Русская Википедия:Lo05
Протокол Lo05 — квантовый криптографический протоколШаблон:Нет АИ распределения ключей, созданный учёными Хои-Квоном Ло, Ксионфеном Ма и Кай Ченом.[1]
Причины создания протокола
Протоколы квантового распределения ключей основаны на фундаментальных законах физики, в отличие от протоколов классической криптографии, большинство из которых построены на недоказанной вычислительной трудности взлома алгоритмов шифрования.
Квантовые протоколы сталкиваются со значительными трудностями при их физической реализации, что в конечном счёте делает их небезопасными. В частности, в качестве источника фотонов используют лазеры, но такие источники не всегда генерируют сигналы с единичными фотонами. Поэтому такие протоколы, как BB84 или B92, подвержены различным атакам. Например, Ева может измерить количество фотонов в каждом сигнале Алисы и подавить все сигналы, содержащие только один фотон. Далее Ева может разбить мультифотонные сигналы, сохранив одну копию себе, а другую отправив Бобу. Это полностью нарушает безопасность квантового протокола (например BB84). Только те сигналы Алисы, которые состоят из одного фотона, гарантируют безопасность протокола BB84.
В 2005 году группой Ло был предложен протокол, который позволяет обойти подобные недостатки существующих протоколов. Идея данного протокола основана на «состояниях-ловушках». То есть на квантовых состояниях, которые используются лишь для определения наличия Евы в канале связи. Можно выразить скорость генерации секретного ключа в таком виде : <math>S \geq Q_{\mu}*(-H_{2}(E_{\mu})+\Omega[1-H_{2}(e_{1})])</math>, где
<math>Q_{\mu}</math> — изменение сигнала состояния
<math>E_{\mu}</math> — квантовый бит скорости возникновения ошибки сигнала состояния
Ω — доля однофотонных сигналов Алисы, которые Боб смог детектировать
<math>e_{1}</math> — квантовый бит скорости возникновения ошибки событий детектирования Бобом однофотонных сигналов порожденных Алисой
<math>H_{2}</math> — бинарная энтропия Шэннона
Априори трудно установить нижние и верхние границы на два последних параметра, поэтому известные алгоритмы работают с предположением, что Боб получит все мультифотонные сигналы Алисы. Поэтому, до сих пор, считалось, что требование безусловной криптографической стойкости ухудшит производительность протоколов квантового распределения ключей[2]. Алгоритм Lo05 предоставляет простой способ качественной оценки границ для <math>e_{1}</math> и <math>H_{2}</math>, который может быть реализован на основе существующего аппаратного обеспечения, а значит, не требует предположений о безопасности канала передачи информации. Основная идея метода в том, что Алиса генерирует набор дополнительных состояний «приманок», в дополнение к стандартным состояниям, используемым в BB84. Приманки используются только с целью обнаружения подслушивания, в то время как стандартные состояния BB84 используются для генерации ключей. Единственным различием между состояниями является их интенсивность.[1]
Описание алгоритма
Основная Идея
Квантовый выход
В реальности имеются два случая:
- <math>n = 0</math>: В отсутствии Евы, <math>Y_{0}</math> просто определяется фоновой скоростью детектирования событий системы.
- <math>n \geqslant 1</math>: В этом случае квантовый выход <math>Y_{n}</math>определяется двумя источниками — детектированием сигнальных фотонов <math>\eta_{n}</math> и фоновым событием <math>p_{dark}</math>. Считая эти источники независимыми получим: <math>Y_{n} = \eta_{n}+p_{dark}-\eta_{n} \cdot p_{dark} \approx \eta_{n}+p_{dark}</math>. Такое предположение возможно, так как фоновая скорость (около <math>10^{-5}</math>) и эффективность передачи (около <math>10^{-3}</math>) малы. Предположим, что общая вероятность передачи каждого фотона равна <math>\eta</math>. В обычном канале предполагается независимость поведения <math>n</math> фотонов. Таким образом, эффективность передачи <math>n</math>-фотонных сигналов <math>\eta_{n}</math> определяется по формуле: <math>\eta_{n} = 1-(1-\eta)^{n}</math>.
Квантовый бит скорости возникновения ошибки сигнала состояния (КБСО)
В реальности имеются два случая:
- Пусть сигнал — вакуум (<math>n = 0</math>). Предположим, что оба детектора имеют одинаковую фоновую скорость детектирования событий, тогда выход совершенно случаен, а частота ошибок составит 50 %. Получается, что КБСО для вакуума <math>e_{0}=1/2</math>.
- Если сигнал имеет <math>n \geqslant 1</math> фотонов, то он также имеет некоторую частоту ошибок <math>e_{n}</math>. Она состоит из двух частей — ошибочных обнаружений и вклада фона. <math>e_{n} = (e_{detector} \cdot \eta_{n} + \tfrac{1}{2}p_{dark})/Y_{n}</math>, где <math>e_{detector}</math> не зависит от <math>n</math>. Значения <math>Y_{n}</math> и <math>e_{n}</math> могут быть экспериментально проверены Алисой и Бобом, если они будут использовать метод состояний «приманок». Любые попытки Евы вмешаться почти всегда будут определены.[1]
Выводы
Для сравнения, в обычных алгоритмах для безопасного квантового распределения ключа μ выбирается порядка <math>O(\eta)</math>, что дает чистую скорость генерации ключа порядка <math>O(\eta^2)</math>, соответственно алгоритм существенно увеличивает чистую скорость генерации ключа с <math>O(\eta^2)</math> до <math>O(\eta)</math>. Кроме того этот метод позволяет безопасно распространять ключи на гораздо большие расстояния, что ранее считалось невозможным. Также этот метод даёт оптимальное значение количества фотонов равное 0,5, что выше, чем экспериментаторы обычно использовали. Часто выбиралось значение 0.1, как самое удобное значение среднего числа фотонов без какого-либо обоснования безопасности. Другими словами, обычное оборудование работающее с параметрами, предложенными данным алгоритмом позволит экспериментаторам не только получать такие же по качеству результаты, но и превосходящие их текущую экспериментальную производительность.[1]
Примечания
Ссылки
- Lo H., Ma X., Chen K. Decoy state quantum key distribution., Phys. Rev. Lett. 94, 230504, 2005.
- Hwang W.-Y. Phys. Rev. Lett. 91, 057901 (2003).
См. также