Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
138 Квантовая криптография
Глава 7
вому каналу, Ев а может, тем не менее, предотвратить связь между Алисой и Бобом, подавляя передачу сообщений в открытом канале, поскольку она всегда может либо перехватывать, либо чрезмерно возмущать фотоны, которые посылались по квантовому каналу. Однако в этом случае Алиса и Боб могли бы еще раз с высокой вероятностью определить, что их связь подавляется, и не будут введены в заблуждение, полагая, что это не так.
§ 4. Практическая применимость
С одной стороны, квантовая схема распределения открытых ключей, которая была описана в предыдущем параграфе, теоретически очень хороша, но с другой — совершенно непрактична с точки зрения нынешней технологии. В частности, в ней были проигнорированы среди прочих следующие две проблемы:
1) Намного проще иметь дело с пучками (или импульсами) фотонов, чем с одиночными фотонами.
2) Даже если никакого нарушения в квантовом канале не произошло, и даже тогда, когда Боб правильно угадывает выбранный Алисой базис, нужно ожидать, что некоторые из фотонов по пути будут переполяризованы, или что в результате ошибок в измеряющем приборе Боб может неправильно их интерпретировать.
Тем не менее, на практике обе эти трудности могут быть успешно решены. Детальное описание предлагающего такие решения криптографического квантового устройства и соответствующих протоколов приведено в техническом отчете, который был Написан Беннеттом и Брассаром [28]. См. также [25]. Ниже мы упомянем только самые основные его идеи.
Всякий раз когда в идеальном протоколе § 3 должны посылаться одиночные фотоны, первая проблема решается с помощью посылки очень слабых световых импульсов. Если использовать лазер, то легко выработать такой импульс, в котором число фотонов удовлетворяет распределению Пуассона при известных математическом ожидании и дисперсии. Кроме того, использование поляризаторов, удвоителей импульсов и фильтров с нейтральной плотностью позволяет производить световые импульсы заранее
Практическая применимость 139
определенной полярцзации, а в промежуток времени от одного такого импульса до другого (поскольку в конструкции этих приборов нет никаких движущихся частей) можно очень быстро переключаться на нужную поляризацию.
Проблема с световыми импульсами (которые заменяют одиночные фотоны) заключается в том, что каждый раз, когда за время одного и того же импульса выпускается более одного фотона, Ева получает возможность (по крайней мере в принципе) измерить один из этих фотонов в случайно выбранном базисе. Такое нарушение может быть необнаруживаемо при условии, что Ева будет очень осторожной и позволит другим фотонам того же самого импульса дойти до Боба неискаженными. Основная идея значительного уменьшения этой угрозы заключается в том, чтобы использовать действительно очень слабые импульсы. Если, например, ожидаемое число фотонов в каждом импульсе равно одной тысячной (10~3), то можно считать, что мульти-фотонный. импульс будет вырабатываться приблизительно только один раз на каждые два миллиона импульсов. Следовательно, 99,95% непустых импульсов должны содержать одиночный фотон. Только обладая очень большими ресурсами, Ева могла бы выявить те редкие случаи, когда передается более одного фотона и проверить соответствующий бит с вероятностью 1/2, измеряя один из фотонов в случайно выбранном базисе, но это привело бы лишь к тому, что Ева смогла бы узнать примерно 0,025% той битовой строки, которой Алиса обменивается с Бобом. (Обладая еще большими ресурсами, Ева могла бы хранить этот дополнительный фотон, не измеряя его, до тех пор, пока открытое обсуждение между Алисой и Бобом не покажет, в каком базисе этот фотон должен читаться, увеличивая, таким образом, процент своего успеха до 0,05%.) Для дальнейшего сокращения любой доли однозначной информации об их окончательной совместной битовой строке, которая может быть известна Еве, Алиса и Боб могут впоследствии использовать упомянутые ранее методы повышения секретности [36].
Вторая проблема, которая связана с наивной реализацией квантовой криптологии и описана в § 3, состоит в том, что некоторые биты могут быть получены неправильно даже при отсутствии перехвата, из-за недостатков в аппаратуре. Алиса и Боб никогда бы не смогли обменяться случайной битовой стро-
140 Квантовая криптография
Глава 7
кой, если бы не начинали делать это заново каждый раз, когда обнаруживают даже одиночную ошибку в квантовой передаче. Следовательно, для того чтобы обнаружить и исправить приемлемое число различий между исходной случайной строкой Алисы и строкой, полученной Бобом, необходим протокол в открытом канале. Подходящий для Алисы способ исправления таких ошибок заключается в том, чтобы генерировать проверяющие последовательности, используя при этом согласованный код, исправляющий ошибки, наподобие несистематического сверточного кода [184]. Такая последовательность может затем быть послана Бобом по открытому каналу. Если код имеет достаточную избыточность, то Боб может однозначно декодировать доступную ему информацию, с высокой вероятностью восстановив, таким образом, исходную строку Алисы. Из этого следует, что при использовании протоколов, повышающих секретность [36], информация, которая попадает к Еве, может быть доведена, в конце концов, почти до нуля. Далее см. [309, 25, 311].