Квантовая криптография
Выдержит ли классическая криптография появление квантового компьютера, существует ли абсолютно безопасное шифрование и как работают квантовые хакеры.
Существует изречение о том, что желание людей сохранить секрет почти так же старо, как письменность. С возникновением интернета важность криптографии растет с каждым днем. К сожалению, стандартные схемы шифрования часто основываются на недоказанных вычислительных допущениях, таких как сложность факторизации больших целых чисел. Из-за этого они плохо защищены от неожиданных «поломок» в аппаратном обеспечении и взламывания кода. Так, в 1994 году Питер Шор изобрел квантовый алгоритм для эффективной факторизации, который позволял взламывать стандартные схемы шифрования, включая RSA (аббревиатура от фамилий Rivest, Shamir и Adleman — криптографический алгоритм с открытым ключом).
Жиль Брассар, один из изобретателей квантовой криптографии, сказал: «Если когда-нибудь создадут квантовый компьютер достаточных масштабов, значительная часть обычной криптографии потеряет всякую эффективность». Сегодня множество ученых и инженеров трудятся над построением крупномасштабного квантового компьютера. Агентство национальной безопасности США объявило о том, что они планируют перейти на квантовые системы безопасности, включая квантовую криптографию. Таким образом, риск, который квантовые компьютеры представляют для обычной криптографии, нельзя недооценивать.
Квантовое распределение ключей
Одна из технологий квантовой криптографии называется «квантовое распределение ключей» (КРК). Ее основная цель — обеспечить безусловную безопасность коммуникаций, основываясь на законах физики. Предположим, что два пользователя, Алиса и Боб, хотят пообщаться друг с другом, а третий человек, Ева, хочет их прослушать. В классической криптографии хорошо известно, что если Алиса и Боб разделят ключ длиной, равной длине их сообщений, то при помощи шифра Вернама будет достигнута безусловная безопасность. Но тут возникает вопрос: как два человека могут сгенерировать длинный шифровальный ключ, который будет недоступен Еве?
Это называется «проблема распределения ключа». Все классические методы распределения ключа изначально небезопасны, поскольку ничто не мешает третьему лицу просто скопировать ключ во время процесса распределения. В противовес этому в квантовой механике существует теорема о запрете клонирования, запрещающая копирование неизвестного квантового состояния. В основе теоремы о запрете клонирования лежит идея запутанных наблюдаемых параметров. В квантовой механике некоторые наблюдаемые, такие как положение и импульс, не могут быть определены одновременно с одинаковой точностью.
Такова основа квантового распределения ключа, изобретенного Чарльзом Беннетом и Жилем Брассаром в 1984 году. Помимо этого, в 1991 году Экерт изобрел протокол КРК, основанный на принципе квантовой спутанности. КРК обеспечивает безусловную безопасность, основанную на законах квантовой механики, и эта защита эффективна даже против квантовых компьютеров. Например, Алиса посылает Бобу квантовые сигналы (к примеру, отдельные фотоны с одним из четырех видов поляризации: горизонтальным, вертикальным, 45-градусным или 135-градусным) и хочет, чтобы у обеих сторон был надежный код, который позволил бы им распознать любого подслушивающего. Если Еву засекли, Алиса и Боб могут просто прервать протокол без потери конфиденциальной информации и попробовать позже связаться опять.
Первый эксперимент по КРК был проведен в 1992 году с передачей информации на расстояние в 30 см в воздушной среде. С тех пор прошло 25 лет, и область сильно продвинулась. Расстояние передачи информации при помощи КРК по телекоммуникационным волокнам и воздуху достигло сотен километров. Системы КРК сегодня производятся на продажу. Некоторые страны, такие как США и Китай, устанавливают системы квантовой коммуникации (с надежными передатчиками) между крупными городами, такими как Шанхай и Пекин.
Безопасность квантовой коммуникации
В теории квантовая коммуникация идеально безопасна. На практике же оказывается, что сейчас существуют различные лазейки, которыми «квантовые хакеры» могут воспользоваться, что было показано исследовательскими группами Хой-Квон Ло и Вадима Макарова.
Лазейки могут возникнуть и в источнике, и в детекторе. Реальные источники и детекторы редко полностью соответствуют своим идеальным теоретическим прототипам, используемым при доказательстве безопасности квантовой коммуникации. Например, в одном из видов детекторов gated detector эффективность детекции меняется при помощи смещения напряжения и, таким образом, зависит от времени. В идеальной ситуации существует два детектора: один для нулевого бита, а другой для единицы, и важно удостовериться в том, что эффективность детектирования у обоих детекторов совершенно одинакова.
Группа Хой-Квон Ло показала, что маленькое несовпадение во времени смещения напряжения может повлечь за собой значительное несовпадение эффективности детектирования. Таков принцип атаки при помощи временного сдвига. И это только один из примеров. Лазейки в системах КРК могут быть разнообразными.
Независимое от измеряющего устройства квантовое распределение ключей
Как мера противодействия квантовому хакерству независимое от измеряющего устройства квантовое распределение ключей (measurement-device-independent quantum key disctribution, MDI-QKD) начинает все больше интересовать людей как в теоретическом, так и экспериментальном плане. Идея этой технологии была предложена Хой-Квон Ло, Маркосом Керти и Бинг Ки в 2012 году. Это потому, что MDI-QKD автоматически иммунно ко всем атакам на детекторы.
Как было замечено, существуют лазейки и в детекторах, и в источниках. Наиболее фатальные из них обычно находятся в детекторах. Это потому, что Ева может послать любой сигнал, включая сильный классический импульс, устройствам Боба, и сложно предсказать, что произойдет в такой ситуации.
Идея MDI-QKD состоит в том, чтобы автоматически устранить все лазейки в детекторах. При MDI-QKD два пользователя, Алиса и Боб, посылают сигналы непроверенному передатчику, Чарльзу, который проводит измерения состояний Белла связанных фотонов.
Заметьте, что Чарльз может быть совершенно небезопасным при MDI-QKD. Алиса и Боб могут подтвердить честность Чарльза путем проверки их данных с теми, что предоставляет Чарльз после выборочной генерации состояний Белла. Если Чарльз не достоин доверия, Алиса и Боб просто прервут КРК, и это никак не повлияет на безопасность их данных. Однако при использовании MDI-QKD, как и в стандартном протоколе КРК (BB84), Алиса и Боб по-прежнему должны использовать надежные источники.
С MDI-QKD только изъяны в источнике КРК остаются проблемой. В более долгосрочной перспективе полностью фотонные квантовые повторители, если они будут созданы, будут хорошим методом передачи информации на более большие расстояния.
В далеком будущем окончательным решением вопроса будет создание КРК полностью независимого от устройств (device-independent, DI-QKD). Безопасность DI-QKD основана на проверке неравенств Белла. Тест Белла проверяет идею локального реализма. О двух системах можно сказать, что они обладают локальной реальностью, если мы можем приписать локальную физическую реальность (то есть какое-то смешанное состояние) каждой системе по отдельности. Именно Джон Белл впервые показал, что системы, для которых локальный реализм верен, должны «проходить» его тест — набор неравенств, которые сейчас обычно называются неравенствами Белла. К сожалению, отличительной чертой квантовой механики является то, что она нарушает принцип локального реализма. Это даже Эйнштейна вводило в замешательство. «Запутанное» квантовое состояние может быть сильнее, чем локальные классические корреляции. В этом смысле квантовая механика нелокальна. В частности, экспериментально квантовая механика нарушает неравенства Белла. Существуют различные лазейки, которые могут нарушить корректное проведение теста Белла. В последние годы было много попыток «закрыть» эти лазейки в тестах Белла.
Квантовая механика допускает корреляции более сильные, чем в классической механике, и они не могут быть объяснены присутствием каких-то скрытых параметров. Принцип дополнительности в квантовой механике предоставляет основу безопасности квантовой коммуникации. В этом году были проведены три успешных экспериментальных демонстрации тестов Белла без лазеек. Это впечатляющее достижение. Однако, несмотря на всю безопасность КРК при передаче, после того как ключ измерен, он становится классическим. Классическое сообщение может быть скопировано. Так что утечка классических сигналов всегда будет оставаться фундаментальной проблемой криптографии. Необходимо обеспечить безопасность классического ключа от прослушивания.
Квантовые повторители
Расстояние передачи информации в квантовой коммуникации ограничено потерями в стандартных оптоволоконных кабелях. Например, было посчитано, что при расстоянии в 1000 км потери такие большие, что передача одного бита информации займет сто лет, а следовательно, необходимы квантовые повторители в том или ином виде (если человек не доверяет классическим ретрансляторам). Согласно упомянутой теореме о запрете клонирования, усилить квантовые сигналы невозможно. Вместо этого в квантовом повторителе нужно сохранить единственную имеющуюся копию квантовой информации.
Квантовые повторители можно представить себе как некую примитивную форму квантового компьютера, который просто хранит квантовую информацию в коммуникационном канале. До недавнего времени все варианты квантовых повторителей требовали наличие материальной квантовой памяти в различных звеньях передатчика и интерфейса между летающими кубитами (обычно фотонами) и материальной квантовой памятью. Оба требования: хорошая материальная квантовая память и эффективный интерфейс между летающими кубитами и этой стационарной материальной квантовой памятью — довольно сложно удовлетворить. Однако недавно предложенные исключительно фотонные квантовые повторители отличаются от конкурентов: в них оба требования полностью устраняются. Вместо этого предлагается основываться на создании и распределении очень запутанных кластерных состояний между передающими узлами. Впервые стало возможно осуществление квантовой коммуникации на большие расстояния при помощи только лишь фотонов.
Будущее квантовых коммуникаций
Теоретическим вызовом является упрощение устройства и программ, используемых в кластерных состояниях в чисто фотонных квантовых повторителях. Сейчас число фотонов, нужное для успешной передачи, очень велико, порядка миллиардов. Может быть проведена некоторая оптимизация, которая значительно сократит это число.
Экспериментальным вызовом является демонстрация возможности существования исключительно фотонных квантовых повторителей. Такая демонстрация покажет, что идея воплотима, и будет стимулировать дальнейшие исследования. В более долгосрочной перспективе также присутствует интерес к разработке однофотонных источников. Однофотонные источники найдут полезное применение в области квантовых компьютеров, основанных на линейной оптике. Несмотря на то, что они не строго необходимы для КРК, они могут увеличить частоту смены ключа при нем. Идеальный однофотонный источник — тот, что по команде выпускает один фотон: человек нажимает кнопку — один фотон вылетает.
Работа в области исключительно фотонных квантовых повторителей может стимулировать исследование однофотонных источников. В последние годы был немалый прогресс в разработке очень эффективных однофотонных детекторов. Однофотонные источники будут следующей большой темой для исследований. С хорошими источниками и детекторами мы приближаемся к разработке исключительно фотонных квантовых повторителей и квантового компьютера на основе линейной оптики, предложенного Книллом, Лафламом и Милбурном. Выиграют ли фотоны гонку за крупномасштабными квантовыми компьютерами? Это большой вопрос, на который пока нет ответа.
Автор: Хой-Квон Ло, professor, Center for Quantum Information and Quantum Control, Department of Electrical and Computer Engineering &Department of Physics, University of Toronto
Источник: ПостНаука
Читайте также:
ПодписатьсяШифрование дисков «на лету»: как защитить конфиденциальную информацию
Системы прозрачного шифрования дисков — высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию — снижение уровня риска утечки конфиденциальной информации — они выполняют неплохо.