ЖЭТФ, 2020, том 157, вып. 2, стр. 195-205
© 2020
О ПРОСТОМ СПОСОБЕ ЗАЩИТЫ ОТ АТАКИ
“DETECTORS MISMATCH” В КВАНТОВОЙ КРИПТОГРАФИИ:
ПРОТОКОЛ BB84
К. А. Балыгинa,e, И. Б. Бобровa,e, А. Н. Климовa,e,
С. Н. Молотковb,c,d,e*, М. И. Рыжкинb
a Физический факультет, Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
b Институт физики твердого тела Российской академии наук
142432, Черноголовка, Московская обл., Россия
c Академия криптографии Российской Федерации
121552, Москва, Россия
d Факультет вычислительной математики и кибернетики,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
e Центр квантовых технологий,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Поступила в редакцию 1 июля 2019 г.,
после переработки 26 августа 2019 г.
Принята к публикации 28 августа 2019 г.
Системы квантовой криптографии являются открытыми системами, поэтому возможно активное зонди-
рование, а также навязывание нештатной работы элементов приемной и передающей аппаратуры, кото-
рое, как было продемонстрировано экспериментально, может приводить к компрометации секретности
системы. Разработка систем, которые гарантируют обнаружение таких атак и секретность передаваемых
ключей не на уровне отдельных технических решений, а на уровне физических принципов, является ак-
туальной задачей. В работе предложен простой, физически интуитивно понятный принцип защиты от
атаки активного зондирования — Detectors Mismatch, который требует лишь минимальных изменений в
имеющихся системах, использующих протокол квантового распределения BB84.
DOI: 10.31857/S0044451020020017
чайных последовательностей на передающей и при-
емной сторонах посредством передачи между ними
серии квантовых состояний через открытый и до-
1. ВВЕДЕНИЕ
ступный для вторжения квантовый канал связи (оп-
Квантовая криптография [1], синоним квантово-
тическое волокно или атмосферный канал).
го распределения ключей, решает центральную про-
Квантовая криптография обеспечивает без-
блему симметричной криптографии, а именно, про-
условную секретность ключей. Под этим понимает-
блему распределения криптографических ключей,
ся тот факт, что секретность ключей гарантируется
представляющих собой случайную идентичную по-
фундаментальными запретами квантовой механи-
следовательность нулей и единиц на передающей и
ки на различимость квантовых состояний, а не
принимающей сторонах, неизвестную третьей сто-
техническими или вычислительными ограничени-
роне. Распределение ключей происходит путем со-
иями подслушивателя. Таким фундаментальным
гласования — синхронизации двух независимых слу-
запретом является теорема no cloning [2], которая
* E-mail: sergei.molotkov@gmail.com
есть следствие соотношений неопределенностей
195
К. А. Балыгин, И. Б. Бобров, А. Н. Климов и др.
ЖЭТФ, том 157, вып. 2, 2020
Гайзенберга - Робертсона [3, 4] для двух некомму-
нал связи — процедура усиления секретности [9, 10]
тирующих наблюдаемых — эрмитовых операторов.
с использованием универсальных хеш-функций вто-
Некоммутирующие эрмитовы операторы не могут
рого порядка. В результате возникает общий секрет-
иметь общей системы собственных векторов. Это
ный ключ, о котором подслушиватель не имеет ни-
означает, что не существует общего измерения, ко-
какой информации.
торое могло бы без ошибки различать собственные
Действительно, квантовая криптография гаран-
состояния одного и другого эрмитовых операторов.
тирует безусловную секретность ключей [11, 12], ес-
Набор собственных векторов каждого эрмитова
ли учитывать только атаки на передаваемые кван-
оператора образует полный ортонормированный
товые состояния, когда подслушиватель не имеет
базис.
ни прямого, ни косвенного доступа к передающей
Применительно к квантовой криптографии это
(Алиса) и принимающей (Боб) станциям. В реаль-
означает следующее. Если в качестве информаци-
ности системы квантовой криптографии являются
онных состояний выбираются состояния внутри од-
открытыми системами, в том смысле, что подслу-
ного или другого базиса случайно в соответствии
шиватель (Ева) может иметь косвенный доступ к
со случайной последовательностью на передающей
приемо-передающей аппаратуре, используя зонди-
стороне, то у подслушивателя принципиально не
рующее излучение. Обычно такие атаки называются
существует измерений, которые позволяли бы без
Trojan-horse attacks [13-19].
ошибок различать один или другой набор состоя-
Все атаки на системы квантовой криптографии
ний. Как следствие, любые попытки измерений пе-
можно разделить на три класса.
редаваемых квантовых состояний приведут к ошиб-
1. Атаки непосредственно на информационные
кам на приемной стороне.
квантовые состояния в квантовом канале связи.
Выбор базиса измерений на приемной стороне
2. Пассивные атаки, использующие детектирова-
проводится в соответствии со случайной последова-
ние побочного электромагнитного излучения от ап-
тельностью, независимой от последовательности на
паратуры приемной и передающей станций.
передающей стороне. Посылки, в которых базисы не
3. Активные атаки, использующие зондирование
совпадали, впоследствии легитимными пользовате-
внешним излучением состояния элементов аппара-
лями отбрасываются посредством обмена информа-
туры — фазовых модуляторов, лавинных детекто-
цией через открытый классический аутентичный ка-
ров, а также атаки с модификацией работы элемен-
нал связи. Поскольку внутри базиса состояния ор-
тов системы, например, атака с ослеплением лавин-
тогональны, в посылках, где базисы приготовления
ных детекторов [13-16] и атака Detectors Mismatch
и измерения состояний совпадали, можно однознач-
[18, 19].
но идентифицировать передаваемые состояния, ес-
Первый класс атак подразумевает, что подслу-
ли не было вторжений в квантовый канал связи.
шиватель не имеет ни прямого, ни косвенного досту-
Вторжение в квантовый канал связи из-за фунда-
па к приемо-передающей аппаратуре. Секретность
ментальных ограничений квантовой механики неиз-
ключей при таких атаках гарантируется фундамен-
бежно приводит к ошибкам на приемной стороне.
тальными ограничениями квантовой теории на раз-
Оценка вероятности ошибки происходит через от-
личимость квантовых состояний.
крытый классический канал связи. Квантовая тео-
рия информации позволяет получить через энтро-
Второй класс атак связан с пассивным детек-
пийные соотношения неопределенностей [5-8] фун-
тированием побочных сигналов от работы элемен-
даментальную верхнюю границу утечки информа-
тов приемной и передающей аппаратуры — излуче-
ции к подслушивателю при данной наблюдаемой ве-
ния от фазовых модуляторов, генераторов случай-
роятности ошибки.
ных чисел, стробирования лавинных детекторов, об-
После коррекции ошибок через открытый клас-
ратного переизлучения лавинных детекторов при их
сический канал связи возникает одинаковая битовая
срабатывании.
строка на передающей и принимающей сторонах —
Третий класс атак использует активное зондиро-
просеянный ключ, о котором подслушиватель имеет
вание через волоконную линию связи состояния ак-
частичную информацию, которую он получил при
тивных элементов системы, например, фазовых мо-
вторжении в квантовый канал связи и исправлении
дуляторов, которые несут информацию о передава-
ошибок. «Изъятие» частичной информации подслу-
емом ключе. Возможны атаки, при которых изменя-
шивателя о просеянном ключе происходит сжатием
ется штатная работа элементов системы, например,
(хешированием) битовой строки через открытый ка-
лавинных детекторов [13-16].
196
ЖЭТФ, том 157, вып. 2, 2020
О простом способе защиты от атаки.. .
Без устойчивости системы к таким атакам невоз-
ситуация защиты, которая основана на очень про-
можно всерьез говорить о секретности распределя-
стой и физически интуитивно понятной идее. При-
емых ключей. Требуется исследование секретности
чем реализация защиты не требует сколь-нибудь су-
ключей с учетом подобных атак.
щественных изменений в конструкции системы.
Принципиально важно обеспечить защиту сис-
Ранее было показано, что для систем с фазо-
тем квантовой криптографии от атак второго и
вым кодированием атаки с ослеплением оказывают-
третьего типа не техническими средствами, добав-
ся неэффективными и приводят к детектированию
лением дополнительных сторожевых детекторов и
атаки [20, 21]. Причем детектирование такой атаки
других технических контрольных элементов, а на
также отвечает разрушению распределенной интер-
уровне фундаментальных физических принципов. В
ференционной картины на приемной стороне. Дру-
противном случае квантовая криптография из раз-
гих модификаций атаки с ослеплением детекторов с
ряда систем, обеспечивающих безусловную секрет-
тех пор еще не было предложено.
ность ключей, гарантируемую фундаментальными
законами физики, будет переведена в разряд систем,
Ниже пойдет речь о так называемой ата-
которые обеспечивают секретность лишь техниче-
ке Detectors Mismatch [18, 19]. При такой атаке
скими средствами. Поэтому важно найти такие спо-
подслушиватель навязывает отсчеты лавинным фо-
собы приготовления и регистрации квантовых со-
тодетекторам и в результате может знать весь ключ,
стояний, которые гарантировали бы на физическом
не производя ошибок на приемной стороне. Система
уровне детектирование изменения работы элемен-
без защиты от такой атаки не может обеспечить
тов системы. При этом желательно не вносить суще-
секретность ключей. Более точно, если такая атака
ственных изменений в конструкцию системы. Ниже
не детектируется легитимными пользователями,
будем рассматривать системы с фазовым кодирова-
то система не обеспечивает секретность ключей.
нием. В этих системах приготовление информаци-
Если атака детектируется, т. е. система устроена
онных квантовых состояний в разных базисах про-
таким образом, что атака неизбежно приводит к
исходит при помощи интерферометра Маха - Цанде-
наблюдаемым ошибкам на приемной стороне, то
ра, который приводит к «размазыванию» во време-
обнаружение атаки позволяет защититься от нее.
ни исходного лазерного импульса — сильно ослаб-
Иначе говоря, обнаружение атаки автоматически
ленного когерентного состояния. На приемной сто-
ведет к защите от нее, в том смысле, как было
роне измерение также реализуется при помощи ин-
сказано выше.
терферометрических преобразований на интерферо-
метре Маха - Цандера. Фактически интерферометр
Ниже предлагается простой способ защиты от
обеспечивает конструктивную на одном выходе и
этой атаки применительно к протоколу квантового
деструктивную интерференцию на другом выходе
распределения ключей BB84 [1], который является
входных квантовых состояний. Конструктивная и
широко используемым базовым протоколом. Пред-
деструктивная интерференция обеспечивается вы-
лагаемый в работе простой и эффективный способ
бором фазового сдвига между состояниями в разных
защиты от данной атаки основан не на техничес-
временных окнах.
ких «заплатках», а на физических принципах реа-
Ниже будет показано, что введение дополнитель-
лизации самого протокола квантового распределе-
ного случайного выбора фазы внутри каждого ба-
ния ключей — способа приготовления и измерения
зиса гарантирует детектирование атаки Detectors
квантовых состояний.
Mismatch. При этом детектирование такой атаки
фактически гарантируется нарушением интерфе-
Нужно отметить, как будет видно ниже, сама по
ренционной картины подслушивателем, поскольку
себе атака Detectors Mismatch является нетривиаль-
Еве неизвестен случайный выбор фаз на прием-
ной, поскольку Ева получает информацию о ключе
ной станции, который отвечает максимуму интер-
и при этом скрывает от измерений на приемной сто-
ференционной картины. С физической точки зре-
роне разрушение исходной интерференционной кар-
ния картина разрушения интерференции и неиз-
тины. Цель данной работы — предложить простой
бежное возникновение ошибок при детектировании,
способ модификации измерений квантовых состоя-
полностью аналогична разрушению интерференции
ний, при котором гарантированно такая атака будет
на двух щелях, если положение щелей выбирается
детектироваться. На наш взгляд, подробный разбор
случайно из двух вариантов, неизвестных подслу-
ситуации pro et contra является с физической точки
шивателю. Ниже будет подробно разобрана данная
зрения вполне интересным.
197
К. А. Балыгин, И. Б. Бобров, А. Н. Климов и др.
ЖЭТФ, том 157, вып. 2, 2020
2. АТАКА DETECTORS MISMATCH
и равновероятно также в соответствии со случайной
последовательностью, выбирается одно из двух зна-
Атака Detectors Mismatch применима к системам
чений фазы. Значение фазы однозначно сопоставля-
квантовой криптографии, как с фазовым, так и с по-
ется с квантовым состоянием, приготавливаемым на
ляризационным кодированием, использующим два
передающей стороне. В системах квантовой крип-
однофотонных детектора. Кривые чувствительно-
тографии с фазовым кодированием каждое кванто-
сти двух разных детекторов могут быть различны-
вое состояние представляет собой пару квазиодно-
ми. Это значит, что могут быть временные интерва-
фотонных когерентных состояний (рис. 1, 2), лока-
лы, в которых один детектор имеет эффективность
лизованных во временных окнах 1 и 2,
регистрации фотонов, отличную от нуля, а чувстви-
|α〉1 ⊗ |eiϕA α〉2,
(1)
тельность другого детектора равна нулю (рис. 1),
и наоборот. В таком случае злоумышленник может
где α — амплитуда квазиоднофотонного когерент-
послать на приемную сторону импульс, который по-
ного состояния, индексы 1 и 2 обозначают времен-
падал бы в тот временной интервал, в котором чув-
ные окна (рис. 1), выбор базиса и состояний внутри
ствительность одного детектора равна нулю, а дру-
каждого базиса фиксируется выбором относитель-
гого не равна.
ной фазы между квазиоднофотонными состояниями
Таким образом, злоумышленник может навязы-
внутри пары (рис. 1, 2), относительная фаза коге-
вать срабатывания нужного ему детектора. При
рентных состояний, локализованных во временных
штатной работе системы положение по времени и
окнах 1 и 2 в базисах + и ×, имеет вид
длительность квантовых состояний выбирается так,
⎧
π
{
чтобы они попадали в область чувствительности по
⎨ 0×→ϕA=
,
0+ → ϕA = 0,
2
времени обоих детекторов (рис. 1). Подслушиватель
(2)
1+
→ϕA =π,
⎩
3π
в каждой посылке или части посылок может подме-
1× → ϕA =
2
нять истинные квантовые состояния своими состоя-
ниями (fake states) с меньшей длительностью и дру-
Зависимости чувствительности двух однофотон-
гим положением по времени относительно кривых
ных детекторов по времени могут различаться
чувствительности детекторов, тем самым может на-
(рис. 1, 2). При штатном режиме работы длитель-
вязывать отсчет или его отсутствие в одном из де-
ность квантовых состояний и их положение по вре-
текторов.
мени выбираются таким образом, чтобы состояния
Предлагаемый способ обнаружения и защиты от
попадали в общую область по времени зависимо-
атаки, использующей разную по времени зависи-
сти чувствительности обоих однофотонных детекто-
мость чувствительности однофотонных детекторов,
ров D1 и D2 (рис. 1, 2). Перед детектированием со-
применим для систем квантовой криптографии с
стояний на передающей стороне в системах кванто-
фазовым кодированием и поляризационным коди-
вой криптографии с фазовым кодированием состоя-
рованием.
ния, поступающие из квантового канала связи, под-
вергаются преобразованию на интерферометре Ма-
Прежде чем описать способ защиты, приве-
ха - Цандера (рис. 1, 2). На принимающей стороне
дем описание работы системы квантового распре-
выбор базиса измерения — либо +, либо × — про-
деления ключей в отсутствие атаки и саму атаку
водится случайно и равновероятно в соответствии
Detectors Mismatch, использующую разные времен-
со случайной последовательностью на принимаю-
ные зависимости чувствительности однофотонных
щей стороне. В базисе + выбирается значение фазы
детекторов [18, 19].
ϕB = 0, в базисе × — значение ϕB = π/2 для ком-
Приведем необходимое для дальнейшего описа-
пенсации фаз передающей стороны (формула (2)).
ние атаки на системы квантового распределения
Выбор фазы проводится наложением напряжения
ключей с фазовым кодированием на примере про-
на фазовый модулятор в плече интерферометра Ма-
токола BB84, который является базовым протоко-
ха - Цандера (рис. 1, 2).
лом. Для систем с поляризационным кодированием
Вероятность отсчета на детекторах в централь-
и других протоколов атака проводится аналогично.
ном временном окне 2 (рис. 1а) определяется разно-
В стандартной общепринятой версии протокола
стью фаз передающей и принимающей сторон, и на
BB84 используется два базиса + и ×, которые на
детекторе D1, пропорциональна
передающей стороне выбираются случайно и рав-
)
новероятно в соответствии со случайной последова-
(ϕA -ϕB
2
cos
,
(3)
тельностью 0 и 1. Внутри каждого базиса случайно
2
198
ЖЭТФ, том 157, вып. 2, 2020
О простом способе защиты от атаки.. .
а
б
Базисы передающей
и принимающей сторон совпадают
1
2
3
1
2
3
Базис
базис+,
измеренией+
послан0
В
=0
1
2
D1
Временные окна
Интерферометр Маха-Цандера
2
0+
|
|ei
A
Зависимости
1
2
2
чувствительности
базис+,
1
3
A =
0
1
2
3
детекторов
D2
послан
0
от времени
=0
1
2
3
В
1
2
Фазовый
Два значения фазы
модулятор
D1
базис измерений+
на принимающей стороне
в каждом базисе
0+
1
2
3
1
2
3
0
Амплитуда
базис+,
A =
=
квантовых
послан0
В
состояний
D1
1
2
3
D2
1
2
+
3
0
Амплитуды квантовых состояний
0
Одно значение фазы
A =
D2
на принимающей стороне
1
2
3
в каждом базисе
Рис. 1. Схематическое изображение приемной части. Показано распространение информационных состояний через оп-
тический тракт на принимающей стороне и их детектирование для случая, когда базисы принимающей и передающей
сторон совпадают. Для примера выбран базис +. В правых частях рисунков также показаны различные временные за-
висимости чувствительности лавинных детекторов. а) Стандартная версия протокола BB84. Показано детектирование
состояния 0 в базисе +. Фаза на передающей стороне равна ϕA = 0, фаза на принимающей стороне в базисе + равна
ϕB = 0. При штатной работе отсчет должен быть на детекторе D1. б) Новая версия протокола. Показано детектирование
состояния 0 в базисе +. Фаза на передающей стороне равна ϕA = 0, фаза на принимающей стороне в базисе + выбира-
ется случайно и равновероятно из двух значений ϕB = 0 и ϕB = π. При ϕB = 0 отсчет возникает на детекторе D1, при
ϕB = π — на детекторе D2
а на детекторе D2 пропорциональна
лала 1 в базисе + (рис. 2а), что отвечает выбору
)
фазы π, то на детекторе D2 будет конструктивная
(ϕA -ϕB
sin2
(4)
интерференция, которая приведет к срабатыванию
2
детектора D2. Из-за деструктивной интерференции
Если базисы передающей и принимающей сторон
на детекторе D1 срабатывания детектора D1 не бу-
совпадают (см. рис. 1, 2, а также формулы (3),
дет (рис. 2а). Отсчет детектора D2 интерпретирует-
(4)), то при разности фаз состояний, выбранных
ся как логическая 1.
передающей стороной и принимающей стороной
При несовпадающих базисах передающей и при-
ϕA - ϕB = 0, конструктивная интерференция имеет
нимающей сторон полной конструктивной или де-
место на входе детектора D1 (рис. 1а отвечает ситу-
структивной интерференции на детекторах D1 и D2
ации, когда посылался 0 в базисе +, рис. 2 отвечает
не происходит (рис. 3). Вероятность детектирования
ситуации, когда посылалась 1 в базисе +), что бу-
на обоих детекторах D1 и D2 независимо от послан-
дет приводить к отсчету в детекторе D1 в централь-
ного состояния (рис. 3), соответственно выбора фаз
ном временном окне 2. Иначе говоря, при совпаде-
в несовпадающих базисах, будет пропорциональна
нии базисов, например, при базисе +, когда и пере-
(ϕA -ϕB)
(ϕA -ϕB)
1
дающая, и принимающая стороны выбирают фазу
sin2
= cos2
=
,
(5)
2
2
2
0, после преобразований входных состояний на ин-
терферометре Маха - Цандера конструктивная ин-
если фазы ϕA и ϕB выбираются из разных бази-
терференция будет иметь место на детекторе D1.
сов, причем независимо от самого выбора фаз. От-
Из-за деструктивной интерференции на детекторе
счет будет иметь место на обоих детекторах D1 и D2
D2 срабатывания детектора не будет (рис. 1а). От-
(рис. 3) с одинаковой вероятностью независимо от
счет детектора D1 интерпретируется как логиче-
того, какую фазу состояний выбрали передающая и
ский 0 (рис. 1а). Если передающая сторона посы-
принимающая стороны.
199
К. А. Балыгин, И. Б. Бобров, А. Н. Климов и др.
ЖЭТФ, том 157, вып. 2, 2020
б
1
2
3
1
2
3
В
=0
а
Базисы передающей
1
2
D1
и принимающей сторон совпадают
+
базис +,
базис измерений +
1
послан 1
1
2
3
1
2
3
=0
A =
D2
В
D1
1
2
3
1
2
+
1
Два значения фазы
базис измерений +
на принимающей стороне
A =
в каждом базисе
D2
1
2
3
базис +,
1
2
3
1
2
3
послан 1
В
=
Одно значение фазы
на принимающей стороне
1
2
D1
в каждом базисе
1+
A =
D2
1
2
3
Рис. 2. Схематическое изображение приемной стороны, аналогичное рис. 1. Показано распространение информационных
состояний через оптический тракт на принимающей стороне и их детектирование для случая, когда базисы принимаю-
щей и передающей сторон совпадают. Для примера выбран базис +. Показаны также различные временные зависимости
чувствительности лавинных детекторов. а) Стандартная версия протокола BB84. Показано детектирование состояния 1
в базисе +. Фаза на передающей стороне равна ϕA = π, фаза на принимающей стороне в базисе + равна ϕB = 0. При
штатной работе отсчет должен быть на детекторе D2. б) Новая версия протокола. Показано детектирование состояния 1
в базисе +. Фаза на передающей стороне равна ϕA = π, фаза на принимающей стороне в базисе + выбирается случайно
и равновероятно из двух значений ϕB = 0 и ϕB = π. При ϕB = 0 отсчет возникает на детекторе D2, при ϕB = π — на
детекторе D1
Базисы передающей и принимающей
перепосланного состояния подслушивателя, прини-
сторон не совпадают
мающей и передающей сторон совпадают (рис. 1, 2),
1
2
3
1
2
3
эволюция состояний и их детектирование представ-
В
лены на рис. 1, 2. Однако возможны ситуации, когда
1
2
D1
базис перепосланного состояния и базис измерений
принимающей стороны не совпадают, данная ситуа-
ция показана на рис. 3 для стандартной версии про-
A
токола BB84.
D2
1
2 3
Получив результат, подслушиватель готовит со-
стояние, которое противоположно измеренному со-
Значения фаз из разных базисов
стоянию в противоположном базисе и во времен-
ном окне, в котором детектор, который должен был
Рис. 3. Иллюстрация эволюции квантовых состояний на
бы регистрировать измеренные состояния, является
принимающей стороне и их детектирования на приемной
чувствительным, а детектор, который должен был
части для случая, когда базис информационных состояний
бы регистрировать противоположные измеренным
и базис передающей части не совпадают
состояния, был бы неактивен, т. е. состояния не по-
падали бы в область чувствительности по времени.
Атака Detectors Mismatch является атакой при-
То есть в соответствии с результатом своих измере-
ем-перепосыл: подслушиватель разрывает кванто-
ний подслушиватель перепосылает состояние, кото-
вый канал связи и проводит измерение в своем слу-
рое вызовет срабатывание на приемной стороне того
чайно выбранном базисе и перепосылает свои состо-
же детектора, что сработал у подслушивателя, при
яния в зависимости от результата измерений. При
условии совпадения базисов подслушивателя и при-
описании атаки возникают ситуации, когда базисы
емной стороны.
200
ЖЭТФ, том 157, вып. 2, 2020
О простом способе защиты от атаки.. .
Базис подслушивателя совпадает
с базисом передающей и приемной сторон
Отсчеты, которые
должны были бы иметь
место при совпадении
Состояния у подслушивателя,
базисов передатчика
правильный результат 0
Состояния на приемной
Состояния на приемной
и подслушивателя
стороне
D1
стороне без подслушивателя
Перепосыл
состояния1в
Правильный
другом базисе
отсчет0
Нет ошибочного
отсчета
= 0
D2
A
= 0
В
Рис. 4. Иллюстрация детектирования и перепосыла состояний подслушивателем при атаке Detectors Mismatch в стандарт-
ной версии протокола BB84 для ситуации, когда базис измерений подслушивателя совпадает с базисом принимающей и
передающей сторон
Базис подслушивателя не совпадает
с базисом передающей и приемной сторон
D1
Отсчеты, которые
должны были бы иметь
место при совпадении
Состояния у подслушивателя,
Состояния на приемной
базисов передатчика
равновероятно правильный
стороне без подслушивателя
и подслушивателя
и ошибочный результаты
D2
Отсутствие отсчетов:
Перепосланные состояния
нет правильных,
в зависимости от отсчетов
нет ошибочных
в детекторах D1 и D2
D1
Правильный отсчет
= 0
= 0
В
A
Ошибочный отсчет
D2
Рис. 5. Иллюстрация эволюции состояний и их детектирование на приемной стороне при атаке Detectors Mismatch в
стандартной версии протокола BB84 для случая, когда базис подслушивателя не совпадает с базисом легитимных поль-
зователей
Таким образом, принципиальный момент страте-
отвечающее значению 1 в базисе ×, во временном
гии подслушивателя состоит в том, что длитель-
интервале, в котором будет чувствителен детектор
ность и положение по времени подменного состоя-
D1, а детектор D2 будет неактивен — будет «слеп».
ния (fake state) всегда выбираются так, чтобы оно
Тогда, если Алиса и Боб выбрали базис ×, то кон-
не попадало в область чувствительности по време-
структивная интерференция будет в плече интерфе-
ни того однофотонного детектора, который не дол-
рометра, где детектор D2, но в том временном ин-
жен был бы регистрировать перепосланное кванто-
тервале, в котором детектор неактивен — «слеп».
вое состояние в данном базисе, т.е. в базисе, в ко-
Детектор не сработает. Если Алиса и Боб выбрали
тором подменное состояние перепосылается (рис. 4).
базис +, то квантовое состояние «делится» пополам
Такая стратегия позволяет подслушивателю не про-
после прохождения интерферометра между детек-
изводить ошибок на приемной стороне, если было
торами D1 и D2 и будет локализовано в том вре-
перепослано неправильное состояние.
менном интервале, в котором детектор D1 чувстви-
телен, а детектор D2 неактивен. Поскольку переда-
Для пояснения рассмотрим пример. Пусть под-
ющая и принимающая стороны оставляют только
слушиватель проводил измерение в базисе + и по-
те посылки, в которых базисы совпадали, при атаке
лучил значение 0, тогда он перепосылает состояние,
подслушивателя возможны две ситуации.
201
К. А. Балыгин, И. Б. Бобров, А. Н. Климов и др.
ЖЭТФ, том 157, вып. 2, 2020
1. Приемная сторона выбрала базис ×, тогда на
на принимающей стороне. По наличию ошибок про-
входе детектора D2 будет конструктивная интерфе-
исходит обнаружение подслушивателя и проводится
ренция, а на входе детектора D1 — деструктивная
оценка утечки информации к нему.
(рис. 5). Сигнал будет расположен во временном
Модификация протокола представлена на рис. 6.
окне, в котором детектор D2 слеп. Ни один из де-
В базисе + выбор одного значения фазы приводит
текторов не сработает. Отсутствие отсчетов не есть
к тому, что состояние 0+, поступающее на прием-
ошибка.
ную сторону, приводит к конструктивной интерфе-
2. Приемная сторона выбрала базис +. Состоя-
ренции на детекторе D1 и отсчету на нем. Отсчет на
ние «делится» пополам между детекторами D1 и
детекторе D2 отсутствует из-за деструктивной ин-
D2, но будет находиться в области чувствительно-
терференции на нем (рис. 6). Если в базисе + вы-
сти только детектора D1 (рис. 4). Сработает детек-
бираются два значения фазы, то отсчет в детекторе
тор D1, Боб запишет значение 1. При этом также
D1 или в детекторе D2 от полученного состояния 0+
возможны две ситуации.
будет иметь место в зависимости от выбора фазы на
2.1. Если передающая сторона приготовила со-
принимающей стороне: при выборе фазы 0 отсчет в
стояние в базисе +, то при согласовании базисов от-
детекторе D1, при выборе фазы π отсчет в детекторе
счет сохранится и пойдет в ключ. Приемная и пе-
D2 (рис. 6). Аналогично, если на детектор поступа-
редающая стороны и подслушиватель будут иметь
ет состояние 1+, то при одном выборе фазы, равной
одинаковые значения.
0, отсчет будет иметь место на детекторе D2. При
2.2. Передающая сторона приготовила состояние
двух случайных выборах значений фазы на прини-
в базисе ×, тогда при согласовании базисов данная
мающей стороне отсчет будет иметь место на обоих
посылка будет выброшена, так как базисы Алисы и
детекторах в зависимости от выбора фазы. При вы-
Боба не совпадают.
боре фазы π отсчет от состояния 1+ будет на детек-
торе D1 (рис. 1), при выборе фазы 0 отсчет будет
В результате атаки подслушиватель знает весь
иметь место на детекторе D2 (рис. 6).
передаваемый ключ, не производит ошибок на при-
Таким образом, на принимающей стороне при
нимающей стороне — ошибочные отсчеты отсутст-
вуют, и не детектируется. Система не обеспечивает
двух случайных значениях фаз внутри базиса со-
стояния, отвечающие 0+ и 1+, дают отсчеты в обоих
секретность ключей. Аналогичная ситуация имеет
детекторах в зависимости от выбора фазы. Анало-
место и в системах с поляризационным кодировани-
ем.
гичная ситуация имеет место в базисе ×. Случайный
выбор двух значений фаз внутри каждого базиса
приводит к тому, что подслушиватель неизбежно бу-
дет производить ошибки на принимающей стороне
3. ДЕТЕКТИРОВАНИЕ И ЗАЩИТА ОТ
АТАКИ
и будет детектироваться.
Обсудим ситуацию более детально. Достаточно
Для обнаружения и защиты от атаки, использу-
рассмотреть случай, когда базис подслушивателя не
ющей разную по времени зависимость чувствитель-
совпадает с базисом передающей и принимающей
ности однофотонных детекторов, в системах кванто-
сторон, чтобы убедиться в том, что атака приведет
вой криптографии с фазовым и поляризационным
к появлению ошибок на приемной стороне — обна-
кодированием, при которой подслушиватель знает
ружению подслушивателя. Ситуация совпадающих
весь криптографический ключ и не обнаруживает-
базисов у всех участников протокола рассматрива-
ся, предлагается следующий способ.
ется аналогично.
Наша идея детектирования и защиты от атаки
Пусть передающая сторона посылала 0 в базисе
Detectors Mismatch состоит в следующем. Принима-
+ (рис. 6). Если базис измерений подслушивателя
ющая сторона в каждом базисе выбирает не одно
не совпадает с базисом передающей и принимаю-
значение фазы: 0 в базисе + и π/2 базисе ×, как
щей сторон — подслушиватель выбрал базис ×, то
имеет место в известных системах квантовой крип-
подслушиватель будет равновероятно получать пра-
тографии с протоколом BB84, а в каждом базисе
вильный и ошибочный результаты.
случайно выбирает два значения фазы: 0 и π в бази-
1. Правильный отсчет у подслушивателя (рис. 6).
се + и π/2 и 3π/2 в базисе ×. При таком выборе фаз
Отсчет у подслушивателя в детекторе D1 (интерпре-
при атаке подслушивателя, использующей разную
тируется как логический 0) — правильный резуль-
по времени зависимость чувствительности однофо-
тат (рис. 6). Результат — отсчет на детекторе D1 —
тонных детекторов, неизбежно возникают ошибки
интерпретируется как 0×. В этом случае подслуши-
202
ЖЭТФ, том 157, вып. 2, 2020
О простом способе защиты от атаки.. .
Базис подслушивателя не совпадает
D1
с базисом передающей и приемной сторон
D2
= 0
В
D1
Состояния на приемной
стороне без подслушивателя
Отсчеты, которые
должны были бы иметь
место при совпадении
Состояния у подслушивателя,
базисов передатчика
равновероятно правильный
и подслушивателя
и ошибочный результаты
D2
=
В
Перепосланные состояния
= 0
В
в зависимости от отсчетов
в детекторах D1 и D2
D1
= 0
Правильный отсчет
A
Ошибочный отсчет
=
В
D2
= 0
В
D1
D2
=
В
Рис. 6. Иллюстрация эволюции состояний и их детектирование на приемной стороне при атаке Detectors Mismatch в
модифицированной версии протокола BB84 для случая, когда базис подслушивателя не совпадает с базисом легитимных
пользователей
ватель перепосылает состояние в противоположном
результат (рис. 6). Результат — отсчет на детекторе
базисе 1+, сдвинутое по времени так, чтобы не по-
D2 — интерпретируется как 1×. В этом случае под-
падать в кривую по времени чувствительности де-
слушиватель перепосылает состояние в противопо-
тектора D2, т. е. блокирует отсчет в детекторе D2
ложном базисе 0+, сдвинутое по времени так, чтобы
(рис. 6). В этом случае перепосланное состояние не
не попадать в кривую по времени чувствительности
произведет ошибочный отсчет в детекторе D2 при
детектора D1, т. е. блокирует отсчет в детекторе D1
условии, что принимающая сторона выбрала фазу 0
(рис. 6). В этом случае перепосланное состояние не
в базисе +. Однако, если принимающая сторона вы-
произведет ошибочный отсчет в детекторе D1 при
брала фазу π, то состояние 1+ даст конструктивную
условии, что принимающая сторона выбрала фазу
интерференцию на детекторе D1 (рис. 6) и ошибоч-
0 в базисе +. Если принимающая сторона выбрала
ный отсчет на нем, поскольку при истинном состоя-
фазу π, то состояние 0+ даст конструктивную ин-
нии 0+ и выборе фазы π отсчета от истинного состо-
терференцию на детекторе D2 (рис. 6), как и долж-
яния 0+ на детекторе D1 не должно быть. Должен
но быть, поскольку при истинном состоянии 0+ и
быть отсчет только на детекторе D2 (рис. 6).
выборе фазы π отсчет от истинного состояния 0+
должен быть на детекторе D2 (рис. 6).
2. У подслушивателя возник ошибочный отсчет
Аналогичная ситуация имеет место, если переда-
(рис. 6). Отсчет у подслушивателя в детекторе D2
ющей и принимающей сторонами выбран базис ×.
(интерпретируется как логическая 1) — ошибочный
203
К. А. Балыгин, И. Б. Бобров, А. Н. Климов и др.
ЖЭТФ, том 157, вып. 2, 2020
Таким образом, в предложенной модификации
(ϕB = 0, рис. 6), а в половине посылок (ϕB = π,
протокола BB84, когда принимающая сторона в
рис. 6) будет ошибочный отсчет.
каждом базисе измерений выбирает не одно значе-
Окончательно вероятность правильных отсчетов
ние фазы, как имело место в известных системах,
(пока ненормированная) есть
а в каждом базисе случайно выбирает два значения
фазы: фазу 0 или π в одном базисе и случайно фа-
1
1
1
1
PrOK =
+
·
·
,
(6)
зу π/2 или -π/2 в другом базисе, подслушиватель
2
2
2
2
при атаке Detector Mismatch неизбежно производит
ошибки на приемной стороне и обнаруживается.
а вероятность ошибочных отсчетов (тоже пока не-
нормированная) —
1
1
1
PrErr =
·
·
(7)
4. ОЦЕНКА ВЕРОЯТНОСТИ ОШИБКИ
2
2
2
Проведем оценку вероятности ошибки, которую
Соответственно вероятность ошибки на приемной
будет производить подслушиватель при атаке De-
стороне равна
tectors Mismatch, если используется предложенный
способ защиты от данной атаки.
PrErr
1
Q=
=
≈ 16.7 %,
(8)
PrErr + PrOK
6
Сделаем консервативные предположения в поль-
зу подслушивателя. Пусть подслушиватель атаку-
что превышает критическую ошибку 11 % протоко-
ет каждую посылку квантовых состояний. Пусть
ла BB84 в однофотонном случае. Разумеется, дан-
подслушиватель может обеспечить перепосыл до-
ная оценка носит иллюстративный характер и при-
статочно коротких по времени состояний, чтобы они
ведена лишь для того, чтобы показать чувствитель-
точно не попадали в кривую чувствительности од-
ность предложенного метода к обнаружению атаки
ного по времени соответствующего детектора, кото-
Detectors Mismatch.
рый не должен делать отсчет при регистрации пе-
репосланных состояний.
В асимптотическом пределе длинных последова-
тельностей, которым мы ограничимся, базис подслу-
5. ЗАКЛЮЧЕНИЕ
шивателя в половине посылок совпадает с базисом
легитимных пользователей — вероятность совпаде-
Предложен простой, физически и интуитивно
1
ния базисов
. В этих посылках подслушиватель
понятный метод защиты от атаки Detectors Mis-
2
не производит ошибок. В половине посылок базис
match, который требует лишь минимальной моди-
подслушивателя не совпадает с базисом легитим-
фикации управляющей электроники и программ-
ных пользователей - вероятность несовпадения ба-
ного обеспечения систем квантовой криптографии,
зисов12 .
использующих распространенный протокол BB84.
Как следует из предыдущего анализа (см. также
Иначе говоря, при такой простой модификации про-
рис. 6), в половине этих посылок подслушиватель
токола атака Detectors Mismatch всегда обнаружи-
получит правильный отсчет — вероятность12 ·12 , а
вается — детектируется. Сжатие очищенного ключа
в половине ошибочный — вероятность12 ·12 . Далее,
в зависимости от наблюдаемого процента ошибок на
из половины посылок, где был правильный отсчет
приемной стороне приводит к «изъятию» информа-
у подслушивателя, половина посылок попадет в си-
ции, которую подслушиватель может получить при
туацию, когда была выбрана фаза ϕB = 0 (рис. 6),
такой атаке.
при этом отсчета не будет, а половина посылок по-
падет в ситуацию, когда была выбрана фаза ϕB = π
Благодарности. Выражаем благодарность кол-
(рис. 6), и будут правильные отсчеты у легитим-
легам по Академии криптографии Российской Феде-
ных пользователей. В итоге, при не совпадающих
рации, С. П. Кулику за предложение заняться дан-
базисах подслушивателя и легитимных пользовате-
ной важной темой, многочисленные полезные об-
лей вероятность правильных отсчетов есть12 ·12 ·12 .
суждения и поддержку.
Далее, в половине посылок, где у подслушивате-
Финансирование. Работа поддержана Россий-
ля был ошибочный отсчет (рис. 6), в половине посы-
ским научным фондом (проект № 16-12-00015 (про-
лок у легитимных пользователей отсчетов не будет
должение)).
204
ЖЭТФ, том 157, вып. 2, 2020
О простом способе защиты от атаки.. .
ЛИТЕРАТУРА
13.
A. Vakhitov, V. Makarov, and D. R. Hjelme, J. Mod.
Opt. 48, 2023 (2001).
1. C. H. Bennett and G. Brassard, in Proc. IEEE
Int. Conf. on Comp., Sys. and Signal Process.,
14.
N. Gisin, S. Fasel, B. Kraus, H. Zbinden, and G. Ri-
pp. 175-179, Bangalore, India (1984).
bordy, Phys. Rev. A 73, 022320 (2006).
2. W. K. Wooters and W. H. Zurek, Nature 299, 802
15.
N. Jain, E. Anisimova, I. Khan, V. Makarov, Ch. Mar-
(1982).
quardt, and G. Leuchs, Talk presented at the Central
3. W. Heisenberg, Z. Phys. 43, 172 (1927).
European Workshop on Quantum Optics, Brussels,
June, 2327 (2014).
4. H. P. Robertson, Phys. Rev. 34, 163 (1929).
5. D. Deutsch, Phys. Rev. Lett. 50, 631 (1983).
16.
L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,
J. Skaar, and V. Makarov, Nature Photonics 4, 686
6. H. Maassen and J. B. M. Uffink, Phys. Rev. Lett. 60,
(2010); arXiv:1008.4593.
1103 (1988).
7. K. Kraus, Phys. Rev. D 35, 3070 (1987).
17.
Z. L. Yuan, J. F. Dynes, and A. J. Shields, Nature
Photonics 4, 800 (2010).
8. M. Tomamichel and R. Renner, Phys. Rev. Lett. 106,
110506 (2011).
18.
V. Makarov, A. Anisimov, and J. Skaar, Phys. Rev.
A 74, 022313 (2006), arXiv:0511032.
9. C. H. Bennett, G. Brassard, C. Crepeau, and
U. M. Maurer, IEEE Trans. Inf. Theory 41, 1915
19.
V. Makarov and J. Skaar, Quant. Inf. Comp. 8, 0622
(1995).
(2008); arXiv:0702262.
10. R. Renner, PhD Thesis, ETH Zürich (2005); arXiv:
0512258.
20.
K. A. Balygin, A. N. Klimov, I. B. Bobrov,
K. S. Kravtsov, S. P. Kulik, and S. N. Molotkov, Laser
11. N. Gisin, G. Ribordy, W. Tittel, and H. Zbinden, Rev.
Phys. Lett. 15, 095203 (2018).
Mod. Phys. 74, 145 (2002).
12. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf,
21.
K. A. Balygin, A. N. Klimov, I. B. Bobrov,
M. Dusek, N. Lütkenhaus, and M. Peev, Rev. Mod.
K. S. Kravtsov, S. P. Kulik, and S. N. Molotkov, Laser
Phys. 81, 1301 (2009).
Phys. Lett. 16, 019402 (2019).
205
