La criptografía cuántica es un tema general que cubre una amplia gama de prácticas y protocolos criptográficos. A continuación se examinan algunas de las aplicaciones y protocolos más notables.
Distribución de clave cuánticaeditar
La aplicación más conocida y desarrollada de la criptografía cuántica es la distribución de clave cuántica (QKD), que es el proceso de usar la comunicación cuántica para establecer una clave compartida entre dos partes (Alice y Bob, por ejemplo) sin que un tercero (Eve) aprenda nada sobre esa clave, incluso si Eve puede espiar toda la comunicación entre Alice y Bob. Si Eve intenta obtener información sobre la clave que se está estableciendo, surgirán discrepancias que harán que Alice y Bob se den cuenta. Una vez establecida la clave, se utiliza normalmente para la comunicación cifrada utilizando técnicas clásicas. Por ejemplo, la clave intercambiada podría usarse para criptografía simétrica (por ejemplo, un bloc de notas de una sola vez).
La seguridad de la distribución de claves cuánticas se puede demostrar matemáticamente sin imponer restricciones a las habilidades de un espía, algo que no es posible con la distribución de claves clásica. Esto generalmente se describe como» seguridad incondicional», aunque hay algunas suposiciones mínimas requeridas, incluyendo que se aplican las leyes de la mecánica cuántica y que Alice y Bob son capaces de autenticarse entre sí, es decir, Eve no debería ser capaz de hacerse pasar por Alice o Bob, ya que de lo contrario sería posible un ataque de hombre en el medio.
Aunque QKD es aparentemente seguro, sus aplicaciones se enfrentan al desafío de la practicidad. Esto se debe a la distancia de transmisión y a las limitaciones de velocidad de generación de claves. Los estudios en curso y la creciente tecnología han permitido nuevos avances en tales limitaciones. En 2018 Lucamarini et al. propuso un esquema QKD de doble campo que posiblemente pueda superar la escala de tasa de pérdida de un canal de comunicación con pérdidas. Se demostró que la velocidad del protocolo de campo gemelo supera la capacidad de acuerdo de clave secreta del canal con pérdida, conocida como límite PLOB sin repetidor, a 340 km de fibra óptica; su velocidad ideal supera este límite ya a 200 km y sigue la escala de pérdida de velocidad de la capacidad de acuerdo de clave secreta asistida por repetidor más alta (consulte la figura 1 para obtener más detalles). El protocolo sugiere que se pueden alcanzar velocidades clave óptimas en «550 kilómetros de fibra óptica estándar», que ya se usa comúnmente en las comunicaciones hoy en día. El resultado teórico fue confirmado en la primera demostración experimental de QKD más allá del límite de velocidad de pérdida por Minder et al. en 2019, que se ha caracterizado como el primer repetidor cuántico efectivo. Uno de los avances notables en términos de lograr altas tasas a largas distancias es la versión de envío-no-envío (SNS) del protocolo TF-QKD.
Criptografía cuántica desconfiadaeditar
En criptografía desconfiada, las partes participantes no confían entre sí. Por ejemplo, Alice y Bob colaboran para realizar algunos cálculos en los que ambas partes ingresan algunas entradas privadas. Pero Alice no confía en Bob y Bob no confía en Alice. Por lo tanto, una implementación segura de una tarea criptográfica requiere que, después de completar el cálculo, se pueda garantizar a Alice que Bob no ha engañado y a Bob que Alice tampoco lo ha hecho. Ejemplos de tareas en criptografía desconfiada son los esquemas de compromiso y los cálculos seguros, estos últimos incluyen los ejemplos adicionales de lanzamiento de monedas y transferencia inconsciente. La distribución de claves no pertenece al área de la criptografía desconfiada. La criptografía cuántica desconfiada estudia el área de la criptografía desconfiada utilizando sistemas cuánticos.
En contraste con la distribución de claves cuánticas donde la seguridad incondicional se puede lograr basada solo en las leyes de la física cuántica, en el caso de varias tareas en criptografía desconfiada, hay teoremas que muestran que es imposible lograr protocolos incondicionalmente seguros basados solo en las leyes de la física cuántica. Sin embargo, algunas de estas tareas se pueden implementar con seguridad incondicional si los protocolos no solo explotan la mecánica cuántica, sino también la relatividad especial. Por ejemplo, Mayers, Lo y Chau demostraron que el compromiso de bits cuánticos incondicionalmente seguro era imposible. Lo y Chau demostraron que era imposible lanzar monedas cuánticas ideales sin condiciones de seguridad. Además, Lo demostró que no puede haber protocolos cuánticos incondicionalmente seguros para una transferencia inconsciente de una de cada dos y otros cálculos seguros de dos partes. Sin embargo, Kent ha demostrado protocolos relativistas incondicionalmente seguros para el lanzamiento de monedas y el compromiso de bits.
Quantum coin flippingeditar
A diferencia de la distribución de claves cuánticas, el lanzamiento de monedas cuánticas es un protocolo que se utiliza entre dos participantes que no confían el uno en el otro. Los participantes se comunican a través de un canal cuántico e intercambian información a través de la transmisión de qubits. Pero debido a que Alice y Bob no confían el uno en el otro, cada uno espera que el otro haga trampa. Por lo tanto, se debe dedicar más esfuerzo a garantizar que ni Alice ni Bob puedan obtener una ventaja significativa sobre la otra para producir el resultado deseado. La capacidad de influir en un resultado en particular se conoce como sesgo, y hay un enfoque significativo en el desarrollo de protocolos para reducir el sesgo de un jugador deshonesto, también conocido como engaño. Se ha demostrado que los protocolos de comunicación cuántica, incluido el lanzamiento de monedas cuánticas, proporcionan ventajas de seguridad significativas sobre la comunicación clásica, aunque pueden considerarse difíciles de realizar en el mundo práctico.
Un protocolo de lanzamiento de monedas generalmente ocurre de esta manera:
- Alice elige una base (rectilínea o diagonal) y genera una cadena de fotones para enviar a Bob en esa base.
- Bob elige aleatoriamente medir cada fotón en una base rectilínea o diagonal, anotando qué base utilizó y el valor medido.
- Bob adivina públicamente qué base utilizó Alice para enviar sus qubits.
- Alice anuncia la base que utilizó y envía su cuerda original a Bob.
- Bob confirma comparando la cuerda de Alice con su mesa. Debe estar perfectamente correlacionado con los valores medidos por Bob usando la base de Alice y completamente no correlacionado con lo contrario.
El engaño ocurre cuando un jugador intenta influir o aumentar la probabilidad de un resultado en particular. El protocolo desalienta algunas formas de hacer trampa; por ejemplo, Alice podría hacer trampa en el paso 4 afirmando que Bob adivinó incorrectamente su base inicial cuando adivinó correctamente, pero Alice necesitaría generar una nueva cadena de qubits que se correlacionara perfectamente con lo que Bob midió en la tabla opuesta. Su probabilidad de generar una cadena de qubits coincidente disminuirá exponencialmente con el número de qubits enviados, y si Bob nota un desajuste, sabrá que ella estaba mintiendo. Alice también podría generar una cadena de fotones con una mezcla de estados, pero Bob le ve fácilmente que su cadena se correlacionan parcialmente (pero no completamente) con ambos lados de la mesa, y sé que ella engañó en el proceso. También hay un defecto inherente que viene con los dispositivos cuánticos actuales. Los errores y los qubits perdidos afectarán las mediciones de Bob, lo que resultará en agujeros en la mesa de medición de Bob. Las pérdidas significativas en la medición afectarán la capacidad de Bob para verificar la secuencia de qubit de Alice en el paso 5.
Una forma teóricamente segura de hacer trampa para Alice es utilizar la paradoja Einstein-Podolsky-Rosen (EPR). Dos fotones en un par EPR son anticorrelacionados; es decir, siempre se encontrará que tienen polarizaciones opuestas, siempre que se midan en la misma base. Alice podía generar una cadena de pares EPR, enviando un fotón por par a Bob y almacenando el otro ella misma. Cuando Bob dice su conjetura, ella podría medir sus fotones de par EPR en la base opuesta y obtener una correlación perfecta con la tabla opuesta de Bob. Bob nunca sabría que hizo trampa. Sin embargo, esto requiere capacidades que la tecnología cuántica actualmente no posee, por lo que es imposible de hacer en la práctica. Para ejecutar esto con éxito, Alice tendría que ser capaz de almacenar todos los fotones durante una cantidad significativa de tiempo, así como medirlos con una eficiencia casi perfecta. Esto se debe a que cualquier fotón perdido en el almacenamiento o en la medición resultaría en un agujero en su cuerda que tendría que llenar adivinando. Cuantas más conjeturas tenga que hacer, más se arriesga a ser detectada por Bob por hacer trampa.
Compromiso cuánticoedItar
Además de lanzar monedas cuánticas, los protocolos de compromiso cuántico se implementan cuando hay partes desconfiadas involucradas. Un esquema de compromiso le permite a una parte Alice fijar un cierto valor («commit») de tal manera que Alice no pueda cambiar ese valor mientras que al mismo tiempo se asegura de que el destinatario Bob no pueda aprender nada sobre ese valor hasta que Alice lo revele. Estos esquemas de compromiso se utilizan comúnmente en protocolos criptográficos (por ejemplo, volteo de moneda cuántica, prueba de conocimiento cero, computación segura de dos partes y transferencia inconsciente).
En el entorno cuántico, serían particularmente útiles: Crépeau y Kilian demostraron que a partir de un compromiso y un canal cuántico, se puede construir un protocolo incondicionalmente seguro para realizar la llamada transferencia inconsciente. Kilian, por otro lado, había demostrado que la transferencia inconsciente permitía la implementación de casi cualquier computación distribuida de una manera segura (la llamada computación multipartidaria segura). (Observe que aquí somos un poco imprecisos: Los resultados de Crépeau y Kilian juntos no implican directamente que, dado un compromiso y un canal cuántico, se pueda realizar un cálculo seguro de múltiples partes. Esto se debe a que los resultados no garantizan la «componibilidad», es decir, al conectarlos, uno podría perder seguridad.
Desafortunadamente, se demostró que los primeros protocolos de compromiso cuántico eran defectuosos. De hecho, Mayers demostró que el compromiso cuántico (incondicionalmente seguro) es imposible: un atacante computacionalmente ilimitado puede romper cualquier protocolo de compromiso cuántico.
Sin embargo, el resultado de Mayers no excluye la posibilidad de construir protocolos de compromiso cuántico (y por lo tanto protocolos de computación multipartitos seguros) bajo supuestos que son mucho más débiles que los supuestos necesarios para protocolos de compromiso que no utilizan comunicación cuántica. El modelo de almacenamiento cuántico delimitado que se describe a continuación es un ejemplo de un entorno en el que la comunicación cuántica se puede utilizar para construir protocolos de compromiso. Un gran avance en noviembre de 2013 ofrece seguridad «incondicional» de la información al aprovechar la teoría cuántica y la relatividad, que se ha demostrado con éxito a escala mundial por primera vez. Más recientemente, Wang et al., propuso otro esquema de compromiso en el que el «ocultamiento incondicional» es perfecto.
Las funciones físicas no razonables también se pueden explotar para la construcción de compromisos criptográficos.
Modelo de almacenamiento cuántico acotado y ruidosoeditar
Una posibilidad para construir protocolos de compromiso cuántico incondicionalmente seguros y transferencia cuántica olvidadiza (OT) es usar el modelo de almacenamiento cuántico acotado (BQSM). En este modelo, se asume que la cantidad de datos cuánticos que un adversario puede almacenar está limitada por alguna constante conocida Q. Sin embargo, no se impone ningún límite a la cantidad de datos clásicos (es decir, no cuánticos) que el adversario puede almacenar.
En el BQSM, uno puede construir protocolos de transferencia ajenos y de compromiso. La idea subyacente es la siguiente: Las partes en el protocolo intercambian más de Q bits cuánticos (qubits). Dado que incluso una parte deshonesta no puede almacenar toda esa información (la memoria cuántica del adversario se limita a Q qubits), una gran parte de los datos tendrá que ser medida o descartada. Obligar a las partes deshonestas a medir una gran parte de los datos permite que el protocolo evada el resultado imposible, el compromiso y los protocolos de transferencia olvidados ahora se pueden implementar.
Los protocolos del BQSM presentados por Damgård, Fehr, Salvail y Schaffner no suponen que los participantes honestos del protocolo almacenen información cuántica; los requisitos técnicos son similares a los de los protocolos de distribución de claves cuánticas. Por lo tanto, estos protocolos pueden realizarse, al menos en principio, con la tecnología actual. La complejidad de la comunicación es solo un factor constante mayor que la Q enlazada en la memoria cuántica del adversario.
La ventaja del BQSM es que la suposición de que la memoria cuántica del adversario es limitada es bastante realista. Con la tecnología actual, almacenar incluso un solo qubit de forma fiable durante un tiempo suficientemente largo es difícil. (Lo que significa «suficientemente largo» depende de los detalles del protocolo. Al introducir una pausa artificial en el protocolo, la cantidad de tiempo que el adversario necesita para almacenar datos cuánticos puede hacerse arbitrariamente grande.)
Una extensión del BQSM es el modelo de almacenamiento ruidoso introducido por Wehner, Schaffner y Terhal. En lugar de considerar un límite superior en el tamaño físico de la memoria cuántica del adversario, se le permite usar dispositivos de almacenamiento cuántico imperfectos de tamaño arbitrario. El nivel de imperfección es modelado por canales cuánticos ruidosos. Para niveles de ruido lo suficientemente altos, se pueden lograr las mismas primitivas que en el BQSM y el BQSM forma un caso especial del modelo de almacenamiento ruidoso.
En el entorno clásico, se pueden lograr resultados similares al asumir un límite en la cantidad de datos clásicos (no cuánticos) que el adversario puede almacenar. Sin embargo, se demostró que en este modelo también las partes honestas tienen que usar una gran cantidad de memoria (a saber, la raíz cuadrada de la memoria del adversario). Esto hace que estos protocolos no sean prácticos para límites de memoria realistas. (Tenga en cuenta que con la tecnología actual, como los discos duros, un adversario puede almacenar grandes cantidades de datos clásicos a bajo costo.)
Criptografía cuántica basada en posicióneditar
El objetivo de la criptografía cuántica basada en posición es utilizar la ubicación geográfica de un jugador como su (única) credencial. Por ejemplo, uno quiere enviar un mensaje a un jugador en una posición específica con la garantía de que solo se puede leer si la parte receptora se encuentra en esa posición en particular. En la tarea básica de verificación de posición, una jugadora, Alice, quiere convencer a los verificadores (honestos) de que se encuentra en un punto en particular. Ha sido demostrado por Chandran et al. esa verificación de posición usando protocolos clásicos es imposible contra adversarios coludidos (que controlan todas las posiciones excepto la posición reclamada del probador). Bajo varias restricciones a los adversarios, los esquemas son posibles.
Bajo el nombre de ‘etiquetado cuántico’, los primeros esquemas cuánticos basados en posiciones han sido investigados en 2002 por Kent. En 2006 se concedió una patente estadounidense. La noción de utilizar efectos cuánticos para la verificación de la ubicación apareció por primera vez en la literatura científica en 2010. Después de que varios otros protocolos cuánticos para la verificación de posición se han sugerido en 2010, Buhrman et al. reclamado un resultado de imposibilidad general: usando una enorme cantidad de entrelazamiento cuántico (usan un número doblemente exponencial de pares EPR, en el número de qubits en los que opera el jugador honesto), los adversarios coludidos siempre pueden hacer que los verificadores parezcan como si estuvieran en la posición reclamada. Sin embargo, este resultado no excluye la posibilidad de esquemas prácticos en el modelo de almacenamiento cuántico acotado o ruidoso (véase más arriba). Más tarde, Beigi y König mejoraron la cantidad de pares de EPR necesarios en el ataque general contra los protocolos de verificación de posición a exponencial. También mostraron que un protocolo en particular permanece seguro contra adversarios que controlan solo una cantidad lineal de pares de EPR. Se argumenta que, debido al acoplamiento tiempo-energía, la posibilidad de una verificación formal incondicional de la ubicación a través de efectos cuánticos sigue siendo un problema abierto. Vale la pena mencionar que el estudio de la criptografía cuántica basada en posiciones también tiene conexiones con el protocolo de teletransportación cuántica basada en puertos, que es una versión más avanzada de la teletransportación cuántica, donde muchos pares de EPR se utilizan simultáneamente como puertos.
Criptografía cuántica independiente del dispositivoeditar
Un protocolo criptográfico cuántico es independiente del dispositivo si su seguridad no se basa en confiar en que los dispositivos cuánticos utilizados son veraces. Por lo tanto, el análisis de seguridad de dicho protocolo debe considerar escenarios de dispositivos imperfectos o incluso maliciosos. Mayers y Yao propusieron la idea de diseñar protocolos cuánticos utilizando aparatos cuánticos de «auto-prueba», cuyas operaciones internas pueden ser determinadas de manera única por sus estadísticas de entrada y salida. Posteriormente, Roger Colbeck en su tesis propuso el uso de pruebas de Campana para verificar la honestidad de los dispositivos. Desde entonces, se ha demostrado que varios problemas admiten protocolos incondicionales seguros e independientes del dispositivo, incluso cuando los dispositivos reales que realizan la prueba de Campana son sustancialmente «ruidosos», es decir, lejos de ser ideales. Estos problemas incluyen la distribución de la clave delantum, la expansión de la aleatoriedad y la amplificación de la aleatoriedad.
En 2018, los estudios teóricos realizados por Arnon-Friedman et al. sugieren que explotar una propiedad de entropía que más tarde se conoce como » Teorema de Acumulación de Entropía (EAT)», una extensión de la propiedad de equipartición asintótica, puede garantizar la seguridad de un protocolo independiente del dispositivo.