§ 3. Квантовое распределение открытых ключей
Цель квантового распределения открытых ключей заключается в том, чтобы, используя квантовый канал, обеспечить передачу последовательности случайных битов между двумя пользователями, которые до этого не имели никакой совместно используемой и секретной для других информации. Достигается это таким способом, что легитимные пользователи, обмениваясь информацией по обычному, не квантовому, каналу связи (допускающему прослушивание без каких бы то ни было ограничений) могут с большой вероятностью определить, была ли нарушена такая первоначальная квантовая передача информации во время ее перехвата в канале. (Подобное достоинство, которое присуще исключительно квантовому каналу, фактически вынуждает сводить любой тип прослушивания к активной фальсификации.)
Если квантовая передача не нарушалась, то пользователи могут с уверенностью применять эту совместную секретную последовательность в качестве исходного секретного ключа в любой традиционной криптосистеме (наподобие одноразового шифра) для того, чтобы скрыть содержание всей последующей связи.
С другой стороны, если обнаружится, что передача была нарушена, то пользователи могут не принимать во внимание только что полученную двоичную последовательность и должны попытаться произвести квантовую передачу еще раз. Поэтому для обеспечения намеченной цели они вынуждены будут задерживать некую важную связь до тех пор, пока не осуществят успешную передачу достаточного количества случайных битов через квантовый канал. Поэтому, несмотря на то, что нарушитель, перекрывая квантовый канал передачи информации, может препятствовать связи между пользователями, он окажется неспособным ввести их в заблуждение до такой степени, чтобы они были уверены, что передача прошла успешно, когда на самом деле это было не так.
Рассмотрим более подробно, каким образом Алиса и Боб могут осуществить открытое распределение ключей с использованием квантового канала.
В качестве первого шага с выхода датчиков случайных чисел Алиса выбирает произвольную битовую строку
=
и произвольную последовательность поляризационных базисов (прямоугольных и диагональных), формально задаваемых строкой
B
=
,
+ - прямоугольный базис, - диагональный базис.
Затем она посылает Бобу ряд поляризованных фотонов
=
,
где угол поляризации фотона определяется как значением битовой строки, так и "значением" базиса:
,
,
,
.
С одной стороны, хорошо, что, если Ева захочет измерить поляризацию (некоторых из) тех фотонов, которые Алиса посылает Бобу, то она не будет знать, в каких базисах это необходимо делать. С другой стороны, плохо то, что Боб также не знает, какие базисы нужно использовать.
Несмотря
на это, Боб в каждом такте квантовой
передачи решает
абсолютно случайным для каждого
фотона образом и совершенно независимо
от Алисы измерить, какую поляризацию
имеют все фотоны, прямоугольную или
диагональную.
Для этого он выбирает случайным и
равновероятным образом угол
оптической
оси призмы – 00
или 450
и получает, формально обозначая, два
возможных исхода:
=1
– регистрация фотона в прямом луче,
=2
– регистрация фотона в ортогональном
луче.
(Выбор
=
00
соответствует измерению в прямоугольном
базисе,
=
450
соответствует измерению в диагональном
базисе.)
Нетрудно видеть, что если
,
=00
и
=00,
то вероятность P(
=1)=1,
,
=900
и
=00,
то вероятность P(
=2)=1,
,
=450
и
=450,
то вероятность P(
=1)=1,
,
=1350
и
=450,
то вероятность P(
=2)=1.
Во
всех остальных случаях вероятность
P(
=1)=P(
=2)=1/2.
Таким
образом, если базисы у Алисы и Боба
совпадают (+(
=00),
(
=450)),
то измерения поляризации фотона на
приемном конце приобретают детерминированный
характер. Боб полагает значение бита
=0,
если
=1
и
=1,
если
=2.
При условии совпадения базисов
P(i=
/совп.
баз.)=1,
и при условии несовпадения базисов
P(i=
/несовп.
баз.)=1/2.
После приема поляризованных фотонов Боб сообщает Алисе свою последовательность базисов, в которых он производил измерения, после чего они сообща вычеркивают те номера тактов, где базисы не совпадают. Оставшаяся часть - последовательность составляет общую секретную информацию Алисы и Боба. Ясно при этом, что информация о базисе, доступная злоумышленнику Еве, не несет никакой информации о значениях - последовательности.
Таким образом, в итоге Боб получает содержащие информацию данные только от приблизительно половины фотонов, которые он проверяет (от тех, для которых он угадал базис поляризации), хотя сам пока даже не знает, от каких. Кроме того, на практике количество этой информации, полученной Бобом может быть еще меньше в связи с тем, что некоторые из фотонов могут быть потеряны при передаче или невосприняты обнаруживающими фотоны детекторами Боба из-за их несовершенства.
Из-за того, что прямоугольно и диагонально поляризованные фотоны чередуются в квантовой передаче случайным образом, любой нарушитель рискует при перехвате изменить передачу таким способом, что это породит расхождение между Алисой и Бобом в некоторых из тех битов, о правильности которых, как они думают, между ними должно быть достигнуто согласие. Какова доля таких ошибок в общей для Алисы и Боба - последовательности при наличии подслушивания? Можно показать, что для двух наиболее естественных стратегий подслушивания эта доля не может быть сделана меньше ¼ (Приложение, п.2).
Теперь остается только выяснить, как Алиса и Боб смогут определить, являются ли их получившиеся в результате битовые строки идентичными (показывая с высокой вероятностью, что в квантовом канале никакого нарушения не произошло, или, также, что это нарушение было на очень малом числе фотонов) или они различны (показывая, таким образом, что квантовый канал был подвергнут серьезному прослушиванию).
Простое решение заключается в том, чтобы Алиса и Боб открыто сравнили некоторые из битов, относительно которых, как они думают, они должны прийти к соглашению. Позиции таких «особо проверяемых» битов должны быть выбраны случайно уже после того, как квантовая передача будет завершена, чтобы лишить Еву информации о том, какие фотоны она может измерять без опаски. Конечно, подобный процесс приносит в жертву секретность этих битов. Если совокупность позиций битов, используемых при этом сравнении, является произвольным подмножеством (скажем, одной трети) всех правильно полученных битов, то перехват, допустим, более десятка фотонов, позволяющий избежать обнаружения, маловероятен. Если все сравнения подтверждаются, то Алиса и Боб могут заключить, что квантовая передача прошла без существенного перехвата. Следовательно, большинство оставшихся битов, которые были посланы и получены в одном и том же базисе, могут спокойно использоваться в качестве одноразового ключа для последующей связи по открытому каналу. Когда этот одноразовый ключ будет полностью использован, протокол передачи новой порции случайным образом сгенерированной информации по квантовому каналу повторяется. Иллюстрация протокола, который мы только описали, приведена на следующем рисунке.
|
1 |
0 |
1 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
|
2 |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
|
|
+ |
|
|
|
+ |
|
3 |
450 |
900 |
1350 |
00 |
900 |
900 |
00 |
00 |
1350 |
1350 |
900 |
1350 |
450 |
450 |
450 |
|
4 |
00 |
450 |
450 |
00 |
00 |
450 |
450 |
00 |
450 |
00 |
450 |
450 |
450 |
450 |
00 |
|
5 |
1 |
|
1 |
|
1 |
0 |
0 |
0 |
|
1 |
1 |
1 |
|
0 |
1 |
|
6 |
+ |
|
|
|
+ |
|
|
+ |
|
+ |
|
|
|
|
+ |
|
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
|
|
1 |
|
1 |
|
|
0 |
|
|
|
1 |
|
0 |
1 |
|
9 |
|
|
|
|
1 |
|
|
|
|
|
|
|
|
0 |
|
|
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
11 |
|
|
1 |
|
|
|
|
0 |
|
|
|
1 |
|
|
1 |
Передача по квантовому каналу (строки 1-5).
Случайная битовая строка Алисы ().
Базисы передачи, выбранные Алисой случайным образом (B).
Поляризация фотонов Алисой ().
Случайные базисы, выбранные Бобом при приеме ().
Битовая строка, полученная Бобом ().
Обсуждение по открытому каналу (строки 6-10).
Боб сообщает базисы измерений полученных фотонов.
Алиса отмечает, какие базисы были угаданы правильно.
Битовая строка, которую можно использовать совместно.
Боб указывает некоторые наугад выбранные биты ключа.
Алиса подтверждает эти биты.
Результат (строка 11).
11.Оставшиеся общие секретные биты.
Такой протокол обнаружения перехвата фотонов довольно расточителен, поскольку для того, чтобы он был выявлен с большой вероятностью, должна быть пожертвована значительная часть битов, даже если этот перехват предпринят Евой только для нескольких фотонов. К тому же вероятность того, что с возникающими в результате строками Алиса, и Боб согласятся полностью; не может быть сделана сколь угодно близкой к 1, если не пожертвовать при этом большим числом первоначально переданных битов.