История квантовой криптографии. Стойкое квантовое шифрование – будущее информационной безопасности
Есть ли будущее у квантовой криптографии? Хотя классическая криптография и не сдает свои позиций, ее будущее целиком зависит от развития алгоритмов квантового распределения ключа.
Квантовая криптография - это один из тех удивительных инструментов, который был обнаружен еще задолго до того, как в нем появилась практическая необходимость. Некоторые компании уже сейчас предлагают криптографические решения, обладающие свойством “доказуемой безопасности” и основанные на фундаментальных принципах квантовой механики. Но, несмотря на все уверения подобных компаний, можно найти публикации, в которых описываются практически осуществимые способы того, как пассивный нарушитель Ева может подслушать, о чем щебечут Алиса и Боб по квантовому каналу.
Терзаемый любопытством, я запрыгнул на парижский скоростной поезд, чтобы совершить путешествие в саму колыбель квантовой криптографии: в Женеву. Именно в Женеве в реальных условиях была продемонстрирована работа алгоритма квантового распределения ключа (quantum key distribution - QKD). Именно в Женеве находится компания Id Quantique, которая специализируется на изготовлении продуктов безопасности, работающих по принципам квантовой физики. Именно Женева – резиденция исследовательского центра квантовой оптики GAP-Optique (при Женевском университете).
Моя цель понять, так что же такое квантовая криптография? Кто покупает QKD-системы? Зачем? Как повсеместное внедрение QKD отразится на противостоянии белых и черных хакеров. Каковы направления будущих исследований QKD?
Квантовый нарушитель
Пока поезд на всех парах мчался к пункту моего назначения, я размышлял (надо сказать, с долей неохоты) о современной криптографии. Существует множество способов защищать информацию, но меня интересовали только коммерческие асимметричные системы. Все криптографические системы можно разделить на два класса: симметричные и асимметричные. В асимметричных системах у меня есть два ключа: один из которых закрытый и я храню его дома под подушкой; второй ключ – открытый. Теперь, чтобы отправить мне зашифрованное сообщение, вам нужно зашифровать его отрытым ключом, я же смогу расшифровать сообщение, воспользовавшись своим закрытым ключом.
Простые числа (Внимание: дальше много математики)
В стойкой асимметричной системе нарушитель не сможет вычислить закрытый ключ, если ему известен только открытый ключ. Алгоритм RSA (названный в честь тройки своих создателей) считается стойкой асимметричной системой. Давайте взглянем, как работает RSA.
Сначала выберем два простых числа p и q , например, p = 13 и q = 17 . Перемножив два числа, мы получим pq = 221 .
Нам также понадобится второе чиcло: произведение p -1 и q -1 , (p -1)(q -1)=192 . Теперь в диапазоне от 1 до 192 выберем любое число, которое было бы взаимно простым с 221. Давайте в качестве такого числа возьмем 7.
Для того чтобы вычислить ключи, последовательно будем находить значения выражения (p ‑1)(q -1)(1,2,3,…) + 1 до тех пор, пока мы не получим число, которое нацело делится на выбранное ранее число (в нашем случае на 7). При вычислении выражения у нас получится следующий ряд: 193, 385, 578… 385 делится на 7, и в результате дает 55.
Итак, мы получили два ключа: {7, 221} и {55, 221}. Но, не зная простых чисел, перемножением которых получено число 221, нам не удастся вычислить один ключ, зная только другой. Тем не менее, мы знаем произведение простых множителей, так что в качестве варианта можно попробовать факторизовать 221 и найти те самые простые множители.
Оказывается, разложение на множители не такая уж и простая задача. Я написал простенький скрипт, который позволяет узнать, как время нахождения простых множителей зависит от размера факторизируемого числа. Скрипт не оптимизирован и в нем используется метод перебора. Время загрузки Питона и необходимых библиотек ничтожно мало по сравнению со временем работы самого скрипта. Но тут важно скорее не само время работы, а то, насколько быстро время разложения на множители возрастает при увеличении размера факторизуемого числа.
В идеальной ситуации, когда размер факторизуемого числа увеличивается на порядок, время нахождения простых множителей должно увеличиваться как минимум на порядок. В частности для моего скрипта, чтобы увеличить время факторизации на один порядок, нужно увеличить на порядок каждый из простых множителей (или увеличить произведение на два порядка).
Но наше преимущество перед нарушителем заключается в том, что время генерации ключа практически не зависит от размера простых множителей. Следовательно, чтобы сделать факторизацию практически неосуществимой, мы можем просто выбрать простые числа достаточно большой длины. И именно поэтому битовая длина ключей в ассиметричных системах такая большая.
Шор in da house
Хорошо, мой скрипт действительно не отличается изысканностью. Другие бы попытались, и я не сомневаюсь, нашли бы способ оптимизировать скрипт. Но, так или иначе, никакая оптимизация не спасет от достаточно большой пары простых чисел. И вот тут на сцену выходят квантовые информационные технологии. Шор обнаружил, что на квантовом компьютере задачу разложения на множители можно решить за полиномиальное время. С тех пор алгоритм Шора стал источником развития как технологии QKD, так и классической криптографии.
Будоражит умы ученых и заинтересованных людей из области криптографии. И не зря. Ведь появление компьютера, способного решать сколь угодно сложные задачи, ставит под сомнение существование криптографии в том виде, в котором она есть сейчас. Криптографические протоколы с открытым ключом перестанут иметь смысл, т.к. односторонние функции строго говоря перестанут быть односторонними. Солнце зайдет, мир перевернется, реки потекут вспять… Но мы ведь не спешим отчаиваться, правда?
Существует множество квантовых криптографических алгоритмов - защищенные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги - но большинство из них требует для своего осуществления полноценного квантового компьютера.
Да, передача больших объемов информации по квантовым каналам является нецелесообразной на сегодняшний день. А вот использование квантовых алгоритмов для формирования и передачи ключевой информации в симметричных криптосистемах - не только технически реально, но и абсолютно оправданно.
Что ж, как это работает? Например, так:
- Сторона А посылает последовательность фотонов, имеющих случайную (0°, 45°, 90°, 135°) поляризацию;
- Сторона Б измеряет поляризацию фотонов, выбирая базис "+" (0°, 90° – линейная поляризация) или "×" (45°, 135° – диагональная поляризация) по случайному закону;
- Сторона Б фиксирует полученные результаты измерений, сохраняя их в секрете (отдельные фотоны могут быть не приняты вовсе – потеряны или «стерты»);
- Сторона Б сообщает затем стороне А по открытому каналу, какие базисы ("+" или "×") она использовала для каждого принятого фотона (но не полученные им результаты), а сторона А сообщает ему, какие базисы из использованных были правильными (данные, полученные при измерениях в неправильных базисах, отбрасываются);
- Оставшиеся данные интерпретируются в соответствии с условленной схемой (0° и 45° декодируются как «0», а 90° и 135° – как «1») как двоичная последовательность.
Просто и эффективно. Дело за технической стороной вопроса. Нет, квантовый компьютер строить для этого не надо, а вот хорошие однофотонные передатчики и приемники (и не только) просто необходимы для передачи квантовой информации на большие расстояния.
ЛЕКЦИЯ 17. Квантовая криптография
17.1. Проблема распределения ключа в классической криптографии и пути ее решения.
17.2. Физические основы квантового распределения ключа: теорема о запрете копирования и неразличимость неортогональных состояний. Общая схема протокола КРК.
17.3. Основные свойства поляризованных фотонов. Некоторые сведения из теории квантовых измерений. Сопряженные базисы. Три сопряженных базиса для поляризованных фотонов.
17.4. Протокол ВВ84. Сырой и просеянный ключ. Коррекция ошибок и усиление секретности - на примере протокола BB84. Подслушивание в протоколе ВВ84. Стратегия перехватчик-ретранслятор. Стратегия “задержанного выбора”. Активный подслушиватель и схема аутентификации Вегмана-Картера. Недостатки протокола ВВ84.
17.5. Протокол ВВ92. Его преимущества и недостатки по сравнению с ВВ84.
17.6. ЭПР протокол (протокол А.Экерта) - если есть время.
На предыдущей лекции были сформулированы две проблемы современной классической криптографии: распределение ключей и аутентификация. Вторая проблема, похоже, имеет разрешение (абсолютно защищенное) лишь при личной встрече владельцев ключа. Первая проблема – распределение ключа в классической криптографии решается с помощью криптографии с открытым ключом или двухключевых (асимметричных) протоколов. Такое ее решение назовем математическим , поскольку используется некий алгоритм, основанный на односторонних функциях с секретом, когда вычисление функции в одну сторону оказывается простым, а нахождение обратной функции занимает огромное количество вычислительных ресурсов. В частности, стойкость криптографических систем RSA и Эль-Гамаля основываются на том, что факторизация больших чисел требует экпоненциального по числу знаков факторизуемого числа N операций. Это значит, что при увеличении разряда числа на один (прибавление еще одной цифры к факторизуемому числу) умножает время, необходимое для факторизации на фиксированный множитель. При увеличении числа, задача быстро становится вычислительно не решаемой. Таким образом, в настоящий момент, защищенность двухключевых криптосистем основывается на медленности технического прогресса.
В одной из следующих лекций мы будем рассматривать алгоритм факторизации чисел, предложенный П.Шором. Этот алгоритм основан на параллельном методе вычислений, который можно осуществить в квантовом компьютере. Такой алгоритм позволяет принципиально изменить скорость факторизации – теперь она определяется полиномиальными по числу N временными затратами.
Другой путь решения проблемы распределения ключа основан на физических закономерностях. Он реализуется в квантовой криптографии. Основные аргументы в таком методе криптографии восходят к двум утверждениям:
Неизвестное квантовое состояние невозможно копировать;
Без возмущения невозможно извлечь информацию о неортогональных квантовых состояниях.
Последнее утверждение можно перефразировать: в общем случае любое измерение, выполняемое подслушивателем, приведет к изменению состояния носителя информации.
Далее будут рассмотрены основные протоколы квантовой криптографии. Строго говоря, речь будет идти не о новом типе криптографии в целом, а лишь о новом методе распределения ключа. Этот метод, вообще говоря, должен быть дополнен надлежащим протоколом аутентификации – абоненты должны идентифицировать друг друга до начала общения – об этом не следует забывать, говоря о преимуществах квантовой криптографии! На сегодняшний день единственный способ решения проблемы аутентификации состоит в обмене коротким секретным ключом при встрече абонентов. Квантовая криптография дает физический способ распределения ключа большого размера , который затем можно использовать в симметричных (одноключевых) протоколах. Поэтому, будучи до конца последовательным, следует говорить о квантовой криптографии как о протоколе увеличения секретного ключа (Quantum Secret Growing protocol ) .
Итак, общая схема квантового распределения ключа следующая.
Алиса посылает квантовое состояние, реализованное, например, в виде кванта света, Бобу. Подслушивание, как физический процесс, представляет собой серию экспериментов, выполняемых злоумышленником над перехваченными квантами. Поскольку акт подслушивания изменяет квантовое состояние носителя информации, то Алиса и Боб могут это установить с помощью определенных процедур уже по открытому каналу связи. Итак, протокол квантового распределения ключа должен включать в себя:
Установление синхронизации;
По крайней мере двух пользователей – Алису и Боба;
Канал для обмена квантовыми состояниями или квантовый канал связи ;
Открытый канал связи, который используется для проверки искажения посылаемых состояний.
Если после обмена сообщениями по открытому каналу пользователи убеждаются, что квантовые состояния не возмущены, то они включают хорошо известный протокол одноразового блокнота (код Вернама) используя распределенный секретный ключ. Если обнаруживается возмущение квантовых состояний, то сеанс связи либо прерывается, либо начинается заново.
Замечание. Открытый канал рассматривается как такой канал связи, который доступен любому желающему. Единственное ограничение, которые мы пока введем на открытый канал – чтобы подслушиватель был пассивным . В случае активного подслушивателя пользователи могут осуществлять распределение ключа, но при условии, что изначально они владели некоторой секретной информацией, распределенной между ними и если подслушиватель не настолько активен, чтобы перехватывать всю посланную информацию (атака раздельных миров или с человеком посередине).
Идея, впервые высказанная Визнером, Беннетом и Брассардом состоит в том, что пассивный подслушиватель не может достоверно различить неортогональные состояния (назовем их ), если он не знает базиса, в котором те были приготовлены. Предположим, что Ева настраивает свой измеряющий прибор в неком исходном состоянии . Ее цель – отличить состояния не возмущая их. Ее действия будут описываться следующими унитарными преобразованиями над входными состояниями (см. лекцию 6);
(17.1)
(17.2)
Унитарность сохраняет скалярное произведение, поэтому
откуда следует, что
Это означает, что конечное состояние измерительного прибора Евы одно и то же. Ева не возмутила квантовых состояний, но она и не получила никакой информации о них, в силу (17.4).
Мы рассматривали и более общее измерение, когда Ева возмущает исходные состояния:
. (17.5)
Тогда в результате действий подслушивателя:
, (17.6)
. (17.7)
И опять, в силу унитарности, получаем:
(17.8)
Наилучшая ситуация с точки зрения Евы возникает, когда скалярное произведение принимает минимальное значение. Это происходит при
(поскольку ). При этом она получает максимальную возможность различить два состояния своего прибора, но два исходно неортогональные состояния становятся неразличимыми (17.9).
Квантовое кодирование информации впервые было предложено в работах Стефана Визнера, а также Чарльза Беннета и Жиля Брассарда. С.Визнер рассматривал т.н. «квантовые деньги», т.е. деньги, которые в принципе невозможно подделать. Кроме того, он предложил способ распределения двух или трех сообщений, при котором чтение одного из них уничтожало бы информацию, содержащуюся в других. Ч.Беннет и Ж.Брассард предложили реалистичный протокол распределения ключа. Также они обсуждали криптографические схемы типа протокола жеребьевки.
ПРОТОКОЛ BB 84 [ 5 ]
Этот протокол был предложен Ч.Беннетом и Ж.Брассаром в 1984 г. Для распределения ключа они рассматривали неортогональные состояния фотонов.
В оригинальной работе Ч.Беннет и Ж.Брассард рассматривали поляризационные состояния света в качестве квантовых систем, лежащих в основе протокола распределения ключа.
Основные свойства поляризованных фотонов.
Приготовить поляризованный свет можно, пропуская пучок света через какое-нибудь поляризационное устройство, например, призму Глана-Томсона. Ослабляя затем этот свет, можно в принципе, с некоторой вероятностью получить состояния типа смеси вакуумного и однофотонного фоковского:
(17.10)
где , а m и n представляют числа фотонов в двух ортогональных поляризационных модах. Хотя поляризация является непрерывно меняющейся величиной, принцип неопределенности запрещает извлечение более одного бита информации при измерении единичного фотона. Так, если свет, поляризованный вдоль оси a, направляется на поляризационный фильтр, ориентированный вдоль оси b, то отдельные фотоны проявляют дихотомность свойств и ведут себя вероятностным образом, поскольку могут быть либо пропущены с вероятностью , либо поглощены с сопряженной вероятностью . Детерминированность свойств отдельных фотонов, согласно такой интерпретации, возникает, лишь когда две оси параллельны (достоверное пропускание), либо скрещены (достоверное поглощение). Если же оси не перпендикулярны, так что некоторые фотоны пропускаются, то казалось бы, что можно извлечь дополнительную информацию об угле a, поместив поляроид в прошедший пучок под неким третьим углом. Однако это не так, поскольку прошедшие сквозь первый поляроид фотоны имеют определенную поляризацию b, т.е. они полностью утратили информацию о начальной поляризации a. Другой путь извлечения более одного бита информации из отдельного фотона состоит в приготовлении копий такого состояния и последующего их измерения. Однако такой путь запрещен no-cloning теоремой.
Напоминание из теории измерения (см.Лекцию 8)
Формально квантовая механика описывает внутреннее состояние системы с помощью вектора состояния y, имеющего единичную длину в линейном пространстве Н , определенном на поле комплексных чисел (гильбертово пространство). В этом пространстве определено скалярное произведение векторов:
, (17.11)
где символ «*» означает комплексное сопряжение. Каждое физическое измерение М , которое может быть выполнено над системой, соответствует разложению гильбертова пространства на ортогональные подпространства, причем на каждое подпространство приходится по одному результату измерений. Таким образом, число возможных исходов измерений ограничено размерностью d гильбертова пространства. Соответственно при наиболее полных измерениях гильбертово пространство раскладывается на d одномерных подпространств.
Пусть M k является проекционным оператором в k -ое подпространство измерения М . Тогда тождественный оператор I есть просто сумма проекционных операторов:
Из определения вектора состояния известно, что если система, находящаяся в состоянии y, подвергается измерению М , ее поведение становится вероятностным: исход к-ого измерения описывается вероятностью , которая на векторном языке означает квадрат длины проекции вектора состояния в подпространство M k . После измерения система переходит в новое состояние (постулат фон Неймана) , которое является просто единичным вектором в направлении проекции старого вектора состояния в подпространство M k . Согласно этому постулату, измерение оставляет вектор состояния неизменным, (т.е. результат измерения является предопределенным, детерминированным) лишь, когда начальный вектор состояния лежал целиком в одном из ортогональных подпространств, характеризующих измерение.
Гильбертово пространство отдельного поляризованного фотона является двухмерным пространством (d
= 2). Следовательно, поляризационное состояние фотона полностью может быть описано с помощью линейной комбинации, скажем, двух единичных векторов 
и . Например, линейно поляризованный фотон под углом a к горизонтальному направлению, описывается вектором 
. Измеряя такой фотон в вертикально-горизонтальном (лабораторном базисе) получим горизонтально поляризованный фотон с вероятностью и вертикально поляризованный фотон с вероятностью . В этом смысле два вектора и представляют собой разложение двухмерного гильбертова пространства в два ортогональных одномерных пространства. Эти два вектора будем назвать линейным прямоугольным базисом
.
Альтернативным базисом того же гильбертова пространства является т.н. диагональный базис, образованный векторами 
и 
.
Определение. Вообще, два (рассмотренных) базиса называются сопряженными ( conjugated , mutually unbiased ) , если каждый вектор одного базиса имеет проекции одинаковой длины на все вектора другого базиса. Это означает, что система, приготовленная в некоем состоянии, представленном векторами одного базиса, будет вести себя совершенно случайным образом (потеряет всю запасенную информацию) будучи измеренной в сопряженном базисе. Математически это требование записывается как
Вообще же, в знаменателе выражения (*) должна стоять размерность гильбертова пространства.
Говоря о двухмерном гильбертовом пространстве, необходимо отметить, что существует третий базис, сопряженный линейному и диагональному – т.н. циркулярный базис, образованный право- и лево-циркулярно поляризациями:
, 
. Однако для описание протокола распределения ключа нам потребуются лишь первые два базиса.
Описание протокола распределение ключа.
В традиционных протоколах с открытым ключом используются односторонние функции с секретом (повторное дискретное возведение в степень) без предварительного распределения секретной информации между пользователями. В квантовом протоколе квантовый канал используется для передачи некоторого массива случайных битов квантовых информации (кубитов), открытый канал – для обсуждения, см. табл.1.
Вводится синхронизация между действиями Алисы и Боба, т.е. каждый из них знает наверняка, в какой момент времени посылается состояние;
Алиса выбирает случайный массив битов (чередование 0 или 1 в моменты, оговоренные синхронизационным протоколом);
Алиса выбирает случайную последовательность (поляризационных) базисов – чередование либо линейного, либо диагонального (L, D);
Алиса посылает Бобу последовательность фотонов, кодируя поляризацию каждого фотона, исходя из массива битов и поляризационного базиса: каждый фотон имеет определенную поляризацию и описывается одним из четырех базисных векторов . Будем полагать, что значение бита «0» отвечает за состояния , а «1» – за состояния ;
Боб принимает (измеряет) посланные Алисой фотоны в одном из двух базисов. Причем выбор базиса – случаен. Боб интерпретирует результаты своих измерений в бинарном представлении, т.е. пользуясь тем же правилом, что и Алиса: «0» и «1» . Заметим, что как следует из теории измерений, Боб полностью теряет информацию о состоянии фотона, поляризованного в лабораторном базисе (H-V ), измеряя его в диагональном базисе (+45-45) и наоборот. Следовательно, Боб получает достоверную информацию о состоянии фотонов только в половине всех случаев – когда выбранный им базис совпал с базисом Алисы, т.е. когда измерение дает детерминированный результат. Если подслушивания не было, то в оставшейся половине случаев Алиса и Боб имеют некоррелировынные результаты. Следовательно, в среднем, Боб получает массив битов с 25%-ым содержанием ошибок. Этот массив называется сырым ключом . Кроме того, будем учитывать тот факт, что часть фотонов теряется при передаче. Практически, уровень технических ошибок в квантовых протоколах на сегодняшний день составляет несколько процентов (в отличие от уровня , достижимого в современных оптотелекоммуникационных линиях связи). Этот уровень называется Quantum Bit Error Rate (QBER).
Происходит обсуждение результатов измерений по открытому каналу связи, причем и Алиса и Боб предполагают, что их могут подслушать, но не перехватить или изменить результаты. Сперва, они определяют, какие из фотонов были зарегистрированы Бобом. Затем, определяют, в каких случаях Боб угадал базис. Боб сообщает базис, в котором производилось измерение, но не сообщает сам результат. При этом теряется 50% информации – когда Боб неверно угадал базис. Если сообщение не подслушивалось, то Алиса и Боб делают вывод, что биты, закодированные этими фотонами, переданы правильно . Заметим, что по открытому каналу информация о случайной последовательности битов, посылаемых Алисой, не передается – вывод делается только на основе теории квантовых измерений! Каждый из переданных таким образом фотонов в правильном базисе несет один бит информации, а именно был ли он поляризован вертикально или горизонтально в лабораторном базисе или под углами плюс-минус 45 град. - в диагональном базисе. В итоге у Боба остается более короткий массив битов, который называется просеянным ключом .
Затем, Алиса и Боб проверяют, были ли попытки подслушивания во время распределения ключа. Для этого они сравнивают некоторые биты, которые, как они считают, были распределены правильно, по открытому каналу связи. Позиции битов по шкале синхронизационного протокола, должны выбираться случайно, скажем, сравнивая каждый третий бит. В этом случае обнаружение подслушивания имеет высокую вероятность и состоит в том, что Алиса и Боб имеют разные биты. Если сравнение не обнаруживает разницы, то Алиса и Боб делают вывод, что распределение ключа произошло с высокой степенью надежности (все же имеется вероятность не обнаружить подслушивания, но при этом, у подслушивателя окажется мало информации).
Последний шаг протокола квантовой криптографии состоит в том, чтобы используя классические алгоритмы, исправить ошибки
и уменьшить информацию, доступную Еве. Последняя процедура называется усилением секретности
(privacy amplification). Простейшая процедура коррекции ошибок
состоит в следующем. Алиса случайно выбирает пары битов и производит над ними операцию XOR. Боб выполняет такую же операцию над соответствующими своими битами. Если результат совпадает, они сохраняют первый из двух битов и уничтожают второй – поскольку сама процедура происходит по открытому каналу и результат доступен Еве. Если результаты отличаются – оба бита выкидываются (на практике используется более сложный алгоритм). После этой процедуры Алиса и Боб имеют одинаковые копии ключа, но у Евы все же может остаться некоторая информация о нем. Возникает необходимость в ее уменьшении – вступает в силу протоколы
усиления секретности
. Эти классические протоколы работают следующим образом. Алиса опять выбирает случайно пары битов и вычисляет их сумму по модулю 2 (XOR). Но в отличие от процедуры коррекции ошибок, она не сообщает это значение. Она лишь оглашает какие биты были выбраны, например, 103 и 539. Затем Алиса и Боб заменяют два бита на результат операции XOR. Таким образом Алиса и Боб укорачивают их ключи. Если Еве доступна лишь часть информации о двух битах, то ее информация о результате выполнения операции XOR будет еще меньше. Рассмотрим, например, случай, когда Еве известен только первый бит и ничего не известно про второй. Тогда она вообще ничего не знает про результат операции XOR. Если же Ева знает значения каждого из битов с вероятностью, скажем, 60%, то вероятность того, что она угадает значение операции XOR будет только 
(сумма вероятностей того, что оба бита угатаны неправильно и правильно, соответственно). Такую процедуру можно повторить несколько раз. Подчеркнем, что на этих этапах (выполнения протоколов коррекции ошибок и усиления секретности) работают исключительно классические протоколы, использующие открытые каналы связи. Итак, если вероятность ошибок не превосходит некоторой критической величины (в нерелятивистских схемах предел, по-видимому, составляет < 11% что определяется потерями в оптическом волокне), то далее возможна коррекция ошибок в нераскрытой части при помощи классических кодов и дальнейшее сжатие ключа (privacy amplification) для получение результирующего секретного ключа.
Включается абсолютно стойкий протокол одноразового блокнота через открытый канал связи.
Весь протокол повторяется каждый раз при необходимости посылки очередного сообщения.
Заметим, что на практике для передачи квантовых битов и обмена классическими сообщениями можно использовать один и тот же канал связи.
Замечание. Потери оптического волокна в окнах телеком составляют примерно: 1.55 мкм 0.2 дБ/км (0.2=10lgI 2 /I 1 , I 2 /I 1 =1.047); 1.31 мкм 0.35 дБ/км;
0.8 мкм 2 дБ/км.
Подслушивание в протоколе BB 84
Из-за того, что по квантовому каналу передается случайная смесь двух базисов, любая попытка подслушивания приводит к риску изменения поляризационного состояния фотона. Это приведет к различию в значениях битов Алисы и Боба, если измерения проводились в совпадающих базисах. Например, в некотором смысле, оптимальная стратегия подслушивания состоит в том, что Ева перехватывает все фотоны в квантовом канале, производит свои измерения только в одном из двух базисов (или вообще, только в одном) и ретранслирует исходы (т.н. стратегия перехватчик-ретранслятор ). Затем она пересылает Бобу (ретранслирует) другой кубит в состоянии, соответствующем результату ее измерения. Это не противоречит теореме о запрете копирования. В половине всех случаев Ева правильно угадает базис и, следовательно, Алиса-Боб не распознают ее присутствие. Однако, в другой половине случаев Ева неверно угадывает базис, поэтому она перешлет Бобу правильный кубит лишь в с вероятностью 50% (mutially unbiased bases). Этот кубит будет обнаружен Алисой-Бобом, в половине от этого числа случаев, т.к. они получат некоррелированные результаты (выявляется в протоколе коррекции ошибок). В итоге при использовании этой стратегии, Ева получает 50% информации - в случае угадывания базиса - в то время как Алиса-Боб получают 25% ошибочных битов в просеянном ключе, т.е. после выкидывания исходов в неправильных базисах. Этот случай подслушивания легко регистрируется. В другом варианте этой стратегии подслушивания Ева применяет ее только к каждому десятому биту. В этом случае она получает доступ к 5 процентам информации, в то время как Алиса и Боб обнаруживают 2.5%. Заметим, что рассмотренный случай активного подслушивателя в квантовом канале не взламывает протокола.
Вообще, анализируя ситуацию на этапе, когда Алиса и Боб имеют просеянный ключ и учитывая возможное присутствие Евы, можно сказать, что существует некоторая корреляция между классической информацией, доступной легитимным пользователям (Алисе и Бобу) и подслушивателем – Евой. Такая ситуация типична для классических криптографических протоколов. Чтобы анализировать ее количественно, вводится функция распределения , где все участники протокола – Алиса Боб и Ева описываются случайными параметрами , соответственно. Предположим, что такое совместное распределение вероятностей (классическое) существует. При этом Алиса и Боб обладают лишь маргинальным распределением . Задача состоит в том, чтобы ограничить доступную Еве информацию. Для данного распределения пока неизвестен критерий, дающий секретный ключ, распределенный между Алисой и Бобом или - условная энтропия. Однако существует некая граничная мера даваемая разностью между взаимной шенноновской информацией Алисы и Боба и взаимной информацией Евы 
:
Эта оценка показывает, что установление секретного ключа возможно, если Боб обладает большей информацией, чем Ева !
В приведенной только что аргументации есть слабое звено – мы предполагали, что Ева выполняет атаку до того, как Алиса и Боб включили процедуру коррекции ошибок. Формально это означает, что совместное распределение существует. Однако Ева может дождаться окончания протокола коррекции ошибок и только затем провести атаку. Такой вид атак называется «стратегией задержанного выбора »
Для нейтрализации активного подслушивателя в открытом канале можно воспользоваться схемой аутентификации Вегмана-Картера. В этой схеме Алиса и Боб должны изначально иметь небольшой секретный ключ, установленный, например, при личной встрече. С помощью такого ключа устанавливается нечто вроде «контрольной суммы» или метки, зависящей от каждого бита сообщения. Подслушиватель, который не знает ключа, имеет низкую вероятность сгенерировать правильную метку. Таким образом, метка устанавливает легитимность сообщения, а ее изменение указывает на попытку подслушивания.
Рассмотренный протокол ВВ84 является типичным и иллюстрирует основные принципы квантового распределения ключа. На его примере мы также рассмотрели некоторые протоколы коррекции ошибок, усиления секретности и стратегии подслушивателя. Рассмотрим некоторые другие протоколы квантовой криптографии.
Замечание. К очевидным недостаткам квантового распределения ключа следует отнести чисто практическую сложность их реализации. Квантовые состояния очень хрупки и подвержены сильному влиянию окружения, кроме того, они не могут быть усилены (простыми способами). Говоря о криптографических приложениях, пока не ясно как осуществить цифровую подпись или ability to settle disputes before judge.
ПРОТОКОЛ В92 [ 7 ]
Рассуждения, приведенные выше, основывались на том факте, что любое измерение неортогональных состояний, которое не возмущает их, в то же время не дает о них никакой информации (т.е. информации, позволяющей различить их). В 1992 году Ч.Беннет и Ж.Брассард предложили протокол распределения ключа, основанный на передаче только двух неортогональных состояний квантовой системы вместо четырех.
Рассмотрим два неортогональных состояния и , таких, что . Пусть и - два проектора в подпространства ортогональные состояниям и , соответственно. Заметим, что эти два оператора не коммутируют и что их индексы переставлены по отношению к соответствующим состояниям. Нетрудно убедиться, что оператор Р 0 уничтожает состояние :
но дает ненулевой результат при действии на :
В последнем соотношении фигурирует величина 
- вероятность ненулевого исхода. Аналогичные соотношения справедливы и для оператораР 1
.
Распределение ключей происходит следующим образом.
1. Устанавливается синхронизация моментов посылки состояний.
2. Алиса приготавливает и посылает Бобу случайную бинарную последовательность квантовых состояний и , где, например, , а .
3. Боб, независимо от Алисы, случайным образом решает, какой из двух операторов Р 0 или Р 1 применить к полученной последовательности состояний.
4. Затем Боб по открытому каналу сообщает Алисе номера синхронизационной шкалы, для которых он получил положительный результат. При этом он не сообщает, какой из двух операторов он использовал. Остальные события игнорируются
5. Если подслушивания не было, то оставленные события, составляющие приблизительно, -ую часть от общего числа испытаний, должны быть коррелированы. Заметим, что для поляризационного кодирования состояний “0 о ”и “45 о ”эта величина равна 1/2. Таким образом, если Алиса посылала , а Боб измерял Р 0 , если Алиса посылала , то Боб измерял Р 1 .
6. Перед тем, как Алиса и Боб установят секретный ключ, они должны провести процедуру коррекции ошибок и усиления секретности, действуя, например, так же как и в протоколе ВВ84. Жертвуя некоторыми битами, они убеждаются в идентичности некоторого их числа. Протокол иллюстрируется в таблице 2.
Итак, наше базовое предположение о невозможности извлечения однозначной информации об неортогональных состояниях без их возмущения, позволило ввести более простой, по сравнению с ВВ84, протокол. Однако, на практике, реализация такого протокола не нашла широкого применения. Дело в том, что все-таки существуют способы различимости двух неортогональных состояний, ценой некоторых потерь. Идея и соответствующие демонстрационные эксперименты основаны на том, что измерение, выполняемое в базисе, ортогональном, например, состоянию , однозначно выделяет такое состояние, в том смысле, что только состояние не пройдет через поляроид, ориентированный горизонтально. Другое же состояние пройдет через горизонтальный поляроид с 50%-ми потерями.
ЭПР-ПРОТОКОЛ [ 6 ]
В 1991 году А.Экерт предложил протокол основанный на перепутанных состояниях. Впоследствии оказалось, что этот протокол является разновидностью ВВ84, однако в обзорах по квантовым способам распределения ключа, как правило, он фигурирует отдельно. Примечательно также, что казалось бы, абсолютно умозрительные рассуждения, приведшие Эйнштейна, Подольского и Розена к их известному парадоксу, а также идеи, высказанные Дж.Беллом, все-таки нашли свое практическое воплощение. Сам А.Экерт, формулируя суть протокола, отмечал, что здесь «распределение ключа зависит от полноты квантовой механики». Под полнотой понимается тот факт, что квантовое описание обеспечивает максимально возможную информацию о рассматриваемой системе. Экспериментальная реализация рассматриваемого протокола, во всяком случае в принципиальном смысле, мало отличается от установок по наблюдению нарушения неравенств Белла. Можно сказать, что при распределении ключа вводится квантовый канал, где сам ключ существует без какого-либо «элемента реальности», связанного с этим ключом. В этом смысле он защищен полнотой квантовой механики.
Канал состоит из источника перепутанных фотонов, находящихся в синглетном состоянии. Частицы разлетаются вдоль оси z в направлениях к легитимным пользователям – Алисе и Бобу. Каждый из них получает по одной частице или половинке перепутанной пары. Затем Алиса и Боб выполняют измерение над свой частицей, ориентируя поляризационные призмы вдоль трех направлений: для Алисы – а i , для Боба – b j (i , j = 1, 2, 3 ). Конкретно, измеряя углы от вертикальной оси:
(17.16)
(17.17)
Алиса и Боб выбирают ориентацию призм случайно и независимо друг от друга для каждой пары перепутанных частиц. Каждое измерение дает результат либо +1, либо –1, т.е. срабатывает один из двух детекторов, установленных в выходных модах поляризационной призмы Алисы и Боба. Параметризованный таким образом сигнал представляет один (для одной частицы) бит информации.
где аргументы в корреляционных функциях Р означают выбранное направление. Например, означает вероятность того, что при данных установках поляризационных призм a i , b j Алиса получила результат «-1», а Боб «+1». Можно показать, что величина Е принимает значения
Для двух пар одинаковых ориентаций анализаторов (поляризационных призм)
квантово-механические предсказания дают полную антикорреляцию результатов, полученных Алисой и Бобом:
Следуя Клаузеру, Хорну, Шимони и Хольту можно ввести наблюдаемую величину - наблюдаемую Белла, составленную из корреляционных коэффициентов (17.18):
которая равна
После того, как перепутанные частицы поступили к Алисе и Бобу, те могут объявить по открытому каналу связи ориентации анализаторов, которые были выбраны случайным образом при каждом измерении. Затем, результаты измерений разделяются на две группы. К первой группе относятся результаты, полученные при разных ориентациях анализаторов, т.е., приводящие к (21). Ко второй – при одинаковых. Не учитываются те результаты, когда частица Алисы или Боба по каким-то причинам не была зарегистрирована вообще. Затем Алиса и Боб сообщают результат, который они получили только для первой группы измерений. Это позволяет им установить то значение S , которое для невозмущенных состояний частиц должно оказаться равным (21). В свою очередь последнее утверждение дает основание легитимным пользователям считать, что результаты, относящиеся ко второй группе измерений, антикоррелированы и могут быть преобразованы в секретный набор битов – сырой ключ .
Подслушиватель не может воспользоваться информацией, перехватывая перепутанные частицы, поскольку самой информации там нет. Считается, что она появляется в результате измерений, выполняемых Алисой. По Экерту измерение Алисы приготавливает состояние частицы Боба, хотя более последовательно было бы утверждать, что эта информация закодирована в корреляционных функциях Р и величине Е .
Литература
W. Diffie and M.E. Hellman, IEEE Trans. Inf. Theory IT-22, 644 (1977).
R. Rivest, A. Shamir, and L. Adleman, "On Digital Signatures and Public-Key Cryptosystems" , MIT Laboratory for Computer Science, Technical Report, MIT/LCS/TR-212 (January 1979).
P.W. Shor, Proceedings of the 35th Annual Symposium on the Foundations of Computer Science (IEEE Computer Society, Los Alamos, CA, 1994) p. 124.
C.H. Bennett, G. Brassard, and A.K. Ekert, "Quantum cryptography" , Scientific American, October 1992, p. 50.
S. Wiesner, SIGACT News 15 , 78 (1983); original manuscript written circa 1970. C.H. Bennett and G. Brassard, in "Proc. IEEE Int. Conference on Computers, Systems and Signal Processing", IEEE, New York (1984). C.H. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, "Experimental quantum cryptography," J. Cryptology 5 , 3 (1992).
A.K. Ekert, Phys. Rev. Lett. 67 , 661 (1991); A.K. Ekert, J.G. Rarity, P.R. Tapster, and G.M. Palma, Phys. Rev. Lett. 69 , 1293 (1992).
C.H. Bennett, Phys. Rev. Lett. 68 , 3121 (1992).
A. Muller, J. Breguet, and N. Gisin, Europhys. Lett. 23 , 383 (1993).
P.R. Tapster, J.G. Rarity and P.C.M. Owens, Phys. Rev. Lett. 73 , 1923 (1994).
P D. Townsend, J.G. Rarity, and P.R. Tapster, Electron. Lett. 29 , 1291 (1993).
D.Mayers, A.Yao, Unconditional Security in Quantum Cryptography, quant-ph/9802025.
E.Biham, M.Boyer, P.O.Boykin, T.Mor, V.Roychowdhury, A Proof of the Security of Quantum Key Distribution, quant-ph/9912053.
P.W.Shor, J.Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, quant-ph/0003004.
Эти наборы значений углов не являются единственными.
Квантовая физика предлагает абсолютно новый способ защиты информации. Зачем он нужен, разве сейчас нельзя проложить защищенный канал связи? Безусловно, можно. Но уже созданы и в тот момент, когда они станут распространены повсеместно, современные будут бесполезны, так как эти мощные компьютеры смогут взламывать их за доли секунды. Квантовая связь позволяет шифровать информацию при помощи фотонов — элементарных частиц.
Такие компьютеры, получив доступ к квантовому каналу, так или иначе изменят настоящее состояние фотонов. И попытка получить информацию приведет к ее повреждению. Скорость передачи информации, конечно, ниже, по сравнению с другими, ныне существующими каналами, например, с телефонной связью. Но квантовая связь обеспечивает гораздо больший уровень секретности. Это, естественно, очень большой плюс. Особенно в современном мире, когда киберпреступность растет с каждым днем.
Квантовая связь для "чайников"
Когда-то голубиная почта была вытеснена телеграфом, в свою очередь, телеграф вытеснило радио. Конечно, оно сегодня, но появились другие современные технологии. Всего десять лет назад Интернет не был распространен так, как сегодня и доступ к нему было получить достаточно сложно — приходилось ехать в интернет-клубы, покупать весьма дорогие карточки и т. д. Сегодня без Интернета мы не проживаем ни часа, и с нетерпением ждем 5G.
Но очередной новый стандарт связи не решит задачи, которые стоят сейчас перед организацией обмена данными при помощи Интернета, получения данных со спутников из поселений на других планетах и т. п. Все эти данные должны быть надежно защищены. А организовывать это можно при помощи так называемой квантовой запутанности.
Что же такое квантовая связь? Для "чайников" объясняют это явление как связь разных квантовых характеристик. Она сохраняется даже тогда, когда частицы разнесены друг от друга на большое расстояние. Зашифрованный и переданный при помощи квантовой запутанности ключ, не предоставит никакой ценной информации взломщикам, которые попытаются его перехватить. Все, что они получат — это другие цифры, так как состояние системы, при внешнем вмешательстве, будет изменено.
Но создать всемирную систему передачи данных не удавалось, так как уже через несколько десятков километров сигнал затухал. Спутник, запущенный в 2016 г., поможет реализовать схему квантовой передачи ключей на расстояния больше 7 тыс. км.
Первые успешные попытки использования новой связи
Самый первый протокол квантовой криптографии был получен в 1984 г. Сегодня эта технология успешно используется в банковской сфере. Известные компании предлагают созданные ими криптосистемы.
Квантовая линия связи осуществляется на стандартном оптоволоконном кабеле. В России первый защищенный канал был проложен между отделениями "Газпромабанка" в Новых Черемушках и на Коровьем валу. Общая длина равняется 30,6 км, ошибки при передаче ключа возникают, но их процент минимален — всего 5%.
Китай запустил спутник квантовой связи
Первый в мире подобный спутник был запущен в Китае. Ракета Long March-2D стартовала 16 августа 2016 г. с космодрома Цзю-Цюань. Спутник весом 600 кг будет 2 года летать по солнечно-синхронной орбите, высотой 310 миль (или 500 км) в рамках программы "Квантовые эксперименты в космическом масштабе". Период обращения аппарата вокруг Земли равняется полутора часам.
Спутник квантовой связи называется Micius, или "Мо-Цзы", в честь философа, который жил в V в.н.э. и, как принято считать, первым проводил оптические эксперименты. Ученые собираются изучить механизм и провести между спутником и лабораторией в Тибете.
Последняя передает квантовое состояние частицы на заданное расстояние. Для реализации этого процесса нужна пара запутанных (иначе говоря, сцепленных) частиц, находящихся на расстоянии друг от друга. Согласно квантовой физике, они способны улавливать информацию о состоянии партнера, даже находясь далеко друг от друга. То есть можно оказывать воздействие на частицу, которая находится в далеком космосе, воздействуя на ее партнера, который находится рядом, в лаборатории.
Спутник будет создавать два запутанных фотона и отправлять их на Землю. Если опыт будет удачным, он ознаменует собой начало новой эры. Десятки подобных спутников смогут не только обеспечить повсеместное распространение квантового интернета, но и квантовую связь в космосе для будущих поселений на Марсе и на Луне.
Зачем нужны такие спутники
Но зачем вообще нужен спутник квантовой связи? Разве уже существующих обычных спутников не достаточно? Дело в том, что эти спутники не будут заменять обычные. Принцип квантовой связи состоит в кодировании и защите существующих обычных каналов передачи данных. С ее помощью, например, уже обеспечивалась безопасность во время проведения парламентских выборов в 2007 году в Швейцарии.
Некоммерческая исследовательская организация Баттельский мемориальный институт, проводит обмен информацией между отделениями в США (штат Огайо) и в Ирландии (Дублин) используя квантовую запутанность. Принцип ее основан на поведении фотонов — элементарных С их помощью кодируется информация и отправляется адресату. Теоретически, даже самая аккуратная попытка вмешательства, оставит след. Квантовый ключ изменится сразу же, и хакер, предпринявший попытку, получит бессмысленный символьный набор. Поэтому все данные, которые будут передавать через эти каналы связи, невозможно перехватить или скопировать.
Спутник поможет ученым тестировать распределение ключа между наземными станциями и самим спутником.
Квантовая связь в Китае будет реализована благодаря оптоволоконным кабелям, общей протяженностью 2 тыс. км и объединяющих 4 города от Шанхая до Пекина. Серии фотонов бесконечно передаваться не могут, и чем больше расстояние между станциями, тем выше шанс того, что информация будет повреждена.
Пройдя какое-то расстояние, сигнал затухает, и ученым, для того чтобы поддерживать корректную передачу информации, нужен способ обновления сигнала спустя каждые 100 км. В кабелях это достигается с помощью проверенных узлов, в которых ключ анализируется, копируется новыми фотонами и идет дальше.
Немного истории
В 1984 г. Брассард Ж. из Монреальского университета и Беннет Ч. из IBM предположили, что фотоны можно использовать в криптографии для получения защищенного фундаментального канала. Ими была предложена простая схема квантового перераспределения шифровальных ключей, которая была названа ВВ84.
Схема эта использует квантовый канал, по которому информация между двумя пользователями передается в виде поляризованных квантовых состояний. Подслушивающий их хакер может попытаться измерить эти фотоны, но он не может это сделать, как сказано выше, не внеся в них искажения. В 1989 г. в Исследовательском центре IBM Брассард и Беннет создали первую в мире работающую квантово-криптографическую систему.
Из чего состоит квантово-оптическая криптографическая система (КОКС)
Основные теххарактеристики КОКС (коэффициент ошибок, скорость передачи данных и т.п.) определены параметрами образующих канал элементов, которые формируют, передают и измеряют квантовые состояния. Обычно КОКС состоит из приемной и передающей частей, которые связаны каналом передачи.
Источники излучения разделяются на 3 класса:
- лазеры;
- микролазеры;
- светоизлучающие диоды.
Для передачи оптических сигналов в качестве среды используют волоконно-оптические светодиоды, объединенные в кабели разной конструкции.
Природа секретности квантовой связи
Переходя от сигналов, в которых передаваемая информация кодируется импульсами с тысячами фотонов, к сигналам, в которых на один импульс, в среднем, приходится их меньше единицы, в действие вступают квантовые законы. Именно использование этих законов с классической криптографией позволяет достигать секретности.
Принцип неопределенности Гейзенберга применяется в квантово-криптографических аппаратах и благодаря ему любые попытки изменения в квантовой системе вносят в нее изменения, и формация, полученная в результате подобного измерения, определяется принимаемой стороной как ложная.
Дает ли квантовая криптография 100% гарантию от взлома?
Теоретически дает, но технические решения не совсем надежны. Злоумышленники стали использовать лазерный луч, с помощью которого они ослепляют квантовые детекторы, после чего те перестают реагировать на квантовые свойства фотонов. Иногда используются многофотонные источники, и взломщики могут получать возможность пропускать один из них и измерять идентичные.
Стивен Визнер (Stephen Wiesner), являясь студентом Колумбийского университета, в 1970 подал статью по теории кодирования в журнал IEEE Information Theory, но она не была опубликована, так как изложенные в ней предположения казались фантастическими, а не научными. Именно в была описана идея возможности использования квантовых состояний для защиты денежных банкнот. Визнер предложил в каждую банкноту вмонтировать 20 так называемых световых ловушек, и помещать в каждую из них по одному фотону, поляризованному в строго определенном состоянии. Каждая банкнота маркировалась специальным серийным номером, который заключал информацию о положении поляризационного фотонного фильтра. В результате этого при применении отличного от заданного фильтра комбинация поляризованных фотонов стиралась. Но на тот момент технологическое развитие не позволяло даже рассуждать о таких возможностях. Однако в 1983 году его работа «Сопряженное кодирование» была опубликована в SIGACT News и получила высокую оценку в научных кругах.
В последствии на основе принципов работы Визнера С. ученые Чарльз Беннет (Charles Bennett) из фирмы IBM и Жиль Брассард (Gilles Brassard) из Монреальского университета разработали способ кодирования и передачи сообщений. Ими был сделан доклад на тему «Квантовая криптография: Распределение ключа и подбрасывание монет» на конференции IEEE International Conference on Computers, Systems, and Signal Processing. Описанный в работе протокол впоследствии признан первым и базовым протоколом квантовой криптографии и был назван в честь его создателей BB84. Для кодирования информации протокол использует четыре квантовых состояния микросистемы, формируя два сопряж?нных базиса.
В это время Артур Экерт работал над протоколом квантовой криптографии, основанном на спутанных состояниях . Опубликование результатов его работ состоялось в 1991 году. В основу положены принципы парадокса Эйнштейна- Подольсого-Розенберга, в частности принцип нелокальности спутанных квантовых объектов.
На протяжении двадцати пяти лет, квантовая криптография прошла путь от теоретических исследований и доказательства основных теорий до коммерческих систем, использующих оптическое волокно для передачи на расстояние десятков километров.
В первой экспериментальной демонстрации установки квантового распределения ключей проведенной в 1989 в лабораторных условиях , передача осуществлялась через открытое пространство на расстояние тридцати сантиметров. Далее эти эксперименты были проведены с использованием оптического волокна в качестве среды распространения. После первых экспериментов Мюллера и др. в Женеве, с использованием оптоволокна длиной 1,1 км , в 1995 расстояние передачи было увеличено до 23 км через оптическое волокно, проложенное под водой . Приблизительно в то же время, Таунсендом из British Telecom была продемонстрирована передача на 30 км . Позднее он, продолжив тестирование систем с использованием различных конфигураций оптических сетей , увеличил дальность до 50 км . Эксперименты по передаче на это же расстояние были позднее повторены Хьюзом и др. в Лос-Аламосе . В 2001г., Хискетом и др. в Соединенном Королевстве была осуществлена передача на расстояние 80 км . В 2004-2005гг., две группы в Японии и одна в Соединенном Королевстве сообщили об осуществлении экспериментов по квантовому распределению ключей и интерференции одиночных фотонов на расстояние свыше 100 км . Первые эксперименты по передаче на расстояние 122 км проводились учеными из Toshiba в Кембридже с использованием детекторов на основе лавинных фотодиодов (ЛФД) . Рекорд по дальности передачи информации принадлежит объединению ученых Лос-Аламоса и Национального института стандартов и технологий, и составляет 184 км . В нем использовались однофотонные приемники охлаждаемые до температур близких к нулевым по Кельвину.
Первая презентация коммерческой системы квантовой криптографии произошла на выставке CeBIT-2002. Там, швейцарские инженеры компании GAP-Optique (www.gap-optique.unige.ch) из Женевского университета представили первую систему квантового распределения ключей (QKD - Quantum Key Distribution). Ученым удалось создать достаточно компактное и надежное устройство. Система располагалась в двух 19-дюймовых блоках и могла работать без настройки сразу после подключения к персональному компьютеру. С его помощью была установлена двухсторонняя наземная и воздушная волоконно-оптическая связь между городами Женева и Лузанна, расстояние между которыми составляет 67 км . Источником фотонов служил инфракрасный лазер с длиной волны 1550 нм. Скорость передачи данных была невысока, но для передачи ключа шифра (длина от 27,9 до 117,6 кбит) большая скорость и не требуется.
В последующие годы к проектированию и изготовлению систем квантовой криптографии подключились такие коммерческие монстры как Toshiba, NEC, IBM, Hewlett Packard, Mitsubishi, NTT. Но наряду с ними стали появляться на рынке и маленькие, но высокотехнологичные компании: MagiQ (www.magiqtech.com), Id Quantique (www.idquantique.com), Smart Quantum (www.smartquantum.com). В июле 2005 в гонке за увеличение расстояния передачи ключа вперед вышли инженеры Toshiba, представив на рынке систему, способную передать ключ на 122 км. Однако, как и у конкурентов, скорость генерации ключа в 1,9 кбит/с оставляла желать лучшего. Производители в настоящие время стремятся к разработке интегрированных систем - новинкой от Id Quantique, является система Vectis, использующая квантовое распределение ключей для создания VPN туннелей, шифрующая данные на канальном уровне с помощью шифра AES. Ключ может быть 128, 196 или 256-битной длины и меняется с частотой до 100 Гц. Максимальная дистанция для данной системы составляет 100 км. Все вышеперечисленные компании производят системы кодирующие информацию о битах ключа в фазовых состояниях фотонов. Со времен первых реализаций, схемы построения систем квантового распределения ключей значительно усложнились.
Британские физики из коммерческого подразделения QinetiQ Британской оборонной исследовательской лаборатории и немецкие физики из Мюнхенского университета Людвига-Максимиллиана впервые осуществили передачу ключа на расстояние 23,4 км непосредственно через воздушное пространство без использования оптического волокна . В эксперименте для кодирования криптографической информации использовались поляризации фотонов - одна для передачи двоичного символа «0» и противоположная для символа «1». Эксперимент проводился в горах Южной Германии. Слабый импульсный сигнал посылался ночью с одной горной вершины (2 950 м) на другую (2 244 м), где находился счетчик фотонов.
Руководитель проекта Джон Рэрити (John Rarity) из QinetiQ полагал , что уже в 2005 году будет проведен эксперимент с посылкой криптографического ключа на низкоорбитальный спутник, а к 2009 году с их помощью можно будет посылать секретные данные в любую точку планеты. Отмечалось, что для этого придется преодолеть ряд технических препятствий.
Во-первых, необходимо улучшить устойчивость системы к неизбежной потере фотонов при их посылке на расстояния в тысячикилометров.
Во-вторых, существующие спутники не оснащены соответствующим оборудованием для пересылки криптографических данных по квантовому протоколу, так что потребуется конструирование и запуск совершенно новых спутников .
Исследователи из Северо-западного университета (Эванстон, штат Иллинойс) продемонстрировали технологию, позволяющую передавать на небольшое расстояние шифрованное сообщение со скоростью 250 Мбит/с . Ученые предложили метод квантового кодирования самих данных, а не только одного ключа. В этой модели учитывается угол поляризации каждого переданного фотона, Поэтому любая попытка декодировать сообщение приводит к такой зашумленности канала, что всякая расшифровка становится невозможной. Исследователи обещают, что уже модель следующего поколения сможет работать практически на магистральной скорости Интернета порядка 2,5 Гбит/с. По словам одного из разработчиков, профессора Према Кумара (Prem Kumar), "еще никому не удавалось выполнять квантовое шифрование на таких скоростях". Ученые уже получили несколько патентов на свои разработки и сейчас работают вместе со своими промышленными партнерами Telcordia Technologies и BBN Technologies над дальнейшим усовершенствованием системы. Первоначально рассчитанный на пять лет проект был поддержан грантом DARPA (the Defense Advanced Research Projects Agency) в 4,7 миллиона долларов. Результатом данного проекта стала система квантового кодирования AlphaEta .
Группа Ричарда Хьюгса (Richard Hughes) из Лос-Аламоса занимается разработками спутниковых оптических линий связи (ОЛС). Для реализации преимуществ квантовой криптографии фотоны должны проходить через атмосферу без поглощения и изменения поляризации. Для предотвращения поглощения исследователи выбирают длину волны в 770 нм, соответствующую минимальному поглощению излучения молекулами атмосферы. Сигнал с большей длиной волны также слабо поглощается, но более подвержен турбулентности, которая вызывает изменение локального показателя преломления воздушной среды и, ввиду этого, изменение поляризации фотонов. Ученым приходится решать и побочные задачи. Спутник, наряду с фотонами, несущими сообщение, может принять и фотоны фонового излучения, исходящего как от Солнца, так и отраженного Землей или Луной. Поэтому применяются сверхузконаправленный приемник, а также фильтр для отбора фотонов определенной длины волны. Кроме того, фотоприемник чувствителен к приему фотонов в течение 5 нс периодически с интервалом в 1 мкс. Это должно быть согласовано с параметрами передатчика. Такие ухищрения вновь обуславливают влияние турбулентности. Даже при сохранении поляризации, вследствие турбулентности может измениться скорость передачи фотонов, приводя к фазовому дрожанию. С целью компенсации фазового дрожания впереди каждого фотона высылается световой импульс. Этот синхронизирующий импульс, подвергается такому же, как следующий за ним фотон, влиянию атмосферы. Поэтому независимо от момента получения импульса приемник спутника знает, что через 100 нс нужно открыться для приема информационного фотона. Изменение показателя преломления вследствие турбулентности вызывает уход луча от антенны. Поэтому для направления потока фотонов передающая система отслеживает слабое отражение от синхроимпульсов. Группой Хьюгса осуществлена передача сообщения по квантовому криптографическому каналу через воздушную среду на расстояние в 500 м на телескоп диаметром 3.5 дюйма . Принимаемый фотон попадал на распределитель, который направлял его на тот или иной фильтр. После этого ключ контролировался на наличие ошибок. Реально, даже при отсутствии перехвата, уровень ошибок достигал 1,6% из-за наличия шума, фоновых фотонов и рассогласования. Это несущественно, поскольку при перехвате уровень ошибок обычно более 25%.
Позднее группой Хьюгса было передано сообщения по квантовому каналу через воздушную среду на расстояние 2 км . При испытаниях сигналы передавались горизонтально, вблизи поверхности Земли, где плотность воздуха и флуктуации интенсивности максимальны. Поэтому расстояние в 2 км вблизи поверхности Земли эквивалентны 300 км, отделяющим низкоорбитальный искусственный спутник от Земли.
Таким образом, менее чем за 50 лет квантовая криптография прошла путь от идеи до воплощения в коммерческую систему квантового распределения ключей. Действующая аппаратура позволяет распределять ключи через квантовый канал на расстояние превышающие 100 км (рекорд 184 км), со скоростями достаточными для передачи ключей шифрования, но не достаточными для поточного шифрования магистральных каналов с помощью шифра Вернама. Основными потребителями систем квантовой криптографии в первую очередь выступают министерства обороны, министерства иностранных дел и крупные коммерческие объединения. На настоящий момент высокая стоимость квантовых систем распределения ключей ограничивает их массовое применение для организации конфиденциальной связи между небольшими и средними фирмами и частными лицами.
