id: Гость   вход   регистрация
текущее время 08:22 25/05/2020
создать
просмотр
редакции
ссылки

Развёртывание квантовых сетей (QKD) в домашних условиях


Photon_counter_big-small.jpg (87 Кб)


Преамбула:


В связи с ожидаемой кончиной безопасности асимметричной криптографии, наверняка многие задумывались о переходе на безусловно безопасную квантовую (QKD) и о разворачивании собственной квантовой локальной сети в домашних условиях. К счастью, софт для реализации такой сети уже 2 года как свободен, открыт и выпускается AIT SQT Software (Австрийский Институт Технологий) под лицензиями GPLv2 и LGPL. Метод работы системы схематически описан здесь и на этом постере, а тут доступны слайды и другие материалы по теоретическим и экспериментальным наработкам группы.

Хронология:


Каждый релиз QKD-софта имеет собственное имя. Последний стабильный релиз — R7 (Де Бройль). Планк готовится к выпуску, и по ссылке можно следить за его подготовкой и исправлением ошибок. Полный список релизов:
РелизИмяДатаКоммит
R1Newton04.05.2006r64
R2Faraday05.10.2006r187
R3Tesla05.02.2007r322
R4Einstein30.05.2007r608
R5Bohr06.08.2007r817
R6Heisenberg24.10.2008r1403
R7De Broglie09.03.2010r1747
R8Planck??

Словарь терминов:


Для понимания документации, привожу краткий словарь технических терминов:
  • QRNG — квантовый генератор случайных чисел.1
  • DieQuick — программа для проверки рандомности (видимо, DieHard Quantum = DieQuick).
  • qd — QKD device.
  • qbb — сокращение для Quantum BackBone.
  • libqkd — библиотека QKD.
  • q3p — общепринятое сокращение для Quantum Point-to-Point Protocol (аналог ppp), который уже стандартизован IETF. Для работы с q3p используются:
    • q3p-cmd — тулза для динамического конфигурирования q3p.
    • q3p-link отвечает за безопасную коммуникацию между хостами.
    • Q3P MQR — Message Queue Reader, используется для чтения ключей из очереди сообщений и отправки их агенту управления ключами NEC keyagent.
    • Демон q3pd (видимо, по аналогии с pppd).
    • q3p0, q3p1, q3p2 и т.д — виртуальные сетевые интерфейсы наподобие tun/tap.
    • q3p-ospf — квантовый OSPF (если нужен квантовый рутинг и имеется более, чем 2 хоста).
  • ECP-QKD, IPSec QKD — разрабатываемые стандарты для других квантовых протоколов.

Поддерживаемые системы:


Для Де Бройля доступны как rpm-, так и deb-пакеты (32- и 64-битные версии), которые имеются в архиве по ссылке здесь, но разработчики рекомендуют устанавливать де Бройль на Debian «Squeeze» (см. файл README в архиве):
The recommended system for running R7 De Broglie is Debian Release "Squeeze".
These packages with the minimum version listened should be installed.
Debian — родная система разработки, в качестве доказательства прикладываю собственноручно сделанный скриншот QKD-монитора и видео2 (youtube|file) рабочей QKD-системы.

Если вдруг у вас нет под рукой настоящей QKD-системы, можно воспользоваться и виртуальной машиной симулятором QKD-сети. По ссылке доступен исходный код, инструкция по установке, rpm и deb-пакеты для 32- и 64-битных версий Linux. В fileэтом архиве также имеются скриншоты симулятора.

Для разработчиков:


Для желающих участвовать в проекте есть возможность создать свою среду разработки и использовать версионник — GitSvn. Разрешение зависимостей при компиляции описано здесь. Имеются биндинги на питоне. Не забывайте, что комментарии в конфигурационных файлах предваряются двумя минусами, как это принято в Haskell и Lua.

Инсталляция:


Установку Де Бройля лучше начинать с чтения этой вики и основной страницы релиза. Конфигурирование описано здесь. Чтобы включить поддержку QKD-девайса qd, раскомментируйте в исходниках ядра строчку Инициализация qd задаётся командой
qd NODE-ADDRESS OWN_UUID PEER_UUID
Сеть на виртуальных интерфейсах конфигурируется стандартным образом:
# ifconfig q3p0
q3p0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:31 (31.0 B)  TX bytes:32 (32.0 B)
По умолчанию используются порты 2000, 2001 и 2100.

Поддержка пользователей:


Если при работе с системой у кого-то возникли вопросы, есть форум поддержки, где их можно задать. Имеющиеся багрепорты можно просматривать (или отсылать свои) в багтрекеры: общий, по qkd-стеку, по qkd-софту, по qkd-сети. А в этом багтрекере даже можно выбирать релиз QKD-софта и тип квантовых утилит в критериях поиска. И видно, что люди действительно пользуются системой: например, по этой ссылке счастливый обладатель QKD-систем от швейцарской idQuantique интересуется, как заставить с ними работать qkd-stack и qkd-network, а вот тут кто-то жалуется на то, что в его Ubuntu проблемы с зависимостями.

Квантовая локальная сеть:


Использование квантовой сети из нескольких хостов — не редкое явление (quantum OSPF упоминался выше). Один из самых известных примеров — бывший 4 года назад своего рода Quantum Install Fest, сеть SECOQC (wiki) на которой был запущен Гайзенберг R6. SECOQC оперировала с шестью (по данным самого прокта — с восемью) хостами, соединёнными между собой в единую сеть разными способами (QKD по оптоволокну, по воздуху, на основе как дискретных, так и непрерывных переменных и т.д.). AIT был инициатором и координатором SECOQC, а софтверная компания AIT QKD Network Software как раз и выросла как его результат. Налогоплательщикам европейских стран разработка такой локалки обошлась в 14,7 миллионов евро, в её создании приняала участие 41 организация из 12 стран, 25 университетов (в том числе и наш), 5 исследовательских центров и 11 бизнес-структур. Основной мотивацией для финансирования этого проекта на уровне общеевропейских программ была защита от шпионажа со стороны американского «Эшелона». Тем не менее, всё это — уже прошлое науки, которая теперь движемся к следующему логическому этапу — квантовому интернету.

Квантовый интернет:


Наверняка многие из читателей уже слышали про космические программы QKD. Первый их этап — осуществление надёжного QKD по воздуху на значительные расстояния (лазерный луч по воздуху). Здесь за приоритет бьются китайцы и группа Антона Цайлингера, состоящая из около 30-40 человек. Для удачных экспериментов нужно максимальное удаление от возмущающих среду источников, поэтому были выбраны канарские острова Ла-Пальма и Тенерифе (расстояние между ними около 140 км), а оборудование было размещено в зданиях местных обсерваторий. На островах уже успело побывать много исследователей в рамках сотрудничества: Цайлингер любезно приглашал конференционную общественность поучаствовать в работе, в красках расписывая местную канарскую природу. Основные вредители «воздушного» QKD — облака (порой приходится много дней ждать удачной погоды) и квантовые хакеры, разузнавшие, какие там стоят марки фотонных детекторов и уже продемонстрировавшие их уязвимость. Впрочем, Цайлингер резонно подметил, что если хакеры станут строить леса вокруг обсерватории, чтобы посветить лазером в детекторы, они их заметят и надают им по шапке.

Второй этап космических программ — собственно размещение QKD-хоста на спутнике, который сможет, в свою очередь, соединять разные точки на земле через QKD по воздуху. Такое решение смотрится, видимо, более перспективным, чем попытки окутать всю Землю оптоволокном. QKD в космосе, ожидается, будет вот-вот продемонстрировано (концептуальных нерешённых проблем здесь нет), что позволит соединить квантовую локалку на одном конце света с квантовой локалкой на другом конце (квантовый VPN?). Собственно, на этом этапе условный SECOQC станет де-факто «международным», что позволяет по праву назвать такую сеть «квантовым интернетом». Единственный недостающий штрих — квантовые повторители (quantum repeaters), но их создание уже ожидается в близком будущем. Наконец, далее всё будет стандартно: удешевление технологии, её широкое распространение, рост пропускной способности, востребованность специалистов на рынке и кадровый голод (в квантовые админы никто не хочет пойти?).

QKD — это дёшево:


Если у вас нет 100k€ для покупки коммерческой QKD-системы, или если вы прочитали слева внизу на постере, что
The software is licensed as open source under the GNU GPL V2 and GNU LGPL V2.1. A registration fee of € 2.000, covers the costs of the software platform and grant full access

и вам не хочется платить 2k€ за софт, то это не беда:

  • Во-первых, часть софта можно скачать и без регистрации.

  • Во-вторых, незачем платить 100k€, когда можно включить мозги и собрать QKD-систему дома в гараже самому:

    garage-small.jpg (45 Кб)

    Стоимость необходимых деталей будет зависеть от желаемой ширины канала (фотонные детекторы в зависимости от характеристик разнятся от относительно дешёвых:

    Photon_counter_small-small.jpg (23 Кб)

    до крайне дорогих). Здесь вряд ли кто-то подводил точные расчёты, но молодёжь из компании-поставщика QKD в непрерывных переменных SeQureNet (обсуждалось здесь) оценивает стоимость деталей в 10k€. Прогнозы Вадима Макарова менее оптимистичны — минимум 15k€.

  • В-третьих, даже если у вас нет и 10 тысяч, это тоже не беда: можно просто пойти и устроиться квантовым админом. К примеру, голландская фирма-производитель Single Quantum активно fileищет себе струдников. Я, конечно, как теоретик, не стал бы претендовать на такую вакансию (и, вообще, в этой квантовой сетевой OSI моя работа соответствует самому нижнему уровню — физическому), но другие желающие вполне могут попробовать. И таких фирм на самом деле много, так что дерзайте!

  • В-четвёртых, наконец, для самых ленивых есть открытый свободный симулятор (см. описание выше) — просто скачивайте и запускайте!


Ответ скептикам QKD


Я здесь, как и выше по тексту, в основном буду ссылаться на личную беседу с Вадимом Макаровым и Евгением Карповым. В форме импровизированных абстрактных вопросов и ответов, мнгогие из которых возникали как у меня самого, так и у других, текущую ситуацию можно обрисовать следующим образом:

  • QKD-системы баснословно дорогие! Кто в здравом уме согласится это покупать?

    Стоимость коммерческих систем QKD (а их всегда покупают вместе с поддержкой), 100k€, не является запредельно высокой. Основной потребитель QKD — коммерческие банки. Государство обязывает их делать резервные копии для всех транзакций, причём эти копии должны делаться в другие отделения банка, которые расположены не ближе, чем несколько десятков километров. Из-за этого возникает необходимость передавать большие потоки зашифрованных данных (а, значит, и часто делать рекейинг). Стоимость классических коммерческих систем, решающих такую задачу, настолько высока, что добавка лишних 100k€ на дополнительную примочку в виде QKD-системы существенной роли не играет. Технически это организовано так, что итоговый ключ шифрования вырабатывается из обоих источников (классического и квантового), причём если какой-то один из них будет полностью скомпрометирован, итоговый ключ всё равно останется безопасным. Таким образом, квантовая криптография «страхует» классическую, а классическая — квантовую.

  • Насколько QKD популярно в мире?

    Самый крупный поставщик оборудования — idQuantique. Cледует сказать, что он имеет довольно хорошую научную и коммерческую репутацию. В частности, когда была обнаружена серьёзная уязвимость в их реализации QKD (тем же Макаровым), они написали официальный анонс на сайте и бесплатно заменили оборудование у всех своих клиентов, хотя согласно юридическому договору с клиентами могли этого и не делать. Точное количество заказчиков QKD — коммерческая тайна idQuantique, поэтому это никто не знает, но их число оцениватеся в несколько десятков.

  • Все знают, что экспериментальные реализации QKD были взломаны. Тогда зачем мне разворачивать свою квантовую сеть?

    Чтобы избежать кривотолков, про это стоит рассказать интернет-общественности подробней. Демонстрационный взлом с полным восстановлением ключа планировалось провети на коммерчески продаваемой системе, но по техническим обстоятельствам3 впервые это удалось сделать для исследовательской реализации QKD, а для коммерческой пришлось ограничиться убедительной демонстрацией существования той же уязвимости (т.е. установку, чтобы это показать экспериментально, собирать под них не стали). idQuantique была приватно извещена об уязвимости в их системах, причём ей была предоставлена вся информация с полным раскрытием деталей. Николя Жизан, глава idQuantique, на это отреагировал как «это очень хорошо, что квантовая криптография достигла той степени зрелости (как технология), когда её уже стали взламывать».

    На тот момент был выбор: публично опубликовать уязвимость только для idQuantique'овских систем или посмотреть на какие-то ещё (но где их достать? они недёшево стоят), но idQuantique с радостью согласился достать за свой счёт чужие системы и предоставить их для взлома («да-да, взломайте тогда и их тоже!»), что и было сделано. Когда работа была закончена, у хакеров встал вопрос о том, в какой форме писать благодарность в научной статье (это общепринятая практика) за предоставленное оборудование, но, как оказалось, оборудование было взято у европейских армейских, которые изо всех сил решили отнекиваться в духе «нет, нет, нас благодарить не надо!» [не хотели светиться как потребители QKD :)]. Впрочем, за экспертизой армейским тоже пришлось обращаться к тем же хакерам (технология новая, интересная, купили прибор, а что с ним делать и как его анализировать — не знают, своих-то специалистов нет).

    В общем, я хочу сказать, что популярное мнение «idQuantique продавала, продавала, а потом внезапно узнала из прессы, что её приборы взломаны» — интернетовская байка. Действительно, взлом имел место, причём совершенно неожиданно для самой idQuantique: хотя теоретически и было известно про массу возможных несовершенств, которые, как предполагалось, потенциально где-то как-то могут быть использованы хакерами для частичного восстановления информации о ключе, никто не задумывался, что атака настолько опасна, что позволит прозрачным образом (недетектируемо для операторов QKD-оборудования) полностью восстановить ключ в эксперименте. Тем не менее, атака такого рода была по сути единственной, в дальнейшем эту опасность стали серьёзно учитывать; использовать те типы квантовых состояний и те протоколы, которые защищены от атаки; да и самих квантовых хакеров стало больше: одни создают, другие взламывают, причём обе стороны между собой активно взаимодействуют, что и есть нормальная среда разработки.

  • Система очень дорогая, в результате экспериментов по взлому она приходит в негодность, это ж сколько копий оборудования нужно, чтобы его удачно взломать или проанализировать? А если копий для экспериментов мало, системы дорогие, то насколько хорошо они исследованы?

    Как оказывается, при таком взломе лишь сам детектор приходит в негодность (его буквально выжигают), да и то — только в последних экспериментах по хакингу, а в первых экспериментах (если помню правильно) даже детектор не ломается. Квантовый хакинг — отдельная интересная тема с обширным материалом, но я не буду в неё сейчас углубляться, а лучше расскажу позже в другой заметке.

  • Действительно ли строго доказано, что QKD безопасно?

    Мнение QKD-теоретика:

    QKD, само по себе, — вывод совместного безопасного ключа из имеющихся между общающимися сторонами квантовых состояний. Даже если ограничиться рассмотрением QKD в дискретных переменных (а оно есть ещё и в непрерывных), то всё равно речь пойдёт об обширном семействе протоколов. Безопасность одного протокола не следует из безопасности другого. Для некоторых протоколов эту безопасность можно условно считать доказанной, для других — нет.

    Когда мы говорим «безопасность доказана», мы, опять же, подразумеваем что-то кокретное. Исторически для некоторых протоколов была сначала доказана безопасность против так называемых индивидуальных атак, потом — против коллективных. Ещё позже было показано, что самые сильные и общие атаки — когерентные, но про них удалось доказать, они не сильнее коллективных. Тем не менее, даже если теоретический протокол безопасен против коллективных атак, но экспериментальная его реализация допускает то, что не допускает теоретический протокол, приходится рассматривать объём информации, который может через эту «дырку» утечь к атакующему.

    К примеру, в «атаке с разделением числа фотонов» атакующему может стать доступным n идентичных копий одного и того же состояния. Может ли он выяснить, что посылается через канал, если там возможны только 4 типа сигнальных состояний? Это — задача на различение (discrimination) квантовых состояний и на проверку статистических гипотез. Оказывается, есть два типа различения состояний при проверке этой гипотезы: «однозначное» (unambiguous) и «неоднозначное» (ambiguous). Каждое различение соответствует какому-то оптимальному измерению. При однозначном различении состояний есть два типа результатов, каждый из которых реализуется с какой-то вероятностью: «ответ получен и известен с вероятностью 100% как верный» и «никакой ответ получить не удалось» (использованные квантовые состояния/частицы после этого в обоих случаях будут необратимо уничтожены). При неоднозначном же различении какой-то ответ получается всегда, но его достверность строго меньше 100% (с вероятностью p угадываем значение бита и с вероятностью 1-p ошибаемся). Таким образом, при unambiguous-стратегии мы можем с какой-то вероятностью узнать ответ (и при этом будем знать точно, что этот ответ правильный), но с какой-то вероятностью попросту не получим никакой информации. При ambiguous же стратегии мы всегда получим какой-то ответ, но он будет совпадать с правильным только в определённом проценте случаев. Интересно, что при малых n атакующему выгоднее использовать один тип стратегии, а при больших n — другой, но при этом(!) есть такое (и относительно небольшое) n, при котором атакующий сможет узнать зачение бита всегда и с вероятностью 100% (не путайте задачу различения ансамбля из n идентичных состояний, про который известно, что каждое состояние — одно из m возможных, и задачу восстановления абсолютно неизвестного квантового состояния; последнее может быть узнано со 100% вероятностью только за бесконечное число измерений). Всё это было проанализировано для атаки с разделением числа фотонов для некоторых протоколов, и строго выведена оценка на безопасность.

    Наконец, даже если всё проанализировано, есть вероятность, что у системы нет робастности, и надо доказывать, что протокол устойчив при работе с не совсем идеальными состояниями; доказывать, насколько меняется степень безопасности при небольших отклонениях от идеальной (теоретически проанализированной) ситуации. Действительно, есть протоколы, для которых всё (или практически всё) это было произведено. Это — десятки объёмных работ, выполненные разными людьми в разных местах и разное время. А сам вопрос «безопасен ли протокол?» слишком обширен, чтобы степень безопасности подразумевала лёгкий универсальный ответ «да» или «нет». Иногда могут оставаться непроанализированными какие-то экзотические случаи, атаки или робастность, но большая часть анализируемых в теории атак слишком далека от возможностей экспериментального осуществления на текущий момент времени.

    Чем ещё хорош протокол QKD — так это своей «модульностью»: квантовая задача в QKD мала — только оценить процент безопасной взаимной информации, имеющейся между сообщающимися сторонами при заданном уровне шума в канале (уровень шума постоянно определяется экспериментально). Если этот процент известен, задача по выводу совместного секретного ключа становится полностью классической и решается такими протоколами стандартной теории информации, как совместное исправление ошибок (reconciliation) и усиление безопасности (privacy amplification).

    Мнение QKD-экспериментатора:

    Есть экспериментальные уязвимости в оборудовании, но они успешно закрываются, со временем их становится меньше, а атаковать сложнее. Постепенно технология будет доведена до той стадии, когда практически все возможные дыры будут заткнуты.

  • Не получится ли, что технология QKD «не апскейлится»? Например, не удастся сильно превзойти уже существующие скорости или дальность расстояния.

    Нет. Развитие идёт полным ходом по всем фронтам, и ни по одному из них мы не упёрлись в стенку, т.е. никаких «концептуальных затыков» пока не видно. Для широкой общественности это незаметно, но реально за последние лет 10 удалось сделать очень многое; в том числе сейчас удаётся экспериментально реализовать такие вещи, которые лет 5-10 назад считались чуть ли ни фантастикой. Конечно, пока что нет квантовых повторителей, необходимых для того, чтобы доверять маршрутизацию недоверенным хостам, но над их созданием активно работают, некоторые их составные части уже продемонстрированы экспериментально, никаких «концептуальных затыков» в них тоже нет, потому серьёзно ожидается, что они будут созданы.


1Например, можно взять idQuantique'овский QRNG: 4MBit/s, размеры 61mm ⊗ 31mm ⊗ 114mm, мне его предлагали взять за 2000 рублей:

QRNG_2-small.jpg (23 Кб) QRNG_1-small.jpg (14 Кб)

Система оснащена стандартным USB-входом, под винду и Linux доступны ещё и драйвера от поставщика. Также можно купить PCI-плату с QRNG на борту, которая будет выдавать 16Mbit/s.


2Всё-таки в AIT SQT Software классные ребята работают, весёлые. Сколько ни смотрю это видео, меня постоянно на смех пробирает. Для непонимающих английский на слух, диалог:
— Ha-ha-ha-ha ... We don't use the keys, we generate (them) here, so ... Ha-ha-ha-ha
— But it is useless spying because I am theoretician, that's why...
— Ha, OK, I see ... Ha-ha-ha-ha ... So you are not going to use the keys?
— Yes
— But people don't believe I'm doing something practical(ly) useful, so I can show people that sometimes it gets implemented...
— Ha-ha-ha-ha.
P.S.: Есть и другое короткое видео о том же (youtube|file), но уже не такое забористое.


3Один студент попался более расторопным, чем другой :)


 
На страницу: 1, 2, 3, 4, 5 След.
Комментарии [скрыть комментарии/форму]
— Гость (20/01/2014 13:52)   <#>
От сырых данных с реального прибора вообще не стоит ожидать истиной случайности в смысле криптографии, потому что ни один реальный квантоый прибор не является идеальным квантовым прибором (это модель). Для того всякие quantum-proof-экстракторы и разарабтывают.
— Гость (19/06/2014 20:50)   <#>
Bombs don’t have to explode, forgers can get away scot-free*

Из программы QCrypt-2014. Барт Пренель среди приглашённых докладчиков, Иван Дамгард — в «advisory committee».

*Вспоминается, что Даниэль Нагаж (соавтор доклада) умеет отжигать. Каждый доклад у него — хорошо отрежессированный спектакль, где всё продумано до секунды. Такой отличный театр редко увидишь. Впрочем, Макаров тоже в этом плане неплох. ☺
— Гость (20/06/2014 19:13)   <#>
Извиняюсь что вклиниваюсь в дисскуссию.

У меня вопрос.

Как решена эта проблема, с тем что пучок света, а не фотон излучается, на сторонах Алисы и Боба.

Так, что Мэллори может перехватить половинку пучка, т.е. из 100 миллионов фотонов, забрать через врезку в Квантовый Канал себе 50 миллионов. Затем 50млн. фотонов разделить на 4 пучка по 12.5млн. фотонов и каждый измерить соответственно кристаллом Исландского шпата так, что секрет, который они будут затем генерировать, проверяя не изменял/измерял ли кто поляризацию фотонов, будет сломан.
— Гость (22/06/2014 10:08)   <#>

В стандартном QKD квантовый канал однонаправленный: Алиса только передаёт, Боб только получает.


Во-первых, о каком протоколе идёт речь? DV QKD или CV QKD? Если DV или CV, то какой конкретно в этом классе? Если это DV, то это стандартный BB84? BB84 на слабых когерентных состояниях? SARG04? Если это CV, то какой? На тепловых состояниях? На сжатых? Именно с этого надо начинать вопрос, после чего смотреть публикации, как в конкретном протоколе реализована защита от тех или иных атак. Во-вторых, вы имеете в виду «photon number splitting attack» или что-то иное?

Модельный, используемый для демонстрации общего принципа, BB84 работает только на однофотонных источниках света, поэтому никаких «миллионов» там нет. Однако, даже в этом случае безопасность (в первом приближении, строго говоря) строится не на том, что Мэллори не может незаметно измерить фотон, создать вместо него новый и послать его дальше, а на том, что любое вмешательство Мэллори повысит количество ошибок в классическом протоколе согласования, который производится после окончания передачи данных по квантовому каналу. Соответственно, классический протокол позволяет оценить количество информации, утекшей к Мэллори, и выдавить её (сделать ε-малой) из гаммы для одноразового блокнота, доступного Алисе и Бобу.

Современные промышленные протоколы намного сложнее, и биты там кодируются иначе. Например, это может быть не поляризация света, а задержка по времени в прохождении импульсов (возможно, ещё порядок импульсов важен). Это всякие time-bin'ы. С ними, видимо, тоже не всё хорошо, поэтому в протоколе ещё наворачиваются всякие decoy state (ложные тестовые импульсы). Это внутренние инженерно-технические детали, в которые обычно вникают только те, кто профессионально занимается QKD (не мой случай). Ранее здесь были поверхностные упоминания этих тонкостей [1], [2], [3], но глубоко никто не рыл. Если что, даже в отечественных изложениях QKD, насколько я помню, есть описания этих тонкостей.

P.S. Про упомянутую ссылку: автор комментария на следующей неделе организует Севко'14, поэтому, если у кого-то есть сложные вопросы по теме QKD, пишите сюда, будет возможность спросить у непосредственно причастных. Те, кто вовремя подсуетился, пойдут бегать с микрофоном на fileдокладах «Quantum hacking with realistic Trojan-horse attacks», «High-rate quantum key distribution with untrusted relays» «Continuous variable quantum key distribution: free space links and quantum hacking» и других годных, а те, кто не подсуетился, будут слушать унылый экспериментальный трэшак.

В силу традиционного для «севко» пророссийского лобби среди организаторов и того, что экспериментальная квантовая оптика чуть живее в РФ, чем другие области, от России целых 8% участников: МГУ и ФИАН — по 4 от каждого, ФихТех и KБ-25** — по двое, Черноголовка, ИПФ, СПБГУ, ИТМО и ННГУ — по одному; всех вместе, в итоге, 17. Интересно, что также в следовых количествах отметились: Украина (Одесса), Молдавия и Казахстан (НУ). Тут всё логично: говорят, НУ пошёл по пути Сингапура, приглашая западных учёных на постоянные позиции со сравнимыми с Западной Европой зарплатами.


**КБ о себе:

Главными направлениями ... тематики являются:

разработка

ядерных боеприпасов для определенных классов стратегических и тактических комплексов ядерного оружия;

разработка и производство

систем подрыва и нейтронного инициирования ядерных зарядов;
неядерных компонентов и устройств автоматики ядерных боеприпасов;

Есть плюшки. Казалось бы, зачем им квантовая оптика?
— Гость (22/06/2014 10:11)   <#>

Прямая ссылка.
— Гость (22/06/2014 17:46)   <#>


BB84


Переформулирую свой вопрос: Побороли эту длинну канала в несколько километров, на которые летит 1 фотон?

Как обстоят дела именно с генератором 1-ого фотона, что бы чистая pure quantum mechanic была на защите канала.

В противном случа,



Мэлори отделит часть пучка света, не изменяя другую часть отправляющуюся дальше Бобу, каким-нибудь сплиттером, не внесёт никаких ошибок в канал, он просто снимет полный материал для ключа, и затем восстановит ключ на своей стороне.


Мне казалось всегда, что на том, что поляризация фотона разрушится при измерении. А это не `любое` – это именно измерение. Сплиттер, раздели пучок на два одинаково поляризованных пучка, не изменяя поляризацию. Это так?
— Гость (23/06/2014 07:12)   <#>

Как я понимаю, фотон с некоторой вероятностью поглощается в среде (оптоволокне или воздухе), а с какой-то вероятностью доходит. Если я ничего не путаю, то даже в QKD между спутником и Землёй опирались на этот принцип, типа из миллионов доходит один фотон, но этого в некоторых случаях достаточно для демонстрации самого принципа. Обычные промышленные приборы вроде не опираются на строго однофотонные источники в QKD, никому это не нужно.


А что, если в электромагнитном поле находится не один фотон, а 10 или 100, то квантовая механика перестаёт быть применимой? В этом случае нельзя построить безопасный протокол? Или такой протокол будет чем-то принципиально хуже, ущербней, небезопасней, чем протокол на строго однофотонных импульсах? Мне кажется, ответ на ваш вопрос уже раписан здесь.


Если Мэллори что-то делает, Боб получает не то, что посылала Алиса, так что «не внесёт никаких ошибок в канал» — это не так. Дальше идёт вопрос о том, могут ли Алиса и Боб определить, что Боб получал не совсем те состояния, какие отправляла Алиса. Протокол строится таким образом, что любое вмешательство в канал отразится на статистике. Если что, Алиса не передёт по квантовому каналу ключ. Она ему передаёт случайный шум, из которого потом позже будет выведен единый для них общий ключ.

В самом простейшем случае, когда работает PNS-атака, и протокол уязвим, каждый из фотонов несёт полную характеристику того, как будет вырабатываться ключ (язык детский, но не знаю, как вам иначе пояснить). В других схемах кодирования информация зашита во всю систему в целом, в весь ансамбль этих фотонов, которые «образуют» состояние. И вам нужно мерить именно соответствующую характеритику (физическую величину), а не поляризацию фотона. Что бы вы ни мерили, это исказит исходное состояние («ансамбль»), из-за чего Боб начнёт чаще получать при измерении не то, что посылала Алиса. Поскольку они потом между собой согласовывают, кто что посылал, и каковы отличия (не раскрывая сами переданные биты), степень вмешательства Евы будет видна. Дальше идёт трюк — математическая теорема, которая говорит, что есть однозначная связь между степенью шума в канале (вмешательством Евы) и тем, сколько информации могло утечь к Еве. Применяя классическую процедуру reconciliation + privacy amplification из совместно наработанного массива битов Алиса и Боб выводят общий ключ, о котором Ева не будет знать практически ничего.


Есть максимальное количество информации, которое может быть получено о квантовом состоянии при его измерении. Чем менее возмущается при измерении система, тем меньше информации будет получено, но, в любом случае, нельзя превысить «максимум», иначе внутренней рандомности в квантовой механике не было бы. Однако, есть частные случаи состояний квантовых частиц и им соответствующих измерений, при которых после измерения ничего не меняется — это если состояние квантовой системы является «собственным» для той физической величины, которую измеряют.

Например, если поле (фотон, если детским языком) поляризовано вертикально, и вы пропускаете его через вертикальный поляризатор, ничего не меняется (даже на квантовом уровне). Если поле было поляризовано диагонально, а вы пропустили его через вертикальный поляризатор, то на выходе будет вертикальная поляризация. Наблюдая два этих случая, вы не можете отличить одно от другого: после прохождения через поляризатор информация о том, что было до, утрачивается безвозвратно.


Сплиттер (светоделитель) — это BS. Насколько я знаю, да, поляризация не меняется, но вот про сами состояния на выходе из BS это для меня не такой простой вопрос. Во-первых, не всякий BS имеет проницаемость η=45°C. Во-вторых, PNS-атака делается как-то сложнее, по-моему, но я уже подзабыл эту схему. Как найду, напишу. fileЗдесь что-то есть на стр. 4-5, но без схемы, только на уровне формул. Вообще, квантовомеханическое описание BS — не такая простая вещь: есть уравнения, которые описывают, как преобразуются моды, а вот что из этого следует — надо сидеть и думать.

Ещё есть поляризатор и счётчик фотонов. Последний измеряет квантовый аналог классической «интенсивности света». Обычно из этих трёх элементов городят простейшие схемы. В более сложных ещё могут быть, например, гомодинные детекторы.
— unknown (25/06/2014 09:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
**КБ о себе:

Главными направлениями ... тематики являются:

разработка

ядерных боеприпасов для определенных классов стратегических и тактических комплексов ядерного оружия;

разработка и производство

систем подрыва и нейтронного инициирования ядерных зарядов;
неядерных компонентов и устройств автоматики ядерных боеприпасов;


Есть плюшки. Казалось бы, зачем им квантовая оптика?

Оффтопичные ответы на этот вопрос перенесёны.
— Гость (30/07/2014 14:14)   <#>
В народе ходят слухи, что доклад

Composable security proof for continuous-variable quantum key distribution with coherent states
Anthony Leverrier

на Qcrypt-2014 будет о том, что доказательство безопасности для CV QKD не работает для реальных его имплементаций. Типа там надо делать симметризацию посылаемых состояний, и её можно делать до или после реконсиляции. Якобы теоретическое доказательство работает только в одном случае, но если так делать в эксперименте, то сильно упадёт скорость передачи данных, поэтому так не делают (попытка пересказа слухов, возможны существенные искажения смысла).
— unknown (30/07/2014 14:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если это так, то это ограничение принципиально не обойти в каких-то иных практически выполнимых протоколах? Или лучше всё-таки подождать доклада.
— Гость (30/07/2014 20:50)   <#>
Одна бабка сказала, что CV QKD и все его имплементации не работают.
— Гость (31/07/2014 23:11)   <#>

Речь о QKD, про другие протоколы не знаю. Также не могу сказать, касается ли это абсолютно всех имплементаций CV QKD.

Это не принципиальное ограничение. Можно делать так, чтобы всё было ОК, но люди бьются за скорости, выжимают все капли. Если начинать делать так, чтобы не быть подверженным этой атаке, скорость сильно упадёт (типа в несколько раз), поэтому получается неперспективный способ, надо искать какие-то другие решения.

В любом случае, это пока пересказ пересказа пересказов, да я уже и сам забыл, что в оригинале говорили. Лучше действительно подождать доклада и/или статьи на тему, в архиве пока пусто.
— unknown (25/08/2014 12:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот и маргинальные критики подтянулись, решив воспользоваться моментом. Судя по всему, автор как-то смутно представляет себе QKD: Simple explanation on why QKD keys have not been proved secure. А в консультантах у него неутомимый L.Kish, упорно продвигающий свой проект LKJN, про который раньше написали, что это бред, а сейчас уже никто не комментирует его исправленные версии.
— Гость (26/08/2014 03:05)   <#>

Есть знаменитая сказка про «вершки и корешки», а также серия смешных анекдотов на эту тему (как один усваивает материал, только всё путает, и из-за этого получается хохма). Единственное, что вспомнилось — это.

Не надо смотреть на суть. Содержание — ничто, форма и подача — всё. Хотите оценить работу — оцените человека, который её писал, а саму работу можно даже не открывать. Главное, чтобы учёный был чёткий, ровный, внятный, здравый. Первый вопрос, который вы должны задать — не «что он написал?», а «кто он такой по жизни?». Какие у него подвязки, какая пряга? Чё Что и кто за ним числится? С какого он двора, раёна? Чем знаменит его раён? Кто с него вышел, одни тухлые ботаники или реальные солнцевские, эмайтишные, стэнфордские головорезы? Это вам сразу даст ориентир, кто перед вами. Знаете, как попасть в эмайтишную группировку? Вам привозят грузовик постдоков, 50 рыл, и вы должны выдержать махач со всеми. Если всех загасите, вас возьмут, иначе мимо. Туда попадают одни звери. У них такой мозг, что они одной логикой могут забить вас насмерть, даже если у вас знания, а они с голыми руками. Какой смысл разбирать работу, если с вероятностью, стремящейся к 100% работа эмайтишника — реальное зверство, они строят весь мир, задают моду, определяют, что правильно, а что нет, что круто, а что гашёная унылость. А работы из какого-нибудь китайского судостроительного техникума — унылые ботаники, на которых всем покласть, с ними даж здороваться на конференциях не будут.

Почитайте, кто такой Horace Yuen. Для завтравки: B.Sc., M.Sc и PhD у него от MIT. Вы реально думаете, что в MIT есть такие дурачки, которые туда непонятно как поступают, а потом заканчивают и ещё и степень получают? На ютубе лежит целый ролик с миллионом (не помню сколько точно, но реально дохера) просмотров — студент MIT рассказывает, как туда попасть. Десятки тысяч китайцев, индусов и русских готовы вас убить только ради того, чтобы попасть в MIT. Откройте рейтинг мировых вузов. В технических науках MIT стабильно занимает первое место. А циферки эти не с потолка берутся, за ними кое-что стоит (можете поверить моему опыту, я перебирался из вуза №23 в вуз №1).

Почитайте список публикаций Yuen'а (только не статьи, а фамилии его соавторов и названия журналов). Обращайте внимание на цацки. Они с полтолка не берутся, их надо заслужить. Вас не смущает, что у него в соавторах такие широко известные люди как Томбези, Шапиро (MIT), Ллойд (MIT), Джованнетти (итальянская Эколь Нормаль)? Даже куда менее известные личности из его соавторов — тот же Сайкат Гуха — он свою постоянную позицию в BBN Technologies получил, т.е. конкурс 1:30 прошёл махач с грузовиком постдоков выдержал. Да, бывают оговорки на эту тему, но, тем не менее.

Ладно, можете сказать, что всё это может ничего не значить, поэтому последний аргумент, перейду на личности: Йен в 93-ем году доказал то, что теперь Холево (Холево в теории квантовых коммуникаций — это аналог Шеннона в теории информации или Шамира в криптографии) называет «Yuen-Ozawa bound». Это PRL'ка. Они нашли пропускную способность идеального гауссова канала раньше, чем была доказана квантовая теорема кодирования Холево-Шумахера-Вестморланда (1998-1999). Т.е. очень неплохой для своего времени, скажем так, результат, и первый фундаментальный результат вообще в области квантовооптических коммуникаций. Ну, и заодно можете посмотреть на статьи Йена в IEEE Trans. Inf. Theory 80-ых годов, когда они с Шапиро в MIT закладывали основы того, что теперь все обсуждают. Для прикола можете посмотреть ссылки в моей статье, там штук 5 цитирований его работ.

Кстати, в благодарностях он там не только Киша благодарит, но и, например, Хироту. Можно, конечно, говорить что у него не суперсильные работы, но с ними публиковался сам Холево, и теперь ряд работы Хироты в своей области как бы уже стали классикой, мы их разбираем до сих пор, и до сих пор кое-где открываем для себя что-то новое, хотя вышли в печать они 15 лет назад. И с Хиротой я общался лично, если что (как и с большинством остальных вышеперечисленных).

Одним словом, я бы не стал так беспредметно ставить под сомнение то, что пишет Йен. Да, у него может быть хреновая подача материала, но вы должны быть предельно осторожны и понимать, что этот человек далеко не так прост, как некоторым иногда кажется, да и вообще там в MIT люди как бы очень непростые... Т.е. если это и называть фричеством, то у нас тогда подавно форум гадалок-экстрасенсов. И ссылки в этой статье у Йена тоже неплохие, просто он не лезет вглубь, не занимается «педагогикой» — всё в стиле «я вам бросил идею, как Шнайер/Джоза/другие гранды, а вы разбирайте».

Посмотрите на похожую статью Ллойда про квантовые машины Энигма — такой же стиль текста и оформления, такая же квазинулевая понятность. Вы же не будете говорить, что один из основных двигателей концептуального прогресса не разбирается в теме? :) А мне вот непонятно, почему люди говорят, что квантовая Энигма принципиально невозможна, а потом Ллойд выкатывает такую статью. И вот фиг разберёшься, что там на самом деле имеется в виду. Ллойд там написал парочку ссылок и общих предложений в самом интересном месте в духе «если вы знаете всё по данным темам, вы поймёте, почему аргумент таков», но вот я не понял, хотя те темы прицельно рыл (тот же локинг).

P.S. Извините, постами из соседнего треда навеяло, не сдержался.



До Йена примерно то же самое писал Реннер:

Насчёт «абсолютной защищённости» Реннер бы мог поспорить, если не произнесены соответствующие оговорки

А до Реннера народ вообще нюху не знал — считал скорость передачи по Деветаку-Винтеру и ставил на этом точку. Про то, что безопасность по сути доказана только для бесконечного числа использований QKD-канала, а при конечном числе использований там всё плохо (очень медленная сходимость), тоже писали ещё давно, это общеизвестный факт. Йен тут никому Америку не открыл. Но всё же для ряда протоколов оценки есть на всё, и пусть они не такие обнадёживающие, но они есть, т.е., принципиально ε-безопасность достижима.

Что касается лично меня, я так и не осилил понять, как учитываются свойства экстрактора при доказательстве безопасности, потому что из общих соображений получается так, что разные экстракторы дадут разные оценки. Т.е. если Ева будет оптимизировать квантовую атаку исходя из того, что она знает, какой именно экстрактор будет применяться при реконсиляции и амплификации приватности Евы с Бобом... то я не знаю, как это далеко зайдёт. Может быть, есть универсальная граница, и в этом всё дело, но не знаю.

А ещё больше меня беспокоит то, что Смит со своими классическими leakage-концепциями может оказаться прав. По крайней мере, сколько я его ни листал, я в упор не вижу, в чём он заблуждается. Фактически Смит говорит, что все впали в тотальное заблуждение, от которого нас предостерегал ещё Шеннон, и даже приводит точную цитату Шеннона. Все привыкли оценивать безопасность и утечки решая коммуникационную задачу (оттуда все слова про пропускную способность, про взаимную информацию, про Деветака-Винтера и т.д.), а задача утечек — принципиально некоммуникационная. Т.е. если мерить утечки корректно битами для простейших классических каналов, они могут быть как выше, так и ниже оценок через взаимную информацию, и люди этого не осознают. Мне один так и заявил — не верю, я ему: могу показать расчёты и графики, всё так. Если взять, кажется, минимум 5 таких параллельных каналов, уже можно словить этот эффект, при меньшем числе не удаётся.

Короче, теория коммуникаций идёт по пути «энтропия Шеннона → взаимная информация → пропускная способность → условные энтропии и прочие извращения и обобщения», а для квантификации утечек надо всё переделывать с нуля на «энтропия угадывания Мэсси → leakage → min-capacity → g-function, gain и прочие извращения и обобщения», вот только есть одна засада. Теорию коммуникаций на квантовый язык перевели, но на это ушли десятилетия (чтобы доказать аналогичные фундаментальные теоремы), а Мэсси-Смита на квантовый случай переводить никто даже не пытался. И чё теперь делать, вешаться? Можно, конечно, набросать сверху бездоказательных гипотез, после чего решать квантовые задачи также, как классические, с нулевой доказуемостью, что это есть нужная оценка. Сразу вспоминается эра дошенноновской теории информации — помните этот страхоужас? Листаешь старые статьи 70ых-90ых годов по квантовым коммуникациям и видишь то же самое: кругом одни рейты и оценки; никто не знает, как считать правильно.

Тут есть ещё такой момент, что безопасность определяем мы, и определить её можно по-разному. Например, реннеровская ε-безопасность с допуском в 0.0001 не страхует вас от того, что противнику вдруг удастся из 106 переданных бит точно узнать 100 подряд идущих. Min-энтропия, на которой всё основано, от этого не страухет. А вот Мэсси-Смит могли бы застраховать: они ставят ограничение не только на процент от объёма информации, но и на сам тип информации, который может утечь. Мы, конечно, можем засунуть головку в песок как страусы и сказать, что при ε→0 обе оценки совпадут, только вот на практике уменьшение ε соответствует многократной потери скорости при передаче ключа. Может быть, Йен где-то перепараноивает местами, но если разводить тотальную параною, то я тоже могу, как видите.
— unknown (26/08/2014 10:00, исправлен 26/08/2014 12:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

И у Шамира бывают ошибочные суждения.


Laszlo B. Kish уже был на слуху (он в своё время даже в популярной прессе пропиарился), а про Yuen'a я копать не стал. Тем более, Kish в последнее время снова активизировался по своей теме о замене квантовой криптографии на каналы с тепловым электрическим шумом в обычных проводниках, якобы пофиксил свой протокол от всех ранее опубликованных атак, но что-то никто его комментировать не хочет. Может окажется, что его направление тоже не такое уж маргинальное?

На страницу: 1, 2, 3, 4, 5 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3