Kvantová kryptografie

kvantová kryptografie je obecný předmět, který pokrývá širokou škálu kryptografických postupů a protokolů. Některé z nejvýznamnějších aplikací a protokolů jsou popsány níže.

quantum key distributioneditovat
nedůvěřivá kvantová kryptografieeditovat
Quantum coin flippingeditovat
Quantum commitmentEdit
Ohraničené – a hlučné-quantum-skladování modelEdit
kvantová kryptografie založená na poloze
Device-independent kvantové cryptographyEdit

quantum key distributioneditovat

Hlavní článek: Kvantová distribuce klíče

nejlepší známé a vyvinuté aplikace kvantové kryptografie je kvantová distribuce klíče (QKD), což je proces, pomocí kvantové komunikace k vytvoření sdíleného klíče mezi dvěma stranami (Alice a Bob, například) bez třetí strany (Eve) učení o tom nic klíč, i když Eve může odposlouchávat veškerou komunikaci mezi Alicí a Bobem. Pokud se Eve pokusí zjistit informace o zřízeném klíči, vzniknou nesrovnalosti, které způsobí, že si Alice a Bob všimnou. Jakmile je klíč vytvořen, obvykle se používá pro šifrovanou komunikaci pomocí klasických technik. Například vyměněný klíč by mohl být použit pro symetrickou kryptografii (např.

bezpečnost kvantové distribuce klíčů může být prokázána matematicky bez uložení jakýchkoli omezení schopností odposlouchávače, což není možné s klasickou distribucí klíčů. Toto je obvykle popisováno jako „bezpodmínečná bezpečnost“, i když existují určité minimální předpoklady, včetně toho, že platí zákony kvantové mechaniky a že Alice a Bob jsou schopni se navzájem ověřit, tj.

zatímco QKD je zdánlivě bezpečné, jeho aplikace čelí výzvě praktičnosti. Důvodem je přenosová vzdálenost a omezení rychlosti generování klíčů. Probíhající studie a rostoucí technologie umožnily další pokrok v těchto omezeních. V roce 2018 Lucamarini et al. navrhl schéma QKD s dvojitým polem, které může případně překonat škálování ztrátové rychlosti ztrátového komunikačního kanálu. Rychlost twin pole protokolu bylo prokázáno, že překonat tajný klíč-dohoda kapacity ztrátový kanál, známý jako opakovač-méně PLOB vázán na 340 km optických vláken; jeho ideální rychlost předčí tento povinen již při 200 km a navazuje na kurz-ztráta škálování vyšší opakovač-asistované tajný klíč-dohoda kapacity (viz obrázek 1 pro více informací). Protokol naznačuje, že optimální klíčové rychlosti jsou dosažitelné na „550 kilometrech standardního optického vlákna“, které se dnes běžně používá v komunikaci. Teoretický výsledek byl potvrzen v první experimentální demonstraci QKD nad limit ztráty rychlosti Minder et al. v roce 2019, který byl charakterizován jako první účinný kvantový opakovač. Jedním z pozoruhodných vývojů, pokud jde o dosažení vysokých sazeb na dlouhé vzdálenosti, je verze protokolu TF-QKD pro odesílání (SNS).

nedůvěřivá kvantová kryptografieeditovat

v nedůvěřivé kryptografii si zúčastněné strany navzájem nedůvěřují. Například Alice a Bob spolupracují při provádění některých výpočtů, kde obě strany zadávají některé soukromé vstupy. Ale Alice nevěří Bobovi a Bob nevěří Alice. Proto, bezpečné provádění kryptografické úkol vyžaduje, aby po dokončení výpočtu, tak si Alice může být zaručeno, že Bob není podváděl a Bob může být zaručeno, že Alice není podváděl. Příklady úkolů v nedůvěřivý kryptografie jsou závazek systémy a bezpečné výpočty, druhý včetně další příklady mince obracející a oblivious transfer. Distribuce klíčů nepatří do oblasti nedůvěryhodné kryptografie. Nedůvěryhodná kvantová kryptografie studuje oblast nedůvěryhodné kryptografie pomocí kvantových systémů.

na rozdíl od kvantové distribuce klíče, kde nepodmíněné bezpečnosti může být dosaženo pouze na základě zákonů kvantové fyziky, v případě různých úkolů v nedůvěřivý kryptografie tam jsou no-go věty ukazuje, že je nemožné dosáhnout bezpodmínečně bezpečné protokoly pouze na základě zákonů kvantové fyziky. Některé z těchto úkolů však mohou být implementovány s bezpodmínečnou bezpečností, pokud protokoly využívají nejen kvantovou mechaniku, ale také speciální relativitu. Například bezpodmínečně Bezpečný kvantový bitový závazek byl prokázán nemožným Mayersem a Lo a Chau. Bezpodmínečně bezpečné ideální kvantové převrácení mincí ukázalo Lo a Chau nemožné. Lo navíc ukázal, že nemohou existovat bezpodmínečně bezpečné kvantové protokoly pro jeden ze dvou nevšímavých přenosů a další bezpečné výpočty dvou stran. Kent však prokázal bezpodmínečně bezpečné relativistické protokoly pro převrácení mincí a bitové odhodlání.

Quantum coin flippingeditovat

Hlavní článek: Kvantové mince obracející

na Rozdíl od kvantová kryptografie, kvantové mince obracející je protokol, který se používá mezi dvěma účastníky, kteří si vzájemně nedůvěřují. Účastníci komunikují prostřednictvím kvantového kanálu a vyměňují si informace prostřednictvím přenosu qubitů. Ale protože Alice a Bob si navzájem nevěří, každý očekává, že ten druhý podvádí. Proto je třeba vynaložit větší úsilí na to, aby Alice ani Bob nemohli získat významnou výhodu nad druhou, aby dosáhli požadovaného výsledku. Schopnost ovlivnit konkrétní výsledek se označuje jako zaujatost, a je zde významné zaměření na vývoj protokolů ke snížení zaujatosti nepoctivého hráče, jinak známý jako podvádění. Ukázalo se, že kvantové komunikační protokoly, včetně kvantového převrácení mincí, poskytují oproti klasické komunikaci významné bezpečnostní výhody, i když je lze v praktickém světě považovat za obtížné je realizovat.

protokol převrácení mincí se obvykle vyskytuje takto:

Alice si vybere základ (buď přímočarý nebo diagonální)a vygeneruje řetězec fotonů, které na tomto základě pošle Bobovi.
Bob náhodně vybere měřit každý foton v přímých nebo diagonální základě zmínku jejichž základě použil a naměřená hodnota.
Bob veřejně hádá, na jakém základě Alice poslala své qubits.
Alice oznamuje základ, který použila, a pošle svůj původní řetězec Bobovi.
Bob potvrzuje porovnáním Alicina řetězce s jeho tabulkou. Mělo by být dokonale korelováno s hodnotami naměřenými na základě Alice a zcela nekorelováno s opakem.

podvádění nastane, když se jeden hráč pokusí ovlivnit nebo zvýšit pravděpodobnost určitého výsledku. Protokol odrazuje některé formy podvádění, například, Alice mohla podvádět v kroku 4 tvrzením, že Bob nesprávně uhodl její původní základ, pokud uhodl správně, ale Alice by pak třeba vytvořit nový řetězec qubits, že dokonale koreluje s tím, co Bob měří v opačném stolu. Její šance na generování odpovídající řetězec qubits bude klesat exponenciálně s počtem qubits poslal, a když Bob konstatuje nesoulad, bude vědět, že lže. Alice by také mohla generovat řetězec fotonů pomocí směsi stavů, ale Bob by snadno viděl, že její řetězec bude částečně korelovat (ale ne úplně) s oběma stranami stolu, a věděl, že v tomto procesu podváděla. Existuje také inherentní chyba, která přichází se současnými kvantovými zařízeními. Chyby a ztracené qubity ovlivní Bobova měření, což má za následek díry v Bobově měřicí tabulce. Významné ztráty v měření ovlivní Bobovu schopnost ověřit alicinu qubit sekvenci v kroku 5.

jeden teoreticky jistý způsob, jak Alice podvádět, je využít paradox Einstein-Podolsky-Rosen (EPR). Dva fotony v páru EPR jsou antikorelované; to znamená, že bude vždy zjištěno, že mají opačné polarizace za předpokladu, že jsou měřeny na stejném základě. Alice mohla vygenerovat řetězec párů EPR, poslat jeden foton na pár Bobovi a uložit druhý sama. Když Bob uvádí svůj odhad, mohla změřit své párové fotony EPR na opačném základě a získat dokonalou korelaci s bobovou opačnou tabulkou. Bob by se nikdy nedozvěděl, že podváděla. To však vyžaduje schopnosti, které kvantová technologie v současné době nemá, což v praxi znemožňuje. K úspěšnému provedení by Alice musela být schopna ukládat všechny fotony po značnou dobu a měřit je s téměř dokonalou účinností. Je to proto, že jakýkoli foton ztracený v úložišti nebo při měření by měl za následek díru v jejím řetězci, kterou by musela vyplnit hádáním. Čím více dohadů musí udělat, tím více riskuje odhalení Bobem za podvádění.

Quantum commitmentEdit

kromě kvantového převrácení mincí jsou implementovány protokoly kvantového závazku, pokud jsou zapojeny nedůvěřivé strany. Závazek režim umožňuje straně, Alice opravit určité hodnoty („commit“) takovým způsobem, že Alice nemůže změnit hodnotu, a zároveň zajistit, že příjemce Bob nemůže naučit nic o tom, že hodnota, dokud Alice odhaluje. Taková schémata závazků se běžně používají v kryptografických protokolech (např. kvantové převrácení mincí, důkaz nulové znalosti, Bezpečný výpočet dvou stran a zapomnětlivý přenos).

v kvantovém nastavení by byly zvláště užitečné: Crépeau a Kilian ukázali, že ze závazku a kvantového kanálu lze vytvořit bezpodmínečně bezpečný protokol pro provádění tzv. Nevšímavý přenos, na druhé straně, byl prokázán Kilianem, aby umožnil implementaci téměř jakéhokoli distribuovaného výpočtu bezpečným způsobem(tzv. (Všimněte si, že tady jsme trochu nepřesné: výsledky Crépeau a Kilian spolu nemusí přímo znamenat, že daný závazek a kvantový kanál lze provést secure multi-party výpočtu. Je to proto, že výsledky nejsou zárukou „composability“, to znamená, že pokud zapojíte dohromady, jeden by mohl přijít o bezpečnosti.

bohužel se ukázalo, že časné protokoly kvantového závazku jsou chybné. Ve skutečnosti Mayers ukázal, že (bezpodmínečně Bezpečný) kvantový závazek je nemožný: výpočetně neomezený útočník může porušit jakýkoli protokol kvantového závazku.

Přesto, výsledek Mayers nevylučuje možnost výstavby kvantové závazek protokoly (a tedy secure multi-party výpočetní protokoly) podle předpokladů, které jsou mnohem slabší než předpoklady potřebné pro závazek protokoly, které nepoužívají kvantové komunikace. Model omezeného kvantového úložiště popsaný níže je příkladem pro nastavení, ve kterém lze kvantovou komunikaci použít ke konstrukci protokolů závazků. Průlom v listopadu 2013 nabízí „bezpodmínečné“ bezpečnost informací využitím kvantové teorie a teorie relativity, která byla úspěšně prokázána v globálním měřítku poprvé. Poslední dobou, Wang a kol., navrhl další schéma závazku, ve kterém je“ bezpodmínečné skrývání “ dokonalé.

fyzické neklonovatelné funkce mohou být také využity pro konstrukci kryptografických závazků.

Ohraničené – a hlučné-quantum-skladování modelEdit

Jedna možnost postavit bezpodmínečně bezpečné kvantové závazek a kvantové oblivious transfer (OT) protokolů je použít ohraničené kvantové skladování modelu (BQSM). V tomto modelu se předpokládá, že množství kvantových dat, které může protivník uložit, je omezeno nějakou známou konstantou Q. na množství klasických (tj.

v BQSM lze vytvořit závazkové a zapomnětlivé přenosové protokoly. Základní myšlenkou je následující: Strany protokolu si vyměňují více než Q kvantové bity (qubity). Protože i nepoctivé strany nelze uložit všechny informace (kvantové paměti protivníka je omezena na Q qubits), velká část dat bude muset být buď měřené, nebo zlikvidovat. Nutí nepoctivé strany, aby opatření velká část dat umožňuje protokol obejít nemožnost výsledek, odhodlání a zapomíná přenosové protokoly mohou být implementovány.

protokoly v BQSM předložený Damgård, Fehr, Salvail, a Schaffner nepředpokládejte, že upřímný protokolu účastníci ukládat žádné kvantové informace; technické požadavky jsou podobné těm v kvantové distribuce klíče protokoly. Tyto protokoly tak mohou být alespoň v zásadě realizovány s dnešní technologií. Komunikační složitost je pouze konstantním faktorem větším než vázané Q na kvantové paměti protivníka.

výhodou BQSM je, že předpoklad, že kvantová paměť protivníka je omezená, je docela realistický. S dnešní technologií je obtížné spolehlivě uložit i jediný qubit po dostatečně dlouhou dobu. (Co znamená „dostatečně dlouhý“, závisí na podrobnostech protokolu. Zavedením umělé pauzy v protokolu může být doba, po kterou protivník potřebuje ukládat kvantová data, libovolně velká.)

rozšíření bqsm je model hlučného úložiště představený Wehnerem, Schaffnerem a Terhalem. Namísto zvažování horní hranice fyzické velikosti kvantové paměti protivníka může protivník používat nedokonalé kvantové úložné zařízení libovolné velikosti. Úroveň nedokonalosti je modelována hlučnými kvantovými kanály. Pro dostatečně vysoké hladiny hluku lze dosáhnout stejných primitiv jako v BQSM a bqsm tvoří zvláštní případ modelu hlučného úložiště.

v klasickém prostředí lze podobných výsledků dosáhnout při předpokladu vazby na množství klasických (nekvantových) dat, která může protivník uložit. Bylo však prokázáno, že i v tomto modelu musí poctivé strany používat velké množství paměti (konkrétně druhou odmocninu paměti protivníka). Díky tomu jsou tyto protokoly nepraktické pro realistické hranice paměti. (Všimněte si, že s dnešní technologií, jako jsou pevné disky, může protivník levně ukládat velké množství klasických dat.)

kvantová kryptografie založená na poloze

cílem kvantové kryptografie založené na poloze je použít geografickou polohu hráče jako jeho (pouze) pověření. Například, jeden chce poslat zprávu hráči na určené pozici se zárukou, že ji lze přečíst pouze v případě, že se přijímající strana nachází na dané pozici. V základním úkolu ověření pozice chce hráč, Alice, přesvědčit (čestné) ověřovatele, že se nachází v určitém bodě. Ukázalo to Chandran et al. že poloha-ověřování pomocí klasické protokoly je možné proti paktování protivníky (kteří ovládají všechny pozice kromě prover to tvrdil pozici). Pod různými omezeními protivníků jsou možná schémata.

pod názvem „quantum tagging“ byla první kvantová schémata založená na poloze zkoumána v roce 2002 Kentem. Americký patent byl udělen v roce 2006. Pojem použití kvantových efektů pro ověření polohy se poprvé objevil ve vědecké literatuře v roce 2010. Poté, co bylo v roce 2010 navrženo několik dalších kvantových protokolů pro ověření polohy, Buhrman et al. nárokoval výsledek obecné nemožnosti: pomocí obrovské množství kvantového provázání (používají dvojnásob exponenciální počet EPR párů, v počtu qubits poctivý hráč působí na), paktování se protivníci jsou vždy schopni, aby to vypadalo k ověřovatelů, jako kdyby byly na uváděným pozici. Tento výsledek však nevylučuje možnost praktických schémat v modelu omezeného nebo hlučného kvantového úložiště(viz výše). Později Beigi a König vylepšili množství párů EPR potřebných při obecném útoku proti protokolům ověřování polohy na exponenciální. Také ukázali, že určitý protokol zůstává bezpečný proti protivníkům, kteří řídí pouze lineární množství párů EPR. Argumentuje se tím, že díky spojení času a energie zůstává možnost formálního bezpodmínečného ověření polohy pomocí kvantových efektů otevřeným problémem. Stojí za zmínku, že studie z pozice založené na kvantové kryptografie má také spojení s protokolem z port-based kvantová teleportace, což je pokročilejší verze kvantové teleportace, kde mnoho EPR páry jsou současně použít jako porty.

Device-independent kvantové cryptographyEdit

Hlavní článek: Device-independent kvantové kryptografie

kvantový kryptografický protokol je nezávislý na zařízení, pokud je jeho bezpečnost není závislý na důvěře v to, že kvantové zařízení použity, jsou pravdivé. Bezpečnostní analýza takového protokolu tedy musí zvážit scénáře nedokonalých nebo dokonce škodlivých zařízení. Mayers a Yao navrhli myšlenku navrhování kvantových protokolů pomocí kvantového aparátu“ self-testing“, jehož vnitřní operace mohou být jednoznačně určeny jejich vstupně-výstupní statistikou. Následně Roger Colbeck ve své práci navrhl použití Bell testů pro kontrolu poctivosti zařízení. Od té doby, několik problémů bylo prokázáno, že přiznat bezpodmínečné bezpečné a zařízení-nezávislé protokoly, i když skutečné zařízení, provádění Bell testu jsou podstatně „hlučné“, tj. zdaleka ideální. Tyto problémy zahrnujírozdělení kvantového klíče, rozšíření náhodnosti a zesílení náhodnosti.

v roce 2018 provedly teoretické studie Arnon-Friedman et al. naznačují, že využití majetku entropie, který je později označován jako „Entropie Akumulace Věta (JÍST)“ , prodloužení Asymptotické rovnoměrné majetku, může zaručit bezpečnost zařízení nezávislý protokol.