Квантовая криптография

1.3 Генератор подлинно случайных чисел

Испанские ученые предложили метод получения действительно  случайных чисел.

Когда речь идет о непредсказуемой  последовательности цифр, некоторые  из них более случайны, чем другие. До сих пор не было никакой возможности подтвердить истинность случайности, в результате чего методы шифрования, которые полагаются на случайные числа, оставляли лазейки для дешифраторов. Достаточно лишь разгадать алгоритм или взломать компьютер, на котором он хранится, и сообщения, закодированные для передачи через Интернет, станут доступны любому всем.

Многие ученые в связи  с этим пытались опереться на принцип  неопределенности (индетерминизма) квантовых  систем. Согласно квантовой механике, невозможно с уверенностью предсказать, как квантовая частица будет вести себя. Поэтому теоретически истинную случайность в двоичной системе могут обеспечить, скажем, два связанных фотона. На практике, однако, нет способа подтвердить, что даже эти цифры действительно случайны. Например, могут быть сбои в работе аппарата, который слегка, но все-таки влияет на движение фотонов.

Знают ли друг о друге два связанных  кубика?

Чтобы обойти эту проблему, Антонио  Асин, физик из Института фотонных наук (Барселона), и его коллеги разработали тест на истинную случайность, который возвращает нас к историческим экспериментам по природе квантовой механики, впервые предложенным физиком Джоном Беллом в 1960-х годах. Белл хотел подтвердить, что классическая физика не может объяснить странные свойства связанных частиц (entangled particles), которые связаны так, что измерение одной непосредственно влияет на состояние партнера. Ученый рассчитал максимально возможный уровень корреляции между двумя частицами в любой классической системе. Последующие эксперименты неоднократно подтверждали, что связанные частицы превышают этот предел вопреки классической физике.

Антонио Асин и его  коллеги смогли показать, что существует прямая связь между степенью истинной случайности в системе и степенью, в которой ограничение Белла  нарушается связанными частицами. Физики подготовили первый, по их словам, настоящий  генератор случайных чисел. Он выдает двоичные числа на основе квантовых измерений иона иттербия, который может находиться либо на высоком, либо на низком энергетическом уровне. Чтобы проверить истинность случайности, спутываются два таких иона и измеряются энергетические уровни их обоих. Если их корреляция превышает ограничение Белла, случайность подлинная.

В течение месяца таким образом  удалось получить 42 действительно  случайных двоичных числа.

Первым предложил использовать теорему Белла для генерации подлинно случайных чисел в квантовой криптографии Артур Экерт, физик из Оксфордского университета (Великобритания). Это было в 1991 году. А сегодня он назвал результаты коллег поразительными. В то же время ученый отметил, что в испанских экспериментах ионы находились друг от друга на расстоянии всего одного метра. Для квантовой связи необходимо разработать технологию, которая будет работать на куда бóльших дистанциях.

Другой ученый, Хун Го из Пекинского университета (Китай), отметил, что в экспериментах с квантовыми свойствами фотонов в лазере, которые проводила его группа и другие ученые, числа получались со скоростью 500 мегабит в секунду, хотя доказать их подлинную случайность было невозможно. Если сравнить это с тем, что Антонио Асин за месяц получил всего 42 числа, то начинает казаться, что в данном случае количество важнее качества. Остается надеяться, что испанские физики упростят свою систему для лучшего практического применения.

2.4 Рекордно быстрая система распространения квантовых ключей

Специалисты Кембриджской исследовательской лаборатории компании Toshiba продемонстрировали возможность передачи битов квантового ключа на 50 км со скоростью, превышающей 1 Мбит/с.

Системы квантовой криптографии строятся по так называемой схеме одноразовых блокнотов, в которой открытый текст сообщения объединяется со случайным ключом, совпадающим по длине с заданным сообщением и используемым только один раз. Преимущество квантовых систем заключается в том, что они позволяют обнаруживать активность перехватчика и тем самым гарантируют безопасность передачи.

При использовании таких  систем на практике большое значение приобретает скорость распространения  квантовых ключей. Достигнутое исследователями с использованием 50-километровой оптоволоконной линии связи значение в 1 Мбит/с уже позволяет шифровать передачу видеосигналов; кроме того, новая установка проработала в непрерывном режиме целых 36 часов, намного опередив представленные ранее образцы, которые при сравнимой скорости выдерживали лишь несколько минут.

Основной составляющей успеха эксперимента учёные называют чувствительные и быстродействующие  детекторы фотонов — лавинные фотодиоды. Стабильность долговременной работы установки обеспечивала спроектированная авторами оригинальная система обратной связи.

2.5 Система запутывания атомов на разных сторонах улицы

Новый опыт по созданию состояния  квантовой сцепленности для необычайно удалённых атомов открывает дорогу к построению крупномасштабных и разветвлённых сетей, защищённых от прослушивания принципами квантовой криптографии.

Квантовая криптография использует в своих интересах  тот факт, что состояние частицы  невозможно узнать, не разрушив его. Приготавливая  частицы (в частности фотоны) в  состоянии квантовой запутанности и отправляя одну из них адресату, можно таким методом передавать ключи для расшифровки секретных сообщений. Однако если речь идёт о создании не просто канала между двумя фиксированными абонентами, а о построении сети, подобной компьютерной, то возникает проблема узлов. В них квантовая информация должна быть расшифрована и вновь регенерирована для отправки дальше. Это место становится точкой уязвимости.

Но её можно избежать, если на всём протяжении передавать информацию только в квантовом виде. Для такой  технологии нужны квантовые узлы, состоящие из запутанных между собой атомов, поглощающих и излучающих фотоны. Теперь учёные из института квантовой оптики Макса Планка проделали именно такой трюк, запутав два атома, расположенных в двух лабораториях на разных сторонах улицы.

По информации Science, каждый атом находился между двух зеркал, разделённых расстоянием в 0,5 мм. Они образовывали оптический резонатор, позволяющий атомам и фотонам эффективно взаимодействовать между собой. Состояние запутанности достигалось, когда при помощи дополнительного лазера физики заставляли первый атом выпустить единичный фотон, который добирался до второго атома в другом резонаторе по 60-метровому оптическому кабелю (расстояние между двумя лабораториями при этом составляло 21 метр).

В серии опытов учёные показали, что изолированные в своих оптических ловушках единичные атомы могут выступать в роли идеальных хранителей и передатчиков квантовой информации, которые передают друг другу квантовые ключи за счёт обмена единичными фотонами. По словам исследователей, запутанность в принципе может быть продлена до третьего атома, что делает систему масштабируемой. (Все подробности эксперимента изложены в Nature.)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3 Системы взлома устройств квантовой криптографии

3.1 Взлом системы распределения квантовых ключей

Физики из Торонтского университета провели экспериментальную демонстрацию необнаруживаемого перехвата сообщений в системе распределения квантовых ключей, реализованной швейцарской компанией ID Quantique.

Надёжность квантовой  криптографии, напомним, обеспечивается тем, что активность перехватчика неизбежно  создаёт некоторый уровень шума в канале, который выдаёт присутствие постороннего. При этом пользователь любой системы, функционирующей в реальных условиях, вынужден мириться с неустранимым шумом, «безопасный» уровень которого определён. Так, для известного протокола ВВ84максимальная частота появления ошибочных квантовых битов, гарантирующая защищённость передачи, установлена на уровне 20%.

Доказательства безусловной  стойкости криптографических систем, однако, выводятся для идеализированного  состояния, которое может и не соответствовать реальности. Внимание авторов привлекло входящее в такие доказательства предположение о том, что отправитель всегда подготавливает квантовые состояния битов без ошибок.

В 2007 году физики показали теоретическую возможность прослушивания системы распределения квантовых ключей при нарушении указанного выше условия (см. статью в журнале Physical Review A). Сейчас эти выкладки получили подтверждение в экспериментах с установкой ID-500, выпущенной ID Quantique и работающей по протоколу BB84: по данным учёных, им удалось взломать систему, сохранив частоту появления ошибок в 19,7%.

Представители ID Quantique, впрочем, не видят в этом результате ничего сенсационного. «Он важен и интересен, но только как доказательство того, что системы квантовой криптографии не отличаются от других технологий обеспечения защиты: их тоже необходимо тестировать, — поясняет инженер компании Грегори Риборди (Gregory Ribordy). — ID-500, система изготовленная в 2004 году, уже устарела, к тому же она не была рассчитана на промышленное применение». В современных установках ID Quantique, поставляемых на рынок, «безопасный» уровень ошибок снижен до 8%.

3.2 Взлом двух промышленных систем распределения квантовых ключей

Учёные из Норвегии и  Германии нашли сравнительно простой  и не слишком затратный способ перехвата сообщений в системах распределения квантовых ключей, сконструированных инженерами компаний ID Quantique и MagiQ Technologies.

Наиболее известный  квантовый протокол распределения  ключей BB84 использует четыре квантовых состояния, которые образуют два базиса; можно, к примеру, задействовать четыре типа поляризации фотонов в «ортогональном» и «диагональном» базисах. Алиса посылает Бобу фотоны в произвольно выбранных базисах, а тот регистрирует их, причём здесь базисы также устанавливаются произвольным (и не зависящим от выбора Алисы) способом. Если Боб не угадывает, результат измерения оказывается случайным. Когда передача завершается, принимавшая сообщение сторона открыто сообщает, в каком базисе проводились измерения каждого фотона, а Алиса раскрывает информацию о базисе, в котором эти фотоны были подготовлены. Результаты некорректных измерений отбрасываются, а оставшиеся данные преобразуются в строку битов (ключ), длина которой, как несложно догадаться, уменьшается в среднем в два раза по сравнению с длиной отправленной Алисой строки.

Ева может занять место  между Алисой и Бобом, но на надёжность системы это не повлияет, поскольку  она, как и Боб, не знает, в каком базисе подготовлены фотоны. Если Ева не угадывает, а Боб, напротив, проводит измерение в нужном базисе, то вместо правильного результата он получает случайное значение. При сравнении битов после обмена эти ошибки обнаруживаются, что и позволяет раскрыть присутствие Евы.

Все эти рассуждения  справедливы в идеальном случае, но на практике задача взлома систем распределения  ключей вполне реальна: «слабым звеном»  оказался лавинный диод, который используется для регистрации отдельных фотонов. Для того чтобы обеспечить чувствительность к одиночным квантам света, эти полупроводниковые элементы переводят в так называемый гейгеровский режим при подаче напряжения обратного смещения Vсм, превышающего пробойное Vп. При попадании фотона образуется лавина носителей заряда, через диод протекает ток, который превышает установленное пороговое значение Iпор, и схема регистрирует факт прихода частицы. Затем Vсм намеренно снижают, чтобы «погасить» лавину, после чего диод возвращается в исходное гейгеровское состояние. Обычно на диод подают постоянное напряжение, несколько уступающее пробойному по величине, и импульсы напряжения, которые создают чёткую последовательность гейгеровских периодов.

При уменьшении Vсм диод работает в «классическом» линейном режиме: протекающий через него ток становится пропорционален мощности падающего излучения, а пороговое значение Iпор преобразуется, следовательно, в пороговую мощность Рпор. Именно на этом и основан предлагаемый физиками способ взлома. В их схеме детекторы Боба переводятся в линейный режим, а Ева отсылает ему не одиночные фотоны, а импульсы, по мощности несколько превосходящие Рпор. В этом случае, как показывают эксперименты, можно добиться того, что Боб будет регистрировать приход импульса только тогда, когда он выбирает тот же базис, что и Ева. В результате половина битов пропадает, но это ограничение не слишком важно, поскольку детекторов Боба достигает намного меньше половины испущенных Алисой фотонов. Кроме того, эффективность регистрации лавинными диодами отдельных квантов далека от 100%, тогда как импульсы в линейном режиме они детектируют исправно.

Для того чтобы перевести  лавинный диод в линейный режим, необходимо, очевидно, уменьшить напряжение смещения или увеличить напряжение пробоя. Учёные решили эту задачу довольно простым способом: они направили на детекторы излучение лазера, работающего в непрерывном режиме с мощностью около 1 мВт. Это позволило взломать системы Clavis2 и QPN 5505, поставляемые ID Quantique и MagiQ Technologies. Представителей компаний, разумеется, уведомили о том, что их продукция оказалась ненадёжна; в ID Quantique, по словам разработчиков, уже приняли ответные меры. «Этот способ атаки гораздо более практичен и опасен, чем всё, с чем мы сталкивались прежде», — подтверждает сотрудник ID Quantique Грегуар Риборди (Grégoire Ribordy). При этом Риборди призывает не драматизировать ситуацию, указывая на то, что модификации Clavis2, поставляемые в университеты, сильно отличаются от тех, которые используются по прямому назначению: последние предлагают дополнительные уровни защиты.

Стоит сказать, что в  своих опытах учёные использовали генератор сигналов, оптический аттенюатор, лазерный диод со стекловолоконными выводами, измеритель мощности излучения, осциллограф и несколько вольтметров. Стоимость такого набора оборудования не превышает десяти тысяч евро. «Эксперименты заняли около двух месяцев», — добавляет участник исследования Вадим Макаров изНорвежского научно-технологического университета.

3.3 Взлом действующей системы квантовой криптографии

Группа физиков из Национального университета Сингапура и Норвежского технологического университета взломала действующую систему квантовой криптографии.

В наиболее известных  квантовых схемах для распространения  секретного ключа используются фотоны, которые могут иметь четыре типа поляризации в двух различных  базисах («ортогональном» и «диагональном»). Алиса посылает Бобу фотоны в произвольно выбранном базисе, и тот регистрирует их, также устанавливая базис измерения произвольным образом, не зависящим от выбора Алисы. Если Боб не угадывает, результат измерения оказывается случайным. Когда передача завершается, принимавшая сообщение сторона открыто сообщает, в каких базисах проводились измерения, а Алиса раскрывает информацию о базисах, в которых фотоны были подготовлены. Результаты некорректных измерений отбрасываются, после чего оставшиеся данные преобразуются в строку битов — секретный ключ.