BBM92

BBM92 — протокол квантового шифрования, который подразумевает использование запутанных пар фотонов для генерации безопасного ключа и передачи зашифрованного сообщения между Алисой и Бобом.

История

Квантовая криптография, или точнeе, распределение квантовых ключей (Quantum Key Distribution, QKD), началось с протокола BB84, предложенного Чарльзом Беннеттом и Жиль Брассаром в 1984 году. Они показали, как можно распределить случайный секретный ключ между Алисой и Бобом, используя одиночные кубиты вдоль квантового канала. Вскоре после того, как Артур Экерт в 1991 году предложил свой протокол E91, основанный на запутанности, Чарльз Беннетт, Жиль Брассар и Дэвид Мермин в 1992 разработали другой, так называемый протокол BBM92 . Он основан на использовании пары запутанных фотонов (EPR-пары) и может рассматриваться как основанная на запутывании версия протокола BB84. Обмен необработанными ключами, анализирование ключей и усиление конфиденциальности по существу одинаковы. Причем открыто обсуждаются только оси измерений, а не фактические измерения. Единственное реальное различие между схемами (кроме аспекта запутанности) состоит в том, что в BB84 Алиса должна фактически выбирать поляризацию случайным образом, используя генератор случайных чисел, тогда как в BBM92 случайность присуща измерению пары EPR. Доказано, что эта схема имеет безусловную безопасность (безусловная безопасность подразумевает, что не делается никаких предположений относительно вычислительной мощности и ресурсов, доступных злоумышленнику), и она также имеет дело с очевидной слабостью запутанного метода, посредством которого источник фотонов мог бы быть заменен.

Описание

Протокол BBM92, использующий поляризованные пары фотонов, является очень элегантным протоколом BB84. Источник создает поляризованные пары фотонов в | ψ − ⟩ {displaystyle {|psi - angle }} состояние. Эти две пары разделяют друг друга, а другие — Бобу. В качестве одного из двух неортогональных дополнительных базисов: горизонтальный / вертикальный базисе ( H = {displaystyle H=} 0 ° и V = {displaystyle V=} 90 °) или в + / − {displaystyle +/-} базисе ( + = + 45 {displaystyle +=+45} ° и − = − 45 {displaystyle -=-45} °). После прогонов измерений, они сообщаются открыто по классическому каналу, на основе какого базиса они измерили каждый полученный ими фотон. Каждый из них сохраняет свой результат измерения. Исходя из того, что они могут быть сформированы из результатов секретного ключа. Ротационная инвариантность (симметрия) состояния | ψ − ⟩ {displaystyle |psi - angle } указывает, что измерения могут быть произведены не только в базисе H / V {displaystyle H/V} , но также в базисе + / − {displaystyle +/-} согласно формуле | ψ − ⟩ = 1 / 2 ( | H V ⟩ − | V H ⟩ ) = 1 / 2 ( | + − ⟩ − | − + ⟩ ) {displaystyle |psi - angle =1/{sqrt {2}}(|HV angle -|VH angle )=1/{sqrt {2}}(|+- angle -|-+ angle )} .

Алиса и Боб отбрасывают любые результаты измерений, если они измеряются в разных базисах, так как результаты не будут связаны между собой. Этот процесс называется просеиванием, потому что Алиса и Боб сокращают свои измерения, оставляя только те, которые они измеряли в одном базисе, и, таким образом, будут иметь независимые результаты измерений.

Результаты измерений измеряются в битовых значениях

• H {displaystyle H} и + {displaystyle +} присваивается битовое значению 0 {displaystyle 0} ,
• V {displaystyle V} и − {displaystyle -} присваивается битовое значению 1

Поскольку | ψ − ⟩ {displaystyle |psi - angle } состояние производит независимые результаты, Боб инвертирует свою битовую строку, чтобы он и Алиса получили идентичный, случайный, секретный ключ, общий для них. Такой секретный ключ название необработанного ключа (raw key).

Обеспечение безопасности

Безопасность протокола основана на использовании Алисой и Бобом двух неортогональных базисов измерений, что делает результат второго измерения на другом базисе случайным. Это можно рассматривать как результат принципа неопределенности Гейзенберга, который не позволяет Еве делать копии кубитов, тем самым откладывает ее измерения до тех пор, пока Алиса и Боб не опубликуют свою базу измерений для каждого кубита. Таким образом, любое устройство, пытающееся получить информацию о фотонах, посылаемых Алисе или Бобу, неизбежно нарушит запутанное состояние и внесет ошибки в необработанный ключ. Следовательно, проверка Алисы и Боба безопасности их необработанного ключа состоит в сравнении небольшого случайного подмножества битов из их необработанного ключа по общедоступному классическому каналу для оценки частоты появления квантовых битовых ошибок (QBER, Quantum Bit Error Rate). Затем, используя теоретико-информационные аргументы, касающиеся взаимной информации между Алисой, Бобом и Евой, можно найти верхнюю границу 14,6 % для допустимого уровня ошибок при распределении ключей, защищенного от отдельных атак.

Этот аргумент безопасности может быть проиллюстрирован с помощью простого подхода к прослушиванию (как показано на рисунке), где Ева перехватывает и измеряет фотоны, предназначенные для передачи Бобу, в одном из двух базисов поляризации. Затем Ева отправляет Бобу другой фотон, поляризованный в соответствии с результатами измерения перехваченного фотона. Как упоминалось выше, Алиса и Боб сохраняют результаты только там, где они проводили измерения в одном базисе. Вероятность того, что Ева произведет измерения в одном из базисов равна 50 %. Если Ева измеряет то же самое, что и Боб, то она не вносит никаких ошибок, и Алиса и Боб получают результаты измерений, которые они ожидают. Тем не менее, 50 % времени Ева измеряет в дополнительном базисе и тем самым вносит ошибку в ключ Боба из-за его последующего дополнительного измерения и принципа неопределенности Гейзенберга. Таким образом, Боб получит ошибку с вероятностью 50 %. Следовательно, общая частота ошибок, которую вызывает Ева, составит 25 %. Это намного выше допустимого QBER ~14,6 % для отдельных атак и будет обнаружено Алисой и Бобом, предупреждая их о наличии подслушивающего устройства.

После оценки QBER необработанный ключ проходит еще два этапа обработки, прежде чем он превращается в окончательный безопасный секретный ключ. Хотя теоретически, после выполнения всех измерений, Алиса и Боб должны получить полностью антикоррелированный необработанный ключ, в реальной жизни (без подслушивающего устройства) будут небольшие дефекты, которые способствуют ненулевой частоте ошибок. Таким образом, необходимо выполнить классическое исправление ошибок для необработанного ключа, чтобы устранить эти ошибки. Наконец, Ева могла использовать стратегию, в которой она измеряла только определенный процент кубитов, чтобы удержать измеренный QBER Алисы и Боба ниже приемлемого порога. Поэтому Алиса и Боб выполняют классический протокол усиления конфиденциальности на своем ключе с исправленными ошибками, чтобы уменьшить максимальную потенциальную информацию, которую Ева могла получить о ключе, до сколь угодно малого значения. Алиса и Боб теперь обладают безопасным, случайным, секретным ключом, который они могут использовать с Vernam One-Time Pad (Шифр Вернама) для безопасной связи между собой.

Исправление ошибок в необработанном ключе

В практической системе распределения квантовых ключей Алиса и Боб всегда найдут ненулевую частоту ошибок (QBER) из-за незначительных дефектов в системе. Из-за этого генерируемые ими ключи не будут идеально соотнесены и будут иметь некоторые ошибки. Исправление ошибок — это процесс сравнения версий ключа Алисы и Боба. Это делается путем публичного обсуждения, которое может дать некоторую информацию о ключе любому прослушивающему устройству. Для безопасного исправления ошибок используется алгоритм каскад (Cascade algorithm), разработанный Жиль Брассар и Луизом Сальвайлом в 1994 году. Данный алгоритм построен на применении примитивного «Бинарного алгоритма» (The BINARY primitive). Ниже следует выше перечисленных алгоритмов.

Алгоритм BINARY

Алгоритм BINARY способен найти ошибку между битовыми строками Алисы и Боба, в случае, когда Алиса и Боб имеют нечетное количество ошибок. Он выполняет интерактивный двоичный поиск, чтобы найти ошибку путем обмена меньшим, чем ⌈ log ⁡ n ⌉ {displaystyle lceil log {n} ceil } , битами по общедоступному каналу. Алгоритм выглядит следующим образом:

Алгоритм Cascade

Алгоритм Cascade использует BINARY, чтобы с высокой вероятностью исправить все ошибки между необработанными ключами Алисы и Боба. Он выполняет несколько проходов через ключи, чтобы исправить ошибки. Число проходов было выбрано равным четырем путем тестирования алгоритма.

На этапе 1 Алиса и Боб выбирают число k 1 {displaystyle k_{1}} и разбивают свой необработанный ключ на блоки по k 1 {displaystyle k_{1}} битам. Затем Алиса вычисляет четности своих блоков и отправляет их Бобу. Боб использует описанный выше алгоритм BINARY для исправления ошибки в каждом блоке, где четность его блока отличается от четности соответствующего блока Алисы. На этом этапе все блоки Алисы и Боба содержат четное количество ошибок (возможно, ноль). Очевидно, что сообщения по существу мы открыли информацию прослушивающему устройству об одном из битов ключа в каждом блоке. Логично было бы немедленно поменять ключ в местах утечки данных. Вместо этого все биты сохраняются, что позволяет исправлять больше о шибок за определенное количество проходов. Утечка информации затем решается с помощью протокола усиления конфиденциальности.

Для каждого последующего прохода i > 1 {displaystyle i>1} Алиса и Боб выбирают новый размер блока k i {displaystyle k_{i}} и случайную функцию f i : [ 1.. n ] ⟶ [ 1.. n / k i ] {displaystyle f_{i}:[1..n]longrightarrow [1..n/k_{i}]} , который используется для случайного разбиения их необработанного ключа на новые блоки размером k i {displaystyle k_{i}} . Алиса снова вычисляет свои проверки четности, отправляет их Бобу, и Боб использует BINARY для исправления любых ошибок, где находит различия. Если обнаружены какие-либо ошибки, это означает, что на предыдущем шаге должно было быть две ошибки (четное количество ошибок). Поскольку одна из них была исправлена, переход к предыдущему шагу теперь приведет к ошибке (поскольку в ключе теперь нечетное количество ошибок). В реальном алгоритме Cascade происходит итеративное возвращение через все предыдущие проходы. Вместо этого алгоритм исправления ошибок здесь возвращается только к первому проходу, чтобы найти ошибку, поскольку программное обеспечение использует только четыре прохода. После выполнения алгоритма Cascade ключи Алисы и Боба теперь должны быть идентичными с очень высокой вероятностью.

Протокол усиления конфиденциальности (Privacy Amplification)

Информация, которая просочилась во время исправления ошибок, вместе с любой информацией, которую подслушивающее устройство могло получить от взаимодействия с некоторыми из фотонных пар, теперь должна быть удалена с использованием протокола усиления конфиденциальности(Privacy Amplification) за счет уменьшения размера секретного ключа. Для этой цели в программном обеспечении используется универсальная хеш-функция, разработанная J.L Carter и M.N. Wegman в 1979 году. С помощью данной хеш-функции ключ сокращается примерно на количество битов, которые были обнаружены во время процедуры исправления ошибок, однако, любая информация о ключе, которую можно было перехватить, должна была теперь быть уменьшена до экспоненциально небольшого количества.