id: Гость   вход   регистрация
текущее время 16:07 28/03/2024
Владелец: unknown (создано 10/12/2009 16:32), редакция от 11/12/2009 22:04 (автор: unknown) Печать
Категории: криптография, распределение ключей, квантовая криптография
создать
просмотр
редакции
ссылки

Доводы в пользу квантового распределения ключей


© Douglas Stebila, Michele Mosca, Norbert Lutkenhaus. 2 декабря 2009 года.
Институт информационной безопасности, Квинслендский университет технологий, Брисбэн, Австралия. Институт квантовых вычислений, университет Ватерлоо. Кафедра комбинаторики и оптимизации, университет Ватерлоо. Институт границ теоретической физики. Кафедра физики и астрономии, университет Ватерлоо — Ватерлоо, Онтарио, Канада.
Перевод © 2009 unknown

Краткое содержание


Квантовое распределение ключей (Quantum Key Distribution — QKD) даёт возможность безопасного согласования ключей с использованием квантово-механических систем. Мы приводим доводы в пользу того, что QKD станет важной частью криптографических инфраструктур будущего. Оно может обеспечить долговременную конфиденциальность для зашифрованной информации без опоры на предположения о вычислительных возможностях. Хотя QKD всё ещё требует аутентификации для предотвращения атак "человека посредине", возможно использование или информационно-теоретической аутентификации по симметричному ключу или вычислительно стойкой аутентификации по открытому ключу: даже при использовании аутентификации с открытым ключом мы аргументируем, что QKD всё ещё обеспечивает более высокую безопасность, чем классическое согласование ключа.

1 Введение


С момента своего открытия область квантовой криптографии — и в частности квантовое распределение ключа (QKD) получила широкий технический и популярный интерес. Перспектива "безусловной стойкости" вызвала интерес публики, но часто чрезмерный интерес, проявляемый в данной области также порождал критику и анализ.

QKD — новый инструмент в наборе криптографических средств: он позволяет осуществлять безопасное согласование ключа по небезопасному каналу, что является невозможной задачей для классической криптографии (Все вычисления должны рассматриваться как имеющие место в физической системе, описываемой определёнными законами природы. Под классической криптографией мы понимаем криптографию, имеющую место в вычислительных и коммуникационных системах, моделируемых классической физикой, т.е. неквантово-механической и нерелятивистской физикой; т.е. речь идёт о процессах, описываемых вероятностными машинами Тьюринга). QKD не устраняет необходимость в других криптографических примитивах, таких как аутентификация, но может быть использовано для построения систем с новыми свойствами безопасности. По мере продолжения экспериментальных исследований мы ожидаем, что стоимость и сложности использования QKD упадут до уровня, когда системы QKD могут быть доступны для широкого развёртывания, а обращение с ними может стать предметом сертификации.
В течении всей этой публикации мы делаем упор в нашей дискуссии на квантовой криптографии в виде квантового распределения ключей (QKD). Существует множество других квантовых криптографических примитивов — приватные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги — но большинство из них требует для своего выполнения средне- или крупномасштабного квантового компьютера. С другой стороны, QKD уже было выполнено множеством разных групп, наблюдались попытки коммерциализации и его потенциальная роль в последующих инфраструктурах безопасности заслуживает серьёзных исследований.


Существует три стадии (которые иногда переплетаются) в установлении безопасных комуникаций:


1. Согласование (совместная выработка) ключа: две стороны договариваются о безопасном, совместно используемом закрытом ключе.


2. Аутентификация: позволяет стороне быть уверенной, что сообщение происходит от определённой стороны. В случае согласования ключа для избежания атаки "человека посредине" должна использоваться некоторая форма аутентификации.


3. Использование ключа: как только ключ безопасно согласован, он может быть использован для шифрования (с использованием одноразового блокнота или других шифров), дальнейшей аутентификации или других криптографических целей.


QKD — это лишь часть полной инфраструктуры информационной безопасности: две стороны могут согласовать (совместно сгенерировать) закрытый ключ, безопасность которого не зависит от вычислительных предположений и который полностью независим от какого-либо входного значения протокола.


Если мы живём в мире в котором мы можем обоснованно ожидать, что криптография с открытым ключом безопасна в кратко- и среднесрочном периоде, то комбинирование криптографии с открытым ключом для аутентификации и QKD для согласования ключа приводит к очень высокому уровню долгосрочной безопасности со всеми выгодами и преимуществами, которые мы можем ожидать от распределённой аутентификации в инфраструктуре открытого ключа.


Если мы живём в мире, где криптография с открытым ключом больше не сможет обеспечивать безопасность, мы должны вернуться обратно к классическим способам распределения ключа по приватным каналам, таким как доверенные курьеры или использовать QKD. QKD всё ещё будет требовать приватных каналов для установки ключей аутентификации. Вместо того, чтобы устанавливать краткосрочные ключи аутентификации, приватный канал может быть использован для обмена ключами, которые QKD может создавать в течении долгого периода времени. Однако, при таком положении QKD может иметь преимущество поскольку объём требуемых приватных коммуникаций значительно меньше и поскольку ключи сессий на выходе из протокола QKD независимы от ключей, переданных по приватному каналу, остаётся небольшой промежуток времени, в течении которого скомпрометированный ключевой материал может затронуть безопасность последующих сессий. Каково это преимущество на практике зависит от природы приватного канала в вопросе предположений о доверии.


Если мы живём в мире, где схемы согласования ключей на основе асимметричной криптографии подразумеваются неограниченно безопасными, то здесь имеются ограниченные аргументы в пользу QKD, но оно всё ещё представляет интерес по множеству причин. QKD создаёт случайные, независимые сеансовые ключи, которые снижают ущерб, вызываемый утечкой эфемерных ключей. Другие формы криптографии также могут быть интересны, особенно для безопасного доступа к квантовой информации если квантовые вычисления получат широкое распространение.


Экспериментальные исследования в квантовом распределении ключей продолжают улучшать удобство использования, пропускную способность и расстояние для QKD систем, а также способность предоставлять и давать возможность подвергать сертификации их физическую безопасность. Поскольку системы криптографии с открытым ключом переоснащаются новыми алгоритмами и стандартами в текущие годы, то есть и возможность внедрения QKD как нового средства, предоставляющего фундаментально новые возможности безопасности.


Аналогичные работы. Эта работа мотивирована как ответ на другие мнения по поводу роли QKD, особенно сомневающимся заметкам "Почему квантовая криптография?" Патэрсона, Пайпера и Шэка. Наша дискуссия по поводу аутентификации затрагивает шифрование и аутентификацию в тех же самых аспектах как и их работа c оптимистическим взглядом на перспективы пост-квантовой криптографии с открытым ключом; мы предоставляем дополнительную информацию по допущениям о стойкости QKD, текущем состоянии исполнения QKD и как структура QKD-сетей будет вовлекаться в технологический прогресс. Отклик проекта SECOQC также относится к связанным проблемам, с особенным вниманием, которое уделяется сетям, связанным через QKD.


Краткое содержание по главам. В ходе этой публикации мы покажем, что QKD играет важную роль в безопасности инфраструктур будущего. В секции 2 мы дадим обзор того, как работает QKD и дадим примеры того, где нужна такая высокая безопасность в главе 3. Мы опишем состояние безопасности QKD в главе 4. Затем мы обсудим другие части коммуникационной инфраструктуры: шифрование в главе 5 и аутентификацю в главе 6. В главе 7 мы обсудим некоторые ограничения QKD как они устанавливаются и как они могут быть преодолены с особенным вниманием к сетям из QKD устройств в главе 8. Мы дадим заключительные выводы в главе 9.

2 Краткое введение в QKD


В этой главе мы дадим очень краткое рассмотрение квантового распределения ключа. Более детальное рассмотрение доступно из множества источников.


В QKD две стороны, Алиса и Боб, получают некоторые квантовые состояния и измеряют их. Они связываются (все коммуникации, которые происходят далее — классические), чтобы определить, какой из их результатов измерений приводит к получению секретных битов ключа; некоторые из них отвергаются, поэтому процесс называется отсеиванием, поскольку измерительные настройки были несовместимы. Они осуществляют коррекцию ошибок и затем оценивают параметр безопасности, который указывает как много информации может быть доступно из их данных подслушивающей стороне. Если это количество выше определённого порога, то они прерывают исполнение, так как больше не могут гарантировать никакой безопасности. Если это ниже порога, то они могут применить усиление приватности для выдавливания любой остаточной информации, которую может иметь прослушивающая сторона и приходят к получению совместного секретного ключа. Некоторые из этих классических коммуникаций должны быть аутентифицированы, чтобы избежать атак "человека посредине". Некоторые части протокола могут потерпеть неудачу с несущественной вероятностью.


Блок-схема QKD (12 Кб)


Диаграмма, описывающая квантовое распределение ключей, показана на рисунке. Этапы, обведённые в двойные рамки, требуют аутентификации классическими методами.


После того как секретный ключ установлен путём QKD, он может быть использован множеством способов. Самый распространённый подход — это использование его в качестве секретного ключа в одноразовом блокноте, чтобы достичь безусловно стойкого шифрования. Этот ключ также может быть использован в классической аутентификации в последующих раундах QKD.


Мы можем ожидать, что по мере того, как исследования в области QKD будут продолжаться, QKD-устройства будут становится всё более стойкими, лёгкими в конфигурировании, менее дорогими и малоразмерными, возможно достаточно миниатюризированными для размещения на одиночной печатной плате.

3 Кому нужно квантовое распределение ключей?


Широко распространено понятие о том, что "безопасность — это цепь; она сильна настолько, насколько сильно её самое слабое звено" и криптография, даже криптография с открытым ключом, на самом деле является одним из самых прочных звеньев в цепи. Мы не можем верить в то, что определённая вычислительно-стойкая криптографическая схема и размер параметров будут неограниченно безопасны и многие рекомендации экспертов несклонны к тому, чтобы описывать будущее за пределами ближайших тридцати лет. Хотя большинство шифруемой сегодня информации не требует тридцатилетней стойкости, иногда она нужна.


Более того, важно иметь подробный план всвязи с изменениями в технологиях безопасности. К примеру допустим, что определённые приложения, использующие RSA или криптографию на эллиптических кривых (ECC) требуют, чтобы информация была защищена в течении x лет и потребуется y лет, чтобы перевести инфраструктуру на новую криптосистему. Если крупномасштабные квантовые компьютеры, способные взламывать RSA или ECC будут созданы за z лет, то при z < x + y мы уже опоздали: нам нужно было готовить к использованию новую криптосистему задолго до того, как будет взломана старая.


Правительства, военные и разведывательственные агентства нуждаются в долгосрочной секретности. Например, британское правительство не рассекречивало отчёт 1945 года о своих попытках взломать во время второй мировой войны шифр Tunny до 2000 года, а текущие нормативы секретности США требуют держать документы в секрете до 25 лет.


Бизнес, пытающийся защитить долговременные стратегические торговые секреты может также желать долговременной конфиденциальности. Ситуации с долговременным развёртыванием, но очень специфическими коммуникациями, также являются преимуществом QKD: неудобно и дорого обновлять 1.5 миллиона банкоматов (ATM) по всему миру, даже если последний криптопротокол взломан или признан устаревшим, но QKD может обеспечить стандарты, значительно меньше меняющиеся под действием криптоанализа.


Одной особенной индустрией, требующей долговременной, гарантированной в будущем безопасности, является здравоохранение. Системы здравоохранения медленно, но необратимо становятся всё более электронными, а записи о состоянии здоровья нуждаются в приватности в течении 100 или более лет. Защита хранилищ этих данных в датацентрах — это важно; разумеется квантовое распределение ключей не предназначено для решения этой проблемы. В той же мере важно установление безопасных коммуникаций с записями медицинских данных, которые могут быть защищены информационно-теоретической безопасностью, предоставляемой квантовым распределением ключей.


Квантовое распределение ключей — не единственный способ получать информационно-теоретически стойкие ключи. Физическая транспортировка больших, случайно сгенерированных ключей — это также метод информационно теоретически стойкого распределения ключей. При цене жёстких дисков примерно 0.10$ за гигабайт, не следует недооценивать "пропускную способность грузовика, загруженного винчестерами" (хотя рост цен на топливо может противодействовать ценовой эффективности коммуникационнной системы такого рода). Такое решение приемлемо не во всех ситуациях. В некоторых случаях может оказаться невозможным заново произвести перезагрузку ключей таким способом (например спутники и космические аппараты). Это требует гарантий, что физические ключи транспортируются безопасным образом. Это также требует безопасного хранилища большого объёма ключей до их использования. QKD же требует лишь небольшого объёма ключей, ключа аутентификации, безопасно сохраняемых перед использованием. Что важнее, QKD может генерировать свежие ключи шифрования по запросу, которые должны быть сохранены только на короткий промежуток времени между генерацией ключей и шифрованием/расшифрованием сообщения, вместо того, чтобы иметь необходимость в большом хранилище секретных ключей в течении деятельности системы.


Более того, исследования в области экспериментов с квантовой информацией всё ещё находятся на ранней стадии, так что нельзя предсказать конечный результат, в виде которого будет существовать продукт, который может быть создан на основе этой технологии и эти системы могут превзойти ожидания и мечты сегодняшних инженеров и исследователей.

4 Безопасность QKD


Квантовое распределение ключей часто описывается его сторонниками как "безусловно безопасное", чтобы подчеркнуть отличие от вычислительно стойкой безопасности классических криптографических протоколов. Хотя всё ещё остаются некоторые условия, которым должны удовлетворять системы квантового распределения ключей, чтобы быть безопасными, словосочетание "безусловно стойкие" оправдано, поскольку условия не только сведены к минимуму, они в некотором смысле являются минимально необходимыми условиями. Любой безопасный протокол согласования ключей должен основываться на минимальных предположениях, чтобы безопасность не возникала из ничего: мы должны идентифицировать и аутентифицировать стороны коммуникации, мы должны иметь возможность в некотором приватном местоположении для совершения локальных операций и все стороны должны действовать в рамках законов физики.


Следующие положения описывают безопасность квантового распределения ключей, также существует множество формальных математических аргументов в пользу стойкости QKD.


Теорема 1 (Положение о безопасности квантового распределения ключей) если
A1) Квантовая механика верна, и
A2) Аутентификация безопасна, и
A3) Наши устройства обоснованно безопасны,
то с высокой вероятностью, ключ, установленный путём квантового распределения ключей, является случайным секретным ключом, независящим (с пренебрежимо малым отличием) от входных значений.


Допущение 1: Квантовая механика верна. Это допущение требует, чтобы любая прослушивающая сторона была связана законами квантовой механики, хотя внутри этой области нет дополнительных ограничений, кроме как невозможности прослушивающего получить доступ к устройствам. В частности, мы позволяем прослушивающей стороне иметь технологию квантовых вычислений произвольно больших масштабов, значительно более мощную чем это возможно при текущем состоянии дел. Квантовая механика была проверена экспериментально примерно в течении столетия с очень высокой степенью точности. Но даже если квантовая механика будет заменена новой физической теорией, это необязательно будет означать, что квантовое распределение ключей станет небезопасным: например, безопасное распределение ключей может быть достигнуто способом, аналогичным QKD, основанным исключительно только на допущении, что невозможно осуществлять коммуникации быстрее скорости света.


Допущение 2: Аутентификация является стойкой. Это допущение — один из главных вопросов, беспокоящих тех, кто оценивает квантовое распределение ключей. В порядке защиты против атак "человека посредине", большинство классических коммуникаций QKD должны быть аутентифицированы. Аутентификация может быть достигнута с помощью безусловной стойкости на основе коротких совместно используемых ключей или на основе вычислительной стойкости при использовании криптографии с открытым ключом. Мы рассмотрим вопросы аутентификации более подробно в разделе 6.


Допущение 3: Наши устройства безопасны. Конструирование реализаций QKD, которые могут быть проверяемо безопасными — это существенный вызов, над которым исследователи работают до сих пор. Хотя первые прототипы QKD-систем допускали утечку ключа по побочным каналам (они вызывали разные шумы, в зависимости от поляризации фотонов и таким образом "прототипы были безусловно безопасны против прослушивающих, которым не посчастливилось быть глухими"), экспериментальный криптоанализ привёл к лучшей теоретической и практической безопасности. Более изощрённые атаки на побочные каналы были продолжены против определённых реализаций существующих систем, но были также и предложены лучшие теоретические методы, такие как метод ловушек состояния. Доказательства безопасности, независящие от устройств, пытаются минимизировать допущения о безопасноти физических устройств. Обоснованно ожидается, что будущие теоретические и инженерные улучшения наконец дадут нам возможность получить устройства, имеющие строгие аргументы и минимальные допущения по поводу их безопасности.

5 Использование ключа: Шифрование


Наиболее обсуждаемый способ использования для ключа, сгенерированного с помощью квантового распределения ключей — это шифрование. Существуют два способа, которыми этот ключ может быть использован для шифрования.


В безусловно стойкой системе закрытый ключ из QKD используется как ключ для одноразового блокнота. Поскольку ключ информационно-теоретически стоек, то таким же будет и зашифрованное сообщение: никакой компьютер, ни квантовый, ни классический не будет способен дешифровать зашифрованное сообщение. Однако есть трудности с такой системой. Во-первых, для ключей одноразовых блокнотов должно быть организовано аккуратное хранение и управление, поскольку дважды использованные одноразовые ключи могут серьёзно повредить безопасности. Во-вторых, как мы обсудим в главе 7, физически QKD-системы пока ещё не могут генерировать одноразовые ключи с достаточно высокой пропускной способностью для того, чтобы шифровать большие сообщения в реальном времени при помощи одноразовых блокнотов.


Чтобы справиться со второй трудностью, связанной с низкой пропускной способностью QKD, предлагается использовать гибридные системы, в которых ключ из QKD расширяется при помощи классического потокового шифра или блочного шифра, такого как AES для того, чтобы шифровать большие сообщения. При такой постановке дел безопасность зашифрованного сообщения не является больше информационно-теоретической: она зависит от предположений о вычислительной стойкости сложности взлома используемого шифра. Хотя это и не идеальный случай, тем не менее это может быть также не особенно рискованно. Исторически сложилось, что криптографы могут очень успешно конструировать блочные шифры с незначительными уязвимостями: например стандарт шифрования данных DES, созданный в 1970-хх годах, более не считается безопасным всвязи с малой длиной его ключа, но при этом DES хорошо держался в течении 30 лет криптоаналитических атак. При атаках с известным открытым текстом стойкость DES была снижена с 256 до 241, но при использовании частой смены ключа эффект от атак на известном открытом тексте ограничен. Более того, не ожидается, что квантовые компьютеры окажут серьёзное воздействие на шифры: даже если алгоритм поиска Гровера подразумевает, что необходимо увеличить длину ключа в два раза, экспоненциально более быстрые атаки, ожидающиеся от алгоритма Шора и других не смогут быть применены к большинству шифров.


Даже при использовании гибридных систем, QKD предоставляет существенное преимущество над классическими способами согласования ключа: ключ из QKD не зависит ни от какого входа из протокола согласования ключей. Таким образом QKD уменьшает количество мест для атаки: после того, как ключ согласован — единственый способ атаковать такую систему — это подвергнуть шифрование криптоанализу. В противоположность этому, системы, использующие классические протоколы согласования ключа, могут быть атакованы путём влияния на вход протокола классического согласования и определения сгенерированных ключей (например, путём решения проблемы Диффи-Хеллмана). Однако при использовании QKD для генерирования коротких ключей, следует соблюдать осторожность, всвязи с эффектами конечной длины.


Гибридные QKD системы часто увеличивают безопасность в сравнении с шифрами, используемыми без QKD: подсистемы QKD обеспечивают часто обновляемый, независимый ключевой материал, который может быть использован для смены ключей в классическом блочном или потоковом шифре; при частой смене ключей мы уменьшаем риск атак на лежащий в основе используемый шифр, путём уменьшения открытых и шифртекстов, зашифрованных на одном и том же ключе.

6 Аутентификация


Квантовое распределение ключей не снимает необходимость аутентификации: наоборот, аутентификация необходима для безопасности QKD, в противном случае легко может быть осуществлена атака "человека посредине". Существует два способа осуществления аутентификации: аутентификация с открытым ключом и аутентификация с симметричным ключом. Аутентификация с симметричным ключом может обеспечить безусловно стойкую аутентификацию, но ценой необходимости иметь предустановленную пару симметричных ключей. Аутентификация с открытым ключом, с другой стороны, проще в развёртывании и обеспечивает чрезвычайно удобное распределённое доверие при комбинировании с центрами выдачи сертификатов (CA) в инфраструктуре открытого ключа (PKI). Аутентификация на открытом ключе не может сама по себе достичь информационно-теоретической стойкости. Мы однако убеждены, что даже при таком положении дел ситуация с безопасностью становится намного лучше: использование аутентификации на открытом ключе всё ещё даёт возможность получать системы, имеющие очень сильную долговременую стойкость.


Третий метод аутентификации — это использование доверенной третьей стороны, выступающей в роли активного посредника между двумя неаутентифицироваными сторонами, но это вызывает мало интереса для применения на практике. Центры сертификации, которые используются в аутентификации с открытым ключом, аналогичны доверяемой третьей стороне, но они не посредничают в аутентификации активным образом: они распространяют подписаные открытые ключи заранее, но они не участвуют в текущем протоколе аутентификации ключей. Разница в доверии между доверенной третьей стороной и центрами сертификации в аутентификации QKD меньше, чем в классическом случае, так как ключи из QKD независимы от входных значений.

6.1 Симметричная аутентификация ключей


Стороны, у которых уже есть совместно используемый закрытый ключ могут использовать безусловно стойкие коды аутентификации для своих сообщений. Первый такой метод был описан Вегманом и Картером и был усовершенствоваан для использования в QKD. Это одна из причин, по которой квантовое распределение ключей называют квантовым расширением ключа: можно взять короткий совместно используемый ключ и расширить его до информационно-теоретически безопасного большого совместно используемого ключа.

6.2 Аутентификация на открытых ключах


Хотя симметричные ключи обеспечивают безусловно стойкую аутентификацию, её сложно развёртывать, поскольку каждая пара сторон коммуникации должна совместно использовать закрытый ключ. Инфраструктура открытых ключей позволяет распределять доверие и является важной для успешной электронной коммерции. Хотя множество защитников квантовой криптографии упускают роль вычислительно стойкой аутентификации на открытых ключах в QKD, мы считаем, что аутентификация по открытому ключу будет важной в инфраструктуре квантового распределения ключей и всё ещё может давать осмысленные положения в области безопасности.


Аутентификация по открытому ключу, будучи вычислительно стойкой, имеет тенденцию оказываться взломанной неизменно раньше, чем мы ожидаем. В 1977 Райвист размышлял о том, что уйдёт 40 квадриллионов лет на решение проблемы RSA-129 (факторизации RSA-модуля размером 129 десятичных цифр), но он был взломан всего лишь 17 лет спустя. Хотя в популярной печати всё ещё периодически используются выражения вида "больше квадриллиона лет" для описания безопасности схем, построенных на проблемах теории чисел, технические рекоммендации, которые содержат более подробные нюансы стремятся не спекулировать лишком далеко в будущее за пределы 2030 года. Примечательно, что эти рекоммендации стараются "предполагать [...], что (крупномасштабные) квантовые компьютеры не станут реальностью ближайшего будущего".


Распространено ожидание, что крупномасштабные квантовые компьютеры когда-нибудь будут существовать, но по видимому нет причин в настоящее время сомневаться в их эффективности. Квантовые компьютеры однако, не единственная угроза против аутентификации с открытым ключом. Компьютеры становятся более быстрыми и новые алгоритмы помогают ускорять криптоанализ. Однако, мы не настолько пессимистичны, чтобы думать, что аутентификация с открытым ключом будет обречена. Фактически, мы верим, что аутентификация с открытым ключом будет неопределённо долго играть важную роль в безопасности коммуникаций, даже при наличии квантовых компьютеров.


Хотя существующие сегодня популярные схемы аутентификации с открытым ключом — RSA, дискретные логарифмы в конечном поле и эллиптические кривые, будут взломаны крупномасштабным квантовым компьютером, другие "постквантовые методы" не обязательно падут перед квантовыми алгоритмами и такие схемы безусловно будут разработаны. Как нам кажется, когда в будущем схемы с открытым ключом пройдут через жизненный цикл, в котором будут предложены новые примитивы, они окажутся стойкими против текущих техник атак, обоснованные параметры и размеры будут предложены, приняты и тогда компьютерные технологии и успехи криптоанализа снова изменят уровень безопасности, пока новая схема не предложит лучший компромисс. Не сложно вообразить себе 20-летний период, за который квантовое распределение ключей может претерпеть бурный рост. Структуры аутентификации на открытом ключе предоставляют широко масштабирумое использование, которое мы ожидаем от PKI и при комбинировании с квантовым распределением ключа могут дать предположительно серьёзные выгоды в безопасности. В квантовом распределении ключа, аутентификация — в качестве формы установления аутентификации по открытому ключу — нуждается в безопасности только в момент первоначального установления соединения. Как только QKD протокол выдаст некоторый секретный ключ, часть этого секрета может быть последовательно использована для аутентификации по симметричному ключу. Фактически, даже если оригинальные аутентификационные ключи будут раскрыты после первого обмена посредством QKD, ключ, полученный из QKD останется информационно-теоретически стойким. Другими словами, мы имеем следующую формулировку:


Если аутентификация не взломана в процессе первого раунда QKD, даже если она является только вычислительно стойкой, то последующие раунды QKD будут информационно-теоретически стойкими.


В противоположность этому, классические схемы обмена на основе открытых ключей не имеют этого свойства. Даже если кто-то может выполнить протокол, в котором каждый новый ключ будет передаваться зашифрованным старым ключом, прослушивающая сторона, которая записывает все коммуникации и затем взламывает первый ключ, затем может прочитать и все последующии коммуникации. В QKD новые ключи сессии полностью независимы от всех предыдущих ключей и сообщений.

7 ограничения


Два неоспоримых ограничения существуют в сегодняшних схемах квантового распределения ключей — расстояние и пропускная способность. Из-за недолговечной природы квантовомеханических состояний, существующих в процессе квантовой передачи ключей, чем на большее расстояние передаются фотоны, тем больше фотонов теряются из-за шумов и декогеренции, таким образом снижая пропускную способность, используемую для формирования секретного ключа. Расстояние и пропускная способность в генерации ключей — это компромисс, но прогресс движется в сторону увеличения общего копромисса.


Расстояние. Самые удалённые эксперименты по QKD проводились при генерации секретного ключа по оптоволоконной линии длиной свыше 184.6 км. (2006 г) и в свободном пространстве на расстоянии 144 км с пропускной способностью 12.8 бит в секунду. Такое расстояние в свободном пространстве считается достаточным для связи между любыми двумя точками Земли посредством орбитальных спутников и вероятно будет являться задачей предложенных экспериментов.


Квантовые репитеры (повторители) могут также преодолевать ограничения в расстояниях, допуская совместное использование квантовых состояний между удалёнными сторонами. Хотя такие системы пока ещё не используются, их легче создать, чем полномасштабные квантовые компьютеры; есть теоретический и практический прогресс в их разработке.


Пропускная способность в выработке ключей. Хотя в экспериментах на дальние дистанции были получены очень низкие значения пропускной способности в выработке ключей, на более коротких дистанциях были продемонстрированы более высокие скорости выработки ключей. Экспериментальные группы достигли выработки ключей свыше 4 Мегабит в секунду по 1-км волокну и 1 Мегабиту в секунду на 20-километровом расстоянии. Эти значения пропускной способности близко подходят к тому, что требуется для защиты реальных каналов связи.


Когда QKD-ключ используется для шифрования, текущие значения скорости выработки ключевого материала могут быть недостаточны для шифрования одноразовым блокнотом и потребуются гибридные схемы, в которых QKD ключ может быть использован в качестве закрытого ключа для алгоритмов симметричного шифрования, таких как AES. Однако, как мы показали в главе 5, даже гибридные QKD-системы предоставляют повышенный уровень безопасности по сравнению с классическим согласованием ключа, поскольку ключи, генерируемые QKD независимы от любого входного значения процедуры согласования ключей и поскольку многие алгоритмы симметричного шифрования устойчивы к атакам квантовых компьютеров. Ключевой материал может быть подвержен нежелательным искажениям, если противник будет вносить возмущения в квантовый канал, но такой противник никак не сможет повлиять на безопасность согласования ключей.

8 QKD сети


По мере прогресса QKD-технологии, структуры развёртывания QKD-систем будут прогрессировать в порядке прохождения четырёх стадий уменьшения ограничений расстояния и увеличения коммерческой применимости:


1. Линии связи точка-точка: Два QKD устройства, напрямую соединённые на относительно короткой дистанции.


2. Сети с оптическими переключателями: Множество QKD-устройств организованы в сеть, допускающую взаимодействие различных пар. Оптические переключатели однако не увеличивают расстояние связи. Переключатели (свитчи) не обязаны быть доверяемыми. Один из примеров такой сети — это квантовая сеть DARPA.


3. Сети с доверяемыми повторителями: Множество QKD-устройств объединено в сеть. Промежуточные узлы в сети могут выступать как классические повторители, ретранслирующие информацию между удалёнными узлами. Ретранслирующие узлы обязаны быть доверямыми, однако уровень доверия может быть снижен, если отправляющая сторона использует схему разделения секрета. Такой тип QKD-сетей может быть использован в случаях, когда оператор сети является и её пользователем, например банк может создать сеть между множеством филиалов, каждый из которых является доверямым по-отдельности. Один из примеров такой сети – квантовая сеть SECOQC.


4. Сеть с полноценными квантовыми повторителями: Множество QKD-устройств объединено в сеть с квантовыми повторителями. Хотя индивидуальные узлы всё ещё ограничены по расстоянию, узлы квантовых повторителей позволяют передавать спутанность на большие расстояния, так что QKD может выполняться между удалёнными сторонами. Квантовые повторители не нуждаются в доверии и такой тип QKD-сети соответствует сценарию с провайдером сетевого доступа.

9 Заключение


Квантовое распределение ключей предлагает использовать мощь законов квантовой механики для детекирования прослушивающей стороны для установления совместно используемого ключа, который проверяемо безопасен и независим от любых других данных, предоставляемых связывающимися сторонами по аутентифицированному каналу. Безопасность этой системы не зависит от допущений о вычислительных возможностях и таким образом имеет потенциал стойкости против будущих атакующих, неограниченных в своих классических или квантовых вычислительных мощностях.


Есть много сценариев, таких как правительства, военные, службы здравоохранения, в которых информация должна оставаться безопасной 20, 50 или даже 100 лет. Использование QKD уменьшает уровень допущений о криптографической системе и позволяет получить совместный секрет, такой, что по законам квантовой механики, он не зависит ни от каких данных, включая входные значения.


Важно учитывать, как QKD разместить в более широкой криптографической инфраструктуре. При использовании аутентификаци по открытому ключу QKD обеспечивает сильную безопасность с выгодой от использования распределённой аутентификации инфрастуктуры открытого ключа; аутентификация с открытым ключом должна быть безопасна только до момента проведения QKD, но ключ, полученный из QKD будет оставаться безопасным неограниченно долго. Если аутентификация с открытым ключом невозможна, аутнтификация с совместно используемым секретным ключом также может быть использована для большей безопасности по сравнению с классическим разворачиванием ключа.


Текущие ограничения QKD — расстояние и скорость выработки ключа — будут в будущем улучшены по мере экспериментальных исследований, а квантовые повторители будут перспективны для создания полностью квантовых сетей на большие расстояния.


Мы верим, что поскольку технология продолжает совершенствоваться, QKD будет становится всё более важным средством в наборе криптографических инструментов для построения безопасных систем связи.

Благодарности


Авторы выражают огромную благодарность в помощи при обсуждении вопроса Romain Alleaume, Daniel J. Bernstein, Hoi-Kwong Lo, Alfred Menezes и Kenny Paterson. Исследование проведено при участии университета Ватерлоо, NSERC Graduate Sholarship, OCE, Canada NSERC, QuantumWorks, MITACS, CIFAR, Ontario-MRI и Sun Microsystems Laboratories.


Данные о публикации: QuantumComm 2009 Workshop on Quantum and Classical Information Security.


Источник: Cryptology ePrint Archive


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии [скрыть комментарии/форму]
— unknown (01/01/2010 15:15, исправлен 01/01/2010 15:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Скоро слово "квантовый" будут воспринимать также, как "нанотехнологии". Они тоже десятилетиями были известны только специалистам, пока фантасты и пиарщики руку не приложили.


На лыжах ушли кататься. Это всего лишь форум. Периодически бывают затихания на несколько дней, безо всякой связи с внешними обстоятельствами. Просто текущие обсуждения выдохлись, а новых тем пока нет.


Бозонные каналы (это оно?) вашим именем будут называться?

— spinore (01/01/2010 20:56)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Они тоже десятилетиями были известны только специалистам, пока фантасты и пиарщики руку не приложили.

Есть такое. То, что сейчас говорят про нанотехнологии, иначе как "нанопургой" и не назовёшь.

[дикий оффтопик]
Бозонные каналы (это оно?) вашим именем будут называться?

Нет конечно :-D Спиноры – это тоже не в честь меня, это я в честь них :)
Бозонные каналы – очень широкий класс, и к ним ведётся длинная цепочка, примерно такая: каналы делят на "каналы в непрерывных переменных" (то, что у всех ассоциируется со стандартной волновой функцией) и в "дискретных переменных" (спиновые степени свободы, поляризация). Потенциально можно наопределять каналов где эти степени будут как-то перемешиваться, но до этого ещё не дошли (по крайней мере массово). В свою очередь, из каналов в непрерывных переменных можно выделить класс бозонных (по сути те, что сводятся к осцилляторам поля – обычная квантовая оптика). Из класса бозонных можно выделить класс гауссовских (математически состояния задаются некоторыми гауссовскими распределениями). Те каналы, которые одновременно гауссовские и бозонные, емнип, уже делятся на три класса: lossy (с потерями), noisy (шумовые?) и additive.

Есть прозрачная стандартная классификация всех гауссовских каналов (у Холево были работы на эту тему), в более же широком классе каждый волен делать что горазд. С практической точки зрения и сейчас, и в ближайшем будущем вполне можно ограничиться гауссовскими и кубитными каналами (частный случай каналов в "дискретных переменных"), т.к. даже эти модели столь сложны и обширны, что на их детальное теоретическое исследование понадобится очень много времени. С практической точки зрения всё, чем сколь-нибудь надёжно оперируют на практике – это некоторые гауссовские состояния, особенно когерентные (сводятся к гауссовским каналам), поляризация (кубитный канал), всякие частицы в ловушках (кубитные каналы).

Всё вышеназванное было определено ещё давно и тем более не мной. Классифицировать каналы проще, чем их исследовать. Это как классификация функций. Ввести разумную классификацию, которая отражает физику и охватывает весь широкий класс каких-то каналов – сложнее, но и это проще, чем их исследования. Реальное исследование свойств канала подразумевает решение некоторой оптимизационной задачи, а таковые в общем случае конструктивно не решаются иначе, кроме как перебором, если же речь идёт о непрерывных переменных, то всё становится ещё веселей. Например, есть такое понятие, как "пропускная способность" канала (его "ёмкость"). Если канал без памяти, то есть хотя бы формальное математическое выражение, которое нужно максимизировать, т.е. задача сведена к формальной оптимизационной. Если канал с памятью, то в общем случае даже не ясно что максимизировать ;-D (конструктивное определение отсутствует), хотя есть некоторые "оценки", и можно максимизировать их. Допустим, что мы даже знаем ёмксоть, точно. Однако, это не означает, что мы знаем как её достичь на практике (в мысленном эксперименте), ибо нет ни известного способа кодирования, ни декодирования информации, применяя которые можно достичь вышеназванную теоретическую оценку пропускной способности. Чтобы найти, на каких способах кодирования/декодирования ёмкость достигается, нужно решить ещё одну оптимизационную задачу, и опять пошло-поехало :-D

Это только в быдлостатьях, которые пекутся ежемесячно, всё просто. Мне доводилось общаться с учёными из других областей, и все отмечают этот эффект "монетизации науки": чем больше формальное число статей (а смотрят в первую очередь на него), тем проще получить грант, позицию, контракт, тем больше индекс цитирования. Предприимчивые делают так: делят n задач на n людей, после чего каждый решает свою задачу, а в публикуемой статье все указываются как соавторы (первый – исполнитель, последний – руководитель проекта, между ними – сортировка по вкладу). Такой подход сейчас стал уже конвенцией :)

Возвращяясь к поставленному вопросу: я пока работал только с lossy-каналом, который с памятью (это означает, что все состояния, которые мы рассматриваем – многомерные гауссовские функции), где каждая степень свободы этой многомерной функции соответствует одной оптической моде – одному использованию канала. В этом случае задачу можно свети к спектральной (искать максимум функции на спектре матриц, причём все ограничения также пишутся на спектр) и решать методом множителей Лагранжа. Одно из играничний – максимальное число фотонов N, которые канал может получать в среднем на входе на одно его использование. Когда этих фотонов много, т.е. N больше некоторого порога Nthr23, решение находится точно аналитически. Другой коллектив назвал этот случай "waterfilling", т.к. есть одна переменная, определённая во всех модах, которая растёт, а при превышении Nthr23 все эти переменные во всех модах равны друг другу, т.е. получается что-то типа уровня воды. Термин waterfilling был введён ещё давно для классических каналов с памятью, его можно найти в обычных книжках по (классической) теории информации. Если же N меньше Nthr23, но больше Nthr12 (оно всегда меньше Nthr23), то решение находится численно, либо аналитически приближённо. Если же N меньше чем Nthr12, то данная оптическая мода вообще не используется для передачи информации. Соответственно, когда N=0 все моды не используются для передачи и ёмкость нулевая (что вполне физично), если N растёт, то каждая мода (при некотором своём значении N) переходит свой порог Nthr12, и затем Nthr23. Вот эти режимы я и назвал "стадиями" (хотя поначалу склонялся к "фазам"). Если мода не используется, то "она в первой стадии", если решение задаётся численно, но недотягивает до аналитического – "во второй стадии", и когда достигает аналитического – "в третьей стадии". Затем возникает вопрос, в какой стадии каждая из мод находится при заданном N – решение этой задачи в нулевом приближении есть в диссере и в архиве, а над точным решением этой задачи я работаю до сих пор (конструктивно всё ясно, но ещё нужно время довести это до готовых минимальнокрокодилообразных формул). [Да, типичная наука – это вот так скучно и мелко: никаких "атомных ледоколов", MITM'ов в QKD и прочих щоу: на решение одной, мизерной по своим масштабам, задачи часто уходят годы] Конечно, потом берётся предел числа мод к бесконечности, т.е. ищем предел ёмкости при бесконечном числе использований канала, при этом всё превращается в функциональные уравнения, и т.п., но это уже неконцептуальные потраха. Решение вышеозначенной оптимизационной задачи (без взятия предела) было найдено в 2001ом (что я ВНЕЗАПНО обнаружил за пару дней до защиты, хотя сведение поставленной задачи к ими рассмотренной – это отдельная немаленькая задача) одним математиком из Болгарии, при этом мне удалось "переизобрести" им предложенный алгоритм решения, но кроме того я написал ещё один алгоритм, до которого, видимо, тот автор в 2001ом году не додумался (да и я додумался далеко не сразу), и который работает почти всегда намного быстрее первого. Впрочем, текущий подход к задаче, это уже некий "алгоритм 3го поколения", которые учитывает наработки предыдущих, специфику задачи, намного более прост для объяснения и обоснования, а также для аналитического исследования. Кстати, он ещё пока нигде не опубликован.

А другой термин, который удалось ввести – это "нарушение квадратурной (тривиально) и модовой (сугубо нетривиально) симметрии в ёмкости". Если задача полностью симметрична по всем своим переменным и параметрам, но при этом имеет несимметричное решение – это случай "нарушения симметрии". В частности, нарушени модовой симметрии означает, что n оптмальных каналов вам не дадут один n-модовый оптимальный канал :-) Случаи таких "нарушений" обыденны, их много, но чаще симметрия (хотя и не обязана) сохраняется. Классический пример – найти минимум площади прямоугольника при заданном периметре: задача симметричная по сторонам прямоугольника a и b, но несимметрично решение (одна сторона – нуль, а другая равна полупериметру). Другой случай, емнип, должен быть очень близок к пониманию криптографами: задача о максимуме (по всевозможным распределениям, возможно, с некоторыми ограничениями) энтропии дискретного распределения: несмотря на то, что определение энтропии полностью симметрично по вероятностям "p_k", оптимум -\sum_k p_k*log(p_k) не соответствует однородному распределению (там в оптимуме вроде как геометрическое распределение, а в случае непрерывных переменных, кажется, гаусс). С такой точки зрения, а ещё и с учётом того, что ёмкость в моём случае есть максимум разности двух энтропий, нарушение модовой симметрии смотрится не столь неожиданно :)
[/дикий оффтопик]
— SATtva (01/01/2010 21:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
[дикий оффтопик]
С посещений pgpru.com узнаю о физике больше, чем из чтения профильных сайтов.
[/дикий оффтопик]
— spinore (01/01/2010 22:25)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Это ж хорошо: далеко ходить не надо :)
— unknown (01/01/2010 22:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В данной теме не такой уж оффтопик. В шумовой криптографии многие типы каналов, которые тут вами перечислялись, использовались. Затем это видимо плавно переехало в квантовую криптографию (QKD).

Кстати те потроха, которые вы тут вывалили, резко остужают энтузиазм в плане доказуемой стойкости любого протокола, построенного на физике — как сферический конь в вакууме он будет стоек, а не учтут обработку какого-набудь параметра в модели и устройство можно будет обмануть — доказательства стойкости, минимизирующие влияния и недостатки устройств, которые упоминались в статье, кажутся всё более зыбкими, когда хотя бы с ваших, хотя и упрощённых для понимания объяснений, начинаешь отдалённо представлять, как оно хотя бы примерно там внутри может работать.

А термины, которые вы ввели ИМХО — просто нормальные рабочие определения в строго заданных рамках. Неужели к ним кто-то придирался? Вот если бы какую-нибудь пафосную аббревиатуру придумали или объявили все квантовые протоколы, которые могут использовать в криптографии "квантографией" и всеобщую теорию под это подогнали, тогда бы да. Можно было бы заниматься грантодоительством под новое перспективное направление.
— spinore (02/01/2010 03:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
В шумовой криптографии многие типы каналов, которые тут вами перечислялись, использовались.

Возможно, только там они формально были классические, а тут – квантовые. Концептуально дело это не меняет, конечно: ёмкости много каких классических каналов не найдены до сих пор – из-за тех же проблем, о которых я писал выше.

не учтут обработку какого-набудь параметра в модели и устройство можно будет обмануть

Так и сейчас, во многих устройствах положение дел приблизительно таково же. Если используемая теоретическая модель адекватно описывает физику, могущую возникнуть в результате атаки – то всё хорошо, если же нет – надо дорабатывать модель. Классическая же криптография не причём к атакам с "заморозкой памяти"? Так и тут. Квантовая криптография, равно как и классическая, оперирует моделями, да и сама физика – всего лишь модель действительности, ничто не может быть описано с абсолютной точностью и учётом всех эффектов уже на современном уровне познаний (даже в микромире).

А термины, которые вы ввели ИМХО — просто нормальные рабочие определения в строго заданных рамках.

Ну я стараюсь "корректно" вести себя в статье :) Тот математик, кстати, обошёлся без введения дополнительных терминов по этой части, но он писал всё под общий вид функции, а мне пришлось с этим на практике оперировать и много раз упоминать. В другом коллективе, где народ работает над точно такой же задачей (в группе тоже человек с России), но для noisy-канала (если решена моя или их задача, то решение оставшейся сводится к чисто технической проблеме), терминология вроде бы прижилась. Как позже оказалось, мы независимо работали практически над одним и тем же почти полтора года, и было интересно сравниться по результатам. Они у меня в опубликованном в архиве варианте ошибку нашли (оказалось, что одно из условий я по невнимательности рассматривал только в нулевом приближении, а не точно), а я им показал, что их направление мысли совершенно тупиковое, они возразили, и я затребовал контрпример. Контрпример они найти не смогли и стали думать как обосновать мои идеи. Ну а потом, когда я накопал статью 2001го года, да и после массы личных обсуждений, всё стало более-менее ясно. Сейчас работаем впараллель и сверяемся по результатам, хоть не такое одиночество :-)

Неужели к ним кто-то придирался?

Конкретно к "фазам" – прикапывался шеф долго, и хотел их назвать по-другому. В процессе длительных обсуждений с Vadim_Z выяснилось, что в точности то, что я имею в виду, люди называют всё же стадиями. Термин "фазы" физиками уже оккупирован для всяких статистических эффектов типа "фазовых переходов", так что я должен был бы проводить явные параллели с статистикой, да ещё и обосновывать их, иначе это действовало б как красная тряпка на быка. Впрочем, данные параллели вроде как можно провести, но у нас руки не долшли до этого.

А второй термин официально поначалу был назван "случайное нарушение симметрии". Шеф настоял на убирании слова "случайный", так как данный термин уже используется в физике высоких энергий и могут опять же возникнуть лишние вопросы... Слово случайный в итоге зарезали. Опять же, теоретически вроде можно провести все связи со статистикой и обосновать, но было не до того.

Вот если бы какую-нибудь пафосную аббревиатуру придумали или объявили все квантовые протоколы, которые могут использовать в криптографии "квантографией" и всеобщую теорию под это подогнали, тогда бы да.

Мне в голову приходило только слово "квАканы" = "КВантовые КАНалы", но звучит смешно, бессмысленно и неубедительно :-)
— litbez (02/01/2010 19:15)   <#>
Группа исследователей описывает здесь свою успешную атаку на реально существующую квантовую систему распределения секретных ключей. Атака была основана на уязвимости фотонного детектора, которая, по мнению исследователей, присутствует во всех устройствах такого рода. Детекторы одиночных фотонов основываются на использовании лавинных фотодиодов, при помощи которых реализуется ряд квантовых систем распределения ключей. Уязвимость, о которой идет речь, заключается в возможности временно < ослепить > такой детектор, а затем вызвать его принудительное срабатывание. Уязвимость эта делает вполне реальной атаку на квантовые криптосистемы, использующие свободную поляризацию в пространстве. Управляя поляризацией проходящего света, злоумышленник может заставить сработать любой детектор на принимающей стороне, и, не внося никаких дополнительных ошибок, установить контроль над тем, что получает принимающая сторона.

http://litbez.blog.ru/84598259.html
— unknown (02/01/2010 21:50, исправлен 02/01/2010 22:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Для тех кто не может выйти из анабиоза внутри танка с криокамерой:
на предыдущей странице SATtva привёл цитату (ну разве что непереведённую) и первоисточник этой новости и уже несколько коментов подряд мы её успешно обсуждаем, уже до физики квантовых каналов дошли.


Правда spinore популярно объяснил только расчётно-теоретическую часть, по аппаратной, включая всякие датчики и поляризаторы, он нас ещё не просвящал жёстким квантовым оффтопом.


А в русском языке пришлось бы ещё использовать прилагательное — кваканальный.

— SATtva (02/01/2010 21:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Для тех кто не может выйти из анабиоза внутри танка с криокамерой

Новогодние праздники. Бессмысленные и беспощадные.
— Genosse (02/01/2010 22:51)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
Огромное Вам спасибо, spinore, за квалифицированные разъяснения!
Правда spinore популярно объяснил только расчётно-теоретическую часть, по аппаратной, включая всякие датчики и поляризаторы, он нас ещё не просвящал жёстким квантовым оффтопом.
Между тем все были бы за это очень благодарны. По крайней мере мне это чрезвычайно любопытно, поскольку как обыватель я настроен несколько скептически. И вот почему:
Если ехать на автомобиле из Швейцарии в Милан по туннелю под Альпами, можно заметить съезд вовнутрь горного массива. Он ведёт в огромный искусственный зал, в котором стоит внушительная металлическая сфера приблизительно десяти метров высотой. Сфера заполнена некой вязкой жидкостью (я видел видел её в телепередаче об этом проекте, когда она была ещё пуста) и плотно покрыта изнутри фотонными детекторами, напоминающими металлический абажур настольной лампы с диаметром линзы приблизительно 30 см. Установка служит для обнаружения нейтрино. Предполагалось, что толщина горных пород (в дополнение к облицовке сферы) отфильтрует все остальные частицы таким образом, что шанс добраться до жидкости внутри имеют лишь нейтрино. Жидкость эта – специальная. В свою очередь предполагалось, что если нейтрино, прилетев в эту камеру быть может вовсе с другой стороны планеты, умудрится-таки столкнуться с атомом этой жидкости, то это вызовет микровспышку света, возможно способную быть уловленной одним из упомянутых сенсоров, по поводу чего разработчики высказывали сдержанный оптимизм. Об этох детекторах говорилось много, скажу лишь что их стоимость чрезвычайно высока и регистрации отдельных фотонов никто не обещал.
— spinore (02/01/2010 23:36)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
по аппаратной, включая всякие датчики и поляризаторы, он нас ещё не просвящал жёстким квантовым оффтопом.
Между тем все были бы за это очень благодарны.

Если бы я ещё в этом разбирался, ага :)

Есть такое свойство: кто в чём если разбирается на фундаментальном уровне, как правило не разбирается на "научно-популярном" (не в курсе основных событий, новинок, шума в прессе и т.п.). Есть много людей, кто систематически читает он-топиковые научно-популярные сайты, кому физика безумно интересна: почти все они ею профессионально не занимаются, а потому и питают такой интерес. Когда же физики хотят "отдохнуть" они будут читать что угодно, но только не физику. Я почти уверен, что типичному криптографу (работающему по специальности) ИБ как таковая в её сколь-нибудь практических аспектах неинтересна вовсе, по вышеприведённым причинам. Мне интересна ИБ, потому что по специальности я ею не занимаюсь: это движение/развитие "в ортогональном направлении". Не хочу никого обижать, но из того что я вижу на сайте, сюда почти не забегает народ, у кого ИБ – это именно что работа, а не развелечение/хобби.

PS: ничего не могу сказать про нейтрино. Это дискуссионный вопрос. К физике высоких энергий я вообще отношусь с предубеждением. Это всё очень красиво, захватывающе, только с практической точки зрения совершенно бесполезно (намного менее полезно, чем целевое исследование огромного пласта физики, который нас окружает и который пока никак не умеют теоретически описывать). Это любопытство и философия, а не технологии.
— Genosse (02/01/2010 23:46)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
Да уж, не в бровь а в глаз... Вы безусловно правы. Впрочем нейтрино я упомянул вскользь, вся соль в фотонных детекторах, их стоимости и чувствительности, способности уловить единичный фотон в контексте обсуждаемой темы и по сравнению с коммерческими устройствами для QKD, которые значительно дешевле.
— unknown (03/01/2010 01:30, исправлен 03/01/2010 02:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
типичному криптографу (работающему по специальности) ИБ как таковая в её сколь-нибудь практических аспектах неинтересна вовсе

Даже в смежно-теоретических.


Кто с утра до ночи профессионально грызёт какие-нибудь эллиптические кривые — абсолютно равнодушен к проблеме переноса проблемы Диффи-Хеллмана в полугруппы, или взлому хэшей или проблемам использования случайного оракула в протоколах. Они могут вообще об этом не знать. Те, кто строчит протоколы с помощью этого оракула из этих хэшей и Диффи-Хеллманов, могут мало понимать в дифференциальном криптоанализе для взлома хэшей и прочей конкретики и иметь минимальные представления в области теории чисел (в рамках общего курса, а не как те, кто пытается изобрести новые вычислительные проблемы для асимметричных алгоритмов или методы их решения).


Есть ещё топовые имена, на которых работают много научных сотрудников рангом поменьше. Эти топы ставят своё имя на множестве работ из разных направлений, но степень их реального участия непонятна.


Есть ещё специалист по всему в области ИБ — Б. Шнайер, но у него чисто научная карьера как-то давно не очень сложилась (какая-то учёная степень и базовое образование у него кажется были как-раз в области физики), зато хорошо пошли сначала популяризаторские книжки по крипто, затем некоторое количество научных работ и проектов, в которые он привлёк нужных людей, возглавил и разрекламировал (опять же степень его реального участия часто вызывает сомнения), а затем бизнесом занялся.


С проблемой регистрации отдельных фотонов скорее всего проще, но защищённый от воздействий противника приёмник наверное должен выглядеть именно так, как вы сказали.


Таких сайтов практически нет. Их идея провальна. Когда к архиву криптопубликаций IACR прикрутили форум — он оказался пуст. Криптографам хватает общения на конференциях, ревью, в личной-рабочей и официальной переписке, они дураки что-ли ещё в форуме этим заниматься, после работы — некогда, а на работе — странно.


Ну ещё на скайкрипте кто-то из реально известных криптографов (Дэвид Вагнер, вспомнил) тусовался и популярно отвечал на вопросы любых ньюбов (видать долго у него профильной работы не было), но это временный единичный случай.

— spinore (03/01/2010 02:16, исправлен 03/01/2010 02:21)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
вся соль в фотонных детекторах, их стоимости и чувствительности

Что-то пишут здесь:
http://en.wikipedia.org/wiki/Photomultiplier
http://en.wikipedia.org/wiki/Single-Photon_Avalanche_Diode
У нас в лаборатории детектор фотонов стоит около 30кЕ, и я без понятия на каких принципах он работает. Конечно, это не просто детектор, а прибор, в который втыкается оптоволоконный провод, и который выдаёт информацию в человечьем формате с кучей всяких настроек. Вроде он сам и статистику фотонов считает, и даже, может быть, как-то обрабатывает...


Мне ещё подсказывают, что "концепция работы всех однофотонных детекторов одна: некая неустойчивость, которая ловится на один фотон", и вроде как после обнаружения надо "перезаряжать".

— spinore (09/01/2010 07:19)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Как проверим количество выпущеных фтонов? Посчитаем пол микроскопом?)

Как будем доказывать простому пользователю факт передачи одного фотона?-Типа: Смотрите вон полетел один фотон, видите?) Так как если фотон будет не один, то возможен перехват ключа, без обнаружения факта перехвата.

Если будет более 1-го фотона, система уязвима.

А вот интересно, можно ли отличить на глаз один фотон от нескольких?

Что вы все прицепились к "одному фотону"? Число фотонов в квантовом состоянии в общем случае неопределено точно так же, как координата и импульс квантовой частицы с массой. Т.е., анализируя свет, с разной вероятностью можно получать при измерении и один, и два, и двести фотонов. Когда говорят про QKD, чаще подразумеваются оптические системы, и там QKD не обязано быть привязано к квантовым состояниям с строго одним фотоном. Насколько я знаю, на практике легко получают (из лазеров) именно когерентные состояния |alpha>- они и есть основа всей квантовой оптики, и вероятность P(n) обнаружения n фотонов по вышеприведённой ссылке для них дана – это распределение Пуассона.

Более того, легко понять, в каких схемах могут оперировать с единичными фотонами. Допустим, что все состояния соответствуют некоторому фиксированному числу фотонов, но это предположение полностью фиксирует "координатную часть" волновой функции, и нам не во что кодировать информацию, кроме как в "дополнительные степени свободы". Дополнительная степень свободы у фотона только одна – поляризация, и у электрона только одна – спин. Т.е. единичные фотоны могут быть только там, где всё QKD делается на поляризации, но это совсем не обязано быть так в общем случае.
PS: попытался описать вышесказанное формальным математическим языком, но получилось перегружено и неубедительно, в итоге "матчасть" пришлось стереть ;-(

Есть ещё специалист по всему в области ИБ — Б. Шнайер, но у него чисто научная карьера как-то давно не очень сложилась

В нормальных научных коллективах, как и в любой серьёзной фирме, есть исполнители, организаторы, те, кто добывают деньги и наводят связи, а также формально руководят процессом. Писали, что в хороших формах считается правилом дурного тона ситуация, когда начальник не может (не имеет квалификации) выполнить при надобности работу за своих подчинённых. Однако, в науке такое встречается сплошь и рядом. Есть люди, которые эффективно занимаются административно-организационной деятельностью, которая тоже нужна, и каковой далеко не каждый учёный сможет успешно и эффективно заниматься (хотя бы потому, что для этого нужны совсем другие качества и умения). На практике административные посты в науке занимают не выдающиеся учёные, а обычные, и это всех устраивает и ни для кого не секрет. Я к тому, что если у Шнайера хорошо получается вести просветительскую деятельность, то в этом нет ничего предосудительного: люди всякие нужны, лишь бы конкретно своё дело хорошо делали.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3