Kwantumcryptografie

Kwantumcryptografie is een algemeen onderwerp dat een breed scala aan cryptografische praktijken en protocollen omvat. Enkele van de meest opmerkelijke toepassingen en protocollen worden hieronder besproken.

Kwantumsleuteldistributiedit
wantrouwige kwantumcryptieedit
Quantum coin flippingdit
Quantum commitmentEdit
Bounded-and noisy-quantum-storage modelEdit
Position-based quantum cryptographyEdit
apparaatonafhankelijke kwantumcryptiedit

Kwantumsleuteldistributiedit

Main article: Kwantumsleuteldistributie

de bekendste en meest ontwikkelde toepassing van kwantumcryptografie is quantumsleuteldistributie (QKD), het proces waarbij quantumcommunicatie wordt gebruikt om een gedeelde sleutel tot stand te brengen tussen twee partijen (bijvoorbeeld Alice en Bob) zonder dat een derde partij (Eve) iets van die sleutel Weet, zelfs als Eve alle communicatie tussen Alice en Bob kan afluisteren. Als Eve probeert om informatie te leren over de sleutel wordt vastgesteld, discrepanties zullen ontstaan waardoor Alice en Bob om op te merken. Zodra de sleutel is vastgesteld, wordt deze meestal gebruikt voor versleutelde communicatie met behulp van klassieke technieken. Bijvoorbeeld, de uitgewisselde sleutel kan worden gebruikt voor symmetrische cryptografie (bijvoorbeeld One-time pad).

de beveiliging van kwantumsleuteldistributie kan wiskundig worden bewezen zonder beperkingen op te leggen aan de capaciteiten van een luistervink, iets wat niet mogelijk is met klassieke sleuteldistributie. Dit wordt meestal beschreven als” onvoorwaardelijke veiligheid”, hoewel er een aantal minimale aannames vereist zijn, waaronder dat de wetten van de kwantummechanica van toepassing zijn en dat Alice en Bob in staat zijn om elkaar te authenticeren, dat wil zeggen dat Eve niet in staat zou moeten zijn om Alice of Bob na te doen als een man-in-the-middle aanval mogelijk zou zijn.

hoewel QKD schijnbaar veilig is, worden de toepassingen ervan geconfronteerd met de uitdaging van de uitvoerbaarheid. Dit is toe te schrijven aan transmissieafstand en de belangrijkste snelheidsbeperkingen van de generatie. De lopende studies en de groeiende technologie hebben verdere vooruitgang in dergelijke beperkingen toegestaan. In 2018 Lucamarini et al. voorgesteld een twin-field QKD-regeling die mogelijk de snelheid-verlies schalen van een verlieslatende communicatiekanaal kan overwinnen. De snelheid van het twin field protocol bleek de geheime sleutel-overeenkomst capaciteit van het lossy kanaal, bekend als repeater-less PLOB gebonden, op 340 km optische vezel te overwinnen; zijn ideale snelheid overtreft deze binding al op 200 km en volgt De snelheid-verlies schaal van de hogere repeater-geassisteerde geheime sleutel-overeenkomst capaciteit (zie figuur 1 van voor meer details). Het protocol suggereert dat optimale sleutelsnelheden haalbaar zijn op “550 kilometer standaard glasvezel”, die nu al algemeen wordt gebruikt in communicatie. Het theoretische resultaat werd bevestigd in de eerste experimentele demonstratie van QKD voorbij de rate-loss limiet door Minder et al. in 2019, dat is gekarakteriseerd als de eerste effectieve quantum repeater. Een van de opmerkelijke ontwikkelingen in termen van het bereiken van hoge tarieven op lange afstanden is de sending-not-sending (SNS) versie van het TF-QKD protocol.

wantrouwige kwantumcryptieedit

bij wantrouwige cryptografie vertrouwen de deelnemende partijen elkaar niet. Bijvoorbeeld, Alice en Bob samenwerken om een aantal berekeningen uit te voeren waar beide partijen voeren een aantal private ingangen. Maar Alice vertrouwt Bob niet en Bob vertrouwt Alice niet. Dus, een veilige implementatie van een cryptografische taak vereist dat na het voltooien van de berekening, Alice kan worden gegarandeerd dat Bob niet heeft bedrogen en Bob kan worden gegarandeerd dat Alice ook niet heeft bedrogen. Voorbeelden van taken in wantrouwige cryptografie zijn commitment schemes en veilige berekeningen, de laatste met inbegrip van de verdere voorbeelden van munt omdraaien en onbewuste overdracht. Sleuteldistributie behoort niet tot het gebied van wantrouwige cryptografie. Mistrustful quantum cryptography bestudeert het gebied van mistrustful cryptography met behulp van kwantumsystemen.

in tegenstelling tot de kwantumsleuteldistributie, waar onvoorwaardelijke beveiliging alleen kan worden bereikt op basis van de wetten van de kwantumfysica, zijn er in het geval van verschillende taken in wantrouwige cryptografie no-go stellingen die aantonen dat het onmogelijk is om onvoorwaardelijk veilige protocollen te bereiken die alleen gebaseerd zijn op de wetten van de kwantumfysica. Echter, sommige van deze taken kunnen worden uitgevoerd met onvoorwaardelijke veiligheid als de Protocollen niet alleen de kwantummechanica benutten, maar ook speciale relativiteit. Bijvoorbeeld, onvoorwaardelijk veilige Quantum bit commitment werd onmogelijk getoond door Mayers en door Lo en Chau. Onvoorwaardelijk veilige ideal quantum coin flipping werd onmogelijk getoond door Lo en Chau. Bovendien toonde Lo aan dat er geen onvoorwaardelijk veilige kwantumprotocollen kunnen zijn voor één-op-twee onbewuste overdracht en andere veilige tweepartijberekeningen. Echter, onvoorwaardelijk veilige relativistische protocollen voor munt flipping en BiT-commitment zijn aangetoond door Kent.

Quantum coin flippingdit

Main article: Quantum coin flipping

in tegenstelling tot quantum key distribution is quantum coin flipping een protocol dat wordt gebruikt tussen twee deelnemers die elkaar niet vertrouwen. De deelnemers communiceren via een quantumkanaal en wisselen informatie uit via de overdracht van qubits. Maar omdat Alice en Bob elkaar niet vertrouwen, verwachten ze dat de ander vals speelt. Daarom moet meer inspanning worden besteed aan ervoor te zorgen dat noch Alice noch Bob een significant voordeel ten opzichte van de andere kan krijgen om een gewenste uitkomst te produceren. Een mogelijkheid om een bepaalde uitkomst te beïnvloeden wordt aangeduid als een bias, en er is een aanzienlijke focus op het ontwikkelen van protocollen om de bias van een oneerlijke speler te verminderen, ook wel bekend als valsspelen. Kwantumcommunicatieprotocollen, waaronder kwantummuntomslag, bieden aanzienlijke veiligheidsvoordelen ten opzichte van klassieke communicatie, hoewel ze in de praktijk als moeilijk te realiseren kunnen worden beschouwd.

een coin flip protocol komt over het algemeen als volgt voor:

Alice kiest een basis (rechtlijnig of diagonaal) en genereert een reeks fotonen om in die basis naar Bob te sturen.
Bob kiest willekeurig om elk foton te meten in een rechtlijnige of diagonale basis, waarbij hij noteert welke basis hij gebruikte en de gemeten waarde.
Bob raadt publiekelijk welke basis Alice gebruikte om haar qubits te sturen.
Alice kondigt de basis aan die ze gebruikte en stuurt haar originele tekenreeks naar Bob.
Bob bevestigt door Alice ‘ s string te vergelijken met zijn tafel. Het moet perfect worden gecorreleerd met de waarden Bob gemeten met behulp van Alice ‘ s basis en volledig niet gecorreleerd met het tegenovergestelde.

bedrog treedt op wanneer een speler probeert de kans op een bepaalde uitkomst te beïnvloeden of te vergroten. Het protocol ontmoedigt sommige vormen van valsspelen; bijvoorbeeld, Alice zou kunnen bedriegen bij stap 4 door te beweren dat Bob verkeerd geraden haar oorspronkelijke basis wanneer hij goed geraden, maar Alice zou dan nodig hebben om een nieuwe reeks qubits die perfect correleert met wat Bob gemeten in de tegenovergestelde tabel te genereren. Haar kans op het genereren van een overeenkomende reeks qubits zal exponentieel afnemen met het aantal verzonden qubits, en als Bob een mismatch opmerkt, zal hij weten dat ze loog. Alice kon ook een reeks fotonen genereren met behulp van een mengsel van toestanden, maar Bob zou gemakkelijk zien dat haar reeks gedeeltelijk (maar niet volledig) correleert met beide zijden van de tafel, en weet dat ze vals speelde in het proces. Er is ook een inherente fout die wordt geleverd met de huidige kwantumapparaten. Fouten en verloren qubits zullen invloed hebben op Bob ’s metingen, wat resulteert in gaten in Bob’ s meettabel. Significante meetverliezen beïnvloeden Bob ’s vermogen om Alice’ s qubit sequentie te verifiëren in Stap 5.Een theoretisch zekere manier voor Alice om vals te spelen is door gebruik te maken van de Einstein-Podolsky-Rosen (EPR) paradox. Twee fotonen in een EPR-paar zijn anticorrelatief; dat wil zeggen dat ze altijd tegengestelde polarisaties hebben, mits ze op dezelfde basis worden gemeten. Alice kon een reeks EPR-paren genereren, een foton per paar naar Bob sturen en het andere zelf opslaan. Als Bob zegt zijn gok, ze kon haar EPR paar fotonen meten in de tegenovergestelde basis en het verkrijgen van een perfecte correlatie met Bob ‘ s tegenovergestelde tabel. Bob zou nooit weten dat ze vreemdging. Dit vereist echter capaciteiten die quantumtechnologie momenteel niet bezit, waardoor het in de praktijk onmogelijk is om te doen. Om dit met succes uit te voeren, zou Alice in staat moeten zijn om alle fotonen voor een aanzienlijke hoeveelheid tijd op te slaan en ze te meten met bijna perfecte efficiëntie. Dit komt omdat elk foton verloren in opslag of in meting zou resulteren in een gat in haar snaar die ze zou moeten vullen door te raden. Hoe meer gissingen ze moet maken, hoe meer ze het risico loopt ontdekt te worden door Bob voor valsspelen.

Quantum commitmentEdit

naast het omgooien van kwantummunten worden quantum commitmentprotocollen geïmplementeerd wanneer wantrouwende partijen betrokken zijn. Een commitment regeling staat een partij Alice toe om een bepaalde waarde vast te stellen (te “commit”) op een zodanige manier dat Alice die waarde niet kan veranderen, terwijl tegelijkertijd ervoor zorgt dat de ontvanger Bob niets over die waarde kan leren totdat Alice het onthult. Dergelijke verplichtingsschema ‘ s worden vaak gebruikt in cryptografische protocollen (bijvoorbeeld Quantum coin flipping, Zero-knowledge proof, secure two-party computation, en Oblivious transfer).

in de kwantumsetting zouden ze bijzonder nuttig zijn: Crépeau en Kilian toonden aan dat men vanuit een commitment en een quantumkanaal een onvoorwaardelijk veilig protocol kan construeren voor het uitvoeren van zogenaamde onbewuste overdracht. Onbewuste overdracht, aan de andere kant, was aangetoond door Kilian om de implementatie van bijna elke gedistribueerde berekening op een veilige manier mogelijk te maken (zogenaamde secure multi-party computation). (Merk op dat we hier een beetje onnauwkeurig zijn: de resultaten van Crépeau en Kilian samen betekenen niet direct dat men, gegeven een verbintenis en een kwantumkanaal, een veilige multi-party berekening kan uitvoeren. Dit komt omdat de resultaten niet garanderen “composability”, dat wil zeggen, bij het aansluiten van hen samen, kan men de veiligheid te verliezen.

helaas bleken de vroege quantum commitment protocollen gebrekkig te zijn. In feite toonde Mayers aan dat (onvoorwaardelijk veilige) kwantum commitment onmogelijk is: een computationeel onbeperkte aanvaller kan elk quantum commitment protocol breken.

toch sluit het resultaat van Mayers De mogelijkheid niet uit om quantumcommitatieprotocollen (en dus veilige multi-party rekenprotocollen) te construeren onder aannames die veel zwakker zijn dan de aannames die nodig zijn voor commitmentprotocollen die geen gebruik maken van quantumcommunicatie. Het hieronder beschreven Begrensd kwantumopslagmodel is een voorbeeld voor een omgeving waarin quantumcommunicatie kan worden gebruikt om verplichtingsprotocollen te construeren. Een doorbraak in November 2013 biedt “onvoorwaardelijke” beveiliging van informatie door gebruik te maken van kwantumtheorie en relativiteit, die voor het eerst op wereldschaal met succes is aangetoond. Meer recent, Wang et al., voorgesteld een andere commitment regeling waarin de “onvoorwaardelijke verbergen” is perfect.

fysieke onkloneerbare functies kunnen ook worden gebruikt voor de constructie van cryptografische verplichtingen.

Bounded-and noisy-quantum-storage modelEdit

een mogelijkheid om onvoorwaardelijk veilige quantum commitment en quantum oblivious transfer (OT) protocollen te construeren is het gebruik van het bounded quantum storage model (BQSM). In dit model wordt aangenomen dat de hoeveelheid kwantumgegevens die een tegenstander kan opslaan beperkt is door een bekende constante Q. er wordt echter geen limiet gesteld aan de hoeveelheid klassieke (d.w.z. niet-kwantum) gegevens die de tegenstander mag opslaan.

In de BQSM kan men commitment en oblusive transfer protocollen construeren. Het onderliggende idee is het volgende:: De protocolpartijen wisselen Meer Dan Q quantum bits (qubits) uit. Omdat zelfs een oneerlijke partij niet al die informatie kan opslaan (het kwantumgeheugen van de tegenstander is beperkt tot Q qubits), zal een groot deel van de gegevens moeten worden gemeten of weggegooid. Door oneerlijke partijen te dwingen een groot deel van de gegevens te meten, kan het protocol de onmogelijkheid van het resultaat, de betrokkenheid en de onbewuste overdrachtsprotocollen omzeilen.

de protocollen in de bqsm die worden gepresenteerd door Damgård, Fehr, Salvail en Schaffner gaan er niet van uit dat eerlijke protocoldeelnemers kwantuminformatie opslaan; de technische vereisten zijn vergelijkbaar met die in kwantumsleutelprotocollen. Deze protocollen kunnen dus, althans in principe, worden gerealiseerd met de technologie van vandaag. De communicatie complexiteit is slechts een constante factor groter dan de gebonden Q op het kwantumgeheugen van de tegenstander.

het voordeel van de bqsm is dat de aanname dat het kwantumgeheugen van de tegenstander beperkt is, vrij realistisch is. Met de technologie van vandaag is het moeilijk om zelfs een enkele qubit betrouwbaar over een voldoende lange tijd op te slaan. (Wat “voldoende lang” betekent, hangt af van de details van het protocol. Door een kunstmatige pauze in het protocol te introduceren, kan de hoeveelheid tijd die de tegenstander nodig heeft om kwantumgegevens op te slaan willekeurig groot worden gemaakt.)

een uitbreiding van de bqsm is het noisy-storage model geïntroduceerd door Wehner, Schaffner en Terhal. In plaats van een bovengrens aan de fysieke grootte van het kwantumgeheugen van de tegenstander te overwegen, mag een tegenstander imperfecte kwantumopslag-apparaten van willekeurige grootte gebruiken. Het niveau van imperfectie wordt gemodelleerd door lawaaierige kwantumkanalen. Voor voldoende geluidsniveaus kunnen dezelfde primitieven als in de BQSM worden bereikt en de BQSM vormt een speciaal geval van het noisy-storage model.

in de klassieke setting kunnen vergelijkbare resultaten worden bereikt wanneer wordt uitgegaan van een binding aan de hoeveelheid klassieke (niet-kwantum) gegevens die de tegenstander kan opslaan. Het is echter bewezen dat in dit model ook de eerlijke partijen een grote hoeveelheid geheugen moeten gebruiken (namelijk de vierkantswortel van het geheugen van de tegenstander gebonden). Dit maakt deze protocollen onpraktisch voor realistische geheugengrenzen. (Merk op dat met de technologie van vandaag, zoals harde schijven, een tegenstander kan goedkoop opslaan grote hoeveelheden klassieke gegevens.)

Position-based quantum cryptographyEdit

het doel van position-based quantum cryptografie is om de geografische locatie van een speler als zijn (enige) referentie te gebruiken. Bijvoorbeeld, men wil een bericht sturen naar een speler op een bepaalde positie met de garantie dat het alleen kan worden gelezen als de ontvangende partij zich op die specifieke positie bevindt. In de basistaak van positie-verificatie wil een speler, Alice, de (eerlijke) verificateurs ervan overtuigen dat ze zich op een bepaald punt bevindt. Het is aangetoond door Chandran et al. die positie-verificatie met behulp van klassieke protocollen is onmogelijk tegen het samenspannen van tegenstanders (die alle posities controleren behalve de beweerde positie van de prover). Onder verschillende beperkingen voor de tegenstanders zijn regelingen mogelijk.

onder de naam “quantum tagging” werden de eerste op positie gebaseerde kwantumschema ’s in 2002 door Kent onderzocht. In 2006 werd een Amerikaans patent verleend. De notie van het gebruik van kwantumeffecten voor locatieverificatie verscheen voor het eerst in de wetenschappelijke literatuur in 2010. Na verschillende andere quantumprotocollen voor positieverificatie zijn voorgesteld in 2010, Buhrman et al. beweerde een algemene onmogelijkheid resultaat: met behulp van een enorme hoeveelheid kwantumverstrengeling (ze gebruiken een dubbel exponentieel aantal EPR paren, in het aantal qubits de eerlijke speler werkt op), samenspannende tegenstanders zijn altijd in staat om het te laten lijken op de verificateurs alsof ze op de geclaimde positie. Dit resultaat sluit echter de mogelijkheid van praktische schema ‘ s in het begrensde – of lawaaierige-kwantum-opslagmodel niet uit (zie hierboven). Later verbeterden Beigi en König de hoeveelheid EPR-paren die nodig waren in de algemene aanval tegen positieverificatieprotocollen tot exponentieel. Ze toonden ook aan dat een bepaald protocol veilig blijft tegen tegenstanders die slechts een lineaire hoeveelheid EPR-paren controleren. Er wordt gesteld dat als gevolg van tijd-energie koppeling de mogelijkheid van formele onvoorwaardelijke locatie verificatie via kwantum effecten een open probleem blijft. Het is vermeldenswaard dat de studie van positie-gebaseerde kwantumcryptografie ook verbindingen heeft met het protocol van poort-gebaseerde kwantum teleportatie, die een meer geavanceerde versie van quantum teleportatie is, waar vele EPR-paren gelijktijdig als poorten worden gebruikt.

apparaatonafhankelijke kwantumcryptiedit

Main article: apparaatonafhankelijke kwantumcryptografie

een quantumcryptieprotocol is apparaatonafhankelijk als de beveiliging ervan niet afhankelijk is van het vertrouwen dat de gebruikte kwantumapparaten waarheidsgetrouw zijn. Dus de veiligheidsanalyse van een dergelijk protocol moet scenario ‘ s van onvolmaakte of zelfs kwaadaardige apparaten overwegen. Mayers en Yao stelden het idee voor om kwantumprotocollen te ontwerpen met behulp van “zelftesten” kwantumapparaten, waarvan de interne werking uniek kan worden bepaald door hun input-output statistieken. Vervolgens stelde Roger Colbeck in zijn proefschrift het gebruik van Bell-tests voor om de eerlijkheid van de apparaten te controleren. Sindsdien is aangetoond dat verschillende problemen onvoorwaardelijke veilige en apparaatonafhankelijke protocollen toelaten, zelfs wanneer de eigenlijke apparaten die de Bell-test uitvoeren aanzienlijk “luidruchtig” zijn, d.w.z. verre van ideaal. Deze problemen omvatten Quantum sleuteldistributie, willekeur uitbreiding, en willekeur versterking.

in 2018, theoretische studies uitgevoerd door Arnon-Friedman et al. suggereren dat het exploiteren van een eigenschap van entropie die later wordt aangeduid als “entropie accumulatie stelling (EAT)” , een uitbreiding van asymptotische equipartition eigenschap, kan de veiligheid van een apparaat onafhankelijk protocol te garanderen.