Квантовый протокол 4+2

Квантовый протокол 4+2 (BB84(4+2)) — протокол квантового распределения ключей, который был впервые предложен Б. Хаттнером, Н. Иммото, Н. Гисином, Т. Мором в 1995 году. Для кодирования информации протокол использует четыре квантовых состояния двухуровневой системы, формирующие два сопряжённых базиса, состояния в каждом из которых не ортогональны, состояние в разных базисах так же попарно не ортогональны.^[1] Носителями информации выступают двухуровневые системы- квантовые биты.

История[править | править код]

Квантовый протокол 4+2 впервые был предложен Б. Хаттнером и Н. Иммото из крупнейшей японской телекоммуникационной компании NTT , Н. Гисином из Женевского университета и студентом Техниона Т. Мором в работе "Quantum Cryptography with Coherent States" 21 февраля 1995 года. В работе были подробно описаны принцип работы протокола, его реализация и преимущества перед протоколом BB84 под угрозой PNS-атак.^[2] Считается, что этот протокол был первой осмысленной попыткой противостоять атаке с разделением по числу фотонов или PNS-атаке в истории развития криптографии.

Описание протокола[править | править код]

Основная идея[править | править код]

Основная идея квантового протокола 4+2 заключается в следующем: раз PNS-уязвимость протокола BB84 вызвана тем, что после согласования базисов перехватчик может получить точную информацию о передаваемом состоянии, то можно сделать состояния внутри каждого базиса неортогональными, тем самым сделав для перехватчика невозможным точное определение передаваемого состояния даже при известном базисе. Таким образом, в протоколе используются 4 квантовых состояния для кодирования «0» и «1» в двух базисах, что соответствует протоколу BB84, и состояния в каждом базисе выбираются неортогональными , что соответствует протоколу B92, состояния в разных базисах также попарно неортогональны. 4+2 использует своеобразную комбинацию протоколов BB84 и B92, отсюда и его название. ^[3]

Кодирование состояний[править | править код]

Как и в протоколе BB84 имеем 4 состояния, образующие 2 базиса: ${\displaystyle \left\{{|0_{x}\rangle ,|1_{x}\rangle }\right\}}$ , ${\displaystyle \left\{{|0_{y}\rangle ,|1_{y}\rangle }\right\}}$. В качестве примера такой конфигурации состояний удобно взять набор из четырех состояний, которые лежат в двух перпендикулярных плоскостях на сфере Пуанкаре, но не являются ортогональными, например^[4]

1. В первом базисе
   • ${\displaystyle |0_{x}\rangle =\operatorname {cos} \left(\left({\frac {\eta }{2}}\right)|0\rangle \right)+\operatorname {sin} \left(\left({\frac {\eta }{2}}\right)|1\rangle \right)}$
   • ${\displaystyle |1_{x}\rangle =\operatorname {cos} \left(\left({\frac {\eta }{2}}\right)|0\rangle \right)-\operatorname {sin} \left(\left({\frac {\eta }{2}}\right)|1\rangle \right)}$
2. Во втором базисе
   • ${\displaystyle |0_{y}\rangle =\operatorname {cos} \left(\left({\frac {\eta }{2}}\right)|0\rangle \right)+i*\operatorname {sin} \left(\left({\frac {\eta }{2}}\right)|1\rangle \right)}$
   • ${\displaystyle |1_{y}\rangle =\operatorname {cos} \left(\left({\frac {\eta }{2}}\right)|0\rangle \right)-i*\operatorname {sin} \left(\left({\frac {\eta }{2}}\right)|1\rangle \right)}$

Таким образом, для наложения векторов каждого базиса, ввиду их неортогональности, получаем^[5]: ${\displaystyle \left|{\langle 0_{x}|1_{x}\rangle }\right|=\left|{\langle 0_{y}|1_{y}\rangle }\right|=\operatorname {cos} \eta }$. На рисунке 2 наглядно изображены базисы квантовых протоколов BB84 и рассматриваемого 4+2. В протоколе BB84 состояния внутри одного базиса ортогональны, но состояния из разных базисов — попарно неортогональны, в случае же протокола 4+2 состояние внутри одного базиса также неортогональны^[6]

Реализация протокола[править | править код]

Модель протокола состоит из двух абонентов и нарушителя. Обзовем их классически: легитимных пользователей- Алисой и Бобом, а нарушителя- Евой.

Этапы формирования ключей^[7]:

1. Станция Алиса случайным образом выбирает один из базисов. Внутри базиса также случайным образом выбираются состояния 0 или 1. Затем фотоны направляются в квантовый канал связи.
2. Станция Боб случайно и независимо от Алисы выбирает измерения двух типов, в двух разных базисах. На, так называемом, детектировании стоит остановиться поподробнее. Разные типы измерений описываются разными разложениями единицы, что соответствует полной вероятности. Полное пространство исходов: ${\displaystyle \left\{{0,1,?}\right\}}$. Ниже представлены вероятности исходов или операторно-значные меры каждого из детектированных событий. В базисе (${\displaystyle \times }$): ${\displaystyle P_{0\left(\times \right)}+P_{1\left(\times \right)}+P_{?\left(\times \right)}=1}$, где ${\displaystyle P_{0\left(\times \right)}=a\left(\times \right)\left(1-{|0\left(\times \right)\rangle \langle 0\left(\times \right)|}\right)}$, ${\displaystyle P_{1\left(\times \right)}=a\left(\times \right)\left(1-{|1\left(\times \right)\rangle \langle 1\left(\times \right)|}\right)}$, ${\displaystyle P_{?\left(\times \right)}=1-P_{0\left(\times \right)}+P_{1\left(\times \right)}}$, ${\displaystyle a\left(\times \right)=a\left(+\right)={\frac {1}{1+\operatorname {cos} \left(\eta \right)}}}$. Аналогично и для другого базиса (${\displaystyle +}$). Измерение построено таким образом, что если было послано состояние ${\displaystyle |0\left(\times \right)\rangle }$, то возможен исход ${\displaystyle \left\{{1}\right\}}$ или ${\displaystyle \left\{{?}\right\}}$, но никак не ${\displaystyle \left\{{0}\right\}}$, так как вероятность или операторно-значная мера этого исхода тождественно равна нулю.^[8]
3. После передачи достаточно длинной последовательности пользователи через открытый общедоступный канал связи сообщают, какой базис был использован в каждой посылке. Результаты измерений остаются в секрете.
4. Посылки, в которых базисы не совпадали, отбрасываются. Также отбрасываются посылки, в которых у Боба были неопределенные исходы. Боб, кроме этого, публично открывает их номера.
5. Из оставшихся посылок (с определенным исходом) извлекается секретный ключ путем процедуры коррекции ошибок через открытый канал и усиления секретности.

Тут условные обозначения: ${\displaystyle \left(\times \right),\left(+\right)}$,- не должны вызывать двусмысленности, так как, несмотря на внешний вид, обозначают неортогональные базисы.

Пример распределения ключей^[9]:

Важно брать в расчет, что легитимным пользователям после отбрасывания лишних сообщений известно, что если было послано состояние ${\displaystyle |0\left(\times \right)\rangle }$, то оно дает противоположный исход ${\displaystyle \left\{{1}\right\}}$. В соответствии с представленным выше алгоритмом формирования ключей, распределение ключей выглядит, например, таким образом:

Таким образом, в результате передачи ключа станцией Боб будут получены 50% фотонов, то есть ${\displaystyle \left({\frac {2}{4}}\right)=\left({\frac {1}{2}}\right)}$.

Криптостойкость и возможность взлома 4+2[править | править код]

PNS атака[править | править код]

Описание и принцип работы^[10]

В практических схемах квантовой криптографии вместо идеальных однофотонных источников используются ослабленные лазерные импульсы. Такое техническое ограничение вместе с неизбежным затуханием в реальных каналах связи приводит к потере секретности протоколов, если перехватчик использует атаку разделения числа фотонов или PNS атаку. При использовании ослабленных лазерных импульсов вместо состояний ${\displaystyle |0\rangle ,|1\rangle }$ по квантовому каналу связи пересылаются состояния вида ${\displaystyle |0\rangle ^{\otimes n},|1\rangle ^{\otimes n}}$, где ${\displaystyle n>1}$ - число фотонов в импульсе. Если Ева произведет измерение, описывающееся разложением единицы и, собственно, называющееся операцией разделения фотонов:

${\displaystyle M_{1}=|0\rangle \langle 0|+|1\rangle \langle 1|}$

${\displaystyle M_{2}=|00\rangle \langle 00|+|11\rangle \langle 11|}$

${\displaystyle M_{n}=|0\rangle ^{\otimes n}\langle 0|^{\otimes n}+|1\rangle ^{\otimes n}\langle 1|^{\otimes n}}$,

то она получит и информацию о числе фотонов в импульсе, и, кроме того, не внесет в канал никаких помех. Располагая информацией, о том, какие импульсы содержат несколько фотонов, Ева может заблокировать однофотонные импульсы, а для многофотонных импульсов, Ева может переслать Бобу лишь один фотон, произведя какие-либо действия над всеми остальными.

Атака на протокол BB84^[11]

Как уже оговаривалось, BB84- протокол с 2 базисами, состояния внутри каждого из которых ортогональны, а состояния из разных базисов- попарно неортогональны. Операция разделения фотонов может быть применена для взлома BB84. Ева может без последствий узнать число фотонов в каждом из импульсов. Сама атака строится так: если импульс содержит лишь один фотон, Ева его блокирует, в другом случае она оставляет в своей квантовой памяти (для ее реализации достаточно иметь обычную линию задержки) один из фотонов, пересылая остальные Бобу по своему идеальному каналу без потерь. После операции согласования базисов, которая производится по открытому каналу, Ева получает всю необходимую информацию для достоверного различения фотонов, которые у нее имеются. Соответственно Ева способна узнать весь ключ, не будучи обнаруженной. Таким образом BB84 полностью уязвим перед PNS атакой.

Возможность взлома, фильтрация[править | править код]

Согласно истории, квантовый протокол 4+2 был первой попыткой противостоять PNS атаке. Как полагали его создатели, Ева столкнется с двойной проблемой. Во-первых, раз уязвимость протокола BB84 перед PNS атакой заключается в том, что после согласования базисов Ева может получить точную информацию о передаваемом состоянии, то можно сделать состояния внутри каждого базиса неортогональными, что сделает для Евы невозможным точное определение передаваемого состояния даже при известном базисе. Во-вторых, если Ева будет проводить те же, измерения, что производит Боб, то это приведет к ситуации, похожей на явное прослушивание, то есть Ева внесет в канал ошибку, производя измерения в наугад выбранном базисе, и ее вмешательство будет обнаружено.^[12] Таким образом, на первый взгляд мы видим существенное преимущество перед BB84, и кажется, что 4+2 не уязвим перед PNS атаками, однако A. Acın, N. Gisin и V. Scarani в одной из своих работ^[13] показали, что Ева может провести измерение, которое они назвали фильтрацией: ${\displaystyle A_{ok}={\frac {1}{\sqrt {1+\operatorname {cos} \eta }}}\left(|+x\rangle \langle 1_{x}|+|-x\rangle \langle 0_{x}|\right)}$ , ${\displaystyle A_{?}={\sqrt {1-A_{ok}A_{ok}^{\dagger }}}}$. Суть его в том, что оно в случае успеха делает состояния из базиса ${\displaystyle X}$ ортогональными, проецируя их на ${\displaystyle |\pm x\rangle ={\frac {1}{\sqrt {2}}}\left(|0\rangle \pm |1\rangle \right)}$, а с некоторой вероятностью неудачи дает несовместный исход. Проблема протокола 4+2 заключается в том, что с помощью этой же процедуры Ева может сделать ортогональными состояния в базисе ${\displaystyle Y}$. Доказательство этого утверждения здесь рассматриваться не будет, поскольку это требует достаточно громоздких вычислений, целесообразнее смотреть их в оригинальной статье. Таким образом, ${\displaystyle |\pm y\rangle ={\frac {1}{\sqrt {2}}}\left(|0\rangle \pm i|1\rangle \right)}$. Теперь, после соответствующих действий Евы, посылаемые состояния свелись к паре ортогональных состояний. После проведенных процедур фактически атака на протокол 4+2 полностью совпадает с атакой на BB84, которая была описана ранее.

Живучесть в оптоволокне[править | править код]

Одним из самых важных преимуществ перед двумя другими базовыми квантовыми протоколами BB84 и B92 является, так называемая, живучесть в смысле дальности или длины оптоволоконной линии. Квантовый протокол 4+2 остается секретным до длин квантового оптоволоконного канала связи ${\displaystyle \thicksim 150}$ км, в то время как критическая длина для протокола BB84 ${\displaystyle \thicksim 50}$ км, а для B92${\displaystyle \thicksim 20}$ км.^[14]

Примечания[править | править код]

См. также[править | править код]

Литература[править | править код]

Книги[править | править код]

• Д.А.Кронберг,Ю.И.Ожигов,А.Ю.Чернявский. Глава 4. Другие протоколы квантовой криптографии // Квантовая криптография. — 5-e изд. — МАКС Пресс, 2011. — С. 94-100. — 111 с. — ISBN 589407455X. Архивная копия от 30 ноября 2016 на Wayback Machine

Научные статьи[править | править код]

• Huttner B., Imoto N., Gisin N., Mor T. Quantum Cryptography: Public Key Distribution and Coin Tossing // Physical Review A. — 1995. — P. 11-15.
• Румянцев К.Е., Голубчиков Д.М. Квантовая криптография: принципы, протоколы, системы. — 2008. — P. 10—17. Архивировано 30 ноября 2016 года.
• Молотков С. Н. Об интегрировании квантовых систем засекреченной связи (квантовой криптографии) в оптоволоконные телекоммуникационные системы // Письма в ЖЭТФ. — 2004. — P. 694-697.
• Acın A., Gisin N., Scarani V. Coherent pulse implementations of quantum cryptography protocols resistant to photon number splitting attacks // Physical Review A. — 2004. — P. 4-5.