Оценка защищённости практической квантово-криптографической системы на основе волоконно-оптических линий связи от несанкционированного доступа (стр. 3 из 8)

Это означает, что для осуществления теста на присутствие Евы Алиса и Боб должны сравнить публично некоторое случайно выбранное подмножество своих данных (разумеется, не используя затем биты данных из этого подмножества). Если ошибки присутствуют, значит, Ева осуществляла подслушивание; в этом случае полученные данные отбрасываются и процесс передачи начинается с самого начала. Если ошибок нет, оставшиеся биты формируют финальный секретный ключ.

Существует, однако, ещё один способ подслушивания, известный как "расщепление луча". Принципиальная особенность его состоит в том, что Алиса и Боб не в состоянии определить наличие такого рода подслушивания в канале. Известно, что при используемом повсеместно способе получения одиночных фотонов, а именно, ослаблении лазерного излучения до средней интенсивности

фотона на импульс, определенная доля выходного излучения будет содержать более одного фотона в импульсе (это определяется пуассоновской статистикой, которой подчиняется излучение лазера). Таким образом, поставив на пути фотонов обыкновенный делитель, Ева может получить некоторую информацию о ключе, и не внося ошибок в передачу. Эта возможность учитывается Алисой и Бобом в процессе получения финального секретного ключа: они исключают из своих данных количество бит, соответствующее объёму информации, который может получить Ева в результате выполнения этой атаки.

Сказанное выше для второй стадии имеет силу лишь для идеального, бесшумного квантового канала. Но в реальном канале всегда присутствуют шумы, поэтому некоторое несоответствие в данных Алисы и Боба будет всегда, даже в отсутствие подслушивания. Так как Алиса и Боб не могут различить ошибки, имеющие причиной подслушивание, и ошибки, вызванные естественными шумами канала, то им приходится предположить, что все ошибки передачи вызваны присутствием Евы. При этом стадия обмена по открытому каналу усложняется [3, 27].

Сначала Алиса и Боб извлекают сырой ключ как описано выше, при этом, разумеется, удаляются те битые интервалы, где Бобу не удалось продетектировать частицу вообще (например, из-за неидеального детектора, или из-за несовершенства применяемого способа генерации одиночных фотонов). Надо сказать, что в реальных системах таких интервалов большинство.

Далее Алиса и Боб производят оценку процента ошибок в сыром ключе, публично сравнивая выбранное ими случайно подмножество данных, которое, конечно же, будет исключено из дальнейшего рассмотрения. Если процент ошибок превосходит некоторый заданный уровень, то для Алисы и Боба будет невозможным придти к общему секретному ключу. В этом случае все данные отбрасываются и процесс передачи начинается заново. Если же этот уровень не превышен, то Алиса и Боб переходят к коррекции ошибок.

Целью здесь является удалить все ошибки из сырого ключа и придти к общей, свободной от ошибок кодовой последовательности (которая будет, однако, лишь частично секретной, благодаря тому, что некоторая информация будет утекать к Еве во время самого процесса коррекции). Для начала, Алиса и Боб производят некоторую случайную перестановку своих данных с целью рандомизации положения ошибок. После этого строки разбиваются на блоки длиной l, причём эта длина выбирается так, что вероятность обнаружить более одной ошибки в одном и том же блоке достаточно мала (l выбирается исходя из оцененного процента ошибок в сыром ключе). Для каждого из блоков производится проверка чётности, после чего исключается последний бит каждого из сравниваемых блоков. Если чётности у Алисы и Боба не совпадают, то внутри блока производится бинарный поиск местоположения ошибочного бита, с исключением последних бит сравниваемых субблоков. Найденный ошибочный бит также удаляется. Весь процесс (перестановка, разбиение на блоки и проверка чётности) повторяется нужное количество раз, после чего производятся те же самые действия, но уже с проверкой чётности в случайно выбранных подмножествах и исключением случайно выбранного бита. Наконец, если ни одной ошибки не было обнаружено в течение некоторого количества последовательных итераций, Алиса и Боб заключают, что с очень высокой вероятностью оставшиеся данные не содержат ошибок.

Как уже сказано выше, данные , оставшиеся после коррекции ошибок, будут только частично секретными. Следующая процедура служит для того, чтобы извлечь из этих данных финальный секретный ключ. Основываясь на проценте ошибок в сыром ключе, определяется максимальное число бит k, известное Еве из общего количества оставшихся бит n. Пусть также s - параметр секретности, значение которого выбирается пользователями произвольно. Алиса и Боб выбирают публично n – k – s случайных подмножеств своих данных. Чётности этих подмножеств они не раскрывают - эти чётности и составляют финальный секретный ключ. Можно показать, что общая информация, которую Ева может иметь о финальном ключе, составляет менее чем

бит [2].

Другие протоколы квантовой криптографии

Для большинства протоколов будет описан только процесс обмена по квантовому каналу, так как вторая стадия коммуникации в основном одинакова.

· Протокол B92 [5]
Введён Беннеттом в 1992 г. Им было показано, что в принципе любые два неортогональных состояния могут быть использованы для квантовой криптографии. Пусть

и - два неортогональных квантовых состояния, кодирующие биты ”0” и ”1”, соответственно. Их произведение есть . Алиса посылает Бобу случайно выбранное состояние, после чего Боб применяет к нему случайным образом один из двух несовместимых операторов проектирования:
, или
.
однозначно уничтожает , но даёт положительный результат с вероятностью будучи применён к , и наоборот для . Таким образом, результат измерения может быть , или двусмысленным (нуль может получится в результате воздействия i-того проектора на i-тое состояние, либо же любого проектора на вакуумное состояние - отсутствие фотона, и все эти случаи различить невозможно). На стадии обмена по открытому каналу Алиса и Боб исключают двусмысленные результаты, и после этого, в отсутствие подслушивания, примерно их данных будут абсолютно коррелированы.

· Протокол 4+2 [6]
Этот протокол объединяет идеи из BB84 и B92. Биты "0" и "1" могут быть закодированы в двух базисах, но два состояния внутри одного базиса не ортогональны.

· Протокол с шестью состояниями [8]
Исходно это тот же самый протокол, что и BB84, но ещё с одним базисом, а именно:

,
.
В соответствии с этим, существует ещё два возможных направления поляризации для переданного фотона – право- и левоциркулярное.

· Протокол ЭПР [7]
Экертом был предложен протокол, основанный на квантовом запутывании. Вначале создаётся N максимально запутанных ЭПР-пар фотонов, затем один фотон из каждой пары посылается Алисе, а другой - Бобу. Три возможных квантовых состояния для этих ЭПР-пар есть [27]:

,
и
,
что может быть записано в общем виде как
.
Последняя формула явно показывает, что каждое из этих трёх состояний кодирует биты "0" и "1" в уникальном базисе.
Затем Алиса и Боб осуществляют измерения на своих частях разделённых ЭПР-пар, применяя соответствующие проекторы


.
Алиса записывает измеренные биты, а Боб записывает их дополнения до 1. Результаты измерений, в которых пользователи выбрали одинаковые базисы, формируют сырой ключ. Для остальных результатов Алиса и Боб проводят проверку выполнения неравенства Белла как тест на присутствие Евы (Ева здесь интерпретируется как скрытый параметр).

· Протокол Гольденберга-Вайдмана [9]
Алиса и Боб используют для сообщения два ортогональных состояния:

,
,
кодирующие биты ”0” and ”1”,соответственно. Каждое из двух состояний и является суперпозицией двух локализованных нормализованных волновых пакетов, и , которые Алиса посылает Бобу по двум каналам различной длины, в результате чего они оказываются у Боба в разные моменты времени: волновой пакет покидает Алису только после того, как волновой пакет уже достиг Боба. Для этого можно использовать интерферометр с разной длиной плеч. Боб задерживает своё измерение до того момента, как оба волновых пакета достигнут его. Если время посылки пакета известно Еве, то она способна перехватить информацию, послав Бобу в соответствующий момент времени пакет, идентичный с , измерив затем посланное Алисой суперпозиционное состояние и далее послав Бобу волновой пакет с фазой, настроенной согласно результату её измерений. Чтобы предупредить эту атаку, используются случайные времена посылки.