Квантовое распределение ключей ( QKD ) — это безопасный метод связи, реализующий криптографический протокол , включающий компоненты квантовой механики . Он позволяет двум сторонам создать общий случайный секретный ключ, известный только им, который затем можно использовать для шифрования и дешифрования сообщений . Процесс распределения квантовых ключей не следует путать с квантовой криптографией , поскольку это самый известный пример квантово-криптографической задачи.
Важным и уникальным свойством квантового распределения ключей является способность двух общающихся пользователей обнаружить присутствие любой третьей стороны, пытающейся получить информацию о ключе. Это вытекает из фундаментального аспекта квантовой механики: процесс измерения квантовой системы в целом возмущает систему. Третья сторона, пытающаяся подслушать ключ, должна каким-то образом измерить его, создавая тем самым обнаруживаемые аномалии. Используя квантовые суперпозиции или квантовую запутанность и передавая информацию в квантовых состояниях , можно реализовать систему связи, обнаруживающую подслушивание. Если уровень подслушивания ниже определенного порога, может быть создан ключ, который гарантированно безопасен (т. е. у перехватчика нет информации о нем). В противном случае безопасный ключ невозможен, и связь прерывается.
Безопасность шифрования, использующего квантовое распределение ключей, опирается на основы квантовой механики, в отличие от традиционной криптографии с открытым ключом , которая опирается на вычислительную сложность определенных математических функций и не может предоставить каких-либо математических доказательств фактической сложности обращения шифрования. используются односторонние функции. QKD имеет доказуемую безопасность, основанную на теории информации , и прямую секретность .
Основным недостатком распределения квантовых ключей является то, что оно обычно основано на наличии аутентифицированного классического канала связи. [ нужна цитата ] В современной криптографии наличие аутентифицированного классического канала означает, что кто-то уже обменялся либо симметричным ключом достаточной длины, либо открытыми ключами достаточного уровня безопасности. Имея такую информацию, уже доступную, на практике можно добиться аутентифицированной и достаточно безопасной связи без использования QKD, например, с помощью режима Галуа/Счетчика Advanced Encryption Standard . Таким образом, QKD выполняет работу поточного шифрования во много раз дороже.
Квантовое распределение ключей используется для создания и распространения только ключа, а не для передачи каких-либо данных сообщения. Затем этот ключ можно использовать с любым выбранным алгоритмом шифрования для шифрования (и дешифрования) сообщения, которое затем можно передать по стандартному каналу связи . Алгоритм, который чаще всего ассоциируется с QKD, — это одноразовый блокнот , поскольку он доказуемо безопасен при использовании с секретным случайным ключом. [1] В реальных ситуациях он также часто используется с шифрованием с использованием алгоритмов симметричного ключа, таких как алгоритм Advanced Encryption Standard .
Квантовая коммуникация предполагает кодирование информации в квантовых состояниях или кубитах , в отличие от использования битов в классической коммуникации . Обычно для этих квантовых состояний используются фотоны . Квантовое распределение ключей использует определенные свойства этих квантовых состояний для обеспечения своей безопасности. Существует несколько различных подходов к распределению квантовых ключей, но их можно разделить на две основные категории в зависимости от того, какое свойство они используют.
Каждый из этих двух подходов можно дополнительно разделить на три семейства протоколов: кодирование с дискретной переменной, непрерывной переменной и опорное кодирование с распределенной фазой. Протоколы дискретных переменных были изобретены первыми и остаются наиболее широко применяемыми. Два других семейства в основном озабочены преодолением практических ограничений экспериментов. Оба протокола, описанные ниже, используют кодирование дискретных переменных.
Этот протокол, известный как BB84 по имени его изобретателей и года публикации, первоначально был описан с использованием состояний поляризации фотонов для передачи информации. [2] Однако для протокола можно использовать любые две пары сопряженных состояний, и многие реализации на основе оптического волокна , описанные как BB84, используют состояния с фазовым кодированием. Отправитель (традиционно называемый Алисой ) и получатель (Боб) соединены квантовым каналом связи , который позволяет передавать квантовые состояния . В случае фотонов этот канал обычно представляет собой либо оптическое волокно, либо просто свободное пространство . Кроме того, они общаются через общедоступный классический канал, например, с помощью радиовещания или Интернета. Протокол разработан с учетом того, что перехватчик (называемый Евой) может каким-либо образом вмешиваться в работу квантового канала, в то время как классический канал требует аутентификации . [3] [4]
Безопасность протокола обеспечивается за счет кодирования информации в неортогональных состояниях . Квантовая неопределенность означает, что эти состояния вообще нельзя измерить, не нарушая исходное состояние (см. Теорему о запрете клонирования ). BB84 использует две пары состояний, каждая пара сопряжена с другой парой, а два состояния внутри пары ортогональны друг другу. Пары ортогональных состояний называются базисом . Обычно используемые пары состояний поляризации представляют собой либо прямолинейный базис по вертикали (0 °) и горизонтали (90 °), диагональный базис 45 ° и 135 °, либо круговой базис лево- и правосторонности. Любые два из этих оснований сопряжены друг с другом, поэтому в протоколе можно использовать любые два. Ниже используются прямолинейные и диагональные основания.
Первым шагом в BB84 является квантовая передача. Алиса создает случайный бит (0 или 1), а затем случайным образом выбирает одно из двух своих оснований (в данном случае прямолинейное или диагональное) для его передачи. Затем она подготавливает состояние поляризации фотона в зависимости как от значения бита, так и от базиса, как показано на рисунке. в соседней таблице. Так, например, 0 кодируется в прямолинейном базисе (+) как состояние вертикальной поляризации, а 1 кодируется в диагональном базисе (x) как состояние 135°. Затем Алиса передает один фотон в состоянии, указанном Бобу, используя квантовый канал. Затем этот процесс повторяется со стадии случайных битов, при этом Алиса записывает состояние, основу и время каждого отправленного фотона.
Согласно квантовой механике (особенно квантовой неопределенности), никакое возможное измерение не различает 4 различных состояния поляризации, поскольку не все они ортогональны. Единственное возможное измерение - между любыми двумя ортогональными состояниями (ортонормированный базис). Так, например, измерение в прямолинейном основании дает результат по горизонтали или по вертикали. Если фотон был создан как горизонтальный или вертикальный (как прямолинейное собственное состояние ), то это измеряет правильное состояние, но если он был создан как 45 ° или 135 ° (диагональные собственные состояния), тогда прямолинейное измерение вместо этого возвращает либо горизонтальное, либо вертикальное в случайном порядке. Более того, после этого измерения фотон поляризуется в том состоянии, в котором он был измерен (горизонтальном или вертикальном), при этом вся информация о его первоначальной поляризации теряется.
Поскольку Боб не знает, в каком базисе были закодированы фотоны, все, что он может сделать, это выбрать наугад базис для измерения: прямолинейный или диагональный. Он делает это для каждого полученного фотона, записывая время, использованную основу измерения и результат измерения. После того, как Боб измерил все фотоны, он общается с Алисой по общедоступному классическому каналу. Алиса передает базис, в котором был отправлен каждый фотон, а Боб — базис, в котором каждый из них был измерен. Они оба отбрасывают измерения фотонов (биты), тогда как Боб использовал другой базис, который в среднем составляет половину, оставляя половину битов в качестве общего ключа.
Чтобы проверить наличие подслушивающего устройства, Алиса и Боб теперь сравнивают заранее определенное подмножество оставшихся битовых строк. Если третья сторона (обычно называемая Евой, что означает «подслушиватель») получила какую-либо информацию о поляризации фотонов, это вносит ошибки в измерения Боба. Другие условия окружающей среды могут аналогичным образом вызывать ошибки. Если отличаются более чем биты, они прерывают передачу ключа и повторяют попытку, возможно, с другим квантовым каналом, поскольку безопасность ключа не может быть гарантирована. выбирается таким образом, что если количество битов, известных Еве, меньше этого, можно использовать усиление конфиденциальности , чтобы уменьшить знание Евой ключа до сколь угодно малой суммы за счет уменьшения длины ключа.
Схема Артура Экерта [5] использует запутанные пары фотонов. Они могут быть созданы Алисой, Бобом или каким-либо источником, отдельным от них обоих, включая подслушивающую Еву. Фотоны распределены так, что Алиса и Боб получают по одному фотону от каждой пары.
Схема опирается на два свойства запутанности. Во-первых, запутанные состояния идеально коррелируют в том смысле, что если Алиса и Боб оба измеряют, имеют ли их частицы вертикальную или горизонтальную поляризацию, они всегда получают один и тот же ответ со 100% вероятностью. То же самое верно, если они оба измеряют любую другую пару дополнительных (ортогональных) поляризаций. Это требует, чтобы две удаленные стороны имели точную синхронизацию направления. Однако конкретные результаты совершенно случайны; Алиса не может предсказать, получит ли она (и, следовательно, Боб) вертикальную поляризацию или горизонтальную поляризацию. Во-вторых, любая попытка подслушивания со стороны Евы разрушает эти корреляции таким образом, что Алиса и Боб могут их обнаружить.
Как и в случае с BB84 , протокол включает в себя частный протокол измерений перед обнаружением присутствия Евы. На этапе измерения Алиса измеряет каждый полученный ею фотон, используя некоторый базис из набора, в то время как Боб выбирает, куда повернуть базис . Они сохраняют конфиденциальность выбора базиса до тех пор, пока измерения не будут завершены. Создаются две группы фотонов: первая состоит из фотонов, измеренных Алисой и Бобом на одной основе, а вторая содержит все остальные фотоны. Чтобы обнаружить подслушивание, они могут вычислить тестовую статистику, используя коэффициенты корреляции между базами Алисы и Боба, аналогичные тем, которые показаны в тестовых экспериментах Белла . Максимально запутанные фотоны привели бы к . Если бы это было не так, то Алиса и Боб могли бы заключить, что Ева привнесла в систему локальный реализм, нарушив теорему Белла . Если протокол успешен, первую группу можно использовать для генерации ключей, поскольку эти фотоны полностью разнонаправлены между Алисой и Бобом.
В традиционной КРК используемые квантовые устройства должны быть идеально откалиброваны, заслуживать доверия и работать именно так, как от них ожидается. [6] Отклонения от ожидаемых измерений может быть чрезвычайно трудно обнаружить, что делает всю систему уязвимой. Новый протокол, называемый QKD, независимым от устройства (DIQKD) или QKD, не зависящим от измерительного устройства (MDIQKD), позволяет использовать нехарактерные или ненадежные устройства, а также включать отклонения от ожидаемых измерений в общую систему. [6] [7] Эти отклонения приведут к прерыванию работы протокола при обнаружении, а не к получению неверных данных. [6]
DIQKD был впервые предложен Майерсом и Яо [8] на основе протокола BB84. Они представили, что в DIQKD квантовое устройство, которое они называют источником фотонов, будет производиться с тестами, которые Алиса и Боб могут провести для «самопроверки», правильно ли работает их устройство. При таком тесте необходимо будет учитывать только классические входные и выходные данные, чтобы определить, какой объем информации может быть перехвачен Евой. Самопроверяющийся или «идеальный» источник не требует характеристики [7] [9] и, следовательно, не будет подвержен ошибкам реализации. [7]
Недавние исследования предложили использовать тест Белла для проверки правильности работы устройства. [6] Теорема Белла гарантирует, что устройство может создавать два результата, которые исключительно коррелируют, а это означает, что Ева не может перехватить результаты, не делая никаких предположений об этом устройстве. Для этого требуются сильно запутанные состояния и низкая частота ошибок по квантовым битам. [7] DIQKD представляет трудности при создании кубитов, находящихся в запутанных состояниях такого высокого качества, что затрудняет экспериментальную реализацию. [6]
Квантовое распределение ключей с двумя полями (TFQKD) было представлено в 2018 году и представляет собой версию DIQKD, предназначенную для преодоления фундаментального ограничения скорости и расстояния традиционного квантового распределения ключей. [10] Предел скорости-расстояния, также известный как компромисс между скоростью-потерей, описывает, как по мере увеличения расстояния между Алисой и Бобом скорость генерации ключей снижается экспоненциально. [11] В традиционных протоколах QKD это затухание устраняется за счет добавления физически защищенных ретрансляционных узлов, которые можно разместить вдоль квантового канала с целью разделения его на несколько секций с низкими потерями. Исследователи также рекомендовали использовать квантовые повторители, которые при добавлении к узлам ретрансляции избавляют их от необходимости физической защиты. [11] Однако квантовые повторители сложно создать, и их еще предстоит внедрить в полезных масштабах. [10] TFQKD стремится обойти ограничение скорости на расстояние без использования квантовых повторителей или ретрансляционных узлов, создавая управляемые уровни шума и процесс, который можно гораздо легче повторить с помощью существующих сегодня технологий. [10]
Исходный протокол TFQKD выглядит следующим образом: у Алисы и Боба есть источник света и одна рука на интерферометре в своих лабораториях. Источники света создают два тусклых оптических импульса со случайной фазой p a или p b в интервале [0, 2π) и фазой кодирования γ a или γ b . Импульсы отправляются по кванту Чарли, третьей стороне, которая может быть злонамеренной или нет. Чарли использует светоделитель, чтобы перекрыть два импульса и выполнить измерение. У него в собственной лаборатории есть два детектора, один из которых загорается, если биты равны (00) или (11), а другой — когда они различны (10, 01). Чарли объявит Алисе и Бобу, какой из детекторов загорелся, после чего они публично откроют фазы p и γ . [10] Это отличается от традиционной ККД, в которой используемые фазы никогда не раскрываются. [12]
Описанные выше протоколы распределения квантовых ключей предоставляют Алисе и Бобу почти идентичные общие ключи, а также оценку расхождения между ключами. Эти различия могут быть вызваны подслушиванием, а также несовершенством линии передачи и детекторов. Поскольку отличить эти два типа ошибок невозможно, гарантированная безопасность требует предположения, что все ошибки происходят в результате подслушивания. При условии, что частота ошибок между ключами ниже определенного порога (27,6% по состоянию на 2002 год [13] ), можно выполнить два шага, чтобы сначала удалить ошибочные биты, а затем уменьшить знание Евой ключа до произвольно малого значения. Эти два шага известны как согласование информации и усиление конфиденциальности соответственно и были впервые описаны в 1988 году. [14]
Согласование информации — это форма исправления ошибок, выполняемая между ключами Алисы и Боба, чтобы гарантировать идентичность обоих ключей. Он проводится по общедоступному каналу, поэтому крайне важно свести к минимуму информацию, отправляемую о каждом ключе, поскольку Ева может ее прочитать. Распространенным протоколом, используемым для согласования информации, является каскадный протокол , предложенный в 1994 году. [15] Он работает в несколько раундов, при этом оба ключа делятся на блоки в каждом раунде и сравниваются четность этих блоков. Если обнаруживается разница в четности, выполняется двоичный поиск для поиска и исправления ошибки. Если ошибка обнаружена в блоке предыдущего раунда, который имел правильную четность, то в этом блоке должна содержаться другая ошибка; эта ошибка обнаруживается и исправляется, как и раньше. Этот процесс повторяется рекурсивно, что и является источником имени каскада. После сравнения всех блоков Алиса и Боб меняют порядок своих ключей одинаковым случайным образом, и начинается новый раунд. В конце нескольких раундов у Алисы и Боба с высокой вероятностью будут одинаковые ключи; однако у Евы есть дополнительная информация о ключе из обменявшейся информации о четности. Однако с точки зрения теории кодирования согласование информации, по сути, представляет собой кодирование источника с дополнительной информацией. В результате для согласования информации можно использовать любую схему кодирования, подходящую для решения этой проблемы. В последнее время для этой цели стали использоваться турбокоды, [16] LDPC-коды [17] и полярные коды [18] , повышающие эффективность каскадного протокола.
Усиление конфиденциальности — это метод уменьшения (и эффективного устранения) частичной информации Евы о ключе Алисы и Боба. Эта частичная информация могла быть получена как путем подслушивания в квантовом канале во время передачи ключа (таким образом внося обнаруживаемые ошибки), так и в общедоступном канале во время сверки информации (где предполагается, что Ева получает всю возможную информацию о четности). Усиление конфиденциальности использует ключ Алисы и Боба для создания нового, более короткого ключа, таким образом, что Ева имеет лишь незначительную информацию о новом ключе. Это осуществляется с помощью экстрактора случайности , например, путем применения универсальной хеш-функции , выбранной случайным образом из общеизвестного набора таких функций, которая принимает на вход двоичную строку длины, равной ключу, и выводит на выходе двоичную строку выбранная более короткая длина. Величина, на которую сокращается этот новый ключ, рассчитывается на основе того, сколько информации Ева могла бы получить о старом ключе (который известен из-за ошибок, которые это может привести), чтобы уменьшить вероятность того, что Ева узнает какие-либо сведения о старом ключе. новый ключ с очень низкой стоимостью.
В 1991 году Джон Рэрити , Пол Тапстер и Артур Экерт , исследователи из Агентства оборонных исследований Великобритании в Малверне и Оксфордского университета, продемонстрировали квантовое распределение ключей, защищенное нарушением неравенств Белла.
В 2008 году обмен безопасными ключами со скоростью 1 Мбит/с (более 20 км оптоволокна) и 10 кбит/с (более 100 км оптоволокна) был достигнут в результате сотрудничества Кембриджского университета и Toshiba с использованием протокола BB84 с ложные импульсы состояния . [19]
В 2007 году Национальная лаборатория Лос-Аламоса / NIST добилась распределения квантовых ключей по оптоволоконному кабелю длиной 148,7 км с использованием протокола BB84. [20] Примечательно, что этого расстояния достаточно для почти всех пролетов, существующих в современных оптоволоконных сетях. В результате европейского сотрудничества была достигнута ККД свободного пространства на расстоянии более 144 км между двумя Канарскими островами с использованием запутанных фотонов (схема Экерта) в 2006 году [21] и с использованием BB84, дополненного состояниями-ловушками [22] [23] [24] [25] [ 26] в 2007 году. [27]
По состоянию на август 2015 года [update]самое большое расстояние для оптоволокна (307 км) [28] было достигнуто Женевским университетом и компанией Corning Inc. В том же эксперименте была сгенерирована скорость секретного ключа 12,7 кбит/с, что сделало ее самой высокой скоростью передачи данных. система на расстоянии 100 км. В 2016 году команда Corning и различных учреждений Китая преодолела дистанцию в 404 км, но со слишком медленной скоростью, чтобы это было практично. [29]
В июне 2017 года физики под руководством Томаса Дженневейна из Института квантовых вычислений и Университета Ватерлоо в Ватерлоо, Канада, впервые продемонстрировали распределение квантовых ключей от наземного передатчика к движущемуся самолету. Они сообщили об оптических каналах связи на расстоянии от 3 до 10 км и сгенерировали защищенные ключи длиной до 868 килобайт. [30]
Также в июне 2017 года в рамках проекта «Квантовые эксперименты в космическом масштабе » китайские физики под руководством Пань Цзяньвея из Университета науки и технологий Китая измерили запутанные фотоны на расстоянии 1203 км между двумя наземными станциями, заложив основу для будущего. эксперименты по межконтинентальному распределению квантовых ключей. [31] Фотоны были отправлены с одной наземной станции на спутник, который они назвали Мициус , и обратно на другую наземную станцию, где они «наблюдали сохранение двухфотонной запутанности и нарушение неравенства Белла на 2,37 ± 0,09 при строгой локальности Эйнштейна». условиях» на «суммарной длине от 1600 до 2400 километров». [32] Позже в том же году BB84 был успешно реализован по спутниковой связи от Мициуса до наземных станций в Китае и Австрии. Ключи были объединены, и результат был использован для передачи изображений и видео между Пекином (Китай) и Веной (Австрия). [33]
В августе 2017 года группа из Шанхайского университета Цзяотун экспериментально продемонстрировала, что поляризационные квантовые состояния, включая общие кубиты одиночных фотонов и запутанные состояния, могут хорошо выжить после путешествия через морскую воду [34] , что представляет собой первый шаг к подводной квантовой связи.
В мае 2019 года группа под руководством Хун Го из Пекинского университета и Пекинского университета почты и телекоммуникаций сообщила о полевых испытаниях системы QKD с непрерывным регулированием через коммерческие оптоволоконные сети в Сиане и Гуанчжоу на расстояниях 30,02 км (12,48 дБ) и 49,85. км (11,62 дБ) соответственно. [35]
В декабре 2020 года Индийская организация оборонных исследований и разработок протестировала QKD между двумя своими лабораториями на объекте в Хайдарабаде. Установка также продемонстрировала подтверждение обнаружения третьей стороны, пытающейся получить информацию о сообщении. Квантовая защита от подслушивания была проверена для развернутой системы на расстоянии более 12 км (7,5 миль) и затуханием 10 дБ по оптоволоконному каналу. Для генерации фотонов без эффекта деполяризации использовался источник непрерывного лазера, а временная точность установки составляла порядка пикосекунд. Однофотонный лавинный детектор (SPAD) регистрировал приход фотонов, и скорость передачи ключей была достигнута в диапазоне кбит/с с низкой частотой ошибок по битам Quantum. [36]
В марте 2021 года Индийская организация космических исследований также продемонстрировала квантовую связь в свободном космосе на расстоянии 300 метров. QKD в свободном пространстве был продемонстрирован в Центре космических приложений (SAC) в Ахмадабаде между двумя зданиями прямой видимости на территории кампуса для видеоконференций с использованием сигналов, зашифрованных квантовым ключом. В эксперименте использовался приемник NAVIC для синхронизации времени между модулями передатчика и приемника. Позже в январе 2022 года индийским ученым удалось успешно создать атмосферный канал для обмена зашифрованными сообщениями и изображениями. После демонстрации квантовой связи между двумя наземными станциями Индия планирует разработать спутниковую квантовую связь (SBQC). [37] [38]
В июле 2022 года исследователи опубликовали свою работу, экспериментально реализующую аппаратно-независимый протокол квантового распределения ключей (DIQKD), который использует квантовую запутанность (как предложил Экерт) [5] для обеспечения устойчивости к квантовым хакерским атакам. [6] Им удалось создать два иона на расстоянии около двух метров друг от друга, которые находились в высококачественном запутанном состоянии, используя следующий процесс: у Алисы и Боба есть узлы-ловушки для ионов с кубитом 88 Sr + внутри. Первоначально они переводят ионы в электронное состояние, что создает запутанное состояние. Этот процесс также создает два фотона, которые затем захватываются и транспортируются с помощью оптического волокна, после чего выполняется измерение по принципу Белла, и ионы передаются в сильно запутанное состояние. Наконец, кубиты возвращаются в новые места в ионных ловушках, отключенных от оптической линии связи, чтобы не допустить утечки информации. Это повторяется много раз, прежде чем продолжится распределение ключей. [6]
Отдельный эксперимент, опубликованный в июле 2022 года, продемонстрировал реализацию DIQKD, в которой также используется тест неравенства Белла, чтобы гарантировать функционирование квантового устройства, на этот раз на гораздо большем расстоянии — около 400 метров, с использованием оптического волокна длиной 700 метров. [7] Схема эксперимента была аналогична описанной в предыдущем абзаце, но с некоторыми ключевыми отличиями. Запутывание было создано в канале квантовой сети (QNL) между двумя атомами 87 Rb в отдельных лабораториях, расположенных на расстоянии 400 м друг от друга и соединенных каналом длиной 700 м. Атомы запутываются в результате электронного возбуждения, в результате чего два фотона генерируются и собираются для отправки к настройке измерения состояния звонка (BSM). Фотоны проецируются в состояние |ψ + , что указывает на максимальную запутанность. В остальном используемый протокол обмена ключами аналогичен исходному протоколу QKD, с той лишь разницей, что ключи генерируются с двумя настройками измерения вместо одной. [7]
С момента предложения о распределении квантовых ключей двойного поля в 2018 году было проведено множество экспериментов с целью увеличения расстояния в системе КРК. Самый успешный из них смог распространить ключевую информацию на расстояние 833,8 км. [12]
В 2023 году ученые из Индийского технологического института (IIT) в Дели добились распределения квантовых ключей (QKD) без доверенных узлов на расстояние до 380 км по стандартному телекоммуникационному волокну с очень низкой частотой ошибок по квантовым битам (QBER). [39]
Коммерческое распространение квантовых ключей предлагают многие компании по всему миру, например: ID Quantique (Женева), MagiQ Technologies, Inc. (Нью-Йорк), QNu Labs ( Бангалор , Индия ), QuintessenceLabs (Австралия), QRate (Россия), SeQureNet ( Париж), Quantum Optics Jena (Германия) и KEEQuant (Германия). Несколько других компаний также имеют активные исследовательские программы, в том числе KETS Quantum Security (Великобритания), Toshiba, HP , IBM , Mitsubishi , NEC и NTT (прямые ссылки на исследования см. в разделе «Внешние ссылки»).
В 2004 году в Вене , Австрия , был осуществлен первый в мире банковский перевод с использованием квантового распределения ключей . [40] Технология квантового шифрования, предоставленная швейцарской компанией Id Quantique, использовалась в швейцарском кантоне (штате) Женева для передачи результатов голосования в столицу на национальных выборах, состоявшихся 21 октября 2007 года. [41] В 2013 году Мемориальный институт Баттель установила систему QKD, созданную ID Quantique, между своим главным кампусом в Колумбусе, штат Огайо, и производственным предприятием в соседнем Дублине. [42] Уже некоторое время проводятся полевые испытания токийской сети QKD. [43]
Квантовая сеть DARPA [ 44] представляла собой 10-узловую сеть распределения квантовых ключей, которая работала непрерывно в течение четырех лет, 24 часа в сутки, с 2004 по 2007 год в Массачусетсе, США. Он был разработан BBN Technologies , Гарвардским университетом , Бостонским университетом в сотрудничестве с IBM Research , Национальным институтом стандартов и технологий и QinetiQ . Он поддерживал основанную на стандартах компьютерную сеть Интернет , защищенную квантовым распределением ключей.
Первая в мире компьютерная сеть , защищенная квантовым распределением ключей, была реализована в октябре 2008 года на научной конференции в Вене. Название этой сети — SECOQC ( Безопасная связь на основе квантовой криптографии ) , и этот проект финансировался ЕС . Сеть использовала 200 км стандартного оптоволоконного кабеля для соединения шести точек в Вене и города Санкт-Пельтен, расположенного в 69 км к западу. [45]
Компания Id Quantique успешно завершила самый продолжительный проект по тестированию квантового распределения ключей (QKD) в полевых условиях. Основная цель проекта сети SwissQuantum, установленной в агломерации Женевы в марте 2009 года, заключалась в проверке надежности и устойчивости QKD при непрерывной работе в течение длительного периода времени в полевых условиях. Квантовый слой проработал почти два года, пока проект не был закрыт в январе 2011 года, вскоре после первоначально запланированной продолжительности испытаний.
В мае 2009 года иерархическая квантовая сеть была продемонстрирована в Уху , Китай . Иерархическая сеть состояла из магистральной сети из четырех узлов, соединяющих несколько подсетей. Магистральные узлы были подключены через квантовый маршрутизатор с оптической коммутацией. Узлы внутри каждой подсети также были подключены через оптический коммутатор, которые подключались к магистральной сети через доверенный ретранслятор. [46]
Запущенная в августе 2016 года космическая миссия QUESS создала международный канал QKD между Китаем и Институтом квантовой оптики и квантовой информации в Вене , Австрия — наземное расстояние 7500 км (4700 миль), что позволило осуществить первый межконтинентальный безопасный квантовый видеозвонок. [47] [48] [49] К октябрю 2017 года была введена в эксплуатацию волоконно-оптическая линия длиной 2000 км между Пекином , Цзинанем , Хэфэем и Шанхаем . [50] Вместе они составляют первую в мире космически-земную квантовую сеть. [51] Ожидается появление до 10 спутников Micius/QUESS, [52] что позволит создать европейско-азиатскую сеть с квантовым шифрованием к 2020 году и глобальную сеть к 2030 году. [53] [54]
Токийская сеть QKD [55] была открыта в первый день конференции UQCC2010. Сеть предполагает международное сотрудничество между 7 партнерами; NEC , Mitsubishi Electric , NTT и NICT из Японии, а также участие из Европы компаний Toshiba Research Europe Ltd. (Великобритания), Id Quantique (Швейцария) и All Vienna (Австрия). «Вся Вена» представлена исследователями из Австрийского технологического института (AIT), Института квантовой оптики и квантовой информации (IQOQI) и Венского университета .
Сеть «звездочка» эксплуатируется Лос-Аламосской национальной лабораторией с 2011 года. Все сообщения маршрутизируются через концентратор. Система оснащает каждый узел сети квантовыми передатчиками, то есть лазерами, но не дорогими и громоздкими детекторами фотонов. Только хаб получает квантовые сообщения. Для связи каждый узел отправляет одноразовый блокнот в концентратор, который затем использует для безопасной связи по классическому каналу. Концентратор может направить это сообщение на другой узел, используя еще один блокнот со второго узла. Вся сеть безопасна только в том случае, если защищен центральный узел. Отдельные узлы требуют чуть больше, чем лазер: узлы прототипа имеют размер коробки спичек. [56]
В 2024 году ЕКА планирует запустить спутник Eagle-1 — экспериментальную космическую систему распределения квантовых ключей. [57]
Самый простой тип возможной атаки — это атака перехвата-повторной отправки, при которой Ева измеряет квантовые состояния (фотоны), отправленные Алисой, а затем отправляет Бобу заменяющие состояния, подготовленные в том состоянии, которое она измеряет. В протоколе BB84 это приводит к ошибкам в общем ключе Алисы и Боба. Поскольку Ева не знает, в каком базисе закодировано состояние, отправленное Алисой, она может только догадываться, в каком базисе измерять, так же, как Боб. Если она делает правильный выбор, она измеряет правильное состояние поляризации фотона, отправленное Алисой, и повторно отправляет правильное состояние Бобу. Однако если она сделает неправильный выбор, состояние, которое она измеряет, будет случайным, и состояние, отправленное Бобу, не может совпадать с состоянием, отправленным Алисой. Если затем Боб измерит это состояние на том же базисе, что и Алиса, он тоже получит случайный результат — поскольку Ева отправила ему состояние на противоположном базисе — с 50%-ной вероятностью ошибочного результата (вместо правильного результата, который он получил бы). без присутствия Евы). В таблице ниже показан пример такого типа атаки.
Вероятность того, что Ева выберет неправильный базис, равна 50 % (при условии, что Алиса выбирает случайный выбор), и если Боб измерит этот перехваченный фотон в базисе, отправленном Алисой, он получит случайный результат, т. е. неправильный результат с вероятностью 50 %. Вероятность того, что перехваченный фотон сгенерирует ошибку в ключевой строке, составит 50% × 50% = 25%. Если Алиса и Боб публично сравнивают свои биты ключа (таким образом отбрасывая их как биты ключа, поскольку они больше не являются секретными), вероятность того, что они обнаружат разногласия и идентифицируют присутствие Евы, равна
Таким образом, чтобы с высокой вероятностью обнаружить подслушивателя, Алисе и Бобу необходимо сравнить ключевые биты.
Квантовое распределение ключей уязвимо для атаки «человек посередине» при использовании без аутентификации в той же степени, что и любой классический протокол, поскольку ни один известный принцип квантовой механики не может отличить друга от врага. Как и в классическом случае, Алиса и Боб не могут аутентифицировать друг друга и установить безопасное соединение без каких-либо средств проверки личности друг друга (например, первоначального общего секрета). Если у Алисы и Боба есть первоначальный общий секрет, они могут использовать безусловно безопасную схему аутентификации (например, Картера-Вегмана, [58] ) вместе с квантовым распределением ключей для экспоненциального расширения этого ключа, используя небольшое количество нового ключа для аутентификации. следующий сеанс. [59] Было предложено несколько методов создания этого первоначального общего секрета, например, с использованием сторонней организации [60] или теории хаоса. [61] Тем не менее, только «почти сильно универсальное» семейство хэш-функций может использоваться для безусловно безопасной аутентификации. [62]
В протоколе BB84 Алиса отправляет Бобу квантовые состояния, используя одиночные фотоны. На практике во многих реализациях для передачи квантовых состояний используются лазерные импульсы, ослабленные до очень низкого уровня. Эти лазерные импульсы содержат очень небольшое количество фотонов, например 0,2 фотона на импульс, которые распределяются согласно распределению Пуассона . Это означает, что большинство импульсов на самом деле не содержат фотонов (импульс не отправляется), некоторые импульсы содержат 1 фотон (что желательно), а некоторые импульсы содержат 2 или более фотонов. Если импульс содержит более одного фотона, то Ева может отделить лишние фотоны и передать оставшийся одиночный фотон Бобу. Это основа атаки разделения числа фотонов, [63] где Ева хранит эти дополнительные фотоны в квантовой памяти до тех пор, пока Боб не обнаружит оставшийся одиночный фотон, а Алиса не раскроет основу кодирования. Тогда Ева сможет правильно измерить свои фотоны и получить информацию о ключе, не допуская обнаруживаемых ошибок.
Даже при возможности атаки PNS безопасный ключ все равно может быть сгенерирован, как показано в доказательстве безопасности GLLP; [64] однако требуется гораздо большее усиление конфиденциальности, что значительно снижает скорость безопасного ключа (при использовании PNS скорость масштабируется по сравнению с источниками с одним фотоном, где - коэффициент пропускания квантового канала).
Есть несколько решений этой проблемы. Наиболее очевидным является использование настоящего источника одиночных фотонов вместо ослабленного лазера. Хотя такие источники все еще находятся на стадии разработки, с ними успешно проведена ККД. [65] Однако, поскольку источники тока работают с низкой эффективностью и частотой, ключевые скорости и расстояния передачи ограничены. Другим решением является модификация протокола BB84, как это сделано, например, в протоколе SARG04 [66] , в котором скорость безопасного ключа масштабируется как . Наиболее многообещающим решением являются состояния-ловушки [22] [23] [24] [25] [26], в которых Алиса случайным образом посылает некоторые из своих лазерных импульсов с более низким средним числом фотонов. Эти состояния-ловушки можно использовать для обнаружения атаки ПНС, поскольку у Евы нет возможности определить, какие импульсы являются сигнальными, а какие-приманкой. Используя эту идею, безопасная ключевая скорость масштабируется как , так же, как и для одиночного источника фотонов. Эта идея была успешно реализована сначала в Университете Торонто [67] [68] и в нескольких последующих экспериментах с QKD [69] , что позволило обеспечить высокие скорости передачи ключей, защищенные от всех известных атак.
Поскольку в настоящее время между двумя точками, связанными квантовым распределением ключей, требуется выделенная оптоволоконная линия (или прямая видимость в свободном пространстве), атака типа «отказ в обслуживании» может быть организована путем простого перерезания или блокировки линии. Это одна из мотиваций для разработки сетей распределения квантовых ключей , которые в случае сбоя будут маршрутизировать связь по альтернативным каналам.
Ева может исследовать систему распределения квантовых ключей, посылая яркий свет в квантовый канал и анализируя обратные отражения при атаке «троянского коня». В недавнем исследовании было показано, что Ева распознает секретный выбор Боба с вероятностью более 90%, что нарушает безопасность системы. [70]
Если предположить, что Ева обладает неограниченными ресурсами, например, как классическими, так и квантовыми вычислительными мощностями, то возможных атак гораздо больше. BB84 оказался защищенным от любых атак, допускаемых квантовой механикой, как для отправки информации с использованием идеального источника фотонов, который испускает только один фотон за раз, [71] , так и для использования практических источников фотонов, которые иногда излучают многофотонные импульсы. [64] Эти доказательства безусловно безопасны в том смысле, что никакие условия не налагаются на ресурсы, доступные подслушивающему; однако необходимы и другие условия:
Хакерские атаки нацелены на уязвимости в работе протокола QKD или недостатки компонентов физических устройств, используемых при построении системы QKD. Если оборудование, используемое в квантовом распределении ключей, можно подделать, оно может генерировать незащищенные ключи с помощью атаки генератора случайных чисел . Другим распространенным классом атак является атака «троянского коня» [72] , которая не требует физического доступа к конечным точкам: вместо того, чтобы пытаться прочитать одиночные фотоны Алисы и Боба, Ева отправляет большой импульс света обратно Алисе между переданными фотонами. Оборудование Алисы отражает часть света Евы, раскрывая состояние основы Алисы (например, поляризатор). Эту атаку можно обнаружить, например, используя классический детектор для проверки незаконных сигналов (т.е. света Евы), поступающих в систему Алисы. Также предполагается [ кем? ] что большинство хакерских атак можно аналогичным образом отразить, изменив реализацию, хотя формальных доказательств нет.
Сейчас известно несколько других атак, включая атаки с ложным состоянием, [73] атаки с перераспределением фазы, [74] и атаки со сдвигом во времени [75] . Атака со сдвигом во времени была даже продемонстрирована на коммерческой квантовой криптосистеме. [76] Это первая демонстрация квантового взлома несамодельной системы распределения квантовых ключей. Позже атака с перераспределением фаз была также продемонстрирована на специально сконфигурированной, ориентированной на исследования открытой системе QKD (созданной и предоставленной швейцарской компанией Id Quantique в рамках их программы Quantum Hacking). [77] Это одна из первых атак типа «перехват и повторная отправка» поверх широко используемой реализации QKD в коммерческих системах QKD. Эта работа широко освещалась в средствах массовой информации. [78] [79] [80] [81]
Первая атака, утверждавшая, что она способна перехватить весь ключ [82] , не оставив никаких следов, была продемонстрирована в 2010 году. Экспериментально было показано, что детекторами одиночных фотонов в двух коммерческих устройствах можно полностью управлять дистанционно с помощью специально подобранной яркой подсветки. . В серии публикаций [83] [84] [85] после этого сотрудничество между Норвежским университетом науки и технологий в Норвегии и Институтом науки о свете Макса Планка в Германии продемонстрировало несколько методов успешного подслушивания коммерческих Системы QKD, основанные на недостатках лавинных фотодиодов (ЛФД), работающих в стробируемом режиме. Это послужило толчком к исследованию новых подходов к обеспечению безопасности сетей связи. [86]
Задача распространения секретного ключа может быть решена даже тогда, когда частица (на которой была закодирована секретная информация, например, поляризация) не проходит через квантовый канал, используя протокол, разработанный Тэ-Гон Но. [87] Здесь Алиса генерирует фотон, который, не проведя измерения до более позднего времени, существует в суперпозиции пребывания на путях (a) и (b) одновременно. Путь (a) остается внутри защищенного устройства Алисы, а путь (b) идет к Бобу. Отвергая фотоны, которые получает Боб, и принимая только те, которые он не получает, Боб и Алиса могут установить безопасный канал, т.е. попытки Евы прочитать контрфактические фотоны все равно будут обнаружены. Этот протокол использует квантовое явление, согласно которому возможность отправки фотона имеет эффект, даже если он не отправлен. Так называемые измерения без взаимодействия также используют этот квантовый эффект, как, например, в задаче об испытании бомбы , посредством чего экспериментатор может концептуально определить, какие бомбы не являются неразорвавшимися, не вызывая их срабатывания, за исключением контрфактического смысла.
Квантовая криптография была предложена сначала Стивеном Визнером , работавшим тогда в Колумбийском университете в Нью-Йорке, который в начале 1970-х годов представил концепцию квантового сопряженного кодирования. Его основополагающая статья под названием «Сопряженное кодирование» была отклонена IEEE Information Theory, но в конечном итоге была опубликована в 1983 году в SIGACT News (15:1, стр. 78–88, 1983). В этой статье он показал, как хранить или передавать два сообщения, кодируя их в двух «сопряженных наблюдаемых», таких как линейная и круговая поляризация света, так что любое из них, но не оба, может быть получено и декодировано. Он проиллюстрировал свою идею дизайном банкнот, которые невозможно подделать. Десять лет спустя, основываясь на этой работе, Чарльз Х. Беннетт из Исследовательского центра Томаса Дж. Уотсона IBM и Жиль Брассар из Монреальского университета предложили метод безопасной связи, основанный на «сопряженных наблюдаемых» Визнера. В 1990 году Артур Экерт, тогда аспирант Вольфсон-колледжа Оксфордского университета , разработал другой подход к распределению квантовых ключей, основанный на квантовой запутанности.
Текущие коммерческие системы ориентированы в основном на правительства и корпорации с высокими требованиями к безопасности. Распространение ключей курьером обычно используется в таких случаях, когда считается, что традиционные схемы распространения ключей не обеспечивают достаточных гарантий. Преимущество этого подхода состоит в том, что он не ограничен по расстоянию, и, несмотря на длительное время в пути, скорость передачи может быть высокой из-за наличия портативных запоминающих устройств большой емкости. Основным отличием квантового распределения ключей является способность обнаружить любой перехват ключа, тогда как в случае с курьером безопасность ключа не может быть доказана или протестирована. Системы QKD (квантового распределения ключей) также имеют то преимущество, что они автоматические, с большей надежностью и меньшими эксплуатационными расходами, чем безопасная курьерская сеть, работающая с людьми.
Трехэтапный протокол Кака был предложен как метод безопасной связи, который является полностью квантовым, в отличие от квантового распределения ключей, в котором криптографическое преобразование использует классические алгоритмы. [88]
Факторы, препятствующие широкому внедрению квантового распределения ключей за пределами зон с высоким уровнем безопасности, включают стоимость оборудования и отсутствие продемонстрированной угрозы существующим протоколам обмена ключами. Однако, поскольку оптоволоконные сети уже существуют во многих странах, инфраструктура создана для более широкого использования.
Группа отраслевых спецификаций (ISG) Европейского института телекоммуникационных стандартов ( ETSI ) была создана для решения проблем стандартизации в квантовой криптографии. [89]
Европейские метрологические институты в рамках специальных проектов [90] [91] разрабатывают измерения, необходимые для характеристики компонентов систем QKD.
Toshiba Europe была удостоена престижной премии Института физики за инновации в бизнесе. Это признание новаторской технологии Toshiba QKD [92], разработанной в течение двух десятилетий исследований, защищающей коммуникационную инфраструктуру от нынешних и будущих киберугроз, а также коммерциализации продуктов, произведенных в Великобритании, которые прокладывают путь к квантовому Интернету.
Toshiba также получила награду Semi Grand Prix в категории «Решения» за QKD, получила награду министра экономики, торговли и промышленности CEATEC AWARD 2021 — престижную награду, вручаемую на CEATEC, главной выставке электронной промышленности Японии. [93]
Некоторые организации рекомендовали использовать «постквантовую криптографию (или квантовостойкую криптографию)» в качестве альтернативы из-за проблем, которые она вызывает при практическом использовании. Например, его рекомендуют Агентство национальной безопасности США , Агентство Европейского союза по кибербезопасности ЕС (ENISA), Национальный центр кибербезопасности (Великобритания) и Секретариат обороны и безопасности Франции (ANSSI). (подробности читайте в библиографии). [94] [95] [96] [97]
Например, Агентство национальной безопасности США занимается пятью вопросами: [94]
В ответ на проблему 1, описанную выше, во всем мире были предложены попытки доставить ключи аутентификации с использованием пост-квантовой криптографии (или квантово-устойчивой криптографии). С другой стороны, квантовостойкая криптография — это криптография, принадлежащая к классу вычислительной безопасности. В 2015 году уже был опубликован результат исследования, согласно которому «при реализации необходимо проявлять достаточную осторожность для достижения теоретико-информационной безопасности для системы в целом, когда используются ключи аутентификации, которые не являются теоретико-безопасными» (если ключ аутентификации не является информация теоретически безопасна, злоумышленник может взломать ее, чтобы взять под контроль все классические и квантовые коммуникации и передать их для запуска атаки «человек посередине» ). [99] Частная компания Ericsson также цитирует и указывает на вышеуказанные проблемы, а затем представляет отчет о том, что она, возможно, не сможет поддерживать модель безопасности с нулевым доверием , которая является недавней тенденцией в технологии сетевой безопасности. [100]