Crittografia quantistica

La crittografia quantistica è un argomento generale che copre un’ampia gamma di pratiche e protocolli crittografici. Alcune delle applicazioni e dei protocolli più importanti sono discussi di seguito.

Quantum key distributionEdit
Crittografia quantistica diffidantemodifica
Quantum coin flippingEdit
Quantum commitmentEdit
Bounded – and noisy-quantum-storage modelEdit
Crittografia quantistica basata sulla posizionemodifica
Crittografia quantistica indipendente dal dispositivomodifica

Quantum key distributionEdit

Articolo principale: Quantum key distribution

L’applicazione più nota e sviluppata della crittografia quantistica è quantum key distribution (QKD), che è il processo di utilizzo della comunicazione quantistica per stabilire una chiave condivisa tra due parti (Alice e Bob, ad esempio) senza che una terza parte (Eve) impari nulla su quella chiave, anche se Eve può origliare tutte le comunicazioni tra Alice e Bob. Se Eve cerca di apprendere informazioni sulla chiave che viene stabilita, sorgeranno discrepanze che faranno notare Alice e Bob. Una volta stabilita la chiave, viene in genere utilizzata per la comunicazione crittografata utilizzando tecniche classiche. Ad esempio, la chiave scambiata potrebbe essere utilizzata per la crittografia simmetrica (ad esempio One-time pad).

La sicurezza della distribuzione di chiavi quantistiche può essere dimostrata matematicamente senza imporre alcuna restrizione alle capacità di un intercettatore, cosa non possibile con la distribuzione di chiavi classica. Questo è solitamente descritto come” sicurezza incondizionata”, anche se ci sono alcune ipotesi minime richieste, tra cui che si applicano le leggi della meccanica quantistica e che Alice e Bob sono in grado di autenticarsi l’un l’altro, cioè Eve non dovrebbe essere in grado di impersonare Alice o Bob altrimenti sarebbe possibile un attacco man-in-the-middle.

Mentre QKD è apparentemente sicuro, le sue applicazioni affrontano la sfida della praticità. Ciò è dovuto alla distanza di trasmissione e ai limiti della velocità di generazione delle chiavi. Gli studi in corso e la crescente tecnologia hanno permesso ulteriori progressi in tali limitazioni. Nel 2018 Lucamarini et al. proposto uno schema QKD a doppio campo in grado di superare il ridimensionamento della perdita di velocità di un canale di comunicazione con perdita. Il tasso del protocollo twin field ha dimostrato di superare la capacità di accordo chiave segreta del canale lossy, noto come repeater-less PLOB bound, a 340 km di fibra ottica; il suo tasso ideale supera questo limite già a 200 km e segue la scala di perdita di velocità della capacità di accordo chiave segreta assistita da ripetitore più alta (vedi figura 1 di per maggiori dettagli). Il protocollo suggerisce che i tassi chiave ottimali sono realizzabili su “550 chilometri di fibra ottica standard”, che è già comunemente usato nelle comunicazioni di oggi. Il risultato teorico è stato confermato nella prima dimostrazione sperimentale di QKD oltre il limite di perdita di tasso da Minder et al. nel 2019, che è stato caratterizzato come il primo ripetitore quantistico efficace. Uno degli sviluppi notevoli in termini di raggiungimento di tariffe elevate a lunghe distanze è la versione sending-not-sending (SNS) del protocollo TF-QKD.

Crittografia quantistica diffidantemodifica

Nella crittografia diffidente le parti partecipanti non si fidano l’una dell’altra. Ad esempio, Alice e Bob collaborano per eseguire alcuni calcoli in cui entrambe le parti inseriscono alcuni input privati. Ma Alice non si fida di Bob e Bob non si fida di Alice. Pertanto, un’implementazione sicura di un’attività crittografica richiede che dopo aver completato il calcolo, Alice possa essere garantita che Bob non abbia truffato e Bob possa essere garantito che Alice non abbia truffato neanche. Esempi di compiti nella crittografia diffidente sono schemi di impegno e calcoli sicuri, questi ultimi inclusi gli ulteriori esempi di lancio di monete e trasferimento ignaro. La distribuzione delle chiavi non appartiene all’area della crittografia diffidente. La crittografia quantistica diffidente studia l’area della crittografia diffidente usando i sistemi quantistici.

In contrasto con la distribuzione delle chiavi quantistiche in cui la sicurezza incondizionata può essere raggiunta basata solo sulle leggi della fisica quantistica, nel caso di vari compiti nella crittografia diffidente ci sono teoremi no-go che dimostrano che è impossibile ottenere protocolli incondizionatamente sicuri basati solo sulle leggi della fisica quantistica. Tuttavia, alcuni di questi compiti possono essere implementati con sicurezza incondizionata se i protocolli sfruttano non solo la meccanica quantistica ma anche la relatività speciale. Ad esempio, l’impegno di bit quantistico incondizionatamente sicuro è stato dimostrato impossibile da Mayers e da Lo e Chau. Incondizionatamente sicuro ideal quantum coin flipping è stato dimostrato impossibile da Lo e Chau. Inoltre, Lo ha dimostrato che non ci possono essere protocolli quantistici incondizionatamente sicuri per un trasferimento ignaro su due e altri calcoli sicuri a due parti. Tuttavia, i protocolli relativistici incondizionatamente sicuri per il lancio di monete e l’impegno di bit sono stati dimostrati da Kent.

Quantum coin flippingEdit

Articolo principale: Quantum coin flipping

A differenza della distribuzione delle chiavi quantistiche, quantum coin flipping è un protocollo utilizzato tra due partecipanti che non si fidano l’uno dell’altro. I partecipanti comunicano tramite un canale quantistico e scambiano informazioni attraverso la trasmissione di qubit. Ma poiché Alice e Bob non si fidano l’uno dell’altro, ognuno si aspetta che l’altro imbrogli. Pertanto, è necessario uno sforzo maggiore per garantire che né Alice né Bob possano ottenere un vantaggio significativo sull’altro per produrre un risultato desiderato. La capacità di influenzare un particolare risultato è indicata come un pregiudizio, e c’è un focus significativo sullo sviluppo di protocolli per ridurre il pregiudizio di un giocatore disonesto, altrimenti noto come imbroglio. I protocolli di comunicazione quantistica, tra cui quantum coin flipping, hanno dimostrato di fornire significativi vantaggi di sicurezza rispetto alla comunicazione classica, anche se possono essere considerati difficili da realizzare nel mondo pratico.

Un protocollo coin flip generalmente si verifica in questo modo:

Alice sceglie una base (rettilinea o diagonale) e genera una stringa di fotoni da inviare a Bob in quella base.
Bob sceglie casualmente di misurare ogni fotone in una base rettilinea o diagonale, notando quale base ha usato e il valore misurato.
Bob indovina pubblicamente quale base Alice ha usato per inviare i suoi qubit.
Alice annuncia la base che ha usato e invia la sua stringa originale a Bob.
Bob conferma confrontando la stringa di Alice al suo tavolo. Dovrebbe essere perfettamente correlato con i valori misurati da Bob usando la base di Alice e completamente non correlato con il contrario.

Barare si verifica quando un giocatore tenta di influenzare, o aumentare la probabilità di un particolare risultato. Il protocollo scoraggia alcune forme di imbroglio; ad esempio, Alice potrebbe imbrogliare al passaggio 4 sostenendo che Bob ha indovinato erroneamente la sua base iniziale quando ha indovinato correttamente, ma Alice avrebbe quindi bisogno di generare una nuova stringa di qubit che si correla perfettamente con ciò che Bob ha misurato nella tabella opposta. La sua possibilità di generare una stringa corrispondente di qubit diminuirà esponenzialmente con il numero di qubit inviati, e se Bob nota una mancata corrispondenza, saprà che stava mentendo. Alice potrebbe anche generare una stringa di fotoni usando una miscela di stati, ma Bob vedrebbe facilmente che la sua stringa correlerà parzialmente (ma non completamente) con entrambi i lati del tavolo e saprà che ha truffato nel processo. C’è anche un difetto intrinseco che viene fornito con i dispositivi quantistici attuali. Errori e qubit persi influenzeranno le misure di Bob, con conseguente fori nella tabella di misura di Bob. Perdite significative nella misurazione influenzeranno la capacità di Bob di verificare la sequenza di qubit di Alice nel passaggio 5.

Un modo teoricamente sicuro per Alice di imbrogliare è utilizzare il paradosso di Einstein-Podolsky-Rosen (EPR). Due fotoni in una coppia EPR sono anticorrelati; cioè, saranno sempre trovati ad avere polarizzazioni opposte, a condizione che siano misurati nella stessa base. Alice potrebbe generare una stringa di coppie EPR, inviando un fotone per coppia a Bob e memorizzando l’altro da sola. Quando Bob afferma la sua ipotesi, potrebbe misurare la sua coppia di fotoni EPR nella base opposta e ottenere una correlazione perfetta con la tabella opposta di Bob. Bob non avrebbe mai saputo che ha barato. Tuttavia, questo richiede capacità che la tecnologia quantistica attualmente non possiede, rendendo impossibile fare in pratica. Per eseguire con successo questo, Alice avrebbe bisogno di essere in grado di memorizzare tutti i fotoni per una quantità significativa di tempo e misurarli con un’efficienza quasi perfetta. Questo perché qualsiasi fotone perso nella memoria o nella misurazione si tradurrebbe in un buco nella sua stringa che avrebbe dovuto riempire indovinando. Più ipotesi deve fare, più rischia di essere scoperta da Bob per aver imbrogliato.

Quantum commitmentEdit

Oltre al lancio di monete quantistiche, i protocolli di impegno quantistico vengono implementati quando sono coinvolte parti diffidenti. Uno schema di impegno consente a una parte Alice di fissare un certo valore (“commit”) in modo tale che Alice non possa cambiare quel valore mentre allo stesso tempo assicura che il destinatario Bob non possa imparare nulla su quel valore finché Alice non lo rivela. Tali schemi di impegno sono comunemente usati nei protocolli crittografici (ad esempio, lancio di monete quantistiche, prova di conoscenza zero, calcolo sicuro a due parti e trasferimento ignaro).

Nell’impostazione quantistica, sarebbero particolarmente utili: Crépeau e Kilian hanno dimostrato che da un impegno e da un canale quantistico, si può costruire un protocollo incondizionatamente sicuro per eseguire il cosiddetto trasferimento ignaro. Il trasferimento ignaro, d’altra parte, era stato dimostrato da Kilian per consentire l’implementazione di quasi tutti i calcoli distribuiti in modo sicuro (il cosiddetto calcolo multipartitico sicuro). (Si noti che qui siamo un po ‘ imprecisi: i risultati di Crépeau e Kilian insieme non implicano direttamente che dato un impegno e un canale quantistico si possa eseguire un calcolo multipartitico sicuro. Questo perché i risultati non garantiscono la “componibilità”, cioè quando li si collega insieme, si potrebbe perdere la sicurezza.

Sfortunatamente, i primi protocolli di impegno quantistico hanno dimostrato di essere difettosi. In effetti, Mayers ha dimostrato che l’impegno quantistico (incondizionatamente sicuro) è impossibile: un attaccante computazionalmente illimitato può rompere qualsiasi protocollo di impegno quantistico.

Tuttavia, il risultato di Mayers non preclude la possibilità di costruire protocolli di impegno quantistico (e quindi protocolli di calcolo multipartitico sicuri) sotto ipotesi molto più deboli delle ipotesi necessarie per i protocolli di impegno che non utilizzano la comunicazione quantistica. Il modello di storage quantistico limitato descritto di seguito è un esempio per un’impostazione in cui la comunicazione quantistica può essere utilizzata per costruire protocolli di impegno. Una svolta nel novembre 2013 offre la sicurezza “incondizionata” delle informazioni sfruttando la teoria quantistica e la relatività, che è stata dimostrata con successo su scala globale per la prima volta. Più recentemente, Wang et al., proposto un altro schema di impegno in cui il” nascondiglio incondizionato ” è perfetto.

Le funzioni fisiche non clonabili possono essere sfruttate anche per la costruzione di impegni crittografici.

Bounded – and noisy-quantum-storage modelEdit

Una possibilità per costruire incondizionatamente sicuro impegno quantistico e quantum obvious transfer (OT) protocolli è quello di utilizzare il bounded quantum storage model (BQSM). In questo modello, si presume che la quantità di dati quantistici che un avversario può memorizzare sia limitata da una costante nota Q. Tuttavia, non viene imposto alcun limite alla quantità di dati classici (cioè non quantistici) che l’avversario può memorizzare.

Nel BQSM, si possono costruire protocolli di impegno e di trasferimento ignari. L’idea di fondo è la seguente: Le parti del protocollo si scambiano più di Q quantum bit (qubit). Poiché anche una parte disonesta non può memorizzare tutte quelle informazioni (la memoria quantistica dell’avversario è limitata a Q qubit), una gran parte dei dati dovrà essere misurata o scartata. Costringere le parti disoneste a misurare gran parte dei dati consente al protocollo di aggirare il risultato dell’impossibilità, l’impegno e i protocolli di trasferimento ignari possono ora essere implementati.

I protocolli del BQSM presentati da Damgård, Fehr, Salvail e Schaffner non presuppongono che i partecipanti onesti al protocollo memorizzino informazioni quantistiche; i requisiti tecnici sono simili a quelli dei protocolli di distribuzione delle chiavi quantistiche. Questi protocolli possono quindi, almeno in linea di principio, essere realizzati con la tecnologia di oggi. La complessità della comunicazione è solo un fattore costante più grande del Q legato sulla memoria quantistica dell’avversario.

Il vantaggio del BQSM è che l’ipotesi che la memoria quantistica dell’avversario sia limitata è abbastanza realistica. Con la tecnologia di oggi, memorizzare anche un singolo qubit in modo affidabile per un tempo sufficientemente lungo è difficile. (Cosa significa “sufficientemente lungo” dipende dai dettagli del protocollo. Introducendo una pausa artificiale nel protocollo, la quantità di tempo in cui l’avversario deve memorizzare i dati quantistici può essere resa arbitrariamente grande.)

Un’estensione del BQSM è il modello noisy-storage introdotto da Wehner, Schaffner e Terhal. Invece di considerare un limite superiore sulla dimensione fisica della memoria quantistica dell’avversario, un avversario è autorizzato a utilizzare dispositivi di memorizzazione quantistica imperfetti di dimensioni arbitrarie. Il livello di imperfezione è modellato da canali quantici rumorosi. Per livelli di rumore abbastanza elevati, è possibile ottenere le stesse primitive del BQSM e il BQSM costituisce un caso speciale del modello noisy-storage.

Nell’impostazione classica, risultati simili possono essere raggiunti quando si assume un limite sulla quantità di dati classici (non quantistici) che l’avversario può memorizzare. È stato dimostrato, tuttavia, che in questo modello anche le parti oneste devono utilizzare una grande quantità di memoria (vale a dire la radice quadrata della memoria dell’avversario). Ciò rende questi protocolli poco pratici per limiti di memoria realistici. (Si noti che con la tecnologia di oggi come i dischi rigidi, un avversario può memorizzare a buon mercato grandi quantità di dati classici.)

Crittografia quantistica basata sulla posizionemodifica

L’obiettivo della crittografia quantistica basata sulla posizione è quello di utilizzare la posizione geografica di un giocatore come sua (unica) credenziale. Ad esempio, si vuole inviare un messaggio a un giocatore in una posizione specificata con la garanzia che può essere letto solo se la parte ricevente si trova in quella particolare posizione. Nel compito di base della verifica della posizione, un giocatore, Alice, vuole convincere i verificatori (onesti) che si trova in un punto particolare. È stato dimostrato da Chandran et al. quella verifica della posizione usando i protocolli classici è impossibile contro gli avversari collusi (che controllano tutte le posizioni tranne la posizione rivendicata dal prover). Sotto varie restrizioni sugli avversari, sono possibili schemi.

Sotto il nome di ‘quantum tagging’, i primi schemi quantistici basati sulla posizione sono stati studiati nel 2002 da Kent. Un brevetto statunitense è stato concesso nel 2006. La nozione di utilizzo di effetti quantistici per la verifica della posizione è apparsa per la prima volta nella letteratura scientifica nel 2010. Dopo diversi altri protocolli quantistici per la verifica della posizione sono stati suggeriti nel 2010, Buhrman et al. ha rivendicato un risultato di impossibilità generale: usando un’enorme quantità di entanglement quantistico (usano un numero doppiamente esponenziale di coppie EPR, nel numero di qubit su cui opera il giocatore onesto), gli avversari collusi sono sempre in grado di far sembrare i verificatori come se fossero nella posizione rivendicata. Tuttavia, questo risultato non esclude la possibilità di schemi pratici nel modello di memorizzazione quantistica limitata o rumorosa (vedi sopra). Successivamente Beigi e König hanno migliorato la quantità di coppie EPR necessarie nell’attacco generale contro i protocolli di verifica della posizione a esponenziale. Hanno anche dimostrato che un particolare protocollo rimane sicuro contro gli avversari che controlla solo una quantità lineare di coppie EPR. Si sostiene che, a causa dell’accoppiamento tempo-energia, la possibilità di una verifica formale della posizione incondizionata tramite effetti quantistici rimane un problema aperto. Vale la pena ricordare che lo studio della crittografia quantistica basata sulla posizione ha anche connessioni con il protocollo del teletrasporto quantistico basato sulla porta, che è una versione più avanzata del teletrasporto quantistico, in cui molte coppie EPR vengono utilizzate contemporaneamente come porte.

Crittografia quantistica indipendente dal dispositivomodifica

Articolo principale: Crittografia quantistica indipendente dal dispositivo

Un protocollo crittografico quantistico è indipendente dal dispositivo se la sua sicurezza non si basa sulla fiducia che i dispositivi quantistici utilizzati siano veritieri. Pertanto, l’analisi della sicurezza di tale protocollo deve considerare scenari di dispositivi imperfetti o addirittura dannosi. Mayers e Yao hanno proposto l’idea di progettare protocolli quantistici utilizzando apparecchi quantistici “auto-test”, le cui operazioni interne possono essere determinate in modo univoco dalle loro statistiche di input-output. Successivamente, Roger Colbeck nella sua tesi ha proposto l’uso di test a campana per verificare l’onestà dei dispositivi. Da allora, diversi problemi hanno dimostrato di ammettere protocolli sicuri e indipendenti dal dispositivo incondizionati, anche quando i dispositivi effettivi che eseguono il test Bell sono sostanzialmente “rumorosi”, cioè lontani dall’essere ideali. Questi problemi includono la distribuzione delle chiavi equantum, l’espansione della casualità e l’amplificazione della casualità.

Nel 2018, studi teorici eseguiti da Arnon – Friedman et al. suggerire che sfruttare una proprietà di entropia che viene successivamente indicata come ” Teorema di accumulo di entropia (EAT)”, un’estensione della proprietà di equipartizione asintotica, può garantire la sicurezza di un protocollo indipendente dal dispositivo.