Документ взят из кэша поисковой машины. Адрес оригинального документа : http://sqi.cs.msu.su/store/storage/ss8dw5n_quantum_cryptography.pdf Дата изменения: Tue Nov 25 17:44:04 2014 Дата индексирования: Sun Apr 10 22:25:47 2016 Кодировка: Windows-1251

Квантовая криптография
Учебное пособие
Д.А.Кронберг, Ю.И.Ожигов, А.Ю.Чернявский МГУ имени М.В.Ломоносова, факультет ВМК

I


Пособие посвящено квантовой криптографии " разделу квантовой информатикиD в котором исследуется возможность генерации ключейD секретность которых гарантируется фундаментальными законами квантовой механикиF В пособии рассматриваются основные однофотонные протоколы квантовой криптографииX ffVRD fWPD eqHRF ПоказываетсяD каким образом ограниченияD накладываемые квантовомеханической природой сигналовD позволяют оценить количество информацииD доступной перехватчику после выполнения протоколаD и при каких условиях возможна генерация полностью секретного ключаF Также рассматриваются основные атаки перехватчика и демонстрируются методы оценки их эффективностиF Пособие предназначено для студентовD изучающих квантовую информатикуD а также для всех интересующихся проблемой обеспечения секретной передачи информации и квантовомеханическому подходу к решению этой проблемыF

P


Оглавление
Введение 1 О задаче секретной передачи данных
IFI IFP IFQ Исторические сведения F F F Симметричные шифры F F F Криптографические системы ключом F F F F F F F F F F F F FFFFFFFFF FFFFFFFFF с открытым FFFFFFFFF

5
W IQ IV

8

2 Основные понятия информации
PFI PFP PFQ PFR PFS

квантовой

теории
FFFF FFFF FFFF каналам FFFF

Квантовые состояния F F F F F F F F F Измерения F F F F F F F F F F F F F F F Составные квантовые системы F F F F Передача информации по квантовым Квантовые коды коррекции ошибок F

24
PS QH QS RQ SR

3 Протокол квантового распределения ключей BB84 61
QFI QFP QFQ RFI Общая схема протокола F F F F F F F F F F F F Стойкость протокола F F F F F F F F F F F F F Стратегии подслушивателя F F F F F F F F F F Протокол fWP TP TV UU

4 Другие протоколы квантовой криптографии 92
FFFFFFFFFFFFFFFFF Q

WQ


RFP RFQ RFR

xEатака F F F F F F F F F F F F F F F F F F F F WR Протокол RCP F F F F F F F F F F F F F F F F F WW Протокол eqHR F F F F F F F F F F F F F F F IHI

Задачи Литература

107 110

R


Введение
Квантовая криптография как наука зародилась в IWVR годуD когда был разработан первый протокол квантового распределения ключейD названный ffVR QF Главным преимуществом квантовых криптографических протоколов перед классическими является строгое теоретическое обоснование их стойкостиX если в классической криптографии стойкость сводитсяD как правилоD к предположениям о вычислительных возможностях подслушивателяD то в квантовой криптографии перехватчик может предпринимать все допустимые законами природы действияD и вс? равно у него не будет возможности узнать секретный ключD оставшись при этом незамеченнымF Важным для квантовой криптографии свойством квантовой механики является свойство коллапса волновой функцииD которое означаетD что при измерении любой квантовомеханической системы е? исходное состоянияD вообще говоряD меняетсяF Это вед?т к важному следствию о томD что невозможно достоверно различить квантовые состояния из их неортогонального набораF Именно это свойство используется в обосновании секретности квантовой криптографииX при попытке подслушать передаваемые состояния из их неортогонального набора перехватчик неизбежно вносит в них ошибкуD в результате S


чего он может быть обнаружен по дополнительным помехам на при?мной сторонеF Поэтому решение о возможности секретного распространения ключей достигается легитимными пользователями на основе величины наблюдаемой ошибки на при?мной сторонеX при приближении значения этой ошибки к критической величине @зависящей от используемого протоколаA длина секретного ключа в битах стремится к нулюD и передача ключей становится невозможнойF Это означаетD что важнейшей характеристикой протоколов квантовой криптографии является допустимая критическая ошибка на при?мной сторонеD до которой возможно секретное распространение ключейX чем она большеD тем более устойчивой является система квантовой криптографии по отношению к собственным шумам и попыткам подслушиванияF Важным результатом является нахождение точной величины критической ошибки для протокола ffVRD которая оказывается равной приблизительно II7ISF Экспериментальная реализация квантовой криптографии натолкнулась на ряд технологических трудностейD наиболее важной из которых является сложность генерации строго однофотонных квантовых состоянийF На практике обычно используются ослабленные лазерные импульсыD которые описываются когерентными квантовыми состояниямиF Лазерное излучение имеет пуассоновское распределение по числу фотоновD поэтому с определ?нной вероятностьюD зависящей от среднего числа фотоновD в когерентных состояниях могут встречаться посылкиD в которых присутствуют дваD три и более фотонов с убывающими вероятностямиF Это оказывается важным допущениемD так как использование многофотонных состояний в T


сочетании с неизбежным затуханием в реальных каналах связи да?т перехватчику теоретическую возможность задержать часть фотонов у себяD а после получения некоторых сведений от легитимных пользователейD передаваемых по открытому каналуD извлечь из них всю необходимую информациюD в результате чего схемы квантовой криптографии теряют свою секретностьF Подобные действия перехватчика получили название атаки с разделением по числу фотоновD или xEатаки @hoton numer splitting ttkAIF Разработки в области противодействия xE атаке привели к появлению протокола с измен?нной @по сравнению с ffVRA конфигурацией состоянийD используемых легитимными пользователямиF Подобная конфигурация хотя и обеспечивает меньшую скорость генерации ключаD уже не позволяет перехватчику получить всю необходимую информацию о ключе даже при успешной задержке части передаваемых фотонов в своей квантовой памятиF Наиболее известным протоколомD устойчивым к xEатакеD является протокол eqHRID IID предложенный в PHHR годуF Как показал анализD он переста?т быть секретным только в том случаеD когда перехватчик имеет возможность блокировать все одноED двухE и тр?хфотонные посылкиF А это значитD что квантовое распространение ключей возможно на большей дистанцииD чем при использовании протокола ffVRD так как возможная длина линии связи зависит от среднего числа фотонов в посылкеF Таким образомD можно говорить о понятии критической дистанции секретного распределения ключейD на которой доля доля импульсов с большим числом фотонов достаточно малаD и устойчивость протокола против xEатаки определяется именно этой критической дистанциейF U


Глава 1 О задаче секретной передачи данных
Задача передачи секретной информации известна человечеству с самых ранних врем?нF Из основных типов сведенийD для которых может быть важна их секретная передачаD можно выделить следующиеX

ћ важная государственная информация ћ информацияD содержащая военные секреты ћ коммерческие данные ћ личная конфиденциальная информация
Исход большого количества военных кампаний и финансовый успех многих корпораций всегда был напрямую связан в том числе с умением передавать информацию без е? утечки к третьим лицамD что говорит о существенной ценности развития технологий секретной передачи данныхF В этой главе будет дано краткое описание исторических сведений о секретной пересылке V


информацииD а также будут рассмотрены несколько типов криптографических системD используемых в настоящее времяF

1.1 Исторические сведения
Можно выделить три основных технологии передачи конфиденциальной информацииX IF Конструирование полностью секретного канала связи " этот метод оказывается наиболее сложнымD и его сложность лишь увеличивается с развитием технологий подслушиванияF PF Сокрытие самого факта передачи информации " этот метод получил название D и с тем или иным успехом использовался во все временаF С расширением технологического арсенала применение этого метода становится вс? прощеD однако с другой стороны у него есть существенные недостаткиX такD трудно обеспечить гарантии непопадания информации третьим лицамD и при использовании одного и того же способа стенографии в течение долгого времени велика вероятность тогоD что предполагаемый перехватчик также читает сообщенияD не выдавая себяF

стенографии

QF Открытая передача сообщения по открытому каналуD но лишь после специального преобразования " D подразумеващего невозможность получения полезной информации о сообщении без знания определ?нных данных " F Криптография изучает именно этот способ передачи секретной информацииF

зашифрования

секретного ключа

W


Исторические данных

способы

шифрования

Применение шифров началось ещ? несколько тысячелетий назадD и за прошедшее время было изобретено огромное количество технологий шифрования той или иной степени над?жностиF Рассмотрим некоторые наиболее известные из самых ранних способов защиты информацииF F Этот метод шифрования известен ещ? со времен войны между Афинами и Спартой в вF до нFэF В нем использовалась специальная дощечка круглой формы и определенного радиусаD называемая сциталойF На сциталу наматывалась лентаD на которой @вдоль оси сциталыA писался текстF Затем лента разматывалась и отправлялась получателюF ОнD имея в распоряжении сциталу того же радиусаD наматывал на не? ленту и читал сообщениеF Всем же остальным сообщение представлялось лишь бессвязным набором символовD записанных в столбикF F Этот способ шифрования заключается в томD что каждая буква исходного сообщения заменяется третьей по счету буквой алфавитаD следующей за нейF Алфавит в этом случае считается циклическимD то есть за последней его буквой снова следует перваяF Получатель сообщения может безошибочно восстановить его исходный текстD заменив каждую букву третьей по сч?ту до негоF Сам Цезарь использовал сдвиг на Q позицииD в то время как более общая версия подобного шифраD называемого D может использовать любую величину сдвигаX важно лишьD чтобы е? знали как отправитель сообщенияD так и его получательF F Этот способ шифрования является дальнейшим обобщением шифра ЦезаряX в н?м каждая буква заменяется не следующей за ней в алфавите на

Шифр ?Сцитала?

Шифр Цезаря

шифром сдвига

Шифр замены

IH


некотором интервалеD а буквой @или другим символомAD получающейся из исходной с использованием специальной таблицыD известной только передающей и принимающей сторонеF Такая таблица имеет вид

a b c d e ... g r e x o ...,
то есть каждой букве в ней поставлена в соответствие новая букваF ОчевидноD что по сравнению с шифром сдвига такой шифр взломать значительно сложнееX уже недостаточно перебрать PT @число букв в латинском алфавитеA вариантовD так как подобных таблиц намного больше " 26!F Также вместо букв сообщение может шифроваться другими известными обеим сторонам символамиF Подобный шифр можно встретитьD к примеруD в рассказе АF Конан Дойла ?Пляшущие человечки?F ОтметимD что по современным меркам все привед?нные методы шифрования нельзя назвать скольEлибо удовлетворительнымиX при знании самих методов шифрования @а узнать их можноD напримерD подкупив когоEнибудь из лицD приближ?нных к обменивающимся информациейA их очень легко взломатьF Для первых двух шифров элементарно подобрать соответственно диаметр сциталы и величину сдвигаD а в случае общего шифра замены может помочь знание статистики упоминания разных букв языкаD на котором происходит общение PIF

Криптографические протоколы
Задача передачи секретного абонентами " главнаяD но криптографииF Существует близких по технологиям их II сообщения между двумя не единственная задача ещ? ряд важных задачD решенияF Согласованные


действия пользователейD приводящие к решению подобной задачиD называются F Привед?м здесь несколько примеров подобных задачF ставит своей целью генерацию общего случайного ключа между двумя пользователями с условием тогоD чтобы он был известен только им и никому другомуF Как будет показано в дальнейшемD наличие подобного ключа нужной длины практически означает возможность гарантированно секретной передачи данныхF Таким образомD задачу генерации ключа можно считать эквивалентной задаче передачи секретного сообщенияF решает задачуD возникающую при подписании соглашений удал?нными абонентамиX два не доверяющих друг другу человека при подписании контракта не хотят допустить ситуациюD при которой один из абонентов получил подпись другогоD а сам не подписалсяF работает со следующей задачейX при взаимодействии двух человек у каждого из них могут возникнуть опасенияD что их собеседник " не тотD за кого себя выда?тF Задача аутентификации состоит в томD чтобы убедить собеседника в собственной личностиF Наиболее распростран?нной криптографической задачей является пересылка секретных данныхF Основных действующих лицD участвующих в обмене информациейD принято называть по именамX обычно в книгах и статьях по криптографии передающую сторону называют АлисойD принимающую сторону " БобомD а подслушивателяD стремящегося перехватить сообщение и получить секретную информацию " ЕвойF В итоге задача Алисы состоит в передаче сообщения Бобу таким образомD чтобы Ева @предпринимающая определ?нный набор отвед?нных

криптографическим протоколом Протокол распределения ключей

Протокол подписания контракта

Протокол аутентификации

IP


ей действийA не могла получить достаточно информации об исходном тексте сообщенияF В каждом конкретном случае могут допускаться разные наборы возможных действий ЕвыD так как возможности преполагаемых перехватчиков различныX это могут быть как хулиганыD так и мощные государственные структурыF

1.2 Симметричные шифры
Все рассмотренные в первом разделе способы шифрования использовали некоторый ключD который @при знании алгоритмаA нужно было также знать для расшифровки сообщенияX это диаметр сциталы в первом случаеD величина сдвига при применении шифра Цезаря и таблица значений при использовании общего шифра заменыF Легко видетьD что в каждом из этих случаев для зашифрования и расшифрования данных использовался один и тот же ключF МетодыD обладающие этим важным свойствомD носят название F В этом разделе будут рассмотрены теоретические основы симметричных криптографических системD а также будет дана схема обоснования полной секретности одноразового блокнота " единственного полностью секретного шифраD важным частным случаем которого является шифр Вернама ITF

симметричных шифров

Стойкость симметричного шифрования
ИтакD главным свойством симметричных шифров является тоD что в них используется один и тот же ключ k для зашифрования и расшифрования сообщенияF Это можно обозначить как

C = Ek (m),
IQ

m = Dk (C ),


где E и D " соответственно шифрующая и расшифровывающая функцииD m " исходный текст сообщенияD а C " шифротекстF Дадим теоретическое обоснование стойкости одной из наиболее важным систем симметричного шифрования " одноразового ключаEблокнотаF Введ?м обозначенияX

P " множество всевозможных открытых текстов P D C " множество шифротекстов C D K " множество ключей K F
На каждом из привед?нных множеств введена вероятность выбора соответствующего элементаF ОчевидноD что для возможности однозначного расшифрования сообщения P требуется инъективность шифрующей функцииD а из этого следуетD что множество C должно содержать не меньше элементовD чем PF Будем обозначать это как |C| |P|F Также целесообразно считатьD что p(P = m, K = k ) = p(P = m)p(K = k )X выбор ключа не должен зависеть от передаваемого сообщенияF При вскрытии шифра Ева стоит перед задачей нахождения исходного текста сообщения m по его шифротексту cF Е? вероятность узнать его равна

p(P = m|C = c) =

p(P = m)p(C = c|P = m) . p ( C = c)

@IFIA

абсолютной стойкости криптосистемы
IR

Цель легитимных пользователей состоит в томD чтобы шифротекст давал как можно меньше информации об исходном сообщенииD то есть подобная условная вероятность должна быть как можно ближе к вероятности p(P = m)F Таким образомD мы приходим к определению X


Криптосистема называется абсолютно стойкой, если для всех открытых текстов m P и для всех шифрограмм c C выполняется
Определение 1
p(P = m|C = c) = p(P = m).
@IFPA Из формулы @IFIA очевидноD что @IFPA в определении эквивалентно

p(C = c|P = m) = p(C = c).
Наиболее важный результатD относящийся к симметричным криптосистемам " это теорема Шеннона @IWRW гFAD дающая критерии абсолютно стойкой системы PIX

Теорема 1

Симметричная система, заданная набором
(P, C, K, Ek (ћ), Dk (ћ)),

где |P| = |C| = |K|, является абсолютно стойкой тогда и только тогда, когда выполнены два условия: 1. Вероятности использования всех ключей равны:
p(K = k ) = 1/|K|, k K

2. Для каждой пары сообщения m P и шифротекста c C существует только один ключ k такой, что EK (m) = c.
Одноразовый шифр-блокнот
Теорема Шеннона да?т требования к шифруD которые более неформальным образом можно записать такX для абсолютной стойкости шифра необходимо и достаточноD чтобы ключ полностью случайно выбирался IS


из множестваD мощность которого равна мощности множества открытых текстовD и использовался лишь однократно для пересылки каждого сообщенияF Подробнее эти принципы можно проиллюстрировать на примере ITD который был предложен в IWIU гF @то есть до формулировки теоремы ШеннонаAF Шифр Вернама работает такX передаваемое сообщение записывается в двоичном форматеD а затем берется полностью случайный ключ такой же длиныD и Алиса производит операцию побитового сложения сообщения и ключаF БобD зная ключD производит на своей стороне побитовое сложение ещ? разD получая в точности исходное сообщениеF После выполнения этих операций ключ переста?т использоватьсяD что объясняет другое называние шифра Вернама " F Следствием абсолютной стойкости шифра Вернама является тоD что ранее рассмотренная задача генерации ключей может использоваться для секретной пересылки данныхD так как обладая достаточным запасом случайных ключей Алиса и Боб могут воспользоваться этим шифром для распространения информацииF Таким образомD одной из важнейших криптографических задач становится генерация секретных ключей у легитимных пользователейD и как показывает опытD эта задача оказывается весьма непростойF

шифра Вернама

блокнот

одноразовый шифр-

Использование генераторов

псевдослучайных

Развитие технологий послушивания делает задачу распредления ключей сложной и дорогостоящейD поэтому вста?т вопрос о томD насколько секретной IT


может считаться криптографическая системаD более ?экономно? использующая секретные ключиF Поскольку подобные системы не соответствуют требованиям теоремы ШеннонаD их нельзя назвать абсолютно стойкимиD и требуются новые методы для оценки степени их защищ?нностиF Не вдаваясь в подробностиD дадим описание этих методовF ЗаметимD что при атаке на шифр Вернама у Евы есть два основных типа действийX попытка угадать ключ @не требует большого времениD но имеет мало шансов дать успешный результатA и перебор всех его возможных вариатов @всегда да?т верный ответD но может требовать очень большого времениAF Оценка стойкости криптографических протоколов подразумевает получение соотношения на шансы Евы подобрать ключ в зависимости от доступного ей времениX хорош тот протоколD при котором ЕваD даже потратив значительное время на подбор ключаD имеет мало шансов узнать егоF Один из способов передачи секретной информации с помощью секретного ключа меньшего размера подразумевает использование " алгоритмовD которые по заданному ключу k длины l строят последовательность символов большей длины p(l)D по которой ?сложно? вычислить исходный ключ k F В этом случае полученная последовательность оказывается близка к случайнойD отсюда и названиеF ?Сложность? задачи означает тоD что время е? гарантированного выполнения экспоненциально зависит от длины входных параметровD в то время как для ?простых? задач эта зависимость полиномиальнаF Если Алиса и Боб используют один и тот же псевдослучайный генераторD то они могут из исходного ключа построить ключ большей длиныD практически не нарушив его

генераторов

псевдослучайных

IU


секретностьD так как Еве требуется много времениD чтобы узнать исходный ключF Вопрос о существовании псевдослучайных генераторов до сих пор оста?тся открытымD и было показаноD что он тесно связан с нереш?нной проблемой равенства классов сложности P и N P PSD а именноX если P = N P D то псевдослучайных генераторов не существует @то есть найдутся ?быстрые? алгоритмы получения исходного ключа по сгенерированной последовательностиAD в противном же случае ничего об их существовании сказать нельзяD то есть возможноD что при P = N P псевдослучайных генераторов нетF Это значитD что существование псевдослучайных генераторов является более сильным утверждениемD чем P = N P F Таким образомD стойкость симметричных криптографических протоколовD использующих псевдослучайные генераторыD основывается на недоказанном утвержденииD которое оказывается неверным в случае P = N P D что означает немалую угрозу их над?жностиF ОтметимD однакоD что по мнению большинства современных математиков классы сложности P и N P не совпадаютF

1.3 Криптографические системы с открытым ключом
Большим неудобствомD связанным с использованием симметричных криптографических протоколовD оказывается необходимость наличия секретного ключа между каждой парой обменивающихся информацией абонентовF ТакD если имеется группа из n человекD внутри которой требуется обеспечить возможность пересылки секретных сообщений @защищ?нных в том IV


числе и от других абонентов группыAD то для решения подобной задачи требуется (n - 1)! ключей " числоD слишком большое для практического примененияF В то же время описанная ситуация встречается очень частоD особенно с появлением ИнтернетаD в котором число взаимодействующих друг с другом пользоватеелй очень великоF Долгое время считалосьD что подобная задача не может быть эффективно решенаD однако в IWUT году вышла статья ?Новые направления в криптографии? Диффи и Хеллмана SD в которой была описана технология шифрованияD прекрасно подходящая именно для ситуацийD подобных описанной вышеF

Односторонние функции
Основным понятием статьи Диффи и Хеллмана стали D которые неформально можно описать такX для каждой односторонней функции F (x) существует полиномиальный алгоритм е? вычисленияD но в то же время не существует полиномиального алгоритма е? инвертированияD то есть решения уравнения F (x) = y при известном y F С односторонними функциями также тесно связано понятие FK (x)X такой функцииD которую легко вычислить при любых значениях K и xD но возможности инвертирования которой существенно зависят от знания K X при известном K функцию можно инвертировать за полиномиальное вермяD в то время как если K неизвестноD то полиномиального алгоритма инвертирования FK (x) не существуетF ОпишемD как происходит пересылка сообщения с использованием функций с секретомF АлисаD чтобы дать другим возможность отправлять ей шифрованные сообщенияD выбирает функцию с секретом FK (x) и открыто объявляет е?D оставляя в тайне секрет K F

односторонние функции

функции с секретом

IW


БобD чтобы послать Алисе сообщение xD вычисляет за полиномиальное время FK (x) и открыто переда?т результат АлисеF Так как АлисаD зная K D может легко инвертировать результатD она без труда сможет прочитать исходное сообщениеF В то же время если результат попад?т ЕвеD она при достаточной его длине не сможет инвертировать функцию FK (x) за разумное времяD поэтому не получит никакой полезной информацииF Таким образомD для пересылки секретной информации уже нет надобности генерировать специальный секретный ключ непосредственно между Алисой и БобомD поэтому схема с открытым ключом прекрасно подходит для обмена информацией между большим количеством пользователейX каждому из них теперь достаточно иметь два ключаX открытыйD который объявляется всем для возможности шифровать информациюD и секретныйD который держится в секрете и используется для расшифровки приходящих сообщенийF Как и в случае использования псевдослучайных генераторов в симметричных криптосистемахD до сих пор открытым оста?тся вопрос о существовании односторонних функций и функций с секретомF Более тогоD оказываетсяD что эти два вопроса эквивалентныX односторонние функции @а вместе с ними и функции с секретомA существут в том и только том случаеD когда существуют псевдослучайные генераторыPSD поэтому криптосистемы с открытым ключом также нельзя считать гарантированно над?жнымиF

Алгоритм RSA
Наиболее известной функцией с секретом является произведение двух простых чиселX действительноD легко перемножить два даже очень больших числа ?в столбик? PH


и несложно разделить число на один из его сомножителейD чтобы получить другойF В то же время до сих пор не было найдено алгоритмаD достаточно быстро раскладывающего произвольное составное число на два сомножителяD хотя ввиду большой важности этой задачи над ней десятилетиями работает большое количество исследователейF Алгоритм eIHD самый распростран?нный алгоритм шифрования с открытым ключомD основан на так называемой ?задаче e?D которая эквивалентна задаче факторизации в том смыслеD что при решении одной из этих задач можно быстро @за полиномиальное времяA решить вторуюF Поскольку задача факторизации выглядит более нагляднойD принято считатьD что алгоритм e сводится именно к нейF Опишем схему алгоритма eF Сначала Алиса выбирает два больших простых числа p и q и вычисляет их произведение N F Затем она выбирает число E D удовлетовряющее соотношению

(E , (p - 1)(q - 1)) = 1.
Алиса объявляет всем желающим пару (N , E )D которая и является открытым ключомF Далее Алиса вычисляет число dD называемое секретной экспонентой и удовлетворяющее условию

E ћ d = 1(mod(p - 1)(q - 1)).

@IFQA

Секретным ключом Алисы является тройка (p, q , d)F Если Боб хочет послать зашифрованное сообщение АлисеD то он должен представить его в виде числа mD меньшего объявленного Алисой N F Далее Боб получает шифротект по формуле

C = mE (modN ).
PI

@IFRA


Алиса после получения шифрограммы может легко е? расшифроватьD воспользовавшись числом dX

m = C d (modN ).

@IFSA

ДействительноD из простоты p и q следуетD что функция Эйлера (N ) = (p - 1)(q - 1) и по теореме Эйлера

x

(p-1)(q -1)

= 1(modN ).

ДалееD из @IFQA следуетD что для некоторого s

E d = 1 + s(p - 1)(q - 1),
откуда окончательно получаемD что

C d = mE d = m1+s

(p-1)(q -1)

= m ћ ms

(p-1)(q -1)

= m(modN ).

ЗадачаD используемая в этом алгоритмеD носит название задачи eX по заданным числам C и E D последнее из которых удовлетовряет

(E , (p - 1)(q - 1)) = 1
для некоторых простых p и q D требуется найти число mD удовлетворяющее соотношению

mE = C (modpq ).
Как уже было сказаноD эта задача эквивалентна задаче разложения числа N = pq на простые сомножителиF

Возможность компьютера

создания

квантового

ИзEза чрезвычайно широкой распростран?нности алгоритма e одним из важнейших предположений PP


криптографии является сложность задачи факторизации больших чиселF И действительноD до настоящего времени не было найдено алгоритмаD достаточно быстро решающего эту задачуF Однако в IWWR гF ШоромIR был предложен алгоритмD с полиномиальной сложностью решающий эту задачу на квантовом компьютереF Главная причина подобного феноменального ускорения " в возможности использования так называемого ?квантового параллелизма? для проведения быстрого преобразования ФурьеD на котором основаны наиболее эффективные из известных алгоритмов факторизацииF Нахождение этого алгоритма позволяет свести задачу факторизации к технологической задаче построения квантового компьютераX если его удастся построитьD схема шифрования e окажется ненад?жнойF Это ставит возможности шифрования с открытым ключом под большую угрозуF СтоитD однакоD отметитьD что за последнее десятилетие не было достигнуто существенного прогресса в построении квантового компьютераF Далее в этой работе будет показаноD как использование свойств квантовой информации может не только нарушить секретность алгоритма eD но и предоставить новые возможности для секретной передачи данныхF Как будет ясно из дальнейшего изложенияD протоколы квантового распределения ключей позволяют на приемлемой скорости генерировать полностью секретные ключи между удал?нными абонентамиF

PQ


Глава 2 Основные понятия квантовой теории информации
Квантовая теория информации лежит на стыке двух наиболее значительных теорий векаX квантовой механики и теории информацииF Она имеет дело с квановомеханическими состояниями и рассматривает их способность участвовать в переносе и обработке информацииF Эта наука появилась в THEе ггF вFD во времена бурного развития вычислительной техникиD как следствие тогоD что при постоянном уменьшении размеров вычислительных устройств со временем неизбежно возникнет необходимость использовать одиночные квантовые состояния в качестве информационного ресурсаF В то время подобная перспектива означала новые сложностиD в перую очередь сильное влияние квантового шумаD который считался однозначно разрушающим факторомF Однако при более подробном изучении этого явления выяснилосьD что квантовый шум может и оказывать существенную помощь при PR


передаче и обработке информацииX такD явление квантового ?размазывания? частицы по нескольним точкам пространства обладает свойством интерференцииD способном в ряде случаев принести большую пользуF Квантовая теория информации как новая наука работает с квантовыми явлениямиD устанавливает их свойства и изучает применяющие их технологииF ОказываетсяD что в частности применение квантовых состояний способно вывести скорость вычислений на новый уровень благодаря идее квантового компьютераD а также гарантировать абсолютную секретность распространения ключей в квантовой криптографииF В этой главе будут рассмотрены основные понятия и факты квантовой теории информацииD которые будут использоваться при изложении свойств протоколов квантовой криптографии в дальнейшемF

2.1 Квантовые состояния
При проведении первых опытов над элементарыми частицами было обнаруженоD что их поведение очень сложно увязать с имевшимися на тот момент представлениями о физических явленияхF Это привело к томуD что после формулировки новых законовD описывающих поведение элементарных частицD эту часть физики стали называть квантовой теориейD а сложившуюся на тот момент физическую картину мира " классическойF

Волновая функция и чистые состояния
Существенных отличий квантовой теории от классической несколькоD и одно из главных таких отличий проявляется PS


уже в самом определении квантовой частицы и е? состоянияF Представление о такой частице как о некотором телеD имеющем определенные координатыD размеры и массуD оказалось в корне невернымD так как для некоторых таких частиц не удавалось даже в принципе понятьD в какой точке пространства они находятсяF Зато оказалось возможным предсказывать поведение таких частицF Однако трудность заключалась в томD что объяснить это поведение удалось лишь после окончательного отказа от попыток вычислить в точности все ?традиционные? физические характеристики системыF Это привело к томуD что состояние всякой элементарной частицы @или системы частицD если их несколькоA стало представляться с помощью так называемой ?волновой функции? " принципиально нового объекта квантовой картины мираF Введем сначала понятие F Таким состоянием будем называть вектор в гильбертовом пространстве H с единичной нормойF Под нормой вектора понимается корень из его скалярного квадратаX = ( , ), H

состояния

чистого квантового

В рамках данной работы будут рассматриваться только конечномерные гильбертовы пространстваD и из их свойств наиболее важным будет наличие скалярного произведенияF ТакD для вектора свойство единичной нормы можно аналогично записать как = 1F Легко связать приведенное определение с традиционным формализмом волновых функцийX каждой волновой функции соответствует вектор D iEя координата которого i равна амплитуде вероятности обнаружения частицы в iEй точке пространстваF Таким образомD становится важной задача нахождения пространстваD наилучшим образом соответствующего условиям задачиF PT


Требование нормировки состояния говорит о томD что полная вероятность обнаружения частицы равна единицеF В квантовой теории информации для состояний и операторов принято использовать обозначенияD введенные ДиракомF Состояние будем обозначать как | D а сопряженное состояние D используемое в скалярном произведенииD как |F Тогда скалярное произведение векторов и записывается как | F Для каждого чистого квантового состояния | можно определить соответствующий ему оператор = | |D называемый оператором плотностиF Этот оператор имеет ранг ID его след равен единице и он действует как проектор на чистое состояние | F

Смешанные состояния
С помощью операторов плотности вводится общее понятие квантового состоянияF называется статистическая смесь нескольких чистых состояний @то есть набор чистых состояний с соответствующими вероятностямиAX

состоянием
=

Смешанным квантовым

pi |i i |,
i

pi 0 i,
i

pi = 1.

ОчевидноD что след смешанного состояния равен единицеF Его положительную определенность также несложно показатьX

|| =
i

pi | | |2 0 | H.

ДалееD любой эрмитов оператор AD как известноD имеет спекральное разложение

A=
i

i |i i |,
PU


где собственные значения i вещественныD а собственные векторы |i нормированы и ортогональныF Это означаетD что любой положительный эрмитов оператор с единичным следом можно назвать оператором плотности некоторого квантового состоянияX из положительной определенности следует положительность всех собственных значений @которые трактуются как вероятностные весаAD а из условия единичного следа " тоD что сумма собственных значений равна единицеD а значитD подобная их комбинация может трактоваться как статистическая смесьF Это приводит к общему определению квантового состоянияX

Квантовое состояние положительный эрмитов оператор в гильбертом пространстве H с единичным следом.
Определение 2
Квантовые состояния образуют выпуклое множество в пространстве операторов над HF Множество квантовых состояний принято обозначать S (H)F Крайними точками этого множества являются чистые квантовые состоянияD описывающиеся операторами ранга IF

Изменение состояний во времени
Одним из ключевых законов квантовой механики является уравнение Шр?дингераD которое описывает изменение квантовых состояний во времениF В традиционных курсах квантовой механики это уравнение записывается как

i

d| = H | , dt

@PFIA

где " постоянная ПланкаD определяемая из эксперимента и равная приблизительно 1, 054 Ч 10-34 ћ F PV


Эрмитов оператор H называется гамильтонианом системы и именно он оказывает влияние на е? эволюциюF В силу соответствия между эрмитовыми и унитарными операторамиPH U = eiH уравнение Шр?дингера может быть переписано в виде

| = U | .

@PFPA

Для дальнейших выкладок именно такой вид уравнения Шр?дингера оказывается наиболее удобнымD так как он означаетD что любая эволюция квантовой системы может быть представлена как действие некоторого унитарного преобразованияF НапомнимD что унитарным оператором называется операторD удовлетворяющий условию

U U = U U = I .

Кубиты
Простейшим примером нетривиального квантового объекта является система с двумя базисными состояниямиF Физическими примерами подобных систем могут быть фотоны с соответствующими направлениями поляризации @вертикальной | и горизонтальной | A или направления спина электрона @вверх | и вниз | AF В этом случае соответствующее гильбертово пространство будет двумернымD и его принято обозначать H2 F ОбычноD если не важна конкретная физическая природа двухуровневой системыD е? состояния обозначают как |0 и |1 F По аналогии с классическим битом такую систему называют D что означает ?квантовй бит?F

кубитом

PW


Произвольное чистое состояние кубита можно записать как | = cos |0 + sin |1 , ранг же оператора плотности может быть равен 1 @для чистого состояния | |A или 2 " для 2 смешанного состоянияD которое в случае H всегда может быть представлено как статистическая смесь двух ортогональных чистых состоянийX

= p| | + (1 - p)|



|.

2.2 Измерения
Именно процедура измерений квантовых состояний отличает квантовый случай проведения опытов от классического и дает возможность применения квантовой криптографииF Важнейшим отличием квантовой механики от классической является тоD что в общем случае F

измерение квантовой системы меняет е? исходное состояние
Квантовые наблюдаемые

Рассмотрим сначала общие принципы проведения экспериментов над некоторой физической системойF В любом эксперименте можно выделить две его стадииX приготовление состояния и его измерение M F Измерение не обязано давать точно предсказуемый результатD в общем случае результат измерения " это статистический набор исходов {x} с соответствующими вероятностями ч (x)F Естественно требоватьD чтобы для статистических ансамблей нескольких квантовых состояний результаты их наблюдения также были статистическими смесями QH


результатов наблюдения соответствующих отдельных состояний ансамбляF Такое требование называется требованием аффинностиX

чS (x) =
i

pi чi (x),

=
i

pi i .
достаточно

@PFQA для

Этого требования оказывается следующего утверждения PQX

Пусть ч аффинное отображение множества квантовых состояний S (H) в вероятностные распределения на конечном множестве X . Тогда существует семейство эрмитовых операторов {Mx } в H, такое, что
Теорема 2
Mx 0,
xX

Mx = I ,

ч (x) =

Tr

@PFRA

Mx

Эта теорема утверждаетD что измерение квантовой системы можно связать с набором положительных эрмитовых операторовD сумма которых равна единичному операторуF В этом случае вероятность каждого из исходов равна следу произведения состояния и оператораD соответствующего данному исходуF Это приводит к следующему определениюX

Квантовая наблюдаемая со значениями из множества X набор эрмитовых операторов {Mx }xX , таких, что
Определение 3
Mx 0,
xX

Mx = I .

@PFSA

QI


Такой набор операторов называют также F Из приведенной теоремы следуетD что при измерении состояния D описываемом разложением единицы {Mx }D вероятность получить каждый из исходов x равна

единицы

разложением

P r(x|) = rMx ,

@PFTA

а для чистого состояния | в силу свойств следа эта вероятность да?тся более простым выражением

P r(x| ) = |Mx | .

@PFUA

Коллапс волновой функции

Важным законом квантовой механики является или F Это свойство называется также и означает переход состояния после измерения в одно из собственных состояний оператора измеренияF ТакD при измерении {Mi } и получении результата i исходное состояние будет преобразовано в Mi Mi . @PFVA i = rMi

коллапс волновой функции редукцией фон Неймана

редукция,

Это одно из важнейших для квантовой криптографии свойствF Поскольку оно говорит о томD что попытки измерить систему влекут к помехамD из этого следуетD что попытки перехвата информации всегда можно детектировать по дополнительным ошибкам на при?мной сторонеF В дальнейшем будет показаноD как именно происходит обнаружение попыток подслушивания и по их количеству даются оценки возможной утечки информации к перехватчикуF

QP


Невозможность достоверного различения неортогональных состояний
Невозможность достоверного различения неортогональных квантовых состояний PH " важный частный результатD на котором также во многом основывается секретность протоколов квантовой криптографииF Этот результат можно сформулировать такX для чистых состояний |0 и |1 D такихD что 0 |1 = cos = 0D не существует измерения {M0 , M1 }D дававшего точный результатD то есть соответствовавшего условиям

0 |M0 |0 = 1, 0 |M1 |0 = 0,

1 |M0 |1 = 0, 1 |M1 |1 = 1.

@PFWA

Докажем это утверждениеF Рассмотрим представление |1 как линейной комбинации состояния |0 и его нормированного ортогонального дополнения |0 X
|1 = a|0 + b|0 ,

|a|2 + |b|2 = 1.

Поскольку |0 и |1 неортогональныD то 0 < |a|, |b| < 1F Из условий на операторы измерения @PFWA очевидно следуетD что M1 |0 = 0D а значитD

M1 |1 =

M1 a|0 +

M1 b|0 =

M1 b|0 ,

из чего следуетD что равенство в @PFWA можно записать в виде 1 |M1 |1 = |b|2 0 |M1 |0 |b|2 , а это в силу |b| < 1 противоречит @PFWAF Полученное противоречие доказывает невозможность различения неортогональных состояний " важнейший факт в квантовой теории информацииF QQ


Четкие и нечеткие наблюдаемые
В традционных курсах по квантовой механике под наблюдаемой обычно подразумевают лишь ортогональное разложение единицеD при котором операторы {Mi } удовлетворяют соотношению

Mi Mj = ij Mi .

@PFIHA

Такие наблюдаемые в дальнейшем будем называть PQF В то же время требование взаимной ортогональности всех операторов не является обязательнымD и более тогоD в некоторых случаях с точки зрения получения максимального количества информации выгоднее пользоваться наблюдаемымиD в которых не все операторы ортогональны друг другуF Такие наблюдаемые называются F На первый взгляд неч?ткие наблюдаемые лишь смешивают вероятности разных исходовD а значитD не могут принести дополнительной пользыF Однако это не такF Рассмотрим пример тогоD как неч?ткая наблюдаемая может помочь различить неортогональные состояния | и | X | = cos .

ч?ткими наблюдаемыми

неч?ткими

Одно из принято оноD как {0, 1, ?}F

возможных измерений для такой пары состояний называть ?измерение с тремя исходами?D и видно из названияD использует три результатаX Соответствующие эрмитовы операторы равны

M0 =

I - | | | | = , 1 + cos 1 + cos | | I - | | M1 = = , 1 + cos 1 + cos M? = I - M0 - M1 .
QR

@PFIIA


Нетрудно видетьD что rM0 | | = |M0 | =

| | = 0, 1 + cos

и аналогично rM1 | | = 0F Это значитD что при применении такого измерения нет шансов получить исход 0 при измерении состояния | D а при измерении состояния | аналогичным образом не может получиться исход 1F Это означаетD что подобное измерение позволяет безошибочно различать неортогональные состоянияF Цена этого " некоторая вероятность @равная cos A получить несовместный исход ???D который отвечает уклонению от принятия решенияF Связь между четкими и нечеткими наблюдаемыми становится ясной из теоремы НаймаркаPQX

Пусть {Mi}n=1 разложение единицы в i пространстве H размерности d. Тогда существует пространство H размерности не более nd и ортогональное разложение единицы в н?м {Mi }, а также изометрический оператор V , такой, что выполняется
Теорема 3
Mi = V Mi V
Таким образомD как утверждает приведенная теоремаD всякой нечеткой наблюдаемой можно поставить в соответствие ч?ткую наблюдаемую в расширенном пространствеF

2.3 Составные квантовые системы
Рассмотрение квантовых системD состоящих из нескольких частиц @их называют AD

составными системами

QS


может порой привести к интересным свойствамD не встречающимся в классическом случаеF Ещ? в IWQS году в переписке ЭйнштейнаD Подольского и Розена T были отмечены очень необычные свойства составных квантовых системD противоречащие локальностиX выходилоD что действия над одной из подсистем могут мгновенно оказать влияние на другую подсистемуD каково бы ни было расстояние между нимиF Описание этого свойства привело к возникновению формализма составных квантовых систем и свойств совершаемых над ними действийF

Тензорное произведение
Определим для начала тоD в каком пространстве обитают составные квантовые системыF Рассмотрим сначала наиболее элементарный случай двух кубитовF На интуитивном уровне очевидноD что возможны R варианта их совместного состоянияX

ћ оба кубита в состоянии |0 ћ первый кубит в состоянии |0 D второй " в состоянии |1 ћ первый кубит в состоянии |1 D второй " в состоянии |0 ћ оба кубита в состоянии |1
Именно эти R вектора будут являться базисными в пространстве двух указанных кубитовF Более формально это звучит такF Если есть пространства H1 и H2 с размерностями d1 и d2 и ортонормированными базисами {ei } и {fi }D то можно QT


определить пространство с базисом {ei fj }D где i принимает значения от 1 до d1 D а j " от 1 до d2 F Если ввести на новом пространстве скалярное произведение по закону ei fj |em fn = ei |em ћ fj |fn @PFIPA и продолжить его по линейности на остальные векторыD то в результате получится гильбертово пространствоD которое называется H1 и H2 и обозначается H1 H2 F ОчевидноD что его размерность равна d1 d2 F Тенорное произведение операторов A1 S (H1 ) и A2 S (H2 ) " оператор A1 A2 в пространстве H1 H2 D действующий по закону

тензорным произведением

(A1 A2 )|e1 e

2

= (A1 |e1 ) (A2 |e2 ).

Встает вопрос о томD всякое ли состояние в пространстве H1 H2 можно задать как тензорное произведение состоянийD принадлежащих частичным пространствам H1 и H2 F Ответ на этот вопрос отрицателенD и классическим контрпримером является состояние в пространстве двух кубитов H2 H2 D называемое ЭПР по первым буквам фамилий первооткрывателейTX

|

EP R

1 = (|00 + |11 ) . 2

Легко видетьD что это состояние нельзя представить в виде тензорного произведения одночастичных состоянийX

|E

PR

= (a1 |0 + b1 |1 ) (a2 |0 + b2 |1 ).

QU


Частичный оператор частичные измерения

плотности

и

После определения тензорного произведения операторов плотности возникает потребность определить и обратную операциюD с помощью которой можно было бы по состоянию 1 2 S (H1 H2 ) получить исходные операторы 1 S (H1 ) и 2 S (H2 )F Такая операция естьD она называется взятием и определяется для состояния 12 S (H1 H2 ) следующим образомX

частичного следа

r

H

2

12 =
i,j,k

|e

i

ej | ei fk |12 |ej fk ,
следа по

@PFIQA первому

Аналогично для подпространствуX r
H
1

частичного



12

=
i,j,k

|f

i

fj | ek fi |12 |ek fj ,

где {ei } и {fi } " элементы ортонормированных базисов пространств H1 и H2 соответственноF Нетрудно видетьD что указанная операция действительно является в некотором роде обратной к операции тензорного произведенияD так как r r
H H
2

1 2 = 1 , 1 2 = 2 .

1

Рассмотрим также важный пример применения законов квантовых измерений и составных квантовых системF Это ситуацияD когда квантовое состояние распределено между двумя участниками @или участником и окружениемAD один из которых производит измерение над своей подсистемойF Такое действие называют F

частичным измерением

QV


При измерении одной лишь подсистемы над второй подсистемой не производится активных действийD поэтому в разложении единицыD описывающем общее измерениеD все операторыD соответствующие второй подсистемеD будут тождественнымиF ТакD если первый участник применяет измерение {|0 0|, |1 1|}D то в составной системе это измерение будет выглядеть такX

M0 = |0 0|1 I2 ,

M1 = |1 1|1 I2 .

@PFIRA

ЗамечательноD однакоD что несмотря на тождественные операторы в правой частиD измерение первой подсистемы в общем случае F Это важное слествие из свойства редукции волновой функции будет прояснено в следующем разделеF

влияет на состояние второй подсистемы
ЭПР и

Парадокс измерений сцепленности

явление

Рассмотрим уже встречавшееся выше состояние ЭПР в пространстве двух кубитов

|E

PR

1 = (|00 + |11 ) 2

и посмотримD что произойдетD если провести измерение @PFIRA над первой подсистемойF При выпадении исхода 0 начальное состояние перейдет в M0 |E P R E P R | M0 = |00 00|, E P R |M0 |E P R что соответствует чистому состоянию |00 F Аналогично при получении результата 1 исходное состояние преобразуется в |11 F Это говорит об удивительном QW


фактеX измерение одной лишь части квантового состояния может фиксировать вс? состояние в целомF Указанное свойство имеет место не для произвольных квантовых состоянийD а лишь для их важного классаD называемого @entngled sttesD другой перевод этого термина " ?запутанные состояния?AF Они определяются как состояния в составном пространствеD которые нельзя представить в виде тензорного произведения состояний в каждом из частичных пространствX

сцеленными состояниями



12

= 1 2 .

@PFISA

Для состоянийD не являющихся сцепленными @их называют AD подобное свойство не имеет местаX измерение над одной подсистемой никак не влияет на состояние второйF

разделимыми

Очищение состояний и теорема Шмидта
" важный результатD дающий связь смешанных состояний со сцепленными состояниями в пространствах большей размерностиF

Очищение смешанных квантовых состояний

Для любого смешанного состояния S (H) существует (в общем случае не единственное) чистое состояние | H HE , такое, что
Теорема 4
= T rHE | |.
Для доказательства разложение состояния X
N

@PFITA спектральное

рассмотрим

=
i=1

si |ei ei |
RH


и возьмем пространство HE не меньшей размерностиD чем число N ненулевых членов в приведенном спектральном разложенииF Тогла в HE найд?тся N ортонормированных векторов |fi D и можно рассмотреть в качестве | состояние N | = si |ei |fi ,
i=1

котороеD очевидноD будет удовлетворять требуемому условию @PFITAF Таким образомD смешанные квантовые состояния можно рассматривать как находящиеся в сцепленном состоянии с некоторой вспомогательной системой в дополнительном пространствеF Теорема ШмидтаPQ да?т другой важный результатD касающийся свойств частичных операторов плотности чистых сцепленных состоянийX

Теорема 5

Для любого чистого состояния | H1 H2 его частичные состояния 1 = T rH | | и 2 = T rH | | имеют одинаковый набор ненулевых собственных значений.
2 1

ОтметимD что случай разделимого состояния |1 |2 тривиаленD так как его частичные операторы плотности соотвествуют чистым состояниям |1 и |2 D а значит единственное ненулевое собственное значение каждого из них равно единицеF Для сцепленных же состояний этот результат очень примечателенX поскольку собственные значения оператора плотности связаны с вероятностями получения определ?нных результатов при измерении его в ортогональном базисеD то эта теорема в частности утверждаетD что статистики измерений двух подсистем общего сцепленного состояния совпадаютF RI


Невозможность клонирования
Покажем ещ? один частичный результат из теории составных квантовых системD важный для квантовой криптографииF Выше было показаноD что неортогональные квантовые состояния нельзя достоверно различитьD здесь же будет показаноD что такие состояние нельзя и клонировать " напримерD для тогоD чтобы собрать более полную статистику результатов измеренийF Преобразование U D клонирующее произвольное чистое квантовое состояние | D можно описать такX

U | |A = | | ,

@PFIUA

где |A " исходное состояние вспомогательной системыF Для тогоD чтобы показать невозможность такого преобразованияD достаточно рассмотреть его действие на базисные состояния |0 и |1

U |0 |A = |0 |0 , U |1 |A = |1 |1 ,

@PFIVA

1 а также на состояние 2 (|0 + |1 )F В силу линейности оператора U и привед?нных выше соотношений @PFIVA должно выполняться

1 1 U ( (|0 + |1 )) |A = (|0 |0 + |1 |1 ) 2 2
с другой стороныD по определению U D должно получаться

1 1 U ( (|0 + |1 )) |A = (|0 + |1 ) (|0 + |1 ). 2 2
Полученное противоречие доказывает невозможность клонирования произвольных квантовых состоянийF RP


ОтметимD что клонировать состояния из ортогонального набора можноX для этого достаточноD напримерD измерить их и приготовить состояниеD соответствующее результату измерения " в этом случае он будет безошибочнымF

2.4 Передача информации квантовым каналам

по

При исследовании передачи информации с помощью квантовых состояний возникает ряд вопросовD связанных с характеристиками использующих квантовые объекты каналовF Основной из этих вопросов связан с пропускной способностью таких каналовD то есть с максимальной скоростью безошибочной передачи данныхF

Общий случай состояний
Самый общий случай отображение квантовых квантовых состоянийF расширить на случай гильбертовом пространств

передачи

квантовых

квантового канала " это состояний во множество Такое отображение можно произвольных операторов в е PQX @PFIWA операторов со

: T(H) T(H).
Под T(H) понимается следовой нормойX пространство

T

1

= r|T |,

|T | =

T T , T T(H).

Подобный подход автоматически да?т два требованияD связанных с темD что оператор плотности должен переходить в оператор плотностиX RQ


ћ положительные операторы должны переходить в положительныеY ћ должен сохраняться след оператораF
Также естественно требовать аффинность отображения X статистические ансамбли состояний должны переходить также в статистические ансамбли их образовD то есть для набора вероятностей {pi }

[
i

pi i ] =
i

pi [i ],

pi 0,
i

pi = 1.

@PFPHA

Более формальноD требования к отображению на пространстве T(H) операторов в гильбертовом пространстве таковыX

ћ линейностьX [

i ci i

]=

i

pi [i ],

ci CY

ћ положительностьX 0 [] 0Y ћ сохранение следаX r[] = rF
Для каждого отображения D действующего на множестве квантовых состояний и соответствующего картине Шр?дингераD определяется сопряженное отображение D соответствующее картине ГейзенбергаD и действующее на множестве M квантовых наблюдаемыхF Эти отображения связаны соотношением r[]M = r [M ]. @PFPIA

Сопряженное отображение действует на пространстве B(H) операторов с операторной нормой

B=B



= max
: =1

B

.

При подобном определении сопряженное отображение должно обладать следущими свойствамиX RR


ћ линейностьY ћ положительностьX M 0 [M ] 0Y ћ сохранение единицы @унитальностьAX [I ] = I F

Определение квантового канала
Помимо перечисленных выше требований к прямому и сопряженному отображениям добавляется ещ? одно важное требование PQX

Отображение называется вполне положительным, если Im 0, где Im тождественный оператор в m-мерном гильбертовом пространстве.
Определение 4
Это требование оказывается важным для канала с физической точки зренияD и его смысл станет ясен в дальнейшемF Свойство вполне положительности позволяет сформулировать важный частный случай более общей теоремы СтайнспрингаPQX

Для любого вполне положительного унитального отображения : B(H2) B(H1) существует гильбертово пространство H0 и изометрический оператор V : H1 H2 H0, такие что
Теорема 6
[M ] = V (M I0 )V , M B(H2 ),
@PFPPA

и двойственным образом для отображения : [] = TrH V V , T(H1 ).
0

@PFPQA

RS


В дальнейшем нас будет интересовать не столько сама теорема СтайнспрингаD сколько два е? важных следствияF Первое из нихD представление КраусаPQD да?т формулы для записи всякого вполне положительного отображенияX

Унитальное отображение вполне положительно тогда и только тогда, когда оно может быть представлено в виде
Теорема 7
[M ] =
i

Vi M Vi ,

M B(H2 ),

@PFPRA

и двойственным образом
[] =
i

Vi Vi ,

T(H1 ),

@PFPSA

где
i

Vi Vi = I .

Второе следствие утверждаетD что свойство вполне положительности позволяет рассматривать квантовый канал как совместную обратимую эволюцию исходной системы и окруженияPQX

Теорема 8 Всякое вполне положительное сохраняющее след отображение , действующее на пространстве H, может быть расширено до унитарной эволюции системы, взаимодействующей с окружением H0: [] = TrH U ( 0 )U @PFPTA
0

Таким образомD с уч?том указанной физической интерпретации общее определение квантового канала в пространстве состояний таковоX RT


Каналом в пространстве состояний называется линейное вполне положительное сохраняющее след отображение .
Определение 5
Схожим образом да?тся определение квантового канала в пространстве наблюдаемыхD соотвествующее картине ГейзенбергаX

Каналом в пространстве наблюдаемых называется линейное вполне положительное унитальное отображение .
Определение 6
Примеры каналов
Рассмотрим несколько примеров квантовых каналовD которые прояснят введ?нные ранее определенияF

Канал квантовым (c-q), если
Определение 7
[] =



называется классическиi ei ||ei ,
@PFPUA

i

где {i} состояния в ортонормированный базис в H1.

H

2

,а

{|ei }



Этот канал можно интерпретировать как преобразование классических распределений вероятностей pi = ei ||ei во множество квантовых k состояний [] = " i pi i D либо в случае pi = ki k как преобразование входного алфавита pi в квантовые состояния k F Чтобы построить представление Крауса для такого каналаD рассмотрим сначала отображение |ei ei | |i i | элементов ортонормированного базиса RU


во множество чистых квантовых состоянийF Легко видетьD что в представлении Крауса этому отображению соответствует набор операторов Vi = |i ei |D для которого выполняется требование

Vi Vi =
i i

|e

i

i |i ei | =
i

|ei ei | = I .

Если же теперь рассмотреть отображение |ei ei | i во множество произвольных операторов плотностиD то для каждого из них можно записать спектральное разложение

i =
j

sij |

ij

ij |

и построить аналогичным образом набор операторов Vij = sij |ij ei |F Нетрудно проверить действие такого набора на базисных векторах
Vij |ei ei |Vij = ij j Vij |ei ei |Vij =

=
j

sij |ij ei |ei ei |ei ij | =

i

и условие суммирования в единицу
Vij Vij = ij ij

sij |e

i

ei | =
i

|e

i

ei | = I ,

из чего следует соответствие {Vij } операторам представления Крауса для указанного EqEканала |ei ei | i F

Канал классическим (q-c), если
Определение 8
[] =
i



называется квантовоTrM
i

|ei ei |
RV

,

@PFPVA


где {Mi} наблюдаемая в ортонормированный базис в H2.

H

1

,а

{|ei }



КвантовоEклассические каналы играют рольD обратную роли EqEканаловX они переводят квантовое состояние в классическое распределение вероятностейD которое можно представить в виде диагонального оператора плотности = i si |ei ei |D соответствующего измерению наблюдаемой {Mi }D так как si = rMi F Для построения представления Крауса такого канала запишем спектральное разложение каждого оператора в {Mi }X Mi = mij |чij чij |,
j

и по аналогии с предыдущим примером возьм?м набор операторов Vij = mij |ei чij |F ТогдаD так как rMi = j mij чij ||чij D то
Vij |Vij = ij ij

mij |ei чij ||muij ei | = |e ei |rMi = [],

=
i

i

и по свойству суммирования в единицу наблюдаемых также выполняется
Vij Vij = ij ij

mij |ч

ij

чij | = I .

Канал деполяризующим, если
Определение 9

: S (H ) S (H ) p I. dim H

называется
@PFPWA

[] = (1 - p) +

RW


Такой канал с вероятностью 1 - p оставляет состояние без измененияD а с вероятностью p стирает всю информацию в н?мD превращая исходное состояние в хаотическоеF При p = 1 такой канал называется F Полностью деполяризующий канал соответстует E qEканалуD на выходе которого все состояния i равны I D а для такого канала представление Крауса уже dim H было полученоF В то же время тождественный канал соответствует тривиальному случаю с единственным оператором V0 = I в представлении КраусаF Пользуясь этимD легко построить представление Крауса для деполяризующего каналаF

полностью деполяризующим

Пропускная способность квантового канала

классически-

Простейшая модель квантового каналаD которая и будет далее рассматриваться в этой работе " это классическиE квантовый @EqA каналF ОнD напомнимD состоит из входного алфавита {x} и его отображения x x во множество квантовых состоянийF Важен вопрос о скорости передачи классической информации с использованием подобного каналаF Для е? исследования следует сначала формализовать процедуру передачи данныхF В случае канала без памяти каждое передаваемое слово исходного алфавита преобразуется в состояниеD являющееся тензорным произведением соответствующих состояний на выходе PQX

w = {x1 , ..., xn } w =

x1

...

x

n

S (H

n

).

При?мник на выходе канала производит измерение (n) наблюдаемой M = {Mi } в пространстве Hn F Произведя SH


Кодом (W, M ) размера N для c-qканала называется набор N кодовых слов W = {w(i) }, i = 1, ..., N длины n и правило декодирования, задаваемое наблюдаемой M = {Mi, i = 0, 1, ..., N } в Hn
Определение 10

измерениеD при?мник сообщает о принятом решенииF ОтметимD что в классическом случае место квантовой наблюдаемой занимает классический приемник и процедура принятия решения на основании результатов измеренияF Таким образомD должным образом выбранная квантовая наблюдаемая соотвествтует сразу двум элементам классической схемыF Подобная схема передачи информации приводит к следующему определениюX

В этом определении исход 0 означает уклонение от принятия решенияF Вероятность ошибки на каждом кодовом слове " это вероятность получить исход j при посланном сигнале i = j F Она равна

p

WM

(j |i) = r

w ( i)

Mj .

@PFQHA

Так как вероятность принятия верного решения при посланном сигнале i равна pW M (i|i)D можно определить среднюю ошибку кода

1 Pe (W, M ) = N

N

[1 - p
i=1

WM

(i|i)],

@PFQIA

а также среднюю ошибкуD минимизированную по всем кодам размера N с длиной кодовых слов nX

pe (n, N ) = min Pe (W, M ).
W,M

@PFQPA

ДалееD пропускная способность канала определяется как точная верхняя грань скоростейD при которых возможна асимптотически безошибочная передача данных PQX SI


Величина C называется классической пропускной способностью c-q-канала x x, если выполнены следующие условия: ћ limn pe (n, 2nR ) = 0, если R C , ћ limn pe (n, 2nR ) = 0, если R > C .
Определение 11
При рассмотрении пропускной способности EqE каналов потребуется ввести понятие энтропии фон НейманаD которая является квантовым аналогом энтропии ШеннонаD введ?нной для классических распределений вероятностейF Для оператора плотности со спектральным разложением i si |ei ei | эта величина определяется как

H () = -
i

si log si .

@значение 0 log 0 для нулевых собственных значений принимается в этом определении равным нулюFA Введ?нное понятие энтропии фон Неймана позволяет сформулировать квантовую теорему кодированияPQX

Теорема 9

равна

Пропускная способность c-q-канала
C = max ( , {x }), }


x

x

где = {x состояний, а

априорное распределение квантовых
x
x x

( , {x }) = H

-
x

x H (x ).

@PFQQA

Величина ( , {x })D введ?нная АFСF Холево в IWUQ гFPRD очень важна для оценок информацииD которую SP


можно получить из набора квантовых состоянийF Е? называют величиной ХолевоD или EэнтропиейF Важной особенностью передачи информации по квантовым каналам является свойство супераддитивностиD которое заключается в следующемF Рассмотрим код размера N с длиной кодового слова nF Как уже было отмеченоD на его вход могут быть поданы N различных сигналовD которые могут быть декодированы N + 1 различными способамиD N из которых соответствуют принятию определ?нного решенияF Это да?т возможность рассматривать классический канал с набором переходных вероятностей pn (j |i), i, j = 1, ..., N F Пропускную способность такого канала будем обозначать как Cn F Явление супераддитивности заключается в выполнении неравенства

Cn > nC1 .
Это свойство может выполняться уже в случае кодированияD состоящего из кодовых слов длины PX C2 > 2C1 F Можно определить величину

C



= lim

n

Cn . n

@PFQRA

Квантовая теорема кодированияD таким образомD утверждаетD что C = C F Важным частным случаем применения квантовой теоремы кодирования является EqEканалD на выходе которого имеются два состояния 0 и 1 F В этом случае максимум пропускной способности достигается при их равномерном распределении 0 = 1 = 1/2 и равен

C=H

1 1 (0 + 1 ) - (H (0 ) + H (1 )). 2 2
SQ

@PFQSA


2.5 Квантовые коды коррекции ошибок
Классические коды коррекции ошибок используются для безошибочной передачи данных по каналам с помехамиF ТакD если в канале допустима помеха в одном произвольном битеD то простейшим кодом для безошибочной передачи данных будет код с повторениемX вместо сигнала 0 будем посылать 000D а вместо 1 " 111F На приемной стороне для принятия решения о переданном сигнале принимается решение по близости в метрике ХеммингаX сигналD содержащий два или три нуля @000D 001D 010D 100A трактуется как 0D сигнал же с двумя или тремя единицами " как единицаF Указанный подход невозможен для применения в квантовом случаеF Первое же препятствие этому " запрет на клонирование квантовых состоянийD из которого следует невозможность преобразования U : | | D необходимого для использования кода с повторениемF К счастьюD подобный запрет можно обойти благодаря использованию специфических квантовых эффектовF

Коды, исправляющие кубите

ошибку

в

одном

Отличия квантового случая восстановления информации от классического видны уже при описании ошибкиX если в классическом случае единственным вариантом ошибки является смена бита 0 1D то в квантовом случае возможные ошибки образуют непрерывное множествоF Простейшим примером чисто квантовой ошибки является фазовая ошибкаX |0 |0 , SR


|1 -|1 .
Обратим вниманиеD что если битовая ошибка меняет местами состояния из множества {|0 , |1 }D то фазовая ошибка оставляет такие состояния нетронутыми @за исключением несущественной общей фазыAD но меняет 1 1 местами состояния в наборе { 2 (|0 + |1 ), 2 (|0 - |1 )}D устойчивом к битовым ошибкамF ЗаметимD что произвольное кубитовое состояние = |0 + |1 можно обезопасить от битовой ошибки с помощью следующего кода @запрета на клонирование состояний нетAX

ортогональных

|0 |000 , |1 |111 .
ПокажемD как это происходитF На выходе канала можно произвести измерение

M0 M1 M2 M3

= = = =

|000 |100 |010 |001

000| 100| 010| 001|

+ + + +

|111 |011 |101 |110

111|, 011|, 101|, 110|.

@PFQTA

Нетрудно видетьD что такое измерение не меняет исходного состоянияD и что при отсутствии ошибки выпадет результат M0 D а при ошибке в iEй позиции " результат Mi F Результат такого измерения называют F ТогдаD знаяD в какой позиции произошла ошибкаD можно произвести корректирующее преобразование Ki D заключающееся в инверсии iEго кубитаF В результате на выходе окажется исходное состояниеF Также несложно показатьD что исправить произвольную фазовую ошибку можно применением

ошибки

синдромом

SS


указанного выше кода к состоянию H | D где H оператор АдамараX

"

1 H |0 = (|0 + |1 ), 2 1 H |1 = (|0 - |1 ). 2

@PFQUA

Опишем теперь принцип действия кода ШораIQD способного исправить квантовую ошибку в одном кубитеF При таком кодировании каждый кубит кодируется кодомD исправляющим битовую ошибкуD а затем каждый получившийся кубит " кодом исправиления фазовой ошибкиF В результате получается девятикубитовый код с кодовыми словами

любую

1 |0S = [(|000 + |111 )(|000 + |111 )(|000 + |111 )] , 22 1 |1S = [(|000 - |111 )(|000 - |111 )(|000 - |111 )] . 22 ПокажемD что этот код способен исправлять не только битовую и фазовую ошибкиD но и вообще произвольную квантовую ошибку при условии тогоD что она произошла лишь в одном кубитеF НапомнимD что произвольная ошибка квантового канала описываетсяD согласно представлению КраусаD набором операторов {Vi }F Если состояние кубита до возникновения ошибки обозначить как | D то после воздействия шума это состояние преобразуется в [| |] =
i

Vi | |Vi .

Каждый из операторов Vi в этой сумме можно представить как комбинацию тождественного оператораD битовой ST


ошибки X D фазовой ошибки Z и их сочетанияX

Vi = ai I + bi X + ci Z + di X Z.
В таком случае Vi | является суперпозицией набора состояний {| , X | , Z | , X Z | }D и после измерения синдрома ошибки общее состояние отобразится на одно из состояний указанного набораD каждое из которых может быть исправлено благодаря процедуреD аналогичной описанной вышеF Это нетривиальное свойство квантовых кодов коррекцииX произвольное множество ошибокD описываемое в квантовом случае набором параметровD может быть скорретировано благодаря процедуреD исправляющей подмножество ошибокF

непрерывных

дискретное

Линейные коды
Определим важное подмножество классических кодовD которое удобно темD что его можно задать с помощью матриц сравнительно небольшого размераF Такие коды называются F Исходное сообщение длины n преобразуется в кодовое слово длины k с помощью умножения на X матрицу размера n Ч k D состоящих из нулей и единицF ТакD уже встречавшийся код с повторением для входных слов длины 2 описывается с помощью матрицы размера 2 Ч 6X 10 1 0 1 0 . G= 0 1 0 1 01

линейными кодами порождающую матрицу

SU


Легко видетьD что действие этой матрицы на входные слова соответствует коду с повторениемX

G(0, 0) = (0, 0, 0, 0, 0, 0), G(1, 0) = (1, 1, 1, 0, 0, 0),

G(0, 1) = (0, 0, 0, 1, 1, 1), G(1, 1) = (1, 1, 1, 1, 1, 1).

Существеное преимущество линейных кодов в томD что вся информацияD необходимая для кодирования 2n кодовых словD содержится всего лишь в k n элементах порождающей матрицыD что позволяет сильно экономить компьютерную памятьF Процесс обнаружения и исправления ошибок описывается в этом случае другой матрицейD которая называется F По определению это матрица H D ядром которой являются кодовые слова и только ониD то есть H x = 0 выполняется тогда и только тогдаD когда x " кодовое словоF В этом случае проверочная матрица будет иметь размеры (k - n) Ч nF ОчевидноD что если исходное кодовое слово x при передаче по каналу преобразовалось в ошибочное слово y = x + eD то H y = H x + H e = H eF Это да?т возможностьD имея значения H ej для набора {ej } всевозможных nE мерных векторов с единицей на одной лишь j Eй позицииD определитьD в какой именно позиции произошла ошибка и исправить е?F Линейный кодD где каждое из сообщений длины n кодируется с помощью k битов информацииD называется [n, k ]EкодомF Основное из свойств линейных кодов заключается в томD что существует [n, k ]EкодD способный при больших n исправить q ошибок в n битах исходного сообщенияD если 2q n 1 - h( ). @PFQVA k n Этот важный результат называется F

проверочной матрицей

Гильберта

границей Варшамова-

SV


Также в дальнейшем будет полезно наблюдениеD что для всякого линейного кода C его проверочную матрицу H после транспонирования можно использовать как порождающую матрицу другого кодаD который в этом случае называется к коду C и обозначается как C F Его порождающая матрица " H T D а проверочная " GT F Из определения проверочной матрицы очевидноD что его кодовые слова будут ортогональны кодовым словам исходного кода C F

двойственным

Коды коды)

Кальдербанка-Шора-Стина

(CSS-

Подобно томуD как код Шора использует комбинацию двух кодов с повторением для исправления произвольной битовой или фазовой ошибкиD коды КальдербанкаE ШораEСтина @gEкодыA используют для исправления q произвольных квантовых ошибок комбинацию двух линейных кодовD каждый из которых способен исправлять q ошибокF ТочнееD используется [n, k1 ]Eкод C1 D исправляющий q ошибокD и [n, k2 ]Eкод C2 1 D такойD что C2 способен исправить q ошибокF Для каждого кодового слова x C1 вводится состояние

|x + C

2

=

1 |C2 |
y C
2

|x y ,

где обозначает сложение по модулю PF ОчевидноD что при x - x C2 элементы |x + C2 и |x + C2 совпадаютD а это значитD что состояние |x + C2 определяется лишь классом смежности C1 /C2 F ДалееD так как при x - x C2 и {y , y } C2 не может выполняться x + y = x + y D то состояния |x + C2 и |x + C2 взаимно ортогональны при x и x из разных классов смежности C1 /C2 F SW


В PH было показаноD каким именно образом подобная комбинация двух классических линейных кодов способна исправлять q произвольных квантовых ошибокF В рамках данной работы наибольший интерес предстваляют ограничения относительно тогоD какое максимальное количество ошибок в строке длины n может быть исправлено с помощью gEкодовF Квантовый аналог границы ВаршамоваEГильберта да?т эту величинуX существуют gEкоды длины k D исправляющие q ошибок в n кубитахD если

2q n 1 - 2h( ). k n
Таким образомD gEкоды способны решать задачу безошибочной передачи квантовых состояний через каналы с некоторым уровнем квантового шумаF В дальнейшем это свойство исправления квантовых ошибок будет использоваться в работе при доказательстве возможности двум пользователям сгенерировать полностью секретный ключF

TH


Глава 3 Протокол квантового распределения ключей BB84
К IWVR году основная часть описанных выше результатов уже была известнаD и их оказалось достаточно для тогоD чтобы сформулировать принципы квантовой криптографии и предоставить хоть на тот момент и не строгиеD но достаточно интуитивно понятные доводы в пользу секретности подобного способа распределения ключейF Затем пришло время для развития собственно формализма квантовой криптографииX были описаны требуемые действия легитимных пользователейD формализованы действия перехватчикаD а также была доказана секретность первого протокола квантового распределения ключейD названного ffVRQF Основные факты квантовой теории информацииD на которых основывается квантовая криптография " это связанные между собой утверждения о невозможности копирования произвольных квантовых состояний и о невозможности достоверного различения TI


неортогональных состоянийF В сочетании эти факты дают тоD что D а значитD действия перехватчика могут быть детектированы по величине ошибки на при?мной сторонеF Важно отметитьD что квантовая криптография не делает никаких предположений о характере действий подслушивателя и объеме доступных ему ресурсовX полагаетсяD что

попыти различения квантовых состояний из неортогонального набора ведут к помехам

перехватчик может обладать любыми ресурсами и делать все возможные действия в рамках известных на сегодняшний день законов природыF Это существенным образом отличает

квантовую криптографию от классическойD которая опирается на ограничения в вычислительной мощности подслушивателяF В этой главе будет рассмотрен протокол квантового распределения ключей ffVR и дана схема доказательство его секретностиD а затем будут рассмотрены различные классы атак перехватчикаF

3.1 Общая схема протокола
Неформально принцип действия всех протоколов квантовой криптографии можно описать такX передающая сторона @АлисаA на каждом шаге посылает одно из состояний из их неортогонального набораD а принимающая сторона @БобA производит такое измерениеD что после дополнительного обмена классической информацией между сторонами они должны иметь битовые строкиD полностью совпадающие случае идеального канала и отсутствия перехватчикаF Ошибки же в этих строках могут говорить как о неидеальности каналаD так и о действиях подслушивателяF При величине ошибкиD TP


превышающей некоторый пределD действие протокола прерываетсяD иначе легитимные пользователи могут извлечь полностью секретный ключ из их @частично совпадающихA битовых строкF В этом разделе будет дано описание протокола ffVRD а также общая схема действий легитимных пользователей при квантовом распределении ключейF

Передача сигнальных состояний
Протокол ffVR использует два базисаX

+ : |x = |0 , |y = |1 , 1 1 Ч : |u = (|0 + |1 ), |v = (|0 - |1 ). 2 2
Легко проверитьD что эти базисы удовлетворяют

@QFIA

несмещ?нности

условию
@QFPA

| x|u |2 = | x|v |2 = 1 , 2 | y |u |2 = | y |v |2 = 1 , 2

которое неформально сводится к томуD что с точки зрения одного базиса состояния в другом расположены симметричноF На этапе приготовления состояний Алиса случайным образом выбирает один из указанных базисов @QFIAD а затем случайно выбирает значение битаX 0 или 1D и в соответствии с этим выбором посылает один из четырех сигналовX

ћ |x D если это базис ?C? и значение бита равно 0D ћ |y при том же базисе и значении бита 1D ћ |u при выпадении базиса ?Ч? и бита 0D
TQ


ћ |v D если в базисе ?Ч? выпал бит 1
При посылке каждого из этих сигналов Алиса запоминает свой выбор базиса и выбор битаD что приводит к появлению двух случайных битовых строк на е? сторонеF БобD получая каждый из присланных Алисой сигналовD производит над ним случайным образом одно из двух измеренийD каждое из которых способно дать достоверный результат изEза ортогональности состояний внутри каждого базиса АлисыX
+ M0 = |x x|, Ч M0 = |u u|, + M1 = |y y |, Ч M1 = |v v |.

@QFQA

В результате у него оказывается две строкиX с темD какие из базисов были выбраны для измеренияD и с исходами этих измеренийF ИтакD после передачи всех состояний и проведения измерений Алиса и Боб имеют по две строкиF Здесь происходит согласование базисовX по открытому каналу Алиса и Боб объявляют друг другу свои строки с выбором базисовD и они выбрасывают посылкиD в которых их базисы не совпалиF Следует обратить вниманиеD что если базисD используемый для посылки состояния АлисойD совпал с базисом измерения БобаD то в случае отутствия помех в канале связи результаты в их битовых строках на соответствующей позиции будут совпадатьD поэтому после этапа согласования базисов в случае идеального канала и отсутствия действий со стороны перехватчика Алиса и Боб должны обладать одними и теми же битовыми строкамиF ОднакоD если в канале были ошибки или перехватчик пытался подслушать информациюD битовые строки Алисы и Боба могут не совпадатьD поэтому для проверки они должны согласованно раскрыть примерно половину своих битовых строкF Согласно центральной предельной TR


теоремеD ошибка в раскрытой битовой последовательности да?т достаточно точную оценку ошибки во всей последовательностиD и по ней можно достаточно точно оценить вероятность ошибки в оставшихся позицияхF Если величина ошибки оказывается больше некоторой величины @параметра протоколаAD передача данных прекращаетсяX это означаетD что перехватчик обладает слишком большой информацией о ключеF В противном же случае перед Алисой и Бобом стоит задача получения общего секретного ключаF Эту задачу можо разбить на два этапаX сначала производится D в результате которой в распоряжении Алисы и Боб оказываются совпадающие битовые строкиF Второй этапD называемый D ставит своей целью исключить информацию о ключеD которая могла попасть к перехватчику в результате действий над использовавшимися квантовыми состояниями или в ходе коррекции ошибокF В результате этого шага у перехватчика не должно оставаться информации об общей битовой строке Алисы и БобаF

коррекция ошибок

усилением секретности

Коррекция ошибок
ИтакD целью процедуры коррекции ошибок является получение из частично совпадающих битовых строк Алисы и Боба полностью идентичныхF Это классическая процедураD так как она имеет дело лишь с классическими битами и открытыми каналами связиF Наиболее эффективная процедура коррекции ошибок сводится к использованию случайных кодовF Пропускная способность классического канала с вероятностью ошибки Q равна IP Cclas (Q) = 1 - h(Q),

TS


где h(Q) " бинарная энтропия ШеннонаF Зная вероятность ошибки в канале и имея последовательность длины nD Алиса генерирует 2n(Cclas -) случайных кодовых словF Параметр можно сделать малым при больших значениях nF К этому списку Алиса присоединяет и свою последовательность битовD после чего открыто сообщает набор кодовых слов Бобу @а значитD они становятся известны и ЕвеAF Из полученного списка кодовых слов Боб выбирает ближайшее к своей последовательности в метрике ХеммингаF Согласно теореме кодирования для канала с шумомD при таком выборе кодовых слов Боб с вероятностью единица выберет битовую строку АлисыF ОтметимD однакоD что полностью случайные коды трудно реализовать на практикеD так как при их использовании необходимо хранить в памяти экспоненциально большое @в зависимости от длины битовой строки nA число кодовых словF Обычно в реальных схемах используются другиеD конструктивныеD кодыD эффективность которых нижеF

Усиление секретности
На этом этапе Алиса и Боб имеют совпадающие битовые строки и оценку информацииD которая доступна ЕвеF Эта оценка да?тся из числа ошибок в ?сыром? ключе @напомнимD что это число ошибок связано с помехами в канале связиD а по предположению они все вызваны деятельностью ЕвыF Как именно можно оценить е? информацию по количеству ошибокD будет показано в дальнейшемA и из процедуры коррекции ошибокD в ходе которой часть информацииD как было отмеченоD также уходит к перехватчикуF Задача этапа усиления секретности состоит в томD чтобы получить из частично секретных общих битовых TT


строк Алисы и Боба полностью неизвестного Еве секретного ключаF Обычно в ходе подобной процедуры длина ключа существенно уменьшаетсяF Основным методомD позволяющим проводить усиление секретностиD является использование класса G RF Это функцииD отображающие набор nEбитовых строк A в набор mE битовых строк B таким образомD что для случайно выбранной хешEфункции g G и любых несовпадающих элементов a1 , a2 A вероятность совпадения их образов g (a1 ) = g (a2 ) не превосходит 1/|B |F То есть задача нахождения прообразов двух различных элементов в B не может решиться более эффективноD чем с помощью перебора или угадыванияF Существует теорема PHD оценивающая информацию Евы о финальном ключе через е? исходную информацию о частично секретном ключе и длину финального ключа mX

универсальных хеш-функций

Пусть X случайная величина с распределением p(x), а G случайная величина, соответствующая равновероятному случайному выбору хеш-функций из универсального класса хеш-функций, отображающих алфавит X в {0, 1}m. Тогда
Теорема 10
H (G(X )|G) Hc (G(X )|G) m - 2m
-Hc (X )

,

@QFRA

где
Hc (X ) = - log p(x)2
x

называется

коллизионной энтропией

.

Е? применение сводится к томуD что легитимные пользователиD имея оценку информации Евы @которая TU


зада?тся величиной Hc (X )AD всегда могут выбрать длину финального ключа m настолько малойD что неопредел?нность Евы относительно финального ключа @задаваемая левой частью @QFRAA будет сколь угодно близка к неопредел?нности простого угадыванияD что соответствует его полной секретностиF Таким образомD в ситуацииD когда взаимная информация Алисы и Боба превосходит взаимную информацию Алисы и ЕвыD всегда можно из исходного частично секретного ключа получить полностью секретный ключD сжав его с помощью универсальной хешEфункцииF

3.2 Стойкость протокола
При предложении протокола ffVR его стойкость была показана лишь на интуитивном уровнеX попытка Евы измерить передаваемые состояния влеч?т к их разрушениюD что приводит к дополнительным ошибкам на при?мной сторонеF Однако одними лишь измерениями посылаемых сигналов действия Евы не ограничиваютсяF Более тогоD непросто рассчитать информациюD способную попасть к Еве при действиях с е? стороныF Однако оказываетсяD что стойкость протокола ffVR можно доказатьD и не прибегая к оценкам информационных величин для всех возможных атак ЕвыF ТакD в PHHH году было показано ISD что секретность квантовой криптографии можно свести к свойствам квантовых кодов коррекции ошибокX если ошибкиD возникающие в квантовом канале связиD можно достоверно исправитьD то можно добиться и секретной передачи данныхF Это да?т критическую величину ошибкиD до которой возможно секретное распределение

всех возможных

TV


ключейF Доказательство стойкости протокола проще всего провестиD введя несколько дополнительных протоколовX такD стойкость введ?нного первым ЭПРEпротокола легко вытекает из теории квантовых измеренийD а благодаря последовательному изменению некоторых действий легитимных пользователей он может быть свед?н к более строго описанному протоколу ffVR без нарушения исходной секретностиF

Вспомогательный протокол ЭПР
Ранее уже было введено состояние ЭПР

|E

PR

1 = (|00 + |11 ), 2

важнейшим свойством которого является тоD что при измерении его в любом базисе состоянияD получающиеся в результате в обоих подсистемахD оказываются одинаковымиF ТакD для уже встречавшихся измерений Боба в базисах ?+? и ?Ч? имеем
+ M0 |E PR

E

PR

|

+ M0

|E

= |00 = |xx ,
PR

+ M1 |


Ч M0 |

EP R

|

EP R + M1 |E P R

= |11 = |y y ,



EP R

| |

EP R Ч M0 |E P R PR

=

(|0 + |1 ) (|0 + |1 ) = |uu , 2 (|0 - |1 ) (|0 - |1 ) = |v v . 2
TW

Ч M1 |E

E

PR

Ч M1

|E

=
PR


На этом свойстве основан принцип действия протокола ЭПРX раз результаты двух участников измерения ЭПРE состояния совпадаютD можно использовать это для генерации случайного секретного ключаF Для этого Алисе и Бобу требуется просто договориться об использовании согласованных базисов для измеренияX их исходы в случае идеальных ЭПРEпар будут совпадатьD и у перехватчика не будет какойEлибо информации о ключе @это гарантируется чистотой идеальной ЭПРEпарыAF Тем не менееD если между Алисой и Бобом нет чистых ЭПРEсостоянийD то по степени совпадения своих состояний с идеальным случаем они всегда способны оценить информациюD которая может быть доступна ЕвеX в PH была доказана следующая

Теорема 11

Пусть n EP R||EP R n > энтропия ограничена сверху величиной
H () < (2n + s +

1 - 2-

s

, тогда
@QFSA

1 -s )2 + O(2-2s ). ln 2

По теореме Шмидта собственные значения частичных операторов плотности системы и окружения совпадаютD а значитD энтропия системы Евы также будет ограничена сверху той же величиной @QFSAF Поскольку величина Холево в свою очередь оценивается сверху энтропией H ()D привед?нную теорему можно успешно использовать для оценки информацииD доступной перехватчикуF Это означаетD что Алиса и Боб всегда могут быть уверены в томD что Ева не обладает большей информацией о ключеD чем ониX в противном случае @при низкой степени совпадения общего состояния Алисы и Боба с идеальным случаем |E P R E P R |A выполнение протокола прерываетсяF Если же утечка информации к Еве невеликаD то с помощью классических процедур коррекции ошибок UH


и усиления секретности получение полностью секретного ключа возможноF

Протокол Ло-Чу
Протокол ЛоEЧу был разработан как своего рода промежуточное звено между протоколами ЭПР и ffVRF Подобно ЭПРEпротоколуD он использует ЭПРEпары в качестве исходных состоянийD но теперь уже эти состояния явно генерируются на стороне Алисы и посылаются Бобу по квантовому каналу с использованием произвольного кодированияD подобно томуD как это происходит в протоколе ffVRF Как было показано вышеD информация Евы может быть оценена сверху с помощью степени совпадения исходных состояний между Алисой и Бобом с идеальным случаем чистых ЭПРEсостояний |E P R F Благодаря этой оценке Алиса и Боб могут понятьD какие параметры коррекции ошибок и усиления секретности им следует применятьF Идея протокола ЛоEЧу заключается в томD что вместо этих двух классических процедур Алиса и Боб могут применить очищение сцепленностиD которое даст им точные ЭПРEпарыD из которых они смогут получить полностью эквивалентные секретные ключиF Таким образомD процедуру очищения сцепленности можно считать квантовым аналогом классических процедур коррекции ошибок и усиления секретностиF Поскольку очищение сцепленности можно провести с помощью соответствующего квантового кода коррекции ошибокD требуется оценить количество фазовых и битовых ошибок в передаваемой последовательности состоянийF Если ошибки произошли не более чем в q кубитахD то из исходных n кубитов можно получить k ЭПРEпар с помощью [n, k ]EкодаD исправлющего q ошибокF UI


Более строгоD протокол ЛоEЧу выглядит такX IF Алиса созда?т 2n ЭПРEпар в состоянии |
EP R 2n

F

PF Алиса случайно выбирает n из 2n ЭПРEпарD чтобы использовать их в дальнейшем как контрольные для проверки степени совпадения состояний у себя и у БобаF QF Алиса генерирует случайную битовую строку sA длины 2n и применяет преобразование Адамара ко второму кубиту каждой парыD для которой в соответствующей позиции sA = 1F RF Алиса по квантовому каналу посылает второй кубит каждой пары БобуF SF Боб получает кубиты и публично объявляет об этомF TF Алиса публично объявляет позиции n контрольных кубитов и строку sA F UF Боб применяет преобразование Адамара к тем кубитамD для которых sA = 1F VF Алиса и Боб измеряют n контрольных кубитов в базисе ?+? и публично объявляют результатыF Если более чем q битов не совпалиD выполнение протокола прерываетсяF WF Алиса и Боб измеряют оставшиеся n кубитов в соответствии с проверочной матрицей [n, k ]E кодаD исправляющего до q ошибокF После обмена результатами и вычисления синдрома ошибок они могут получить k ЭПРEпар

UP


IHF Алиса и Боб измеряют k ЭПРEпар в базисе ?+? для получения общего секретного ключаF Преобразование Адамара над случайным набором кубитов на этапах Q и U нужно здесь для тогоD чтобы убедитьсяD что какую бы атаку ни предприняла ЕваD вероятности фазовых и битовых ошибок будут максимально близки друг к другуD а это созда?т наиболее благоприятные условия для применения квантовых кодов коррекции ошибокF

Протокол CSS-кодов
Протокол ЛоEЧуD основанный на протоколе ЭПРD использует квантовый код коррекции ошибок для получения ЭПРEпарF В то же время исправление квантовых ошибок " сложная техническая задачаD требующая в общем случае квантового компьютера для своей реализацииF Протокол gEкодов избавляется от этой необходимостиD используя только классические коды коррекции ошибокF Это можно сделатьD не нарушая над?жности всей процедурыF Так как измеренияD проводимые Алисой на шаге VD разрушают сцепленность исходных состоянийD нет необходимости посылать именно части ЭПРE парX можно просто приготовить известное квантовое состояние |0 или |1 и послать его БобуD произведя предварительно преобразование Адамара над произвольным подмножеством состоянийF Аналогично измерения пользователей на этапах W и IH разрушают исходные ЭПРEпарыD превращая их в случайные кубитыD закодированные некоторым случайным квантовым кодом коррекции ошибокF Поэтому вместо использования кода для получения ЭПРEпар UQ


Алиса может просто закодировать случайный ключ из k битов с помощью кода gx,z (C1 , C2 ) со случайными параметрами x и z D отослав Бобу закодированные n кубитовF Затем Алиса на этапе T публично объявляет не только строку sA и позиции контрольных битовD но ещ? и параметры кода x и z D чтобы Боб мог безошибочно декодировать секретный ключ длины k F ИтакD с уч?том привед?нных изменений протокол gE кодов выглядит такX IF Алиса созда?т n случайных контрольных битовD случайный ключ длины k D а также две случайных битовых строки x и z F Она применяет код gx,z (C1 , C2 ) для кодирования ключа и приготавливает n контрольных кубитов в состоянии |0 или |1 в соответствии с контрольными битамиF PF Алиса случайно выбирает n из 2n позицийD помещая туда контрольные кубитыF В оставшихся позициях располагаются кубиты закодированного сообщенияF QF Алиса генерирует случайную битовую строку sA длины 2n и применяет преобразование Адамара ко второму кубиту каждой парыD для которой в соответствующей позиции sA = 1F RF Алиса по квантовому каналу полученные в результате кубитыF посылает Бобу

SF Боб получает кубиты и публично объявляет об этомF TF Алиса публично объявляет позиции n контрольных кубитов и строки sA D x и z F UF Боб применяет преобразование Адамара к тем кубитамD для которых sA = 1F UR


VF Боб измеряет n контрольных кубитов в базисе ?+? и публично объявляют результатыF Если более чем q битов не совпалиD выполнение протокола прерываетсяF WF Боб декодирует оставшиеся n кубитов в соответствии с кодом gx,z (C1 , C2 )F IHF Боб измеряет свои кубиты для получения общего с Алисой секретного ключаF

Сведение к протоколу BB84
Протокол gEкодовD хотя и проще протокола ЛоE Чу с технической точки зренияD до сих пор вс? равно достаточно сложенD так как требует квантовых вычислений для проведения кодирования и декодирования квантовых состоянийD так же как и хранения их в квантовой памяти до получения сообщения от АлисыF Над?жная версия протокола ffVRD к которой этот протокол будет свед?н в этом разделеD не накладывает подобных технологических требованийF В силу тогоD что gEкод использует два кода g1 и g2 D процедуру квантового декодирования можно заменить на измерение состояния с дальнейшим классическим декодированием @смF точное обоснование в PHAF Суть этого перехода в томD что теперь выбирается лишь два класса смежностиD один из которых соответствует коду g1 и процедуре исправления ошибокD а второй " классу в коде g2 и связан с усилением секретностиF Это упрощает этапы протоколаD на которых производится кодирование и декодирование сигналаD так как теперь достаточно просто объявить кодовое слово из g1 D а затемD при усилении секретности " класс смежности

классических

US


в g2 /g1 F НаконецD чтобы избавиться от необходимости хранения посылаемых Алисой кубитов в квантовой памяти до согласования кодовых слов с БобомD можно пойти на тоD что Боб будет измерять каждый сигнал сразу же после его полученияD используя случайно выбранный базис ?C? или ?Ч?D а Алиса в свою очередь будет посылать сигнал в одном из этих базисовF Так как примерно в половине посылок базисы Алисы и Боба не совпадут и им прид?тся отбросить значение их измеренийD общую длину строки следует увеличить с 2n до 4n(1 + )F Таким образомD окончательная над?жная версия протокола ffVR таковаX IF Алиса выбирает 4n(1 + ) случайных битовF PF Для каждого из битов Алиса посылает сигнал БобуD выбирая базис ?C? или ?Ч? в соответствии со случайной строкой sA F QF Алиса выбирает случайное кодовое слово vk C1 F RF Боб получает кубиты и измеряет каждый из них в базисе ?C? или ?Ч? в соответствии со случайной строкой sB F SF Алиса и Боб раскрывают строки sA и sB D оставляя только те позиции полученных в результате пересылки кубитов строкD в которых соответствующие значения их битов совпалиF С большой вероятностью оста?тся 2n битовD иначе выполнение протокола прекращаетсяF TF Алиса произвольно выбирает из оставшихся 2n битов n контрольныхF UT


UF Алиса и Боб открыто сравнивают значения своих контрольных битовF Если количество различающихся битов больше критической величины q D выполнение протокола прекращаетсяF VF Алиса объявляет x - vk F БобD вычитая эту строку из своего результатаD с помощью кода C1 исправляет ошибкуD получая vk " безошибочную строкуD которая однако может быть частично известная ЕвеF WF Алиса и Боб вычисляют класс смежности vk + C2 в C1 D чтобы получить общий секретный ключ k F Эта схема протоколаD незначительно отличающаяся от рассмотренной до этогоD использует для коррекци ошибок и усиления секретности свойства gEкодовD которые не являются оптимальнымиF Теоретическая оценка на величину ошибки q D которую можно исправить в квантовом каналеD да?тся границей ШеннонаX 1 - 2h(q ) > 0D которая лучше границы ВаршамоваEГильбертаD гарантирующей существование соответствующих gEкодовF При использовании границы Шеннона @достижение которой сводится к использованию случайных классических кодовA получается теоретический предел ошибкиD до которой возможно секретное распределение информацииF Он равен приблизительно 11%D а именно корню уравнения 1 - 2h(q ) = 0F

3.3 Стратегии подслушивателя
Привед?нное выше доказательство секретности протокола ffVR утверждаетD что при величине ошибки на при?мной стороне менее II7 возможна секретная передача данныхF В то же время не говорится о томD каким образом протокол UU


теряет секретность при большей величине ошибкиF В этом разделе явным образом строится схема атакиD при которой достигается теоретический предел ошибки на при?мной стороне в II7F Также будут рассмотрены другие стратегии подслушивателя и будут найдены критические величины ошибки для каждой из нихF Важным результатом является тоD что наиболее общим случаем подслушивания можно считать коллективную атакуX при незначительном изменении схемы протокола более общая когерентная атака не да?т дополнительной выгоды перехватчикуF

Прием-перепосыл
Наиболее простым сценарием действий Евы является измерение передаваемого по квантовому каналу состояния с дальнейшим пересылом полчившегося результата дальшеF Именно таким образом могут прослушаться классические каналыF ПокажемD что в квантовом случае подобная стратегия не срабатываетF Этот раздел да?т оценки информации Евы на менее формальном языкеD чем это будет делаться в дальнейшемD однако в нем наиболее простым образом видны идеиD лежащие в основе анализа стойкости протоколов квантовой криптографииF Если Ева стремится произвести те же действияD что производит на своей стороне БобD тоD не зная исходного состоянияD она неизбежно сталкивается с нерешаемой проблемой различения состояний из неортогонального набораF ТакD применяя случайным образом одно из измерений

+ : Mx = |x x| My = |y y |, Ч : Mu = |u u| Mv = |v v |

@QFTA

к посланному состояниюD примерно в половине случаев UV


Ева будет неверно угадывать базисX применять измерение ?Ч? при посланном состоянии |x или |y или применять измерение ?+? над состоянием из набора {|u , |v }F Легко видетьD что в силу свойства несмещ?нности @QFPA базисных состояний при неверно угаданном базисе вероятность ошибки Евы составляет SH7D то есть Ева не получает полезной информации о сигналеF Однако это ещ? не все проблемы ЕвыF Неверно угадав базис при проведении измеренияD Ева вследствие свойства редукции волновой функции неизбежно пошл?т ошибочное состояние БобуF ТакD при применении измерения ?+? вне зависимости от исходного состояния дальше будет послано одно из состояний набора {|x , |y }D а при измерении?Ч? " одно из состояний {|u , |v }F Измеряя эти состояния в ?верном? для них базисеD Боб получит ошибкуD по которой могут быть детектированы действия ЕвыF Величину ошибки на при?мной стороне можно вычислить такX допустимD Ева подвергала атаке не все состоянияD а некоторую их частьD атакуя каждый сигнал с вероятностью pF Тогда доля в 1 - p сигналов приходит к Бобу без какойEлибо ошибки @Еве же приходится просто угадывать значение бита в каждой такой посылкеD а значитD в е? ошибку это даст вкладD равный (1 - p)/2AF В то же время для сигналовD атакованных ЕвойD существует два равновероятных поворота событийX

ћ Ева верно угадала базис измеренияD а значитD с одной стороныD точно получила информацию о передаваемом сигналеD а с другой стороныD не внесла какогоEлибо возмущенияF ћ Ева ошиблась в выборе базиса измеренийF Тогда с вероятностью 1/2 она получила ошибочный
UW


результатD и совершенно точно она передала ошибочное состояние БобуD что приводит к появлению ошибки на его сторонеD вероятность которой равна также 1/2F Вероятность каждого из подобных сценариев равна p/2D и несложно видетьD что при такой стратегии доля ошибок на при?мной стороне будет равна p/4D а доля ошибок у Евы составит

1p 1-p p + = -. 2 4 24
Это значитD что при всех значениях параметра pD меньших единицыD Ева имеет больше ошибокD чем БобD а значитD е? информация о передаваемом ключе строго меньшеF В то же время при p = 1 доля ошибок у Боба и у Евы совпадают и равны PS7F Так как ошибка Боба однозначно связана с параметром pD можно считатьD что PS7 " пороговая величина ошибки при такой атакеD до которой возможно секретное распространение ключейF Важно отметитьD что ошибка на применой стороне может быть вызвана не только действиями ЕвыD но и причинами вроде неидеальности канала или детекторовF Однако при оценке стойкости протокола предполагаетсяD что все ошибки были вызваны перехватчикомX очевидноD это лучший для него вариант развития событийF Таким образомD критическая ошибка на при?мной сторонеD до которой возможно секретное распространение ключей " основная характеристика протоколов квантовой криптографииF В общем случае она зависит лишь от самого протоколаD однако в ряде частных случаев конкретных классов атак можно вычислить критическую ошибку для кадого из нихF Протокол квантовой криптографии тем лучшеD чем больше его критическая VH


ошибкаX в этом случае он лучше противостоит помехам в канале связи и способен генерировать секретный ключ с большей скоростью и на б? ольших расстоянияхF

Прозрачное подслушивание

индивидуальное

ОчевидноD что стратегия приемаEперепосыла не является оптимальной с точки зрения Евы " хотя бы потомуD что е? критическая величина ошибки значительно больше теоретического предела в II7F Предложенная в этом разделе способна добиться лучших результатовF Суть прозрачного подслушивания заключается в томD что Ева не обязана мерить состояние в каждой посылке непосредственно в момент его пересылки по каналуD поскольку в этот момент ещ? неизвестен используемый базисF Еве оказывается выгоднее подвергнуть каждый передаваемый сигнал совместной эволюции со своим состояниемD чтобы в итоге оставить у себя часть общегоD сцепленногоD состоянияD а остаток переслать БобуF НапомнимD что в случае сцепленного общего состояния измерение Боба фиксирует частичное состояние ЕвыD и зная базис @информация о котором переда?тся по открытому каналуAD она может провести измерение над своей подсистемойF В итоге Ева сможет получить больше информации о передаваемых состоянияхD и критическая величина ошибки будет меньшеD чем в случае применения стратегии при?маEперепосылаF Схема исследования стойкости протокола ffVR против прозрачного подслушивания такая жеD как и при исследвании подслушивания методом при?маEперепосылаX сначала параметризуются действия ЕвыD затем находится

прозрачная атака

VI


зависимость информации Боба и Евы от используемых параметровD и затем считается критическая величина ошибкиF Общий случай преобразованияD производимого над состоянием | HAB в квантовом канале между Алисой и БобомD да?тся выражением

[| |] = ,
где " в общем случае смешанное состояниеD получаемое на выходе каналаF Такое состояние всегда можно очиститьX

= r

HE

| |,

| HAB HE ,

HE здесь " пространство окруженияD имеющее достаточную размерностьD чтобы итоговое состояние | было чистымF Рассмотрим посылку состояния |x F ЗаметимD что Ева производит свои действия после измерения БобаD которое фиксирует x F Так как базис его измерения совпадает с базисом посланного сигнала @остальные посылки отбрасываются при согласовании базисовAD то можно считатьD что оператор x после измерения оказывается диагональным в базисе {|x , |y }X x = (1 - Q)|x x| + Q|y y |.
@QFUA

В этом выражении Q " вероятность ошибки на стороне БобаF Такое представление оператора x да?т возможность записать его очищение |X в виде

|X =

1 - Q|x |x +

Q|y |x ,

@QFVA

где состояния |x и |x ортогональныF Так как Ева при такой атаке производит одинаковые действия над VP


каждым сигнальным состояниемD можно считатьD что е? исходное вспомогательное состояние @анциллаA всегда равна |A F Также предполагаетсяD что Еве доступно вс? окружениеD то есть е? пространство совпадает с HE F Это да?т возможность представить преобразование на общем пространстве легитимных пользователей и Евы UAE : HAB HE HAB HE в виде

U

AE

(|x |A ) = |X =

1 - Q|x |x +

Q|y |x .

Аналогично получаются и другие соотношенияD характеризующие преобразование ЕвыF Было показано IWD что при таком подслушивании оптимальной оказывается симметричная стратегияD при которой ошибка на стороне Боба Q не зависит от базисаF Имеем

UAE (|x |A ) = |X = UAE (|y |A ) = |Y = UAE (|u |A ) = |U = U
AE

1 - Q|x |x + 1 - Q|y |y + 1 - Q|u |u + 1 - Q|v |v +

Q|y |x , Q|x |y , Q|v |u , Q|u |v ,
@QFWA

(|v |A ) = |V =

где i |j = 0, i, j {x, y , u, v }F Более тогоD максимум достигается при симметрии состояний в пространстве Евы x |y = x |y = cos F Требования унитарности и линейности UAE влекут за собойD что

X |Y = x|y , 1 |U = (|X + |Y ), 2

U |V = u|v , 1 |V = (|X - |Y ), 2

@QFIHA

а из этого следует связь между векторами в пространстве

VQ


Евы

2 1 - Q|u = 2 Q|u = 2 1 - Q| 2
v

1 - Q(|x + |y ) + 1 - Q(|x - |y ) - 1 - Q(| 1 - Q(|
x

Q(|x + |y ), Q(|x - |y ), Q(|x + |y ), Q(|x - |y ). @QFIIA

=

+ |y ) - - |y ) +

Q|v =

x

Таким образомD в дальнейшем можно рассматривать только состояния из базиса ?+?D так как остальные состояния Евы однозначно выражаются через нихF ДалееD ребование нормировки u |u = u |u = 1 приводит к томуD что

cos = 1 - 2Q,

@QFIPA

а это значитD что в распоряжении Евы имеется один параметр QF После преобразования Евы состояниеD доступное для измерения БобуD да?тся частичным следом по пространству HE D а значитD его частичные операторы плотности соответственно равны

B = (1 - Q)|x x| + Q|y y |, x E = (1 - Q)|y y | + Q|x x| y

@QFIQA

и дают ошибку на при?мной сторонеD очевидно равную QF Аналогично состояния Евы равны

E = (1 - Q)|x x | + Q|x x |, x E = (1 - Q)|y y | + Q|y y |. y

@QFIRA

В случае индивидуальной атаки Ева производит измерение над каждым своим состоянием в отдельностиD VR


РисF

QFIX

|0 , |1 , |0 , |

Симметричное расположение базисных векторов 1 относительно состояний в пространстве Евы.

то есть она стоит перед задачей различения квантовых состояний E и E F Оптимальное решение этой задачи x y известно PQF Запишем матрицы операторов плотности

VS


Евы @QFIRA в базисе

1 1 + cos 1 + 1 + cos 1 1 |1 = 2 1 + cos 1 + 1 + cos 1 1 |0 = 2 1 + cos 1 + 1 + cos 1 1 |1 = 2 1 + cos 1 + 1 + cos |0 =

1 2

+ - - + + - - +

1 1 - cos 1 1 - cos 1 1 - cos 1 1 - cos 1 1 - cos 1 1 - cos 1 1 - cos 1 1 - cos

|x + |
y

,

|x + |
y

,
@QFISA

|x + |
y

,

|x + |
y

,

элементы которого симметрично расположены относительно векторов |x , |y и |x , |y соответственно @смF рисF QFIAF Произведения базисных векторов на |i , |i равны

0 |x = 1 |x = cos a, 1 |x = 1 |x = sin a,

0 |

y

= 0 |y = sin a,

1 |y = 1 |y = cos a,

где для краткости введено обозначение a = - F Матрицы 4 2 операторов плотности Евы будут равны

1 = 2
E x

(1 - Q) cos2 a (1 - Q) cos a sin a 0 0

(1 - Q) cos a sin a (1 - Q) sin2 a 0 0

0 0 Q cos2 a Q cos a sin a

0 0 Q cos a sin a Q sin2 a

,

VT


1 = 2
E y

(1 - Q) sin2 a (1 - Q) cos a sin a 0 0

(1 - Q) cos a sin a (1 - Q) cos2 a 0 0

0 0 Q sin2 a Q cos a sin a

0 0 Q cos a sin a Q cos2 a

.

В PQ было показаноD что оптимальным набором различающих операторов измерения будет набор {Mx = M , My = I - M }D где M " проектор на собственное подпространство оператора 1 (E - E )D y 2x отвечающее положительным собственным значениямF Легко вычислитьD что 1000 0000 0 0 0 0 , My = 0 1 0 0 , Mx = 0 0 1 0 0 0 0 0 0000 0001 и вероятность получения ошибки равна rMy E = rMx E = (1 - Q) sin2 a + Q sin2 a = sin2 a = x y 1 - 2 Q(1 - Q) 1 - 1 - cos2 1 - sin = = . = 2 2 2 ИтакD построена зависимость ошибки на стороне Боба и на стороне Евы от единственного е? параметра " QF При малых значениях Q ошибка легитимных пользователей малаD а ошибка Евы близка к 1 D а значитD распространение 2 секретной информации возможноF Критическая величина QD до которой возможно секретное распространение ключаD да?тся равенством

Qc =


1 - 2 Qc (1 - Qc ) 2

@QFITA

и равна 2-4 2 14, 64%F Таким образомD критическая ошибка при прозрачном индивидуальном подслушивании Евы оказывается меньшеD чем при подслушивании с помощью при?маEперепосылаD а значитD такая стратегия VU


лучшеF Это улучшение вызвано темD что Ева в своих действиях учитывает информациюD поступающую к ней от легитимных пользователей при согласовании базисовD производимого по открытому каналуF

Коллективная атака
Критическая величина прозрачного индивидуального подслушиванияD равная приблизительно 14, 6%D вс? равно превосходит теоретический порог в 11%F Возникает вопросX как Еве нужно изменить схему атакиD чтобы добиться ещ? лучших результатовc ОказываетсяD что слабая сторона индивидуальной атаки " в проведении измерений над каждым передаваемым состоянием по отдельностиF ИзEза свойства супераддитивности информации в классическиEквантовом @EqA канале оказываетсяD что со стороны Евы выгоднее проводить измерение над всей последовательностью полученных состояний сразуF После проведения измерений и согласования базисов Алиса и Боб находятся в состоянии классического бинарного канала связи с вероятностью ошибки QF Пропускная способность такого канала известна IP и да?тся величиной CAB = 1 - h(Q)D где h(Q) " бинарная энтропия Шеннона

h(Q) = (1 - Q) log(1 - Q) + Q log Q.

@QFIUA

В то же время Алиса с Евой оказываются в ситуации EqEканала с состояниями на выходеD равными E и E F x y Фундаментальное ограничение на информациюD которую можно извлечь из такого каналаD да?тся формулой Холево

C

AE

1 1 = = H ( (E + E )) - (H (E ) + H (E )). x y x y 2 2
VV

@QFIVA


Распространение секретного ключа CAE < CAB F Для подсч?та величины нужно значения оператора E = 1 (E + 2x матрицу в базисе {|0 , |1 , |0 , |1 }X (1 - Q) (1 - Q) cos (1 - Q) cos 1 (1 - Q) E = 0 0 2 0 0

возможноD когда найти собственные E )F Выпишем его y

0 0 0 0 . Q Q cos Q cos Q @QFIWA Собственные значения этой матрицы равны
1,2

= (1 - Q)

1 + cos , 2

3,4 = Q

1 + cos , 2

@QFPHA

а собственные значения частичных матриц плотности E x и E равны 1 - Q и QF В итогеD с уч?том @QFIPAD находим y

C

AE

= (1 - Q) log(1 - Q) + Q log Q = h(Q).

@QFPIA

Из этого следуетD что критическая ошибка Qc для коллективной атаки равна корню уравнения 1 - h(Qc ) = h(Qc )D а это совпадает с полученным выше теоретическим пределом и приблизительно равно 11%F Величина критической ошибки в 11%D однакоD достигается лишь при условии использования Евой коллективных измерений сразу над всей последовательностью символовF Также допустима ситуацияD когда Ева производит измерения не над всей последовательностью состоянийD а над каждым из е? блоков длины n в отдельностиF Вообще говоряD существует бесконечное множество пропускных способностей Cn D соответствующих именно таким блочным измерениямD и последовательность {Cn } возрастаетF VW


Возрастание пропускной способности EqEканала при использовании блоков большей длины да?т ответ на вопрос о томD что происходит при ошибке между 11% @предельное значение при коллективной атакеA и 14, 6% @для индивидуального подслушиванияAX такие случаи соответствуют критическим ошибкам при использовании Евой измерения над n блоками одновременноF Однако до тех порD пока не создана квантовая памятьD критической ошибкой протокола ffVR можно считать величину в 14, 6%F

Когерентная атака
Главным ограничением коллективной атаки является тоD что Ева должна использовать одно и то же преобразование для каждого сигналаF ВозможноD однакоD что более общий случай атакиD при котором Ева производит унитарное преобразование сразу над всей последовательностью передаваемых состоянийD или учитывает на каждом шаге какиеEлибо результаты предыдущих шагов @напримерD результаты частичных измерений е? подсистемAD может дать Еве больше информации о передаваемом ключе по сравнению с ?ограниченным? случаем коллективной атакиF Но оказываетсяD что это не такD и коллективная атака является наиболее эффективнойF ПричинаD по которой когерентная атака не способна принести дополнительной пользы ЕвеD состоит в следующемF После достаточно большого числа посылок N общее состояние всех участников протокола можно описать оператором плотности AN B N E N F В W была доказана теоремаD которая утверждаетD что если Алиса и Боб дополнительно совершат случайную согласованную перестановку состояний своих подсистем в разных посылкахD то частичный оператор плотности Алисы и WH


Боба AN B N может быть сколь угодно точно представлен в виде тензорного произведения операторов плотностиD относящихся к отдельным посылкамX



AN B

N

N AB .

@QFPPA

Таким образомD получаетсяD что простой случайной перестановкой битов Алиса и Боб могут свести на нет всю дополнительную выгоду Евы от использования когерентной атакиF Это важный результат для квантовой криптографииD так как он позволяет использовать коллективное подслушивание в качестве наиболее эффективного метода атакиD а его исследование значительно прощеD чем анализ когерентного случаяF

WI


Глава 4 Другие протоколы квантовой криптографии
Протокол ffVR является первым и наиболее изученным протоколом квантового распределения ключейF Тем не менее попытки его технической реализации натолкнулись на ряд технологических трудностейD в результате чего у Евы появляется возможность провести новый тип перехвата информацииD невозможный при ?строгой? реализации всех принципов протокола ffVRF Так как квантовая криптография ставит своей целью обеспечение секретности при действиях ЕвыD появилась необходимость разработки протоколовD способных противостоять Еве и на современном уровне развития технологийF В начале этой главы будет рассказано о близком к ffVRD но более гибком протоколе fWPD идеи которого будут использованы в дальнейшемF Затем будет описан новый тип атакиD возможный в практических схемах квантовой криптографии " атака с расщеплением по числу фотонов @x " photon numer splitting ttkAF Далее описываются технологии противодействия этой

всех возможных

WP


атакеD которые находят сво? наиболее важное применение в протоколе eqHRF

4.1 Протокол B92
Изложим сначала основные сведения о протоколе fWPPD который использует два неортогональных состоянияF Этот протокол важенD так как идеи использования неортогональной пары состояний будут использованы в протоколах eqHR и неортогональной версии протокола с фазовоEвременным кодированиемF Обратим вниманиеD что в протоколе ffVR при отсутствии действий перехватчика и помех в канале вероятность ошибки на приемной стороне до согласования базисов составляет PS7F Это вызвано использованием ?ж?сткой? конфигураци двух пар базисных векторовF Цель протокола fWP состоит в возможности гибкого изменения этого параметра в зависимости от дополнительных условий " такихD напримерD как длина канала или его качествоF Это может в ряде случаев помочь добиться большей скорости передачи данныхF На каждом шаге протокола fWP Алиса посылает Бобу одно из двух неортогональных состояний |0 D |1 D где 0 |1 = cos " основной параметр протоколаF Боб на своей строне производит уже описанное выше ?измерение с тремя исходами? @PFIIA

M0 = M1 =

I - |1 1 | |1 1 | = , 1 + cos 1 + cos |0 0 | I - |0 0 | = , 1 + cos 1 + cos M? = I - M0 - M1 .

WQ


НапомнимD что при применении подобного измерения над указанными состояниями первые два исхода будут при отсутствии ошибок отвечать точным результатамD в то время как несовместный @inonlusiveA исход ?c? не да?т полезных сведений о передаваемом состоянииF Посылки с такими исходами отбрасываютсяF После передачи всех сообщений Алиса и БобD подобно томуD как это происходило в протоколе ffVRD согласованно раскрывают часть своих битовых последовательностей и оценивают число ошибокF Если их оказалось больше некоторой пороговой величиныD выполнение протокола прерываетсяD иначе из оставшейся части битовых строк извлекается полностью секретный ключF Стойкость протокола против наиболее эффективной @коллективнойA атаки Евы была исследована в IVF Важнейшим свойством протокола fWP является наличие у него параметра " угла между сигнальными состояниямиF Чем ближе этот угол к /2D тем ближе оказывается протокол к простой пересылке сигналов с помощью ортогональных состоянийF При этом скорость передачи данных возрастаетD однако их стойкость против перехвата снижаетсяF При использовании же небольших значений велика вероятность получения несовместных исходовD что снижает скорость передачи данныхD но существенно осложняет ситуацию для подслушивателяF

4.2 PNS-атака
Главной особенностью практических схем квантовой криптографии с точки зрения перехватчика оказывается использование ослабленных лазерных импульсов вместо строго однофотонного источникаF ПокажемD каким образом подобное техническое ограничение вместе с WR


неизбежным затуханием в реальных каналах связи может привести к потере секретности протоколов изEза возможности использования xEатакиIF

Операция разделения фотонов
При использовании ослабленных лазерных импульсов вместо состояний |0 и |1 по квантовому каналу пересылаются состояния вида |0 n и |1 n D где n 1 " число фотонов в импульсеF Нетрудно видетьD что если Ева произвед?т измерениеD описывающееся разложением единицы

M1 = |0 0| + |1 1|, M2 = |00 00| + |11 11|, ... Mn = |0 n 0|n + |1 n 1|n , ...

@RFIA

то онаD воEпервыхD получит всю информацию о числе фотонов в импульсеD а воEвторыхD не внес?т в канал никаких помехF Таким образомD законы квантовой механики не налагают ограничений на получение точной информации о числе фотонов в импульсеF ЗнаяD какие импульсы содержат несколько фотоновD Ева может заблокировать те из нихD которые содержат лишь один фотонD а для многофотонных импульсов переслать Бобу один из фотоновD произведя некоторые действия над остальнымиF Блокировка одночастичных импульсов может быть компенсирована использованием более совершенного канала для транспортировки оставшихся импульсов на сторону БобаF По предположению легитимные пользователи не имеют полного контроля над квантовым каналом связиD WS


и Ева может заменить его на свой каналD затухание в котором меньшеD чем в канале между Алисой и БобомF В идеале Ева может использовать для пересылки оставшихся фотонов Бобу каналD не дающий никаких потерьF Поэтому при достаточной доле многофотоннных импульсов на стороне источника и потерях в канале связи действия Евы не могут быть детектированыF

Атака на протокол BB84
ПокажемD каким образом операция разделения фотонов может быть приненена для взлома протокола ffVRF ИтакD Ева может без какихEлибо последствий узнать число фотонов в каждом из импульсовF Атака строится следующим образомX если импульс содержит лишь один фотонD Ева его блокируетD в противном случае она оставляет в своей квантовой памяти @для е? реализации достаточно иметь обычную линию задержкиA один из фотоновD пересылая остальные Бобу по своему более совершенному каналу @в идеале по каналу вообще без потерьAF После операции согласования базисовD проводящейся по открытому каналуD Ева получает всю необходимую информацию для достоверного различения имеющихся у не? фотоновD а значитD способна узнать весь ключD не будучи обнаруженнойF Это делает протокол ffVR полностью незащищ?нным перед xEатакойF

Атака на протокол B92
Атака на протокол fWP оказывается ещ? более простойF Она возможна даже в случае строго однофотонного источникаD и для е? проведения достаточно лишь затухания в канале связи между Алисой и БобомF Ева может провести то же измерениеD которое на своей WT


стороне производит БобF В случае совместного исхода Ева получает всю информацию о передаваемом сигналеD и может переслать его Бобу без ошибок @снова используя более совершенный канал для компенсации потерьAF Если же измерение дало несовместный исходD то Ева попросту блокирует импульсF При такой атаке Ева получает всю информациюD не будучи обнаруженнойF Следует отметитьD что формально описанная атака даже не попадает под определение xEатакиD так как не использует операцию разделения фотоновF Эта атака возможна не в случае передачи многофотонных лазерных испульсовD а при использовании неидеального канала связи с потерями больше некоторого критического уровняF Таким образомD протокол fWP оказывается значительно более уязвимым для подобного подслушиванияF

Критическая длина линии связи
Важным фактором в ообоих описанных схемах атаки является компенсация дополнительного затуханияD вызванного блокировкой части импульсов ЕвойX при отсутствии подобной компенсации Ева может быть обнаружена по дополнительным показателям затуханияF Так как исходные потери в канале зависят от его длиныD то Ева может компенсировать блокировку всех однофотонных импульсов только при использовании достаточно длинного канала между Алисой и БобомF ПокажемD как именно оценивается критическая длина канала при xEатаке на протокол ffVRF Число фотонов в лазерном импульсе распределено по закону Пуассона e-ч чn , @RFPA p(n) = n! где ч " среднее число фотоновD обычно приблизительно WU


равное 0.1F Вероятность испускания состояния с одним фотоном равна @RFQA p1 = чe-ч , а вероятность генерации импульса с несколькими @n 2A фотонами равна

p

2

=1-e

-ч

- чe-ч .

@RFRA

В этих выражениях e-ч " вероятность вакуумной компонентыD то есть состояния без фотоновF Доля фотоновD которые достигнут при?мной стороны в канале длины L с коэффициентом поглощения равна

(p1 + p2 )10-

L/10

.

@RFSA

Для стандартных современных одномодовых волокон типа wpEPV значение коэффициента поглощения составляет = 0.18 - 0.2 дБGкмF В привед?нной формуле была использована консервативная в пользу Евы оценкаD так как вероятности достижения при?мной стороны отличаются для состояний с разным количеством фотоновD а чем меньше вероятность достижения при?мникаD тем больше возможности Евы по перехватуF Действия Евы при проведении xEатаки сводятся к следующемуF Не меняя общей доли достигающих Боба посылокD Ева должна блокировать как можно больше однофотонных сигналовD оставляя у себя один из фотонов в случае обнаружения многофотонного импульсаF В идеальной для не? ситуации Ева должна блокировать все однофотонные компонентыD таким образом получая всю информацию о передаваемом ключеF Она может это сделать в том случаеD когда количество испускаемых многофотонных испульсов @RFRA оказывается не меньше количества достигающий при?мной стороны сигналов WV


@RFSAF Так как величина @RFSA является константой протокола и зависит от длины линии связи LD можно говорить о критической величине расстояния между Алисой и БобомD до которого xEатака оказывается неприменимойF Таким образомD целью противодействия xEатаке является увеличение критической длины линии связиX чем она большеD тем более устойчивым является протоколF

4.3 Протокол 4+2
ПротоколD названный ?RCP?VD был первой попыткой противостояния xEатакеF Его идея таковаX раз xE уязвимость протокола ffVR вызвана темD что после согласования базисов Ева может получить точную информацию о передаваемом состоянииD то можно сделать состояния внутри каждого базиса неортогональнымиD тем самым сделав для Евы невозможным точное определение передаваемого состояния даже при известном базисеF В то же время если Ева решит провести то же измерениеD что производит на своей стороне БобD то это приведет к ситуацииD похожей на явное просушивание протокола ffVRX Ева внесет в канал ошибкуD провизводя измерение в наугад выбранном базисеD и е? вмешательство будет обнаруженоF Так как на неортогональных состояниях основан протокол fWPD то можно считатьD что в протоколе RCP используется своеобразная комбинация протоколов ffVR и fWPD отсюда и его названиеF

Сигнальные состояния протокола
В качестве примера такой конфигурации состояний удобно взять набор из четырех состоянийD которые лежат в двух WW


перпендикулярных плоскостях на сфере ПуанкареD но не являются ортогональнымиD например @различные базисы обозначены как X и Y AX |0x = cos |0 + sin |1 , |1x = cos |0 - sin |1 , 2 2 2 2 |0y = cos |0 + i sin |1 , |1y = cos |0 - i sin |1 . 2 2 2 2 @RFTA Здесь наложение векторов каждого базиса равно 0x |1x = 0y |1y = cos2 - sin2 = cos . 2 2

Возможность взлома 4+2
На первых взгляд такой подход способен защитить от xEатакиF Однако при более подробном рассмотрении оказываетсяD что этот протокол не способен дать существенной защитыX авторы I показалиD что Ева может провести следующее измерениеD которое они назвали фильтрацией @(lteringAX

Aok =

@RFUA gуть его в томD что оно в случае успеха делает состояния из базиса X оротогальнымиD проецируя их на 1 | + x = 2 (|0 + |1 )D а с некоторой вероятностью неудачи да?т несовместный исходF Проблема протокола RCP в томD что это же измерение может сделать ортогональными и состояния в базисе Y F Покажем этоF Оператор плотности состояния после измерения Ai переходит в одно из соостояний i X

1 (|+x 1 |+|-x 0 |), x x 1 + cos

A? =

I - Aok A . ok

i =

Ai A i . r(Ai A ) i
IHH

@RFVA


В нашем случае имеем

Aok |0y 0y |A = ok = 1 (| + x 1 | + | - x 0 |)|0y 0y |(|1 x x x 1 + cos 2 cos2 sin2 2 2 +|0x -x|) = (| + x 1 + cos +| - x -x| + i| + x -x| - i| - x = (1 - cos )| + +x| + +x| + +x|) = y +y |,

аналогично

Aok |1y 1y |A = (1 - cos )| - y -y |, ok
1 где | + y = 2 (|0 + i|1 ) Таким образомD указанное измерение фильтрации способно свести посылаемые состояния к парам ортогональных состоянийD то есть фактически атака на протокол RCP сводится к атаке на протокол ffVRF Действия Евы таковыX при получении совместного исхода фильтрации она оставляет у себя одну из частиц и после процедуры согласования базисов получает из не? полную информациюF В случае же несовместного исхода Ева блокирует импульсF В итоге при указанных действиях Евы протокол RCP также оказывается незащищ?нным против xEатакиF

4.4 Протокол SARG04
Авторы ID наряду с демонстрацией уязвимости протокола RCPD предложили также способ противостояния подобным действиям перехватчикаF Проблема протокола RCPD как IHI


видноD в томD что возможно проведение измеренияD которое бы делало @с некоторой ненулевой вероятностьюA ортогональными состояния в каждой паре базисовF Была придумана схожая конфигурация векторовD при которой проведение подобного измерения становится невозможнымF

Невозможность различающего измерения
В общем случае требование к конфигурации векторов таковоX пары векторов из разных базисов не должны быть связаны унитарным преобразованиемF Если это требование выполняетсяD то возможность проведения фильтрации со стороны Евы исключаетсяF ПояснимD почему это происходитF Пусть есть две пары базисов " ?? и ??X a : {|0a , |1a }

b : {|0b , |1b },
и векторы из разных базисов связаны унитарным преобразованием U X

|0b |1b
илиD иначеX

=U

|0a |1a

,

@RFWA

|0b = u11 |0a + u12 |1a |1b = u21 |0a + u22 |1a .

@RFIHA

Если Ева теперь проводит фильтрациюD проектируя исходные состояния из базиса ?? на ортогональные состояния {|0a , |1a }D то это измерение можно описать такX

M |i

a

1 = |ia , pa
IHP

i = 0, 1,

@RFIIA


векторы же из базиса ?? будутD по линейностиD отображаться следующим образомX

1 M |0b = M (u11 |0a + u12 |1a ) = (u11 |0a + u12 |1a ) pa 1 M |1b = M (u21 |0a + u22 |1a ) = (u21 |0a + u22 |1a ). pa @RFIPA
Тогда наложение векторов в базисе ?? после такого преобразования будет равно

| 0b |1b | = |u11 u21 + u12 u22 |,

@RFIQA

а из определения унитарного преобразования @U U = U U = I A следует свойство u11 u21 + u12 u22 = 0D и это значитD что для всякого унитарного преобразованияD связывающего состояния из разных базисовD Ева сможет подобрать измерениеD проектирущее векторы каждого базиса на ортогональные состоянияF И напротивD если векторы связаны преобразованиемD отличным от унитарногоD то выполнение неравенства

|u11 u21 + u12 u22 | > | 0a |1a |

@RFIRA

гарантируетD что любое измерениеD делающее ортогональным состояния одной пары базисовD будет неминуемо уменьшать угол между состояниями другой парыD делая их менее различимымиF А именно это и нужно протоколу для противостояния xEатакеF

Описание протокола
Протокол eqHR основывается на показанном выше свойствеX при определенной конфигурации состояний IHQ


Ева уже не сможет провести процедуру фильтрацииD которая бы делала ортогональными состояния в каждой паре базисовF КонфигурацияD предложенная его авторами @IIAD выглядит такX

|0a = |0b =

cos sin

2 2 2

, ,

|1a = |1b =

cos 2 - sin sin cos

sin 2 - cos

2 2 2

,
@RFISA

.

Это две пары базисовX {|0a , |1a } и {|0b , |1b }F В каждом из базисов угол между векторами равен X

0a |1a = cos ,

0b |1b = - cos ,

состояния же из разных базисов связаны соотношениями

0a |0b = 1a |1b = 0, 0a |1b = 1a |0b = sin .
Рассмотрим теперьD способна ли такая конфигурация векторов препятствовать проедению xEатакиF Связь между векторами разных базисов да?тся соотношением

|0b = c|0a + c |1a |1b = c |0a + c|1a , 1 cos , c= . sin sin Конфигурация состояний протокола показана на рисF RFIF Как нетрудно видетьD значение величины перекрытия @RFIRA тут равно c=- 2cc = 2 cos cos , sin2
IHR где


Геометрия состояний в протоколе SARG04: обычными векторами показаны состояния, относящиеся к базису ?a?, жирными к базису ?b?. Состояния 0 и 1 из разных базисов взаимно ортогональны.
РисF RFIX а значитD как было показано ранееD этот протокол способен эффективно противостоять xEатакеF Стойкость протокола против xEатаки может быть нарушена только в том случаеD когда перехватчик обладает способностью блокировать все посылкиD содержащие один и два фотонаD а для посылокD содержащих три фотонаD измерять два из них в разных базисахD блокируя импульс при получении хотя бы одного несовместного исходаF Так как при угле между состояниямиD меньшем /4D вероятность получения несовместного исхода хотя бы при одном измерении оказывается больше cos2 = 1/2D то можно считатьD что 4 для эффективного прослушивания протокола eqHR Ева должна обладать возможностью блокировать и тр?хфотонные посылкиF Таким образомD протокол теряет секретность в случаеD когда Ева может блокировать все одноED двухE и тр?хфотонные посылкиD что означает существенно б? ольшую защищ?нность против xEатакиD чем при использовании протокола ffVRF В работе II был также показан важный частный случай этого протоколаD который использует те же IHS


сигальные состоянияD что и протокол ffVRD но с другой техникой кодирования информацииD благодаря чему ценой скорости передачи данных улучшается стойкость против xEатакиF Этот частный случай рассматривает угол D равный D тогда сигнальными состояниями можно 4 считать @после поворотаA | + x и | + z D как и в случае ffVRF Использование тех же сигнальных состояний предпочтительно с точки зрения простоты технической реализацииF Боб теперь также случайно меряет компоненту x или z D но при публичном согласовании вместо базиса Алиса называет одну из четырех пар состояний Am,n D где m, n {+1}F СчитаетсяD что сигнал 0 кодируется состояниями | + x D а 1 " состояниями | + z F НапримерD если Алиса хочет послать сигнал 1D она может послать состояние | - z и публично объявить пару A+,- F Тогда Боб сможет достоверно распознать этот результат лишь в случаеD если он мерил x и получил -1F При получении результата +1 он не сможет понятьD хотела ли Алиса послать ему 0 в базисе x или чтоE либо в базисе z D а измерив z D Боб обязательно получит -1D но не будет знатьD из какого базиса посылалось состояниеD так как Алиса могла бы использовать и базис x F Таким образомD после согласования базисов у Алисы и Боба совпадет четверть посланных сигналовD и скорость передачи в таком протоколе будет вдвое меньшеD чем в протоколах ffVR и fWPF

IHT


Задачи
IF Было приготовлено одно из состоянийX {|0 , |1 }F Посчитать вероятности каждого из исходов при измерении его наблюдаемойX
0 1 a)M+ : M+ = |0 0|, M+ = |1 1|,

@RFITA

1 0 b)MЧ : MЧ = (|0 + |1 )( 0| + 1|), 2 1 1 MЧ = (|0 - |1 )( 0| - 1|). 2 В каком состоянии окажется система измерения в обоих случаяхc

@RFIUA после

1 PF Было приготовлено состояниеX 2 (|0 + |1 )F Затем оно было измерено аA наблюдаемой @RFITA бA наблюдаемой @RFIUAF Результат наблюдения неизвестенF В каком состоянии будет система после измеренияc 1 QF Над состоянием 2 (|0 - |1 ) было произведено измерение наблюдаемой @RFITAD а затем наблюдаемой @RFIUAF Какова вероятность каждой возможной пары исходовc Каковы будут эти вероятностиD если указанные измерения провести в обратном порядкеc

IHU


RF В протоколе fWPD использующем два неортогональных состояния | и | D применяется ?измерение с тремя исходами? @PFIIAF Какова вероятность получения каждого из исходов этого измеренияc Как преобразуется состояние | после этого измеренияc В чем смысл множителя 1/(1 + | ) перед операторами M0 и M1 c SF


Как будет выглядеть расширение Наймарка для ?измерения с тремя исходами? @PFIIAc

TF Ева атакует протокол ffVR методом приемаE перепосыла с параметром p " вероятностью измерения данного сигналаF Если сигнал не измеряетсяD соответствующее значение битовой строки угадываетсяF Посчитать вероятность ошибки на стороне Боба и на стороне Евы при такой атакеF При каком критическом значении ошибки на приемной стороне вероятность ошибки Боба перестанет быть меньше вероятности ошибки Евыc UF Ева атакует протокол fWP методом приемаE перепосылаF Параметр протокола " угол между сигнальными состояниямиD " равен cos F Параметр атаки " вероятность измерения каждого сигналаD " равен pF Найти величину ошибки на приемной сторонеD до которой ошибка Евы при такой атаке оказывается большеF VF Алиса передает Бобу по квантовому каналу одно 1 из состояний {|0 , 2 (|0 + |1 )}F Ева добавляет к нему анциллу в состоянии |0 и производит над получившейся парой кубитов преобразование gxyF Какие состояния окажутся после этого в распоряжении Боба и Евыc IHV


WF Написать представление Крауса для каналаD в котором Ева применяет атаку ?приемEперепосыл? с параметром p " вероятностью измерения кубита аA для протокола ffVR бA для протокола fWPF IHF Написать представление Крауса для ?прозрачного? подслушивания с параметром Q " вероятностью ошибки на приемной стороне аA для протокола ffVR бA для протокола fWPF


IIF

Написать представление Стайнспринга для атаки методом ?приемEперепосыл? с параметром p " вероятностью измерения кубита аA для протокола ffVR бA для протокола fWPF


IPF

Написать представление Стайнспринга для ?прозрачного? подслушивания с параметром Q " вероятностью ошибки на приемной стороне аA для протокола ffVR бA для протокола fWPF


IQF Сформулировать протокол ЭПРEсостояний @протокол ЭкертаA и обосновать его стойкостьF IRF Вычислить критическую длину линии связи для протокола fWP как функцию значения угла между сигнальными состояниямиD интенсивности лазерного излучения и затухания в канале связиF ISF Вычислить критическую длину линии связи для протоколов ?RCP? и eqHR как функцию значения угла между состояниями внутри базисовD интенсивности лазерного излучения и затухания в канале связиF

IHW


Литература
I goherentEpulse impleE menttions of quntum ryptogrphy protools resistnt to photonEnumerEsplitting ttks GG hysF evF e " PHHRF " olF TWD HIPQHWF

Acin A., Gisin N., and Scarani V.

P

Bennett C.H.

untum gryptogrphy using ny wo xonortogonl ttes GG hysF evF vettF " IWWPF "olF TVD QIPIF

Q

Bennett C.H., Brassard G. Carter J.L., Wegman M.N. Die W., Hel lman M.E.

untum gryptogrphyX uli uey histriution nd goin ossing GG roFof siii sntF gonfF on gomputF ysF nd ignF roesFD fnE gloreD sndiD " IWVRF " pF IUS !IUWF niversl lsses of hsh funtions GG tournl of gomputer nd ystem ienes " IWUWF " olF IVD IRQF xew hiretions in gryptogrE phy GG siii rnstions on snformtion heory " IWUTF " olF PPD TRRF

R

S

T

Einstein A., Podolsky B., Rosen N.

gn quntumE mehnil desription of physil relity e onsidered ompletec GG hysF evF e " IWQSF " olF RUD UUUF

IIH


U V

untum hetetion nd istimtion heE ory GG edemi ressD IWUTF untum rypE togrphy with oherent sttes GG hysF evF e " IWWSF " olF SID IVTQF

Helstrom C.W.

Huttner B., Imoto N., Gisin N., Mor T.

W IH

Renner R.

eurity of untum uey histriution GG rE ivX quntEphGHSIPPSVF

Rivest R.L., Shamir A., Ad leman L.

e method for oE tining digitl signture nd puli key ryptosystems GG gommunF egw " IWUVF " olF PID IPHF untum gryptogrphy rotools oust ginst hoton xumer plitting ettks for ek vser ulse smplementtions GG hysF evF vettF " PHHRF " olF WPD HSUWHIF

II

Scarani V., Acin A., Ribordy G., Gisin N.

IP IQ

Shannon C.E. Shor P.W.

wthemtil heory of gommunition GG fell ystF ehF tourFD IWRVF heme for reduing deoherene in quntum omputer memory GG hysF evF e " IWWSF " olF SPD PRWQF

IR

Shor P.W.

olynomilEtime lgorithms for prime ftorE iztion nd disrete logrithms on quntum omputer GG sew tFiFttistFgomputF " IWWUF " olF PTD IRVRF

IS

Shor P.W., Preskil l J. Vernam G.S.

imple proof of seurity of the ffVR quntum key distriution protool GG hysF evF vettF " PHHHF " olF VSD RRIF gipher printing telegrph systems for seret wire nd rdio telegrphi ommunitions GG tournl of the siii " IWPTF "olF SSD IHWF III

IT


IU IV

Галлагер Р.

Теория информации и надежная связьF " МFX СовF РадиоD IWURF

Молотков С.Н.

О коллективной атаке на ключ в квантовой криптографии на двух неортогональных состояниях GG Письма в ЖЭТФ " PHHRF " ТF VHD TQWF

IW

Молотков С.Н., Тимофеев А.В. Нильсен М., Чанг И.

Явная атака на ключ в квантовой криптографии @протокол ffVRAD достигающая теоретического предела ошибки Qc 11% GG Письма в ЖЭТФD PHHUD F VSD СF TQP !TQUF Квантовые вычисления и квантовая информация " МFX МирD PHHTF

PH PI PP PQ PR

в квантовую информацииF " МFX МЦНМОD PHHPF Квантовые системыD информацияF " МFX МЦНМОD PHIHF

Смарт Н. Криптография Холево А.С. Введение

" МFX ТехносфераD PHHTF теорию каналыD

Холево А.С.

Холево А.С.

Некоторые оценки для количества информацииD передаваемого квантовым каналом связи GG Проблемы передачи информации " IWUQF " ТF W ВыпFQD СF Q!II МFX МЦНМОD PHHHF

PS

Под ред. В.В.Ященко

Введение в криптографиюF "

IIP