Quantenkryptographie

Quantenkryptographie ist ein allgemeines Thema, das ein breites Spektrum kryptografischer Praktiken und Protokolle abdeckt. Einige der bemerkenswertesten Anwendungen und Protokolle werden unten diskutiert.

Verteilung von Quantenschlüsselnbearbeiten

Die bekannteste und am weitesten entwickelte Anwendung der Quantenkryptographie ist die Quantenschlüsselverteilung (QKD), bei der mithilfe der Quantenkommunikation ein gemeinsamer Schlüssel zwischen zwei Parteien (z. B. Alice und Bob) hergestellt wird, ohne dass ein Dritter (Eve) etwas über diesen Schlüssel erfährt, selbst wenn Eve die gesamte Kommunikation zwischen Alice und Bob belauschen kann. Wenn Eve versucht, Informationen über den Schlüssel zu erfahren, werden Diskrepanzen auftreten, die Alice und Bob bemerken. Sobald der Schlüssel eingerichtet ist, wird er typischerweise für die verschlüsselte Kommunikation mit klassischen Techniken verwendet. Beispielsweise könnte der ausgetauschte Schlüssel für die symmetrische Kryptographie (z.B. One-Time-Pad) verwendet werden.

Die Sicherheit der Quantenschlüsselverteilung kann mathematisch nachgewiesen werden, ohne die Fähigkeiten eines Lauschers einzuschränken, was mit der klassischen Schlüsselverteilung nicht möglich ist. Dies wird normalerweise als „bedingungslose Sicherheit“ beschrieben, obwohl einige minimale Annahmen erforderlich sind, darunter, dass die Gesetze der Quantenmechanik gelten und dass Alice und Bob sich gegenseitig authentifizieren können, dh Eve sollte sich nicht als Alice oder Bob ausgeben können, da sonst ein Man-in-the-Middle-Angriff möglich wäre.

Während QKD scheinbar sicher ist, stehen seine Anwendungen vor der Herausforderung der Praktikabilität. Dies ist auf die Übertragungsdistanz und die Einschränkungen der Schlüsselgenerierungsrate zurückzuführen. Laufende Studien und wachsende Technologie haben weitere Fortschritte bei solchen Einschränkungen ermöglicht. Im Jahr 2018 Lucamarini et al. vorgeschlagen wurde ein Doppelfeld-QKD-Schema, das möglicherweise die Ratenverlustskalierung eines verlustbehafteten Kommunikationskanals überwinden kann. Es wurde gezeigt, dass die Rate des Twin Field-Protokolls die Secret Key-Agreement-Kapazität des verlustbehafteten Kanals, bekannt als Repeater-less PLOB Bound, bei 340 km Glasfaser überwindet; seine ideale Rate übertrifft diese Grenze bereits bei 200 km und folgt der Rate-Loss-Skalierung der höheren Repeater-assisted Secret Key-Agreement-Kapazität (siehe Abbildung 1 von für weitere Details). Das Protokoll legt nahe, dass optimale Schlüsselraten auf „550 Kilometern Standard-Glasfaser“ erreichbar sind, die bereits heute in der Kommunikation verwendet wird. Das theoretische Ergebnis wurde in der ersten experimentellen Demonstration von QKD jenseits der Rate-Loss-Grenze von Minder et al. im Jahr 2019, das als erster effektiver Quantenrepeater charakterisiert wurde. Eine der bemerkenswerten Entwicklungen im Hinblick auf das Erreichen hoher Raten über große Entfernungen ist die SNS-Version (Senden-Nicht-Senden) des TF-QKD-Protokolls.

Misstrauische Quantenkryptographiebearbeiten

Bei der misstrauischen Kryptographie vertrauen sich die beteiligten Parteien nicht. Zum Beispiel arbeiten Alice und Bob zusammen, um einige Berechnungen durchzuführen, bei denen beide Parteien einige private Eingaben eingeben. Aber Alice traut Bob nicht und Bob traut Alice nicht. Somit erfordert eine sichere Implementierung einer kryptografischen Aufgabe, dass nach Abschluss der Berechnung Alice garantiert werden kann, dass Bob nicht betrogen hat, und Bob kann garantiert werden, dass Alice auch nicht betrogen hat. Beispiele für Aufgaben in der misstrauischen Kryptographie sind Commitment Schemes und Secure Computations, letztere einschließlich der weiteren Beispiele von Coin Flipping und Oblivious Transfer. Die Schlüsselverteilung gehört nicht in den Bereich der misstrauischen Kryptographie. Misstrauische Quantenkryptographie untersucht den Bereich der misstrauischen Kryptographie unter Verwendung von Quantensystemen.

Im Gegensatz zur Quantenschlüsselverteilung, bei der bedingungslose Sicherheit nur auf der Grundlage der Gesetze der Quantenphysik erreicht werden kann, gibt es bei verschiedenen Aufgaben in der misstrauischen Kryptographie No-Go-Theoreme, die zeigen, dass es unmöglich ist, bedingungslos sichere Protokolle nur auf der Grundlage der Gesetze der Quantenphysik zu erreichen. Einige dieser Aufgaben können jedoch mit bedingungsloser Sicherheit implementiert werden, wenn die Protokolle nicht nur die Quantenmechanik, sondern auch die spezielle Relativitätstheorie ausnutzen. Zum Beispiel wurde ein bedingungslos sicheres Quantenbit-Commitment von Mayers und von Lo und Chau unmöglich gezeigt. Das bedingungslos sichere ideale Werfen von Quantenmünzen wurde von Lo und Chau als unmöglich erwiesen. Darüber hinaus zeigte Lo, dass es keine bedingungslos sicheren Quantenprotokolle für den Eins-von-zwei-Transfer und andere sichere Zwei-Parteien-Berechnungen geben kann. Kent hat jedoch bedingungslos sichere relativistische Protokolle für das Umwerfen von Münzen und das Bit-Commitment gezeigt.

Quantum coin flippingbearbeiten

Im Gegensatz zur Quantenschlüsselverteilung ist Quantum Coin Flipping ein Protokoll, das zwischen zwei Teilnehmern verwendet wird, die sich nicht vertrauen. Die Teilnehmer kommunizieren über einen Quantenkanal und tauschen Informationen durch die Übertragung von Qubits aus. Aber weil Alice und Bob einander nicht vertrauen, erwartet jeder, dass der andere betrügt. Daher müssen mehr Anstrengungen unternommen werden, um sicherzustellen, dass weder Alice noch Bob einen signifikanten Vorteil gegenüber dem anderen erzielen können, um ein gewünschtes Ergebnis zu erzielen. Die Fähigkeit, ein bestimmtes Ergebnis zu beeinflussen, wird als Voreingenommenheit bezeichnet, und es liegt ein erheblicher Schwerpunkt auf der Entwicklung von Protokollen, um die Voreingenommenheit eines unehrlichen Spielers, auch bekannt als Betrug, zu verringern. Es hat sich gezeigt, dass Quantenkommunikationsprotokolle, einschließlich des Umwerfens von Quantenmünzen, erhebliche Sicherheitsvorteile gegenüber der klassischen Kommunikation bieten, obwohl sie in der praktischen Welt als schwierig zu realisieren angesehen werden können.

Ein Münzwurf-Protokoll tritt im Allgemeinen wie folgt auf:

1. Alice wählt eine Basis (entweder geradlinig oder diagonal) und erzeugt eine Reihe von Photonen, die in dieser Basis an Bob gesendet werden sollen.
2. Bob wählt zufällig jedes Photon in einer geradlinigen oder diagonalen Basis zu messen, unter Hinweis darauf, welche Basis er verwendet und den gemessenen Wert.
3. Bob rät öffentlich, auf welcher Basis Alice ihre Qubits gesendet hat.
4. Alice gibt die Basis bekannt, die sie verwendet hat, und sendet ihre ursprüngliche Saite an Bob.
5. Bob bestätigt, indem er Alices Zeichenfolge mit seiner Tabelle vergleicht. Es sollte perfekt mit den Werten korreliert sein, die Bob auf Alices Basis gemessen hat, und völlig unkorreliert mit dem Gegenteil.

Betrug tritt auf, wenn ein Spieler versucht, die Wahrscheinlichkeit eines bestimmten Ergebnisses zu beeinflussen oder zu erhöhen. Das Protokoll entmutigt einige Formen des Betrugs; Zum Beispiel könnte Alice bei Schritt 4 betrügen, indem sie behauptet, dass Bob ihre ursprüngliche Basis falsch erraten hat, als er richtig erraten hat, aber Alice müsste dann eine neue Reihe von Qubits generieren, die perfekt mit dem korreliert, was Bob in der gegenüberliegenden Tabelle gemessen hat. Ihre Chance, eine übereinstimmende Zeichenfolge von Qubits zu generieren, nimmt exponentiell mit der Anzahl der gesendeten Qubits ab, und wenn Bob eine Nichtübereinstimmung feststellt, wird er wissen, dass sie gelogen hat. Alice könnte auch eine Reihe von Photonen mit einer Mischung von Zuständen erzeugen, aber Bob würde leicht sehen, dass ihre Zeichenfolge teilweise (aber nicht vollständig) mit beiden Seiten des Tisches korreliert und weiß, dass sie dabei betrogen hat. Es gibt auch einen inhärenten Fehler, der mit aktuellen Quantengeräten einhergeht. Fehler und verlorene Qubits wirken sich auf Bobs Messungen aus, was zu Löchern in Bobs Messtabelle führt. Signifikante Messverluste beeinträchtigen Bobs Fähigkeit, Alices Qubitsequenz in Schritt 5 zu verifizieren.

Eine theoretisch todsichere Möglichkeit für Alice zu betrügen ist die Verwendung des Einstein-Podolsky-Rosen (EPR) -Paradoxons. Zwei Photonen in einem EPR-Paar sind antikorreliert; Das heißt, es wird immer festgestellt, dass sie entgegengesetzte Polarisationen haben, vorausgesetzt, sie werden auf derselben Basis gemessen. Alice könnte eine Reihe von EPR-Paaren erzeugen, ein Photon pro Paar an Bob senden und das andere selbst speichern. Wenn Bob seine Vermutung angibt, könnte sie ihre EPR-Paarphotonen in der entgegengesetzten Basis messen und eine perfekte Korrelation zu Bobs gegenüberliegendem Tisch erhalten. Bob würde nie wissen, dass sie betrogen hat. Dies erfordert jedoch Fähigkeiten, die die Quantentechnologie derzeit nicht besitzt, was dies in der Praxis unmöglich macht. Um dies erfolgreich auszuführen, müsste Alice in der Lage sein, alle Photonen für eine beträchtliche Zeit zu speichern und sie mit nahezu perfekter Effizienz zu messen. Dies liegt daran, dass jedes Photon, das bei der Speicherung oder Messung verloren geht, zu einem Loch in ihrer Schnur führen würde, das sie durch Erraten füllen müsste. Je mehr Vermutungen sie machen muss, desto mehr riskiert sie, von Bob wegen Betrugs entdeckt zu werden.

Quantum commitmentEdit

Zusätzlich zum Quanten-Münzwurf werden Quanten-Commitment-Protokolle implementiert, wenn misstrauische Parteien beteiligt sind. Ein Verpflichtungsschema ermöglicht es einer Partei Alice, einen bestimmten Wert so festzulegen (zu „festschreiben“), dass Alice diesen Wert nicht ändern kann, während gleichzeitig sichergestellt wird, dass der Empfänger Bob nichts über diesen Wert erfahren kann, bis Alice ihn preisgibt. Solche Verpflichtungsschemata werden häufig in kryptografischen Protokollen verwendet (z. B. Quantenmünzenwurf, Zero-Knowledge-Proof, sichere Zwei-Parteien-Berechnung und Oblivious Transfer).

In der Quanteneinstellung wären sie besonders nützlich: Crépeau und Kilian zeigten, dass man aus einem Commitment und einem Quantenkanal ein bedingungslos sicheres Protokoll für die Durchführung des sogenannten Oblivious Transfers konstruieren kann. Oblivious Transfer hingegen hatte von Kilian gezeigt, dass es die Implementierung nahezu jeder verteilten Berechnung auf sichere Weise ermöglicht (sogenannte sichere Mehrparteienberechnung). (Beachten Sie, dass wir hier etwas ungenau sind: Die Ergebnisse von Crépeau und Kilian zusammen implizieren nicht direkt, dass man mit einem Commitment und einem Quantenkanal eine sichere Mehrparteienberechnung durchführen kann. Dies liegt daran, dass die Ergebnisse keine „Zusammensetzbarkeit“ garantieren, dh beim Zusammenstecken kann die Sicherheit verloren gehen.

Leider haben sich frühe Quanten-Commitment-Protokolle als fehlerhaft erwiesen. Tatsächlich zeigte Mayers, dass (bedingungslos sicheres) Quanten-Commitment unmöglich ist: Ein rechnerisch unbegrenzter Angreifer kann jedes Quanten-Commitment-Protokoll brechen.

Das Ergebnis von Mayers schließt jedoch nicht die Möglichkeit aus, Quanten-Commitment-Protokolle (und damit sichere Mehrparteienrechnungsprotokolle) unter Annahmen zu konstruieren, die viel schwächer sind als die Annahmen, die für Commitment-Protokolle erforderlich sind, die keine Quantenkommunikation verwenden. Das unten beschriebene Modell der begrenzten Quantenspeicherung ist ein Beispiel für eine Einstellung, in der Quantenkommunikation verwendet werden kann, um Verbindungsprotokolle zu konstruieren. Ein Durchbruch im November 2013 bietet „bedingungslose“ Informationssicherheit durch die Nutzung von Quantentheorie und Relativitätstheorie, die erstmals weltweit erfolgreich demonstriert wurde. In jüngerer Zeit haben Wang et al., schlug ein anderes Verpflichtungsschema vor, in dem das „bedingungslose Verstecken“ perfekt ist.

Physikalische nicht klonbare Funktionen können auch für die Konstruktion kryptografischer Verpflichtungen ausgenutzt werden.

Begrenztes und verrauschtes Quantenspeichermodellbearbeiten

Eine Möglichkeit, bedingungslos sichere Quanten-Commitment- und Quanten-Oblivious-Transfer (OT) -Protokolle zu konstruieren, ist die Verwendung des begrenzten Quantenspeichermodells (BQSM). In diesem Modell wird angenommen, dass die Menge an Quantendaten, die ein Gegner speichern kann, durch eine bekannte Konstante Q begrenzt ist.

Im BQSM kann man Commitment- und Oblivious-Transfer-Protokolle konstruieren. Die zugrunde liegende Idee ist die folgende: Die Protokollparteien tauschen mehr als Q Quantenbits (Qubits) aus. Da selbst eine unehrliche Partei nicht alle diese Informationen speichern kann (der Quantenspeicher des Gegners ist auf Q Qubits beschränkt), muss ein großer Teil der Daten entweder gemessen oder verworfen werden. Erzwingen unehrlichen Parteien einen großen Teil der Daten zu messen, ermöglicht das Protokoll, um die Unmöglichkeit Ergebnis, Engagement und vergesslich Übertragungsprotokolle umgehen können nun implementiert werden.

Die Protokolle im BQSM von Damgård, Fehr, Salvail und Schaffner gehen nicht davon aus, dass ehrliche Protokollteilnehmer Quanteninformationen speichern; die technischen Anforderungen ähneln denen in Quantenschlüsselverteilungsprotokollen. Diese Protokolle können somit zumindest prinzipiell mit der heutigen Technik realisiert werden. Die Kommunikationskomplexität ist nur ein konstanter Faktor größer als das gebundene Q auf dem Quantenspeicher des Gegners.

Der Vorteil des BQSM ist, dass die Annahme, dass das Quantengedächtnis des Gegners begrenzt ist, ziemlich realistisch ist. Mit der heutigen Technologie ist es schwierig, auch nur ein einziges Qubit über eine ausreichend lange Zeit zuverlässig zu speichern. (Was „ausreichend lang“ bedeutet, hängt von den Protokolldetails ab. Durch die Einführung einer künstlichen Pause im Protokoll kann die Zeitspanne, über die der Gegner Quantendaten speichern muss, beliebig groß gemacht werden.)

Eine Erweiterung des BQSM ist das von Wehner, Schaffner und Terhal eingeführte Noisy-Storage-Modell. Anstatt eine Obergrenze für die physikalische Größe des Quantenspeichers des Gegners in Betracht zu ziehen, darf ein Gegner unvollkommene Quantenspeichergeräte beliebiger Größe verwenden. Der Grad der Unvollkommenheit wird durch verrauschte Quantenkanäle modelliert. Für ausreichend hohe Geräuschpegel können die gleichen Grundelemente wie im BQSM erreicht werden, und das BQSM bildet einen Sonderfall des Noisy-Storage-Modells.

In der klassischen Umgebung können ähnliche Ergebnisse erzielt werden, wenn eine Grenze für die Menge an klassischen (Nicht-Quanten-) Daten angenommen wird, die der Gegner speichern kann. Es hat sich jedoch gezeigt, dass auch in diesem Modell die ehrlichen Parteien eine große Menge an Gedächtnis (nämlich die Quadratwurzel der Gedächtnisgrenze des Gegners) verwenden müssen. Dies macht diese Protokolle für realistische Speichergrenzen unpraktisch. (Beachten Sie, dass ein Gegner mit der heutigen Technologie wie Festplatten große Mengen klassischer Daten kostengünstig speichern kann.)

Positionsbasierte Quantenkryptographiebearbeiten

Das Ziel der positionsbasierten Quantenkryptographie ist es, den geografischen Standort eines Spielers als (einzigen) Berechtigungsnachweis zu verwenden. Zum Beispiel möchte man eine Nachricht an einen Spieler an einer bestimmten Position mit der Garantie senden, dass sie nur gelesen werden kann, wenn sich die empfangende Partei an dieser bestimmten Position befindet. In der grundlegenden Aufgabe der Positionsüberprüfung möchte eine Spielerin, Alice, die (ehrlichen) Verifizierer davon überzeugen, dass sie sich an einem bestimmten Punkt befindet. Es wurde von Chandran et al. diese Positionsüberprüfung mit klassischen Protokollen ist unmöglich gegen konspirative Gegner (die alle Positionen außer der beanspruchten Position des Beweisgebers kontrollieren). Unter verschiedenen Einschränkungen für die Gegner sind Schemata möglich.

Unter dem Namen ‚quantum Tagging‘ wurden 2002 von Kent die ersten positionsbasierten Quanten-Schemata untersucht. 2006 wurde ein US-Patent erteilt. Der Begriff der Verwendung von Quanteneffekten zur Standortverifikation erschien erstmals 2010 in der wissenschaftlichen Literatur. Nachdem im Jahr 2010 mehrere andere Quantenprotokolle zur Positionsüberprüfung vorgeschlagen wurden, haben Buhrman et al. behauptete eine allgemeine Unmöglichkeit.: mit einer enormen Menge an Quantenverschränkung (sie verwenden eine doppelt exponentielle Anzahl von EPR-Paaren in der Anzahl der Qubits, mit denen der ehrliche Spieler arbeitet) können kolludierende Gegner es den Überprüfern immer so erscheinen lassen, als wären sie an der beanspruchten Position. Dieses Ergebnis schließt jedoch die Möglichkeit praktischer Schemata im begrenzten oder verrauschten Quantenspeichermodell (siehe oben) nicht aus. Später verbesserten Beigi und König die Menge an EPR-Paaren, die im allgemeinen Angriff gegen Positionsverifikationsprotokolle benötigt wurden, auf exponentiell. Sie zeigten auch, dass ein bestimmtes Protokoll sicher gegen Gegner bleibt, die nur eine lineare Menge von EPR-Paaren kontrollieren. Es wird argumentiert, dass aufgrund der Zeit-Energie-Kopplung die Möglichkeit einer formalen bedingungslosen Ortsüberprüfung über Quanteneffekte ein offenes Problem bleibt. Es ist erwähnenswert, dass die Untersuchung der positionsbasierten Quantenkryptographie auch Verbindungen mit dem Protokoll der portbasierten Quantenteleportation aufweist, einer fortgeschritteneren Version der Quantenteleportation, bei der viele EPR-Paare gleichzeitig als Ports verwendet werden.

Geräteunabhängige Quantenkryptographiebearbeiten

Ein quantenkryptographisches Protokoll ist geräteunabhängig, wenn seine Sicherheit nicht darauf beruht, dass die verwendeten Quantengeräte der Wahrheit entsprechen. Daher muss die Sicherheitsanalyse eines solchen Protokolls Szenarien unvollkommener oder sogar böswilliger Geräte berücksichtigen. Mayers und Yao schlugen die Idee vor, Quantenprotokolle mit „selbsttestenden“ Quantenapparaten zu entwerfen, deren interne Operationen durch ihre Input-Output-Statistiken eindeutig bestimmt werden können. Anschließend schlug Roger Colbeck in seiner Dissertation die Verwendung von Glockentests zur Überprüfung der Ehrlichkeit der Geräte vor. Seitdem hat sich gezeigt, dass mehrere Probleme unbedingte sichere und geräteunabhängige Protokolle zulassen, selbst wenn die tatsächlichen Geräte, die den Bell-Test durchführen, im Wesentlichen „verrauscht“ sind, d. H. weit davon entfernt sind, ideal zu sein. Diese Probleme umfassen die Verteilung des konstanten Schlüssels, die Erweiterung der Zufälligkeit und die Verstärkung der Zufälligkeit.

Im Jahr 2018 wurden theoretische Studien von Arnon- Friedman et al. schlagen Sie vor, dass die Ausnutzung einer Eigenschaft der Entropie, die später als „Entropy Accumulation Theorem (EAT)“ bezeichnet wird , eine Erweiterung der asymptotischen Äquipartitionseigenschaft, die Sicherheit eines geräteunabhängigen Protokolls garantieren kann.