id: Гость   вход   регистрация
текущее время 02:22 05/10/2022
Владелец: unknown (создано 14/02/2012 11:44), редакция от 10/04/2012 09:43 (автор: SATtva) Печать
Категории: криптография, квантовая криптография
создать
просмотр
редакции
ссылки

Введение


Как только информация передаётся на микроскопическом уровне, таком как одиночные фотоны (одиночные частицы света) или атомы, то эти носители информации подчиняются в большей степени законам квантовой, чем классической физики. Это даёт много новых возможностей для работы с информацией, так как можно создать новые информационные процессы, недопускаемые классической физикой.


Квантовая криптография — одна из наиболее зрелых технологий в новой области квантовой обработки информации. В отличии от криптографических техник, безопасность которых основана на недоказанных математических утверждениях1, безопасность квантовой криптографии основана на законах физики. Сегодня она разрабатывается с прицелом на будущее, в котором взлом классических шифров с открытым ключом может стать практически достижимым. Например, квантовый компьютер когда-нибудь сможет взломать сегодняшние шифры. Одноразовый блокнот2 будет невзламываемым даже при использовании таких техник будущего. Слабость одноразового блокнота в том, что секретный, случайный, симметричный ключ, столь же длинный, как и шифруемые им сообщения, должен быть безопасно доставлен предполагаемому получателю сообщения. Кроме того, ключ может быть использован только один раз. Квантовая криптография решает эту проблему способом, недоступным в чисто классической физике и опирающимся на законы поведения одиночных квантовых частиц.


Рабочие принципы квантовой криптографии могут быть просто объяснены при рассмотрении передачи информации одиночными фотонами. Одиночный фотон может представлять квантовый бит, также называемый кубитом. Для того, чтобы определить состояние кубита необходимо измерить свойство, описывающее фотон (например, поляризацию). В соответствии с квантовой физикой, такое измерение неизбежно изменит само это свойство. Это катастрофа для любого, кто пытается прослушать передачу, так как отправитель и получатель смогут легко определить изменения, вызываемые этими измерениями. Так как безопасность может быть определена только после передачи, эта идея не может быть использована для непосредственной передачи секретного сообщения. Однако, это может быть использовано для передачи секретного случайного симметричного ключа для криптографии на одноразовом блокноте. Если передача будет перехвачена, то отправитель и получатель определят попытку прослушивания3, ключ будет отброшен и отправитель будет передавать новый ключ до тех пор, пока секретный ключ не будет получен.


Вопреки простым принципам, лежащим в основе квантовой криптографии, идея была впервые осознана в поздних 1970-х, появившись в неопубликованной рукописи Стивена Визнера. Эта тема привлекла крайне мало внимания, пока её в 1984 году не воскресила ставшая классической работа Чарльза Беннета и Жилля Брассара. В наши дни технологии, необходимые для квантовой криптографии, доступны для осуществления в реальном мире.


Нашей целью является продемонстрировать работающие принципы квантовой криптографии и дать примеры квантовых протоколов и их реализаций на основе доступных сегодня технологий. На протяжении всего изложения мы минимизируем использование формализма квантовой физики, и никакого предварительного знания о квантовой физике не потребуется. Для интересующихся читателей будут приведены ссылки для выяснения большего количества деталей. Хорошим отправным пунктом является замечательный обзор Жизана и др. [6]; также как и исходная работа [1], очень хорошо раскрывающая квантовый протокол.



1 Например, безопасность криптографии с открытым ключом RSA полагается на широко принятое предположение о том, что проблема факторизации вычислительно сложна. Хотя никакого эффективного алгоритма факторизации в открытых источниках неизвестно, но не было и доказано, что его не может существовать. Алгоритм Шора для квантовых компьютеров уже позволяет эффективную факторизацию, однако это оставляет открытым вопрос о том, возможно ли и в какие сроки создание масштабируемого квантового компьютера. Кроме того, как только квантовое шифрование будет подвержено взлому, такой взлом будет применим и в обратном порядке (ретроактивно) по отношению к секретам сегодняшнего дня. Это является неприемлемым для многих типов секретной информации, значение которой сохраняется десятилетиями: правительственные и военные коммуникации, коммерческие секреты, также как и определённая персональная информация, такая как финансовые и медицинские записи.
2 Было доказано, что безопасный шифр требует использования секретного ключа по крайней мере такого же размера, как и длина сообщения [16]. Одноразовый блокнот — это один из таких шифров.
3 Такой возможности не существует, если обмен ключом происходит посредством законов классической физики, поскольку классические биты могут быть прочитаны и, следовательно, скопированы без риска разрушения исходного значения бита.


Оглавление | Дальше


 
— Genosse (10/04/2012 01:28)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
На протяжении всего изложения мы минизируем использование формализма квантовой физики...
Минимизируем
— SATtva (10/04/2012 09:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Fixed. Могли и сами исправить. :)
— Гость (05/05/2012 18:09)   <#>


Как следует из первой цитаты: кубит можно прочитать. А новый кубит с такой же поляризацией сделать нельзя? как тогда был сделан тот первый кубит?
— spinore (05/05/2012 19:11, исправлен 05/05/2012 19:13)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

Это же только введение. Почитайте следующую страницу, там говорится:

Кубит: если мы положим шарик в квантовый ящик и откроем неверную дверь, то цвет шарика выберется случайным образом.

Т.е. прочитать восстановить состояние не получится, а значит и клонировать нечего.


Для простоты представьте, что вам дана плотность вероятности ( p1, p2 ) для какой-то случайной величины, где p1 + p2 = 1. С вероятностью p1 вы получаете ноль, с вероятностью p2 — единицу. Как только измерение произошло, состояние разрушилось: исходных p1 и p2, которые вам нужны, больше не существует в природе, потому повторные измерения невозможны.* По выборке из одного измерения восстановление исходных p1 и p2 (т.е. случайной величины) сродни спекуляциям.


Если же вы открываете «правильную дверцу», то состояние задаётся таким распределением ( p1, p2 ), у которого либо p1 = 1 и p2 = 0, либо p1 = 0, а p2 = 1, что позволяет за одно измерение точно понять, который из этих двух случаев имеет место, и восстновить случайную величину (восстановить состояние).


P.ک.: На самом деле такое объяснение — почти бред, но есть и частные случаи состояний, когда это работает (идея примерно такая, как описано).


*Слабые измерения и методы косвенных измерений пока оставим в стороне.

— Гость (05/05/2012 21:10)   <#>

т.е. получатель информации должен знать какая дверь правильная.
Как получатель получает информацию о правильной двери?
Если злоумышленник на канале тоже будет знать правильную дверь, то обнаружить его будет невозможно?
— spinore (05/05/2012 22:25)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

Нет, стандартные QKD протоколы этого не требуют. Дочитайте эту статью до конца: выработка ключа описана, например здесь.


Если вы прочитаете всю статью, этот вопрос должен сняться.

Повторяю коротко:
Протоколом фиксированы два типа «дверей»4. Отсылающий (Алиса) каждый раз случайно и равновероятно выбирает один из этих двух типов дверей, чтобы закодировать информацию в кубит и отправить через канал получателю (Бобу). Таким образом, ни «злоумышленник на канале», ни получатель не знают правильных дверей. Однако, когда передача кубитов завершена, получатель пользуется тем преимуществом над злоумышленником, что у него есть (это предполагается) аутентифицированный5 канал с отправителем, а у злоумышленника — нет: получатель через аутентифицированный канал раскрывает часть полученных битов при «открытии дверей»6 отправителю, и согласовывает с ним какие из них совпали7. Эта процедура позволяет выяснить уровень вмешательства злоумышленника: так как последний (как и получатель) не знает правильных дверей, то чем больше он вмешивается в передачу данных, тем меньше будет совпадающих битов у отправителя и получателя8. Далее из этих «сырых битов» получатель и отправитель выводят общий ключ9, уменьшая вероятность иметь общие биты со злоумышленником до некоторого приемлемого (хотя и ненулевого) значения. Об этих процедурах можно почитать, например, здесь. Как только общий секретный ключ получен, он используется для шифрования данных при передаче по обычному (неквантовому) каналу10.


Конечно, если виртуально допустить, что злоумышленник всегда знает правильную дверь, то он может незаметно прослушивать канал. Это подобно тому, как в классической криптографии атакующий, знающий ключ шифрования, тоже всегда может прослушивать канал, вне зависимости от используемого шифра. Безопасность зиждется в том числе и на том, что, согласно законам физики, нет никакой возможности узнать11 «правильную дверь» с вероятностью 100%12.


4«Сигнальных состояний», если говорить правильно.
5Не путать с конфиденциальным каналом.
6При «измерении», если говорить правильно.
7Далее эти биты будут исключены из процесса формирования ключа.
8Если число совпадающих ниже некоторого предела, установить защищённое соединение не представляется возможным.
9Ключ в общем случае имеет много меньший размер, чем исходные данные.
10На данный момент — используя симметричные шифры, в перспективе впоследствии — методом одноразового блокнота.
11Кроме как получить инсайдерскую информацию, что, естественно, эквивалентно депонированию ключа.
12Если вероятность меньше 100%, всегда есть упомянутые процедуры, позволяющие получателю иметь сколь угодно большое преимущество над злоумышленником ценой уменьшения скорости выработки общего секретного ключа.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3