Русский
Русский
English
Авторизация
Ip-адрес
Восстановление пароля
Регистрация
Статистика
Реклама

Квантовая криптография

Из песочницы Постквантовый блокчейн

19.11.2020 20:15:16 | Автор: admin

Введение




В последние несколько лет большую популярность обретают системы, в основе которых лежит так называемый блокчейн, привлекающий пользователей рядом своих преимуществ: децентрализацией, неизменяемостью данных, прозрачностью, а также отсутствием доверенного центра, то есть посредника. Предоставление таких преимуществ возможно благодаря двум китам блокчейна: асимметричному шифрованию и использованию хеш-функций. Однако в связи с развитием квантовых вычислений безопасность этих примитивов стала под угрозой, поэтому возникает необходимость нахождения новых подходов к построению блокчейна, который будет устойчив к атакам с помощью квантового компьютера так называемого постквантового блокчейна. В данной статье освещается, какие части блокчейна являются наиболее уязвимыми для атак с помощью квантового компьютера, насколько реальны эти угрозы, какие существуют подходы к построению постквантового блокчейна, устойчивого к ним, и насколько применимыми оказываются эти подходы.


Устройство блокчейна




Для начала вспомним, что из себя представляет блокчейн, чтобы затем понять, почему он уязвим к атакам с помощью квантового компьютера. По сути, блокчейн это база данных, состоящая из цепочки блоков, в которой каждый блок хранит в себе хеш от предыдущего блока, в результате чего для изменения или удаления блока из середины цепочки необходимо перестраивать все последующие блоки. Подсчет каждого блока является вычислительно сложной задачей, поэтому перерасчет блоков оказывается практически невозможным и поэтому блокчейн обладает свойством неизменяемостью данных.


Такой вычислительно сложной задачей может быть, например, поиск коллизий хеша: нахождение некоего числа, proof-of-work (англ.: доказательство работы), при добавлении которого хеш от блока начинается с нескольких нулей. Данная задача с помощью классического компьютера может решаться лишь перебором, из-за чего среднее время нахождение такого числа экспоненциально растет с ростом требуемого количества нулей. Более подробно об этом можно прочитать в оригинальной статье С. Накамото, предложившего данную идею.


Блоки состоят из сформированных пользователями транзакций, которые подписываются ими с использованием асимметричной криптографии. Каждый пользователь имеет два ключа: приватный, известный только этому пользователю, с помощью которого он подписывает транзакции, и публичный, известный всем пользователям, с помощью которого кто угодно может проверить подпись. Например, биткоин использует для подписи транзакций алгоритм ECDSA (англ.: Elliptic Curve Digital Signature Algorithm), схожий с алгоритмом DSA (англ.: Digital Signature Algorithm), но определенный в группе точек эллиптической кривой. Криптографическая стойкость данного логарифма основывается на сложности задачи дискретного логарифмирования, которая на классическом компьютере решается за экспоненциальное время относительно размера ключа. Другой вычислительно сложной задачей является задача факторизации больших чисел, на которой, например, основан алгоритм RSA (англ.: Rivest Shamir Adleman), также обеспечивающий криптографическую стойкость цифровой подписи, поскольку лежащая в основе него задача решается за время, которое экспоненциально зависит от размера ключа. Таким образом, пока эта криптографическая стойкость существует, пользователям гарантируется, что никто другой не сможет сгенерировать транзакции от их имени.


Уязвимость перед квантовым компьютером




Как было сказано выше, блокчейн опирается на две вычислительно сложные задачи: поиск коллизий хеша и взятие дискретного логарифма или факторизацию больших чисел. Обе задачи решаются на классическом компьютере за экспоненциальное время, благодаря чему при выборе достаточно сложной хеш-функции или достаточно длинного ключа могут считаться нерешаемыми. Однако настоящим потрясением оказалось то, что существуют алгоритмы, благодаря которым квантовые компьютеры способны решать эти задачи на порядки быстрее.


В то время как классический компьютер оперирует с битами, которые представляются в виде нуля или единицы, квантовый компьютер оперирует с кубитами, которые могут пребывать в суперпозиции различных состояний. Говоря упрощенно, каждое такое состояние может обрабатываться одновременно, в результате чего возможно получить существенное ускорение по сравнению с классическим аналогом. Далее рассматриваются два основных квантовых алгоритма, способных поставить под угрозу безопасность привычного блокчейна.


Алгоритм Гровера




Алгоритм Гровера позволяет получать квадратичное ускорение в решении задачи перебора, поэтому может быть использован для ускорения генерации хешей. Благодаря этому злоумышленник сможет генерировать ложные блоки на порядки быстрее генерации настоящих блоков, тем самым создавая более длинную цепочку блоков, которая будет принята всеми пользователями. Также этот алгоритм может быть использован для замены уже существующих блоков в блокчейне, при этом сохраняя их целостность.


Суть алгоритма Гровера заключается в следующем. Допустим, мы имеем некую функцию $inline$f(x)$inline$, корень которой мы собираемся найти. Пусть эта функция реализуема на классическом компьютере, тогда в теории представляется возможным реализовать обратимую функцию $inline$U_f(x)$inline$, которая равняется $inline$0$inline$, если $inline$x$inline$ является корнем функции $inline$f$inline$, и $inline$1$inline$ в противном случае. Такая функция называется оракулом, а её обратимость обеспечивает то, что её можно реализовать на квантовом компьютере, например, при помощи вентилей Тоффоли. В таком случае на вход этой функции можно подавать не одно значение $inline$x$inline$, как в классическом переборе, а суперпозицию всех возможных значений $inline$x$inline$, а значит, получать на выходе суперпозицию всех возможных выходных значений оракула. Далее с помощью элементарных квантовых вентилей можно усилить амплитуду вероятности состояния, соответствующего корню оракула. После определенного количества таких итераций в результате измерения будет получен корень исходной функции $inline$f$inline$ с вероятностью, практически равной $inline$1$inline$. Ситуация несколько осложняется в случае, когда у функции $inline$f$inline$ имеется несколько корней, что соответствует задаче поиска коллизий хеша, однако и в таком случае алгоритм Гровера показывает значительное ускорение по сравнению с простым перебором.


Атака на proof-of-work




Несмотря на то, что алгоритм Гровера способен обеспечить квадратичное ускорение при подсчете блоков, атака с его помощью не является для блокчейна критической, что утверждается в недавнем отчете группы канадских и австралийских ученых. Дело в том, вычислительная мощность интегральных схем специального назначения (англ.: ASIC), находящаяся в настоящий момент в руках майнеров, способна свести на нет практически любые попытки получить ускорение майнинга при помощи квантового компьютера. Допускается, однако, что дальнейшее развитие квантовых технологий может способствовать тому, что квантовые компьютеры получат серьезное преимущество над существующими вычислительными мощностями, но это, по оценкам авторов работы, наступит лишь после повсеместного распространения квантовых компьютеров. Когда же это настанет, майнеры также получат возможность использовать их, тем самым возможность доминирования с помощью квантового компьютера снизойдет на нет.


Кроме того, существуют и другие подходы к генерации блоков, в основе которых не лежат вычислительно сложные задачи, а значит, блокчейны на их основе могут рассматриваться как устойчивые к атакам на proof-of-work. Наиболее популярным таким подходом, который в настоящий момент уже используется, например, в BlackCoin, является proof-of-stake (англ.: доказательство доли владения), заключающийся в том, что блоки с большей вероятностью генерируются теми пользователями, которые владеют большей частью средств в блокчейне. Proof-of-stake не требует поиска коллизий хеша, поэтому с этой точки зрения является устойчивой к атакам с помощью квантового компьютера.


Однако proof-of-stake по-прежнему уязвим к атакам с помощью квантового компьютера, если он способен подделывать цифровые подписи, например, используя алгоритм Шора, рассматриваемый далее. В таком случае злоумышленник сможет очень быстро сосредоточить все средства блокчейна на подконтрольных счетах и получить полный контроль над ним. Стоит отметить, что цифровые подписи широко распространены и в других областях, которые теперь могут стать уязвимыми для квантового компьютера, из-за чего ведутся активные исследования по разработки новых подходов к созданию цифровых подписей, ряд которых будет рассмотрен в данной статье в дальнейшем.


Алгоритм Шора




Теперь перейдем к краткому рассмотрению Алгоритма Шора, который способен разлагать большие числа на простые множители и производить дискретное логарифмирование, причем делать всё это за полиномиальное время, сводя обе эти задачи к поиску периода функции. Из-за этого вычислительно сложные задачи, лежащие в основе криптографической стойкости алгоритмов создания цифровой подписи, таких как RSA, ECDSA, ECDH, DSA, оказываются решаемыми за вменяемое время с помощью квантового компьютера, обладающего достаточной мощностью. Наличие такого квантового компьютера позволит злоумышленнику создавать ложные транзакции, тем самым получая доступ ко всем средствам, хранящимся в блокчейне, поэтому в настоящее время именно атаки с помощью алгоритма Шора считаются наиболее опасными для безопасного функционирования блокчейна.


Постквантовый блокчейн


Требования, предъявляемые к постквантовому блокчейну




Прежде чем перейти к обозрению различных подходов к созданию цифровой подписи, устойчивой к квантовым атакам, рассмотрим, какие требования предъявляются к постквантовому блокчейну в целом, чтобы в дальнейшем иметь представление, какие методы могут быть использованы, а какие нет. С одной стороны, кажется, что можно лишь увеличивать размеры ключей и хеша, чтобы отсрочить момент когда квантовые компьютеры смогут окончательно взломать блокчейн, однако такой подход имеет ряд недостатков. Во-первых, это будет требовать от устройств большого количества памяти и вычислительных ресурсов, что неприемлемо в случаях, когда с блокчейном необходимо взаимодействовать устройствам Интернета вещей, поскольку зачастую они не обладают большой памятью и мощностью, а наоборот, должны работать несколько лет от одной батарейки. Во-вторых, увеличение размера хешей и подписей влечет за собой увеличение размера блокчейна, который необходимо хранить всем пользователям, что может занимать довольно много памяти. Такая проблема уже сейчас возникла в Bitcoinе, размер блокчейна которого увеличился на целых 60Гб за один год и на момент написания статьи составил 310Гб, причем его рост лишь продолжает увеличиваться и, можно предположить, примерно к 2030 году он превысит 1Тб. Конечно, существует вариант использовать так называемые легкие кошельки, позволяющие не хранить весь блокчейн, но это уменьшает надежность системы. Таким образом, основные требования к постквантовому блокчейну касаются размеров подписей, ключей и хешей: они не должны быть слишком большими. Кроме того, постквантовый блокчейн должен иметь достаточно большую скорость исполнения операций, чтобы обеспечивать стабильное функционирование системы с огромным количеством транзакций в секунду.


Постквантовые алгоритмы цифровой подписи


В настоящее время ведутся активные работы по разработке алгоритмов шифрования, в том числе и алгоритмов создания цифровой подписи, которые будут устойчивы к атакам с помощью квантового компьютера. Интерес исследователей подогревается тем, что в 2016 году NIST (англ.: Национальный институт стандартов и технологий) запустил конкурс таких алгоритмов, результаты которого будут объявлены к 2022 году. Приведем далее наиболее известные из предложенных алгоритмов, устойчивых к квантовым атакам.




Начнем рассмотрение с механизмов цифровой подписи на основе кода (англ.: code based), примером которой является система McEliece, предложенная примерно в то же время, что и повсеместно используемый алгоритм RSA, однако не получившая тогда широкого распространения. В настоящее время данная система, а также ряд её улучшений, таких как система Niederreiterа, обретают всё большую популярность, поскольку они являются устойчивыми к атакам с помощью алгоритма Шора. В их основе лежит задача декодирования линейных кодов, что является NP-полной задачей, при этом пока что нерешаемой на квантовом компьютере. Несмотря на то, что подписи, сгенерированные по данным методам, обладают относительно маленьким размером и могут быть проверены достаточно быстро, они требуют хранения огромных матриц, которые выступают в роли ключей, что в свою очередь также увеличивает время генерации подписи, затрудняя её использование в блокчейне. В связи с этим исследуются различные методы сжатия матриц или использования других кодов, например, LDPC кодов (англ.: Low Density Parity Check), особенностью которых является малая плотность проверочной матрицы.




Другим механизмом создания цифровой подписи является так называемый механизм на основе решеток (англ.: lattice based), который был отдельно выделен в недавнем отчете NIST как наиболее перспективный. Так называемую решетку можно представить себе как набор точек в n-мерном пространстве с периодической структурой. В данном случае математической задачей, на которой основана криптографическая стойкость, является, например, задача нахождения в этой решетке кратчайшего вектора (Shortest Vector Problem) или же схожая с ней задача нахождения ближайшего вектора (Closest Vector Problem), причём обе эти задачи обладают огромной вычислительной сложностью. Однако недостатком таких систем является тот факт, что необходимо хранить ключи большого размера, что приводит к значительным накладным расходам шифротекста и делает практически невозможным использование подобных систем в блокчейне. Существуют, однако, системы на основе решеток, основанные на задаче краткого целочисленного решения (англ.: Short Integer Solution), благодаря чему удается уменьшить размер ключа, позволяя тем самым использовать такие системы в блокчейне.




Последним механизмом создания цифровой подписи, рассматриваемым в данной статье, является механизм на основе хеша (англ.: hash based), безопасность которого основывается не на сложности некоей математической задачи, а на лежащей в его основе криптографической хеш-функции. Подобный подход был предложен ещё в 70-х годах прошлого века как альтернатива алгоритмам RSA и DSA, однако он не пользовался большим интересом, поскольку накладывает ограничение на количество повторных использований подписей. Однако сейчас этот подход обретает всё большую популярность, поскольку он является устойчивым к квантовым атакам. Недостатком же такого подхода является тот факт, что генерация ключа занимает достаточно длительное время, что делает его неприменимым для использования в блокчейне.


Заключение


В рамках данной статьи были рассмотрены атаки с помощью квантового компьютера, к которым блокчейн оказывается уязвимым. Было выяснено, что хоть алгоритм Гровера и показывает квадратичное ускорение по сравнению с классическими подходами, атака с его помощью не несет практически никакой угрозы для существующих систем на основе proof-of-work, не говоря уже о других методах генерации блоков, таких как proof-of-stack. В то же время главной угрозой, способной свести на нет безопасное функционирование не только блокчейна, но и практически всех цифровых финансовых операций, является атака с помощью алгоритма Шора, методы борьбы с которой были также освещены в данной статье. Кроме того, были рассмотрены требования, предъявляемые к квантовому блокчейну, которые определяют, какие методы борьбы с данной атакой являются приемлемыми, а какие нет.

Подробнее..
Категории: Информационная безопасность , Распределенные системы , Блокчейн , Квантовая криптография , Квантовые вычисления

Шифрование на основе квантовых блужданий для Интернета Вещей в сетях 5G

07.12.2020 18:15:24 | Автор: admin

В наше время каждый слышал о сотовых сетях нового поколения 5G. Неотъемлемой частью 5G является поддержка сценариев Интернета Вещей. А что вообще такое Интернет Вещей? Если говорить простыми словами, то это набор устройств, которые должны взаимодействовать друг с другом при минимальном вмешательстве человека. Исследователи считают, что сети 5G могут быть использованы для большого количества различных сценариев Интернета Вещей, таких как медицина, умные города, регулирование транспортных заторов, обеспечение работы аварийных служб, обеспечение работы промышленных предприятий и т.д. Для реализации таких сценариев сети 5G предусматривают новые сетевые архитектуры, сервисы, приложения и прочие механизмы.

Интернет вещей и медицинаИнтернет вещей и медицина

При этом важнейшей задачей при проектировании таких сетей является обеспечение безопасности при передаче и хранении данных. Особенно важное внимание нужно обратить на проблему безопасности мультимедийного контента, который предполагается для передачи в большом количестве сценариев. Современные классические (не квантовые) методы криптографии всё ещё являются достаточно надежными для использования в современных технологиях. Однако, стремительное развитие квантовых вычислений ставит под сомнение надежность классических методов, основанных на математических вычислениях, в недалеком будущем. Поэтому уже сейчас необходимо создавать и развивать квантовые методы шифрования для будущих приложений. В данной статье мы рассмотрим шифрование на основе квантовых блужданий для видео-трафика и файлов, предлагаемые для использований в сценариях Интернета Вещей в сетях 5G.

Квантовые блуждания

Думаю, что многие слышали про случайные блуждания из математики, физики или другой дисциплины. Не вдаваясь в строгие математические термины скажем, что случайное блуждание это процесс, в котором некий объект периодически совершает шаги в произвольном направлении. Типичным примером подобного процесса является задача про пьяного матроса, который каждую условную секунду совершает шаг влево или вправо с одинаковой вероятностью. Интересной особенностью тут является то, что в среднем ходок удаляется от стартового положения на некоторое расстояние, причем это расстояние растет как квадратный корень из числа шагов. Данная модель имеет огромное количество приложений в различных дисциплинах, например она используется для моделирования диффузии.

Случайные блужданияСлучайные блуждания

По аналогии с классическими случайными блужданиями существуют квантовые блуждания. Если вы имеете какое-то представление о квантовой механике, то знаете, что здесь не имеет смысла говорить о каких-либо положениях частицы, а можно говорить только о вероятностях оказаться в тех или иных положениях. Мы будем рассматривать блуждание частицы в кольце, состоящем из N вершин. Состояние частицы при этом состоит из двух частей: монетка (это может быть спин электрона) и ходок (отвечает за положение в кольце). При этом шаг заключается в применении операторов подбрасывания монеты и сдвига. Сложные формулы из квантовой механики можно посмотреть в спойлере, здесь заметим лишь, что в результате после произвольного числа шагов вычисляются вероятности нахождения в каждом из положений кольца. Эти вероятности и являются интересующим нас результатом квантовых блужданий.

Формулы из квантовой механики

Функция состояния состоит из монетки |c и ходокa |x:

|Q\rangle = |x\rangle \otimes |c\rangle, \quad |c\rangle = \chi |0\rangle + \delta |1\rangle, \quad |\chi|^2 + |\delta|^2 = 1.

Опрератор шага блуждания состоит из двух частей:

\hat{E} = \hat{F}(\hat{I} \otimes \hat{O}),

параметрического опрератора подбрасывания монеты:

\hat{O} = \begin{pmatrix} \cos \alpha & \sin \alpha \\ \sin \alpha & -\cos \alpha \end{pmatrix}

и оператора сдвига:

\hat{F} = \sum_{x =0}^{N-1} |(x + 1)~mod~N, 0 \rangle \langle x, 0| + \sum_{x =0}^{N-1} |(x - 1)~mod~N, 1 \rangle \langle x, 1|.

Фунция состояния после w шагов:

|Q \rangle_{w} = (\hat{E})^{w} |Q \rangle_{initial}.

При этом получается следующее распределение вероятностей:

P(x, w) = \sum_{c \in \{0, 1\}}\left| \langle x, c| (\hat{E})^{w}| Q_{initial} \rangle \right|^2

Формулы для двумерного случая аналогичны, при этом там используется два оператора подбрасывания монеты с разными параметрами и два оператора шага блуждания. Последовательность применения этих операторов определяется заданной битовой строкой S. Подробнее можно почитать здесь.

Кольцо квантовых блужданийКольцо квантовых блужданий

Для предложенных ниже алгоритмов используется два вида блужданий: одномерные и двумерные. Примеры распределений вероятности в этих случаях можно видеть на рисунках ниже. Квантовые блуждания могу быть реализованы на квантовых компьютерах, как например здесь.

Одномерное распределение вероятностейОдномерное распределение вероятностейДвумерное распределение вероятностейДвумерное распределение вероятностей

S-блок

Фундаментальным элементом блочных шифров является -блок или блок подстановок. Этот блок осуществляет нелинейное преобразование одной группы битов в другую. Рассмотрим реализацию такого блока на основе одномерного квантового блуждания.

Конструирование S-блока, состоящего из B элементов включает следующие шаги:

  1. Выбираем секретный ключ, то есть параметры одномерного квантового блуждания: размер кольца N, количество шагов, начальное состояние монеты и параметр оператора подбрасывания монеты. В результате блуждания получаем вектор вероятностей размера N.

  2. Изменяем размер вектора в соответствии с длиной B S-блока, получаем вектор R.

  3. Упорядочиваем элементы вектора R по возрастанию, получаем вектор S.

  4. В качестве последовательности для S-блока выбираем последовательность индексов элементов вектора R в векторе S.

Пример такого конструирования представлен на схеме:

Конструирование S-блока на основе квантового блужданияКонструирование S-блока на основе квантового блуждания

Шифрование видео

Как уже было отмечено выше, шифрование видео трафика является важной задачей в применении к Интернету Вещей в сетях 5G. Рассмотрим алгоритм шифрования видео, состоящего из f кадров размера m x n и 3 каналов:

  1. Выбираем секретный ключ, то есть параметры двумерного квантового блуждания: размер кольца N, битовая строка, описывающая шаги блуждания, начальное состояние монетки и параметры двух операторов подбрасывания монетки. В результате блуждания получаем матрицу вероятностей размера N N.

  2. Изменяем размер матрицы в соответствии с размером последовательности кадров.

  3. Переводим получившуюся матрицу в матрицу K целых чисел в диапазоне от 0 до 255.

  4. Выполняем побитовую операцию xor (исключающее или) между кадрами и матрицей K.

  5. Конструируем два S-блока размерами n и m соответственно по алгоритму из предыдущего пункта.

  6. Применяем S-блоки для перестановки битов в каждом кадре и получаем закодированные кадры

Тоже самое формулами
\begin{align} & 1) (N, S, \chi, \delta, \alpha_0, \alpha_1) \rightarrow P(N \times N) \\ & 2) R = resize(P, f \times m \times n \times 3) \\ & 3) K_i = fix(R_i \cdot 10^8) mod 256 \\ & 4) X_i = bitxor(farme_i, K_i) \\ & 5) (N, w, \chi, \delta, \alpha) \rightarrow S_n, S_m \\ & 6) EncFrame_i = permutation(X_i, S_n, S_m) \end{align}

Дешифрование видео происходит путем выполнения данных действий в обратном порядке. Схема шифрования и расшифрования представлена на рисунке ниже.

Схема шифрования и расшифрования видеоСхема шифрования и расшифрования видео

Далее на рисунке приведен пример шифрования и расшифрования кадра. Ниже располагаются графики корреляции в соседних пикселях красного канала по разным направлениям для оригинального (сверху) и зашифрованного (снизу) кадров. Как видно, после шифрования пиксели перестали коррелировать, а значит потенциальный злоумышленник не сможет извлечь информацию из зашифрованных кадров.

Пример шифрования кадраПример шифрования кадра

Шифрование файлов

В данном разделе рассмотрим алгоритм шифрования файлов для хранения в облачном хранилище сетей 5G. Это могут быть файлы любого типа: изображение, аудио, видео, текст и т.д., так как алгоритм работает с ними как с битовыми наборами. Для шифрования битового набора BF выполняются следующие действия:

  1. Вычисляем матрицу вероятностей P размера N N (аналогично пункту 1 алгоритма шифрования видео).

  2. Переводим матрицу P в вектор PK размера length(BF) / 8.

  3. Переводим вектор PK в битовый вектор K.

  4. Выполняем операцию побитовое xor (исключающее или) между BF и K.

  5. Конструируем S-блок размером 256 алгоритму из соответствующего пункта

  6. Применяем S-блок к каждому элементу полученной последовательности и получаем закодированный файл.

Тоже самое формулами
\begin{align} & 1) (N, S, \chi, \delta, \alpha_0, \alpha_1) \rightarrow P(N \times N) \\ & 2) R = resize(P, length(BF) / 8) \\ & 3) K = dec2bin(fix(PK \cdot 10^8)~ mod ~2^8, 8) \\ & 4) X = bitxor(BF, K) \\ & 5) (N, w, \chi, \delta, \alpha) \rightarrow S_{256} \\ & 6) EncFile = permutation(X, S_{256}) \end{align}

Расшифрование происходит путем выполнения данных действий в обратном порядке. Схема шифрования и расшифрования представлена ниже.

Cхема шифрования и расшифрования файловCхема шифрования и расшифрования файлов

Основным преимуществом данных алгоритмов по сравнению с классическими является то, что генерация ключевого потока в них основана не на математических вычислениях, а на физических свойствах квантовых систем. Выше было показана эффективность алгоритма с точки зрения коэффициента корреляции между соседними пикселями. Алгоритмы являются эффективными и с точки зрения других криптографических метрик, подробнее об этом можно почитать здесь.

Сценарий использования в сетях 5G

Наконец, попробуем представить как будет выглядеть сеть 5G, в которой будут использоваться предложенные алгоритмы. Различные приложения обмениваются информацией через базовые станции 5G, которые в том числе взаимодействуют с облачными хранилищами. Пользователи используют параметры ключей для шифрования данных по рассмотренным выше алгоритмам. Зашифрованные данные передаются через сеть другим пользователям или в облачное хранилище. При этом пользователи обмениваются параметрами ключей через защищенные квантовые каналы или иным защищенным методом. При несанкционированном запросе на чтение данных из облачного хранилища удастся получить лишь зашифрованные данные, не несущие никакой информации.

Сценарий использования алгоритмов в сетях 5GСценарий использования алгоритмов в сетях 5G

В заключение стоит отметить, что несмотря на то, что в оригинальной работе данные алгоритмы предлагаются к использованию в сетях 5G, ничто не запрещает использовать их в любух других сетях и системах. Так что не удивляйтесь, если уже в ближайшем будущем подобные алгоритмы станут частью нашей обыденной жизни.

Подробнее..
Категории: Информационная безопасность , Интернет вещей , Криптография , Квантовые технологии , 5g , Квантовая криптография

Подкаст Мне нравится исследовать атаки на системы квантовой рассылки ключа

05.07.2020 14:08:58 | Автор: admin
Это третий выпуск нашего нового подкаста. В нем принял участие Антон Козубов, руководитель теоретической группы лаборатории квантовых процессов и измерений Университета ИТМО. Мы обсудили его работу, проекты и специфику отрасли. Послушать можно здесь:

>> Apple Podcasts

>> Яндекс.Музыка

>> Плеер на Podfm



Таймкоды по основным темам:

  • 00:16 пара слов о специфике отрасли;
  • 06:24 возможности для ученых из смежных областей;
  • 10:37 какие задачи сегодня стоят перед сообществом;
  • 21:42 краткое знакомство с квантовым хакингом;
  • 26:18 нельзя так просто взять и не помешать коллегам;
  • 29:50 почему важно не торопиться с публикацией методов защиты;
  • 33:09 немного о взаимодействии с контролирующими организациями;
  • 36:07 о разграничении на фундаментальные и прикладные исследования.

Подкаст готовит и ведет dmitrykabanov.


Заметки и дополнительное чтение по теме выпуска:



Ранее в подкасте:


Подробнее..
Категории: Подкаст , Разработка систем связи , Блог компании университет итмо , Университет итмо , Квантовые технологии , Наука , Itmo research , Квантовая рассылка ключа , Квантовая криптография , Работа ученого , Квантовые коммуникации

Квантовая криптография простейшие протоколы и чуть-чуть криптоанализа

28.11.2020 16:23:21 | Автор: admin

Введение

Самая известная криптографическая проблема - передача секретных сообщений. Для этой задачи чаще всего используют криптосистемы с закрытым ключом: Алиса (отправитель) шифрует информацию с помощью ключа, а Боб (получатель) им же расшифровывает сообщение. К сожалению, криптосистемы с закрытым ключом имеют серьезные сложности в практической реализации. Основная вопрос - как раздать ключи? Во многих отношениях распределение ключей так же трудоемко, как и основная задача приватного общения. Злонамеренная третья сторона может подслушать ключ и легко прочитать сообщение.

Чтобы этого избежать, придумано множество способов, в этой статье мы рассмотрим квантовый, в котором секретность ключа гарантирована законами квантовой механики. Первая схема квантового распределения ключей (КРК) BB84 была разработана в 1984 году физиками Чарльзом Беннеттом и Жилем Брассаром. Ее основная идея состоит в том, чтобы использовать квантово- механический принцип (принцип неопределенности), согласно которому наблюдение в целом нарушает наблюдаемую систему. Таким образом, перехватчик, который подслушивает Алису и Боба, "портит" сообщение. Тогда его можно легко вычислить и выбросить "плохие" биты, а если их слишком много - начать все заново.

Азы квантовой механики

Не будем вдаваться в подробности, а просто сформулируем основные утверждения. Начнем с принципа неопределенности. Он гласит, что некоторые физические величины вместе абсолютно точно не измеряются. Приведем в пример импульс и координату частицы: если поместить частицу в прибор точно измеряющий координату (например он показал x = 5 ),а потом в прибор точно измеряющий импульс, то второй прибор выдаст случайное число(пусть это число 123 , т.е.p =123). Важный момент: раньше это была частица с координатой 5 , теперь это частица с импульсом 123 . Если ее поместить обратно в прибор измеряющий координату, он выдаст случайное число.

Теперь перейдем к поляризациям (нам неважно знать что это такое, будем считать ее просто физической величиной, характеризующей частицу). У одной поляризации есть два взаимно перпендикулярных направления, и зная какая поляризацию, мы можем эти направления определить. Пусть у нас есть две поляризации \times и + (значками показано направление поляризации),у каждой соответственно по 2 состояния. Принцип неопределенности гласит, что не существует прибора, который смог бы различить все 4 состояния. Есть только два отдельных прибора, один различает состояния \times , второй + . На этом факте и основан протокол BB84.

Протокол BB84

Выпишем наш словарь:

1) |0>_+ = |\rightarrow> (индексом обозначен базис квантового состояния)

2) |1>_+ = |\uparrow>

3) |0>_\times = |\nearrow>

4) |1>_\times = |\searrow>

Алиса - передает; Боб - принимает; Ева - перехватывает

рис.1рис.1

На рисунке 1 показана схема передачи.

Действия Алисы

Действия Боба

Случайно выбирает базис и бит (0 или 1). Отправляет последовательность 0 и 1 в соответствующих базисах Бобу

Получает бит и, чтобы его расшифровать, случайно выбирает базис в котором будет измерять поляризацию. Если он угадал базис, то он получил верный бит, если нет, то он не знает никакой информации о переданном бите. Аналогично со следующими битами информации

После сеанса передачи Алиса и Боб созваниваются по открытому каналу. Далее Боб спрашивает у Алисы по каждому переданному биту правильно ли он выбрал базис (сам бит не называет). Если выбранные Бобом и Алисой базисы совпадают, то бит успешно передан, если нет, то отбрасывается. В процессе передачи данных, бит мог "испортится" (при применении верной поляризации получается неправильный бит). Это может произойти например из-за активной атаки Евы или же из-за особенностей квантового канала. При просмотре бита неверной поляризацией, его поляризация изменяется и невозможно вычислить его изначальное состояние. Для проверки количества ошибок Алиса и Боб раскрывают часть неверных битов. В протоколе BB84 критической величиной ошибок является 11% [10], это значит что Ева пыталась перехватить сообщение. В таком случае перепроверяют квантовый канал и начинают заново.

Рассмотрим возможные действия Евы. Она может пытаться перехватывать биты через квантовый канал: так же как Боб случайно выбирать поляризацию. Однако ей это не сильно поможет прочитать сообщение, она, в отличие от Боба, не может переговариваться с Алисой для выбора нужных позиций битов(вероятность, того что она будет выбирать ту же поляризацию, что и Боб крайне мала для длинных последовательностей). При, этом в случае неправильно угаданных поляризаций, она будет "портить" биты. Боб и Алиса будут знать: их сообщения пытаются перехватить. Теперь пусть Ева дополнительно активно атакует классический канал (активно, то есть не просто подслушивает, а еще может менять информацию). Тогда она может представиться Алисе Бобом, прочитать сообщение, а после стать Алисой для Боба и передать сообщение дальше. В таком случае Ева прочитает секретное сообщение, а Алиса и Боб ничего не заподозрят.

Из рассмотренного выше следует, что для надежности передачи информации нужно предъявить определенные требования к каналам связи:

1)Информацию из квантового канала можно менять, но нельзя подслушать.

2)Информацию из классического канала можно прослушивать, но ни в коем случае нельзя менять.

КРК основанное на ЭПР

Данный протокол напоминает BB84, однако обладает некоторыми преимуществами, связанными с использованием Парадокса Эйнштейна-Подольского -Розена. Напомним в чем его суть. Пусть у нас есть две одинаковые частицы A и B, которые образовались в результате распада частицы C. Из закона сохранения импульса: p_c=p_A+p_B . Измерим тогда у частицы A импульс, у частицы B координату, у частицы C импульс. Получается, что мы можем для частицы B измерить одновременно и координату, и импульс, а это противоречит рассмотренному выше принципу неопределенности. Если законы квантовой механики не нарушаются, то измерение импульса частицы A равносильно измерению импульса частицы B. Таким образом первая частица мгновенно действует на вторую. Назовем такие частицы ЭПР парой (еще их могут называть запутанными частицами)и перейдем непосредственно к протоколу.

Действия Алисы

Действия Боба

Создает ЭПР пары фотонов, одну частицу из каждой пары оставляет себе, вторую отправляет Бобу. Она случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.

Случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.

После этого Алиса и Боб созваниваются по открытому каналу и смотрят, какие поляризации у них совпали, а потом конвертирует их в последовательность 0 и 1.

Объясним в чем отличие этих двух протоколов. В BB84 состояния передаются по квантовому каналу от Алисы к Бобу. В BB84 ключ полностью защищен только при создании, а после его приходится хранить классическим образом. В ЭПР Алиса может отправить вторую запутанную частицу Бобу, а потом они их могут хранить до непосредственного использования ключа в квантово защищенном режиме.

Криптоанализ и безопасность КРК

Рассмотрим более подробно защищенность квантового распределения ключей.

Теорема 1 Если

1) квантовая механика верна

2) аутентификация безопасна

3) устройства достаточно безопасны,

то с большой вероятностью ключ, установленный квантовым распределением ключей, является случайным секретным ключом независящим от входных значений.

Предположение 1 Квантовая механика верна. Это предположение требует, чтобы любой перехватчик был ограничен законами квантовой механики. В частности, мы позволяем перехватчику технологию квантовых вычислений, гораздо мощнее нынешнего.

Предположение 2 Аутентификация безопасна. Это предположение является одной из самых проблемных в квантовой криптографии. Это предположение необходимо для защиты от атаки злоумышленника на классический канал связи.

Предположение 3 Устройства безопасны. Создание надежной реализации КРК - серьезная инженерная задача, над которой исследователи все еще работают. Доказательства безопасности, направлены на минимизацию предположений о безопасности физических устройств. Кажется разумным ожидать, что дальнейшие теоретические и инженерные достижения в конечном итоге принесут устройства, в чьей безопасности можно быть уверенным.

Проиллюстрируем важность третьего предположения. Скрытое устройство связи может быть спрятано внутри оборудования, рассмотрим, как пример, оптоволоконные модуляторы фазы ниобата лития, использующиеся во многих схемах КРК. Модуляторы ниобата лития поставляются с завода в герметичной коробке. Эта запечатанная коробка a) имеет полную информацию о значениях битов в настройке Алисы (базисы, несущие напряжение модуляции, значения битов подаются непосредственно на его разъемы); б) имеет доступ к оптоволоконному каналу; в) имеет значительную электрическую мощность г) не может быть вскрыт для проверки без нанесения вреда устройству. Это позволяет скрыть "жучок" внутри нормально функционирующего фазового модулятора, который будет сообщать бит значения через оптоволоконный канал и управляться через оптоволоконный канал.

Безопасность протокола BB84 для идеального случая доказана Майерсом [7], а так же многими другими. Для идеальной модели количество битов окончательного секретного ключа на бит просеянного ключа. Выражается формулой [8]

R = 1 - 2H(QBER)

Где H двоичная Шенноновская энтропия, а QBER количество ошибок измеренных Бобом.

рис.2рис.2

Перейдем теперь к реальной жизни, где для злоумышленника открываются обширные возможности для атак. Начнем с источника фотонов. В идеале он должен выдавать их по одному, такие устройства существуют, однако стоят больших денег. Поэтому производители используют обычные лазеры на аттенюаторе (прибор, который уменьшает амплитуду, без существенного искажения сигнала). Проблема в том, что такие лазеры с довольно большой вероятностью дают на выходе в одном световом пакете больше одного фотона. Это дает возможность совершить PNS атаку(photon number splitting)[2]. Ева разделяет световой пакет: один фотон пропускает, остальные хранит у себя в памяти, а все пакеты состоящие из одного фотона блокирует. Потом, после озвучивания базиса по открытому каналу, она узнает все биты ключа. Первый способ избежать таких атак, свести уровень мультифотонных пакетов к минимуму, второй включать в последовательность световых импульсов мощный эталонный импульс[1].

В 2003 году появилось два решения этой проблемы, требующих минимальных изменений протокола BB84. Первое, это протокол SARG04, основанный на BB84, но отличающийся способом детектирования ошибок. Второй - протокол с состояниями-ловушками, которые гарантированно позволяют обнаружить Еву[4]. Рассмотрим поподробнее оригинальный протокол, приведенный Хвангом в [4]. Алиса отправляет отправляет вместе с фотонами, отвечающими за ключ, фотоны-ловушки. После передачи она сообщает Бобу какие биты были ловушками, а какие ключами. После этого Боб измеряет пропускную способность канала для состояний-ловушек и состояний несущих информацию. если они сильно различаются, значит была проведена PNS атака. На основе этой идеи возник протокол Lo05[5]. Хой-Квонг Ло и др. придумали как можно реализовать шифрование с фотонными ловушками на уже существующем оборудовании (добавили состояния-ловушки в GLLP[3]) и провели подробный криптографический анализ, так как Хванг ограничился лишь эвристическими рассуждениями. Их результаты значительно увеличили надежность квантового распределения ключей и расстояние ,на которую передается ключ по сравнению с более ранними методами (см рис.3).

Теперь рассмотрим протокол SARG04[1]. Алиса случайно отправляет одно из четырех состояний: |a>_+=|\rightarrow>, |b>_+ = |\uparrow>_+, |a>_\times=|\nearrow>, |b>_\times = |\searrow> . В данном случае закодированным битом является БАЗИС состояния (ЭТО КРАЙНЕ ВАЖНО!!!). Боб, так же как и в BB84, их принимает. Дальше, на шаге сравнения базисов, Алиса публично объявляет одну из четырех пар неортогональных состояний:

|a>_+, |b>_\times;|a>_\times,|b>_+; |b>_\times>,|b>_+; |a>_\times,|a>_+ .

Пусть для определенности Алиса отправила |a>_+ и объявила пару |a>_\times, |a>_+ (одно состояние в паре обязательно отправленное состояние, а второе случайное из другого базиса). Если Боб мерил в базисе + , он может получить точный результат, однако этот результат равновероятен для обоих базисов из пары(так как правильный результат одинаков для обоих базисов). Ему придется отбросить это значение. Если он взял базис \times (в этом случае равновероятно получится a или b )и получил a , он опять не может их различить( по той же самой причине). Однако если он измерил в базисе \times и получил b (вероятность этого 1/4), он понимает, что отправленное состояние |a>_+ (в правильном базисе обязательно получилось бы a , а он получил b , значит \times неверный базис). Данная модификация сильно усложняет Еве проведение PNS атаки: ей нужно блокировать все импульсы, содержащие 1 или 2 фотона, и разделять где 3 и больше. Более подробный анализ протокола можно посмотреть в [1].

Однако все не так просто, как может показаться. SARG04 уязвим для LPA(large pulse attack). Пусть Ева запустит яркую вспышку света в линию передачи, тогда часть света попадет в передающее устройство и отразится от некоторых оптических приборов внутри него(любой реальный объект имеет ненулевой коэффициент отражения). Таким образом импульс света может попасть во внутренний модулятор и промодулироваться им. Измеряя промодулированный импульс, Ева получит некоторую информацию о настройках модулятора [6].

Кроме пассивного прослушивания, Ева может действовать более активно. Например, изменять параметры настройки установок Алисы и Боба. Коротко обсудим некоторые возможные вредоносные изменения. Для примера возьмем установку одной из двух современных коммерческих схем КРК, продаваемой id Quantique [9], показанной на рис.4

рис.4рис.4

Детектор DA, кроме детектирования сигналов Боба, автоматически отслеживает сильную импульсную атаку и ее нейтрализует или бьет тревогу, в зависимости от настроек. Детектор также генерирует сигнал запуска, используемый для синхронизации часов Алисы и Боба. Если чувствительность к падающему свету значительно снизится, или если ослабление регулируемого аттенюатора значительно уменьшится по сравнению с заводской калибровкой, схема становится небезопасной. В таком случае Ева сможет провести импульсную атаку (среднее количество фотонов в световом пакете увеличивается). Для достижения этой цели Ева может: 1) попытаться сжечь детектор; 2) повредить разъемы в детекторе, чтобы уменьшить ослабление аттенюатора; 3)повредить светоделитель BS (надеясь, что его коэффициент расщепления изменится в лучшую для нее сторону); Ева может попытаться контролировать место и характер повреждения, варьируя такие параметры, как длина волны, поляризация, энергия и временной профиль своего лазерного импульса.

Напоследок кратко обсудим атаку с перехватом и повторной передачей, при которой Ева не пытается восстановить исходные состояния, а сохраняет импульсы Алисы себе и пересылает их копии Бобу. В этом случае Алиса и Боб даже не будут подозревать о взломе. Такие световые импульсы называются ложными состояниями. Поддельные состояния специфичны для каждой конкретной схемы или даже конкретного образца атакуемого оборудования. Успешная атака с использованием фальшивых состояний дает Еве полное знание ключа.

Заключение

Может возникнуть закономерный вопрос, неужели нельзя передавать ключи более простым образом? Ведь квантовая криптография дорогое удовольствие: нужен оптоволоконный квантовый канал, фотонная пушка, которая могла бы выстреливать по одному фотону, приборы для определения состояния. К тому же до 1984 года люди как-то справлялись с шифрованием данных, зачем все менять? Дело в том, что классическая криптография базируется на сложности математических задач, например дискретном логарифмировании (RSA). Эти задачи обычные компьютеры решают очень долго, однако в 1994 году Питер Шор предложил алгоритмы их решения на квантовом компьютере. Поэтому требуется создавать новые методы шифрования и перераспределения ключей, невзламываемых любыми вычислительными мощностями. Как можно было заметить неприступная на бумаге квантовая криптосистема на деле дает сбои, так что криптоаналитикам предстоит еще много работы, чтобы сделать эти системы полностью безопасными.

Источники:

1) A. Acin, N. Gisin, and V. Scarani, Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks

2) C. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, Experimental quantum cryptography(1992)

3) D. Gottesman, H.-K. Lo, N. L utkenhaus, and J. Preskill, Quant. Inf. Comp. 4, 325 (2004)

4) W.-Y. Hwang, Quantum key distribution with high loss: toward global secure communication

5) Lo H., Ma X., Chen K. , Decoy state quantum key distribution, (2005)

6) Vadim Makarov, Quantum cryptography and quantum cryptanalysis , (2006)

7) D. Mayers, Quantum key distribution and string oblivious transfer in noisy channels (1996); D. Mayers, Unconditional security in quantum cryptography (2001).

8) P. Shor and J. Preskill, Simple proof of security of the BB84 quantum key distribution protocol(2000).

9) D. Stucki, N. Gisin, O. Guinnard, G. Ribordy, and H. Zbinden, Quantum key distribution over 67 km with a plug&play system

10) Xiaoqing Tan, Introduction to Quantum cryptography,(2013)

Подробнее..
Категории: Научно-популярное , Криптография , Квантовые технологии , Квантовая механика , Квантовая криптография , Bb84 , Sarg , Криптоанализ

Полный граф в квантовой сети для восьми участников обсуждаем этот эксперимент

07.10.2020 12:08:05 | Автор: admin
На днях мы рассказали об исследовании, в рамках которого был предложен механизм квантового распределения ключа для десяти участников сети. Продолжаем смотреть на аналогичные проекты.


Фото Joshua Sortino Unsplash

Что это за проект


Новую систему для распределения данных по квантовым каналам связи между несколькими участниками представила международная группа инженеров из лабораторий Бристольского университета, Института квантовой оптики и информации в Вене, Института Руджера Бошковича в Загребе, оборонного научно-технического университета НОАК и Университета Лидса.

Продемонстрированная учеными реализация квантовой сети отличается от той, которую мы обсуждали ранее. Разработчики этого проекта показали собственное решение ряда проблем от эффективности масштабирования до укрепления безопасности классических квантовых сетей.

Как выглядит реализация


В рамках эксперимента инженеры соединили каждого пользователя сети с другими, сформировав полный граф с числом пар равным двадцати восьми. В статье есть общая схема архитектуры (стр. 3) и ее экспериментальное представление для Бристоля (стр. 4).

Изображение Koko90 (CC BY-SA)
Распределения ключа проводили для всех двадцати восьми пар пользователей с возможностью выбора четырех из них в качестве приоритетных. Плюс задействовали метод двучастичной квантовой запутанности между частотными модами сигнала. Уход от многочастичной запутанности в сторону более простого решения и новый подход к топологии сети дал возможность использовать минимум оборудования (детекторы и др.) для ее поддержания.

Еще в этом проекте исключены доверительные узлы. Это второе ключевое отличие от проекта, представленного ранее группой физиков из ЮАР. Первые тесты провели с восемью участниками разработчики проекта назвали рекордным для систем подобного типа, являющихся новой альтернативой классическим квантовым сетям формата точка-точка.

Перспективы разработки


Разработчики системы говорят, что их подход годится для широкого спектра use-кейсов и позволяет организовать эффективное распределение ключа для географически распределенных участников сети. Это еще один шаг на пути к развёртыванию масштабных квантовых сетей и квантового интернета. Другое дело, что для осуществления таких планов предстоит значительным образом продвинуть не только исследования в этой области. Как справедливо замечают российские коллеги, для развития направления потребуются существенные усилия и по сертификации оборудования.


Фото Josh Adams Unsplash

Хотя ученые, проводившие эксперимент в Бристоле, и выдвигают ряд возможных улучшений для масштабных реализаций с топологией в виде полного графа например, предлагают использовать дополнительные детекторы на ряде узлов (по несколько на одном), известно, что даже экспериментальные квантовые сети вещь достаточно капризная, низкоскоростная и дорогая.

Поэтому сегодня зачастую применяют ослабленное лазерное излучение. Кто работает над внедрением коммерческих разработок в этой области, расскажем в одном из следующих материалов.


О чем мы пишем в корпоративном блоге 1cloud.ru:

Необычные приглашения на собеседование от HTTP-заголовка до сообщения в поисковике
Почему старые варианты мониторинга эффективности сотрудников не подходят для дистанционки
Почему разработчики дороже денег, как их сохранить и приумножить

Досмотр мобильных устройств как обстоят дела в мире
Группа разработчиков предлагает перейти на UTF-8
Какие есть открытые ОС для сетевого оборудования

Новые публикации у нас на Хабре:
Подробнее..
Категории: Разработка систем связи , Блог компании 1cloud.ru , Квантовая криптография , Квантовые коммуникации , 1сloud , Квантовые сети

Куда движется современное QKD?

02.12.2020 16:10:54 | Автор: admin

Куда движутся современные технологии квантового распределения ключей? В статье рассматривается один из новых протоколов квантового распределения ключей, основанный на случайных группировках и измерениях состояний Белла. На его примере предлагается подумать о будущем квантовой криптографии.

Если слова кубит и состояния Белла повергают Вас в ужас, то рекомендую заглянуть под спойлер и прочитать краткую теоретическую справку. Если же Вы хорошо знакомы с терминами квантовой информатики, то можете сразу перейти к протоколу (хотя освежить знания будет не лишним).

Теоретическое введение

Что же такое кубит?

Рассмотрим некоторую двухуровневую квантовую систему, примерами которой могут быть фермион со спином s = 0,5 или состояние поляризации электромагнитного поля (фотона). Формально такая система описывается гильбертовым пространством двух квантовых состояний. В соответствии с принципом суперпозиции наиболее общее нормированное состояние в этом гильбертовом пространстве может быть представлено в виде:

где a и b комплексные числа. где a и b комплексные числа.

Данная формула в теории квантовых вычислений называется кубитом (англ.: qubit, quantum bit). В квантовой теории информации кубит определяется как единица квантовой информации, аналогично тому, как вводится бит в классической теории информации. Однако в отличие от бита в классической теории, информация которого может быть измерена без разрушения состояния, кубит при считывании переходит в одно из двух своих базисных состояний 0 или 1.

Понятие кубита имеет наглядную геометрическую интерпретацию в воображаемом пространстве состояний. Два комплексных числа a и b содержат 4 действительных параметра. Общая фаза кубита, в соответствии с постулатами квантовой теории, физического смыла не имеет. Не забываем и про условие нормировки. С учётом этих двух замечаний достаточно всего 2 действительных параметра для описания кубита. Таким образом, можно представить кубит в виде:

где и действительные параметры.где и действительные параметры.

Геометрическое место точек конца такого вектора состояний образует сферу единичного радиуса, также известную как сфера Блоха.

Квантовая запутанность

Важной отличительной чертой кубитов от классических битов является то, что несколько объединённых кубитов могут демонстрировать квантовую запутанность. Квантовая запутанность это нелокальное свойство двух или более кубитов, которое позволяет набору кубитов выражать более сложную взаимосвязь, чем это возможно в классических системах. Как нетрудно догадаться, самая простая система для отображения квантовой запутанности это система двух кубитов. Рассмотрим, например, два запутанных кубита в одном из состояний Белла +, которые будут упомянуты в дальнейшем:

В этом состоянии, называемом равновероятной суперпозицией, при измерении мы получим состояния 00 или 11 с равными вероятностями. Другими словами, невозможно определить, находится первый кубит в отдельности в состоянии 0 или 1, что также верно и для второго кубита.

Представьте себе, что эти два запутанных кубита разделены, один достался Алисе, а другой Бобу. Алиса измеряет свой кубит, получая с равной вероятностью либо 0, либо 1, то есть теперь она может определить, в каком из состояний находится её кубит. Из-за наличия квантовой запутанности кубитов Боб должен теперь получить точно такие же измерения, как и Алиса. Например, если она получила 0, Боб должен получить то же самое, поскольку 00 единственное состояние, в котором кубит Алисы находится в состоянии 0. Другими словами, что бы ни измеряли Алиса или Боб, информация об одном из запутанных кубитов улучшает наши знания о другом.

Явление квантовой запутанности также позволяет одновременно изменять сразу несколько состояний отдельных кубитов, в отличие от классических битов, которые могут изменять только одно значение за раз. В настоящее время, предполагается, что квантовая запутанность это некоторый ресурс, который является уникальным для квантовых систем. Запутанность необходимый компонент любых квантовых вычислений, которые не могут быть эффективно выполнены на классическом компьютере. Она также является основой алгоритмов сверхплотного кодирования, квантовой телепортации и квантовой криптографии.

История и предпосылки создания

Одним из подходов квантовой криптографии является квантовое распределение ключей. Квантовое распределение ключей (англ.: Quantum Key Distribution, QKD) метод передачи ключа, который использует квантовые явления для гарантии безопасной связи. Эта технология позволяет двум сторонам, соединенным по открытому классическому каналу связи, создать общий случайный ключ, который известен только им, и использовать его для шифрования и расшифровки сообщений, передаваемых по классическому каналу.

В настоящее время предложено много работ по данной тематике. Самый первый протокол QKD был предложен Беннеттом и Брассаром в 1984 году. Данный протокол получил название BB84 и базировался на использовании двух взаимно несмещенных состояний поляризации фотонов. Позднее Экерт предложил другой протокол QKD, названный E91, основанный на парадоксе Эйнштейна-Подольского-Розена.

Новый виток в развитии QKD был связан с измерением состояний Белла (англ.: Bell States Measurement, BSM). В качестве квантового канала состояние Белла было впервые предложено в 2008, кроме того оно было подтверждено как максимально запутанное состояние двухкубитной квантовой системы. Авторы этой и этой работ предложили два протокола QKD, которые используют состояния Белла, распределенные между отправителем и получателем. Отправитель и получатель хранят по два кубита, запутанные друг с другом. После одновременного измерения состояний Белла с двух сторон реализуется квантовая запутанность уже между четырьмя кубитами.

В недавней статье было предложено усовершенствование прошлых работ для предотвращения подслушивания с более низким коэффициентом ошибок при подтверждении сообщений, а также с более быстрой генерации битов ключа, основанной на четырехкубитном состоянии, которое состоит из двух пар состояний Белла. Дальнейшая речь пойдёт об этом новом протоколе. На картинках он обозначается как Protocol*.

Основные идеи

Рассматриваемый протокол предполагает использование четырёхкубитных блоков, состоящих из двух пар состояний Белла. Каждый раз передатчик (Алиса) подготавливает группу, состоящую из четырёх кубитов, для незамедлительной отправки приёмнику (Бобу). Боб производит измерение квантового состояния сразу же после получения всей партии кубитов. Это односторонний процесс, что является важным нововведением по сравнению с двусторонними протоколами, в которых квантовое состояние должно сохраняться до завершения передачи, благодаря которому протокол решает проблему ультракороткого времени когерентности квантовых состояний.

Давайте приведём более формальное описание, пусть четыре кубита двух состояний Белла обозначаются индексами с 1 по 4. Условимся, что в начальный момент квантовая запутанность имеет место между 1 и 2, а также между 3 и 4 кубитами. После измерения состояний Белла с обеих сторон запутанными оказываются 1 и 3, 2 и 4 соответственно. Если начальными состояниями Белла были - и +, то общее запутанное состояние из четырёх кубитов запишется следующим образом:

Из полученного выражения можно сделать вывод, что общее состояние становится суперпозицией четырех состояний, это означает, что мы можем получить четыре различных результата при измерении комбинаций состояний Белла. Также обратим внимание, что выписанное уравнение представляет лишь одну из возможных комбинаций. Вкратце, существует несколько форм случайной группировки этих четырех кубитов, из которых только одна группировка будет определена как правильная. Это основной метод шифрования информации во время коммуникации.

Алгоритм распределения ключей

  • Шаг 1. Подготовка состояний. Алиса подготавливает одну из комбинаций четырёхкубитных состояний, например, представленную в уравнении выше. Такая комбинация P состоит из четырёх кубитов. Каждой паре состояний Белла ставятся в соответствие два информационных бита ключа (как правило, используется квантовое сверхплотное кодирование). Алиса запоминает текущую случайную группировку и пару состояний Белла, которая участвует в передаче.

  • Шаг 2. Передача кубитов. Алиса случайным образом перемешивает эти четыре кубита и отправляет их Бобу по квантовому каналу.

  • Шаг 3. Измерение состояний Белла. Боб принимает отправленные ему кубиты и случайным образом разбивает их на две части. После чего он выполняет измерение состояний Белла на этих двух частях и отправляет информацию о группировке Алисе по классическому каналу.

  • Шаг 4. Сравнение результатов. Алиса принимает информацию о группировке Боба и сравнивает их с сохранённой информацией о P. Если Алиса увидит совпадение группировок, она объявит по классическому каналу True и весь процесс коммуникации может перейти к шагу 5 или вернуться на шаг 1 для следующей итерации. Если же совпадения не случится, она объявит False, после чего оба участника отбросят данные текущей итерации и процесс коммуникации начнётся сначала с шага 1 или оборвётся вовсе.

  • Шаг 5. Формирование согласованных ключей. После нескольких итераций последовательностей шагов c 1 по 4 Алиса и Боб получают двоичную последовательность, которая представляет собой некоторый необработанный ключ R (также называемый сырым). Под RA и RB будем понимать необработанные ключи Алисы и Боба соответственно. Алиса случайным образом выбирает части RA и собирает из них свой согласованный ключ CA, после чего объявляет позиции выбранных частей по классическому каналу. Затем Боб согласно этим позициям выбирает свой согласованный ключ CB из ключа RB.

  • Шаг 6. Усиление конфиденциальности. Из полученного набора битов CB Боб выбирает некоторые в качестве битов чётности DB и объявляет DB вместе с их позициями. Аналогичным образом Алиса выбирает свой набор DA и сравнивает его с полученным DB. Если процент битовых ошибок в таком сравнении меньше некоторого наперёд заданного порога, то соединение может считаться безопасным и процесс коммуникации может перейти к следующему шагу 7; если нет, то необходимо вернуться на шаг 1 или же окончательно оборвать связь.

  • Шаг 7. Формирование окончательных ключей. На последнем шаге окончательно выбираются ключи R'A и R'B, которые будут использоваться для шифрования в дальнейшем процессе коммуникации по классическому каналу. Теоретически, в идеальном случае должно получиться R'A = R'B, где R'A это необработанный ключ RA без битов CA, аналогичное верно для R'B.

Преимущества новых протоколов

Уже упоминалось, что рассматриваемый протокол решает проблему ультракороткого времени когерентности квантовых состояний. Это серьёзное улучшение, которое делает возможными дальнейшее развитие сфера QKD в целом.

В отличие от классических систем в QKD даже в идеальном случае есть вероятность получить неверные кубиты в силу вероятностной природы квантовой механики. Подробный анализ этого явления можно найти в соответствующих научных статьях. Оказывается, что по этому параметру новые протоколы заметно превосходят свои аналоги (BB84, E91).

Отличительной особенностью протоколов QKD является возможность обнаружить злоумышленника (Еву) в канале. Например, пусть Ева производит непрозрачную атаку перехвата повторной передачи. Тогда если нам захочется обнаружить подслушивающее устройство с вероятностью pd = 1 - 10-9, то нам потребуется следующее число бит общего ключа:

Практическая реализация

Подводя итоги, подчеркнём, что рассмотренный протокол является перспективным усовершенствованием используемых в текущий момент квантовых протоколов.

Приведём некоторые примеры практического использования QKD протоколов. Лос-Аламосская Национальная Лаборатория в 2007 году продемонстрировала использование квантового распределения ключей по оптоволокну длиной более 140 км с использованием протокола BB84. Примечательно, что этого расстояния достаточно для почти всех участков современных волоконно-оптических сетей. Имеет смысл отметить достижение физиков из Института квантовых вычислений, которые в 2017 впервые продемонстрировали функционирование квантового протокола распределения ключей от наземного передатчика к движущемуся самолету.

Также в настоящее время множество компаний предлагают коммерческие системы распределения квантовых ключей: ID Quantique, MagiQ Technologies Inc. и другие. В 2004 году в был осуществлен первый в мире банковский перевод с использованием квантового распределения ключей. В 2013 году Мемориальный институт Баттеля установил систему QKD, созданную ID Quantique, между их главным кампусом и их производственным предприятием в соседнем городе. Известное Вам РЖД в 2019 создало департамент квантовых коммуникаций.

Кроме того авторы рассматриваемого протокола обещают в скором времени представить практическую демонстрацию.

Проблемы QKD

Но, к сожалению, не всё так гладко. Давайте пройдёмся по слабым сторонам QKD.

  • Основным недостатком QKD является то, что эта технология опирается на аутентифицированный классический канал связи. Иными словами, несмотря на всю защищённость при генерации ключа, Вы всё равно вынуждены обеспечивать запредельный уровень защиты передачи данных по классическому каналу.

  • При манипулировании кубитами используются квантовые вентили, которые добавляют некоторый шум в дискретное пространство состояний. Это делает на порядок хуже все вероятностные оценки, на которых базируются QKD протоколы.

  • В 2008 году эксперт по безопасности Брюс Шнайер отметил, что распределение квантовых ключей "так же бесполезно, как и дорого". В настоящее время QKD системы всё ещё довольно дорогие, хотя в последние годы ситуация начала быстро меняться в лучшую сторону.

Заключение

Однозначных выводов тут не будет, предлагаю оставить открытый финал. На текущий момент как в науке, так и индустрии сформировались две основные группы: за и против "квантов". К какой группе относитесь Вы? Как Вы думаете, есть ли будущее у квантовой криптографии и QKD в частности?

P.S. Буду рад открытой дискуссии, замечаниям и предложениям.

Подробнее..
Категории: Криптография , Квантовые технологии , Квантовая криптография , Защита информации , Qkd

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru