Протокол квантового распределения ключей с использованием ЭПР

Протокол квантового распределения ключей с использованием ЭПР, ЭПР-протокол (англ. EPR-Protocol) — квантовый криптографический протокол, основанный на «мысленном эксперименте» Эйнштейна-Подольского-Розена^[1] и обобщённой теореме Белла^[2]. Был впервые предложен польским физиком Артуром Экертом в 1991 году^[3].

История

В 1991 году Артур Экерт разработал квантовый протокол, основанный на свойствах так называемых «запутанных» состояний квантовых частиц^[3]. Для этого он использовал пару частиц, называемых ЭПР-парой (где ЭПР означает Эйнштейн-Подольский-Розен, которые представили в статье 1935 года одноимённый парадокс^[1]). В этой статье они рассмотрели пространственно разделённые пары частиц (ЭПР-пары), чьи состояния связаны между собой таким образом, что измерение выбранной наблюдаемой одной частицы автоматически определяет результат измерения этой же наблюдаемой другой частицы. При этом, пространственная разделённость ЭПР-пар позволяет говорить о «действии на расстоянии» (дальнодействии).

Например, возможно создать пару фотонов с запутанными поляризациями, состояние которых можно представить следующим образом:

${\displaystyle \vert S\rangle ={\frac {1}{\sqrt {2}}}(\vert 0\rangle \vert 1\rangle +\vert 1\rangle \vert 0\rangle )}$

Если в результате измерения состояния одного фотона данной пары получилось, что он находится в состоянии ${\displaystyle \vert 0\rangle }$, то можно заранее сказать, что результатом измерения второго фотона будет ${\displaystyle \vert 1\rangle }$ и наоборот.

Чтобы объяснить парадокс «действия на расстоянии» Эйнштейн с коллегами предположили, что должны существовать некие скрытые параметры, недоступные в ходе эксперимента. Это, в дальнейшем, привело их к выводу о несостоятельности квантовой механики. Однако, уже в 1964 году Джон Белл доказал, что любая теория локально скрытой переменной должна удовлетворять выведенному им неравенству Белла^[2]. Однако, эксперименты, проводимые с 1972 года, убедительно показали, что теория квантовой механики данное неравенство нарушает и посему является теорией без локально скрытых параметров^[4][5][6][7]. Именно благодаря этому факту квантовые криптографические протоколы на ЭПР-парах способны определить вмешательство криптоаналитика в процесс передачи данных, т.к. наличие криптоаналитика в квантовомеханической системе вносит в неё скрытый параметр, что влечет за собой выполнение неравенства Белла^[8].

Описание протокола

Протокол ЭПР использует в своей работе 3 квантовых состояния. Далее приведено его описание с использованием в качестве состояния квантовых частиц поляризации запутанных фотонов (ЭПР-пары)^[8]. Обозначим символом ${\displaystyle \left|\theta \right\rangle }$ линейно поляризованный под углом ${\displaystyle \theta }$ фотон.

Квантовые состояния, используемые в различных протоколах

В качестве трёх возможных состояний поляризации ЭПР-пары (не путать с состоянием отдельного кубита) выберем:

${\displaystyle \vert S_{0}\rangle ={\frac {1}{\sqrt {2}}}\left(\vert 0\rangle \left|{\frac {3\pi }{6}}\right\rangle +\left|{\frac {3\pi }{6}}\right\rangle \vert 0\rangle \right)}$

${\displaystyle \vert S_{1}\rangle ={\frac {1}{\sqrt {2}}}\left(\left|{\frac {\pi }{6}}\right\rangle \left|{\frac {4\pi }{6}}\right\rangle +\left|{\frac {4\pi }{6}}\right\rangle \left|{\frac {\pi }{6}}\right\rangle \right)}$

${\displaystyle \vert S_{2}\rangle ={\frac {1}{\sqrt {2}}}\left(\left|{\frac {2\pi }{6}}\right\rangle \left|{\frac {5\pi }{6}}\right\rangle +\left|{\frac {5\pi }{6}}\right\rangle \left|{\frac {2\pi }{6}}\right\rangle \right)}$

В свою очередь, для каждого отдельного кубита необходимо выбрать 6 состояний, используемых в ЭПР-паре. Эти состояния будет кодировать следующую информацию:

Состояние	${\displaystyle \left|0\right\rangle }$	${\displaystyle \left|{\frac {3\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {4\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {2\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {5\pi }{6}}\right\rangle }$
Бит	0	1	0	1	0	1

В качестве наблюдаемых выберем, соответственно:

${\displaystyle M_{0}=\left|0\right\rangle \left\langle 0\right|,}$ ${\displaystyle M_{1}=\left|{\frac {\pi }{6}}\right\rangle \left\langle {\frac {\pi }{6}}\right|,}$ ${\displaystyle M_{2}=\left|{\frac {2\pi }{6}}\right\rangle \left\langle {\frac {2\pi }{6}}\right|}$

Алгоритм работы

Как и во многих квантовых криптографических протоколах, в ЭПР-протоколе существует две фазы: передача информации по квантовому и по открытому классическому каналу. Алгоритм работы данного протокола может быть описан следующим образом^[8]:

Фаза 1. Передача информации по квантовому каналу

Для каждого временного интервала случайным образом из набора состояний ${\displaystyle \{\left|S_{0}\right\rangle ,\left|S_{1}\right\rangle ,\left|S_{2}\right\rangle \}}$ с равной вероятностью выбирается состояние ${\displaystyle \left|S_{j}\right\rangle }$. Затем, создаётся ЭПР-пара в выбранном состоянии ${\displaystyle \left|S_{j}\right\rangle }$. Доверенным источником создаётся ЭПР-пара запутанных фотонов, и один фотон из созданной пары посылается Алисе, второй — Бобу. Алиса и Боб независимо и равновероятно выбирают один из трёх базисов измерений ${\displaystyle M_{0}}$, ${\displaystyle M_{1}}$ или ${\displaystyle M_{2}}$, и измеряют полученные фотоны в данном базисе. Алиса записывает измеренный бит, а Боб применяет к своему биту операцию отрицания и записывает результат. Далее данная процедура повторяется в течение необходимого для получения ключа количества временных интервалов.

Фаза 2. Передача сообщения по классическому каналу.

В данной фазе протокола Алиса и Боб передают сообщения по открытому каналу в два этапа.

Этап 1. Разделение ключа

На данном этапе Алиса и Боб выясняют по открытому каналу номера битов, которые они измеряли в одинаковом базисе. Затем они разделяют свои последовательности бит на две подпоследовательности. Одна из них, называемая чистым ключом, содержит те биты, которые были измерены в одинаковом базисе. Другая, называемая отброшенным ключом, содержит все оставшиеся биты.

Этап 2. Определение присутствия криптоаналитика

На данном этапе Алиса и Боб обсуждают по открытому каналу свои отброшенные ключи, чтобы определить, выполняется ли неравенство Белла. Его выполнение означает присутствие криптоаналитика (Евы), а невыполнение — отсутствие.

Для ЭПР-протокола неравенство Белла может быть записано в следующем виде. Пусть ${\displaystyle P(\neq \vert i,j)}$ определяет вероятность того, что два соответствующих бита отброшенных ключей Алисы и Боба не совпадают, считая, что для измерений был выбран либо базис ${\displaystyle M_{i}}$ и ${\displaystyle M_{j}}$ или ${\displaystyle M_{j}}$ и ${\displaystyle M_{i}}$ соответственно.

Пусть также:

${\displaystyle P(=\vert i,j)=1-P(\neq \vert i,j)}$,

${\displaystyle \Delta (i;j)=P(\neq \vert i,j)-P(=\vert i,j)}$

${\displaystyle \beta =1+\Delta (1;2)-\vert \Delta (0;1)-\Delta (0;2)\vert }$

Тогда неравенство Белла для данного случая сводится к ${\displaystyle \beta \geq 0}$.

Однако, при соблюдении законов квантовой механики (то есть в теории без скрытых параметров), ${\displaystyle \beta =-{\frac {1}{2}}}$, что является явным нарушение неравенства Белла. Таким образом, пользуясь данным критерием, можно легко определить вмешательство криптоаналитика в передачу данных, т.к. при его отсутствии система будет описываться законами квантовой механики и, следовательно, нарушать неравенство Белла, а при его наличии становится теорией со скрытым параметром, удовлетворяющей этому неравенству.

Анализ протокола

Зависимость шенноновской информации от уровня ошибок

Согласно принципам квантовой механики, Ева не может точно определить квантовое состояние, пересылаемое от Алисе к Бобу (или, что то же самое, от источника Алисе и Бобу). Тем не менее, она может получить часть пересылаемой информации^[9]. Без вмешательства криптоаналитика, каждый кубит несет один бит информации от Алисы к Бобу. Когда же Ева получает часть этой информации, она не может не внести возмущения к состоянию, считываемому Бобом, вводя таким образом ненулевой уровень ошибок. В принципе, Боб может выяснить уровень ошибок и выявить наличие криптоаналитика в ходе общения с Алисой по открытому каналу. Простейшей атакой Евы (перехват и с последующей пересылкой) будет измерение каждого кубита так, как это сделал бы Боб, и пересылка Бобу сигнала, соответствующего результату измерения.

Кроме того, всегда присутствует шум от источника, детекторов и т.д., поэтому принципиально невозможно отличить ошибки, вызванные шумом, от ошибок, вызванных действиями криптоаналитика^[9]. Поэтому при дальнейшем анализе будем предполагать, что все ошибки вызваны только вмешательством криптоаналитика.

Ещё одна проблема имеет статистический характер. Криптоаналитику может просто повезти: ведь ошибки возникают только в среднем, поэтому в каждом отдельном случае, уровень ошибок вполне может быть нулевым (разумеется, с вероятностью, экспоненциально убывающей с ростом длины ключа). Введем величину QBER (Quantum Bit Error Rate), которая отвечает за уровень ошибок при передаче кубитов.

Высокие значения QBER в системах квантового разделения ключей позволяют криптоаналитику получить больше информации о передаваемых ключах, чем пользователю системы. Если такое случается, то использование каких-либо методов усилений безопасности становятся бесполезными. Поэтому, при разработке сети квантового разделения ключей необходимо закладывать уровень QBER ниже определённого предела, чтобы в дальнейшем использовать методы понижения количества информации, перехваченной Евой^[9].

Предельно безопасный уровень для ЭПР-протокола: ${\displaystyle QBER_{T}\approx 15\%}$ ^[9]

Другие вариации протокола

Существуют и другие вариации данного протокола, улучшающие эффективность использования кубитов вплоть до теоретически достижимых 100 %^{[10] [11]}

Сравнение с другими протоколами

В отличие от широко известных протоколов BB84 и B92, этот протокол использует отброшенные ключи для обнаружения присутствия криптоаналитика (Евы) с помощью неравенства Белла^[8].

Примечания

1. Einstein A., Podolsky B., Rosen N. Can Quantum-Mechanical Description of Physical Reality Be Considered Complete? (англ.) // Physical Review / E. L. Nichols, E. Merritt, F. Bedell, G. D. Sprouse — Lancaster: for the American Physical Society by the American Institute of Physics, 1935. — Vol. 47, Iss. 10. — P. 777—780. — ISSN 0031-899X; 1536-6065 — doi:10.1103/PHYSREV.47.777
2. Bell J. S. On the Einstein Podolsky Rosen Paradox (англ.) // Physics Physique физика / P. W. Anderson, B. T. Matthias — Pergamon Press, 1964. — Vol. 1, Iss. 3. — P. 195—200. — 6 p. — ISSN 0554-128X — doi:10.1103/PHYSICSPHYSIQUEFIZIKA.1.195
3. Artur K. Ekert. Quantum Cryptography Based on Bell's Theorem // Physical Review Letters. — 1991. — Т. 67. — С. 661—663.
4. Freedman S.J., Clauser J.F. (1972) Experimental test of local hidden-variable theories. Phys. Rev. Lett. 28:938-941.
5. Aspect A, Dalibard J, Roger G (1982) Experimental test of Bell’s inequalities using time-varying analyzers. Phys. Rev. Lett. 49:1804-1807.
6. Weihs G, et al. (1998) Violation of Bell’s inequality under strict Einstein locality conditions. Phys. Rev. Lett. 81:5039-5043.
7. Scheidl et al., (2010) Violation of local realism with freedom of choice. PNAS November 16, 2010 vol. 107 no. 46:19708-19713 Архивная копия от 18 сентября 2011 на Wayback Machine
8. Samuel J. Lomonaco, Jr. A Quick Glance at Quantum Cryptography (неопр.) // arXiv.org. — 1998. Архивировано 7 февраля 2021 года.
9. Fabio Garzia, Roberto Cusani. Comparison of 4 Multi-User Passive Network Topologies for 3 Different Quantum Key Distribution // Communications and Network. — 2010. — № 2. — С. 166—182. — doi:10.4236/cn.2010.23025. Архивировано 2 ноября 2013 года.
10. Deng Fu-Guo et al. Increasing the Efficiencies of Random-Choice-Based Quantum Communication Protocols with Delayed Measurement // Chinese Physics Letters. — 2004. — Т. 21, № 11. — doi:10.1088/0256-307X/21/11/007.
11. Hwang, T.; Lee, K.-C. EPR quantum key distribution protocols with potential 100% qubit efficiency // Information Security, IET. — 2007. — Т. 1, № 1. — doi:10.1049/iet-ifs:20060124. Архивировано 29 декабря 2013 года.

Литература

• Samuel J. Lomonaco, Jr. A Quick Glance at Quantum Cryptography (неопр.) // arXiv.org. — 1998.
• Elboukhari et al. Quantum Key Distribution Protocols: A Survey (неопр.) // International Journal of Universal Computer Sciences. — 2010.