Дифференциальный фазовый сдвиг

Дифференциальный фазовый сдвиг (англ. DPS(Differential-phase-shift)) — протокол квантового распределения ключа, который был предложен в 2002 году Иноуэ, Ваксом и Ямамото^[1]. Протокол использует для кодирования информации дифференциальный сдвиг ослабленных когерентных состояний света. Носителями информации являются 2-х уровневые системы, называемые кубитами (квантовыми битами).

Введение[править | править код]

Квантовое распределение ключей(КРК) обеспечивает предотвращение утечки защищаемой информации и несанкционированных воздействий на защищаемую информацию основываясь на законах квантовой физики. В нем cекретный ключ для шифрования сообщения основываясь на квантовой механике безопасно разделяется между двумя легальными участниками обмена информацией(Алисой и Бобом). При этом криптоаналитик(Ева), имеющий доступ к каналу связи, не может получить доступ к полезной информации. DPS является одним из распространенных протоколов КРК. В отличае от других он не имеет процедуры выбора базиса, при этом требуя простую конфигурацию для реализации. Также преимуществом является устойчивость к атаке с расщеплением числа фотонов^[2], которая является проблемой для BB84^[3]. Эксперименты КРК с данным протоколом точки показали рекордные значения с точки зрения зрения расстояния передачи и скорости создания ключа^[4], хотя безопасность сгенерированного ключа была ограничена из-за общей индивидуальной атаки.^[5]

Описание протокола[править | править код]

Алгоритм распределения ключей[править | править код]

1) Алиса генерирует последовательность когерентных импульсов, которые ослабляются так, что среднее число фотонов на импульс меньше 1, случайным образом модулируется по фазе на 0 или π и отправляется по квантовому каналу Бобу.

2) Каждый фотон когерентно распространяется на множество импульсов с фиксированной фазовой модуляцией.

3) На стороне приемника Боб делит поступающие импульсы на два пути и объединяет их, используя светоделители 50/50. Временная задержка, вносимая его интерферометром, равна обратной частоте тактового генератора или же равна временной разнице между последовательными импульсами.

4) Однофотонные детекторы размещены на выходных портах второго светоделителя. После прохождения интерферометра Боба последовательные импульсы интерферируют на выходном светоделителе, и то, какой детектор регистрирует событие обнаружения, зависит от разности фаз двух импульсов. Если интерферометр правильно отрегулирован, детектор 1 записывает событие, когда разность фаз равна 0, а детектор 2 записывает событие, когда разность фаз равна π.

5) Поскольку среднее число фотонов на импульс меньше единицы, Боб фиксирует фотон только изредка и в случайные моменты времени. Боб публично объявляет случаи, когда фотон был обнаружен, но он не раскрывает, какой детектор его обнаружил.

6) По своим данным модуляции Алиса знает, какой детектор на сайте Боба записал событие. Таким образом, назначая события обнаружения, записанные детектором 1 и 2, как биты 0 и 1 соответственно, они могут совместно использовать идентичную битовую строку.

Криптоанализ[править | править код]

Введение[править | править код]

Безопасность протокола DPS проистекает из недетерминированного коллапса волновой функции при квантовом измерении. В частности, если число импульсов во времени когерентности источника Алисы равно ${\displaystyle n_{p}}$, то каждый из фотонов Алисы находится в суперпозиции всех состояний, которые соответствуют ${\displaystyle n_{p}}$ моментам времени, с соответствующей фазой, примененной к каждому из них. Общая волновая функция является результирующим состоянием этих отдельных фотонных состояний. На стороне Боба обнаружение в определенный момент времени ${\displaystyle n}$ показывает разность фаз между импульсами в моменты времени ${\displaystyle n}$ и ${\displaystyle n+1}$, что соответствует одному биту информации. Однако эти события происходят совершенно случайным образом, поэтому Ева(перехватчик) не может определенным образом свернуть волновую функцию в один и тот же момент времени и получить тот же бит информации, что и Боб.

Атака светоделителем[править | править код]

В атаке светоделителем, Ева использует светоделитель для получения когерентных копий квантового состояния импульсов, которые Алиса посылает Бобу. Она также заменяет квантовый канал с потерями на канал без потерь, а несовершенные детекторы в приемном устройстве Боба - на идеальные. Предположение, что Ева может заменить несовершенные детекторы Боба совершенными, может показаться нереальным. Тем не менее, есть несколько способов, которыми Ева может улучшить характеристики детекторов Боба. Например, Ева может изменить длину волны фотонов в область с более высокой эффективностью обнаружения. Аналогичный аргумент может быть применен к скорости счета темных. Чтобы объяснить это, анализ безопасности основывается на консервативном предположении, что Ева контролирует квантовую эффективность и скорость темнового счета детекторов Боба.

Подобная атака не вызывает ошибок в коммуникации между Алисой и Бобом. Следовательно, она дает Еве полную информацию, что соответствует вероятности коллизии для каждого бита ${\displaystyle p_{c_{0}}=1}$, для доли бит, равной ${\displaystyle 2\mu (1-T)}$, где ${\displaystyle \mu }$ - среднее количество фотонов за импульс, а ${\displaystyle T}$ - общая эффективность передачи квантового канала и оборудования Боба. Для оставшейся ${\displaystyle 1-2\mu (1-T)}$ доли битов Ева не получает никакой информации, что означает, что ${\displaystyle p_{c_{0}}=1/2}$ для этих битов. Этот результат показывает, что взаимная информация между Евой и Бобом не зависит от эффективности передачи системы ${\displaystyle T}$, если ${\displaystyle T<<1}$. Следовательно, в случае ${\displaystyle T<<1}$, взаимную информацию между Евой и Бобом можно сделать небольшой, просто выбрав малый ${\displaystyle \mu }$, который не зависит от ${\displaystyle T}$.^[6]

Атака перехватом и пересылкой[править | править код]

Воспользовавшись присущей системе частотой ошибок, Ева также может применить атаку перехватом и пересылкой на некоторые импульсы, которые отпрравит Бобу после своего светоделителя. В этой атаке, Ева перехватывает некоторые импульсы, позволяет им проходить через интерферометр, идентичный Бобу, измеряет разности фаз, и в соответствии с результатом своего измерения она отправляет Бобу соответствующее состояние. В случае неточного или вакуумного результата она отправляет вакуумное состояние. Тогда как, когда она измеряет один фотон, она посылает фотон, разделенный на два импульса с правильной разностью фаз 0 или π, примененной между ними. Когда этот фотон прибывает к Бобу, он его подсчитывает, возможно, в три момента времени. Когда Боб измеряет центральный момент времени, он не обнаруживает подслушивание, потому что он получает правильную разность фаз. Тем не менее, с вероятностью 50% он измеряет дополнительные моменты времени, которые дают случайные, некоррелированные результаты, а с вероятностью 50% они приводят к ошибке.Следовательно, эта атака вызывает общую ошибку 25% в связи между Алисой и Бобом. Это означает, что если частота ошибок системы равна ${\displaystyle e}$, Ева может применить свою атаку к фракции из ${\displaystyle 4e}$ фотонов, чтобы не превысить эту частоту ошибок. С вероятностью 50%, то есть вероятностью того, что Боб измеряет центральный момент времени для повторно отправленного фотона, Ева получает полную информацию для этих перехваченных фотонов, что означает, что ${\displaystyle p_{c_{0}}=1}$ для доли из ${\displaystyle 2e}$ битов. Ева не получает никакой информации об оставшихся битах.^[6]

Гибридная атака[править | править код]

Если объединить атаку светоделителем с атакой перехватом и пересылкой, то доля битов, для которых у Евы нет информации, то есть для которых ${\displaystyle p_{c_{0}}=1/2}$, равна ${\displaystyle 1-2\mu (1-T)-2e}$, при этом она получает полную информацию для остальных битов. Таким образом, если ${\displaystyle n}$ - длина ключа, средняя вероятность совпадения между битами, принадлежащими Бобу и Еве, определяется выражением:

${\displaystyle p_{c_{0}}=p_{c_{0}}^{n}=(1/2)^{n[1-2\mu (1-T)-2e]}}$

Коэффициент уменьшения приватности:

${\displaystyle \tau =-{\log _{2}p_{c} \over n}=1-2\mu (1-T)-2e}$

А коэффициент генерации секретного ключа:

${\displaystyle R_{DPS}=\nu p_{click}{\tau +f(e)[elog_{2}e+(1-e)log_{2}(1-e)]}}$,

где ${\displaystyle \tau }$ это коэффициент уменьшения приватности, ${\displaystyle p_{click}}$ - вероятность того, что Боб обнаружит фотон в заданном такте, ${\displaystyle \nu }$ - частота повторения передачи, а ${\displaystyle f(e)}$ - функция характеризующая производительность алгоритма коррекции ошибок.

Для случая незначительной частоты ошибок и ${\displaystyle p_{dark}<<p_{signal}<<1}$:

${\displaystyle R_{DPS}\thickapprox \nu \mu T(1-2\mu )}$,

где ${\displaystyle \mu }$ - среднее количество фотонов за импульс, а ${\displaystyle T}$ - общая эффективность передачи квантового канала и оборудования Боба.^[6]

Вывод[править | править код]

Используя методы теории обобщенного усиления конфиденциальности можно подобрать длину секретного ключа как:

${\displaystyle r=n\tau -\kappa -t}$

где ${\displaystyle n}$ - длина полученной в процессе обмена по протоколу DPS Алисой И Бобом последовательности бит, ${\displaystyle \kappa }$ - количество битов, раскрытых во время коррекции ошибок, ${\displaystyle t}$ - параметр безопасности, а ${\displaystyle \tau }$ это коэффициент уменьшения приватности.

В этом случае криптоаналитик использующий перечисленные атаки не сможет извлечь секретный ключ из полученных данных.^[7]

Примечания[править | править код]

1. ↑ Kyo Inoue, Edo Waks, Yoshihisa Yamamoto. Differential Phase Shift Quantum Key Distribution (англ.) // Physical Review Letters. — 2002-06-27. — Vol. 89, iss. 3. — P. 037902. — ISSN 1079-7114 0031-9007, 1079-7114. — doi:10.1103/PhysRevLett.89.037902.
2. ↑ Kyo Inoue, Toshimori Honjo. Robustness of differential-phase-shift quantum key distribution against photon-number-splitting attack // Physical Review A. — 2005-04-04. — Т. 71, вып. 4. — ISSN 1094-1622 1050-2947, 1094-1622. — doi:10.1103/physreva.71.042305.
3. ↑ Norbert Lütkenhaus. Security against individual attacks for realistic quantum key distribution // Physical Review A. — 2000-04-06. — Т. 61, вып. 5. — ISSN 1094-1622 1050-2947, 1094-1622. — doi:10.1103/physreva.61.052304.
4. ↑ Hiroki Takesue, Sae Woo Nam, Qiang Zhang, Robert H. Hadfield, Toshimori Honjo. Quantum key distribution over a 40-dB channel loss using superconducting single-photon detectors // Nature Photonics. — 2007-06. — Т. 1, вып. 6. — С. 343–348. — ISSN 1749-4893 1749-4885, 1749-4893. — doi:10.1038/nphoton.2007.75.
5. ↑ Edo Waks, Hiroki Takesue, Yoshihisa Yamamoto. Security of differential-phase-shift quantum key distribution against individual attacks // Physical Review A. — 2006-01-31. — Т. 73, вып. 1. — ISSN 1094-1622 1050-2947, 1094-1622. — doi:10.1103/physreva.73.012344.
6. ↑ ^{1 2 3} Eleni Diamanti. SECURITY AND IMPLEMENTATION OF DIFFERENTIALPHASE SHIFT QUANTUM KEY DISTRIBUTION SYSTEMS. — STANFORD UNIVERSITY, 2006. — С. 53-59. — 188 с. Архивировано 13 июля 2018 года.
7. ↑ C.H. Bennett, G. Brassard, C. Crepeau, U.M. Maurer. Generalized privacy amplification // IEEE Transactions on Information Theory. — 1995. — Т. 41, вып. 6. — С. 1915–1923. — ISSN 0018-9448. — doi:10.1109/18.476316.

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, установите ссылки в соответствии с принятыми рекомендациями.