Физика квантовой информации - Бауместер Д.
ISBN 5-94057-017-8
Скачать (прямая ссылка):
Алиса Боб
^Г—0 ijrc
Квант, шифр Квантовый канал Квант, шифр
Рис. 2.10. Коллективные атаки: аналогично когерентным атакам, но теперь Еве разрешено сделать глобальное обобщенное измерение на всех пробах, рассматриваемых как единая квантовая система.
Коллективные атаки (Рис. 2.10) образуют подкласс когерентных атак, в котором каждый фотон Алисы / индивидуально перепутывает-
Квантовое подслушивание 65
ся с отдельной пробой 7>.. Следовательно, Ева получает пробы в таких же состояниях, как и при некогерентных атаках. Однако после того, как завершены все открытые обсуждения, Еве разрешается провести любое ПООМ на всех пробах, рассматриваемых как большая единая квантовая система. Заметим, что при коллективной атаке перед этим ПООМ, индивидуальные пробы Т. неперепутаны и независимы друг от друга. Трудно доказать утверждения о защите от когерентных атак. На сегодняшний день рассмотрены только линейные протоколы исправления ошибок, а не интерактивное исправление ошибок. Доказательство надежности таких протоколов при защите от коллективных атак можно найти в работе [59], а против общих когерентных атак - в работе [60].
Идентификация: Как мы уже говорили, Алиса и Боб должны идентифицировать свою связь, чтобы сосчитать возможные атаки со стороны человека между ними. Они должны также убедиться, что они эффективно владеют новым секретным ключом. К счастью, существуют классические криптографические методики, решающие эти задачи с произвольно высокой вероятностью. Здесь мы даем сжатое описание алгоритма идентификации. За дальнейшими деталями отсылаем читателя к работе [61]. Общее обсуждение идентификации можно найти в работе [30].
Мы предполагали, что у Алисы и Боба есть общий идентификационный ключ А, который является секретной строкой двоичных чисел. Этот ключ короче, чем новый секретный ключ, созданный с помощью квантового распределения ключа, но мы предполагаем, что его длины достаточно для целей идентификации.
Выбрано целое число t: это параметр защиты. Предположим, что Алиса хочет идентифицировать для Боба данные М0. Например, двоичная строка М0 содержит заранее определенные куски их открытых сообщений. Строка М0 длины т делится на подблоки Р длины 2s, где s = t + log2log2m (последний подблок при необходимости заполняется нулями). Алиса и Боб берут первые 2s битов из А, которые определяют число а. Следующие 2s битов из А определяют число Ь. Эти 4s битов отбрасываются из А. Затем Алиса и Боб для каждого подблока Р вычисляют
I
р\=ар1+Ъ (mod2s) , (2.33)
где р. обозначает число, представленное двоичной строкой Р
Получившиеся числа р’ преобразуются в потоки битов длины s и состыковываются, вместе образуя М,. Эта операция повторяется (с неизменным s) г раз, пока Мг не станет длины s. t битов низшего порядка из Мг образуют ярлык Т. Оставшаяся часть А отбрасывается и никогда больше не используется.
66 Квантовая криптография
Наконец, ярлык Т посылается Бобу, который проверяет идентичность М0, проделав те же вычисления и сравнив результаты.
Можно осуществить идентификацию в протоколе квантового распределения ключа следующим образом. Алиса идентифицирует заранее определенные куски открытых сообщений. Боб делает то же самое, с другими заранее определенными кусками. Если эта идентификация проходит успешно, то квантовое распределение ключа считается успешным, и можно использовать небольшую часть нового ключа в качестве идентификационного ключа для следующего сеанса распределения. Таким образом, Алисе и Бобу не надо еще раз встречаться, чтобы установить новый идентификационный ключ. Предположим, что Ева предприняла атаку как человек, находящийся между ними. У Евы есть общий секретный ключ с Алисой, и еще один общий секретный ключ с Бобом. Она знает набор данных М0, идентифицированный Алисой, так как она изображала перед Алисой Боба в течение всего протокола. Однако, можно показать, что, получив Т и зная М0, Ева может угадать идентификационный ключ с ничтожной вероятностью. Следовательно, Ева не сможет пройти тест на идентификацию.
2.6 Экспериментальные реализации
После того как группами из Монреаля - IBM [42] (распределение ключа с использованием поляризованных фотонов и распространения света в свободном пространстве) и Оксфорда - DERA [44] (перепутанные фотоны, распространение по оптическим волокнам, фазовая кодировка) были выполнены пионерские эксперименты, развитие квантовой криптографии продолжалось по двум направлениям. С одной стороны, ставилась задача оптимизации систем, относительно расстояния связи, скорости генерации ключа и возникновения ошибки в квантовом бите (QBER). С другой стороны, одновременно с этим предпринимались попытки построения стабильных систем, более простых с точки зрения потенциальных пользователей, больше интересующихся защищенностью связи, нежели квантовой механикой и проблемами оптического согласования. Как было показано в предыдущих разделах, общие идеи, стоящие в основе различных реализаций, очень похожи, за исключением ЭПР-схем, отличающихся, главным образом, типом модуляции или используемым анализом. Далее мы рассмотрим некоторые усовершенствования ключей, на которых основана современная квантовая криптография.
