ЖЭТФ, 2019, том 155, вып. 1, стр. 54-61
© 2019
СОХРАНЕНИЕ ЭНЕРГИИ ПРИ РАСПРЕДЕЛЕННОЙ
ИНТЕРФЕРЕНЦИИ — ГАРАНТИЯ ДЕТЕКТИРОВАНИЯ АТАКИ
С ОСЛЕПЛЕНИЕМ ДЕТЕКТОРОВ В КВАНТОВОЙ
КРИПТОГРАФИИ
С. Н. Молотков*
Институт физики твердого тела Российской академии наук
142432, Черноголовка, Московская обл., Россия
Академия криптографии Российской Федерации
121552, Москва, Россия
Факультет вычислительной математики и кибернетики,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Поступила в редакцию 30 августа 2018 г.,
после переработки 30 августа 2018 г.
Принята к публикации 4 сентября 2018 г.
Атака с ослеплением лавинных однофотонных детекторов является одним из методов квантового хакин-
га систем квантового распределения ключей (КРК). Атака была экспериментально продемонстрирована
для различных систем КРК, использующих как фазовое, так и поляризационное кодирование. При такой
атаке подслушиватель знает весь ключ, не производит ошибок и не детектируется. Однако при фазо-
вом кодировании некоторые существенные особенности статистики фотоотсчетов на приемной стороне
не были учтены. В работе показано на уровне фундаментальных принципов, что в системах с фазовым
кодированием данная атака приводит к изменению статистики фотоотсчетов и детектированию подслу-
шивателя. Получены выражения для длины секретного ключа при такой атаке. При этом не требуется
никаких изменений в конструкции и управляющей электронике системы КРК с фазовым кодированием,
а достаточно лишь изменений при обработке результатов регистрации квантовых состояний. В то же вре-
мя уязвимость и компрометация секретных ключей в системах КРК с поляризационным кодированием
являются существующим фактом, а не потенциальной угрозой.
DOI: 10.1134/S0044451019010048
доступ только к передаваемым квантовым состоя-
1. ВВЕДЕНИЕ
ниям в канале связи, безусловная секретность дей-
ствительно имеет место. Атаки на квантовые состоя-
Секретность ключей в квантовой криптографии
ния в канале связи подробно исследовались, поэтому
гарантируется фундаментальными запретами кван-
можно считать, что в этом случае безусловная сек-
товой механики на различимость квантовых состоя-
ретность доказана для ряда протоколов квантово-
ний, а не техническими или вычислительными огра-
го распределения ключей. Системы квантового рас-
ничениями подслушивателя. Поэтому часто гово-
пределения ключей (КРК) являются открытыми си-
рится, что квантовая криптография обеспечивает
стемами. Подслушиватель может внешним излуче-
безусловную секретность ключей. Однако нужно по-
нием зондировать состояние фазовых модуляторов,
нимать, что данное утверждение подразумевает, что
модуляторов интенсивности, лавинных однофотон-
подслушиватель не имеет прямого или даже косвен-
ных детекторов и пр., которые несут информацию
ного доступа к передающей и приемной аппарату-
о передаваемом ключе. Одним из критических эле-
ре, где происходит приготовление и детектирование
ментов является однофотонный лавинный детектор
квантовых состояний. Когда подслушиватель имеет
(APD). Было экспериментально продемонстрирова-
* E-mail: sergei.molotkov@gmail.com
но на различных системах КРК, что они уязвимы
54
ЖЭТФ, том 155, вып. 1, 2019
Сохранение энергии при распределенной интерференции. . .
относительно атаки с ослеплением лавинных детек-
2. ОБЩАЯ ИДЕЯ АТАКИ С ОСЛЕПЛЕНИЕМ
торов [1-16]. При такой атаке Ева знает весь ключ,
ЛАВИННЫХ ДЕТЕКТОРОВ
не производит ошибок на приемной стороне и не
Опишем кратко атаку с ослеплением детекторов
детектируется, система не гарантирует секретность
на примере протокола BB84. Для других протоко-
ключей. Данная атака реализуется на сегодняшнем
лов [4] анализ аналогичен. В протоколе BB84 кван-
технологическом уровне, в отличие от других потен-
товые состояния для 0 или 1 в каждом из двух ба-
циальных атак, которые требуют, например, долго-
зисов посылаются случайным образом. Базисы так-
срочной квантовой памяти.
же выбираются равновероятно. Внутри базиса со-
Исходно атака с ослеплением детекторов была
стояния ортогональны, т. е. достоверно различимы.
придумана для КРК с поляризационным кодирова-
Атака с ослеплением детекторов является вариан-
нием, впоследствии по инерции была перенесена и
том атаки прием-перепосыл. Подслушиватель раз-
на системы с фазовым кодированием. В результате
рывает квантовый канал связи и использует реги-
ошибочно считается, что все системы КРК уязвимы.
стрирующую аппаратуру, аналогичную аппаратуре
В литературе возникли дискуссии о том, как
Боба. Ева выбирает базис случайно. Возможны две
противодействовать атаке с ослеплением детекто-
ситуации для тех посылок, где базисы Алисы и Бо-
ров. Были предложены технические изменения си-
ба совпадают, так как остаются только те посылки,
стемы детектирования путем изменения нагрузоч-
где их базисы совпадали: 1) базис Евы совпадает с
ных сопротивлений, порога дискриминации, случай-
базисом Алисы-Боба; 2) базис Евы не совпадает с
ного изменения квантовой эффективности лавин-
базисом Алисы-Боба.
ных детекторов и пр. [16-19].
Вторая часть аппаратуры Евы используется для
Попытки «решения» проблемы уязвимости по
перепосылки подмененных состояний (fake states).
отношению к атаке с ослеплением на уровне тех-
Ева ослепляет лавинные детекторы Боба постоян-
нических изменений переводят системы КРК, ко-
ным излучением лазера и перепосылает то состоя-
торые должны гарантировать безусловную секрет-
ние, которое она получила в результате измерений
ность ключей, в разряд систем, которые обеспечи-
в выбранном ей базисе, но с другим числом фотонов
вают секретность лишь за счет технических ограни-
(см. ниже).
чений подслушивателя. Поэтому проблема ослепле-
В ситуации 1) Ева при измерении получает пра-
ния должна быть решена на уровне фундаменталь-
вильное состояние Алисы. Перепосыл состояния не
ных законов природы, а не на уровне технических
приводит к ошибкам на стороне Боба.
«заплаток».
В ситуации 2) Ева получает равновероятно ре-
Ниже будет показано, что атака с ослеплением
зультат 0 или 1 в неправильном базисе. И перепо-
всегда детектируется в системах КРК, которые ис-
сылает то состояние, которое она получила в непра-
пользуют фазовый принцип кодирования. Атака де-
вильном по отношению к Алисе-Бобу базисе. Если
тектируется по изменению статистики фотоотсчетов
не ослеплять лавинные детекторы, то перепосыл со-
в боковых временных окнах при распределенной ин-
стояний 0 или 1 в неправильном базисе с вероятнос-
терференции, что является следствием сохранения
тью 50 % приведет к ошибкам у Боба.
энергии — эквивалентно нормировке квантовых со-
Цель атаки Евы — сделать так, чтобы перепо-
стояний (см. ниже) при распределенной в простран-
сланные состояния в неправильном базисе вообще
стве и времени интерференции. Изменение стати-
не производили отсчетов у Боба, а в случае совпаде-
стики отсчетов учитывается при обработке первич-
ния базисов детекторы производили отсчеты. Дан-
ных ключей. Если изменение статистики не превы-
ная цель достигается ослеплением лавинных детек-
шает некоторой критической величины, то можно
торов.
получить ключ и гарантировать его секретность.
При превышении изменений статистики фотоотсче-
тов выше критической величины секретный ключ
3. ПРИНЦИП ОСЛЕПЛЕНИЯ ЛАВИННЫХ
получить нельзя. То есть никогда не будет ситуации,
ДЕТЕКТОРОВ
при которой ключ получен и считается секретным,
В системах КРК в качестве однофотонных де-
а на самом деле таковым не является. В то же вре-
текторов обычно используют лавинные фотодетек-
мя системы КРК с поляризационным кодированием
торы с низкими темновыми шумами, работающие
не обладают таким свойством и остаются уязвимы-
в стробируемом режиме. В этом режиме на детек-
ми по отношению к атаке с ослеплением лавинных
детекторов.
55
С. Н. Молотков
ЖЭТФ, том 155, вып. 1, 2019
тор постоянно подается обратное смещение (Ubias,
превышает некоторую величину, P > Pth. Если уро-
см. рис. а) через балластное сопротивление RB,
вень сигнала ниже порога, P < Pth, то сигнал реги-
величина которого ниже напряжения пробоя. При
страции отсутствует — детектор ослеплен.
этом детектор заперт и ток через него практически
Ниже будет показано, что для систем КРК с
не течет (кроме темнового тока). В тот момент, ко-
фазовым кодированием для того, чтобы атака с
гда ожидается прилет фотона, дополнительно к по-
ослеплением не детектировалась, необходимо одно-
стоянному смещению на детектор подается корот-
временно удовлетворить двум взаимоисключающим
кий стробирующий импульс с амплитудой (Ugate),
условиям: Pf
> Pth и Pf/2 < Pth (Pf — интен-
достаточной для выхода детектора в пробойный ре-
сивность подмененного состояния (fake state)), что
жим.
является следствием сохранения энергии — эквива-
Когда на детектор попадает излучение, через
лентно нормировке квантового состояния при рас-
него начинает протекать ток. Ток течет и через
пределенной интерференции.
балластное сопротивление RB, на котором пада-
ет напряжение UB = IRB. Полное напряжение на
детекторе и балластном сопротивлении постоянно
4. ФАЗОВОЕ КОДИРОВАНИЕ В СИСТЕМАХ
(UAPD + UB = Ubias). Протекание тока через APD
КВАНТОВОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ
приводит к падению напряжения на нем. Начиная с
некоторой интенсивности, ток через детектор при-
Для демонстрации этого факта необходимо на-
водит к падению напряжения, достаточному, что-
помнить, как устроено фазовое кодирование в систе-
бы импульс строба не переводил детектор в пробой-
мах КРК на примере протокола BB84. В реальных
ный режим. Это ведет к тому, что APD переходит
системах КРК используется сильно ослабленное ко-
в линейный режим и становится не чувствительным
герентное состояние. В канал поступают информа-
к одиночным фотонам. В этом режиме амплитуда
ционные состояния |α〉1 ⊗ |eiϕA α〉2, где относитель-
выходного электрического сигнала пропорциональ-
ная фаза когерентных состояний, локализованных
на мощности входного оптического сигнала.
во временных окнах 1 и 2 (рис. б,в) равна
Ослепление детектора представляет собой под-
⎧
{
π
светку детектора постоянным излучением мощно-
⎨ 0×→ϕA=
,
0+ → ϕA = 0,
2
стью, достаточной для перевода детектора в линей-
3π
1+ → ϕA = π,
ный режим. Подсветка импульсным излучением на
⎩ 1× →ϕA =
2
фоне засветки приводит к изменению тока через де-
тектор и выделению на нагрузочном сопротивлении
На приемной стороне базис выбирается случайно:
сигнала, пропорционального мощности в импульсе.
либо +, либо ×. В базисе + относительная фаза
Здесь важно отметить следующее: сигнал реги-
ϕB = 0, в базисе × относительная фаза ϕB = π/2.
стрируется только тогда, когда амплитуда импульса
Перед детектированием состояния подвергаются
на входе дискриминатора (Discr.) превышает уста-
преобразованию на интерферометре Маха - Цандера
новленный порог, Ub > Udiscr. Порог обычно уста-
(МЦ, рис. б,в), который является унитарным пре-
навливается чуть выше уровня шумов. Сигнал ре-
образователем. При совпадающих базисах Алисы и
гистрации возникает, если уровень оптического сиг-
Боба на входе в детекторы состояния имеют следу-
нала на фоне ослепляющего постоянного излучения
ющий вид, если Алиса посылала 0+:
⎧
⎧
α1
α1
⎪
α1
1
α1
1
⎨
⊗ |α〉2 ⊗
→D1,
⎨
→
Prdetect,
|α〉2 → Prdetect,
→
Prdetect : D1
2
1
2
3
2
1
4
2
3
4
(1)
⎩
α1
α1
⎪
α1
α1
1
1
⊗ |vac〉2 ⊗
→D2,
⎩
→
Prdetect,
|vac〉2 → 0,
→
Prdetect : D2
2
1
2
3
2
1
4
2
3
4
Аналогично, если Алиса посылала состояние 1+:
⎧
⎧
α1
α1
⎪
α1
1
α1
1
⎨
⊗ |vac〉2 ⊗
→D1,
⎨
→
Prdetect,
|vac〉2 → 0,
→
Prdetect : D1
2
1
2
3
2
1
4
2
3
4
(2)
⎩
α1
α1
⎪
α1
1
α1
1
⊗ |α〉2 ⊗
→D2,
⎩
→
Prdetect,
|α〉2 → Prdetect,
→
Prdetect : D2
2
1
2
3
2
1
4
2
3
4
56
ЖЭТФ, том 155, вып. 1, 2019
Сохранение энергии при распределенной интерференции. . .
Аналогичные выражения имеют место при совпадающих базисах ×. При не совпадающих базисах находим
2
2
⎧
⎧
α1
α
α1
α1
1
α
1
α1
1
⎪
⎪
⊗
√
⊗
→D1,
→
Prdetect,
√
→
Prdetect,
→
Prdetect : D1
⎨
⎨
2
1
2
2
3
2
1
4
2
2
2
3
4
2
2
2
2
(3)
⎪
α1
α
α1
⎪
α1
1
α
1
α1
1
⎩
⊗
√
⊗
→D2,
⎩
→
Prdetect,
√
→
Prdetect,
→
Prdetect : D2
2
1
2
2
3
2
1
4
2
2
2
3
4
2
2
Вероятность детектирования (1), (2) во временных
Таким образом, энергия состояний на входе ин-
окнах 1, 2 и 3 при совпадающих базисах (|α|2 — сред-
терферометра в двух временных окнах распреде-
нее число фотонов в состоянии, см. рисунок): в боко-
ляется по трем временным окнам на двух выхо-
вых окнах 1 и 3 Prdetect ∝ |α|2/4, в информационном
дах интерферометра. Суммарная энергия по всем
окне 2 на детекторе, где имеет место конструктив-
временным окнам на двух выходах интерферометра
ная интерференция, Prdetect ∝ |α|2, на втором детек-
всегда равна энергии на входе, что является прояв-
торе, где возникает деструктивная интерференция,
лением закона сохранения энергии при распределен-
Prdetect ≡ 0.
ной интерференции. В квантовой физике интерфе-
рометр МЦ является унитарным преобразователем,
Независимо от того, совпадают или нет базис
что гарантирует сохранение суммарной нормировки
входных состояний и базис на приемной стороне, ве-
квантовых состояний на выходах интерферометра
роятности детектирования (3) в боковых окнах 1 и
при распределенной интерференции.
3 равны, Prdetect ∝ |α|2/4, так как эти окна не под-
вержены интерференции на интерферометре МЦ. В
информационном окне 2 сумма вероятностей детек-
5. СОХРАНЕНИЕ ЭНЕРГИИ ПРИ
тирования на обоих детекторах, Prdetect ∝ |α|2/2,
РАСПРЕДЕЛЕННОЙ ИНТЕРФЕРЕНЦИИ И
есть константа.
ДЕТЕКТИРОВАНИЕ АТАКИ
Интерферометр МЦ является унитарным преоб-
Ева всегда перепосылает те состояния, которые
разователем. Отсюда следует, что отношение сум-
она получила, т. е. состояния вида |αE 〉1 ⊗|eiϕE αE 〉2,
мы вероятностей фотоотсчетов в центральном вре-
фаза ϕE выбирается в соответствии с (1), (2) и
менном окне 2 в двух детекторах к вероятности от-
с тем, какой исход получен. Среднее число фото-
счетов в любом боковом окне и на любом детек-
нов |αE |2 в состоянии выбирается таким, чтобы в
торе должно быть равно 1/4 (чтобы не загромож-
случае совпадения базисов подслушивателя и ле-
дать выкладки, считаем, что квантовые эффектив-
гитимных пользователей в центральном временном
ности детекторов одинаковы, все дальнейшее обоб-
окне 2 (см. рисунок) имел место фотоотсчет. Для
щается на случай детекторов с разной эффектив-
этого интенсивность должна быть |αE|2 > Pth. Если
ностью). Фактически, это фундаментальное след-
базисы не совпадали, то в этом случае в централь-
ствие унитарности, а в данном контексте это со-
ном временном окне (см. (3)) не будет идеальной
хранение полной энергии на входе и выходе ин-
конструктивной и идеальной деструктивной интер-
терферометра МЦ, или, что эквивалентно, сохра-
ференции на обоих детекторах. На оба детектора
нение нормировки квантовых состояний. На вхо-
приходят состояния с одинаковым средним числом
де интерферометра МЦ энергия состояния в двух
фотонов (1/2)|αE|2. Если интенсивность состояний
временных окнах есть |α|2 + |α|2. На обоих вы-
такова, что (1/2)|αE|2 < Pth, то отсчетов не будет.
ходах интерферометра сумма энергий состояний
Соответственно, при несовпадении базисов не будет
по всем временным окнам равна: (боковые окна)
и ошибок на приемной стороне. Таким образом, ес-
4(|α|2/4) + (центральные окна) |αu|2 + |αd|2 = |α|2.
ли лавинный детектор ослеплен, то при регистрации
Здесь |αu|2 = |α|2 cos2(ϕ/2) — среднее число фото-
только в центральном временном окне при перепо-
нов на верхнем детекторе, |αd|2 = |α|2 sin2(ϕ/2) —
сыле состояний с интенсивностью (1/2)|αE|2 < Pth
на нижнем, ϕ — разность фаз, набираемая состоя-
и |αE |2 > Pth ошибочных отсчетов не будет. Отсче-
ниями при проходе по верхнему и нижнему плечам
ты будут только в тех посылках, в которых базисы
интерферометра (см. (1)-(3)). При идеальной интер-
Алисы-Боба и Евы совпадали. В этих посылках
ференции ϕ = 0 — максимум на нижнем детекторе,
подслушиватель знает все передаваемые состоя-
или ϕ = π — максимум на верхнем детекторе. Сумма
ния, не производит ошибок на приемной стороне
интенсивностей по двум детекторам в центральном
и не детектируется. Система КРК оказывается не
временном окне всегда есть константа |α|2.
57
С. Н. Молотков
ЖЭТФ, том 155, вып. 1, 2019
секретной. Однако, если дополнить протокол изме-
Поэтому нужно проверять всевозможные атаки, вы-
рениями в боковых окнах 1 и 3 на любом лавинном
числять для них длину ключа и выбирать мини-
детекторе, то атака с ослеплением всегда детекти-
мальную по разным атакам. После детектирования
руется. Если интенсивность подмененных состояний
атаки возникает вопрос: можно ли получить секрет-
(fake states) выбрана так, что Pth < |αE |2 < 2Pth, то
ный ключ и какой длины? Общая формула для дли-
отсчетов в боковых временных окнах (где интенсив-
ны секретного ключа безотносительно к типу атаки
ность равна (1/4)|αE |2 < Pth независимо от того,
имеет вид [20]
совпадают или нет базисы Алисы-Боба и Евы) не
будет, поскольку интенсивность на детекторах рав-
ℓn = n (Hεmin(X|E) - leakn),
(4)
на (1/4)|αE|2 < Pth, что заведомо меньше порого-
вой величины (см. (1)-(3)), начиная с которой возни-
кают фотоотсчеты. При ослеплении детекторов ин-
где n — число зарегистрированных посылок в сов-
тенсивность подмененных состояний удовлетворяет
падающих базисах, leakn — число битов, израсхо-
условию Pth < |αE |2 < 2Pth, при этом отсчеты в бо-
дованных на коррекцию ошибок в первичных клю-
ковых окнах 1 и 3 полностью исчезают, т. е. соотно-
чах, ε — параметр секретности, который назнача-
шение вероятностей отсчетов в центральном инфор-
ется легитимными пользователями, Hεmin(X|E) —
мационном временном окне и боковых окнах изме-
сглаженная минимальная энтропия (см. детали в
няется. Таким образом, при фазовом кодировании
[20]), содержащая всю информацию об атаке Евы.
подслушиватель не может не производить ошибок и
Неформально Hεmin(X|E) дает нехватку информа-
не изменять статистику фотоотсчетов с учетом от-
ции Евы в битах в пересчете на посылку о бито-
счетов в боковых временных окнах.
вой строке длины n. Атака с ослеплением является
При несовпадающих базисах отсчетов при
атакой прием-перепосыл. Ева случайным образом
интенсивности
(1/2)|αE|2 не должно быть, т. е.
в каждой из зарегистрированных посылок с веро-
(1/2)|αE |2 < Pth. При совпадающих базисах ин-
ятностью q решает, ослеплять детекторы или нет.
тенсивность на детекторе равна |αE|2, при этом
Параметр q известен только Еве. Проявлением ата-
должны быть отсчеты, так как |αE |2 > Pth. Ин-
ки служит изменение доли фотоотсчетов в боковых
тенсивность в боковых временных окнах равна
временных окнах по отношению к доле в централь-
(1/4)|αE |2 и не зависит от интерференции, т. е. от
ном временном окне. Без ослепления отношение ве-
совпадения или несовпадения базисов Алисы-Боба
роятности отсчета в боковом окне к вероятности в
и Евы, поэтому ослепление детекторов приведет к
центральном окне должно быть 1/4.
полному отсутствию фотоотсчетов, если требовать
Сначала рассмотрим асимптотический предел
отсутствия ошибок при несовпадающих базисах,
длинных последовательностей, n → ∞, в этом пре-
т. е. соблюдения условия Pth < |αE |2 < 2Pth.
деле параметр q — вероятность отсчетов в централь-
Таким образом, два условия: 1) отсутствие оши-
ном окне — известен точно, поскольку нет флукту-
бок в центральном временном окне — Pth < |αE|2 <
аций, связанных с конечной длиной. По сути, име-
< 2Pth; 2) сохранение отношения вероятностей в
ет место бернуллиевская схема испытаний. В доле
боковых окнах и центральном временном окне —
зарегистрированных посылок q детекторы ослепля-
|αE |2 > 4Pth, оказываются очевидно несовместимы-
лись, а в доле 1-q — нет. То есть в nq посылках биты
ми. Откуда следует, что подслушиватель принципи-
ключа известны, в n(1 - q) посылках — неизвестны.
ально не может знать весь ключ и не изменять ста-
Отношение числа отсутствующих отсчетов в боко-
тистики фотоотсчетов, т. е. оставаться недетектиру-
вых окнах nside к суммарному числу зарегистриро-
емым. При этом в системах КРК с фазовым коди-
ванных отсчетов в центральных временных окнах в
рованием это гарантируется на уровне фундамен-
обоих детекторах (при этом неточность балансиров-
тальных принципов, а не технических «заплаток» в
ки интерферометра не важна, так как суммарное
системе.
число отсчетов в обоих детекторах есть константа,
что дает
6. ДЛИНА СЕКРЕТНОГО КЛЮЧА В
АСИМПТОТИЧЕСКОМ ПРЕДЕЛЕ
nside
1
ДЛИННЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ ПРИ
lim
=
q.
n→∞ n
4
АТАКЕ С ОСЛЕПЛЕНИЕМ ДЕТЕКТОРОВ
Не существует универсального метода вычисле-
Соответственно для матрицы плотности Алиса-Ева
ния длины секретного ключа для всех видов атак.
имеем
58
ЖЭТФ, том 155, вып. 1, 2019
Сохранение энергии при распределенной интерференции. . .
а) Функциональная схема включения лавинного детектора (APD), Rb — нагрузочное сопротивление (типичные значения
50-100 Ом), с которого снимается напряжение — сигнал детектирования Ub; Discr. — дискриминатор, значение порогово-
го напряжения дискриминации 10-100 мВ; Ugate — импульс стробирующего напряжения. б) Фотоотсчеты при фазовом
кодировании в различных временных окнах на лавинном детекторе при совпадающих базисах Алисы-Боба и Евы без
ослепления и с ослеплением детекторов. Временное окно 2 является информационным окном. Вероятность фотоотсчета
зависит от интерференции состояний, прошедших по верхнему и нижнему путям интерферометра Маха - Цандера (MZ);
D1 и D2 — лавинные детекторы. Фотоотсчеты во временных окнах 1 и 3 не зависят от выбора базиса. в) Фотоотсчеты
в различных временных окнах без ослепления и с ослеплением детекторов, при не совпадающих базисах Алисы-Боба
и Евы
1
7. ДЛИНА СЕКРЕТНОГО КЛЮЧА ПРИ
ρXE(q) =
q×
2
КОНЕЧНОЙ ДЛИНЕ
× {|0〉XX 〈0| ⊗ |0〉EE 〈0| + |1〉XX 〈1| ⊗ |1〉EE 〈1|} +
ПОСЛЕДОВАТЕЛЬНОСТИ
{
1
|0〉EE 〈0| + |1〉EE 〈1|
+
(1 - q)
|0〉XX 〈0| ⊗
+
При конечном числе n зарегистрированных от-
2
2
}
счетов точное значение параметра q Алисе и Бобу
|0〉EE 〈0| + |1〉EE 〈1|
неизвестно. В этом случае сглаженная условная ми-
+ |1〉XX 〈1| ⊗
,
(5)
2
нимальная энтропия определяется как
Hεmin(ρn⊗XE|ρn⊗E) =
где |0, 1〉X — состояния Алисы для 0 и 1, |0, 1〉E —
=
max
Hmin(ρn⊗XE(q)|ρn⊗E(q)),
(7)
состояния Евы. В первом слагаемом, которое отве-
{q: Pr{|q-q|≤δ}>1-ε(n,δ)}
чает ситуации с ослеплением детекторов, соответ-
где максимум определяется по тем матрицам плот-
ствие между битами Алисы и Евы однозначное. Во
ности, у которых параметр q отстоит от истинного
втором слагаемом, которое отвечает за ситуацию без
значения на величину не более δ и с вероятностью
ослепления детекторов, каждому биту Алисы рав-
не менее 1 - ε(n, δ). Величина q определяется пол-
новероятно отвечает 0 или 1 у Евы. Это означает,
ным числом отсутствующих отсчетов в боковых ок-
что в этих посылках Ева может только угадывать
нах ((1/4)nq) в последовательности длины n. Пусть
передаваемый бит Алисы.
истинное значение вероятности равно q. В бернул-
лиевской схеме при числе испытаний n число от-
Согласно [20], длина ключа в асимптотическом
сутствующих отсчетов в боковых окнах может быть
пределе бесконечно длинных последовательностей
любым от 0 до n/4, но с разной вероятностью. Веро-
имеет вид
ятность того, что при истинном значении параметра
бернуллиевской схемы q произойдет не более k от-
)
счетов, равна
(ℓn
1
(
)
lim
= lim
H (ρn⊗XE ρn⊗E) - leakn
=
n→∞ n
n→∞ n
∑
Pr{k|n} =
Cmnqm(1 - q)n-m,
= 1 - q - leak,
(6)
m=0
(8)
n!
m
Cn
=
m!(n - m)!
где leak — информация на посылку, затраченная на
исправление ошибок, которые могут возникать, на-
Соответственно, вероятность того, что число ослеп-
пример, за счет неточной балансировки интерферо-
ленных посылок будет лежать в интервале |k-k| ≤ δ
метра и других неидеальностей аппаратуры.
есть
59
С. Н. Молотков
ЖЭТФ, том 155, вып. 1, 2019
{
}
k-k
Отметим, что исходная атака с ослеплением,
Pr{|q - q| ≤ δ} = Pr
δ
> 1-ε(n, δ),
≤
n
предложенная в работах [1-15], приводит к исчез-
(9)
k
k
новению отсчетов в боковых временных окнах. Воз-
ε(n, δ) = 2e-2δ2n, q =
,
q=
n
n
можна модификация атаки с попыткой восстановле-
Поскольку матрицы плотности из этого множества
ния отсчетов в этих окнах. При модифицированной
имеют структуру тензорного произведения, в этом
атаке подслушиватель может посылать подменен-
случае для сглаженной минимальной энтропии име-
ные состояния (fake states) в более ранний момент
ет место [20] соотношение
(временное окно на входе перед первым импульсом),
⎛
а также в более поздний момент (после второго ис-
тинного импульса). Однако такая атака также де-
⎜
⎜
тектируется, поскольку приводит к возникновению
Hε(δ,n)min(ρ⊗nXE(q)|ρ⊗nE(q)) ≥ n⎜H(ρXE(q)|ρE(q)) -⎜
отсчетов в те моменты времени, где их не должно
⎝
быть, что обнаруживается по контролю входных
3
⎞
состояний, путем отвода части излучения на одно-
4
(
)
4
1
фотонный детектор.
4
og2
⎟
√l
ε(δ, n)
⎟
- const ·
⎟, q = q + δ.
(10)
⎟
Выражаю благодарность коллегам по Академии
n
⎠
криптографии Российской Федерации за постоян-
ную поддержку и обсуждения, а также К. А. Балы-
В итоге для длины секретного ключа получаем
гину, А. Н. Климову, С. П. Кулику, К. С. Кравцову
⎛
3
⎞
за многочисленные и интенсивные обсуждения.
4
)
4
(1
Работа поддержана проектом РНФ 16-12-00015
⎜
4
og2
⎟
⎜
k
√l
ε
⎟
(продолжение).
ℓn = n⎜⎜1-
- δ(ε, n)-const ·
⎟, (11)
⎟
n
n
⎝
⎠
ЛИТЕРАТУРА
где δ(ε, n) выражается через параметр ε, который
задается легитимными пользователями.
1. L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,
J. Skaar, and V. Makarov, Nature Photon. 4, 686
(2010); arXiv:1008.4593.
8. ЗАКЛЮЧЕНИЕ
2. A. Vakhitov, V. Makarov, and Dag R. Hjelme, J.
Таким образом, показано, что системы КРК с
Mod. Opt. 48, 2023 (2001).
фазовым кодированием структурно устойчивы к
3. V. Makarov, A. Anisimov, and J. Skaar, Phys. Rev.
атаке с ослеплением лавинных детекторов на уровне
A 74, 022313 (2006); arXiv:0511032.
фундаментальных принципов, а не технических ре-
шений. При этом каких-то дополнительных техни-
4. V. Makarov and J. Skaar, Quant. Inf. Comp. 8, 0622
(2008); arXiv:0702262.
ческих изменений в системе КРК не требуется, до-
статочно лишь изменений на этапе обработки сыро-
5. V. Makarov, New J. Phys. 11, 065003 (2009); arXiv:
го ключа. Получены также выражения для длины
0707.3987.
секретного ключа в случае, когда обнаружена ата-
ка с ослеплением детекторов. Отметим, что систе-
6. L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,
J. Skaar, and V. Makarov, Nature Photon. 4, 801
мы КРК с поляризационным кодированием остают-
(2010); arXiv:1012.0476.
ся уязвимыми по отношению к атаке с ослеплением
лавинных детекторов, поскольку в таких системах
7. L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,
не проводится преобразование состояний, которое
J. Skaar, and V. Makarov, Opt. Express 18 27938
приводит к распределенной интерференции — вся
(2010); arXiv:1009.2663.
информация о передаваемом ключе сосредоточена
8. L. Lydersen, J. Skaar, and V. Makarov, J. Mod. Opt.
в поляризации квантового состояния, локализован-
58, 680 (2011); arXiv:1012.4366.
ного в одном временном окне. По этой причине ис-
пользование систем КРК с поляризационным коди-
9. I. Gerhardt, Qin Liu, A. Lamas-Linares, J. Skaar,
рованием, например, в банковской сфере [21], может
Ch. Kurtsiefer, and V. Makarov, Nature Commun.
привести к непредсказуемым последствиям.
2, 349 (2011); arXiv:1011.0105.
60
ЖЭТФ, том 155, вып. 1, 2019
Сохранение энергии при распределенной интерференции. . .
10. S. Sauge, L. Lydersen, A. Anisimov, J. Skaar, and
16. C. Ci Wen Lim, N. Walenta, M. Legré, N. Gisin,
V. Makarov, Opt. Express 19, 23590 (2011); arXiv:
and H. Zbinden, IEEE J. Selected Topics in Quant.
0809.3408.
Electron. 21, 1 (2015); arXiv:1408.6398.
11. L. Lydersen, V. Makarov, and J. Skaar, Appl. Phys.
17. Z. L. Yuan, J. F. Dynes, and A. J. Shields, Nature
Photon. 4, 800 (2010).
Lett. 98, 231104 (2011).
18. Z. L. Yuan, J. F. Dynes, and A. J. Shields, Appl.
12. L. Lydersen, M. K. Akhlaghi, A. Hamed Majedi,
Phys. Lett. 99, 196101 (2011).
J. Skaar, and V. Makarov, New J. Phys. 13, 113042
(2011); arXiv:1106.2396.
19. N. Jain, B. Stiller, I. Khan, D. Elser, Ch. Marquardt,
and G. Leuchs, Contemporary Phys. 57, 3 (2016);
13. Qin Liu, A. Lamas-Linares, Ch. Kurtsiefer, J. Skaar,
arXiv:1512.07990.
V. Makarov, and I. Gerhardt, Rev. Sci. Instr. 85,
013108 (2014); arXiv:1307.5951.
20. R. Renner, PhD Thesis, ETH Zürich, arXiv:
quant-ph:0512258 (2005).
14. M. G. Tanner, V. Makarov, and R. H. Hadfield, Opt.
Express 22, 6734 (2014); arXiv:1305.5989.
21. A. V. Duplinskiy, E. O. Kiktenko, N. O. Pozhar,
M. N. Anufriev, R. P. Ermakov, A. V. Brodsky,
15. A. Huang, S. Sajeed, P. Chaiwongkhot, M. Soucarros,
R. R. Unusov, V. L. Kurochkin, A. K. Fedorov, and
M. Legré, and V. Makarov, arXiv:1601.00993.
Y. V. Kurochkin, arXiv:1712.09831.
61
