Русская Википедия:Дифференциальный фазовый сдвиг

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Дифференциальный фазовый сдвиг (англ. DPS(Differential-phase-shift)) — протокол квантового распределения ключа, который был предложен в 2002 году Иноуэ, Ваксом и Ямамото[1]. Протокол использует для кодирования информации дифференциальный сдвиг ослабленных когерентных состояний света. Носителями информации являются 2-х уровневые системы, называемые кубитами (квантовыми битами).

Введение

Квантовое распределение ключей(КРК) обеспечивает предотвращение утечки защищаемой информации и несанкционированных воздействий на защищаемую информацию основываясь на законах квантовой физики. В нем cекретный ключ для шифрования сообщения основываясь на квантовой механике безопасно разделяется между двумя легальными участниками обмена информацией(Алисой и Бобом). При этом криптоаналитик(Ева), имеющий доступ к каналу связи, не может получить доступ к полезной информации. DPS является одним из распространенных протоколов КРК. В отличае от других он не имеет процедуры выбора базиса, при этом требуя простую конфигурацию для реализации. Также преимуществом является устойчивость к атаке с расщеплением числа фотонов[2], которая является проблемой для BB84[3]. Эксперименты КРК с данным протоколом точки показали рекордные значения с точки зрения зрения расстояния передачи и скорости создания ключа[4], хотя безопасность сгенерированного ключа была ограничена из-за общей индивидуальной атаки.[5]

Описание протокола

Алгоритм распределения ключей

Файл:Dps protocol redone.png
Алгоритм распределения ключей в протоколе dps.

1) Алиса генерирует последовательность когерентных импульсов, которые ослабляются так, что среднее число фотонов на импульс меньше 1, случайным образом модулируется по фазе на 0 или π и отправляется по квантовому каналу Бобу.

2) Каждый фотон когерентно распространяется на множество импульсов с фиксированной фазовой модуляцией.

3) На стороне приемника Боб делит поступающие импульсы на два пути и объединяет их, используя светоделители 50/50. Временная задержка, вносимая его интерферометром, равна обратной частоте тактового генератора или же равна временной разнице между последовательными импульсами.

4) Однофотонные детекторы размещены на выходных портах второго светоделителя. После прохождения интерферометра Боба последовательные импульсы интерферируют на выходном светоделителе, и то, какой детектор регистрирует событие обнаружения, зависит от разности фаз двух импульсов. Если интерферометр правильно отрегулирован, детектор 1 записывает событие, когда разность фаз равна 0, а детектор 2 записывает событие, когда разность фаз равна π.

5) Поскольку среднее число фотонов на импульс меньше единицы, Боб фиксирует фотон только изредка и в случайные моменты времени. Боб публично объявляет случаи, когда фотон был обнаружен, но он не раскрывает, какой детектор его обнаружил.

6) По своим данным модуляции Алиса знает, какой детектор на сайте Боба записал событие. Таким образом, назначая события обнаружения, записанные детектором 1 и 2, как биты 0 и 1 соответственно, они могут совместно использовать идентичную битовую строку.

Криптоанализ

Введение

Безопасность протокола DPS проистекает из недетерминированного коллапса волновой функции при квантовом измерении. В частности, если число импульсов во времени когерентности источника Алисы равно <math>n_{p}</math>, то каждый из фотонов Алисы находится в суперпозиции всех состояний, которые соответствуют <math>n_{p}</math> моментам времени, с соответствующей фазой, примененной к каждому из них. Общая волновая функция является результирующим состоянием этих отдельных фотонных состояний. На стороне Боба обнаружение в определенный момент времени <math>n</math> показывает разность фаз между импульсами в моменты времени <math>n</math> и <math>n+1</math>, что соответствует одному биту информации. Однако эти события происходят совершенно случайным образом, поэтому Ева(перехватчик) не может определенным образом свернуть волновую функцию в один и тот же момент времени и получить тот же бит информации, что и Боб.

Атака светоделителем

В атаке светоделителем, Ева использует светоделитель для получения когерентных копий квантового состояния импульсов, которые Алиса посылает Бобу. Она также заменяет квантовый канал с потерями на канал без потерь, а несовершенные детекторы в приемном устройстве Боба - на идеальные. Предположение, что Ева может заменить несовершенные детекторы Боба совершенными, может показаться нереальным. Тем не менее, есть несколько способов, которыми Ева может улучшить характеристики детекторов Боба. Например, Ева может изменить длину волны фотонов в область с более высокой эффективностью обнаружения. Аналогичный аргумент может быть применен к скорости счета темных. Чтобы объяснить это, анализ безопасности основывается на консервативном предположении, что Ева контролирует квантовую эффективность и скорость темнового счета детекторов Боба.

Подобная атака не вызывает ошибок в коммуникации между Алисой и Бобом. Следовательно, она дает Еве полную информацию, что соответствует вероятности коллизии для каждого бита <math>p_{c_{0}} = 1</math>, для доли бит, равной <math>2\mu(1-T)</math>, где <math>\mu</math> - среднее количество фотонов за импульс, а <math>T</math> - общая эффективность передачи квантового канала и оборудования Боба. Для оставшейся <math>1-2\mu(1-T)</math> доли битов Ева не получает никакой информации, что означает, что <math>p_{c_{0}} = 1/2</math> для этих битов. Этот результат показывает, что взаимная информация между Евой и Бобом не зависит от эффективности передачи системы <math>T</math>, если <math>T << 1</math>. Следовательно, в случае <math>T << 1</math>, взаимную информацию между Евой и Бобом можно сделать небольшой, просто выбрав малый <math>\mu</math>, который не зависит от <math>T</math>.[6]

Атака перехватом и пересылкой

Воспользовавшись присущей системе частотой ошибок, Ева также может применить атаку перехватом и пересылкой на некоторые импульсы, которые отпрравит Бобу после своего светоделителя. В этой атаке, Ева перехватывает некоторые импульсы, позволяет им проходить через интерферометр, идентичный Бобу, измеряет разности фаз, и в соответствии с результатом своего измерения она отправляет Бобу соответствующее состояние. В случае неточного или вакуумного результата она отправляет вакуумное состояние. Тогда как, когда она измеряет один фотон, она посылает фотон, разделенный на два импульса с правильной разностью фаз 0 или π, примененной между ними. Когда этот фотон прибывает к Бобу, он его подсчитывает, возможно, в три момента времени. Когда Боб измеряет центральный момент времени, он не обнаруживает подслушивание, потому что он получает правильную разность фаз. Тем не менее, с вероятностью 50% он измеряет дополнительные моменты времени, которые дают случайные, некоррелированные результаты, а с вероятностью 50% они приводят к ошибке.Следовательно, эта атака вызывает общую ошибку 25% в связи между Алисой и Бобом. Это означает, что если частота ошибок системы равна <math>e</math>, Ева может применить свою атаку к фракции из <math>4e</math> фотонов, чтобы не превысить эту частоту ошибок. С вероятностью 50%, то есть вероятностью того, что Боб измеряет центральный момент времени для повторно отправленного фотона, Ева получает полную информацию для этих перехваченных фотонов, что означает, что <math>p_{c_{0}} = 1</math> для доли из <math>2e</math> битов. Ева не получает никакой информации об оставшихся битах.[6]

Гибридная атака

Если объединить атаку светоделителем с атакой перехватом и пересылкой, то доля битов, для которых у Евы нет информации, то есть для которых <math>p_{c_{0}} = 1/2</math>, равна <math>1 - 2\mu(1-T) - 2e</math>, при этом она получает полную информацию для остальных битов. Таким образом, если <math>n</math> - длина ключа, средняя вероятность совпадения между битами, принадлежащими Бобу и Еве, определяется выражением:

<math>p_{c_{0}} = p_{c_{0}}^n = (1/2)^{n[1 - 2\mu(1-T) - 2e]}</math>

Коэффициент уменьшения приватности:

<math>\tau = - {\log_{2}p_{c} \over n} = 1 - 2\mu(1-T) -2e</math>

А коэффициент генерации секретного ключа:

<math>R_{DPS} = \nu p_{click} {\tau + f(e)[elog_{2}e + (1-e)log_{2}(1-e)]}</math>,

где <math>\tau</math> это коэффициент уменьшения приватности, <math>p_{click}</math> - вероятность того, что Боб обнаружит фотон в заданном такте, <math>\nu</math> - частота повторения передачи, а <math>f(e)</math> - функция характеризующая производительность алгоритма коррекции ошибок.

Для случая незначительной частоты ошибок и <math>p_{dark} << p_{signal} << 1</math>:

<math>R_{DPS} \thickapprox \nu \mu T (1-2\mu)</math>,

где <math>\mu</math> - среднее количество фотонов за импульс, а <math>T</math> - общая эффективность передачи квантового канала и оборудования Боба.[6]

Вывод

Используя методы теории обобщенного усиления конфиденциальности можно подобрать длину секретного ключа как:

<math>r = n\tau - \kappa - t</math>

где <math>n</math> - длина полученной в процессе обмена по протоколу DPS Алисой И Бобом последовательности бит, <math>\kappa</math> - количество битов, раскрытых во время коррекции ошибок, <math>t</math> - параметр безопасности, а <math>\tau</math> это коэффициент уменьшения приватности.

В этом случае криптоаналитик использующий перечисленные атаки не сможет извлечь секретный ключ из полученных данных.[7]

Примечания

Шаблон:Изолированная статья