиционная криптография». Архив электронной печати по криптологии .
  45. ^ США 7075438, выдан 11 июля 2006 г. 
  46. ^ Малани, Роберт (2010). «Местозависимая связь с использованием квантовой запутанности». Физический обзор А. 81 (4): 042319. arXiv : 1003.0949 . Бибкод : 2010PhRvA..81d2319M. doi : 10.1103/PhysRevA.81.042319. S2CID  118704298.
  47. ^ Малани, Роберт (2010). «Квантовая проверка местоположения в зашумленных каналах». 2010 Глобальная телекоммуникационная конференция IEEE GLOBECOM 2010 . Глобальная телекоммуникационная конференция IEEE GLOBECOM 2010. стр. 1–6. arXiv : 1004.4689 . дои : 10.1109/GLOCOM.2010.5684009. ISBN 978-1-4244-5636-9.
  48. ^ Дошер, К.; Кейл, М.; Спиллер, Тимоти П. (2011). «Квантовая маркировка: аутентификация местоположения с помощью квантовой информации и ограничений релятивистской сигнализации». Физический обзор А. 84 (1): 012326. arXiv : 1008.2147 . Бибкод : 2011PhRvA..84a2326K. doi :10.1103/PhysRevA.84.012326. S2CID  1042757.
  49. ^ Лау, Хой-Кван; Ло, Хой-Квонг (2010). «Небезопасность протоколов квантовой криптографии на основе позиции от атак с перепутыванием». Физический обзор А. 83 (1): 012322. arXiv : 1009.2256 . Бибкод : 2011PhRvA..83a2322L. doi : 10.1103/PhysRevA.83.012322. S2CID  17022643.
  50. ^ Дошер, К.; Кейл, М.; Фер, Серж; Геллес, Ран; Гоял, Випул; Островский, Рафаил; Шаффнер, Кристиан (2010). «Позиционная квантовая криптография: невозможность и конструкции». SIAM Journal по вычислительной технике . 43 : 150–178. arXiv : 1009.2490 . Бибкод : 2010arXiv1009.2490B. дои : 10.1137/130913687. S2CID  220613220.
  51. ^ Бейги, Салман; Кениг, Роберт (2011). «Упрощенные мгновенные нелокальные квантовые вычисления с применением к позиционной криптографии». Новый журнал физики . 13 (9): 093036. arXiv : 1101.1065 . Бибкод : 2011NJPh...13i3036B. дои : 10.1088/1367-2630/13/9/093036. S2CID  27648088.
  52. ^ Малани, Роберт (2016). «Квантовый автомобиль». Письма IEEE о беспроводной связи . 5 (6): 624–627. arXiv : 1512.03521 . дои : 10.1109/LWC.2016.2607740. S2CID  2483729.
  53. ^ Раданлиев, Петар (октябрь 2023 г.). «Генераторный искусственный интеллект/НЛП Red Teaming, протокол квантовой криптографии BB84 и одобренные NIST квантово-устойчивые криптографические алгоритмы». Оксфордский университет . arXiv : 2310.04425 .
  54. ^ Майерс, Доминик; Яо, Эндрю К.-К. (1998). Квантовая криптография с несовершенной аппаратурой . Симпозиум IEEE по основам информатики (FOCS). arXiv : Quant-ph/9809039 . Бибкод : 1998quant.ph..9039M.
  55. ^ Колбек, Роджер (декабрь 2006 г.). «Глава 5». Квантовые и релятивистские протоколы для безопасных многосторонних вычислений (Диссертация). Кембриджский университет. arXiv : 0911.3814 .
  56. ^ Вазирани, Умеш; Видик, Томас (2014). «Полностью независимое от устройства распределение квантовых ключей». Письма о физических отзывах . 113 (2): 140501. arXiv : 1403.3830 . Бибкод : 2014PhRvL.113b0501A. doi : 10.1103/PhysRevLett.113.020501. PMID  25062151. S2CID  23057977.
  57. ^ аб Миллер, Карл; Ши, Яоюнь (2014). «Надежные протоколы для безопасного расширения случайности и распространения ключей с использованием ненадежных квантовых устройств». Журнал АКМ . 63 (4): 33. arXiv : 1402.0489 . Бибкод : 2014arXiv1402.0489M.
  58. ^ Миллер, Карл; Ши, Яоюнь (2017). «Универсальная безопасность расширения случайности». SIAM Journal по вычислительной технике . 46 (4): 1304–1335. arXiv : 1411.6608 . дои : 10.1137/15M1044333. S2CID  6792482.
  59. ^ Чунг, Кай-Мин; Ши, Яоюнь; Ву, Сяоди (2014). «Извлекатели физической случайности: генерация случайных чисел с минимальными предположениями». arXiv : 1402.4797 [квант-ph].
  60. ^ Арнон-Фридман, Ротем; Дюпюи, Фредерик; Фавзи, Омар; Реннер, Ренато ; Видик, Томас (31 января 2018 г.). «Практическая аппаратно-независимая квантовая криптография посредством накопления энтропии». Природные коммуникации . 9 (1): 459. Бибкод : 2018NatCo...9..459A. дои : 10.1038/s41467-017-02307-4. ISSN  2041-1723. ПМЦ 5792631 . ПМИД  29386507. 
  61. ^ Дэниел Дж. Бернштейн (2009). «Введение в постквантовую криптографию» (PDF) . Постквантовая криптография .
  62. Дэниел Дж. Бернштейн (17 мая 2009 г.). Анализ затрат на коллизии хешей: сделают ли квантовые компьютеры SHARCS устаревшими? (PDF) (Отчет). Архивировано (PDF) из оригинала 25 августа 2017 года.
  63. ^ «Постквантовая криптография». Архивировано из оригинала 17 июля 2011 года . Проверено 29 августа 2010 г.
  64. ^ Бернштейн, Дэниел Дж.; Бухманн, Йоханнес; Дамен, Эрик, ред. (2009). Постквантовая криптография . Спрингер. ISBN 978-3-540-88701-0.
  65. ^ Уотрус, Джон (2009). «Нулевое знание против квантовых атак». SIAM Journal по вычислительной технике . 39 (1): 25–58. arXiv : Quant-ph/0511020 . CiteSeerX 10.1.1.190.2789 . дои : 10.1137/060670997. 
  66. ^ "Криптография NSA Suite B" . Архивировано из оригинала 1 января 2016 года . Проверено 29 декабря 2015 г.
  67. ^ «Квантовоустойчивый обмен открытыми ключами: суперсингулярный изогенный протокол Диффи-Хеллмана - блог CoinFabrik» . blog.coinfabrik.com . 13 октября 2016 года. Архивировано из оригинала 2 февраля 2017 года . Проверено 24 января 2017 г.
  68. ^ Таплиял, К.; Патак, А. (2018). «Пересмотр трехэтапного протокола безопасной квантовой связи Кака». Квантовая обработка информации . 17 (9): 229. arXiv : 1803.02157 . Бибкод : 2018QuIP...17..229T. doi : 10.1007/s11128-018-2001-z. S2CID  52009384.
  69. ^ Николопулос, Георгиос М.; Фишлин, Марк (2020). «Информационно-безопасная аутентификация источника данных с использованием квантовых и классических ресурсов». Криптография . 4 (4): 31. arXiv : 2011.06849 . дои : 10.3390/cryptography4040031 . S2CID  226956062.
  70. ^ Дошер, К.; Кейл, М. (2001). «Квантовые цифровые подписи». arXiv : Quant-ph/0105032 .
  71. ^ Коллинз, Роберт Дж.; Дональдсон, Росс Дж.; Дунько, Ведран; Уоллден, Петрос; Кларк, Патрик Дж.; Андерссон, Эрика; Джефферс, Джон; Буллер, Джеральд С. (2014). «Реализация квантовых цифровых подписей без необходимости квантовой памяти». Письма о физических отзывах . 113 (4): 040502. arXiv : 1311.5760 . Бибкод : 2014PhRvL.113d0502C. doi : 10.1103/PhysRevLett.113.040502. PMID  25105603. S2CID  23925266.
  72. ^ Кавачи, Акинори; Косиба, Такеши; Нисимура, Харумичи; Ямаками, Томоюки (2011). «Вычислительная неотличимость квантовых состояний и ее криптографическое применение». Журнал криптологии . 25 (3): 528–555. arXiv : Quant-ph/0403069 . CiteSeerX 10.1.1.251.6055 . дои : 10.1007/s00145-011-9103-4. S2CID  6340239. 
  73. ^ Кабашима, Ёсиюки; Мураяма, Тацуто; Саад, Дэвид (2000). «Криптографические свойства спиновых систем Изинга». Письма о физических отзывах . 84 (9): 2030–2033. arXiv : cond-mat/0002129 . Бибкод : 2000PhRvL..84.2030K. doi :10.1103/PhysRevLett.84.2030. PMID  11017688. S2CID  12883829.
  74. ^ Николопулос, Георгиос М. (2008). «Применение вращений одного кубита в квантовой криптографии с открытым ключом». Физический обзор А. 77 (3): 032348. arXiv : 0801.2840 . Бибкод : 2008PhRvA..77c2348N. doi :10.1103/PhysRevA.77.032348. S2CID  119097757.
  75. ^ Николопулос, Георгиос М.; Иоанну, Лоуренс М. (2009). «Детерминированное квантовое шифрование с открытым ключом: атака прямого поиска и рандомизация». Физический обзор А. 79 (4): 042327. arXiv : 0903.4744 . Бибкод : 2009PhRvA..79d2327N. doi : 10.1103/PhysRevA.79.042327. S2CID  118425296.
  76. ^ Зайфарт, Ю.; Николопулос, генеральный менеджер; Альбер, Г. (2012). «Симметрии и безопасность квантового шифрования с открытым ключом, основанного на ротации одного кубита». Физический обзор А. 85 (2): 022342. arXiv : 1202.3921 . Бибкод : 2012PhRvA..85b2342S. doi : 10.1103/PhysRevA.85.022342. S2CID  59467718.
  77. ^ Николопулос, Георгиос М.; Брум, Томас (11 июля 2016 г.). «Задачи решений и функций, основанные на выборке бозонов». Физический обзор А. 94 (1): 012315. arXiv : 1607.02987 . Бибкод : 2016PhRvA..94a2315N. doi :10.1103/PhysRevA.94.012315. S2CID  5311008.
  78. Николопулос, Георгиос М. (13 июля 2019 г.). «Криптографическая односторонняя функция, основанная на выборке бозонов». Квантовая обработка информации . 18 (8): 259. arXiv : 1907.01788 . Бибкод : 2019QuIP...18..259N. дои : 10.1007/s11128-019-2372-9. ISSN  1573-1332. S2CID  195791867.
  79. ^ Бурман, Гарри; Клив, Ричард; Уотрус, Джон; Де Вольф, Рональд (2001). «Квантовый фингерпринтинг». Письма о физических отзывах . 87 (16): 167902. arXiv : quant-ph/0102001 . Бибкод : 2001PhRvL..87p7902B. doi : 10.1103/PhysRevLett.87.167902. PMID  11690244. S2CID  1096490.
  80. ^ Николопулос, Георгиос М.; Диаманти, Элени (10 апреля 2017 г.). «Квантовая аутентификация с непрерывными переменными физических неклонируемых ключей». Научные отчеты . 7 (1): 46047. arXiv : 1704.06146 . Бибкод : 2017NatSR...746047N. дои : 10.1038/srep46047. ISSN  2045-2322. ПМЦ 5385567 . ПМИД  28393853. 
  81. Николопулос, Георгиос М. (22 января 2018 г.). «Квантовая аутентификация с непрерывными переменными физических неклонируемых ключей: защита от атаки эмуляции». Физический обзор А. 97 (1): 012324. arXiv : 1801.07434 . Бибкод : 2018PhRvA..97a2324N. doi : 10.1103/PhysRevA.97.012324. S2CID  119486945.
  82. ^ Фладунг, Лукас; Николопулос, Георгиос М.; Альбер, Гернот; Фишлин, Марк (2019). «Атаки эмуляции перехвата-повторной отправки против протокола квантовой аутентификации с непрерывной переменной с физическими неклонируемыми ключами». Криптография . 3 (4): 25. arXiv : 1910.11579 . дои : 10.3390/cryptography3040025 . S2CID  204901444.
  83. ^ Барбоза, Джеральдо А.; Корндорф, Эрик; Кумар, Прем; Юэнь, Гораций П. (2 июня 2003 г.). «Безопасная связь с использованием мезоскопических когерентных состояний». Письма о физических отзывах . 90 (22): 227901. arXiv : quant-ph/0212018 . Бибкод : 2003PhRvL..90v7901B. doi : 10.1103/PhysRevLett.90.227901. PMID  12857341. S2CID  12720233.
  84. ^ Юэнь, HP (31 июля 2009 г.). Физическая криптография: новый подход к генерации ключей и прямому шифрованию (PDF) (кандидатская диссертация).
  85. ^ аб Верма, Прамод К.; Эль-Рифаи, Майсаа; Чан, К.В. Клиффорд (19 августа 2018 г.). «Безопасная связь на основе квантового шума». Многофотонная квантовая безопасная связь . Сигналы и коммуникационные технологии. стр. 85–95. дои : 10.1007/978-981-10-8618-2_4. ISBN 978-981-10-8617-5. S2CID  56788374.
  86. ↑ Аб Такехиса, Ивакоши (27 января 2020 г.). «Анализ протокола Y00 при квантовом обобщении быстрой корреляционной атаки: на пути к теоретико-информационной безопасности». Доступ IEEE . 8 : 23417–23426. arXiv : 2001.11150 . Бибкод : 2020IEEE...823417I. doi : 10.1109/ACCESS.2020.2969455. S2CID  210966407.
  87. ^ Хирота, Осаму; и другие. (1 сентября 2010 г.). «Обход предела криптографии Шеннона». Отдел новостей SPIE . дои : 10.1117/2.1201008.003069.
  88. ^ Цюань, Ю; и другие. (30 марта 2020 г.). «Безопасная передача IMDD со скоростью 100 Гбит / с на расстояние 100 км SSMF, обеспечиваемая потоковым шифром квантового шума и разреженным эквалайзером RLS-Volterra». Доступ IEEE . 8 : 63585–63594. Бибкод : 2020IEEA...863585Y. дои : 10.1109/ACCESS.2020.2984330 . S2CID  215816092.
  89. ^ Винер, AD (октябрь 1975 г.). «Прослушка-канал». Технический журнал Bell System . 54 (8): 1355–1387. doi :10.1002/j.1538-7305.1975.tb02040.x. S2CID  21512925.
  90. Рой Дж., Глаубер (15 июня 1963 г.). «Квантовая теория оптической когерентности». Физический обзор . 130 (6): 2529–2539. Бибкод : 1963PhRv..130.2529G. дои : 10.1103/PhysRev.130.2529 .
  91. ^ ЭКГ, Сударшан (1 апреля 1963 г.). «Эквивалентность квазиклассических и квантовомеханических описаний статистических световых лучей». Письма о физических отзывах . 10 (7): 277–279. Бибкод : 1963PhRvL..10..277S. doi :10.1103/PhysRevLett.10.277.
  92. ^ Стены, DF; Милберн, Дж.Дж. (январь 2008 г.). Квантовая оптика. Спрингер. ISBN 9783540285731.
  93. ^ Хирота, Осаму; и другие. (26 августа 2005 г.). «Квантовый поточный шифр по протоколу Yuen 2000: разработка и экспериментирование с использованием схемы модуляции интенсивности». Физический обзор А. 72 (2): 022335. arXiv : quant-ph/0507043 . Бибкод : 2005PhRvA..72b2335H. doi :10.1103/PhysRevA.72.022335. S2CID  118937168.
  94. ^ Ёсида, Масато; и другие. (15 февраля 2021 г.). «Когерентная передача с квантово-шумовым потоковым шифром QAM 10 Тбит/с на расстояние более 160 км». Журнал световых технологий . 39 (4): 1056–1063. Бибкод : 2021JLwT...39.1056Y. дои : 10.1109/JLT.2020.3016693. S2CID  225383926.
  95. ^ Футами, Фумио; и другие. (март 2018 г.). «Динамическая маршрутизация квантового потокового шифра Y-00 в развернутой на месте сети динамического оптического пути». Конференция по оптоволоконной связи . стр. Ту2Г.5. doi :10.1364/OFC.2018.Tu2G.5. ISBN 978-1-943580-38-5. S2CID  49185664.
  96. ^ Танидзава, Кен; Футами, Фумио (2020). Одноканальная передача данных с повышенной безопасностью на расстояние 10 118 км со скоростью 40 Гбит/с с использованием квантового потокового шифрования PSK Y-00. стр. 1–4. doi : 10.1109/ECOC48923.2020.9333304. ISBN 978-1-7281-7361-0. S2CID  231852229.
  97. ^ Танидзава, Кен; Футами, Фумио (апрель 2020 г.). «Система когерентного радио-по оптоволоконному шифрованию с использованием квантового шума для защищенных оптических и микроволновых беспроводных линий связи». Журнал световых технологий . 38 (16): 4244–4249. Бибкод : 2020JLwT...38.4244T. дои : 10.1109/JLT.2020.2987213 . S2CID  219095947.
  98. ^ Юэнь, Гораций П. (ноябрь 2009 г.). «Поколение ключей: основы и новый квантовый подход». Журнал IEEE по избранным темам квантовой электроники . 15 (6): 1630–1645. arXiv : 0906.5241 . Бибкод : 2009IJSTQ..15.1630Y. дои : 10.1109/JSTQE.2009.2025698. S2CID  867791.
  99. Ивакоши, Такехиса (5 июня 2019 г.). «Предотвращение фальсификации сообщений с помощью малой квантовой маски в четвертичном протоколе Y00». Доступ IEEE . 7 : 74482–74489. Бибкод : 2019IEEA...774482I. дои : 10.1109/ACCESS.2019.2921023 . S2CID  195225370.
  100. ^ Нисиока, Цуёси; и другие. (21 июня 2004 г.). «Какую безопасность обеспечивает нам протокол Y-00?». Буквы по физике А. 327 (1): 28–32. arXiv : Quant-ph/0310168 . Бибкод : 2004PhLA..327...28N. doi :10.1016/j.physleta.2004.04.083. S2CID  119069709.
  101. ^ Юэнь, Гораций П.; и другие. (10 октября 2005 г.). «Прокомментируйте: «Какую безопасность обеспечивает нам протокол Y-00?» [Phys. Lett. A 327 (2004) 28]». Буквы по физике А. 346 (1–3): 1–6. Бибкод : 2005PhLA..346....1Y. doi :10.1016/j.physleta.2005.08.022.
  102. ^ Нисиока, Цуёси; и другие. (10 октября 2005 г.). «Ответ на: «Комментарий: «Какую безопасность обеспечивает нам протокол Y-00?»» [Phys. Lett. A 346 (2005) 1]». Буквы по физике А. 346 (1–3). Бибкод : 2005PhLA..346....1Y. doi :10.1016/j.physleta.2005.08.022.
  103. ^ Наир, Ранджит; и другие. (13 сентября 2005 г.). "Ответить на:'Ответить на:"Комментарий:"Какую степень безопасности обеспечивает нам протокол Y-00?""'". Электронные распечатки arXiv . arXiv : quant-ph/0509092 . Бибкод : 2005quant.ph..9092N.
  104. ^ Доннет, Стефан; и другие. (21 августа 2006 г.). «Безопасность Y-00 при гетеродинных измерениях и быстрой корреляционной атаке». Буквы по физике А. 356 (6): 406–410. Бибкод : 2006PhLA..356..406D. doi :10.1016/j.physleta.2006.04.002.
  105. ^ Юэнь, Гораций П.; и другие. (23 апреля 2007 г.). «О безопасности Y-00 при быстрой корреляции и других атаках на ключ». Буквы по физике А. 364 (2): 112–116. arXiv : Quant-ph/0608028 . Бибкод : 2007PhLA..364..112Y. doi :10.1016/j.physleta.2006.12.033. S2CID  7824483.
  106. Михалевич, Миодраг Дж. (24 мая 2007 г.). «Общая структура безопасного протокола квантового шифрования Yuen 2000, использующего подход прослушивания каналов». Физический обзор А. 75 (5): 052334. Бибкод : 2007PhRvA..75e2334M. doi :10.1103/PhysRevA.75.052334.
  107. ^ Симидзу, Тецуя; и другие. (27 марта 2008 г.). «Выполнение сопоставления ключей в квантовом поточном шифре по протоколу Yuen 2000». Физический обзор А. 77 (3): 034305. Бибкод : 2008PhRvA..77c4305S. doi : 10.1103/PhysRevA.77.034305.
  108. ^ Трегубов, П.А.; Трушечкин А.С. (21 ноября 2020 г.). «Квантовые потоковые шифры: невозможность безусловно сильных алгоритмов». Журнал математических наук . 252 : 90–103. doi : 10.1007/s10958-020-05144-x. S2CID  254745640.
  109. Ивакоши, Такехиса (февраль 2021 г.). «Оценка безопасности протокола Y00 на основе временной симметрии при квантовых коллективных атаках с использованием известного открытого текста». Доступ IEEE . 9 : 31608–31617. Бибкод : 2021IEEA...931608I. дои : 10.1109/ACCESS.2021.3056494 . S2CID  232072394.
  110. ^ Скарани, Валерио; Бехманн-Пасквинуччи, Хелле; Серф, Николас Дж.; Душек, Милослав; Люткенхаус, Норберт; Пеев, Момчил (29 сентября 2009 г.). «Безопасность практического квантового распределения ключей». Обзоры современной физики . 81 (3): 1301–1350. arXiv : 0802.4155 . Бибкод : 2009RvMP...81.1301S. doi : 10.1103/revmodphys.81.1301. ISSN  0034-6861. S2CID  15873250.
  111. ^ abc Чжао, И (2009). Квантовая криптография в реальных приложениях: предположения и безопасность (PDF) (Диссертация). Бибкод : 2009PhDT........94Z. S2CID  118227839. Архивировано из оригинала (PDF) 28 февраля 2020 года.
  112. ^ abcd Ло, Хой-Квонг (22 октября 2005 г.). «Распределение квантовых ключей состояния-приманки». Квантовая информатика . МИРОВАЯ НАУЧНАЯ. 94 (23): 143. arXiv : quant-ph/0411004 . Бибкод : 2005qis..conf..143L. дои : 10.1142/9789812701633_0013. ISBN 978-981-256-460-3. ПМИД  16090452.
  113. ^ Реймер, Майкл Э.; Шер, Кэтрин (ноябрь 2019 г.). «В поисках идеального источника одиночных фотонов». Природная фотоника . 13 (11): 734–736. Бибкод : 2019NaPho..13..734R. дои : 10.1038/s41566-019-0544-x. ISSN  1749-4893. S2CID  209939102.
  114. ^ abcdef Макаров, Вадим; Анисимов Андрей; Скаар, Йоханнес (31 июля 2008 г.). «Ошибка: Влияние несоответствия эффективности детектора на безопасность квантовых криптосистем [Phys. Rev. A74, 022313 (2006)]». Физический обзор А. 78 (1): 019905. Бибкод : 2008PhRvA..78a9905M. дои : 10.1103/physreva.78.019905 . ISSN  1050-2947.
  115. ^ ab «Квантовое распределение ключей (QKD) и квантовая криптография (QC)». Национальное Агенство Безопасности . Проверено 16 июля 2022 г. Всеобщее достояниеВ данную статью включен текст из этого источника, находящегося в свободном доступе .
  116. ^ Постквантовая криптография: текущее состояние и квантовое смягчение, раздел 6 «Заключение» [1]
  117. ^ Технологии квантовой безопасности
  118. ^ Следует ли использовать квантовое распределение ключей для безопасной связи?
  119. ^ «Квантовая криптография».
  120. ^ Скарани, Валерио; Курцифер, Кристиан (4 декабря 2014 г.). «Черная книга квантовой криптографии: реальные проблемы реализации». Теоретическая информатика . 560 : 27–32. arXiv : 0906.4547 . дои : 10.1016/j.tcs.2014.09.015. S2CID  44504715.
  121. ^ Пэчер, Кристоф; и другие. (январь 2016 г.). «Атаки на протоколы распределения квантовых ключей, которые используют аутентификацию, отличную от ITS». Квантовая обработка информации . 15 (1): 327–362. arXiv : 1209.0365 . Бибкод : 2016QuIP...15..327P. дои : 10.1007/s11128-015-1160-4. S2CID  254986932.
  122. ^ Мэттссон, JP; и другие. (декабрь 2021 г.). «Квантовая криптография». arXiv : 2112.00399 [cs.CR].