Письма в ЖЭТФ, том 101, вып. 8, с. 637-643 © 2015 г. 25 апреля
О секретности волоконных систем квантовой криптографии без контроля интенсивности квазиоднофотонных когерентных состояний
С. Н. Молотков1') Институт физики твердого тела РАН, 142432 Черноголовка, Россия
Академия криптографии РФ, 121552 Москва, Россия
Факультет вычислительной математики и кибернетики, МГУ им. Ломоносова, 119991 Москва, Россия
Поступила в редакцию 9 февраля 2015 г. После переработки 10 марта 2015 г.
Внутренние потери в системах квантовой криптографии могут использоваться при атаках подслу-шивателя. В результате для ряда протоколов невозможно обеспечить секретность ключей. Эта проблема может быть преодолена путем использования геометрически однородных когерентных состояний с большим числом базисов. При числе базисов Щ/2 = 4 и числе состояний Жь = 8 удается гарантировать секретность ключей даже без контроля интенсивности входных состояний.
БО!: 10.7868/80370274X15080135
Введение. Системы квантовой криптографии предназначены для распределения секретных криптографических ключей через открытый и доступный для пассивного и активного вторжения квантовый канал связи. Классический аутентичный вспомогательный канал связи, служащий для обмена классической информацией между легитимными пользователями: при согласовании базисов (если этого требует протокол), коррекции ошибок в первичных ключах, финального сжатия (хэширования - усиления секретности) очищенных ключей также доступен для прослушивания. Секретность ключей в квантовой криптографии гарантируется фундаментальными запретами квантовой механики на различимость неортогональных квантовых состояний. На сегодняшний день строго доказана секретность протокола ВВ84 [1] для случая строго однофотонного источника квантовых состояний и конечных длин передаваемых последовательностей. Доказательство [2] основано на фундаментальных энтропийных соотношениях неопределенностей и не использует предположений о атаках подслушивателя на передаваемые ключи. В реальной ситуации квантовые состояния являются квазиоднофотонными ослабленными когерентными состояниями. Кроме того, потери в канале связи вместе с квазиоднофотонными состояниями, открывают возможности для новых атак, которые отсутствуют в однофотонном случае.
■^e-mail:???
Протокол ВВ84 в реальных системах использует 4 когерентных состояния, по два состояния в каждом базисе. В базисе + состояния равны 0 —> |ск), 1 —> | — а), в базисе х - 0 —> |гск), 1 —> | — га). Комплексные параметры оц (г = 0,1,2,3), описывающие информационные состояния, равномерно расположены на окружности в комплексной плоскости. Как будет показано ниже, протокол ВВ84 не может гарантировать секретность ключей в реальных системах при наличии потерь в канале и неизбежных потерях внутри приемника. Поэтому необходимо использовать протоколы с большим числом информационных состояний и базисов.
Одним из таких протоколов является протокол на геометрически однородых состояниях (протокол ВВ84 - частный случай семейства таких протоколов). Оказывается, что числа базисов Ыь/2 = 4 уже достаточно для гарантии секретности ключей в реальных системах. Информационными состояниями являются геометрически однородные когерентные состояния вида |ау), получающиеся геометрическим сдвигом (унитарным поворотом £/•?', IIк = I) |оу) = и*\а), где оу = е^а Ц = 0,1,...,ЛГЬ - 1). В протоколе используется Щ/2 = 4 базиса. В каждом базисе имеется пара неортогональных состояний с |ау) и |ау_|_1), отвечающих 0 и 1.
Критерий корректности и секретности ключей. Любой протокол квантового распределения ключей состоит из следующих стадий: 1) передача квантовых состояний от Алисы к Бобу и их измерение на приемной стороне (если,
как в протоколе ВВ84 это требуется, то еще и согласование базисов - отбрасывание или фиксирование посылок, в которых базисы не совпадали или совпадали); 2) оценка вероятности ошибки и исправление ошибок через открытый классический канал; 3) оценка информации Евы при наблюдаемой ошибке на приемной стороне, ее изменение после исправления ошибок и последующее сжатие (усиление секретности) очищенных ключей.
Ситуация Алиса-Боб-Ева после стадии 1 описывается совместной матрицей плотности Рхх'Е> гДе X", Х'п - битовые строки Алисы и Боба (последняя, возможно, с ошибками), р^ = Т^хх'{Рхх'е} ~ квантовая система, доступная Еве. Учитывая информацию, которую Ева получила из квантового канала связи, и дополнительную классическую информацию при коррекции ошибок из классического канала связи, Алиса и Боб производят сжатие очищенных ключей, чтобы Ева не имела никакой информации о финальном секретном ключе. Протокол должен удовлетворять критерию корректности и секретности [3]. Корректность: ключи Алисы и Боба после исправления ошибок должны быть идентичными с заданной вероятностью еСОгг,
Рг[Х™ ^ X'™] < есогг, (1)
где Хп и Х'п - битовые строки Алисы и Боба после исправления ошибок.
Неформально протокол секретен, если битовая строка Алисы Хп не коррелирована с квантовой системой Евы р^. На формальном языке отсутствие корреляций между строкой Алисы и квантовой системой Евы означает, что совместная матрица плотности Алиса-Ева (р\Е) распадается на произведение матриц плотности двух систем, (рц <§) (идеальная ситуация). Здесь рц - матрица плотности Алисы, описывающая равномерное распределение классических битовых строк: = ■ф;^2г1,г2,...,г,1=0,1 1*1) («Л ®
® \п){п\® • • • ® |г„)(г„|.
Мерой секретности ключей является следовое расстояние между реальной матрицей плотности Алиса-Ева (рхе) и некоррелированными матрицами плотности Алиса-Ева (рц (Е> ргЕ) (идеальная ситуация). Протокол должен гарантировать, что следовое расстояние Д между данными матрицами плотности может быть сделано меньше наперед заданной величины е8есг:
^=\\\рпХЕ-рЪ®рПЕ\\1 <е8есг, (2)
где, по определению, следовое расстояние между двумя операторами равно \\pi~ Р2Ц1 = Т^{\р1~ =
= Тг {^Гр 1 ~ Р2)2}- В этом случае протокол называется е8есг-секретным. Часть информации Ева получает из квантового канала, атакуя передаваемые квантовые состояния. При коррекции ошибок через классический канал передается классическая корректирующая информация, которая также доступна Еве. Кроме того, после исправления ошибок происходит сжатие ключей через открытый классический канал: Алиса передает информацию о функции хэширования. Данные обстоятельства должны быть учтены в формуле (2). Их учет дает лемма об остатке хэширования [4] (Left over Hash Lemma). Согласно лемме об остатке хэширования после коррекции ошибок и сжатия очищенного ключа универсальными хэш-функциями второго порядка [5] следовое расстояние становится равным
Д = о»в»)-л„]) (з)
где H^nin(Xn\CnEn) - сглаженная условная min-энтропия, а Сп включает в себя корректирующую информацию, переданную Алисой через открытый канал к Бобу. По определению, Wmin(Xn\CnEn) = зир^сЕНтт(рпхсЕ\рпСЕ), где Нтт(РхсЕ\РсЕ) = — ^ — минимальное число,
такое, что XIх ® Рсе ~ Рхсе > °> \\Рсе~Рсе\\1 <£-При этом мы считаем, что Tt(pqE) = 1. Протокол является е-секретным [3], если длина финального секретного ключа
Rn < Н£тш{Хп\СпЕп) - 21og(l/2e). (4)
Для H^in(Xn\CnEn) может быть получена оценка [3]
Н£тт{Хп\СпЕп) > H^in(Xn\En) — leak„ — 21og(l/2e),
(5)
где leak„ - классическая информация в битах, переданная через открытый канал при коррекции ошибок, которая определяется только процедурой коррекции. Формула (5) имеет интуитивно прозрачную интерпретацию. Величина H^ain(Xn\CnEn) отображает дефицит информации, которой не хватает Еве, имеющей квантовую систему Е и классическую информацию С(р™>Е), чтобы целиком знать битовую строку Алисы.
В асимптотическом пределе длинных последовательностей (п —>■ оо, откуда автоматически е —> 0) сглаженная энтропия стремится к условной энтропии фон Неймана [3] (в классическом случае энтропии Шеннона), H^in(Xn\CnEn) ->• Н(Хп\СпЕп), которая имеет смысл дефицита информации Евы. Неформально сглаженная условная энтропия H^nin(Xn\CnEn) имеет смысл дефицита информации Евы требующейся для того, чтобы целиком
знать битовую строку Хп при условии, что она имеет квантовую систему Еп вместе с классической информацией Сп, переданной через классический канал при коррекции ошибок. Грубо говоря, Н^П(ХП\СПЕП) равно числу бит, не известных Еве после всех стадий протокола. Неравенство (5) позволяет разделить информацию Евы, полученную из квантового и классического каналов связи.
Упомянутая выше интерпретация имеет место, если матрицы плотности известны точно (например, в асимптотическом пределе). В реальной ситуации при конечных длинах последовательностей можно получить лишь оценку матриц плотности с некоторой точностью по отношению к истинной матрице плотности. Можно гарантировать только близость к истинной матрице плотности с точностью е в смысле следового расстояния. Сглаженная энтропия Н^П(ХП\СПЕп) является нижней границей дефицита информации Евы по множеству матриц плотности, которые е-близки к истинной матрице плотности.
Однофотонный случай. Для протокола ВВ84 однофотонный случай является особым. В этом случае теорема о запрете клонирования гарантирует, что любое получение информации о передаваемых неортогональных состояниях подслушивателем будет приводить к возмущению состояний и появлению ошибок на приемной стороне. Замечательный результат [2] состоит в использовании фундаментальных энтропийных соотношений неопределенностей для сглаженных энтропий для трехчастичной матрицы плотности Рхх'Е Алиса-Боб-Ева:
+ > 2log(l/c)
с=|(0(Х)|0(^))| = 1/А
(6)
где |0(Х, 2)) - информационные состояния в прямом (X) и сопряженном базисе. Правая часть (6) не зависит от матрицы плотности Рхх'Е и определяется только самим протоколом ВВ84. Величина является чисто классической и определяет минимальное количество бит информации, необходимое для исправления ошибок в битовой строке Боба . Она связана с ошибкой <3. Кроме того, из-за симметрии протокола относительно базисов X и 2 имеем Я^ах(^'™) = Я^ах(Х™|Х'«). Данный факт и соотношения (6) позволяют выразить
Н^(ХП\ЕП) ^рез Я^ах(Х«|Х'™): Н^П(ХП\ЕП) > > 1 — Н^пах(Хп\Х'П). Длина секретно
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.