Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Итак, если ориентация приемника совпадает с ориентацией поляризатора Алисы, то состояние фотона будет распознано правильно. Открытая схема кодирования битов (4.4.12) представляет собой взаимно-однозначное соответствие между множеством битов и множеством состояний фотонов. Следовательно, бит, посланный Алисой, будет расшифрован правильно. С другой стороны, если ориентации приемника и поляризатора не совпадают, состояние фотона будет изменено, хотя получатель не имеет никакой информации о том, что на самом деле посланный фотон был уничтожен.
Теперь мы готовы дать формальное описание протокола QKD.
Этапы 1 и 2 довольно просты. Алиса посылает Бобу та случайных состояний фотонов, используя случайные настройки рг,Р2, - ¦ ¦ ,Pm G и{+-> х} (п- О. а Боб должен принять их, используя случайные настройки приемника о\, о2, -.., от G и{+, х} (п. 2). Алиса зашифровывает и передает т последовательных битов ai j а2, - - -, От, а Боб получает и расшифровывает биты &i, 62,..., bm.
На третьем этапе Алиса и Боб обмениваются информацией через открытый канал связи для того, чтобы сравнить к = т/10 элементов из т пар {(pi, 0i)}™ i-Если среди этого множества существуют к пар, состоящих из одинаковых элементов, процесс можно продолжать. В противном случае протокол прекращается
— вероятность ^, _^ — вероятность ^,
_ _^ / вероятность \, ^ /
\ вероятность \, \
152
Часть II. Математические основы
Протокол 4.1. Распределение квантовых ключей (алгоритм Атлантик-Сити) Схематичное описание протокола
Квантовый канал. Алиса посылает Бобу т фотонов, имеющих один из следующих видов ориентации {—, |, /, \}.
Условный канал, открытые согласования. Выбираются к = т/10 "просеянных битов", переданных с поляризатора Алисы на приемник Боба. Затем выполняется сравнение ? {? < к) случайных тестовых битов, выбранных из к просеянных битов, чтобы обнаружить перехват. Если перехват не обнаружен, принимаются остальные к — ? секретных битов.
1. Алиса генерирует т случайных битов а\, a<i, - - -, ат е г/{0,1}, устанавливает т случайно ориентированных поляризаторов pi,p2, - - - ,рт € х} и посылает Бобу m фотонных состояний Pi (01)^2(^2), - - - iPmipm) в соответствии со схемой кодировки битов (4.4.12).
2. Боб устанавливает т случайно ориентированных приемников фотонов oi, 02,. - -, от е г/{+, х} и применяет их для получения m фотонных состояний. Затем, используя схему кодировки битов (4.4.12), Боб расшифровывает последовательные биты by, 62,..., Ьт, и сообщает Алисе: "Все биты получены!".
3. Алиса и Боб в открытом режиме сравнивают свои установки (PbOi)>(P2,02),---,(Pm,от). Если больше к = т/10 пар установок согласованы между собой, выполняется условие
Рг = Oi для 1 < г < к.
Алиса и Боб выполняют следующие шаги, в противном случае выполнение протокола прекращается. (* Ошибка вследствие неполноты *).
4. (* Теперь множество {{ai,bi)}k=l содержит к пар просеянных битов, распределенных в соответствии с согласованными установками поляризатора и приемника. *) Алиса и Боб открыто сравнивают ? пар, принадлежащих множеству {{ai,bi)}k=v Сравниваемые биты называются тестовыми. Если хотя бы одна пара тестовых битов не совпадает, выдается сообщение "Выявлен перехват!", и выполнение алгоритма прекращается.
5. Оставшиеся к — ? битов выводятся в виде распределенного секретного ключа. Протокол успешно завершен. (* Правда, может возникнуть ошибка, связанная с противоречивостью протокола. *)
вследствие неполноты. В свое время мы покажем, как оценивается вероятность неполноты протокола.
Глава 4. Вычислительная сложность
153
Допустим, что ошибка, связанная с неполнотой протокола, не обнаружена. В этом случае обе стороны переходят к выполнению четвертого этапа. Теперь у них есть к просеянных битов, распределенных по к устройствам, согласованным между собой. Не ограничивая общности, можно считать, что биты, переданные Алисой, обозначены как а^,а2,...,ак, а биты, принятые Бобом, — как &i, 62, - -., од.. Теперь Алиса и Боб переходят к открытому обсуждению по условленному каналу, сравнивая ? случайных пар просеянных битов. Любое несовпадение свидетельствует о присутствии перехватчика Евы. Если признаки присутствия Евы не обнаружены, протокол успешно завершается на пятом этапе. Теперь Алиса и Боб обмениваются оставшимися к — ? битами, которые они считают неперехва-ченными. Однако в результате ошибки, связанной со стойкостью, оставшиеся биты могут быть не распознаны. Попробуем оценить вероятность этой ошибки.
Вероятность ошибки, связанной с противоречивостью
Допустим, что Ева прослушивает квантовый канал. Для того чтобы получить фотоны, посланные Алисой, Ева должна настроить свои приемники точно так же, как Боб. Для этого Ева случайным образом выбирает ориентацию тп своих приемников, а затем пересылает тп состояний фотонов Бобу. Вследствие принципа неопределенности Гейзенберга неверные настройки приемника Евы уничтожат фотоны, посланные Алисой. Поскольку Ева не знает правильных настроек, ей неизвестно, что именно она переслала Бобу. Одна из стратегий перехвата заключается в пересылке совершенно нового набора из тп состояний, сгенерированных случайным образом (как это делает Алиса), в надежде на то, что Боб не сможет отличить биты, посланные Алисой, от битов, посланных Евой. Другая стратегия перехвата состоит в пересылке всех полученных от Алисы фотонов в надежде, что их состояние не изменилось. На самом деле эти стратегии никак не влияют на вероятность непротиворечивости протокола.
