Квантовая криптография

Представьте себе, что, прежде чем отправить электронное письмо приятелю, вы должны достать карту, измерить расстояние до города, где он живёт, и если окажется, что это расстояние больше, чем 100 км, вы со вздохом берёте карандаш и бумагу и принимаетесь за обычное «бумажное» письмо — электронная почта дальше, чем на 100 км, не ходит.

Абсурдная ситуация? Но примерно так сейчас обстоят дела с передачей квантовых данных по оптоволоконным линиям связи.

Что это такое?

Квантовая криптография — метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики.

Вскрытие на слух

Первый успешный эксперимент по квантовой передаче данных был проведён Беннетом и Жилем Брассаром в конце октября 1989 года, когда защищённая квантовая связь была установлена на расстоянии 32,5 см. Установка меняла поляризацию фотонов, но при этом блок питания шумел по?разному в зависимости от того, какой была поляризация. Таким образом, окружающие могли свободно различать нули и единицы на слух. Как пишет Брассар, «наш прототип был защищён от любого подслушивающего, который оказался бы глухим».

В октябре 2007 года методы квантовой криптографии были впервые применены в широкомасштабном проекте. Система квантовой защищённой связи, разработанная швейцарской компанией Id Quantique, использовалась для передачи данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева. Таким образом, голоса швейцарцев были защищены как никакая другая информация.

Банкноты и блокноты

История квантовой криптографии началась ещё в конце 1960-х годов, когда студент Колумбийского университета Стивен Визнер изложил своему бывшему сокурснику Чарльзу Беннету идею квантовых банкнот, которые в принципе нельзя подделать, поскольку это исключают законы природы. Суть идеи состояла в том, чтобы поместить на каждую банкноту несколько квантовых объектов. Это могут быть, например, ловушки с фотонами, каждый из которых поляризован под определённым углом в одном из двух базисов — либо под углом 0 и 90, либо 45 и 135 градусов. Серийный номер напечатан на банкноте, но соответствующая номеру комбинация поляризаций и базисов (фильтров, с помощью которых фотону придаётся или измеряется его поляризация) при этом известна только банку. Чтобы подделать такую банкноту, фальшивомонетчик должен измерить поляризацию каждого фотона, но он не знает, в каком базисе поляризован каждый из них. Если он ошибётся с базисом, то поляризация фотона изменится, поддельная банкнота будет с неверной поляризацией. Квантовые деньги до сих пор не появились, поскольку пока не удалось создать достаточно надёжных ловушек для фотонов. Однако тогда же Визнер предложил использовать тот же самый принцип для защиты информации, и эта технология сейчас уже близка к реализации.

Идеи Визнера, однако, были признаны далеко не сразу. Ещё в начале 1970-х годов Визнер отправил свою статью о квантовой криптографии в журнал IEEE Transactions on Information Theory, но редакторам и рецензентам язык статьи показался слишком сложным. Лишь в 1983 году эта статья увидела свет в журнале ACM Newsletter Sigact News, и именно она стала первой в истории публикацией об основах квантовой криптографии.

Первоначально Визнер и Беннет рассматривали вариант передачи зашифрованных сообщений с помощью квантовых «носителей», при этом подслушивание портило бы сообщение и не давало возможности его прочесть. Затем они пришли к улучшенному варианту — использованию квантовых каналов для передачи одноразовых «шифроблокнотов» — шифровальных ключей.

Метод шифрования с блокнотом требует наличия у автора сообщения и получателя двух идентичных блокнотов, заполненных случайным набором данных. Для кодирования сообщения к каждому его символу добавляется очередной символ из блокнота, а для расшифровки этот случайный символ надо вычесть. Затем использованные символы из блокнота вычёркиваются. Попытка расшифровать такой шифр без блокнота приведёт ко всем возможным наборам символов данной длины, определить среди которых требуемый невозможно.

Главный минус этого метода шифрования — передача блокнота с шифром. Если блокнот перехвачен и скопирован злоумышленником, то вся переписка оказывается доступной третьему лицу. Квантовая криптография предлагает методику передачи блокнота, в которой незаметный перехват невозможен — попросту запрещён законами квантовой физики.

Первый протокол

Первый протокол квантового распределения ключей был создан Жилем Брассаром и Чарльзом Беннетом в 1984 году и получил название BB84. Для передачи данных используются фотоны, поляризованные в четырёх разных направлениях, в двух базисах — под углом 0 и 90 градусов (обозначается знаком +) либо 45 и 135 градусов (x). Отправитель сообщения A (традиционно его называют «Алиса») поляризует каждый фотон в случайно выбранном базисе, а затем отправляет его получателю B — «Бобу». Боб измеряет каждый фотон, тоже в случайно выбранном базисе. После этого Алиса по открытому каналу сообщает Бобу последовательность своих базисов, и Боб отбрасывает неправильные (не совпавшие) базисы и сообщает Алисе, какие данные «не прошли». При этом сами значения, полученные в результате измерений, они по открытому каналу не обсуждают. Если шпион (его обычно называют «Евой», от английского eavesdropping — подслушивание) захочет перехватить секретный ключ, он должен будет измерять поляризацию фотонов. Поскольку он не знает базиса, он должен будет определять его случайным образом. Если базис будет определён неправильно, то Ева не получит верных данных, а кроме того, изменит поляризацию фотона. Появившиеся ошибки сразу обнаружат и Алиса, и Боб.

Кроме поляризации, передавать ключ можно, например, в фазе одиночных фотонов. Разные подходы к кодированию имеют свои преимущества и недостатки. Как рассказывает Алексей Фёдоров, научный сотрудник РКЦ, крупные международные проекты в квантовой криптографии могут сочетать в себе несколько типов кодирования. Например, SECOCQ (Вена), объединяющая несколько европейских учреждений, использует шесть разных типов устройств. Подобные сети называются гетерогенными — они требуют создания узлов-повторителей и универсального программного обеспечения, работающего вне зависимости от типа кодирования. По сути, благодаря программному обеспечению к гетерогенным сетям можно легко подключать оборудование более нового поколения или другого производителя без нужды в разработке новых программных продуктов.

Фазовое кодирование

В фазовом кодировании в роли базисов выступают фазовые сдвиги. В первом базисе разности фаз 0 («ноль») и ? («единица»), во втором — ?/2 («ноль») или на 3?/2 («единица»). Если Боб угадывает базис, то после сложения фаз импульсов энергия уходит на один из двух детекторов. Если не угадывает, то равномерно распределяется между обоими детекторами. То, угадал Боб или нет, выясняется уже после измерения.

Для того, чтобы использовать только одно волокно, делается двухпроходная схема. Свет идет по несбалансированному интерферометру и превращается в два импульса. Поначалу это мощные лазерные импульсы. На второй импульс прикладывается фаза Алисы, потом они оба ослабляются до однофотонного уровня и идут в разные плечи. Затем прикладывается фаза Боба — и мы получаем результат интерференции.

То есть, по сути, мы делаем два прогона фотонов по дистанции, только в одну сторону идут мощные классические опорные импульсы от Боба, они не несут никакой информации. Информация в них появляется на обратном пути.

Закрытый конверт

Квантовые системы связи основаны на использовании квантовых свойств носителей информации. Если в обычных телекоммуникационных сетях данные кодируются в амплитуде и частоте излучения или электрических колебаний, то в квантовых — в амплитуде электромагнитного поля или в поляризации фотонов. Разумеется, потребуется значительно более дорогая и сложная аппаратура, но эти ухищрения оправданны: дело в том, что передача информации по квантовым каналам обеспечивает стопроцентную защиту от «прослушки». Согласно законам квантовой механики измерение свойств того или иного квантового объекта, например измерение поляризации фотона, неминуемо меняет его состояние. Получатель увидит, что состояние фотонов изменилось, и предотвратить это нельзя в принципе — таковы фундаментальные законы природы. Это можно описать такой аналогией: представьте себе, что вы пересылаете письмо в закрытом конверте. Если кто-то откроет письмо и прочитает его, цвет бумаги изменится, и получатель неминуемо поймёт, что послание читал кто-то третий.

Самая ценная информация — это шифровальные ключи. Если ключ имеет длину, равную самому сообщению или ещё длиннее, то расшифровать послание, не зная ключа, в принципе невозможно. Показать это очень легко на примере одного передаваемого бита — единицей или нулём. Сложим его по модулю два с ключом — случайно выбранной единицей или нулём. В результате, зная только итог сложения, мы не можем сказать, что у нас было изначально: единица или ноль. Мы не можем различить сообщение и ключ, так как мы не знаем ни ключа, ни сообщения.

Представьте себе, что в сообщении ноль — «идите на север», а единица — «идите на юг». Теперь мы взяли и зашифровали это одноразовым блокнотом, в котором тоже есть нули и единицы. Перехватчик получает зашифрованные сообщения и перебором получает два возможных ответа — «идите на север» и «идите на юг». В результате он знает ровно столько же, сколько знал до перехвата — либо на север, либо на юг, но куда не знает.

То же самое и с большим текстом, если мы зашифруем текст длиной в одну страницу одноразовым блокнотом, то злоумышленник при переборе получит все возможные тексты длиной в одну страницу. Тот же перебор он мог сделать и не перехватывая никаких сообщений.

Одноразовый блокнот действительно используется для очень-очень важных сообщений. Но это достаточно дорогостоящий способ. Вы должны каким-либо способом передать одноразовый блокнот, которым вы будете один раз шифровать сообщения. Даже если он у вас есть, использовав одну его страницу для расшифровки сообщения, вы эту страницу выдёргиваете и сжигаете. Когда блокнот закончился, вы должны перевезти новый.

Курьер, который везёт этот новый блокнот, должен быть доверенным лицом. Вы должны быть уверены, что по дороге он не открыл этот блокнот, не скопировал всё себе. Значит, абы кого уже не пошлёшь. Поэтому это дорогостоящий ресурс, к тому же послать доверенного человека не всегда возможно.

Для того чтобы с этим бороться, были придуманы шифры с открытым ключом. Например, RSA, основанный на разложении большого числа на простые множители. Но как показал Питер Шор, для квантового компьютера это не сложная задача.

Если ключ будет в сто раз меньше, чем сообщение, то это плохо тем, что если у вашего перехватчика есть неограниченная вычислительная мощность сделать прямой перебор, то у него есть потенциал, используя какие-либо закономерности в вашем сообщении, это сообщение атаковать.

Представим себе, что ключ равен половине длины сообщения. И вторую половину перехватчик каким-либо образом знает, например, это прогноз погоды. Приложив сообщение к перехваченной информации, вы обратным счётом получаете ключ и вскрываете первую половину сообщения. На этом и посыпались немцы во второй мировой войне — так англичане расшифровали «Энигму».

Современные протоколы шифрования такого не позволяют. Там закрытый ключ многократно меньше самого сообщения. Тем не менее получается достаточно надёжное шифрование. Причём если посмотреть, как квантовая криптография реально применяется сейчас в мире, то окажется, что метод одноразового блокнота в чистом виде почти не используется. Она применяется вместе с потоковыми шифраторами, которые передают данные со скоростью гигабиты и десятки гигабит в секунду, а сам квантовый ключ генерируется со скоростью килобит или десять килобит в секунду. При этом закрытая часть ключа в шифраторе меняется раз в минуту или раз в десять секунд.

Обычно, по регламенту, это происходит раз в год, или вовсе ключ заводится один раз на весь срок службы оборудования. Вот и скачок по надёжности — от уровня раз в год до уровня раз в минуту. Если перехватчик обладает огромной вычислительной мощностью, то, расшифровав ключ, он получит доступ не к году информации, а лишь к одной минуте. Если даже это не допустимо, то используется одноразовый блокнот — как правило, такой информации немного.

Другие проблемы

Во-первых, это проблема устройства, способного отправлять одиночные фотоны. На практике в коммерческих линиях квантовой связи часто пользуются очень слабыми лазерными импульсами, хотя прогресс в разработке однофотонных источников тоже достигнут. А во-вторых, так как передача сигнала осуществляется отдельными фотонами, возникает проблема шума. Оптоволокно по-разному нагревается (тепловые фотоны), может быть по-разному изогнуто и так далее.

Поэтому на нынешний момент существуют аппаратно-независимые пределы пропускной способности квантовой связи в зависимости от расстояния. На практике это 1,26 мегабита в секунду на расстояние 50 километров по стандартному кабелю и — сравните — 1,16 бита в час (!) на расстояние в 404 километра (символично) по специальному кабелю с ультранизкими потерями данных.

Вот вам пример: в августе 2017 китайские исследователи опубликовали в Nature результаты эксперимента по реализации протоколов квантовой криптографии между космосом и Землей. Тогда со спутника «Мо Цзы» удалось передать на расстояние в 1200 километров более 300 килобайт секретного ключа. Это стало возможно потому, что и околоземное пространство, и верхние слои атмосферы почти не шумят. По обычному оптоволокну на 1200 километров один бит просеянного ключа передавали бы около шести миллиардов лет.

Чтобы передавать сигнал на более далёкое расстояние, специалисты по квантовой связи работают над квантовыми повторителями. Можно подумать, что это — квантовые ретрансляторы, однако на самом деле принцип их работы совсем другой.

В квантовом мире невозможно клонировать квантовое состояние. А ведь обычный ретранслятор электромагнитного сигнала (радио, например), делает именно это: воспринимает сигнал и воспроизводит его заново. С квантовым посланием так обращаться нельзя. Поэтому квантовый повторитель — это скорее обычный квантовый компьютер, который способен хранить исходный сигнал (кубит). Однако пока что квантовые повторители на практике — дело будущего.

Прогресс

Как мы помним, Алиса у нас отправляет фотоны Бобу. То есть у Алисы есть лазер, у Боба — детекторы фотонов. Однако учёные из исследовательского центра Toshiba предлагают ввести в уравнение Чарли, который расположен посередине. Чарли — «на аутсорсе», ему отдаются детекторы. И Алиса, и Боб генерируют фазово-рандомизированные оптические поля, которые объединяются у Чарли. Поля, передаваемые с той же случайной фазой, являются «близнецами» и могут быть использованы для выделения квантового ключа.

В такой схеме «двупольного» квантового распределения ключей существует такая же зависимость потери сигнала от расстояния, однако за счёт этого хитрого хода удаётся сохранять приемлемый шум ещё на протяжении 550 километров. Действительно, прорыв!

Дело в том, что в предложенной схеме «шум» представляет собой дрифт (сползание) фазового сдвига, которое можно компенсировать, если станция Чарли будет работать фазовым модулятором, корректируя дрифт. Это делает возможным квантовую связь «с управляемым шумом» на расстояние в полтысячи километров по обычному оптоволокну, что было просто невозможно без использования квантовых повторителей.

Использованные материалы:

popmech.ru/technologies/235655-kvantovaya-kriptografiya-chto-eto-takoe;

nplus1.ru/material/2016/06/17/quantum-cryptography;

nplus1.ru/news/2017/05/23/quantum-network-hetero;

nplus1.ru/blog/2018/05/11/quantum-key-distribution;

ru.wikipedia.org/wiki/Квантовая_криптография.

Комментарии: