ЖЭТФ, 2019, том 155, вып. 5, стр. 824-831
© 2019
КВАНТОВОЕ РАСПРЕДЕЛЕНИЕ КЛЮЧЕЙ С НЕБИНАРНЫМ
ФАЗОВО-ВРЕМЕННЫМ КОДИРОВАНИЕМ, ДОПУСКАЮЩЕЕ
ТОЧНОЕ ДОКАЗАТЕЛЬСТВО СЕКРЕТНОСТИ
С. Н. Молотков*
Институт физики твердого тела Российской академии наук
142432, Черноголовка, Московская обл., Россия
Академия криптографии Российской Федерации
121552, Москва, Россия
Факультет вычислительной математики и кибернетики,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Центр квантовых технологий,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Поступила в редакцию 21 декабря 2018 г.,
после переработки 21 декабря 2018 г.
Принята к публикации 25 декабря 2018 г.
Предложен протокол квантового распределения ключей с небинарным кодированием, который допуска-
ет точное доказательство секретности. Протокол обеспечивает большую скорость генерации ключей по
сравнению с протоколом BB84, кроме того, имеет простую экспериментальную реализацию без активных
элементов на приемной стороне, не требующую подстройки поляризации на выходе из линии связи.
DOI: 10.1134/S0044451019050055
утечки информации к подслушивателю по наблюда-
емым параметрам на приемной стороне, обычно по
наблюдаемому числу ошибок. Если известна верх-
1. ВВЕДЕНИЕ
няя граница утечки информации к подслушивате-
Цель квантовой криптографии — распределение
лю по всем атакам как функция наблюдаемых па-
криптографических ключей, секретность которых
раметров на приемной стороне, то после коррекции
гарантируется фундаментальными ограничениями
ошибок и усиления секретности можно утверждать,
квантовой механики на различимость квантовых со-
что система обеспечивает безусловную секретность
стояний. Главное требование к протоколам кванто-
ключей при любых атаках.
вого распределения ключей (КРК) — это доказу-
Если гарантируется секретность ключей относи-
емая секретность протокола. Под доказуемой сек-
тельно одной атаки, то, вообще говоря, нельзя га-
ретностью понимается то обстоятельство, что про-
рантировать секретность ключей относительно дру-
токол должен обеспечивать секретность ключей от-
гих атак. Принципиально невозможно перебрать все
носительно всевозможных атак, а также то, что до-
мыслимые атаки. Однако существуют случаи, когда
казательство должно быть основано только на фун-
не нужно перебирать все атаки и при этом мож-
даментальных принципах квантовой теории и не со-
но гарантировать секретность ключей. Этот выде-
держать каких-то предположений о конкретных ти-
ленный случай относится к системам, использую-
пах атак.
щим строго однофотонный источник информацион-
Главная проблема любого доказательства сек-
ных квантовых состояний и протокол квантового
ретности состоит в установлении верхней границы
распределения ключей с двумя базисами. Классиче-
* E-mail: sergei.molotkov@gmail.com
ским примером такого протокола является протокол
824
ЖЭТФ, том 155, вып. 5, 2019
Квантовое распределение ключей...
BB84 [1]. Для этого выделенного случая не требу-
ний достаточно ограничен. Кроме того, часто не уда-
ется перебирать все атаки и явно их предъявлять,
ется доказать на уровне фундаментальных принци-
но при этом можно установить фундаментальную
пов секретность протокола.
верхнюю границу утечки информации к подслуши-
Ниже предлагается протокол КРК, который до-
вателю по наблюдаемым параметрам на приемной
пускает точное решение — доказательство секретно-
стороне [2]. При доказательстве секретности прин-
сти на основе энтропийных соотношений неопреде-
ципиально важны два момента. Первый момент —
ленностей, и имеет в log2(3) = 1.585 большую, по
это возможность свести описание протокола рас-
сравнению с BB84, скорость распределения ключей.
пределения ключей к так называемой ЭПР-версии
Данный протокол в однопроходном варианте имеет
протокола (ЭПР — эффект Эйнштейна - Подольско-
простую экспериментальную реализацию, при кото-
го - Розена, см. ниже). Второй момент — это воз-
рой не требуется подстройка поляризации информа-
можность использовать энтропийные соотношения
ционных состояний на выходе из линии связи. Реа-
неопределенностей, связывающие утечку информа-
лизация, аналогичная [3], не использует активных
ции к подслушивателю с классической условной
поляризационно-чувствительных элементов на при-
энтропией между Алисой и Бобом. Энтропийны-
емной стороне — фазовых модуляторов, контролле-
ми соотношениями неопределенностей для трехчас-
ров поляризации (см. детали в [3]). Кроме того, от-
тичных систем, описывающих общее квантовое со-
сутствие активных элементов делает систему устой-
стояние Алиса - Боб - Ева, удается воспользоваться
чивой к атакам на техническую реализацию — к ата-
только благодаря редукции протокола к ЭПР-вер-
кам активного зондирования аппаратуры, в частно-
сии. Данный инструментарий работает только для
сти фазовых модуляторов, которые несут информа-
протоколов с двумя базисами (см. ниже). Протокол
цию о ключе. Важно отметить, что протокол BB84
BB84, по-видимому, на сегодняшний день являет-
не допускает подобной экспериментальной реализа-
ся единственным и уникальным примером, который
ции без фазовых модуляторов и модуляторов поля-
обладает упомянутыми свойствами.
ризации.
Хотя на сегодняшний день строго однофотонный
источник отсутствует, исследование подобных про-
2. ИНФОРМАЦИОННЫЕ СОСТОЯНИЯ И
токолов является принципиально важным для по-
ИЗМЕРЕНИЯ
нимания фундаментальных принципов секретности
ключей в квантовой криптографии.
В этом разделе приведем описание информаци-
Одна из задач при реализации систем кванто-
онных состояний и покажем, как данный протокол
вой криптографии состоит в увеличении скорости
редуцируется к ЭПР-версии, которая позволит вос-
распределения ключей. Часто при реализации сис-
пользоваться в дальнейшем энтропийными соотно-
тем квантовой криптографии доказуемая секрет-
шениями неопределенностей. В протоколе исполь-
ность приносится в жертву скорости генерации клю-
зуются два базиса L и R. В каждом базисе имеет-
чей.
ся три взаимно ортогональных информационных со-
В протоколе BB84 в каждом базисе только два
стояния, которые равновероятно внутри базиса по-
состояния, поэтому на каждую посылку можно рас-
сылаются Алисой в канал связи к Бобу. Информа-
пределить не более одного бита секретного ключа.
ционные состояния Алисы в базисе L имеют вид
Существуют технические способы увеличения ско-
рости, один из способов — увеличение тактовой час-
|1〉A + |2〉A
|0L〉A =
√
,
тоты. Эти способы в данной работе не обсуждают-
2
(1)
ся. Еще один способ увеличения скорости состоит в
|1〉A - |2〉A
|1L〉A =
√
,
|3〉A,
разработке новых протоколов квантовой криптогра-
2
фии. Наиболее естественный способ увеличения ско-
соответственно, информационные состояния в бази-
рости состоит в увеличении размерности простран-
се R —
ства квантовых информационных состояний.
|2〉A + |3〉A
На теоретическом уровне был предложен ряд
|0R〉A =
√
,
2
протоколов, использующих квантовые состояния в
(2)
|2〉A - |3〉A
пространстве размерностью больше двух. Однако
|1R〉A =
√
,
|1〉A.
2
реализовать подобные протоколы бывает практиче-
ски невозможно, поскольку экспериментальный ар-
В формулах (1), (2) |i〉A (i = 1, 2, 2) — однофотон-
сенал технически реализуемых квантовых состоя-
ные фоковские состояния, локализованные во вре-
825
С. Н. Молотков
ЖЭТФ, том 155, вып. 5, 2019
менных окнах 1, 2 и 3. Пространство состояний яв-
При этом случайно и равновероятно Алиса получит
ляется трехмерным. При известном базисе из-за ор-
один из исходов измерений, например, в базисе L
тогональности внутри базиса состояния достоверно
(xL ∈ XL = {0L, 1L, 3}). Если бы не было возмуще-
различимы. Технически данные состояния реализу-
ния состояния в линии связи, то Боб получил бы в
ются, например, как в работе [3]. На приемной сто-
том же базисе полностью коррелированный с Али-
роне используются два разных измерения в базисах
сой исход измерений. Напомним, что посылки, когда
L и R, которые позволяют достоверно различить со-
базисы Алисы и Боба не совпадают, отбрасываются.
стояния при известном базисе. Измерения Боба да-
Действия Евы искажают состояния Боба и в самом
ются разложениями единицы: в базисе L
общем случае описываются действием унитарного
оператора UBE на подсистему B и вспомогательное
IB(L) = |0L〉BB〈0L| + |1L〉BB〈1L| + |3〉BB〈3|,
(3)
квантовое состояния Евы |E〉E . В итоге возникает
в базисе R
трехчастичное состояние, имеем
IB(R) = |1〉BB〈1| + |0R〉BB〈0R| + |1R〉BB〈1R|.
(4)
|Ψ〉ABE = UBE (|Ψ〉AB ⊗ |E〉E ) .
(8)
В ЭПР-версии Алиса готовит максимально запу-
Еве доступна только квантовая подсистема B. Лю-
танное состояние. Важно, что ЭПР-пара Алиса-Боб
бое допустимое квантовой теорией преобразование
|Ψ〉AB неформально является общей «заготовкой»
квантового состояния в квантовое состояние дает-
Алисы и Боба для приготовления равновероятно ин-
ся действием супероператора — вполне положитель-
формационных состояний в двух разных базисах из
ное отображение матриц плотности в матрицы плот-
одного запутанного состояния. Одно и то же кван-
ности. Любой супероператор унитарно представим,
товое состояние — ЭПР-пара Алиса-Боб |Ψ〉AB —
т. е. может быть представлен как действие унитар-
имеет разные представления в разных базисах:
ного оператора на квантовое состояние и вспомога-
тельную подсистему (окружение, среду), что и име-
|Ψ〉AB =
ет место в (8). Явный вид супероператора, соответ-
1
=
√
(|1〉A ⊗ |1〉B+|2〉A ⊗ |2〉B+|3〉A ⊗ |3〉B) =
ственно UBE, для оценки верхней границы утечки
3
информации к Еве не требуется, данную работу де-
1
=
√
(|0L〉A ⊗ |0L〉B + |1L〉A ⊗ |1L〉B +
лают энтропийные соотношения неопределенностей.
3
Далее, матрица плотности после измерений Алисы,
1
+ |3〉A ⊗ |3〉B) =
√
(|1〉A ⊗ |1〉B+|0R〉A ⊗ |0R〉B +
например, в базисе L имеет вид
3
∑
+ |1R〉A ⊗ |1R〉B ) .
(5)
PA(xL)×
ρXLBE =
xL=0L,1L,3
Далее, свою подсистему A из ЭПР-пары Алиса
× TrA {PA(xL)|Ψ〉ABEABE 〈Ψ|PA(xL)} PA(xL).
(9)
оставляет у себя, данная подсистема никому кро-
ме Алисы недоступна. Подсистему B Алиса направ-
Измерения Боба в том же базисе L приводят к мат-
ляет через квантовый канал связи к Бобу, данная
рице плотности (ниже исходы измерений Боба yL ∈
подсистема доступна для подслушивания Еве. Пос-
∈ YL = {0l,1L,3})
ле достижения подсистемой B (возможно, уже в ис-
каженном виде из-за действий Евы) приемной сто-
∑
PB(xL)×
роны Боба Алиса случайно и равновероятно выби-
ρXLYLE =
рает один из базисов измерений для своей подсисте-
yL=0L,1L,3
мы A. Два измерения на передающей стороне Али-
× TrB{PB(xL)ρXLBE PB(xL)}PB(xL).
(10)
сы даются разложениями единицы в пространстве
состояний Алисы. В базисе L имеем
Аналогично измерения Алисы в базисе R приводят
к матрице плотности
IA(L) = |0L〉AA〈0L| + |1L〉AA〈1L| + |3〉AA〈3| =
∑
= PA(0L) + PA(1L) + PA(3),
(6)
ρXRBE =
PA(xR)×
xL=0R,1R,1
соответственно в базисе R —
× TrA {PA(xR)|Ψ〉ABEABE 〈Ψ|PA(xR)} PA(xR).
(11)
IA(R) = |1〉AA〈1| + |0R〉AA〈0R| + |1L〉AA〈1L| =
Измерения Боба в том же базисе R приводят к мат-
= PA(1) + PA(0R) + PA(1R).
(7)
рице плотности (yR ∈ YR = {0R, 1R, 1})
826
ЖЭТФ, том 155, вып. 5, 2019
Квантовое распределение ключей...
∑
PB(xR)×
базисе L имеем (qL0, qL1, QL0, QL1, δL0, δL1), аналогично
ρXRYRE =
yR=0R,1R,1
в базисе R. При этом все три входных и три выход-
ных состояния являются информационными.
× TrB{PB(xR)ρXRBE PB(xR)}PB(xR).
(12)
Во избежание путаницы отметим, что канал,
Матрица плотности Алисы-Боба после их измере-
изображенный на рис. 1б, относится к принципи-
ний является чисто классической:
ально другому протоколу с фазово-временным ко-
дированием [4, 5], где два входных и три выходных
ρXLYL = TrE{ρXLYLE},
состояния — два информационных и одно контроль-
(13)
ρXRYR = TrE{ρXRYRE}.
ное. В симметричном случае атака Евы параметри-
зуется двумя параметрами Q и q [4, 5]. Рисунок 1в
Алиса и Боб имеют коррелированные (без Евы пол-
относится к протоколу BB84, который параметризу-
ностью коррелированные) классические случайные
ется в симметричном случае одним параметром Q.
величины в базисе L: xL ∈ XL = {0L, 1L, 3} и yL ∈
Для протоколов [4, 5] и BB84 можно построить яв-
∈ YL = {0L,1L,3}. Ева имеет в своем распоряжении
ные атаки. Отметим, что для протокола BB84 мож-
квантовую систему E, коррелированную с классиче-
но привести явную атаку [6], причем нижняя гра-
ской случайной переменной Алисы.
ница энтропийных соотношений неопределенностей
Из описания ЭПР-версии видно, что протокол
достигается на симметричной атаке (рис. 1в).
эквивалентен протоколу, когда Алиса случайно и
Чтобы не загромождать выкладки, рассмотрим
равновероятно выбирает базис, затем внутри бази-
симметричный случай (об особой выделенности сим-
са случайно и равновероятно выбирает одно из трех
метричного случая см. ниже): qL0 = qL1 = q, QL0 =
состояний и посылает их к Бобу.
= QL1 = Q, δL0 = δL1 = δ, аналогично в базисе R.
На данном этапе Алиса и Боб находятся в си-
Общий случай (рис. 1a) рассматривается полностью
туации классического канала связи с тремя состо-
аналогично, переходные вероятности выписывают-
яниями на входе и тремя состояниями на выходе
ся непосредственно по рис. 1a. Совместная матрица
(рис. 1a). Алиса случайно и равновероятно посыла-
плотности Алисы-Боба имеет вид
ла Бобу, например, в базисе L величину xL ∈ XL =
1
= {0L, 1L, 3}, Боб получал yL ∈ YL = {0L, 1L, 3}.
ρXLYL =
|0L〉XX 〈0L| ⊗ {(1-q)(1-Q)|0L〉YY 〈0L| +
Классический канал без памяти (рис. 1) описыва-
3
ется в самом общем виде переходными (условны-
+ (1 - q)Q|1L〉yY 〈1L| + q|3〉Y Y 〈3|} +
ми) вероятностями. Данные переходные вероятнос-
1
+
|1L〉XX 〈1L| ⊗ {(1 - q)(1 - Q)|1L〉YY 〈1L| +
ти выражаются через частичную матрицу плотнос-
3
ти Алисы-Боба (8) с учетом (9)-(12).
+ (1 - q)Q|0L〉Y Y 〈0L| + q|3〉Y Y 〈3|} +
{
К переходным вероятностям предъявляется тре-
1
(1-δ)
+
|3〉XX 〈3| ⊗ δ|3〉YY 〈3|+
|0L〉YY 〈0L| +
бование сохранения нормировки — сумма переход-
3
2
ных вероятностей для каждого входного символа по
}
(1-δ)
всем выходным символам должна быть равна еди-
+
|1L〉YY 〈1L|
,
(15)
2
нице:
∑
(14)
соответственно, частичная матрица плотности Боба
PYL|XL(yL|XL=xL)=1,
yL∈YL
имеет вид
где величина xL фиксирована. Неформально гово-
ρYL = TrA{ρXLYL} =
ря, каждый входной символ обязательно перейдет в
{
}
1
1-δ
какие-то выходные символы. Выражения для услов-
=
|0L〉YY 〈0L|
(1 - q) +
+
3
2
ных вероятностей при переходе x → y непосред-
{
}
1
1-δ
ственно получаются из рис. 1. В самом общем случае
+
|1L〉YY 〈1L|
(1-q) +
+
(рис. 1a) с учетом условия нормировки (14) в каж-
3
2
дом базисе атака Евы описывается шестью незави-
1
+
|3〉YY 〈3|{2q + δ}.
(16)
симыми параметрами: три входных состояния, каж-
3
дое из которых может перейти в любое из трех вы-
ходных. Данный канал связи описывается тремя пе-
3. УСЛОВНЫЕ ЭНТРОПИИ
реходными (условными) вероятностями, сумма ко-
торых равна единице, в итоге остается два незави-
В асимптотическом пределе длинных последова-
симых параметра на каждое входное состояние. В
тельностей утечка информации к Еве выражается
827
С. Н. Молотков
ЖЭТФ, том 155, вып. 5, 2019
а
б
в
L
L
(1 - q
)(1 - Q
)
(1 - q)(1 - Q)
0
0
1- Q
0
0
0
0
0
0
L
L
(1 - q
)Q
1
1
L
Q
(1 -
)/2
L
L
L
0
q0
(
+
)/2
(1 - q)Q
q
0
1
3
3
L
q
L
q1
(1 - q)Q
(1 -
)/2
Q
1
L
L
(1 - q
)Q
0
0
1
1
1
1
1
1
L
L
1- Q
(1 - q
)(1 - Q
)
(1 - q)(1 - Q)
1
1
Рис. 1. Схемы классических каналов. a) Канал с небинарным кодированием — три входных информационных, три выход-
ных информационных состояния. Переходные вероятности приведены для общего случая. б) Канал, отвечающий фазово-
временному кодированию — два входных информационных состояния, два выходных информационных состояния и одно
контрольное. Переходные вероятности приведены для симметричного случая. в) Канал, отвечающий протоколу BB84,
переходные вероятности приведены для симметричного случая
через условную энтропию фон Неймана, которая, в
доля отсчетов дает yL = 3. Аналогично для дру-
свою очередь, выражается через частичную матри-
гих состояний. В общем случае подсчет происходит
цу плотности Алисы-Евы и матрицу плотности Евы:
в каждом базисе отдельно.
Вычислим условные энтропии Алисы-Боба по
ρXLE = TrB{ρXLYLE}, ρE = TrAB{ρXLYLE}. (17)
определению и с учетом (15)-(17):
Энтропийные соотношения неопределенностей поз-
воляют выразить верхнюю границу утечки инфор-
H(XL|YL) = H(XL, YL) - H(YL) =
мации к подслушивателю через условную энтропию
Алисы-Боба, которая является классической и для
= H(ρXLYL|ρYL) = H(ρXLYL) - H(ρYL),
(18)
вычисления которой достаточно знать наблюдаемые
значения параметров на приемной стороне. В рас-
сматриваемом случае это (q, Q, δ). Напомним, что
2
рассматриваем предел асимптотически длинных по-
H(XL, YL) = H(ρXLYL) = log(3) +
h(q) +
3
следовательностей, в этом пределе частоты случай-
2
1
1
+
(1 - q)h(Q) +
h(δ) +
(1 - δ),
(19)
ных событий совпадают с вероятностями. Парамет-
3
3
3
ры определяются путем раскрытия части передан-
ной последовательности, которая затем, естествен-
но, отбрасывается. Параметр q определяется следу-
[
]
2
1-δ
ющим образом. Алиса раскрывает часть посылок,
H(YL) = H(ρYL) = log(3)-
1-q+
×
3
2
когда было послано 0 и 1 в данном базисе, под-
[
]
1-δ
1
считывается доля отсчетов, когда yL = 3, что да-
× log 1-q+
-
[2q + δ] log[2q + δ],
(20)
2
3
ет параметр q. Затем для определения параметра
Q подсчитывается число правильных (или ошибоч-
где h(x) = -x log(x)-(1-x) log(1-x). Здесь и везде
ных) отсчетов в раскрытой последовательности 0
ниже log ≡ log2. Энтропийные соотношения неопре-
и 1, которые дали отсчеты в информационных ок-
деленностей позволяют не вычислять явно услов-
нах yL = 0, 1. Далее, для определения параметра
ную энтропию Алисы-Евы
δ Алиса раскрывает часть последовательности, ко-
гда она посылала состояние |3〉E . Боб подсчитывает
долю посылок, которые дали отсчеты yL = 3, что
H(XL|E) = H(ρXLE |ρE ) = H(ρXLE )-H(ρE ),
(21)
определяет параметр δ. Отметим, что для произ-
вольного несимметричного случая определение па-
которая связана с утечкой информации к Еве, а
раметров происходит аналогично. Алиса раскрыва-
определить нижнюю границу данной энтропии че-
ет, например, когда посылался 0 в данном базисе.
рез классическую энтропию Алисы-Боба, которая,
Боб подсчитывает, какая доля будет зарегистриро-
в свою очередь, выражается через наблюдаемые па-
вана как yL = 0, какая доля даст yL = 1 и какая
раметры на приемной стороне.
828
ЖЭТФ, том 155, вып. 5, 2019
Квантовое распределение ключей...
4. ЭНТРОПИЙНЫЕ СООТНОШЕНИЯ
формации Боба о строке Алисы. Нехватка инфор-
НЕОПРЕДЕЛЕННОСТЕЙ
мации Боба о строке Алисы дается условной энтро-
пией Алисы-Боба (21).
Энтропийные соотношения неопределенностей
выражают верхнюю границу условной энтропии
Алисы-Евы в одном базисе через условную клас-
5. СРАВНЕНИЕ С ПРОТОКОЛОМ BB84
сическую энтропию Алисы-Боба в другом базисе.
Энтропия источника при совпадающих базисах
Условная энтропия Алисы-Евы в асимптотическом
на передающей и приемной сторонах в протоколе
пределе имеет простую интерпретацию. Условная
BB84 составляет H(X) = log(2) = 1 бит, поскольку
энтропия Алисы-Евы дает информацию в битах, ко-
внутри базиса имеется два состояния. В нашем про-
торой Еве не хватает, чтобы полностью знать бито-
токоле внутри базиса имеется три ортогональных,
вую строку Алисы. Согласно [7,8], энтропийные со-
достоверно различимых состояния, поэтому энтро-
отношения неопределенностей применительно к на-
пия источника равна H(X) = log(3) = 1.585 бит, по-
шему случаю в базисах L и R имеют вид
этому данный протокол обеспечивает большую ско-
)
(1
рость распределения ключей при прочих равных па-
H (XR|E) + H(XL|YL) ≥ log
,
c
раметрах системы — тактовой частоте, квантовой
(
)
(22)
1
эффективности лавинных детекторов и вероятности
H (XL|E) + H(XR|YR) ≥ log
,
c
темновых шумов. При этом условная классическая
энтропия Алисы-Боба определяется для бинарного
классического канала связи (рис. 1в). В симметрич-
c=
max
TrA{PA(xL) · PA(xR)} =
ном случае находим
{xL∈XL,xR∈XR}
1
H(XL|YL) = H(XR|YR) = h(Q).
(26)
= |A〈0L, 1L|1〉A|2 = |A〈0R, 1R|3〉A|2 =
(23)
2
Соответственно для длины ключа получается зна-
Подчеркнем, что c — максимальная величина пе-
менитая формула (см., например, [10])
рекрытия между состояниями из разных базисов
ℓL = H(XL|E) - H(XL|YL) ≥
при измерениях Алисы. Знание условной энтропии
Алисы-Евы позволяет определить длину секретного
≥ 1 - 2H(XL|YL) = 1 - 2h(Q).
(27)
ключа (точнее, долю секретных битов в пересчете на
Максимальное перекрытие (величина c в формуле
посылку, деленную на log(3)) в каждом базисе. Для
(23)) для измеряющих операторов в разных базисах
длины секретного ключа в базисе L с учетом (22),
Алисы для протокола BB84 также равна c = 1/2.
(23) находим (см. детали в [9])
Определим, до какой длины линии связи оба про-
токола гарантируют секретное распределение клю-
ℓL = H(XL|E) - H(XL|YL) ≥
чей. В отсутствие подслушивателя ошибки Q в ин-
≥ 1 - (H(XR|YR) + H(XL|YL)),
(24)
формационных окнах (1 - q — доля отсчетов в этих
окнах), а также отсчеты в контрольных временных
соответственно, в базисе R находим
окнах для 0 и 1 возникают только из-за темновых
шумов детекторов. Доля ошибочных отсчетов, когда
ℓR = H(XR|E) - H(XR|YR) ≥
посылалось состояние 3, равна (1 - δ)/2, доля пра-
≥ 1 - (H(XL|YL) + H(XR|YR)).
(25)
вильных отсчетов равна δ. Пусть пропускание кана-
ла связи есть
Как видно из (24), (25), длина секретного ключа
одинакова в разных базисах независимо от симмет-
T (Len) = 10-κLen/10,
(28)
ричности или асимметричности атаки как по отно-
где Len — длина линии связи, κ — коэффициент
шению к входным и выходным состояниям, так и
удельных потерь в линии. Типичное значение для
по отношению к базису. Поэтому часто, исходя из
одномодового волокна κ = 0.2 дБ/км. Для парамет-
консервативных соображений, для длины ключа ис-
ров канала связи находим
пользуют средние значения наблюдаемых парамет-
ров по всем базисам (см. ниже). Формулы (24), (25)
pd
1
pd
q=
,
Q=
,
имеют наглядную интерпретацию. Длина секретно-
ηT(Len) + 2pd
2 ηT(Len) + p
d
(29)
го ключа есть разность между нехваткой информа-
pd
1-δ=
,
ции Евы о битовой строке Алисы и нехваткой ин-
ηT(Len) + 3pd
829
С. Н. Молотков
ЖЭТФ, том 155, вып. 5, 2019
h(Qtotal) ≥ ph(Q+) + (1 - p)h(Q×),
(30)
1.0
равенство имеет место при Q+ = Q×, p = 1-p = 1/2.
1
Если для длины ключа Алисы-Боба используют
0.8
2
оценку, исходя только из полной по обоим базисам,
наблюдаемой ошибки (обычно ошибка внутри каж-
дого базиса отдельно не выделяется), то длина клю-
0.6
ча
ℓ = 1-2h(Qtotal) ≤ 1-[ph(Q+)+(1 - p)h(Q×)], (31)
0.4
что эквивалентно длине ключа при симметричной
0.2
атаке Евы (рис. 1в) с ошибкой Q = Qtotal. Кроме
того, в [6] показано путем построения явной атаки
для протокола BB884, что нижняя граница энтро-
пийных соотношений неопределенностей достигает-
0
100
200
Len, км
ся при симметричной атаке. С точки зрения под-
слушивателя выгоднее использовать симметричную
Рис. 2. Длина секретного ключа в пересчете на один заре-
атаку, т. е. один и тот же унитарный оператор — ата-
гистрированный символ как функция длины линии связи.
ковать все посылки одинаково, поскольку это дает
Кривая 1 относится к новому протоколу, кривая 2 — к про-
максимум информации для Евы при заданной на-
токолу BB84. Параметры η = 0.1, pd = 10-6 отсч./строб.
блюдаемой ошибке. Аналогичные соображения, ос-
нованные на выпуклости шенноновской энтропии,
где параметры без подслушивателя: pd — вероят-
только с более длинными выкладками, справедли-
ность темновых шумов во временном окне, η — кван-
вы и для нового протокола. Для нового протокола
товая эффективность детектора.
при необходимости можно использовать и общие вы-
Как следует из рис. 2, новый протокол несколько
ражения для энтропий (см. рис. 1a).
проигрывает протоколу BB84 по дальности. Одна-
ко, вплоть до длины канала связи приблизительно
6. ЗАКЛЮЧЕНИЕ
170 км, новый протокол обеспечивает большую ско-
рость генерации ключей из-за большего числа ор-
Основная причина для разработки нового
тогональных состояний внутри каждого базиса. На-
протокола связана с его уникальной технической
помним, что протокол с фазово-временным кодиро-
реализацией, аналогичной [3]. А именно, реализация
ванием (два состояния внутри базиса, рис. 1б), [4,5]),
протокола в однопроходном варианте не требует
обеспечивает большую по сравнению с BB84 даль-
подстройки состояния поляризации на выходе из
ность при той же скорости распределения ключей.
линии связи. Кроме того, на приемной стороне
В протоколе BB84 в симметричном случае фигу-
не используются активные поляризационно-чув-
рирует только один параметр — ошибка Q. Обычно
ствительные элементы
— фазовые модуляторы,
рассматривают симметричный случай, что связано
что фактически исключает активное зондиро-
с выпуклостью вверх шенноновской энтропии [11],
вание активных элементов в отличие от других
хотя часто это не оговаривается, а неявно подра-
реализаций. Подчеркнем, что уникальная реа-
зумевается. Рассуждения выглядят следующим об-
лизация [3] возможна только для протоколов с
разом. Пусть атака Евы несимметрична. Это озна-
фазово-временным кодированием. Например, для
чает, что с вероятностью 0 ≤ p ≤ 1 Ева выбирает
протокола BB84 невозможна реализация без ак-
в (8) разные унитарные операторы. Поскольку ба-
тивных поляризационно-чувствительных элементов
зисы выбираются равновероятно, в доле посылок p
(фазовых модуляторов, модуляторов поляризации).
условная энтропия Алисы-Боба оказывается равной
Это связано с тем, что пространство состояний яв-
h(Q+), а в доле посылок 1 - p — равной h(Q×), где
ляется трехмерным, а не двумерным, как для BB84.
Q+ и Q× — ошибки в базисах + и × для протокола
Неортогональность состояний в разных базисах,
BB84. Боб видит на приемной стороне полную на-
которая нужна для детектирования подслушива-
блюдаемую ошибку Qtotal = pQ+ + (1 - p)Q×. Тогда
ния, достигается за счет частичного перекрытия
условная энтропия Алисы-Боба равна h(Qtotal). Из
информационных состояний, сдвинутых по вре-
выпуклости энтропии следует, что
мени. На сегодняшний день это единственное
830
ЖЭТФ, том 155, вып. 5, 2019
Квантовое распределение ключей...
семейство протоколов, которое в однопроходном
2. M. Tomamichel, Ch. Ci Wen Lim, N. Gisin, and
варианте не использует активных элементов на
R. Renner, Nature Commun. 3, 1 (2012).
приемной стороне. Кроме того, протокол имеет
точное доказательство секретности, основанное
3. A. N. Klimov, K. A. Balygin, and S. N. Molotkov,
на фундаментальных энтропийных соотношениях
Laser Phys. Lett. 15, 075207 (2018).
неопределенностей. Доказательство секретности
протокола допускает обобщение на случай конеч-
4. S. N. Molotkov, JETP 106, 1 (2008).
ных последовательностей. Это требует большего
места для изложения.
5. S. N. Molotkov, JETP Lett. 102, 473 (2015).
Благодарности. Выражаем благодарность
6. С. Н. Молотков, ЖЭТФ 153, 895 (2018).
коллегам из Академии криптографии Российской
Федерации за обсуждения. Автор благодарит И.
7. M. Tomamichel and R. Renner, Phys. Rev. Lett. 106,
110506 (2011).
М. Арбекова, К. А. Балыгина, А. Н. Климова, К.
С. Кравцова, С. П. Кулика за многочисленные и
8. M. Tomamichel, PhD thesis, ETH Zürich, arXiv/
интенсивные обсуждения.
quant-ph:1203.2142 (2012).
Финансирование. Работа поддержана Россий-
9. R. Renner, PhD thesis, ETH Zürich, arXiv/quant-ph:
ским научным фондом (проект № П-П (2019)).
0512258 (2005).
ЛИТЕРАТУРА
10. P. Shor and J. Preskill, Phys. Rev. Lett. 85, 441
(2000).
1. C. H. Bennett and G. Brassard, Proc. IEEE Int. Conf.
on Comp., Sys. and Signal Process., pp. 175-179,
11. T. M. Cover and J. A. Thomas, Elements of Infor-
Bangalore, India (1984).
mation Theory, Wiley (1991).
831
