Kvantkryptografi | Tech Blog

kvantkryptografi är ett allmänt ämne som täcker ett brett spektrum av kryptografiska metoder och protokoll. Några av de mest anmärkningsvärda applikationerna och protokollen diskuteras nedan.

Kvantnyckeldistributionredigera
misstro quantum cryptographyEdit
Quantum coin flippingEdit
Quantum commitmentEdit
Bounded-and noisy-quantum-storage modelEdit
positionsbaserad kvantkryptografiredigera
Device-independent quantum cryptographyEdit

Kvantnyckeldistributionredigera

Huvudartikel: Quantum key distribution

den mest kända och utvecklade tillämpningen av kvantkryptografi är quantum key distribution (QKD), vilket är processen att använda kvantkommunikation för att skapa en delad nyckel mellan två parter (Alice och Bob, till exempel) utan att en tredje part (Eve) lär sig något om den nyckeln, även om Eve kan avlyssna all kommunikation mellan Alice och Bob. Om Eve försöker lära sig information om nyckeln som upprättas kommer avvikelser att uppstå som får Alice och Bob att märka. När nyckeln är etablerad används den vanligtvis för krypterad kommunikation med klassiska tekniker. Till exempel kan den utbytta nyckeln användas för symmetrisk kryptografi (t.ex. engångsplatta).

säkerheten för kvantnyckelfördelning kan bevisas matematiskt utan att införa några begränsningar för förmågan hos en avlyssnare, något som inte är möjligt med klassisk nyckelfördelning. Detta beskrivs vanligtvis som” ovillkorlig säkerhet”, även om det krävs några minimala antaganden, inklusive att kvantmekanikens lagar gäller och att Alice och Bob kan autentisera varandra, dvs Eve borde inte kunna efterlikna Alice eller Bob eftersom annars en man-i-mitten-attack skulle vara möjlig.

medan QKD är till synes säker, står dess applikationer inför utmaningen av praktiska. Detta beror på överföringsavstånd och nyckelgenereringshastighetsbegränsningar. Pågående studier och växande teknik har möjliggjort ytterligare framsteg i sådana begränsningar. I 2018 Lucamarini et al. föreslog ett QKD-system med dubbla fält som möjligen kan övervinna skalningen av en förlustbaserad kommunikationskanal. Hastigheten för tvillingfältprotokollet visade sig övervinna den hemliga nyckelavtalskapaciteten hos den förstörande kanalen, känd som repeater-less PLOB bound, vid 340 km optisk fiber; dess ideala hastighet överträffar denna gräns redan vid 200 km och följer hastighetsförlustskalningen av den högre repeaterassisterade hemliga nyckelavtalskapaciteten (se figur 1 för mer information). Protokollet antyder att optimala styrräntor kan uppnås på” 550 kilometer standard optisk fiber”, som redan ofta används i kommunikation idag. Det teoretiska resultatet bekräftades i den första experimentella demonstrationen av QKD bortom hastighetsförlustgränsen av Minder et al. i 2019, som har karakteriserats som den första effektiva kvantrepeatern. En av de anmärkningsvärda utvecklingen när det gäller att uppnå höga priser på långa avstånd är SNS-versionen av TF-QKD-protokollet.

misstro quantum cryptographyEdit

i misstroende kryptografi litar de deltagande parterna inte på varandra. Till exempel samarbetar Alice och Bob för att utföra en viss beräkning där båda parter anger några privata ingångar. Men Alice litar inte på Bob och Bob litar inte på Alice. Således kräver en säker implementering av en kryptografisk uppgift att Alice efter att ha slutfört beräkningen kan garanteras att Bob inte har fuskat och Bob kan garanteras att Alice inte heller har fuskat. Exempel på uppgifter i misstroende kryptografi är engagemangsscheman och säkra beräkningar, den senare inklusive de ytterligare exemplen på myntflippning och oblivious transfer. Nyckeldistribution hör inte till området för misstroende kryptografi. Misstrogen kvantkryptografi studerar området för misstrogen kryptografi med hjälp av kvantsystem.

i motsats till kvantnyckelfördelning där ovillkorlig säkerhet kan uppnås endast baserat på kvantfysikens lagar, när det gäller olika uppgifter i misstroende kryptografi finns det NO-go-satser som visar att det är omöjligt att uppnå ovillkorligt säkra protokoll baserade endast på kvantfysikens lagar. Vissa av dessa uppgifter kan emellertid implementeras med ovillkorlig säkerhet om protokollen inte bara utnyttjar kvantmekanik utan också speciell relativitet. Till exempel visades ovillkorligt säkert quantum bit engagemang omöjligt av Mayers och av Lo och Chau. Ovillkorligt säker ideal quantum coin flipping visades omöjligt av Lo och Chau. Dessutom visade Lo att det inte kan finnas ovillkorligt säkra kvantprotokoll för en-out-of-two oblivious transfer och andra säkra tvåpartsberäkningar. Men ovillkorligt säkra relativistiska protokoll för myntflippning och bit-engagemang har visats av Kent.

Quantum coin flippingEdit

Huvudartikel: Quantum coin flipping

till skillnad från quantum key distribution är quantum coin flipping ett protokoll som används mellan två deltagare som inte litar på varandra. Deltagarna kommunicerar via en kvantkanal och utbyter information genom överföring av qubits. Men eftersom Alice och Bob inte litar på varandra, förväntar sig var och en att den andra ska fuska. Därför måste mer ansträngning läggas på att se till att varken Alice eller Bob kan få en betydande fördel gentemot den andra för att ge ett önskat resultat. En förmåga att påverka ett visst resultat kallas en bias, och det finns ett betydande fokus på att utveckla protokoll för att minska förspänningen hos en oärlig spelare, annars känd som fusk. Kvantkommunikationsprotokoll, inklusive kvantmynt, har visat sig ge betydande säkerhetsfördelar jämfört med klassisk kommunikation, även om de kan anses vara svåra att förverkliga i den praktiska världen.

ett myntflippprotokoll inträffar vanligtvis så här:

Alice väljer en bas (antingen rätlinjig eller diagonal) och genererar en sträng fotoner att skicka till Bob i den grunden.
Bob väljer slumpmässigt att mäta varje foton i en rätlinjig eller diagonal basis och noterar vilken grund han använde och det uppmätta värdet.
Bob gissar offentligt vilken grund Alice brukade skicka sina qubits.
Alice tillkännager grunden hon använde och skickar sin ursprungliga sträng till Bob.
Bob bekräftar genom att jämföra Alices sträng till sitt bord. Det borde vara perfekt korrelerat med värdena Bob mätt med Alices grund och helt okorrelerad med motsatsen.

fusk uppstår när en spelare försöker påverka eller öka sannolikheten för ett visst resultat. Protokollet avskräcker vissa former av fusk; till exempel kan Alice fuska i steg 4 genom att hävda att Bob felaktigt gissade sin ursprungliga grund när han gissade rätt, men Alice skulle då behöva generera en ny sträng qubits som perfekt korrelerar med vad Bob mätt i motsatt tabell. Hennes chans att generera en matchande sträng av qubits kommer att minska exponentiellt med antalet qubits skickas, och om Bob noterar en obalans, han vet att hon ljög. Alice kan också generera en sträng fotoner med en blandning av stater, men Bob skulle lätt se att hennes sträng kommer att korrelera delvis (men inte helt) med båda sidor av bordet och vet att hon fuskade i processen. Det finns också en inneboende fel som kommer med nuvarande kvantenheter. Fel och förlorade qubits kommer att påverka Bobs mätningar, vilket resulterar i hål i Bobs mätbord. Betydande förluster i mätningen kommer att påverka Bobs förmåga att verifiera Alices qubit-sekvens i steg 5.

ett teoretiskt säkert sätt för Alice att fuska är att använda Einstein-Podolsky-Rosen (EPR) paradoxen. Två fotoner i ett EPR-par är antikorrelerade; det vill säga de kommer alltid att befinnas ha motsatta polarisationer, förutsatt att de mäts på samma basis. Alice kunde generera en rad EPR-par, skicka en foton per par till Bob och lagra den andra själv. När Bob säger sin gissning kunde hon mäta sina EPR – parfotoner i motsatt grund och få en perfekt korrelation med Bobs motsatta bord. Bob skulle aldrig veta att hon fuskade. Detta kräver dock funktioner som kvantteknologi för närvarande inte har, vilket gör det omöjligt att göra i praktiken. För att lyckas genomföra detta skulle Alice behöva kunna lagra alla fotoner under en betydande tid samt mäta dem med nästan perfekt effektivitet. Detta beror på att någon foton förlorad i lagring eller i mätning skulle resultera i ett hål i hennes sträng som hon skulle behöva fylla genom att gissa. Ju fler gissningar hon har att göra, desto mer riskerar hon upptäckt av Bob för fusk.

Quantum commitmentEdit

förutom quantum coin-flipping implementeras quantum commitment protocols när misstroende parter är inblandade. Ett åtagandeschema tillåter en part Alice att fixa ett visst värde (att ”begå”) på ett sådant sätt att Alice inte kan ändra det värdet samtidigt som han ser till att mottagaren Bob inte kan lära sig något om det värdet förrän Alice avslöjar det. Sådana engagemangssystem används ofta i kryptografiska protokoll (t.ex. Quantum coin flipping, Zero-knowledge proof, secure two-party computation och Oblivious transfer).

i kvantinställningen skulle de vara särskilt användbara: Cr och Kilian visade att från ett engagemang och en kvantkanal kan man konstruera ett ovillkorligt säkert protokoll för att utföra så kallad oblivious transfer. Oblivious transfer, å andra sidan, hade visats av Kilian för att möjliggöra implementering av nästan vilken distribuerad beräkning som helst på ett säkert sätt (så kallad secure multi-party computation). (Lägg märke till att vi här är lite oprecisa: resultaten av CR Bisexupeau och Kilian tillsammans innebär inte direkt att givet ett åtagande och en kvantkanal kan man utföra säker flerpartsberäkning. Detta beror på att resultaten inte garanterar ”komposterbarhet”, det vill säga när man kopplar ihop dem kan man förlora säkerheten.

tyvärr visade sig tidiga kvantåtagandeprotokoll vara felaktiga. Faktum är att Mayers visade att (ovillkorligt säkert) kvantåtagande är omöjligt: en beräkningsmässigt obegränsad angripare kan bryta något kvantåtagandeprotokoll.

ändå utesluter resultatet av Mayers inte möjligheten att konstruera kvantåtagandeprotokoll (och därmed säkra flerpartsberäkningsprotokoll) under antaganden som är mycket svagare än de antaganden som behövs för åtagandeprotokoll som inte använder kvantkommunikation. Den begränsade kvantlagringsmodellen som beskrivs nedan är ett exempel på en inställning där kvantkommunikation kan användas för att konstruera åtagandeprotokoll. Ett genombrott i November 2013 erbjuder ”ovillkorlig” informationssäkerhet genom att utnyttja kvantteori och relativitet, vilket framgångsrikt har demonstrerats på global nivå för första gången. På senare tid, Wang et al., föreslog ett annat åtagandesystem där ”ovillkorligt gömning” är perfekt.

fysiska oklonbara funktioner kan också utnyttjas för konstruktion av kryptografiska åtaganden.

Bounded-and noisy-quantum-storage modelEdit

en möjlighet att konstruera villkorslöst säker quantum engagemang och quantum oblivious transfer (ot) protokoll är att använda bounded quantum storage model (BQSM). I denna modell antas det att mängden kvantdata som en motståndare kan lagra begränsas av någon känd konstant Q. emellertid införs ingen gräns för mängden klassisk (dvs icke-kvant) data som motståndaren kan lagra.

i BQSM kan man konstruera engagemang och oblivious överföringsprotokoll. Den underliggande tanken är följande: Protokollpartierna utbyter mer än Q kvantbitar (qubits). Eftersom även en oärlig part inte kan lagra all den informationen (motståndarens kvantminne är begränsat till Q qubits), måste en stor del av data antingen mätas eller kasseras. Att tvinga oärliga parter att mäta en stor del av uppgifterna gör det möjligt för protokollet att kringgå omöjlighetsresultatet, engagemang och oblivious överföringsprotokoll kan nu implementeras.

protokollen i BQSM som presenteras av Damg Bisexuell, Fehr, Salvail och Schaffner antar inte att ärliga protokolldeltagare lagrar någon kvantinformation; de tekniska kraven liknar dem i kvantnyckeldistributionsprotokoll. Dessa protokoll kan således åtminstone i princip realiseras med dagens teknik. Kommunikationskomplexiteten är bara en konstant faktor som är större än den bundna Q på motståndarens kvantminne.

fördelen med BQSM är att antagandet att motståndarens kvantminne är begränsat är ganska realistiskt. Med dagens teknik är det svårt att lagra till och med en enda qubit på ett tillförlitligt sätt under tillräckligt lång tid. (Vad” tillräckligt länge ” betyder beror på protokolldetaljerna. Genom att införa en artificiell paus i protokollet kan den tid som motståndaren behöver lagra kvantdata göras godtyckligt stor.)

en förlängning av BQSM är den bullriga lagringsmodellen som introducerades av Wehner, Schaffner och Terhal. Istället för att överväga en övre gräns på motståndarens fysiska storlek kvantminne får en motståndare använda ofullkomliga kvantlagringsenheter av godtycklig storlek. Nivån av ofullkomlighet modelleras av bullriga kvantkanaler. För tillräckligt höga ljudnivåer kan samma primitiver som i BQSM uppnås och BQSM utgör ett speciellt fall av bullerlagringsmodellen.

i den klassiska inställningen kan liknande resultat uppnås när man antar en bindning på mängden klassisk (icke-kvant) data som motståndaren kan lagra. Det var dock bevisat att i denna modell också de ärliga parterna måste använda en stor mängd minne (nämligen kvadratroten av motståndarens minne bunden). Detta gör dessa protokoll opraktiska för realistiska minnesgränser. (Observera att med dagens teknik som hårddiskar kan en motståndare billigt lagra stora mängder klassisk data.)

positionsbaserad kvantkryptografiredigera

målet med positionsbaserad kvantkryptografi är att använda en spelares geografiska läge som dess (enda) referens. Till exempel vill man skicka ett meddelande till en spelare på en viss position med garantin att det bara kan läsas om den mottagande parten är belägen på den specifika positionen. I den grundläggande uppgiften för positionsverifiering vill En spelare, Alice, övertyga de (ärliga) verifierarna att hon befinner sig vid en viss punkt. Det har visats av Chandran et al. den positionsverifieringen med klassiska protokoll är omöjlig mot maskopi motståndare (som kontrollerar alla positioner utom jäsarens påstådda position). Under olika begränsningar för motståndarna är system möjliga.

under namnet ’quantum tagging’ har de första positionsbaserade kvantscheman undersökts 2002 av Kent. Ett amerikanskt patent beviljades 2006. Begreppet att använda kvanteffekter för platsverifiering uppträdde först i den vetenskapliga litteraturen 2010. Efter flera andra kvantprotokoll för positionsverifiering har föreslagits 2010, Buhrman et al. hävdade en allmän omöjlighet resultat: med hjälp av en enorm mängd kvantförvirring (de använder ett dubbelt exponentiellt antal EPR-par, i antalet qubits som den ärliga spelaren arbetar på) kan maskopi motståndare alltid få det att se till verifierarna som om de var i den påstådda positionen. Detta resultat utesluter emellertid inte möjligheten till praktiska system i den begränsade eller bullriga kvantlagringsmodellen (se ovan). Senare förbättrade Beigi och K Jacobnig mängden EPR-par som behövdes i den allmänna attacken mot positionsverifieringsprotokoll till exponentiell. De visade också att ett visst protokoll förblir säkert mot motståndare som endast kontrollerar en linjär mängd EPR-par. Det hävdas att på grund av tid-energikoppling är möjligheten till formell ovillkorlig platsverifiering via kvanteffekter fortfarande ett öppet problem. Det är värt att nämna att studien av positionsbaserad kvantkryptografi också har kopplingar till protokollet för portbaserad kvantteleportering, vilket är en mer avancerad version av kvantteleportering, där många EPR-par samtidigt används som portar.

Device-independent quantum cryptographyEdit

Huvudartikel: Device-independent quantum cryptography

ett quantum cryptographic protocol är device-independent om dess säkerhet inte förlitar sig på att lita på att de använda quantum-enheterna är sanningsenliga. Säkerhetsanalysen av ett sådant protokoll måste således överväga scenarier av ofullkomliga eller till och med skadliga enheter. Mayers och Yao föreslog tanken på att utforma kvantprotokoll med hjälp av ”självtestande” kvantapparater, vars interna operationer kan bestämmas unikt av deras input-output-statistik. Därefter föreslog Roger Colbeck i sin avhandling användningen av Klocktest för att kontrollera enheternas ärlighet. Sedan dess har flera problem visat sig erkänna ovillkorliga säkra och enhetsoberoende protokoll, även när de faktiska enheterna som utför Bell-testet är väsentligen ”bullriga”, dvs långt ifrån idealiska. Dessa problem inkluderar kvant nyckelfördelning, slumpmässighetsexpansion och slumpmässighetsförstärkning.

i 2018, teoretiska studier utförda av Arnon-Friedman et al. föreslå att exploatering av en egenskap hos entropi som senare kallas ”Entropiackumuleringsteorem (EAT)” , en förlängning av asymptotisk equipartition-egenskap, kan garantera säkerheten för ett enhetsoberoende protokoll.