ЖЭТФ, 2020, том 158, вып. 3 (9), стр. 440-458
© 2020
О ПРОСТОЙ КВАНТОВО-СТАТИСТИЧЕСКОЙ
ИНТЕРПРЕТАЦИИ КРИТЕРИЯ СЕКРЕТНОСТИ КЛЮЧЕЙ
В КВАНТОВОЙ КРИПТОГРАФИИ
С. Н. Молотков*
Институт физики твердого тела Российской академии наук
142432, Черноголовка, Московская обл., Россия
Академия криптографии Российской Федерации
121552, Москва, Россия
Центр квантовых технологий,
Московский государственный университет им. М. В. Ломоносова
119899, Москва, Россия
Поступила в редакцию 25 февраля 2020 г.,
после переработки 25 февраля 2020 г.
Принята к публикации 26 марта 2020 г.
Несмотря на то что квантовая криптография на сегодняшний день является единственным разделом
квантовой информатики, который от фундаментальных физических принципов квантовой механики до-
веден до практических применений в области передачи и защиты информации, многие результаты оста-
ются, на наш взгляд, малопонятными широкой физической аудитории. Цель данной работы — минималь-
ными и простыми математическими средствами дать простую и интуитивно понятную на физическом
уровне интерпретацию центрального результата квантовой криптографии — критерия секретности клю-
чей, основанного на следовой метрике — расстоянии между двумя квантовыми состояниями. Предлагае-
мая интерпретация является самодостаточной и использует стандартную борновскую квантово-статисти-
ческую интерпретацию матрицы плотности — квантового ансамбля — статистической смеси квантовых
состояний.
DOI: 10.31857/S0044451020090035
жиме одноразового блокнота — шифрования с од-
норазовыми ключами [1-3]. Такие системы невоз-
можно дешифровать (взломать) даже теоретически
1. ВВЕДЕНИЕ
[1-3]. Криптографическая стойкость таких систем
основывается на теоретико-информационных крите-
Квантовая криптография является одним из раз-
риях стойкости, в отличие от систем асимметрич-
делов квантовой информатики, которая на сего-
ной криптографии с открытыми ключами, крип-
дняшний день, в отличие от других квантовых тех-
тографическая стойкость которых базируется на
нологий, доведена до реальных практических при-
строго недоказанных критериях алгоритмической
менений.
сложности. Одноразовые ключи используются толь-
Симметричная криптография — шифрование с
ко в специфических ситуациях. Обычно ключ, на ко-
секретными ключами, используется в системах за-
тором происходит шифрование, используется неод-
щиты информации, где необходимы высокая сте-
нократно в течение определенного времени. После
пень защиты и надежности, и требует общего сек-
передачи определенного объема зашифрованной ин-
рета — секретного ключа между пространственно-
формации ключ вырабатывает свой криптографи-
удаленными пользователями. Симметричная крип-
ческий ресурс и требуется смена ключей. При совре-
тография позволяет в принципе достичь высшей
менных объемах передачи информации, например,
степени защиты информации: шифрования в ре-
между центрами обработки данных, требуется все
более частая смена секретных ключей. При смене
* E-mail: sergei.molotkov@gmail.com
440
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
ключей всегда присутствует человеческий фактор,
величины длина секретного ключа в битах стре-
что может приводить к компрометации ключей и
мится к нулю. В этом случае секретный ключ
взлому системы.
получить нельзя. Таким образом, до тех пор, пока
Передача секретных ключей сама по себе тре-
наблюдаемая ошибка меньше критической вели-
бует защищенного канала связи. Для защищенно-
чины, Алиса и Боб могут не обращать внимание
го канала связи в свою очередь требуются секрет-
на присутствие Евы и получать секретный ключ.
ные ключи, т. е. возникает проблема “Chicken and
Если наблюдаемая ошибка больше критической,
Egg Problem”, которая не имеет решения в области
то проблема с Евой решается другими средствами.
классической физики, когда носителями информа-
Иначе говоря, если ключ получен — ошибка меньше
ции являются классические объекты — сигналы.
критической, то ключ секретен. Никогда не будет
Квантовая криптография разрывает данный ло-
следующей ситуации: ключ получен, считается, что
гический круг и решает проблему распределения
он секретен, а на самом деле таковым не является.
ключей по открытым и доступным для подслушива-
Выше была описана на неформальном уровне
ния каналам связи. По сути, квантовая криптогра-
причина секретности ключей, которая гарантирует-
фия является процедурой согласования двух неза-
ся фундаментальными законами Природы. На фор-
висимых случайных последовательностей на пере-
мальном уровне секретность ключей в квантовой
дающей и приемной сторонах посредством посыл-
криптографии выражается в довольно абстрактных
ки и регистрации квантовых объектов — квантовых
терминах, и доказательства секретности являются
состояний через открытый квантовый канал свя-
«многоходовыми» [6]. Доказуемая секретность клю-
зи. Для согласования результатов измерений, кор-
чей в квантовой криптографии дается в терминах
рекции ошибок в первичных ключах на приемной
следовой метрики — расстоянии между двумя кван-
стороне и сжатия очищенных ключей использует-
товыми состояниями, описывающими реальную си-
ся вспомогательный классический открытый аутен-
туацию после квантового распределения ключей и
тичный канал связи. Одна и та же линия связи мо-
идеальную ситуацию, когда ключи строго равнове-
жет выполнять роль как квантового, так и класси-
роятны и полностью некоррелированы с квантовым
ческого канала связи, в зависимости от того, какие
состоянием Евы. Данный критерий вызывал споры
состояния посылаются через канал связи.
даже среди специалистов [7]. Абстрактность крите-
Неформально секретность ключей в квантовой
рия секретности ключей на основе следовой метри-
криптографии базируется на фундаментальном
ки не содержит интуитивно прозрачных соображе-
свойстве квантовых состояний
— вторжение в
ний, которые были выработаны применительно к ис-
квантовый канал связи неизбежно приводит к
пользованию ключей в классической криптографии,
возмущению передаваемых квантовых состояний
например, таких как переборная сложность по поис-
и ошибкам измерений на приемной стороне. Эн-
ку истинного ключа, число шифр-сообщений до их
тропийные соотношения неопределенностей [4, 5]
первого дешифрования, при условии, что шифрова-
позволяют связать наблюдаемый уровень оши-
ние происходит на ключах, полученных в результате
бок, навязанный степенью возмущения квантовых
квантового распределения.
состояний на приемной стороне, с верхней фун-
Явная связь следового критерия секретности
даментальной границей утечки информации к
ключей в квантовой криптографии с переборными
подслушивателю. Наблюдаемый уровень ошибок
критериями секретности в классической криптогра-
на приемной стороне оценивается через открытый
фии была установлена в работе [8].
классический канал связи посредством раскрытия
Простая и прозрачная интерпретация критерия
части переданной последовательности. Раскрытая
секретности ключей в квантовой криптографии, по-
часть последовательности затем отбрасывается и
нятная на физическом уровне интуиции, на наш
не фигурирует в ключе. Если наблюдаемая ошибка
взгляд, до сих пор отсутствует. Отсутствие такой
на приемной стороне, соответственно утечка ин-
простой и интуитивно понятной на физическом
формации к подслушивателю, меньше критической
уровне интерпретации, на наш взгляд, вызывает как
величины, то взаимная информация между Алисой
минимум состояние неудовлетворенности и ощуще-
и Бобом больше, чем информация между Евой
ние «криптографических фокусов», что не отвечает
и Алисой-Бобом. Неформально разность этих
реальной ситуации.
информаций является общим секретом Алисы и
Цель данной работы — дать простую и физичес-
Боба — секретным ключом, и неизвестна Еве. При
ки прозрачную интерпретацию критерия секретнос-
достижении наблюдаемой ошибкой критической
ти ключей в квантовой криптографии, не прибегая
441
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
к сложному математическому аппарату квантовой
эталонная битовая строка, а второе такое же кван-
теории информации. Данная интерпретация исполь-
товое состояние направляется в канал связи к Бобу.
зует стандартную квантово-статистическую борнов-
Это состояние доступно для атаки Евы. Наиболее
скую трактовку матрицы плотности как статисти-
общая атака Евы на каждое передаваемое состояние
ческой смеси квантовых состояний — квантового
может быть представлена следующим образом. Ева
ансамбля. Данная интерпретация является самодо-
готовит вспомогательное квантовое состояние |E〉E
статочной, при такой трактовке даже не требуется
и приводит его во взаимодействие с передаваемым
предварительных знаний из классической и кванто-
состоянием — запутывает состояние |ki〉B с состо-
вой теории информации.
янием |E〉E . На формальном языке такое запуты-
вание описывается действием унитарного оператора
UBE на эти состояния. Вид унитарного оператора
2. СТАДИИ КВАНТОВОГО
задается Евой. Атака Евы на каждое передаваемое
РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ
квантовое состояние может быть представлено как
Для самодостаточности текста напомним, как
|ki〉A ⊗ |ki〉B → |ki〉A ⊗ UBE (|ki〉B ⊗ |E〉E ) →
возникает критерий секретности, основанный на
следовой метрике.
→ |ki〉A ⊗ |Ψki 〉BE .
(2)
После квантового распределения ключей: пере-
дачи и измерения квантовых состояний, исправле-
Здесь |Ψki 〉BE — запутанное состояние Боба и Евы,
ния ошибок и усиления секретности (сжатия очи-
которое возникло при атаке на состояние |ki〉B и за-
щенных ключей), Алиса и Боб имеют общий ключ —
висит от выбора унитарного оператора Евы. Подси-
битовую строку длины n, n ∈ K = {0, 1}n. Кратко
стему «B» Ева направляет к Бобу, а свою подсисте-
напомним основные стадии протокола.
му «E» оставляет в квантовой памяти. В результате
После передачи квантовых состояний в соответ-
атаки к Бобу вместо исходного состояния |ki〉BB〈ki|
ствии со случайной последовательностью 0 и 1 на
поступает искаженное состояние — состояние подси-
передающей стороне Алисы и измерений на прием-
стемы «B» (2), которое дается частичной матрицей
ной стороне в случайных базисах в соответствии со
плотности, имеем
случайной строкой на приемной стороне Боба возни-
(3)
|ki〉BB〈ki| → ρkiB,ρBi =TrE{|ΨBiEBE〈Ψki |}.
кают две битовые последовательности 0 и 1 длиной
Атаку, при которой Ева атакует унитарно пе-
m > n. Результаты измерений на приемной стороне
редаваемые квантовые состояния индивидуально и
интерпретируются Бобом как 0 и 1. Если бы не бы-
независимо в каждой посылке, а затем проводит
ло вторжения в квантовый канал связи и собствен-
коллективные измерения над квантовыми состояни-
ных неидеальностей аппаратуры (темновых шумов,
ями всей последовательности, называют коллектив-
неточной балансировки интерферометра), то бито-
ной. В принципе, возможна атака, при которой Ева
вая строка Алисы, являющаяся эталоном, совпадала
присоединяет одно свое квантовое состояние ко всей
бы со строкой Боба. В реальной ситуации на при-
передаваемой последовательности, а затем прово-
емной стороне возникают ошибки. Принципиально
дит измерение над своей искаженной квантовой си-
невозможно различить ошибки от неидеальностей
стемой. Такая атака была названа когерентной. На
аппаратуры и ошибки от действия подслушивателя,
первый взгляд, такая атака выглядит для Евы как
поэтому все наблюдаемые ошибки относят к дейст-
более эффективная. Однако было доказано [6], что
виям подслушивателя.
данная атака эквивалента коллективной.
Удобно сопоставить классическим битовым стро-
Отметим, что преобразование (2) является наи-
кам Алисы и Боба квантовые регистры, в которые
более общим преобразованием, допустимым закона-
записаны ключи
ми квантовой механики. Это следует из одного из
центральных результатов квантовой теории инфор-
(k1, k2, . . . , km)A,B → |k〉A,B =
мации — теоремы представления Крауса [9,10]. В об-
= |k1〉A,B ⊗ |k2〉A,B . . . ⊗ |km〉A,B,
(1)
щем случае описание состояния квантовой системы
задается матрицей плотности ρ — положительным
(ki = 0, 1), i = 1, 2, . . . , m,A,B〈k|k′〉A,B = δk,k′ .
эрмитовым оператором со следом единица. Описа-
Квантовые состояния регистров с разными ключа-
ние при помощи вектора состояния квантовой си-
ми ортогональны, т. е. достоверно различимы. Кван-
стемы (волновой функции) является частным слу-
товое состояние регистра Алисы остается у нее как
чаем этого описания. В случае чистого состояния
442
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
|ψ〉 матрица плотности ρ = |ψ〉〈ψ| является проекто-
Для всех m посылок разложение единицы имеет вид
ром (ρ2 = ρ). Неформально теорема Крауса гласит:
⎛
⎞⊗m
любое допустимое преобразование квантового состо-
∑
яния в другое квантовое состояние — преобразова-
IB = I⊗m = ⎝
|ki〉BB〈ki|⎠
=
ние оператора матрицы плотности ρ в оператор мат-
ki∈{0,1}
∑
рицы плотности ρ′ — преобразование, сохраняющее
=
|kB 〉BB〈kB |,
(6)
положительность, эрмитовость и не увеличивающее
kB ∈{0,1}m
след, задается вполне положительным отображени-
ем — супероператором T [9,10],
|kB〉B = |ki1 〉B ⊗ |ki2 〉B ⊗ . . . |kim 〉B .
Измерения Боба в каждой посылке над возмущен-
ρ′ = T (ρ).
(4)
ными состояниями (3) приводят к следующим веро-
ятностям результатов измерений у Боба:
При этом любой супероператор унитарно предста-
вим, т. е. может быть представлен как действие уни-
PK
B|KA (kB|kA)=TrBE{(|kB〉BB〈kB|⊗IE)×
тарного оператора на исследуемую квантовую сис-
× |ΨkA〉BEBE 〈ΨkA|} = TrB {|kB〉BB〈kB |ρkAB } =
тему вместе с дополнительной квантовой системой,
(7)
запутывание исследуемой системы со вспомогатель-
=B〈kB|ρkAB|kB〉B,
ной, затем взятие частичного следа по вспомога-
ρkAB=TrE{|ΨBAEBE〈ΨkA|}.
тельной системе. Фактически в (2) использовано
унитарное представление наиболее общего преобра-
(7) имеет смысл
Вероятность PKB|KA(kB|kA)в
зования состояния квантовой системы в другое со-
условной вероятности того, что Алисой было по-
стояние квантовой системы.
слано состояние
|kA〉A, а Боб зарегистрировал
состояние |kB〉B.
Унитарный оператор Ева выбирает оптималь-
После измерений Боба общее квантовое состоя-
ным. Оптимальный выбор осуществляется таким
ние всех участников протокола имеет вид
образом, чтобы Ева могла получить максимум ин-
формации при заданной наблюдаемой ошибке на
∑
∑
ρABE =
PKA(kA)×
приемной стороне. Оптимальный унитарный опера-
kA ∈{0,1}m kB ∈{0,1}m
тор позволяет получить Еве максимум информа-
ции о передаваемом ключе и произвести минималь-
× PKB|KA(kB|kA)|kA〉AA〈kA| ⊗ |kB〉BB ×
ное возмущение передаваемых состояний. Напом-
(8)
× 〈kB | ⊗ ρkB|kAE ,
ним, что эталонное состояние Алисы |ki〉A остается
неизменным.
(9)
PKBKA(kB, kA) = PKA(kA)PKB|KA(kB|kA),
Следующая стадия — измерение квантовых сос-
где PKBKA(kB , kA) — совместная функция распреде-
тояний на приемной стороне. Остаются только те
ления первичных ключей Алисы и Боба, PKA(kA) —
посылки, в которых базисы измерения и приготов-
вероятность распределения битовых строк у Али-
ления состояний совпадали, т. е. логические значе-
сы, PKB (kB) — вероятность распределения битовых
ния 0 и 1 и соответствующие им базисные состояния
строк (первичных ключей) у Боба, PKB|KA(kB|kA)—
Алисы |kA〉A (kA = 0, 1) и Боба |kB〉B (kB = 0, 1) в
условная вероятность Боба получить результат из-
(1), (2) записаны в одном и том же базисе. Посыл-
мерений kB при условии, что у Алисы битовая стро-
ки, в которых базис измерений Боба и базис при-
ка есть kA.
готовления состояний Алисы не совпадали, отбра-
Матрица плотности состояния, которое «видит»
сываются. Поэтому ниже рассматриваем только те
Ева, зависит от результата измерений Боба и имеет
посылки, где базисы приготовления и измерения со-
вид
стояний совпадали.
Любое измерение в квантовой теории задается
,
разложением единицы. Разложение единицы явля-
ρkB|kAE =B〈kB|ΨkA〉BEBE〈ΨkA|kB〉BPKB|KA (k
B |kA)
ется формальным описанием процесса измерений,
для i-й посылки имеем
TrE {ρkB|kAE } = 1,
∑
ρkB|kAE = ρEi1 |kj1 ⊗ ρEi2 |kj2 ⊗ . . . ρEim |kjm ,
I =
|ki〉BB〈ki|.
(5)
jr
TrE {ρkir |kE
} = 1,
ki∈{0,1}
443
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
∑
∑
kA = (kj1, kj2 , . . ., kjm ),
ρKAKB =
PKAKB(kA, kB)×
kA ∈{0,1}m kB ∈{0,1}m
kB = (ki1, ki2 , . . . , kim ).
× |kA〉AA〈kA| ⊗ |kB〉BB〈kB|,
(12)
Поскольку Еве недоступны результаты измерений
Боба, Ева видит статистический ансамбль
PKAKB(kA, kB) = PKA(kA)δkAkB,
ρAE = TrB{ρABE} =
теперь kB = kA. Информация, передаваемая между
∑
=
(10)
Алисой и Бобом при коррекции ошибок через от-
PKA(kA)|kA〉AA〈kA| ⊗ ρkAE,
kA∈{0,1}m
крытый классический канал связи, считается дос-
тупной Еве. Количество информации в битах, кото-
ρkAE=TrB{|ΨkA〉BEBE〈ΨkA|}.
рое передается через классический канал связи при
На этом этапе битовая строка Боба представляет со-
коррекции ошибок в битовой строке длиной m, зави-
бой первичный ключ. Пусть длина первичного клю-
сит от используемых кодов коррекции ошибок. Обо-
ча равна m.
значим эту информацию в битах как leakm. Конк-
После измерений на приемной стороне Алиса и
ретная величина leakm в дальнейшем нам не понадо-
Боб оказываются в ситуации бинарного (не обяза-
бится. После стадии коррекции ошибок Алиса и Боб
тельно симметричного) классического канала свя-
имеют одинаковые битовые строки — очищенный
зи (см. рис. 1). Вся информация, доступная Алисе
ключ, о котором Ева имеет частичную информацию,
и Бобу, содержится в совместной матрице плотнос-
которую она получила при вторжении в квантовый
ти Алиса-Боб, которая дается частичным следом по
канал связи и коррекции ошибок.
состояниям Евы трехчастичной матрицы плотности
Следующая стадия — усиление секретности —
Алиса-Боб-Ева в (8), имеем
сжатие очищенного ключа при помощи универсаль-
ных хеш-функций второго порядка g ∈ G. Функ-
ρAB = TrE{ρABE} =
ции осуществляют отображение очищенного клю-
∑
∑
=
ча — битовой строки длиной m в секретный ключ —
PKA(kA)PKB|KA(kB|kA)×
битовую строку меньшей длины n, имеем
kA ∈{0,1}m kB ∈{0,1}m
× |kA〉AA〈kA| ⊗ |kB〉BB 〈kB|.
(11)
g : kA ∈ {0,1}m → k = g(kA),
(13)
Дискретный классический канал связи без памяти
k ∈ {0,1}n, n < m,
задается переходными (условными) вероятностями
(7), (9), которые определяют вероятность наблюдае-
причем хеш-функция сама является случайной ве-
мой ошибки на приемной стороне. Сами переходные
личиной, она выбирается равновероятно из множе-
вероятности связаны с искажениями информацион-
ства функций G. Вероятность выбора конкретной
ных состояний, которые зависят от атаки Евы (см.
хеш-функции g есть PG(g) = 1/|G| (|G| — размер
формулы (2), (3)) на передаваемые состояния.
множества хеш-функций). Данные функции были
Далее следует коррекция ошибок. Коррекция
введены в работе [11], где было также доказано
ошибок приводит к тому, что очищенный ключ Бо-
существование таких функций. Более формально,
ба совпадает с ключом Алисы. Матрица плотности
g(. . .) является хеш-функцией второго порядка, если
Алиса-Боб вместо (11) становится равной
имеет место соотношение
{
}
1
1
PrG
<
=
,
(14)
g(kA) = g(k′A)
|G|
2n
∀ kA = k′A ∈ {0,1}m, k = g(kA),
k′ = g(k′A), k, k′ ∈ {0, 1}n,
где усреднение проводится по равновероятному слу-
чайному выбору по множеству хеш-функций. Инту-
итивный смысл использования хеш-функций второ-
го порядка состоит в следующем. Неравенство (14)
Рис. 1. Бинарный классический канал связи Алиса-Боб,
возникающий после измерений Боба
говорит о том, что в каждое хеш-значение попада-
ет в среднем одинаковое число исходных битовых
444
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
строк, соответственно, для Евы — одинаковое чис-
при случайном выборе хеш-функций, |g〉GG〈g| —
ло матриц плотности, привязанных к каждому пер-
публично доступный классический регистр, в ко-
вичному ключу. Такое сжатие обеспечивает равно-
тором хранится выбранная хеш-функция. Сжатие
мерное распределение хеш-значений, что приводит к
ключей происходит через открытый канал связи, по-
уменьшению частичной информации Евы о первич-
этому выбор хеш-функции доступен Еве. Сжимаю-
ном ключе на любую наперед заданную величину.
щее отображение исходной битовой строки легитим-
У Алисы и Боба очищенные ключи одинаковы,
ных пользователей |kA〉A → |k〉K (kA ∈ {0, 1}m →
поэтому отображаются в одну и ту же битовую стро-
→ k ∈ {0,1}m, k = g(kA), n < m, n — длина
ку. Ева имеет частичную информацию об исход-
сжатого секретного ключа) индуцирует преобразо-
ной битовой строке (грубо говоря, часть строки не
вание квантовых состояний Евы.
знает), поэтому битовая строка, которая известна
Далее g-1(. . .) — обратная функция g(. . .). Фор-
лишь частично, будет отображаться в разные сжа-
мула (17) имеет простой смысл: Ева вместо исходно-
тые строки.
го состояния ρkAEвидитстатистическуюсмесьсосто-
Покажем пример плохого неравномерного сжа-
яний, в которую переходят состояния ρkE при сжатии
тия. Пусть все исходные битовые строки отобража-
очищенных ключей.
ются в одно и то же хеш-значение (все точки-про-
Перейдем теперь к обсуждению критерия сек-
образы переходят в одну точку). В этом случае ин-
ретности ключей.
формация Евы о сжатой битовой строке не умень-
шается, а, наоборот, становится достоверной. Следо-
вый критерий секретности (см. ниже) доказывается
3. КРИТЕРИЙ СЕКРЕТНОСТИ КЛЮЧЕЙ,
ОСНОВАННЫЙ НА СЛЕДОВОЙ МЕТРИКЕ
только для такого равномерного сжатия.
Степень сжатия определяется частичной матри-
Критерий секретности гласит [6], что следовое
цей плотности ρAE (15), через которую (см. ниже)
расстояние между матрицами плотности, описыва-
выражается нехватка информации Евы о первичном
ющее реальную ситуацию после квантового распре-
ключе, имеем
деления ключей и идеальную ситуацию после усиле-
∑
ния секретности очищенных ключей, не превосходит
ρAE =
(15)
PKA(kA)|kA〉AA〈kA| ⊗ ρkAE,
kA∈{0,1}m
||ρKE - ρU ⊗ ρE ||1 < ε,
(18)
ρkAE=TrB{|ΨkA〉BEBE〈ΨkA|}.
где следовое расстояние между двумя матрицами
Матрица плотности
(15) описывает корреляции
плотности ρ и σ по определению равно
между эталонной битовой строкой Алисы и кван-
товыми состояниями Евы до сжатия ключей —
||ρ - σ||1 = Tr{|ρ - σ)|} =
усиления секретности. После процедуры усиления
{√
}
секретности матрица плотности (15) переходит в
= Tr
(ρ+ - σ+)(ρ - σ)
(19)
ρKE, ρAE → ρKE. Теперь вместо ρkAEЕва«видит»
Здесь ε — параметр секретности, который задается
состояния
∑
легитимными пользователями,
ρKE = ρGAGE =
PK(k)|k〉KK〈k| ⊗ ρkE,
(16)
∑
k∈{0,1}n
ρKE =
PK(k)|k〉KK〈k| ⊗ ρkE,
(20)
k∈{0,1}n
∑
∑
PK(k)ρkE = ρkE, ρkE =
PG(g)|g〉GG〈g| ⊗
PK(k) = 1, Tr{ρkE} = 1.
g∈{G}
k∈{0,1}n
⎛
⎞
∑
∑
ρE = Tr{ρKE} =
PK(k)ρkE,
⊗⎝
⎠,
(17)
PKA(kA)ρkAE
n
k∈{0,1}
kA =g-1(k)
∑
(21)
1
ρU =
|k〉KK 〈k|,
где PKA (kA) (kA
∈ {0, 1}m) — функция распре-
2n
k∈{0,1}n
деления исходных первичных ключей, PK (k) (k ∈
∈ {0, 1}n, n < m) — функция распределения фи-
ρKE — совместная матрица плотности Алиса-Боб
нальных секретных ключей (см. ниже), PG(g) =
и Ева, ρE — полная матрица плотности Евы, ρkE —
= 1/|G| — однородное распределение вероятностей
частичные матрицы плотности Евы, «привязанные»
445
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
H(ρAE ) = -Tr{ρAE log(ρAE )},
к ключам Алисы-Боба k, PK (k) — функция рас-
(28)
пределения секретных ключей Алисы-Боба, ρU —
H(ρE ) = -Tr{ρE log(ρE )},
матрица плотности, отвечающая идеальным клю-
чам Алисы-Боба. Все матрицы плотности в (18)-
— энтропия фон Неймана. Если бы длина последо-
(21) нормированы на единицу. Центральный резуль-
вательности была равна m = ∞, то частота наблю-
тат теории квантовой криптографии состоит в сле-
даемых ошибок совпадала бы с вероятностью оши-
дующем:
бок. В этом случае условная минимальная энтропия
совпадала бы с энтропией фон Неймана в (27). При-
||ρKE - ρU ⊗ ρE ||1 <
сутствие отрицательного слагаемого в правой части
(26) эффективно уменьшает нехватку информации
< ε1 + 2-(Hm1in(ρAE|ρE)-leakm-n)/2,
(22)
Евы, это эффективный учет того факта, что наблю-
даемая частота ошибок (вычисляется через ρAE ) мо-
где Hε1min(ρAE |ρE ) — сглаженная условная мини-
мальная энтропия (см. детали, например, в [6]),
жет оказаться несколько меньше истинной вероят-
leakm — информация в битах, расходуемая на кор-
ности ошибки за счет флуктуаций, поэтому следует
рекцию ошибок. По определению
уменьшить нехватку информации Евы (слагаемое с
log в правой части (26)).
Hε1min(ρAE|ρE) =
Величина ε1 выбирается легитимными пользова-
(23)
телями и определяет, по существу, величину довери-
= suppρAE∈Bε1 (ρAE )Hmin(ρAE|ρE),
тельного интервала для оценки вероятности ошиб-
Hmin(ρAE|ρE) = - log(λ),
(24)
ки по наблюдаемой частоте. Как видно из (26), ве-
личина ε1 при заданной длине зарегистрированной
где log ≡ log2, λ — минимальное число, такое что
оператор λIA ⊗ ρE - ρAE > 0. Поиск минимума про-
последовательности квантовых состояний m опреде-
ляет точность оценки величины энтропии — нехват-
исходит по матрицам плотности, которые лежат в
шаре радиусом ε1. При больших m имеет место со-
ки информации Евы. Чем точнее требуется оценка
(ε1 задано), тем большая длина последовательности
отношение [6]
m требуется.
1
min
H(ρAE |ρE ).
(25)
Отметим, что в критерии (22) фигурируют кван-
Hε1min(ρAE|ρE) ≥
m
ρAE∈Bε1 (ρAE)
товые состояния — матрицы плотности составной
системы Алиса-Боб и Ева до коррекции ошибок
Поясним на неформальном уровне возникнове-
(15). Физический смысл условной минимальной эн-
ние сглаженной энтропии в (22). Появление вели-
тропии и энтропии фон Неймана (23)-(25), (27) —
чины ε1 в (22)-(25) связано со следующим. При
нехватка информации Евы в битах о битовой стро-
конечных длинах последовательностей m величина
ке длиной m при условии, что Ева имеет в своем
ошибки на приемной стороне флуктуирует. В экспе-
распоряжении квантовую систему (15), привязан-
рименте наблюдаемой величиной является частота
ную к каждой позиции первичного ключа. При кор-
ошибок, которая стремится при большом объеме вы-
рекции ошибок через открытый канал, доступный
борки к истинной вероятности ошибки. Из-за флук-
в том числе и Еве, выдается leakm битов информа-
туаций частота ошибок имеет разброс, соответствен-
ции. Данная информация уменьшает нехватку ин-
но матрица плотности также имеет разброс. Далее
формации Евы о битовой строке — данная информа-
ρAE — матрица плотности, которая приводит к наб-
ция вычитается из первичной нехватки информации
людаемой частоте ошибок.
Для наших целей будет достаточно следующей
Hε1min(ρAE|ρE) в экспоненте (22).
оценки минимальной энтропии, когда матрица плот-
Как следует из (22), если длина финального сек-
ности ρAE представляет собой тензорное произведе-
ретного ключа n < m выбрана так, что
ние [6]:
1
2-(Hm1in(ρAE |ρE)-leakm-n)/2 < ε1,
(29)
Hε1min(ρAE|ρE) ≥ H(ρAE|ρE)-
m
√
фактически при требуемой (заданной) длине фи-
log(1/ε1)
- const ·
,
(26)
нального секретного ключа n сначала выбирается
m
ε1/2 = ε, затем выбирается длина последовательнос-
где const — постоянная порядка единицы,
ти m, чтобы удовлетворялось (29), и тогда финаль-
ный ключ длиной n битов будет ε-секретным.
H(ρAE |ρE ) = H(ρAE ) - H(ρE ),
(27)
446
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
Таким образом, заданное ε достигается путем
но и имеет точное решение [13]. Ошибка различения
сжатия очищенного ключа, естественно, если нуж-
двух состояний есть
но, чтобы финальный ключ был заданной длины n
1
1
и был ε-секретным, то необходимо обеспечить соот-
Perr =
(1 - ||ρKE - ρU ⊗ ρE ||1) <
(1 - ε)
(30)
2
2
ветствующую длину m первичного ключа.
Вся информация об атаках Евы заключена в мат-
и выражается через следовое расстояние. В идеаль-
рице плотности ρkAE(см.формулы(15)),ониже,по
ном случае ε = 0, так как состояния слипаются,
сути, фигурируют в критерии секретности (22). Вы-
ошибка различения равна вероятности простого уга-
числение данных матриц плотности для различных
дывания, это и есть наихудший случай. На основа-
атак, включая атаки активного зондирования аппа-
нии вероятности (30) различения двух квантовых
ратуры Алисы и Боба [12], представляет собой за-
состояний дается интерпретация. Если практически
дачу квантового криптоанализа систем квантовой
нельзя отличить квантовое состояние, описывающее
криптографии.
реальную ситуацию, от квантового состояния иде-
Далее нас будет интересовать интерпретация са-
альной ситуации, то произносятся слова, что ключи,
мого критерия секретности ключей (18), (22). В сле-
полученные в реальном сеансе квантового распреде-
дующих разделах, используя стандартную кванто-
ления ключей, неотличимы (с вероятностью ε (18))
во-статистическую интерпретацию матрицы плот-
от ключей, полученных в идеальной ситуации. Хотя
ности как квантового ансамбля, дадим простую фи-
вероятности различения самих ключей в (30) явно
зическую интерпретацию следового критерия сек-
нет. Есть только вероятность различения двух ситу-
ретности (18).
аций как целого.
Данная интерпретация была, по-видимому, пер-
вой и вызывала большие споры [7]. Такая интерпре-
4. СУЩЕСТВУЮЩИЕ ИНТЕРПРЕТАЦИИ
тация является крайне абстрактной — подразуме-
КРИТЕРИЯ СЕКРЕТНОСТИ КЛЮЧЕЙ
вает измерение двух квантовых состояний, отвеча-
ющих двум ситуациям. Совершенно непонятно, как
Следовое расстояние является интегральной ха-
устроить измерения двух таких состояний.
рактеристикой, которая характеризует близость
2. Вероятность угадывания ключей.
двух квантовых состояний. Возможны различные
Из-за неудовлетворительности предыдущей ин-
интерпретации следового расстояния. Рассмотрим
терпретации была предложена следующая. Изме-
несколько существующих интерпретаций.
ряя свои квантовые состояния после реального се-
1. Вероятность различения квантовых состоя-
анса квантового распределения ключей, подслуши-
ний.
ватель получает свою битовую строку, которая яв-
Эта интерпретация сводится к следующему. Име-
ляется неидеальной копией секретного ключа Али-
ется два квантовых состояния ρ0 = ρKE, описываю-
сы и Боба. Оказалось, что средняя вероятность по
щих реальную ситуацию после квантового распреде-
всем ключам того, что копия ключа Евы kE будет
ления ключей — квантовые состояния Евы коррели-
совпадать с секретным ключом Алисы и Боба k, не
рованы с ключами. Состояние ρ1 = ρU ⊗ ρE описы-
превосходит следующие величины [13, 14]:
вает идеальную ситуацию: идеальные ключи строго
1
1
равновероятны и квантовая система Евы никак не
P (k = kE ) <
+||ρKE -ρU ⊗ ρE ||1 <
+ε,
(31)
2n
2n
коррелирована с ключами. Задача состоит в разли-
чении одного квантового состояния от другого с ми-
т. е. превышает вероятность простого угадывания
нимально возможной вероятностью ошибки. Пусть
ключа — первое слагаемое в правой части (31) (1/2n,
состояния предъявляются для различения равно-
n — длина ключа в битах) — лишь на величину ε.
вероятно. Различение квантовых состояний может
3. Трудоемкость определения истинного ключа.
быть сделано при помощи измерений. Измерение,
Предыдущая интерпретация также не является
различающее два квантовых состояния (возможно с
полной. В криптографии важными являются кри-
некоторой вероятностью ошибки), имеет два исхода.
терии секретности, использующие трудоемкость пе-
Исходы измерений над квантовой системой случай-
ребора по поиску истинного ключа. Ранее [8] бы-
ны. Один исход измерений интерпретируется как со-
ла установлена связь критерия секретности (18) и
стояние ρ0, второй исход измерений — как ρ1. Задача
критериев, использующих понятие трудоемкости —
об оптимальном различении двух квантовых состо-
число шагов перебора по определению ключа до на-
яний в квантовой теории информации известна дав-
хождения истинного ключа. Ключи используются в
447
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
системах шифрования. Возникает вопрос, как из-
классической, так и квантовой теории информации.
менится число шагов перебора ключей по поиску
В этой части она основана на простых комбина-
истинного, если вместо идеальных ключей (строго
торных соображениях и интерпретации вероятности
равновероятных и полностью неизвестных подслу-
как предела частоты появления случайных событий
шивателю) будут использоваться ε-секретные клю-
при большом числе испытаний.
чи (18). Полный перебор по всему ключевому про-
странству — трудоемкость (в англоязычной версии
5.1. Интерпретация матрицы плотности
Guess Work [15]), при идеальных ключах составляет
легитимных пользователей
Nn
G(K) =
,
Nn = 2n,
(32)
Составная квантовая система Алиса-Боб и
2
. Да-
Ева описывается матрицей плотности ρKE
для ε-секретных ключей число шагов перебора ста-
дим стандартную квантовомеханическую интерпре-
новится равным
тацию данной матрицы плотности. Алиса в своем
Nn(1 - 2ε)
распоряжении имеет матрицу плотности, которая
Gε(K) ≥
(33)
2
дается частичным следом матрицы плотности со-
ставной системы, имеем
Возможен также частичный перебор по части клю-
чевого пространства (см. подробности в [8]), кото-
∑
ρK = TrE{ρKE} =
PK(k)|k〉KK〈k|.
(34)
рый также выражается через величину следового
k∈K
расстояния. Оказалось [8], что величина 1/ε опреде-
ляет число шифр-сообщений до первого прочтения
Стандартная борновская интерпретация матрицы
сообщения — вскрытия шифра. Результаты [8] да-
плотности (34) в нашем случае сводится к следую-
ют четкие границы для использования ε-секретных
щему. Каждый ключ k в (34) возникает с вероят-
ключей в системах шифрования.
ностью PK (k). С каждым ключом в (34) ассоцииро-
Последняя интерпретация является уже доста-
вана, т. е. «привязана» к ключу, матрица плотности
точной и вполне содержательной для использования
ρkE Евы.
ключей, полученных в системах квантовой крипто-
Вероятность PK (k) появления конкретного зна-
графии, в криптографических приложениях, однако
чения ключа k также должна быть интерпретирова-
данная интерпретация далека от простой и интуи-
на. Вероятность интерпретируется через предел час-
тивно понятной на физическом уровне интерпрета-
тоты событий при большом числе испытаний. Пусть
ции.
проводится N независимых квантовых распределе-
ний ключей — испытаний в одних и тех же условиях.
После каждого квантового распределения ключей
5. КВАНТОВО-СТАТИСТИЧЕСКАЯ
(каждого испытания) возникает конкретный ключ
ИНТЕРПРЕТАЦИЯ КРИТЕРИЯ
k и состояние Евы ρkE. После серии экспериментов
СЕКРЕТНОСТИ КЛЮЧЕЙ
в одних и тех же условиях возникает последова-
Ниже будет дана простая и понятная на уровне
тельность исходов — последовательность состояний
физической интуиции интерпретация критерия сек-
у Алисы-Боба и Евы.
ретности ключей в квантовой криптографии, кото-
В результате N испытаний у Алисы-Боба может
рая базируется на стандартной борновской интер-
возникнуть одна из последовательностей состоя-
претации матрицы плотности как статистического
ний — ключей. Все последовательности, возникаю-
ансамбля квантовых состояний. При этом интерпре-
щие в результате распределения ключей, могут быть
тация не требует предварительных знаний как из
представлены в виде
⎫
|k11 〉KK 〈k11 | ⊗ |k12 〉KK 〈k12 | ⊗ . . . ⊗ |k1N 〉KK 〈k1N |,
⎪
⎪
⎪
⎬
|kj1 〉KK 〈kj1 | ⊗ |kj1 〉KK 〈kj1 | ⊗ . . . ⊗ |kjN 〉KK 〈kjN |,
2nN вариантов серий длиной N.
(35)
⎪
⎪
⎪
⎭
|kN1 〉KK 〈kN1 | ⊗ |kN1 〉KK 〈kN1 | ⊗ . . . ⊗ |kNN 〉KK 〈kNN |,
448
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
Здесь kji — ключ в j-й серии испытаний на i-м мес-
матическому ожиданию. Данные последовательно-
те, i = 1, 2, . . ., N.
сти являются наиболее вероятными, т. е. типичны-
Для дальнейшего будет использован следующий
ми (см. ниже). Напомним, что имеет место условие
факт. Все последовательности в (35) содержатся в
нормировки
тензорном произведении матрицы плотности:
∑
PK(k) = 1.
(37)
k=1
(ρK )⊗N = (TrE {ρKE })⊗N =
)⊗N
Полное число таких типичных последовательностей
(∑
=
PK(k)|k〉KK〈k|
=
оценивается как
k∈K
N (n1, n2, . . . , n2n ) = Cn1n2...n2nN=
= PK(k1)|k1〉KK〈k1| ⊗ PK(k2)×
N!
=
,
N = n1 + n2 + ... + n2n,
(38)
× |k2〉KK 〈k2| ⊗ . . . ⊗ PK (kN )|kN 〉KK 〈kN | + . . .
(36)
n1!n2! . . . n2n !
Отдельные последовательности в (35) отвечают раз-
что равно числу размещений n1, n2, . . . , n2n ключей
личным слагаемым в (36) при возведении в тензор-
типа 1, 2, . . . , 2n по N позициям. Все последователь-
ную степень. Порядок сомножителей в каждом сла-
ности такого типа имеют одинаковую вероятность и
гаемом в разложении (36) важен, он отвечает за но-
различаются только перестановками ключей по N
мер испытания, в котором появляется данный ключ.
позициям.
При каждом испытании ключ может принимать
Учитывая, что вероятность появления каждой
одно из 2n значений (напомним, что n — длина би-
типичной последовательности есть
товой строки ключа), поэтому всего возможно 2nN
P (n1, n2, . . . , n2n ) =
разных вариантов последовательностей в (35).
Различные последовательности в (35) встреча-
= (PK (k1))n1 (PK (k2))n2 . . . (PK (k2n ))n2n ,
(39)
ются с разными вероятностями. При большой длине
серии N число ключей k1 в каждой серии пример-
используя формулу Стирлинга
но равно n1 = NPK (k1), число ключей k2 равно
√
(N)N
n2 = NPK(k2), . . ., число ключей k2n равно n2n =
N!≈
2πN
,
(40)
e
= NPK(k2n), что является выражением того факта,
что среднее по числу испытаний стремится к мате-
в главном приближении можно записать
N!
NN
→
,
(41)
n1!n2! . . . nN !
(NPK (k1))NPK(k1)(NPK (k2))NPK(k2) . . . (NPK (xk2n ))NPK(k2n )
с учетом (38)-(41) в асимптотическом пределе боль-
позициях — испытаниях, в каждой типичной после-
ших N получаем оценку для числа типичных после-
довательности. Энтропия Шеннона является мерой
довательностей
информации в битах, заключенной во множестве ти-
пичных последовательностей.
N (n1, n2, . . . , n2n ) = 2NH(X),
Отметим важное для дальнейшего утверждение.
Поскольку матрица плотности (34) записана в диа-
∑
(42)
H (K) = -
PK(k)log(PK(k)).
гональном виде, подсчет числа типичных последова-
k∈{0,1}n
тельностей, соответственно, размерность простран-
ства, в которое вкладываются состояния в (35), воз-
Здесь H(K) — энтропия Шеннона.
можен путем простых комбинаторных соображений
Из физически и интуитивно простых комбина-
(38)-(41).
торных соображений получено следующее утверж-
Фактически, это один из центральных результа-
дение: с вероятностью единица при длинной серии
тов классической теории информации — теорема о
испытаний — квантовых распределений ключей у
асимптотически равновероятном распределении ти-
Алисы-Боба возникнет одна из типичных последо-
пичных последовательностей [16]. Определим T(N)δ
вательностей ключей. При длинной серии испыта-
как множество δ типичных последовательностей по
ний типичные последовательности равновероятны и
отношению к распределению вероятностей PK(k),
различаются только размещением ключей в разных
вероятности которых удовлетворяют условию
449
3
ЖЭТФ, вып. 3 (9)
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
(k1, k2, . . . , k2n ) ∈ Kn,
2-N(H(K)+δ) ≤
личимость ключей у Алисы-Боба означает их клас-
сический характер. Полное пространство идеальных
≤ P(n1n2 . . . n2n) ≤ 2-N(H(K)-δ).
(43)
ключей имеет размерность 2nN .
Тогда в более аккуратной формулировке теорема
В реальной ситуации размерность типичного
о асимптотически равнораспределенности формули-
пространства ключей есть 2H(K)N , что несколько
руется следующим образом:
меньше, чем размерность пространства идеальных
1) если (k1, k2, . . . , k2n ) ∈ T(N)δ, то вероятность
ключей. После каждого квантового распределения
такой последовательности удовлетворяет соотноше-
ключей Алиса-Боб будут иметь с вероятностью еди-
нию
ница один из ключей, который лежит в простран-
стве типичных последовательностей (43).
1
H(K) - δ ≤ -
log(P (n1n2 . . . n2n )) ≤ H(K) + δ;
Размерность ключевого пространства определя-
N
ется энтропией Шеннона (42), для вычисления ко-
2) вероятность последовательности при N испы-
торой требуется знать распределение вероятностей
таниях попасть в типичное множество последова-
ключей PK (k) в (42). Однако явно само распределе-
тельностей не менее Pr{T(N)δ} ≥ 1 - δ;
ние вероятностей ключей после квантового распре-
3) количество типичных последовательностей
деления ключей неизвестно, известно лишь, что рас-
пределение вероятностей близко в смысле следового
|T(N)δ| лежит в диапазоне (1 - δ)2N(H(K)-δ)
≤
расстояния к равномерному распределению PU (k) =
≤ |T (N)δ| ≤ 2N(H(K)+δ).
= 1/2n.
Неформально говоря, вероятность попасть в типич-
Для дальнейшего потребуется воспользоваться
ное множество последовательностей при больших
одним полезным свойством следовой метрики, а
N равна единице, все типичные последовательнос-
именно, следовое расстояние не возрастает при дей-
ти равновероятны и их число равно 2NH(K), соот-
ствии квантового преобразования — супероперато-
ветственно, вероятность каждой последовательнос-
ров над матрицами плотности [13]. Взятие частично-
ти есть 2-NH(K).
го следа является частным примером супероперато-
Таким образом, в результате серии реальных
ра. Интуитивно данное свойство очень понятно, по-
квантовых распределений ключей Алиса-Боб будут
скольку при взятии частичного следа одна из кван-
иметь в своем распоряжении одну из типичных по-
товых подсистем составной квантовой системы ста-
следовательностей ε-секретных ключей, где с каж-
новится недоступной, что, очевидно, должно умень-
дым ключом ассоциирована квантовая системы Евы
шать различимость состояний. Из свойств следового
(см. (20), (21)).
расстояния [13] следует, что
5.2. Связь энтропии Шеннона ключей со
1∑
||PK - PU ||1 =
|PK (k) - PU (k)| =
следовым расстоянием
2
k∈K
Выше была дана интерпретация матрицы плот-
= ||ρK - ρU ||1 ≤ ||ρKE - ρU ⊗ ρE ||1 < ε.
(44)
ности Алисы-Боба в реальной ситуации квантового
распределения ключей. В идеальной ситуации мат-
Для того чтобы выяснить размерность типичного
рица плотности Алисы-Боба соответствует идеаль-
пространства ключей, требуется связать энтропию
ному распределению ключей ρU — все ключи рав-
Шеннона со следовым расстоянием. Энтропия Шен-
новероятны, поэтому все битовые последовательно-
нона оказывается не меньше, чем [15]
сти в идеальной ситуации являются типичными. Ве-
роятность любого ключа PK (k) = 1/2n, энтропия
H(K) ≥ log |K| + 2||PK - PU ||1 ×
Шеннона в этом случае H(K) = n и ключи некор-
(2||PK-PU ||1 )
релированы с квантовой системой Евы ρE .
× log
= n(1-2ε)+2ε log(2ε),
(45)
|K|
Фактически имеет место ситуация с классиче-
ским источником состояний — ключей. Ключи в
где |K| = 2n — размерность ключевого пространства
каждом акте реального квантового распределения
идеальных ключей. С логарифмической точностью
ключей выбираются из алфавита k ∈ K = {0, 1}n
размерность пространства ключей после реального
с вероятностями PK(k), заданными над алфавитом.
квантового распределения ключей H(K) ≥ n(1-2ε),
Квантовые состояния |k〉, отвечающие разным бито-
т. е. после распределения ключей Алиса-Боб с веро-
вым строкам ключей, ортогональны, поэтому досто-
ятностью единица имеют один из ключей из множе-
верно различимы у Алисы-Боба. Достоверная раз-
ства, изображенного на рис. 2.
450
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
⎫
ρk11E ⊗ ρE12 ⊗ . . . ⊗ ρE1N ,
⎪
⎪
⎪
⎬
вариантов
2nN
(46)
ρkj1E ⊗ ρEj2 ⊗ . . . ⊗ ρEjN ,
⎪
серий длиной N.
⎪
⎪
⎭
kN1
ρ
E
⊗ ρkN2E ⊗ . . . ⊗ ρENN ,
Неформально формула (46) означает, что после
каждого акта квантового распределения ключей
Ева имеет в своем распоряжении квантовое состоя-
ние ρkjmE с вероятностью PK (kjm ), привязанное к
ключу Алисы-Боба, возникающему с той же веро-
ятностью (см. (47)).
Рис. 2. Схематическое изображение областей простран-
Всевозможные последовательности в (46) пред-
ства типичных последовательностей для случая идеальных
ставляют собой матрицу плотности вида
ключей (размер множества 2Nn), множества ε-секретных
ключей (размер множества 2NH(K)) и множества последо-
)⊗N
вательностей, которые может различить подслушиватель
(∑
(размер множества 2Nχ(E) )
ρ⊗NE =
PK(k)ρk
E
(47)
k∈K
Вероятность каждой последовательности определя-
ется числом появлений одного и того же типа мат-
Следующий вопрос, на который мы хотим отве-
тить, какова размерность типичного множества ко-
риц плотности Евы аналогично соответствующему
числу появлений ключей одного типа. Вероятность
пий ключей у Евы. Неформально говоря, какую до-
лю ключевого пространства Алисы-Боба с размер-
каждой последовательности дается формулой (47).
ностью 2n(1-2ε) Ева сможет различить после изме-
Цель Евы — проводя измерения над своими кван-
рений над своей квантовой системой, коррелирован-
товыми состояниями, узнать ключ, к которому при-
ной с каждым ключом.
вязаны ее матрицы плотности. Возможны два типа
измерений:
1) индивидуальные;
2) коллективные.
После каждого акта распределения ключей в кван-
5.3. Интерпретация матрицы плотности и
товой памяти возможно одно из 2n состояний ρkE,
измерений подслушивателя
привязанных к ключу k Алисы-Боба. Квантовые
, отвечающие различным ключам k,
состояния ρkE
Принципиально другая ситуация возникает у
являются неортогональными — матрицы плотности
Евы, которая имеет в своем распоряжении кванто-
этих состояний не коммутируют, поэтому данные со-
вые состояния ρkE , привязанные к каждому ключу
стояния достоверно неразличимы, т. е. различимы с
k. Для того чтобы узнать ключ Алисы-Боба, Ева
некоторой вероятностью ошибки. Степень различи-
должна проводить измерения над своими квантовы-
мости связана с величиной параметра секретности ε
ми состояниями.
в (18). Чем больше параметр ε, тем ситуация после
Перейдем теперь к интерпретации матрицы
распределения ключей дальше от идеальной и тем
плотности Евы и ее измерений над квантовыми
лучше различимы состояния Евы, и наоборот. При
состояниями. В результате N испытаний у Евы
ε → 0 квантовые состояния Евы некоррелированы с
вместо множества вариантов возникает одна из по-
ключами, т. е. матрицы плотности Евы, отвечающие
следовательностей квантовых состояний. В каждой
отдельным ключам, неразличимы в том смысле, что
последовательности в каждом акте испытаний Ева
любому ключу отвечает одна и та же матрица плот-
имеет в своем распоряжении квантовое состояние,
ности, иначе говоря, матрица плотности ρkE = ρE/2n
которое «привязано» к ключу (коррелировано с
не зависит от k.
ключом) Алисы-Боба. Все возникающие последова-
Важно подчеркнуть, что индивидуальные изме-
тельности квантовых состояний у Евы могут быть
рения Ева проводит независимо после каждого рас-
представлены в виде
пределения ключей над конкретной ρkE , полученной
451
3*
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
в этом акте. Измерения даются разложением едини-
Количество информации в битах, которое может по-
цы в пространстве состояний Евы:
лучить Ева в результате индивидуальных измере-
∑
ний в пересчете на один акт квантового распределе-
IE =
MkE, KE = {0, 1}n,
(48)
ния ключей, дается взаимной информацией:
kE ∈KE
I(KE : K) = H(K) - H(K|KE) =
где kE — значение копии истинного ключа у Евы,
= H(KE) - H(KE|K).
(54)
MkE — операторно-значная мера. Условная вероят-
ность того, что истинный ключ Алисы-Боба есть
Формула (54) имеет простую интерпретацию. Пол-
ная размерность пространства ключей Алисы-Боба
k, а Ева в результате измерений получит значение
ключа kE , равна
равна 2NH(K). Ева может различить долю ключей
из этого множества не более
PK
(49)
2NH(K)
E|K(kE|k)=TrE{ρEMkE}.
2I(KE:K) =
=2N(H(K)-H(K|KE))
(55)
2NH(K|KE)
Вероятность правильной идентификации ключа у
Результат (55) можно получить и несколько други-
Евы после конкретного квантового распределения
ми рассуждениями, которые используются для ка-
ключей равна PKE|K (k|k). Квантовое состояние у
чественного вывода пропускной способности класси-
Евы после каждого квантового распределения клю-
ческого дискретного канала связи без памяти [16].
чей, согласно (47), возникает с вероятностью PK (k)
Подслушиватель после измерений «видит» на-
(см. (47)), поэтому средняя вероятность правильно-
блюдение kE — копию истинного ключа k. Количе-
го различения ключей при индивидуальных измере-
ство типичных последовательностей копий ключей
ниях квантовых состояний у Евы есть
kE у Евы — размерность пространства, есть
∑
PrOK = PK (k)PKE|K (k|k).
(50)
|KE | = 2NH(KE),
∑
k∈K
(56)
H(KE ) = -
PKE(kE)log(PKE(kE)).
Соответственно, совместное распределение вероят-
kE ∈KE
ностей
Символически множество условно типичных после-
довательностей наблюдений Евы приведено на
рис.
3. При каждом фиксированном значении
PKEK(kE, k) = PK(k) PrKE|K(kE|k)=
истинного ключа k в N испытаниях возникает
= PKE(kE)PrK|K
(k|kE ).
(51)
E
условно типичных последовательнос-
2NH(KE|K=k)
тей у Евы. Неформально говоря, при измерениях
Оказывается, что индивидуальные измерения явля-
Евы над квантовым состоянием каждый ключ раз-
ются не самыми оптимальными, коллективные из-
мазывается в множество размерности 2NH(KE|K=k).
мерения позволяют получать больше информации.
С учетом того, что каждый ключ k возника-
Неформально, количество битов информации,
ет с вероятностью PK(k), среднее число условно
которых Еве не хватает после измерений для того,
типичных последовательностей становится равным
чтобы знать ключ Алисы-Боба, есть
2NH(KE|K).
∑
Различить истинные ключи k по результатам из-
H (K|KE) =
PKE(kE)H(K|KE = kE) =
мерений Ева может, только если количество истин-
kE ∈KE
∑
∑
ных ключей такое, что их образы в пространстве KE
=-
PKE(kE)
PK|KE(k|kE)×
не перекрываются (см. рис. 3). Каждому ключу k в
kE ∈KE
k∈K
среднем отвечает область размером 2NH(KE|K). По-
× log(PK|KE (k|kE )).
(52)
этому Ева может различить такую долю истинных
не перекрывают-
ключей, для которой области в KE
Далее кроме (52) удобно использовать выражение
ся (см. рис. 3 для качественного пояснения), имеем
∑
2NH(KE)
H(KE |K) = PK (k)H(KE |K = k) =
=2NI(KE:K).
(57)
2NH(KE|K)
k∈K
∑
∑
Иными словами, равенство (57) означает следую-
= - PK(k)
PKE|K(kE|k)×
щее. У Алисы-Боба с вероятностью единица сущест-
k∈K
kE ∈KE
вует 2NH(K) типичных последовательностей. Каж-
× log(PKE|K (kE |k)).
(53)
дая последовательность Алисы-Боба переходит с
452
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
взаимной информации I(KE : K) в (54) при инди-
видуальных измерениях через величину следового
расстояния ε.
5.4. Коллективные измерения
подслушивателя
Рассмотрим коллективные измерения Евы. Важ-
но отметить, что коллективные измерения прово-
Рис. 3. Схематическое изображение множества ε-секрет-
дятся не над одним квантовым состоянием ρkE по-
ных ключей (жирные кружки в множестве типичных по-
сле каждого акта распределения ключей, а над всей
следовательностей ключей Алисы-Боба, левая половина),
последовательностью из n квантовых состояний в
которые переходят в целые области размером 2NH(KE|K)
каждой серии из N квантовых распределений клю-
(размер области условно-типичных последовательностей
при измерениях Евы). Число ключей Алисы-Боба, кото-
чей ρk11E ⊗ρE12 ⊗. . .⊗ρE1N (см. (46)). Такие измерения
рые может различить подслушиватель, определяется чис-
называются коллективными. При таких измерениях
лом областей условно типичных последовательностей, ко-
Ева получает больше информации о передаваемых
торыми можно покрыть все пространство типичных после-
ключах.
довательностей (размер области 2NH(KE)) Евы без нало-
Оказывается, что для коллективных измерений
жения
можно получить явную оценку фундаментальной
верхней границы информации Евы, которая явля-
вероятностью единица в 2NH(K|KE) типичных по-
ется фундаментальным пределом классической ин-
следовательностей у Евы (см. рис. 3). Ева по свое-
формации в битах, которую можно извлечь из кван-
му измерению может отличить лишь ту долю ти-
тового ансамбля. Данную границу можно выразить
пичных последовательностей Алисы-Боба, которые
через величину следового расстояния (18) без явно-
приводят к неперекрывающимся множествам у Евы
го знания матрицы плотности (47).
(рис. 3). Эта доля как раз и равна
Как было видно выше на примере состояний
Алисы-Боба (34), число типичных последователь-
2NH(K)
ностей определяется размерностью пространства, в
=2NI(KE:K).
2NH(K|KE)
которое вкладывается (35). Для этого, аналогично
разделу выше, представим матрицу плотности (47)
Если бы квантовые состояния Евы, привязанные
к ключам Алисы-Боба после квантового распреде-
в диагональном виде:
ления ключей, были бы известны явно, то в принци-
∑
пе (умозрительно) можно было бы построить инди-
ρE = PΛ(λi)|λi〉EE〈λi|,
видуальные измерения — операторно-значные меры
λi
∑
(58)
в (48), (49), которые минимизируют ошибку разли-
λi = 1,
E 〈λi|λi’〉E = δλi,λi’,
чения ключей, т. е. минимизируют условную энтро-
λi
пию H(K|KE) в (52), имеющую смысл нехватки ин-
формации Евы о ключе, при условии наблюдения
где PΛ(λ) ≥ 0 — собственные числа матрицы плот-
kE. Длина ключа в битах для алгоритмов шифро-
ности, |λi〉E — собственные векторы. Векторы, отве-
вания n = 256, поэтому измерение (48) имеет 2256 ≈
чающие различным собственным числам матрицы
≈ 1077 исходов. То есть размерность ключевого про-
плотности (эрмитового положительного оператора),
странства даже после одного акта квантового рас-
ортогональны. Поскольку след матрицы плотности
пределения ключей является запредельной, поэто-
равен единице, собственные числа в (47) имеют ин-
му явно построить такие оптимальные измерения
терпретацию вероятностей.
практически невозможно, даже если были бы явно
После диагонализации матрицы плотности Евы
известны сами матрицы плотности Евы в (47).
приходим к предыдущей задаче, где вместо произве-
Однако матрицы плотности Евы явно неизвест-
дений ортогональных состояний |K〉K с вероятнос-
ны, известно только, что матрицы плотности в (47)
тями PK (k) фигурируют произведения ортогональ-
ε-близки в смысле следового расстояния к матрицам
ных состояний |λ〉E с вероятностями PΛ(λ). Вероят-
плотности для идеальной ситуации. По этой при-
ность появления каждой типичной последователь-
чине не удается получить явную оценку сверху для
ности есть
453
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
P (nλ1 , nλ2 , . . . , nλM ) =
которые можно разместить в полном пространстве,
∑
k
равно 2N kPK(k)H(ρ
E
). Поэтому из полного числа
= (PΛ(λ1))nλ1 (PΛ(λ2))nλ2 . . . (PΛ(λM ))nM ,
(59)
ключей будет различима доля
где nλi — число вхождений состояния |λi〉E в после-
довательность длины N, M — число собственных
2NH(ρE)
(63)
векторов матрицы плотности. С учетом (58), (59)
2N(∑kPK(k)H(ρE ))=2Nχ(E),
аналогично (37)-(42) получаем оценку для числа ти-
где информация Холево [17-19]
пичных последовательностей:
∑
NTyp = 2NH(Λ),
χ(E) = H(ρE ) - PK (k)H(ρkE ).
(64)
∑
k
(60)
H (Λ) = -
PΛ(λ)log(PΛ(λ)),
λ∈{Λ}
Применительно к нашему случаю информация
Холево может быть интерпретирована следующим
здесь H(Λ) — энтропия фон Неймана,
образом. Имеется классический источник ключей,
который генерирует ключи в соответствии с распре-
H (ρE ) = -Tr{ρE log(ρE )} = H(Λ) =
делением вероятностей PK (k). Вместо самих ключей
∑
=-
PΛ(λ)log(PΛ(λ)).
(61)
в канал связи к Еве поступают квантовые состоя-
λ∈{Λ}
ния ρKE . Фактически к Еве поступает квантовый ан-
самбль состояний E = {PK (k), ρkE }.
Таким образом, полная размерность пространства
Каждый ключ в среднем несет в себе информа-
состояний у Евы есть 2NH(Λ). Однако не все орто-
цию n(1 - 2ε) битов. В результате измерений над
гональные состояния, на которые натянуто данное
квантовыми состояниями в среднем Ева может по-
пространство, достоверно различимы в том смысле,
лучить не более χ(E) битов информации о ключе.
что ключу отвечают не отдельные ортогональные
Как увидим ниже, данная информация не более
векторы, а набор ортогональных векторов, которые
χ(E) < 2nε битов, т. е. Ева при ε → 0 знает не более
возникают из данного ключа. Размер областей опре-
2nε битов ключа.
деляется при заданном k размером типичного про-
странства матрицы плотности ρkE , привязанной к
5.5. Связь информации подслушивателя с
данному ключу, аналогично условно типичным по-
следовательностям предыдущего раздела.
пропускной способностью
квантово-классического канала связи
К каждому ключу привязана матрица плотности
ρkE, вероятность ключа k есть PK(k). Матрица плот-
Фактически Алиса-Боб и Ева находятся в ситу-
ности может быть представлена в диагональном ви-
ации квантово-классического канала связи. Интер-
де:
претация матрицы плотности (47) следующая. Име-
∑
ется классический алфавит ключей с заданным над
ρkE =
Pμ(k) (μ(k)i)|μ(k)i〉EE〈μ(k)i|,
ним распределением вероятностей
μ(k)
i
∑
(62)
(k)
k ∈ K = {0,1}n, PK(k),
(65)
E 〈μ
i
|μ(k)i′ 〉E = δμ(k)
,
Pμ(k) (μ(k)i) = 1,
i
,μ(k)i′
μ(k)
i
Алиса-Боб генерируют ключи. К каждому ключу
∑
привязано состояние Евы. По сути, ситуация сводит-
H(ρkE ) = -
Pμ(k) (μ(k)i) log(Pμ(k) (μ(k)i)).
ся к тому, что источник ключей используется много-
μ(k)
i
кратно, N раз, т. е. посылает в канал связи к Еве не
Матрица плотности каждого ключа, имеющего ве-
сами ключи (ортогональные — классические состоя-
роятность PK (k), имеет собственное пространство
ния, отвечающие ключам), а квантовые состояния
состояний, которое имеет размерность 2NPK(k)H(ρE ).
ρkE. Цель Евы, — проводя оптимальные измерения,
Данный результат получается следующими рассуж-
узнать, какому ключу соответствует квантовое со-
дениями. В последовательности N испытаний мат-
стояние.
рица плотности для ключа k встречается с вероят-
Один из фундаментальных результатов кванто-
ностью PK (k). В полном пространстве с размернос-
вой теории информации — теорема Холево [17-19],
тью 2NH(ρE) к каждому ключу привязана область
прямая теорема кодирования, которая применитель-
размером 2NPK(k)H(ρE ) (см. аналогичные рассужде-
но к нашей ситуации квантового распределения
ния предыдущего раздела). Полное число областей,
ключей, гласит следующее. Пусть задан квантовый
454
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
ансамбль E = {PK (k), ρkE } — источник квантовых
Известна только некоторая интегральная ха-
состояний, который используется многократно, N
рактеристика квантового ансамбля
— следовое
раз, существует набор кодовых слов — подмножест-
расстояние до идеальной ситуации. Дальнейшей
во k ∈ R ∈ K размером
нашей задачей будет нахождение оценки для
верхней границы информации Холево, которая
N |R| ≤ Nχ(E) =
должна выражаться через следовое расстояние,
(
)
фигурирующее в критерии секретности (18).
∑
= N H(ρE) - PK(k)H(ρkE)
,
(66)
k∈K
Информация Холево связана с пропускной
способностью квантово-классического канала связи
такой что для любого наперед заданного δ → 0, на-
[17-19]. Подслушиватель и Алиса находятся в
чиная с N > Nδ, ошибка различения квантовых со-
следующей ситуации. Классическая информация —
стояний, соответственно, ключей k из кодового на-
ключ, генерируемый источником, поступает к Еве в
бора, будет стремиться к нулю,
виде квантовых состояний — матриц плотности без
искажений. В этом смысле квантово-классический
2const·N(|R|-χ(E)) < δ.
(67)
канал Алиса-Ева является идеальным. Говоря
Обратная теорема кодирования [19, 20] гласит, что
более неформально, классическая информация,
если набор кодовых слов — подмножество k ∈ R ∈
генерируемая классическим источником (Алисой),
∈ K, имеет размер
в пересчете на один акт квантового распределения
∑
ключей есть H(K) ≥ n(1 - 2ε) битов (см. формулы
N |R| ≥ Nχ(E) = N(H(ρE )- PK (k)H(ρkE )), (68)
(44), (45)). Из этой информации подслушиватель,
k∈K
имея доступ только к квантовым состояниям, мо-
жет знать не более χ(E) битов. Иначе говоря, через
то вероятность ошибочного различения квантовых
такой квантово-классический канал безошибочно в
состояний как функция (68), соответственно, клю-
асимптотическом пределе можно передать не более
чей k из кодового набора, будет стремиться к еди-
χ(E) битов информации. Фактически величина
нице:
Холево совпадает с классической пропускной спо-
PErr(N(|R| - χ(E))) → 1.
(69)
собностью такого квантово-классического канала
Неформально, сказанное выше означает, что если
связи. Величина Холево, соответственно, пропуск-
источник посылает в канал связи число состояний
ная способность такого канала связи, достижима
ρKE, которое превышает допустимую величину, опре-
на коллективных измерениях
[17-19]. Количе-
деляемую фундаментальной границей Холево, то
ство информации, которое подслушиватель может
приемник не сможет различить квантовые состоя-
получить при индивидуальных измерениях, огра-
ния, соответственно информация приемника будет
ничена так называемой пропускной способностью
стремиться к нулю. Фактически величина Холево
за один шаг (one shot capacity) [18, 19], которая
определяет число квантовых состояний, которые мо-
меньше, чем классическая пропускная способность
жет различить приемник в асимптотическом преде-
квантово-классического канала связи [18, 19].
ле длинных последовательностей.
Применительно к квантовой криптографии, ска-
Для того чтобы знать величину Холево — верх-
занное неформально означает следующее. Если ис-
нюю границу информации, которую может полу-
точник посылает к Еве состояния всех ключей —
чить подслушиватель, необходимо явно знать кван-
размер кодового пространства равен размеру про-
товый ансамбль - полную и частичные матрицы
странства всех ключей |R| = |K| = 2n, и если ве-
плотности (47), (64), а также вероятности, с кото-
личина Холево меньше, чем размер ключевого про-
рыми матрицы плотности генерируются. Максимум,
странства, 2Nχ(E) < |K|N = 2Nn, то подслушиватель
что позволяют получить достаточно сложные дока-
не сможет различить ключи. Однако для вычисле-
зательства секретности ключей в квантовой крипто-
ния величины Холево в (64) требуется явно знать
графии, это тот факт, что следовое расстояние меж-
матрицы плотности квантовых состояний — кван-
ду реальной и идеальной ситуациями не превыша-
товый ансамбль.
ет величины ε. Удивительным свойством следового
В квантовой криптографии квантовый ан-
расстояния является то, что можно получить верх-
самбль
— матрицы плотности и распределения
нюю границу величины Холево через величину сле-
вероятностей самих ключей, явно неизвестны.
дового расстояния.
455
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
5.6. Связь следового расстояния с
В отличие от относительной энтропии, асимметрич-
фундаментальной границей Холево
ная энтропия является непрерывной и связана с
дифференциалом (72):
В этом разделе получим связь информации Хо-
лево со следовым расстоянием. Будет показано, что
1
верхняя граница информации Холево не превыша-
Hα(ρ||σ) = -
×
log(α)
ет величины следового расстояния. Это будет озна-
чать, что чем меньше ε — расстояние до идеальной
∫
ситуации, тем меньше информации о ключах мо-
×
Dα(ρ||σ)d(- log(α′)).
(74)
жет получить Ева. При идеальной ситуации (ε = 0)
0
ключи строго равновероятны, а квантовые состоя-
ния Евы некоррелированы с ключами, информация
С учетом (70), (74), дифференциальная энтропия
Евы о ключах строго равна нулю. В этом случае
ограничивается сверху следовым расстоянием:
вероятность знать любой ключ для Евы равна ве-
роятности простого угадывания, и это наихудший
Dα(ρ||σ) = αTr{ρΛαρ+(1-α)σ(ρ - σ)} =
вариант.
Покажем, что следовое расстояние мажорирует
= αTr{(ρ - σ)Λαρ+(1-α)σ(ρ)} ≤
информацию Холево, χ(E) < 2εn. Из этого фак-
та будет следовать, что из полного числа типич-
≤ αTr{(ρ - σ)+Λαρ+(1-α)σ(ρ)} ≤
ных последовательностей ключей 2Nn(1-2ε) подслу-
шиватель сможет различить не более 2Nn2ε битовых
≤ αTr{(ρ - σ)+Λαρ+(1-α)σ(αρ + (1-α)σ)} =
последовательностей, т. е. лишь их экспоненциаль-
но малую долю 2-Nn(1-4ε) по длине полной битовой
= Tr{(ρ - σ)+} = δ(ρ, σ),
(75)
последовательности для всех N сеансов квантового
где (ρ-σ)+ — проекция на подпространство, отвеча-
распределения ключей.
ющая положительным собственным числам. Выра-
Нам потребуется несколько вспомогательных ве-
зим величину Холево через относительную энтро-
личин, связанных с асимметричной относительной
пию, а относительную энтропию через дифферен-
квантовой энтропией (см. детали в [21, 22]). Введем
циальную энтропию, последняя ограничена следо-
отображение для положительных операторов Λρ(σ):
вым расстоянием. Величина Холево по определению
d
[17-19] имеет вид
Λρ(σ) =
log(ρ + σt)|t=0 =
dt
∑
∫∞
χ(E) = H(ρE ) -
PK(k)H(ρkE),
(76)
k∈K
= ds(ρ + sI)-1σ(ρ + sI)-1, Λρ(ρ) = I,
(70)
∑
0
ρE =
PK(k)ρkE.
производная понимается в смысле Фреше. Исполь-
k∈K
зуя (70), определим полуторалинейную форму, ко-
Окончательно для величины Холево (76) находим
торая может рассматриваться как метрика
∑
Mρ(σ, τ) = Tr{σΛρ(τ)}, Mρ(σ, σ) ≥ 0.
(71)
χ(E) =
PK(k)H(ρkE||ρE) =
k∈K
∑
Дифференциал от асимметричной относительной
= - PK(k)log(PK(k))HP
K (k)(ρE ||ρE ) ≤
энтропии выразим через (71):
k∈K
∑
Dα(ρ||σ) = αTr{ρΛαρ+(1-α)σ(ρ - σ)} =
≤ - PK(k)log(PK(k))δ(ρkE,ρkE) ≤
k∈K
d
∑
= -α
H(ρ||αρ + (1 - α)σ),
(72)
dα
≤ - PK(k)log(PK(k))×
k∈K
здесь относительная энтропия H(ρ||σ) и асиммет-
∑
PK(k′)
ричная энтропия Sα(ρ||σ) соответственно
×
(77)
δ(ρkE , ρk′E ).
1 - PK(k)
k=k′ ∈K
H(ρ||σ) = Tr{ρ(log(ρ) - log(σ))},
(73)
Последнее слагаемое в цепочке неравенств (77) ма-
1
Hα(ρ||σ) = -
H (ρ||αρ + (1 - α)σ).
жорируется следовым расстоянием (18):
log(α)
456
ЖЭТФ, том 158, вып. 3 (9), 2020
О простой квантово-статистической интерпретации. ..
∑
1
PK(k′)
слабого криптографического примитива — аутен-
|ρkE - ρk′E | ≤
2
1 - PK(k)
тичности, и передачи квантовых состояний позво-
k=k′∈K
∑
ляет получить самый сильный криптографический
1
1
≤
×
примитив — общий секретный ключ. В этом смыс-
2
1 - PK(k)
k=k′ ∈K
ле квантовая криптография решает упомянутую во
(
)
Введении “Chicken and Egg Problem”.
× |PK (k′)ρk′E - PK (k)ρE | + |ρE (PK (k′) - PK (k))|
≤
Ключ — это информация, известная только Али-
∑
1
2
≤
×
се и Бобу. Если бы ключ был истинно случайным,
2
1 - PK(k)
k∈K
то общая секретная информация Алисы-Боба была
(
)
ρE
1
бы n битов (n — длина ключа). В реальности общая
× |
- PK(k)ρkE| + |ρkE||PK(k) -
|
(78)
2n
2n
секретная информация в битах Алисы и Боба, как
было показано выше, составляет n(1-2ε) битов. Ти-
Вычисляя след от (78) и учитывая, что максималь-
пичные значения ε составляют 10-9. Параметр сек-
ная вероятность не превышает maxk∈K PK (k)
<
ретности ε может быть выбран сколь угодно малым,
< 1/2n + ε, получаем
что достигается сжатием очищенного ключа. Есте-
ственно, уменьшение ε требует очищенного ключа
{
}
∑
ρE
1
большей длины, причем увеличение длины очищен-
Tr
- PK(k)ρkE
+
< 2ε. (79)
P
K -
2n
2n
ного ключа, который требуется для достижения за-
k∈K
1
данного ε, растет лишь как log (1/ε).
В итоге фундаментальная информация Холево
Критерий секретности, основанный на следовом
ограничена сверху энтропией Шеннона:
расстоянии, позволяет получить простыми сообра-
жениями верхнюю границу информации о ключе,
χ(E) < 2εn.
(80)
которую имеет подслушиватель. Данная информа-
ция составляет не более 2nε битов. Грубо гово-
Таким образом, имея интегральную характеристи-
ря, подслушиватель из каждой позиции секретного
ку следовое расстояние и не зная явно квантового
ключа знает информацию не более
ансамбля Евы, можно получить оценку для верх-
2nε
ней границы информации Холево — неформально,
≈ 2ε
n(1 - 2ε)
числа битов, которое Ева может получить из своего
битов.
квантового ансамбля, коррелированного с ключами
Если бы ключи были идеальными — равноверо-
Алисы-Боба.
ятно распределенными, то общее число секретных
битов в ключе было бы n. Но ключи не вполне иде-
6. ЗАКЛЮЧЕНИЕ
альны — отстоят в смысле следового расстояния
от равномерного распределения не более, чем на ε,
Кратко сформулируем полученные результаты.
поэтому число истинно случайных битов не менее
Конечным «продуктом» работы систем квантовой
n(1 - 2ε). Если бы подслушиватель не имел в своем
криптографии является общий секрет у двух прост-
распоряжении квантовых состояний, коррелирован-
ранственно-удаленных легитимных пользователей.
ных с ключом, то информация подслушивателя о
Общий секрет — секретный ключ, т.е. случайная би-
ключе была бы 0 битов. Все n(1 - 2ε) битов Алисы-
товая строка 0 и 1, которая может использоваться
Боба были бы секретными. Из квантовых состояний
для различных криптографических протоколов за-
Ева может получить не более 2nε битов информа-
щиты информации. Общий секретный ключ явля-
ции. В итоге общий секрет Алисы-Боба оказывается
ется наиболее сильным криптографическим прими-
не менее n(1 - 4ε) битов.
тивом. Данный секрет возникает из более слабых
На языке размерности полного пространства
криптографических примитивов: аутентичного, не
ключей подслушиватель в среднем в каждом ис-
секретного и доступного для прослушивания клас-
пытании знает, т. е. потенциально может различить,
сического канала связи, а также квантового кана-
лишь экспоненциально малую долю полного ключе-
ла связи, который также доступен для прослуши-
вого пространства
вания и возможной произвольной модификации на-
2-n(1-4ε).
рушителем. Аутентичность является более слабым
криптографическим примитивом, чем общий сек-
Данный результат можно перефразировать следую-
ретный ключ. Квантовая криптография из более
щим образом. Для идеальных равновероятных клю-
457
С. Н. Молотков
ЖЭТФ, том 158, вып. 3 (9), 2020
чей, никак не коррелированных с квантовыми сос-
6.
R. Renner, PhD Thesis, ETH Zürich (2005).
тояниями Евы, максимум, что может делать Ева,
7.
H. P. Yuen, Phys. Rev. A
82,
062304
(2010);
это угадывать ключ. Вероятность угадать ключ есть
H. P. Yuen, arXiv:1109.1051 [quant-ph]; H. P. Yuen,
2-n. Если ключи не строго равновероятно распре-
arXiv:1109.2675 [quant-ph]; H. P. Yuen, arXiv:1109.
делены — неформально говоря, содержат меньше
1066
[quant-ph]; R. Renner, arXiv:
1209.2423
случайности, чем идеальные, то вероятность уга-
[quant-ph].
дать ключ, в меру ε, становится несколько больше
2-n(1-2ε). Если дополнительно в распоряжении Евы
8.
И. М. Арбеков, С. Н. Молотков, ЖЭТФ 152, 62
имеются квантовые состояния, коррелированные с
(2017) [I. M. Arbekov and S. N. Molotkov, JETP 125,
ключами, то вероятность «угадать» ключ, опять в
50 (2017)].
меру ε, становится не больше 2-n(1-4ε).
9.
K. Kraus, States, Effects and Operations: Funda-
Отметим, что обратная величина параметра сек-
mental Notions of Quantum Theory, Springer Verlag
ретности (1/ε) определяет число шифр-сообщений
(1983).
до первого дешифрования — до первого прочтения
сообщения — взлома системы (см. детали в [8]). Этот
10.
W. F. Stinespring, Proc. Amer. Math. Soc. 6, 211
(1955).
результат получается более изощренными матема-
тическими средствами, чем представленный выше
11.
L. Carter and M. N. Wegman, J. Comp. System Sci.
качественный анализ.
18, 143 (1979).
Таким образом, минимальными математичес-
кими средствами дана интуитивно прозрачная фи-
12.
С. Н. Молотков, ЖЭТФ 157, 963 (2020).
зическая интерпретация критерия секретности клю-
13.
M. M. Wilde, arXiv:1106.1445 [quant-ph].
чей в квантовой криптографии. Данная интерпре-
тация позволяет придать простой теоретико-инфор-
14.
C. Portmann and R. Renner, arXiv:1409.3525
мационный смысл параметру секретности ε.
[quant-ph].
Благодарности. Автор выражает благодар-
15.
J. L. Massey, IEEE Int. Symp. Inform. Theory, 204
(1994).
ность коллегам по Академии криптографии Россий-
ской Федерации за обсуждения и поддержку. Автор
16.
T. M. Cover and J. A. Thomas, Elements of Infor-
благодарит также И. М. Арбекова, С. П. Кулика за
mation Theory, Wiley (1991).
интересные обсуждения и замечания.
17.
А. С. Холево, Пробл. передачи информ. 9, 3 (1973).
18.
A. S. Holevo, Russ. Math. Surveys 53, 1295 (1998).
ЛИТЕРАТУРА
19.
А. С. Холево, Квантовые системы, каналы, ин-
1. G. S. Vernam, J. IEEE 55, 109 (1926).
формация, МЦНМО (2010).
2. В. А. Котельников, Отчет, 19 июня (1949).
20.
T. Ogawa and H. Nagaoka, IEEE Trans. Inform.
3. C. Shannon, Bell System Tech. J. 28, 656 (1949).
Theory 45, 2486 (1999).
4. J. M. Renes and Jean-C. Boileau, Phys. Rev. Lett.
21.
K. M. R. Audenaert, J. Math. Phys. 54, 073506
103, 020402 (2009).
(2013).
5. M. Tomamichel, Ch. Ci Wen Lim, N. Gisin, and
R. Renner, arXiv:1103.4130 v2; Nature Comm. 3, 1
22.
K. M. R. Audenaert, J. Math. Phys. 55, 112202
(2012).
(2014).
458
