Теоретическая и математическая физика
RUS  ENG    ЖУРНАЛЫ   ПЕРСОНАЛИИ   ОРГАНИЗАЦИИ   КОНФЕРЕНЦИИ   СЕМИНАРЫ   ВИДЕОТЕКА   ПАКЕТ AMSBIB  
Общая информация
Последний выпуск
Архив
Импакт-фактор
Правила для авторов
Лицензионный договор
Загрузить рукопись

Поиск публикаций
Поиск ссылок

RSS
Последний выпуск
Текущие выпуски
Архивные выпуски
Что такое RSS



ТМФ:
Год:
Том:
Выпуск:
Страница:
Найти






Персональный вход:
Логин:
Пароль:
Запомнить пароль
Войти
Забыли пароль?
Регистрация


Теоретическая и математическая физика, 2023, том 214, номер 1, страницы 140–152
DOI: https://doi.org/10.4213/tmf10326
(Mi tmf10326)
 

Эта публикация цитируется в 3 научных статьях (всего в 3 статьях)

Уязвимость квантовой криптографии с фазово-временны́м кодированием в условиях затухания

Д. А. Кронберг

Математический институт им. В. А. Стеклова Российской академии наук, Москва, Россия
Список литературы:
Аннотация: Протокол квантовой криптографии с фазово-временны́м кодированием использует конфигурацию состояний с разделением на базисы, располагающиеся в различных временны́х окнах, из-за чего информация перехватчика оценивается на основе двух параметров. Показано, что при анализе стойкости протокола не были учтены некоторые атаки, использующие затухание в линии связи. Построена атака, которая явно демонстрирует уязвимость протокола: уже при сколь угодно малой длине линии связи протокол полностью теряет стойкость, т. е. перехватчику становится известен весь криптографический ключ.
Ключевые слова: квантовая криптография, квантовая теория информации, квантовые преобразования с постселекцией.
Финансовая поддержка Номер гранта
Российский научный фонд 19-11-00086
Исследование выполнено за счет гранта Российского научного фонда № 19-11-00086, https://rscf.ru/project/19-11-00086/.
Поступило в редакцию: 15.06.2022
После доработки: 10.08.2022
Англоязычная версия:
Theoretical and Mathematical Physics, 2023, Volume 214, Issue 1, Pages 121–131
DOI: https://doi.org/10.1134/S0040577923010075
Реферативные базы данных:
Тип публикации: Статья
PACS: 03.67.Dd, 03.67.Ac
MSC: 81P94, 81P45

1. Введение

Квантовая криптография [1]–[3] использует квантовые состояния для передачи информации, и ее стойкость следует из того факта, что перехватчик не может измерить состояния, не внеся в них возмущение. По наблюдаемым легитимными пользователями параметрам, связанным с возмущением состояний, можно оценить информацию противника, после чего, если эта информация не превосходит критического порога, можно классическими методами перейти к секретному криптографическому ключу, секретность которого удовлетворяет требуемым параметрам (см., например, [4]).

Существуют различные протоколы квантовой криптографии, рассчитанные на работу в различных условиях: уровень шума и потери в линии связи, требуемая скорость и чувствительность к несовершенству оборудования. Ключевым теоретическим элементом квантовой криптографии для любого протокола является формула для скорости генерации секретного ключа и обоснование того, что ключ, длина которого рассчитана согласно этой формуле, является секретным против любых действий противника.

Протокол квантовой криптографии с фазово-временны́м кодированием был предложен в работах [5], [6], а затем с различных сторон исследовался и модифицировался в работах [7]–[13]. В настоящей работе мы рассматриваем наиболее позднюю версию протокола из работ [10]–[13], где утверждается его стойкость как в однофотонном случае, так и в условиях использования многофотонных посылок и каналов с затуханием, а также в условиях наличия пассивных и активных сторонних каналов. Приводятся формулы для длины секретного ключа для различных ситуаций.

В настоящей работе показано, что обоснование стойкости этого протокола было проведено с ошибками, и приведена конкретная простая атака, демонстрирующая завышение скорости генерации ключа, это означает, что часть ключа может быть известна перехватчику. Более того, показано, что при ряде параметров атаки можно добиться того, что весь ключ оказывается известен перехватчику, в то время как легитимные пользователи, применяющие формулы из работ [10]–[13], будут уверены, что ключ полностью секретен.

Работа имеет следующую структуру. В разделе 2 кратко описывается протокол и даются формулы для скорости генерации секретного ключа в однофотонном случае. В разделе 3 описывается простая атака на протокол в однофотонном случае, при которой перехватчик использует потери в линии связи. В разделе 4 описывается работа протокола в случае использования когерентных состояний и при наличии затухания в канале, а также действие атаки в этих условиях. В разделе 5 приводятся основные выводы работы.

2. Протокол с фазово-временны́м кодированием

Протокол с фазово-временны́м кодированием использует три временны́х окна $\{|1\rangle, |2\rangle, |3\rangle\}$, что при отправке однофотонных импульсов отвечает трехмерному пространству, при этом состояния протокола разделены на “левые”, располагающиеся во временны́х окнах $\{|1\rangle, |2\rangle\}$, и “правые”, располагающиеся во временны́х окнах $\{ |2\rangle, |3\rangle\}$. Наиболее поздняя версия протокола [10]–[13] использует следующие состояния:

$$ \begin{equation} \begin{aligned} \, |0_\mathrm{L}\rangle = \frac{1}{\sqrt 2}(|1\rangle + |2\rangle), & \qquad |0_\mathrm{R}\rangle = \frac{1}{\sqrt 2}(|2\rangle + |3\rangle), \\ |1_\mathrm{L}\rangle = \frac{1}{\sqrt 2}(|1\rangle - |2\rangle), & \qquad |1_\mathrm{R}\rangle = \frac{1}{\sqrt 2}(|2\rangle - |3\rangle). \end{aligned} \end{equation} \tag{1} $$
Здесь левый базис помечен индексом L, а правый – индексом R.

В дальнейшем, следуя стандартным для квантовой криптографии обозначениям, будем называть отправителя Алисой, приемную сторону Бобом, а перехватчика Евой.

На приемной стороне проводится измерение в левом или правом базисе, эти измерения описываются соответствующими наблюдаемыми (разложениями единицы)

$$ \begin{equation} \begin{aligned} \, M_\mathrm{L} &= \{|0_\mathrm{L}\rangle\langle 0_\mathrm{L}|, \,\, |1_\mathrm{L}\rangle\langle 1_\mathrm{L}|, \,\, |3\rangle\langle 3|\}, \\ M_\mathrm{R} &= \{|1\rangle\langle 1|, \,\, |0_\mathrm{R}\rangle\langle 0_\mathrm{R}|, \,\, |1_\mathrm{R}\rangle\langle 1_\mathrm{R}|\}. \end{aligned} \end{equation} \tag{2} $$

Исход $3$ в левом базисе (соответственно, исход $1$ в правом базисе) не должен возникать при совпадении базисов в случае идеальной аппаратуры и отсутствия подслушивания, поэтому его возникновение свидетельствует о наличии перехватчика в канале.

Общее преобразование квантового состояния в канале, включающее взаимодействие с окружением (которым может быть перехватчик), описывается линейным вполне положительным отображением, сохраняющим след [14], и может быть представлено как унитарное взаимодействие системы и окружения, находящегося в чистом состоянии $|\varepsilon\rangle$. Действие канала между Алисой и Бобом $\Phi_{A \to B}$ и канала между Алисой и Евой $\Phi_{A \to E}$ могут быть поэтому записаны как

$$ \begin{equation} \begin{aligned} \, \Phi_{A \to B}[\rho] &= \operatorname{Tr}_E[U_{AE} (\rho_A\otimes|\varepsilon\rangle\langle\varepsilon|_E) U_{AE}^\unicode{8224}], \\ \Phi_{A \to E}[\rho] &= \operatorname{Tr}_B[U_{AE} (\rho_A\otimes|\varepsilon\rangle\langle\varepsilon|_E) U_{AE}^\unicode{8224}], \end{aligned} \end{equation} \tag{3} $$
где $U_{AE}$ – унитарный оператор. Канал $\Phi_{A \to E}$ называется комплементарным к каналу $\Phi_{A \to B}$. В работах [11], [13] по обоснованию стойкости протокола анализируется достаточно общий случай симметричного преобразования $U_{AE}: \mathcal{H}_3 \otimes \mathcal{H}_3 \to \mathcal{H}_3 \otimes \mathcal{H}_3$, действующего на паре трехмерных пространств Алисы и Евы, и для этого преобразования строятся соотношения между наблюдаемыми параметрами в канале $\Phi_{A \to B}$ и характеристиками комплементарного канала $\Phi_{A \to E}$, что приводит к оценке информации противника. Наблюдаемыми параметрами при этом являются доля контрольных временны́х отсчетов $\zeta$ и битовая ошибка $Q$ внутри базиса (при условии получения информационного, а не контрольного отсчета). Эти параметры выражаются как (см. (10)–(12) в [13])
$$ \begin{equation*} \begin{aligned} \, p(0_\mathrm{L} | 0_\mathrm{L})& = \operatorname{Tr}(|0_\mathrm{L}\rangle\langle 0_\mathrm{L}|\cdot\Phi_{A \to B}[|0_\mathrm{L}\rangle\langle 0_\mathrm{L}|]) = (1 - \zeta)(1 - Q) = p(1_\mathrm{L} | 1_\mathrm{L}), \\ p(1_\mathrm{L} | 0_\mathrm{L})& = \operatorname{Tr}(|1_\mathrm{L}\rangle\langle 1_\mathrm{L}|\cdot\Phi_{A \to B}[|0_\mathrm{L}\rangle\langle 0_\mathrm{L}|]) = (1 - \zeta)Q = p(0_\mathrm{L} | 1_\mathrm{L}), \\ p(3 | 0_\mathrm{L})& = \operatorname{Tr}(|3\rangle\langle 3|\cdot\Phi_{A \to B}[|0_\mathrm{L}\rangle\langle 0_\mathrm{L}|]) = \zeta = p(3 | 1_\mathrm{L}). \end{aligned} \end{equation*} \notag $$
Для правого базиса параметры те же, что соответствует симметричной атаке; несимметричные атаки в работах [11], [13] не рассматриваются. Связь наблюдаемых величин и характеристик комплементарного канала, в свою очередь, дает формулу для длины секретного ключа в асимптотическом пределе при пересчете на одну посылку (см. (28) в [13])
$$ \begin{equation} l_\mathrm{key}^{SP}(\zeta, Q) = 1 - \mathrm{h}_2\biggl(\frac{\zeta}{1 - \zeta}\biggr) - \mathrm{h}_2(Q), \end{equation} \tag{4} $$
где $\mathrm{h}_2(x) = -x\log_2 x - (1-x)\log_2(1-x)$ есть бинарная энтропия Шеннона. В формуле (4) предполагается, что легитимные пользователи исправляют ошибки максимально эффективными кодами Шеннона, в противном случае величину $\mathrm{h}_2(Q)$ следует заменить на фактическую утечку $\mathrm{leak}(Q)$ (см. (29) в [13]).

Формула (4) фактически является результатом использования формулы Деветака–Винтера [15] $l_\mathrm{key} = I(A:B) - I(A:E)$, где взаимная информация легитимных пользователей $I(A:B) = 1 - \mathrm{h}_2(Q)$ соответствует классическому бинарному симметричному каналу с вероятностью ошибки $Q$, а взаимная информация между Алисой и Евой $I(A:E)$ оценивается сверху через величину $\mathrm{h}_2(\zeta/(1 - \zeta))$.

3. Атака в однофотонном случае

Построим явную атаку, которая показывает ошибочность формулы (4). Ошибка вывода этой формулы состоит в том, что не учтены действия подслушивателя, вносящие затухание в канал, поэтому будет построена атака, при которой Ева блокирует часть импульсов.

В начале атаки Ева проводит измерение, описываемое наблюдаемой

$$ \begin{equation} M_\mathrm{L} = \frac 12 \begin{pmatrix} 1 & 0 & 0 \\ 0 & 1 & 0 \\ 0 & 0 & 0 \end{pmatrix}, \qquad M_\mathrm{R} = \frac 12 \begin{pmatrix} 0 & 0 & 0 \\ 0 & 1 & 0 \\ 0 & 0 & 1 \end{pmatrix}, \qquad M_? = \frac 12 \begin{pmatrix} 1 & 0 & 0 \\ 0 & 0 & 0 \\ 0 & 0 & 1 \end{pmatrix}. \end{equation} \tag{5} $$

Можно определить соответствующий квантовый канал

$$ \begin{equation} \Phi[\rho] = \sum_i A_i\rho A_i^\unicode{8224}, \qquad i \in \{\mathrm{L}, \mathrm{R}, ?\}, \end{equation} \tag{6} $$
который задается операторами Крауса $A_i = \sqrt 2 M_i,\, i \in \{\mathrm{L}, \mathrm{R}, ?\}$. Для таких операторов условие $\sum_i A_i^\unicode{8224} A_i = I$ выполняется, и канал определен корректно.

Несложно видеть, что при применении канала (6) состояния левого базиса при выпадении исхода L не меняются, а при выпадении исхода R переходят в состояние $|2\rangle$. Первое происходит с вероятностью $0.5$, второе – с вероятностью $0.25$. Аналогичным образом для состояний правого базиса возможно выпадение исхода R без изменения состояний, а возможно выпадение исхода L с переходом в состояние $|2\rangle$. Исход $?$ является неопределенным, он выпадает с вероятностью $0.25$ на любом состоянии, и соответствующие ему посылки Ева блокирует.

После преобразования (6) Ева фактически получает частичную информацию о том, какой базис использовался: левый или правый, и может совершать преобразования в соответствии с выпавшим исходом. Важно, что вероятность получения верной информации о базисе выше, чем при простом угадывании, и эта вероятность по формуле Байеса равна $2/3$. При этом состояния при выпадении верного исхода не изменились: всех этих преимуществ Еве удается достичь благодаря постселекции.

Дальнейшие действия Евы зависят от выпавшего исхода, опишем их для исхода L. Рассмотрим атаку с параметром $\gamma \in [0, \pi/4]$. Ева присоединяет к состоянию $|\psi\rangle_A$ на выходе канала (6) свое состояние (анциллу)

$$ \begin{equation} |\varepsilon\rangle_E = \cos\gamma|1\rangle_E + \sin\gamma|2\rangle_E, \end{equation} \tag{7} $$
после чего подвергает пару состояний $|\psi\rangle_A\otimes|\varepsilon\rangle_E$ следующему унитарному преобразованию:
$$ \begin{equation} |\psi\rangle_A\otimes|\varepsilon\rangle_E \to (H_A\otimes I_E)\cdot CZ \cdot(H_A\otimes I_E) |\psi\rangle_A\otimes|\varepsilon\rangle_E, \end{equation} \tag{8} $$
где $CZ =\mathrm{diag}\{1, 1, 1, -1\}$ – преобразование условного фазового сдвига, $H$ – преобразование Адамара, $I$ – тождественное преобразование. Преобразование (8) соответствует простой квантовой схеме, при которой применяется преобразование Адамара к состоянию на выходе канала (6), после чего применяется условный фазовый сдвиг над состоянием и анциллой, затем снова применяется преобразование Адамара к первой позиции.

Несложно получить действие преобразования (8) на возможные состояния $|\psi\rangle_A$ после канала (6):

$$ \begin{equation} \begin{aligned} \, |0_\mathrm{L}\rangle_A\otimes|\varepsilon\rangle_E &\to |0_\mathrm{L}\rangle_A\otimes(\cos\gamma|1\rangle_E + \sin\gamma|2\rangle_E), \\ |1_\mathrm{L}\rangle_A\otimes|\varepsilon\rangle_E &\to |1_\mathrm{L}\rangle_A\otimes(\cos\gamma|1\rangle_E - \sin\gamma|2\rangle_E), \\ |2\rangle_A\otimes|\varepsilon\rangle_E &\to \sin\gamma|1\rangle_A\otimes|2\rangle_E + \cos\gamma|2\rangle_A\otimes|1\rangle_E, \end{aligned} \end{equation} \tag{9} $$
т. е. это преобразование частично копирует информацию из состояний $|0_\mathrm{L}\rangle$ и $|1_\mathrm{L}\rangle$, преобразуя анциллу в различные состояния в зависимости от состояния на входе. Степень различимости выходных состояний зависит от параметра $\gamma$: чем он выше, тем более различимы состояния, при $\gamma = \pi/4$ они становятся ортогональными. Однако это преобразование вносит возмущение в состояние $|2\rangle$, которое получается при неверном угадывании базиса: при измерении Бобом соответствующего частичного состояния
$$ \begin{equation} \begin{aligned} \, \operatorname{Tr}_E (\sin\gamma|1\rangle_A\otimes|2\rangle_E &+ \cos\gamma|2\rangle_A\otimes|1\rangle_E)\cdot (\sin\gamma\langle 1|_A\otimes\langle 2|_E + \cos\gamma\langle 2|_A\otimes\langle 1|_E) ={} \nonumber \\ &=\sin^2\gamma |1\rangle\langle 1|_A + \cos^2\gamma |2\rangle\langle 2|_A \end{aligned} \end{equation} \tag{10} $$
в базисе R (напомним, что состояние $|2\rangle$ получается, когда Алиса использовала базис R, а Ева получила исход L, или наоборот, но мы рассматриваем первый случай) это состояние приведет к отсчету в контрольном временно́м окне $|1\rangle$ с вероятностью $\sin^2\gamma$, также оно может привести к информационному отсчету с вероятностью $\cos^2\gamma$, и в этом случае битовая ошибка будет возникать в половине посылок. Вероятность неверного определения базиса Евой равна $1/3$, что ведет к вероятности контрольных отсчетов $\zeta = \frac 13\sin^2\gamma$ и к вероятности битовой ошибки $Q = 1/6$ при условии регистрации информационного состояния. Поэтому согласно формуле (4) длина секретного ключа должна равняться
$$ \begin{equation} l_\mathrm{key}(\gamma) = 1 - \mathrm{h}_2\biggl(\frac{\sin^2\gamma}{3 - \sin^2\gamma}\biggr) - \mathrm{h}_2\biggl(\frac{1}{6}\biggr). \end{equation} \tag{11} $$

Рассчитаем теперь длину секретного ключа при построенной атаке, рассмотрев ситуацию с точки зрения перехватчика. С вероятностью $2/3$ базис был угадан верно, и Ева получает информацию, которая дается величиной Холево от чистых состояний $\cos\gamma|1\rangle \pm \sin\gamma|2\rangle$ и равна

$$ \begin{equation*} \mathrm{h}_2\biggl(\frac{1 - \cos2\gamma}{2}\biggr) = \mathrm{h}_2(\sin^2\gamma), \end{equation*} \notag $$
откуда имеем для разности информации легитимных пользователей и перехватчика
$$ \begin{equation} l_\mathrm{key}^\mathrm{attack}(\gamma) = 1 - \frac 23 \mathrm{h}_2(\sin^2\gamma) - \mathrm{h}_2\biggl(\frac{1}{6}\biggr). \end{equation} \tag{12} $$

GRAPHIC

Рис. 1.Скорость генерации секретного ключа в зависимости от параметра атаки $\gamma$, вычисленная по формуле (12), соответствующей построенной атаке (сплошная линия), а также по формуле (11), соответствующей доказательству стойкости протокола (штриховая линия). Показаны неотрицательные значения скоростей генерации ключа.

Формулы (11) и (12) отличаются лишь вторым членом, и соответствующие графики, на которых показаны неотрицательные части скоростей генерации ключа, приведены на рис. 1. Как видно из этого рисунка, построенная атака демонстрирует завышение длины секретного ключа в формуле (11). В следующем разделе завышение длины ключа будет доказано аналитически для более общего случая. Фактически речь идет о неверной оценке информации Евы через величину $\mathrm{h}_2\bigl(\frac{\zeta}{1 - \zeta}\bigr)$ в формуле (4), поскольку такая оценка справедлива лишь в случае, когда противник не применяет атаки, включающие блокирование части посылок.

Область на графике, соответствующая значению $\gamma \in [0.357, 0.452]$, имеет важное значение. Это область значений $\gamma$, при которых длина ключа по формуле (12) обращается в нуль, т. е. противнику известен весь ключ. В то же время согласно формуле (11), происходящей из (4), ключ ненулевой, т. е. легитимные пользователи считают, что сгенерировали полностью секретный ключ.

Таким образом, блокируя всего лишь четверть посылок, Ева может с помощью описанной в этом разделе атаки добиться того, что она будет знать весь ключ, в то время как легитимные пользователи будут пребывать в уверенности, что ключ полностью секретен. Атака оказывается возможной благодаря тому, что с помощью действий, допускающих блокирование части посылок, Еве удается частично различить левые и правые базисы, не испортив их полностью, что обеспечивает высокую эффективность атаки, т. е. получение перехватчиком большого количества информации при внесении относительно небольшого возмущения в передаваемые состояния.

С формальной точки зрения ошибка в доказательстве криптографической стойкости протокола в работах [11], [13] заключается в рассмотрении в качестве самой общей стратегии перехватчика унитарного преобразования, действующего на паре трехмерных пространств Алисы (натянутого на векторы $\{|1\rangle, |2\rangle, |3\rangle\}$) и Евы. Ошибка в том, что при наличии затухания в линии связи размерность пространства увеличивается на единицу, и дополнительное измерение соответствует потере сигнала. Отображения на четырехмерное пространство в работах [11], [13] не были рассмотрены, поэтому не были учтены стратегии подслушивания с постселекцией. В то же время помимо уже известных атак с постселекцией, таких как атака безошибочным различением состояний (USD-атака [16]) и атака разделением по числу фотонов (PNS-атака [17]), существуют и более сложные атаки [18]–[23], связанные с построением общего преобразования подслушивателя, включающего в себя затухание (см. также [24], где подобная аргументация уже встречалась). Фактически в этом разделе был построен пример конкретного унитарного преобразования (и соответственно пары из канала $\Phi_{A \to B}$ и комплементарного канала $\Phi_{A \to E}$), которое более эффективно для перехватчика, чем унитарное преобразование на паре трехмерных пространств, рассмотренное в работах [11], [13].

4. Протокол и атака в практических условиях

Выше рассматривался протокол в условиях отправки однофотонных посылок. Однако в практических условиях легитимным пользователям недоступны однофотонные источники, поэтому они используют ослабленное лазерное излучение с когерентными состояниями в каждом из трех временны́х окон:

$$ \begin{equation} \begin{aligned} \, 0_\mathrm{L} &\to |\alpha\rangle_1\otimes|\alpha\rangle_2\otimes|0\rangle_3, & \qquad 0_\mathrm{R} &\to |0\rangle_1\otimes|\alpha\rangle_2\otimes|\alpha\rangle_3, \\ 1_\mathrm{L}& \to |\alpha\rangle_1\otimes|-\alpha\rangle_2\otimes|0\rangle_3, & \qquad 1_\mathrm{R}& \to |0\rangle_1\otimes|\alpha\rangle_2\otimes|-\alpha\rangle_3. \end{aligned} \end{equation} \tag{13} $$

Обозначим через $\mu = |\alpha|^2$ интенсивность каждого когерентного состояния $|\alpha\rangle$, при этом общая интенсивность импульса составляет $2\mu$, так как когерентные состояния находятся в двух временны́х окнах. После общей фазовой рандомизации состояния (13) превращаются (см. подробности в [12], [13], [25]) в смесь состояний с определенным количеством фотонов в сумме во всех временны́х окнах, при этом соответствующие однофотонные состояния эквивалентны (1).

Полагается, что вся информация о многофотонных посылках известна перехватчику, так как он может провести атаку разделением по числу фотонов. Для оценки доли однофотонных компонент в ключе используется модификация метода обманных состояний [26], [27], вследствие чего итоговая формула записывается в виде

$$ \begin{equation} l_\mathrm{key} = \frac{P_1(\mu)}{P(\mu)}(1 - \zeta_1)\biggl[1 - \mathrm{h}_2\biggl(\frac{\zeta_1}{1 - \zeta_1}\biggr)\biggr] - \mathrm{leak}( \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q ), \end{equation} \tag{14} $$
где $P(\mu)$ – вероятность регистрации сигнала на приемной стороне, $P_1(\mu)$ – совместная вероятность испускания однофотонной посылки и регистрации сигнала на приемной стороне, $\zeta_1$ – вероятность контрольных отсчетов в однофотонной компоненте, $ \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q $ – средняя величина битовой ошибки во всех зарегистрированных информационных импульсах. Все входящие в формулу величины зависят, в частности, от действий перехватчика, кроме интенсивности $\mu$, выбираемой легитимными пользователями. Величины $P(\mu)$ и $ \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q $ легитимные пользователи наблюдают явно, величины $P_1(\mu)$ и $\zeta_1$ оцениваются с применением метода обманных состояний [26], [27]. Также в формуле (14) учитывается, что в протоколе с фазово-временны́м кодированием вклад в ключ вносят только посылки, в которых был зарегистрирован информационный, а не контрольный сигнал, что добавляет множитель $1 - \zeta_1$ перед вкладом однофотонной компоненты.

Формула (14) получена согласно рассуждениям, приведенным в разделе 11 в [12] и в разделе 7 в [13], в наиболее благоприятном для легитимных пользователей случае, когда оценка параметров была проведена идеально. Эту формулу также можно рассматривать как идеализированный вариант формул (116) в [12] и (129) в [13], которые соответствуют более сложным практическим условиям легитимных пользователей.

Рассмотрим действие построенной в разделе 3 атаки в практических условиях, т. е. при использовании ослабленного лазерного излучения и обманных состояний. Будем рассматривать наиболее благоприятную с точки зрения легитимных пользователей ситуацию:

Опишем атаку. Перехватчик может измерить количество фотонов в каждой посылке неразрушающим образом, т. е. сохранив состояние каждого фотона в исходном виде. Если перехватчик не обнаружил в импульсе ни одного фотона, он не предпринимает никаких действий. Если же противник обнаружил в импульсе два или более фотонов, он проводит атаку разделением по числу фотонов: оставляет один фотон в квантовой памяти, а остальные отправляет на приемную сторону по идеальному каналу. После объявления базисов противник проводит измерение в нужном базисе и получает из фотона в своей квантовой памяти полную информацию о ключе.

Наиболее содержательной ситуации отвечает обнаружение перехватчиком одного фотона в импульсе. В этом случае Ева проводит в точности атаку, описанную в предыдущем разделе. Если параметр атаки $\gamma \in [0.357, 0.452]$, то, как отмечалось выше, атака дает Еве всю информацию, при этом происходит блокировка четверти посылок среди однофотонных. Общая вероятность регистрации импульса на стороне Боба с учетом доставки многофотонных импульсов без потерь составляет

$$ \begin{equation} P(\mu) = 1 - e^{-2\mu} - \frac 12 \mu e^{-2\mu}. \end{equation} \tag{15} $$

В то же время при отсутствии перехватчика легитимные пользователи ожидают наличия естественного затухания в линии связи, при котором когерентные состояния преобразуются самоподобным образом, и интенсивность меняется как

$$ \begin{equation*} \mu \to \mu' = \mu\cdot 10^{-\delta l/10}, \end{equation*} \notag $$
где $\delta$ – коэффициент затухания, равный для оптоволокна приблизительно $0.2$ дБ/км.

Вероятность срабатывания детектора на приемной стороне при указанном затухании равна

$$ \begin{equation} P(\mu) = 1 - e^{-2\mu'}, \end{equation} \tag{16} $$
что отвечает наличию фотона на входе детектора (напомним, что мы рассматриваем идеальную эффективность детекторов у легитимных пользователей). Сопоставление формул (15) и (16) позволяет описывать применимость атаки в терминах критической длины линии связи: если на данном расстоянии согласно (16) пользователи ожидают срабатывания детекторов с меньшей вероятностью, чем вероятность (15), то атака возможна. Критическая длина линии связи, при которой противник получает полную информацию, зависит от исходной интенсиности $\mu$: чем выше интенсивность, тем меньше критическая длина, так как при больших значениях интенсивности увеличивается доля многофотонных посылок, которые перехватчик отправляет на приемную сторону без блокировки. Максимальная критическая длина составляет примерно $6.25$ км, при рассмотренной атаке она соответствует интенсивности $\mu$, стремящейся к нулю, так как в этом случае доля однофотонных посылок среди испущенных не вакуумных импульсов стремится к единице, и противник вынужден блокировать наибольшее количество сигналов. Величина $6.25$ км как раз связана с блокировкой четверти сигналов и ожидаемыми потерями для оптоволокна: $10 ^{-6.25 \cdot \frac{0.2}{10}} \approx 0.75$.

Если поставить цель модификации атаки для ее эффективной работы при любой сколь угодно малой длине линии связи, можно рассмотреть очень простую вероятностную стратегию: Ева применяет атаку не к каждому однофотонному импульсу, а лишь к их доле $p \leqslant 1$. Чем меньше длина линии связи, тем меньше должен быть параметр $p$, связанный с вероятностью блокирования части состояний. В этом более общем случае характеристики атаки меняются следующим образом:

Несложно записать формулы, аналогичные (11) и (12), с учетом этих модификаций: с точки зрения легитимных пользователей, длина ключа, соответствующая однофотонной компоненте, равна

$$ \begin{equation} l_\mathrm{key}(\gamma, p) = 1 - \mathrm{h}_2\biggl(\frac{p\sin^2\gamma}{3 - p\sin^2\gamma}\biggr) - \mathrm{h}_2\biggl(\frac{p}{6}\biggr). \end{equation} \tag{17} $$
В то же время при учете информации, попавшей к перехватчику после измерения состояний в квантовой памяти, получаем аналогично (12)
$$ \begin{equation} l_\mathrm{key}^\mathrm{attack}(\gamma, p) = 1 - \frac{2p}{3} \mathrm{h}_2(\sin^2\gamma) - \mathrm{h}_2\biggl(\frac{p}{6}\biggr). \end{equation} \tag{18} $$

Покажем, что формула (17) завышает скорость генерации ключа уже при любой положительной длине линии связи, т. е. в канале с затуханием сколь угодно малой длины. Формулы (17) и (18) различаются лишь вторым членом, поэтому достаточно показать, что функция

$$ \begin{equation*} f(x) = 2 t \mathrm{h}_2(x) - \mathrm{h}_2\biggl(\frac{t x}{1 - t x}\biggr), \end{equation*} \notag $$
получающаяся после замены $\{t = p/3, x = \sin^2\gamma\}$, принимает положительные значения в окрестности нуля для любого значения параметра $t \in (0, 1/3]$. Пользуясь соотношением $\mathrm{h}_2'(x) = \log_2(\frac{1 - x}{x})$, запишем производную:
$$ \begin{equation*} \begin{aligned} \, f'(x)& = 2 t \log_2\biggl(\frac{1 - x}{x}\biggr) - \frac{t}{(1 - tx)^2}\log_2\biggl(\frac{1 - 2 t x}{t x}\biggr) ={} \\ &=t\log_2\biggl[\frac{(1 - x)^2}{x^2} \biggl(\frac{tx}{1 - 2 t x}\biggr)^{1/(1 - tx)^2} \biggr]. \end{aligned} \end{equation*} \notag $$

Выражение под логарифмом можно представить как произведение двух частей: первая, $(1 - x)^2 (\frac{t}{1 - 2 t x})^{1/(1 - tx)^2}$, стремится к константе при стремлении $x$ к нулю, вторая же, $x^{(1/(1 - tx)^2) - 2}$, в силу неравенства $\frac{1}{(1 - tx)^2} < 1 + \varepsilon$, верного при любом $\varepsilon > 0$ при достаточно малых $x$, стремится к бесконечности при стремлении $x$ к нулю. Отсюда заключаем, что $f'(x)$ положительна при всех достаточно малых $x$ для любого значения $t$, что в сочетании с $f(0) = 0$ дает положительность $f(x)$ при небольших $x$.

Из этого факта следует, что длина секретного ключа, вычисляемая согласно формуле

$$ \begin{equation} l_\mathrm{key}(\gamma, p, \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q ) = \frac{P_1(\mu)}{P(\mu)}(1 - \zeta_1)\biggl[1 - \mathrm{h}_2\biggl(\frac{p\sin^2\gamma}{3 - p\sin^2\gamma}\biggr)\biggr] - \mathrm{leak}( \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q ), \end{equation} \tag{19} $$
соответствующей однофотонной формуле (4) и формуле (14) в практическом случае, превосходит при некоторых значениях параметра $\gamma$ и при любом значении $p$ длину ключа
$$ \begin{equation} l_\mathrm{key}^\mathrm{attack}(\gamma, p, \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q ) = \frac{P_1(\mu)}{P(\mu)}(1 - \zeta_1)\biggl[1 - \frac{2p}{3} \mathrm{h}_2\biggl(\sin^2\gamma\biggr)\biggr] - \mathrm{leak}( \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q ), \end{equation} \tag{20} $$
соответствующую построенной атаке, при равных величинах ошибки $ \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q $. Это означает завышение длины секретного ключа в протоколе против рассмотренной атаки при любой длине линии связи, что ведет к частичной информации перехватчика о ключе при его распределении на любое ненулевое расстояние.

Заметим теперь, что средняя наблюдаемая ошибка $ \kern1.2pt\overline{\vphantom{Q}\kern6.6pt}\kern-7.8pt Q $ находится во власти Евы, в том числе она может быть большой. Ева может внести ошибку, например, с помощью фазового сдвига $\pi$ во втором временно́м окне. Пусть Ева выбирает эту ошибку таким образом, чтобы длина ключа по формуле (20) обращалась в нуль, но была ненулевой в формуле (19). В этом случае Ева придет к ситуации, которая уже встречалась в разделе 3 при некоторых значениях $\gamma$: легитимные пользователи уверены в стойкости распределяемого ключа, в то время как он целиком известен перехватчику. Теперь эта ситуация оказывается возможной при сколь угодно малом затухании, в соответствии с которым выбирается параметр $p$.

Таким образом, показано, что уже начиная со сколь угодно малой дистанции между легитимными пользователями протокол становится полностью несекретным, т. е. противник может знать весь распределяемый криптографический ключ. Отметим, что для построенной атаки не утверждается оптимальность, поэтому модификация формулы скорости генерации ключа (4) в соответствии с этой атакой не сделает протокол гарантированно секретным.

С технической точки зрения важной ошибкой при анализе стойкости протокола, приведшей к уязвимости в практических условиях, является использование формулы (14) для длины ключа при наличии многофотонных импульсов и затухании в линии связи. Эта формула была получена в работе [28], ее иногда называют GLLP-формулой, но она была выведена для протокола BB84, ее применение к другим протоколам без должного обоснования является некорректным. Протокол BB84 обладает важным свойством, явно используемым в GLLP-подходе: постселекция не помогает перехватчику разработать более эффективные стратегии атаки для однофотонных посылок. Как было показано в разделе 3, для протокола с фазово-временны́м кодированием это не так, и наличие некоторой части строго однофотонных посылок, зарегистрированных на приемной стороне, еще не свидетельствует о том, что для ключа в этих посылках можно использовать формулу (4), выведенную в условиях отсутствия затухания и постселекции. В условиях, когда Ева может блокировать неудобные для нее однофотонные посылки и переправлять на приемную сторону удобные посылки, GLLP-подход оказывается некорректным и приводит к потере криптографической стойкости.

5. Заключение

Протокол с фазово-временны́м кодированием в однофотонном случае использует два наблюдаемых параметра для оценки степени вмешательства перехватчика: среднюю вероятность битовой ошибки внутри базиса и вероятность контрольных временны́х отсчетов. Доказательство стойкости протокола использовало построение общей атаки подслушивателя на однофотонные компоненты. В практическом режиме работы, когда информация передается с помощью ослабленных лазерных импульсов, используется метод обманных состояний для оценки вклада в секретный ключ импульсов, происходящих из строго однофотонных компонент, для которых справедлива формула из доказательства стойкости.

В данной работе была построена явная атака перехватчика, демонстрирующая некорректность описанного подхода. В однофотонном случае противник может воспользоваться возможностью блокирования части фотонов, чтобы увеличить свою информацию о ключе для оставшихся посылок. Это приводит к тому, что уже при возможности блокирования четверти однофотонных посылок существуют параметры атаки, при которых противнику известен весь ключ, в то время как легитимные пользователи считают его полностью секретным.

Модификация предложенной атаки с вероятностным применением подслушивающего преобразования демонстрирует потерю стойкости протокола при произвольной величине затухания в канале, т. е. при попытке распределить ключ на любое ненулевое расстояние. Благодаря возможности внести произвольную величину битовой ошибки в линию связи противник может добиться полного знания ключа при любой длине линии связи, подобрав параметры атаки, в том числе вносимую ошибку.

Были явно указаны ошибки в доказательстве стойкости протокола, приведшие к данной уязвимости: неверное использование GLLP-подхода для учета затухания, а также рассмотрение лишь частного случая атаки в качестве самого общего преобразования перехватчика для однофотонных посылок.

Рассматривалась идеальная ситуация для легитимных пользователей: точная оценка однофотонной компоненты в методе обманных состояний, идеальная работа оптической схемы и детекторов на приемной стороне. Мы не рассматривали вопросы использования перехватчиком несовершенства оборудования или целенаправленного урона, наносимого устройствам легитимных пользователей.

Для приведенной атаки не утверждается оптимальность, и она, по всей видимости, может быть улучшена. Вариантом улучшения может быть, в частности, отказ от простой интерполяции с вероятностным применением атакующего преобразования в пользу более сложных методов квантовых преобразований с постселекцией (см. аргументацию и примеры для другого протокола в [23]).

Конфликт интересов

Автор заявляет, что у него нет конфликта интересов.

Список литературы

1. C. H. Bennett, G. Brassard, “Quantum cryptography: Public key distribution and coin tossing”, Proceedings of IEEE International Conference on Computers, Systems & Signal Processing (Bangalore, India, December 10–12, 1984), IEEE Press, New York, 1984, 175–179  crossref
2. N. Gisin, G. Ribordy, W. Tittel, H. Zbinden, “Quantum cryptography”, Rev. Modern Phys., 74:1 (2002), 145–195, arXiv: quant-ph/0101098  crossref  adsnasa
3. S. Pirandola, U. L. Andersen, L. Banchi et al., Adv. Opt. Photonics, 12:4 (2020), 1012–1236, arXiv: 1906.01645  crossref  adsnasa
4. А. С. Трушечкин, “Об операционном смысле и практических аспектах использования параметра стойкости в квантовом распределении ключей”, Квантовая электроника, 50:5 (2020), 426–439  mathnet  crossref
5. С. П. Кулик, С. Н. Молотков, А. П. Маккавеев, “Комбинированный фазово-временной метод кодирования в квантовой криптографии”, Письма в ЖЭТФ, 85:6 (2007), 354–359  mathnet  crossref
6. С. Н. Молотков, “О криптографической стойкости системы квантовой криптографии с фазово-временным кодированием”, ЖЭТФ, 133:1 (2008), 5–24
7. С. Н. Молотков, “О стойкости квантового распределения ключей с фазово-временным кодированием при больших длинах линии связи”, Письма в ЖЭТФ, 88:4 (2008), 315–320  mathnet  crossref  mathscinet
8. Д. А. Кронберг, С. Н. Молотков, “Двухпараметрическая квантовая криптография на временны́х сдвигах, устойчивая к атаке с расщеплением по числу фотонов”, ЖЭТФ, 136:4 (2009), 650  crossref
9. Д. А. Кронберг, С. Н. Молотков, “Квантовая схема для оптимального подслушивания квантового распределения ключей с фазово-временны́м кодированием”, ЖЭТФ, 138:1 (2010), 33–66  crossref
10. A. N. Klimov, K. A. Balygin, S. N. Molotkov, “Two-parameter single-pass plug and play quantum cryptography without adjustment of states in the quantum channel”, Laser Phys. Lett., 15:7 (2018), 075207  crossref  adsnasa
11. S. N. Molotkov, “Tight finite-key analysis for two-parametric quantum key distribution”, Laser Phys. Lett., 16:3 (2019), 035203  crossref  adsnasa
12. И. В. Синильщиков, С. Н. Молотков, “Состояния ‘ловушки’, коды коррекции ошибок с низкой плотностью проверок на четность в квантовой криптографии с фазово-временным кодированием”, ЖЭТФ, 156:8 (2019), 205–238  crossref
13. С. Н. Молотков, “О стойкости систем квантовой криптографии с фазово-временны́м кодированием к атакам активного зондирования”, ЖЭТФ, 158:6(12) (2020), 1011–1031  crossref
14. А. С. Холево, Квантовые системы, каналы, информация, МЦНМО, М., 2010  crossref  mathscinet  zmath
15. I. Devetak, A. Winter, “Distillation of secret key and entanglement from quantum states”, Proc. Roy. Soc. London Ser. A, 461:2053 (2005), 207–235  crossref  mathscinet  adsnasa
16. M. Dusek, M. Jahma, N. Lütkenhaus, “Unambiguous state discrimination in quantum cryptography with weak coherent states”, Phys. Rev. A, 62:2 (2000), 022306, 9 pp., arXiv: quant-ph/9910106  crossref  mathscinet  adsnasa
17. G. Brassard, N. Lütkenhaus, T. Mor, B. C. Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett., 85:6 (2000), 1330–1333, arXiv: quant-ph/9911054  crossref  adsnasa
18. D. A. Kronberg, “A simple coherent attack and practical security of differential phase shift quantum cryptography”, Laser Phys., 24:2 (2014), 025202  crossref  adsnasa
19. Д. А. Кронберг, Ю. В. Курочкин, “О роли флуктуаций интенсивности в квантовой криптографии на основе когерентных состояний”, Квантовая электроника, 48:9 (2018), 843–848  mathnet  crossref
20. D. A. Kronberg, A. S. Nikolaeva, Y. V. Kurochkin, A. K. Fedorov, “Quantum soft filtering for the improved security analysis of the coherent one-way quantum-key-distribution protocol”, Phys. Rev. A, 101:3 (2000), 032334, 7 pp., arXiv: 1910.06167  mathnet  crossref  mathscinet  adsnasa
21. D. A. Kronberg, “Generalized discrimination between symmetric coherent states for eavesdropping in quantum cryptography”, Lobachevskii J. Math., 41:12 (2020), 2332–2337  mathnet  crossref  mathscinet
22. A. S. Avanesov, D. A. Kronberg, “On eavesdropping strategy for symmetric coherent states quantum cryptography using heterodyne measurement”, Lobachevskii J. Math., 42:10 (2021), 2285–2294  mathnet  crossref  mathscinet
23. Д. А. Кронберг, “Об уязвимостях квантовой криптографии на геометрически однородных когерентных состояниях”, Квантовая электроника, 51:10 (2021), 928–937  mathnet  crossref
24. D. A. Kronberg, “Comment on ‘Practical quantum key distribution with geometrically uniform states’ ”, Phys. Rev. A, 104:2 (2001), 026401, 3 pp.  mathnet  crossref  adsnasa
25. A. Acin, N. Gisin, V. Scarani, “Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks”, Phys. Rev. A, 69:1 (2004), 012309, 16 pp., arXiv: quant-ph/0302037  crossref  adsnasa
26. H.-K. Lo, X. Ma, K. Chen, “Decoy state quantum key distribution”, Phys. Rev. Lett., 94:23 (2005), 230504, 4 pp.  crossref
27. X. Ma, B. Qi, Y. Zhao, H.-K. Lo, “Practical decoy state for quantum key distribution”, Phys. Rev. A, 72:1 (2005), 012326, 15 pp.  crossref
28. D. Gottesman, H.-K. Lo, N. Lütkenhaus, J. Preskill, “Security of quantum key distribution with imperfect devices”, IEEE International Symposium on Information Theory (Chicago Downtown Marriott, Chicago, IL, USA, 27 June 2004 – 02 July, 2004), IEEE Press, New York, 2004, 136  crossref

Образец цитирования: Д. А. Кронберг, “Уязвимость квантовой криптографии с фазово-временны́м кодированием в условиях затухания”, ТМФ, 214:1 (2023), 140–152; Theoret. and Math. Phys., 214:1 (2023), 121–131
Цитирование в формате AMSBIB
\RBibitem{Kro23}
\by Д.~А.~Кронберг
\paper Уязвимость квантовой криптографии с фазово-временн\'{ы}м кодированием в условиях затухания
\jour ТМФ
\yr 2023
\vol 214
\issue 1
\pages 140--152
\mathnet{http://mi.mathnet.ru/tmf10326}
\crossref{https://doi.org/10.4213/tmf10326}
\mathscinet{http://mathscinet.ams.org/mathscinet-getitem?mr=4538891}
\adsnasa{https://adsabs.harvard.edu/cgi-bin/bib_query?2023TMP...214..121K}
\transl
\jour Theoret. and Math. Phys.
\yr 2023
\vol 214
\issue 1
\pages 121--131
\crossref{https://doi.org/10.1134/S0040577923010075}
\scopus{https://www.scopus.com/record/display.url?origin=inward&eid=2-s2.0-85149368637}
Образцы ссылок на эту страницу:
  • https://www.mathnet.ru/rus/tmf10326
  • https://doi.org/10.4213/tmf10326
  • https://www.mathnet.ru/rus/tmf/v214/i1/p140
  • Эта публикация цитируется в следующих 3 статьяx:
    Citing articles in Google Scholar: Russian citations, English citations
    Related articles in Google Scholar: Russian articles, English articles
    Теоретическая и математическая физика Theoretical and Mathematical Physics
     
      Обратная связь:
     Пользовательское соглашение  Регистрация посетителей портала  Логотипы © Математический институт им. В. А. Стеклова РАН, 2024