id: Гость   вход   регистрация
текущее время 09:02 29/03/2024
Владелец: unknown (создано 10/12/2009 16:32), редакция от 11/12/2009 22:04 (автор: unknown) Печать
Категории: криптография, распределение ключей, квантовая криптография
создать
просмотр
редакции
ссылки

Доводы в пользу квантового распределения ключей


© Douglas Stebila, Michele Mosca, Norbert Lutkenhaus. 2 декабря 2009 года.
Институт информационной безопасности, Квинслендский университет технологий, Брисбэн, Австралия. Институт квантовых вычислений, университет Ватерлоо. Кафедра комбинаторики и оптимизации, университет Ватерлоо. Институт границ теоретической физики. Кафедра физики и астрономии, университет Ватерлоо — Ватерлоо, Онтарио, Канада.
Перевод © 2009 unknown

Краткое содержание


Квантовое распределение ключей (Quantum Key Distribution — QKD) даёт возможность безопасного согласования ключей с использованием квантово-механических систем. Мы приводим доводы в пользу того, что QKD станет важной частью криптографических инфраструктур будущего. Оно может обеспечить долговременную конфиденциальность для зашифрованной информации без опоры на предположения о вычислительных возможностях. Хотя QKD всё ещё требует аутентификации для предотвращения атак "человека посредине", возможно использование или информационно-теоретической аутентификации по симметричному ключу или вычислительно стойкой аутентификации по открытому ключу: даже при использовании аутентификации с открытым ключом мы аргументируем, что QKD всё ещё обеспечивает более высокую безопасность, чем классическое согласование ключа.

1 Введение


С момента своего открытия область квантовой криптографии — и в частности квантовое распределение ключа (QKD) получила широкий технический и популярный интерес. Перспектива "безусловной стойкости" вызвала интерес публики, но часто чрезмерный интерес, проявляемый в данной области также порождал критику и анализ.

QKD — новый инструмент в наборе криптографических средств: он позволяет осуществлять безопасное согласование ключа по небезопасному каналу, что является невозможной задачей для классической криптографии (Все вычисления должны рассматриваться как имеющие место в физической системе, описываемой определёнными законами природы. Под классической криптографией мы понимаем криптографию, имеющую место в вычислительных и коммуникационных системах, моделируемых классической физикой, т.е. неквантово-механической и нерелятивистской физикой; т.е. речь идёт о процессах, описываемых вероятностными машинами Тьюринга). QKD не устраняет необходимость в других криптографических примитивах, таких как аутентификация, но может быть использовано для построения систем с новыми свойствами безопасности. По мере продолжения экспериментальных исследований мы ожидаем, что стоимость и сложности использования QKD упадут до уровня, когда системы QKD могут быть доступны для широкого развёртывания, а обращение с ними может стать предметом сертификации.
В течении всей этой публикации мы делаем упор в нашей дискуссии на квантовой криптографии в виде квантового распределения ключей (QKD). Существует множество других квантовых криптографических примитивов — приватные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги — но большинство из них требует для своего выполнения средне- или крупномасштабного квантового компьютера. С другой стороны, QKD уже было выполнено множеством разных групп, наблюдались попытки коммерциализации и его потенциальная роль в последующих инфраструктурах безопасности заслуживает серьёзных исследований.


Существует три стадии (которые иногда переплетаются) в установлении безопасных комуникаций:


1. Согласование (совместная выработка) ключа: две стороны договариваются о безопасном, совместно используемом закрытом ключе.


2. Аутентификация: позволяет стороне быть уверенной, что сообщение происходит от определённой стороны. В случае согласования ключа для избежания атаки "человека посредине" должна использоваться некоторая форма аутентификации.


3. Использование ключа: как только ключ безопасно согласован, он может быть использован для шифрования (с использованием одноразового блокнота или других шифров), дальнейшей аутентификации или других криптографических целей.


QKD — это лишь часть полной инфраструктуры информационной безопасности: две стороны могут согласовать (совместно сгенерировать) закрытый ключ, безопасность которого не зависит от вычислительных предположений и который полностью независим от какого-либо входного значения протокола.


Если мы живём в мире в котором мы можем обоснованно ожидать, что криптография с открытым ключом безопасна в кратко- и среднесрочном периоде, то комбинирование криптографии с открытым ключом для аутентификации и QKD для согласования ключа приводит к очень высокому уровню долгосрочной безопасности со всеми выгодами и преимуществами, которые мы можем ожидать от распределённой аутентификации в инфраструктуре открытого ключа.


Если мы живём в мире, где криптография с открытым ключом больше не сможет обеспечивать безопасность, мы должны вернуться обратно к классическим способам распределения ключа по приватным каналам, таким как доверенные курьеры или использовать QKD. QKD всё ещё будет требовать приватных каналов для установки ключей аутентификации. Вместо того, чтобы устанавливать краткосрочные ключи аутентификации, приватный канал может быть использован для обмена ключами, которые QKD может создавать в течении долгого периода времени. Однако, при таком положении QKD может иметь преимущество поскольку объём требуемых приватных коммуникаций значительно меньше и поскольку ключи сессий на выходе из протокола QKD независимы от ключей, переданных по приватному каналу, остаётся небольшой промежуток времени, в течении которого скомпрометированный ключевой материал может затронуть безопасность последующих сессий. Каково это преимущество на практике зависит от природы приватного канала в вопросе предположений о доверии.


Если мы живём в мире, где схемы согласования ключей на основе асимметричной криптографии подразумеваются неограниченно безопасными, то здесь имеются ограниченные аргументы в пользу QKD, но оно всё ещё представляет интерес по множеству причин. QKD создаёт случайные, независимые сеансовые ключи, которые снижают ущерб, вызываемый утечкой эфемерных ключей. Другие формы криптографии также могут быть интересны, особенно для безопасного доступа к квантовой информации если квантовые вычисления получат широкое распространение.


Экспериментальные исследования в квантовом распределении ключей продолжают улучшать удобство использования, пропускную способность и расстояние для QKD систем, а также способность предоставлять и давать возможность подвергать сертификации их физическую безопасность. Поскольку системы криптографии с открытым ключом переоснащаются новыми алгоритмами и стандартами в текущие годы, то есть и возможность внедрения QKD как нового средства, предоставляющего фундаментально новые возможности безопасности.


Аналогичные работы. Эта работа мотивирована как ответ на другие мнения по поводу роли QKD, особенно сомневающимся заметкам "Почему квантовая криптография?" Патэрсона, Пайпера и Шэка. Наша дискуссия по поводу аутентификации затрагивает шифрование и аутентификацию в тех же самых аспектах как и их работа c оптимистическим взглядом на перспективы пост-квантовой криптографии с открытым ключом; мы предоставляем дополнительную информацию по допущениям о стойкости QKD, текущем состоянии исполнения QKD и как структура QKD-сетей будет вовлекаться в технологический прогресс. Отклик проекта SECOQC также относится к связанным проблемам, с особенным вниманием, которое уделяется сетям, связанным через QKD.


Краткое содержание по главам. В ходе этой публикации мы покажем, что QKD играет важную роль в безопасности инфраструктур будущего. В секции 2 мы дадим обзор того, как работает QKD и дадим примеры того, где нужна такая высокая безопасность в главе 3. Мы опишем состояние безопасности QKD в главе 4. Затем мы обсудим другие части коммуникационной инфраструктуры: шифрование в главе 5 и аутентификацю в главе 6. В главе 7 мы обсудим некоторые ограничения QKD как они устанавливаются и как они могут быть преодолены с особенным вниманием к сетям из QKD устройств в главе 8. Мы дадим заключительные выводы в главе 9.

2 Краткое введение в QKD


В этой главе мы дадим очень краткое рассмотрение квантового распределения ключа. Более детальное рассмотрение доступно из множества источников.


В QKD две стороны, Алиса и Боб, получают некоторые квантовые состояния и измеряют их. Они связываются (все коммуникации, которые происходят далее — классические), чтобы определить, какой из их результатов измерений приводит к получению секретных битов ключа; некоторые из них отвергаются, поэтому процесс называется отсеиванием, поскольку измерительные настройки были несовместимы. Они осуществляют коррекцию ошибок и затем оценивают параметр безопасности, который указывает как много информации может быть доступно из их данных подслушивающей стороне. Если это количество выше определённого порога, то они прерывают исполнение, так как больше не могут гарантировать никакой безопасности. Если это ниже порога, то они могут применить усиление приватности для выдавливания любой остаточной информации, которую может иметь прослушивающая сторона и приходят к получению совместного секретного ключа. Некоторые из этих классических коммуникаций должны быть аутентифицированы, чтобы избежать атак "человека посредине". Некоторые части протокола могут потерпеть неудачу с несущественной вероятностью.


Блок-схема QKD (12 Кб)


Диаграмма, описывающая квантовое распределение ключей, показана на рисунке. Этапы, обведённые в двойные рамки, требуют аутентификации классическими методами.


После того как секретный ключ установлен путём QKD, он может быть использован множеством способов. Самый распространённый подход — это использование его в качестве секретного ключа в одноразовом блокноте, чтобы достичь безусловно стойкого шифрования. Этот ключ также может быть использован в классической аутентификации в последующих раундах QKD.


Мы можем ожидать, что по мере того, как исследования в области QKD будут продолжаться, QKD-устройства будут становится всё более стойкими, лёгкими в конфигурировании, менее дорогими и малоразмерными, возможно достаточно миниатюризированными для размещения на одиночной печатной плате.

3 Кому нужно квантовое распределение ключей?


Широко распространено понятие о том, что "безопасность — это цепь; она сильна настолько, насколько сильно её самое слабое звено" и криптография, даже криптография с открытым ключом, на самом деле является одним из самых прочных звеньев в цепи. Мы не можем верить в то, что определённая вычислительно-стойкая криптографическая схема и размер параметров будут неограниченно безопасны и многие рекомендации экспертов несклонны к тому, чтобы описывать будущее за пределами ближайших тридцати лет. Хотя большинство шифруемой сегодня информации не требует тридцатилетней стойкости, иногда она нужна.


Более того, важно иметь подробный план всвязи с изменениями в технологиях безопасности. К примеру допустим, что определённые приложения, использующие RSA или криптографию на эллиптических кривых (ECC) требуют, чтобы информация была защищена в течении x лет и потребуется y лет, чтобы перевести инфраструктуру на новую криптосистему. Если крупномасштабные квантовые компьютеры, способные взламывать RSA или ECC будут созданы за z лет, то при z < x + y мы уже опоздали: нам нужно было готовить к использованию новую криптосистему задолго до того, как будет взломана старая.


Правительства, военные и разведывательственные агентства нуждаются в долгосрочной секретности. Например, британское правительство не рассекречивало отчёт 1945 года о своих попытках взломать во время второй мировой войны шифр Tunny до 2000 года, а текущие нормативы секретности США требуют держать документы в секрете до 25 лет.


Бизнес, пытающийся защитить долговременные стратегические торговые секреты может также желать долговременной конфиденциальности. Ситуации с долговременным развёртыванием, но очень специфическими коммуникациями, также являются преимуществом QKD: неудобно и дорого обновлять 1.5 миллиона банкоматов (ATM) по всему миру, даже если последний криптопротокол взломан или признан устаревшим, но QKD может обеспечить стандарты, значительно меньше меняющиеся под действием криптоанализа.


Одной особенной индустрией, требующей долговременной, гарантированной в будущем безопасности, является здравоохранение. Системы здравоохранения медленно, но необратимо становятся всё более электронными, а записи о состоянии здоровья нуждаются в приватности в течении 100 или более лет. Защита хранилищ этих данных в датацентрах — это важно; разумеется квантовое распределение ключей не предназначено для решения этой проблемы. В той же мере важно установление безопасных коммуникаций с записями медицинских данных, которые могут быть защищены информационно-теоретической безопасностью, предоставляемой квантовым распределением ключей.


Квантовое распределение ключей — не единственный способ получать информационно-теоретически стойкие ключи. Физическая транспортировка больших, случайно сгенерированных ключей — это также метод информационно теоретически стойкого распределения ключей. При цене жёстких дисков примерно 0.10$ за гигабайт, не следует недооценивать "пропускную способность грузовика, загруженного винчестерами" (хотя рост цен на топливо может противодействовать ценовой эффективности коммуникационнной системы такого рода). Такое решение приемлемо не во всех ситуациях. В некоторых случаях может оказаться невозможным заново произвести перезагрузку ключей таким способом (например спутники и космические аппараты). Это требует гарантий, что физические ключи транспортируются безопасным образом. Это также требует безопасного хранилища большого объёма ключей до их использования. QKD же требует лишь небольшого объёма ключей, ключа аутентификации, безопасно сохраняемых перед использованием. Что важнее, QKD может генерировать свежие ключи шифрования по запросу, которые должны быть сохранены только на короткий промежуток времени между генерацией ключей и шифрованием/расшифрованием сообщения, вместо того, чтобы иметь необходимость в большом хранилище секретных ключей в течении деятельности системы.


Более того, исследования в области экспериментов с квантовой информацией всё ещё находятся на ранней стадии, так что нельзя предсказать конечный результат, в виде которого будет существовать продукт, который может быть создан на основе этой технологии и эти системы могут превзойти ожидания и мечты сегодняшних инженеров и исследователей.

4 Безопасность QKD


Квантовое распределение ключей часто описывается его сторонниками как "безусловно безопасное", чтобы подчеркнуть отличие от вычислительно стойкой безопасности классических криптографических протоколов. Хотя всё ещё остаются некоторые условия, которым должны удовлетворять системы квантового распределения ключей, чтобы быть безопасными, словосочетание "безусловно стойкие" оправдано, поскольку условия не только сведены к минимуму, они в некотором смысле являются минимально необходимыми условиями. Любой безопасный протокол согласования ключей должен основываться на минимальных предположениях, чтобы безопасность не возникала из ничего: мы должны идентифицировать и аутентифицировать стороны коммуникации, мы должны иметь возможность в некотором приватном местоположении для совершения локальных операций и все стороны должны действовать в рамках законов физики.


Следующие положения описывают безопасность квантового распределения ключей, также существует множество формальных математических аргументов в пользу стойкости QKD.


Теорема 1 (Положение о безопасности квантового распределения ключей) если
A1) Квантовая механика верна, и
A2) Аутентификация безопасна, и
A3) Наши устройства обоснованно безопасны,
то с высокой вероятностью, ключ, установленный путём квантового распределения ключей, является случайным секретным ключом, независящим (с пренебрежимо малым отличием) от входных значений.


Допущение 1: Квантовая механика верна. Это допущение требует, чтобы любая прослушивающая сторона была связана законами квантовой механики, хотя внутри этой области нет дополнительных ограничений, кроме как невозможности прослушивающего получить доступ к устройствам. В частности, мы позволяем прослушивающей стороне иметь технологию квантовых вычислений произвольно больших масштабов, значительно более мощную чем это возможно при текущем состоянии дел. Квантовая механика была проверена экспериментально примерно в течении столетия с очень высокой степенью точности. Но даже если квантовая механика будет заменена новой физической теорией, это необязательно будет означать, что квантовое распределение ключей станет небезопасным: например, безопасное распределение ключей может быть достигнуто способом, аналогичным QKD, основанным исключительно только на допущении, что невозможно осуществлять коммуникации быстрее скорости света.


Допущение 2: Аутентификация является стойкой. Это допущение — один из главных вопросов, беспокоящих тех, кто оценивает квантовое распределение ключей. В порядке защиты против атак "человека посредине", большинство классических коммуникаций QKD должны быть аутентифицированы. Аутентификация может быть достигнута с помощью безусловной стойкости на основе коротких совместно используемых ключей или на основе вычислительной стойкости при использовании криптографии с открытым ключом. Мы рассмотрим вопросы аутентификации более подробно в разделе 6.


Допущение 3: Наши устройства безопасны. Конструирование реализаций QKD, которые могут быть проверяемо безопасными — это существенный вызов, над которым исследователи работают до сих пор. Хотя первые прототипы QKD-систем допускали утечку ключа по побочным каналам (они вызывали разные шумы, в зависимости от поляризации фотонов и таким образом "прототипы были безусловно безопасны против прослушивающих, которым не посчастливилось быть глухими"), экспериментальный криптоанализ привёл к лучшей теоретической и практической безопасности. Более изощрённые атаки на побочные каналы были продолжены против определённых реализаций существующих систем, но были также и предложены лучшие теоретические методы, такие как метод ловушек состояния. Доказательства безопасности, независящие от устройств, пытаются минимизировать допущения о безопасноти физических устройств. Обоснованно ожидается, что будущие теоретические и инженерные улучшения наконец дадут нам возможность получить устройства, имеющие строгие аргументы и минимальные допущения по поводу их безопасности.

5 Использование ключа: Шифрование


Наиболее обсуждаемый способ использования для ключа, сгенерированного с помощью квантового распределения ключей — это шифрование. Существуют два способа, которыми этот ключ может быть использован для шифрования.


В безусловно стойкой системе закрытый ключ из QKD используется как ключ для одноразового блокнота. Поскольку ключ информационно-теоретически стоек, то таким же будет и зашифрованное сообщение: никакой компьютер, ни квантовый, ни классический не будет способен дешифровать зашифрованное сообщение. Однако есть трудности с такой системой. Во-первых, для ключей одноразовых блокнотов должно быть организовано аккуратное хранение и управление, поскольку дважды использованные одноразовые ключи могут серьёзно повредить безопасности. Во-вторых, как мы обсудим в главе 7, физически QKD-системы пока ещё не могут генерировать одноразовые ключи с достаточно высокой пропускной способностью для того, чтобы шифровать большие сообщения в реальном времени при помощи одноразовых блокнотов.


Чтобы справиться со второй трудностью, связанной с низкой пропускной способностью QKD, предлагается использовать гибридные системы, в которых ключ из QKD расширяется при помощи классического потокового шифра или блочного шифра, такого как AES для того, чтобы шифровать большие сообщения. При такой постановке дел безопасность зашифрованного сообщения не является больше информационно-теоретической: она зависит от предположений о вычислительной стойкости сложности взлома используемого шифра. Хотя это и не идеальный случай, тем не менее это может быть также не особенно рискованно. Исторически сложилось, что криптографы могут очень успешно конструировать блочные шифры с незначительными уязвимостями: например стандарт шифрования данных DES, созданный в 1970-хх годах, более не считается безопасным всвязи с малой длиной его ключа, но при этом DES хорошо держался в течении 30 лет криптоаналитических атак. При атаках с известным открытым текстом стойкость DES была снижена с 256 до 241, но при использовании частой смены ключа эффект от атак на известном открытом тексте ограничен. Более того, не ожидается, что квантовые компьютеры окажут серьёзное воздействие на шифры: даже если алгоритм поиска Гровера подразумевает, что необходимо увеличить длину ключа в два раза, экспоненциально более быстрые атаки, ожидающиеся от алгоритма Шора и других не смогут быть применены к большинству шифров.


Даже при использовании гибридных систем, QKD предоставляет существенное преимущество над классическими способами согласования ключа: ключ из QKD не зависит ни от какого входа из протокола согласования ключей. Таким образом QKD уменьшает количество мест для атаки: после того, как ключ согласован — единственый способ атаковать такую систему — это подвергнуть шифрование криптоанализу. В противоположность этому, системы, использующие классические протоколы согласования ключа, могут быть атакованы путём влияния на вход протокола классического согласования и определения сгенерированных ключей (например, путём решения проблемы Диффи-Хеллмана). Однако при использовании QKD для генерирования коротких ключей, следует соблюдать осторожность, всвязи с эффектами конечной длины.


Гибридные QKD системы часто увеличивают безопасность в сравнении с шифрами, используемыми без QKD: подсистемы QKD обеспечивают часто обновляемый, независимый ключевой материал, который может быть использован для смены ключей в классическом блочном или потоковом шифре; при частой смене ключей мы уменьшаем риск атак на лежащий в основе используемый шифр, путём уменьшения открытых и шифртекстов, зашифрованных на одном и том же ключе.

6 Аутентификация


Квантовое распределение ключей не снимает необходимость аутентификации: наоборот, аутентификация необходима для безопасности QKD, в противном случае легко может быть осуществлена атака "человека посредине". Существует два способа осуществления аутентификации: аутентификация с открытым ключом и аутентификация с симметричным ключом. Аутентификация с симметричным ключом может обеспечить безусловно стойкую аутентификацию, но ценой необходимости иметь предустановленную пару симметричных ключей. Аутентификация с открытым ключом, с другой стороны, проще в развёртывании и обеспечивает чрезвычайно удобное распределённое доверие при комбинировании с центрами выдачи сертификатов (CA) в инфраструктуре открытого ключа (PKI). Аутентификация на открытом ключе не может сама по себе достичь информационно-теоретической стойкости. Мы однако убеждены, что даже при таком положении дел ситуация с безопасностью становится намного лучше: использование аутентификации на открытом ключе всё ещё даёт возможность получать системы, имеющие очень сильную долговременую стойкость.


Третий метод аутентификации — это использование доверенной третьей стороны, выступающей в роли активного посредника между двумя неаутентифицироваными сторонами, но это вызывает мало интереса для применения на практике. Центры сертификации, которые используются в аутентификации с открытым ключом, аналогичны доверяемой третьей стороне, но они не посредничают в аутентификации активным образом: они распространяют подписаные открытые ключи заранее, но они не участвуют в текущем протоколе аутентификации ключей. Разница в доверии между доверенной третьей стороной и центрами сертификации в аутентификации QKD меньше, чем в классическом случае, так как ключи из QKD независимы от входных значений.

6.1 Симметричная аутентификация ключей


Стороны, у которых уже есть совместно используемый закрытый ключ могут использовать безусловно стойкие коды аутентификации для своих сообщений. Первый такой метод был описан Вегманом и Картером и был усовершенствоваан для использования в QKD. Это одна из причин, по которой квантовое распределение ключей называют квантовым расширением ключа: можно взять короткий совместно используемый ключ и расширить его до информационно-теоретически безопасного большого совместно используемого ключа.

6.2 Аутентификация на открытых ключах


Хотя симметричные ключи обеспечивают безусловно стойкую аутентификацию, её сложно развёртывать, поскольку каждая пара сторон коммуникации должна совместно использовать закрытый ключ. Инфраструктура открытых ключей позволяет распределять доверие и является важной для успешной электронной коммерции. Хотя множество защитников квантовой криптографии упускают роль вычислительно стойкой аутентификации на открытых ключах в QKD, мы считаем, что аутентификация по открытому ключу будет важной в инфраструктуре квантового распределения ключей и всё ещё может давать осмысленные положения в области безопасности.


Аутентификация по открытому ключу, будучи вычислительно стойкой, имеет тенденцию оказываться взломанной неизменно раньше, чем мы ожидаем. В 1977 Райвист размышлял о том, что уйдёт 40 квадриллионов лет на решение проблемы RSA-129 (факторизации RSA-модуля размером 129 десятичных цифр), но он был взломан всего лишь 17 лет спустя. Хотя в популярной печати всё ещё периодически используются выражения вида "больше квадриллиона лет" для описания безопасности схем, построенных на проблемах теории чисел, технические рекоммендации, которые содержат более подробные нюансы стремятся не спекулировать лишком далеко в будущее за пределы 2030 года. Примечательно, что эти рекоммендации стараются "предполагать [...], что (крупномасштабные) квантовые компьютеры не станут реальностью ближайшего будущего".


Распространено ожидание, что крупномасштабные квантовые компьютеры когда-нибудь будут существовать, но по видимому нет причин в настоящее время сомневаться в их эффективности. Квантовые компьютеры однако, не единственная угроза против аутентификации с открытым ключом. Компьютеры становятся более быстрыми и новые алгоритмы помогают ускорять криптоанализ. Однако, мы не настолько пессимистичны, чтобы думать, что аутентификация с открытым ключом будет обречена. Фактически, мы верим, что аутентификация с открытым ключом будет неопределённо долго играть важную роль в безопасности коммуникаций, даже при наличии квантовых компьютеров.


Хотя существующие сегодня популярные схемы аутентификации с открытым ключом — RSA, дискретные логарифмы в конечном поле и эллиптические кривые, будут взломаны крупномасштабным квантовым компьютером, другие "постквантовые методы" не обязательно падут перед квантовыми алгоритмами и такие схемы безусловно будут разработаны. Как нам кажется, когда в будущем схемы с открытым ключом пройдут через жизненный цикл, в котором будут предложены новые примитивы, они окажутся стойкими против текущих техник атак, обоснованные параметры и размеры будут предложены, приняты и тогда компьютерные технологии и успехи криптоанализа снова изменят уровень безопасности, пока новая схема не предложит лучший компромисс. Не сложно вообразить себе 20-летний период, за который квантовое распределение ключей может претерпеть бурный рост. Структуры аутентификации на открытом ключе предоставляют широко масштабирумое использование, которое мы ожидаем от PKI и при комбинировании с квантовым распределением ключа могут дать предположительно серьёзные выгоды в безопасности. В квантовом распределении ключа, аутентификация — в качестве формы установления аутентификации по открытому ключу — нуждается в безопасности только в момент первоначального установления соединения. Как только QKD протокол выдаст некоторый секретный ключ, часть этого секрета может быть последовательно использована для аутентификации по симметричному ключу. Фактически, даже если оригинальные аутентификационные ключи будут раскрыты после первого обмена посредством QKD, ключ, полученный из QKD останется информационно-теоретически стойким. Другими словами, мы имеем следующую формулировку:


Если аутентификация не взломана в процессе первого раунда QKD, даже если она является только вычислительно стойкой, то последующие раунды QKD будут информационно-теоретически стойкими.


В противоположность этому, классические схемы обмена на основе открытых ключей не имеют этого свойства. Даже если кто-то может выполнить протокол, в котором каждый новый ключ будет передаваться зашифрованным старым ключом, прослушивающая сторона, которая записывает все коммуникации и затем взламывает первый ключ, затем может прочитать и все последующии коммуникации. В QKD новые ключи сессии полностью независимы от всех предыдущих ключей и сообщений.

7 ограничения


Два неоспоримых ограничения существуют в сегодняшних схемах квантового распределения ключей — расстояние и пропускная способность. Из-за недолговечной природы квантовомеханических состояний, существующих в процессе квантовой передачи ключей, чем на большее расстояние передаются фотоны, тем больше фотонов теряются из-за шумов и декогеренции, таким образом снижая пропускную способность, используемую для формирования секретного ключа. Расстояние и пропускная способность в генерации ключей — это компромисс, но прогресс движется в сторону увеличения общего копромисса.


Расстояние. Самые удалённые эксперименты по QKD проводились при генерации секретного ключа по оптоволоконной линии длиной свыше 184.6 км. (2006 г) и в свободном пространстве на расстоянии 144 км с пропускной способностью 12.8 бит в секунду. Такое расстояние в свободном пространстве считается достаточным для связи между любыми двумя точками Земли посредством орбитальных спутников и вероятно будет являться задачей предложенных экспериментов.


Квантовые репитеры (повторители) могут также преодолевать ограничения в расстояниях, допуская совместное использование квантовых состояний между удалёнными сторонами. Хотя такие системы пока ещё не используются, их легче создать, чем полномасштабные квантовые компьютеры; есть теоретический и практический прогресс в их разработке.


Пропускная способность в выработке ключей. Хотя в экспериментах на дальние дистанции были получены очень низкие значения пропускной способности в выработке ключей, на более коротких дистанциях были продемонстрированы более высокие скорости выработки ключей. Экспериментальные группы достигли выработки ключей свыше 4 Мегабит в секунду по 1-км волокну и 1 Мегабиту в секунду на 20-километровом расстоянии. Эти значения пропускной способности близко подходят к тому, что требуется для защиты реальных каналов связи.


Когда QKD-ключ используется для шифрования, текущие значения скорости выработки ключевого материала могут быть недостаточны для шифрования одноразовым блокнотом и потребуются гибридные схемы, в которых QKD ключ может быть использован в качестве закрытого ключа для алгоритмов симметричного шифрования, таких как AES. Однако, как мы показали в главе 5, даже гибридные QKD-системы предоставляют повышенный уровень безопасности по сравнению с классическим согласованием ключа, поскольку ключи, генерируемые QKD независимы от любого входного значения процедуры согласования ключей и поскольку многие алгоритмы симметричного шифрования устойчивы к атакам квантовых компьютеров. Ключевой материал может быть подвержен нежелательным искажениям, если противник будет вносить возмущения в квантовый канал, но такой противник никак не сможет повлиять на безопасность согласования ключей.

8 QKD сети


По мере прогресса QKD-технологии, структуры развёртывания QKD-систем будут прогрессировать в порядке прохождения четырёх стадий уменьшения ограничений расстояния и увеличения коммерческой применимости:


1. Линии связи точка-точка: Два QKD устройства, напрямую соединённые на относительно короткой дистанции.


2. Сети с оптическими переключателями: Множество QKD-устройств организованы в сеть, допускающую взаимодействие различных пар. Оптические переключатели однако не увеличивают расстояние связи. Переключатели (свитчи) не обязаны быть доверяемыми. Один из примеров такой сети — это квантовая сеть DARPA.


3. Сети с доверяемыми повторителями: Множество QKD-устройств объединено в сеть. Промежуточные узлы в сети могут выступать как классические повторители, ретранслирующие информацию между удалёнными узлами. Ретранслирующие узлы обязаны быть доверямыми, однако уровень доверия может быть снижен, если отправляющая сторона использует схему разделения секрета. Такой тип QKD-сетей может быть использован в случаях, когда оператор сети является и её пользователем, например банк может создать сеть между множеством филиалов, каждый из которых является доверямым по-отдельности. Один из примеров такой сети – квантовая сеть SECOQC.


4. Сеть с полноценными квантовыми повторителями: Множество QKD-устройств объединено в сеть с квантовыми повторителями. Хотя индивидуальные узлы всё ещё ограничены по расстоянию, узлы квантовых повторителей позволяют передавать спутанность на большие расстояния, так что QKD может выполняться между удалёнными сторонами. Квантовые повторители не нуждаются в доверии и такой тип QKD-сети соответствует сценарию с провайдером сетевого доступа.

9 Заключение


Квантовое распределение ключей предлагает использовать мощь законов квантовой механики для детекирования прослушивающей стороны для установления совместно используемого ключа, который проверяемо безопасен и независим от любых других данных, предоставляемых связывающимися сторонами по аутентифицированному каналу. Безопасность этой системы не зависит от допущений о вычислительных возможностях и таким образом имеет потенциал стойкости против будущих атакующих, неограниченных в своих классических или квантовых вычислительных мощностях.


Есть много сценариев, таких как правительства, военные, службы здравоохранения, в которых информация должна оставаться безопасной 20, 50 или даже 100 лет. Использование QKD уменьшает уровень допущений о криптографической системе и позволяет получить совместный секрет, такой, что по законам квантовой механики, он не зависит ни от каких данных, включая входные значения.


Важно учитывать, как QKD разместить в более широкой криптографической инфраструктуре. При использовании аутентификаци по открытому ключу QKD обеспечивает сильную безопасность с выгодой от использования распределённой аутентификации инфрастуктуры открытого ключа; аутентификация с открытым ключом должна быть безопасна только до момента проведения QKD, но ключ, полученный из QKD будет оставаться безопасным неограниченно долго. Если аутентификация с открытым ключом невозможна, аутнтификация с совместно используемым секретным ключом также может быть использована для большей безопасности по сравнению с классическим разворачиванием ключа.


Текущие ограничения QKD — расстояние и скорость выработки ключа — будут в будущем улучшены по мере экспериментальных исследований, а квантовые повторители будут перспективны для создания полностью квантовых сетей на большие расстояния.


Мы верим, что поскольку технология продолжает совершенствоваться, QKD будет становится всё более важным средством в наборе криптографических инструментов для построения безопасных систем связи.

Благодарности


Авторы выражают огромную благодарность в помощи при обсуждении вопроса Romain Alleaume, Daniel J. Bernstein, Hoi-Kwong Lo, Alfred Menezes и Kenny Paterson. Исследование проведено при участии университета Ватерлоо, NSERC Graduate Sholarship, OCE, Canada NSERC, QuantumWorks, MITACS, CIFAR, Ontario-MRI и Sun Microsystems Laboratories.


Данные о публикации: QuantumComm 2009 Workshop on Quantum and Classical Information Security.


Источник: Cryptology ePrint Archive


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии [скрыть комментарии/форму]
— Гость (11/12/2009 08:55)   <#>
Спасибо за перевод. Хорошая статья – доступно написана.

Только "Краткое введение в QKD" подкачало. Фразы типа "применить усиление приватности для выдавливания любой остаточной информации" совместно со структурной схемой (называемой диаграмма) без начала (или с началом в центре) не добавляют понимания принципов процесса согласования.

Посоветуйте где можно найти доступное (простым смертным) описание?
— unknown (11/12/2009 10:33, исправлен 11/12/2009 10:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Здесь вообще не описан ни квантовый механизм, ни криптографический.


На пальцах: Алиса выпускает фотон с известной ей поляризацией. Чтобы Боб её считал правильно, он должен угадать (а вероятность не будет больше 0.5), какой из двух датчиков типов поляризации включить. Угадает правильно — хорошо, не угадает — получит случайный результат (при этом сразу так и не узнает — этот бит поляризации верный или случайный). Затем по открытому каналу Боб скажет, какие датчики поляризации он включал, а Алиса скажет, какие из них он угадал включить верно.


Прослушивающая сторона Ева будет иметь другие угаданные датчики, так что такой же ключ она не соберёт.


Для всех этих согласований обязательно нужна аутентификация. Из угаданных битов с помощью функции, похожей на хэш (но в данном протоколе намного более стойкой) и выводится ключ меньшего размера — "выдавливание остаточной информации". Еве после этого облом полный.


Вот ещё что. Единственный способ абсолютно стойкого (в информационно-теоретическом смысле) шифрования — одноразовый блокнот Вернама (изобретён в начале 20 века).


Но в семидесятые годы Картер и Вегман изобрели ещё и абсолютно стойкую аутентификацию и её вариантов много. Причем в отличие от отодноразового блокнота в этой аутентификации можно использовать короткий ключ.


Т.е. если хотим негибридную систему — один раз загружаем этот короткий ключ, а затем по мере работы расширяем квантовым способом ключевой материал для всех последующих сеансов шифрования и аутентификации. С информационно-теоретической стойкостью всеё системы связи.


А можно применять и обычную аутентификацию — её ведь надо ломать для атаки "человека посредине" в реальном времени, а не по прошествии n лет — в отличие от шифрования.


P. S. Могу подсказать хороший диссер по QKD, но на английском. Насчёт доступности простым смертным не знаю.

— unknown (11/12/2009 10:48, исправлен 11/12/2009 10:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Да, так точнее


В центре — с измерения квантового канала


Авторы похоже старались не грузить читателя вообще никакими подробностями квантовой физики, квантовый канал — волшебная штука такая из которой в результате совместных измерений чудесным образом получается общий секрет. Главное его как следует аутентифицировать.

— Гость (11/12/2009 12:34)   <#>

Спасибо. то что надо.

Т.е. на два датчика разом подать фотон нельзя (как нельзя его записать и потом повторить для второго датчика). Каков же принцип работы квантовых повторителей.
— unknown (11/12/2009 13:04, исправлен 11/12/2009 13:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Да, верно, но мне это представляется чисто описательно. Вживую с фотонами у нас работает пользователь spinore.


Есть "провокационные" работы, где утверждается якобы противоположное,
но общепринято считать, что при любых махинациях с фотонами или нарушится квантовый канал или нарушится канал аутентификации.


Канал аутентификации многие "сенсационные" работы не учитывают.


Про физику повторителей и пр. и почему они не нарушают протокол ответить трудно — нужно знать как взаимодействуют оба канала — квантовый и аутентификационный.


Поскольку повторители не обязаны быть доверяемыми, может они могут только получать фотон на входе и получать такой же точно на выходе, но без возможности промежуточных измерений или клонирований, увеличивая только расстояние связи за счёт свежевыпущенного фотона. Сеть на таких повторителях могла бы быть размещена на низкоорбитальных спутниках, о чём как-бэ намекает говорит нам статья.


В других работах использовались ещё недостатки датчиков — их "ослепляли" мощным лазером, так что они выдавали одни нули или что-то такое, но это вроде счас пофиксили.

— Гость (11/12/2009 16:15)   <#>

И не меньше. Иначе надо будет просто поступать наоборот.
— unknown (11/12/2009 17:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Верно. Обычно вероятность угадывания считают уже после всех проделанных противником вычислений и манипуляций, включая тривиальное инвертирование вида 1 – x.
— Гость (11/12/2009 18:24)   <#>
Как проверим количество выпущеных фотонов? Посчитаем пол микроскопом?)
— unknown (11/12/2009 21:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Есть схемы связи на единичных фотонах, есть на пакетах фотонов, есть даже схемы без прерывания связи в условиях появления активного атакующего (но со снижением пропускной способности).
Значит как-то это делают.

Эта работа написана авторами скорее всего специально для расширения кругозора "традиционных" криптографов, которые в квантовой физике всё равно разобраться не смогут (поэтому опущены физические детали реализации), а криптографические механизмы аутентификации им и объяснять подробно не нужно (поэтому криптографическая часть тоже опущена). Всё это в надежде, что до криптографов дойдёт, что QKD работает совместно с аутентификацией и многие проблемы, вызывающие скептицизм, успешно (по мнению авторов) решаются, сейчас или в будущем.

Подозреваю, что эта работа — выжимка с большой диссертации, где всё подробно с формулами расписано — и физическая часть, и криптографическая.
— spinore (11/12/2009 22:07)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Краткие очевидные комментарии со стороны:

Оно может обеспечить долговременную конфиденциальность для зашифрованной информации без опоры на предположения о вычислительных возможностях.

s/зашифрованной информации/передаваемой зашифрованной информации/, т.е. акценты нужно расставлять правильно.

QKD – новый инструмент в наборе криптографических средств: он позволяет осуществлять безопасное согласование ключа по небезопасному каналу, что является невозможной задачей для классической криптографии

s/по небезопасному каналу/по небезопасному каналу, при условии, что есть дополнительный аутентифицированный канал/ (опять попытка обмануть читателя, навешав ему лапши, а потом задним числом сказать, что это "не совсем так" – стандартный маркетоидный приём).

QKD уже было выполнено множеством разных групп, наблюдались попытки коммерциализации

QKD уже давно продаётся в каждый дом. Есть целый ассортимент: cerberis и clavis2 (внизу на странице видно окошко чата через QKD, если кто хочет сильно приватно пообщаться с соседкой; fileтам же есть информация по квантовым сетям и SECOQC).

безопасность которого не зависит от вычислительных предположений и который полностью независим от какого-либо входного значения протокола

С одной стороны, это очень интересно, что возможна безопасная передача данных, слабо зависящая от "начальной аутентификации" (т.е. если криптографию не сломали сразу, то опосля её уже не сломать, как это можно в обычных каналах связи), но с другой стороны:
  • Высокая стоимость и дополнительные издержки (вряд ли когда-либо квантовые каналы связи станут дешевле обычных)
  • QKD осуществляет (главным образом) защиту против гипотетического атакующего с квантовым компьютером в руках (здесь всё хорошо, ибо иначе защититься нельзя никак, альтернатив асимметричного крипто нет). Поскольку этот аргумент, видимо, ослаб, придумали новый (усиление криптографии), но он немного спотыкается, если вспомнить пример с защитой посредством "высокого столба": столь приватно переданную информацию нужно где-то хранить, и чем-то шифровать соответствующее хранилище, причём здесь QKD уже никак не поможет. Взять хотя бы пример с современными системами прослушки: они всегда сводятся либо к прослушиванию незашифрованной информации, либо к получению доступа к хранилищу, причём часто вопрос решается чисто юридическими методами (прослушка есть не потому, что иначе нельзя, а потому, что если кто-то захочет сделать "иначе", он лишится лицензии на предоставление услуг связи).
  • Как помним, безопасность – это именно компромисс между издержками на ИБ и риском утечки данных. Мне пока с трудом представляется ситуация, в которой использование QKD будет именно ИБ-осмысленно (опять же, из-за аргумента со "столбом"). Другими словами говоря, коммерчески выгодное/осмысленное QKD – это не ближайшее будущее, а некоторое очень отдалённое. Как игрушка для учёных и ума – штука интересная, но до практики ей ещё очень далеко.
  • Безопасность конкретных физических каналов связи не сводится к математически обоснованному протоколу. Есть побочные излучения, есть прямые атаки на электронику (припоминается новость про банкомат, ГСЧ которого обманули подвергнув его радиационному облучению), всякие TEMPEST'ы, небезопасность криптографии на мобильных девайсах и прочее, что отличает сферическую ИБ в вакууме от реальной. Было приложено много усилий, чтобы сделать безопасность в реальных каналах практической, а не теоретической (на это ушли десятилетия), для квантовых каналов же это ещё только предстоит.

Если мы живём в мире, где криптография с открытым ключом больше не сможет обеспечивать безопасность

Так и хочется сказать: если мы живём не на планете Земля, а на Альфа-Центавра с неевклидовой геометрией... Учёные... как далеки они от норода и реальности.

Если мы живём в мире, где схемы согласования ключей на основе асимметричной криптографии подразумеваются неограниченно безопасными, то здесь имеются ограниченные аргументы в пользу QKD, но оно всё ещё представляет интерес по множеству причин. QKD создаёт случайные, независимые сеансовые ключи, которые снижают ущерб, вызываемый утечкой эфемерных ключей. Другие формы криптографии также могут быть интересны, особенно для безопасного доступа к квантовой информации если квантовые вычисления получат широкое распространение.

Да, прописка "другие формы криптографии", требующие существование КК, – это очень резонно за отсутствием иных аргументов.

Эта работа мотивирована как ответ на другие мнения по поводу роли QKD, особенно сомневающимся заметкам

Кстати, в отличие от стран советского блока, там действительно обучают учёных ещё и маркетоидным премудростям и уловкам. Даже сами прекрасно понимая бесполезность QKD в её текущем состоянии для реальных применений, они будут сознательно вводить всех окружающих в заблуждение, дабы получить финансирование и дополнительную славу. Ещё что интересно, когда политики говорят "давайте повернём русла рек, и всё станет лучше и мир преобразится", или "давайте расширим границы Петербурга" всем очевиден бред и риск, а здесь – нет, чем учёные и пользуются.

Широко распространено понятие о том, что "безопасность – это цепь; она сильна настолько, насколько сильно её самое слабое звено" и криптография, даже криптография с открытым ключом, на самом деле является одним из самых прочных звеньев в цепи. Мы не можем верить в то, что определённая вычислительно-стойкая криптографическая схема и размер параметров будут неограниченно безопасны и многие рекомендации экспертов несклонны к тому, чтобы описывать будущее за пределами ближайших тридцати лет.

Т.е.
Широко распространено понятие о том, что "безопасность – это цепь; она сильна настолько, насколько сильно её самое слабое звено" и криптография, даже криптография с открытым ключом, на самом деле является одним из самых прочных звеньев в цепи. Мы это прекрасно понимаем, и тем не менее считаем резонным продолжать усиливать безопасность самого сильного звена, ведь мы же не можем верить в то, что определённая вычислительно-стойкая криптографическая схема и размер параметров будут неограниченно безопасны и многие рекомендации экспертов несклонны к тому, чтобы описывать будущее за пределами ближайших тридцати лет.


Правительства, военные и разведывательственные агентства нуждаются в долгосрочной секретности.

Да, да, самые защищённые в этом мире нуждаются в самой большой секретности (тсс.. финансирование-то кто будет обеспечивать? Тем и надо рекомендовать), особенно криптографической.

Например, британское правительство не рассекречивало отчёт 1945 года о своих попытках взломать во время второй мировой войны шифр Tunny до 2000 года, а текущие нормативы секретности США требуют держать документы в секрете до 25 лет.

Бизнес, пытающийся защитить долговременные стратегические торговые секреты может также желать долговременной конфиденциальности.

Конкретно архивы охраняются в первую очередь автоматами и прочим оружием, а не криптографией (приходите в любой секретный архив – там вам выдадут обычные бумажные документы с грифами ДСП, С или СС, и не будет там никакой криптографии). К тому же в аргументации идёт речь о безопасном хранении статической информации, а не передаваемой. Можно, впрочем, притянуть за уши аргумент: если эта информация передаётся через сети, доступные противнику, то противник может её сохранить на своих серверах и тайком сидеть ломать-ломать-ломать её... Т.е. видно, что авторы, вместо того чтобы дать незаинтересованную объективную оценку QKD (будучи специалистами) пытаются всесторонне её оправдать. Вот именно такой подход мне и претит.

Ситуации с долговременным развёртыванием, но очень специфическими коммуникациями, также являются преимуществом QKD

Здесь, наверное, не очень удачный перевод, а то получается что "долговременное развёртывание" и есть преимущество QKD. Впрочем, что хотели авторы сказать – понятно.

Одной особенной индустрией, требующей долговременной, гарантированной в будущем безопасности, является здравоохранение. Системы здравоохранения медленно, но необратимо становятся всё более электронными, а записи о состоянии здоровья нуждаются в приватности в течении 100 или более лет. Защита хранилищ этих данных в датацентрах – это важно; разумеется квантовое распределение ключей не предназначено для решения этой проблемы. (НО ВЕДЬ ХОЧЕТСЯ ЖЕ! – прим. авт.) В той же мере важно установление безопасных коммуникаций с записями медицинских данных (нормально притянуто за уши? Шило из мешка не трочит? – прим. авт.), которые могут быть защищены информационно-теоретической безопасностью, предоставляемой квантовым распределением ключей.

Трижды LOL :-D Я под столом.

хотя рост цен на топливо может противодействовать ценовой эффективности коммуникационнной системы такого рода

Ну это уже вообще какой-то детский сад начался.

В некоторых случаях может оказаться невозможным заново произвести перезагрузку ключей таким способом (например спутники и космические аппараты)

Бедный ЦУП. А как они сейчас без QKD работают? Просветите, если знаете.
P. S.: Я спрашивал у знающих людей, нет ли такого применения у КТИ (кв. теория информации), как более устойчивая к шумам передача данных, и мне сказали что на этот счёт ничего позитивного не известно, а то бы как раз было бы удобно для передачи сигнала на космические расстояния.

Это также требует безопасного хранилища большого объёма ключей до их использования.

Как всё не серьёзно... А как же с безопасным хранением переданной с помощью QKD информации? Не важнее ли она самих ключей, использованных для? Упаковка стоит дороже её содержимого? Если не может обеспечить надёжное защищённое хранение информации, то о QKD вообще рано думать, при таком подходе (правда, может быть, какие-то системы связи типа квантофонов, где переданное не хранится а сразу уничтожается?).

Более того, исследования в области экспериментов с квантовой информацией всё ещё находятся на ранней стадии, так что нельзя предсказать конечный результат, в виде которого будет существовать продукт, который может быть создан на основе этой технологии и эти системы могут превзойти ожидания и мечты сегодняшних инженеров и исследователей.

Так точнее :-)

все стороны должны действовать в рамках законов физики.

Очень сильное допущение. Выше про Альфа-Центавра я не зря, видимо, написал.

Таким образом QKD уменьшает количество мест для атаки: после того, как ключ согласован – единственый способ атаковать такую систему – это подвергнуть шифрование криптоанализу. В противоположность этому, системы, использующие классические протоколы согласования ключа, могут быть атакованы путём влияния на вход протокола классического согласования и определения сгенерированных ключей (например, путём решения проблемы Диффи-Хеллмана). Однако при использовании QKD для генерирования коротких ключей, следует соблюдать осторожность, всвязи с эффектами конечной длины.

Мне это очень плохо понятно. unknown, вы бы не могли пояснить? В т.ч., что такое "эффект конечной длины", что подразумевается под "влиянием на вход классического согласования" (влияние на ГСЧ?), и почему вдруг никак нельзя влиять на QKD (там же тоже стоят и классические приборы, на них тоже можно влиять, ну, там, по поляризатору сверху постучать, чтобы меньше случайности было).

В 1977 Райвист размышлял о том, что уйдёт 40 квадриллионов лет на решение проблемы RSA-129 (факторизации RSA-модуля размером 129 десятичных цифр), но он был взломан всего лишь 17 лет спустя

Была технологическая революция, связанная с изобретением транзисторов. Не стоит об этом забывать. Сейчас аналога такой революции не горизонте не маячит (квантовые компьютеры не в счёт по понятным причинам). Процессоры практически достигли атомных размеров своих транзисторов. Есть ещё небольшой зазор перед "концептуальным атомным пределом", ведутся пламенный речи про графен и прочие подобные материалы, но даже если их использование и даст усиление вычислительных мощностей в 100 раз, это ничего концептуально не меняет. Увеличиая длину публичного ключа, мы увеличиваем экспоненту, и делается это (для приборов типа стандартных компьютеров) достаточно легко. После перехода на ECC всё будет ещё чуть лучше. Невозможность алгоритма быстрой факторизации тесно связана и с другими не менее фундаментальными проблемами в математике, и большинство специалистов сходится во мнении, что P!=NP, т.е. быстрая факторизация невозможна. Это всё к тому, что аргумент с 1977ым годом механически переносить на 2009ый год не честно.

Распространено ожидание, что крупномасштабные квантовые компьютеры когда-нибудь будут существовать, но по видимому нет причин в настоящее время сомневаться в их эффективности.

Причины как раз есть, ибо как будет вести себя квантовая система, не подчиняющаяся статистике и состоящая из тысяч квантовых частиц, какие типы неустойчивостей там будут (а они там точно будут) – вопрос, имхо, открытый, даже с теоретической точки зрения, не говоря уж об экспериментальной.

Однако, мы не настолько пессимистичны, чтобы думать, что аутентификация с открытым ключом будет обречена. Фактически, мы верим, что аутентификация с открытым ключом будет неопределённо долго играть важную роль в безопасности коммуникаций

Да, т.е. "а на самом деле" всё всё понимают... важно лишь как расставлять акценты, а писать местами можно и вполне грамотные мысли.

Квантовые репитеры (повторители) могут также преодолевать ограничения в расстояниях, допуская совместное использование квантовых состояний между удалёнными сторонами. Хотя такие системы пока ещё не используются, их легче создать, чем полномасштабные квантовые компьютеры; есть теоретический и практический прогресс в их разработке.

Каков же принцип работы квантовых повторителей

Они же quantum repeaters. Доступной информации сходу не нашёл, но что-то есть здесь:
Квантовый повторитель 1 октября 2008 Серьезной трудностью в осуществлении квантовой коммуникации являются потери и декогеренция в линиях связи. Выполнить усиление квантовой информации, подобное усилению обычных классических сигналов, невозможно, поскольку такое усиление сопровождается деструктивным квантовым измерением. Для решения этой проблемы H.-J. Briegel, L.-M. Duan и их коллеги предложили концепцию "квантового повторителя", основной идеей которого является передача запутанности (entanglement) квантового состояния от одних частиц к другим на отдельных сегментах канала передачи данных. Z.-S. Yuan и его коллеги из Германии, Китая и Австрии выполнили эксперимент, в котором реализовали один из основных принципов квантового повторителя, а именно – обмен запутанностью на единичном сегменте. В качестве элемента квантовой памяти использовался атомный ансамбль, согласно предложению L.-M. Duan и др. На двух облачках газа осуществлялось комбинационное рассеяние первичных фотонов, с рождением двух пар коррелированных фотонов. Каждое облачко состояло из примерно 108 атомов рубидия, охлажденных в магнитооптической ловушке до температуры 100 К. Пространственные моды возбуждения в облачках были квантово кореллированы (запутаны) с состоянием поляризации соответствующей пары фотонов. Затем по одному из фотонов каждой пары встречались, и выполнялось совместное измерение их состояния. При этом облачка газов и оставшиеся два фотона также переходили в запутанное состояние с первичными фотонами. Длина оптического коммуникационного канала составила 300 м, реальный же канал передачи квантовой информации должен состоять из множества подобных сегментов. Источник: Nature 454 1098 (2008)
В этой статье (по ходу, ссылка выше идёт на неё же, но опубликованную в Nature) объясняется экспериментальная реализация, но вникнуть в смысл сходу трудно. Если искать ещё в гугле, можно наткнуться на книги/заметки Доронина, но его не читайте (лженаука и прочий дилетантизм).

QKD сети

Кому интересно, можно гуглить по "quantum networks".

Квантовое распределение ключей предлагает использовать мощь законов квантовой механики для детекирования прослушивающей стороны для установления совместно используемого ключа, который проверяемо безопасен и независим от любых других данных, предоставляемых связывающимися сторонами по аутентифицированному каналу.

Опять нехорошо сказано. Нужно точно писать оговорки, при которых это так, иначе получается маркетоидный advertisement. Что значит "независим от данных предоставляемых по каналу"?! В том смысле, что итоговый ключ всегда случаен? Но приватность этого случайного ключа как раз зависит от "степени аутентифицированности классического канала" (и вообще, не следует забывать, что у нас всегда есть 2 канала: классический и квантовый, при схеме QKD).

Есть много сценариев, таких как правительства, военные, службы здравоохранения, в которых информация должна оставаться безопасной 20, 50 или даже 100 лет.

Есть много куда более реалистичных сценариев, чем "службы здравоохранения" (это вообще какой-то спектакль). Например, приватная переписка граждан (срок, втечение которого её следует охранять, порядка срока человеческой жизни, но здесь QKD слабо поможет: оно лишь защищает передачу, но никак не хранение).

Посоветуйте где можно найти доступное (простым смертным) описание?

Мне советовали начать знакомство с fileэтой статьи (описано чуть-чуть более фундаментально, чем научпоп, но, имхо, вполне понимабельно для зде обретающейся высокообразованной публики).

Затем по открытому каналу Боб скажет, какие датчики поляризации он включал, а Алиса скажет, какие из них он угадал включить верно.

Возможно, они ещё должны согласовать результаты полученных измерений (не уверен).

квантовый канал – волшебная штука такая из которой в результате совместных измерений чудесным образом получается общий секрет.

Это более сложная схема, имеющая квантовый канал как одну из своих составляющих. Сам по себе квантовый канал (да и классический, по аналогии) – это отображение (функция), принимающая на вход квантовые (классические) состояния, и возвращающая (в общем случае) другие квантовые (классические) состояния. Т.е. отображение одной волновой функции (вектора состояния, матрицы плотности и т.п.) – в другую. Если в канале отсутствуют корреляции, потери, искажения, то это просто тождественное отображение.

На практике мы меняем состояние на входе, кодируя информацию в состояние квантовой частицы (например, меняя поляризацию или осуществляя сдвиг в фазовой плоскости), передаём полученное состояние через канал (например, оптоволокно и прочая оптика), а на выходе осуществляем измерение над полученным состоянием квантовой частицы (измеряем поляризацию или тот самый сдвиг в фазовой плоксости). Такой процесс называют "передачей классической информации через квантовый канал". Иногда требуется передать так называемую "квантовую информацию" через квантовый канал – это значит, что требуется передать само квантовой состояние квантовой частицы, т.е. (квантово) телепортировать частицу (уничтожить на одном конце провода, и реконструировать частицу с таким же состоянием на выходе канала). Такие квантовые каналы – одни из базовых элементов квантовой теории информации (КТИ), которые можно изучать независимо с точки зрения их пропускных способностей, интересных эффектов в них и т.п. Это своя большая кухня, где изучается передача в зависимости от типа шума в среде, изучается влияние корреляций, пропускные способности, разных популярных (сейчас изучаемых) моделей каналов – от силы десятки, но в зависимости от типа шума можно напридумывать сколько угодно много разных типов каналов и изучать их в отрыве от всякой реальности. Т.е. это своего рода "теория моделей", и если не беспокоиться о соотнесении этих моделей с теми, которые действительно моделируют реальность, мы получаем очередную область "эльфийской физики" ни о чём.

QKD использует сам квантовый канал и его свойства как нечто атомарное, особо не вникая что там внутри и почему, т.е. это уже не "физический уровень" а уровень некоторого "выскокоуровнего протокола" (пытаюсь построить аналогию с моделью OSI).

Вживую с фотонами у нас работает пользователь spinore.

Аналитические вычисления – это скорее "вмёртвую" :-) На данном этапе я занимаюсь квантовыми каналами и их передаточными характеристиками as is, безотносительно их применения. Теория квантовых каналов с QKD соотносится так же, как абстрактная теория чисел с классической криптографией, т.е. и рядом, и не совсем. Именно поэтому дельно подискутировать на предмет применений типа QKD я пока не могу.

Т.е. на два датчика разом подать фотон нельзя (как нельзя его записать и потом повторить для второго датчика).

Вообще, на два сразу можно, но для этого его надо будет расщепить, а значит состояние фотонов, доставляемых на каждый из датчиков, не будет равно исходному состоянию (теорема неклонируемости, ещё описывалась тут). При измерении состояния у наблюдателя в руках остаётся лишь малая часть информации о том, что за состояние было: чтобы реконструировать полностью состояние с некоторой точностью, требуется совершить много измерений над идентичными копиями заданного состояния – только тогда можно получить распределение вероятностей для измеряемой величины и понять какое состояние на самом деле, т.е. одно измерение ничего не даст. Как раз Ева, пытающая осуществить mitm, может сделать лишь одно измерение, ибо у неё каждая частица лишь в одной её копии (я так понимаю, частица пропускается через поляризатор и попадает в датчик числа фотонов – эдакий умный калориметр, который преобразует свет сверхмалой интенсивности в электрический ток, и, т.о., в показания прибора. Полученный результат соответствует поляризации по направлению, заданному поляризатором для данной единичной выборки. И снова поясняю: если измеряется поляризация частицы не в том направлении, какое у неё есть на самом деле, определённый правильный ответ не сщуествует: квантовая механика предсказывает лишь вероятности получения соответствующих результатов на опыте, с каким-то распределением вероятности).

unknown, Вам, спасибо за перевод, статья очень познавательная, только с обоснованием полезности авторы слишком заинтересованно расставили акценты, что может ввести в заблуждение широкую публику.
— unknown (11/12/2009 22:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Самоисправляюсь: не в реальном времени, а с момента опубликования открытого ключа и до завершения срока его эксплуатации.
— unknown (11/12/2009 22:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Spinore, ваше появление с комментариями закономерно ожидалось в качестве главной интриги всего этого номера с публикаией перевода статьи, но думаю никто не мог ожидать, что оно получится столь блистательным, здорово!


Нет такого устоявшегося термина, мне тоже показалась странной эта фраза, скорее всего имеется ввиду то, что выбрав очень короткий ключ он будет стоек только в плане отстуствия вычислительных алгоритмов криптоанализа, но нестоек против перебора грубой силой.


Атаки с подобранным открытым текстом или гипотетические атаки на изменения параметров, которые приведут к какому-то детерминированному результату из которых якобы можно вычислить совместно сгенерированный ключ (решив проблему DH более лёгким способом за счёт такого активного вмешательства), в отличие от того, что противнику не удасться справиться с аутентификационным каналом и "истинно случайным" квантовым одновременно.

Это я либастрально пытаюсь понять авторов и вы довольно верно заметили их натяжки в допущениях как в ИБ-экономике и управлении рисками, так и в крипто, а не только в инженерно-физической части.

Да, авторы пытаюся выгородить свою область исследований и возможно получить гранты и финансирование от коммерческих фирм. Но и традиционные криптографы тоже часто неоправданно боятся, что им придётся изучать квантовое крипто и выступают слепо против, со слабыми аргументами, не вникнув в его суть.

А как интересное научное направление — пусть развивается. Теория чисел и дискретная математика столетиями тоже были практически бесполезными.
— spinore (12/12/2009 00:11)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
но думаю никто не мог ожидать, что оно получится столь блистательным, здорово!

Спасибо :-) Но я почти ничего (пара узкоспециальных моментов не в счёт) не сказал нового: всё это лишь компиляция уже опубликованной на этом сайте информации, причём большая её часть взята из ваших же постов здесь (последнее время, при ответах новичкам наиболее удобно отсылать их к соответствующим вашим же комментариям). Т.е., это ваша же выжимка, unknown, ну и SATtva'ы тоже. Чтобы писать эти очевидности достаточно лишь регулярно читать форум. В связи с этим, я долго думал, стоит ли комментировать, ибо кому интересно итак все в курсе, в итоге решил что достаточно указать на неточности, ибо местами авторы совсем разошлись.

Да, авторы пытаюся выгородить свою область исследований и возможно получить гранты и финансирование от коммерческих фирм.

Здесь палка в двух концах. Если отрекламировать сырой продукт, то часть заказчиков попробовав, и убедившись, что это чушь, даже и разбираться не будет, а отложит на неопределённое время в долгий ящик. Чрезмерное и неадекватное преукрашивание QKD как раз наоборот может отпугнать потенциальных исследователей и грантодателей. Само QKD безусловно интересно в определённых кругах для тех, кто должен этим заниматься, но если быть объективным, на arxiv.org почти ежедневно выкладывают фантастические предложения и теории, которые могли бы потенциально сделать такое, что нам и не снилось. Такие свободные направления мысли – нормальное явление в среде учёных, но когда они начинают выноситься из избы и подаваться как истина в последней инстанции ("учёные доказали"), да ещё часто и с перевраннем журналистами (все помнят этот комикс?), ничего хорошего не получается. Благодаря таким благодетелям, квантовая телепортация у большинства воспринимается не как способ реконструирования квантовых частиц в определённых состояния, а как технология телепорта дяди Васи в соседнюю галактику (типа, ещё немного, и учёные построят телепорт). Туда же идут речи про "кротовые норы" и "червоточины" в гравитации, путешествия во времени, и т.д.

Но и традиционные криптографы тоже часто неоправданно боятся, что им придётся изучать квантовое крипто и выступают слепо против, со слабыми аргументами, не вникнув в его суть.

Криптографам иметь понятие о квантовых вычислениях и квантовом крипто полезно хотя бы для общего образования и культуры. Пока это чистая математика, но это очень интересный подход, могущий потенциально дать что-то новое для развития матметодов, безотносительно того, появится ли когда-нибудь квантовые компьютеры в реальности. Квантовые вычисления – это способ описать эволюцию квантовых частиц. Можно даже сказать, что квантовые вычисления (информатика) находятся в такой же связи с квантовой механикой (точным уравнением эволюции Шредингера), как и электроника с электротехникой соотносятся с точным решением уравнений Максвелла. Т.е. за всем этим красивым словосочетанием "квантовая информатика" (а КТИ и квантовая оптика – действительно одни из самых красивых областей физики, где наблюдается оптимум между перегруженностью матаппаратом и красивыми физическими эффектами) действительно кроется некий потенциал, но не стоит торопить события. Теория ещё должна дозреть.

А как интересное научное направление — пусть развивается. Теория чисел и дискретная математика столетиями тоже были практически бесполезными.

Я как раз о том же :-) Просто от своих же не ждёшь "удара под дых" с такими маркетоидными заворотами, все же "за идею работают, потому что увлечены", и такая наглая попытка бесцеремонной коммерциализации в храме науки – просто предательство, совсем честь мундира (или кто у них там, фрак?) не блюдут. Научное знание тем и было всегда интересно, что оно старалось быть свободным от необъективности, коммерциализации, политики, т.е. если уж кто-то потратил 10 лет своей жизни на доказательство теоремы, значит эта теорема – существенная абсолютная правда, борьба идёт за чистоту и точность результата, за качество, а не за компромисс между финансированием и качеством. Порядочные учёные всегда стараются писать статьи так, чтобы за них не было стыдно и по прошествии 100 лет, другие же набивают свой "индекс цитирования" всеми правдами и не правдами.
— Гость (12/12/2009 00:38)   <#>

Не обязательно так. Пока строго не доказано, что факторизация является NP-полной задачей, т.е. что к ней можно полиномиально свести любую NP задачу, нельзя исключать вариант нахождения её быстрого решения при сохранении неравенства классов P и NP.
— spinore (12/12/2009 01:35)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Спасибо за уточнение / исправление ошибки.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3