ОБ УЯЗВИМОСТИ БАЗОВЫХ ПРОТОКОЛОВ КВАНТОВОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ И О ТРЕХ ПРОТОКОЛАХ, УСТОЙЧИВЫХ К АТАКЕ С «ОСЛЕПЛЕНИЕМ» ЛАВИННЫХ ФОТОДЕТЕКТОРОВ
С. Н. Молотков*
Академия криптографии Российской Федерации 121552, Москва, Россия.
Институт физики твердого тела Российской академии паук 142432, Черноголовка, Московская. обл., Россия.
Московский государственный университет им. М. В. Ломоносова 119899, Москва, Россия
Поступила в редакцию 23 июня 2011 1".
Фундаментальные запреты квантовой механики на измеримость квантовых состояний позволяют реализовать секретное распределение ключей между пространственно-удаленными пользователями. Однако экспериментальные и коммерческие реализации систем квантовой криптографии используют компоненты, которые существуют на сегодняшнем технологическом уровне, в частности, однофотонные лавинные фотодетекторы. Данные детекторы подвержены эффекту ослепления. Ранее было показано, что все известные базовые протоколы квантового распределения ключей и системы на их основе уязвимы по отношению к атакам с ослеплением фотодетекторов. При таких атаках подслушиватель знает весь передаваемый ключ, не производит ошибок на приемной стороне и остается необнаруженным. Приведены три протокола квантового распределения ключей, которые устойчивы относительно данных атак. Секретность ключей и детектирование попыток подслушивания гарантируется самой внутренней структурой протоколов, а не дополнительными техническими усовершенствованиями.
1. ВВЕДЕНИЕ
Фундаментальные ограничения и запреты квантовой механики на измеримость квантовых состояний [1 4] позволяют реализовать секретное распределение криптографических ключей между пространственно-удаленными пользователями. При этом секретность ключей гарантируется не ограниченными вычислительными или техническими возможностями подслупшвателя, а фундаментальными законами природы законами квантовой механики. Принято называть секретность ключей в этом случае безусловной (ш1согк1Шопа1) [3 5].
Набор действий легитимных пользователей, включающий приготовление, преобразование, пере-
* E-mail: sergei.molotkovö'gmail.com
дачу1'', измерение квантовых состояний, интерпретацию результатов измерений, исправление ошибок в первичных ключах и сжатие (усиление секретности privacy amplification) очищенных ключей, называется протоколом квантового распределения ключей [3 5]. Протокол должен гарантировать детектирование любых попыток подслушивания. Обнаружение любых попыток подслушивания происходит по ошибкам на приемной стороне. Более точно, по изменению статистики измерений фотоотсчетов. Если существуют атаки на передаваемый ключ, при которых в протоколе не возникает ошибок на приемной стороне, то такой протокол
Напомним, что квантовый канал связи в квантовой криптографии является открытым и не контролируется легитимными пользователями, т.е. подслушиватель может производить любые модификации квантовых состояний и самого физического канала связи.
считается уязвивым по отношению к данному виду атак и но гарантирует секретность ключей. Критическими атаками являются такие, при которых подслушиватоль знает ключ, не производит ошибок на приемной стороне и остается не детектируемым.
На сегодняшний день разработан ряд протоколов квантового распределения ключей и созданы системы квантовой криптографии па их основе, которые даже являются коммерчески доступными (например, ID Quantique и MagiQ Technologies).
В результате длительных и интенсивных исследований была доказана секретность базовых протоколов квантовой криптографии и определены области параметров, при которых протоколы гарантируют секретность распределения ключей [5,6].
Однако реализации систем квантовой криптографии используют неидеальные компоненты. Источник квантовых состояний (обычно ослабленное лазерное излучение) не является строго однофотон-ным, однофотонныо лавинные фотодетекторы имеют собственные томновыо шумы и не единичную квантовую эффективность, квантовый канал связи (оптоволокно или открытое пространство) имеет потери. Данные факторы приводят к возможности атаки с расщеплением по числу фотонов (PNS-атака, Photon Nunibor Splitting attack [7]) и атаке с измерениями с определенным исходом (Unambiguous Measurements [8,9]). При доказательстве секретности базовых протоколов были учтены данные факторы и выяснены границы параметров, при которых протоколы гарантируют секретное распределение ключей [6].
За последние годы была найдена новая атака на передаваемый ключ, так называемая атака с «ослеплением» лавинных фотодетекторов [10]. Хотя подслушиватоль и по имеет прямого доступа к лавинным фотодетокторам на приемной стороне, он может воздействовать на них опосредовано через квантовый капал связи2''. Атака с «ослоплопием» лавинных фотодетекторов аналогична атаке прием перепосыл с той лишь разницей, что подслушиватоль посылает после интерпретации результатов своих измерений не квантовые состояния, аналогичные тем, которые он получил с приемной стороны, а модифицированные (фальсифицированные faked) состояния [10,12]. Данные состояния позволяют контролировать отсчеты или их отсутствие па прием-
Возможны также другие каналы побочной (side information) утечки информации о ключе. Например, подслушива-тель может пытаться регистрировать обратное свечение ла-вшшых фотодетекторов [11] пли зондировать состояние активных волоконных компонентов фазовых модуляторов.
ной стороне в зависимости от результата измерений подслушивателя. В итого подслушиватоль может навязывать необходимые ему отсчеты, которые не приводят к ошибкам па приемной стороне. При этом подслушиватоль знает весь передаваемый ключ и остается необнаруженным. При такой атаке невозможно гарантировать секретное распределение ключей.
Было продемонстрировано, что все известные базовые протоколы квантового распределения ключей и системы квантовой криптографии на их основе потенциально уязвимы по отношению к данной атаке [10,12]. Такими базовыми протоколами являются ВВ84 [3], SARG04 [13], Six-State QKD [14], DPS (Differential Phase Shift) [15], COW (Coherent One Way) [161, E91 [17], Decoy State QKD [18].
Системы квантовой криптографии на основе упомянутых протоколов, в том числе и коммерческие, разрабатывались в разных странах. На основе протокола ВВ84 созданы система MagiQ Technologies (QPN 5505, США), квантовая сеть в Бостоне (проект по заказу DARPA); Smart Q во Франции; на основе протоколов ВВ84, SARG04 система Clavis2 и COW в idQuantique в Швейцарии; на основе протокола DPS система в Японии, на основе протокола ВВ84 (поляризационное кодирование) в Сингапуре, на основе протокола Е91 на запутанных состояниях в Австрии.
Возможность такой атаки, по понятным причинам, вызвала заметную напряженность. Результаты работ [10,12,19] докладывались на многих международных конференциях и известны сообществу. Возможны различные варианты реакции на данную атаку. Поскольку пока вразумительного и принципиального ответа на нее нет, можно молчаливо игнорировать ее до поры, пока не будут созданы однофотонныо детекторы и схемотехнические решения, не подверженные атаке с ослеплением. Насколько нам известно, единственная опубликованная критика [20] в адрес работ [10,12,19] связана с тем, что такая атака, использующая нюансы работы существующих Si и InGaAs:P лавинных однофотонных детекторов, может, тем не менее, оказаться неэффективной. Как бы то ни было, все системы квантовой криптографии, упомянутые выше, в существующем виде потенциально и явно уязвимы по отношению к данной атаке, и игнорировать данный факт нельзя. В принципе, такую атаку можно детектировать, внося различные технические усовершенствования в системы (например, вводя дополнительные сторожевые фотодетекторы и пр.). Однако такие косметические усовершенствования но решают проблему принци-
пиально п фактически снижают статус квантовой криптографии, поскольку переносят безусловную секретность квантовой криптографии, основанную на фундаментальных запретах квантовой механики, в секретность, базирующуюся на технических ограничениях.
Ответ на вызов атаке [10,12,19] должен быть дан не на уровне технических доделок существующих систем квантовой криптографии, а на уровне базовых протоколов квантового распределения ключей. Более точно, должны быть предъявлены протоколы квантового распределения ключей, которые бы гарантировали секретность передаваемых ключей даже при существующих лавинных фотодетекторах, которые могут быть подвергнуты атаке с их «ослеплением».
В данной работе будут описаны три протокола квантового распределения ключей: 1) двухпа-раметрический протокол с фазово-временным кодированием; 2) протокол с эталонным (реперным) «классическим» когерентным состоянием; 3) релятивистский протокол, который использует дополнительные ограничения, диктуемые специальной теорией относительности на измеримость протяженных в пространстве-времени квантовых состояний. Первые два протокола разработаны для оптоволоконных систем квантовой криптографии, третий для открытого пространства. Данные протоколы устойчивы относительно всех видов атак, в том числе и атаки с «ослеплением» лавинных фотодетекторов даже в идеальных условиях для такой атаки.
Стойкость обеспечивается но дополнительными техническими усовершенствованиями или тонкостями технической реализации управляющей электроники для лавинных фотодетекторов, работающих в режиме счета фотонов, а самой внутренней структурой протоколов.
Сначала приведем описание существующих атак с ослеплением лавинных детекторов (разд. 2.1, 2.2), а затем приведем анализ причин устойчивости для трех новых протоколов (разд. 3.1, 3.2, 3.3).
2. ОПИСАНИЕ АТАКИ С «ОСЛЕПЛЕНИЕМ» ЛАВИННЫХ ФОТОДЕТЕКТОРОВ
Для самодостаточности изложения приведем краткое и необходимое для дальнейшего описание принципов атаки с «ослеплением» лавинных фотодетекторов, опуская технические подробности, так как последние детально приведены в работах [10,12,19].
Возможны два варианта атаки.
I. В первом варианте атаки используется тот факт, что временные зависимости чувствительно-стей лавинных фотодетекторов различны. Поэтому-возможно пригот
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.