По формулировке авторов BB84, квантовая криптография - это метод, позволяющий двум пользователям, не обладающим изначально никакими общими для них секретными данными, договориться о случайном ключе, который будет секретным от третьего лица, осуществляющего несанкционированный доступ к их коммуникациям [3].
В криптографической науке выработалась своя традиционная терминология, несколько специфически звучащая на первый взгляд, однако весьма удобная на практике. Так, легальных пользователей по традиции называют "Алиса" и "Боб", тогда как лицо, осуществляющее несанкционированный доступ, называют "Ева". Мы не будем отступать от канонов и сохраним эту терминологию в настоящей работе.
Главными квантово-механическими принципами, составляющими основу для квантовой криптографии, являются [4]:
1. Невозможность различить абсолютно надёжно два неортогональных квантовых состояния
Произвольное состояние любой двухуровневой квантово-механической системы можно представить в виде линейной суперпозиции её собственных состояний
и с комплексными коэффициентами:,
где
. Законы квантовой механики не позволяют абсолютно надёжно различить два квантовых состоянияи
,если не выполнено
= 0, т.е. состояния ортогональны.2. Теорема запрета на клонирование
Благодаря унитарности и линейности квантовой механики, невозможно создать точную копию неизвестного квантового состояния без воздействия на исходное состояние. Пусть, например, Алиса и Боб используют для передачи информации двухуровневые квантовые системы, кодируя биты данных состояниями этих систем. Если Ева перехватывает носитель информации, посланный Алисой, измеряет его состояние и пересылает далее Бобу, то состояние этого носителя будет иным, чем при измерении. Таким образом, подслушивание квантового канала наводит ошибки передачи, которые могут быть обнаружены легальными пользователями.
3. Квантовое запутывание
Две квантово-механические системы (даже разделённые пространственно) могут находиться в состоянии корреляции, так что измерение выбранной величины, осуществляемое на одной из систем, определит результат измерения этой величины на другой. Этот эффект называется квантовым запутыванием. Ни одна из запутанных систем не находится в определённом состоянии, поэтому запутанное состояние не может быть записано как прямое произведение состояний подсистем. Синглетное состояние двух частиц со спином 1/2 может служить примером запутанного состояния:
Измерение, проведённое на одной из двух подсистем, даст с равной вероятностью
или , а состояние другой подсистемы будет противоположным (т.е. , если результат измерения на первой системе был , и наоборот).4. Причинность и суперпозиция
Причинность, исходно не являющаяся ингредиентом нерелятивистской квантовой механики, может быть тем не менее использована для квантовой криптографии совместно с принципом суперпозиции: если две системы, состояния которых образуют некую суперпозицию, разделены во времени, не будучи связаны причинностью, то нельзя определить суперпозиционное состояние, проводя измерения на каждой из систем последовательно.
Процесс коммуникации будет рассмотрен подробно на примере протокола BB84, как исторически первого и наиболее популярного в настоящее время. Остальные протоколы будут описаны весьма кратко. Что же касается конкретных схем квантово-криптографических установок, то здесь будут рассмотрены лишь те из них, подслушивание которых является предметом настоящего исследования, а именно, волоконно-оптические схемы, использующие протоколы обмена BB84 и B92 на фазовых состояниях.
Первый протокол обмена для квантовой криптографии под названием BB84 [2] изобрели Bennett и Brassard в 1984 году. Он использует для кодирования информации четыре квантовых состояния двухуровневой системы, формирующие два сопряжённых базиса (обозначенных здесь буквенными индексами A и B):
, , , .Здесь состояния
и кодируют значения “0” и "1" в базисе А, а и кодируют те же значения в базисе B. Можно представить их как поляризационные состояния частицы со спином 1/2: и соответствуют горизонтальному (00) и вертикальному (900) направлениям поляризации, а и - двум диагональным, а именно +450 и -450 (получаются из и путём поворота системы координат на 450). Два состояния, принадлежащие к одному и тому же базису, являются ортогональными, то есть их можно различить надёжно при условии, что измерения проводятся в том же самом базисе. Однако, измерение в неправильном базисе (т.е., к примеру, попытка определить, какой из двух поляризаций - 00 или 900 – обладает частица, которая на самом деле поляризована под углом +450), даст абсолютно случайный результат.Вначале мы опишем протокол в предположении отсутствия шума в квантовом канале, затем модифицируем описание, принимая шум во внимание. Обмен информацией осуществляется в две стадии: сперва по квантовому каналу, затем по обычному каналу, открытому для подслушивания (например, через Интернет).
На первой стадии Алиса выбирает случайно и с равной вероятностью одно из четырех квантовых состояний
, , , , и пересылает его Бобу по квантовому каналу, фиксируя в своих записях значение бита данных и базис, в котором он закодирован. Боб производит измерение переданного состояния, в одном из двух возможных базисов A или B, выбранном независимо от Алисы, случайно и с равной вероятностью, также записывая результат измерений и выбранный базис. Если базис, выбранный Бобом для измерения, совпадает с базисом, выбранным Алисой для передачи, то биты данных у Алисы и Боба будут идентичны; в противном случае они совпадут с вероятностью 1/2. Алиса и Боб повторяют эту процедуру N раз, в результате чего каждый из них будет обладать строкой бит длиной N. Так как выбор базисов осуществлялся пользователями случайно и независимо, то примерно в 50% случаев они выберут различные базисы для передачи и детектирования.На второй стадии Алиса и Боб общаются по открытому каналу, который, однако, должен обладать тем свойством, что Ева не может изменять передаваемые между ними сообщения. Алиса и Боб сообщают друг другу использованные ими при передаче значения базисов, и договариваются исключать из своих данных те биты, для которых базисы передачи и детектирования не совпадали. Результирующая строка бит называется сырым ключом.
Представим себе, что Ева осуществляет подслушивание квантового канала, перехватывая носители информации, посланные Алисой, осуществляя измерение их состояния и пересылая их далее Бобу. Эта стратегия носит название “перехват/регенерация”. Будем рассматривать здесь лишь те случаи, в которых Алиса и Боб выбрали одинаковые базисы (остальные биты будут исключены из конечного ключа в любом случае). Поскольку Ева вынуждена выбирать базисы для детектирования случайно и независимо от Боба и Алисы, то приблизительно в 50% случаев базисы Евы и Боба будут не совпадать. При этом результаты измерений Боба будут случайными, но примерно на 50% совпадающими с данными Алисы. Таким образом, измерения Боба будут давать правильный результат с вероятностью 1/2 + 1/2 * 1/2 = 3/4, в то время как в отсутствие Евы они бы давали правильный результат всегда.