ЖЭТФ, 2020, том 157, вып. 6, стр. 963-990
© 2020
TROJAN-HORSE-АТАКИ, DECOY STATE-МЕТОД И
ПОБОЧНЫЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
В КВАНТОВОЙ КРИПТОГРАФИИ
С. Н. Молотков*
Институт физики твердого тела Российской академии наук
142432, Черноголовка, Московская обл., Россия
Академия криптографии Российской Федерации
121552, Москва, Россия
Факультет вычислительной математики и кибернетики,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Центр квантовых технологий,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Поступила в редакцию 16 октября 2019 г.,
после переработки 23 декабря 2019 г.
Принята к публикации 23 декабря 2019 г.
Ранние доказательства секретности ключей в системах квантовой криптографии основывались на пред-
положении, что передающая и принимающая станции полностью изолированы от внешнего мира —
подслушивателя. Однако такое условие невозможно реализовать на практике, поскольку системы кван-
товой криптографии являются открытыми системами в том смысле, что подслушиватель может иметь
косвенный доступ, например, через волоконную линию связи к критическим элементам аппаратуры (фа-
зовым модуляторам, модуляторам интенсивности и пр.), используя активное зондирование состояния
этих элементов. Состояние элементов несет информацию о передаваемом ключе. Кроме того, подслу-
шиватель может использовать пассивное детектирование побочного излучения приемной и передающей
аппаратуры. Сигналы в побочных каналах утечки информации могут иметь крайне низкую интенсив-
ность и фактически являются квантовыми. Подслушиватель может использовать совместное измерение
квантовых информационных состояний в линии связи и состояний в различных побочных каналах утечки
информации. В работе рассмотрены как пассивные атаки с измерением побочного излучения, так и ак-
тивные атаки, связанные с зондированием состояния фазового модулятора, модулятора интенсивности, а
также обратного переизлучения однофотонных лавинных детекторов, которое возникает при регистрации
информационных состояний на приемной стороне. Рассмотрены также комбинированные атаки. Сделано
обобщение Decoy State-метода с учетом атак активного зондирования и получены границы для парамет-
ров состояний в побочных каналах связи, при которых гарантируется секретное распределение ключей
на заданную длину линии связи.
DOI: 10.31857/S0044451020060012
ки не накладывают принципиальных ограничений
на точность невозмущающих измерений состояний
классических объектов — сигналов. Применительно
1. ВВЕДЕНИЕ
к задачам передачи и защиты информации это озна-
Носителями информации в классической облас-
чает, что классический сигнал может быть сколь
ти являются классические сигналы — состояния
угодно точно и без возмущения измерен. После та-
классических систем. Законы классической физи-
кого измерения в принципе сигнал может быть вос-
произведен — скопирован. Фактически это означа-
* E-mail: sergei.molotkov@gmail.com
963
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
ет, что при передаче информации при помощи клас-
зано, как секретность ключей связана с соотноше-
сических сигналов, в принципе, возможно недетек-
ниями неопределенностей Гейзенберга - Робертсона.
тируемое подслушивание таких сигналов. То есть в
Действительно, прямой связи данных соотношений
рамках классической физики нет запретов на сколь
неопределенностей и секретности ключей не вид-
угодно точное и невозмущающее подслушивание пе-
но. Соотношения неопределенностей означают лишь
редаваемых сигналов.
следующее. Если квантовая система находится в со-
Принципиально и качественно новая ситуация
стоянии |ψ〉, то измерение наблюдаемой A в каждом
возникает при переходе в область микромира, когда
акте измерения будет давать одно из собственных
носителями информации являются квантовые объ-
значений наблюдаемой A ai с вероятностью p(ai) =
екты. Неизвестное квантовое состояние не может
= |〈ai|ψ〉|2, где |ai — собственный вектор наблюдае-
быть скопировано [1], что является следствием фун-
мой A, отвечающей собственному числу ai. Резуль-
даментальных соотношений неопределенностей Гей-
таты измерений наблюдаемой A квантовой системы
зенберга - Робертсона [2, 3]. Осознание данного об-
в состоянии |ψ〉 имеют дисперсию ΔA.
стоятельства привело к качественно новой ситуации
В другой серии измерений наблюдаемой B сис-
в области защиты информации. Возникло целое на-
темы в том же квантовом состоянии |ψ〉 возникают
учное направление — квантовая криптография. За
собственные числа bi оператора B с вероятностью
достаточно короткое время, использование фунда-
p(bi) = |〈bi|ψ〉|2, которые имеют разброс результатов
ментальных запретов квантовой теории на различи-
измерений с дисперсией ΔB. Произведение диспер-
мость квантовых состояний было доведено до прак-
сий результатов наблюдений в двух разных экспери-
тических применений в области защиты информа-
ментах отлично от нуля, если операторы наблюда-
ции. Квантовая криптография, синоним квантово-
емых не коммутируют. Это и есть стандартная ин-
го распределения секретных ключей, решает цен-
терпретация соотношений Гейзенберга - Робертсона.
тральную проблему симметричной криптографии —
Существуют две причины, по которым данные
распределение общего секрета (секретного ключа)
соотношения еще не удается напрямую использо-
между пространственно-удаленными пользователя-
вать для задач переработки и передачи информа-
ми через открытые и доступные для подслушивания
ции. Первая причина — в данных соотношениях нет
каналы связи.
информационного аспекта, т. е. нет понятия инфор-
Система квантовой криптографии представля-
мации. Вторая причина состоит в том, что правая
ет собой распределенное физическое устройство, в
часть данных соотношений неопределенностей мо-
котором приготовление и измерение квантовых со-
жет быть равна нулю даже для некоммутирующих
стояний происходит в пространственно-удаленных
наблюдаемых. Если операторы ограничены и имеют
местах, соединенных линией связи. В отличие от
конечный набор собственных функций, то правая
классической физики, где наблюдаемым отвечают
часть неравенства будет равна нулю, если система
функции координат и времени, в квантовой теории
находится в одном из собственных состояний одного
наблюдаемым величинам сопоставляются эрмитовы
из операторов, например, |ψ〉 = |aj. Второе упомя-
операторы. Это обстоятельство приводит к фунда-
нутое обстоятельство было известно давно — нахож-
ментальным соотношениям неопределенностей Гей-
дение системы в одном из собственных состояний од-
зенберга - Робертсона [2, 3] для некоммутирующих
ного из операторов приводит к отсутствию разброса
операторов A и B, отвечающих двум наблюдаемым:
результатов измерений (нулевая дисперсия) одной
из наблюдаемых.
1
ΔAΔB
|〈ψ|[A, B]|ψ〉|,
Информационный аспект соотношений неопре-
2
деленностей возник после работ [4-6], в которых со-
ΔA =
〈ψ|A2|ψ〉 - 〈ψ|A|ψ〉2,
отношения неопределенностей для некоммутирую-
щих наблюдаемых были переформулированы непо-
ΔB =
〈ψ|B2|ψ〉-〈ψ|B|ψ〉2,
[A, B] = A · B-B · A.
средственно в терминах энтропии Шеннона, которая
С формальной точки зрения это означает, что
является мерой информации. Согласно [4-6] энтро-
некоммутирующие эрмитовы операторы не могут
пийные соотношения неопределенностей принимают
иметь общей системы собственных векторов.
вид
На ранних стадиях развития квантовой крипто-
графии часто произносились слова, что секретность
H(A) + H(B) ≥ -2 log(max|〈ai|bj 〉|),
i,j
ключей гарантируется фундаментальными соотно-
шениями неопределенностей, но не было явно пока-
где энтропии Шеннона
964
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
H(A) = - p(ai) log(p(ai)),
которое интерпретируются следующим образом.
i
Пусть в результате работы протокола квантового
распределения ключей Алиса имеет битовую стро-
H(B) = - p(bi) log(p(bi)),
ку X, а Ева и Боб имеют в своем распоряжении
i
квантовые системы. Далее, H(X|E) есть нехватка
log
log2. Данные энтропийные соотношения
информации Евы о битовой строке Алисы при
неопределенностей имеют теоретико-информацион-
условии, что Ева имеет в своем распоряжении
ную интерпретацию. Важно подчеркнуть, что пра-
квантовую систему E, коррелированную с битовой
вые части энтропийных неравенств не зависят от
строкой Алисы. Аналогично H(X|B) — нехватка
квантового состояния, а зависят только от наблю-
информации Боба о битовой строке Алисы при
даемых, в отличие от соотношений Гейзенберга - Ро-
условии, что Боб имеет в своем распоряжении
бертсона.
квантовую систему B.
Пусть квантовая система находится в состоянии
Нехватка информации Боба H(X|B) напрямую
|ψ〉. Пусть проводятся измерения наблюдаемой A,
связана с наблюдаемыми ошибками на приемной
вероятность получить исход i есть p(ai) = |〈ai|ψ〉|2.
стороне. Для оценки величины ошибок Алисе и Бо-
Далее, мерой информации i-го исхода является
бу не требуется явно знать квантовое состояние Евы,
log(1/p(ai)) — чем реже появляется событие, тем
достаточно обменов информации по открытому ка-
больше информации оно несет. До того как исход
налу связи для оценки вероятности ошибки на сто-
произошел, нехватка информации — неопределен-
роне Боба. Вторжение Евы в квантовый канал связи
ность о том, какой будет исход, есть log(1/p(ai)). По-
приводит к ошибкам на приемной стороне, величина
скольку сам исход имеет место с вероятностью p(ai),
ошибок позволяет получить верхнюю границу утеч-
средняя нехватка информации по всем исходам при
ки информации (соответственно ее нехватку) к Еве
измерении наблюдаемой A есть H(A). После возник-
при вторжении в квантовый канал связи. Важно,
новения исхода измерений происходит приращение
что при использовании энтропийных соотношений
информации на соответствующую величину. Анало-
неопределенностей для составных систем не требу-
гично, нехватка информации до появления исходов
ется строить явно атаки Евы на передаваемые кван-
при измерении наблюдаемой B есть H(B).
товые состояния.
Сумма нехваток информаций при измерении
Для исправления ошибок Алиса должна сооб-
щить Бобу через открытый классический канал свя-
двух наблюдаемых не может быть нулем, если на-
блюдаемые не коммутируют — не имеют общей сис-
зи информацию не менее H(X|B) битов, которая
также доступна Еве. В итоге нехватка информа-
темы собственных векторов. Важно, что нижняя
граница (правая часть неравенства) суммы нехва-
ции Евы H(X|E) уменьшается на величину H(X|B).
После коррекции ошибок Бобом нехватка инфор-
ток информаций не зависит от того, в каком состо-
янии |ψ〉 находится квантовая система, а зависит
мации Евы, с учетом энтропийных соотношений
неопределенностей, становится не менее (в пересче-
только от наблюдаемых. Однако и данные энтро-
пийные соотношения неопределенностей еще непри-
те на одну позицию ключа) H(X|E)-H(X|B) 1-
менимы напрямую к задачам квантовой криптогра-
- H(X|B) - H(X|B) = 1 - 2H(X|B). Неформаль-
но, данное количество информации недоступно Еве
фии, поскольку относятся только к одной квантовой
системе.
и является общим секретом Алисы и Боба — сек-
ретным ключом. Иными словами, фундаменталь-
В задачах квантовой криптографии квантовое
ные энтропийные соотношения неопределенностей
состояние в общем случае описывает три квантовые
позволяют связать утечку (соответственно нехват-
системы, имеющиеся в распоряжении Алисы (пере-
ку) информации к Еве через наблюдаемую ошибку
дающая сторона), Боба (принимающая сторона) и
у Боба.
Евы (подслушиватель). В общем случае три кван-
Сказанное справедливо, пока не учитываются
товые системы находятся в общем квантовом запу-
побочные каналы утечки информации, например,
танном состоянии. Обобщение энтропийных соотно-
излучение аппаратуры, активное зондирование эле-
шений неопределенностей на составные квантовые
ментов аппаратуры и пр. Данные каналы утечки яв-
системы было сделано в работе [7]. Пусть имеется
ляются «бонусом» для Евы в том смысле, что Ева
составная квантовая система в состоянии |ψ〉ABE,
может получить дополнительную информацию о пе-
тогда имеет место неравенство (см. детали ниже)
редаваемых квантовых состояниях косвенно, напри-
H(X|E) + H(X|B) 1,
мер, измеряя побочное излучение аппаратуры, при
965
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
этом Ева не будет производить ошибок на приемной
ческом пределе длинных последовательностей пере-
стороне. Иными словами, утечка информации по по-
ходит в условную энтропию фон Неймана. Длина
бочным каналам не связана с ошибкой на приемной
секретного ключа — число общих, никому неизвест-
стороне и требуется явное включение в рассмотре-
ных секретных битовых позиций, выражается как
ние атак, связанных с квантово-механическими из-
разность условной энтропии Алиса-Ева и инфор-
мерениями состояний в побочных каналах, что и яв-
мации, расходуемой на коррекцию ошибок (leak),
ляется целью данной работы.
через открытый аутентичный классический канал
Целью работы является выяснение вопроса о
связи. Данная информация является открытой и
том, как зависит длина секретного ключа от па-
всем доступной. С формальной точки зрения анализ
раметров квантовых состояний в побочных кана-
криптографической стойкости протокола квантово-
лах. Критические для секретности побочные каналы
го распределения ключей сводится к вычислению
утечки информации более менее очевидны, и толь-
утечки информации к Еве — вычислению условной
ко требуется правильно их включить в общую схему
квантовой энтропии, которая содержит всю инфор-
доказательства секретности ключей.
мацию об атаках Евы. На сегодняшний день, в слу-
После вводной части перейдем к более содержа-
чае строго однофотонного источника информацион-
тельной постановке задачи. Квантовая криптогра-
ных квантовых состояний и только при атаках на пе-
фия — квантовое распределение ключей решает цен-
редаваемые квантовые состояния в квантовом кана-
тральную проблему симметричной криптографии —
ле связи, секретность передаваемых ключей можно
проблему распределения секретных ключей по от-
считать надежно доказанной. При этом доказатель-
крытым и доступным для подслушивания каналам
ство базируется только на фундаментальных зако-
связи, и должна гарантировать безусловную секрет-
нах квантовой теории — энтропийных соотношени-
ность ключей [8-10]. По сути, квантовая криптогра-
ях неопределенностей [11-14], которые являются, в
фия — способ синхронизации двух независимых слу-
определенном смысле, аналогом стандартных соот-
чайных последовательностей на передающей (Али-
ношений неопределенностей Гейзенберга - Робертсо-
са) и приемной (Боб) сторонах при помощи посылки
на и проявлением фундаментальных ограничений
и измерения квантовых состояний. Под безусловной
квантовой теории на измеримость двух некоммути-
секретностью понимается тот факт, что секретность
рующих наблюдаемых.
распределяемых ключей гарантируется фундамен-
В реальной ситуации источник квантовых сос-
тальными законами квантовой теории, а не техни-
тояний представляет собой ослабленное когерентное
ческими или вычислительными возможностями на-
состояние. Нестрогая однофотонность источника и
рушителя (Ева).
потери в квантовом канале связи открывают воз-
Фундаментальные законы квантовой теории поз-
можности для ряда атак, которые отсутствовали в
воляют связать наблюдаемую ошибку на приемной
однофотонном случае [10]. Это PNS-атака (Photon
стороне с верхней границей утечки информации к
Number Splitting) — атака с неразрушающим изме-
подслушивателю.
рением числа фотонов в квантовом канале связи,
Для ряда протоколов квантового распределения
атака с измерениями с определенным исходом (Un-
ключей, например, BB84 [8] и ряда других, в слу-
ambiguous Measurements, UM), Beam Split-атака —
чае, когда источник информационных состояний яв-
прозрачная атака, не приводящая к возмущению
ляется строго однофотонным, удается найти верх-
передаваемых состояний, основанная на отведении
нюю границу утечки информации, не конструируя
части информационных состояний из квантового ка-
явно атаки подслушивателя на передаваемые кван-
нала связи к подслушивателю. Данная атака осно-
товые состояния. Верхняя граница может быть най-
вана на том факте, что на линейных оптических эле-
дена только по наблюдаемой ошибке на приемной
ментах когерентные состояния преобразуются само-
стороне. Такая оценка базируется на фундаменталь-
подобно, без изменения структуры.
ных энтропийных соотношениях неопределенностей
На сегодняшний день принята следующая точ-
[11-13].
ка зрения на детектирование различных атак, свя-
Утечка информации к подслушивателю выража-
занных с неоднофотонностью источника. Считается,
ется в терминах условной энтропии фон Неймана
что весь секретный ключ определяется только до-
Алиса-Ева, или сглаженной условной минимальной
лей однофотонной компоненты состояний. Все мно-
энтропии Реньи [11, 13]. В случае конечных после-
гофотонные компоненты состояний консервативно в
довательностей утечка выражается через сглажен-
пользу подслушивателя считаются известными Еве.
ную минимальную энтропию, которая в асимптоти-
Поэтому задача сводится фактически к оценке доли
966
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
однофотонной компоненты на приемной стороне.
зондирующее излучение. Обычно такие атаки на-
Считается, что таким универсальным методом
зываются атаками на техническую реализацию или
для оценки доли однофотонной компоненты, хотя
Trojan-horse-атаки [15-23]. Без устойчивости систе-
это строго до конца не доказано, является Decoy
мы к таким атакам невозможно всерьез говорить о
State-метод, который сводится к модуляции интен-
секретности распределяемых ключей.
сивности когерентных состояний, и который ис-
При учете таких атак возникает принципиально
ходно был разработан для детектирования только
новая ситуация, поскольку предыдущие разработан-
PNS-атаки. Отметим, забегая вперед, что при нали-
ные методы анализа криптостойкости систем кван-
чии побочных каналов утечки информации, суще-
тового распределения ключей (КРК) напрямую уже
ствуют атаки активного зондирования, к детектиро-
не применимы. Требуется разработка новых подхо-
ванию которых Decoy State-метод не чувствителен.
дов, которые могли бы детектировать как предыду-
В основании Decoy State-метода лежат следую-
щие атаки, так и новые, а также различные комби-
щие посылки (предположения), без которых метод
нации старых и новых атак.
неприменим. Предположение о рандомизации фаз
Все атаки на системы квантовой криптографии
когерентных состояний в разных посылках. Для до-
условно можно разделить на четыре класса:
стижения такой рандомизации приходится исполь-
1) атаки непосредственно на информационные
зовать технические решения, которые дают такую
квантовые состояния в канале связи;
рандомизацию.
2) пассивные атаки, использующие детектирова-
Если считать, что фазы когерентных состояний в
ние побочного электромагнитного излучения от ап-
разных посылках являются случайными и равнове-
паратуры приемной и передающей станций;
роятно распределенными на отрезке [0, 2π], то состо-
3) активные атаки, использующие зондирование
яния в канале связи представляют собой статисти-
внешним излучением состояния элементов аппара-
ческую смесь фоковских состояний с разным числом
туры: фазовых модуляторов, лавинных детекторов,
фотонов. Распределение по числу фотонов является
модуляторов интенсивности, детектирование пере-
пуассоновским. Использование когерентных состоя-
излучения лавинных детекторов в линию связи при
ний с разным средним числом фотонов и рандомизи-
их срабатывании и т. д.;
рованными фазами позволяет получить оценку для
4) навязывание нужных для нарушителя (моди-
доли однофотонной компоненты и ошибки в однофо-
фикация) изменений штатной работы элементов си-
тонной компоненте. Информация в многофотонных
стемы, например, ослепление лавинных детекторов
компонентах «отдается» подслушивателю, считает-
и атака Detectors Mismatch [15,17-23].
ся ему известной.
При учете атак на техническую реализацию на-
Для однофотонной компоненты, зная оценку
ошибки в этой компоненте на приемной стороне,
прямую воспользоваться энтропийными соотноше-
ниями неопределенностей для вычисления верхней
можно воспользоваться фундаментальными резуль-
татами для утечки информации к Еве, которые сле-
границы утечки информации к подслушивателю
оказывается уже невозможным и приходится яв-
дуют из фундаментальных соотношений неопреде-
ленностей.
но строить всевозможные атаки подслушивателя на
В этом смысле, с оговорками, сделанными выше,
квантовые состояния с учетом побочных каналов
утечки.
секретность ключей для реальных неоднофотонных
источников и атак только на передаваемые кванто-
Первый класс атак подразумевает, что подслу-
вые состояния в канале можно считать надежно до-
шиватель не имеет ни прямого, ни косвенного досту-
казанной.
па к приемо-передающей аппаратуре. Секретность
Действительно, квантовая криптография гаран-
ключей при таких атаках гарантируется фундамен-
тирует безусловную секретность ключей, если учи-
тальными ограничениями квантовой теории на раз-
тывать только атаки на передаваемые квантовые со-
личимость квантовых состояний даже при не строго
стояния, когда подслушиватель не имеет ни прямо-
однофотонном источнике состояний.
го, ни косвенного доступа к передающей (Алисе) и
Второй класс атак связан с пассивным детек-
принимающей (Бобу) станциям.
тированием слабых (фактически квантовых) побоч-
В реальности системы квантовой криптографии
ных сигналов от работы элементов приемной и пере-
являются открытыми системами, в том смысле, что
дающей аппаратуры — излучения от фазовых моду-
подслушиватель (Ева) может иметь косвенный дос-
ляторов, модуляторов интенсивности, генераторов
туп к приемо-передающей аппаратуре, используя
случайных чисел, от схемы стробирования лавин-
967
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
ных детекторов, обратного переизлучения лавин-
ных соображений о структуре побочного излучения.
ных детекторов при их срабатывании и др.
Ниже предлагается аналитический метод, кото-
Третий класс атак использует активное зонди-
рый позволяет получить явные формулы для дли-
рование через волоконную линию связи состояния
ны секретного ключа при зондировании модулято-
активных элементов системы, например, фазовых
ра интенсивности, а также при комбинированных
модуляторов, которые несут информацию о переда-
атаках. Побочные каналы утечки, на наш взгляд,
ваемом ключе. Зондирование внешним излучением
невозможно рассматривать без знания работы кон-
модуляторов интенсивности представляет собой от-
кретной реализации систем КРК. Иначе говоря, по-
дельную задачу, в отличие от зондирования фазо-
бочные каналы утечки нельзя рассматривать без ка-
вых модуляторов, поскольку состояние модулятора
ких-то дополнительных модельных соображений, в
интенсивности в отличие от зондирования фазовых
отличие от атак только на передаваемые квантовые
модуляторов не дает «прямой» информации о пе-
состояния. Метод позволяет физически осмысленно
редаваемом бите ключа, а лишь о состоянии decoy
включать в рассмотрение различные побочные ка-
state, т. е. информацию об интенсивности передава-
налы утечки информации. Побочные каналы утеч-
емого состояния.
ки информации в квантовой криптографии также
Четвертый класс — атаки, при которых внешним
приходится рассматривать на квантовом уровне, в
зондированием изменяют штатную работу элемен-
отличие от побочных каналов в классической крип-
тов, например, лавинных детекторов.
тографии. Оказывается невозможным рассматри-
Для систем с фазовым кодированием атаки с
вать часть сигналов классическим, а часть сигна-
ослеплением лавинных детекторов, которые предла-
лов квантовым образом. На это существует, по край-
гались ранее, оказываются неэффективными и при-
ней мере, две причины. Во-первых, интенсивность
водят к детектированию атаки [21, 22]. Других мо-
сигналов в побочных каналах может быть предель-
дификаций атаки с ослеплением еще не было пред-
но слабой, т. е. побочный сигнал является, по сути,
ложено. Аналогично детектируется атака Detectors
квантовым. Во-вторых, подслушиватель может про-
Mismatch [23].
водить совместные коллективные измерения побоч-
Попытки обобщения Decoy State-метода [24-26]
ного квантового сигнала и квантового информаци-
при активном зондировании модулятора интенсив-
онного состояния. Такое совместное измерение дает
ности были предприняты в ряде работ [27,28]. Это
больше информации подслушивателю, чем отдель-
обобщение, по сути, является попыткой сведения
ные аддитивные измерения информационных кван-
к задаче оптимизации — решению системы урав-
товых состояний и квантового побочного сигнала,
нений с бесконечным числом неизвестных (вероят-
поэтому все рассмотрение изначально должно быть
ностей в искаженных пуассоновских распределени-
квантовым.
ях), которая решается численно методами линейно-
го программирования и путем усечения сумм иска-
2. ОБЩАЯ ИДЕОЛОГИЯ АНАЛИЗА
женных пуассоновских распределений. То есть в ра-
TROJAN-HORSE-АТАК НА СИСТЕМЫ
ботах [27,28] сделана попытка рассматривать утеч-
КВАНТОВОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ
ку информации по побочным каналам только на ос-
новании фундаментальных принципов, что вряд ли
С формальной точки зрения учет всевозможных
возможно. Подсчет утечки информации при атаке
атак сводится к вычислению условной энтропии фон
только на передаваемые квантовые состояния воз-
Неймана Алиса-Ева (или сглаженной энтропии Ре-
можен на основе только фундаментальных принци-
ньи) с учетом детектирования состояний в побочных
пов, так как структура посылаемых в канал связи
каналах, а также атак на квантовые состояния в ка-
квантовых состояний известна, но структура кван-
нале связи.
товых состояний в побочных каналах связи неиз-
Общая идеология учета различных атак будет
вестна. Например, структура побочного излучения
сводится к следующему. Поскольку при атаках на
передающей станции при приготовлении информа-
техническую реализацию уже не удается восполь-
ционных квантовых состояний, в силу огромного
зоваться энтропийными соотношениями неопреде-
числа степеней свободы передающей аппаратуры
ленностей, приходится строить атаки Евы явно.
(излучение квантового генератора случайных чисел,
Невозможность использовать энтропийные соотно-
фазового модулятора, различных внутренних пере-
шения неопределенностей при подсчете утечек ин-
дающих шин аппаратуры и пр.), точно неизвестна,
формации по побочным каналам связана с тем,
поэтому невозможно обойтись без каких-то модель-
что в энтропийных соотношениях неопределеннос-
968
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
Passive side channel (p)
Alice
Bob
Active side
channel (MI)
D1
QC
Laser
PM
MI
Active side
Passive side
D2
channel (PM)
channels (D1,D2)
QTRNG
Рис. 1. Схематическое изображение передающей (Alice), принимающей (Bob) станций и различных побочных каналов
утечки информации. Приняты следующие обозначения: Laser — лазер, QTRNG — квантовый генератор случайных чисел,
PM — фазовый модулятор, MI — модулятор интенсивности, QC — квантовый канал связи. Passive side channel (p) —
побочный канал утечки, связанный с полным излучением аппаратуры передающей станции, Active side channel (PM),
(MI) — побочные каналы утечки, связанные с активным зондированием фазового модулятора и модулятора интенсивно-
сти, Passive side channels (D1, D2) — каналы утечки, связанные с переизлучением лавинных детекторов D1 и D2
тей нехватка информации Евы о битовой строке
будут получены формулы с учетом всех побочных
Алисы выражается через нехватку информации Бо-
каналов утечки информации совместно с атакой на
ба на приемной станции, которая выражается через
квантовые состояния в канале.
возмущение (наблюдаемую ошибку) информацион-
Затем (второй этап анализа) будет изложен мо-
ных состояний, детектируемых на приемной сто-
дифицированный Decoy State-метод, который позво-
роне. При побочных каналах утечки информации
ляет получить оценки для доли однофотонной ком-
измерение сигналов в побочном канале не произво-
поненты с учетом зондирования модулятора интен-
дит ошибок на приемной стороне, поэтому не де-
сивности.
тектируется через возмущение информационных со-
Далее будут приведены формулы для длины сек-
стояний на стороне Боба. По этой причине энтро-
ретного ключа, где будет использована оценка доли
пийных соотношений неопределенностей даже в од-
однофотонной компоненты по модифицированному
нофотонном случае уже недостаточно для подсче-
Decoy State-методу. Однофотонная компонента уже
та полной утечки информации к подслушивателю.
будет включать в себя совместные атаки с учетом
Приходится учитывать данную утечку явным обра-
всех побочных каналов утечки и атак на информа-
зом еще и при условии, что точный вид квантового
ционные квантовые состояния в квантовом канале
состояния в побочном канале полностью точно неиз-
связи.
вестен.
При разработке методики расчетов будем рас-
Будем решать задачу в несколько этапов. Для
сматривать протокол BB84, вся идеология расче-
различных атак: с пассивным детектированием из-
тов переносится и на другие протоколы. «Обкатку»
лучения, активным зондированием фазового моду-
идеологии расчетов имеет смысл проводить на хо-
лятора, а также совместных атак на квантовые со-
рошо известном протоколе, для которого известны
стояния в канале и побочное (пассивное и актив-
точные результаты в разных предельных ситуациях.
ное) излучение, будут получены явные формулы для
На данном этапе учитываются активные ата-
длины секретного ключа для однофотонной компо-
ки на станцию Алисы, методика расчета позволяет
ненты. Информация, которую можно получить из
учесть атаки на станцию Боба.
многофотонных компонент информационных состо-
Удобно графически изобразить атаки на техни-
яний, как упоминалось, «отдается» подслушивате-
ческую реализацию. Схематически атаки с пассив-
лю.
ным детектированием побочного излучения и актив-
На следующих этапах будет учтено детектиро-
ным зондированием элементов системы представле-
вание переизлучения лавинных детекторов. Далее ны на рис. 1.
969
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
3. УЧЕТ РАЗЛИЧНЫХ АТАК:
че, а лишь об интенсивности когерентных состоя-
КАЧЕСТВЕННОЕ РАССМОТРЕНИЕ
ний, используемых в Decoy State-методе. Информа-
ция об интенсивности когерентных состояний мо-
Защита от пассивного детектирования побочного
жет быть опосредовано использована для определе-
излучения при работе аппаратуры сводится к экра-
ния передаваемых битов ключа. Активное зондиро-
нированию системы. Интенсивность сигналов непо-
вание модулятора интенсивности дает дополнитель-
средственно от работы самих элементов известна
ную информацию подслушивателю о том, какой тип
(может и должна быть измерена при специальных
состояния передается — информационное состояние
исследованиях), поэтому, выбирая уровень экрани-
или состояние «ловушка». Это приводит к тому, что
ровки аппаратуры, можно указать верхнюю грани-
стандартный Decoy State-метод перестает работать,
цу интенсивности побочного излучения, которое до-
поэтому требуется его модификация с учетом актив-
ступно для детектирования подслушивателем.
ного зондирования модулятора интенсивности (см.
При атаке с зондированием внешним излучением
ниже).
интенсивность входного излучения, которая, вооб-
Учет каждого канала утечки информации сво-
ще говоря, неизвестна, определяется подслушивате-
дится к введению в рассмотрение квантовых со-
лем. Поэтому интенсивность отраженных состояний
стояний, отвечающих за данный канал. Секретная
от элементов системы также неизвестна.
часть ключа набирается из однофотонной части
Возможны два способа детектирования атаки с
когерентных состояний, поэтому, кроме унитарной
активным зондированием. Первый — активный спо-
атаки непосредственно на квантовые состояния в
соб, когда детектируется сам зондирующий сигнал
квантовом канале связи, возможна совместная ата-
различными сторожевыми детекторами. Возможен
ка на информационные квантовые состояния в ка-
второй, более удобный, надежный и простой спо-
нале, на квантовое состояние от излучения переда-
соб «пассивной» защиты [28]. При этом способе
ющей (приемной) аппаратуры, на отраженное кван-
нужно знать верхнюю границу интенсивности отра-
товое состояние от фазового модулятора, на кванто-
женных состояний. Зная верхнюю границу интен-
вое состояние, связанное с переизлучением лавин-
сивности входного зондирующего излучения, мож-
ных детекторов. Квантовые состояния в побочных
но указать и верхнюю границу интенсивности от-
каналах определяются конкретной реализацией ап-
раженных состояний, поскольку коэффициенты по-
паратуры. Отраженные зондирующие квантовые со-
терь в приемной части системы известны. Будем
стояния от модулятора интенсивности учитываются
рассматривать именно этот способ защиты от атак
на следующем этапе анализа при оценке доли одно-
активного зондирования. Граница по максималь-
фотонной компоненты состояний, при этом исполь-
ной интенсивности отраженных зондирующих со-
зуется модифицированный Decoy State-метод. Дан-
стояний может быть получена из тех соображений,
ный подход позволяет получить явные аналитичес-
что интенсивность входного излучения не может
кие формулы для длины секретного ключа, кото-
превышать границу термического разрушения во-
рые имеют простую и интуитивно понятную фи-
локна (см. подробный анализ в работах [20-31], а
зическую интерпретацию. Ниже будут определены
также [32]). Данным способом определяется верх-
параметры побочного излучения и параметры отра-
няя граница интенсивности входного зондирующе-
женного излучения, при которых возможно секрет-
го излучения, соответственно, верхняя граница ин-
ное распределение ключей на заданную длину ли-
тенсивности выходного отраженного зондирующего
нии связи.
излучения. Вводя в систему пассивные оптические
элементы с нужными коэффициентами ослабления,
можно гарантировать верхнюю границу интенсив-
4. КАКИЕ ВЕЛИЧИНЫ ТРЕБУЕТСЯ
ности отраженных состояний, доступных для изме-
ВЫЧИСЛЯТЬ ДЛЯ ОЦЕНКИ ДЛИНЫ
рения подслушивателем.
СЕКРЕТНОГО КЛЮЧА?
Активное зондирование фазового модулятора и
модулятора интенсивности принципиально отлича-
При вычислении длины секретного ключа в
ются друг от друга в том смысле, что активное
асимптотическом пределе длинных последователь-
зондирование состояния фазового модулятора несет
ностей необходимо знать условную энтропию
непосредственно информацию о передаваемом клю-
фон Неймана Алиса-Ева. Поправки к длине
че, а активное зондирование модулятора интенсив-
секретного ключа при конечных передаваемых
ности не несет непосредственно информацию о клю-
последовательностях в дальнейшем выражаются
970
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
через эту величину, ε-поправки возникают и под-
При учете побочных каналов утечки информации
считываются фактически классическим образом
и активном зондировании напрямую воспользовать-
как поправки при оценке параметров уже класси-
ся энтропийными соотношениями неопределенно-
ческих распределений, что может быть проведено
стей для оценки условной энтропии Алиса-Ева уже
на следующем этапе анализа.
не удается и приходится строить атаки Евы явно.
Ограничимся пределом асимптотически длин-
Ниже будут рассмотрены различные атаки с учетом
ных последовательностей. Длина секретного ключа
побочных каналов утечки информации.
n дается общей формулой [11]
n
=
= Hεmin(X|E) - leak,
(1)
5. ПОБОЧНЫЙ КАНАЛ УТЕЧКИ,
n
СВЯЗАННЫЙ С ИЗЛУЧЕНИЕМ
где n — число зарегистрированных посылок в бази-
АППАРАТУРЫ ПЕРЕДАЮЩЕЙ СТАНЦИИ
се, leak — информация в битах в пересчете на одну
посылку, фактически израсходованная на коррек-
Кроме атаки непосредственно на информацион-
цию ошибок Алисой и Бобом, Hεmin(X|E) — услов-
ные состояния в канале связи, Ева может пассив-
ная сглаженная минимальная энтропия, X ∈ X =
но детектировать побочное излучение, вызванное
= {0, 1}n — битовая строка Алисы, E — квантовая
работой аппаратуры передающей станции. Данный
система Евы, коррелированная с битовой строкой.
канал утечки информации описывается введением
Неформально Hεmin(X|E) есть дефицит информа-
квантового состояния, которое описывает побочное
ции подслушивателя о битовой строке Алисы. Дан-
излучение.
ная величина включает в себя всевозможные атаки
Атака Евы на однофотонные информационные
Евы.
состояния в квантовом канале связи определяет-
В асимптотическом пределе n → ∞ сглаженная
ся унитарным оператором, который определяет-
минимальная энтропия в (1) переходит в условную
ся Евой. Оптимальная унитарная атака, достига-
энтропию фон Неймана [11]:
ющая нижнюю границу энтропийных соотношений
неопределенностей (3), может быть построена явно
Hεmin(X|E) → H(X|E),
(2)
[14]. Для унитарной атаки на информационные со-
H(X|E) = H(ρXEE ) = H(ρXE ) - H(ρE ),
стояния в базисе + имеем (см. детали, например,
где H(ρ) = -Tr log(ρ)}, ρXE — матрица плотности
в [14])
Алиса-Ева, которая содержит всю информацию об
атаках Евы.
|0+X ⊗ |0+Y → |0+X ⊗ UBE (|0+Y ⊗ |E〉Q) =
Без побочных сигналов и активного зондирова-
= |0+X [
1 - Q|0+Y ⊗ |Φ0+Q +
ния условная энтропия Алиса-Ева для однофотон-
ных состояний может быть оценена из фундамен-
+
Q|1+Y ⊗ |Θ0+Q],
(5)
тальных энтропийных соотношений неопределенно-
где |0+X — эталонное состояние на стороне Алисы,
стей [12,13]:
доступное только ей, |0+Y
— состояние, кото-
H (X+|E) + H(X×|Y×) 1.
(3)
рое посылается к Бобу через квантовый канал свя-
Индексы + и × относятся к прямому и сопря-
зи, UBE — унитарный оператор Евы, который содер-
женному базисам протокола BB84, H(X×|Y×) =
жит способ атаки Евы на передаваемое в квантовом
= h(Q) — классическая энтропия Алиса-Боб, Y ×
канале состояние Боба, |E〉Q — исходное вспомога-
∈ Y = {0,1}n — битовая строка Боба, содержащая
тельное состояние Евы — ancilla, |Φ0+Q и |Θ0+Q
наблюдаемые ошибки с вероятностью Q, h(Q) =
искаженные состояния, возникающие из вспомога-
= -Q log(Q) - (1 - Q)log(1 - Q) — бинарная энтро-
тельного состояния Евы.
пийная функция Шеннона. Как видно из (3), утечка
Формула
(5) представляет собой разложение
информации к подслушивателю в базисе + оцени-
Шмидта, параметр Q пока является свободным. Ни-
вается через возмущение состояний (ошибку Q) на
же увидим, что Q есть наблюдаемая ошибка на
приемной стороне в сопряженном базисе ×, соответ-
приемной стороне, которая возникает при атаке на
ственно наоборот.
квантовые состояния в канале связи. Детектирова-
С учетом (1)-(3) получается известная формула
ние побочного излучения не приводит к ошибкам.
для длины ключа в однофотонном случае [9-11,13]:
Индекс «Q» (от Quantum) у состояний Евы симво-
лизирует атаку на квантовые информационные со-
n
= lim
= 1 - 2h(Q).
(4)
стояния. Аналогичное выражение имеет место, ког-
n→∞
n
971
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
да в канал передается состояние |1+X ⊗|1+Y . Име-
сигнал также можно рассматривать как квантовый,
ем
поскольку квантовое описание является более об-
щим и включает классическое описание как пре-
|1+X ⊗ |1+Y → |1+X ⊗ UBE (|1+Y ⊗ |E〉Q) =
дельный случай, когда сигнал содержит большое
число фотонов. Вся разница состоит только в степе-
= |1+X [
1 - Q|1+Y ⊗ |Φ1+Q +
ни различимости сигналов, отвечающих приготав-
+
Q|0+Y ⊗ |Θ1+Q].
(6)
ливаемому 0 или 1. Чем интенсивней сигнал, тем
больше степень различимости пары сигналов для 0
В формуле (6) обозначения и состояния аналогичны
и 1. Более формально, для классических сигналов
используемым в формуле (5). Аналогичные выраже-
вероятность различения стремится к единице, со-
ния имеют место в сопряженном базисе ×.
ответственно, вероятность ошибки различения стре-
Измерения Боба в базисе + даются разложением
мится к нулю. С понижением интенсивности сигна-
единицы IY+:
ла вероятность различения уменьшается. В пределе
отсутствия побочного сигнала бесконечно сильная
IY + = |0+Y Y0+| + |1+Y Y1+|,
(7)
(полная) экранировка — сигнал для обоих приготав-
аналогично в сопряженном базисе ×.
ливаемых состояний для 0 и 1 — отвечает вакуум-
После измерений Боба матрица плотности Али-
ному состоянию излучения. При этом вероятность
са-Боб-Ева принимает вид
различения стремится к нулю, соответственно веро-
ятность ошибки различения стремится к 1/2.
1
Таким образом, чтобы описать любой уровень
ρXYQ =
|0+XX0+| ⊗ [(1 - Q) ×
2
интенсивности побочных сигналов, необходимо ввес-
× |0+Y Y0+| ⊗ |Φ0+QQΦ0+| +
ти пару квантовых состояний, отвечающих приго-
+ Q|1+Y Y1+| ⊗ |Θ0+QQΘ0+|] +
товлению 0 или 1. Сам явный вид квантовых состо-
яний не потребуется, поскольку различимость состо-
1
+
|1+XX1+| ⊗ [(1-Q)|1+YY1+| ⊗ |Φ1+QQ ×
яний определяется только их скалярным произведе-
2
нием, которое есть вероятность различения состоя-
× 〈Φ1+| + Q|0+Y Y0+| ⊗ |Θ1+QQΘ1+|].
(8)
ний. Вероятность различения может и должна быть
Учтем теперь побочное излучение аппаратуры Али-
измерена экспериментально для данной аппарату-
сы, которое пассивно может детектироваться Евой.
ры.
С формальной точки зрения возникает дополни-
Отметим еще один важный факт. Введение по-
тельный канал утечки информации, который необ-
бочного излучения как квантового состояния поз-
ходимо включить в анализ.
воляет учесть комбинированные совместные изме-
Детектирование побочного излучения не приво-
рения побочного излучения и квантовых состояний
дит к ошибкам на приемной стороне, поскольку не
в канале (при условии, что побочный сигнал рас-
затрагивает напрямую информационные квантовые
сматривается как квантовый). Еще раз отметим, что
состояния в канале, однако влияет на длину секрет-
детектирование побочного излучения эффективно
ного ключа. Уже в этом месте видно, что анализ сек-
увеличивает различимость квантовых информаци-
ретности систем КРК с учетом побочного излучения
онных состояний и при этом не приводит к ошибке
не может быть сделан только с использованием энт-
на приемной стороне (см. ниже формулу (18)) для
ропийных соотношений неопределенностей, которые
длины секретного ключа.
связывают утечку информации к Еве с возмущени-
Идея включения пассивного побочного излуче-
ем (ошибкой) информационных состояний на сто-
ния состоит во введении двух дополнительных кван-
роне Боба.
товых состояний в каждом базисе + и × (далее ин-
Состояния побочного излучения «привязаны» к
декс базиса опускаем, поскольку анализ аналоги-
состояниям Алисы в том смысле, что приготовление
чен для каждого базиса), описывающих побочное
того или иного информационного состояния Алисой
излучение. Наиболее общим описанием квантового
приводит к побочному излучению аппаратуры. При-
состояния является описание при помощи матри-
чем интенсивность данного излучения может быть
цы плотности. Умозрительно можно провести пол-
как предельно слабой, так и интенсивной (при неак-
ную квантовую томографию побочного излучения
куратной экранировке аппаратуры). Независимо от
во всех спектральных диапазонах для данной кон-
интенсивности побочный сигнал следует рассмат-
кретной реализации системы КРК. Однако из-за
ривать как квантовый. Интенсивный классический
огромного числа степеней свободы передающей ап-
972
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
1.0
1.0
1-
p
= 0.50
1
-
Q
= 0.015
2
0.65
2
0.025
0.8
1
0.8
3
0.75
3
0.045
1
4
-
0.85
4
0.075
2
0.6
0.6
2
3
0.4
0.4
3
0.2
0.2
4
a
4
б
0
0
0.05
0.10
0.11
0.5
0.6
0.7
0.8
0.9
1.0
Q
p
1.0
1-
= 1.0
2-
0.8
0.8
1
3
-
0.6
4
-
0.5
0.6
0.4
2
0.2
3
в
4
0
0.05
0.10
0.15
Q
Рис. 2. Зависимости от Q, p длины секретного ключа в пересчете на одну позицию для однофотонного случая при
различных побочных каналах утечки информации. a) Зависимости длины секретного ключа от наблюдаемой ошибки на
приемной стороне Q при различных значениях вероятности различимости p состояния побочного излучения аппаратуры
передающей станции. б) Зависимости длины секретного ключа от вероятности различимости p состояний побочного из-
лучения передающей аппаратуры при различных значениях наблюдаемой ошибки Q на приемной стороне. в) Зависимости
длины секретного ключа от наблюдаемой ошибки на приемной стороне Q для случая активного зондирования фазового
модулятора (параметр перекрытия — различимости η состояний, отраженных от фазового модулятора излучения)
паратуры никто таких измерений в полном объе-
ти (вероятности ошибки различения, далее пара-
ме не делал и вряд ли сможет сделать. Неизбежно
метр p) квантовых состояний побочного излучения,
приходится прибегать к каким-то модельным сооб-
которые отвечают приготовлению информационно-
ражениям относительно квантовой структуры мат-
го состояния 0 и 1. Параметр p подлежит экспери-
рицы плотности побочного излучения. Как увидим
ментальному определению и является параметром
ниже, необязательно точно знать структуру матри-
данной аппаратуры.
цы плотности для побочного излучения, для 0 и 1.
Таким образом, учет побочного излучения от ап-
Для анализа достаточно знать степень различимос- паратуры Алисы сводится к введению дополнитель-
973
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
ного канала между Алисой и Евой. Приготовление
6. ПОБОЧНЫЙ КАНАЛ УТЕЧКИ,
состояний |0+XX0+| и |1+XX1+| Алисой приво-
СВЯЗАННЫЙ С АКТИВНЫМ
дит к побочному излучению, которое пассивно де-
ЗОНДИРОВАНИЕМ ФАЗОВОГО
МОДУЛЯТОРА НА ПЕРЕДАЮЩЕЙ
тектируется Евой. Дополнительный побочный ка-
СТАНЦИИ
нал Алиса-Ева описывается матрицей плотности:
|0+XX0+| → |0+XX0+| ⊗ [(1 - p)|e0SA SA ×
Учет квантового канала утечки, связанного с ак-
(9)
тивным зондированием состояния фазового модуля-
× 〈e0| + p|e1SA SA 〈e1|],
тора, проводится аналогичным способом — введе-
нием дополнительного квантового канала связи, с
|1+XX1+| → |1+XX1+| ⊗ [(1 - p)|e1SA SA ×
той лишь разницей, что состояние отраженного из-
(10)
× 〈e1| + p|e0SA SA 〈e0|].
лучения задается Евой посредством задания вход-
ного зондирующего излучения. После отражения от
Логика здесь следующая. Поскольку состояние ап-
фазового модулятора зондирующего излучения Ева
паратуры Алисы Еве полностью неизвестно, Ева
имеет в своем распоряжении квантовое состояние
«видит» в побочном канале (индекс «SA» — от Side
|E0QA , если фазовый модулятор был в состоянии
Channel Alice-Eve) не чистые квантовые состояния
приготовления информационного состояния, отве-
|e0SA или |e1SA , а статистическую смесь -- мат-
чающего логическому 0. Например, Ева может зон-
рицу плотности. Отметим, во избежание недоразу-
дировать когерентным состоянием, поскольку все
мений, что индексы «0» и «1» в состояниях выше
внутреннее устройство системы КРК считается из-
не более чем обозначение и не привязаны напрямую
вестным Еве, и Ева может откалибровать на части
к индексам информационных состояний 0 и 1 (это
посылок отраженные состояния, включая фазу от-
отчетливо будет видно при обсуждении рис. 2б)).
раженного когерентного зондирующего состояния.
Различение состояний при детектировании проис-
Поэтому в пользу Евы будем считать, что отражен-
ходит с вероятностью ошибки p. Сами состояния
ное состояние является чистым квантовым состоя-
|e0SA или |e1SA можно считать ортогональными,
нием. В этом случае вместо (9), (10) имеем с учетом
поскольку ошибка их различения уже заложена в
отраженного квантового состояния:
матрицу плотности побочного канала — фактически
матрица плотности сразу записана в диагональном
представлении. Итак, наличие побочного излучения
|0+XX0+| ⊗ [(1 - p)|e0SA SA ×
можно свести к дополнительному бинарному кана-
(11)
× 〈e0| + p|e1SA SA 〈e1|] ⊗ |E0QA QA 〈E0|.
лу между Алисой и Бобом с ошибкой p. Отметим,
что возможны и другие побочные каналы, напри-
Аналогично, для случая приготовления информаци-
мер, квантовый гауссовский канал. Без ограничения
онного состояния, отвечающего логической 1 имеем
общности данный канал можно считать симметрич-
ным для 0 и 1. Обобщение на случай, когда Ева раз-
личает 0 и 1 в побочном канале с разной вероят-
ностью (несимметричный канал) проводится прос-
|1+XX1+| ⊗ [(1 - p)|e1SA SA 〈e1|+p|e0SA SA ×
тым способом. Только лишь для того, чтобы не за-
(12)
громождать выкладки несложными техническими
× 〈e0|] ⊗ |E1QA QA 〈E1|.
деталями вычислений, ограничимся симметричным
случаем.
В зависимости от реализации системы КРК возмож-
Важно отметить, как будет видно ниже, что Ева
но активное зондирование состояния фазового моду-
может использовать совместные коллективные из-
лятора на приемной станции. Для отдельных реали-
мерения квантового состояния побочного излучения
заций систем КРК фазовый модулятор на приемной
и искаженных состояний ancilla, которые возника-
станции отсутствует (например, в системе [14]), это
ют при атаке на информационные квантовые состо-
снимает вопросы, связанные с зондированием фа-
яния. Отметим, забегая вперед, что формулы, при-
зового модулятора на приемной станции и утечками
веденные ниже для оценки длины секретного клю-
на приемной станции по данному побочному каналу,
ча при различных атаках, включают в себя коллек-
что улучшает защищенность системы. Имея в виду
тивные совместные измерения побочных квантовых
такие реализации системы КРК, активное зондиро-
сигналов и информационных состояний в квантовом
вание фазового модулятора на приемной станции не
канале связи.
учитываем, как не актуальное.
974
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
1
7. ПОБОЧНЫЙ КАНАЛ УТЕЧКИ,
ρXYSAQAQSB =
|0+XX0+| ⊗ [(1 - p)|e0SA SA ×
СВЯЗАННЫЙ С ПЕРЕИЗЛУЧЕНИЕМ
2
ЛАВИННЫХ ДЕТЕКТОРОВ НА ПРИЕМНОЙ
× 〈e0| + p|e1SA SA 〈e1|] ⊗ |E0QA QA 〈E0| ⊗
[
СТАНЦИИ
(1 - Q)|0+YY0+| ⊗ |Φ0+QQΦ0+| ⊗
[(1 - d)|d0SB SB 〈d0| + d|d1SB SB 〈d1|] +
Еще одним реальным каналом утечки информа-
+ Q|1+Y Y1+| ⊗ |Θ0+QQΘ0+| ⊗
ции является переизлучение лавинных детекторов
при срабатывании. Известно, что рождение лави-
[(1 - d)|d1SB SB 〈d1| + d|d0SB SB 〈d0|]] +
1
ны носителей при регистрации фотонов в лавинных
+
|1+XX1+| ⊗ [(1 - p)|e1SS 〈e1| + p|e0SS ×
детекторах приводит к обратному излучению из-за
2
[
рекомбинации неравновесных носителей из лавины,
× 〈e0|] ⊗ |E1QA QA 〈E1| ⊗
(1 - Q)|1+YY1+| ⊗
которое можно регистрировать и тем самым узнать,
⊗ |Φ1+QQΦ1+ | ⊗ [(1 - d)|d1SB SB 〈d1| +
какой из лавинных детекторов сработал: отвечаю-
+ d|d0SB SB 〈d0|] + Q|0+Y Y0+| ⊗ |Θ1+QQ ×
щий регистрации 0 или регистрации 1. Обычно в
× 〈Θ1+| ⊗ [(1 - d)|d0SB SB 〈d0| + d|d1SB SB ×
системах КРК используются два лавинных детек-
× 〈d1|]] .
(15)
тора, в заданном базисе один отвечает за регистра-
цию 0, второй — за регистрацию 1. На формальном
Напомним, что канал утечки, связанный с зондиро-
уровне это означает, что к состояниям |0+YY0+|
ванием модулятора интенсивности, будет проведен
и |1+YY1+| на приемной стороне нужно «привя-
на следующем этапе при модификации Decoy Sta-
зать» квантовые состояния — матрицы плотности,
te-метода.
отвечающие квантовому состоянию обратного излу-
чения. Поскольку переизлученное квантовое состо-
яние заведомо некогерентное, описание с помощью
8. УТЕЧКА ИНФОРМАЦИИ ПРИ
матрицы плотности является естественным. Анало-
КОРРЕКЦИИ ОШИБОК
гично (9)-(12) получаем, что каждое квантовое со-
стояние для 0 и 1 на приемной стороне нужно заме-
Коррекция ошибок в «сырых» ключах также мо-
жет рассматриваться как побочный канал утечки
нить,
через открытый классический канал связи, через ко-
торый легитимные пользователи передают коррек-
|0+YY0+| → |0+YY0+| ⊗ [(1 - d)|d0SB SB ×
тирующую информацию — синдром ошибок и пр.
(13)
Принципиальное отличие данного побочного кана-
× 〈d0| + d|d1SB SB 〈d1|],
ла от других побочных каналов состоит в том, что
Алиса и Боб точно знают, какую информацию они
раскрывают через данный канал, в отличие от дру-
гих побочных каналов.
|1+YY1+| → |1+YY1+| ⊗ [(1 - d)|d1SB SB ×
Матрица плотности Алиса-Боб ρXY , определяю-
× 〈d1| + d|d0SB SB 〈d0|],
(14)
щая количество информации, расходуемое при кор-
рекции ошибок, дается частичным следом по всем
где d
— вероятность ошибки различения одно-
состояниям Евы в (15), включая побочные каналы.
го из двух переизлученных квантовых состояний,
Имеем
|d0,1SB — квантовые состояния обратного излуче-
1
ния, которые по тем же соображениям, как и в слу-
ρXY =
|0+XX0+| ⊗ [(1 - Q)|0+YY ×
чае пассивного побочного излучения в (9), (10) мож-
2
1
но считать без ограничения общности ортогональ-
× 〈0+| + Q|1+XX1+|] +
|1+XX ×
2
ными. Опять, лишь для того чтобы не загромождать
× 〈1+| ⊗ [(1 - Q)|1+Y Y1+| + Q|0+XX0+|].
(16)
вычисления простыми, но не достаточно короткими
выкладками, считаем данный побочный канал сим-
Для матрицы плотности Боба ρY находим
метричным. Обобщение на общий несимметричный
случай делается аналогично.
1
ρY =
[|0+YY0+| + |1+YY1+|].
(17)
2
Матрица плотности Алиса-Боб-Ева с учетом
упомянутых выше побочных каналов утечки инфор-
Условная энтропия Алиса-Боб есть минимальное
мации принимает вид
количество информации в битах, расходуемое на
975
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
коррекцию ошибок. В шенноновском пределе с уче-
причем собственные числа двукратно вырождены.
том (16) получаем
С учетом (20), (21) получаем выражение для энтро-
пии,
H(X|Y ) = H(ρXYY ) =
(22)
H(ρXSAQAQSB ) = 1 + h(p) + h(d) + h(Q).
= H(ρXY ) - H(Y ) = h(Q).
(18)
). Для матри-
Перейдем к вычислению H(ρSAQAQSB
Отметим, что в информацию h(Q) в (18), расходу-
цы плотности ρSAQAQSB находим
емую на коррекцию ошибок, не входят параметры
побочного излучения, поскольку измерение состоя-
1
ний в побочных каналах (пусть даже вместе с ин-
ρSAQAQSB =
[(1 - p)|e0SA SA 〈e0| + p|e1SA SA ×
2
формационными) не приводит к ошибкам на прием-
× 〈e1|] ⊗ |E0QA QA 〈E0| ⊗ [(1 - Q)|Φ0+QQ ×
ной стороне, что, на наш взгляд, естественно с точки
× 〈Φ0+| ⊗ [(1 - d)|d0SB SB 〈d0| + d|d1SB SB ×
зрения физической интуиции.
× 〈d1|] + Q|Θ0+QQΘ0+| ⊗ [(1 - d)|d1SB SB ×
× 〈d1| + d|d0SB SB 〈d0|]] +
9. ПОЛНАЯ УТЕЧКА ИНФОРМАЦИИ К
1
+
ПОДСЛУШИВАТЕЛЮ
[(1-p)|e1SS 〈e1|+p|e0SS 〈e0|] ⊗ |E1QA QA ×
2
В формулу для длины секретного ключа входит
× 〈E1| ⊗ [(1-Q)|Φ1+QQΦ1+| ⊗ [(1-d)|d1SB SB ×
условная энтропия Алиса-Ева, которая выражается
× 〈d1| + d|d0SB SB 〈d0|] + Q|Θ1+QQ ×
через матрицы плотности ρXSAQAQSB и ρSAQAQSB .
× 〈Θ1+| ⊗ [(1 - d)|d0SB SB ×
Неформально, данная величина отвечает за нехват-
(23)
× 〈d0| + d|d1SB SB 〈d1|]] .
ку информации Евы о битовой строке Алисы при
условии, что Ева имеет в своем распоряжении кван-
Собственные числа ρSAQAQSB определяются кор-
товые системы, отвечающие всевозможным каналам
нями секулярных уравнений
утечки информации. С учетом (15) получаем
(
)
Ai - λ εη(Ci - λ)
Det
= 0,
(24)
1
εη(Ci - λ)
Bi - λ
ρXSAQAQSB =
|0+XX0+| ⊗ [(1 - p)|e0SA SA ×
2
где
× 〈e0| + p|e1SA SA 〈e1|] ⊗ |E0QA QA 〈E0| ⊗
A1 = (1 - p)(1 - d) + pdε2η2,
[(1 - Q)|Φ0+QQΦ0+| ⊗ [(1 - d)|d0SB SB ×
B1 = (1 - p)(1 - d)ε2η2 + pd,
(25)
× 〈d0| + d|d1SB SB 〈d1|] + Q|Θ0+QQΘ0+ | ⊗
C1 = (1 - p)(1 - d) + pd,
[(1 - d)|d1SB SB 〈d1| + d|d0SB SB 〈d0|]] +
A2 = (1 - p)d + p(1 - d)ε2η2,
1
+
|1+XX1+| ⊗ [(1 - p)|e1SS ×
2
B2 = (1 - p)2η2 + p(1 - d),
(26)
× 〈e1| + p|e0SS 〈e0|] ⊗ |E1QA QA ×
C1 = (1 - p)d + p(1 - d),
× 〈E1| ⊗ [(1-Q)|Φ1+QQΦ1+| ⊗ [(1-d)|d1SB SB ×
A3 = p(1 - d) + (1 - p)2η2,
× 〈d1| + d|d0SB SB 〈d0|] + Q|Θ1+QQ ×
B3 = p(1 - d)ε2η2 + (1 - p)d,
(27)
× 〈Θ1+| ⊗ [(1 - d)|d0SB SB 〈d0| + d|d1SB SB ×
C3 = p(1 - d) + (1 - p)d,
× 〈d1|]] .
(19)
A4 = pd + (1 - p)(1 - d)ε2η2,
Собственные числа (19) равны
B4 = pdε2η2 + (1 - p)(1 - d),
(28)
C4 = pd + (1 - p)(1 - d).
1
1
(1 - Q)(1 - p)(1 - d),
Q(1 - p)(1 - d),
2
2
Корни
(20)
1
1
(1 - Q)p(1 - d),
Qp(1 - d),
[
1
2
2
λ =
Ai + Bi - 2ε2η2Ci ±
2(1 - ε2η2)
1
1
(
(1 - Q)(1 - p) d,
Q(1 - p) d,
±
[Ai + Bi - 2ε2η2Ci]2 -
2
2
]
(21)
)1/2
1
1
- 4[AiBi - ε2η2C2i](1 - ε2η2)
(29)
(1 - Q)pd,
Qpd,
2
2
976
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
Корни
где
(
)
1
1
1
λ± =
1±
1 - 4Λ(p,ϵ)
,
(34)
(1 - Q)λ,
, , I = 1, 2, 3, 4,
(30)
2
2
2
1
{
}
Λ(p, ϵ) =
[(1 - p)+2][(1-p)ϵ2 + p]2
,
двукратно вырождены. Введем обозначение
12
χi(p, d, η, Q) =i+ log(λi+) - λi- log(λi-),
ϵ = QΦ0+|Φ1+Q = QΘ0+|Θ1+Q = 1 - 2Q
(31)
(см. детали в [14])1). Вместо (32) для энтропии име-
χ(p, d, η, Q) =
χi(p, d, η, Q).
ем
i=1
H(ρQS ) = 1 + χ(p, ϵ) + h(Q),
(35)
В итоге
H(ρXQSQS ) = h(p) - χ(p, ϵ),
где
H (ρXSAQAQSBSAQAQSB ) =
χ(p, ϵ) =+ log(λ+) - λ- log(λ-).
= h(p) + h(d) - χ(p, d, η, Q).
(32)
Принимая во внимание (35), для длины секретного
Для оценки длины секретного ключа в строго одно-
ключа получаем
фотонном случае с учетом (16), (32) получаем
n
=
= h(p) - χ(p, ϵ) - h(Q).
(36)
n
n
= lim
= h(p)+h(d)(p, d, η, Q)-h(Q), (33)
n→∞ n
Данный результат имеет ясную интуитивную интер-
где утечка информации при коррекции ошибок взя-
претацию. Если Ева не вторгается в квантовый ка-
та в шенноновском пределе. При коррекции конст-
нал, а получает информацию о ключе, только реги-
руктивными кодами последнее слагаемое в правой
стрируя побочное излучение от аппаратуры, то фак-
части (33) нужно заменить h(Q) leak — на ре-
тически Ева и Алиса находятся в ситуации бинар-
альное число битов в пересчете на одну позицию,
ного канала с информационными состояниями для
раскрытое при коррекции ошибок.
Евы (9), (10). В этом случае нехватка информации
Отметим во избежание недоразумений следую-
Евы о битовой строке Алисы определяется условной
щее. В формуле (33), на первый взгляд, первые два
энтропией бинарного канала с вероятностью ошиб-
слагаемых при значениях параметров p = d = 0.5
ки различения p и условной энтропией h(p). Длина
(полная неразличимость состояний в побочных ка-
секретного ключа определяется нехваткой инфор-
налах) дают значение h(p) + h(d) = 2, однако вы-
мации Евы из побочного канала h(p), которая рав-
ражение для χ(p, d, η, Q) в (31) и величины в (33)
на классической условной энтропии бинарного клас-
определены таким образом, что величина (33) нико-
сического канала с ошибкой p [32], за вычетом ин-
гда не превышает одного бита.
формации, потраченной на коррекцию ошибок h(Q).
При этом ошибка Q не связана с побочным излуче-
нием и не зависит от него. Примеры расчетов для
10. ПРЕДЕЛЬНЫЕ СЛУЧАИ, ФИЗИЧЕСКАЯ
данного предельного случая приведены на рис. 2. Из
ИНТЕРПРЕТАЦИЯ
рис. 2a видно, что наблюдаемая критическая ошиб-
Прежде чем перейти к оценке доли однофотон-
ка на приемной стороне, до которой можно распре-
ной компоненты в информационных состояниях
делять секретные ключи при наличии побочного ка-
при помощи модифицированного Decoy State-мето-
нала, уменьшается с ростом различимости состоя-
да, полезно рассмотреть предельные случаи и дать
ний побочного излучения передающей станции. Ве-
простую и интуитивную интерпретацию получен-
личина p = 1/2 отвечает полной неразличимости со-
ных результатов.
стояний побочного излучения. В этом случае кри-
Первый случай — когда имеется один побочный
тическая ошибка совпадает с классическим резуль-
канал утечки информации, связанный с излучением
татом для протокола BB84 в однофотонном случае
передающей аппаратуры Алисы, состояние в кото-
и равна Qc 11 % (дается корнем уравнения 1 =
ром детектируется совместно с информационными
= 2h(Qc)). С увеличением p растет информация,
квантовыми состояниями. В этом случае собствен-
ные числа в (30) становятся равными
1) Отметим, что для того, чтобы получить предел в форму-
ле (34) при Q → 0, нужно воспользоваться правилом Лопита-
1
1
1
1
ля до второго порядка малости при разложении знаменателя
(1 - Q)λ+,
(1 - Q)λ-,
+,
-,
1 - ε2 и числителя до второго порядка малости по 1 - 2Q.
2
2
2
2
977
2
ЖЭТФ, вып. 6
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
получаемая из побочного канала. В принятых нами
тривиальным и содержит за кадром совместные кол-
обозначениях величина p = 1.0 (см. формулу (36))
лективные измерения.
отвечает достоверной различимости состояний по-
Чем хуже различимы состояния побочного из-
бочного излучения. В этом случае h(p = 1.0) = 0,
лучения для 0 и 1, тем параметр p ближе к 1/2 —
Ева получает достоверную информацию о каждом
полная неразличимость состояний побочного излу-
передаваемом бите ключа из побочного канала. Вто-
чения для 0 и 1. При этом h(p = 1/2) = 1 и результат
рое слагаемое в правой части формулы (36) отвеча-
переходит в длину секретного ключа для протокола
ет за информацию Евы, полученную от совместного
BB84 без учета побочного излучения. При p > 1/2
коллективного измерения квантового состояния по-
величина h(p) < 1, поэтому побочное излучение эф-
бочного излучения и информационных квантовых
фективно уменьшает длину секретного ключа (см.
состояний.
(4), (36)). Напомним, что параметр p определяется
На рис. 2б приведены зависимости длины секрет-
экранировкой данной реализации аппаратуры и, в
ного ключа при заданной наблюдаемой ошибке на
принципе, может быть определен эксперименталь-
приемной стороне при различных значениях вероят-
но.
ности p — ошибки различения состояний в побочном
Рассмотрим атаку с активным зондированием
канале утечки. Поведение зависимости от значения
состояния фазового модулятора. В этом случае для
p аналогично рис. 2a — увеличение различимости
собственных чисел матрицы плотности ρQS вместо
состояний в побочном канале ведет к уменьшению
(20), (21) находим
длины секретного ключа. Принципиально важно от-
(1+ϵ·η)
(1-ϵ·η)
метить, что в формуле (36) Ева использует коллек-
(1 - Q)
,
(1 - Q)
,
2
2
тивные измерения как над квантовым состоянием
побочного излучения, так и над информационными
(1+ϵ·η)
(1-ϵ·η)
состояниями в канале (см. замечание выше). Фак-
Q
,
Q
2
2
тически величина χ в (36) является величиной Хо-
Для энтропии получаем
лево [33, 34] для совместного квантового состояния:
побочное излучение + информационное состояние,
1+ϵ·η
это подчеркивает важность рассмотрения побочного
H(ρQS ) = χ(ϵη) + h(Q), χ(ϵη) = -
×
2
излучения как квантового сигнала. Граница Холево
(1+ϵ·η)
1-ϵ·η
(1-ϵ·η)
является достижимой при коллективных измерени-
× log
-
log
(37)
2
2
2
ях [33, 34].
Нехватка информации Евы о строке Алисы X
Окончательно, с учетом (37) для условной энтропии
при одновременной атаке на квантовые состояния
Алиса-Ева находим
и детектировании побочного излучения становится
H(ρXQSQS ) = 1 - χ(ϵη).
(38)
равной (см. (4) и (36)) h(p) - χ(p, ϵ), что меньше
значения без побочного излучения, 1 - h(Q). При
Принимая во внимание (38), в шенноновском пре-
этом величина χ(p, ϵ), по сути, есть информация Хо-
деле [26] коррекции ошибок для длины секретного
лево [33, 34], которая достигается на коллективных
ключа получаем
совместных измерениях состояния побочного излу-
чения и информационных квантовых состояний.
n
=
= H(ρXQSQS) - H(X|Y ) =
Отметим, что без вмешательства Евы в кванто-
n
вый канал (атаки на квантовые состояния) резуль-
= 1 - χ(ϵη) - h(Q),
(39)
тат выглядит тривиальным. Канал между Алисой
и Бобом в совпадающем базисе (без искажения сос-
где ϵ = 1 - 2Q и η = |QA〈E0|E1QA|.
тояний в канале) дается фактически классическим
Обсудим интерпретацию результата. Зондирова-
бинарным каналом с вероятностью ошибки Q, это
ние состояния фазового модулятора эффективно
наблюдаемая ошибка. Нехватка информации Боба
увеличивает различимость информационных кван-
о битовой строке Алисы есть h(Q), нехватка инфор-
товых состояний, не приводя при этом к дополни-
мации Евы о строке Алисы — h(p). Разность нехват-
тельным ошибкам на приемной стороне.
ки информации Евы и нехватки информации Боба
Фазы отраженных когерентных состояний «при-
о строке Алисы есть длина секретного ключа. При
вязаны» к состоянию фазового модулятора — при-
учете совместной атаки на побочное излучение и
готавливаемому информационному состоянию. В
квантовые состояния результат (36) перестает быть
пользу Евы можно считать, что фазы когерентных
978
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
состояний соответствуют фазам информационных
одном и том же значении наблюдаемой ошибки на
состояний |0+X, |1+X, |0×X, |1×X, и отражен-
приемной стороне.
ные состояния имеют вид |√μsS , |-√μsS , |i√μsS ,
|-i√μsS , где μs — среднее число фотонов в отра-
женных состояниях. Если в качестве зондирующего
11. МОДИФИКАЦИЯ DECOY
излучения используются когерентные состояния, то
STATE-МЕТОДА С УЧЕТОМ ПОБОЧНЫХ
для η получаем η = |S 〈√μS | -√μsS | = exp(-2μS ),
КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ
μS — среднее число фотонов в отраженном зонди-
рующем состоянии. При малых μs 1 для величи-
Decoy State-метод был изначально разработан
ны χ(ϵη) в (29) находим χ(ϵη) ≈ h(Q(μS )), Q(μS ) =
для детектирования PNS-атаки [24]. Данный ме-
= Q+μS. Без совместных коллективных измерений
тод позволяет оценить регистрируемую долю одно-
зондирующего излучения и квантовых состояний в
фотонной компоненты квантовых информационных
канале связи длина секретного ключа при наблюда-
состояний на приемной стороне. Секретный ключ
емой ошибке Q на приемной стороне (см. (4)) равна
набирается из однофотонной компоненты, посколь-
1-2h(Q). С учетом зондирующего излучения длина
ку для однофотонной компоненты можно получить
секретного ключа равна 1 - h(Q + μS ) - h(Q) < 1 -
оценку верхней границы утечки информации к под-
-2h(Q) и, естественно, оказывается меньше (напом-
слушивателю. Данная оценка базируется на фун-
ним, что Q < 1/2).
даментальных законах квантовой механики — эн-
Принципиально важно отметить, что в формуле
тропийных соотношениях неопределенностей. Мно-
(38) для длины секретного ключа учтены совмест-
гофотонные компоненты состояний не фигурируют
ные коллективные измерения отраженных кванто-
в секретном ключе и консервативно считаются пол-
вых зондирующих состояний и информационных
ностью известными подслушивателю. Как упомина-
квантовых состояний, что выражается в появлении
лось выше, стандартный Decoy State-метод непри-
в (38) фундаментальной верхней границы утечки
меним при наличии побочных каналов утечки ин-
информации -- границы Холево [33,34], которая до-
формации и требует модификации. Поскольку дан-
стигается на совместных коллективных измерени-
ный момент является важным, для того, чтобы яв-
ях отраженных и информационных состояний. Дан-
но обозначить на формальном уровне ту причину,
ная граница в нашем случае есть классическая про-
по которой метод требует модификации, изложим
пускная способность квантово-классического кана-
кратко исходную стандартную версию Decoy Sta-
ла связи Алиса-Ева, где информационными состо-
te-метода.
яниями для Евы являются как информационные
Исходный Decoy State-метод исходит из следую-
квантовые состояния (точнее, искаженные состоя-
щих посылок. Информационными состояниями
ния ancilla для Евы, коррелированные с информа-
являются когерентные состояния. Использует-
ционными состояниями, см. формулы (5), (6)), так
ся несколько когерентных состояний с разным
и квантовые состояния отраженного зондирующего
средним числом фотонов. Часть состояний явля-
излучения.
ются информационными, часть
— состояниями
На рис. 2в приведены иллюстрирующие расче-
«ловушками», которые используются для оценки
ты длины секретного ключа для атаки с совмест-
доли однофотонной компоненты регистрируемых
ным измерением квантовых состояний и отражен-
состояний и вероятности ошибки в однофотонной
ного зондирующего излучения от фазового моду-
компоненте информационных состояний. Фаза
лятора. Степень различимости отраженных состоя-
когерентных состояний считается полностью ран-
ний определяется скалярным произведением состо-
домизированной — равнораспределенной на отрезке
яний — параметром η. Значение η = 1.0 отвечает
[0, 2π]. Поскольку фаза когерентных состояний
ситуации полной неразличимости для подслушива-
в каждой посылке подслушивателю неизвестна,
теля отраженных состояний — полное «слипание»
подслушиватель
«видит» в канале не чистые
отраженных состояний. В этом случае критическая
когерентные состояния, а статистическую смесь
ошибка совпадает со случаем без активного зонди-
фоковских состояний с разным числом фотонов.
рования и равна Qc 11 %. Значение η = 0 от-
Статистика состояний по числу фотонов является
вечает достоверной с вероятностью единица разли-
пуассоновской.
чимости отраженных состояний — отраженные со-
Далее для определенности будем рассматривать
стояния ортогональны между собой. Уменьшение η
Decoy State-метод с тремя состояниями (одно ин-
ведет к уменьшению длины секретного ключа при
формационное, два состояния «ловушки»), соответ-
979
2*
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
ственно, со средним числом фотонов ξ
∈ I
=
В итоге Боб на приемной стороне измеряет не ис-
= {μ, ν1, ν2}. Для матрицы плотности состояний в
ходные состояния (41), а состояния (42). Измерения
канале имеем
Боба на приемной стороне описываются разложени-
ем единицы, обычно ортогональным. Удобно преоб-
(2ξ)k
разование входных состояний на стороне Боба пе-
ρx(ξ) = e-2ξ
|ΨxkBBΨxk| =
P(k)(μ)×
k!
ред регистрацией включить в операторно-значные
k=0
k=0
k
меры, имеем
(2ξ)
× |ΨxkBBΨxk|, Pk(ξ) = e-2ξ
(40)
k!
IB =
My, y ∈ Y = {0, 1}.
(43)
y∈Y
k!
|m〉1 ⊗ |k - m〉2
|ΨxkB =
exm
,
(41)
2k
m!(k - m)!
В результате измерений у Боба возникает отсчет, ко-
m=0
торый интерпретируется как логический бит y = 0
где ϕx — относительная фаза состояний, локализо-
или y = 1.
ванных во временных окнах 1 и 2, в которую коди-
Пусть Алисой было послано состояние, отвеча-
руется информация о битах ключа; состояния |m〉1
ющее логическому значению бита x = 0, 1, тогда
⊗ |k - m〉2 — фоковские состояния при фазовом ко-
условная вероятность того, что Боб зарегистриру-
дировании во временных окнах 1 и 2 (нижние ин-
ет значение y есть
дексы).
Стандартная квантово-механическая интерпре-
P(k)X|Y (y|X = x) = TrBE{Myρxk,BE}.
(44)
тация матрицы плотности — квантового ансамбля —
сводится к тому, что в канале присутствуют состоя-
Для Decoy State-метода принципиально важно, что
ния |ΨxkBBΨxk| с разным числом фотонов с вероят-
условная вероятность зависит не от ξ — среднего
ностями Pk(ξ) = e-2ξ(2ξ)k/k!.
числа фотонов в квантовом состоянии, а только от
Основная идея метода состоит в том, что под-
обнаруженного числа фотонов в данной посылке.
слушиватель, не имея дополнительной информации
Полный темп отсчетов (вероятность, хотя еще и
и обнаружив в канале связи компоненту состоя-
ненормированная) для посылок, когда посылалось
ний с данным числом фотонов k, не знает, из ка-
состояние со средним числом фотонов ξ, отвечаю-
кого состояния и с каким средним числом фотонов
щее логическому значению бита Алисы x, и когда
данная компонента возникла. Основное предполо-
Боб зарегистрировал логическое значение бита y, с
жение стандартного Decoy State-метода основано на
учетом (44) равен
том, что, обнаружив число фотонов k, подслушива-
тель действует каждый раз одинаково, т.е. действия
Qξ(y|X = x) = P(k)(ξ)P(k)X|Y (y|X = x).
(45)
подслушивателя зависят только от обнаруженного
k=0
числа фотонов в состоянии (40). На формальном
уровне действия подслушивателя после обнаруже-
Полная вероятность по всем значениям логических
ния состояния с данным числом фотонов описыва-
битов x на передающей и y на приемной стороне для
ются действием супероператора — вполне положи-
состояния со средним числом фотонов ξ равна
тельного отображения — наиболее общего преобра-
зования квантовых состояний в квантовые состоя-
Qtotξ =
PX(x)Qμ(y|X = x) =
ния. Вид супероператора зависит только от обнару-
x∈X y∈Y
женного числа фотонов в канале.
= P(k)(ξ)
PX(x)P(k)X|Y (y|X = x).
(46)
Супероператор в самом общем виде может быть
k=0
x∈X y∈Y
представлен как
Перейдем к обозначениям, часто используемым в
TBE[|ΨxkBBΨxk|] = ρxk,BE.
(42)
работах по стандартному Decoy State-методу, имеем
В результате возникает запутанное состояние
Боб-Ева ρxk,BE. Явный вид состояния в (42) в
Yk =
PX(x)P(k)X|Y (y|X = x) =
стандартном Decoy State-методе не требуется. Для
x∈X y∈Y
оценки доли однофотонной компоненты и вероятно-
= PX(0)[P(k)X|Y (0|0) + P(k)X|Y (1|0)]+
сти ошибки в ней достаточно только наблюдаемого
+ PX(1)[P(k)X|Y (0|1) + P(k)X|Y (1|1)].
(47)
темпа отсчетов в посылках, отвечающих состояниям
с разным средним числом фотонов.
980
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
Выражение для полного темпа отсчетов для инфор-
Еще раз подчеркнем, что парциальные темпы отсче-
мационных состояний (ξ = μ) в новых обозначениях
тов Yk (в англоязычной версии Yields) не зависят от
принимает вид
среднего числа фотонов в состоянии, в данном слу-
чае от μ.
Определим вероятность парциальной ошибки
Qtotμ =
P(k)(μ)Yk.
(48)
для k-фотонной компоненты состояний:
k=0
(k)
PX(0)PX
(1|0) + PX (1)P(k)X|Y (0|1)
|Y
ek =
,
(49)
PX(0)[P(k)X|Y (0|0) + P(k)X|Y (1|0)] + PX(1)[P(k)X|Y (0|1) + P(k)X|Y (1|1)]
где PX (0) и PX (1) — априорные вероятности для 0
стандартный Decoy State-метод перестает работать.
и 1. Данная ошибка также не зависит от самого сос-
Ниже явно покажем, на каком этапе это происходит.
тояния — среднего числа фотонов в состоянии.
Обозначим отраженное от модулятора интен-
Полная вероятность ошибочных отсчетов для
сивности зондирующее квантовое состояние как
информационных состояний по всем k-фотонным
(ξ)SM . Примем, что данное состояние зависит
компонентам состояний равна
только от состояния модулятора интенсивности —
какое состояние со средним числом фотонов ξ ∈ I =
Errtotμ =
P(k)(μ)ekYk.
(50)
= {μ, ν1, ν2} посылается в канал связи. Возможно
k=0
обобщение на случай, когда данное состояние зави-
сит также от состояния фазового модулятора.
Перейдем теперь к модификации Decoy State-мето-
Более формально это означает, что при изме-
да с учетом побочных каналов утечки информации.
рении числа фотонов, которые присутствуют в ка-
нале связи, вместо состояний со средним числом
12. МОДИФИЦИРОВАННЫЙ DECOY
фотонов k, т. е. вместо состояния |ΨxkBBΨxk| (см.
STATE-МЕТОД ПРИ АКТИВНОМ
(44)), которое не зависит от среднего числа фото-
ЗОНДИРОВАНИИ МОДУЛЯТОРА
нов ξ, в распоряжении подслушивателя будет со-
ИНТЕНСИВНОСТИ
стояние |Ψxk(ξ)BSBSΨxk(ξ)|, которое содержит ин-
формацию о среднем числе фотонов, что выражает-
Зондирование состояния модулятора интенсив-
ся фактом присутствия отраженного зондирующе-
ности в отличие от зондирования состояния фазово-
го состояния(ξ)SM , и которое дает Еве дополни-
го модулятора не дает прямой информации о пере-
тельную информацию об интенсивности передавае-
даваемом бите ключа, а дает информацию лишь об
мого состояния. Передаваемое квантовое состояние
интенсивности передаваемого состояния. Доля од-
с учетом зондирующего отраженного излучения, ко-
нофотонной компоненты состояний и вероятность
торое «видит» подслушиватель в канале связи, име-
ошибки в ней в посылках, где посылались инфор-
ет вид
мационные состояния, оценивается через изменение
статистики фотоотсчетов в посылках, где посыла-
(2ξ)k
лись состояния «ловушки». Имея дополнительную
ρx(ξ) = e-2ξ
|Ψxk(ξ)BSM BSMΨk(ξ)| =
k!
информацию о том, какое состояние передается в
k=0
конкретной посылке — информационное или состоя-
= P(k)(ξ)|Ψxk(ξ)BSM BSMΨk(ξ)|,
(51)
ние «ловушка» — подслушиватель может менять
k=0
свою стратегию при данном обнаруженном числе
фотонов k. Например, если известно, что послано
(2ξ)k
Pk(ξ) = e-2ξ
,
состояние «ловушка», то подслушиватель ничего не
k!
делает (ведет себя пассивно) и не искажает стати-
|Ψxk(ξ)BSM = |Ψxk)B ⊗ |ψ(ξ)SM ,
стику фотоотсчетов состояний ловушек.
(52)
ξ = μ,ν12,
Еще раз напомним, что без побочного канала
подслушиватель не может различить состояния с
где отраженное от модулятора интенсивности состо-
разным средним числом фотонов (информационные
яние(ξ)SM не зависит от информационного со-
либо «ловушки»). При наличии побочного канала
стояния.
981
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
Основное предположение стандартного Decoy
TBSM [|ΨxkB ⊗ |ψ(ξ)SM SM 〈ψ(ξ)| ⊗ BΨk|] =
State-метода, основанное на том, что, обнаружив
= PJ|I(ξ|I = ξ)ρxk,ξ,B.
(55)
число фотонов k, подслушиватель действует каж-
ξ∈J
дый раз одинаково, т.е. действия подслушивателя
зависят только от обнаруженного числа фотонов в
Формула (55) имеет простую и интуитивно ясную
(40), нарушается, поскольку Ева имеет в своем рас-
интерпретацию. После обнаружения в канале чис-
поряжении отраженное от модулятора интенсивнос-
ла фотонов k Ева, в зависимости от исхода измере-
ти квантовое состояние. На формальном уровне это
ний над отраженным от модулятора интенсивности
означает, что действия подслушивателя после обна-
квантовым состоянием, осуществляет преобразова-
ружения состояния с данным числом фотонов за-
ние фоковского состояния. На формальном языке
висят еще от дополнительной информации, кото-
это означает, что преобразованная матрица плотнос-
рую подслушиватель может получить из отражен-
ти ρxk,ξ,B, в отличие от ситуации без побочного ка-
ного состояния. Цель измерений — узнать, из состо-
нала (см. формулу (42)), зависит от исходного сос-
яния с каким средним числом фотонов ξ произошла
тояния — от среднего числа фотонов ξ в нем. Эта
компонента с данным числом фотонов k. Фактичес-
зависимость выражается через переходные вероят-
ки цель подслушивателя состоит в различении од-
ности PJ|I (ξ|I = ξ), которые определяются разли-
ного из состояний(μ)SM ,(ν1)SM ,(ν2)SM .
чимостью отраженных состояний.
Полное измерение Евы и Боба (I = {μ, ν1, ν2})
Вероятность исходов измерений на приемной
дается разложением единицы:
стороне Боба выражается через матрицу плотности
в (51), с учетом (54) и (55) находим
(k)
PX
(y, ξ|X = x) = TrB{Myρxk,ξ,B}.
(56)
IBSM = IB ⊗ ISM
= Fξ
|Y
ξ∈I
Для парциального темпа отсчетов на приемной сто-
роне вместо (46) получаем
My, ξ ∈ {μ, ν1, ν2}.
(53)
y∈Y
Qξ(y|X = x) =
P(k)(ξ)×
Измерение подслушивателя над отраженным состо-
k=0
янием дается положительно-значными мерами Fξ.
× PJ|I(ξ|I = ξ)P(k)X|Y (y,ξ|X = x).
(57)
Естественно, подслушиватель выбирает оптималь-
ξ∈J
ное измерение, которое минимизирует ошибку раз-
Для полного темпа отсчетов в посылках с информа-
личения отраженных состояний, отвечающих состо-
ционными состояниями (ξ = μ) с учетом (57) нахо-
яниям с разным средним числом фотонов. Для кон-
дим
струирования оптимального измерения необходимо
знать структуру отраженного состояния — в идеале
иметь квантовую томографию такого состояния.
Qtotμ =
P(k)(μ)
PJ|I(ξ|I = μ)×
Далее нам не потребуются явно сами отражен-
k=0
ξ∈J
ные состояния, нужно лишь знать вероятности раз-
×
PX(x)P(k)X|Y (y, ξ|X = x).
(58)
личения разных состояний, которые считаем извест-
x∈X y∈Y
ными. Получаем
Перейдя к более компактным обозначениям, полу-
PJ|I(ξ|I = ξ) = TrS{Fξ(ξ)SS〈ψ(ξ)|},
чаем
(54)
J = {μ,ν12},
Yk(ξ)=
PX(x)P(k)X|Y (y, ξ|X = x) =
где PJ|I (ξ|I = ξ) — условная вероятность того, что
x∈X y∈Y
в канал было послано состояние со средним числом
фотонов ξ, а подслушиватель в результате измере-
= PX(0)[P(k)X|Y (0|X = 0)+P(k)X|Y (1|X = 0)]+
ний (53) получил исход ξ, т. е. посчитал, что в ка-
нале имеет место состояние со средним числом фо-
+ PX(1)[P(k)X|Y (0|X = 1)+P(k)X|Y (1|X = 1)].
(59)
тонов ξ.
С учетом сказанного действие супероператора
Далее, обозначая для краткости P(ξ)
=
подслушивателя может быть представлено в виде
= PJ|I(ξ|I = μ) для (58), имеем
982
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
Аналогично (60), получаем выражение для парци-
Qtotμ =
P(k)(μ)
P (ξ)Yk(ξ) =
альной ошибки в информационных состояниях:
k=0
ξ∈J
= P(k)(μ)[P(μ|μ)Yk(μ)+P(ν1)Yk(ν1)+
k=0
+ P(ν2)Yk(ν2)].
(60)
(k)
PX(0)PX
(1, ξ|X = 0) + PX (1)P(k)X|Y (0, ξ|X = 1)
|Y
ek(ξ) =
(61)
PX(0)[P(k)X|Y (0, ξ|X = 0) + P(k)X|Y (1, ξ|X = 0)] + PX(1)[P(k)X|Y (0, ξ|X = 1) + P(k)X|Y (1, ξ|X = 1)]
Используя (57), находим выражение для полной
Перейдем к получению необходимых комбина-
ошибки в информационных состояниях:
ций однофотонных компонент. Для дальнейшего
введем новые обозначения
Errtotμ =
P(k)(μ)
PJ|I(ξ|I = μ)ek(ξ)Yk(ξ) =
(2μ)k
Qtotμ = e2μQtotμ =
[P (μ|μ)Yk(μ) +
k=0
ξ∈J
k!
k=0
= P(k)(μ)[P(μ|μ)ek(μ)Yk(μ)+
+ P(ν1)Yk(ν1) + P(ν2)Yk(ν2)],
(64)
k=0
+ P(ν1)ek(ν1)Yk(ν1) + P(ν2)ek(ν2)Yk(ν2)].
(62)
k
(2ν1)
Qtotν
=e2ν1Qtotν
=
[P (μ|ν1)Yk(μ) +
1
1
k!
k=0
+ P(ν11)Yk(ν1) + P(ν21)Yk(ν2)],
(65)
13. ОЦЕНКА ПАРАМЕТРОВ
МОДИФИЦИРОВАННЫМ DECOY
STATE-МЕТОДОМ
tot
(2ν2)k
Qν2
=e2ν2Qtot =ν
[P (μ|ν2)Yk(μ) +
2
k!
Нашей дальнейшей целью будет оценка доли од-
k=0
нофотонной компоненты и ошибки в однофотон-
+ P(ν12)Yk(ν1) + P(ν22)Yk(ν2)].
(66)
ной компоненте для определения длины секретного
ключа. Для вычисления длины секретного ключа
Отметим, что в отличие от стандартного Decoy
необходимо знать по отдельности величины Y1(μ),
State-метода в выражения для темпа отсчетов состо-
Y1(ν1), Y1(ν2), аналогично для вероятности ошибки
яний с разным средним числом фотонов входят раз-
нужны отдельные значения e1(μ), e1(ν1), e1(ν2). Для
личные величины Yk и с разными весовыми коэффи-
того чтобы пояснить суть проблемы, приведем фор-
циентами — условными вероятностями, зависящими
мулу для длины секретного ключа в случае, когда
от отраженных состояний от модулятора интенсив-
есть только активное зондирование модулятора ин-
ности.
тенсивности. Нехватка информации Евы с учетом
Введем новые более удобные обозначения для ве-
зондирующего излучения в доле однофотонной ком-
роятности ошибки:
поненты есть
{
}
(2μ)k
Errtotμ = e2μErrtotμ =
[P (μ|μ)ek(μ)Yk(μ) +
P(ξ|μ)Y1(ξ)
k!
[1 - h(e1(ξ))]
(63)
k=0
P (ξ)Y1(ξ)
ξ
ξ
+ P(ν1)ek(ν1)Yk(ν1) + P(ν2)ek(ν2)Yk(ν2)],
(67)
Decoy State-метод не позволяет получить выраже-
ния для отдельных долей однофотонных компонент
(2ν1)k
Errtotν
= e2ν1Errtot =ν
×
и ошибок. Decoy State-метод позволяет получить
1
1
k!
k=0
лишь их комбинации (сумму всех величин, см. ни-
× [P (μ|ν1)ek(μ)Yk(μ) + P (ν11)ek(ν1)Yk(ν1) +
же). Тем не менее можно будет получить оценку
длины ключа, используя только сумму величин.
+ P(ν21)ek(ν2)Yk(ν2)],
(68)
983
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
(2ν2)k
с учетом (71)-(74) получаем
Errtotν
= e2ν2Errtot =ν
×
2
2
k!
k=0
(2μ)k
× [P (μ|ν2)ek(μ)Yk(μ) + P (ν12)ek(ν1)Yk(ν1) +
Qtot,minμ - YΣ0 - 2μYΣ1
YΣk.
(78)
k!
+ P(ν2|nu2)ek(ν2)Yk(ν2)].
(69)
k=2
Окончательно находим
Далее обозначим
1
YΣ1
×
pmin(ξ) = min P(ξ),
(2ν1)2 - (2ν2)2
ξ∈{μ,ν12}
(2ν1 - 2ν2) -
(70)
2μ
pmax(ξ) = max P(ξ).
{[
]
ξ∈{μ,ν12}
(2ν1)2 - (2ν2)2
× Qtot,maxν
-Qtot,minν
-
×
1
2
(2μ)2
С использованием (64)-(70) получаем следующую
[
]}
цепочку неравенств:
× Qtot,minμ -YΣ
(79)
0
Qtotμ ≥ pmin(μ)YΣ0 +
Как было упомянуто выше и как видно из (79), уда-
[
]
(2μ)k
ется получить лишь оценку для суммы однофотон-
+ pmin(μ) 2μYΣ1 +
YΣ
,
(71)
k
k!
ных компонент YΣ1, а не оценку для отдельных ком-
k=2
понент. В то же время в оценку для длины секрет-
YΣk = Yk(μ) + Yk(ν1) + Yk(ν2),
ного ключа (63) входят значения отдельных компо-
нент. Ниже увидим, что эту проблему удается обой-
(72)
YΣ0 =
Y0(ξ).
ти, используя свойство выпуклости условных энтро-
ξ∈{μ,ν12}
пий.
Далее
Для оценки суммарной доли вакуумной компо-
ненты YΣ0 с учетом (73), (74) получаем
{
}
Qtotν
≤ pmax(ν1)Y Σ0 +
1
[
]
2ν1Qtot,maxν
- 2ν2Qtot,min
2
ν1
YΣ0 max
,0
,
(80)
(2ν1)k
2ν1 - 2ν
2
+ pmax(ν1) 2ν1YΣ1 +
YΣ
k
,
(73)
k!
k=2
где
tot,min
Qtotν
1,2
Qν1,2
=
,
Qtotν
≥ pmin(ν2)Y Σ0+
pmin(ν1,2)
2
[
]
(81)
Qtotν
(2ν2)k
1,2
Qtot,maxν
=
+ pmin(ν2) 2ν2YΣ1 +
YΣ
k
(74)
1,2
pmax(ν1,2
)
k!
k=2
Получим оценку для вероятности ошибки в однофо-
Введены обозначения
тонной компоненте состояний:
{
}
Qtotμ
Qtotν
tot
(2ν1)k
1
Errν1
≥ pmin(ν1)
(eY )Σk
(82)
Qtot,minμ =
,
Qtot,maxν
=
(75)
1
k!
pmin(μ)
pmax(ν1)
k=0
Комбинируя (71)-(74), находим
Аналогично предыдущему находим
{
}
[
]
(2ν2)k
Errtotν
≤ pmax(ν2)
(eY )Σk
,
(83)
(2ν1 - 2ν2)YΣ1 ≥ Qtot,maxν
-Qtot,min
-
2
1
ν2
k!
k=0
(2ν1)k - (2ν2)k
-
YΣk.
(76)
где введено обозначение
k!
k=2
= ek(μ)Yk(μ) + ek(ν1)Yk(ν1)+
(eY )Σk
Учитывая, что
+ ek(ν2)Yk(ν2).
(84)
(2ν1)2 - (2ν2)2
(2μ)k
Комбинируя неравенства (73) и (74), получаем
YΣk
(2μ)2
k!
k=2
Errtot,minν
- Errtot,maxν
1
2
(eY )Σ1
,
(85)
(2ν1)k - (2ν2)k
2ν1 - 2ν2
YΣk,
(77)
k!
k=2
где введены обозначения
984
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
tot
Errν
В итоге, используя (87) и (88), для доли секретных
1
Errtot,minν
=
,
1
битов получаем
pmin(ν1)
(86)
tot
Errν
2
Errtot,maxν
=
{
2
pmax(ν2)
n
P (μ|μ)Y1(μ)
=
= f(p,d)-
χ(e1(μ), p, d, η) +
n
P (ξ|μ)Y1(ξ)
ξ
14. ОЦЕНКА ДЛИНЫ СЕКРЕТНОГО
P (ν1)Y1(ν1)
+
χ(e1(ν1), p, d, η) +
КЛЮЧА
P (ξ|μ)Y1(ξ)
ξ
}
В разделах выше были получены оценки длины
P (ν2)Y1(ν2)
+
χ(e1(ν2), p, d, η)
секретного ключа для строго однофотонной компо-
P (ξ|μ)Y1(ξ)
ξ
ненты. При этом параметры, описывающие побоч-
pmax(μ)
{Y1(μ)
ное излучение (p, d, η) следует относить к посылкам,
≥ f(p,d) -
χ(e1(μ), p, d, η) +
pmin(μ)
YΣ
в которых посылались информационные состояния
1
}
со средним числом фотонов μ. Выражения для дли-
Y1(ν1)
Y1(ν2)
+
χ(e1(ν1), p, d, η)+
χ(e1(ν2), p, d, η)
ны секретного ключа (см. формулу (33)) имеют сле-
YΣ1
YΣ
1
)
дующую структуру:
pmax(μ)
( (eY )Σ
1
≥ f(p,d) -
χ
,p, d, η
(89)
pmin(μ)
YΣ1
P (μ|μ)Y1(μ)[f(p, d) - χ(e1(μ), p, d, η)] +
+ P(ν1)Y1(ν1)[f(p,d) - χ(e1(ν1),p,d,η)]+
В формулу (89) входят интегральная доля однофо-
+ P(ν2)Y1(ν2)[f(p,d) - χ(e1(ν2),p,d,η)],
(87)
тонной компоненты YΣ1 и интегральная ошибка в од-
нофотонной компоненте состояний (eY )Σ1. Данные
где f(p, d) — одна из функций в (33); в формулах
величины выражаются в модифицированном Decoy
(36), (39), чтобы перейти к формулам (87), нужно
State-методе через наблюдаемые величины — тем-
заменить Q → e1(ξ). Формула (87) имеет простую
пы отсчетов на приемной стороне для состояний с
интерпретацию. Неформально говоря, после обна-
разным средним числом фотонов.
ружения в канале состояния с числом фотонов k,
Ева проводит измерения отраженного зондирующе-
Обратим внимание на то, что при получении
го состояния с целью выяснить, из какого состояния,
формулы (89) значения параметров p и d, описыва-
информационного или состояния «ловушки», про-
ющих различимость, соответственно, состояний по-
изошло обнаруженное состояние. После измерения,
бочного излучения аппаратуры передающей стан-
вероятность исхода дается условной вероятностью
ции и различимости состояний при переизлучении
P (ξ), Ева делает вывод о дальнейших действиях.
лавинных детекторов, считались одинаковыми при
Другими словами, вероятности ошибки e1(ξ) в (87) и
разных состояниях модулятора интенсивности — со-
доли однофотонной компоненты Y1(ξ) зависят от ис-
стояний с разным числом фотонов. Тот факт, что
хода измерений над отраженным состоянием. Услов-
данные параметры могут зависеть от состояния
ные вероятности P (ξ) являются известными.
модулятора интенсивности, может быть несложно
Функции χ(e1(ξ), p, d, η) в (33) и (39) являются
учтен с использованием свойства выпуклости энтро-
выпуклыми функциями аргументов. Используя это
пии. В этом случае функцию f(p, d) следует заме-
свойство, получаем следующее неравенство:
1,
нить наpmin(μ)pmax(f(pmax,dmax),где1/2≤pmax
1/2 ≤ dmax 1 в аргументе f отвечают макси-
P (μ|μ)Y1(μ)
P (ν1)Y1(ν1)
χ(e1(μ), p, d, η)+
×
мальным вероятностям различения побочного излу-
P (ξ|μ)Y1(ξ)
P (ξ|μ)Y1(ξ)
ξ
ξ
чения передающей станции и переизлучения лавин-
P (ν2)Y1(ν2)
ных детекторов при трех разных состояниях моду-
×χ(e1(ν1), p, d, η)+
χ(e1(ν2), p, d, η)
P (ξ|μ)Y1(ξ)
лятора интенсивности, посылаемых в канал состоя-
ξ
pmax(μ)
{Y1(μ)
ний с разным средним числом фотонов {μ, ν1, ν2}.
χ(e1(μ), p, d, η) +
pmin(μ)
YΣ
Напомним, что ошибка различения побочного из-
1
}
лучения и состояний переизлучения детекторов, а
Y1(ν1)
Y1(ν2)
+
χ(e1(ν1), p, d, η)
χ(e1(ν2), p, d, η)
также равенства p = 1/2 и d = 1/2 отвечают ситу-
YΣ1
1
YΣ
)
ации полной неразличимости состояний в побочных
pmax(μ)
( (eY )Σ
1
χ
,p, d, η
(88)
каналах. Учитывая (89), окончательно для длины
pmin(μ)
YΣ
i
секретного ключа получаем
985
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
0.5
0.5
1
0.4
0.4
1
p = 0.5
p = 0.75
2
0.3
0.3
2
0.2
0.2
3
3
0.1
0.1
4
a
4
б
0
50
100
150
200
0
50
100
150
200
L
L
Рис. 3. Зависимости длины секретного ключа в пересчете на одну посылку от длины линии связи L для случая детек-
тирования только побочного излучения передающей станции для p = 0.5 (а), 0.75 (б). Оценка длины секретного ключа
проводилась модифицированным Decoy State-методом. Отношения вероятностей различения отраженных состояний от
модулятора интенсивностиpmax(μ)
= 0.9 (1), 0.8 (2), 0.7 (3), 0.65 (4). Остальные значения параметров одинаковы для
pmin(μ)
рис. a и б: среднее число фотонов в информационных состояниях μ = 0.25, среднее число в состояниях «ловушках»
ν1 = 0.1 и ν2 = 0.01, квантовая эффективность детектора на приемной стороне ηd = 0.2, вероятность темновых отсчетов
на строб лавинного детектора pd = 10-6, удельные потери в линии связи δ = 0.2 дБ/км
n
pmin(μ)
pmax(μ)
соответствует полной неразличимости отраженных
=
f (pmax, dmax) -
×
n
pmax(μ)
pmin(μ)
состояний от модулятора интенсивности. Чем боль-
)
( (eY )Σ1
ше отношениеpmax(μ)pmin(,тембольшевероятностьпод-
×χ
,pmax, dmax, η(μs)
(90)
слушивателя отличить информационное состояние
YΣ
1
от состояний «ловушек», тем меньше длина секрет-
В формуле (89) величины pmin,max, dmin,max долж-
ного ключа, которую можно получить. Хотя зонди-
ны находиться экспериментально посредством изме-
рование модулятора интенсивности и не дает пря-
рения состояний, отраженных от модулятора интен-
мой информации о передаваемом бите ключа, тем
сивности. Величины (eY )Σ1 и YΣ1 определяются по
не менее информация из данного побочного канала
экспериментально наблюдаемым ошибкам и темпам
уменьшает длину секретного ключа.
отсчетов. Перекрытие отраженных состояний η(μs)
На рис. 4 приведены результаты расчетов для
при активном зондировании фазового модулятора
длины секретного ключа как функции длины линии
также должно определяться экспериментально для
связи для случая всех побочных каналов утечки ин-
каждой реализации системы КРК. Напомним, что
формации. Как видно из рис. 4, общая тенденция
μs — среднее число фотонов в отраженных от фазо-
сводится к тому, что введение дополнительных по-
вого модулятора зондирующих состояниях.
бочных каналов утечки информации ведет к умень-
В качестве иллюстрации на рис. 3 приведены ре-
шению длины секретного ключа.
зультаты расчетов длины секретного ключа в за-
висимости от длины линии связи для случая, ко-
гда существует побочный канал утечки, связанный
15. ЗАКЛЮЧЕНИЕ
с излучением аппаратуры передающей станции, и
активное зондирование модулятора интенсивности.
Системы квантовой криптографии являются фи-
Как видно из рис. 3, увеличение вероятности раз-
зическими системами. Само квантовое распределе-
личимости состояний побочного излучения, увели-
ние секретных ключей представляет собой распре-
чение параметра p, приводит к уменьшению длины
деленный физический эксперимент, который сво-
дится к приготовлению и измерению квантовых со-
секретного ключа. Значение отношенияpmax(μ)pmin(=1
986
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
0.5
0.5
1
0.4
0.4
1
0.3
0.3
2
0.2
0.2
2
3
0.1
0.1
a
б
3
0
50
100
150
200
0
50
100
150
200
L
L
0.3
0.2
1
2
3
0.1
в
0
50
100
150
200
L
Рис. 4. Зависимости длины секретного ключа в пересчете на одну посылку от длины линии связи L для общего случая:
детектирования побочного излучения передающей станции (параметр p — вероятность ошибки различения побочного из-
лучения), активного зондирования фазового модулятора (параметр η — степень перекрытия отраженных зондирующих
состояний), детектирования переизлучения от лавинных детекторов на приемной станции (параметр d — вероятность
ошибки различения), активного зондирования модулятора интенсивности (вероятности различенияpmax(μ)
отраженных
pmin(μ)
состояний от модулятора интенсивности). Параметры p, d, η имеют следующие значения: a) p = 0.5, d = 0.5, η = 0.999,
pmax(μ)
= 0.9 (1), 0.8 (2), 0.7 (3); б) p = 0.65 (1), 0.75 (2), 0.85 (3), d = 0.5, η = 0.999; в) p = 0.75, d = 0.5, η = 0.88 (1),
pmin(μ)
0.85 (2), 0.82 (3),pmax(μ)
= 0.9. Остальные значения параметров такие же, как на рис. 3
pmin(μ)
стояний. Как и в любом физическом эксперименте,
и к системам квантовой криптографии.
невозможно целиком изолировать эксперименталь-
Такими нежелательными факторами в системах
ную систему от окружающего мира. Любой акку-
квантовой криптографии являются побочные кана-
ратный физический эксперимент по исследованию
лы утечки информации. Утечка информации при
некоторого явления неизбежно включает меропри-
атаках на квантовые состояния в квантовом ка-
ятия, которые минимизируют влияние нежелатель-
нале связи учитывается энтропийными соотноше-
ных факторов, влияющих на «чистоту» исследуемо-
ниями неопределенности, которые связывают утеч-
го явления. Все сказанное в полной мере относится
ку информации из квантового канала с наблюдае-
987
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
мой ошибкой на приемной стороне. Нежелательны-
1, отвечает сигнал побочного излучения мощностью
ми факторами, влияющими на «чистоту» квантово-
P или -P относительно некоторого опорного уров-
го распределения ключей, являются утечки по по-
ня. При этом данные уровни побочного сигнала мо-
бочным каналам — излучение аппаратуры при при-
гут быть измерены непосредственно вблизи аппа-
готовлении и детектировании квантовых состояний,
ратуры. Вне аппаратуры подслушивателю доступен
измерение отраженного зондирующего излучения
гауссовский сигнал, искаженный шумом мощностью
от активных элементов системы (фазовых модуля-
Pnoise. Такой гауссовский побочный канал может
торов и модуляторов интенсивности). Если извест-
быть «конвертирован» в бинарный дискретный ка-
на, например, интенсивность и структура кванто-
нал связи с вероятностью ошибки различения двух
вых состояний в побочных каналах, то также мож-
сигналов равной
но указать верхнюю границу утечки информации,
(√
)
x
которую может получить подслушиватель при из-
P
1
p = 1-Φ
,
Φ(x) =
e-z2/2dz.
мерениях этих состояний. Данная верхняя граница
Pnoise
2π
-∞
информации, фактически, дается фундаментальной
величиной Холево — информацией, которую может
Фактически для оценок длины ключа в формуле
получить подслушиватель из ансамбля квантовых
(89) нужно заменить значение p на приведенное вы-
состояний в побочных каналах. Структура и интен-
ше, которое выражается через измеримый уровень
сивность квантовых состояний в каждом побочном
мощности побочных сигналов. Побочный гауссовс-
канале достигаются техническими средствами при
кий канал также может быть включен в рассмотре-
реализации системы, например, экранированием пе-
ние непосредственно.
редающей аппаратуры. Критические побочные ка-
Важно также отметить, что при тех или иных
налы утечки информации известны и определяются
модельных предположениях о структуре побочного
конкретной физической реализацией системы. По-
канала состояния в этом канале должны рассматри-
этому правильное конструирование физической экс-
ваться сразу как квантовые. Невозможно рассмат-
периментальной системы позволяет учесть утечку
ривать информационные состояния как квантовые,
информации по побочным каналам и внести соот-
а состояния в побочных каналах классическим об-
ветствующие поправки на длину секретного клю-
разом, поскольку при таком подходе выпадают из
ча, причем вычисление поправок также проводится
рассмотрения коллективные измерения и совмест-
на уровне фундаментальных ограничений кванто-
ные атаки на информационные состояния и состоя-
вой теории на различимость квантовых состояний.
ния в побочных каналах. Параметры квантовых со-
Таким образом, построены различные атаки на
стояний в побочных каналах входят в утечку инфор-
систему КРК с учетом побочных каналов утечки
мации от информационных квантовых состояний.
информации. Как упоминалось выше, в отличие от
Используемый метод может применяться не
атак на однофотонные информационные квантовые
только для протокола BB84, но и для других
состояния, при атаках с учетом побочных каналов,
протоколов.
по-видимому, невозможно получить оценки длины
Сделаем последнее замечание. Как было вид-
секретного ключа без каких-то модельных предпо-
но выше, стандартный Decoy State-метод неприме-
ложений о структуре квантовых состояний в побоч-
ним при учете активного зондирования модулятора
ных каналах. Тем не менее, удается получить оцен-
интенсивности, поскольку подслушиватель может с
ки в достаточно общих предположениях о струк-
определенной вероятностью различать информаци-
туре состояний в побочных каналах. Часто точная
онные состояния и состояния «ловушки». Кроме из-
структура состояний не требуется, достаточно лишь
мерений отраженных от модулятора интенсивности
знать степень перекрытия (степень различимости)
состояний, которые различают состояния с разным
данных состояний. При пассивном излучении аппа-
числом фотонов, подслушиватель может делать из-
ратуры приемной станции достаточно обойтись ве-
мерения с определенным исходом (UM-измерения)
роятностью ошибки p, если побочный канал модели-
над отраженными состояниями. Данные измерения
руется дискретным двоичным квантовым каналом
дают достоверную информацию о типе состояния —
связи. В классической криптографии из-за большо-
информационное или «ловушка», но с вероятностью
го числа степеней свободы системы для оценки утеч-
меньше единицы. Более того, совместные UM-изме-
ки информации по такому каналу часто использует-
рения над информационным состоянием в кванто-
ся модель гауссовского канала с шумом. Приготов-
вом канале и отраженным состоянием дают полную
лению в аппаратуре состояния, отвечающего 0 или
информацию о типе состояния и передаваемом би-
988
ЖЭТФ, том 157, вып. 6, 2020
Trojan-horse-атаки, Decoy State-метод. . .
те ключа, но с вероятностью меньше единицы. Ина-
5.
H. Maassen and J. B. M. Uffink, Phys. Rev. Lett. 60,
че говоря, в посылках, где произошел определен-
1103 (1988).
ный исход совместных UM-измерений, подслушива-
6.
K. Kraus, Phys. Rev. D 35, 3070 (1987).
тель знает передаваемый бит ключа и тип состоя-
ния. Остальные посылки с неопределенным исходом
7.
M. Tomamichel and R. Renner, Phys. Rev. Lett. 106,
подслушиватель блокирует. Ситуация принципиаль-
110506 (2011).
но отличается, когда нет отраженных состояний, а
8.
C. H. Bennett and G. Brassard, in Proc. of IEEE
UM-измерения проводятся только над информаци-
Int. Conf. on Comp. Sys. and Sign. Process. (1984),
онными состояниями. В этом случае подслушива-
pp. 175-179.
тель знает передаваемый бит ключа, но не знает,
9.
N. Gisin, G. Ribordy, W. Tittel, and H. Zbinden, Rev.
к какому типу состояния относится определенный
Mod. Phys. 74, 145 (2002).
исход измерения. Блокирование посылок, где был
неопределенный исход измерения, нарушает стати-
10.
V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf,
стику фотоотсчетов для состояний с разным сред-
M. Dusek, N. Lütkenhaus, and M. Peev, Rev. Mod.
ним числом фотонов, что детектируется стандарт-
Phys. 81, 1301 (2009).
ным Decoy State-методом.
11.
R. Renner, PhD thesis, ETH Zürich (2005), arXiv:
При совместных UM-измерениях подслуши-
0512258.
ватель знает передаваемый бит и тип состояния,
поэтому может перепосылать нужное число состоя-
12.
J. M. Renes and J.-C. Boileau, Phys. Rev. Lett. 103,
ний из посылок с определенным исходом измерения,
020402 (2009).
чтобы отсчеты на приемной стороне выглядели для
13.
M. Tomamichel, Ch. Ci Wen Lim, N. Gisin,
всех состояний с разным числом фотонов, как от-
and R. Renner, arXiv:1103.4130 v2 (2011); Nature
счеты из квантового канала с большими потерями,
Commun. 3, 1 (2012).
но одинаковыми потерями для всех состояний,
т. е. без изменения пуассоновской статистики для
14.
С. Н. Молотков, ЖЭТФ 153, 895 (2018) [S. N. Mo-
каждого типа состояний. Анализ данной атаки
lotkov, JETP 126, 741 (2018)].
требует отдельного рассмотрения. Для детекти-
15.
A. Vakhitov, V. Makarov, and D. R. Hjelme, J. Mod.
рования такой атаки необходимо явно следить за
Opt. 48, 2023 (2001).
изменением потерь в квантовом канале связи. То
есть потери в канале связи становятся парамет-
16.
N. Gisin, S. Fasel, B. Kraus, H. Zbinden, and G. Ri-
bordy, Phys. Rev. A 73, 022320 (2006).
ром протокола. Отметим, что в Decoy State-методе
параметр потерь в явном виде не входит в протокол.
17.
N. Jain, E. Anisimova, I. Khan, V. Makarov, Ch. Mar-
quardt, and G. Leuchs, Talk presented at the Central
Благодарности. Автор выражает благодар-
European Workshop on Quantum Optics, Brussels,
ность И. М. Арбекову, С. П. Кулику, К. А. Балыгину
June 2327 (2014).
и А. Н. Климову за интересные и многочисленные
18.
L. Lydersen, C. Wiechers, Ch. Wittmann, D. Elser,
обсуждения, а также коллегам по Академии крип-
J. Skaar, and V. Makarov, Nat. Photon. 4, 686 (2011).
тографии Российской Федерации за обсуждения и
поддержку.
19.
A. Vakhitov, V. Makarov, and Dag R. Hjelme, J.
Финансирование. Работа выполнена при
Mod. Opt. 48, 2023 (2001).
поддержке Российского научного фонда (проект
20.
V. Makarov, A. Anisimov, and J. Skaar, Phys. Rev.
№16-12-00015 (продолжение)).
A 74, 022313 (2006).
21.
K. A. Balygin, A. N. Klimov, I. B. Bobrov,
ЛИТЕРАТУРА
K. S. Kravtsov, S. P. Kulik, and S. N. Molotkov, Laser
Phys. Lett. 15, 095203 (2018) .
1. W. K. Wooters and W. H. Zurek, Nature 299, 802
22.
K. A. Balygin, A. N. Klimov, I. B. Bobrov,
(1982).
K. S. Kravtsov, S. P. Kulik, and S. N. Molotkov, Laser
2. W. Heisenberg, Zeit. Phys. 43, 172 (1927).
Phys. Lett. 16, 019402 (2019).
3. H. P. Robertson, Phys. Rev. 34, 163 (1929).
23.
Won-Young Hwang, arXiv[quant-ph]:0211153.
4. D. Deutsch, Phys. Rev. Lett. 50, 631 (1983).
24.
Xiang-Bin Wang, Phys. Rev. Lett. 94, 230503 (2005).
989
С. Н. Молотков
ЖЭТФ, том 157, вып. 6, 2020
25. Hoi-Kwong Lo, Xiongfeng Ma, and Kai Chen, Phys.
29. S. W. Allison, G. T. Gillies, D. W. Magnuson, and
Rev. Lett. 94, 230504 (2005); Xiongfeng Ma, Bing
T. S. Pagano, Appl. Opt. 24, 1 (1985).
Qi, Yi Zhao, and Hoi-Kwong Lo, arXiv[quant-ph]:
30. L. W. Tutt and T. F. Boggess, Progr. Quant. Elect-
0503005.
ron. 17, 299 (1993).
26. K. Tamaki, M. Curty, and M. Lucamarini, New J.
31. R. M. Wood, Laser-Induced Damage of Optical Ma-
Phys. 18, 065008 (2016).
terials, Taylor & Francis (2003).
27. W. Wang, K. Tamaki, and M. Curty, New J. Phys.
32. C. E. Shannon, Bell System Techn. J. XXVII, 379
20, 083027 (2018).
(1948).
33. A. S. Holevo, Russ. Math. Surveys 53, 1295 (1998).
28. M. Lucamarini, I. Choi, M. B. Ward, J. F. Dynes,
Z. L. Yuan, and A. J. Shields, Phys. Rev. X 5, 031030
34. А. С. Холево, Квантовые системы, каналы, ин-
(2015); arXiv:1506.01989.
формация, МЦНМО, Москва (2010).
990