Оценка защищённости практической квантово-криптографической системы на основе волоконно-оптических линий связи от несанкционированного доступа - Диссертация
История и основополагающие принципы квантовой криптографии. Наиболее популярные волоконно-оптические системы. Несанкционированный доступ к абонентам через общий оптический канал связи и возможные меры противодействия. Планируемый модельный эксперимент.
При низкой оригинальности работы "Оценка защищённости практической квантово-криптографической системы на основе волоконно-оптических линий связи от несанкционированного доступа", Вы можете повысить уникальность этой работы до 80-100%
Санкт-Петербургский Государственный Технический Университет Диссертация допущена к защите зав. кафедрой Тема: Оценка защищенности практической квантово-криптографической системы на основе волоконнооптических линий связи от несанкционированного доступаКвантовая криптография - весьма динамично развивающаяся ветвь современной криптографической науки, сулящая много новых перспектив в традиционных областях применения - дипломатической связи, военном деле, бизнесе и других областях, требующих передачи секретной информации. В экспериментальных и теоретических работах по квантовой криптографии, проводимых до сегодняшнего дня, рассматривалось множество разнообразных схем и протоколов обмена, а также устойчивость этих схем и протоколов по отношению к различным приемам несанкционированного доступа. Однако до самого последнего времени игнорировалась одна из возможных стратегий несанкционированного доступа к информации в квантово-криптографических системах, целиком основанная на эксплуатации паразитных свойств реальных оптических схем, а именно, отражательных потерь оптических компонентов. Оказывается, что при использовании этих свойств, для широкого класса схем квантовой криптографии возможно осуществление доступа к абонентам системы извне, через общий оптический канал, этих абонентов соединяющий, в результате чего успешно обходится часть ограничений квантовой механики, обеспечивающих секретность этих систем. Теоретическое исследование стратегии несанкционированного доступа к абонентам через общий оптический канал связи на примере квантово-криптографических систем на основе волоконнооптических линий связи с использованием протоколов обмена BB84 и B92 на фазовых состояниях.Причинность, исходно не являющаяся ингредиентом нерелятивистской квантовой механики, может быть тем не менее использована для квантовой криптографии совместно с принципом суперпозиции: если две системы, состояния которых образуют некую суперпозицию, разделены во времени, не будучи связаны причинностью, то нельзя определить суперпозиционное состояние, проводя измерения на каждой из систем последовательно. Здесь состояния 0A и 1A кодируют значения “0” и "1" в базисе А, а 0B и 1B кодируют те же значения в базисе B. Два состояния, принадлежащие к одному и тому же базису, являются ортогональными, то есть их можно различить надежно при условии, что измерения проводятся в том же самом базисе. Если базис, выбранный Бобом для измерения, совпадает с базисом, выбранным Алисой для передачи, то биты данных у Алисы и Боба будут идентичны; в противном случае они совпадут с вероятностью 1/2. Известно, что при используемом повсеместно способе получения одиночных фотонов, а именно, ослаблении лазерного излучения до средней интенсивности ? ?1 фотона на импульс, определенная доля выходного излучения будет содержать более одного фотона в импульсе (это определяется пуассоновской статистикой, которой подчиняется излучение лазера).Осуществлено теоретическое исследование стратегии несанкционированного доступа к абонентам через общий оптический канал связи на примере квантово-криптографических систем на основе волоконнооптических линий связи c использованием протоколов обмена BB84 и B92 на фазовых состояниях. Осуществлены подготовительные измерения на оптической части квантово-криптографической установки NTNU, в ходе которых экспериментально подтвержден принцип несанкционированного доступа к абонентам через общий оптический канал связи.
ПРИНЦИПЫ, ПРОТОКОЛЫ И СХЕМЫ КВАНТОВОЙ КРИПТОГРАФИИ...................7
ВВЕДЕНИЕ.ИСТОРИЯ И ОСНОВОПОЛАГАЮЩИЕ ПРИНЦИПЫ КВАНТОВОЙ КРИПТОГРАФИИ.............7 ПРОТОКОЛ BB84.............................................................................................................................11 ДРУГИЕ ПРОТОКОЛЫ КВАНТОВОЙ КРИПТОГРАФИИ ........................................................................15 НАИБОЛЕЕ ПОПУЛЯРНЫЕ ВОЛОКОННО-ОПТИЧЕСКИЕ КВАНТОВО-КРИПТОГРАФИЧЕСКИЕ СИСТЕМЫ, ИСПОЛЬЗУЮЩИЕ ПРОТОКОЛЫ ОБМЕНА BB84 И B92 НА ФАЗОВЫХ СОСТОЯНИЯХ.........................19
TRIALБ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К АБОНЕНТАМ ЧЕРЕЗ ОБЩИЙ ОПТИЧЕСКИЙ КАНАЛ СВЯЗИ И ВОЗМОЖНЫЕ МЕРЫ ПРОТИВОДЕЙСТВИЯ.................................................................................................................23
ГРАНИЦЫ ПРИМЕНИМОСТИ.............................................................................................................23 ЦИКЛ ПЕРЕДАЧИ. ВРЕМЕННЫЕ ПАРАМЕТРЫ СХЕМ.........................................................................25 ДОСТУП К ПЕРЕДАЮЩЕЙ ЧАСТИ.....................................................................................................26 Общая схема...............................................................................................................................26 Косвенное детектирование бит данных ................................................................................27 Детектирование базисов передачи (только для протокола BB84) .....................................28 ДОСТУП К ПРИЕМНОЙ ЧАСТИ..........................................................................................................30 МЕРЫ ЗАЩИТЫ................................................................................................................................31 ЗАМЕЧАНИЯ ПО КОНКРЕТНЫМ СХЕМАМ.........................................................................................32
ОПИСАНИЕ ЭКСПЕРИМЕНТАЛЬНОЙ УСТАНОВКИ И МЕТОДИКИ ИЗМЕРЕНИЙ ............................................................................................................................................................38
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ..................................................................48
4
Введение
Введение
История и основополагающие принципы квантовой криптографии
С древнейших времен люди изыскивали способы коммуникации, которые бы обеспечивали сохранение передаваемой информации в тайне от третьих лиц, что было актуально для нужд дипломатии, торговли, военного дела и любовной переписки. Для этого применялись разнообразные виды кодирования информации. Все они обеспечивали секретность передаваемой информации в той или иной мере, однако ни один из них не давал абсолютной защиты. В 1918 г. Вернамом был изобретен шифр, для которого позднее, в конце 40-х гг., было проведено доказательство абсолютной секретности. Условия этой секретности являются, собственно, главным недостатком этого шифра: требуется абсолютно случайный ключ такой же длины, как и передаваемое сообщение, причем использоваться этот ключ должен всего лишь один раз. Следовательно, перед тем, как передать тайное сообщение, нужно вначале передать по каналу, весьма надежно защищенному от несанкционированного доступа, такой же длины сообщение, содержащее секретный ключ. Такая система оказывается громоздкой, неудобной в использовании и дорогой, изза чего применяется крайне редко.
В 70-х гг. была изобретена т.н. система криптографии с открытым ключом, в которой существует два ключа: один для зашифровки сообщений, оглашаемый публично, а другой для расшифровки, хранимый в тайне. Данная система используется сейчас практически повсеместно, хотя ее секретность так и не была никем строго доказана (как, впрочем, не доказано и обратное). Эта система основана на специального вида функциях, вычисление которых в одном направлении не представляет трудностей, а в обратном - весьма
7 затруднено. В частности, проблема вычисления секретного ключа при наличии публичного сводится к проблеме факторизации больших чисел, которая считается трудноразрешимой до сегодняшнего времени. Однако, в связи с ожидаемым появлением на свет квантовых компьютеров, для которых уже разработаны алгоритмы быстрой факторизации, системы с публичным ключом могут потерять свою эффективность. Поэтому возникла потребность в криптографических системах, основанных на других принципах.
Работа "Сопряженное кодирование" [1], которую написал Stephen Wiesner из Колумбийского университета, поначалу мало кем замеченная и даже не опубликованная, положила начало новому направлению в криптографической науке - квантовой криптографии. В ней, благодаря законам квантовой механики, стало возможным распространение между двумя или более абонентами секретного ключа, удовлетворяющего всем требованиям, предъявляемым шифром Вернама, что означает абсолютную секретность передаваемой информации. В 1984 г. Bennett и Brassard запатентовали первый протокол обмена для квантово-криптографической системы, известный как BB84 [2]. С этого момента интерес к квантовой криптографии в мире начал расти чрезвычайно быстро, и на сегодняшний день проведено уже огромное количество исследований, затрагивающих самые различные ее аспекты.
По формулировке авторов BB84, квантовая криптография - это метод, позволяющий двум пользователям, не обладающим изначально никакими общими для них секретными данными, договориться о случайном ключе, который будет секретным от третьего лица, осуществляющего несанкционированный доступ к их коммуникациям [3].
В криптографической науке выработалась своя традиционная терминология, несколько специфически звучащая на первый взгляд, однако весьма удобная на практике. Так, легальных пользователей по традиции называют "Алиса" и "Боб", тогда как лицо, осуществляющее несанкционированный доступ, называют "Ева". Мы не будем отступать от канонов и сохраним эту терминологию в настоящей работе.
8
Главными квантово-механическими принципами, составляющими основу для квантовой криптографии, являются [4]: 1. Невозможность различить абсолютно надежно два неортогональных квантовых состояния
Произвольное состояние любой двухуровневой квантово-механической системы можно представить в виде линейной суперпозиции ее собственных состояний 0 и 1 с комплексными коэффициентами: ? ?? 0 ? ? 1 , где ? 2 ? ? 2 ?1. Законы квантовой механики не позволяют абсолютно надежно различить два квантовых состояния
1 ??1 0 ? ?1 1
? и ?2 ??2 0 ? ?2 1 , если не выполнено 1 ?2 = 0, т.е. состояния ортогональны.
?
2. Теорема запрета на клонирование
Благодаря унитарности и линейности квантовой механики, невозможно создать точную копию неизвестного квантового состояния без воздействия на исходное состояние. Пусть, например, Алиса и Боб используют для передачи информации двухуровневые квантовые системы, кодируя биты данных состояниями этих систем. Если Ева перехватывает носитель информации, посланный Алисой, измеряет его состояние и пересылает далее Бобу, то состояние этого носителя будет иным, чем при измерении. Таким образом, подслушивание квантового канала наводит ошибки передачи, которые могут быть обнаружены легальными пользователями.
3. Квантовое запутывание
Две квантово-механические системы (даже разделенные пространственно) могут находиться в состоянии корреляции, так что измерение выбранной величины, осуществляемое на одной из систем, определит результат измерения этой величины на другой. Этот эффект называется квантовым
9 запутыванием. Ни одна из запутанных систем не находится в определенном состоянии, поэтому запутанное состояние не может быть записано как прямое произведение состояний подсистем. Синглетное состояние двух частиц со спином 1/2 может служить примером запутанного состояния: 0 ? 2 ?01 ? 10 ?
?
1
Измерение, проведенное на одной из двух подсистем, даст с равной вероятностью 0 или 1 , а состояние другой подсистемы будет противоположным (т.е. 0 , если результат измерения на первой системе был
1 , и наоборот).
4. Причинность и суперпозиция
Причинность, исходно не являющаяся ингредиентом нерелятивистской квантовой механики, может быть тем не менее использована для квантовой криптографии совместно с принципом суперпозиции: если две системы, состояния которых образуют некую суперпозицию, разделены во времени, не будучи связаны причинностью, то нельзя определить суперпозиционное состояние, проводя измерения на каждой из систем последовательно.
Процесс коммуникации будет рассмотрен подробно на примере протокола BB84, как исторически первого и наиболее популярного в настоящее время. Остальные протоколы будут описаны весьма кратко. Что же касается конкретных схем квантово-криптографических установок, то здесь будут рассмотрены лишь те из них, подслушивание которых является предметом настоящего исследования, а именно, волоконнооптические схемы, использующие протоколы обмена BB84 и B92 на фазовых состояниях.
10
Протокол BB84
Первый протокол обмена для квантовой криптографии под названием BB84 [2] изобрели Bennett и Brassard в 1984 году. Он использует для кодирования информации четыре квантовых состояния двухуровневой системы, формирующие два сопряженных базиса (обозначенных здесь буквенными индексами A и B): 0A , 1A , 0B ? 2 ?0A ? 1A ?, 1B ? 2 ?0A ? 1A ?.
1
1
Здесь состояния 0A и 1A кодируют значения “0” и "1" в базисе А, а 0B и 1B кодируют те же значения в базисе B. Можно представить их как поляризационные состояния частицы со спином 1/2: 0A и 1A соответствуют горизонтальному (00) и вертикальному (900) направлениям поляризации, а 0B и 1B - двум диагональным, а именно 450 и -450 (получаются из 0A и 1A путем поворота системы координат на 450). Два состояния, принадлежащие к одному и тому же базису, являются ортогональными, то есть их можно различить надежно при условии, что измерения проводятся в том же самом базисе. Однако, измерение в неправильном базисе (т.е., к примеру, попытка определить, какой из двух поляризаций - 00 или 900 - обладает частица, которая на самом деле поляризована под углом 450), даст абсолютно случайный результат.
Вначале мы опишем протокол в предположении отсутствия шума в квантовом канале, затем модифицируем описание, принимая шум во внимание. Обмен информацией осуществляется в две стадии: сперва по квантовому каналу, затем
11 по обычному каналу, открытому для подслушивания (например, через
Интернет).
На первой стадии Алиса выбирает случайно и с равной вероятностью одно из четырех квантовых состояний 0A , 0B , 1A , 1B , и пересылает его Бобу по квантовому каналу, фиксируя в своих записях значение бита данных и базис, в котором он закодирован. Боб производит измерение переданного состояния, в одном из двух возможных базисов A или B, выбранном независимо от Алисы, случайно и с равной вероятностью, также записывая результат измерений и выбранный базис. Если базис, выбранный Бобом для измерения, совпадает с базисом, выбранным Алисой для передачи, то биты данных у Алисы и Боба будут идентичны; в противном случае они совпадут с вероятностью 1/2. Алиса и Боб повторяют эту процедуру N раз, в результате чего каждый из них будет обладать строкой бит длиной N. Так как выбор базисов осуществлялся пользователями случайно и независимо, то примерно в 50% случаев они выберут различные базисы для передачи и детектирования.
На второй стадии Алиса и Боб общаются по открытому каналу, который, однако, должен обладать тем свойством, что Ева не может изменять передаваемые между ними сообщения. Алиса и Боб сообщают друг другу использованные ими при передаче значения базисов, и договариваются исключать из своих данных те биты, для которых базисы передачи и детектирования не совпадали. Результирующая строка бит называется сырым ключом.
Представим себе, что Ева осуществляет подслушивание квантового канала, перехватывая носители информации, посланные Алисой, осуществляя измерение их состояния и пересылая их далее Бобу. Эта стратегия носит название “перехват/регенерация”. Будем рассматривать здесь лишь те случаи, в которых Алиса и Боб выбрали одинаковые базисы (остальные биты будут исключены из конечного ключа в любом случае). Поскольку Ева вынуждена выбирать базисы для детектирования случайно и независимо от Боба и Алисы, то приблизительно в 50% случаев базисы Евы и Боба будут не совпадать. При
12 этом результаты изtrialий Боба будут случайными, но примерно на 50% совпадающими с данными Алисы. Таким образом, измерения Боба будут давать правильный результат с вероятностью 1/2 1/2 * 1/2 = 3/4, в то время как в отсутствие Евы они бы давали правильный результат всегда.
Это означает, что для осуществления теста на присутствие Евы Алиса и Боб должны сравнить публично некоторое случайно выбранное подмножество своих данных (разумеется, не используя затем биты данных из этого подмножества). Если ошибки присутствуют, значит, Ева осуществляла подслушивание; в этом случае полученные данные отбрасываются и процесс передачи начинается с самого начала. Если ошибок нет, оставшиеся биты формируют финальный секретный ключ.
Существует, однако, еще один способ подслушивания, известный как "расщепление луча". Принципиальная особенность его состоит в том, что Алиса и Боб не в состоянии определить наличие такого рода подслушивания в канале. Известно, что при используемом повсеместно способе получения одиночных фотонов, а именно, ослаблении лазерного излучения до средней интенсивности ? ?1 фотона на импульс, определенная доля выходного излучения будет содержать более одного фотона в импульсе (это определяется пуассоновской статистикой, которой подчиняется излучение лазера). Таким образом, поставив на пути фотонов обыкновенный делитель, Ева может получить некоторую информацию о ключе, и не внося ошибок в передачу. Эта возможность учитывается Алисой и Бобом в процессе получения финального секретного ключа: они исключают из своих данных количество бит, соответствующее объему информации, который может получить Ева в результате выполнения этой атаки.
Сказанное выше для второй стадии имеет силу лишь для идеального, бесшумного квантового канала. Но в реальном канале всегда присутствуют шумы, поэтому некоторое несоответствие в данных Алисы и Боба будет всегда, даже в отсутствие подслушивания. Так как Алиса и Боб не могут различить ошибки, имеющие причиной подслушивание, и ошибки, вызванные
13 естественными шумами канала, то им приходится предположить, что все ошибки передачи вызваны присутствием Евы. При этом стадия обмена по открытому каналу усложняется [3, 27].
Сначала Алиса и Боб извлекают сырой ключ как описано выше, при этом, разумеется, удаляются те битые интервалы, где Бобу не удалось продетектировать частицу вообще (например, изза неидеального детектора, или изза несовершенства применяемого способа генерации одиночных фотонов). Надо сказать, что в реальных системах таких интервалов большинство.
Далее Алиса и Боб производят оценку процента ошибок в сыром ключе, публично сравнивая выбранное ими случайно подмножество данных, которое, конечно же, будет исключено из дальнейшего рассмотрения. Если процент ошибок превосходит некоторый заданный уровень, то для Алисы и Боба будет невозможным придти к общему секретному ключу. В этом случае все данные отбрасываются и процесс передачи начинается заново. Если же этот уровень не превышен, то Алиса и Боб переходят к коррекции ошибок.
Целью здесь является удалить все ошибки из сырого ключа и придти к общей, свободной от ошибок кодовой последовательности (которая будет, однако, лишь частично секретной, благодаря тому, что некоторая информация будет утекать к Еве во время самого процесса коррекции). Для начала, Алиса и Боб производят некоторую случайную перестановку своих данных с целью рандомизации положения ошибок. После этого строки разбиваются на блоки длиной l, причем эта длина выбирается так, что вероятность обнаружить более одной ошибки в одном и том же блоке достаточно мала (l выбирается исходя из оцененного процента ошибок в сыром ключе). Для каждого из блоков производится проверка четности, после чего исключается последний бит каждого из сравниваемых блоков. Если четности у Алисы и Боба не совпадают, то внутри блока производится бинарный поиск местоположения ошибочного бита, с исключением последних бит сравниваемых субблоков. Найденный ошибочный бит также удаляется. Весь процесс (перестановка, разбиение на
14 блоки и проверка четности) повторяется нужное количество раз, после чего производятся те же самые действия, но уже с проверкой четности в случайно выбранных подмножествах и исключением случайно выбранного бита. Наконец, если ни одной ошибки не было обнаружено в течение некоторого количества последовательных итераций, Алиса и Боб заключают, что с очень высокой вероятностью оставшиеся данные не содержат ошибок.
Как уже сказано выше, данные , оставшиеся после коррекции ошибок, будут только частично секретными. Следующая процедура служит для того, чтобы извлечь из этих данных финальный секретный ключ. Основываясь на проценте ошибок в сыром ключе, определяется максимальное число бит k, известное Еве из общего количества оставшихся бит n. Пусть также s - параметр секретности, значение которого выбирается пользователями произвольно. Алиса и Боб выбирают публично n - k - s случайных подмножеств своих данных. Четности этих подмножеств они не раскрывают - эти четности и составляют финальный секретный ключ. Можно показать, что общая информация, которую Ева может иметь о финальном ключе, составляет менее чем 2?s /ln 2 бит [2].
Другие протоколы квантовой криптографии
Для большинства протоколов будет описан только процесс обмена по квантовому каналу, так как вторая стадия коммуникации в основном одинакова.
? Протокол B92 [5]
Введен Беннеттом в 1992 г. Им было показано, что в принципе любые два неортогональных состояния могут быть использованы для квантовой криптографии. Пусть ?0 и ?1 - два неортогональных квантовых состояния, кодирующие биты ”0” и ”1”, соответственно. Их произведение есть 0 ? ?0 ?1 2 ?1. Алиса посылает Бобу случайно выбранное состояние, после чего Боб применяет к нему случайным образом один из двух
15 несовместимых операторов проектирования: P ?1? ?1 ?1 , или 0
P ?1? ?0 ?0 .
1
0 однозначно уничтожает ?1 , но дает положительный результат с
P вероятностью 1? ?0 ?1 2 ? 0 будучи применен к ?0 , и наоборот для 1 .
P
Таким образом, результат измерения может быть ?0 , ?1 или двусмысленным (нуль может получится в результате воздействия i-того проектора на i-тое состояние, либо же любого проектора на вакуумное состояние - отсутствие фотона, и все эти случаи различить невозможно). На стадии обмена по открытому каналу Алиса и Боб исключают двусмысленные результаты, и после этого, в отсутствие подслушивания, примерно 1? ?0 ?1 2 ?2 их данных будут абсолютно коррелированы.
?
? Протокол 4 2 [6]
Этот протокол объединяет идеи из BB84 и B92. Биты "0" и "1" могут быть закодированы в двух базисах, но два состояния внутри одного базиса не ортогональны.
? Протокол с шестью состояниями [8]
Исходно это тот же самый протокол, что и BB84, но еще с одним базисом, а именно: 0C ? 2 ?0 ?i1 ? , 1
1C ? 2 ?0 ?i1 ?.
1
В соответствии с этим, существует еще два возможных направления поляризации для переданного фотона - право- и левоциркулярное.
? Протокол ЭПР [7]
Экертом был предложен протокол, основанный на квантовом запутывании. Вначале создается N максимально запутанных ЭПР-пар фотонов, затем один фотон из каждой пары посылается Алисе, а другой - Бобу. Три возможных
16 квантовых состояния для этих ЭПР-пар есть [27]:
?1 ?
1 ? 3
2 ? A 6
?
?
?
0
B ? 6 A 0 B ?, 3
?
?
?
?
?2 ?
1 ? ? 4?
2 ? 6 A 6
?
?
B ? 6
4
?
?
A 6
? и ?
?
B ?
?3 ?
1 ? 2? 5?
2 ? 6 A 6
?
?
B ? 6
5
?
2?
A 6
?, ?
?
B ?
что может быть записано в общем виде как ?i ? 2 ?0i A 1 B ? 1 A 0i B ?.
1 i i
Последняя формула явно показывает, что каждое из этих трех состояний кодирует биты "0" и "1" в уникальном базисе.
Затем Алиса и Боб осуществляют измерения на своих частях разделенных ЭПР-пар, применяя соответствующие проекторы
P ? 0 0
1
P ? 6
?
2
P ? 6
3
?
3
? 6
3
?
6
.
Алиса записывает измеренные биты, а Боб записывает их дополнения до 1. Результаты измерений, в которых пользователи выбрали одинаковые базисы, формируют сырой ключ. Для остальных результатов Алиса и Боб проводят проверку выполнения неравенства Белла как тест на присутствие Евы (Ева здесь интерпретируется как скрытый параметр).
? Протокол Гольденберга-Вайдмана [9]
Алиса и Боб используют для сообщения два ортогональных состояния: ?0 ? 2 ?a ? b ?, 1
?1 ? 2 ?a ? b ?, 1 кодирующие биты ”0” and ”1”,соответственно. Каждое из двух состояний
17
?0 и ?1 является суперпозицией двух локализованных нормализованных волновых пакетов, a и b , которые Алиса посылает Бобу по двум каналам различной длины, в результате чего они оказываются у Боба в разные моменты времени: волновой пакет b покидает Алису только после того, как волновой пакет a уже достиг Боба. Для этого можно использовать интерферометр с разной длиной плеч. Боб задерживает свое измерение до того момента, как оба волновых пакета достигнут его. Если время посылки a пакета известно Еве, то она способна перехватить информацию, послав
Бобу в соответствующий момент времени пакет, идентичный с a , измерив затем посланное Алисой суперпозиционное состояние и далее послав Бобу волновой пакет b с фазой, настроенной согласно результату ее измерений.
Чтобы предупредить эту атаку, используются случайные времена посылки. ? Протокол Коаши-Имото [10]
Этот протокол является модификацией предыдущего, но позволяет отказаться от случайных времен передачи путем асимметризации интерферометра, т.е. разбиения света в неравной пропорции между коротким и длинным плечами. Кроме того, разность фаз между двумя плечами интерферометра составляет ?. Таким образом, два состояния, кодирующие биты "0" и "1", есть
?0 ? ?i R a ? T b , и ?1 ? R a ?i T b , где R и T - отражательная и пропускательная способности входного лучерасщепителя, соответственно. В случае асимметричной схемы, когда амплитуда вероятности нахождения фотона в том или ином плече интерферометра зависит от значения передаваемого бита, компенсация за счет фазы не срабатывает полностью, и при применении Евой вышеописанной тактики существует ненулевая вероятность ошибки детектирования.
18
Наиболее популярные волоконнооптические квантово- криптографические системы, использующие протоколы обмена BB84 и B92 на фазовых состояниях
В данном подразделе будут описаны схемы, получившие наибольшее распространение в квантовой криптографии, а именно схема Тауншенда и классический и усовершенствованный варианты схемы "plug-n-play".
? Схема, реализованная Таунсендом [29], состоит из интерферометра Маха-Цендера, включающего в себя передающую часть, приемную часть и канал передачи, источника одиночных фотонов, представляющего собой лазер с сильным аттенюатором на выходе, и двух детекторов на основе лавинных фотодиодов, стоящих на выходах D0 и D1 (рис.1). Приемная и передающая части реализованы на двух оптических ответвителях (объединителях) каждая: обычном и поляризационном. Импульсы с лазера Алисы делятся на входном ответвителе и проходят в два плеча интерферометра, в одном из которых (длинном) происходит задержка, а в другом (коротком) - модуляция по фазе в соответствии с передаваемым значением бита и базисом. Сигналы из обоих плеч объединяются на выходном поляризационном объединителе, в результате чего они оказываются разделенными во времени и по поляризации. Проходя по каналу связи к Бобу, при помощи входного поляризационного делителя импульс, прошедший у Алисы длинное плечо, направляется у Боба в короткое, и наоборот. На выходном объединителе происходит интерференция, в результате которой, если передавался бит "1", сигнал возникает на выходе D1, а если "0", то на D0.
? Классический вариант схемы "plug-n-play", реализованный впервые Женевской группой [11,13], изображен на рис. 2. Принцип работы схемы заключается в интерференции двух слабых импульсов, сдвинутых по фазе относительно друг друга. Фазы импульсов меняются Алисой и Бобом. Конструктивная интерференция вызовет отсчет в детекторе Боба; таким
19 образом, независимый выбор фаз пользователями может эффективно транслировать информацию между ними. Последовательность работы схемы такова: 1. Лазер Боба излучает импульс.
2. На делителе C1 импульс разделяется на два импульса P1 и P2. Первый из них проходит напрямую в канал передачи, а второй - после отражения на фарадеевых зеркалах FM1, FM2.
3. Когда импульс Р1достигает PIN-детектора DA, последний включает фазовый модулятор Алисы PMA, который вносит фазовый сдвиг в импульс P2.
4. Оба импульса отражаются на фарадеевском зеркале FM3, и ослабляются аттенюатором A до однофотонного уровня.
5. Когда импульсы вновь достигают делителя C1, часть импульса P1 отражается на зеркале FM2 и проходит через фазовый модулятор Боба PMB, где приобретает соответствующий фазовый сдвиг.
6. Импульс P2 с фазовым сдвигом от Алисы интерферирует на C1 с импульсом P1, содержащим фазовый сдвиг от Боба.
Интерференция будет конструктивной или деструктивной, если разность фаз между импульсами будет равна 0 или ? соответственно. В каждом случае конструктивной интерференции, вызвавшей отсчет в детекторе Боба, значение сдвига фазы на модуляторе сохраняется как очередной бит данных. Достоинство схемы заключается в простоте ее настройки и отсутствии необходимости постоянной подстройки по ходу работы. Так как оба импульса проходят один и тот же путь, интерферометр автоматически оказывается выровненным. Благодаря наличию фарадеевских зеркал, поляризация каждого из этих импульсов подвергается строго определенной и взаимно противоположной эволюции на всем пути прохождения сигнала. Таким образом, видность интерференции всегда остается максимальной.
? В статье [12] Женевской группой описан усовершенствованный вариант схемы "plug-n-play" (рис. 3). Он содержит всего одно фарадеевское зеркало, 20 и по сравнению с классическим вариантом позволяет уменьшить количество ложных отсчетов детектора, вызванных переотражениями излучаемого сигнала. В этой схеме использовался протокол BB84. Отличие схемы состоит в том, что импульсы P1 и P2 разделяются по времени и по поляризации при помощи интерферометра с неравной длиной плеч, образуемого делителем C1 и поляризационным делителем PBS, в то время как в классической схеме разделение по времени осуществляется с помощью двух зеркал Фарадея.
21
Рис.1. Схема Тауншенда
Рис.2. Классическая схема "plug-n-play"
Рис.3. Усовершенствованная схема "plug-n-play"
22
Способ несанкционированного доступа к абонентам через общий оптический канал связи и возможные меры противодействия
Границы применимости
За последние 10 лет проведено множество исследований по квантовой криптографии [14-20], где доказана ее теоретическая устойчивость против многих видов атак, включая такие сложные и нереализуемые на сегодняшний день их разновидности, как, например, когерентные атаки, которые оперируют сразу всеми передаваемыми по квантовому каналу состояниями как единым целым. Обозначены также практические границы этой устойчивости для случая неидеальной среды и аппаратуры [15,17,19,20]. Все эти атаки объединяет то, что для осуществления подслушивания измерительная аппаратура Евы каким-либо образом взаимодействует с передаваемыми квантовыми состояниями. Оказывается, однако, что существует возможность подслушивать эти схемы, и не прибегая к такому взаимодействию, т.е. возможность определить переданную кодовую последовательность либо не имея дела с квантовыми состояниями вообще, либо детектируя их однозначно при помощи некоторой дополнительной информации, почерпнутой во время передачи.
Существует разумная традиция в исследованиях по квантовой криптографии, когда возможности Евы предполагаются ограниченными только лишь законами физики, но не текущим уровнем развития технологии. Мы будем предполагать это в настоящей работе, хотя можно показать, что все актуальные атаки этого вида могут быть реализованы на основе технологий сегодняшнего дня. Мы также даруем Еве исчерпывающее знание структуры передающего и приемного интерферометров, а также временных диаграмм их работы. Цель данной работы состоит не в подробном описании всех технических деталей
23 экспериментальной реализации подобной атаки, а лишь в демонстрации ее принципиальной возможности и описании главных особенностей. Все существующие квантово-криптографические системы могут быть разделены на два класса по их подходу к формированию квантовых состояний, составляющих квантовый алфавит. В первом классе формирование квантовых состояний происходит за счет модуляции какого-либо параметра (например, поляризации или фазы) проходящего света в рамках фиксированного множества значений. Для этого могут использоваться фазовые модуляторы или ячейки Поккельса. Другой класс схем использует различные источники света для формирования различных квантовых состояний; кроме того, здесь можно упомянуть схемы с генерацией запутанных пар без модуляции второго фотона и вероятностным его детектированием.
В реальной квантово-криптографической системе всегда будет присутствовать такое явление, как отражательные потери оптических компонентов. Это составит основу для предлагаемого метода несанкционированного доступа. Представим, что Ева посылает сканирующий импульс относительно большой интенсивности внутрь передающего интерферометра. Часть этого импульса, отраженная от какого-либо из оптических компонентов, возвратится назад. Если внутри передающего интерферометра есть модулятор, тогда сканирующий импульс до и после отражения может пройти через него (и оказаться промодулированным) один или несколько раз. Детектирование отраженного импульса даст Еве некоторую информацию об установках модулятора и, следовательно, о переданных квантовых состояниях. Отсюда следует, что лишь те квантово-криптографические схемы, которые принадлежат к первому классу (т.е. с внутренней модуляцией), подвержены данному виду атаки.
В качестве объекта несанкционированного доступа в настоящей работе будет рассмотрен лишь наиболее распространенный тип квантово-криптографических систем - волоконнооптические схемы, использующие протоколы обмена BB84 и B92 на фазовых состояниях.
24
Цикл передачи. Временные параметры схем
Рассматриваемые нами схемы используют фазовые модуляторы, управляемые напряжением, для формирования квантовых состояний. Типичная осциллограмма управляющего напряжения фазового модулятора представлена на рис.4.
Здесь ?rf - максимальное из времен нарастания и спада импульса управляющего напряжения модулятора, ?set - время установления управляющего напряжения с требуемой точностью, ?bit - интервал передачи бита данных, и ?i = ?rf ?set ?bit -продолжительность цикла передачи одного бита. ?(j) и ?(j 1) - фазовые сдвиги, кодирующие биты данных в j-том и (j 1)-ом циклах передачи, Vc(j) и Vc(j 1) - управляющие напряжения, соответствующие этим фазовым сдвигам. Обозначим за ?R время, за которое сканирующий импульс проходит расстояние от фазового модулятора до некоторого отражающего компонента в передающем интерферометре (см. рис.5).
Будем предполагать для удобства, что управляющее напряжение не меняется во время прохождения сканирующего и отраженного импульсов через модулятор, и что сам модулятор работает одинаково в обоих направлениях. Реально всегда присутствуют некоторые (как правило, медленные по сравнению со временем прохождения импульсами модулятора) колебания управляющего напряжения в течение цикла передачи, но они обычно относительно малы по амплитуде и могут привести к фазовой ошибке порядка 10-20 градусов, что терпимо для Евы, поскольку она использует многофотонные сигналы. Для передающей и приемной стороны, однако, точность установки фазового сдвига в модуляторах должна быть порядка 5-10 градусов для эффективного детектирования. Одиночный сканирующий импульс, посланный Евой, вызовет множество отраженных сигналов с различными амплитудами, задержками и фазами, и все они в разной степени пригодны для успешного выполнения данной атаки. Амплитуда отдельного отраженного сигнала определит возможность его успешного детектирования, а задержка во времени и фазовый сдвиг определят, 25 какой информацией будет обладать Ева после детектирования - непосредственно битом данных или базисом передачи. Мы будем рассматривать только сканирующие сигналы, промодулированные дважды во время их прохождения внутри передающего интерферометра, а 2?R в этом случае будет обозначать задержку между последовательными актами модуляции.
Доступ к передающей части
Общая схема
Общая схема доступа с передающей стороны показана на рис.6. Импульсы, излучаемые лазером, делятся на разветвителе на сканирующий и опорный импульсы. Сканирующие импульсы проходят к передающему интерферометру через оптический мультиплексор, отраженные сигналы проходят через тот же самый мультиплексор и разветвитель в детектирующую схему. Опорные импульсы, используемые для детектирования фазы, задерживаются во времени так, что они приходят в детектор одновременно с отраженными сканирующими импульсами. Конкретное содержание схемы детектирования зависит от того, какую информацию хочет иметь Ева: биты данных или базисы передачи. Оптический мультиплексор необходим здесь для того, чтобы данные, посланные легальными пользователями, проходили без искажений от передатчика к приемнику. Использование мультиплексирования во временной области может быть сопряжено с проблемой рэлеевского рассеяния: если информационный и сканирующий импульсы встречаются где-либо на пути, то некоторое количество рассеянного света от сканирующего импульса может проникнуть в приемный детектор, что чревато ошибками детектирования, наведения которых Ева должна избегать. Использование сканирования на другой длине волны и, соответственно, мультиплексирования по длине волны
26 значительно уменьшит влияние этого эффекта.
Косвенное детектирование бит данных
Рассмотрим сканирующий импульс, промодулированный один раз после входа в передающий интерферометр и один раз после отражения внутри него, так что акты модуляции происходят в пределах временных интервалов ?set или ?bit двух соседних циклов передачи (см. рис.7).
Неравенство выше содержит ?rf, поскольку импульс не должен проходить модулятор во время интервалов нарастания или спада управляющего напряжения. Если это удовлетворено, то полный фазовый сдвиг, полученный сканирующим сигналом, будет равен сумме фазовых сдвигов в двух соседних циклах передачи: ?E ? ???j?? ??j ?1??mod2?
Заметим, что?E будет равно одному из возможных значений фазового сдвига, кодирующих биты данных в используемом протоколе обмена (для простоты ограничимся рассмотрением случая, когда сканирование производится на той же длине волны, что и передача сигнала в системе; отказ от этого предположения лишь несколько усложнит детектирование). Детектирование этого фазового сдвига не даст Еве однозначного результата, поскольку ей неизвестно значение фазы в первом интервале передачи. Но эта фаза может приобретать лишь фиксированное множество значений, а именно 4 для протокола BB84 и 2 для протокола B92. Это означает, что Ева должна определить правильную кодовую последовательность методом подбора всего из четырех или даже из двух вариантов, что на практике равносильно знанию Евой кода. Иллюстрация к косвенному детектированию бит данных приведена в табл.1. В случае, если два последовательных акта модуляции отделены друг от друга количеством циклов передачи n, то количество возможных вариантов
27 кодовой последовательности есть 4n для протокола BB84 и 2n для протокола
B92.
Детектирование базисов передачи (только для протокола BB84)
Секретность рассматриваемых квантово-криптографических схем определяется тем фактом, что Ева не знает базисов, в которых кодируются биты информации во время передачи. Если же Еве каким-либо образом удается узнать значения базисов пока передающиеся квантовые состояния находятся в ее распоряжении, то вся секретность схемы исчезает, и оказывается, что Ева способна реализовать идеальную атаку типа “перехват/регенерация”, не будучи обнаруженной легальными пользователями.
Рассмотрим сканирующий импульс, промодулированный один раз после входа в передающий интерферометр и один раз после отражения внутри него, так что оба акта модуляции происходят в интервале времени ?set и/или?bit одного и того же цикла передачи (рис.8). Параметр ?R выбранного отраженного импульса должен удовлетворять условию: ?rf < 2?R < ?i
Тогда фазовый сдвиг, приобретенный сканирующим импульсом, будет равен удвоенному значению фазы в данном цикле передачи: ?E ? 2??j?mod2?
Легко видеть, что результирующее значение фазы будет определяться базисом передачи: ?E = 0 если ?(j) = 0 или ?, и ?E = ?, если ?(j) = ?/2 или 3?/2.
В реальности атака с детектированием базисов может оказаться значительно сложнее, чем косвенное детектирование бит данных. Откажемся на время от предположения о "всемогущей" Еве. Предположим, что Ева использует для перехвата и дальнейшей пересылки информации (закодированной в известных ей базисах) устройства, идентичные с приемным и передающим интерферометрами Алисы и Боба (иначе говоря, она не имеет преимущества в технологии). Тогда изза инерционности фазовых модуляторов, а точнее, невозможности мгновенно выставить правильное управляющее напряжение на
28 них, Ева ограничена во времени. Поэтому, чтобы корректно продетектировать переданную информацию, Ева должна знать значение базиса как минимум за ?rf ?set до прихода информационного импульса. Более того, Ева должна располагать дополнительно тем же самым интервалом времени ?rf ?set, чтобы перехваченная и пересланная далее информация достигла Боба в определенное время (так как передатчик Алисы и приемник Боба синхронизированы). Имея дело с оптоволоконными квантово-криптографическими системами, Ева может использовать РЧ сигналы, чья групповая скорость в воздухе превышает примерно в полтора раза групповую скорость оптических сигналов в оптоволокне. Детектор базисов помещается где-либо в непосредственной близости от передатчика Алисы, а информационный детектор Евы - на таком расстоянии от детектора базисов, чтобы информация, посланная детектором базисов на радиочастоте, достигала местоположения Евы на ?rf ?set ранее, чем информационные импульсы Алисы. "Р
Вывод
В результате работы над данной магистерской диссертацией: 1. Осуществлено теоретическое исследование стратегии несанкционированного доступа к абонентам через общий оптический канал связи на примере квантово-криптографических систем на основе волоконнооптических линий связи c использованием протоколов обмена BB84 и B92 на фазовых состояниях.
2. Предложены меры защиты от данного вида атаки.
3. Разработана структурная схема экспериментальной установки и методика измерений. Осуществлены подготовительные измерения на оптической части квантово-криптографической установки NTNU, в ходе которых экспериментально подтвержден принцип несанкционированного доступа к абонентам через общий оптический канал связи.
Таким образом, задание на дипломное проектирование выполнено полностью.
47
Список литературы
1. S. Wiesner, "Conjugate Coding", Sigact News, vol.15, 78 (1983).
2. C.H. Bennett, G. Brassard, in Proceeding of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), 175
3. C. H. Bennett, F. Bessette, G. Brassard, L. Savail, J. Smolin, "Experimental Quantum Cryptography", Journal of Cryptology, Vol. 5, 3 (1992).
4. D. Bruss, N. Luetkenhaus, "Quantum Key Distribution: From Principles To Practicalities", ARXIV:quant-ph/9901061 v2 (1999).
5. C. H. Bennett, "Quantum Cryptography Using Any Two Nonorthogonal States", Phys. Rev. Lett., Vol. 68, 3121 (1992).
6. B. Huttner, N. Imoto, N. Gisin, T. Mor, "Quantum Cryptography with Coherent States", Phys. Rev. A, Vol. 51, 1863-1869 (1995).
7. A. Ekert, "Quantum Cryptography Based on Bell"s Theorem", Phys. Rev. Lett., Vol. 67, 661 (1991).
8. D. Bruss, "Optimal Eavesdropping in Quantum Cryptography with Six States", Phys. Rev. Lett, Vol. 81, 3018 (1998).
9. L. Goldenberg, L. Vaidman, "Quantum Cryptography Based On Orthogonal States", Phys. Rev. Lett., Vol. 75, 1239 (1995).
10. M. Koashi, N. Imoto, "Quantum Cryptography Based on Split Transmission of One-Bit Information in Two Steps", Phys. Rev. Lett., Vol. 79, 2383 (1997).
11.H. Zbinden, H. Behcmann-Pasquinucci, N. Gisin, G. Ribordy, ”Quantum Cryptography”, Appl. Phys. B, Vol. 67, 743 (1998).
12.G. Ribordy, J.-D. Gautier, N. Gisin, O. Guinnard, H. Zbinden, ”Fast and User-Friendly Quantum Key Distribution”, submitted to the Journal of Modern Optics.
13.M. Bourennane, D. Ljunggren, A. Karlsson, P. Jonsson, A. Hening, J.P. Ciscar, ”Experimental Long Wavelength Quantum Cryptography: From Single Photon
48
Transmission To Key Extraction Protocols”, J. Modern Optics, Vol. 47, 563
(1998).
14.N. Luetkenhaus, "Security Against Eavesdropping in Quantum Cryptography", Phys. Rev. A, Vol. 54, 97 (1996).
15.D. Mayers, A. Mao, "Quantum Cryptography with Imperfect Apparatus", ARXIV:quant-ph/9809039 (1998).
16.E. Biham, T. Mor, "Security of Quantum Cryptography Against Collective Attacks", Phys. Rev. Lett., Vol.78, 2256 (1997).
17.G. Brassard, N. Luetkenhaus, T. Mor, B.C. Sanders, "Security Aspects of Practical Quantum Cryptography", quant-ph/9911054 (1999).
18.M. Dusek, M. Jahma, N. Luetkenhaus, "Unambigious-State-Discrimination Attack with Weak Coherent States", quant-ph/9910106 (1999).
19.N. Luetkenhaus, "Estimates for Practical Quantum Cryptography", ARXIV:quant-ph/9806008 v2 (1999).
20.N. Luetkenhaus, "Security Against Individual Attacks for Realistic Quantum Key Distribution", ARXIV:quant-ph?9910093 v2 (2000).
21.D.S.Bethune, W.P.Risk, ”An Autocompensating FIBEROPTIC Quantum Cryptography system based on Polarization Splitting of Light”, IEEE Journal of Quantum Electronics, Vol.36, 340 (2000).
23.P.Ch. Sun, E. Fineman, Yu.T. Mazurenko, ”Transmission of Optical Phase Information Using Frequency Separation of Signals as Applied to Quantum Cryptography”, Optics and Spectroscopy, Vol. 78, 887 (1995).
24.J.-M. Merolla, Yu. Mazurenko, J.-P. Goedgebuer, W.T. Rhodes, ”Single-Photon Interference in Sidebands of Phase-Modulated Light for Quantum Cryptography”, Phys. Rev. Lett., Vol. 82, No. 8, February 1999.
25.G.P. Agrawal, ”FIBEROPTIC Communication Systems”, p. 255-260, John Wiley & Sons, 1997.
49
26.Reference Manual, Millimeter Resolution OTDR System, Opto-Electronics, Inc.
Oakville, Canada (1994).
27.S. Lomonaco, "A Quick Glance at Quantum Cryptography", quant-ph/9811056 (1998).
28.Cm., например, EPLD-1K, http://www.irepolusgroup.com/ERBLASERS/EFLGUIDE.htm 29.C. Marand, P.D. Townsend, "Quantum Key Distribution Over Distances As Long
As 30 km", Opt. Lett., Vol.20, 1695 (1995).
50
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
