Квантовая криптография
Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики . В отличие от традиционной криптографии , которая использует математические методы, чтобы обеспечить секретность информации , квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики . Процесс отправки и приёма информации всегда выполняется физическими средствами, например, при помощи электронов в электрическом токе, или фотонов в линиях волоконно-оптической связи . А подслушивание может рассматриваться, как измерение определённых параметров физических объектов - в нашем случае, переносчиков информации.
Технология квантовой криптографии опирается на принципиальную неопределённость поведения квантовой системы - невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Это фундаментальное свойство природы в физике известно как принцип неопределённости Гейзенберга , сформулированный в 1927 г.
Используя квантовые явления, можно спроектировать и создать такую систему связи, которая всегда может обнаруживать подслушивание. Это обеспечивается тем, что попытка измерения взаимосвязанных параметров в квантовой системе вносит в неё нарушения, разрушая исходные сигналы, а значит, по уровню шума в канале легитимные пользователи могут распознать степень активности перехватчика.
История возникновения
Впервые идея защиты информации с помощью квантовых объектов была предложена Стивеном Визнером в 1970 году. Спустя десятилетие Ч. Беннет (фирма IBM) и Ж. Брассард (Монреальский университет), знакомые с работой Визнера, предложили передавать секретный ключ с использованием квантовых объектов. В 1984 году они предположили возможность создания фундаментально защищённого канала с помощью квантовых состояний. После этого ими была предложена схема (BB84), в которой легальные пользователи (Алиса и Боб) обмениваются сообщениями, представленными в виде поляризованных фотонов, по квантовому каналу.
Описанный алгоритм носит название протокола квантового распределения ключа BB84 . В нём информация кодируется в ортогональные квантовые состояния. Помимо использования ортогональных состояний для кодирования информации, можно использовать и неортогональные состояния (например, протокол B92).
Недостаток этого подхода уже в самом его принципе.
Так, при данном алгоритме Еве не обязательно даже измерять квантовую последовательность. Она перехватывает последовательность от Алисы и заменяет её своей. Затем подслушивает разговор Алисы и Боба и определяет, какие именно кванты будут использованы для ключа; так Еве становится известен ключ полностью, при этом Алиса и Боб пока ни о чём не догадываются. Боб посылает Алисе зашифрованное сообщение, которое Ева тут же дешифрует. Алиса, получив сообщение, не поддающееся дешифровке (ключ Алисы не совпадает с ключом шифрования, так как Боб использовал ключ Евы), понимает, что сообщение перехвачено, но к этому времени уже поздно, так как Ева знает его содержание.
Для любых тестов и проверок необходимо повторное установление связи, а значит все начинается сначала. Таким образом решаются сразу две задачи: перехват сообщений и нарушение связи противника. Отсюда можно сделать вывод, что такой способ связи хорош исключительно только для дезинформации, но тогда он не рентабелен и смысл его использования падает до нуля, так как Ева знает, что он только для дезинформации.
Алгоритм Беннета
В 1991 году Ч. Беннетом был предложен следующий алгоритм для выявления искажений в переданных по квантовому каналу данных:
- Отправитель и получатель заранее оговаривают произвольность расположения битов в строках, что определяет произвольный характер положения ошибок.
- Все строки разбиваются на блоки длины k. Где k выбирается так, чтобы минимизировать вероятность ошибки.
- Отправитель и получатель определят четность каждого блока, и сообщают её друг другу по открытому каналу связи. После этого в каждом блоке удаляют последний бит.
- Если четность двух каких-либо блоков оказалось различной, отправитель и получатель производят итерационный поиск неверных битов и исправляют их.
- Затем весь алгоритм выполняется заново для другого (большего) значения k. Это делается для того, чтобы исключить ранее незамеченные кратные ошибки.
- Чтобы определить все ли ошибки были обнаружены, проводится псевдослучайная проверка. Отправитель и получатель открыто сообщают о произвольной перестановке половины бит в строках, а затем вновь открыто сравнивают четности (Если строки различны, четности обязаны не совпадать с вероятностью 0,5). Если четности отличаются, отправитель и получатель производят двоичный поиск и удаляют неверные биты.
- Если различий не наблюдается, после n итераций отправитель и получатель будут иметь одинаковые строки с вероятностью ошибки 2 -n .
Физическая реализация системы
Рассмотрим схему физической реализации квантовой криптографии. Её иллюстрация представлена на рисунке (где рисунок???). Слева находится отправитель, справа - получатель. Для того, чтобы передатчик имел возможность импульсно варьировать поляризацию квантового потока, а приёмник мог анализировать импульсы поляризации, используются ячейки Покеля. Передатчиком формируется одно из четырёх возможных состояний поляризации. На ячейки данные поступают в виде управляющих сигналов. Для организации канала связи обычно используется волокно, а в качестве источника света берут лазер.
На стороне получателя после ячейки Покеля расположена кальцитовая призма, которая должна расщеплять пучок на две составляющие, улавливаемые двумя фотодетекторами (ФЭУ), а те в свою очередь измеряют ортогональные составляющие поляризации. Вначале необходимо решить проблему интенсивности передаваемых импульсов квантов, возникающую при их формировании. Если в импульсе содержится 1000 квантов, существует вероятность того, что 100 из них будут отведены криптоаналитиком на свой приёмник. После чего, проводя анализ открытых переговоров, он сможет получить все необходимые ему данные. Из этого следует, что идеален вариант, когда в импульсе количество квантов стремится к одному. Тогда любая попытка перехватить часть квантов неизбежно изменит состояние всей системы и соответственно спровоцирует увеличение числа ошибок у получателя. В этой ситуации следует не рассматривать принятые данные, а заново повторить передачу. Однако, при попытках сделать канал более надёжным, чувствительность приёмника повышается до максимума, и перед специалистами встает проблема «темнового» шума. Это означает, что получатель принимает сигнал, который не был отправлен адресантом. Чтобы передача данных была надёжной, логические нули и единицы, из которых состоит двоичное представление передаваемого сообщения, представляются в виде не одного, а последовательности состояний, что позволяет исправлять одинарные и даже кратные ошибки.
Для дальнейшего увеличения отказоустойчивости квантовой криптосистемы используется эффект EPR (Einstein-Podolsky-Rosen), возникающий в том случае, если сферическим атомом были излучены в противоположных направлениях два фотона. Начальная поляризация фотонов не определена, но в силу симметрии их поляризации всегда противоположны. Это определяет тот факт, что поляризацию фотонов можно узнать только после измерения. Криптосхема на основе эффекта ERP, гарантирующая безопасность пересылки, была предложена Экертом. Отправителем генерируется несколько фотонных пар, после чего один фотон из каждой пары он откладывает себе, а второй пересылает адресату. Тогда если эффективность регистрации около единицы и на руках у отправителя фотон с поляризацией «1», то у получателя будет фотон с поляризацией «0» и наоборот. То есть легальные пользователи всегда имеют возможность получить одинаковые псевдослучайный последовательности. Но на практике оказывается, что эффективность регистрации и измерения поляризации фотона очень мала.
Практические реализации системы
- г. Беннет и Брассар в Исследовательском центре IBM построили первую работающую квантово-криптографическую систему. Она состояла из квантового канала, содержащего передатчик Алисы на одном конце и приёмник Боба на другом, размещённые на оптической скамье длиной около метра в светонепроницаемом полутораметровом кожухе размером 0,5×0,5 м. Собственно квантовый канал представлял собой свободный воздушный канал длиной около 32 см. Макет управлялся от персонального компьютера , который содержал программное представление пользователей Алисы и Боба, а также злоумышленника.
- г. передача сообщения посредством потока фотонов через воздушную среду на расстояние 32 см с компьютера на компьютер завершилась успешно. Основная проблема при увеличении расстояния между приёмником и передатчиком - сохранение поляризации фотонов. На этом основана достоверность способа.
- Созданная при участии Женевского университета компания GAP-Optique под руководством Николаса Гисина совмещает теоретические исследования с практической деятельностью. Первым результатом этих исследований стала реализация квантового канала связи с помощью оптоволоконного кабеля длинной 23 км, проложенного по дну озера и соединяющего Женеву и Нион. Тогда был сгенерирован секретный ключ, уровень ошибок которого не превышал 1,4 %. Но все-таки огромным недостатком этой схемы была чрезвычайно малая скорость передачи информации. Позже специалистам этой фирмы удалось передать ключ на расстояние 67 км из Женевы в Лозанну с помощью почти промышленного образца аппаратуры. Но и этот рекорд был побит корпорацией Mitsubishi Electric, передавшей квантовый ключ на расстояние 87 км, правда, на скорости в один байт в секунду.
- Активные исследования в области квантовой криптографии ведут IBM, GAP-Optique, Mitsubishi , Toshiba , Национальная лаборатория в Лос-Аламосе , молодая компания MagiQ и холдинг QinetiQ, поддерживаемый британским министерством обороны. В частности, в национальной лаборатории Лос-Аламоса была разработана и начала широко эксплуатироваться опытная линия связи, длиной около 48 километров. Где на основе принципов квантовой криптографии происходит распределение ключей, и скорость распределения может достигать несколько десятков кбит/с.
- г. доктор Эндрю Шилдс и его коллеги из TREL и Кембриджского университета создали диод, способный испускать единичные фотоны. В основе нового светодиода лежит «квантовая точка » - миниатюрный кусочек полупроводникового материала диаметром 15 нм и толщиной 5 нм, который может при подаче на него тока захватывать лишь по одной паре электронов и дырок. Это дало возможность передавать поляризованные фотоны на большее расстояние. В ходе экспериментальной демонстрации удалось передать зашифрованные данные со скоростью 75 Кбит/с - при том, что более половины фотонов терялось.
- В Оксфордском университете ставятся задачи повышения скорости передачи данных. Создаются квантово-криптографические схемы, в которых используются квантовые усилители. Их применение способствует преодолению ограничения скорости в квантовом канале и, как следствие, расширению области практического применения подобных систем.
- В университете Дж. Хопкинса (США) на квантовом канале длиной 1 км построена вычислительная сеть, в которой каждые 10 минут производится автоматическая подстройка. В результате этого, уровень ошибки снижен до 0,5 % при скорости связи 5 кбит/с.
- Министерством обороны Великобритании поддерживается исследовательская корпорация QinetiQ, являющаяся частью бывшего британского агентства DERA (Defence Evaluation and Research Agency), которая специализируется на неядерных оборонных исследованиях и активно совершенствует технологию квантового шифрования.
- Исследованиями в области квантовой криптографии занимается молодая американская компания Magiq Technologies из Нью-Йорка , выпустившая прототип коммерческой квантовой криптотехнологии собственной разработки. Основной продукт Magiq - средство для распределения ключей (quantum key distribution, QKD), которое названо Navajo (По имени индейцев Навахо, язык которых во время Второй мировой войны американцы использовали для передачи секретных сообщений, поскольку за пределами США его никто не знал). Navajo способен в реальном времени генерировать и распространять ключи средствами квантовых технологий и предназначен для обеспечения защиты от внутренних и внешних злоумышленников.
- В октябре 2007 года на выборах в Швейцарии были повсеместно использованы квантовые сети, начиная избирательными участками и заканчивая датацентром ЦИК. Была использована техника, которую ещё в середине 90-х в Университете Женевы разработал профессор Николас Гисин. Также одним из участников создания такой системы была компания Id Quantique .
- В 2011 году в Токио прошла демонстрация проекта «Tokyo QKD Network», в ходе которого разрабатывается квантовое шифрование телекоммуникационных сетей. Была проведена пробная телеконференция на расстоянии в 45 км. Связь в системе идёт по обычным оптоволоконным линиям . В будущем предполагается применение для мобильной связи .
Квантовый криптоанализ
Частотный спектр в оптическом канале квантово-криптографической системы.
Широкое распространение и развитие квантовой криптографии не могло не спровоцировать появление квантового криптоанализа, который обладает неоспоримыми преимуществами и экспоненциально перед обычным. Рассмотрим, например, всемирно известный и распространенный в наши дни алгоритм шифрования RSA (Rivest, Shamir, Adleman, 1977) . В основе этого шифра лежит идея того, что на простых компьютерах невозможно решить задачу разложения очень большого числа на простые множители, ведь данная операция потребует астрономического времени и экспоненциально большого числа действий. Поэтому, для решения этой задачи, и был разработан квантовый алгоритм, позволяющий найти за конечное и приемлемое время все простые множители больших чисел, и, как следствие, взломать шифр RSA. Поэтому создание квантовой криптоаналитической системы является плохой новостью для RSA и любого другого шифра, ведь квантовый криптоанализ может быть применён ко всем классическим шифросистемам. Необходимо только создание квантового компьютера, способного развить достаточную мощность.
Взлом квантовой системы
В 2010 году учёные успешно опробовали один из возможных способов необнаружимой атаки, показав принципиальную уязвимость двух криптографических систем, разработанных компаниями ID Quantique и MagiQ Technologies . И уже в 2011 году работоспособность метода была проверена в реальных условиях эксплуатации, на развёрнутой в Национальном университете Сингапура системе распространения ключей, которая связывает разные здания отрезком оптоволокна длиной в 290 м.
В эксперименте использовалась физическая уязвимость четырёх однофотонных детекторов (лавинных фотодиодов), установленных на стороне получателя (Боба). При нормальной работе фотодиода приход фотона вызывает образование электронно-дырочной пары, после чего возникает лавина, а результирующий выброс тока регистрируется компаратором и формирователем импульсов. Лавинный ток «подпитывается» зарядом, хранимым небольшой ёмкостью (≈ 1,2 пФ), и схеме, обнаружившей одиночный фотон, требуется некоторое время на восстановление (~ 1 мкс).
Если на фотодиод подавать такой поток излучения, когда полная перезарядка в коротких промежутках между отдельными фотонами будет невозможна, амплитуда импульса от одиночных квантов света может оказаться ниже порога срабатывания компаратора.
В условиях постоянной засветки лавинные фотодиоды переходят в «классический» режим работы и выдают фототок, пропорциональный мощности падающего излучения. Поступление на такой фотодиод светового импульса с достаточно большой мощностью, превышающей некое пороговое значение, вызовет выброс тока, имитирующий сигнал от одиночного фотона. Это и позволяет криптоаналитику (Еве) манипулировать результатами измерений, выполненных Бобом : она «ослепляет» все его детекторы с помощью лазерного диода, который работает в непрерывном режиме и испускает свет с круговой поляризацией, и по мере надобности добавляет к этому линейно поляризованные импульсы. При использовании четырёх разных лазерных диодов, отвечающих за все возможные типы поляризации (вертикальную, горизонтальную, ±45˚), Ева может искусственно генерировать сигнал в любом выбранном ею детекторе Боба .
Опыты показали, что схема взлома работает очень надёжно и даёт Еве прекрасную возможность получить точную копию ключа, переданного Бобу . Частота появления ошибок, обусловленных неидеальными параметрами оборудования, оставалась на уровне, который считается «безопасным».
Однако, устранить такую уязвимость системы распространения ключей довольно легко. Можно, к примеру, установить перед детекторами Боба источник одиночных фотонов и, включая его в случайные моменты времени, проверять, реагируют ли лавинные фотодиоды на отдельные кванты света.
Подключай и работай (Plug & Play)
Практически все квантово-оптические криптографические системы сложны в управлении с каждой стороны канала связи требуют постоянной подстройки. На выходе канала возникают беспорядочные колебания поляризации ввиду воздействия внешней среды и двойного лучепреломления в оптоволокне. Но недавно была сконструирована такая реализация системы, которую смело можно назвать plug and play («подключай и работай»). Для такой системы не нужна подстройка, а только синхронизация. Система построена на использовании зеркала Фарадея, которое позволяет избежать двойного лучепреломления и как следствие не требует регулировки поляризации. Это позволяет пересылать криптографические ключи по обычным телекоммуникационным системам связи. Для создания канала достаточно лишь подключить приёмный и передающий модули, провести синхронизацию и можно начинать передачу. Поэтому такую систему можно назвать plug and play .
Перспективы развития
Сейчас одним из самых важных достижений в области квантовой криптографии является то, что ученые смогли показать возможность передачи данных по квантовому каналу со скоростью до 1 Мбит/с. Это стало возможно благодаря технологии разделения каналов связи по длинам волн и их единовременного использования в общей среде. Что кстати позволяет одновременное использование как открытого, так и закрытого канала связи. Сейчас в одном оптическом волокне возможно создать около 50 каналов. Экспериментальные данные позволяют сделать прогноз на достижение лучших параметров в будущем:
1) Достижение скорости передачи данных по квантовому каналу связи в 50 Мбит/с, при этом единовременные ошибки не должны будут превышать 4 %.
2) Создание квантового канала связи длиной более 100 км.
3) Организация десятков подканалов при разделении по длинам волн.
На данном этапе квантовая криптография только приближается к практическому уровню использования. Диапазон разработчиков новых технологий квантовой криптографии охватывает не только крупнейшие мировые институты, но и маленькие компании, только начинающие свою деятельность. И все они уже способны вывести свои проекты из лабораторий на рынок. Все это позволяет сказать, что рынок находится на начальной стадии формирования, когда в нём могут быть на равных представлены и те и другие.
Вы читаете гостевой пост Романа Душкина (Blogspot , ЖЖ , Twitter). Также вас могут заинтересовать другие заметки за авторством Романа:
- Алгоритм Шора, его реализация на языке Haskell и результаты некоторых опытов ;
- Факторизация числа при помощи квантового алгоритма Гровера ;
- Квантовый зоопарк: карта отношений квантовых алгоритмов ;
- … и далее по ссылкам;
Если вы интересуетесь криптографией, попробуйте еще обратить внимание на заметки Эллиптическая криптография на практике и Памятка по созданию безопасного канала связи моего авторства.
Вся история криптографии основывается на постоянном противоборстве криптографов м криптоаналитиков. Первые придумывают методы сокрытия информации, а вторые тут же находят методы взлома. Тем не менее, теоретически показано, что победа в такой гонке вооружений всегда останется на стороне криптографов, поскольку имеется абсолютно невзламываемый шифр — одноразовый блокнот. Так же есть некоторые очень сложно взламываемые шифры, для получения скрытой информации без пароля из которых у криптоаналитика практически нет шансов. К таким шифрам относятся перестановочные шифры посредством решеток Кардано, шифрование при помощи редких текстов в виде ключей и некоторые другие.
Все перечисленные методы достаточно просты для применения, в том числе и одноразовый блокнот. Но все они обладают существенным недостатком, который называется проблемой распределения ключей . Да, одноразовый блокнот невозможно взломать. Но чтобы использовать его, необходимо иметь очень мощную инфраструктуру по распространению этих самых одноразовых блокнотов среди всех своих адресатов, с которыми ведется секретная переписка. То же самое касается и других подобных методов шифрования. То есть перед тем, как начать обмен шифрованной информацией по открытым каналам, необходимо по закрытому каналу передать ключ. Даже если ключом обмениваться при личной встрече, у криптоаналитика всегда имеются возможности по альтернативному способу добывания ключений (от ректального криптоанализа не защищен практически никто).
Обмен ключами при личной встрече — это очень неудобная штука, которая серьезно ограничивает использование абсолютно невзламываемых шифров. Даже государственные аппараты очень небедных государств позволяют себе это только для очень немногих серьезных людей, занимающих сверхответственные должности.
Однако, в конце концов, был разработан протокол обмена ключами, который позволил сохранять секрет при передаче ключа по открытому каналу (протокол Диффи-Хеллмана). Это был прорыв в классической криптографии, и по сей день этот протокол с модификациями, защищающими от атак класса MITM , используется для симметричного шифрования. Сам протокол основан на гипотезе о том, что обратная задача для вычисления дискретного логарифма является очень сложной. Другими словами, этот стойкость этого протокола зиждется только на том, что на сегодняшний день не существует вычислительных мощностей или эффективных алгоритмов для дискретного логарифмирования.
Проблемы начнутся тогда, когда будет реализован квантовый компьютер достаточной мощности. Дело в том, что Питер Шор разработал квантовый алгоритм , который решает не только задачу факторизации, но и задачу поиска дискретного логарифма. Для этого квантовая схема незначительно изменяется, а принцип работы остается тем же. Так что хитроумный изобретатель одним ударом убил двух криптографических зайцев — асимметричную криптографию RSA и симметричную криптографию Диффи-Хеллмана. Все пойдет прахом, как только на свет появится он, универсальный квантовый компьютер (не факт, что его еще нет; просто мы можем об этом даже и не знать).
Но модель квантовых вычислений как повергла криптографов в шок и трепет, так и дала им новую надежду. Именно квантовая криптография позволила придумать новый метод распределения ключей, в котором отсутствуют многие проблемы схемы Диффи-Хеллмана (например, простая атака MITM абсолютно не поможет в силу чисто физических ограничений квантовой механики). Более того, квантовая криптография устойчива и к квантовым алгоритмам поиска ключей, так как основана на совершенно ином аспекте квантовой механики. Так что сейчас мы изучим квантовый метод секретного обмена ключами по открытому каналу.
Одним и, наверное, единственным практическим успехом квантовой информатики на сегодняшний день стало появление квантовой криптографии. В настоящий момент существуют и коммерчески доступны устройства квантовой криптографии, созданные на описанных ниже принципах.
Задача криптографии заключается в защите от прослушивания сообщения при передаче его по незащищенному каналу. Решение заключается в том, что нужно предварительно обменяться секретными данными - ключом - и использовать его для передачи сообщения, применяя шифрование . Доказано, что такой подход может обеспечить абсолютную надежность при условии, что размер ключа не меньше размера самого передаваемого сообщения. Неудобство такого подхода очевидно, поэтому на практике применяется компромиссный метод, в котором ключ существенно меньше сообщения, но характер используемых криптопреобразований таков, что не существует алгоритма, позволяющего за приемлемое для взломщика время восстановить исходное сообщение из подслушанных им данных.
Пространство квантовых состояний
Квантовая система, находящаяся в состоянии А, изображается:
В случае, если состояние A = 0, то кет-вектор обозначают как и говорят, что в данном случае квантовая система не существует.
Представление системы в виде волновой функции эквивалентно представлению в виде вектора состояния , то есть:
Множество кет-векторов образует комплексное векторное пространство (определено умножение векторов на комплексные числа).
Следовательно, для любого комплексного числа α верно следующее утверждение:
Произвольный вектор пространства может быть представлен как линейная комбинация базисных векторов:
Суперпозиция квантовых состояний
Пусть и - представления произвольной квантовой системы в виде волновых функций , тогда суперпозицией данных функций называется такая волновая функция , что:
Для кет-векторов:
Пусть и - представления произвольной квантовой системы в виде кет-векторов, тогда суперпозицией данных векторов называется такой кет-вектор , что:
Сопряженное пространство
Каждому кет-вектору сопоставим сопряженный ему бра-вектор
Причем, если , то 
Множество бра-векторов образует сопряженное пространство состояний. Сопряженные пространства эквивалентны друг другу.
Скалярное произведение
Каждой паре векторов и по некоторому правилу сопоставим комплексное число - скалярное произведение
Если состояния изображаются волновыми функциями, то
Два вектора ортогональны, если 
В N-мерном прос-ве любая совокупность из N взаимно ортогональных векторов составляет линейно независимую систему и может использоваться в качестве (ортогонального) базиса. Такой базис называется ортонормированным, если нормирован каждый из базисных векторов. Набор векторов называют ортонормированным, если все вектора в нем единиичные и любые два различных вектора ортогональны, то есть для всех индексов i и j, причем
Различение квантовых состояний
Различимость квантовых состояний проще всего понять на примере игры с двумя участниками - Алисой и Бобом. Алиса выбирает состояние из некоторого фиксированного набора состояний, известного обоим участникам. Она передает состояние Бобу, цель которого - определить индекс i этого состояния.
Предположим, что состояния образуют ортонормированный набор. Тогда Боб может различить эти состояния с помощью квантового измерения, операторы которого задаются следующим образом: 
- по одному на каждый индекс i, плюс, дополнительный оператор измерения M0, равный квадратному корню из неотрицательного определенного оператора I:
Эти операторы удовлетворяют условию полноты , и если приготовлено состояние , то , то есть результат i получается с вероятностью 100%. Следовательно, можно с уверенностью утверждать, что можно различить ортонормированные состояния
Напротив, если состояния не образуют ортонормированного набора, то можно доказать, что не существует квантового измерения, различающего эти состояния. Идея заключается в том, что Боб будет делать измерение, описываемое операторами Mj, дающими результаты j. В зависимости от результата измерения Боб пыатется угадать, какому индексу i соответствовало исходное состояние. Для этого он использует некоторое правило (функцию i = f(j)). Причина, по которой Боб не может различить неортогональные состояния и состоит в следующем: раскладывается в сумму компоненты, параллельной вектору , и компоненты, ортогональной вектору . Пусть j - такой результат измерения, что f(j) = 1, то есть Боб определяет, что сначала система была в состоянии , если он получает в качестве результата j. Но поскольку у вектора есть составляющая, параллельная вектору , существует ненулевая вероятность того, что результат j был получен и в том случае, когда исходным было состояние .
Принципы безопасности квантового распределения ключа
Принцип неопределенности Гейзенберга
Безопасность основана на том, что если злоумышленник будет использовать несовпадающий базис, то состояние будет изменено.
Принцип обнаружения подслушивающего
Утверждение: при попытке различить два неортогональных квантовых состояния извлечение информации сопровождается возмущением сигнала.
Пусть и - неортогональные квантовые состояния, о которых Ева пытается получить информацию. Тогда процесс, который Ева использует для получения, представляет собой унитарное взаимодействие состояния или с вспомогательной системой, приготовленной в стандартном состоянии . Допуская, что этот процесс не нарушает ни одно из состояний получаем
Для Евы желательно, чтобы и были различными, с тем, чтобы она могла получить информацию о состоянии.
Однако, поскольку скалярные произведения сохраняются при унитарных преобразованиях, должны выполняться следующие равенства
откуда следует, что и должны совпадать. Таким образом, установление различия между и должно неизбежно нарушить, по меньшей мере, одно из этих состояний. Итак, проверяя переданные данные состояния на предмет нарушения, Алиса и Боб получают верхнюю оценку любого шума и подслушивания, которые имеют место в их канале связи.
Теорема о невозможности клонирования квантовых состояний
Предположим, что у нас есть квантовая машина с двумя слотами,
обозначенными как А и Б. Слот А, слот данных, вначале находится в неизвестном, но чистом квантовом состоянии . Это то самое состояние, которое должно быть скопировано в слот Б, целевой слот.
Предположим, что целевой слот изначально находится в некотором стандартном чистом состоянии . Следовательно, начальное состояние копирующего устройства имеет вид
Некоторое унитарное преобразование U производит процедуру копирования, которая в идеальном виде выглядит так:
Пусть данная процедура копирования выполняется для двух чистых состояний и . Тогда имеем,
Взяв скалярное произведение этих двух уравнений получим:
Но такое уравнение имеет только два решения: 0 и 1, поэтому либо = , либо и ортогональны. Следовательно, устройство копирования может копировать только те состояния, которые ортогональны друг другу и поэтому универсальное квантовое устройство копирования невозможно.
Потенциальное квантовое устройство копирования не может, например, копировать кубитовые состояния = и , поскольку эти состояния не ортогональны.
Принцип кодирования для протокола BB-84
Алиса начинает с двух строк a и b, каждая из которых содержит 
случайных классических битов. Затем она кодирует эти строки блоком кубитов по формуле:
где ak - k-тый бит a (и так же для b), а состояния задаются как
Полученные состояния отправляются Бобу. Боб измеряет принимаемые фотоны в одном из двух базисов, выбираемых независимо от Алисы, затем изменяет каждый кубит в базисе случайным образом. Для каждого переданного состояния Боб открыто сообщает в каком базисе проводилось измерение кубита . Алиса открыто вообщает в каких случаях ее базис совпал с базисом Боба. Если базисы совпали - бит оставляют. Если нет - игнорируют. В таком случае ключ прорежается примерно на 50%. Такой ключ называется "просеянным". В итоге Боб и Алиса имеют (при условии отсутствия подслушивания и шумов в канале связи) полностью коррелироавнную строку случайных битов.
В случае, если имело место прослушивание, по величине ошибки в канале связи Алиса и Боб могут оценить максимальное количество информации, доступное Еве. Считается, что в случае, если ошибка в канале не превышает 11%, то информация, доступная Еве, заведомо не превосходит взаимной информации между Алисой и Бобом, следовательно, передача данных возможна.
Важно отметить, что канал связи между Алисой и Бобом не должен быть конфиденциальным, но обязан быть аутентифицированным. То есть любой злоумышленник может получать из него информацию, но не может изменять её.
Квантовая криптография в применении к классической криптографии
Алгоритм Шора
Выберем q - степень двойки между и 2.
Предположим, что r|q (простой случай). Тогда применим операцию Уолша-Адамара к первому регистру Получем:
Вычислим mod n (тоже за логарифм):
Пронаблюдаем второй регистр, получим mod n для случайного s < r, а в первом - суперпозиция s, r+s, 2r+s, ..., q-r+s:
Снова применим операцию Уолша-Адамара:
Сумма в скобках не равна нулю в случае, если частное rb и q - целое число, то есть ненулевая амплитуда будет только у чисел, делящихся на q/r.
Пронаблюдав первый регистр получим случайное число вида cq/r. То есть с большой вероятностью (а точнее - порядка 1/(loglog(q)) c и r взаимно просты. Сократив получившуюся дробь получаем r.
Сложный случай: r |/q На последнем шаге все равно будет дробь типа b/q, но:
На интервале длины 1/q < 1/ будет не больше одной дроби со знаменателем меньше n. Эта дробь должна быть c/r.
Этот же алгоритм подойдет и для дискретного логарифма, ведь на самом деле ищется период элемента x некоторой коммутативной группы.
Если даны G =
Следовательно, алгоритм Шора применим ко всем коммутативной криптографии.
Алгоритм Гровера
Пусть дана булева функция . Цель: найти хотя бы один корень уравнения f(x) = 1. На классическом компьютере, если f - произвольна нам понадобится O(N) операций, где , то есть, полный перебор. Если f в конъюнктивой нормальной форме - то данная задача является NP-полной.
К сожалению, или к счастью, не известен квантовый(а классический тем более) для решения данной задачи за полиномиальное время. Но алгоритм Гровера позволяет получить квадратичное ускорение для полного перебора - за .
Описание алгоритма:
Используя n+1 кубит, мы приготавливаем первые n кубитов в суперпозицию всех возможных состояний, а последний в суперпозицию «нуля» и «единицы», но со «знаком минус» у «единицы». Тогда действуя раз оператором поворота, мы получаем состояние, при измерении которого с очень высокой вероятностью получаем решение уравнения.
Применение алгоритма:
Гроверовский «подскок амплитуды» является, по-видимому, фундаментальным физическим феноменом в квантовой теории многих тел. Например, его учет необходим для оценки вероятностей событий, которые кажутся «редкими». Процесс, реализующий схему GSA, приводит к взрывному росту первоначально пренебрежимо малой амплитуды, что способно быстро довести ее до реально наблюдаемых величин.
Алгоритм Гровера также может быть использован для нахождения медианы и среднего арифметического числового ряда. Кроме того, он может применяться для решения NP-полных задач путем исчерпывающего поиска среди множества возможных решений. Это может повлечь значительный прирост скорости по сравнению с классическими алгоритмами, хотя и не предоставляя «полиномиального решения» в общем виде.
Строго доказано, что время работы алгоритма Гровера для поиска информации в неупорядоченной базе данных равно корню квадратному от того времени, что необходимо для аналогичного поиска компьютеру классическому. Но, более того, квадратный корень – это вообще наилучший результат, который может быть теоретически достигнут.
Квантовые компьютеры
История развития квантовых компьютеров
Исследователям из Массачусетского технологического института удалось впервые распределить один кубит между тремя ядерными спинами в каждой молекуле жидкого аланина или молекулы трихлороэтилена. Такое распределение позволило использовать «запутанность» для неразрушающего анализа квантовой информации.
В марте ученые из Национальной лаборатории в Лос Аламосе объявили о создании 7-кубитного квантового компьютера в одной единственной капле жидкости.
Демонстрация вычисления алгоритма Шора специалистами из IBM и Стэнфордского университета на 7-кубитном квантовом компьютере.
В институте квантовой оптики и квантовой информации при Иннсбрукском университете впервые удалось создать кубайт (сочетание 8 кубитов) с помощью ионных ловушек.
Канадская компания D-Wave продемонстрировала первый 16-кубитный квантовый компьютер, способный решать целый ряд задач и головоломок, типа судоку.
С 2011 года D-Wave предлагает за $11 млн долларов квантовый компьютер D-Wave One с 128-кубитным чипсетом, который выполняет только одну задачу – дискретную оптимизацию.
Современные квантовые компьютеры
MagicQ
Основана в 1999 году в США для целей армии США и флота, NASA, DARPA, JTRS. В 2004 году на основе устройств Magic QPN 8505 в DARPA была создана первая в мире сеть с использованием квантовых технологий.
Квантовый канал объединил три ВУЗа, принимавших участие в разработке.
id Quantique
Компьютеры D-Wave
Компания D-Wave представила компьютерную систему, построенную на основе принципиально нового вида процессора. Система называется D-Wave One.
Процессор D-Wave One (кодовое имя Rainier) разработан для выполнение одной единственной математической операции - дискретной оптимизации. Это процессор специального назначения. В процессе разработки приложений D-Wave One используется только в тех частях программы, которые непосредственно решают задачу оптимизации. Остальные части приложения работают на традиционных системах.
Rainer решает задачу оптимизации используя квантовый отжиг (quantum annealing, QA), который относится к классу методов, основанных на использовании квантовых эффекты для поиска оптимального решения в кратчайшее время. Так как D-Wave One является квантовым компьютером, многие склонны думать, что разработка приложений для такой системы может быть действительно сложным делом. Основная сложность возникает из за необходимости объединить знания из областей, которые обычно не пересекаются, таких как квантовая физика и машинное обучение.
Проблемы перехода на квантовые компьютеры
Стоимость
Канадская компания D-Wave выпустила в продажу «первый в мире доступный коммерческий квантовый компьютер». Его цена составила 10 миллионов долларов, сообщает техноблог Engadget. Этот компьютер в состоянии оперировать 129 кубитами. Считается, что для решения некоторых практических задач, такого количества простых квантовых ячеек памяти, которые связаны между собой в единую систему, может оказаться вполне достаточно.
Изучение находится на раннем этапе
Серия тестов показала, что квантовый компьютер D-Wave, описанный выше, не дает никакого выигрыша в скорости по сравнению с компьютерами обычными, классическими. Попросту говоря, не только ученые, тестирующие D-Wave, пока не смогли увидеть ни одной реальной задачи, где квантовый компьютер мог бы убедительно продемонстрировать свое вычислительное превосходство, но даже сама компания-изготовитель понятия не имеет, что это может быть за задача.
Необходимость ограниченному числу пользователей
По мнению д-ра Питера Шора, несмотря на свою потенциальную мощь, квантовые компьютеры вовсе не обязательно будут выполнять все задачи быстрее классических компьютеров. В действительности, по его оценкам, работоспособный квантовый компьютер каждую из операций будет выполнять даже медленнее, чем компьютер обычный. И лишь для некоторых проблем, там, где исследователи обнаружили методы эффективного использования возможностей столь гигантских объемов хранимой информации, научившись выделять нужный ответ за сравнительно небольшое количество шагов (намного меньшее, чем в классических компьютерах) – появляется возможность существенно ускорить вычисления.
Сложность управления и обслуживания
Даже одна случайная молекула воздуха или другой малейший "шум" в системе способны выбивать кубиты из когерентной сцепленности.
Ошибки в ходе вычислений
Еще одна огромная трудность – это исправление ошибок, неизбежно возникающих в процессе вычислений. В столь тонком устройстве хранимые состояния могут непреднамеренно воздействовать друг на друга, в результате чего операции могут применяться не к тем квантовым битам.
Ограничения квантовой криптографии
- Требуется обязательное наличие выделенной линии вследствие ряда факторов:
- Квадратичное возрастание линий с возрастанием числа пользователей.
- Оптическая линия связи БЕЗ оптических усилителей.
Список литературы
Перейти к списку литературы по разделу "Квантовая криптография".
Андрюхин Б9-04 Покидова Б9-04
В гонке вооружений между белыми и черными шляпами индустрия infosec рассматривает квантовое шифрование и распределение квантовых ключей (QKD). Однако это может быть только часть ответа.
Квантовое шифрование, также называемое квантовой криптографией, применяет принципы квантовой механики для шифрования сообщений таким образом, что они никогда не читаются кем-либо за пределами предполагаемого получателя. Он использует множественные состояния квантов в сочетании с его «теорией изменений», что означает, что ее невозможно бессознательно прервать.
Шифрование существует с самого начала, от ассирийцев, защищающих их коммерческую тайну изготовления керамики для немцев, защищающих военные секреты с Enigma. Сегодня он находится под угрозой больше, чем когда-либо прежде. Вот почему некоторые люди ищут квантовое шифрование для защиты данных в будущем.
Вот как шифрование работает на «традиционных» компьютерах: двоичные цифры (0 и 1) систематически отправляются из одного места в другое, а затем расшифровываются симметричным (закрытым) или асимметричным (общедоступным) ключом. Симметричные ключевые шифры, такие как Advanced Encryption Standard (AES), используют один и тот же ключ для шифрования сообщения или файла, в то время как асимметричные шифры, такие как RSA, используют два связанных ключа — частный и открытый. Открытый ключ является общим, но секретный ключ хранится в секрете, чтобы расшифровать информацию.
Однако криптографические протоколы с открытым ключом, такие как криптография Diffie-Hellman, RSA и криптография с эллиптической кривой (ECC), которые выживают на основе того, что они полагаются на большие простые числа, которые трудно поддаются анализу, все чаще находятся под угрозой. Многие в промышленности считают, что их можно обойти с помощью нападений на конечных или боковых каналах, таких как атаки «человек-в-середине», шифрование и бэкдоры. В качестве примеров этой хрупкости RSA-1024 больше не считается безопасным с помощью NIS , в то время как атаки на боковых каналах оказались эффективными до RSA-40963.
Кроме того, беспокойство заключается в том, что эта ситуация только ухудшится с квантовыми компьютерами. Полагают, что они будут находиться где угодно от пяти до 20 лет, квантовые компьютеры потенциально смогут быстро преобразовывать простые числа. Когда это произойдет, каждое шифрованное сообщение, зависящее от шифрования с открытым ключом (с использованием асимметричных клавиш), будет нарушено.
«Квантовые компьютеры вряд ли будут взламывать симметричные методы (AES, 3DES и т. Д.), Но могут взломать общедоступные методы, такие как ECC и RSA», — говорит Билл Бьюкенен, профессор Школы вычислительной техники в Университете Эдинбурга Нейпир в Шотландии. «Интернет часто преодолевает проблемы с взломом при увеличении размеров ключей, поэтому я ожидаю увеличения размеров ключей, чтобы продлить срок хранения для RSA и ECC».
Может ли квантовое шифрование быть долгосрочным решением?
Квантовое шифрование
Криптография Q uantum может, в принципе, позволять вам шифровать сообщение таким образом, чтобы он никогда не читался кем-либо за пределами предполагаемого получателя. Квантовая криптография определяется как «наука об использовании квантовомеханических свойств для выполнения криптографических задач», а определение непрофессионала заключается в том, что множественные состояния квантов в сочетании с его «теорией изменений» означают, что ее невозможно бессознательно прервать.
Это так, как недавно показала BBC в видео, например, держа мороженое на солнце. Выньте это из коробки, выставите солнце, и мороженое будет заметно отличаться от предыдущего. В статье 2004 Стэнфорда это объясняет это лучше, говоря: «Квантовая криптография, которая использует фотоны и опирается на законы квантовой физики вместо« чрезвычайно больших чисел », — это новейшее открытие, которое, как представляется, гарантирует конфиденциальность даже при условии, что подслушивающие устройства с неограниченными вычислениями полномочия «.
Бьюкенен видит множество рыночных возможностей. «Применение квантового шифрования дает возможность заменить существующие методы туннелирования, такие как SSL и Wi-Fi криптография, для создания полного сквозного шифрования по оптоволоконным сетям. Если оптоволоконный кабель используется по всему соединению, поэтому нет необходимости применять шифрование на любом другом уровне, поскольку связь будет защищена на физическом уровне ».
Квантовое шифрование действительно является распределением квантовых ключей
Алан Вудворд, приглашенный профессор кафедры вычислительной техники Университета Суррея, говорит, что квантовое шифрование неверно понято, и люди на самом деле означают квантовое распределение ключей (QKD), «теоретически-безопасное решение для ключевой проблемы обмена». С QKD , фотоны, распределенные в микроскопической квантовой шкале, могут быть горизонтальными или вертикально поляризованными, но «наблюдение за ним или измерение его нарушают квантовое состояние». Это, говорит Вудворд, основано на «теореме о клонировании» в квантовой физике.
«Посмотрев на ошибки степени, вы увидите, что это было нарушено, поэтому вы не доверяете сообщению», — говорит Вудворд, добавив, что как только у вас есть ключ, вы можете вернуться к симметричному шифрованию ключей. QKD, в конечном счете, в конечном счете о замене инфраструктуры открытых ключей (PKI).
Бьюкенен видит огромный потенциал для QKD: «В настоящее время мы не обеспечиваем надлежащую защиту сообщений на физическом уровне от сквозной доставки. С Wi-Fi безопасность обеспечивается только через беспроводной канал. Чтобы обеспечить безопасность связи, мы затем накладываем другие методы туннелирования на коммуникации, например, с помощью VPN или с помощью SSL. Благодаря квантовому шифрованию мы могли бы обеспечить полное сквозное соединение без необходимости использования SSL или VPN ».
Каковы приложения QKD?
Как отмечает Вудворд, QKD уже имеется в продаже, от таких поставщиков, как Toshiba, Qubitekk и ID Quantique. Тем не менее QKD продолжает оставаться дорогостоящим и требует независимой инфраструктуры, в отличие от пост-квантового шифрования, которое может работать по уже существующим сетям.
Именно здесь Китай «украл марш» в привлечении QKD на рынок. Ранее в этом году австрийским и китайским ученым удалось провести первый квантовый зашифрованный видеозвонок, сделав его «по крайней мере в миллион раз безопаснее», чем обычное шифрование. В эксперименте китайцы использовали свой китайский спутник Mikaeus, специально запущенный для проведения экспериментов по квантовой физике, и использовали запутанные пары из Вены в Пекин с ключевыми скоростями до 1 Мбит / с.
Вудворд говорит, что все, что использует шифрование с открытым ключом, может использовать QKD, и одна из причин, по которым китайцы могут быть заинтересованы в этом, — это если они считают, что это физически безопасно, защищая их от НСА и национальных государств. « Не может быть бэкдоров, нет умного математического трюка», — говорит он, ссылаясь на атаку эллиптической кривой. «Это зависит от законов физики, которые намного проще, чем законы математики».
В конечном счете, он ожидает, что он будет использоваться в правительственных, банковских и других высокопроизводительных приложениях. «Сегодня несколько компаний продают оборудование, и это работает, но это дорого, но затраты могут снизиться. Люди, вероятно, увидят это с точки зрения безопасности, например, банковское дело и правительство ».
Другие примеры включают:
- Исследователи из Оксфордского университета, Nokia и Bay Photonics изобрели систему, которая позволяет шифровать платежные реквизиты, а затем безопасно передавать квантовые ключи между смартфоном и платежным терминалом точки продажи (POS), в то же время мониторинг для любые попытки взломать передачи.
С 2007 года Швейцария использует квантовую криптографию для проведения безопасного онлайн-голосования на федеральных и региональных выборах. В Женеве голоса зашифровываются на центральной станции подсчета голосов, прежде чем результаты будут передаваться по выделенной линии оптического волокна в удаленное хранилище данных. Результаты защищаются с помощью квантовой криптографии, а наиболее уязвимая часть транзакции данных — когда голосование переходит от счетной станции к центральному репозиторию — является бесперебойным. - Компания под названием Quintessence Labs работает над проектом NASA, который обеспечит безопасную связь с Землей со спутниками и астронавтами.
Небольшое шифровальное устройство, называемое QKarD, может позволить работникам умных сетей отправлять полностью безопасные сигналы с использованием общедоступных сетей передачи данных для управления интеллектуальными электрическими сетями. - Поскольку он документирует в этой статье Wired , Дон Хейфорд работает с ID Quantique для создания 650-километровой связи между штаб-квартирой Battelle и Вашингтоном. В прошлом году Battelle использовал QKD для защиты сетей в штаб-квартире Columbus, штат Огайо.
Практические проблемы и вмешательство государства
Однако квантовое шифрование не обязательно является серебряной пулей для обеспечения информационной безопасности. Вудворд цитирует частоту ошибок в шумной, турбулентной вселенной для ненадежности, а также технические трудности при создании одиночных фотонов, необходимых для QKD. Кроме того, QKD на основе волокон может двигаться только на определенном расстоянии, поэтому вам необходимо иметь повторители, которые, таким образом, представляют собой «слабые места».
Бьюкенен отмечает, что инфраструктурная проблема тоже нуждается в широкополосном волокне из конца в конец. «Мы все еще далеки от волоконных систем от конца до конца, так как последняя миля канала связи часто по-прежнему основана на меди. Наряду с этим мы соединяем гибридные системы связи, поэтому мы не можем обеспечить физический канал связи для сквозных соединений ».
Это также не серебряная пуля. Некоторые исследователи недавно обнаружили проблемы безопасности с теоремой Белла, в то время как участие правительства может быть сложным. В конце концов, это эпоха, когда политики не понимают шифрования, где агентства стремятся нарушить сквозное шифрование и поддержать бэкдоры крупными техническими компаниями.
Возможно, неудивительно, что недавно Центр национальной безопасности Великобритании пришел к такому проклятому завершению недавнего доклада о QKD. «QKD имеет фундаментальные практические ограничения, не затрагивает значительную часть проблемы безопасности, [и] плохо понимается с точки зрения потенциальных атак. Напротив, постквантовая криптография с открытым ключом, по-видимому, обеспечивает гораздо более эффективные смягчения для реальных систем связи от угрозы будущих квантовых компьютеров »,
Будущее шифрования может быть гибридным
Вудвард упоминает «бит битвы между криптографами и физиками», особенно по поводу того, что составляет так называемую «абсолютную безопасность». Таким образом, они разрабатывают разные методы, и Вудвард признает, что он не может понять, как они идут придти вместе.
NSA в прошлом году начал планировать переход на квантово-устойчивое шифрование, в то время как Национальный институт стандартов и технологий (NIST) проводит конкурс, чтобы стимулировать работу после квантовых алгоритмов. Есть усилия ЕС по постквантовому и квантовому, в то время как Google полагался на постквантовую решетку для своей системы New Hope на Chrome .
«Я ожидаю, что это будет комбинация как [пост-квантов, так и QKD]. Вы увидите QKD, где имеет смысл тратить больше денег на инфраструктуру, но математические подходы к подобным вам и мне в конечных точках », — говорит Вудворд. Например, он ожидает, что QKD будет «частью путешествия», возможно, от самого себя до сервера WhatsApp, но с постквантом от сервера ко мне как получателю.
Квантовое распределение ключей, безусловно, является прекрасной возможностью для индустрии информационной безопасности, но нам придется подождать немного, прежде чем широко распространенное внедрение становится реальностью.
Стивен Визнер (Stephen Wiesner), являясь студентом Колумбийского университета, в 1970 подал статью по теории кодирования в журнал IEEE Information Theory, но она не была опубликована, так как изложенные в ней предположения казались фантастическими, а не научными. Именно в была описана идея возможности использования квантовых состояний для защиты денежных банкнот. Визнер предложил в каждую банкноту вмонтировать 20 так называемых световых ловушек, и помещать в каждую из них по одному фотону, поляризованному в строго определенном состоянии. Каждая банкнота маркировалась специальным серийным номером, который заключал информацию о положении поляризационного фотонного фильтра. В результате этого при применении отличного от заданного фильтра комбинация поляризованных фотонов стиралась. Но на тот момент технологическое развитие не позволяло даже рассуждать о таких возможностях. Однако в 1983 году его работа «Сопряженное кодирование» была опубликована в SIGACT News и получила высокую оценку в научных кругах.
В последствии на основе принципов работы Визнера С. ученые Чарльз Беннет (Charles Bennett) из фирмы IBM и Жиль Брассард (Gilles Brassard) из Монреальского университета разработали способ кодирования и передачи сообщений. Ими был сделан доклад на тему «Квантовая криптография: Распределение ключа и подбрасывание монет» на конференции IEEE International Conference on Computers, Systems, and Signal Processing. Описанный в работе протокол впоследствии признан первым и базовым протоколом квантовой криптографии и был назван в честь его создателей BB84. Для кодирования информации протокол использует четыре квантовых состояния микросистемы, формируя два сопряж?нных базиса.
В это время Артур Экерт работал над протоколом квантовой криптографии, основанном на спутанных состояниях . Опубликование результатов его работ состоялось в 1991 году. В основу положены принципы парадокса Эйнштейна- Подольсого-Розенберга, в частности принцип нелокальности спутанных квантовых объектов.
На протяжении двадцати пяти лет, квантовая криптография прошла путь от теоретических исследований и доказательства основных теорий до коммерческих систем, использующих оптическое волокно для передачи на расстояние десятков километров.
В первой экспериментальной демонстрации установки квантового распределения ключей проведенной в 1989 в лабораторных условиях , передача осуществлялась через открытое пространство на расстояние тридцати сантиметров. Далее эти эксперименты были проведены с использованием оптического волокна в качестве среды распространения. После первых экспериментов Мюллера и др. в Женеве, с использованием оптоволокна длиной 1,1 км , в 1995 расстояние передачи было увеличено до 23 км через оптическое волокно, проложенное под водой . Приблизительно в то же время, Таунсендом из British Telecom была продемонстрирована передача на 30 км . Позднее он, продолжив тестирование систем с использованием различных конфигураций оптических сетей , увеличил дальность до 50 км . Эксперименты по передаче на это же расстояние были позднее повторены Хьюзом и др. в Лос-Аламосе . В 2001г., Хискетом и др. в Соединенном Королевстве была осуществлена передача на расстояние 80 км . В 2004-2005гг., две группы в Японии и одна в Соединенном Королевстве сообщили об осуществлении экспериментов по квантовому распределению ключей и интерференции одиночных фотонов на расстояние свыше 100 км . Первые эксперименты по передаче на расстояние 122 км проводились учеными из Toshiba в Кембридже с использованием детекторов на основе лавинных фотодиодов (ЛФД) . Рекорд по дальности передачи информации принадлежит объединению ученых Лос-Аламоса и Национального института стандартов и технологий, и составляет 184 км . В нем использовались однофотонные приемники охлаждаемые до температур близких к нулевым по Кельвину.
Первая презентация коммерческой системы квантовой криптографии произошла на выставке CeBIT-2002. Там, швейцарские инженеры компании GAP-Optique (www.gap-optique.unige.ch) из Женевского университета представили первую систему квантового распределения ключей (QKD - Quantum Key Distribution). Ученым удалось создать достаточно компактное и надежное устройство. Система располагалась в двух 19-дюймовых блоках и могла работать без настройки сразу после подключения к персональному компьютеру. С его помощью была установлена двухсторонняя наземная и воздушная волоконно-оптическая связь между городами Женева и Лузанна, расстояние между которыми составляет 67 км . Источником фотонов служил инфракрасный лазер с длиной волны 1550 нм. Скорость передачи данных была невысока, но для передачи ключа шифра (длина от 27,9 до 117,6 кбит) большая скорость и не требуется.
В последующие годы к проектированию и изготовлению систем квантовой криптографии подключились такие коммерческие монстры как Toshiba, NEC, IBM, Hewlett Packard, Mitsubishi, NTT. Но наряду с ними стали появляться на рынке и маленькие, но высокотехнологичные компании: MagiQ (www.magiqtech.com), Id Quantique (www.idquantique.com), Smart Quantum (www.smartquantum.com). В июле 2005 в гонке за увеличение расстояния передачи ключа вперед вышли инженеры Toshiba, представив на рынке систему, способную передать ключ на 122 км. Однако, как и у конкурентов, скорость генерации ключа в 1,9 кбит/с оставляла желать лучшего. Производители в настоящие время стремятся к разработке интегрированных систем - новинкой от Id Quantique, является система Vectis, использующая квантовое распределение ключей для создания VPN туннелей, шифрующая данные на канальном уровне с помощью шифра AES. Ключ может быть 128, 196 или 256-битной длины и меняется с частотой до 100 Гц. Максимальная дистанция для данной системы составляет 100 км. Все вышеперечисленные компании производят системы кодирующие информацию о битах ключа в фазовых состояниях фотонов. Со времен первых реализаций, схемы построения систем квантового распределения ключей значительно усложнились.
Британские физики из коммерческого подразделения QinetiQ Британской оборонной исследовательской лаборатории и немецкие физики из Мюнхенского университета Людвига-Максимиллиана впервые осуществили передачу ключа на расстояние 23,4 км непосредственно через воздушное пространство без использования оптического волокна . В эксперименте для кодирования криптографической информации использовались поляризации фотонов - одна для передачи двоичного символа «0» и противоположная для символа «1». Эксперимент проводился в горах Южной Германии. Слабый импульсный сигнал посылался ночью с одной горной вершины (2 950 м) на другую (2 244 м), где находился счетчик фотонов.
Руководитель проекта Джон Рэрити (John Rarity) из QinetiQ полагал , что уже в 2005 году будет проведен эксперимент с посылкой криптографического ключа на низкоорбитальный спутник, а к 2009 году с их помощью можно будет посылать секретные данные в любую точку планеты. Отмечалось, что для этого придется преодолеть ряд технических препятствий.
Во-первых, необходимо улучшить устойчивость системы к неизбежной потере фотонов при их посылке на расстояния в тысячикилометров.
Во-вторых, существующие спутники не оснащены соответствующим оборудованием для пересылки криптографических данных по квантовому протоколу, так что потребуется конструирование и запуск совершенно новых спутников .
Исследователи из Северо-западного университета (Эванстон, штат Иллинойс) продемонстрировали технологию, позволяющую передавать на небольшое расстояние шифрованное сообщение со скоростью 250 Мбит/с . Ученые предложили метод квантового кодирования самих данных, а не только одного ключа. В этой модели учитывается угол поляризации каждого переданного фотона, Поэтому любая попытка декодировать сообщение приводит к такой зашумленности канала, что всякая расшифровка становится невозможной. Исследователи обещают, что уже модель следующего поколения сможет работать практически на магистральной скорости Интернета порядка 2,5 Гбит/с. По словам одного из разработчиков, профессора Према Кумара (Prem Kumar), "еще никому не удавалось выполнять квантовое шифрование на таких скоростях". Ученые уже получили несколько патентов на свои разработки и сейчас работают вместе со своими промышленными партнерами Telcordia Technologies и BBN Technologies над дальнейшим усовершенствованием системы. Первоначально рассчитанный на пять лет проект был поддержан грантом DARPA (the Defense Advanced Research Projects Agency) в 4,7 миллиона долларов. Результатом данного проекта стала система квантового кодирования AlphaEta .
Группа Ричарда Хьюгса (Richard Hughes) из Лос-Аламоса занимается разработками спутниковых оптических линий связи (ОЛС). Для реализации преимуществ квантовой криптографии фотоны должны проходить через атмосферу без поглощения и изменения поляризации. Для предотвращения поглощения исследователи выбирают длину волны в 770 нм, соответствующую минимальному поглощению излучения молекулами атмосферы. Сигнал с большей длиной волны также слабо поглощается, но более подвержен турбулентности, которая вызывает изменение локального показателя преломления воздушной среды и, ввиду этого, изменение поляризации фотонов. Ученым приходится решать и побочные задачи. Спутник, наряду с фотонами, несущими сообщение, может принять и фотоны фонового излучения, исходящего как от Солнца, так и отраженного Землей или Луной. Поэтому применяются сверхузконаправленный приемник, а также фильтр для отбора фотонов определенной длины волны. Кроме того, фотоприемник чувствителен к приему фотонов в течение 5 нс периодически с интервалом в 1 мкс. Это должно быть согласовано с параметрами передатчика. Такие ухищрения вновь обуславливают влияние турбулентности. Даже при сохранении поляризации, вследствие турбулентности может измениться скорость передачи фотонов, приводя к фазовому дрожанию. С целью компенсации фазового дрожания впереди каждого фотона высылается световой импульс. Этот синхронизирующий импульс, подвергается такому же, как следующий за ним фотон, влиянию атмосферы. Поэтому независимо от момента получения импульса приемник спутника знает, что через 100 нс нужно открыться для приема информационного фотона. Изменение показателя преломления вследствие турбулентности вызывает уход луча от антенны. Поэтому для направления потока фотонов передающая система отслеживает слабое отражение от синхроимпульсов. Группой Хьюгса осуществлена передача сообщения по квантовому криптографическому каналу через воздушную среду на расстояние в 500 м на телескоп диаметром 3.5 дюйма . Принимаемый фотон попадал на распределитель, который направлял его на тот или иной фильтр. После этого ключ контролировался на наличие ошибок. Реально, даже при отсутствии перехвата, уровень ошибок достигал 1,6% из-за наличия шума, фоновых фотонов и рассогласования. Это несущественно, поскольку при перехвате уровень ошибок обычно более 25%.
Позднее группой Хьюгса было передано сообщения по квантовому каналу через воздушную среду на расстояние 2 км . При испытаниях сигналы передавались горизонтально, вблизи поверхности Земли, где плотность воздуха и флуктуации интенсивности максимальны. Поэтому расстояние в 2 км вблизи поверхности Земли эквивалентны 300 км, отделяющим низкоорбитальный искусственный спутник от Земли.
Таким образом, менее чем за 50 лет квантовая криптография прошла путь от идеи до воплощения в коммерческую систему квантового распределения ключей. Действующая аппаратура позволяет распределять ключи через квантовый канал на расстояние превышающие 100 км (рекорд 184 км), со скоростями достаточными для передачи ключей шифрования, но не достаточными для поточного шифрования магистральных каналов с помощью шифра Вернама. Основными потребителями систем квантовой криптографии в первую очередь выступают министерства обороны, министерства иностранных дел и крупные коммерческие объединения. На настоящий момент высокая стоимость квантовых систем распределения ключей ограничивает их массовое применение для организации конфиденциальной связи между небольшими и средними фирмами и частными лицами.
