Криптографическая стойкость систем квантовой криптографии с фазово-временным кодированием тема автореферата и диссертации по математике, 01.01.05 ВАК РФ

Московский государственный университет имени М. В. Ломоносова

064615043

На правах рукописи

Кронберг Дмитрий Анатольевич

Криптографическая стойкость систем квантовой криптографии с фазово-временным кодированием

01.01.05 — Теория вероятностей и математическая статистика

Автореферат диссертации на соискание учёной степени кандидата физико-математических наук

- 2 пен 2010

Москва —2010

004615043

Работа выполнена на кафедре квантовой информатики факультета вычислительной математики и кибернетики Московского государственного университета имени М. В. Ломоносова.

Научный руководитель: доктор физико-математических наук,

профессор Молотков Сергей Николаевич

Официальные оппоненты: доктор физико-математических наук,

профессор Кузьмин Алексей Сергеевич, Академия криптографии Российской Федерации

доктор физико-математических паук, ведущий научный сотрудник Математического института имени В. А. Стеклова РАН Широков Максим Евгеньевич,

Ведущая организация: Институт информатики АН Республики Татарстан

Защита диссертации состоится <г£й» декабря 2010 г. в 11:00 на заседании диссертационного совета Д 501.001.44 при Московском государственном университете имени М. В. Ломоносова по адресу: 119991, ГСП-1, Москва, Ленинские горы, МГУ, 2-й учебный корпус, факультет ВМК, аудитория 685.

С диссертацией можно ознакомиться в библиотеке факультета ВМК МГУ. С текстом автореферата можно ознакомиться на официальном сайте факультета ВМК МГУ http://cs.msu.su в разделе «Наука» — «Работа диссертационных советов» -- «Д 501.001.44».

Автореферат разослан «#£_» ноября 2010 г.

Ученый секретарь диссертационного совета профессор

Н.П.Трифонов

Общая характеристика работы

Диссертационная работа посвящена исследовании»

криптографической стойкости щютоколов квантового распределения ключей с фазово-временным кодированием против различных видов атак, включая атаку с разделением по числу фотонов.

Актуальность темы.

Квантовая криптография как наука зародилась в 1984 году, когда был разработан первый протокол квантового распределения ключей, названный ВВ84 (Bennett, Brassard). Главным преимуществом квантовых криптографических протоколов распределения ключей перед классическими является тот факт, что секретность передаваемых ключей гаранирустея фундаментальными законами Природы — квантовой механики, а не предположениями об ограниченных технических или вычислительных возможностях подслушнватсля.

Секретность ключей в квантовой криптографии основана па двух фундаментальных запретах квантовой механики: 1) запрете на копирование (клонирование) неизвестного квантового состояния (но cloning теорема); 2) невозможности достоверного (с вероятностью единица) различения неортогональпых квантовых состояний. Любые попытки вторжения в капал связи с целью получения информации о передаваемых нсортогошитьных квантовых состояниях неизбежно приводят к ошибкам на приемной стороне, в результате чего любые попытки подслушивания обнаруживаются по дополнительным помехам. Решение о возможности секретного распространения ключей достигается легитимными пользователями на основе величины наблюдаемой ошибки на приёмной стороне. Секретное распределение ключей возможно, если ошибка не превышает некоторой критической величины.

Это означает, что важнейшей характеристикой протоколов квантовой криптографии является допустимая критическая ошибка на приёмной стороне, до которой возможно секретное распространение ключей. Чем допустимая ошибка больше, тем более устойчивой является система квантовой криптографии по отношению к собственным шумам и попыткам подслушивания. Одной из главных задач при анализе стойкости протоколов квантового распределения ключей является нахождение точной величины критической ошибки.

Экспериментальная реализация квантовой криптографии натолкнулась на ряд технологических трудностей, наиболее важной из которых является сложность генерации строго однофотонпых квантовых

состояний. На практике обычно используются ослабленные лазерные импульсы, которые описываются когерентными квантовым и состояниями. Когерентное состояние имеет пуассоновскуто статистику по числу фотонов. Оказывается, что использование когерентных состояний в сочетании с неизбежным затуханием в реальных каналах связи даёт перехватчику возможность задержатг, часть фотонов у себя, а после получения некоторых сведений от легитимных пользователей, передаваемых но открытому каналу, извлечь из них всю необходимую информацию. В результате схемы квантовой криптографии теряют свою секретность, если длина линии связи превышает некоторую критическую величину. Подобные действия перехватчика получили название атаки с разделением по числу фотонов, пли PNS-атаки (Photon number splitting attack). Поэтому следующей принципиально важной задачей при анализе криптографической стойкости реальных систем квантовой криптографии является определение критической длины линии связи, до которой гарантируется секретность распределения ключей.

Разработки в области противодействия PNS-атаке привели к появлению протокола с изменённой (по сравнению с ВВ84) конфигурацией состояний, используемых легитимными пользователями. Наиболее известным протоколом, устойчивым к PNS-атаке, является протокол SARG04, предложенный в 2004 году (Scarani, Acin, Ribordy, Gisin). Как показал анализ, протокол перестаёт быть секретным только в том случае, когда перехватчик имеет возможность блокировать все одно-, двух- и трёхфотошше посылки. А это значит, что можно говорить о понятии критической дистанции секретного распределения ключей, на которой доля импульсов с большим числом фотонов достаточно мала. Устойчивость протокола против PNS-атаки определяется именно этой критической длиной линии связи.

Другая часть усилий исследователей направлена па модификацию протоколов кватовото распределения ключей с целью увеличения критической величины ошибки, и па сегодняший день разработаны технологии, позволяющие довести её примерно до 30%. Одним из методов увеличения критической ошибки является использование классической предварительной обработки данных, сводящейся к специальным согласованным действиям легитимных пользователей после оценки количества ошибок на приёмной стороне.

В то же время теоретический предел вероятности ошибки, до которой вообще можно безошибочно передавать информацию в асимптотическом пределе длинных последовательностей, составляет, согласно теореме Шеннона, 50%. Возникает принципиально важный вопрос — существуют ли протоколы квантовой криптографии, которые позволяют

iic только безошибочно передавать информацию, но и гарантировать секретность ключей, вплоть до вероятности ошибки на приемной стороне не превышающей 50%. Оказывается, что возможна конфигурация сигнальных состояний, которая даёт в определённых случаях возможность распространения ключа при ошибке на приёмной стороне вплоть до 50%, и это оказывается возможным при использовании двухпарамстрических протоколов квантовой криптографии, к которым относится протокол с фазопо-времешпым кодированием.

Существует модификация протокола с фачово-врсменным кодированием, которая использует конфигурацию базисных векторов, схожую с их расположением в протоколе SARG04, позволяет сделать этот протокол также устойчивым против PNS-атаки. Более того, благодаря тому, что протокол с фазово временным кодированием использует большее количество базисов по сравнению с SARG04, его устойчивость к PNS-атаке оказывается существенно больше: теперь уже для полного взлома перехватчику нужно иметь возможность блокировать все посылки, содержащие от одного до пяти фотонов (а не от одного до трёх, как в случае SARG04). Результат этого — наибольшая критическая длина линии связи среди всех изветных на сегодняшний день протоколов квантового распределения ключей.

Другой интересной и практически важной задачей является построение явной квантовой схемы оптимальной однофотонной атаки перехватчика па известные протоколы квантового распределения ключей. Работа данной квантовой схемы может рассматриваться как одношаговое квантовое вычисление. Такая схема должна сводить все действия перехватчика к использованию реализуемых на сегодняшний день элементов, преобразующих квантовые состояния. Такими элементами являются однокубитовые элементы (реализуемые с помощью асимметричных светоделителей и фазовых модуляторов) и элемент «контролируемое НЕ» (CNOT), действующий на двухчастичные состояния. Строго говоря, элемент CNOT на сегодняшний день является ещё слишком сложным для построения, н вместо него в экспериментах используются его вероятностные модификации, выполняющие нужное действие лишь с некоторой вероятностью. Однако так как произвольное квантовое преобразование невозможно без реализации двухчастичных вентилей, то будем предполагать, что элемент CNOT, как наиболее простую двухчастичную операцию, можно реализовать с применением сегодняшних технологий. Задача построения схемы оптимальной атаки важна, и частности, тем, что с её помощью можно

оцепить сравнительную сложность атаки на разные криптографические протоколы.

Разработка новых протоколов квантового распределения ключей и исследование их криптографической стойкости является на сегодняшний день важной научной и практической задачей, что определяет актуальность темы диссертационной работы.

Целью диссертационной работы являлось:

1. Нахождение критической величины ошибки для протокола SARG04 в случае использования строго однофотонных состояний для передачи информации.

2. Исследование стойкости протокола с фазово-временным кодированием при использовании строго однофотонных импульсов, нахождение области секретности протокола как функции двух параметров — битовой ошибки на приёмной стороне и количества отсчётов в контрольных временных окнах.

3. Исследование стойкости модификации протокола с фазово-врсмсниым кодированием с нсортогопальньши состояниями внутри базисов против атаки с разделением по числу фотонов, а также определение критической длины линии связи, до которой гарантируется секретность распространелiия ключей.

4. Построение квантовой схемы для оптимального подслушивания протокола с фазово-временным кодированном при использовании строго однофотонных состояний для передачи данных.

5. Получение оценок стойкости протокола с фазово-временным кодированием с классической предвартельной обработкой данных.

Научная новизна диссертационной работы заключается в следующих положениях:

1. Для протокола SARG04 впервые получены значения критической ошибки на приёмной стороне Qc при каждом значении параметра протокола — угла между сигнальными состояниями внутри базиса.

2. Найдена область секретности протокола с фазово-временным кодированием на плоскости (Q, q) параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. Показано, что при отсутствии отсчётов в контрольных временных окнах секретная передача информации возможна при битовой ошибке, меньшей 50%, что является теоретическим пределом.

С

3. Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для нсортогоиалыюй модификации протокола с фазово-врсменным кодированием.

4. Построена квантовая схема оптимальной однофотошюй атаки на протокол с фазово-премеиным кодированием и даны принципы физической реализации подобной атаки.

Научная и практическая значимость диссертации состоит в возможности использования сё результатов при построении системы квантового распространения ключей с использованием ослабленных лазерных импульсов и оптоволоконных линий связи:

• для оценки информации поделушнвателя о ключе из наблюдаемых па приёмной стороне параметров.

• для оценки критической длины линии связи, до кото[юй перехватчик не имеет возможность применить PNS-атаку.

• для оценки изменения информации перехватчика при применении метода предварительной блочной обработки данных.

Основные положения, выносимые на защиту:

1. Для протокола SAR.GÛ4 получены значения критической ошибки на приёмной стороне, до которой возможно секретное распределение ключей, при произвольном значении угла между сигнальными состояниями внутри базиса.

2. Найдена область секретности протокола с фазово-врсменным кодированием на плоскости параметров, наблюдаемых па приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. Также исследован способ увеличения области секретности с помощью классической предварительной обработки сигналов.

3. Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для нсортогоиалыюй модификации протокола с фазово-врсменным кодированием.

4. Построена квантовая схема оптимальной атаки на протокол с фазово-временным кодированием в случае строго однофотонпого источника.

Апробация работы

Основные результаты работы докладывались па следующих конференциях:

• Международная конференция «Quantum Informatics — QI-2007», Москва, Россия, 2007 г.;

• Международная конференция «Quantum Cryptography and Computing: Theory and Implementation», Гданьск, Польша, 2009 г.;

• Международная конференция «Quantum Informatics — QI-2009», Москва, Россия, 2009 г.;

• Международная конференция «19th International Laser Physics Workshop», Фос-ду-Игуасу, Бразилия, 2010 г.

Личный вклад автора

Все результаты, представленные в диссертационной работе, получены автором лично либо при его непосредственном участии.

Публикации

По теме диссертации опубликовано G научных работ в рецензируемых журналах из списка ВАК России, список которых приведен в конце автореферата.

Объем и структура работы.

Диссертация состоит из введения, четырех глав и заключения. Полный объем диссертации составляет 208 страниц текста с 30 рисунками. Список литературы содержит 95 наименований.

Содержание работы

Во Введении обосновывается актуальность исследований, проводимых в рамках данной диссертационной работы, ставятся задачи работы, сформулированы научная новизна и практическая значимость представляемой работы. Помимо этого во введении даются основные факты и понятия из близких к теме диссертации областей пауки: криптографии, квантовой теории информации и квантовой криптографии.

В первой части введения даются основные факты классической криптографии. Криптографическая система называется симметричной, если для зашифрования и расшифрования сообщения используется один и тот же секретный ключ, в противном случае система называется асимметричной. Преимуществом симметричных систем шифрования является гарантия их абсолютной стойкости при выполнении условий, сформулированных в работе Шеннона в 1945 г. и опубликованной в 1949 г. Здесь же нужно отметить ради исторической справедливости, что критерий абсолютной стойкости

был сформулирован Владимиром Александровичем Котолышковым в отчете, датированном 18 июня 1941 г.

Эта теорема предъявляет следующие любования к криптографической системе для абсолютной стойкости: ключ должен выбираться случайно, использоваться только один раз, н его длина должна быть не меньше длины исходного сообщения. Эта теорема сводит задачу секретной передачи данных к задаче расщюстранения случайных секретных ключей нужной длины. Так как эта задача является технически сложной, особенно в условиях большого количества абонентов, в последнее время всё более популярны становятся асимметричные системы шифрования, или системы с открытым ключом. Они уже не требуют наличия секретного ключа между каждой парой обменивающихся информацией абонентов: при использовании криптосистем с открытым ключом каждый может зашифровать сообщение для данного абонента, используя его открытый ключ. В то же время для расшифрования информации требуется закрытый ключ, который известен только адресату сообщения. Подобная асимметрия между процедурами шифрования и расшифрования достигается благодаря использованию односторонних функций. Тем не менее до сих пор остаётся открытым вопрос о существовании таких функций, а это означает, что нет гарантии стойкости асимметричного шиф^ювания. Ниболсе распространенным асимметричным методом шифрования является алгоритм RSA. Задачей, лежащей в его основе, является задача разложения больших чисел на простые сомножители. До енх пор не было предъявлено быстрого решения этой задачи. В то же время если такое, решение будет найдено, это будет означать крах стойкости алгоритма RSA. В 1994 г. Питером Шором был предоставлен алгоритм решения этой задачи на квантовом компьютере, который имеет полиномиальную сложность. Это означает, что при создании квантового компьютера схема RSA перестанет быть секретной, что повергает большому риску и другие асимметричные системы шифрования.

Вторая часть введения посвящена квантовой теории информации — науки, объединяющей теорию информации и квантовую механику. В отличие от классической теории, носителями информации здесь являются не полупроводниковые элементы, а элементарные частицы, подчиняющиеся законам квантовой физики. Все свойства таких частиц определяются их состоянием, поэтому в квантовой теории информации принято говорить не о конкретных частицах, а о их состояниях, не акцентируя внимание на процедуре приготовления частиц в этих состояниях.

Чистым квантовым состоянием, обозначаемым \ф), называется вектор в гильбертовом пространстве с единичной нормой. Также важен случаи

статистического ансамбля нескольких чистых состояний, который задаётся их выпуклой комбинацией, что математически оказывается эквивалентно заданию положительно определённого эрмитового оператора с единичным следом — такой оператор, называемый оператором плотности, и является общим случаем квантового состояния. Множество операторов плотности обозначают как Б (И). Чистому состоянию | ф) соответствует оператор плотности Рф = \Ф}{Ф\-

Изменение элементарных частиц со временем подчиняется уравнению Шредингера, которое в квантовой теории информации принимает вид р' = ири*, где и — унитарный оператор. Таким образом, вся динамика квантовой системы сводится к унитарным преобразованиям соответствующих операторов плотности.

Процедура измерения квантового состояния подразумевает получение определённого исхода х из множества X, и задается набором положительных эрмитовых операторов {Мх}, удовлетворяющих условию = I.

Вероятность получения исхода х при таком измерении состояния р равна ТгМхр. Фундаментальным свойством квантовый измерений является коллапс волновой функции, в результате которого исходное состояние после

измерения {Мх} и получения исхода I переходит в состояние

_ у/Щру/Щ

Рх ~ ТгМхр ■

Два важных следствия коллапса волновой функции ~ это, во-первых, невозможность достоверного различения двух неортогопальных киантовых состояний, а во-вторых, невозможность копирования произвольного квантового состояния.

Состояние квантовой системы из нескольких частиц выражается оператором плотности в тензорном произведении соответствующих гильбертовых пространств каждой его составляющей. Состояние, чей оператор плотности можно представить в виде тензорного произведения операторов плотности, относящихся к отдельным подсистемам (р = Р\ ® рг <Э ... ® рп)у называется разделимым состоянием, иначе же состояние называют сцепленным. Традиционным примером сцепленного состояния является состояние ЭПР \~Ферн) — + |11)), важным свойством

которого является то, что измерение каждой его подсистемы фиксирует также состояние другой подсистемы, в результате чего результаты измерений обоих подсистем оказываются строго согласованными, несмотря на то, что сами частицы могут быть сколь угодно далеки друг от друга.

Одним из важнейших результатов квантовой теории информации является квантовая теорема кодирования, которая даёт величину для

10

классической пропускной способности кайма с заданными квантовыми состояниями па выходе. Эта теорема говорит о том. что пропускная способность квантового канала связи с состояниями {/),} па выходе даётся выражением

С = шахх(тг, {Рх}), (1)

7Г

где 7г = {пх} — априорное распределение вероятности квантовых состояний, а х(л,{Рх}) = Н кхРх) - Лх7ГхН(рх) — величина, называемая х~ энтропией. или величиной Холево. Н(р) здесь — энтропия фон Неймана оператора плотности, выражаемая через его собственные значения:

Наконец, третья часть введения посвящена протоколам квантового распределения ключей. Ниболее известный из них — протокол ВВ84. Он использует два базиса:

+ :И = |0), \у) = |1), х:|и>=-^(|0) + |1)), И = ^(|0>-|1».

При посылке сигнала передающая сторона (Алиса) случайно выбирает базис и состояние в нём. На приёмной стороне (пользователя-получателя принято называть Бобом) случайным образом выбирается одно из двух измерений

М+ = И(х|, М+ = \у)(у\..

Ч* = |«)(М|, м? = |«>(»|.

После передачи и измерения всех состояний происходит согласование базисов, в ходе которого Алиса и Боб по открытому каналу сопоставлюят используемые в каждой посылке базисы. Те позиции, где базисы не совпали, отбрасываются. Затем раскрывается примерно половина последовательности для оценки ошибки. Если ошибка оказалась больше критической величины, выполнение протокола прерывается, иначе пользователи производят коррекцию ошибок, в результате которой их битовые строки становятся идентичными, а затем усиление секретности, после которого информация Евы становится ограничена наперед заданной (небольшой) величиной.

Неформально секретность протокола обосновывается тем, что перехватчик (Ева) но знает, в каком базисе ей следует измерять передаваемое состояние, п результате чего она неизбежно вносит ошибку

в передаваемый сигнал. Более строго секретность протокола ВВ84

обосновывается его последовательным сведением к измерению ЭПР-состояний. которое гарантированно даёт согласованные результаты, никак не коррелированные с окружающими квантовыми системами.

Одними из важнейших технических проблем при реализации квантовой криптографии является сложность генерации однофотонных импульсов, а также неизбежное затухание в реальных каналах связи. В сочетании неидеальный источник фотонов (обычно это лазер с ослабленной интенсивностью излучения) и канал с затухании способны привести к возможности проведения так называемой PNS-атаке, при которой перехватчик оставляет часть фотонов каждого многофотонного импульса у себя до согласования базисов, а оставшиеся импульсы блокирует. При больших длинах в канале связи потери от блокировки состояний перехватчиком могут быть списаны на затухание, поэтому перехватчик оказывается не обнаруженным, получая всю необходимую информацию о передаваемых состояниях. Таким образом, можно говорить о критической длине линии связи, до которой перехватчик не имеет возможности блокировать достаточное количество импульсов. Противостояние PNS-атаке поэтому заключается в увеличении показателя критической длины. Так, для незащищенного против PNS-атаки протокола ВВ84 критическая длина составляет всего около 80 км, что затрудняет практическое применение подобных схем шифрования.

Одно из решений по противостоянию PNS-атаке заключается в том, что состояния внутри базиса можно сделать пеортогопальными, затрудняя тем самым для перехватчика их различение даже при знании используемого базиса. На этой технологии построен протокол SARG04 со следующей конфигурацией сигнальных состояний:

|0°) = cos>) + sin Ы |06> = sin 5|0> - cos Ы ¿ ¿ ¿ ¿

|la) = cos¡|0> - sin ¡|1), |1J) = sin||0> + cos¡|l>,

Здесь угол между состояниями внутри каждого базиса равен ц. Так как теперь перехватчику недостаточно задержать у себя по одному фотону каждого импульса, ему приходится применять измерение над дополнительными фотонами сразу после их получения. Поскольку протокол использует два базиса., перехватчику потребуется минимум два фотона для проведения измерений в обоих базисах. Однако и в этом случае из-за неортогональности состояний велика вероятность, что перехватчик не получи достоверной информации о состоянии, поэтому можно считать, что протокол SARG04 может быть атакован е. помощью PNS-атаки только в том

случае, когда перехватчик имеет возможность блокировать все трёхфотонные компоненты. Это существенно увеличивает критическую длину канала связи, делая протокол SARG04 более защищенным против PNS-атаки.

Вторая глава посвящена исследованию криптографической стойкости протокола SARG04. Сначала в ней приводятся критерии секретности ключей п квантовой криптографии, на основании которых можно делать выводы о стойкости того или иного протокола. Чаще всего используется следующее выражение для финальной длины секретного ключа при исходной длины последовательности п:

- = 1(А; В) - 1{А\ Е). п

где /(Л; В) и 1{А\ Е) — соответственно пропускная способность классического канала между Алисой и Бобом и квантового капала между Алисой и Евой.

Задача исследования стойкости сводится, таким образом, к оценке информации Евы /(Л; Е) через наблюдаемую ira приёмной стороне ошибку q. Наиболее эффективной стратегией Евы является коллективная атака, которая сводится к следующему. Для каждого передаваемого состояния \ф) Ева готовит вспомогательное состояние |е) и подвергает совместное состояние Iф ® е) унитарному преобразованию Ug, в результате чего полученное состояние Ф оказывается сцепленым. Действие прсобратоваиия Ue на сигнальные состояния (2) можно выразить как

иЕ{ 10« О е)) = |0~) = x/WlOaWoJ + уЖЮ, UE(\la ® е)) = |Q = Фк) + Vp\h)\Ola),

UE{|0„ ® е)) = |0Ь> = V^PIO»)!^) + UE{\h ® е» = |Ь> = у/Г^МФи) + ^|1«>|вц>,

где из соображений унитарности Ue и симметрии состояния |ф^) можно выразить через 3 параметра — р, а и ¡3, где

(■фйа\ф0ь) = (Фи\Фи) = cosa, (0о„|0оь) = {К\Ю =

а параметры связаны соотношением

1 — 2р = (1 — р) cosa + pcos в, (4)

которое оставляет лишь два параметра в распоряжении Евы, определяющие унитарный оператор Ue-

После измерения на стороне Боба и отбрасывания исходов с неопределенным результатом его ошибка оказывается равной

Р

Рис. 1: а) Зависимость разности между информацией информацией легитимных пользователей и Евы от параметров (Q. а) при величине угла rj = Плоскостью показана область, где параметры Q и а несовместны, то есть из соотношения (4) вытекает, что j cos > 1, и решения отсутствуют. Ь) зависимость критической ошибки от угла г\ между состояниями внутри базисов.

После измерения па стороне Боба и публичном согласовании базисов Ева имеет последователыюсть частичных состояний вида

р1 = 7№0<IM + - с(+ l<W<>J), (6.

и можно говорить о квантовом канале между Алисой и Евой, пропускная способность которого даётся величиной Холево (1). Собственные значения оператора ^{Роа + pfa), необходимые для нахождения величины Холево, легко найти как корни алгебраического уравнения четвёртой степени: методы решения подобных уравнений хорошо известны.

На рис.1, а) показан график разности между информацией легитимных пользователей и Евы в зависимости от параметров (Q,a) при величине угла г] = На рис.1, Ь) показана зависимость критической ошибки, до которой возможно распространение секретного ключа, от угла г) между состояниями внутри базисов.

В третей главе рассматривается протокол квантового распределения ключей с фазово-временным кодированием и его криптографическая стойкость. Этот протокол использует три временных окна (что соответствует пространству кутритов), которые обозначаются как |1),|2) и |3), и 4 различных базиса, которые разделены па две. группы: левые, и правые. Состояния из левой пары базисов являются комбинациями первого и второго временного окна, а состояния правой пары базисов — суперпозициями второго и третьего окон (рис. 2).

Существуют две версии протокола с фазово-временным кодированием. В ортогональной версии состояния внутри каждого базиса взаимно

«Левые» базисы |Д * М,

«Правые» базисы гИ/

Временные окна -1 • >

Рис. 2: Конфигурация сигнальных состояний d протоколе с фазово-временным кодированном

(7)

ортогональны и задаются соотношением

|0+£) = -^(|1> + |2)); |0+й> = -^(|2> + |3)),

|0xi> = -^(|l>+i|2)), |0*д) = -^(|2)+1[3});

¡lxL) = — г|2}), |1*«) = ±(|2)-г|3)).

В неортогональной же версии конфигурация состояний в левом и правом базисах идентична конфигурации векторов в протоколе SARG04, и сигнальные состояния равны

ЮМ = соф) + sin||2>, |0Я») = eos ¡|2) +sm||3>,

|1L«) = eos 3|1> - sin ¡|2), IIя») = eos ¡|2> - sin¡|3), |0^)=sin¡|l)-cos¡|2), |0R>) =sin¡|2) -cos¡|3), |l£b> = sin ¡II) + eos ||2), |lñ>) = sin ||2> + eos ¡|3),

(8)

Измерение на приемной стороне происходит в случайно выбранном базисе. В ортогональной версии это ортогональное измерение, дающее достоверный исход при отсутствии помех в канале. В неортогональной версии это измерение с тремя исходами, которое способно дать несовместный исход (вероятность которого зависит от угла между состояниями), но также но даёт ошибки при отсутствии помех в канале связи. Однако важным отличием от БАПСМ в обеих версиях является возможность получения ещё одного исхода — отсчета в контрольном временном окне. Для сигналов из левых базисов это третье, вермепиое окно, а для состояний из правых базисов — первое.

Рис. 3: Области секретности Протокола квантового распределения ключей с фазово-временным кодированием. Левая половина соответствует ортогональному случаю, правая — значению угла ц = тг/6. Оптимальной атаке отвечает зависимость д(0), показанная линией.

Поело пересылки и измерений всех сигнальных состояний, как и в протоколе ВВ84, проводятся этапы коррекции ошибок и усиления секретности.

Для обоснования стойкости протокола в однофотонном режиме рассматривается унитарное преобразование Евы и строится его зависимость от наблюдаемых на приёмной стороне параметров — битовой ошибки и количества контрольных отсчётов. В силу сходства в конфигурации сигнальных состояний с протоколом 8А1Ю04, многие выкладки оказываются аналогичными. Результатом введния дополнительного параметра па приемной стороне (контрольных отсчётов) оказывается то, что теперь длина ключа оценивается по двум параметрам, и наблюдается область секретности на плоскости (Ол) битовой ошибки Ц и контрольных временных отсчётов с[. Области секретности для ортогональной версии протокола и , для его нсортогональной версии (при значении угла т) между сигнальными

I состояниями внутри базиса, равном 7г/6) приведены на рис.3.

1 Стойкость протокола против РИЭ-атаки исследуется следующим ,

образом. Рассмотрим, при каких условиях перехватчик может получить всю I информацию о передаваемых состояниях. Протокол использует 4 базиса с неортогональными состояниями в каждом из них, поэтому для получения точной информации придется провести измерение с тремя исходами сразу во всех базисах, а для этого потребуется, чтобы испульс содержал как минимум <

пять фотонов. Так как и в этом случае вероятность совместных исходов во всех измерениях мала, можно считать, что протокол перестаёт быть стойким I

против Р^-атаки в том случае, когда перехватчик имеет возможность |

блокировать все посылки, содержащие от одного до пяти фотонов.

На рис.4 приведены зависимости критических длин ключа от максимального количества фотонов, которые могут быть блокированы 1

к' = 1

О

0.1

0.2

0.3 0.4 0.5 V

Рис. 4: Зависимости длины линии С к от среднего числа фотонов р в когерентном состоянии, начиная с которых Ева может блокировать посылки, содержащие к фотонов.

перехватчиком. Таким образом, при значении интенсивности порядка ¡1 ~ 0.2 критическая длина линии связи для протокола с фазово-времеппым кодированием превосходит 300 км.

В четвертой главе происходит построение квантовой схемы оптимального подслушивания для протокола ВВ84 и протокола с фазово-временным кодированием. Построение такой схемы позволяет дать представление о физической реализации схем квантовых вычислений, а также оценить масштабы требований к техническому арсеналу перехватчика.

Сначала схема строится в логическом базисе, который не привязан к физической природе входящих в него элементов. Затем происходит переход к физическому базису, па котором описывается техническая реализация всех основных составляющих квантовой схемы.

Для построения логической схемы достаточно выбрать конкретные состояния перехватчика в качестве состояний |е), \ф{) и в (3), затем выписать явный вид унитарного оператора, производящего над выбранными состояниями преобразование (3), после чего построить квантовую схему из доступных элементарных преобразований. Заметим, что как состояния, так и преобразование перехватчика могут выбираться несколькими способами.

Как известно, любое мпогокубитовое унитарное преобразование может быть сведено к последовательному применению и одного двухкубитового преобразования «контролируемое НЕ» (С1ЧОТ), которое действует по закону

С N07100} = 100), СИОТЩ) = |0Г), СИОТЩ = |ТТ), С]УОГ|ТТ) = 110},

Ввиду громоздкости здесь не будут приводиться все детали построения квантовой схемы. Основными однокубитовыми преобразованиями в ной являются поворот Я(а) на угол а, операция Адамара Я, смена фазы Р,у г-й позиции кубита на угол (р и «размазывание» амплитуды с коэффициентом С}. Матрицы операторов перечисленных вентилей таковы:

cosa sina — siru cosQ

R(a) =

H

Q

-i)' чЛ^ VQ

(10)

и

K(a)

Що)\с)

[O)

{3

siu«n)0) + cos(/;j|l)

^ | K(a)|0>

cos«.o|(l) f sino ;V|1) 6

Рис. 5: Пример преобразования квантовых состояний — а) формальное обозначение квантового вентиля поворота, Ь) физическая реали:1ация квантового вентиля.

В качестве примера физической реализации рассмотрим поворот на угол а — R(a). Схема реализации этого преобразования показана па рис.5. Физическая структура преобразований такова, что для каждого значения кубита используется свой квантовый канал: так, значению |0) соответствует верхний канал, а значению |1) — нижний. Исходное состояние кубита, таким образом, представляется суперпозицией состояний, идущих по двум физическим каналам. Поворот реализуется асимметричным светоделителем, показатель отражения которого равен sina.

Переход к физическому базису требует проведения следующих шагов: разведения амплитуд, отвечающих разным базисным состояниям и последующее приведение их к одному временному интервалу, целью которого является возможность возникновения иитерференци, необходимая для применения квантовых вентилей.

Наибольшие сложности в практическом построении подобной схемы атаки связаны с реализацией оператора CNOT. Это объясняется тем, что для такого преобразования требуется гамильтониан специального вида, который не встречается в природе. Поэтому в настоящее время все практически реализуемые вентили CNOT носят не. детерминистический, а вероятностный характер. Учитывая общее число подобных элементов в схеме (около ста),

18

можно оценить конечную вероятность успешной работы всей схемы. Таким образом, задача оптимального прозрачного подслушивания протокола с фазово-времепиым кодированием является существенно более сложной, чем подслушивание протокола ВВ84.

Пятая глава посвящена увеличению критической ошибки протоколов квантового распределения ключей с помощью классической предварительной обработки данных. Эта обработка происходит после публичного согласования базисов и раскрытия части последовательности для оценки ошибки. На этом этапе Алиса и Боб, напомним, находятся в состоянии классического канала связи с известной им вероятностью ошибки q, в то время как Алиса и Ева находятся в состоянии классически-квантового (c-q) канала, связи, максимальная пропускная способность которого может быть вычислена, по приведенной выше схеме.

Классическая предварительная обработка данных заключается в том, что Алиса объединяет свои биты с одинаковыми значениями в блоки длины N, а затем открыто сообщает Бобу позиции битов каждого блока, не раскрывая при этом их значения. Если все биты в блоке совпали, то этот блок используется в качестве одного бита в новой последовательности символов, в противном же случае все позиции, соответствующие блоку, отбрасываются. Это сокращает длину последовательности, но способно уменьшить информацию перехватчика, что в конечном итоге влечет к увеличению длины секретного ключа.

Обозачим как ро.ок и po.ßrr состояния Евы при посылке сигнала Ü в случае соответственно верного и ошибочного исхода измерения Боба. Аналогично состояния ßipK и pi,Err попадают в распоряжение Евы при посылке сигнала. 1. Если предварительная обработка данных не была произведена, то Ева стоит перед задачей различения операторов рд = (1 — Я)РО,ОК + QPo,Err И pf = (1 - q)pi0K + qpl.Erv В случае же объединения сигналов в блоки Ева должна будет отличить состояния

пЕ - ,__Я* aN

P°~(l- q)» + q»P°>0K + (l~ q)« +

(l-n)^ nN ^ nE - ^ q> J__?_n®N

PQ ~ (1 - q)N + qNP°'0K + (1 - q)N + q"Pl'ErT

Так как ошибка па стороне Боба равна <5 = , то длина

финального ключа оказывается равной

Рис. С: Области секретности {отвечают положительным значениям длины ключа в зависимости от наблюдаемых параметров (Q, q) при величине блоков N — .3 к /V = 5

На рис.6 показана область секретности протокола с фазово-временпым кодированием при использовании предварительной обработки данных с длиной блоков, равной 3 и 5. Как видно из этих риснуков, предварительная обработка данных способна существенно расширить область секретности протокола.

В заключении приведены основные результаты работы, которые заключаются в следующем:

• Исследована стойкость протокола SARG04 в однофотонном режиме: получены значения критической ошибки па приёмной стороне при произвольном значении угла между сигнальными состояниями внутри базиса. При состояниях внутри базиса, близким к ортогональным, значение критической ошибки, как и ожидалось, близко к 11%, а при уменьшении значения угла оно увеличивается и приближается к 16%.

• Найдена область секретности протокола с фазово-временным кодированием на плоскости параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. При отсутствии контрольных отсчётов распределение ключей оказывается возможным при битовой ошибке, не превышающей 50%, что соответствует теоретическому пределу.

• Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для неортогональной модификации протокола е фазово-врсмеипым кодированием. Эта величина существенно превосходит аналогичные значения, полученные для других известных на сегодняшний день протоколов.

• Построена квантовая схема оптимальной одпофотонной атаки на протокол с фазово-врсмепным кодированием. Из её построения видно, что задача прозрачного подслушивания этого протокола является существенно более сложной, чем для протокола ВВ84 и фактически требует наличия в распоряжении перехватчика квантового компьютера.

• Исследован способ увеличения области секретности с помощью классической предварительной обработки сигналов: рассмотрено объединение в блоки битов с одинаковыми значениями при совпадении их значений у легитимных пользователей, что позволяет расширить область секретности.

Публикации автора по теме диссертации

1. Д.А.Кронберг, С.Н.Молотков, Квантовая схема для оптимального подслушивания квантового распределения ключей с фазово-временным кодированием.// Журнал экспериментальной и теоретической физики, том 137 выи. 7, 33-66 (2010)

2. Д.А.Кронберг, С.Н.Молотков, Квантовая схема для оптимального подслушивания протокола ВВ84 квантового распредлепия ключей.// Известия РАН (серия физическая), том 74 вып. 7, 954-960 (2010)

3. Д.А.Кронберг, С.Н.Молотков, Усиление стойкости фазово-временной квантовой криптографии блочным исправлением ошибок.// Письма в Журнал экспериментальной и теоретической физики, том 92 вып. 7, 539544 (2010)

4. Д.А.Кронберг, С.Н.Молотков, Двухпараметрическая квантовая криптография на временных сдвигах, устойчивая к атаке с расщеплением по числу фотонов.// Журнал экспериментальной и теоретической физики, том 136 выи. 4, 650-683 (2009)

5. Д.А.Кронберг, С.Н.Молотков, Квантовое распределение ключей в однофотоипом, режиме с неортогональными состояниями внутри базиса.// Письма в Журнал экспериментальной и теоретической физики, том 89 вып. 7, 432-438 (2009)

6. D.A.Kronberg, S.N.Molotkov, Robustness of quantum cryptography: SARG04 key-distribution protocol./j Laser Physics, volume 19 number 4, 884-893 (2009)

Подписано в печать 03.11.2010 Формат 60x88 1/16. Объем 1.0 пл. Тираж 100 экз. Заказ № 1041 Отпечатано в ООО «Соцветие красок» 119991 г.Москва, Ленинские горы, д.1 Главное здание МГУ, к. А-102

1 Введение

1.1 О задаче секретной передачи данных.

1.1.1 Исторические сведения.

1.1.2 Симметричные шифры.

1.1.3 Криптографические системы с открытым ключом.

1.2 Основные понятия квантовой теории информации

1.2.1 Квантовые состояния.

1.2.2 Измерения.

1.2.3 Составные квантовые системы.

1.2.4 Передача информации по квантовым каналам.

1.2.5 Квантовые коды коррекции ошибок.

1.3 Протокол квантового распределения ключей ВВ84.

1.3.1 Общая схема протокола.

1.3.2 Стойкость протокола.

1.3.3 Стратегии подслушивателя.

1.4 Другие протоколы квантовой криптографии.

1.4.1 Протокол В

1.4.2 Р^-атака.

1.4.3 Протокол 4+

1.4.4 Протокол 8АЫС04.

2 Стойкость протокола 8А1Ю

2.1 Критерий секретности ключей.

2.2 Схема атаки на протокол.

2.3 Стойкость протокола.

2.4 Выводы.

3 Квантовая криптография с фазово-временным кодированием

3.1 Описание протокола.

3.2 Стойкость версии протокола с ортогональными состояниями внутри базиса

3.3 Стойкость неортогональной версии в однофотонном случае.

3.4 Стойкость протокола против Р^-атаки.

3.5 Выводы.

4 Квантовая схема для оптимального подслушивания протокола квантового распределения ключей с фазово-временным кодированием

4.1 Квантовая схема для оптимальной атаки на протокол квантового распределения ключей ВВ84.

4.2 Квантовая схема для оптимальной атаки на протокол квантового распределения ключей с фазово-временным кодированием

4.3 Выводы.

5 Расширение области секретности протоколов квантового распределения ключей с помощью предварительной обработки данных

5.1 Протокол квантового распределения ключей ВВ84.

5.2 Протокол с фазово-временным кодированием.

Диссертационная работа посвящена протоколам квантового распределения ключей с фазово-временпым кодированием и исследованию их криптографической стойкости: как против атаки на реализацию протокола с использованием строго однофотонных импульсов, 'гак и против атаки с разделением по числу фотонов.

Квантовая криптография как наука зародилась в 1984 году, когда был разработан первый протокол квантового распределения ключей, названный ВВ84 [7]. Главным преимуществом квантовых криптографических протоколов перед классическими является строгое теоретическое обоснование их стойкости: если в классической криптографии стойкость сводится, как правило, к предположениям о вычислительных возможностях подслушивателя, то в квантовой криптографии перехватчик может предпринимать все допустимые законами природы действия, и всё равно у него не будет возможности узнать секретный ключ, оставшись при этом незамеченным.

Важным для квантовой криптографии свойством квантовой механики является свойство коллапса волновой функции, которое означает, что при измерении любой квантовомеханической системы её исходное состояния, вообще говоря, меняется. Это ведёт к важному следствию о том, что невозможно достоверно различить квантовые состояния из их неортогонального набора. Именно это свойство используется в обосновании секретности квантовой криптографии: при попытке подслушать передаваемые состояния из их неортогонального набора перехватчик неизбежно вносит в них ошибку, в результате чего он может быть обнаружен по дополнительным помехам на приёмной стороне. Поэтому решение о возможности секретного распространения ключей достигается легитимными пользователями на основе величины наблюдаемой ошибки на приёмной стороне: при приближении значения этой ошибки к критической величине (зависящей от используемого протокола) длина секретного ключа в битах стремится к пулю, и передача ключей становится невозможной.

Это означает, что важнейшей характеристикой протоколов квантовой криптографии является допустимая критическая ошибка на приёмной стороне, до которой возможно секретное распространение ключей: чем она больше, тем более устойчивой является система квантовой криптографии по отношению к собственным шумам и попыткам подслушивания. Важным результатом является нахождение точной величины критической ошибки для протокола ВВ84, которая оказывается равной приблизительно 11%[71].

Экспериментальная реализация квантовой криптографии натолкнулась на ряд технологических трудностей, наиболее важной из которых является сложность генерации строго однофотонных квантовых состояний. На практике обычно используются ослабленные лазерные импульсы, которые описываются когерентными квантовыми состояниями. Лазерное излучение имеет пуассоновское распределение по числу фотонов, поэтому с определённой вероятностью, зависящей от среднего числа фотонов, в когерентных состояниях могут встречаться посылки, в которых присутствуют два, три и более фотонов с убывающими вероятностями. Это оказывается важным допущением, так как использование многофотонных состояний в сочетании с неизбежным затуханием в реальных каналах связи даёт перехватчику теоретическую возможность задержать часть фотонов у себя, а после получения некоторых сведений от легитимных пользователей, передаваемых по открытому каналу, извлечь из них всю необходимую информацию, в результате чего схемы квантовой криптографии теряют свою секретность. Подобные действия перехватчика получили название атаки с разделением по числу фотонов, или PNS-атаки (Photon number splitting attack) [2].

Разработки в области противодействия PNS-атаке привели к появлению протокола с изменённой (по сравнению с ВВ84) конфигурацией состояний, используемых легитимными пользователями. Подобная конфигурация хотя и обеспечивает меньшую скорость генерации ключа, уже не позволяет перехватчику получить всю необходимую информацию о ключе даже при успешной задержке части передаваемых фотонов в своей квантовой памяти. Наиболее известным протоколом, устойчивым к PNS-атаке, является протокол SARG04[2, 65], предложенный в 2004 году. Как показал анализ, он перестаёт быть секретным только в том случае, когда перехватчик имеет возможность блокировать все одно-, двух- и трёхфотонные посылки. А это значит, что квантовое распространение ключей возможно на большей дистанции, чем при использовании протокола ВВ84, так как возможная длина линии связи зависит от среднего числа фотонов в посылке. Таким образом, можно говорить о понятии критической дистанции секретного распределения ключей, на которой доля доля импульсов с большим числом фотонов достаточно мала, и устойчивость протокола против PNS-атаки- определяется именно этой критической дистанцией.

Другая часть усилий исследователей направлена на модификацию протоколов кватового распределения ключей с целью увеличения критической величины ошибки, и на сегодняший день разработаны технологии, позволяющие довести её примерно до 30%[1, о, 13, 18, 27, 56, 72, 77]. Одним из важнейших методов увеличения критической ошибки является использование классической предварительной обработки данных[5], сводящейся к специальным согласованным действиям легитимных пользователей после оценки количества ошибок на приёмной стороне. В то же время теоретический предел на возможную вероятность ошибки при безошибочной передаче какой-либо информации составляет, согласно теореме Шеннона, 50% [67, 82]. Возникает вопрос: возможно ли сделать так, чтобы передача секретных данных также была возможна при ошибке на приёмной сторона, не превышающей 50%. На первый вопрос кажется, что это невозможно: часть информации в любом случае может попасть к перехватчику, и в этом случае критическая ошибка уже оказывается строго меньше 50%. Однако оказывается, что возможна конфигурация сигнальных состояний, которая даёт в определённых случаях возможность распространения ключа при ошибке на приёмной стороне вплоть до 50%, и это оказывается возможным при использовании двухпараметрических протоколов квантовой криптографии, к которым относится протокол с фазово-времепным кодированием.

Протокол с фазово-временным кодированием оценивает информацию подслушивателя по двум наблюдаемым на приёмной стороне параметрам: количеству битовых ошибок и количеству отсчётов в контрольных временных окнах. Причина введения дополнительного параметра такова: битовая ошибка на приёмной стороне не всегда вызвана действиями перехватчика, иногда она появляется вследствие несовершенства аппаратуры, в частности из-за разбалансировки интерферометра. Два параметра поэтому позволяют в некотором роде разделить ошибки, вызванные неидеалыюстыо аппаратуры и ошибки, вызванные перехватчиком. Так, анализ стойкости протокола показывает, что при отсутствии отсчётов в контрольных временных окнах секретное распределение ключей возможно, если битовая ошибка меньше 50%, что соответствует теоретическому пределу: это означает, что в таком случае перехватчик, какие бы действия он ни совершал, неспособен получить какую-либо полезную информацию. В то же время любые действия перехватчика, приводящие к получению им передаваемой информации, влекут к появлению контрольных отсчётов, что позволяет оценить доступную перехватчику информацию по двум параметрам протокола. Важно отметить, что метод классической предварительной обработки сигналов даёт результаты и для протокола с фазово-временным кодированием, увеличивая его критическую ошибку при ненулевых контрольных отсчётах.

Другая модификация протокола с фазово-временным кодированием использует конфигурацию базисных векторов, схожую с их конфигурацией в протоколе ЗАГЮ04 (конкретно, неортогональными оказываются не только векторы в разных базисах, но и внутри каждого из базисов), что позволяет сделать этот протокол также устойчивым против Р^-атаки. Более того, благодаря тому, что протокол с фазово временным кодированием использует большее количество базисов по сравнению с ЗА1Ю04, его устойчивость к Р^-атаке оказывается существенно больше: теперь уже для полного взлома перехватчику нужно иметь возможность блокировать почти все посылки, содержащие от одного до пяти фотонов (а не от одного до трёх, как в случае 8А1Ю04). Результат этого — наибольшая критическая длина линии связи среди всех изветных на сегодняшний день протоколов квантового распределения ключей.

Другой осмысленной задачей является построение явной квантовой схемы оптимальной однофотонной атаки перехватчика на известные протоколы квантового распределения ключей. Такая схема должна сводить все действия перехватчика к использованию реализуемых на сегодняшний день элементов, преобразующих квантовые состояния. Такими элементами являются однокубитовые элементы (реализуемые с помощью асимметричных светоделителей и фазовых модуляторов) и элемент «контролируемое НЕ» (СКОТ), действующий на двухчастичные состояния. Строго говоря, элемент СИОТ на сегодняшний день является ещё слишком сложным для построения, и вместо него в экспериментах используются его вероятностные модификации, выполняющие нужное действие лишь с некоторой вероятностью. Однако так как произвольное квантовое преобразование невозможно без реализации двухчастичных вентилей, то будем предполагать, что элемент С1МОТ, как наиболее простую двухчастичную операцию, можно реализовать с применением сегодняшних технологий. Задача построения схемы оптимальной атаки важна, в частности, тем, что с её помощью можно оценить сравнительную сложность атаки на разные криптографические протоколы.

Из этого следует актуальность работы, связанная с возможностью получения полностью секретного ключа в реальных условиях при передаче ослабленных лазерных испульсов по оптоволоконным линиям связи и исследованием зависимости длины финального ключа от параметров, наблюдаемых на приёмной стороне.

Подводя итог вышесказанному, можно следующим образом сформулировать задачи диссертационной работы:

1. Нахождение критической величины ошибки для протокола ЗА1Ю04 в случае использования строго однофотонных состояний для передачи информации.

2. Исследование стойкости протокола с фазово-временным кодированием при использовании строго однофотонных импульсов, нахождение области секретности протокола как функции двух параметров — битовой ошибки на приёмной стороне и количества отсчётов в контрольных временных окнах.

3. Исследование стойкости модификации протокола с фазово-временным кодированием с неортогональными состояниями внутри базисов против атаки с разделением по числу фотонов и получение критической длины линии связи.

4. Построение квантовой схемы для оптимального подслушивания протокола с фазово-времепным кодированием при использовании строго однофотонных состояний для передачи данных.

5. Получение оценок стойкости протокола с фазово-временным кодированием с использованием классической предвартельной обработки данных.

Новизна диссертационной работы заключается в следующих положениях:

1. Для протокола 8А1Ю04 получены значения критической ошибки на приёмной стороне С2с при каждом значении параметра протокола — угла между сигнальными состояниями внутри базиса.

2. Найдена область секретности протокола с фазово-временным кодированием на плоскости (<3, д) параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. Показано, что при отсутствии отсчётов в контрольных временных окнах секретная передача информации возможна при битовой ошибке, меньшей 50%, что является теоретическим пределом.

3. Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для неортогональной модификации протокола с фазово-временным кодированием.

4. Построена квантовая схема оптимальной однофотонной атаки на протокол с фазово-временным кодированием и даны принципы физической реализации подобной атаки.

Научная и практическая значимость диссертации состоит в возможности использования её результатов при построении системы квантового распространения ключей с использованием ослабленных лазерных импульсов и оптоволоконных линий связи:

• для оценки информации подслушивателя о ключе из наблюдаемых на приёмной стороне параметров

• для оценки критической длины линии связи, до которой перехватчик не имеет возможность применить PNS-атаку

• для оценки изменения информации перехватчика при применении метода предварительной блочной обработки данных

Результаты работы прошли апробацию на следующих конференциях:

• Международная конференция «Quantum Informatics — QI-2007», Москва, Россия, 2007 г.;

• Международная конференция «Quantum Cryptography and Computing: Theory and Implementation», Гданьск, Польша, 2009 г.;

• Международная конференция «Quantum Informatics — QI-2009», Москва, Россия, 2009 г.;

• Международная конференция «19th International Laser Physics Workshop», Фос-ду-Игуасу, Бразилия, 2010 г.

Диссертационная работа состоит из введения, четырёх глав и заключения.

Основные выводы и результаты диссертационной работы:

Исследована стойкость протокола ЗА1Ю04 в однофотонпом режиме: получены значения критической ошибки на приёмной стороне при произвольном значении угла между сигнальными состояниями внутри базиса. При состояниях внутри базиса, близким к ортогональным, значение критической ошибки, как и ожидалось, близко к 11%, а при уменьшении значения угла оно увеличивается и приближается к 16%.

Найдена область секретности протокола с фазово-временным кодированием на плоскости параметров, наблюдаемых на приёмной стороне: битовой ошибки и количества отсчётов в контрольных временных окнах. При отсутствии контрольных отсчётов распределение ключей оказывается возможным при битовой ошибке, не превышающей 50%, что соответствует теоретическому пределу.

Получена зависимость критической длины линии связи от среднего числа фотонов в лазерном импульсе для неортогональной модификации протокола с фазово-временным кодированием. Эта величина существенно превосходит аналогичные значения, полученные для других известных на сегодняшний день протоколов.

Построена квантовая схема оптимальной однофотонной атаки на протокол с фазово-времепным кодированием. Из её построения видно, что задача прозрачного подслушивания этого протокола является существенно более сложной, чем для протокола ВВ84 и фактически требует наличия в распоряжении перехватчика квантового компьютера.

Исследован способ увеличения области секретности с помощью классической предварительной обработки сигналов: рассмотрено объединение в блоки битов с одинаковыми значениями при совпадении их значений у легитимных пользователей, что позволяет расширить область секретности.

Заключение

1. A.Acin, J.Bae, E.Bagan, M.Big, L.1.Masanes, R.Munoz-Tapia, Secrecy properties of quantum channels, Phys. Rev., A73,012327-1 (2006).

2. A.Acin, N.Gisin, and V.Scarani, Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks, Phys. Rev. A69, 012309 (2004)

3. Hiroshi Ajiki, Wang Yao, Lu J.Sham, Enhancement of the Kerr effect for a quantum dot in a cavity, Superlattices and Microstructures, 34 (2003) 213.

4. O.Alibart, D.B.Ostrowsky, and P.Baldi, High performance heralded single photon source, arXiv: quant-ph 0405075.

5. J.Bae, A.Acin, Key distribution from quantum channel using two-way communication protocols, arXiv: quant-ph 0610048.

6. C.H.Bennett, Quantum Cryptography using any Two Nonortogonal States, Phys. Rev. lett., 68 (1992) 3121. C.H.Bennett, Interferometric Quantum Key Distribution System, April 26 (1994), Date of Patent, Patent Number 5,307,410.

7. C.H.Bennett, G.Brassard, Quantum Cryptography: Public Key Distribution and Coin Tossing, Proc.of IEEE Int. Conf. on Comput. Sys. and Sign. Proces., Bangalore, India, December 1984, p.175.

8. C.H.Bennett, G.Brassard, C.Crepeau, U.Maurer, Generalized Privacy Amplification, IEEE Transaction on Information Theory, 41, 1915 (1995).

9. C.H.Bennett, P.W.Shor, Quantum Information Theory, IEEE Trans. Inform. Theory, 44, 2724 (1998).

10. D.S.Bethune, M.Navarro, W.P.Risk, Enhased Autocompensating Quantum Cryptography System, arXiv:quant-ph/0104089.

11. D.S.Bethune, W.P.Risk, An Autocompensating Fiber-Optic Quantum Cryptography System Based on Polarization Splitting of Light, IEEE Journal of Quantum Elecr., 36 (2000) 340.

12. D.S.Bethune, W.P.Risk, An Autocompensating Quantum Key Distribution System using Polarization Splitting of Light, IQEC'98 Digest of Postdeadline Papers, vol. QPD12-2, May (1998).

13. C.Branciard, N.Gisin, B.Kraus, V.Scarani, Security of two quantum cryptography protocols using the same four qubit states, Phys. Rev., A72, 032301-1 (2005).

14. G.Brassard, N.Liitkenhaus, T.Mor, B.Sanders, Limitations on Practical Quantum Cryptography,, Phys. Rev. Lett., 85, 1330 (2000).

15. G.Brassard, L.Salvail, Secret-key reconciliation by public discussion, EUROCRYPT'93, Lecture Notes in Computer Science, 410 (1994)

16. P.Busch, M.Grabowski, P.J.Lahti, Operational Quantum Physics, Springer Lecture Notes in Physics, v.31, 1995.

17. J.L.Carter, M.N.Wegman, Universal classes of hash functions, Journal of Computer and System Sciences, 18, 143 (1979).

18. H.F.Chau, Practical scheme to share a secret key through a quantum channel with a 27.6% bit error rate, Phys. Rev. A66, 060302-1 (2002).

19. I.Csiszar, J.Korner, Broadcast channels with confidential messages, IEEE Trns. Inf. Theory, 24, 339 (1978).

20. W.Diffie and M.E.Hellman, New Directions in Cryptography, IEEE Transactions on Information Theory, 22, 644 (1976)

21. A.Einstein, B.Podolsky, N.Rosen, Can quantum-mechanical description of physical reality be considered complete?, Phys. Rev., bf 47 (1935) 777.

22. C.Elliott, A.Colvin. D.Pearson, O.Pikalo, J,Schlafer, H,Yeh, Current Status of the DARPA Quantum Network, arXiv:quant-ph/0503058; C.Elliot, Building of Quantum Network, New J. of Phys., 4 (2002) 46.1.

23. C.Elliott, D.Pearson, G.Troxel, Quntum Cryptography in Practice, arXiv:quant-ph/0307049.

24. S.Fasel, O.Alibart, A.Beveratos, S.Tanzilli, H.Zbinden, P.Baldi, N.Gisin, High quality asynchronous heralded single photon source at telecom wavelength, arXiv: quant-ph 0408136.

25. J.D.FrariKon, H.Ilves, Quantum Cryptography using Optical Fibers, Appl. Opt., 33 (1994) 2949.

26. N.Gisin, G.Ribordy, W.Tittel, H.Zbinden, Quantum Cryptography, arXiv-.quant-ph/0101098; Rev. Mod. Phys., 74 (2002) 145.

27. N.Gisin, S.Wolf, Quantum Cryptography on Noisy Channels: Quantum versus Classical KeyAgreement Protocols, Phys. Rev. Lett., 83, 4200 (1999).

28. S.Glancy, J.M.LoSecco, C.E.Tanner, Implementation of a quantum phase gate by the optical Kerr effect, arXiv:quant-ph/0009110.

29. Amitabh Joshi, Min Xiao, Phase gate with a four-level inverted- Y system, Phys. Rev., A72, (2005) 062319.

30. Amitabh Joshi, Min Xiao, Phase Gates With Four-Level Inverted-Y System, Preprint, JWB100 (2005).

31. T.Gaebel, I.Popa, A.Gruber, M.Domhan, F.Jelezko, J.Wrachtrup, Stable single-photon source in the near infrared, New Journal of Physics, 6, 98 (2004).

32. C.W.Helstrom, Quantum Detection and Estimation Theory, Academic Press, New York, San Francisco, London, (1976).

33. M.Hennrich, T.Legero, A.Kuhn, and G.Rempe, Photon Statistics of a Non-Stationary Periodically Driven Single-Photon Source, arXiv: quant-ph 0406034.

34. H.F.Hofmann, Shigeki Takeuchi, Quantum phase gate for photonic qubits using only beam splitters and postselection, Phys. Rev., A66, (2002) 024308.

35. A.S.Holevo, Statistical Structure of Quantum Theory, Springer-Verlag, (Berlin,, Heidelberg, New York, London, Paris, Tokyo, Hong Kong, Barselona, Budapest), (2001).

36. R.J.Hughes, D.M.Aide, P.Dyer, G.G.Luther, G.L.Morgan, and M.Schauer, Contemp. Phys., Quantum Cryptography, 36, 149 (1995).

37. R.J.Hughes, G.G.Luther, G.L.Morgan, C.G.Peterson, C.M.Simmomns, Quantum Cryptography over undergraond Optical Fibers, Proceeding Advances in Cryptology Crypto'96, (1996) 329 (Springer-Verlag, Berlin, 1996).

38. R.J.Hughes, G.L.Morgan, C.G.Peterson, Practical Quantum Key Distribution Over 48 km a Optical Fiber Network , arXiv:quant-ph/9904038.

39. B.Huttner, N.Imoto, N.Gisin, T.Mor, Quantum cryptography with coherent states, Phys. Rev. A51, 1863 (1995).

40. W.-Y.Hwang, Quantum Key Distribution with High Loss: Toward Global Secure Communication, Phys. Rev. Lett., 91, 057901-1 (2003).

41. T.Kim, I.Stork genannt Wersborg, F.N.C.Wong, J.H.Shapiro, Complete physical simulation of the entangling-probe attack on the BB84 protocol, arXiv:quant-ph/0611235.

42. T.Kimura, Y.Nambu, T.Hatanaka, A.Tomita, H.Kosaka, K.Nakamura, Single-Photon Interference over 150 km Transmission using Silica-Based Integrated-Optic Interferometers for Quantum Cryptography, arXiv:quant-ph/0603041.

43. B.Kraus, N.Gisin, R.Renner, Lower and Upper Bounds on secret-Key Rate for Quantum Key Distribution Protocols Using One-Way classical communication, Phys. Rev. Lett., 95,080501 (2005).

44. K.Kraus, States, Effects and Operations, Springer-Verlag, Berlin, 1983.

45. P.M.Leung, T.C.Ralph, W.J.Munro, Kae Nemoto, Spectral Effects of Fast Response Cross Kerr Non-Linearity on Quantum Gate, arXiv:quant-ph/0810.2828.

46. N.Liitkenhaus, Security against individual attacks for realistic quantum key distribution, Phys. Rev., A61, 052304 (2000).

47. C.Marand, P.D.Townsend, Quantum key distribution over distances as long as 30 km, Opt. Lett.,, 20 (1995) 1695.

48. W.Mauerer,W.Helwig, C.Silberhorn, Recent developments in quantum key distribution: theory and practice, arXiv: quant-ph/0712.0517.

49. D.Mayers, Unconditional security in Quantum Cryptography, Journal of ACM, 48, 351 (2001).

50. A.Muller, T.Herzog, B.Huttner, W.Tittel, H.Zbinden, and N.Gisin, Appl. Phys. Lett., Plug and Play System for Quantum Cryptography, 70, 793, (1997).

51. A.Muller, J.G.Rarity, P.R.Tapster, et al., Single Photon Interference in 10 km Long Optical Fiber Interferometer, Elec. Lett., 23 (1993) 634.

52. A.Muller, H.Zbinden, and N.Gisin, Quantum cryptography over 23 km in installed under-lake telecom fibre, Europhys. Lett., 33 (1996) 335.

53. A.Muller, H.Zbinden, and N.Gisin, Underwater quantum coding, Nature, 378, 449 (1995).

54. Y.Nambu, T.Hatanaka, H.Yamazaki, K.Nakamura, Quantum Cryptographic System based on Silica-Based Planar Lightwave Circuits, arXiv:quant-ph/0404015.

55. Y.Nambu, K.Yoshino, A.Tomita, One-Way Quantum Key Distribution System based on Planar Lightwave Circuits, arXiv:quant-ph/0403104.

56. G.M.Nikolopoulos, K.S.Ranade, G.Alber, Error tolerance of two-basis quantum-keydistribution protocols using qudits and two-way classical communication, Phys. Rev., A 73, 032325-1 (2006).

57. J.L.O'Brien, G.J.Pryde, A.G.White, T.C.Ralph, D.Branning, Demonstration of an all-optical quantum controlled-NOT gate, Nature, 426 (2003) 264.

58. C.Ottaviani, S.Rebi, D.Vitali, P.Tombesi, Quantum Phase Gate Operation Based on Nonlinear Optics: Full Quantum Analysis, Preprint, QMJ5, (2006).

59. T.B.Pittman, B.CJacobs, and J.D.Franson, Heralding Single Photons from Pulsed Parametric Down-Conversion, arXiv: quant-ph 0408093.

60. T.B.Pittman, B.C.Jacobs, J.D.Franson, Probabilistic quantum logic operations using polarizing beam splitters, Phys. Rev., 64, (2001) 062311.

61. T.C.Ralph, N.K.Langford, T.B.Bell, and A.G.White, Linear optical controlled-NOT gate in the coincidence basis, Phys. Rev., A65, (2002) 062324.

62. S.Rebi, D.Vitali, C.Ottaviani, P.Tombesi, M.Artoni, F.Cataliotti, R.Corbal, Polarization phase gate with a tripod atomic system, Phys. Rev., A70, (2004) 032317.

63. R.Renner, Security of Quantum Key Distribution, arXiv: quant-ph/0512258.

64. R.L.Rivest, A.Shamir, L.Adleman, A method for obtaining digital signature and public key cryptosystems, Commun. ACM, 21, 120 (1978).

65. V.Scarani, A.Acin, G.Ribordy, N.Gisin, Quantum Cryptography Protocols Robust against Photon Number Splitting Attacks for Weak Laser Pulse Implementations, Phys. Rev. Lett., 92, 057901-1 (2004).

66. V.Scarani, H.Bechmann-Pasquinucci, N.J.Cerf, M.Dusek, N.Lutkenhaus, M.Peev, The Security of Practical Quantum Key Distribution, arXiv:quant-ph/0802.4155.

67. C.E.Shannon, Mathematical Theory of Communication, Bell Syst. Tech. Jour., 27, 397; 27, 623 (1948).

68. P.Shor, Capacities of Quantum Channels and How to Find Them, arXiv:quant-ph/0304102.

69. P.Shor Scheme for reducing decoherence in quantum computer memory, Phys. Rev. A52, 2493 (1995)

70. P.Shor, Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer, SIAM J.Sci.Statist.Comput. 26, 1484 (1997)

71. P.W.Shor, J.Preskill, Simple proof of security of the BB84 quantum key distribution protocol, Phys. Rev. Lett., 85, 441 (2000).

72. G.Smith, J.M.Renes, J.A.Smolin, Structured codes improve the Bennett-Brassard-84 quantum rate, arXiv: quant-ph 0607018.

73. D.Stucki, N.Gisin, O.Guinnard, G.Ribordy, H.Zhbinden, Quantum Key Didtribution over 67 km with a plug&play system, New J. of Phys., 4 (2002) 41.1.

74. P.D.Townsend, Quantum Cryptography on Multi User Optical Fiber Networks, Nature, 385 (1997) 47.

75. P.D.Townsend, Secure key distribution system based on quantum cryptography, Elec. Lett., 30 (1994) 809.

76. G.S.Vernam, Cipher printing telegraph systems for secret wire and radio telegraphic communications, Journal of the IEEE 55, 109 (1926)

77. S.Watanabe, R.Matsumoto, T.Uyematsu, Key rate of quantum key distribution with hashed two-way classical communication, arXiv: quant-ph 0705.2904.

78. S.Watanabe, R.Matsumoto, T.Uyematsu, Noise Tolerance of the BB84 Protocol with Random Privacy Amplification, arXiv: quant-ph 0412070.

79. W.K.Wooters, W.H.Zurek, A single quantum cannot be cloned, Nature, 299 (1982) 802.

80. H.Zbinden, J.D.Gautier, N.Gisin, B.Huttner, A.Muller, W.Tittel, Interferometry with Faraday Mirrors for Quantum Cryptography, Electron. Lett., 33 (1997) 586.

81. Book of Abstracts, Single-Photon Workshop 2007, Source, Detectors, Applications and Measurements Methods, 25-28 September (2007), INRIM, Torino, Italy.

82. Р.Галлагер, Теория информации и надежная связь, М., Сов. Радио, 1974.

83. A.B.Корольков, К.Г.Катамадзе, С.П.Кулик, С.Н.Молотков, О пассивном зондировании волоконно-оптических линий квантовой связи, ЖЭТФ (2010) в печати.

84. С.П.Кулик, С.Н.Молотков, А.П.Маккавеев, Комбинированный метод фазово-временндго кодирования, Письма в ЖЭТФ, 85 (2007) 354.

85. С.Н.Молотков, Квантовое распределение ключей с детерминистическим приготовлением и измерением квантовых состояний, Письма в ЖЭТФ, 91/1, 51 (2010).

86. С.Н.Молотков, О коллективной атаке на ключ в квантовой криптографии на двух неортогональных состояниях , Письма в ЖЭТФ, 80/8, 639 (2004)

87. С.Н.Молотков, О криптографической стойкости системы квантовой криптографии с фазово-временным кодированием, ЖЭТФ, 134, 39 (2008)

88. С.Н.Молотков, А.В.Тимофеев, Явная атака на ключ в квантовой криптографии (протокол ВВ84), достигающая теоретического предела ошибки Qc « 11%, Письма в ЖЭТФ, 85, 632 (2007)

89. М.А.Наймарк, Спектральные функции симметричного оператора, Известия АН СССР (математическая серия), 4, 277 (1940)

90. М.Нильсен, И.Чанг, Квантовые вычисления и квантовая информация, Москва, «Мир», 2006

91. Н.Смарт, Криптография, Москва, «Техносфера», 2006

92. А.С.Холево, Введение в квантовую теорию информации, серия Современная математическая физика, вып.5, МЦНМО, Москва, 2002; Успехи математических наук. 53, 193 (1998)

93. А.С.Холево, Квантовые системы, каналы, информация, МЦНМО, Москва, 2010

94. А.С.Холево, Некоторые оценки для количества информации, передаваемого квантовым каналом связи, Проблемы передачи информации 9№3, 3 (1973)

95. Под ред. В.В.Ященко, Введение в криптографию, МЦНМО, Москва, 2000