ЖЭТФ, 2019, том 156, вып. 2 (8), стр. 205-238

СОСТОЯНИЯ «ЛОВУШКИ», КОДЫ КОРРЕКЦИИ ОШИБОК

С НИЗКОЙ ПЛОТНОСТЬЮ ПРОВЕРОК НА ЧЕТНОСТЬ

В КВАНТОВОЙ КРИПТОГРАФИИ С ФАЗОВО-ВРЕМЕННЫМ

КОДИРОВАНИЕМ

И. В. Синильщиков^a,e, С. Н. Молотковb,c,d,e*

^a Физический факультет, Московский государственный университет им. М. В. Ломоносова

119899, Москва, Россия

^b Институт физики твердого тела Российской академии наук

142432, Черноголовка, Московская обл., Россия

^c Академия криптографии Российской Федерации

121552, Москва, Россия

^d Факультет вычислительной математики и кибернетики,

Московский государственный университет им. М. В. Ломоносова

119899, Москва, Россия

^e Центр квантовых технологий, Московский государственный университет им. М. В. Ломоносова

119899, Москва, Россия

Поступила в редакцию 31 января 2019 г.,

после переработки 17 февраля 2019 г.

Принята к публикации 18 февраля 2019 г.

Исследована криптостойкость квантового распределения ключей с фазово-временным кодированием от-

носительно атаки с расщеплением по числу фотонов (PNS-атаки). Длина линии, до которой гаранти-

руется секретное распределение ключей, определяется как самим протоколом, так и эффективностью

коррекции ошибок в сырых ключах. Исследовано влияние разных параметров лавинных однофотонных

детекторов на длину линии секретного распределения ключей. Для коррекции ошибок рассмотрены раз-

личные варианты кодов с низкой плотностью проверок на четность (LDPC-кодов), которые являются на

сегодняшний день наиболее близкими по эффективности к теоретическому шенноновскому пределу.

DOI: 10.1134/S0044451019080029

ничем не ограничен в своих действиях при атаках на

распределяемые ключи, кроме одного — он не может

1. ВВЕДЕНИЕ

нарушать законы природы, в частности квантовой

механики.

Квантовое распределение секретных ключей (си-

ноним термина квантовая криптография) должно

Распределение ключей происходит по некоторо-

гарантировать безусловную секретность распреде-

му протоколу — набору действий по приготовлению

ляемых ключей по открытым и доступным для про-

квантовых состояний на передающей стороне, их пе-

слушивания и любой модификации квантовым ка-

редаче через квантовый канал связи, преобразова-

налам связи. Квантовая криптография должна га-

нию и измерению на приемной стороне, оценке ве-

рантировать секретность ключей, которая базирует-

роятности ошибки в первичных ключах, коррекции

ся только на фундаментальных ограничениях, дик-

ошибок через открытый аутентичный классический

туемых квантовой теорией и не содержит никаких

канал связи, который также доступен для прослу-

предположений о технических или вычислительных

шивания третьей стороной, и усилению секретнос-

возможностях подслушивателя [1]. Подслушиватель

ти «очищенных» ключей — хешированию через от-

крытый канал связи при помощи универсальных

^* E-mail: sergei.molotkov@gmail.com

хеш-функций второго порядка.

205

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

Принципиальный результат теории состоит в

определенных технических решений и приводит к

том, что для строго однофотонного источника кван-

дополнительным временным расходам, а это сни-

товых состояний удается через фундаментальные

жает скорость генерации ключей и усложняет кон-

энтропийные соотношения неопределенностей свя-

струкцию системы. Необходимость подстройки по-

зать верхнюю границу утечки информации к под-

ляризации на выходе из линии связи связана с тем,

слушивателю с величиной наблюдаемой ошибки на

что приемная часть в системах как с фазовым,

приемной стороне [2].

так и с поляризационным кодированием содержит

На сегодняшний день строго однофотонный ис-

поляризационно чувствительные элементы — фа-

точник квантовых состояний отсутствует, поэтому

зовые модуляторы, модуляторы поляризации, для

в реальных системах квантовой криптографии в

правильной работы которых требуется определен-

качестве информационных состояний используется

ное входное состояние поляризации по отношению

сильно ослабленное когерентное состояние лазерно-

к оптической оси элемента.

го излучения. Ослабление происходит до уровня в

Наш интерес к фазовому кодированию связан

несколько десятых среднего числа фотонов в коге-

с тем, что имеется способ фазового кодирования,

рентном квантовом состоянии

точнее, способ фазово-временного кодирования, реа-

лизация которого не требует подстройки поляриза-

∑

αⁿ

|α〉 = e-μ/2

√ |n, σ〉, μ = |α|²,

(1)

ции на выходе из линии связи [3]. Отметим, что

n=0

сказанное выше относится к однопроходным систе-

мам квантовой криптографии. Имеются реализации

где μ — среднее число фотонов в когерентном состо-

двухпроходных волоконных систем квантовой крип-

янии, |n, σ〉 — фоковское состояние с n фотонами с

тографии, в которых не требуется подстройка поля-

поляризацией σ, |0〉 = |vac〉 отвечает вакуумному

ризации. Проблема в том, что практически невоз-

состоянию поля. Когерентное состояние (1) имеет

можно обеспечить требуемый уровень защиты двух-

пуассоновскую статистику по числу фотонов. Веро-

проходных систем относительно атак активного зон-

ятность обнаружить n фотонов вне зависимости от

дирования. Уязвимость к таким атакам была неод-

состояния поляризации σ в состоянии (1) равна

нократно продемонстрирована экспериментально.

Есть еще одно веское соображение в пользу сис-

P (n) = e^-μ

(2)

тем квантовой криптографии с фазовым кодирова-

В квантовой криптографии используется в ос-

нием. Как было показано в работе [4], системы с

новном два метода кодирования:

фазовым кодированием более устойчивы по отно-

1) поляризационное кодирование — информация

шению к атаке с ослеплением лавинных детекторов

о битах ключа кодируется в поляризацию σ коге-

[5]. Системы с поляризационным кодированием, ис-

рентного состояния (1);

пользующие стандартные протоколы типа BB84 или

2) фазовое кодирование — информация о би-

Decoy States BB84, остаются уязвимыми к такой ата-

тах ключа кодируется в относительную фазу ϕ па-

ке, и их неуязвимость обеспечивается лишь техни-

ры когерентных состояний |α〉₁ ⊗ |e^iϕα〉₂, сдвинутых

ческими мерами, по сути, техническими «заплатка-

по времени и пространству¹⁾. Стандартное одномо-

ми».

довое волокно не сохраняет поляризацию, поэтому

практически все системы квантовой криптографии

используют фазовое кодирование.

2. АТАКА С РАСЩЕПЛЕНИЕМ ПО ЧИСЛУ

Во всех известных системах как с фазовым, так

ФОТОНОВ — PNS-АТАКА

и поляризационным кодированием для устойчивой

работы системы требуется подстройка состояния по-

Нестрогая однофотонность источника кванто-

ляризации на выходе из линии связи, что требует

вых информационных состояний приводит к появ-

лению ряда атак, которые ограничивают дальность

¹⁾ Отметим, что состояние (1) является одномодовым, фор-

передачи секретных ключей. Потери в канале свя-

мально бесконечно протяженным. В реальной ситуации ис-

зи и пуассоновская статистика приводят к возмож-

пользуются пакеты, локализованные во временном окне с ха-

рактерной длительностью примерно 1 нс и шириной спектра

ности так называемой PNS-атаки (Photon Number

10⁹ Гц. Поскольку оптические элементы в системах кванто-

Splitting attack), которая ограничивает дальность

вой криптографии являются в этом диапазоне практически

передачи ключей в канале с потерями даже при иде-

линейными и бездисперсионными (компоненты состояний с

разными частотами преобразуются одинаково), достаточно

альных однофотонных детекторах без темновых шу-

рассмотреть состояния только с одной длиной волны.

мов на приемной стороне.

206

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

Для широко известного протокола квантовой

ключи при длине линии выше критической переда-

криптографии BB84, PNS-атака, начиная с некото-

вать нельзя.

рой критической длины линии связи, соответствен-

Проиллюстрируем PNS-атаку на примере прото-

но, критической величины потерь, приводит к то-

кола квантовой криптографии BB84, хотя она при-

му, что подслушиватель знает весь ключ, не про-

менима и для ряда других протоколов. В протоколе

изводит ошибок на приемной стороне и не детекти-

BB84 с поляризационным кодированием использу-

руется. При длине линии выше критической из-за

ется два базиса + и ×. В каждом базисе состояниям

PNS-атаки нельзя передавать ключи и гарантиро-

0 и 1 сопоставляются ортогональные внутри данно-

вать их секретность.

го базиса состояния поляризации σ⁺⁰ и σ⁺¹,

Впервые PNS-атака для протокола BB84 была

0 → |α,σ+0 〉,1 → |α,σ+1 〉,

〈α, σ⁺⁰|α, σ⁺¹〉 = 0.

(4)

предложена в 1999 г. [6]. При этом подразумевал-

ся протокол квантовой криптографии с поляризаци-

Аналогично в сопряженном базисе:

онным кодированием. Поскольку фаза когерентного

0 → |α,σ×0 〉,

1 → |α,σ×1 〉,

〈α, σ×0|α, σ×1〉 = 0.

(5)

состояния (фаза θ, α√μeiθ в (1)) меняется случайно

от посылке к посылке, подслушиватель «видит» в

Состояния 0 и 1 при известном базисе из-за ортого-

канале связи не чистое квантовое состояние, а ста-

нальности состояний достоверно различимы. Состо-

тистическую смесь — матрицу плотности

яния из разных базисов попарно неортогональны:

∫2π

dθ

0 → |α,σ×0 〉,

1 → |α,σ×1 〉,

ρ(μ) =

|e^iθ|α|, σ〉〈e^iθ |α|, σ| =

2π

(6)

|〈α, σ×0,1|α, σ+0,1〉| =

√ ,

∑

μⁿ

=e^-μ

|n, σ〉〈n, σ|.

(3)

т. е. различимы с вероятностью 1/2, если базис неиз-

n=0

вестен.

Квантовая механика допускает неразрушающие из-

Рассмотрим неразрушающие измерения на более

мерения числа фотонов (nondemolishing measure-

формальном уровне. Любое измерение в квантовой

ments). Данные измерения позволяют определить

механике дается разложением единицы I. Неразру-

число фотонов, при этом не возмущая состояние по-

шающее измерение по числу фотонов дается проек-

ляризации фотона. После определения числа фото-

ционным (ортогональным) измерением

нов, их состояние поляризации остается неизвест-

∑

ным.

I =

P_n, P_n =

|n, σ〉〈σ, n|,

(7)

При PNS-атаке подслушиватель разрывает кван-

n=0

σ=0,1

товый канал связи и определяет число фотонов в

где индекс n нумерует результат измерения — обна-

каждой посылке. На этой стадии подслушивателю

ружение числа фотонов n. Такое измерение не поз-

еще неизвестно, какому биту ключа отвечает изме-

воляет определить состояние поляризации фотонов,

ренное неразрушающим способом квантовое состоя-

но позволяет определить число фотонов, и при этом

ние. Если обнаружен один фотон, то канал блоки-

оставляет значение поляризации невозмущенным:

руется, исчезновение состояния списывается на по-

тери в линии. Если обнаружено два или более фо-

P_n′ |n, σ+0,1〉 = δ_n,n′ |n, σ+0,1〉,

(8)

тонов, то один фотон подслушиватель оставляет в

P_n′ |n, σ×0,1〉 = δ_n,n′ |n, σ×0,1〉.

своей квантовой памяти, остальные через канал с

меньшими потерями (в идеале без потерь) направ-

Если обнаружен один фотон в линии (n = 1), то

ляет на приемную сторону. Поскольку в протоколе

подслушиватель блокирует канал связи. Если обна-

BB84 внутри базиса состояния ортогональны, дож-

ружено два или более фотонов (n ≥ 2 — состояние

давшись раскрытия базисов, подслушиватель про-

|n, σ×0,1〉 или |n, σ+0,1〉, поляризация пока неизвестна),

водит измерения своего квантового состояния в уже

то подслушиватель оставляет часть фотонов в своей

известном базисе и достоверно узнает передаваемое

квантовой памяти, а остальные посылает на прием-

состояние.

ную сторону через канал с меньшими потерями, в

Таким образом, начиная с определенного уровня

идеале без потерь.

потерь в линии подслушиватель знает весь переда-

Детекторы не регистрируют вакуумную компо-

ваемый ключ, не производит ошибок на приемной

ненту поля, поэтому вероятность зарегистрировать

стороне, сохраняет число состояний, достигающих

на приемной стороне передаваемые состояния в от-

приемной стороны, и не детектируется. Секретные

сутствие подслушивателя есть

207

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

1-e-μηT(L),

(9)

когерентных состояний |α〉 и |ν〉 изменяет статисти-

ку фотоотсчетов в посылках, в которых посылались

где η

— квантовая эффективность детектора,

состояния ловушки и информационные состояния.

T (L)

= 10-δL/10

— пропускание канала, δ

= 0.2 дБ/км — коэффициент потерь для стандарт-

Отметим, что изменения статистики фотоотсче-

ного одномодового волокна, L — длина квантового

тов можно обнаружить даже при существующих

канала связи.

фотодетекторах, которые не различают число фото-

Подслушиватель остается недетектируемым, ес-

нов, а дают только интегральный темп фотоотсче-

ли потери в линии связи таковы, что подслушива-

тов. Изменение статистики фотоотсчетов позволяет

тель может обеспечить сохранение среднего числа

определить долю однофотонной компоненты в сос-

регистрируемых посылок на приемной стороне, ко-

тояниях, которые подслушиватель не блокировал, и

торое было без подслушивателя. Это оказывается

тем самым определить длину секретного ключа, ес-

возможным уже при длине линии несколько десят-

ли изменение статистики фотоотсчетов не превыша-

ков километров.

ет критическую величину [7-19].

Несмотря на то что использованию и исследова-

3. ОСНОВНАЯ ИДЕЯ МЕТОДА С

нию данного метода посвящены десятки теоретиче-

СОСТОЯНИЯМИ «ЛОВУШКАМИ»

ских и экспериментальных работ, не все принципи-

альные вопросы выяснены. Исходно Decoy state-ме-

Decoy state-метод представляет собой случайную

тод был развит для поляризационного кодирования.

модуляцию интенсивности когерентных состояний и

В дальнейшем уравнения и анализ стали применять-

может быть использован для любого протокола.

ся без какой-либо модификации напрямую к прото-

Исходно Decoy state-метод был предложен для

колам с фазовым кодированием. Однако структуры

противодействия PNS-атаке для протокола BB84.

состояний в канале связи, как будет видно ниже, для

Данному методу посвящено большое число теоре-

поляризационного и фазового кодирования оказы-

тических и экспериментальных работ (например,

ваются разными. Поэтому анализ секретности сис-

[7-19]). В этом методе кроме информационных кван-

тем, использующих фазовое кодирование, основан-

товых состояний с фиксированным средним числом

ный на анализе систем для поляризационного коди-

фотонов используются дополнительные (decoy sta-

рования, неприменим. PNS-атака при фазовом коди-

tes) когерентные состояния с другой интенсивнос-

ровании выглядит иначе, чем при поляризационном

тью.

кодировании. Поэтому нужен адекватный метод для

Основная идея Decoy state-метода основана на

анализа PNS-атаки при фазовом кодировании.

следующем факте. Если в канал связи посылают-

ся когерентные состояния с разным средним чис-

Кроме того, существуют протоколы, которые

лом фотонов, то, как следует из (3), фоковское сос-

обеспечивают большую дальность в однофотонном

тояние с некоторым заданным числом фотонов мо-

случае [20, 21] по сравнению с протоколом BB84

жет произойти из разных когерентных состояний,

[6]. Одним из таких протоколов является протокол

например, |α〉 или |ν〉. Вероятность появления за-

квантового распределения ключей с фазово-времен-

данного фоковского числа фотонов зависит от сред-

н ым кодированием, который является двухпарамет-

него числа фотонов в состоянии, которое подслуши-

рическим протоколом, где детектирование вторже-

вателю неизвестно. Например, блокирование фоков-

ний в квантовый канал связи происходит по двум

ских состояний с одним фотоном будет изменять об-

параметрам: ошибкам в информационных времен-

щую статистику отсчетов для состояний с разной

ных окнах и отсчетам в контрольных временных ок-

интенсивностью. Таким образом, вторжение в ли-

нах, что позволяет достичь большей дальности пере-

нию связи детектируется. Дальнейшая задача состо-

дачи секретных ключей. Более того, данный прото-

ит в установлении связи между наблюдаемым изме-

кол допускает эффективную волоконно-оптическую

нением статистики фотоотсчетов на приемной сто-

реализацию приемной части, которая не использует

роне с утечкой информации к подслушивателю.

поляризационно чувствительных активных оптиче-

Определив среднее число фотонов k в конкрет-

ских элементов (фазовых модуляторов, контролле-

ной посылке, подслушиватель принципиально не мо-

ров поляризации и т. д.), поэтому не требует под-

жет определить, из какого когерентного состояния

стройки поляризации на выходе из линии связи [3].

|α〉 или |ν〉 было получено данное число фотонов k в

Данный протокол является единственным протоко-

посылке. Блокирование доли однофотонных состоя-

лом, который обладает такими преимуществами в

ний |1〉〈1| в линии, которые произошли из разных

случае однопроходных систем.

208

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

Работа имеет следующую структуру. Сначала

число фотонов в когерентном состоянии, |n〉_i — фо-

будут получены выражения для состояний в кана-

ковское состояние с n фотонами, |0〉 отвечает ваку-

ле связи для фазово-временного кодирования. За-

умному состоянию поля. Индекс поляризации σ опу-

тем будут получены совместные состояния Али-

щен как несущественный для нашего протокола. Со-

са-Боб-Ева до измерений на приемной стороне. Из-

стояние поляризации оказывается несущественным

мерения на приемной стороне изменяют состояния

при фазовом кодировании (см. детали реализации в

Евы. Далее будут получены квантовые состояния

работе [3]).

Алиса-Ева после измерений Боба. Данные состоя-

Поскольку фаза θ самого когерентного состоя-

ния необходимы для подсчета утечки информации

ния в разных посылках является случайной, матри-

к подслушивателю. Состояния Алиса-Боб требуют-

ца плотности информационных состояний, которую

ся для подсчета вероятности ошибки и вероятности

«видит» подслушиватель в базисе L имеет вид

отсчетов в контрольных временных окнах. В ито-

∫

ге будет получено выражение для длины секретно-

(

)

dθ

ρ^L(μ, ϕ) =

|ei(θ+ϕ)√μ〉1 ⊗ |eiθ√μ〉2

го ключа как функции наблюдаемых параметров на

2π

приемной стороне.

(

)

Здесь нужно отметить, что Decoy state-метод

×₂〈e^iθ

√μ| ⊗₁〈ei(θ+ϕ)√μ |

предназначен для детектирования PNS-атаки. Ата-

∑

ка со светодилителем рассматривалась в работе [22].

= e-2μμ^k|Θ^Lk(ϕ)〉〈Θ^Lk(ϕ)| =

В данной работе будет сделан анализ Decoy sta-

k=0

te-метода для протокола с фазово-временным коди-

∑

2^k

рованием и получены формулы для длины секретно-

P (k, μ)ρ^Lk(μ, ϕ),

P (k, μ) = e-2μμ^k

(13)

го ключа для случая различных детекторов и с ис-

k=0

пользованием коррекции ошибок в первичных клю-

чах при помощи кодов с низкой плотностью прове-

ρ^Lk(μ, ϕ) = |Θ^Lk(ϕ)〉〈Θ^Lk(ϕ)|,

рок на четность — LDPC-кодов (low density parity

√

∑

(14)

|m〉₁ ⊗ |k - m〉₂

check codes) [23, 24].

|Θ^Lk(ϕ)〉 =

e^iϕm

√

(k - m)!

m=0

Для состояний в базисе R находим

4. ИНФОРМАЦИОННЫЕ КОГЕРЕНТНЫЕ

СОСТОЯНИЯ

∫

(

)

dθ

ρ^R(μ, ϕ) =

|ei(θ+ϕ)

√μ〉₂ ⊗ |e^iθ√μ〉3

В протоколе используются два базиса. В каждом

2π

базисе имеется пара ортогональных состояний, отве-

(

)

чающих 0 и 1. Состояния из разных базисов попарно

×₃〈e^iθ

√μ| ⊗₂〈ei(θ+ϕ)√μ |

неортогональны. Информационные состояния в про-

∑

токоле фазово-временного кодирования имеют вид

= e-2μμ^k2^k|Θ^Rk(ϕ)〉〈Θ^Rk(ϕ)| =

(обратим внимание на расстановку фазового мно-

k=0

жителя в базисах L и R, такой выбор фазового мно-

∑

жителя принципиален для сохранения одинакового

P (k, μ)ρ^Rk(μ, ϕ),

(15)

k=0

суммарного регистрируемого числа 0 и 1 в обоих ба-

зисах при различных детекторах)

ρ^Rk(μ, ϕ) = |Θ^Rk(ϕ)〉〈Θ^Rk(ϕ)|,

√

∑

(16)

0_L → |α〉₁ ⊗ |α〉₂,

1_L → |α〉₁ ⊗ |e^iπα〉₂,

(10)

|m〉₂ ⊗ |k - m〉₃

|Θ^Rk(ϕ)〉 =

e^iϕm

√

(k - m)!

m=0

0_R → |α〉₂ ⊗ |e^iπα〉₃,

1_R → |α〉₂ ⊗ |α〉₃,

(11)

Фаза ϕ выбирается Алисой в зависимости от посы-

∑

лаемого информационного состояния. Для логиче-

e^iθn|α|ⁿ

|α〉_i = e-μ/2

√

|n〉_i,

(12)

ского 0 (в базисе L и R) значение фазы ϕ = 0 и

n=0

для логической 1 (в базисе L и R) ϕ = π. Отме-

где индекс i отвечает когерентному состоянию, ло-

тим, что состояния |Θ^L,Rk(ϕ)〉 при разных индексах

кализованному в i-м временном окне на входе в ли-

k внутри одного базиса (для подслушивателя при

нию связи (см. разд. 9, рис. 1), индексы L и R обо-

известном базисе) являются ортогональными и иг-

значают базисы, сдвинутые по времени, μ — среднее

рают роль состояний с заданным «числом фотонов».

209

ЖЭТФ, вып. 2 (8)

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

Этот факт потребуется при построении PNS-атаки

вании принципиально отличается от структуры из-

для фазового кодирования. Вакуумная компонента

мерений при поляризационном кодировании.

состояний имеет вид

Измерение описывается разложением единицы:

ρ^L(μ, k = 0) = e-2μ(|0〉₁ ⊗ |0〉₂)(₂〈0| ⊗₁〈0|),

(

)

∑

I_H = I₁ ⊗ I₂ ⊗ I₃ =

|n₁〉₁₁〈n₁|

⊗

аналогично для состояний в базисе R. Соответствен-

n1=0

но, вероятность обнаружить в линии связи 0 фото-

(

)

(

)

∑

нов (k = 0) есть e-2μ.

⊗

|n₂〉₂₂〈n₂|

⊗

|n₃〉₃₃〈n₃|

Как видно из

(13)-(16), структура матрицы

n1=0

плотности информационных состояний на выходе

∑

передающей станции в квантовый канал связи от-

= P_k,

(17)

личается от структуры матрицы плотности при по-

k=0

ляризационном кодировании (3).

∑

P_k =

(|k - m〉₁ ⊗ |m - l〉₂ ⊗ |l〉₃) ×

5. НЕРАЗРУШАЮЩЕЕ ИЗМЕРЕНИЕ

m=0 l=0

«ЧИСЛА ФОТОНОВ» ПРИ ФАЗОВОМ

× (₃〈l| ⊗ ₂〈m - l| ⊗ ₁〈k - m|).

(18)

КОДИРОВАНИИ

Стандартная статистическая интерпретация

В формуле (17) единичный оператор I_i (i = 1, 2, 3) —

матрицы плотности

(13),

(15) сводится к сле-

проектор на подпространство фоковских состояний,

дующему. В каждой посылке подслушиватель с

локализованных во временном окне i, соответствен-

вероятностью

P (k, μ) = e-2μμ^k2^k/k! «видит» чистое

но, I_H — проектор на фоковское пространство со-

состояние |Θ^Lk(ϕ)〉 в базисе L или |Θ^Rk(ϕ)〉 в базисе

стояний, локализованных во всех временных окнах

R, но базис подслушивателю на данный момент

1, 2 и 3.

неизвестен.

Проектор P_k в формуле (18) имеет простой фи-

Подслушиватель проводит неразрушающее из-

зический смысл — это проектор на фоковское под-

мерение с целью определить «число фотонов» в ли-

пространство, содержащее суммарное число фото-

нии, т. е. определить, какое состояние в линии —

нов во всех временных окнах, равное k. Проекция

|Θ^Lk(ϕ)〉 или |Θ^Rk(ϕ)〉.

состояния на подпространство, содержащее k фото-

Неразрушающее измерение позволяет опреде-

нов, равна

лить только индекс k. Далее везде для краткости

будем говорить «число фотонов». Измерение позво-

P_k′ ρ^L,Rk(μ, ϕ^A)P_k′ = δ_k,k′ ρ^L,Rk(μ, ϕ^A) =

ляет узнать число фотонов в каждой посылке, но не

=P˜(k, μ)|Θ^L,Rk(ϕ)〉〈Θ^L,Rk(ϕ)|.

(19)

позволяет определить фазу ϕ. Фаза однозначно да-

ет информацию о передаваемом бите ключа 0 или

Условие нормировки состояний на единицу выпол-

1, если базис L или R подслушивателю известен.

нено, поскольку

Принципиально важно для дальнейшего под-

∑

черкнуть, что состояния в (14), (16) не зависят от

〈Θ^L,Rk(ϕ)|Θ^L,Rk(ϕ)〉 =

= 1.

(20)

интенсивности μ когерентного состояния. Подслу-

2^k

m!(k - m)!

m=0

шиватель не может определить, из какого когерент-

ного состояния произошло состояние с данным «чис-

Важно отметить, что сами состояния |Θ_k(ϕ)〉 не за-

лом фотонов», т. е. не может различить когерентные

висят от среднего числа фотонов μ в когерентном

состояния с разными средними числами фотонов.

состоянии, а зависят только от суммарного числа

Любое измерение в квантовой механике дается

фотонов k во всех временных окнах.

разложением единичного оператора. В данном слу-

При PNS-атаке подслушиватель действует сле-

чае каждому исходу k — числу фотонов, приписы-

дующим образом. Проводит измерение (17)-(19) с

вается проекционный оператор P_k в пространстве

бесконечным числом исходов, которые нумеруются

состояний H = ⊕∞k=0H_k, где H_k — фоковское про-

индексом k. Исход k зависит о того, какое состояние

странство с числом фотонов k.

присутствует в данной посылке в канале связи. Пос-

Еще раз отметим, что структура неразрушаю-

ле измерения числа фотонов в данной посылке под-

щих измерений числа фотонов при фазовом кодиро-

слушиватель знает принадлежность состояний (14),

210

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

(16) к подпространству с данным числом фотонов и

ющего унитарного оператора, который находится в

не производит искажений этого состояния. Фаза ϕ

руках подслушивателя. Данный оператор строится

остается неизвестной.

явно и зависит только от одного параметра Q — на-

Если получен исход k, то подслушиватель име-

блюдаемой ошибки на приемной стороне. Унитар-

ет в своем распоряжении состояние |Θ^L,Rk(ϕ)〉 с из-

ный оператор строится из соображений, чтобы при

вестным числом фотонов k. Напомним еще раз, что

данной наблюдаемой ошибке Q на приемной стороне

базис L или R неизвестен и знание базиса не тре-

Ева получала максимум информации о передавае-

буется для проведения неразрушающего измерения

мом ключе.

(17)-(19). Вероятность такого исхода равна

P (k, μ).

Исследуемый в данной работе протокол с фазо-

При этом фаза ϕ = 0 или ϕ = π, несущая информа-

во-временным кодированием является двухпарамет-

цию о бите ключа, подслушивателю неизвестна. Для

рическим протоколом [20,21]. На приемной стороне

проведения неразрушающего измерения (17)-(19)

при измерениях Боба возникают два наблюдаемых

знание фазы ϕ не требуется, см. (19).

параметра: вероятность ошибки Q при измерении в

Далее стратегия подслушивателя определяется

информационных временных окнах (временное ок-

тем, какое число фотонов обнаружено в данной по-

но 2 в базисе L или временное окно 3 в базисе R,

сылке. Цель подслушивателея — получить макси-

см. разд. 9, рис. 1) и вероятность отсчетов q в к он-

мум информации о ключе и произвести минимум

трольных временных окнах (временное окно 4 в ба-

детектируемых ошибок на приемной стороне.

зисе L или временное окно 1 в базисе R, см. разд. 9,

Если обнаружена вакуумная компонента состоя-

рис. 1). Данные параметры находятся в руках под-

ния, то подслушиватель не предпринимает никаких

слушивателя. Ранее была построена коллективная

действий, поскольку данная компонента не несет ни-

унитарная атака для случая строго однофотонно-

какой информации о ключе. При обнаружении одно-

го источника информационных состояний [20, 21].

фотонной компоненты при неизвестном базисе нель-

Эти результаты нам потребуются для конструирова-

зя получить достоверную информацию о состоянии

ния атаки Евы, если она обнаружила однофотонную

без его искажения. Наиболее общая атака в одно-

компоненту когерентного состояния в канале связи.

фотонном случае сводится к запутыванию переда-

ваемого состояния со вспомогательным состоянием

Евы (ancilla). После этого искаженное информаци-

онное состояние отправляется на приемную сторону,

6. ДЕЙСТВИЯ ПОДСЛУШИВАТЕЛЯ ПОСЛЕ

а искаженное вспомогательное состояние Евы оста-

НЕРАЗРУШАЮЩИХ ИЗМЕРЕНИЙ

ется в квантовой памяти до разглашения базисов и

проведения измерений Бобом. Состояние анциллы в

Рассмотрим квантовые состояния, которые воз-

квантовой памяти будет коррелировано с результа-

никают после неразрушающих измерений числа фо-

том измерений Боба. После проведения измерений

тонов Евой, но до измерений Бобом на приемной

Бобом Ева делает коллективные измерения над всей

стороне.

квантовой памятью. Такая атака называется кол-

Действие подслушивателя зависит от того, какое

лективной атакой и, как было доказано, является

число фотонов обнаружено в линии связи. После

самой общей атакой [25], которую допускают законы

обнаружения конкретного числа фотонов происхо-

квантовой механики в однофотонном случае. Коге-

дит преобразование состояния |Θ^L,Rk(ϕ)〉〈Θ^L,Rk(ϕ)|.

рентная атака, когда Ева использует вспомогатель-

Любое преобразование входного квантового состоя-

ное состояние в пространстве большой размерности

ния (эрмитова положительного оператора со следом

и запутывает его сразу со всей передаваемой после-

единица) в некоторое другое квантовое состояние со

довательностью, сводится к коллективной атаке, ес-

следом, меньшим или равным единице, дается ли-

ли состояния передаются Алисой в каждой посылке

нейным вполне положительным отображением, ко-

независимо друг от друга [25].

торое часто называется супероператором. Суперопе-

Для однопараметрических протоколов, напри-

ратор T [. . .] полностью определяется Евой и дейст-

мер протокола BB84, такая атака параметризует-

вие его зависит от числа обнаруженных фотонов k.

ся одним параметром — наблюдаемой ошибкой Q

Супероператор действует в прямой сумме ортого-

на приемной стороне, которая задается действия-

нальных подпространств с разным числом фотонов,

ми подслушивателя. Более точно, совместная эво-

имеем

люция информационного состояния и вспомогатель-

T [. . .] = ⊕∞k=0T_k[. . .].

(21)

ного состояния определяется действием запутыва-

211

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

6.1. Вакуумная компонента состояний

однофотонных посылок, регистрируемых на прием-

ной стороне.

Регистрация квантовых состояний на приемной

Однофотонные информационные состояния для

стороне происходит при помощи лавинных детекто-

фазово-временного кодирования в базисе L имеют

ров, которые работают в стробируемом режиме. Де-

вид

текторы имеют неединичную квантовую эффектив-

|1〉₁ + |1〉₂

0_L → |0_L〉_B =

√

ность и имеют темновые шумы. Неединичная кван-

(23)

товая эффективность означает, что однофотонное

|1〉₁ - |1〉₂

1_L → |0_L〉_B =

√

фоковское состояние может быть зарегистрировано

лишь с вероятностью η < 1 во временном окне стро-

в базисе R —

ба. Темновые шумы означают, что даже в отсутствие

|1〉₂ - |1〉₃

реальных фотонов детектор произведет отсчет с ве-

0_R → |0_R〉_B =

√

роятностью p_d, т. е. регистрация вакуумной компо-

(24)

|1〉₂ + |1〉₃

ненты поля на приемной стороне вызовет отсчет с

1_R → |0_R〉_B =

√

данной вероятностью.

Для дальнейшего важно, что в посылках, где

Принципиально важно обратить внимание на рас-

имеет место вакуумная компонента поля, у подслу-

становку фаз в (23), (24). Состояние 0_L регистри-

шивателя нет никаких отсчетов. Считаем, что де-

руется детектором 1 в информационном временном

текторы у Евы идеальные — единичной квантовой

окне 2, а состояние 1_L регистрируется детектором 2

эффективности и без темновых шумов. На прием-

в информационном временном окне 2 (см. разд. 9,

ной стороне у Боба будут отсчеты в данной посылке

рис. 1).Состояние 0_R регистрируется детектором 2

за счет темновых шумов лавинного детектора с ве-

в информационном окне 3, а состояние 1_R регистри-

роятностью p_d.

руется детектором 1 в информационном окне 3. Это

Действие супероператора подслушивателя на ва-

обеспечивает симметрию по полному количеству ре-

куумную компоненту сводится к тождественному

гистрируемых 0 и 1 в обоих базисах.

действию, имеем

Самой общей атакой является унитарная коллек-

тивная атака (см., например, [25]), которая сводит-

T₀[|ΘL,R0(0, 1)〉_BB〈ΘL,R0(0, 1)|] =

ся к следующему. Ева в каждой посылке использу-

= |ΘL,R0(0, 1)〉_BB〈ΘL,R0(0, 1)|,

(22)

ет вспомогательное состояние |E〉_E, которое она за-

путывает с информационным. Свое состояние Ева

где 0 отвечает фазе, равной 0, а 1 — фазе, равной

оставляет в квантовой памяти и сохраняет до са-

π. На приемной стороне Боба в данной посылке мо-

мой последней стадии — измерений Боба, согласо-

жет возникнуть темновой отсчет (см. ниже), кото-

вания базисов, коррекции ошибок и сжатия очищен-

рый может дать правильный или неправильный ре-

ных ключей. После этого Ева проводит коллектив-

зультат при сравнении логических битов Алисы и

ные измерения над всей квантовой памятью. Запу-

Боба. Данная посылка будет фигурировать среди

тывание передаваемого состояния с состоянием Евы

зарегистрированных посылок у Боба.

возникает как результат действия унитарного опе-

ратора U_BE . Унитарный оператор и, соответствен-

6.2. Однофотонная компонента состояний,

но, состояния Евы должны зависеть только от двух

унитарная коллективная атака

наблюдаемых параметров q₁ и Q₁ (см. ниже), кото-

рые определяются Евой. Введем обозначения

Если в результате неразрушающих измерений в

|ΨL1(0_L)〉_BE = U_BE (|0_L〉_B ⊗ |E〉_E ) = |Φ0L〉_E ⊗

канале связи обнаружена однофотонная компонен-

та состояний, то подслушиватель может блокиро-

⊗ |0_L〉_B + |Ω0L〉_E ⊗ |1_L〉_B + |Λ0L〉_E ⊗ |3〉_B,

вать часть посылок, а для остальной доли посылок

YE1 осуществить унитарную атаку. Посылки в до-

|ΨL1(1_L)〉_BE = U_BE (|1_L〉_B ⊗ |E〉_E ) = |Φ1L〉_E ⊗

ле YE1 выбираются подслушивателем и неизвестны

⊗ |1_L〉_B + |Ω1L〉_E ⊗ |0_L〉_B + |Λ1L〉_E ⊗ |3〉_B,

легитимным пользователям. Задача Алисы и Боба

(25)

состоит в определении величины YE1 . Из однофотон-

|ΨR1(0_R)〉_BE = U_BE (|0_R〉_B ⊗ |E〉_E ) = |Φ0R〉_E ⊗

ных посылок Ева не может получить достоверную

⊗ |0_R〉_B + |Ω0R〉_E ⊗ |1_R〉_B + |Λ0R〉_E ⊗ |1〉_B,

информацию о передаваемом бите ключа без возму-

щения квантовых состояний. Неформально говоря,

|ΨR1(1_R)〉_BE = U_BE (|1_R〉_B ⊗ |E〉_E ) = |Φ1R〉_E ⊗

весь секретный ключ «набирается» только из доли

⊗ |1_R〉_B + |Ω1R〉_E ⊗ |0_R〉_B + |Λ1R〉_E ⊗ |1〉_B.

212

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

Формула (25) есть разложение состояния в тен-

При этом, согласно проекционному постулату

зорном произведении пространств состояний. Пусть

фон Неймана - Людерса, у Боба будет состоя-

ортонормированный базис в пространстве состоя-

ние ρ^LB(0, before) → |0L〉BB〈0L|. Подсистема Евы

ний Евы есть {|μ〉_E }dim(HE)μ=1, dim(H_E ) — размер-

при таком исходе измерения у Боба окажется в

ность пространства. Ортонормированный базис в

состоянии

пространстве Боба (размерность равна 3) может

быть выбран разными способами. Поскольку оста-

Tr_B{(|0_L〉_BB〈0_L|)(|ΨL1(0_L)〉_BEBE 〈ΨL1(0_L)|)} =

ются только те посылки, в которых базисы Алисы

= |ΦL1 (0_L)〉_EE 〈ΦL1 (0_L)|.

и Боба совпадают, удобно в качестве базиса разло-

Аналогично для двух других исходов измерений.

жения выбрать базис измерений, {|0_L〉_B, |1_L〉_B , |3〉_B}

Подсистема Боба после измерения с вероятнос-

для базиса L, аналогично для базиса R. Базисом в

тензорном произведении является произведение все-

тью_E〈Ω0L|Ω0L〉_E окажется в состоянии |1_L〉_BB〈1_L|.

Ева будет «видеть» свою подсистему в состоянии

возможных пар базисных векторов:

|Ω0L〉_EE 〈Ω0L|. Вероятность исхода в контрольном вре-

{|μ〉_E ⊗ |0_L〉_B,

|μ〉_E ⊗ |1_L〉_B,

|μ〉_E ⊗ |3〉_B}dim(HE )μ=1.

менном окне 3 равна_E 〈Λ0L|Λ0L〉_E . Боб при этом «ви-

дит» состояние |3〉_BB〈3|, соответственно, у Евы бу-

Формула (25) представляет собой краткую запись,

дет состояние |Λ0L|〉_EE 〈Λ0L|.

например, для 0_L:

В итоге Боб «видит» следующую матрицу плот-

ности:

|ΨL1(0_L)〉_BE = U_BE (|0_L〉_B ⊗ |E〉_E ) =

ρ^LB(0) =_E〈Φ0L|Φ0L〉_E |0_L〉_BB〈0_L| +_E〈Ω0L|Ω0L〉_E ×

∑

cμ,0|μ〉_E ⊗|0_L〉_B+

cμ,1|μ〉_E ⊗|1_L〉_B +

× |1_L〉_BB〈1_L| + _E 〈Λ0L|Λ0L〉_E |3〉_BB 〈3|.

(27)

Матрица плотности, которую «видит» Ева, равна

∑

cμ,3|μ〉_E ⊗ |3〉_B,

ρ^LE(0) = |Φ0L|〉_EE〈Φ0L| + |Ω0L|〉_EE〈Ω0L| +

+ |Λ0L|〉_EE 〈Λ0L

(28)

где

Частичный след по подпространству Евы мат-

∑

рицы плотности Боб-Ева (26) до измерений содер-

|Φ0L〉_E ⊗ |0_L〉_B =

cμ,0|μ〉_E ⊗ |0_L〉_B,

жит перекрестные слагаемые со скалярными произ-

ведениями_E〈Φ0L|Ω0L〉_E и т.д. и, соответственно,пере-

крестные слагаемые |0_L〉_BB 〈1_L| и т. д., которые про-

∑

|Ω0L〉_E ⊗ |1_L〉_B =

cμ,1|μ〉_E ⊗ |1_L〉_B,

падают после измерений Боба. Перекрестные сла-

гаемые несущественны, и после измерений ситуа-

ция выглядит так, как если бы состояния Евы были

∑

ортогональны — отсутствуют перекрестные скаляр-

|Λ0L〉_E ⊗ |3〉_B =

cμ,3|μ〉_E ⊗ |3〉_B.

ные произведения в (27). Более того, ортогональ-

ность состояний гарантирует Еве сразу после изме-

Про состояния |Φ0,1L,R〉_E , |Ω0,1L,R〉_E и |Λ0,1L,R〉_E не делает-

рений Боба, по состоянию, которое у нее возника-

ся пока никаких предположений. Матрица плотнос-

ет, достоверно знать, какой отсчет — правильный,

ти, которую «видит» Боб до измерений, например,

ошибочный (по сравнению логических переменных

для 0_L равна

у Алисы и Боба) или контрольный, был получен

Бобом в данном измерении. После измерения Ева

ρ^LB(0, before) = Tr_E{(|Φ0L〉_E ⊗ |0_L〉_B +

видит состояния |Φ0L|〉_EE 〈Φ0L| или |Ω0L|〉_EE 〈Ω0L| или

+ |Ω0L〉_E ⊗ |1_L〉_B+|Λ0L〉_E ⊗ |3〉_B)(_E 〈Φ0L| ⊗ _B〈|0_L| +

|Λ0L|〉_EE 〈Λ0L|. Если состояния попарно ортогональ-

ны, то они достоверно различимы. Ева достоверно

+_E〈Ω0L| ⊗_B〈1_L| +_E〈Λ0L| ⊗_B〈3|)}.

(26)

знает тип отсчета (но не сам логический отсчет 0

или 1, см. ниже) — правильный, неправильный или

После измерений над матрицей плотности

ρ^LB(0, before) в базисе

{|0_L〉_B, |1_L〉_B , |3〉_B} Боб

контрольный. Если состояния неортогональны, то

достоверно этого сделать нельзя. Поэтому первое

получит результат 0 с вероятностью

выражение в (25) является фактически разложени-

E 〈Φ^L|Φ^L〉E = TrB{|0L〉BB〈0L|ρ^B(0, before)}.

ем Шмидта [26], т. е. векторы базиса измерений Боба

213

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

являются собственными векторами частичной мат-

E 〈Φ^L|Φ^L〉E + E 〈Ω^L|Ω^L〉E + E 〈Λ^L|Λ^L〉E =

рицы плотности Боба (27), по которым происходит

=_E〈Φ1L|Φ1L〉_E +_E〈Ω1L|Ω1L〉_E +_E〈Λ1L|Λ1L〉_E =

разложение в (25).

=_E〈Φ0R|Φ0R〉_E +_E〈Ω0R|Ω0R〉_E +_E〈Λ0R|Λ0R〉_E =

Поскольку состояния в пространстве Боба, по

=_E〈Φ1R|Φ1R〉_E+_E〈Ω0R|Ω1R〉_E+_E〈Λ1R|Λ1R〉_E = 1.

(32)

которым происходит разложение в (25), являются

собственными векторами частичной матрицы плот-

Унитарность оператора требует сохранения скаляр-

ности Боба (27), теорема Шмидта гарантирует, что

ных произведений. Для состояний в базисе L имеем

состояния в пространстве Евы также будут автома-

тически собственными состояниями частичной мат-

B 〈0L|1L〉B = BE 〈0|0L〉BE = (E 〈Φ^L|Ω^L〉E +

рицы плотности Евы, т. е. будут ортогональными.

+_E〈Ω0L|Φ1L〉_E) +_E〈Λ0L|Λ1L〉_E = 0.

(33)

Ненулевые собственные числа частичных матриц

плотности Боба и Евы по теореме Шмидта совпа-

Первые два слагаемых в правой части (33) в скоб-

дают.

ках функционально зависят от двух наблюдаемых

Дальнейшие шаги по конструированию атаки

параметров — от доли отсчетов в информационных

Евы следующие. Имеются свойства симметрии по

окнах 1 - q₁ и от вероятности ошибки в этих ок-

0 и 1, а также симметрия между базисами. Состоя-

нах Q₁. Последнее слагаемое зависит только от до-

ния, отвечающие 0 и 1 внутри базиса и в разных

ли отсчетов в контрольном окне q₁ и не зависит

базисах, посылаются равновероятно, поэтому веро-

от наблюдаемой вероятности ошибки Q₁. Причем

ятности правильного/ошибочного отсчета для 0 и

это имеет место при любых значениях Q₁ и q₁. По-

1 внутри одного базиса, а также в разных базисах

этому по отдельности два слагаемых в скобках и

естественно считать одинаковыми. Аналогично ве-

последнее слагаемое, должны быть равны 0. Име-

роятности отсчетов в контрольном окне для 0 и 1

ем_E〈Λ0L|Λ1L〉E = 0, т. е. данные векторы ортого-

внутри одного базиса и в разных базисах должны

нальны. Аналогично в базисе R. Условия симмет-

быть одинаковыми. Это приводит к соотношениям

рии между 0 и 1, а также симметрии между бази-

для вероятностей

сами L и R дают_E〈Ω0L|Φ1L〉_E =_E〈Ω1L|Φ0L〉_E, далее

E 〈Ω^L|Φ^L〉E = (E 〈Φ^L|Ω^L〉E )^∗, что приводит к тому,

что скалярное произведение является веществен-

E 〈Φ^L|Φ^L〉E = E 〈Φ^L|Φ^L〉E = E 〈Φ^R|Φ^R〉E =

ным, Re(_E 〈Φ0L|Ω1L〉_E ). Таким образом, от мнимой ча-

=_E〈Φ1R|Φ1R〉_E = (1 - q₁)(1 - Q₁).

(29)

сти скалярного произведения нет зависимости, по-

этому без ограничения общности можно считать

Формула (29) дает вероятности правильного отсчета

скалярное произведение вещественным. Из форму-

в информационных окнах Боба, которые удобно вы-

лы (33) следует_E 〈Φ0L|Ω1L〉_E = 0, что означает орто-

разить через два наблюдаемых параметра на прием-

гональность состояний.

ной стороне: q₁ и Q₁, где 1-q₁ — полная вероятность

Из рассмотрения выше следует, что векторы

отсчетов (правильных и неправильных) в информа-

|Φ0,1L〉_E и |Ω0,1L〉_E лежат в ортогональных подпрост-

ционных окнах, 1 - Q₁ — вероятность правильных

ранствах. Скалярные произведения между группа-

отсчетов, Q₁ — вероятность неправильных отсчетов.

ми векторов (|Φ0,1L〉_E , |Ω0,1L〉_E ) и |Λ0,1L〉_E не возни-

Соответственно вероятности ошибочного отсчета

кают, поэтому без ограничения общности можно

считать векторы из разных групп ортогональными.

Этот произвол — отсутствие скалярных произведе-

E 〈Ω^L|Ω^L〉E = E 〈Ω^L|Ω^L〉E = E 〈Ω^R|Ω^R〉E =

ний — возникает фактически из-за ортогональнос-

=_E〈Ω1R|Ω1R〉_E = (1 - q₁)Q₁.

(30)

ти информационных состояний Боба |0_L〉_E, |1_L〉_E и

контрольного состояния |3〉_B

Вероятности контрольного отсчета — отсчеты в окне

На данный момент имеем, что векторы {|Φ0,1L〉_E},

3 базиса L (окне 1 базиса R)

{|Ω0,1L〉_E } и {|Λ0,1L〉_E } лежат в ортогональных под-

пространствах. Требования симметрии по базисам

(см. выше) диктуют только равенство следующих

E 〈Λ^L|Λ^L〉E = E 〈Λ^L|Λ^L〉E = E 〈Λ^R|Λ^R〉E =

скалярных произведений, но не их величину:

=_E〈Λ1R|Λ1R〉_E = q₁.

(31)

E 〈Φ^L|Φ^L〉E = E 〈Φ^R|Φ^R

〉_E,

(34)

Условие сохранения нормировки (следствие унитар-

ности оператора U_BE ) записывается как

E 〈Ω^L|Ω^L〉E = E 〈Ω^R|Ω^R〉E ,

(35)

214

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

E 〈Λ^L|Λ^L〉E = E 〈Λ^R|Λ^R〉E = 0.

(36)

Выражая состояния |a_ij 〉_E как линейные комби-

нации {|xx〉, |xy〉, |zx〉, |yy〉, |yx〉, |zz〉, |xz〉} с некото-

В (34)-(36) использовано условие симметрии по ба-

рыми коэффициентами, затем подставляя |a_ij 〉_E

зисам. Ортогональность в (36) следует из (33) выше.

в условия (29)-(36), получаем систему линейных

Для дальнейшего продвижения удобно ортогональ-

уравнений, решение которой позволяет однозначно

ным преобразованием перейти от информационно-

выразить коэффициенты разложения через наблю-

го базиса к базису временных окон. Ортогональное

даемые параметры q₁ = δ²/2, Q₁ = (1 - cos α)/2. Из-

преобразование базиса в пространстве Боба инду-

за ортогональности семи векторов в систему уравне-

цирует ортогональное преобразование состояний в

ний входят только квадраты модулей коэффициен-

пространстве Евы. Находим

тов разложения по семи векторам. Линейно незави-

симыми являются только семь векторов из девяти

U_BE (|i〉_B ⊗ |E〉_E) = |˜i〉BE =

(42)-(45) (см. ниже), поэтому девять векторов мож-

∑

|a_ij 〉_E ⊗ |j〉_B,

(37)

но разложить по ортогональному набору семи век-

j=1,2,3

торов. Формально коэффициенты разложения мож-

но выбрать комплексными, но, поскольку при опре-

где |i〉_B, |j〉_B — базисные состояния Боба, индексы

делении коэффициентов важны только их квадраты

i, j обозначают временные окна i, j = 1, 2, 3. Орто-

модулей, имеется произвол, поэтому без ограниче-

гональный поворот от одного базиса к другому со-

ния общности коэффициенты могут быть выбраны

храняет ортогональность новых базисных векторов.

вещественными. С учетом (29)-(36) находим

Например, для 0_L векторы |Ψ0L〉_E, |Ω0L〉_E, |Λ0L〉_E (см.

√

выше) — базис, новый набор векторов при фиксиро-

|a₁₁〉_E =

1 - δ²|x〉 ⊗ |x〉,

ванном i |a_ij〉_E (j = 1, 2, 3) также ортогонален, т. е.

(42)

образует базис. Разложение (37) также есть разло-

|a₁₂〉_E =

√

|x〉 ⊗ |y〉,

|a₁₃〉_E =

√ |z〉 ⊗ |x〉,

жение Шмидта. Состояния в (37) и в (25) связаны

линейными соотношениями:

|a₂₁〉_E =

√ (cos α|x〉 ⊗ |y〉 + sin α|y〉 ⊗ |y〉),

(43)

(|a₁₁〉 + |a₂₂〉) ± (|a₁₂〉 + |a₂₁〉)

√

|Φ0,1L〉_E =

|a₂₂〉_E =

1-δ²(cos α|x〉 ⊗ |x〉+ sin α|y〉 ⊗ |x〉),

(38)

(|a₁₁〉 - |a₂₂〉) ∓ (|a₁₂〉 - |a₂₁〉)

|Ω0,1L〉_E =

|a₂₃〉_E =

√ (cos α|z〉 ⊗ |z〉 + sin α|x〉 ⊗ |z〉),

(44)

(|a₂₃〉 ± |a₁₃〉)

|Λ0,1L〉_E =

√

(39)

|a₃₁〉_E =

√

|y〉 ⊗ |x〉,

|a₃₂〉_E =

√ |z〉 ⊗ |z〉,

√

(|a₂₂〉 + |a₃₃〉) ± (|a₂₃〉 + |a₃₂〉)

|a₃₃〉_E =

1 - δ²|x〉 ⊗ |x〉.

(45)

|Φ0,1R〉_E =

(40)

Действие супероператора Евы на однофотонную

(|a₂₂〉 - |a₃₃〉) ∓ (|a₂₃〉 - |a₃₂〉)

|Ω0,1L〉_E =

компоненту приводит к совместной матрице плотно-

сти Ева-Боб:

(|a₂₁〉 ± |a₃₁〉)

|Λ0,1L〉_E =

√

(41)

(

T₁[|ΨL1(0)〉_BB〈ΨL1(0)|] = YE1

|0_L〉_B ⊗ |Φ0L〉_E +

)(

Далее при выполнении условий (29)-(36) удобно

+ |1_L〉_B ⊗ |Ω0L〉_E +|3c〉_B ⊗ |Λ⁰

〉_EB〈0_L| ⊗_E〈Φ0L| +

)

пользоваться представлением (38)-(41). Существу-

+_B〈1_L| ⊗_E〈Ω0L| +_B〈3c| ⊗_E〈Λ0L|

(46)

ют девять векторов |a_ij 〉_E , которые не все явля-

ются линейно независимыми. Поскольку имеются

(

семь условий (29)-(36), которые выражаются через

T₁[|ΨL1(1)〉_BB〈ΨL1(1)|] = YE1

|1_L〉_B ⊗ |Φ1L〉_E +

)(

данные векторы, в качестве семи линейно незави-

+ |0_L〉_B ⊗ |Ω1L〉_E +|3c〉_B ⊗ |Λ¹

〉_EB〈1_L| ⊗_E〈Φ1L| +

)

симых векторов удобно выбрать семь ортогональ-

+_B〈0_L| ⊗_E〈Ω1L| +_B〈3c| ⊗_E〈Λ0L|

(47)

ных векторов, через линейные комбинации кото-

рых выражаются векторы |a_ij 〉_E и которые обо-

(

значим как {|xx〉, |xy〉, |zx〉, |yy〉, |yx〉, |zz〉, |xz〉}. От-

T₁[|ΨR1(0)〉_BB〈ΨR1(0)|] = YE1

|0_R〉_B ⊗ |Φ0R〉_E +

метим, что условий (29)-(36) реально семь, по-

)(

+ |1_R〉_B ⊗ |Ω0R〉_E +|1c〉_B ⊗ |Λ⁰

〉_EB〈0_R| ⊗_E〈Φ0R| +

скольку соотношения для базисов L и R выража-

)

+ B〈1R| ⊗ E〈ΩR | + B〈1c| ⊗ E〈ΛR |

(48)

ются через одни и те же девять функций |a_ij 〉_E .

215

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

(

T₁[|ΨR1(1)〉_BB〈ΨR1(1)|] = YE1

|1_R〉_B ⊗ |Φ1R〉_E +

деляет многофотонное состояние на произведение

)(

состояний. Однако вид супероператора для состоя-

+ |0_R〉_B ⊗ |Ω1R〉_E +|1c〉_B ⊗ |Λ1R〉_EB〈1_R| ⊗_E 〈Φ1R| +

)

ний с k > 2 не является очевидным в отличие от

+ B〈0R| ⊗ E〈ΩR | + B〈1c| ⊗ E〈ΛR |

(49)

состояний с k = 2. Как будет видно ниже, явный

вид супероператора не потребуется. Достаточно бу-

Отметим, что такой вид матрицы плотности

дет того факта, что Ева в принципе может разде-

Ева-Боб имеют до измерений Боба. Кроме того,

лить многофотонные состояния и оставить в кванто-

матрицы плотности (46)-(49) нормированы на долю

вой памяти часть невозмущенных состояний из мно-

YE1 — не блокированных Евой однофотонных состо-

гофотонной компоненты поля.

яний.

Обозначим через Y^Ek долю посылок с многофо-

тонной компонентой с k ≥ 2, которую Ева направля-

6.3. Многофотонные компоненты

ет на приемную сторону. В пользу Евы считаем, что

Атака Евы на однофотонную компоненту состоя-

детекторы у Евы идеальные. В итоге для действия

ний всегда приводит к возмущению состояния. Для

супероператора Евы для многофотонных компонент

многофотонных компонент ситуация принципиаль-

состояний получаем

но другая. Предполагается [6-11], что при обна-

T_k[|Θ^L,Rk(0, 1)〉_BB〈Θ^L,Rk(0, 1)|] =

ружении многофотонной компоненты подслушива-

тель часть фотонов оставляет в квантовой памя-

= Y ^Ek|Θ^L,Rk(0,1)〉_BEBE〈Θ^L,Rk(0,1)|, k ≥ 2,

(50)

ти, остальные невозмущенные через канал с мень-

где состояние

шими потерями (в идеале без потерь) направляет

на приемную сторону. Дождавшись раскрытия ба-

|Θ^L,Rk(0, 1)〉_BE = |Θ^L,Rk(0, 1)〉B ⊗ |ΘL,Rk(0, 1)〉E

зисов, Ева проводит измерения над квантовой па-

является факторизованным. В таком виде состоя-

мятью уже в известном базисе и получает достовер-

ние записано лишь для краткости обозначений. При

ный результат, поскольку внутри базиса состояния

измерении такого состояния ошибки на приемной

ортогональны. Однако явно не показано, как можно

стороне будут возникать только за счет неидеаль-

разделить многофотонную компоненту на пару фак-

ности аппаратуры Боба, например, неточной ба-

торизованных (независимых) состояний. Такое раз-

лансировки интерферометра Маха - Цандера и тем-

деление является отнюдь не очевидным. Покажем,

новых шумов лавинных однофотонных детекторов

как можно разделить двухфотонное фоковское со-

(см. ниже). В итоге полная матрица плотности пос-

стояние на произведение однофотонных фоковских

ле PNS-атаки Евы имеет вид

состояний.

Пусть обнаружено двухфотонное фоковское сос-

ρ^L,RBE(0, 1) =

тояние |2〉_B. Ева использует симметричный свето-

[

]

∑

делитель, а затем неразрушающее измерение числа

μ^k

=T e-2μ

g_k

|Θ^L,R(0, 1)〉_BB〈Θ^L,R(0, 1)|

фотонов на его выходах, определяет число фотонов

k=0

на выходах. Если на одном из выходов обнаруже-

∑

μ^k

но два фотона — состояние |2〉_B, то Ева повторя-

=e-2μ Y^Egk

ет процедуру, посылает это состояние опять на вход

k=0

симметричного светоделителя. Такая ситуация реа-

× |Θ^L,Rk(0, 1)〉_BEBE 〈Θ^L,Rk(0, 1)|,

(51)

лизуется с вероятностью 1/2. Если на двух выходах

при неразрушающих измерениях обнаружены одно-

где g_k = 2^k и Y^Ek имеет смысл условной вероятности

того, что Ева проведет действия, при которых исход-

фотонные фоковские состояния |1〉_B и |1〉_E, то со-

стояние |1〉_B направляется к Бобу, а состояние |1〉_E

ное состояние перейдет в состояние |Θ^L,Rk(0, 1)〉_BE —

совместное состояние Ева-Боб.

Ева оставляет у себя в квантовой памяти и ждет раз-

глашения базисов. Весь описанный выше набор дей-

ствий — преобразование входного состояния в вы-

7. ДЛИНА СЕКРЕТНОГО КЛЮЧА В

ходное — дается действием супероператора. Вид су-

АСИМПТОТИЧЕСКОМ ПРЕДЕЛЕ

пероператора зависит от того, сколько фотонов об-

ДЛИННЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ

наружено в линии.

Аналогично для многофотонных компонент сос-

Нашей целью является вычисление длины сек-

тояний с k > 2, по-видимому, можно сконструиро-

ретного ключа как функции наблюдаемых парамет-

вать соответствующий супероператор, который раз-

ров на приемной стороне, q₁ и Q₁. Длина секретного

216

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

ключа (ℓ_n) в асимптотическом пределе длинных по-

Евы минус информация, которую Ева получает че-

следовательностей n → ∞ выражается через услов-

рез открытый классический канал связи при кор-

ную энтропию фон Неймана совместной матрицы

рекции ошибок у Боба.

плотности Алиса-Ева и количество информации в

В итоге длина секретного ключа в битах, точ-

битах, расходуемое на коррекцию ошибок [25]. Дан-

нее, доля секретных битов в пересчете на одну заре-

ная утечка выражается через условную классичес-

гистрированную посылку n в совпадающих базисах

кую энтропию Шеннона для состояния Алиса-Боб.

Алисы и Боба — на длину сырого ключа, становится

Приведем сначала формулу для длины секретного

равной

ключа, а затем перейдем к вычислению энтропий

фон Неймана и Шеннона для соответствующих со-

⁽ℓ_n)

lim

= H(ρ_XE|ρ_E) - leak,

(53)

стояний. Формула для длины секретного ключа в

n→∞ n

пределе бесконечно длинных последовательностей

(n → ∞ — число зарегистрированных на приемной

здесь leak — доля битов, расходуемых на коррекцию

стороне посылок в одинаковых базисах) имеет вид

ошибок в пересчете на одну позицию сырого ключа.

(см. подробности в [25])

)

⁽ℓ_n

H (ρ(n)XE |ρ(n)E) - leak_n

lim

= lim

(52)

n→∞ n

n→∞

8. СОВМЕСТНЫЕ МАТРИЦЫ ПЛОТНОСТИ

АЛИСА-БОБ-ЕВА ДО ИЗМЕРЕНИЙ НА

где leak_n — информация в битах, расходуемая на ис-

ПРИЕМНОЙ СТОРОНЕ

правление ошибок в первичном ключе длины n. По-

скольку PNS-атака в целом является атакой прием-

Важно отличать состояния, которые возникают

перепосыл, матрица плотности Алиса-Ева ρ(n)XE име-

сразу после атаки Евы, от состояний, которые по-

ет структуру тензорного произведения ρ(n)XE = ρ^n⊗XE.

лучаются после измерений на приемной стороне Бо-

Соответственно утечка информации при коррекции

ба. Измерения на приемной стороне изменяют со-

ошибок на приемной стороне выражается через мат-

стояния Евы. Например, однофотонная компонента

рицу плотности Алиса-Боб ρ^n⊗XY после измерений

исходных состояний оказывается в запутанном со-

Боба на приемной стороне, где Y = {0, 1}ⁿ — множе-

стоянии (25) между Бобом и Евой, поэтому измере-

ство битовых строк (сырой ключ Боба). В шеннонов-

ния Боба отражаются на состояниях, которые будет

ском пределе при коррекции ошибок случайными

«видеть» Ева после измерений Боба. Сначала рас-

кодами минимальная утечка информации к подслу-

смотрим состояния, которые возникают после атаки

шивателю дается выражением leak_n → nH(X|Y ),

Евы, но до измерений Боба. В следующем разделе

где H(X|Y ) = H(ρ_XY |ρ_Y ) — условная классиче-

рассмотрим модификацию состояний Боб-Ева после

ская энтропия Шеннона. Предел Шеннона являет-

измерений Боба.

ся теоремой существования и конструктивно недо-

Согласно предыдущему разделу, для вычисле-

стижим. В реальной ситуации коррекция ошибок

ния длины секретного ключа потребуются совмест-

происходит при помощи эффективно реализуемых

ные матрицы плотности Алиса-Боб-Ева. Удобнее

кодов коррекции ошибок, которые дают несколько

воспользоваться следующим приемом. Алиса сохра-

большую утечку информации к подслушивателю.

няет у себя копию посланного информационного со-

LDPC-коды дают утечку, незначительно превыша-

стояния, которая никому недоступна (за это отвеча-

ющую предел Шеннона (см., например, [27], где бы-

ет индекс X в матрицах плотности).

ла продемонстрирована рекордная эффективность

Важно отметить одно обстоятельство. Посколь-

LDPC-кодов), поэтому в дальнейшем при вычисле-

ку состояния Евы (25) ортогональны, частичная

нии утечки информации при коррекции ошибок бу-

матрица плотности Боба будет иметь диагональный

дем использовать LDPC-коды.

вид в базисе измерений, значит, можно сразу за-

Формула (52) имеет интуитивно понятную ин-

писать матрицу плотности Алиса-Боб-Ева в диаго-

терпретацию. Неформально величина H(ρ(n)XE|ρ(n)E)

нальном виде. До измерений Боба в информацион-

имеет смысл нехватки информации Евы о битовой

ных окнах в базисе L матрица плотности становится

строке X ∈ X Алисы из множества X = {0, 1}ⁿ при

равной

условии, что в ее распоряжении находится кванто-

∑

вая система E, коррелированная с данной строкой.

ρ_XBE(0_L) = ρ(k)XBE(0_L),

(54)

Длина ключа в битах есть нехватка информации

k=0

217

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

где k — фотонная часть матрицы плотности, k = 0

где введено обозначение

отвечает вакуумной компоненте. Далее

(k)

| = Tr_B{|Θ^Lk(0)〉_BEBE〈Θ^Lk(0)|}.

|0(k)L〉_EE 〈0

ρ(0)XBE(0_L) = e-2μ|0_L〉_XX〈0_L| ⊗ (|vac〉_BB〈vac|) ⊗

(k)

Здесь также введено обозначение: |0

〉_E — часть

⊗ (|vac〉_EE 〈vac|) .

(55)

многофотонного невозмущенного состояния, кото-

Однофотонная компонента матрицы плотности за-

рое остается у Евы и при измерении которого, пос-

писывается как

ле раскрытия базисов Ева получит достоверную ин-

формацию о передаваемом бите ключа, в данном

ρ(1)XBE(0_L) = e-2μ|0_L〉_XX〈0_L| ⊗

случае о 0_L. Аналогично для состояния 1

{

[

⊗

μg₁YE1

|0_L〉_BB〈0_L| ⊗ |ΦL0〉_EE 〈ΦL0| +

ρ_XE(1_L) = e-2μ|1_L〉_XX〈1_L| ⊗

+ |1_L〉_BB〈1_L| ⊗ |ΩL0 〉_EE 〈ΩL0 | + |3c〉_BB 〈3c| ⊗

{

]}

[

⊗ |ΛL0〉_EE 〈ΛL0|

(56)

⊗

|vac〉_EE 〈vac| + μg₁YE1

|ΦL1〉_EE 〈ΦL1| +

многофотонные компоненты матрицы плотности —

]

+ |ΩL1〉_EE 〈ΩL1| + |ΛL1〉_EE 〈ΛL1|

}

ρ(k)XBE(0_L) = e-2μ μ^kg^k

^∑μ^k

g_kY^Ek|1(k)L〉_EE〈1(k)L|

(63)

× Y ^Ek|0_L〉_XX〈0_L| ⊗ |Θ^Lk(0)〉_BEBE〈Θ^Lk(0)|.

(57)

k=2

Матрицы плотности, когда Алиса посылала 1_L, име-

|1(k)L〉_EE 〈1(k)L| = Tr_B{|Θ^Lk(1)〉_BEBE 〈Θ^Lk(1)|},

ют вид

∑

где |1(k)L〉_E — часть исходного многофотонного сос-

ρ_XBE(1_L) = ρ(k)XBE(1_L).

(58)

тояния, которое Ева оставляет у себя в квантовой

k=0

памяти.

ρ(0)XBE(1_L) = e-2μ|1_L〉_XX〈1_L| ⊗ (|vac〉_BB〈vac|)⊗

9. ИЗМЕРЕНИЯ НА ПРИЕМНОЙ СТОРОНЕ

⊗ (|vac〉_EE 〈vac|) .

(59)

Любое измерение в квантовой механике дается

Однофотонная компонента матрицы плотности за-

разложением единицы — формальное описание из-

писывается как

мерительного прибора. Применительно к данному

протоколу такое разложение единицы выглядит сле-

ρ(1)XBE(1_L) = e-2μ|1_L〉_XX〈1_L|⊗

{

[

дующим образом:

⊗

μg₁YE1

|1_L〉_BB〈1_L| ⊗ |ΦL1〉_EE 〈ΦL1| +

∑

+ |1_L〉_BB〈1_L| ⊗ |ΩL1 〉_EE 〈ΩL1 | +

I_B = I(k)B,

(64)

]}

+ |1c〉_BB〈1c| ⊗ |ΛL1〉_EE 〈ΛL1|

(60)

k=1

многофотонные компоненты матрицы плотности —

где разложение единичных операторов I(k)B задается

выбором базиса измерений. В реальной ситуации пе-

ρ(k)XBE(1_L) = e-2μ μ^kg^k

Y^Ek ×

ред измерением состояний на приемной стороне про-

исходит их преобразование на интерферометре Ма-

× |1_L〉_XX 〈1_L| ⊗ |Θ^Lk(1)〉_BEBE 〈Θ^Lk(1)|.

(61)

ха - Цандера (МЦ) и только потом происходит реги-

В итоге частичные матрицы плотности Алиса-Ева

страция лавинными однофотонными детекторами.

до измерений Боба имеют вид

Результатом измерений является отсчет одного из

двух детекторов на выходах интерферометра МЦ в

ρ_XE(0_L) = e-2μ|0_L〉_XX〈0_L|⊗

информационном или контрольном временном окне.

{

Рассмотрим сначала преобразование состояний

[

⊗

|vac〉_EE 〈vac| + μg₁YE1

|ΦL0〉_EE 〈ΦL0| +

на интерферометре МЦ. Неидеальная балансировка

интерферометра, несимметричность светоделителей

]

+ |ΩL0〉_EE 〈ΩL0| + |ΛL0〉_EE 〈ΛL0|

также может вносить ошибки в битовую последова-

}

тельность Боба. Несимметричность светоделителей

∑

μ^k

g_kY^Ek|0(k)L〉_EE〈0(k)L|

(62)

не важна, поскольку самокомпенсируется при ис-

k=2

пользуемой реализации протокола (см. детали в [3],

218

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

а также формулы (54)-(63)). Остается только учесть

где ϕ — фазовый сдвиг, который получают состоя-

неточность балансировки интерферометра МЦ.

ния при прохождении по верхнему и нижнему путям

Кроме того, лавинные детекторы имеют неиде-

интерферометра МЦ за счет неточной балансировки

альную (не равную единице) квантовую эффектив-

и который будет вносить вклад в ошибку при детек-

ность η, а также ненулевые темновые шумы, кото-

тировании состояний. Символ δ_→ обозначает изме-

рые приводят к ошибочным отсчетам.

нение индекса на единицу для состояний, распро-

Рассмотрим преобразование и детектирование

страняющихся по длинному пути интерферометра.

однофотонной компоненты состояний на стороне

На обратном проходе преобразование операторов на

Боба, поскольку только из нее формируется секрет-

светоделителе принимает вид

ный ключ. Явный вид преобразования многофотон-

⎛

⎞

⁽1-e^iϕ)

e^iϕ

ных компонент состояний, в отличие от однофотон-

a†1 +

a†2 -

a†3

⎜

⎟

ной компоненты состояний, для анализа не потребу-

√

⎜

⎟

⎠⁼

ется.

⎝ 1

⁽1+e^iϕ)

e^iϕ

a†1 +

a†2 +

a^†

Рассмотрим преобразование информационных и

⎛

⎞

контрольных состояний, фигурирующих в матрице

a†1 + a†2

(

)

√

плотности Алиса-Боб-Ева до измерений (46)-(51)

⎜

⎟

-1

⎜

⎟

на примере |0_L〉_B и |3〉_B. Удобнее использовать пре-

√

⎜

(

)

^⎟.

(67)

⎜

⎟

+a†3

образование соответствующих операторов, а не са-

⎠

⎝ e^iϕ a²√

мих состояний. Входному состоянию, например, для

†

0_L отвечают операторы -^a

√

, где a†1,2 — опера-

Рассмотрим вероятность детектирования в инфор-

торы рождения фоковских состояний во временных

мационном временном окне. Далее от операторов,

окнах 1 и 2. Преобразование операторов на прямом

отвечающих состояниям во временных окнах, мож-

проходе на светоделителе имеет вид

но уже перейти к вероятности фотоотсчета в со-

⎛

⎞

ответствующем временном окне. Отсчеты в инфор-

a†1 + a†2

√

⎜

⎟

мационном временном окне интерпретируются как

⎜

⎟

√

⎜

⎟

отсчеты от информационных состояний. С учетом

⎝

a†1 + a†2

⎠

√

(65)-(67) для вероятности детектирования состоя-

ний на двух выходах интерферометра находим

⎛

⎞

(

)

a†1 + a†2

⎜

√

⎟

|1 - e^iϕ|²

|0_L〉_B →

η₁

+pd1 =

√

⎝

⎠,

(65)

-1

η₁

⁽ϕ⁾

η₁

sin²

+pd1 =

(1 - Q_B) + pd1,

где операторы рождения в вектор-столбце отвечают

(68)

|1 + e^iϕ|²

операторам рождения на верхнем и нижнем путях

|1_L〉_B →

η₂

+pd2 =

интерферомтера МЦ.

η₂

⁽ϕ⁾

η₂

cos²

+pd2 =

Q_B + pd2.

Светоделители считаем идеально симметричны-

ми, поскольку несимметричность светоделителей

Интерпретация формул (68) достаточно прозрачна.

компенсируется на обратном проходе после отраже-

Если из канала поступило состояние |0_L〉_B, то отсчет

ния состояний от фарадеевских зеркал. После отра-

в информационном окне 2 является правильным, и

жения от зеркал и задержки состояний в одном из

если возник отсчет в первом лавинном детекторе,

плеч интерферометра состояния принимают вид

то результат интерпретируется как 0. Вероятность

⎛

⎞

†

a†1 + a

отсчета есть¹² η₁(1 - Q_B) + pd1; первое слагаемое —

√

⎜

⎟

отсчет от однофотонного состояния на детекторе с

⎜

⎟

√

⎜

(

)

^⎟=

квантовой эффективностью η₁. Сомножитель 1-Q_B

⎜

⎟

⎝

a†2 + a†3

⎠

отвечает за неидеальность балансировки плеч ин-

e^iϕ

√

терферометра. Второе слагаемое — темновой отсчет

⎛

⎞

детектора с вероятностью pd1. Темновой отсчет в де-

a†1 + a†2

(

)

⎜

√

⎟

текторе 1 воспринимается как правильный отсчет от

⎜

⎟

√

⎜

⎟,

(66)

состояния 0_L.

e^iϕδ_→

⎝ a†1 +a†2

⎠

Ошибочные отсчеты — это отсчеты, возникаю-

√

щие на детекторе 2. Отсчет от реального фотона

219

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

SPAD1

Circ

SPAD2

SPAD1

Alice

SPAD2

Bob

Рис. 1. Передающая сторона (Alice): L — лазер, работающий в CW-моде, MI — модулятор интенсивности, PM — фазовый

модулятор. Весь оптический тракт на передающей станции выполнен на волокне, сохраняющем поляризацию. Приемная

часть (Bob): весь оптический тракт выполнен на стандартном одномодовом SM-волокне. Circ — волоконный поляриза-

ционно независимый циркулятор. SPAD1,2 — однофотонные лавинные детекторы. FM — фарадеевское зеркало. PZ —

управляемый пьезоэлемент для выравнивания разности хода в верхнем и нижнем плечах интерферометра. QC — линия

связи на основе SM-волокна. Стрелками показана эволюция состояний

имеет место из-за неидеальной балансировки интер-

дут использованы ниже для вывода матриц плотно-

ферометра и происходит с вероятностью¹² η₂Q_B +

сти Алиса-Ева и Алиса-Боб, которые фигурируют

+ pd1. При идеальной балансировке (Q_B = 0) оши-

в условной энтропии фон Неймана Алиса-Ева, вхо-

бочный отсчет в детекторе 2 от реального фотона

дящей в формулы (52), (53) для длины секретного

отсутствует. Ошибочный отсчет возникает только

ключа.

из-за темновых шумов детектора 2 и имеет место

с вероятностью pd2.

10. СОВМЕСТНЫЕ МАТРИЦЫ ПЛОТНОСТИ

Рассмотрим теперь преобразование состояния

АЛИСА-БОБ-ЕВА ПОСЛЕ ИЗМЕРЕНИЙ НА

|3〉_B. Находим для преобразования контрольного со-

ПРИЕМНОЙ СТОРОНЕ

стояния |3〉_B

(

)

(

)(

)

Найдем матрицы Алиса-Ева-Боб плотности пос-

a†4

-1

√

ле измерений Боба. Матрицы плотности после изме-

a†4

e^iϕδ_→

рений отличаются от матриц плотности до измере-

(

)(

)

ний тем, что остаются только те посылки, где бы-

†

ли отсчеты у Боба. Прежде чем выписать матрицы

√

(69)

-1

плотности, во избежание недоразумений необходи-

мо сделать комментарий по поводу обозначений, ис-

Вероятность детектирования контрольного состоя-

пользуемых ниже.

ния во временном окне 4 (см. рис. 1) на обоих де-

Правильный отсчет, если было послано состоя-

текторах имеет вид

ние |0_L〉_B , происходит с вероятностью (68). После

акта регистрации формально это означает, что мат-

|3_u〉_B →

η₁ + pd1,

рица плотности становится равной

(70)

]

^[η

|0_L〉_B → |0〉〈0|

(1 - Q_B) + pd1

|3_d〉_B →

η₂ + pd2,

]

^[η₂

где индексы u, d относятся к верхнему (up) и ниж-

+ |1〉〈1|

Q_B + pd2 ,

(71)

нему (down) детекторам. Выражения (68), (70) бу-

220

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

где |0〉 и |1〉 — состояние в информационном времен-

вычислении вероятностей (68) можно пренебречь.

ном окне, которое получается после преобразований

Отметим, что следующие ниже матрицы плот-

на интерферометре МЦ и которое отличается от ис-

ности являются ненормированными, что для даль-

ходного |0_L〉_B. Чтобы не вводить новых избыточных

нейшего неважно, поскольку длина секретного клю-

обозначений, ниже сохраним за обозначением состо-

ча вычисляется в пересчете на зарегистрированные

яния |0〉 старое обозначение |0_L〉_B , что не должно

посылки.

привести к путанице. Аналогично для других состо-

Полная матрица плотности может быть записана

яний. Формула (71) имеет простой смысл. Состоя-

как сумма компонент с разным числом фотонов:

ние |0〉_B после преобразования на интерферометре

∑

и последующего детектирования лавинными детек-

ρ_XBE(0_L) = ρ(k)XBE(0_L),

(72)

торами с вероятностьюη12(1-QB)+pd1^{дастотсчет}

k=0

в детекторе 1, который будет интерпретирован как

правильный отсчет 0 — состояние |0〉〈0|. Состояние с

где k — фотонная часть матрицы плотности, k = 0

отвечает вакуумной компоненте. Далее матрица

вероятностьюη22^QB+pd2дастотсчетвдетекторе2,

который будет интерпретирован как 1 из-за неиде-

плотности, отвечающая вакуумной компоненте сос-

тояний, имеет вид

альной балансировки интерферометра (слагаемое с

Q_B) и темновых шумов (слагаемое pd2).

(0)

(0_L) = e-2μ|0_L〉_XX 〈0_L| ⊗ {pd1|0_L〉_BB〈0_L| +

Фактически формула (71) — это запись постула-

XBE

та фон Неймана - Людерса, которая дает матрицу

+ pd2|1_L〉_BB〈1_L|+pd1|3u〉_BB〈3u|+pd2|3d〉_BB〈3d|) ⊗

плотности после измерений, при условии, что полу-

чен данный исход измерений — отсчет конкретного

⊗ (|vac〉_EE 〈vac|} .

(73)

детектора. В нашем случае данная запись является

скорее формальным техническим приемом, который

Интерпретация достаточно проста. У Боба от ваку-

нужен для подсчета условных энтропий фон Ней-

умной компоненты могут возникнуть отсчеты в ин-

мана. Тот факт, что фотон после отсчета детектора

формационном временном окне и контрольном окне

фактически пропадает, здесь не важен.

только из-за темновых отсчетов в обоих детекторах.

Заметим, что из-за малости pd1,2 и η1,2 слагаемы-

Однофотонная компонента матрицы плотности по-

ми pd1,2η1,2, отвечающими за парные отсчеты, при

сле измерений, если Алиса посылала 0_L, имеет вид

ρ(1)XBE(0_L) = e-2μμg₁YE1|0_L〉_XX〈0_L| ⊗

{{[_η

]

}

^[η₂

⊗

(1 - Q_B) + pd1 |0L〉BB 〈0L| +

Q_B + pd2 |1_L〉_BB〈1_L|

⊗ |ΦL0 〉_EE 〈ΦL0 | +

]

}

^{[η₂

^[η₁

(1 - Q_B) + pd2 |1L〉BB〈1L| +

Q_B + pd1 |0_L〉_BB〈0_L|

⊗ |ΩL0 〉_EE 〈ΩL0 | +

]

}

^{[η₁

^[η₂

+pd1 |3uc〉BB〈3uc|+

+pd2 |3dc〉BB〈3dc|

⊗ |ΛL0〉_EE 〈ΛL0|

(74)

Интерпретируем данную компоненту. Рассмотрим

Ева при этом

«видит» состояние

|ΩL0〉_EE 〈ΩL0|.

вторую строку формулы (74). До измерений Боба из

Неправильное состояние |1_L〉_BB〈1_L| может дать как

линии связи поступало состояние |0_L〉_BB〈0_L|, в рас-

правильный отсчет в детекторе 1 с вероятностью

поряжении Евы было состояние |ΦL0〉_EE 〈ΦL0|. После

η¹2^QB+pd1^{из-занеидеальнойбалансировкиинтер-}

измерений этой компоненты поля у Боба с вероят-

ферометра и темновых шумов детектора 1. При иде-

альной балансировке интерферометра (Q_B = 0) слу-

ностьюη12(1-QB)+pd1^{будетзарегистрированпра-}

вильный отсчет детектором 1, т. е. будет зарегистри-

чайные, но правильные отсчеты детектора 1 могут

рован 0. Ошибочный отсчет будет зарегистрирован

быть в окне строба с вероятностью pd1 из-за темно-

вых шумов. Ева при этом все равно «видит» состо-

детектором 2 с вероятностьюη22^QB+pd2^.

яние |ΩL0〉_EE 〈ΩL0

Аналогичным образом интерпретируется третья

строка формулы (74). До измерений Боба на прием-

Четвертая строка формулы (74) относится к сле-

ную станцию поступало состояние |1_L〉_BB〈1_L| вме-

дующей ситуации. В результате унитарной атаки

сто неискаженного состояния Алисы |0L〉BB〈0L|.

(см. формулы (25)) на состояние 0_L возникает ис-

221

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

каженное состояние, которое содержит компоненту

+ pd2. В распоряжении Евы при этом будет состоя-

|3〉_B — однофотонное состояние, локализованное в

ние |ΛL0〉_EE 〈ΛL0|.

окне 3. Данное состояние после преобразований на

При обнаружении многофотонной компоненты

интерферометре (см. формулы (65)-(70)) приводит

Ева посылает к Бобу часть неискаженного многофо-

к отсчетам во временном окне 4 (см. рис. 1). От-

тонного квантового состояния. Для многофотонной

счет во временном окне 4 на детекторе 1 и детекто-

компоненты матрицы плотности, если Алисой был

ре 2 происходит с вероятностями η₁/4 + pd1 и η₂/4 +

послан 0_L, матрица плотности имеет вид

ρ(k)XBE(1_L) = e-2μ g^kYEk|0L〉XX〈0L| ⊗

{[

]

[

]

⊗ η(k)1(1 - Q(k))+pd1

|0_L〉_BB〈0_L| + η(k)2Q(k)

+pd2 |1L〉BB〈1L| +

[

]

[

]

}

(k)

+ η(k)

⊗ |0(k)L〉_EE 〈0(k)L|.

(75)

Интерпретация формулы (75) следующая. Вторая

денной выше). Для вакуумной компоненты находим

строка (75) показывает, что неискаженное много-

фотонное состояние, которое поступает на при-

ρ(1)XBE(1_L) = e-2μ|1_L〉_XX〈1_L| ⊗ (pd2|1_L〉_BB〈1_L| +

емную станцию, может дать ошибочные отсче-

+ p_d|0_L〉_BB〈0_L|+pd1|3u〉_BB〈3u|+pd2|3d〉_BB〈3d|) ⊗

ты из-за неидеальной балансировки интерферомет-

⊗ (|vac〉_EE 〈vac|) .

(76)

ра и темновых шумов. Например, с вероятностью

η(k)1(1-Q(k)B)+pd1 будет правильный отсчет в детек-

Для однофотонной компоненты состояний получаем

торе 1, где, в отличие от однофотонной компоненты,

множители включены в η(k)i, i = 1, 2. Здесь η(k)1 —

ρ(1)XBE(1_L) = e-2μμg₁YE1|1_L〉_XX〈1_L| ⊗

квантовая эффективность детектора для детекти-

{{[_η

]

рования многофотонной компоненты, которая, вооб-

⊗

(1 - Q_B) + pd2 |1L〉BB〈1L| +

ще говоря, отличается от квантовой эффективности

]

}

^[η₁

Q_B + pd1 |0_L〉_BB〈0_L|

⊗ |ΦL1 〉_EE 〈ΦL1 | +

для детектирования однофотонной компоненты η₁.

]

Явный вид η(k)1 не потребуется. Далее Q(k)B — ошиб-

^{[η₁

(1 - Q_B) + pd1 |0_L〉_BB〈0_L| +

ка детектирования многофотонной компоненты за

]

}

счет неидеальной балансировки интерферометра, ее

^[η₂

Q_B + pd2 |1_L〉_BB〈1_L|

⊗ |ΩL0 〉_EE 〈ΩL0 | +

явный вид также не потребуется.

]

}

^{[η

^[η₂

+pd1 |3uc〉BB〈3uc|+

+pd2 |3dc〉BB〈3dc|

⊗

Многофотонная неискаженная компонента не

}

имеет составляющих в контрольном временном окне

⊗ |ΛL1〉_EE 〈ΛL1|

(77)

(см. формулы (73), (78)), поскольку, в отличие от

однофотонной компоненты, Ева не производит иска-

Соответственно, для многофотонных компонент со-

жения многофотонных компонент состояния, а про-

стояний имеем

сто уменьшает число фотонов в этих компонентах за

счет отвода части фотонов к себе в квантовую па-

ρ(k)XBE(1_L) = e-2μ g^kYEk|1L〉XX〈1L| ⊗

мять после неразрушающих измерений числа фото-

{[

]

нов. Отсчеты в контрольном окне имеют место из-за

⊗ η(k)2(1 - Q(k))+pd2 |1L〉BB〈1L| +

темновых шумов и других неидеальностей аппара-

[

]

туры Боба с вероятностью η(k)1(c) + pd1 в детекторе

+ η(k)1Q(k)

+pd1 |0L〉BB〈0L| +

[

]

[

]

1, и с вероятностью η(k)2(c) + pd2 в детекторе 2. Яв-

+ η(k)(c) + pd1

|3^u〉_BB〈3^u| + η(k)

ный вид квантовых эффективностей (отметим, что

}

они могут отличаться от рассмотренных выше) не

× |3^d〉_BB〈3^d|

⊗ |1(k)L〉_EE 〈1(k)L|.

(78)

потребуется (см. ниже).

Выражения для остальных компонент матриц

Как видно из приведенного выше рассмотрения,

плотности, когда посылалось состояние 1_L, имеют

матрицы плотности после атаки Евы до и после из-

следующий вид (интерпретация аналогична приве-

мерений у Боба существенно различаются.

222

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

10.1. Частичные матрицы плотности Евы

однофотонная компонента —

после измерений на приемной стороне

(1)

(1_L) = e-2μμg₁YE1 |1_L〉_XX 〈1_L| ⊗

Используем результаты предыдущего раздела

{

⊗

[YL1(1, 1) + YL1(1, 0)]|ΦL1〉_EE 〈ΦL1| +

для вычисления матриц плотности Алиса-Ева, че-

рез которые вычисляется утечка информации к под-

+ [YL1(0, 0) + YL1(0, 1)]|ΩL1〉_EE 〈ΩL1| +

}

слушивателю. Вычисляя частичный след в (73),

+ [YL1(3, u) + YL1(3, d)]|ΛL1〉_EE 〈ΛL1|

(89)

(74), получаем

и многофотонные компоненты —

ρ(0)XE(0_L) = e-2μ|0_L〉_XX〈0_L| ⊗ {2pd1+2pd2} ⊗

⊗ |vac〉_EE 〈vac|.

(79)

ρ(k)XBE(1_L) = e-2μ g^kYEk|1L〉XX〈1L| ⊗

{

}

Соответствующая однофотонная компонента для

⊗

Y^Lk(1, 1) + Y^Lk(0, 1) + Y^Lk(3, u) + Y^Lk(3, d)

⊗

состояния 0_L имеет вид

(k)

⊗ |1(k)L〉_EE 〈1

(90)

ρ(1)XE(0_L) = e-2μμg₁YE1|0_L〉_XX〈0_L| ⊗

{[

]

10.2. Частичные матрицы плотности Боба

⊗

YL1(0, 0) + YL1(0, 1)

|ΦL0〉_EE 〈ΦL0| +

после измерений

[

]

YL1(1, 1) + YL1(1, 0)

|ΩL0〉_EE 〈ΩL0| +

[

]

}

Найдем частичные матрицы плотности Боба по-

YL1(3, u) + YL1(3, d)

|ΛL0〉_EE 〈ΛL0|

(80)

сле измерений на приемной стороне. Вычисляя ча-

стичный след по пространству состояний Евы в (73),

где для краткости введены обозначения

]

(74) для состояний 0_L, получаем

^[η₁

YL1(0, 0) =

(1 - Q_B) + pd1 ,

∑

[

]

(81)

η₂

ρ_XB(0_L) = ρ(k)XB(0_L),

(91)

Y1L(0, 1) =

Q_B + pd2 ,

k=0

]

^[η₂

где k — фотонная часть матрицы плотности, k = 0

YL1(1, 1) =

(1 - Q_B) + pd2 ,

отвечает вакуумной компоненте. Далее для вакуум-

[

]

(82)

η₁

Y1L(1, 0) =

Q_B + pd1 ,

ной компоненты получаем

]

^[η₁

^[η₂

YL1(3, u) =

+pd1 ,

YL1(3, d) =

+pd2

(83)

ρ(0)XB(0_L) = e-2μ|0_L〉_XX〈0_L| ⊗ {pd1|0_L〉_BB〈0_L| +

+ pd2|1_L〉_BB〈1_L| + pd1|3u〉_BB〈3u| +

Для многофотонных компонент частичная матрица

плотности Алиса-Ева имеет вид

+ pd2|3d〉_BB〈3d|},

(92)

соответственно, однофотонная компонента для со-

ρ(k)XE(0_L) = e-2μ g^kYEk|0L〉XX〈0L| ⊗

стояния 0_L имеет вид

{

}

⊗

Y^Lk(0, 0) + Y^Lk(1, 0) + Y^Lk(3, u) + Y^Lk(3, d)

⊗

(1)

(0_L) = e-2μμg₁YE1 |0_L〉_XX 〈0_L| ⊗

⊗ |0(k)L〉_EE 〈0(k)L|,

(84)

{

⊗

[YL1(0, 0)_E 〈ΦL0|ΦL0〉_E +

Y^Lk(0, 0) = η(k)1(1 - Q(k)B) + pd1,

+ YL1(1, 0)_E〈ΩL0|ΩL0〉_E]|0_L〉_BB〈0_L| +

(85)

Y^Lk(0, 1) = η(k)2Q(k)B + pd2,

+ [Y L1 (0, 1)_E 〈ΦL0 |ΦL0 〉_E +

Y^Lk(1, 1) = η(k)2(1 - Q(k)B) + pd2,

+ Y L1 (1, 1)_E〈ΩL0 |ΩL0 〉_E]|1_L〉_BB〈1_L| +

(86)

Y^Lk(1, 0) = η(k)1Q(k)B + pd1,

+ [Y L1 (3, u)|3^uc〉_BB〈3^uc| +

}

+ YL1(3, d)|3^dc〉_BB〈3^dc|]_E〈ΛL0|ΛL0〉_E

(93)

Y^Lk(3, u) = η(k)1(c) + pd1,

(87)

Многофотонные компоненты матрицы плотности

Y^Lk(3, d) = η(k)2(c) + pd2.

для состояния 0_L записываются как

Частичные матрицы плотности для состояния 1_L за-

писываются как

ρ(k)XB(0_L) = e-2μg_kY^Ek|0_L〉_XX〈0_L| ⊗

{

ρ(1)XE(0_L) = e-2μ|1_L〉_XX〈1_L| ⊗ {2pd1 + 2pd2}⊗

⊗

Y^Lk(0, 0)|0_L〉_BB〈0_L| + Y^Lk(0, 1)|1_L〉_BB〈1_L| +

}

⊗ |vac〉_EE 〈vac|,

(88)

+ Y^Lk(3u)|3^u〉_BB〈3^u| + Y^Lk(3d)|3^d〉_BB〈3^d|

(94)

223

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

Аналогичные выражения получаются для состоя-

зарегистрированных отсчетов на приемной стороне

ния 1_L:

на обоих детекторах есть

∑

ρ_XB(1_L) = ρ(k)XB(1_L),

(95)

Q_μ =

Tr_XB {ρ_XB(0_L) + ρ_XB(1_L)} .

(99)

k=0

где k — фотонная часть матрицы плотности, k = 0

Более детально полная доля отсчетов в базисе L

отвечает вакуумной компоненте. Далее

(99) в информационном временном окне с учетом

(91)-(98) равна

ρ(0)XB(1_L) = e-2μ|1_L〉_XX〈1_L| ⊗

Q_μ =

⊗ {pd1|0_L〉_BB〈0_L| + pd2|1_L〉_BB〈1_L| +

{

)

+ pd1|3u〉_BB〈3u| + pd2|3d〉_BB〈3d|}.

(96)

⁽η₁+η₂

=e-2μ

2(pd1+pd2)+μg₁Y^E

+pd1+pd2

Матрица плотности однофотонной компоненты для

}

∑

состояния 1_L имеет вид

μ^k

× (1 - q₁) +

g_kY^E

(100)

k=2

ρ(1)XB(1_L) = e-2μμg₁YE1|1_L〉_XX〈1_L| ⊗

∑

{

Y^Ek(i, j).

(101)

⊗

[YL1(1, 1)_E 〈ΦL1|ΦL1〉_E +

Yk⁼

i,j=0,1

+ YL1(0, 1)_E〈ΩL1|ΩL1〉_E]|1_L〉_BB〈1_L| +

Чтобы не загромождать дальнейшие выкладки, счи-

+ [Y L1 (1, 0)_E 〈ΦL1 |ΦL1 〉_E +

таем, что балансировка интерферометра на прием-

+ Y L1 (0, 0)_E〈ΩL1 |ΩL1 〉_E]|0_L〉_BB〈0_L| +

ной стороне идеальна, т. е. в формулах (68), (70)

положено Q_B

= 0. Далее, используя формулы

+ [Y L1 (3, u)|3^uc〉_BB〈3^uc| +

(91)-(98), находим долю отсчетов в контрольном

}

+ YL1(3, d)|3^dc〉_BB〈3^dc|]_E〈ΛL1|ΛL1〉_E

(97)

временном окне:

{

Наконец, для многофотонных компонент для состо-

Δ_μ = e-2μ

2(pd1 + pd2) +

яния 1_L имеем

)

⁽η₁ +η₂

ρ(k)XB(1_L) = e-2μg_kY^Ek|1_L〉_XX〈1_L| ⊗

+ μg₁Y^E

+pd1 +pd2 q₁ +

{

⊗

Y^Lk(1, 1)|1_L〉_BB〈1_L| + Y^Lk(1, 0)|0_L〉_BB〈0_L| +

}

∑

}

+ Y^Lk(3u)|3^u〉_BB〈3^u| + Y^Lk(3d)|3^d〉_BB〈3^d|

(98)

Y k(3)

(102)

k=2

Yk(3)=

(3u) + Y^Lk(3d).

(103)

11. DECOY STATE-МЕТОД ДЛЯ

ФАЗОВО-ВРЕМЕННОГО КОДИРОВАНИЯ,

Для дальнейшего найдем вероятность ошибки.

ОДИНАКОВЫЕ ДЕТЕКТОРЫ

Полная доля ошибочных отсчетов с учетом (91)-(98)

имеет вид

В этом разделе вычислим вероятности отсчетов

{

в информационных временных окнах, а также веро-

pd1 + pd2

Err_μ

=e-2μ

μg₁YE1 (1 - q₁) ×

ятность отсчетов в контрольных окнах, используя

матрицы плотности, рассмотренные в предыдущих

)

^[(η₁ + η₂

разделах. Затем получим выражения для утечки ин-

Q¹

+pd1 +pd2

(1 - Q₁) +

формации к подслушивателю и количество инфор-

)

]

мации, расходуемое на коррекцию ошибок в первич-

⁽η₁ +η₂

(1 - Q¹

)+pd1 +pd2 Q₁

ных ключах.

}

∑

μ^k

Y kQk

(104)

11.1. Оценка параметров

k=2

Число отсчетов в информационных временных

Далее введем для удобства обозначения

окнах определяется следом матрицы плотности Бо-

Q_μ = e2μQ_μ, Δ_μ = e2μΔ_μ,

ба после измерений. Полная доля как отношение по-

(105)

сланных посылок в совпадающих базисах к числу

Err_μ = e2μErr_μ.

224

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

Decoy state-метод состоит в том, что посылаются

со средним числом фотонов μ. Ошибка (102) опре-

состояния с разным средним числом фотонов. Воз-

деляет утечку информации к подслушивателю при

можны различные варианты данного метода, точ-

коррекции ошибок в сырых ключах, находим

нее, разное число состояний ловушек — когерент-

Err_μ

ных состояний с разным средним числом фотонов.

Q_err(μ) =

(109)

Будем использовать три типа состояний: состояния

Q_μ

со средним числом μ, ν и ν = 0. В асимптотиче-

Decoy state-метод позволяет получить точные зна-

ском пределе длинных последовательностей можно

чения параметров, имеем

найти вероятности отсчетов в информационных ок-

нах (100) и в контрольных временных окнах (104),



вероятность ошибки (102). Группировка посылок с

dQ_μ



dΔ_μ



= Y ₁(1 - q₁),

=Y₁q₁,

разным средним числом фотонов в состоянии поз-



dμ



dμ

μ=0

воляет оценить долю однофотонной компоненты в

⎞-1

(110)

(



)⎛



посылках со средним числом фотонов μ, а также



dΔ_μ

dQ_μ

q₁



⎝

⎠

параметры q₁ и Q₁, через которые выражается дли-



=χ=



dμ



1-q₁

μ=0

на секретного ключа. Использование посылок с тре-

μ=0

мя разными значениями среднего числа фотонов μ,

Однако такое определение требует посылки состоя-

ν < μ и ν = 0 позволяют оценить параметры ата-

ний «ловушек» с очень малым средним числом фо-

ки Евы. Имеют место следующие неравенства, ко-

тонов, в пределе стремящемся к нулю, что в ре-

торые следуют непосредственно из формул (100),

альной ситуации требует длинных последовательно-

(102), (104):

стей, поэтому практически неприменимо, и прихо-

ν²

(

)

дится использовать формулы (100)-(108).

Qν^-Qν=0-μ2

Qμ^-pd

(1 - q₁)Y₁ ≥

11.2. Условная энтропия подслушивателя

ν-

(106)

В этом разделе вычислим условные энтропии

2(Δ_ν - Δν=0)

q₁Y₁ ≤

фон Неймана, которые дают величину утечки ин-

формации к подслушивателю. Рассмотрим сначала

ситуацию, когда параметры лавинных однофотон-

где Q_ν и Qν=0 — вероятности отсчетов в информаци-

ных детекторов — квантовая эффективность и ве-

онном временном окне, когда посылались состояния

роятность темновых шумов — являются одинаковы-

«ловушки» со средним числом фотонов ν и ν = 0;

ми, η₁ = η₂ = η, pd1 = pd2 = p_d. Эта ситуация имеет

Δ_ν и Δν=0 — вероятности отсчетов в контрольном

место при полной симметрии по индексам детекто-

временном окне. Здесь введены обозначения

ров, что заметно упрощает последующие выкладки

)

⁽η₁ +η₂

при вычислении условной энтропии фон Неймана.

Y₁ = 2g₁Y^E

+pd1 +pd2

(107)

Отметим, что вероятность регистрации 0 и 1 по

всем базисам в этом случае также оказывается оди-

pd = pd1 + pd2,

наковой. Если детекторы различны, то число заре-

гистрированных 0 и 1 внутри одного базиса будет

где (107) есть наблюдаемая доля однофотонных по-

сылок, и

разным. Результат интерпретируется как 0 при от-

счете детектора 1 и как 1 при отсчете детектора 2.

В другом базисе, наоборот, значению бита 0 от-

q₁

2(Δ_ν - Δν=0)

χ=

≤

вечает отсчет детектора 2, а отсчет детектора 1 от-

1-q₁

⎛

⎞

-1

вечает значению бита 1 у Боба. Суммарное число 0

ν²

(Q_ν - p_d)

и 1 у Боба в обоих базисах будет одинаковым даже

⎜^Qν^-Qν=0^-

μ²

⎟

⎜

⎟

(108)

при разных квантовых эффективностях и вероятно-

⎝

⎠

ν²

стях темновых шумов обоих детекторов. С учетом

ν-

(79)-(90) получаем

(

)

(

)

Вероятность наблюдаемой ошибки в информаци-

H (ρ_XE|ρ_E) = H

ρ^LXE|ρ^LE

ρRXE |ρ^RE

онном временном окне определяется по посылкам,

(

)

(

)

(

)

(111)

в которых посылались информационные состояния

H ρ^L,RXE|ρ^L,R

=H ρ^L,R

-H ρ^L,R

225

ЖЭТФ, вып. 2 (8)

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

где

Вероятность (ненормированная) ошибочных отсче-

(

)

тов при идеальной балансировке интерферометра

ρ^L,RXE =

ρ^L,RXE(0_L,R) + ρ^L,RXE(1_L,R)

(112)

Q_B = 0 и параметрах Q₁ = 0 и q₁ = 0 принимает

вид

Находим для условной энтропии фон Неймана

Err_μ ≈ e-2μp_d,

(118)

H (ρ_XE ) = e-2μμY₁(1 - q₁) (1 + h(Q₁)) ,

где учтено, что μp_d ≪ 1. Для нормированной веро-

(113)

H(ρ_E ) = e-2μμY₁(1 - q₁) (h(Q₁) + h(χ)) ,

ятности ошибки с учетом (117) и (118) получаем

H (ρ_XE |ρ_E ) = e-2μμY₁(1 - q₁) (1 - h(χ)) ,

(114)

p_d

Q_err(μ) ≈

(119)

h(Q₁) = -Q₁ log₂(Q₁)-(1-Q₁) log₂(1-Q₁),

2 p_d + μη

q₁

(115)

χ=

Принимая во внимание (117)-(119), окончательно

1-q₁

для длины секретного ключа имеем

Неформально условная энтропия фон Неймана рав-

на нехватке информации Евы о передаваемом би-

ℓ

lim

те ключа в пересчете на одну зарегистрированную

n→∞ n

)

посылку на приемной стороне. Поскольку многофо-

p_d + η

⁽1

p_d

= 2e-2μμ

- leak

(120)

тонные компоненты состояний после раскрытия ба-

μη + 2p_d

2 p_d + μη

зисов дают Еве достоверную информацию о переда-

В шенноновском пределе информация leak, расходу-

ваемом бите ключа (см. формулы (75), (78)), нехват-

емая на коррекцию ошибок, равна

ка информации Евы определяется только долей од-

)

нофотонной компоненты.

⁽1

p_d

⁽1

p_d

leak

(121)

Отметим, что в формулах (113)-(115) для услов-

2 p_d + μη

ной энтропии фон Неймана опущен вклад от тем-

новых шумов, который имеет следующий порядок

При использовании реальных кодов коррекции оши-

малости по сравнению с остальными членами.

бок, например, наиболее эффективных LDPC-кодов,

расход информации в битах на коррекцию ошибок

оказывается несколько больше минимального теоре-

11.3. Длина секретного ключа, оценка

тического предела (см. ниже).

предельной длины линии связи, одинаковые

Предельная длина линии для секретного распре-

детекторы

деления ключей получается следующим образом. Во

Для длины секретного ключа в пересчете на од-

всех формулах нужно заменить параметр μ (сред-

ну позицию с учетом (111)-(115) получаем

нее число фотонов): μ → μ(L) = μ10-ξL/10, где ξ =

= 0.2 дБ/км — коэффициент потерь в одномодовом

ℓ

e-2μμY₁(1 - q₁)

волокне, L — длина линии связи. Критическая дли-

lim

(1 - h(χ))-

n→∞ n

Qμ

на линии связи L_c определяется из условия обраще-

⁽ Err_μ )

ния в нуль длины секретного ключа, с учетом (116)

- leak

(116)

находим

Q_μ

)

2e-2μμ(η + p_d)

⁽1

p_d

Оценим длину линии связи, до которой можно пе-

(122)

μ(L_c)η + p_d

2 p_d + μ(L_c)η

редавать секретные ключи. В отсутствие подслуши-

вателя ошибки в информационных и контрольных

Зависимости критической длины линии связи как

временных окнах связаны только с темновыми шу-

функции параметров η, μ и p_d приведены на рис. 6,

мами. Для оценки предельной длины линии счита-

7 (см. ниже).

ем балансировку интерферометра идеальной, тогда

Q_B = 0 (см. формулы (68), (70)). Без подслушива-

теля однофотонные посылки не блокируются, т. е.

12. DECOY STATE-МЕТОД ДЛЯ

YE1 = 1. Другие параметры атаки, которые задают-

ФАЗОВО-ВРЕМЕННОГО КОДИРОВАНИЯ,

ся Евой, равны Q₁ = 0 и q₁ = 0, соответственно в

РАЗНЫЕ ДЕТЕКТОРЫ

(115) χ = 0. Вероятность регистрации в информа-

В этом разделе вычислим длину секретного клю-

ционных временных окнах становится равной

ча для случая различных параметров лавинных де-

Q_μ ≈ 2e-2μ {p_d + ημ} .

(117)

текторов. Вклад в условную энтропию, которая есть

226

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

нехватка информации Евы о передаваемом клю-

Прямое вычисление энтропии требует знания пара-

че, дает только однофотонная компонента матриц

метра неидеальности балансировки интерферомет-

плотности. Нормированные матрицы плотности для

ра, который может быть получен из измерения ве-

однофотонной компоненты в базисе L могут быть

личины ошибки. Поэтому при вычислении энтро-

представлены в виде

пии удобно воспользоваться неравенствами, кото-

рые следуют из того факта, что максимум энтро-

ρ(1)XE (0_L) = |0_L〉_EE 〈0_L| ⊗

пии достигается на равновероятном распределении.

(

)

Получаем

⊗

κ|ΦL0〉_EE 〈ΦL0| + (1 - κ)|ΩL0〉_EE 〈ΩL0|

(123)

(

)

(

)

(1)

H ρ

,κ

≥ H ρ(1)XE,min{κ}

ρ(1)XE (1_L) = |1_L〉_EE 〈1_L| ⊗

= h(Q) + h(min{κ}),

(132)

(

)

⊗

(1 - κ)|ΦL1〉_EE 〈ΦL1| + κ|ΩL1〉_EE 〈ΩL1|

(124)

min{η1,2} + min{pd1,2}

min{κ} =

(133)

где введено обозначение

η₁ + η₂ + pd1 + pd2

Далее, с учетом сказанного имеем

YL1(0, 0) + YL1(1, 0)

κ=

(125)

(

)

(

)

YL1(0, 0)+YL1(1, 0)+YL1(1, 1)+YL1(0, 1)

(1)

H ρ

,κ

≤H

ρ(1)XE , κ =

= h(Q)+h(χ). (134)

Аналогичные выражения получаются для матриц

плотности в базисе R:

В итоге для условной энтропии фон Неймана нахо-

дим

ρ(1)XE (0_R) = |0_R〉_EE 〈0_R| ⊗

(

)

(

)

(

)

(1)

H ρ

|ρ(1)E, κ

≤ H ρ(1)XE,min{κ}

⊗

(1 - κ)|ΦR0〉_EE 〈ΦR0| + κ|ΩR0〉_EE 〈ΩR0|

(126)

(

)

(1)

-H

,κ=

= h(min{κ}) - h(χ).

(135)

ρ(1)XE (1_R) = |1_R〉_EE 〈1_R| ⊗

(

)

⊗

κ|ΦR1〉_EE 〈ΦR1| + (1 - κ)|ΩR1〉_EE 〈ΩR1|

(127)

12.2. Длина секретного ключа, оценка

предельной длины линии связи, разные

Обратим внимание, что суммарная матрица плотно-

детекторы

сти по всем базисам симметрична по 0 и 1 и не зави-

Для длины секретного ключа с учетом

сит от различных параметров детекторов, что прин-

(130)-(135) получаем

ципиально для сохранения одинаковых суммарных

вероятностей регистрации 0 и 1 в обоих базисах. Для

ℓ

e-2μμY₁(1 - q₁)

матриц плотности в базисе L находим

lim

n→∞ n

(

)

Qμ

ρ(1)XE =

ρ(1)XE (0_L) + ρ(1)XE (1_L) ,

(128)

⁽ Err_μ )

× (h(min{κ}) - h(χ)) - leak

(136)

где для вычисления q₁ и χ нужно воспользоваться

(

ρ(1)E =

κ|ΦL0〉_EE 〈ΦL0| + (1 - κ)|ΦL1〉_EE 〈ΦL1| +

формулами (100)-(108).

)

Для оценки критической длины линии, до ко-

+ (1 - κ)|ΩL0〉_EE 〈ΩL0| + κ|ΩL1〉_EE 〈ΩL1|

(129)

торой гарантируется секретное распределение клю-

чей, вместо (122) в шенноновском пределе получаем

12.1. Условная энтропия подслушивателя

2e-2μμ(η + p_d)

Воспользуемся полученными в предыдущем раз-

h(min{κ}) =

μ(L_c)η + p_d

деле матрицами плотности для вычисления услов-

)

⁽1

p_d

ной энтропии фон Неймана. По определению для

(137)

2 p_d + μ(L_c)η

условной энтропии находим

η₁ + η₂

pd1 + pd2

(

)

(

)

(

)

η=

p_d =

H ρ(1)XE|ρ(1)E,κ

=H ρ(1)XE,κ

-H ρ(1)E,κ ,

(130)

Пусть квантовая эффективность одного из детекто-

H(ρ(1)XE, κ) = h(Q) + h(κ).

(131)

ров отличается в три раза, т. е. η₁/η₂ = 1/3, при этом

227

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

κ = 1/4 и, как обычно, pd1,2 ≪ η1,2. В этом случае

ремой существования, чем конструктивной процеду-

длина секретного ключа при нулевой длине линии

рой, в том смысле, что является экcпоненциально

связи оказывается приблизительно равной (см. фор-

сложной по длине последовательности. Конструк-

мулы (136), (137)) h(1/4) ≈ 0.8 бит в пересчете на

тивные коды коррекции ошибок имеют большую из-

посылку. Если бы квантовая эффективность детек-

быточноcть и требует раскрытия большего количе-

торов была одинаковой, то длина секретного клю-

ства битов информации для исправления ошибок.

ча была бы равна ≈ 1 бит. Как видно из данного

На сегодняшний день наиболее эффективными в

примера, подсчет длины секретного ключа в усло-

этом смысле являются коды коррекции ошибок с

виях разных детекторов оказывается на 20 % мень-

низкой плотностью проверок на четность (LDPC-ко-

ше. Зависимости критической длины линии связи

ды), которые впервые были предложены Галлаге-

как функции параметров η1,2, μ и pd1,2 приведены

ром в 1962 г. [23, 24]. Данные коды, в отличие от

на рис. 7 (см. ниже).

ряда других кодов, требуют определенного объема

компьютерных вычислений, поэтому более 30 лет

после их открытия не были широко востребованы.

Прогресс в использовании LDPC-кодов возник пос-

13. КОРРЕКЦИЯ ОШИБОК В ПЕРВИЧНЫХ

КЛЮЧАХ

ле работ [28,29] (см. также [30]), где был предложен

итерационный алгоритм с так называемым мягким

После передачи серии квантовых состояний, из-

декодированием.

мерений на приемной стороне, Алиса и Боб имеют

Использование линейных кодов при передаче ин-

битовые строки длины n. Строка Алисы x ∈ X =

формации отличается от использования линейных

= {0, 1}ⁿ, строка Боба y ∈ Y = {0,1}n, строка

кодов в квантовой криптографии при коррекции

Боба содержит ошибки. Следующая стадия прото-

ошибок. При передаче информации через канал с

кола — коррекция ошибок посредством обмена ин-

шумом исходная информационная битовая строка

формацией между Алисой и Бобом через класси-

длины k = n - m дополняется контрольными сим-

ческий аутентичный канал связи. На данной ста-

волами — битовой строкой длины m. Для каждо-

дии протокола Алиса и Боб находятся в ситуации

го линейного кода существует матрица — генера-

бинарного классического канала связи с некоторой

тор кода G размером (n - m) × n, такая что кодо-

вероятностью ошибки. В асимптотическом пределе

вые слова длиной n задаются умножением исходной

длинных последовательностей вероятность ошибки

битовой информационной строки на эту матрицу:

на стороне Боба равна ε = Err_μ/Q_μ.

C = {Ga ∈ {0,1}^n-m}. Альтернативным описани-

Для исправления ошибок обычно используются

ем линейного кода является описание при помощи

линейные коды коррекции ошибок. В асимптотиче-

проверочной матрицы H размером m × n, такой что

ском пределе длинных последовательностей количе-

GH^T = 0. Из этого определения следует, что неиска-

ство информации в битах в пересчете на одну по-

женные кодовые слова — битовые строки y длиной

сылку, которое требуется для исправления ошибок

n удовлетворяют проверкам на четность:

и которое выдается через открытый канал связи и

y ∈ C ⇔ yH^T = 0.

(138)

доступно Еве, есть leak(ε). Финальная длина сек-

ретного ключа зависит от эффективности коррек-

Поскольку H — битовая матрица, данное условие

тирующего кода. Чем меньшее количество инфор-

можно трактовать как то, что m различных комби-

мации через открытый классический канал связи,

наций битов из x должны удовлетворять проверкам

тем большая длина финального секретного ключа

на четность. Величина z = yHT = 0 называется

может быть получена. Минимально необходимое ко-

синдромом, синдром на всех кодовых словах равен

личество информации в пересчете на одну позицию,

нулю, z = 0. При передаче информации на прием-

которое требуется для исправления ошибок в пре-

ной стороне декодер проверяет условие — вычисляет

деле длинных последовательностей, с вероятностью

синдром, если синдром отличен от нуля, то декодер

исправления сколь угодно близкой к единице, дается

по тому или иному алгоритму исправляет ошибки в

условной шенноновской энтропией H(X|Y ) = h(Q),

кодовом слове. Ошибки могут быть как в информа-

которая зависит от вероятности ошибки в канале

ционных, так и контрольных символах.

связи. Неформально говоря, шенноновский предел

В квантовой криптографии коррекция ошибок

дает минимальную избыточность кода, при которой

происходит несколько иначе. Формирования кодо-

можно исправить ошибки. Однако шенноновская

вых слов из исходной битовой строки Алисы не про-

процедура коррекции ошибок является, скорее, тео-

исходит. Пусть Алиса и Боб имеют битовые строки

228

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

длиной n, строка Боба с ошибками. Алиса вычис-

c_j

ляет синдром для своей случайной битовой стро-

ки длиной n посредством умножения своей битовой

c_j

строки на проверочную матрицу H, получает новую

битовую строку — синдром, и направляет его к Бобу.

q_ij

Боб аналогичным образом по своей битовой строке

вычисляет свой синдром. Далее декодер исправля-

r_ji

ет ошибки у Боба, добиваясь совпадения синдромов

r_ji

Алисы и Боба.

Ниже термины «исправление (коррекция) оши-

s_i

бок» и «декодирование» будем использовать как эк-

s_i

вивалентные.

Рис. 2. Схемы создания сообщения от проверочного бита

13.1. LDPC-коды

к символьному (а), от символьного к проверочному (б)

Проверочную матрицу можно представить в ви-

де двудольного графа (см. ниже рис. 3). Одни вер-

чить длину наименьшего цикла в соответствующем

шины отвечают значениям битов исходной битовой

графе.

последовательности (s — symbol nodes, далее сим-

вольные биты), а другие

— значениям битов син-

дрома (c — check nodes, далее проверочные симво-

13.2. Алгоритм распространения доверия —

лы). Эти группы вершин соединены между собой

вероятностей (belief-propagation)

в соответствии с положениями единиц в провероч-

ной матрице: единица на позиции {ij} — ребро меж-

Данный итерационный алгоритм был предложен

ду i-м символьным битом и j-м проверочным. Для

в работах [28, 29]. Суть данного алгоритма сводит-

LDPC-кодов проверочная матрица является сильно

ся к следующему. Вершинам графа и ребрам (сооб-

разреженной и соответствующий граф получается

щениям) присваиваются не значения 0 или 1, а ве-

далеко не полносвязным. Задача алгоритма деко-

роятности иметь соответствующие значения 0 или

дирования состоит в вычислении истинных значе-

1. Алгоритм получает на вход априорные вероятно-

ний битов (символьных и проверочных) при данном

сти, которые задаются вероятностью ошибки в ка-

входном искаженном битовом векторе y и соответ-

нале связи. На выходе алгоритм выдает вероятность

ствующем искаженном синдроме Боба z, который

ошибки в каждом бите, которая далее преобразуется

задается проверочной матрицей H. Декодирование

в само бинарное значение по порогу 0.5. Символи-

для LDPC-кодов является итерационным — мягким

чески алгоритм может быть представлен как

декодированием, и работа состоит в пересылке неко-

торых «сообщений», фактически вероятностей, по

P_prior(s_i|y_i) → P_post(s_i|H, z, y).

(139)

ребрам графа между его вершинами s и c, с обнов-

лением значений битов в символьных вершинах на

При представлении s_i = y_i ⊕ τ_i, где вероятность

каждой итерации. Алгоритм применим, пока не бу-

ошибки Pr(τ_i = 1) = ε, для канала без памяти апри-

дут удовлетворены проверочные условия или не бу-

орная вероятность i-го бита будет зависеть только

дет достигнуто максимальное число итераций, после

от вероятности ошибки ε в канале связи. Примени-

которых работа алгоритма прерывается. Если рабо-

тельно к задаче исправления ошибок в квантовой

та алгоритма прервана по числу итераций, а при

криптографии, ошибка в канале связи Алиса-Боб

этом проверочные условия еще не были выполнены,

есть ε = Err_μ/Q_μ (см. выше). Сообщения — услов-

то последнее будет означать ошибку декодирования.

ные вероятности бита — имеют значения 0 или 1.

Отметим, что сходимость данных алгоритмов и де-

Для дальнейшего удобно ввести более краткие обо-

кодирование — исправление ошибок — строго дока-

значения для вероятности ошибки, q_ij (0) = 1-q_ij (1),

заны только для деревьев, т. е. графов без циклов

поэтому ниже будем считать, что q_ij

≡ q_ij(0) и

[30]. Если граф, порожденный проверочной матри-

rij ≡ rij (0). Алгоритм состоит из последовательнос-

цей, имеет циклы, то сходимость уже не всегда име-

ти шагов [28-31] (см. также рис. 2).

ет место. По этой причине, проверочные матрицы

• На нулевом шаге, l = 0, символьные биты со-

специально подбирают таким образом, чтобы увели-

общают свою априорную оценку из уровня ошибки

229

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

(ϵ = E_μ/Q_μ) в канале связи. Пока считаем, что оцен-

несколько другая оценка вероятности, не содержа-

ка вероятности ошибки известна, тогда

щая в себе только что полученное обратное сообще-

ние r(l)ji:

∏

q(0)ij = P_i = P(s_i = 0|y_i) =

q(l)

=k_ijP_i

r(l)j′_i.

(143)

{

j^′N(i)/{j}

ϵ,

если y_i = 1,

(140)

1 - ϵ, если y_i = 1.

Здесь множитель k_ij зависит также и от j.

• Чтобы проверить, удовлетворяет ли текущий

• На данном шаге l фиксированы значения не

вектор синдрому, вычисляют решение по получен-

самих битов, кроме i-го бита, а их вероятности, т.е.

ным вероятностям: ŷ(l)i = 1 при Q(l)i ≤ 0.5, соответ-

q_i′_j. Требуется рассчитать вероятность того, что при

ственно, ŷ(l)0 = 0 при Q(l)i > 0.5.

этих условиях значение i-го бита s_i = 0. В этом слу-

чае сумма остальных s^′i равна c_j (при s_i = 0),

13.3. Алгоритм сложения-умножения

вероятностей (sum-product)

⎛

⎞

⊕

Технически удобнее работать не с самими ве-

r(l)

= P ^⎝s_i = 0|

s_i′ = c_j⎠ =

роятностями, а с логарифмическими отношениями

i′∈N (j)

⎛

⎞

вероятностей (Logarithmic Likelihood Ratio, LLR)

⊕

[28-31]. В этом случае алгоритм переформулируется

=P^⎝

=c_j⎠=

в следующем виде:

i′∈N (j)/{i^′ }

∏

(

)

⁽P(x = 0)⁾

1 - 2q(l-1)

(141)

LLR(x) = ln

(144)

i′j

P (x = 1)

i′∈N (j)/{i^′ }

Учитывая данное соотношение, можно получить все

и (при s_i = 1)

величины из предыдущего раздела на языке лога-

⎛

⎞

рифмических отношений вероятностей. Для кратко-

⊕

сти введем обозначение

r(l)

= P ^⎝s_i = 1|

s_i′ = c_j⎠ =

∏

i′∈N (j)

≡

(145)

⎛

⎞

i′∈N (j)/{i}

⊕

=P^⎝

=c_j⎠=

i′∈N (j)/{i^′ }

∏

(

)

1 - 2q(l-1)

⁽q_ij(0)⁾

i′j

q^LLRij = ln

i′∈N (j)/{i^′}

q_ij(1)

(

)

k_ij P_i

^∏r_j′_i(0)

где при вычислении за вероятности символьных би-

= ln

k_ij (1 - P_i)

^∏r_j′_i(1)

тов берутся сообщения, полученные на предыдущем

∑

шаге: P(s_i′ = 0) = q(l-1)i′_j.

=p_i +

^′i

(146)

• Получив новые сообщения от проверочных би-

j^′∈N(i)/{j}

тов, символьные узлы обновляют свои вероятности.

Для этого берется среднее геометрическое априор-

⎞

^⎛1

ной и всех пришедших от проверочных битов веро-

^∏(1 - 2q_i′_j)

⁽r_ji(0)⁾

⎜

⎟

ятностей:

r^LLRji = ln

= ln⎝2

⎠=

∏

(1)

1∏

rji

Q(l)

=k_iP_i

r(l)j′_i.

(142)

(1 - 2q_i′_j)

j^′∈ N(i)

(

)

^∏ th(q^LLRi′_j/2)

Множитель k_i нужен для сохранения нормировки:

= ln

∏

th(q^LLRi′_j/2)

Q(l)i(0) + Q(l)i(1) = 1.

(

))

• Сообщения от символьных битов к провероч-

(∏

^′j

= 2th-1

(147)

ным — текущие оценки вероятности данного сим-

вольного бита, т. е. Q(l)i. Как упоминалось ранее в

разд. 13.1, алгоритм строго доказан только для гра-

Эти формулы и дают название алгоритму. Конеч-

фов без циклов, из-за этого для сообщения берется

ный битовый вектор задается знаком LLR:

230

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

{

1 при LLR ≤ 0,

рают такую скорость кода, чтобы вероятность отка-

y_i =

за декодирования FER (Frame Error Rate) была на

0 при LLR > 0.

уровне 10-3.

Для более эффективных и быстрых вычислений

Скорость LDPC-кода при его использовании опи-

данные выражения можно упростить [31]. Для этого

санным выше способом постоянна и не зависит от

рассмотрим функцию

наблюдаемой ошибки в канале между Алисой и Бо-

бом (далее BER — Bit Error Rate). При другой веро-

)

⁽x

e^x + 1

φ(x) = - ln th

= ln

(148)

ятности ошибки в канале связи Алиса и Боб долж-

e^x - 1

ны выбрать другую скорость кода, которая дает ве-

Имеем

роятность отказа декодирования вблизи порогово-

го значения FER ≈ 10-3 и, соответственно, эффек-

eφ(x) + 1

тивность декодирования 1 - FER ≈ 1. Cуществуют

φ(φ(x)) = ln

= x ⇒ φ-1 = φ.

(149)

eφ(x) - 1

модификации процедуры исправления ошибок, ко-

торые позволяют изменять скорость кода, сохраняя

Гиперболический тангенс является четной функци-

тем самым эффективность, близкую к предельной в

ей, th(-x) = - th(x), тогда

более широком диапазоне значений BER [33-35].

∏

(∑

)

r^LLRji =

(sign(q_i′_j )) φ

φ(|q_i′_j |)

(150)

13.5. Уменьшение избыточности LDPC-кода

Многократное вычисление φ становится самой тру-

«выкалыванием» (puncturing)

доемкой операцией во всем алгоритме. Поэтому

Идея «выкалывания» битов в кодах коррекции

обычно φ заменяют различными приближениями,

ошибок возникла достаточно давно (см., напри-

например, кусочно-линейной табличной аппрокси-

мер, монографию Галлагера [32]) (см. также [36]).

мацией.

Применительно к исправлению ошибок в квантовой

криптографии идея состоит в следующем. Напри-

13.4. Модуляция скорости кода

мер, пусть выбран код со скоростью 1/2. При малых

Под скоростью кода (R) стандартно понимается

значениях BER избыточность LDPC-кода слишком

отношение числа информационных символов (k) в

велика, соответственно, скорость кода слишком низ-

кодовом слове к полной длине кодового слова (n),

ка при данной BER. Избыточность кода можно эф-

R = k/n [32], соответственно, избыточность кода

фективно понизить, заменив часть символьных би-

R_r = m/n = (n-k)/n — отношение числа контроль-

тов p (p — число заменяемых, «выколотых», би-

ных символов m = n - k к длине кодового слова

тов) на случайные биты, при этом значение LLR

n, индекс r — сокращение от redundancy. Коррек-

для этих битов равно LLR = 0. Замена части би-

тирующая способность кода зависит от его скоро-

тов на случайные приводит к тому, что длина синд-

сти. Неформально говоря, чем выше скорость кода,

рома — избыточность кода — уменьшается, соот-

тем меньше его корректирующая способность и тем

ветственно, скорость кода возрастает. Это происхо-

меньше вероятность ошибки в канале связи, до кото-

дит потому, что при сложении произвольного чис-

рой код может исправить ошибки. Применительно к

ла битов с абсолютно случайным, сумма также бу-

квантовой криптографии это означает, что потребу-

дет случайной. Действительно, пусть s₀ — значе-

ется хранить несколько матриц, отвечающих кодам

ние выколотого бита, который принимает равнове-

с разной скоростью, что крайне неудобно и затрат-

роятно значение 0 и 1, причем независимо от дру-

но. Поэтому был предложен способ модуляции ско-

гих битов sik , входящих в контрольную сумму c_i =

рости кода (см. детали в [33-35], а также ссылки

= s₀ ⊕ si1 ⊕ si2 ⊕ ... При этом вероятность значе-

там), который вкратце сводится к тому, что исполь-

ния контрольного символа c_i равна P (ci = 1) =

зуется одна матрица, отвечающая коду, например,

= P(c_i = 0) = P(s₀ = 0) = P(s₀ = 1) = 0.5.

со скоростью 1/2, но при этом меняется лишь до-

Все проверочные биты, связанные со случайны-

ля (соотношение) между информационными и кон-

ми выколотыми, тоже становятся случайными, и их

трольными символами [33-35].

можно удалить из рассмотрения (как бесполезные),

При заданной скорости кода всегда существует

что эффективно уменьшает длину синдрома и уве-

вероятность того, что ошибки не будут исправле-

личивает скорость кода.

ны — это отказ декодирования. Обычно при задан-

Применительно к коррекции ошибок в кванто-

ной вероятности ошибки в канале Алиса-Боб выби-

вой криптографии, «выкалывание» происходит кон-

231

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

катенированием — добавлением (независимо Алисой

и Бобом) строки случайных битов длиной p к сы-

c_j

рому ключу длиной n - p. При этом полная длина

битовой строки есть n.

Передача значений проверочных битов c_i, в ко-

торые входят случайные выколотые биты, не рас-

крывает никакой информации подслушивателю. В

этом случае для избыточности кода имеем

s_i

C(n, k) → C(n - p, k),

m-p

R0r - π

R0r → R_r =

Рис. 3. Пример: четырехсимвольный бит является выко-

(151)

n-p

1-π

лотым и отмечен штрихами (штриховая окружность), его

{

}

R0r =

π=

соседи N²(si) =

∪_j′∈N(si)N(c^′j)

отмечены темными

кружками

Здесь C(n, k) обозначает код с длиной обрабатывае-

мой битовой строки (кодового слова) n и скоростью

k/n, m = n - k — число проверочных символов

данной BER избыточность кода уже недостаточ-

в кодовом слове — длина синдрома, соответствен-

на для исправления данного уровня BER. Соот-

но, n - m — число информационных символов, p —

ветственно, скорость кода велика. Увеличить из-

начальное число случайных битов. Выкалывание p

быточность кода, соответственно, увеличить длину

битов отвечает уменьшению длины кодового слова.

синдрома невозможно из-за фиксированных разме-

Уменьшение длины синдрома приводит к увеличе-

ров проверочных матриц кода, поэтому применяется

нию скорости кода:

другой подход. Перед декодированием раскрывают-

ся значения определенных битов из битовой после-

R₀

R=1-R_r =

R₀ =

довательности. Данные биты для краткости называ-

n-p

1-π

ют укороченными, а сама процедура — укорачива-

Позиции выколотых битов влияют на эффектив-

нием (shortening). В этом случае избыточность кода

ность работы декодера, поэтому выбираются не

возрастает:

случайным образом, а специальным алгоритмом —

untainted puncturing [34,35]. Алгоритм работает так,

C(n, k) → C(n - s, k - s),

чтобы в проверочные соотношения входил ровно

(152)

R0r

R0r → R_r =

σ=

через один выколотый бит (множество N²(s_i) =

{

}

n-s

1-σ

, см. рис. 3). Иными словами, при

∪_j′∈N(si)N(cj)

а скорость кода уменьшается:

выборе позиций с помощью этого алгоритма ни один

проверочный бит не будет соединен более чем с од-

R₀ - σ

R=1-R_r =

ним выколотым битом.

1-σ

Выколотые биты выкидываются после декодиро-

вания, не попадая в окончательный ключ. Также,

Позиции укороченных битов могут выбираться как

что очень важно, они не передаются между Алисой

случайно, так и по определенному правилу. В интер-

и Бобом по классическому каналу связи — на по-

активных схемах коррекции ошибок для увеличения

зиции выколотых битов Алиса и Боб подставляют

эффективности декодирования удобнее раскрывать

случайные, независимые друг от друга, значения.

значения битов не в случайных, а в определенных

Хотя генерация таких битов и использует генератор

позициях (см. ниже, а также [37]).

случайных чисел, но не требует обмена по класси-

ческому каналу связи.

13.7. Адаптивное по скорости однократное

декодирование

13.6. Увеличение избыточности LDPC-кода

Каждый из описанных выше методов позволяет

«укорачиванием» (shortening)

улучшить эффективность в одну или другую сторо-

Процедура укорачивания применяется в ситуа-

ну от предельного значения BER, при котором код

ции, когда ошибка BER в канале Алиса-Боб вели-

еще исправляет ошибки с сохранением эффективно-

ка для данного кода — синдром короче, чем тре-

сти, в смысле сохранения заданного уровня успеш-

буется для коррекции ошибок. Иначе говоря, при

ного декодирования 1 - FER. В кодовом слове фик-

232

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

сированной длины n можно заранее зарезервиро-

13.9. Протокол «слепого» исправления

вать общую долю битов δ = d/n = σ + π, которые

ошибок (blind)

в дальнейшем будут использоваться при выкалыва-

Идея «слепого» декодирования состоит в следу-

нии или укорачивании. При этом соотношение меж-

ющем (см. детали в [33-35]). Зафиксируем число мо-

ду долями выколотых и укороченных битов в мно-

дифицируемых битов d и делаем их сначала выко-

жестве зарезервированных битов можно изменять в

лотыми. В случае неудачного декодирования Али-

зависимости от текущей оценки BER, сохраняя при

са дополнительно раскрывает Δ битов из выколо-

этом общее число выколотых и укороченных битов.

тых битов и декодирование повторяется. Так про-

При фиксированном d можно записать

должается до тех пор, пока не будет получена из-

быточность кода, при которой либо все ошибки ис-

C(n, k) → C(n - s, k - s), R₀ → R_min =

правлены, либо все выколотые биты будут раскры-

R₀ - δ

k-p

R₀

ты. Чем меньше берется шаг по Δ, тем лучше эф-

≤R=

≤

=R_max.

(153)

1-δ

n-p-s

1-δ

фективность, но требуется большее число итераций.

При фиксированной скорости кода время обработ-

Заметим, что при увеличении δ, с одной стороны,

ки, количество итераций и шаг связаны однозначно

расширяется диапазон ошибок BER, которые код

и подбираются исходя из дополнительных требова-

способен исправить с высокой эффективностью —

ний к системе. Такой алгоритм не требует априор-

малой вероятностью отказа декодирования FER. С

ного точного знания вероятности ошибки (BER), по-

другой стороны, минимально достижимая эффек-

этому его называют «слепым».

тивность становится больше, чем при использова-

Несмотря на сравнительную простоту метода,

нии немодифицированного кода. Это связано с тем,

анализ эффективности требует отдельного рассмот-

что значение δ фиксировано, и даже при пороговом

рения. Если успешное декодирование произошло че-

значении BER, при котором немодифицированный

рез i итераций, то окончательная скорость кода для

код работает оптимальнее всего, требуется модифи-

данного блока будет равна

цировать все те же d символов. Эта проблема при-

k - p₀ + iΔ

R_i =

(154)

суща всем алгоритмам, предложенным в [33].

n-p

На рис. 4 приведены вероятности отказа декоди-

где p₀ — начальное число выколотых битов.

рования FER в зависимости от вероятности ошибки

В принципе, зная зависимость FER(BER) как

BER при разных долях δ выколотых и укороченных

функцию вероятности ошибки BER в канале свя-

битов.

зи для данной проверочной матрицы, можно рас-

считать вероятность того, что декодирование на i-м

шаге будет успешным с вероятностью 1-FER, а от-

13.8. Интерактивное декодирование

сюда получить и зависимость средней скорости ко-

да от BER. Однако на практике это проще сделать

Описанные в предыдущем разделе методы пред-

с использованием компьютерной симуляции, резуль-

полагали только один акт обмена информацией

таты которой представлены в следующем разделе.

между Алисой и Бобом. А именно, Алиса посыла-

ла Бобу только синдром своей битовой последова-

13.10. Интерактивный «слепой» протокол

тельности, после этого Боб проводил декодирова-

коррекции ошибок

ние — исправление ошибок в своей последователь-

ности. При этом в случае неудачного декодирования

Данный протокол является дальнейшим разви-

выбрасывалась вся посылка. Интерактивное деко-

тием «слепого» алгоритма [33-35]. Здесь общее чис-

дирование подразумевает неоднократный обмен ин-

ло вспомогательных битов заранее не фиксировано,

формацией между Алисой и Бобом. Например, если

как раньше, а меняется как при инициализации, так

произошел отказ декодирования (декодер не может

и во время работы алгоритма. Более точно, изна-

исправить ошибки при данной длине синдрома), то

чально фиксируется только число выколотых битов.

Алиса может сообщить дополнительную информа-

Если в слепом протоколе заканчивались выколотые

цию Бобу для следующей попытки декодирования с

биты, а успешного декодирования так и не произо-

кодом с большей избыточностью.

шло, то вычисления заканчивались и данный блок

Собственно, в этом и состоит идея интерактив-

выбрасывался. В данном модифицированном про-

ного декодирования.

токоле, если все выколотые биты уже исчерпаны,

233

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

FER

10⁰

10^-1

10^-2

10^-3

= 10 %,

= 0 %

= 8 %,

= 2 %

10^-4

= 6 %,

= 4 %

= 4 %,

= 6 %

= 2 %,

= 8 %

= 0 %,

= 10 %

10^-5

0.04

0.05

0.06

0.07

0.08

0.09

0.10

0.11

0.12

BER

Рис. 4. (В цвете онлайн) Вероятности отказа декодирования FER как функции ошибки в канале между Алисой и Бобом

BER при разных долях выколотых и укороченных битов для кода со скоростью R = 1/2. Черными крестиками обозначен

рабочий уровень вероятности отказа FER = 10-3

то Боб начинает раскрывать информационные би-

на путем выбора числа укороченных битов s, равно-

ты с наименьшим LLR, т.е. биты с наиболее неопре-

го

деленным значением — наиболее трудно декодируе-

s = ⌈n -

⌉.

h(ϵ_est)

мые биты. Так происходит до тех пор, пока либо все

ошибки не будут исправлены, либо все биты в кодо-

С одной стороны, это незначительно ухудшает сред-

вом слове не будут раскрыты. Таким образом, каж-

нюю эффективность алгоритма, но с другой умень-

дая строка гарантированно будет декодирована —

шает число итераций, необходимых для декодиро-

ошибки исправлены, пусть даже ценой раскрытия

вания. Это особенно важно при больших уровнях

всех битов в строке. Естественно, что в этом случае

BER.

секретный ключ уже невозможно будет получить.

• В «слепом» алгоритме раскрывались только

выколотые биты, причем позиции среди выколо-

• Если в слепом протоколе все вспомогательные

тых битов выбирались случайным образом. В ин-

биты изначально брались выколотыми, то началь-

терактивном «слепом» алгоритме после каждой ите-

ное количество и тип вспомогательных битов зави-

рации “sum-product” алгоритма декодирования (см.

сят от оценки вероятности ошибки BER = ϵ_est. Если

разд. 13.3) раскрываются Δ битов, у которых абсо-

избыточность исходного кода в шенноновском пре-

лютное значение LLR оказалось наименьшим. Это

деле f0 = m/nh(ϵ) > 1, то избыточность можно

могут быть как выколотые биты, так и информаци-

уменьшить, выбрав число выколотых битов p рав-

онные биты. Именно в этих позициях значения би-

ным

тов являются наиболее не неопределенными — наи-

m - nh(ϵ_est)

p=⌊

⌋.

более сложно декодируемыми “sum-product” алго-

1 - h(ϵ_est)

ритмом. Скорее всего, при раскрытии именно дан-

Если избыточность кода в шенноновском пределе

ных позиций декодер получает наибольшую вспо-

f₀ = m/nh(ϵ) < 1 и недостаточна для исправления

могательную информацию, что ускоряет декодиро-

ошибок, то избыточность кода может быть увеличе-

вание. Однако это является лишь эвристическим со-

234

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

0.9

0.8

0.7

f = 1.33

0.6

0.5

R = 1/2

f = 1.09

0.4

0.3

R = 2/3

f = 1.13

0.2

Граница Шеннона

Интерактивный, R = 1/2

0.1

Интерактивный, R = 2/3

Адаптивный по скорости, R = 1/2

Адаптивный по скорости, R = 2/3

0.02

0.04

0.06

0.08

0.10

0.12

0.14

0.16

0.18

0.20

BER

Рис. 5. (В цвете онлайн) Графики зависимости доли раскрытых битов от вероятности ошибки BER в канале связи. Пред-

ставлены все протоколы очистки, описанные в тексте. Приведена также доля раскрытых битов в шенноновском пределе.

Сплошной прямой линией показана эффективность простого LDPC-декодирования. Показаны эффективности декодиро-

вания для адаптивного по скорости протокола при уровне ошибки 10-3 для двух разных скоростей кодов. Эффективности

декодирования f по отношению к шенноновскому пределу показаны стрелками

ображением, какие-либо доказательства этого фак-

1÷2·10³ бит, поэтому для коррекции ошибок доста-

та в литературе отсутствуют. Таким образом, боль-

точно проверочной матрицы размером 1944 × 972.

ше нет ограничения на максимальное число битов,

которое можно раскрыть, и в предельном случае ал-

14. ПРЕДЕЛЬНАЯ ДЛИНА ЛИНИИ ДЛЯ

горитм завершит работу, когда раскроет все биты.

СЕКРЕТНОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ

В завершение приведем график эффективности

14.1. Одинаковые детекторы

работы различных протоколов (рис. 5), описанных в

Приведем зависимости длины секретного ключа

данной работе при коррекции ошибок в первичных

при разных параметрах системы как функции дли-

ключах. Из рис. 5 видно, что зависимость от ско-

ны линии связи. На рис. 6 представлены зависимо-

рости кода R (от размера проверочной матрицы) в

сти длины секретного ключа от длины линии свя-

многопроходном случае проявляется слабее, и при

зи при коррекции ошибок случайными шеннонов-

различных скоростях кода коррекция ошибок про-

скими кодами и LDPC-кодами. Параметры системы

исходит практически с одинаковой и высокой эф-

указаны на рис. 6 для случая одинаковых детекто-

фективностью по отношению к шенноновскому пре-

ров. Длина секретного ключа вычислялась по фор-

делу. Разница же при использовании кодов различ-

муле (120). Как видно из рис. 5, LDPC-коды близки

ных скоростей заключается в числе итераций, кото-

к шенноновскому пределу до вероятности наблюда-

рое требуется для декодирования. В качестве прове-

емой ошибки в 14 % — горизонтальная штриховая

рочных матриц кода использовались матрицы стан-

линия на рис. 6. При данной ошибке длина секрет-

дарта IEEE [36]. Размеры проверочных матриц вы-

ного ключа обращается в нуль. Как видно из рис. 6,

бирались из следующих соображений. При переда-

предельная длина линии, при которой гарантиру-

че информационных состояний пакетами длиной 10⁸

ется секретное распределение ключей по Decoy sta-

бит за серию, при длине линии в 100 км, после со-

te-методу, не превышает 165-175 км.

гласования базисов остается длина сырого ключа

235

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

1.0

0.8

0.6

0.4

0.2

100

150

100

150

L, км

Рис. 6. Зависимости длины для секретного ключа в пересчете на одну посылку от длины линии связи. Кривые 1 от-

вечают коррекции ошибок случайными шенноновскими кодами. Кривые 2 отвечают коррекции ошибок LDPC-кодами.

Кривые 3 — зависимости наблюдаемой ошибки на приемной стороне от длины линии связи. Кривые 4 — число рас-

крытых битов в пересчете на посылку при коррекции ошибок шенноновскими случайными кодами. Кривые 5 — число

раскрытых битов в пересчете на посылку при коррекции ошибок LDPC-кодами. Среднее число фотонов в информацион-

ном состоянии μ = 0.25 (а), 0.15 (б). Остальные параметры: η = 0.1 — квантовая эффективность лавинных детекторов,

p_d = 3 · 10-6 отсчет./окно — вероятность темновых шумов на строб. Потери в линии связи 0.2 дБ/км

1.0

0.8

0.6

0.4

0.2

100

150

100

150

L, км

Рис. 7. Зависимости длины для секретного ключа в пересчете на одну посылку от длины линии связи. Квантовая эф-

фективность лавинных детекторов η1 = 0.01 (а) и η2 = 0.1 (б). Остальные параметры такие же, как для рис. 6

236

ЖЭТФ, том 156, вып. 2 (8), 2019

Состояния «ловушки», коды коррекции ошибок. ..

14.2. Разные детекторы

тографии Российской Федерации за обсуждения.

Авторы благодарят И. М. Арбекова, К. А. Балыги-

В предыдущем разделе были приведены зави-

на, А. Н. Климова, К. С. Кравцова, С. П. Кулика за

симости длины секретного ключа от длины линии

многочисленные и интенсивные обсуждения, а так-

в случае одинаковых параметров лавинных одно-

же И. М. Арбекова и С. П. Кулика за прочтение

фотонных детекторов. В реальной ситуации пара-

рукописи и ряд замечаний, способствующих улуч-

метры лавинных детекторов всегда различаются.

шению текста.

На рис. 7 приведены зависимости длины секретного

Финансирование. Работа поддержана проек-

ключа от длины линии связи. Оценочная длина сек-

том Российского научного фонда 16-12-00015 (Про-

ретного ключа в этом случае оказывается меньше,

должение).

чем в случае одинаковых параметров детекторов.

Данный факт можно увидеть из формулы (136). Од-

нофотонная компонента состояний в случае разных

ЛИТЕРАТУРА

детекторов содержит множитель h(min{κ}) (форму-

лы (133), (136)). Функция h(x) является растущей

C. H. Bennett and G. Brassard, in Proc. IEEE

функцией в интервале (0, 1/2). При одинаковых де-

Int. Conf. on Comp., Sys. and Signal Process.,

текторах min{κ} = 1/2, соответственно, h(1/2) = 1.

pp. 175-179, Bangalore, India (1984).

В этом случае максимальна у(ловная энт)опия фон

M. Tomamichel, Ch. Ci Wen Lim, N. Gisin, and

Неймана в формуле (135) H

ρ(1)XE |ρ(1)E, κ , которая

R. Renner, Nature Commun. 3, 1 (2012).

имеет смысл нехватки информации подслушивате-

A. N. Klimov, K. A. Balygin, and S. N. Molotkov,

ля о ключе Алисы, при условии, что подслушива-

Laser Phys. Lett. 15, 075207 (2018).

тель имеет в своем распоряжении квантовую систе-

му, коррелированную с ключом. По этой причине

K. A. Balygin, A. N. Klimov, I. B. Bobrov,

оценка длины секретного ключа также максималь-

K. S. Kravtsov, S. P. Kulik, and S. N. Molotkov, Laser

на. Например, при равной вероятности темновых

Phys. Lett. 15, 095203 (2018).

шумов длина секретного ключа обращается в нуль

L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,

практически при длине линии связи в несколько ки-

J. Skaar, and V. Makarov, Nature Photon. 4, 686

лометров, при отношении квантовых эффективно-

(2010).

стей детекторов, равной η₁/η₂ = 1 %. Гораздо бо-

лее критической является сама величина секретного

G. Brassard, N. Lütkenhaus, T. Mor, and B. C. San-

ключа.

ders, Phys. Rev. Lett. 85, 1330 (2000).

На рис. 6, 7 видно, что максимум нижней оцен-

Won-Young Hwang, arXiv[quant-ph]:0211153.

ки длины секретного ключа достигается при одина-

ковой квантовой эффективности лавинных детекто-

Xiang-Bin Wang, Phys. Rev. Lett. 94, 230503 (2005).

ров.

Hoi-Kwong Lo, Xiongfeng Ma, and Kai Chen, Phys.

Rev. Lett. 94, 230504 (2005).

15. ЗАКЛЮЧЕНИЕ

10.

Xiongfeng Ma, Bing Qi, Yi Zhao, and Hoi-Kwong Lo,

arXiv[quant-ph]:0503005.

Выше была исследована криптостойкость кван-

тового распределения ключей с фазово-временным

11.

Yi Zhao, Bing Qi, Xiongfeng Ma, Hoi-Kwong Lo, and

кодированием в асимптотическом пределе длинных

Li Qian, arXiv[quant-ph]:0503192.

последовательностей. Учет конечной длины пере-

12.

D. Rosenberg, J. W. Harrington, P. R. Rice, P. A. His-

даваемых последовательностей требует отдельного

kett, C. G. Peterson, R. J. Hughes, A. E. Lita, Sae

рассмотрения. Вычисление длины секретного ключа

Woo Nam, and J. E. Nordholt, Phys. Rev. Lett. 98,

для однофотонной компоненты в случае конечной

010503 (2007).

длины последовательности приведено в работе [38],

13.

B. Fröhlich, J. F. Dynes, M. Lucamarini, A. W. Shar-

аналогичным образом могут быть учтены флукту-

pe, Zh. Yuan, and A. J. Shields, Nature 501, 69

ации параметров для многофотонных компонент

(2013).

информационных состояний.

14.

M. Lucamarini, K. A. Patel, J. F. Dynes, B. Fröhlich,

Благодарности. Один из авторов (С. Н. М.) вы-

A. W. Sharpe, A. R. Dixon, Z. L. Yuan, R. V. Penty,

ражает благодарность коллегам из Академии крип-

and A. J. Shields, Opt. Express 21, 24550 (2013).

237

И. В. Синильщиков, С. Н. Молотков

ЖЭТФ, том 156, вып. 2 (8), 2019

15.

Sellami Ali, Shuhairi Saharudin, and MR. B. Wahid-

29.

D. J. MacKay, IEEE Trans. Inf. Theory 45, 399

din, Amer. J. Engin. Appl. Sci. 2, 694 (2009).

(1999).

16.

Ch. Ci Wen Lim, M. Curty, N. Walenta, Feihu Xu,

30.

D. J. MacKay, Information Theory, Inference, and

and H. Zbinden, Phys. Rev. A 89, 022307 (2014);

Learning Algorithms, Cambridge Univ. Press, Cam-

arXiv[quant-ph]:1311.7129.

bridge (2003).

17.

Feihu Xu, Shihan Sajeed, Sarah Kaiser, Zhiyuan

31.

Sarah J. Johnson, Introducing Low-Density Pari-

Tang, V. Makarov, and Hoi-Kwong Lo, Phys. Rev.

ty-Check Codes, School of Electrical Engineering and

A 92, 032305 (2014).

Computer Science, Univ. of Newcastle, Australia

18.

Zhen Zhang, Qi Zhao, Mohsen Razavi, and Xiongfeng

(2006).

Ma, Phys. Rev. A 95, 012333 (2017).

32.

R. G. Gallager, Information Theory and Reliable

19.

D. Gottesman, H.-K. Lo, N. Lütkenhaus, and J. Pres-

Communication, J. Wiley & Sons, New York, London,

kill, Quant. Inf. Comp. 4, 325 (2004).

Sydney, Toronto (1968).

20.

С. Н. Молотков, ЖЭТФ 133, 5 (2008) [S. N. Mo-

33.

J. Martinez Mateo, Ph. D. Thesis, Univ. Politécnica

lotkov, JETP 106, 1 (2008)].

de Madrid, Facultad de Informática, Madrid (2011).

21.

S. N. Molotkov, JETP Lett. 102, 473 (2015).

34.

D. Elkouss Coronas, PhD Dissertation, Univ. Poli-

22.

С. Н. Молотков, К. С. Кравцов, М. И. Рыжкин,

técnica de Madrid, Facultad de Informática, Madrid

ЖЭТФ 155, 636 (2019).

(2011).

23.

R. Gallager, IRE Trans. Inf. Theory 8, 21 (1962).

35.

D. Elkouss, J. Martinez-Mateo, and V. Martin, arXiv:

1103.6149 [cs.IT].

24.

R. G. Gallager, Low-Density Parity-Check Codes,

MIT Press, Cambridge (1963).

36.

IEEE Standard for Information technology — Tele-

25.

R. Renner, PhD thesis, ETH Zürich, arXiv/

communications and information exchange between

quant-ph:0512258 (2005).

systems — Local and metropolitan area networks —

Specific requirements, Part

11: Wireless LAN

26.

M. A. Nielsen and I. L. Chuang, Quantum Compu-

Medium Access Control (MAC) and Physical Layer

tation and Quantum Information, Cambridge Univ.

(PHY) Specifications, IEEE Std.802.11nTM (2009).

Press, Cambridge (2010).

37.

E. O. Kiktenko, A. S. Trushechkin, C. W. Lim,

27.

T. J. Richardson and R. L. Urbanke, IEEE Trans.

Y. V. Kurochkin, and A. K. Fedorov, Phys. Rev.

Inf. Theory 47, 599 (2001).

Appl. 8, 044017 (2017).

28.

D. J. MacKay and R. Neal, Electron. Lett. 32, 1645

(1996).

38.

S. N. Molotkov, Laser Phys. Lett. 16, 035203 (2019).

238