id: Гость   вход   регистрация
текущее время 22:13 28/03/2024
Владелец: unknown (создано 10/12/2009 16:32), редакция от 11/12/2009 22:04 (автор: unknown) Печать
Категории: криптография, распределение ключей, квантовая криптография
создать
просмотр
редакции
ссылки

Доводы в пользу квантового распределения ключей


© Douglas Stebila, Michele Mosca, Norbert Lutkenhaus. 2 декабря 2009 года.
Институт информационной безопасности, Квинслендский университет технологий, Брисбэн, Австралия. Институт квантовых вычислений, университет Ватерлоо. Кафедра комбинаторики и оптимизации, университет Ватерлоо. Институт границ теоретической физики. Кафедра физики и астрономии, университет Ватерлоо — Ватерлоо, Онтарио, Канада.
Перевод © 2009 unknown

Краткое содержание


Квантовое распределение ключей (Quantum Key Distribution — QKD) даёт возможность безопасного согласования ключей с использованием квантово-механических систем. Мы приводим доводы в пользу того, что QKD станет важной частью криптографических инфраструктур будущего. Оно может обеспечить долговременную конфиденциальность для зашифрованной информации без опоры на предположения о вычислительных возможностях. Хотя QKD всё ещё требует аутентификации для предотвращения атак "человека посредине", возможно использование или информационно-теоретической аутентификации по симметричному ключу или вычислительно стойкой аутентификации по открытому ключу: даже при использовании аутентификации с открытым ключом мы аргументируем, что QKD всё ещё обеспечивает более высокую безопасность, чем классическое согласование ключа.

1 Введение


С момента своего открытия область квантовой криптографии — и в частности квантовое распределение ключа (QKD) получила широкий технический и популярный интерес. Перспектива "безусловной стойкости" вызвала интерес публики, но часто чрезмерный интерес, проявляемый в данной области также порождал критику и анализ.

QKD — новый инструмент в наборе криптографических средств: он позволяет осуществлять безопасное согласование ключа по небезопасному каналу, что является невозможной задачей для классической криптографии (Все вычисления должны рассматриваться как имеющие место в физической системе, описываемой определёнными законами природы. Под классической криптографией мы понимаем криптографию, имеющую место в вычислительных и коммуникационных системах, моделируемых классической физикой, т.е. неквантово-механической и нерелятивистской физикой; т.е. речь идёт о процессах, описываемых вероятностными машинами Тьюринга). QKD не устраняет необходимость в других криптографических примитивах, таких как аутентификация, но может быть использовано для построения систем с новыми свойствами безопасности. По мере продолжения экспериментальных исследований мы ожидаем, что стоимость и сложности использования QKD упадут до уровня, когда системы QKD могут быть доступны для широкого развёртывания, а обращение с ними может стать предметом сертификации.
В течении всей этой публикации мы делаем упор в нашей дискуссии на квантовой криптографии в виде квантового распределения ключей (QKD). Существует множество других квантовых криптографических примитивов — приватные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги — но большинство из них требует для своего выполнения средне- или крупномасштабного квантового компьютера. С другой стороны, QKD уже было выполнено множеством разных групп, наблюдались попытки коммерциализации и его потенциальная роль в последующих инфраструктурах безопасности заслуживает серьёзных исследований.


Существует три стадии (которые иногда переплетаются) в установлении безопасных комуникаций:


1. Согласование (совместная выработка) ключа: две стороны договариваются о безопасном, совместно используемом закрытом ключе.


2. Аутентификация: позволяет стороне быть уверенной, что сообщение происходит от определённой стороны. В случае согласования ключа для избежания атаки "человека посредине" должна использоваться некоторая форма аутентификации.


3. Использование ключа: как только ключ безопасно согласован, он может быть использован для шифрования (с использованием одноразового блокнота или других шифров), дальнейшей аутентификации или других криптографических целей.


QKD — это лишь часть полной инфраструктуры информационной безопасности: две стороны могут согласовать (совместно сгенерировать) закрытый ключ, безопасность которого не зависит от вычислительных предположений и который полностью независим от какого-либо входного значения протокола.


Если мы живём в мире в котором мы можем обоснованно ожидать, что криптография с открытым ключом безопасна в кратко- и среднесрочном периоде, то комбинирование криптографии с открытым ключом для аутентификации и QKD для согласования ключа приводит к очень высокому уровню долгосрочной безопасности со всеми выгодами и преимуществами, которые мы можем ожидать от распределённой аутентификации в инфраструктуре открытого ключа.


Если мы живём в мире, где криптография с открытым ключом больше не сможет обеспечивать безопасность, мы должны вернуться обратно к классическим способам распределения ключа по приватным каналам, таким как доверенные курьеры или использовать QKD. QKD всё ещё будет требовать приватных каналов для установки ключей аутентификации. Вместо того, чтобы устанавливать краткосрочные ключи аутентификации, приватный канал может быть использован для обмена ключами, которые QKD может создавать в течении долгого периода времени. Однако, при таком положении QKD может иметь преимущество поскольку объём требуемых приватных коммуникаций значительно меньше и поскольку ключи сессий на выходе из протокола QKD независимы от ключей, переданных по приватному каналу, остаётся небольшой промежуток времени, в течении которого скомпрометированный ключевой материал может затронуть безопасность последующих сессий. Каково это преимущество на практике зависит от природы приватного канала в вопросе предположений о доверии.


Если мы живём в мире, где схемы согласования ключей на основе асимметричной криптографии подразумеваются неограниченно безопасными, то здесь имеются ограниченные аргументы в пользу QKD, но оно всё ещё представляет интерес по множеству причин. QKD создаёт случайные, независимые сеансовые ключи, которые снижают ущерб, вызываемый утечкой эфемерных ключей. Другие формы криптографии также могут быть интересны, особенно для безопасного доступа к квантовой информации если квантовые вычисления получат широкое распространение.


Экспериментальные исследования в квантовом распределении ключей продолжают улучшать удобство использования, пропускную способность и расстояние для QKD систем, а также способность предоставлять и давать возможность подвергать сертификации их физическую безопасность. Поскольку системы криптографии с открытым ключом переоснащаются новыми алгоритмами и стандартами в текущие годы, то есть и возможность внедрения QKD как нового средства, предоставляющего фундаментально новые возможности безопасности.


Аналогичные работы. Эта работа мотивирована как ответ на другие мнения по поводу роли QKD, особенно сомневающимся заметкам "Почему квантовая криптография?" Патэрсона, Пайпера и Шэка. Наша дискуссия по поводу аутентификации затрагивает шифрование и аутентификацию в тех же самых аспектах как и их работа c оптимистическим взглядом на перспективы пост-квантовой криптографии с открытым ключом; мы предоставляем дополнительную информацию по допущениям о стойкости QKD, текущем состоянии исполнения QKD и как структура QKD-сетей будет вовлекаться в технологический прогресс. Отклик проекта SECOQC также относится к связанным проблемам, с особенным вниманием, которое уделяется сетям, связанным через QKD.


Краткое содержание по главам. В ходе этой публикации мы покажем, что QKD играет важную роль в безопасности инфраструктур будущего. В секции 2 мы дадим обзор того, как работает QKD и дадим примеры того, где нужна такая высокая безопасность в главе 3. Мы опишем состояние безопасности QKD в главе 4. Затем мы обсудим другие части коммуникационной инфраструктуры: шифрование в главе 5 и аутентификацю в главе 6. В главе 7 мы обсудим некоторые ограничения QKD как они устанавливаются и как они могут быть преодолены с особенным вниманием к сетям из QKD устройств в главе 8. Мы дадим заключительные выводы в главе 9.

2 Краткое введение в QKD


В этой главе мы дадим очень краткое рассмотрение квантового распределения ключа. Более детальное рассмотрение доступно из множества источников.


В QKD две стороны, Алиса и Боб, получают некоторые квантовые состояния и измеряют их. Они связываются (все коммуникации, которые происходят далее — классические), чтобы определить, какой из их результатов измерений приводит к получению секретных битов ключа; некоторые из них отвергаются, поэтому процесс называется отсеиванием, поскольку измерительные настройки были несовместимы. Они осуществляют коррекцию ошибок и затем оценивают параметр безопасности, который указывает как много информации может быть доступно из их данных подслушивающей стороне. Если это количество выше определённого порога, то они прерывают исполнение, так как больше не могут гарантировать никакой безопасности. Если это ниже порога, то они могут применить усиление приватности для выдавливания любой остаточной информации, которую может иметь прослушивающая сторона и приходят к получению совместного секретного ключа. Некоторые из этих классических коммуникаций должны быть аутентифицированы, чтобы избежать атак "человека посредине". Некоторые части протокола могут потерпеть неудачу с несущественной вероятностью.


Блок-схема QKD (12 Кб)


Диаграмма, описывающая квантовое распределение ключей, показана на рисунке. Этапы, обведённые в двойные рамки, требуют аутентификации классическими методами.


После того как секретный ключ установлен путём QKD, он может быть использован множеством способов. Самый распространённый подход — это использование его в качестве секретного ключа в одноразовом блокноте, чтобы достичь безусловно стойкого шифрования. Этот ключ также может быть использован в классической аутентификации в последующих раундах QKD.


Мы можем ожидать, что по мере того, как исследования в области QKD будут продолжаться, QKD-устройства будут становится всё более стойкими, лёгкими в конфигурировании, менее дорогими и малоразмерными, возможно достаточно миниатюризированными для размещения на одиночной печатной плате.

3 Кому нужно квантовое распределение ключей?


Широко распространено понятие о том, что "безопасность — это цепь; она сильна настолько, насколько сильно её самое слабое звено" и криптография, даже криптография с открытым ключом, на самом деле является одним из самых прочных звеньев в цепи. Мы не можем верить в то, что определённая вычислительно-стойкая криптографическая схема и размер параметров будут неограниченно безопасны и многие рекомендации экспертов несклонны к тому, чтобы описывать будущее за пределами ближайших тридцати лет. Хотя большинство шифруемой сегодня информации не требует тридцатилетней стойкости, иногда она нужна.


Более того, важно иметь подробный план всвязи с изменениями в технологиях безопасности. К примеру допустим, что определённые приложения, использующие RSA или криптографию на эллиптических кривых (ECC) требуют, чтобы информация была защищена в течении x лет и потребуется y лет, чтобы перевести инфраструктуру на новую криптосистему. Если крупномасштабные квантовые компьютеры, способные взламывать RSA или ECC будут созданы за z лет, то при z < x + y мы уже опоздали: нам нужно было готовить к использованию новую криптосистему задолго до того, как будет взломана старая.


Правительства, военные и разведывательственные агентства нуждаются в долгосрочной секретности. Например, британское правительство не рассекречивало отчёт 1945 года о своих попытках взломать во время второй мировой войны шифр Tunny до 2000 года, а текущие нормативы секретности США требуют держать документы в секрете до 25 лет.


Бизнес, пытающийся защитить долговременные стратегические торговые секреты может также желать долговременной конфиденциальности. Ситуации с долговременным развёртыванием, но очень специфическими коммуникациями, также являются преимуществом QKD: неудобно и дорого обновлять 1.5 миллиона банкоматов (ATM) по всему миру, даже если последний криптопротокол взломан или признан устаревшим, но QKD может обеспечить стандарты, значительно меньше меняющиеся под действием криптоанализа.


Одной особенной индустрией, требующей долговременной, гарантированной в будущем безопасности, является здравоохранение. Системы здравоохранения медленно, но необратимо становятся всё более электронными, а записи о состоянии здоровья нуждаются в приватности в течении 100 или более лет. Защита хранилищ этих данных в датацентрах — это важно; разумеется квантовое распределение ключей не предназначено для решения этой проблемы. В той же мере важно установление безопасных коммуникаций с записями медицинских данных, которые могут быть защищены информационно-теоретической безопасностью, предоставляемой квантовым распределением ключей.


Квантовое распределение ключей — не единственный способ получать информационно-теоретически стойкие ключи. Физическая транспортировка больших, случайно сгенерированных ключей — это также метод информационно теоретически стойкого распределения ключей. При цене жёстких дисков примерно 0.10$ за гигабайт, не следует недооценивать "пропускную способность грузовика, загруженного винчестерами" (хотя рост цен на топливо может противодействовать ценовой эффективности коммуникационнной системы такого рода). Такое решение приемлемо не во всех ситуациях. В некоторых случаях может оказаться невозможным заново произвести перезагрузку ключей таким способом (например спутники и космические аппараты). Это требует гарантий, что физические ключи транспортируются безопасным образом. Это также требует безопасного хранилища большого объёма ключей до их использования. QKD же требует лишь небольшого объёма ключей, ключа аутентификации, безопасно сохраняемых перед использованием. Что важнее, QKD может генерировать свежие ключи шифрования по запросу, которые должны быть сохранены только на короткий промежуток времени между генерацией ключей и шифрованием/расшифрованием сообщения, вместо того, чтобы иметь необходимость в большом хранилище секретных ключей в течении деятельности системы.


Более того, исследования в области экспериментов с квантовой информацией всё ещё находятся на ранней стадии, так что нельзя предсказать конечный результат, в виде которого будет существовать продукт, который может быть создан на основе этой технологии и эти системы могут превзойти ожидания и мечты сегодняшних инженеров и исследователей.

4 Безопасность QKD


Квантовое распределение ключей часто описывается его сторонниками как "безусловно безопасное", чтобы подчеркнуть отличие от вычислительно стойкой безопасности классических криптографических протоколов. Хотя всё ещё остаются некоторые условия, которым должны удовлетворять системы квантового распределения ключей, чтобы быть безопасными, словосочетание "безусловно стойкие" оправдано, поскольку условия не только сведены к минимуму, они в некотором смысле являются минимально необходимыми условиями. Любой безопасный протокол согласования ключей должен основываться на минимальных предположениях, чтобы безопасность не возникала из ничего: мы должны идентифицировать и аутентифицировать стороны коммуникации, мы должны иметь возможность в некотором приватном местоположении для совершения локальных операций и все стороны должны действовать в рамках законов физики.


Следующие положения описывают безопасность квантового распределения ключей, также существует множество формальных математических аргументов в пользу стойкости QKD.


Теорема 1 (Положение о безопасности квантового распределения ключей) если
A1) Квантовая механика верна, и
A2) Аутентификация безопасна, и
A3) Наши устройства обоснованно безопасны,
то с высокой вероятностью, ключ, установленный путём квантового распределения ключей, является случайным секретным ключом, независящим (с пренебрежимо малым отличием) от входных значений.


Допущение 1: Квантовая механика верна. Это допущение требует, чтобы любая прослушивающая сторона была связана законами квантовой механики, хотя внутри этой области нет дополнительных ограничений, кроме как невозможности прослушивающего получить доступ к устройствам. В частности, мы позволяем прослушивающей стороне иметь технологию квантовых вычислений произвольно больших масштабов, значительно более мощную чем это возможно при текущем состоянии дел. Квантовая механика была проверена экспериментально примерно в течении столетия с очень высокой степенью точности. Но даже если квантовая механика будет заменена новой физической теорией, это необязательно будет означать, что квантовое распределение ключей станет небезопасным: например, безопасное распределение ключей может быть достигнуто способом, аналогичным QKD, основанным исключительно только на допущении, что невозможно осуществлять коммуникации быстрее скорости света.


Допущение 2: Аутентификация является стойкой. Это допущение — один из главных вопросов, беспокоящих тех, кто оценивает квантовое распределение ключей. В порядке защиты против атак "человека посредине", большинство классических коммуникаций QKD должны быть аутентифицированы. Аутентификация может быть достигнута с помощью безусловной стойкости на основе коротких совместно используемых ключей или на основе вычислительной стойкости при использовании криптографии с открытым ключом. Мы рассмотрим вопросы аутентификации более подробно в разделе 6.


Допущение 3: Наши устройства безопасны. Конструирование реализаций QKD, которые могут быть проверяемо безопасными — это существенный вызов, над которым исследователи работают до сих пор. Хотя первые прототипы QKD-систем допускали утечку ключа по побочным каналам (они вызывали разные шумы, в зависимости от поляризации фотонов и таким образом "прототипы были безусловно безопасны против прослушивающих, которым не посчастливилось быть глухими"), экспериментальный криптоанализ привёл к лучшей теоретической и практической безопасности. Более изощрённые атаки на побочные каналы были продолжены против определённых реализаций существующих систем, но были также и предложены лучшие теоретические методы, такие как метод ловушек состояния. Доказательства безопасности, независящие от устройств, пытаются минимизировать допущения о безопасноти физических устройств. Обоснованно ожидается, что будущие теоретические и инженерные улучшения наконец дадут нам возможность получить устройства, имеющие строгие аргументы и минимальные допущения по поводу их безопасности.

5 Использование ключа: Шифрование


Наиболее обсуждаемый способ использования для ключа, сгенерированного с помощью квантового распределения ключей — это шифрование. Существуют два способа, которыми этот ключ может быть использован для шифрования.


В безусловно стойкой системе закрытый ключ из QKD используется как ключ для одноразового блокнота. Поскольку ключ информационно-теоретически стоек, то таким же будет и зашифрованное сообщение: никакой компьютер, ни квантовый, ни классический не будет способен дешифровать зашифрованное сообщение. Однако есть трудности с такой системой. Во-первых, для ключей одноразовых блокнотов должно быть организовано аккуратное хранение и управление, поскольку дважды использованные одноразовые ключи могут серьёзно повредить безопасности. Во-вторых, как мы обсудим в главе 7, физически QKD-системы пока ещё не могут генерировать одноразовые ключи с достаточно высокой пропускной способностью для того, чтобы шифровать большие сообщения в реальном времени при помощи одноразовых блокнотов.


Чтобы справиться со второй трудностью, связанной с низкой пропускной способностью QKD, предлагается использовать гибридные системы, в которых ключ из QKD расширяется при помощи классического потокового шифра или блочного шифра, такого как AES для того, чтобы шифровать большие сообщения. При такой постановке дел безопасность зашифрованного сообщения не является больше информационно-теоретической: она зависит от предположений о вычислительной стойкости сложности взлома используемого шифра. Хотя это и не идеальный случай, тем не менее это может быть также не особенно рискованно. Исторически сложилось, что криптографы могут очень успешно конструировать блочные шифры с незначительными уязвимостями: например стандарт шифрования данных DES, созданный в 1970-хх годах, более не считается безопасным всвязи с малой длиной его ключа, но при этом DES хорошо держался в течении 30 лет криптоаналитических атак. При атаках с известным открытым текстом стойкость DES была снижена с 256 до 241, но при использовании частой смены ключа эффект от атак на известном открытом тексте ограничен. Более того, не ожидается, что квантовые компьютеры окажут серьёзное воздействие на шифры: даже если алгоритм поиска Гровера подразумевает, что необходимо увеличить длину ключа в два раза, экспоненциально более быстрые атаки, ожидающиеся от алгоритма Шора и других не смогут быть применены к большинству шифров.


Даже при использовании гибридных систем, QKD предоставляет существенное преимущество над классическими способами согласования ключа: ключ из QKD не зависит ни от какого входа из протокола согласования ключей. Таким образом QKD уменьшает количество мест для атаки: после того, как ключ согласован — единственый способ атаковать такую систему — это подвергнуть шифрование криптоанализу. В противоположность этому, системы, использующие классические протоколы согласования ключа, могут быть атакованы путём влияния на вход протокола классического согласования и определения сгенерированных ключей (например, путём решения проблемы Диффи-Хеллмана). Однако при использовании QKD для генерирования коротких ключей, следует соблюдать осторожность, всвязи с эффектами конечной длины.


Гибридные QKD системы часто увеличивают безопасность в сравнении с шифрами, используемыми без QKD: подсистемы QKD обеспечивают часто обновляемый, независимый ключевой материал, который может быть использован для смены ключей в классическом блочном или потоковом шифре; при частой смене ключей мы уменьшаем риск атак на лежащий в основе используемый шифр, путём уменьшения открытых и шифртекстов, зашифрованных на одном и том же ключе.

6 Аутентификация


Квантовое распределение ключей не снимает необходимость аутентификации: наоборот, аутентификация необходима для безопасности QKD, в противном случае легко может быть осуществлена атака "человека посредине". Существует два способа осуществления аутентификации: аутентификация с открытым ключом и аутентификация с симметричным ключом. Аутентификация с симметричным ключом может обеспечить безусловно стойкую аутентификацию, но ценой необходимости иметь предустановленную пару симметричных ключей. Аутентификация с открытым ключом, с другой стороны, проще в развёртывании и обеспечивает чрезвычайно удобное распределённое доверие при комбинировании с центрами выдачи сертификатов (CA) в инфраструктуре открытого ключа (PKI). Аутентификация на открытом ключе не может сама по себе достичь информационно-теоретической стойкости. Мы однако убеждены, что даже при таком положении дел ситуация с безопасностью становится намного лучше: использование аутентификации на открытом ключе всё ещё даёт возможность получать системы, имеющие очень сильную долговременую стойкость.


Третий метод аутентификации — это использование доверенной третьей стороны, выступающей в роли активного посредника между двумя неаутентифицироваными сторонами, но это вызывает мало интереса для применения на практике. Центры сертификации, которые используются в аутентификации с открытым ключом, аналогичны доверяемой третьей стороне, но они не посредничают в аутентификации активным образом: они распространяют подписаные открытые ключи заранее, но они не участвуют в текущем протоколе аутентификации ключей. Разница в доверии между доверенной третьей стороной и центрами сертификации в аутентификации QKD меньше, чем в классическом случае, так как ключи из QKD независимы от входных значений.

6.1 Симметричная аутентификация ключей


Стороны, у которых уже есть совместно используемый закрытый ключ могут использовать безусловно стойкие коды аутентификации для своих сообщений. Первый такой метод был описан Вегманом и Картером и был усовершенствоваан для использования в QKD. Это одна из причин, по которой квантовое распределение ключей называют квантовым расширением ключа: можно взять короткий совместно используемый ключ и расширить его до информационно-теоретически безопасного большого совместно используемого ключа.

6.2 Аутентификация на открытых ключах


Хотя симметричные ключи обеспечивают безусловно стойкую аутентификацию, её сложно развёртывать, поскольку каждая пара сторон коммуникации должна совместно использовать закрытый ключ. Инфраструктура открытых ключей позволяет распределять доверие и является важной для успешной электронной коммерции. Хотя множество защитников квантовой криптографии упускают роль вычислительно стойкой аутентификации на открытых ключах в QKD, мы считаем, что аутентификация по открытому ключу будет важной в инфраструктуре квантового распределения ключей и всё ещё может давать осмысленные положения в области безопасности.


Аутентификация по открытому ключу, будучи вычислительно стойкой, имеет тенденцию оказываться взломанной неизменно раньше, чем мы ожидаем. В 1977 Райвист размышлял о том, что уйдёт 40 квадриллионов лет на решение проблемы RSA-129 (факторизации RSA-модуля размером 129 десятичных цифр), но он был взломан всего лишь 17 лет спустя. Хотя в популярной печати всё ещё периодически используются выражения вида "больше квадриллиона лет" для описания безопасности схем, построенных на проблемах теории чисел, технические рекоммендации, которые содержат более подробные нюансы стремятся не спекулировать лишком далеко в будущее за пределы 2030 года. Примечательно, что эти рекоммендации стараются "предполагать [...], что (крупномасштабные) квантовые компьютеры не станут реальностью ближайшего будущего".


Распространено ожидание, что крупномасштабные квантовые компьютеры когда-нибудь будут существовать, но по видимому нет причин в настоящее время сомневаться в их эффективности. Квантовые компьютеры однако, не единственная угроза против аутентификации с открытым ключом. Компьютеры становятся более быстрыми и новые алгоритмы помогают ускорять криптоанализ. Однако, мы не настолько пессимистичны, чтобы думать, что аутентификация с открытым ключом будет обречена. Фактически, мы верим, что аутентификация с открытым ключом будет неопределённо долго играть важную роль в безопасности коммуникаций, даже при наличии квантовых компьютеров.


Хотя существующие сегодня популярные схемы аутентификации с открытым ключом — RSA, дискретные логарифмы в конечном поле и эллиптические кривые, будут взломаны крупномасштабным квантовым компьютером, другие "постквантовые методы" не обязательно падут перед квантовыми алгоритмами и такие схемы безусловно будут разработаны. Как нам кажется, когда в будущем схемы с открытым ключом пройдут через жизненный цикл, в котором будут предложены новые примитивы, они окажутся стойкими против текущих техник атак, обоснованные параметры и размеры будут предложены, приняты и тогда компьютерные технологии и успехи криптоанализа снова изменят уровень безопасности, пока новая схема не предложит лучший компромисс. Не сложно вообразить себе 20-летний период, за который квантовое распределение ключей может претерпеть бурный рост. Структуры аутентификации на открытом ключе предоставляют широко масштабирумое использование, которое мы ожидаем от PKI и при комбинировании с квантовым распределением ключа могут дать предположительно серьёзные выгоды в безопасности. В квантовом распределении ключа, аутентификация — в качестве формы установления аутентификации по открытому ключу — нуждается в безопасности только в момент первоначального установления соединения. Как только QKD протокол выдаст некоторый секретный ключ, часть этого секрета может быть последовательно использована для аутентификации по симметричному ключу. Фактически, даже если оригинальные аутентификационные ключи будут раскрыты после первого обмена посредством QKD, ключ, полученный из QKD останется информационно-теоретически стойким. Другими словами, мы имеем следующую формулировку:


Если аутентификация не взломана в процессе первого раунда QKD, даже если она является только вычислительно стойкой, то последующие раунды QKD будут информационно-теоретически стойкими.


В противоположность этому, классические схемы обмена на основе открытых ключей не имеют этого свойства. Даже если кто-то может выполнить протокол, в котором каждый новый ключ будет передаваться зашифрованным старым ключом, прослушивающая сторона, которая записывает все коммуникации и затем взламывает первый ключ, затем может прочитать и все последующии коммуникации. В QKD новые ключи сессии полностью независимы от всех предыдущих ключей и сообщений.

7 ограничения


Два неоспоримых ограничения существуют в сегодняшних схемах квантового распределения ключей — расстояние и пропускная способность. Из-за недолговечной природы квантовомеханических состояний, существующих в процессе квантовой передачи ключей, чем на большее расстояние передаются фотоны, тем больше фотонов теряются из-за шумов и декогеренции, таким образом снижая пропускную способность, используемую для формирования секретного ключа. Расстояние и пропускная способность в генерации ключей — это компромисс, но прогресс движется в сторону увеличения общего копромисса.


Расстояние. Самые удалённые эксперименты по QKD проводились при генерации секретного ключа по оптоволоконной линии длиной свыше 184.6 км. (2006 г) и в свободном пространстве на расстоянии 144 км с пропускной способностью 12.8 бит в секунду. Такое расстояние в свободном пространстве считается достаточным для связи между любыми двумя точками Земли посредством орбитальных спутников и вероятно будет являться задачей предложенных экспериментов.


Квантовые репитеры (повторители) могут также преодолевать ограничения в расстояниях, допуская совместное использование квантовых состояний между удалёнными сторонами. Хотя такие системы пока ещё не используются, их легче создать, чем полномасштабные квантовые компьютеры; есть теоретический и практический прогресс в их разработке.


Пропускная способность в выработке ключей. Хотя в экспериментах на дальние дистанции были получены очень низкие значения пропускной способности в выработке ключей, на более коротких дистанциях были продемонстрированы более высокие скорости выработки ключей. Экспериментальные группы достигли выработки ключей свыше 4 Мегабит в секунду по 1-км волокну и 1 Мегабиту в секунду на 20-километровом расстоянии. Эти значения пропускной способности близко подходят к тому, что требуется для защиты реальных каналов связи.


Когда QKD-ключ используется для шифрования, текущие значения скорости выработки ключевого материала могут быть недостаточны для шифрования одноразовым блокнотом и потребуются гибридные схемы, в которых QKD ключ может быть использован в качестве закрытого ключа для алгоритмов симметричного шифрования, таких как AES. Однако, как мы показали в главе 5, даже гибридные QKD-системы предоставляют повышенный уровень безопасности по сравнению с классическим согласованием ключа, поскольку ключи, генерируемые QKD независимы от любого входного значения процедуры согласования ключей и поскольку многие алгоритмы симметричного шифрования устойчивы к атакам квантовых компьютеров. Ключевой материал может быть подвержен нежелательным искажениям, если противник будет вносить возмущения в квантовый канал, но такой противник никак не сможет повлиять на безопасность согласования ключей.

8 QKD сети


По мере прогресса QKD-технологии, структуры развёртывания QKD-систем будут прогрессировать в порядке прохождения четырёх стадий уменьшения ограничений расстояния и увеличения коммерческой применимости:


1. Линии связи точка-точка: Два QKD устройства, напрямую соединённые на относительно короткой дистанции.


2. Сети с оптическими переключателями: Множество QKD-устройств организованы в сеть, допускающую взаимодействие различных пар. Оптические переключатели однако не увеличивают расстояние связи. Переключатели (свитчи) не обязаны быть доверяемыми. Один из примеров такой сети — это квантовая сеть DARPA.


3. Сети с доверяемыми повторителями: Множество QKD-устройств объединено в сеть. Промежуточные узлы в сети могут выступать как классические повторители, ретранслирующие информацию между удалёнными узлами. Ретранслирующие узлы обязаны быть доверямыми, однако уровень доверия может быть снижен, если отправляющая сторона использует схему разделения секрета. Такой тип QKD-сетей может быть использован в случаях, когда оператор сети является и её пользователем, например банк может создать сеть между множеством филиалов, каждый из которых является доверямым по-отдельности. Один из примеров такой сети – квантовая сеть SECOQC.


4. Сеть с полноценными квантовыми повторителями: Множество QKD-устройств объединено в сеть с квантовыми повторителями. Хотя индивидуальные узлы всё ещё ограничены по расстоянию, узлы квантовых повторителей позволяют передавать спутанность на большие расстояния, так что QKD может выполняться между удалёнными сторонами. Квантовые повторители не нуждаются в доверии и такой тип QKD-сети соответствует сценарию с провайдером сетевого доступа.

9 Заключение


Квантовое распределение ключей предлагает использовать мощь законов квантовой механики для детекирования прослушивающей стороны для установления совместно используемого ключа, который проверяемо безопасен и независим от любых других данных, предоставляемых связывающимися сторонами по аутентифицированному каналу. Безопасность этой системы не зависит от допущений о вычислительных возможностях и таким образом имеет потенциал стойкости против будущих атакующих, неограниченных в своих классических или квантовых вычислительных мощностях.


Есть много сценариев, таких как правительства, военные, службы здравоохранения, в которых информация должна оставаться безопасной 20, 50 или даже 100 лет. Использование QKD уменьшает уровень допущений о криптографической системе и позволяет получить совместный секрет, такой, что по законам квантовой механики, он не зависит ни от каких данных, включая входные значения.


Важно учитывать, как QKD разместить в более широкой криптографической инфраструктуре. При использовании аутентификаци по открытому ключу QKD обеспечивает сильную безопасность с выгодой от использования распределённой аутентификации инфрастуктуры открытого ключа; аутентификация с открытым ключом должна быть безопасна только до момента проведения QKD, но ключ, полученный из QKD будет оставаться безопасным неограниченно долго. Если аутентификация с открытым ключом невозможна, аутнтификация с совместно используемым секретным ключом также может быть использована для большей безопасности по сравнению с классическим разворачиванием ключа.


Текущие ограничения QKD — расстояние и скорость выработки ключа — будут в будущем улучшены по мере экспериментальных исследований, а квантовые повторители будут перспективны для создания полностью квантовых сетей на большие расстояния.


Мы верим, что поскольку технология продолжает совершенствоваться, QKD будет становится всё более важным средством в наборе криптографических инструментов для построения безопасных систем связи.

Благодарности


Авторы выражают огромную благодарность в помощи при обсуждении вопроса Romain Alleaume, Daniel J. Bernstein, Hoi-Kwong Lo, Alfred Menezes и Kenny Paterson. Исследование проведено при участии университета Ватерлоо, NSERC Graduate Sholarship, OCE, Canada NSERC, QuantumWorks, MITACS, CIFAR, Ontario-MRI и Sun Microsystems Laboratories.


Данные о публикации: QuantumComm 2009 Workshop on Quantum and Classical Information Security.


Источник: Cryptology ePrint Archive


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии [скрыть комментарии/форму]
— unknown (26/05/2010 12:47, исправлен 26/05/2010 12:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
интересный теоретический концепт, в котором нет ничего зазорного

Во-первых – только на асимметричную, т.е. только на аутентификацию классическими методами, во-вторых – у QKD есть security amplification (выше по треду подробно обсуждалось, unknown что-то писал

Немного не так. Самое интересное теоретическое свойство (в т. ч. по мнению авторов), что грубо говоря, сферическая в вакууме QKD-система информационно-стойка как по шифрованию, так и по аутентификации. Как одноразовый блокнот. Но в отличие от одноразового блокнота ключ не должен быть бесконечных размеров. Достаточно только на начальном этапе расшарить ключ размером скажем 256-бит, в идеале — предзагрузкой. Последующие аутентификационные симметричные информационно-стойкие по Картеру-Вегману аутентифицирующие ключи можно передавать по этому же каналу в сколь-угодно больших количествах, главное не пропустить синхронизацию сеансов.


Построить такую же систему на основе обычного крипто невозможно (не считая пары одноразовых блокнотов условно бесконечных размеров — одного для информационно-стойкого шифрования, другого для информационно-стойкой аутентификации).

— spinore (11/07/2010 08:15)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
/abs/1005.2376 Похоже из-за того, что ранее известные атаки теперь смогли проводить не изменяя уровень шума в квантовом канале выше допустимого (20 %), то можно незаметно перехватывать все сообщения в существующих (или по крайней мере в большинстве на данный момент) коммерческих установках, работающих по протоколу BB84.

До тех пор, пока MITMer не располагает чуть более тонким оборудованием и не прячется в допустимом шуме.

Раз уж пошли такие шпионские сканадалы по всему миру, займёмся "сливом инсайдерской информации". Шутка. :-D



По поводу атак на QKD сразу могу сказать, что используемая в статье back door, связанная с тем, что "Alice allows signals to go in and go out of her device," отсутствует в реализации QKD с непрерывными переменными, так как в этой реализации нет путешествий сигнала "туда и обратно" и поляризация не используется для кодиовки. По крайней мере, "QKD жив".


2 направления – это хитрая уловка товарища Gisin'а, который таким образом борется с вращеним поляризации в световолокнах. Так как у них кубиты реализованы состояниями поляризации, важно, чтобы не было дополнительных ошибок в канале, а световолокна вращают поляризацию по мере прохождения импульса по волокну. Идея 2-х проходов в том, что после одного прохода свет отражается специальным зеркалом Фарадея, которое обращает направление поляризации, так что при прохождении импульса обратно по волокну все изменения поляризации "отрабатываются назад". Это возможно, так как ошибки не вероятностные, а зависят от того как волокно лежит, скручено и т.д. – поэтому при проходе обратно свет подвергаетсмя тем же воздействиям. В непрерывных переменных кодировка – в координатах (квадратурах) центра когерентного или сжатого состояния, поэтому поляризация на важна, и не надо гонять свет туда-сюда


Есть, Philippe Grangier. Serge Massar в той же компании, что и в препринте, опубликовал статью в Nature на ту же тему про случайные числа.

Идея в том, что если у тебя есть одна половина пары ЭПР, то она находится в смешанном состоянии, где 1 и 0 равновероятны. Bell test, где проверяются только корреляции, позволяет убедиться, что у тебя именно половина ЭПР-пары – тогда неважно как ты получил эту половину. Ты мог купить утройство даже у шпиона, но если ты проверил корреляции, и у тебя действительно половина ЭПР-пары, то никто не может на неё повлиять (иначе это – не ЭПР пара). Так у них выходит device independent производство случайных чисел, а начали они c device independent QKD.


Общался лично, но с не насчёт этой статьи. У них там в компании своих теоретиков хватает. Сам Массар тоже теоретик.

PS: из переписки с Е. Карповым – выражаю ему от себя и от лица пользователей pgpru благодарность за разъяснения.
— SATtva (11/07/2010 10:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Из сказанного сделал один вывод — всё несколько сложнее, чем кажется. :) Spinore, может быть дадите краткий "перевод"-резюме для неспециалистов?
— Гость (11/07/2010 14:11, исправлен 11/07/2010 15:14)   <#>

fileАлэн Аспек. ТЕОРЕМА БЕЛЛА: НАИВНЫЙ ВЗГЛЯД ЭКСПЕРИМЕНТАТОРА


зы


"QKD жив"

:)

— spinore (11/07/2010 18:23)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Spinore, может быть дадите краткий "перевод"-резюме для неспециалистов?

Там как бы выше уже упоминается, что
Мне, как неспециалисту, это мало о чём говорит :)
Можно пояснить некоторые термины, но как на самом деле делается QKD в непрерывных переменных – я не разбирался. Лучше вы составьте конкретный список вопросов, которые на ваш взгляд требуют пояснения, а я постараюсь ответить в меру своего понимания.
— unknown (12/07/2010 10:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вопрос в том, что как были выполнены все предыдущие коммерциализированные реализации, не по методу непрерывных переменных? Метод, где не нужно гонять сигнал в двух направлениях — новый? Все старые установки можно выкидывать?

Или наоборот, метод с двумя направлениями — частный неудачный случай?
— spinore (12/07/2010 14:19)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

В википедии говорится, что

These two approaches can each be further divided into three families of protocols; discrete variable, continuous variable and distributed phase reference coding. Discrete variable protocols were the first to be invented, and they remain the most widely implemented. The other two families are mainly concerned with overcoming practical limitations of experiments. The two protocols described below both use discrete variable coding.

Гугление по словам "continuous variables QKD" даёт массу ссылок, но вышецитируемая работа от 2003го года в Nature (в свободном доступе тут), судя по всему, действительно первая, где представлена экспериментальная реализация такой схемы.


На первой странице комментариев уже упоминался fileобзор по QKD от 2002ого года, где описание данного метода (включая зеркало Фарадея) дано на стр. 171, параграф "Plug-and-play systems". Там же сказано, что

An approach invented in 1989 by Martinelli, then at CISE Tecnologie Innovative in Milano, allows one to automatically and passively compensate for all polarization fluctuations in an optical fiber (see also Martinelli, 1992).

Внизу стр. 172 упоминается коммерческий софт:

Proprietary electronics and software were developed to allow for fully automated and user-friendly operation of the system. Because of the intrinsically bidirectional nature of this system, great attention had to be paid to Rayleigh backscattering.

а в заключение параграфа (стр. 173) говорится (кому-то всё было известно заранее?):

Their main disadvantage with respect to the other systems discussed in this section is that they are more sensitive to Trojan horse strategies (see Sec. VI.K). Indeed, Eve could send a probe beam and recover it through the strong reflection by the mirror at the end of Alice's system. To prevent such an attack, Alice adds an attenuator to reduce the amount of light propagating through her system. In addition, she must monitor the incoming intensity using a classical linear detector. Systems based on this approach cannot be operated with a true single photon source and thus will not benefit from the progress in this field (the fact that the pulses make a round trip implies that losses are doubled, yielding a reduced counting rate).

Т.е., как я понял (а я могу ошибаться), метод с 2мя направлениями – "фича" для случая QKD в дискретных переменных, которая как минимум очень распространена в реализациях, и как максимум использовалась во всех схемах с дисретным QKD, что, впрочем, не отменят возможность изобрести вместо неё другую безопасную альтернативу; интересней же то, что имеется какой-то термин "go and return", использумый и для случая непрерывных переменных:

Implementation of continuous variable quantum cryptography in optical fibres using a go-&-return configuration (M. Legre, H. Zbinden, N. Gisin, 2005):
We demonstrate an implementation of quantum key distribution with continuous variables based on a go-&-return configuration over distances up to 14km. This configuration leads to self-compensation of polarisation and phase fluctuations. We observe a high degree of stability of our set-up over many hours.

так что, может быть, попкорн ещё пригодится, а если коротко, то надо учить матчасть :-)
— unknown (12/07/2010 14:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

И желание задвинуть коммерческие реализации подальше на полку. Или долго с ними не связываться по-крайней мере.
Это необходимо в любом деле. Ну или привлекать к вопросу специалистов для разъяснения :-)
— Евгений (03/08/2010 20:13)   <#>
Поправка к информаци про протокол QKD Gisin'a. Кубиты реализованы не состоянием поляризации а временными интервалами между последовательными импульсами, так называемыми time-bin, но бороться с влиянием внутренних отражений в оптоволокне на поляризацию всё равно нужно, для чего и используется зеркало Фарадея.
— Гость (20/12/2010 20:25)   <#>
В тему: прогресс по созданию КК из википедии — Timeline_of_quantum_computing. Можно примерно оценить чем занимались раньше и чем занимаются на текущий момент.
— spinore (26/05/2011 07:30, исправлен 26/05/2011 08:13)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

В продолжение истории с 42мя случайными числами со случайной выборкой из 42ух чисел (/comment38715 и /comment40651):


  • SQR-Technologies:
    SQR-Technologies, specialized in quantum technologies-enabled security, in particular quantum random number generators ©

    SQR Technologies has developed the first ultra-fast quantum random number generator delivering up to 4 Giga random bits per seconds. SQR's generator can distribute random numbers throughout the datacenter at unprecedented speeds. Whether combined with dedicated hardware or webserver software, SQR's solution offers the perfect alternative to traditional SSL methods (?!), providing datacenters with faster and safer SSL encryption at an affordable cost, all the while increasing overall flexibility and scalability. ©

    SQR's QRNG finds its randomness in the quantum fluctuations of a special type of light and can deliver up to 4 Billion cryptographically secure random bits per second (4 Gbps). This is 1000 times more than what is achieved by our direct commercial HRNG competitors.1 This incredible bandwidth offers SQR the opportunity to produce a centralized QRNG that can simultaneously address many (physical and virtual) servers. With a maximum throughput of 4Gbps, SQR's QRNG can distribute random numbers on a datacenter's LAN, providing up to 4000 servers with 1Mbps of random numbers. ©

  • SeQuR:
    SeQuR aims at the development and commercialization of a low cost, high-bit-rate, quantum random number generator (QRNG). The generator is expected to find applications in quantum cryptography, e-commerce, finance, data storing and gaming. ©

  • CRYPTASC:
    Our strategy within CRYPTASC I was twofold. On the one hand, we intended to pursue the development of Quantum Key Distribution (QKD) along directions that our teams have followed over the last years, in particular the use of higher-dimensional or even continuous alphabets. In this direction, we expected to obtain results which may be commercialised within a few years.2 On the other hand, we planned to explore, in a longer-term perspective, the possibility of applying quantum technology to other cryptographic primitives, such as authentication, digital signature, fair exchange protocols, etc. ©

Похоже, что упоминаемые3 SQR-Technologies, SeQuR и CRYPTASC — не три разных сущности, а по сути одна сущность в трёх видах.


P.S.: На закуску вышецитируемые радуют fileQuantum Cryptography FAQ'ом и некоторой иронией :-)



1Вот как раз подробностей про уже существующие HRNG я у них нигде не вижу, что вызывает некоторые сомнения. Кто знает, каковы реальные скорости современных промышленных HRNG, и есть ли у них какие-то практически ощутимые проблемы со случайностью даваемых выборок?
2То ли часть, то ли все из них — spin-off'ы.
3Это может рассматриваться как частичный ответ на /comment40664.

— unknown (26/05/2011 09:58, исправлен 26/05/2011 09:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вообще-то квантовые генераторы на мегабитных скоростях в виде PCI-плат выпускались уже лет десять как. Причём степень "квантовости" (как это корректно назвать не знаю) отличалась.


От примитивных схем по оцифровке квантовых шумов с хэшированием.


До практически полноценных схем с разделением фотона в зависимости от поляризации и опознаванием в какое из двух оптических волокон он попал (так получались "более каноничные" квантогенераторы, где даже постобработка практически не требовалась — числа были почти с равномерным случайным распределением, которому мешали только какие-то незначительные эффекты в датчиках). И это тоже было доступно в виде PCI-платы или даже мелкого чипа.


В той же статье претендовали на какую-то совсем уже "истинную квантовость" получаемых чисел.


Были и неквантовые генераторы (у нас где-то было обсуждение темы HWRNG) — но чем выше скорости, тем действительно, больше сомнений в безопасности.


Гигантские битрейты безопасно случайных чисел не так много где и нужны. Небольшим потребителям может быть интереснее открытая реализация сравнительно медленного аппаратного генератора. Или на оцифровке обычных шумов с постобработкой или на эффекте осцилляции в микросхемах.

— spinore (26/05/2011 10:26)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
В той же статье претендовали на какую-то совсем уже "истинную квантовость" получаемых чисел.

[имхо]
Всё, что вы привели в пример, даже с разделением фотона — это просто оцифровка, а тут, как я понимаю, идея якобы в том, что можно сделать доказуемо безопасный ГСЧ, т.е. случайность даваемых им выборок можно проверить постфактум программно, произведя вычисление корреляций и показав нарушение неравенств Белла. Для этого надо не просто оцифровывать сигнал, но и использовать для генерации квантовые состояния особого типа (запутанные, нарушающие неравенства Белла). В принципе, любой шум в конечном счёте имеет [физически] и чисто квантовую природу, но нужно его правильно "снимать" с датчиков, чтобы он не оказался предсказуемым чисто вследствие специфики его снятия, что [если делать это идеально] довольно-таки сложная задача.
[/имхо]

Чем-то напоминает вопрос адиабатические квантовые компьютеры vs [настоящие] квантовые компьютеры. Первые, кстати, уже в коммерческой продаже от D-Wave.
— unknown (26/05/2011 21:43, исправлен 26/05/2011 21:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Для чего нужны генераторы SSL-серверам? Там дан в целом правильный посыл. Раньше хватало и CSPRNG (криптостойкого софтварного). Для SSL не скорость генерации СЧ является лимитирующим фактором, а скорость других криптовычислений.


Но раньше и серверы были физически отдельными, размещались в стойках. А сейчас сплошные кластеры, виртуалки и облака. Им или тупо неоткуда взять энтропии для случайности, или они могут подглядывать друг у друга данные о случайных состояниях, или после всяких бэкапов и введении в строй параллельного сервера, он может дать псевдослучаную последовательность, не совсем такую конечно, которая была, но предсказуемую на основе предыдущей и т.д.


Из описаний эти генераторов понятно только, что там централизовано и безопасно как-то раздаётся это всё на много виртуальных серверов.


Теперь по поводу квантовости. То, что извлечь из обычных шумов нечто и схэшировать — это тоже некое соприкосновение с "квантовым миром" — понятно. Как и сложность доказательства корректности снятия. Почему схема с раздельным счётом фотонов является просто оцифровкой мне, с вашей подсказки, тоже стало ясно (т.е. оно квантовое, но недоказуемо), были статьи с более навороченными схемами такого рода, там пара фотонов могла посчитаться за один с большей вероятностью, чем обратное событие и могли быть разные дефекты и уплывания измерительных параметров датчиков, впрочем, практически безопасные.


Прочитав про неравенства Бэлла (ну на своём примитивном уровне восприятия этой области, без внятного понимания сути математических моделей, которые там лежат), стало понятно, что такое доказуемое извлечение квантовой информациислучайности. Только где в приведённых вами ссылках указано, что используется именно этот принцип?


Не есть ли это просто разрекламированная вариация усовершенствованного метода со счётом единичных фотонов по принципу разделения по поляризации?


Ну и наконец. Это же оффтопик: тема-то по сути работы о квантовом распределении ключей, а не о квантовых генераторах случайности. Хотя вам spinore можно! И всегда даже приветствуется, темы реально связанные, информация интересная.

— spinore (30/05/2011 03:26, исправлен 09/05/2015 08:54)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

В моём первом комментарии сноски 2 и 3 перепутаны местами — только сейчас заметил.


Прочитав про неравенства Бэлла

Эти неравенства, в простейшем случае — просто свойство плотности вероятности для системы, состоящей из четырёх подсистем, каждая из которых может давать один из двух результатов. Простейший пример такой системы — четыре монетки, подкидываемые одновременно. В этом случае неравенства Белла детектируют наличие определённых "неклассических" корреляций между монетками. Кстати, все состояния многочастичных систем можно разделить на запутанные и незапутанные (сепарабельные), причём сами запутанные могут как нарушать неравенства Белла, так и нет. Если смотреть от фонаря, то какое-то узкоспециальное свойство плотности вероятности разве гарантирует что-то само по себе? Мне кажется, что нет. Логика, возомжно, тут какая-то такая (для определённости надо вдумчиво читать оригинал, чего я не делал): стороннее грубое вмешательство в квантовую систему якобы обязательно приведёт как её "распутыванию", что отразится на неравенстве Белла (перестанет нарушаться). Даже если так, то соврешенствование методов атаки, на мой взгляд, может дойти до "квантового вмешательства" — когда состояние будет изменено, а распутывания не произойдёт, Белл не исчезнет. Во всяком случае, с ходу мне не очевидно, почему такое невозможно при квантовом взаимодействии двух квантовых же систем.


Только где в приведённых вами ссылках указано, что используется именно этот принцип?

Замечание совершенно справедливое. Возможно, что так и есть:

просто разрекламированная вариация усовершенствованного метода со счётом единичных фотонов по принципу разделения по поляризации

Просто возникла ассоциация "Massar, соавтор статьи про 42 числа, — из ULB", "те, кто хотят начать выпускать те приборы через spin-off, — тоже из ULB" (но другой отдел), "вторые общаются с первыми, и даже сотрудничают". В конечном счёте были ни к чему не обязывающие обсуждения со вторыми насчёт моего участия в программной части в, и, вообще, если всё пойдёт по плану то с сентября я там post-doc.


Насчёт fileстатьи, цитируемой по указанной вами ссылке: порождает некоторые сомнения в чистоте аргументации. Утверждение о том, что вся классическая физика детерминистична, не вполне соответствуют действительности. Если мы говорим не о классической механике, а о классической статфизике, то обратимости там нет, а, следовательно, и детерминистичности (в плане микропараметров, а не макропараметров). Более того, статфизика из механики не выводится, а для того, чтобы получить рост энтропии и необратимость, диссипация вводится в уравнения искуственно, и способ усреднения по частицам зависит от системы, т.е. не может быть единообразно проведён для всех статсистем заранее. В конце концов, любители проводить параллели между квантами и классикой сравнивают именно классическую статистику (а не механику) с квантовой механикой, т.к. обе теории чисто вероятностные, но с разными внутренними свойствами. Можно ещё сказать иначе: есть такой эмпирический факт, что многие системы ведут себя неотличимо от случайных, отсюда берется возможность их сокращенного описания с помощью аппарата статистики. Грубо говоря, я не вижу в статье веских аргументов того, почему надёжный неквантовый HWRNG хуже QRNG, так же нет анализа несовершенств лучших современных HWRNG. Подход у них слишком рекламный, а не экономический, где всё решает стоимость и соотношение цена-качество. Хотелось бы увидеть анализ HWRNG vs QRNG именно с точки зрения последнего.


Что касается уже высказанных точек зрения, то они были таковы, напоминаю:

  1. Авторы получили некоторую оценку, из которой явствует, что если система что-то мерит для состояния, нарушающего неравенства Белла, то при очень широких предположениях можно гарантировать некоторую степень рандомности (/comment38758).
  2. Идея в том, что если у тебя есть одна половина пары ЭПР, то она находится в смешанном состоянии, где 1 и 0 равновероятны. Bell test, где проверяются только корреляции, позволяет убедиться, что у тебя именно половина ЭПР-пары – тогда неважно как ты получил эту половину. Ты мог купить утройство даже у шпиона, но если ты проверил корреляции, и у тебя действительно половина ЭПР-пары, то никто не может на неё повлиять (иначе это – не ЭПР пара). Так у них выходит device independent производство случайных чисел, а начали они c device independent QKD (/comment40651).

Если вернуться к этой дискуссии заново, и осмыслить длинный разговор на эту тему, получается примерно следующее (кто не согласен, пусть выскажется):

  1. Если дан чёрный ящик, без каких либо гарантий, то никакие апостериорные тесты не позволят доказать, что выход этого ящика действительно рандомный. Не трудно написать ГПСЧ, подобный Mersenne twister, но им не являющийся, который будет выдавать любое, наперёд заданное распределение, включая нарушение неравенств Белла, а так же идеально проходящий все статтесты (а значит несжимаемый). Все слова про fileпостфактумную верификацию случайности — блажь и провокация. Это абсолютно очевидно. Случайность — это неустранимый предмет веры. Увы, квантовая физика здесь ничего нового не привносит.
  2. Пусть ящик не совсем чёрный, мы знаем, что у него внутри, но из-за погрешностей он может быть непреднамеренно бракован и неидеален (допустим, мы его собирали сами для себя). Если этот ящик работает на приципе нарушений неравенств Белла, то, проверяя это нарушение на выходных выборках, можно диагоностировать его бракованность/неточность, якобы, гораздо легче и надёжней чем для HWRNG, работающего на иных физических принципах.

Вообще, если вспомнить колмогоровскую аксиоматику, то случайность нельзя приписать ни числам, ни их последовательностям (криптографы плачут в истерике). Случайная величина — это всегда функция, причём функция, напрямую неизмеримая. Из апостериорных вероятностей никогда нельзя восстановить функцию распределения с 100%-ой точностью, и даже доказать что это нечто — случайное. Грубо говоря, случайность принципиально постулируется. Есть отличная дискуссия на похожую тему в статье "Какой цвет у чисел?".


Есть еще интересный аргумент от Нассима Талеба (известный торговец на бирже и вероятностник): допустим, мы играем в орлянку и нам известно, что 99 предыдущих раз монета упала орлом. Спрашивается, какова вероятность, что она упадет орлом и в 100й раз. Профессор-терверщик скажет, что 50%, а профессиональный азартный игрок скажет, что вероятность монете быть честной очень мала. Переводя эту ситуацию на формальный язык, всё свелось к тому, фиксируем ли мы (доверяем ли) функции распределения или нет. Так же и в QRNG: доверяем ли мы тому, что внутри ящика сидит честный ЭПР?


Если открыть оригинал, уже упоминавшийся в /comment38758, то в аппендиксе C можно увидеть длинное обсуждение ограничений на "device-independent QRNG", что находится в полном согласии с предварительными рассуждениями выше. В частности (стр. 17—21):


In this section, we discuss the requirements that are necessary to generate random numbers certified by a Bell inequality violation and clarify the concept of device-independence.

The conditions listed above represent minimal requirements to apply the device-independence proof in practice: if one of them is not satisfied then it is no longer possible to guarantee the presence of randomness through the violation of a Bell inequality 4. Whether these conditions are verified in an implementation is therefore an important question. However, it is not a question that has a unique and well-defined answer. Depending on the application, the adversarial scenario under consideration, and our level of "trust" in the devices, there may be different ways to enforce these conditions or verify that they are satisfied.

Considerations similar to the above ones can be made for the second condition in our list of assumptions, i.e., the requirement that the inputs should be chosen in a way that appears "random" to the devices. In our experiment, the value of the chosen measurement bases (xi, yi), obtained by combining the outputs of several (public) random number generators, is unlikely to be correlated to the state of the atoms before the measurement microwave pulses are applied, and we can safely assume that Eq. (16) is satisfied. Of course in a strong adversarial scenario where the devices are untrusted, the adversary could exploit a prior knowledge of the inputs in the design of the devices. In this case, it is thus important to generate the inputs with a private random source.

More generally, it is straightforward that a Bell violation without closing the detection loophole (or other loopholes arising from post selection, such as the coincidence time loophole [23]) cannot be used to certify randomness generation. In a scenario where the devices are trusted, one could address this requirement by means of the fair sampling assumption, which states that the detected events represent a fair sample of all the events (including the undetected ones). However, making the fair sampling assumption requires a detailed knowledge of the devices, and could fail without one being aware of it (see also attacks based on the detection loophole in traditional QKD [24, 25].).

Резюмируя, device-independent QRNG is so device-independent... Никому не доверяй! ©




были статьи с более навороченными схемами такого рода, там пара фотонов могла посчитаться за один с большей вероятностью, чем обратное событие

[Тэги: осторожно, много заклинаний, береги мозг, только для посвящённых]
Я не знаком с оригиналом, но, на всякий случай, забегая вперёд, напишу ремарку. Число фотонов (энергетических квантов) в квантовом состоянии системы (в летящем световом лазерном импульсе — в случае квантовой оптики) в общем случае не определено точно так же, как неопределены координата или импульс (значения электрического и магнитного полей — в случае квантовой оптики). Таким образом, при измерении (счётчик числа фотонов детектром) могут с некоторой вероятностью получаться разные числа фотонов, для некоторых состояний — вообще любое их число, с экспоненциальным убыванием вероятности для больших чисел фотонов и каким-то средним. Есть частный случай состояний с определённым числом фотонов в них — они называются фоковскими, в честь советского физика Фока. Поскольку математически квантовое состояние — вектор в гильбертовом пространстве, а скалярное произведение этого вектора на другие определяет вероятности измерения тех или иных физических величин, то само состояние принято обозначать как вектор-столбец (кэт-вектор) |ψ〉, тогда скалярное произведение будет обозначаться конвенционально как 〈α|ψ〉, где 〈α| — какой-нибудь так называемый бра-вектор (от bra-cket — скобка). Здесь |ψ〉 сидит в обычном гильбертовом пространстве, а 〈α| — в сопряжённом. Отличие от конвенционального обозначения, принятого в математике — использование вертикальной палки вместо запятой (т.е. в математике это было бы 〈α,ψ〉 для унитарного пространства, и (α,ψ) — для евклидового). Как обозначать вектор — наше право, и для состояний с фиксированным [определённым с вероятностью "один"] числом фотонов используется обозначение |n〉, где n — число фотонов. Так вот, фоковское состояние с одним фотоном потому обозначается как |1〉, а вакуумное состояние — как |0〉. Вероятность получить 2 фотона при измерении однофотонного состояния есть |〈2|1〉|2 = 02 = 0, т.к. состояния с разным числом фотонов друг другу ортогональны и, даже более того, образуют базис (фоковский базис, фоковское представление). Заметим, что, несмотря на бесконечномерность гильбертового пространства, фоковский базис счётный (для квантовой механики в непрерывных переменных это довольно редкий случай). Действительно, существование такого базиса — известный факт из функционального анализа. Так вот, выражаясь формальным квантовомеханическим языком, можно сказать "для произвольного квантового состояния |ψ〉 в общем случае у нас все вероятности P(n)=|〈n|ψ〉|2≠0, ∀n". Кстати, экспериментальное получение состояний |n〉 — очень трудная задача, даже для n=1 (не говоря уже о произвольных нефоковских состояниях), и то, что получается в реальной физике, лишь некое |ψ〉, очень бликзое к |n〉.
[/Тэги: осторожно, много заклинаний, береги мозг, только для посвящённых]


Это же оффтопик: тема-то по сути работы о квантовом распределении ключей, а не о квантовых генераторах случайности. Хотя вам spinore можно! И всегда даже приветствуется, темы реально связанные, информация интересная.

Спасибо :) но вот если бы я ещё в этом и разбирался, было бы вообще замечательно! Изначально хотел положить в тред "Юмор", т.к. именно там была большая часть первого обсуждения QRNG, но потом пост разросся, да и упоминание CV QKD появилось, потому решил сунуть сюда.

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3