kvantekryptografi er et generelt emne, der dækker en bred vifte af kryptografiske praksis og protokoller. Nogle af de mest bemærkelsesværdige applikationer og protokoller diskuteres nedenfor.
Kvantetastfordelingrediger
den mest kendte og udviklede anvendelse af kvantekryptografi er kvantenøgledistribution (KVANTETASTFORDELING), som er processen med at bruge kvantekommunikation til at etablere en delt nøgle mellem to parter (Alice og Bob, for eksempel) uden at en tredjepart (Eve) lærer noget om den nøgle, selvom Eve kan aflytte al kommunikation mellem Alice og Bob. Hvis Eva forsøger at lære oplysninger om nøglen, der etableres, vil der opstå uoverensstemmelser, der får Alice og Bob til at lægge mærke til det. Når nøglen er etableret, bruges den derefter typisk til krypteret kommunikation ved hjælp af klassiske teknikker. For eksempel kan den udvekslede nøgle bruges til symmetrisk kryptografi (f.eks.
sikkerheden ved kvantenøgledistribution kan bevises matematisk uden at indføre nogen begrænsninger for en aflytters evner, noget der ikke er muligt med klassisk nøglefordeling. Dette beskrives normalt som” ubetinget sikkerhed”, selvom der er nogle minimale antagelser, der kræves, herunder at kvantemekanikens love gælder, og at Alice og Bob er i stand til at autentificere hinanden, dvs.
mens KKD tilsyneladende er sikker, står dens applikationer over for udfordringen med praktisk. Dette skyldes transmissionsafstand og nøglegenereringshastighedsbegrænsninger. Igangværende undersøgelser og voksende teknologi har muliggjort yderligere fremskridt inden for sådanne begrænsninger. I 2018 Lucamarini et al. foreslået en dobbelt-felt KKD-ordning, der muligvis kan overvinde hastigheden-tab skalering af en tabsfri kommunikationskanal. Hastigheden af tvillingfeltprotokollen blev vist at overvinde den hemmelige nøgle-aftalekapacitet for den tabte kanal, kendt som repeater-mindre PLOB bundet, ved 340 km optisk fiber; dens ideelle hastighed overgår denne bundet allerede ved 200 km og følger hastigheden-tab skalering af den højere repeater-assisterede hemmelige nøgle-aftalekapacitet (se figur 1 af for flere detaljer). Protokollen antyder, at optimale nøgletal kan opnås på “550 kilometer standard optisk fiber”, som allerede er almindeligt anvendt i kommunikation i dag. Det teoretiske resultat blev bekræftet i den første eksperimentelle demonstration af KKD ud over hastighedstabsgrænsen af Minder et al. i 2019, som er blevet karakteriseret som den første effektive kvante repeater. En af de bemærkelsesværdige udviklinger med hensyn til at opnå høje priser på lange afstande er sending-not-sending (SNS)-versionen af TF-KKD-protokollen.
mistroisk kvantekryptografirediger
i mistroisk kryptografi stoler de deltagende parter ikke på hinanden. For eksempel samarbejder Alice og Bob om at udføre en beregning, hvor begge parter indtaster nogle private input. Men Alice stoler ikke på Bob, og Bob stoler ikke på Alice. Således kræver en sikker implementering af en kryptografisk opgave, at Alice efter afslutningen af beregningen kan garanteres, at Bob ikke har snydt, og Bob kan garanteres, at Alice heller ikke har snydt. Eksempler på opgaver i mistroisk kryptografi er forpligtelsesordninger og sikre beregninger, sidstnævnte inklusive de yderligere eksempler på møntflip og glemsom overførsel. Nøglefordeling hører ikke til området mistroisk kryptografi. Mistroisk kvantekryptografi studerer området mistroisk kryptografi ved hjælp af kvantesystemer.
i modsætning til kvantenøglefordeling, hvor ubetinget sikkerhed kun kan opnås baseret på kvantefysikens love, er der i tilfælde af forskellige opgaver i mistroisk kryptografi no-go-sætninger, der viser, at det er umuligt at opnå ubetinget sikre protokoller, der kun er baseret på kvantefysikens love. Imidlertid kan nogle af disse opgaver implementeres med ubetinget sikkerhed, hvis protokollerne ikke kun udnytter kvantemekanik, men også speciel relativitet. For eksempel blev ubetinget sikker kvantebitforpligtelse vist umulig af Mayers og af Lo og Chau. Ubetinget sikker ideel kvantemønt flipping blev vist umuligt af Lo og Chau. Desuden viste Lo, at der ikke kan være ubetinget sikre kvanteprotokoller til en-ud-af-to uvidende overførsel og andre sikre topartsberegninger. Imidlertid, ubetinget sikre relativistiske protokoller til møntflip og bit-engagement er blevet vist af Kent.
Kvantemønt flippedit
i modsætning til kvantenøgledistribution er kvantemøntflipping en protokol, der bruges mellem to deltagere, der ikke stoler på hinanden. Deltagerne kommunikerer via en kvantekanal og udveksler information gennem transmission af kvbits. Men fordi Alice og Bob ikke stoler på hinanden, forventer hver den anden at snyde. Derfor skal der bruges mere på at sikre, at hverken Alice eller Bob kan få en betydelig fordel i forhold til den anden for at producere et ønsket resultat. En evne til at påvirke et bestemt resultat kaldes en bias, og der er et betydeligt fokus på at udvikle protokoller for at reducere bias hos en uærlig spiller, ellers kendt som snyd. Kvantekommunikationsprotokoller, herunder kvantemønter, har vist sig at give betydelige sikkerhedsfordele i forhold til klassisk kommunikation, selvom de kan betragtes som vanskelige at realisere i den praktiske verden.
en møntflipprotokol forekommer generelt sådan:
- Alice vælger et grundlag (enten retlinet eller diagonalt) og genererer en streng fotoner, der skal sendes til Bob på det grundlag.
- Bob vælger tilfældigt at måle hver foton i et retlinet eller diagonalt grundlag og noterer hvilket grundlag han brugte og den målte værdi.
- Bob gætter offentligt på, hvilket grundlag Alice brugte til at sende sine kvbits.
- Alice annoncerer det grundlag, hun brugte, og sender sin originale streng til Bob.
- Bob bekræfter ved at sammenligne Alices streng med sit bord. Det skal være perfekt korreleret med værdierne Bob målt ved hjælp af Alice ‘ s basis og helt ukorreleret med det modsatte.
Snyd opstår, når en spiller forsøger at påvirke eller øge sandsynligheden for et bestemt resultat. Protokollen afskrækker nogle former for snyd; for eksempel, Alice kunne snyde ved trin 4 ved at hævde, at Bob forkert gættede sit oprindelige grundlag, da han gættede korrekt, men Alice skulle derefter generere en ny streng kvbits, der perfekt korrelerer med det, Bob målte i den modsatte tabel. Hendes chance for at generere en matchende streng af kvbitter vil falde eksponentielt med antallet af sendte kvbitter, og hvis Bob bemærker en uoverensstemmelse, vil han vide, at hun lyver. Alice kunne også generere en streng fotoner ved hjælp af en blanding af stater, men Bob ville let se, at hendes streng vil korrelere delvist (men ikke fuldt ud) med begge sider af bordet og ved, at hun snydt i processen. Der er også en iboende fejl, der følger med nuværende kvanteanordninger. Fejl og tabte kvbits vil påvirke Bobs målinger, hvilket resulterer i huller i Bobs måletabel. Væsentlige tab i måling vil påvirke Bobs evne til at verificere Alice ‘ s kvbit-sekvens i trin 5.
en teoretisk sikker måde for Alice at snyde er at udnytte Einstein-Podolsky-Rosen (EPR) paradoks. To fotoner i et EPR-par er antikorrelerede; det vil sige, de vil altid vise sig at have modsatte polarisationer, forudsat at de måles på samme grundlag. Alice kunne generere en række EPR-par, sende en foton pr. Når Bob siger sit gæt, kunne hun måle sine EPR-parfotoner på det modsatte grundlag og opnå en perfekt sammenhæng med Bobs modsatte bord. Bob ville aldrig vide, at hun snydt. Dette kræver dog kapaciteter, som kvanteteknologi i øjeblikket ikke besidder, hvilket gør det umuligt at gøre i praksis. For at kunne udføre dette skal Alice være i stand til at gemme alle fotonerne i en betydelig mængde tid samt måle dem med næsten perfekt effektivitet. Dette skyldes, at enhver foton, der går tabt i opbevaring eller i måling, ville resultere i et hul i hendes streng, som hun skulle udfylde ved at gætte. Jo flere gæt hun skal gøre, jo mere risikerer hun at blive opdaget af Bob for at snyde.
Kvanteforpligtelseredit
ud over kvantemønt-flipping implementeres kvanteforpligtelsesprotokoller, når mistroiske parter er involveret. En forpligtelsesordning giver en fest Alice mulighed for at fastsætte en bestemt værdi (at “forpligte sig”) på en sådan måde, at Alice ikke kan ændre denne værdi, samtidig med at det sikres, at modtageren Bob ikke kan lære noget om denne værdi, før Alice afslører det. Sådanne forpligtelsesordninger bruges ofte i kryptografiske protokoller (f.eks. Kvantemønt flipping, nul-viden bevis, sikker to-parts beregning og uvidende overførsel).
i kvanteindstillingen ville de være særligt nyttige: Crristpeau og Kilian viste, at man fra en forpligtelse og en kvantekanal kan konstruere en ubetinget sikker protokol til udførelse af såkaldt uvidende overførsel. Oblivious transfer var på den anden side blevet vist af Kilian at tillade implementering af næsten enhver distribueret beregning på en sikker måde (såkaldt sikker flerpartiberegning). (Bemærk, at her er vi lidt upræcise: resultaterne af Crristpeau og Kilian sammen betyder ikke direkte, at man med en forpligtelse og en kvantekanal kan udføre sikker flerpartiberegning. Dette skyldes, at resultaterne ikke garanterer “kompositbarhed”, det vil sige, når man tilslutter dem, kan man miste sikkerheden.
desværre viste tidlige kvanteforpligtelsesprotokoller sig at være mangelfulde. Faktisk viste Mayers, at (ubetinget sikker) kvanteforpligtelse er umulig: en beregningsmæssigt ubegrænset angriber kan bryde enhver kvanteforpligtelsesprotokol.
resultatet af Mayers udelukker dog ikke muligheden for at konstruere kvanteforpligtelsesprotokoller (og dermed sikre flerpartiberegningsprotokoller) under antagelser, der er meget svagere end de antagelser, der er nødvendige for forpligtelsesprotokoller, der ikke bruger kvantekommunikation. Den afgrænsede kvantelagringsmodel beskrevet nedenfor er et eksempel på en indstilling, hvor kvantekommunikation kan bruges til at konstruere forpligtelsesprotokoller. Et gennembrud i November 2013 tilbyder “ubetinget” informationssikkerhed ved at udnytte kvanteteori og relativitet, som med succes er blevet demonstreret på global skala for første gang. For nylig, Vang et al., foreslog en anden forpligtelsesordning, hvor den “ubetingede skjul” er perfekt.
fysiske unclonable funktioner kan også udnyttes til opførelse af kryptografiske forpligtelser.
afgrænset – og støjende-kvantelagringsmodelledit
en mulighed for at konstruere betingelsesløst sikre kvanteforpligtelses-og kvante oblivious transfer (OT) protokoller er at bruge den afgrænsede kvantelagringsmodel. I denne model antages det, at mængden af kvantedata, som en modstander kan gemme, er begrænset af en kendt konstant K. Der pålægges dog ingen grænse for mængden af klassiske (dvs.ikke-kvante) data, som modstanderen kan gemme.
i BKSM kan man konstruere forpligtelsesprotokoller og uvidende overførselsprotokoller. Den underliggende ide er følgende: Protokolpartierne udveksler mere end kvante-bits (kvante-bits). Da selv en uærlig part ikke kan gemme alle disse oplysninger (modstanderens kvantehukommelse er begrænset til Kvbits), skal en stor del af dataene enten måles eller kasseres. At tvinge uærlige parter til at måle en stor del af dataene gør det muligt for protokollen at omgå umulighedsresultatet, engagement og uvidende overførselsprotokoller kan nu implementeres.
protokollerne i KVANTETASTDISTRIBUTIONSPROTOKOLLERNE præsenteret af Damg Larrd, Fehr, Salvail og Schaffner antager ikke, at ærlige protokoldeltagere gemmer nogen kvanteinformation; de tekniske krav svarer til dem i kvantetastfordelingsprotokoller. Disse protokoller kan således i det mindste i princippet realiseres med nutidens teknologi. Kommunikationskompleksiteten er kun en konstant faktor, der er større end det bundne spørgsmål i modstanderens kvantehukommelse.
fordelen ved BKSM er, at antagelsen om, at modstanderens kvantehukommelse er begrænset, er ret realistisk. Med nutidens teknologi er det vanskeligt at opbevare selv en enkelt kvbit pålideligt over en tilstrækkelig lang tid. (Hvad” tilstrækkeligt lang ” betyder afhænger af protokollens detaljer. Ved at indføre en kunstig pause i protokollen kan den tid, som modstanderen har brug for til at gemme kvantedata, gøres vilkårligt stor.)
en udvidelse af CSM er den støjende lagringsmodel, der blev introduceret af Vehner, Schaffner og Terhal. I stedet for at overveje en øvre grænse for den fysiske størrelse af modstanderens kvantehukommelse, har en modstander lov til at bruge ufuldkomne kvantelagringsenheder af vilkårlig størrelse. Niveauet af ufuldkommenhed er modelleret af støjende kvantekanaler. For høje nok støjniveauer kan de samme primitiver som i BKSM opnås, og BKSM danner et specielt tilfælde af støjende opbevaringsmodel.
i den klassiske indstilling kan lignende resultater opnås, når man antager en bundet på mængden af klassiske (ikke-kvante) data, som modstanderen kan gemme. Det blev imidlertid bevist, at også de ærlige parter i denne model skal bruge en stor mængde hukommelse (nemlig kvadratroden af modstanderens hukommelsesbundne). Dette gør disse protokoller upraktiske for realistiske hukommelsesgrænser. (Bemærk, at med nutidens teknologi som harddiske kan en modstander billigt gemme store mængder klassiske data.)
positionsbaseret kvantekryptografiredit
målet med positionsbaseret kvantekryptografi er at bruge den geografiske placering af en spiller som dens (kun) legitimationsoplysninger. For eksempel ønsker man at sende en besked til en spiller på en bestemt position med garanti for, at den kun kan læses, hvis modtageren er placeret på den pågældende position. I den grundlæggende opgave med positionsverifikation ønsker en spiller, Alice, at overbevise de (ærlige) verifikatorer om, at hun er placeret på et bestemt punkt. Det er blevet vist af Chandran et al. denne positionsverifikation ved hjælp af klassiske protokoller er umulig mod hemmelige modstandere (som kontrollerer alle positioner undtagen proverens påståede position). Under forskellige begrænsninger for modstanderne er ordninger mulige.
under navnet ‘kvantemærkning’ er de første positionsbaserede kvanteskemaer blevet undersøgt i 2002 af Kent. Et amerikansk patent blev udstedt i 2006. Begrebet at bruge kvanteeffekter til placeringsverifikation optrådte først i den videnskabelige litteratur i 2010. Efter flere andre kvanteprotokoller til positionsverifikation er blevet foreslået i 2010, Buhrman et al. hævdede et generelt umulighedsresultat: ved hjælp af en enorm mængde kvanteindvikling (de bruger et dobbelt eksponentielt antal EPR-par, i antallet af kvbits, som den ærlige spiller opererer på), er hemmelige modstandere altid i stand til at få det til at se ud til verifikatorerne, som om de var i den påståede position. Dette resultat udelukker imidlertid ikke muligheden for praktiske ordninger i den afgrænsede eller støjende kvantelagringsmodel (se ovenfor). Senere forbedrede Beigi og K Kursnig mængden af EPR-par, der var nødvendige i det generelle angreb mod positionsbekræftelsesprotokoller til eksponentiel. De viste også, at en bestemt protokol forbliver sikker mod modstandere, der kun kontrollerer en lineær mængde EPR-par. Det hævdes, at muligheden for formel ubetinget placeringsverifikation via kvanteeffekter på grund af tidsenergikobling forbliver et åbent problem. Det er værd at nævne, at undersøgelsen af positionsbaseret kvantekryptografi også har forbindelser med protokollen om portbaseret kvanteteleportation, som er en mere avanceret version af kvanteteleportation, hvor mange EPR-par samtidig bruges som porte.
enhedsuafhængig kvantekryptografiredit
en kvantekryptografisk protokol er enhedsuafhængig, hvis dens sikkerhed ikke er afhængig af at have tillid til, at de anvendte kvanteenheder er sandfærdige. Sikkerhedsanalysen af en sådan protokol skal således overveje scenarier af ufuldkomne eller endda ondsindede enheder. Mayers og Yao foreslog ideen om at designe kvanteprotokoller ved hjælp af “selvtestende” kvanteapparat, hvis interne operationer entydigt kan bestemmes af deres input-output-statistik. Derefter foreslog Roger Colbeck i sin afhandling brugen af Bell-test til kontrol af enhedernes ærlighed. Siden da har flere problemer vist sig at indrømme ubetingede sikre og enhedsuafhængige protokoller, selv når de faktiske enheder, der udfører Bell-testen, er i det væsentlige “støjende”, dvs.langt fra at være ideelle. Disse problemer inkluderer kvantum nøglefordeling, tilfældighedsudvidelse og tilfældighedsforstærkning.
i 2018 teoretiske studier udført af Arnon – Friedman et al. foreslå , at udnyttelse af en ejendom af entropi, der senere kaldes “Entropiakkumuleringssætning (EAT)”, en udvidelse af asymptotisk ækvipartitionsegenskab, kan garantere sikkerheden for en enhed uafhængig protokol.