id: Гость   вход   регистрация
текущее время 15:55 15/12/2018
Владелец: unknown (создано 06/03/2012 15:04), редакция от 10/04/2012 09:45 (автор: unknown) Печать
Категории: криптография, квантовая криптография
создать
просмотр
редакции
ссылки

Практическая квантовая криптография


Любая реализация квантового распределения ключей на основе доступных сегодня технологий означает, что компоненты системы, такие как источник фотонов, канал передачи, поляризационные разделители луча и детекторы фотонов — несовершенны. Этот факт включает в себя множество разных особенностей.


Одно из несовершенств состоит в том, что во всех компонентах иногда теряются фотоны. В практической системе большинство испускаемых Алисой фотонов будут поглощены каналом передачи и не смогут достичь детектора, способного зарегистрировать клик-событие. На практике только фотоны, которые зарегистрированы в качестве кликов детекторами Боба, могут составить необработанный ключ.


Другой особенностью несовершенства является то, что кубиты подготавливаются и детектируются не в полном соответствии с основами, описанными в теории. Технологическое несовершенство приводит к ошибкам в просеянном ключе, к ошибкам, которые никак не могут быть распознаны отличающимися от возникающих в ходе попыток прослушивания. Реалистичный уровень ошибок в рамках сегодняшней технологии состоит на уровне нескольких процентов. Битрейт квантовых ошибок часто чуть выше ложных срабатываний от сигналов квантовых детекторов, также называемых тёмными щелками.11

Коррекция ошибок и усиление приватности


Алиса и Боб не могут быть уверены в том, являются ли ошибки в просеянном ключе результатом несовершенства устройства или результатом прослушивания. Им приходится полагаться на худшее и относиться ко всем битовым ошибкам как к результатам прослушивания. В этом месте протокола Алиса и Боб разделяют классическую информацию с высокой, но не 100% корелляцией и подразумевают, что третья сторона Ева имеет частичное знание об этой информации. Эта проблема может быть решена на основе классической теории информации, в которой есть способ выделения короткого, свободного от ошибок ключа, о котором Ева не будет иметь никакого знания.


Сначала Алисе и Бобу необходимо применить классические техники коррекции ошибок для получения идентичных ключей.12
Ева всё ещё знает некоторую информацию об этом ключе (фактически она знает даже больше, чем до этого, поскольку Алиса и Боб раскрыли дополнительную информацию в ходе открытой коммуникации с целью коррекции ошибок). Последний шаг в протоколе квантовой криптографии состоит в процедуре усиления приватности, которая уменьшает ключ и снижает уровень информации, который Ева может об этом знать. Алиса и Боб совершают усиление приватности за счёт применения случайно выбранной хэш-функции universal2-класса для ключа, с которым уже была проведена коррекция ошибок.13 До тех пор, пока Боб имеет больше информации о просеянном ключе Алисы, чем Ева, то процедура усиления приватности создаёт укороченный конечный ключ, в отношении которого информация Евы произвольно мала. Для того, чтобы представить порядок чисел с учётом реалистичного квантового битрейта ошибок 4%, подразумеваемого повышающимся при прослушивании, 2000 бит могут быть отфильтрованы до 754 секретных бит, по поводу которых информация Евы незначительна (менее 10-6 бит). Для квантового битрейта ошибок в 8% мы можем отфильтровать 105 секретных бит из исходных 2000 бит [1].


Итоговая диаграмма обобщённого алгоритма квантового распределения ключа показана на рис. 5.


Рис. 5 (49 Кб)


Рис. 5: Классическая постобработка в квантовом распределении ключа. Алиса и Боб стартуют с необработанных данных от детекторов фотонов, соединяются через аутентифицированный классический канал в ходе выполнения просеивания, коррекции ошибок и процедуры усиления приватности и получают секретный совместный ключ, о котором Ева имеет незначительную информацию.

Доказательства стойкости


Интуитивно вполне понятно, почему квантовое распределение ключей обеспечивает совершенно секретный ключ. Однако, детали доказательства включают в себя много тонкостей [15]. Если предположить, что Ева может взаимодествовать только с одним кубитом за один раз14 и что Алиса и Боб применяют совершенную реализацию протокола, то Ева никогда не сможет узнать столько же информации, сколько и Боб, но доказательства этого представлены только до значения квантового битрейта меньшего, чем 14.65%. Если Ева имеет неограниченные возможности и может согласованно (когерентно) совершать атаки на неограниченное число кубитов15, т.е. она может делать всё, что позволяют известные физические законы, то было доказано, что для осуществления безопасной коммуникации достаточно менее 11% квантового битрейта. В течении того как битрейт ошибок меньше этого уровня, доказательства безопасности предоставляют формулу, которая может быть использована для вычисления требуемого уровня усиления приватности (рис. 5).


Эта безопасность строго доказана только для определённых идеализированных моделей оборудования. Однако, большинство текущих дискуссий ведутся по поводу того, действительно ли недостатки реального оборудования (пока не включённые в доказательства) могут оставить лазейки и как можно закрыть эти лазейки [5].

Аутентификация


Остаётся одна проблема: как Алиса и Боб могут быть уверены, что они действительно общаются по открытому каналу друг с другом, а не с Евой, в ходе того, как они вырабатывают секретный ключ? Ева может быть посредине между Алисой и Бобом, представляя себя Бобом для Алисы и Алисой для Боба. Способ предотвращения этого известен и требует наличия у Алисы и Боба первоначального короткого секретного значения (нескольких сотен бит), с которого они могли бы начать и распознавать друг друга в течении первого запуска протокола.16 После первого успешного согласования ключа, они могли бы использовать часть секретного ключа, которая создавала бы аутентификацию для будущих выполнений. Доказано, что квантовое распределение ключей предоставляет значительно больше ключей, чем требуется для аутентификации.17 В этом смысле, квантовое распределение ключей — это протокол квантового выращивания секретов.


Необходимость первоначальной аутентификации является неотъемлемой и универсальной частью всех типов криптографии: как иначе можно проверить, что соединение идёт с предполагаемой стороной, а не с Евой? Первоначальный доверяемый ключ и/или биометрическая аутентификация (напр. при проверке рукописной подписи, разговора со знакомым человеком по телефону или физического присутствия в процессе передачи) обнаруживается в той или иной форме во всех криптографических протоколах.



11 Тёмные щелчки — это клики детектора безо всякого наличия фотонов, которые таким образом могут быть зафиксированы когда детектор работает в темноте.
12 Очень высокий исходный уровень ошибок в несколько процентов, являющийся типичным для квантовой криптографии, обычно не встречается в классических телекоммуникациях. Поэтому, для квантовой криптографии были разработаны специальные алгоритмы коррекции ошибок.
13 Такие хэш-функции отличаются от описываемых в главе 4 книги, к которой относится данная публикация. Если безопасность обычных криптографических функций недоказуема, то безопасность процедуры усиления приватности [2] является безусловной, т.е. строго доказанной против противника, обладающего неограниченными вычислительными ресурсами.
14 Это так называемая индивидуальная атака.
15 Это так называемая когерентная атака.
16 Безусловно стойкая аутентификация реализуется с использованием хэш-функций из "почти"-universal2-класса [22]. Секретный ключ используется для выбора функции из множества хэш-функций, затем эта функция применяется к сообщению для вычисления укороченного аутентификационного тэга. Сообщение и аутентификационный тэг посылаются другой стороне коммуникации. Последняя вычисляет аутентификационный тэг принятого сообщения используя свою копию секретного ключа и сравнивает его с принятым тэгом. Если тэги одинаковые, то это гарантирует, что сообщение также одинаковые с высокой долей вероятности. Использование одноразового блокнота для выбора хэш-функций даёт гарантию против атак на эту схему аутентификации.
17 Если совершенное шифрование, напр. одноразовый блокнот требует m секретных бит для шифрования m-битового сообщения, то совершенная аутентификация требует только порядка log(m) бит для аутентификации m-битового сообщения.


Назад | Оглавление | Дальше


 
Несколько комментариев (2) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3