ЖЭТФ, 2022, том 161, вып. 5, стр. 627-630

КОММЕНТАРИЙ К СТАТЬЕ «ДОСТАТОЧНО ЛИ СОСТОЯНИЙ

ЛОВУШЕК (DECOY STATE-МЕТОДА) ДЛЯ ГАРАНТИИ

СЕКРЕТНОСТИ КЛЮЧЕЙ В КВАНТОВОЙ КРИПТОГРАФИИ?»

С. Н. МОЛОТКОВА, К. С. КРАВЦОВА, М. И. РЫЖКИНА

И К ПОПРАВКЕ К ЭТОЙ СТАТЬЕ

Д. А. Кронбергa,b,c*, Е. О. Киктенко^a,b,d, А. С. Трушечкин^a,b,d, А. К. Федоров^d

^a Математический институт им. В. А. Стеклова Российской академии наук

119991, Москва, Россия

^b Российский квантовый центр

143025, д. Сколково, Москва, Россия

^c Московский физико-технический институт (Национальный исследовательский университет)

141701, Долгопрудный, Московская обл., Россия

^d Кафедра математики и Центр квантовых коммуникаций НТИ,

Национальный исследовательский технологический университет «МИСиС»

119049, Москва, Россия

Поступила в редакцию 25 мая 2021 г.,

после переработки 20 ноября 2021 г.

Принята к публикации 21 ноября 2021 г.

В статье [1] утверждается, что метод обманных состояний (“decoy state method”, другой перевод на

русский язык — «метод состояний-ловушек») в протоколе квантовой криптографии BB84 завышает до-

стижимую скорость генерации секретного ключа и потому генерируемый ключ фактически не является

секретным. Это утверждение является результатом ошибки, которую авторы статьи признали в поправке

[2], однако там также были допущены неверные утверждения. Таким образом, неправильные утверждения

в работах [1,2] привели к неверным выводам.

DOI: 10.31857/S0044451022050017

скорость генерации секретного ключа, рассчитан-

EDN: DSGFLZ

ная для атаки расщеплением по числу фотонов, вы-

) должен присутство-

числена неверно: перед 1-h(e₁

1. ВВЕДЕНИЕ

вать множитель Q₁(μ)/Q(μ) — ср. с формулой (9),

которая записана правильно. Авторы признали это

Основной результат статьи [1] выражается в

в поправке к статье [2], но допустили ряд новых

неравенстве (30) и графиках на рис. 2, в которых

сравниваются достижимые длины (эквивалентно —

неверных утверждений, итогом чего явился вывод

о неполноте доказательства стойкости для метода

достижимые скорости генерации) секретного клю-

ча, рассчитанные для атаки расщеплением по числу

обманных состояний.

фотонов (обычно рассматриваемой в методе обман-

ных состояний) и для альтернативной атаки свето-

делителем. На основании этого неравенства и этих

2. ВОПРОС ЗАВИСИМОСТИ МЕТОДА

графиков утверждается, что первая величина боль-

ОБМАННЫХ СОСТОЯНИЙ ОТ

ше второй, т. е. метод обманных состояний в насто-

МОДЕЛЬНЫХ ПРЕДПОЛОЖЕНИЙ

ящем виде завышает достижимую скорость генера-

Как в работе [1], так и в поправке [2] утверждает-

ции секретного ключа. Однако в неравенстве (30)

ся, что в методе обманных состояний используются

^* E-mail: dmitry.kronberg@gmail.com

модельные предположения о параметрах канала и

627

Д. А. Кронберг, Е. О. Киктенко, А. С. Трушечкин, А. К. Федоров

ЖЭТФ, том 161, вып. 5, 2022

детекторов. Так, в частности, в статье-поправке [2]

ны, не должно быть экспонент, стоящих перед зна-

говорится: «. . . Оценка информации подслушивате-

ком суммы, так как они должны входить в вели-

ля, в отличие от Decoy state-оценок, не содержит

чины Q_k(μ) и Q_k(ν_i), соответственно. В принципе,

никаких модельных предположений о параметрах

определения могут отличаться от соответствующих

канала и детекторов (квантовой эффективности η,

определений в основных работах по методу обман-

вероятности p_d темновых шумов)». В статье [3] го-

ных состояний, однако это должно приводить к дру-

ворится о том же: «Протокол Decoy State явно ис-

гому выражению для длины секретного ключа (9)

пользует предположения о свойствах лавинных од-

в [1].

нофотонных детекторов, так как в протоколе тре-

После формулы (13) статьи [1] авторы пишут:

буется отличать состояния ослабленного лазерного

«Если лавинный детектор на приемной стороне име-

излучения с разным средним числом фотонов, что

ет не единичную квантовую эффективность, то в

неприемлемо, поскольку свойства детектора, напри-

этом случае в формулах (7), (8), (10)-(13) нуж-

мер, квантовая эффективность, могут флуктуиро-

но провести замену μ → ημ». Аналогично далее в

вать в процессе регистрации квантовых состояний,

разд. 6 говорится, что эти интенсивности надо умно-

т. е. в формулу для длины секретного ключа напря-

жить на коэффициент прохождения канала связи

мую входят квантовая эффективность однофотон-

T (L). Однако в величине

ных детекторов, что неприемлемо, поскольку кван-

μ^k

товая эффективность флуктуирует со временем».

Q_k(μ) = e^-μ

Y_k

(1)

Однако на самом деле в методе обманных состоя-

ний легитимные пользователи не опираются на зна-

интенсивность μ участвует только в качестве веро-

ние этих характеристик, а оценивают их исходя из

ятности испускания k фотонов на передающей сто-

наблюдаемых параметров.

роне, и она не зависит от затухания в линии связи,

Метод обманных состояний используется для

поэтому в этом выражении никакие члены не следу-

оценки величин Y_k. В статье [4] (в которой излагает-

ет умножать на ηT(L). Все потери в канале связи и

ся метод обманных состояний и на которую ссыла-

детекторах, а также действия перехватчика, вклю-

ются и авторы статьи [1]) Y_k определяется как услов-

чены в параметр Y_k, который зависит от числа фо-

ная вероятность того, что на приемной стороне сра-

тонов k, но не зависит от интенсивности μ. Выра-

ботает один из детекторов, при условии, что на сто-

жения для Y_k в условиях отсутствия перехвата дей-

роне отправителя посылка содержала k фотонов. В

ствительно будут содержать показатель затухания

разд. 4 статьи [1] дается вместо этого другое опреде-

канала:

ление: «Пусть Y_k — условная вероятность того, что

подслушиватель оставит данное среднее число фо-

Y_k ≈ p_d + η_k = p_d + 1 - (1 - ηT(L))^k .

(2)

тонов k в посылке, которое будет доставлено на при-

Здесь мы сначала следуем обозначениям [4] (форму-

емную сторону для детектирования, возможно через

лы (5)-(7)), где η_k — вероятность доставки и детек-

идеальный без потерь канал связи». Но, как видно

тирования состояния с k фотонами, а затем перехо-

из определения работы [4], величина Y_k на самом де-

дим к обозначениям [1] и выражаем η_k через показа-

ле учитывает не только действия перехватчика, но

тель затухания T(L) и эффективность детекторов η.

и характеристики оборудования легитимных поль-

Как видно, только Y_k зависят от затухания в линии

зователей: показатель затухания в оптоволоконной

связи и показателей оборудования. Скорость генера-

линии связи, неполную эффективность детекторов,

ции секретного ключа (выражение (9) в работе [1])

показатель темновых шумов и т. д. — все эти эф-

включает величины Y₁ и e₁, которые и оцениваются

фекты учитываются в оценке Y_k. Никакие модель-

в методе обманных состояний.

ные предположения при этом не используются вви-

Формулы (29) в статье [1] должны записываться

ду общности определения Y_k.

следующим образом:

Также заметим, что в статье [1] индекс k в вели-

чины Y_k интерпретируется как количество фотонов,

Y₁ ≈ p_d + ηT(L),

(3)

оставляемое подслушивателем, а не как количество

p_d

фотонов в посылке отправителя. Помимо этого, при

e₁ =

(4)

2Y₁

определении величин Q_k(μ), характеризующих сов-

местную вероятность отправки k фотонов и сраба-

Смысл формулы (3) состоит в том, что один из де-

тывания детектора на приемной стороне, в правой

текторов приемной стороны срабатывает, либо ес-

части формулы (7), в которой введены эти величи-

ли произошло темновое срабатывание, либо фотон

628

ЖЭТФ, том 161, вып. 5, 2022

Комментарий к статье «Достаточно ли состояний ловушек. ..

не поглотился в канале связи или детекторе и при-

Далее в статье-поправке в качестве оценки ин-

вел к срабатыванию детектора. Вероятность темно-

формации противника используется величина Хо-

вого срабатывания — p_d, вероятность непоглощения

лево исходного ансамбля состояний. Эта оценка на-

фотона — ηT(L), T(L) = 10-δL/10 — коэффициент

звана консервативной. Однако в общем случае эта

прохождения в линии связи длины L, δ — удельный

величина не является ни консервативной, ни дости-

коэффициент потерь. Совместная вероятность этих

жимой оценкой информации противника о ключе.

двух событий пренебрежимо мала. Как и в [1], мы

Разберем оба этих утверждения.

предполагаем, что ошибки возникают только из-за

В статье-поправке [2] справедливо утверждает-

темнового шума, а оптическая схема приемной сто-

ся про величину Холево: «Данная граница вклю-

роны настроена идеально.

чает в себя информацию от всех компонент состо-

Доля ошибок в позициях, полученных из одно-

яния: однофотонных, двухфотонных и т. д.». Таким

фотонных посылок, равна отношению вероятности

образом, авторы признают, что эта оценка для про-

ошибочного приема однофотонной посылки p_d/2 к

тивника достижима, только когда он забирает се-

общей вероятности приема однофотонной посылки

бе, в частности, все однофотонные посылки. Но в

Y₁. То, что вторая формула в (29) неверна, мож-

этом случае однофотонные посылки уже не дой-

но понять и по тому, что если p_d

> 2η, то до-

дут до приемной стороны, и метод обманных со-

ля ошибок получается больше единицы, а величи-

стояний даст строго нулевую длину ключа, поэто-

на h(e₁) не определена вовсе, поскольку содержит

му в статье-поправке авторы некорректно сравни-

член log(1 - e₁). Напротив, правая часть (4) не мо-

вают длины ключей. Применение оценки на осно-

жет быть больше 1/2, как видно из (3). Отметим,

ве величины Холево игнорирует основной результат

что условие p_d > 2η вряд ли может выполняться на

квантовой криптографии: доказательство стойкости

практике, но формально ничему не противоречит. К

протокола BB84 в однофотонном случае, так как

тому же, перед формулой (29) авторы пишут: «При

в этой оценке полагается, что противник получает

малых η1,2 → 0 получаем».

всю информацию о ключе из однофотонных посы-

Отметим, что первая формула в (29) дублирует

лок, но при этом эти посылки доходят до приемной

формулу (7) из работы [4], однако в статье [1] под η

стороны без превышения критической доли ошибок.

подразумевается эффективность детектора на при-

В частности, величина Холево выходного ансамбля

емной стороне, а потери в линии связи и детекторах

состояний в протоколе BB84 со строго однофотон-

равны ηT (L), тогда как в [4] через η описываются

ным источником равна единице (т. е. максимально

общие потери в детекторах и линии связи, что мож-

возможному значению), но, тем не менее, протокол,

но видеть в формулах (5) и (6) в [4].

как хорошо известно, является стойким. Таким об-

разом, величина Холево в общем случае не является

3. НЕКОРРЕКТНОЕ ИСПОЛЬЗОВАНИЕ

достижимой для противника.

ВЕЛИЧИНЫ ХОЛЕВО

Также эта величина не является в общем слу-

Во Введении к основной статье [1] говорится: «В

чае и консервативной оценкой, т. е. оценкой сверху

данной работе построен явный пример простой ата-

информации противника о ключе. А именно, инфор-

ки со светоделителем, при которой длина секретно-

мация противника об одном бите сырого ключа мо-

го ключа получается принципиально меньше, чем

жет быть и больше величины Холево исходного ан-

по Decoy state-методу», при этом в статье-поправке

самбля вследствие постселекции, что не учитыва-

[2] уже не предлагается конструктивных примеров

ется авторами. В качестве примера допустим, что

атаки, однако повторяются утверждения о недока-

легитимные стороны используют источник с пуассо-

занной стойкости метода обманных состояний.

новской статистикой числа фотонов и не применяют

В статье-поправке [2] было отмечено, что в ос-

метод обманных состояний. Тогда, если противник

новной формуле (30) исходной статьи [1] пропущен

проводит атаку расщеплением по числу фотонов с

ключевой множитель. Однако этот множитель оши-

блокировкой однофотонных посылок, он получает

бочно указан как e^-μ (где μ — среднее число фото-

полную информацию о ключе. Таким образом, его

нов в информационных посылках). На самом деле

информация превосходит величину Холево исходно-

это множитель Q₁(μ)/Q(μ), который соответствует

го ансамбля состояний (которая с учетом вакуум-

доле испущенных однофотонных посылок среди за-

ных посылок равна 1 - e^-μ, т. е. меньше единицы).

регистрированных на приемной стороне, в то время

Постселекция заключается в данном случае в отбра-

как множитель e^-μ есть доля вакуумных посылок

сывании тех позиций, в которых приемная сторо-

среди информационных посылок.

на не зарегистрировала фотон. Следовательно, ис-

629

Д. А. Кронберг, Е. О. Киктенко, А. С. Трушечкин, А. К. Федоров

ЖЭТФ, том 161, вып. 5, 2022

пользование величины Холево исходного ансамбля

тически, эти рассуждения игнорируют основной ре-

для оценки информации противника относительно

зультат квантовой криптографии о стойкости про-

ансамбля после постселекции некорректно.

токола BB84 со строго однофотонными посылками,

поскольку применяемая оценка допускает, что ин-

формация об однофотонных посылках полностью

4. ЗАКЛЮЧЕНИЕ

известна противнику.

Подробное описание метода обманных состояний

можно найти, например, в работах [4, 5]. Важно

ЛИТЕРАТУРА

лишь в очередной раз отметить, что уязвимости в

рамках стандартной используемой модели в методе

1. С. Н. Молотков, К. С. Кравцов, М. И. Рыжкин,

обманных состояний отсутствуют.

ЖЭТФ 155, 636 (2019).

Таким образом, в данном Комментарии показа-

2. С. Н. Молотков, К. С. Кравцов, М. И. Рыжкин,

но, что результаты статьи [1] основаны на неверном

ЖЭТФ 156, 379 (2019).

понимании метода обманных состояний, а именно,

утверждении, что метод зависит от модельных пред-

3. К. А. Балыгин, В. И. Зайцев, А. Н. Климов и др.,

положений о канале связи и детекторах, а также на

Письма в ЖЭТФ 105, 570 (2017).

неверном учете затухания.

4. X. Ma, B. Qi, Y. Zhao, H.-K. Lo, Phys. Rev. A 72,

В статье-поправке [2] некорректно используется

012326 (2005).

величина Холево для оценки информации против-

ника, что приводит к неверному выводу о недока-

5. А. С. Трушечкин, Е. О. Киктенко, Д. А. Кронберг,

занной стойкости метода обманных состояний. Фак-

А. К. Федоров, УФН 191, 93 (2021).

630