Kryptografia kwantowa

kryptografia kwantowa to ogólny temat, który obejmuje szeroki zakres praktyk i protokołów kryptograficznych. Niektóre z najbardziej znaczących aplikacji i protokołów są omówione poniżej.

Quantum key distributionEdit
nieufna kryptografia kwantowaedytuj
Quantum Coin flippingEdit
Quantum commitmentEdit
Bounded – and noisy-quantum-storage modeledytuj
Kryptografia kwantowa oparta na Pozycjiedit
niezależna od urządzenia kryptografia kwantowaedit

Quantum key distributionEdit

Główny artykuł: Quantum Key distribution

najbardziej znanym i rozwiniętym zastosowaniem kryptografii kwantowej jest Quantum key distribution (QKD), która jest procesem wykorzystującym komunikację kwantową do ustanowienia wspólnego klucza między dwiema stronami (na przykład Alice i Bob) bez wiedzy osoby trzeciej (Eve) o tym kluczu, nawet jeśli Eve może podsłuchiwać całą komunikację między Alice i Bobem. Jeśli Eve spróbuje dowiedzieć się informacji o ustalanym kluczu, pojawią się rozbieżności, które spowodują, że Alice i Bob zauważą. Po ustaleniu klucza jest on zwykle używany do szyfrowanej komunikacji przy użyciu technik klasycznych. Na przykład, wymieniany klucz może być używany do kryptografii symetrycznej (np. pad Jednorazowy).

bezpieczeństwo kwantowej dystrybucji kluczy można udowodnić matematycznie bez nakładania ograniczeń na możliwości podsłuchiwacza, co nie jest możliwe w przypadku klasycznej dystrybucji kluczy. Jest to zwykle opisywane jako „bezwarunkowe bezpieczeństwo”, chociaż wymagane są pewne minimalne założenia, w tym, że obowiązują prawa mechaniki kwantowej i że Alicja i Bob są w stanie uwierzytelnić się nawzajem, tj. Eve nie powinna być w stanie podszyć się pod Alice lub Boba, ponieważ w przeciwnym razie możliwy byłby atak typu man-in-the-middle.

chociaż QKD jest pozornie Bezpieczny, jego aplikacje stoją przed wyzwaniem praktyczności. Wynika to z odległości transmisji i kluczowych ograniczeń szybkości generowania. Trwające badania i rozwijająca się technologia pozwoliły na dalszy postęp w takich ograniczeniach. W 2018 Lucamarini et al. zaproponowano dwubiegunowy schemat QKD, który może ewentualnie przezwyciężyć skalowanie stratnego kanału komunikacyjnego. Szybkość twin field protocol została pokazana, aby przezwyciężyć tajną zdolność porozumienia klucza kanału stratnego, znanego jako Wiązanie PLOB bez repeatera, przy 340 km światłowodu; jego idealna szybkość przewyższa tę Wiązanie już przy 200 km i podąża za skalowaniem szybkości wyższej zdolności porozumienia tajnego klucza wspomaganego przez repeater (więcej szczegółów na rysunku 1). Protokół sugeruje, że optymalne kluczowe prędkości są osiągalne na „550 kilometrach standardowego światłowodu”, który jest już dziś powszechnie stosowany w komunikacji. Teoretyczny wynik został potwierdzony w pierwszej eksperymentalnej demonstracji QKD poza limitem stopy strat Przez Minder et al. w 2019 roku, który został scharakteryzowany jako pierwszy efektywny repeater kwantowy. Jednym z istotnych osiągnięć w zakresie osiągania wysokich prędkości na dużych odległościach jest wersja protokołu TF-QKD sending-not-sending (SNS).

nieufna kryptografia kwantowaedytuj

w nieufnej kryptografii uczestniczące strony nie ufają sobie nawzajem. Na przykład Alicja i Bob współpracują, aby wykonać pewne obliczenia, w których obie strony wprowadzają pewne Prywatne Dane wejściowe. Ale Alicja nie ufa Bobowi, a Bob nie ufa Alice. Tak więc, bezpieczna implementacja zadania kryptograficznego wymaga, aby po zakończeniu obliczeń, Alicja mogła mieć gwarancję, że Bob nie oszukał i Bob może mieć gwarancję, że Alicja również nie oszukała. Przykładami zadań w kryptografii nieufnej są schematy zaangażowania i bezpieczne obliczenia, w tym kolejne przykłady rzutu monetą i transferu nieświadomego. Dystrybucja kluczy nie należy do obszaru nieufnej kryptografii. Nieufna kryptografia kwantowa bada obszar nieufnej kryptografii przy użyciu systemów kwantowych.

w przeciwieństwie do kwantowej dystrybucji klucza, gdzie bezwarunkowe bezpieczeństwo można osiągnąć tylko w oparciu o prawa fizyki kwantowej, w przypadku różnych zadań w nieufnej kryptografii istnieją twierdzenia no-go pokazujące, że niemożliwe jest osiągnięcie bezwarunkowo bezpiecznych protokołów opartych wyłącznie na prawach fizyki kwantowej. Jednak niektóre z tych zadań mogą być realizowane z bezwarunkowym bezpieczeństwem, jeśli protokoły nie tylko wykorzystują mechanikę kwantową, ale także szczególną teorię względności. Na przykład bezwarunkowo bezpieczne kwantowe zaangażowanie bitów okazało się niemożliwe przez Mayersa oraz przez Lo i Chau. Bezwarunkowo bezpieczny idealny rzut monetą kwantową okazał się niemożliwy przez Lo i Chau. Co więcej, Lo pokazał, że nie mogą istnieć bezwarunkowo bezpieczne protokoły kwantowe dla jednego z dwóch niepomnych transferów i innych bezpiecznych obliczeń dwubiegunowych. Jednak bezwarunkowo bezpieczne protokoły relatywistyczne dla rzutu monetą i zaangażowania bitów zostały wykazane przez Kenta.

Quantum Coin flippingEdit

artykuł główny: Quantum coin flipping

w przeciwieństwie do kwantowej dystrybucji kluczy, Quantum coin flipping jest protokołem używanym między dwoma uczestnikami, którzy nie ufają sobie nawzajem. Uczestnicy komunikują się kanałem kwantowym i wymieniają informacje poprzez transmisję kubitów. Ale ponieważ Alice i Bob nie ufają sobie nawzajem, każdy oczekuje od siebie oszukiwać. Dlatego należy poświęcić więcej wysiłku na zapewnienie, że ani Alicja, ani Bob nie będą w stanie uzyskać znaczącej przewagi nad innymi, aby uzyskać pożądany rezultat. Zdolność do wpływania na konkretny wynik jest określana jako stronniczość, a duży nacisk kładzie się na opracowywanie protokołów w celu zmniejszenia stronniczości nieuczciwego gracza, znanego również jako oszustwo. Kwantowe protokoły komunikacyjne, w tym kwantowe rzucanie monetami, okazały się zapewniać znaczące korzyści w zakresie bezpieczeństwa w porównaniu z klasyczną komunikacją, chociaż mogą być uważane za trudne do zrealizowania w praktycznym świecie.

protokół rzutu monetą zazwyczaj występuje w następujący sposób:

Alice wybiera bazę (prostoliniową lub przekątną) i generuje ciąg fotonów, który wysyła do Boba w tej podstawie.
Bob losowo wybiera pomiar każdego fotonu w podstawie prostoliniowej lub diagonalnej, zwracając uwagę, jakiej podstawy użył i zmierzoną wartość.
Bob publicznie zgaduje, na jakiej podstawie Alice wysłała swoje kubity.
Alice ogłasza podstawę, której użyła i wysyła swój oryginalny ciąg do Boba.
Bob potwierdza porównując ciąg Alice do jego tabeli. Powinna być doskonale skorelowana z wartościami mierzonymi na podstawie Alicji i całkowicie nieskorelowana z odwrotnością.

oszustwo występuje, gdy jeden gracz próbuje wpłynąć lub zwiększyć prawdopodobieństwo określonego wyniku. Protokół zniechęca do niektórych form oszukiwania; na przykład Alice mogłaby oszukiwać w kroku 4, twierdząc, że Bob błędnie odgadł jej początkową podstawę, gdy odgadł poprawnie, ale Alice musiałaby wygenerować nowy ciąg kubitów, który doskonale koreluje z tym, co Bob mierzył w przeciwnej tabeli. Jej szansa na wygenerowanie pasującego ciągu kubitów zmniejszy się wykładniczo wraz z liczbą wysłanych kubitów, a jeśli Bob zauważy niedopasowanie, będzie wiedział, że kłamała. Alice mogłaby również wygenerować ciąg fotonów za pomocą mieszaniny stanów, ale Bob łatwo zobaczyłby, że jej ciąg będzie częściowo (ale nie w pełni) skorelowany z obiema stronami stołu i wiedział, że oszukiwała w tym procesie. Istnieje również nieodłączna wada, która pochodzi z obecnych urządzeń kwantowych. Błędy i utracone kubity będą miały wpływ na pomiary Boba, powodując dziury w tabeli pomiarów Boba. Znaczne straty w pomiarach wpłyną na zdolność Boba do weryfikacji sekwencji kubitu Alice w kroku 5.

teoretycznie pewnym sposobem na oszukanie Alicji jest wykorzystanie paradoksu Einsteina-Podolskiego-Rosena (EPR). Dwa fotony w parze EPR są antykorozyjne; to znaczy, że zawsze będą miały przeciwne polaryzacje, pod warunkiem, że są mierzone w tej samej podstawie. Alice mogła wygenerować ciąg par EPR, wysyłając jeden Foton na parę do Boba i przechowując drugi samodzielnie. Kiedy Bob wypowiada swoje przypuszczenia, mogła zmierzyć swoje fotony EPR w przeciwnej podstawie i uzyskać doskonałą korelację z przeciwną tabelą Boba. Bob nigdy by się nie dowiedział, że oszukiwała. Wymaga to jednak możliwości, których obecnie nie posiada technologia kwantowa, uniemożliwiając to w praktyce. Aby pomyślnie to wykonać, Alice musiałaby być w stanie przechowywać wszystkie fotony przez dłuższy czas, a także mierzyć je z niemal idealną wydajnością. Dzieje się tak dlatego, że każdy Foton utracony w magazynie lub w pomiarze spowodowałby dziurę w jej strunie, którą musiałaby wypełnić zgadując. Im więcej domysłów musi podjąć, tym bardziej ryzykuje wykrycie przez Boba oszustwa.

Quantum commitmentEdit

oprócz quantum coin-flipping, protokoły Quantum commitment są implementowane, gdy zaangażowane są nieufne strony. Schemat zaangażowania pozwala stronie Alicji ustalić określoną wartość („commit”) w taki sposób, że Alicja nie może zmienić tej wartości, a jednocześnie zapewnia, że odbiorca Bob nie może dowiedzieć się niczego o tej wartości, dopóki Alice jej nie ujawni. Takie schematy zaangażowania są powszechnie stosowane w protokołach kryptograficznych (np. Quantum coin flipping, Zero-knowledge proof, secure two-party computation, and Oblivious transfer).

w układzie kwantowym przydałyby się szczególnie: Crépeau i Kilian pokazali, że z zaangażowania i kanału kwantowego można skonstruować bezwarunkowo bezpieczny protokół do wykonywania tzw. transferu nieświadomego. Z kolei nieświadomy transfer został wykazany przez Kiliana, aby umożliwić implementację niemal każdego rozproszonego obliczenia w bezpieczny sposób (tzw. bezpieczne obliczenia wielopartyjne). (Zauważ, że tutaj jesteśmy nieco nieprecyzyjni: wyniki Crépeau i Kiliana razem nie sugerują bezpośrednio, że biorąc pod uwagę zaangażowanie i kanał kwantowy, można wykonać bezpieczne obliczenia wielopartyjne. Dzieje się tak dlatego, że wyniki nie gwarantują „kompostowalności”, to znaczy, że po ich podłączeniu można stracić bezpieczeństwo.

niestety, wczesne protokoły zaangażowania kwantowego okazały się wadliwe. W rzeczywistości Mayers pokazał, że (bezwarunkowo bezpieczne) zaangażowanie kwantowe jest niemożliwe: komputerowo nieograniczony atakujący może złamać dowolny protokół zaangażowania kwantowego.

jednak wynik Mayersa nie wyklucza możliwości konstruowania kwantowych protokołów zobowiązań (a tym samym zabezpieczania wielopartyjnych protokołów obliczeniowych) przy założeniach, które są znacznie słabsze niż założenia potrzebne dla protokołów zobowiązań, które nie wykorzystują komunikacji kwantowej. Opisany poniżej model ograniczonego przechowywania kwantowego jest przykładem ustawienia, w którym komunikacja kwantowa może być wykorzystana do konstruowania protokołów zaangażowania. Przełom w listopadzie 2013 r. oferuje „bezwarunkowe” bezpieczeństwo informacji poprzez wykorzystanie teorii kwantowej i teorii względności, które po raz pierwszy zostały z powodzeniem zademonstrowane w skali globalnej. Ostatnio Wang et al., zaproponował kolejny schemat zobowiązań, w którym „bezwarunkowe ukrywanie” jest doskonałe.

funkcje fizyczne mogą być również wykorzystywane do budowy zobowiązań kryptograficznych.

Bounded – and noisy-quantum-storage modeledytuj

jedną z możliwości skonstruowania bezwarunkowo bezpiecznych protokołów quantum commitment I quantum oblivious transfer (OT) jest użycie bounded quantum storage model (BQSM). W tym modelu zakłada się, że ilość danych kwantowych, które może przechowywać przeciwnik, jest ograniczona przez pewną znaną stałą Q. jednak nie nakłada się limitu na ilość klasycznych (tj. nie-kwantowych) danych, które może przechowywać przeciwnik.

w BQSM można konstruować protokoły transferu. Podstawowa idea jest następująca: Strony protokołu wymieniają więcej niż Q bitów kwantowych (kubitów). Ponieważ nawet nieuczciwa strona nie może przechowywać wszystkich tych informacji (pamięć kwantowa przeciwnika jest ograniczona do Q kubitów), duża część danych będzie musiała zostać zmierzona lub odrzucona. Zmuszenie nieuczciwych stron do pomiaru dużej części danych pozwala protokołowi obejść wynik niemożliwości, zaangażowanie i nieświadome protokoły transferu mogą być teraz realizowane.

protokoły w BQSM przedstawione przez Damgårda, Fehra, Salvaila i Schaffnera nie zakładają, że uczciwi uczestnicy protokołu przechowują jakiekolwiek informacje kwantowe; wymagania techniczne są podobne do tych w protokołach kwantowej dystrybucji kluczy. Protokoły te mogą więc, przynajmniej w zasadzie, być realizowane za pomocą dzisiejszej technologii. Złożoność komunikacyjna jest tylko stałym czynnikiem większym od związanego Q w pamięci kwantowej przeciwnika.

zaletą BQSM jest to, że założenie, że pamięć kwantowa przeciwnika jest ograniczona, jest dość realistyczne. Dzięki dzisiejszej technologii przechowywanie nawet jednego kubitu w sposób niezawodny przez wystarczająco długi czas jest trudne. (Co oznacza „wystarczająco długi”, zależy od szczegółów protokołu. Wprowadzając Sztuczną pauzę w protokole, ilość czasu, przez jaki przeciwnik musi przechowywać dane kwantowe, może być dowolnie duża.)

rozszerzeniem BQSM jest model noisy-storage wprowadzony przez Wehnera, Schaffnera i Terhala. Zamiast rozważać górną granicę fizycznej wielkości pamięci kwantowej przeciwnika, przeciwnik może używać niedoskonałych kwantowych urządzeń magazynujących o dowolnej wielkości. Poziom niedoskonałości jest modelowany przez głośne kanały kwantowe. Aby uzyskać wystarczająco wysoki poziom hałasu, można uzyskać te same podstawowe wartości, co w BQSM, a bqsm stanowi szczególny przypadek modelu noisy-storage.

w klasycznym ustawieniu podobne wyniki można osiągnąć, zakładając Wiązanie na ilości klasycznych (Nie-kwantowych) danych, które przeciwnik może przechowywać. Udowodniono jednak, że w tym modelu również uczciwe strony muszą korzystać z dużej ilości pamięci (czyli pierwiastka kwadratowego pamięci przeciwnika). To sprawia, że protokoły te są niepraktyczne dla realistycznych granic pamięci. (Zauważ, że dzięki dzisiejszej technologii, takiej jak dyski twarde, przeciwnik może tanio przechowywać duże ilości klasycznych danych.)

Kryptografia kwantowa oparta na Pozycjiedit

celem kryptografii kwantowej opartej na pozycji jest wykorzystanie położenia geograficznego gracza jako Jego (jedynego) poświadczenia. Na przykład, chce się wysłać wiadomość do gracza na określonej pozycji z gwarancją, że można ją odczytać tylko wtedy, gdy strona odbierająca znajduje się na tej konkretnej pozycji. W podstawowym zadaniu weryfikacji pozycji gracz, Alice, chce przekonać (uczciwych) weryfikatorów, że znajduje się w określonym punkcie. Wykazano to przez Chandran et al. ta pozycja-Weryfikacja przy użyciu klasycznych protokołów jest niemożliwa wobec zmówionych przeciwników (którzy kontrolują wszystkie pozycje poza żądaną pozycją Provera). Pod różnymi ograniczeniami wobec przeciwników możliwe są schematy.

pod nazwą „Quantum tagging” pierwsze systemy kwantowe oparte na pozycji zostały zbadane w 2002 roku przez Kenta. Patent amerykański został przyznany w 2006 roku. Pojęcie wykorzystania efektów kwantowych do weryfikacji lokalizacji pojawiło się po raz pierwszy w literaturze naukowej w 2010 roku. Po kilku innych protokołów kwantowych do weryfikacji pozycji zostały zasugerowane w 2010, Buhrman et al. twierdził, że ogólny wynik niemożliwości: korzystając z ogromnej ilości splątania kwantowego (używają podwójnie wykładniczej liczby par EPR, w liczbie kubitów, na których działa uczciwy gracz), zmówieni przeciwnicy zawsze są w stanie sprawić, by wyglądało to na weryfikatorów, jakby byli na deklarowanej pozycji. Jednak wynik ten nie wyklucza możliwości praktycznych schematów w modelu ograniczonego lub hałaśliwego przechowywania kwantowego (patrz wyżej). Później Beigi i König poprawili Ilość par EPR potrzebnych w ogólnym ataku na protokoły weryfikacji pozycji do wykładniczej. Wykazały one również, że konkretny protokół pozostaje bezpieczny przed przeciwnikami, którzy kontrolują tylko liniową Ilość par EPR. Argumentuje się, że ze względu na sprzężenie czas-energia możliwość formalnej bezwarunkowej weryfikacji lokalizacji za pomocą efektów kwantowych pozostaje otwartym problemem. Warto wspomnieć, że badanie kryptografii kwantowej opartej na pozycji ma również związek z protokołem teleportacji kwantowej opartej na portach, który jest bardziej zaawansowaną wersją teleportacji kwantowej, w której wiele par EPR jest jednocześnie używanych jako porty.

niezależna od urządzenia kryptografia kwantowaedit

Główny artykuł: niezależna od urządzenia kryptografia kwantowa

kwantowy protokół kryptograficzny jest niezależny od urządzenia, jeśli jego bezpieczeństwo nie polega na zaufaniu, że używane urządzenia kwantowe są zgodne z prawdą. Dlatego analiza bezpieczeństwa takiego protokołu musi uwzględniać scenariusze niedoskonałych lub nawet złośliwych urządzeń. Mayers i Yao zaproponowali pomysł zaprojektowania protokołów kwantowych przy użyciu” samokontroli ” aparatury kwantowej, której wewnętrzne operacje mogą być jednoznacznie określone przez ich statystyki wejścia-wyjścia. Następnie Roger Colbeck w swojej pracy zaproponował użycie testów Bell do sprawdzenia uczciwości urządzeń. Od tego czasu wykazano, że kilka problemów dopuszcza bezwarunkowe protokoły bezpieczeństwa i niezależne od urządzenia, nawet jeśli rzeczywiste urządzenia wykonujące Test dzwonka są zasadniczo „hałaśliwe”, tj. dalekie od ideału. Problemy te obejmują rozkład klucza Quantum, ekspansję losowości i wzmocnienie losowości.

w 2018 r. badania teoretyczne przeprowadzone przez Arnon-Friedman et al. sugerują, że wykorzystanie własności entropii, która jest później określana jako ” twierdzenie o akumulacji entropii (EAT)” , rozszerzenie właściwości asymptotycznego sprzętu, może zagwarantować bezpieczeństwo protokołu niezależnego od urządzenia.