ЖЭТФ, 2020, том 158, вып. 6 (12), стр. 1011-1031

О СТОЙКОСТИ СИСТЕМ КВАНТОВОЙ КРИПТОГРАФИИ

С ФАЗОВО-ВРЕМЕННЫМ КОДИРОВАНИЕМ К АТАКАМ

АКТИВНОГО ЗОНДИРОВАНИЯ

С. Н. Молотков^*

Институт физики твердого тела Российской академии наук

142432, Черноголовка, Московская обл., Россия

Академия криптографии Российской Федерации

121552, Москва, Россия

Центр квантовых технологий, Московский государственный университет им. М. В. Ломоносова

119899, Москва, Россия

Поступила в редакцию 11 мая 2020 г.,

после переработки 11 мая 2020 г.

Принята к публикации 3 июля 2020 г.

Рассмотрена криптостойкость системы квантовой криптографии, использующей протокол с фазово-вре-

менным кодированием на ослабленных когерентных состояниях. Данный протокол имеет эффективную

волоконную реализацию, при которой не требуется фазовый модулятор на приемной стороне, что не

требует регулировки состояния поляризации при входе в приемную часть. Отсутствие фазового моду-

лятора на приемной стороне исключает побочный канал утечки информации, связанный с активным

зондированием фазового модулятора на приемной станции, что делает систему более устойчивой к та-

ким атакам по сравнению с другими системами. Нестрогая однофотонность информационных состояний,

а также утечка информации через побочные каналы учитывается обобщенным Decoy State-методом с

учетом совместных коллективных измерений информационных квантовых состояний и квантовых состо-

яний в побочных каналах. Получена оценка длины секретного ключа, которая выражается только через

наблюдаемые величины на приемной станции и параметры квантовых состояний в побочных каналах.

DOI: 10.31857/S0044451020120019

Для различных протоколов квантового распре-

деления ключей были получены фундаментальные

верхние границы утечки информации к подслуши-

1. ВВЕДЕНИЕ

вателю при атаках на состояния в квантовом кана-

ле связи. Источник квантовых состояний — сильно

Системы квантовой криптографии предназначе-

ослабленное когерентное состояние — не является

ны для создания общего секрета — секретного клю-

строго однофотонным источником, что приводит к

ча, между пространственно-удаленными пользова-

ряду новых атак на передаваемые квантовые состоя-

телями. Распределение ключей основано на пере-

ния, которые отсутствуют при строго однофотонном

даче и измерении квантовых состояний. Попытки

источнике [4]. Были разработаны методы, учитыва-

вторжения в квантовый канал связи приводят к воз-

ющие не строго однофотонный источник квантовых

мущению состояний и ошибкам на приемной сто-

информационных состояний [5-8].

роне [1].

На сегодняшний день применительно к атакам

Фундаментальные законы квантовой механики

на передаваемые квантовые состояния в канале свя-

позволяют связать утечку информации к подслуши-

зи достигнуто достаточное понимание. При дока-

вателю с наблюдаемым уровнем ошибок на прием-

зательстве секретности ключей в квантовой крип-

ной стороне [2, 3].

тографии неявно предполагается, что приемная и

передающая аппаратура абсолютно изолирована от

^* E-mail: sergei.molotkov@gmail.com

внешнего мира.

1011

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

Важным источником утечки информации в лю-

ров интенсивности, лавинных детекторов. В итоге в

бой системе криптографии являются побочные ка-

каждой посылке подслушиватель имеет в своем рас-

налы. В классических системах криптографии од-

поряжении дополнительные квантовые состояния,

ним из таких каналов является побочное электро-

которые «привязаны» к информационным состоя-

магнитное излучения электронной аппаратуры, ко-

ниям. Разумеется, что побочные каналы возникают

торое можно детектировать дистанционно без непо-

и в том случае, когда в канале связи присутствуют

средственного доступа к самой аппаратуре.

состояния с числом фотонов k ≥ 2, но информация,

Для систем квантовой криптографии ситуация с

заключенная в этих посылках, и так отдается (кон-

побочными каналами утечки информации еще бо-

сервативно считается известной) подслушивателю.

лее деликатная, чем в классической криптографии.

Поэтому квантовые состояния в побочных каналах

Системы квантовой криптографии являются откры-

можно считать «привязанными» только к однофо-

тыми системами в том смысле, что кроме детектиро-

тонной компоненте информационных состояний.

вания побочного излучения передающей и приемной

Квантовые состояния из побочных каналов под-

аппаратуры подслушиватель может активно зонди-

слушиватель также сохраняет в квантовой памяти

ровать состояние активных элементов (фазовых мо-

до конца протокола, а затем проводит совместные

дуляторов, модулятора интенсивности, переизлуче-

коллективные измерения над состоянием ancilla и

ния лавинных детекторов и др.) внешним излучени-

квантовыми состояниями из побочных каналов.

ем через волоконную линию связи. Принципиальное

Следующий шаг состоит в оценке доли одно-

отличие вторжения в квантовый канал связи от де-

фотонной компоненты, которая достигает прием-

тектирования побочного излучения и активного зон-

ной стороны. В этом случае используется Decoy

дирования аппаратуры состоит в том, что детекти-

State-метод, который сводится к посылке случай-

рование состояний в побочных каналах не приводит

ным образом когерентных состояний с разным сред-

к ошибкам на приемной стороне, поскольку не воз-

ним числом фотонов в разных посылках. Модуля-

мущает передаваемых состояний.

ция интенсивности когерентных состояний происхо-

Дальнейшая логика доказательства секретности

дит при помощи модулятора интенсивности. Decoy

ключей с учетом побочных каналов утечки инфор-

State-метод основан на том факте, что подслуши-

мации и не строго однофотонного источника ин-

ватель, обнаружив в канале фоковское состояние с

формационных состояний будет состоять в следу-

данными числом фотонов k, не может определить,

ющем. Статистика лазерного излучения является

из какого когерентного состояния и с каким сред-

пуассоновской по числу фотонов — в канале связи

ним числом фотонов происходит данная компонен-

с пуассоновскими вероятностями присутствуют фо-

та. При наличии активного зондирования модуля-

ковские состояния с разным числом фотонов. Сек-

тора интенсивности подслушиватель может, пусть с

ретный ключ набирается только из однофотонной

некоторой вероятностью ошибки, определить, из ка-

компоненты состояний. Информация, заключенная

кого состояния происходит данное число фотонов.

в многофотонных компонентах с числом фотонов

По этой причине стандартный Decoy State-метод

k ≥ 2 консервативно в пользу подслушивателя, счи-

при атаке активного зондирования модулятора ин-

тается известной подслушивателю. Наиболее общая

тенсивности должен быть модифицирован. Такая

атака подслушивателя на однофотонные состояния

модификация будет сделана ниже.

сводится к унитарной атаке, которая строится яв-

При унитарной атаке на однофотонные состоя-

но. Унитарная атака — это атака, при которой под-

ния без побочных каналов утечки информации мож-

слушиватель использует свое вспомогательное со-

но воспользоваться фундаментальными энтропий-

стояние ancilla и запутывает с передаваемым состо-

ными соотношениями неопределенностей, которые

янием при помощи унитарного оператора. Искажен-

связывают ошибку на приемной стороне с утечкой

ное информационное состояние подслушиватель на-

информации к подслушивателю. При этом не требу-

правляет на приемную сторону, а свою подсистему

ется явное построение атаки подслушивателя — уни-

оставляет в квантовой памяти. После измерений на

тарного оператора, состояния ancilla и пр. При на-

приемной стороне, коррекции ошибок и усиления

личии побочных каналов утечки информации при-

секретности подслушиватель проводит коллектив-

ходится явно строить атаку на однофотонную ком-

ные измерения над всей своей квантовой памятью.

поненту состояний, поскольку побочные каналы не

Каждый побочный канал утечки представляет

приводят к ошибкам на приемной стороне, и связь

собой квантовое состояние, которое отражает состо-

утечки информации с ошибками на приемной сто-

яние аппаратуры, фазовых модуляторов, модулято-

роне «разрывается». Явное построение атаки необ-

1012

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

a, б) Реализация системы с фазово-временным кодированием. a) Передающая сторона (Alice), L — лазер, работающий

в CW-моде, MZ — интерферометр Маха - Цандера, MI — модулятор интенсивности, PM — фазовый модулятор. Весь оп-

тический тракт на передающей станции выполнен на поляризационно сохраняющем волокне. б) Приемная часть (Bob),

весь оптический тракт выполнен на стандартном одномодовом SM-волокне. Circ — волоконный поляризационно неза-

висимый циркулятор, SPAD1,2 — однофотонные лавинные детекторы, FM — фарадеевское зеркало, PZ — управляемый

пьезоэлемент для выравнивания разности хода в верхнем и нижнем плечах интерферометра, QC — линия связи на осно-

ве SM-волокна. Стрелками показана эволюция состояний, а также формирование интерференции на приемной стороне.

в,г,д) Реализация системы с протоколом BB84. в) Передающая станция, эволюция состояний. г) Приемная станция и

эволюция состояний в прямом (индекс +) и сопряженном (индекс ×) базисах. д) Интерференция состояний на приемной

стороне в прямом и сопряженном базисах

ходимо еще и потому, что квантовые состояния в по-

Далее, такая система позволяет реализовать,

бочных каналах «привязаны» в каждой посылке к

кроме протокола с фазово-временным кодировани-

искаженным информационным состояниям, что тре-

ем, также протокол BB84 [9], что обеспечивает еще

бует их явного знания.

большую гибкость и универсальность системы.

В реальной системе информационными состоя-

ниями являются сильно ослабленные когерентные

состояния. В протоколе фазово-временного кодиро-

2. ФАЗОВО-ВРЕМЕННОЕ КОДИРОВАНИЕ,

вания используется два базиса L и R (см. пояснения

ОДНОФОТОННЫЙ СЛУЧАЙ

на рисунке, индексы «L» и «R» соответствуют Left

и Right), в каждом базисе имеется пара ортогональ-

Обсуждаемая ниже реализация квантовой

ных состояний. Между базисами из-за перекрытия

криптографии с фазово-временным кодировани-

по времени состояния попарно неортогональны.

ем замечательна тем, что на приемной стороне

Состояния в базисе L имеют вид

не используется поляризационно-чувствительный

элемент — фазовый модулятор, что делает систему

0_L → |α〉₁ ⊗ |α〉₂,

1_L → |α〉₁ ⊗ | - α〉₂,

(1)

более устойчивой к атакам активного зондирования

по сравнению с другими системами. Кроме того,

где индексы «1» и «2» отвечают за временное окно

отсутствие поляризационно-чувствительных эле-

(см. рисунок), |α|² = μ — среднее число фотонов в

ментов на приемной стороне приводит к тому, что

сильно ослабленном когерентном состоянии, |α|² =

в системе не требуется регулировка поляризации

= μ ≪ 1. Аналогично, в базисе R

состояний, поступающих на приемную сторону из

квантового канала связи.

0_R → |α〉₂ ⊗ |α〉₃,

1_R → | - α〉₂ ⊗ |α〉₃.

(2)

1013

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

Кодирование логических битов 0 и 1 в каждом ба-

|1_L〉_X =

√

(|1〉₁ ⊗ |0〉₂ - |0〉₁ ⊗ |1〉₂) =

зисе происходит в относительную фазу когерентных

состояний во временных окнах 1 и 2 в базисе L и

√

(|1〉₁ - |1〉₂) ,

(6)

во временных окнах 2 и 3 в базисе R. Поскольку

в каждой посылке импульсный лазер включается и

в правом базисе состояния равны

выключается при формировании информационных

состояний, фаза θ самого когерентного состояния

|0_R〉_X =

√

(|1〉₂ ⊗ |0〉₃ + |0〉₂ ⊗ |1〉₃) =

(параметр α = e^iθ|α|) является случайной. По этой

причине подслушиватель видит в канале связи не

√

(|1〉₂ + |1〉₃) ,

(7)

чистые когерентные состояния, а их статистическую

смесь. В базисе L имеем

|1_R〉_X =

√

(|1〉₂ ⊗ |0〉₃ - |0〉₂ ⊗ |1〉₃) =

∑

(2μ)^k

ρ^x(μ) = e-2μ

|Ψ^xk〉_BB〈Ψ^xk| =

k=0

√

(|1〉₂ - |1〉₃) ,

(8)

∑

(3)

= P(k)(μ)|Ψ^xk〉_BB〈Ψ^xk|,

для экономии обозначений вакуумная компонента

k=0

поля в соответствующих временных окнах опуще-

(2μ)

на, далее |1〉_i — однофотонное состояние, локализо-

P(k)(μ) = e-2μ

ванное во временном окне i. В базисе L информаци-

√

онные состояния представляют собой суперпозицию

∑

|m〉₁ ⊗ |k - m〉₂

|Ψ^xk〉_B =

eiϕxm

√

(4)

однофотонных состояний во временных окнах 1 и

2^k

m!(k - m)!

m=0

2, соответственно, в базисе R — суперпозицию во

где x = 0, 1; ϕ_x = 0 (x = 0) и ϕ_x = π (x = 1), ϕ_x —

временных окнах 2 и 3. Внутри базиса информаци-

относительная фаза состояний, локализованных во

онные состояния ортогональны, поэтому достовер-

временных окнах 1 и 2, в которую кодируется ин-

но различимы. Состояния из базисов L и R попарно

формация о битах ключа; состояния |m〉₁⊗|k-m〉₂ —

неортогональны, достоверно неразличимы. Неорто-

фоковские состояния во временных окнах 1 и 2

гональность состояний из разных базисов гаранти-

(нижние индексы). В базисе R выражение для мат-

рует, что вторжение подслушивателя в квантовый

рицы плотности аналогично (3), (4) с заменой ин-

канал связи будет приводить к возмущению переда-

дексов временных окон у состояний (1, 2) → (2, 3).

ваемых состояний и появлению ошибок на приемной

Секретный ключ набирается из однофотонной

стороне. В отличие от протокола BB84, возмущение

компоненты состояний. Информация, заключенная

состояний будет приводить также к отсчетам в кон-

в многофотонных компонентах состояний (3), (4)

трольных временных окнах [10, 11].

консервативно в пользу подслушивателя, считает-

Унитарная атака на однофотонныe состояния

ся ему известной. Для однофотонной компоненты

может быть представлена в виде

вторжение в канал связи приводит к возмущению

|Ψ0L 〉_XYQ = |0_L〉_X ⊗ U_BE (|0_L〉_Y ⊗ |E〉_Q),

и ошибкам на приемной стороне. Дальнейшая за-

(9)

|Ψ1L 〉_XYQ = |1_L〉_X ⊗ U_BE (|1_L〉_Y ⊗ |E〉_Q),

дача будет сводится к установлению связи вероят-

ности ошибок на приемной стороне и количеством

где |E〉_Q — вспомогательное состояние Евы, ancilla;

|0_L〉_X , |1_L〉_X — эталонные состояния Алисы, недо-

информации, которую может получить подслушива-

тель при данной наблюдаемой вероятности ошибок.

ступные подслушивателю, |0_L〉_Y , |1_L〉_Y — состояния

в квантовом канале связи, направленные к Бобу, до-

В дальнейшем модифицированным Decoy State-ме-

тодом будет оценена доля однофотонной компонен-

ступные для атаки Евы.

ты на приемной стороне, из которой набирается сек-

Аналогичные уравнения получаются в базисе R.

ретный ключ.

Запутывание информационного состояния и состо-

Однофотонная компонента информационных со-

яния ancilla Евы в базисе R получаются линейным

стояний в левом базисе имеет вид

преобразованием (9)-(11) из формул (5)-(8).

В базисе L находим (см. детали в [10,11], далее

индекс «L» для краткости опускаем)

|0_L〉_X =

√

(|1〉₁ ⊗ |0〉₂ + |0〉₁ ⊗ |1〉₂) =

|Ψ₀〉_XYQ = |0_L〉_X ⊗[|0_L〉_Y ⊗|Φ₀〉_Q +|1_L〉_Y ⊗|Θ₀〉_Q +

√

(|1〉₁ + |1〉₂) ,

(5)

+ |c_L〉_Y ⊗ |Λ₀〉_Q],

(10)

1014

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

|Ψ₁〉_XYQ = |1_L〉_X ⊗[|1_L〉_Y ⊗|Φ₁〉_Q +|0_L〉_Y ⊗|Θ₁〉_Q +

Необходимо дать физическую интерпретацию мат-

рицы плотности (18). Алиса с вероятностью 1/2 по-

+ |c_L〉_Y ⊗ |Λ₁〉_Q].

(11)

сылает в канал состояние, отвечающее 0, и с вероят-

Разложение (10), (11) представляет собой разложе-

ностью 1/2 состояние, отвечающее 1.

ние Шмидта в тензорном произведении пространств

Пусть Алиса посылала в базисе L состояние

состояний Евы и Боба. Разложение в базисе R по-

|0〉_YY 〈0| (в распоряжении Алисы остается эталон-

лучается линейным преобразованием (9)-(11).

ное состояние |0〉_XX 〈0|). После атаки Евы и измере-

Нормировка состояний имеет вид (см. детали в

ний Боба на приемной стороне Боб с вероятностью

[10, 11])

(1-ζ)(1-Q) видит состояние |0〉_YY 〈0|, которое будет

давать правильный исход измерений. Боб будет ин-

Q〈Φ0,1|Φ0,1〉Q = (1 - ζ)(1 - Q),

терпретировать исход измерений как логический 0.

Q〈Θ0,1|Θ0,1〉Q = (1 - ζ)Q,

(12)

При этом в распоряжении Евы окажется состояние

Q〈Λ0,1|Λ0,1〉Q = ζ.

|Φ₀〉_QQ〈Φ₀|.

Для дальнейшего удобно ввести нормированные со-

Далее, с вероятностью (1-ζ)Q Боб видит состоя-

стояния

ние |1〉_YY 〈1|, которое будет давать ошибочный исход

√

измерений. Боб будет интерпретировать исход изме-

(1 - ζ)(1 - Q)|Φ0,1〉_Q = |Φ0,1〉_Q,

рений как логическую 1. При этом в распоряжении

√

(1 - ζ)Q|Θ0,1〉_Q = |Θ0,1〉_Q,

(13)

Евы окажется состояние |Θ₀〉_QQ〈Θ₀|.

√

Полная вероятность отсчетов как правильных,

ζ|Λ0,1〉_Q = |Λ0,1〉_Q,

так и ошибочных в информационных временных ок-

вместо (10), (11) с учетом (12), (13) получаем

нах 1 и 2, будет равна (1-ζ)(1-Q)+(1-ζ)Q = 1-ζ.

√

[√

Кроме отсчетов в информационных временных ок-

|Ψ₀〉_XYQ = |0_L〉_X ⊗

1-ζ

1-Q|0_L〉_Y ⊗ |Φ₀〉_Q +

нах 1 и 2, искаженные состояния будут давать от-

√

]

√

счеты в контрольном временном окне 3 в базисе L

Q|1_L〉_Y ⊗ |Θ₀〉Q +

ζ|c_L〉_Y ⊗ |Λ₀〉_Q,

(14)

(соответственно в контрольном окне 1 в базисе R).

Невозмущенные состояния в базисе L никогда не да-

√

[√

ют отсчетов в контрольном временном окне 3.

|Ψ₁〉_XYQ = |1_L〉_X ⊗

1-ζ

1-Q|1_L〉_Y ⊗ |Φ₁〉_Q +

]

Вероятность отсчетов в контрольном временном

√

Q|0_L〉_Y ⊗ |Θ₁〉Q +

ζ|c_L〉_Y ⊗ |Λ₁〉_Q.

(15)

окне 3 равна ζ. При этом у Евы оказывается состоя-

|. В итоге суммарная вероятность от-

ние |Λ₀〉_QQ〈Λ₀

Измерения на приемной станции в базисе L дается

счетов в информационных и контрольном времен-

разложением единицы:

ном окне равна 1 - ζ + ζ = 1.

(16)

Подчеркнем, что утечка информации к подслу-

IY = |0L〉Y Y 〈0L| + |1L〉Y Y 〈1L| + |cL〉Y Y 〈cL|,

шивателю определяется не только ошибкой в ин-

где |c_L〉_Y = |1〉₃ — состояние во временном окне 3 в

формационных временных окнах, но и вероятнос-

базисе L. Аналогичное разложение единицы, описы-

тью отсчета в контрольном временном окне (см. по-

вающее измерение в базисе R, имеет вид

дробности в [10,11]. Для вычисления утечки инфор-

(17)

мации к Еве требуется знать (измерять) вероятность

IY = |0R〉Y Y 〈0R| + |1R〉Y Y 〈1R| + |cR〉Y Y 〈cR|,

отсчетов в контрольном временном окне 3.

где |c_R〉_Y = |1〉₁ — состояние во временном окне 3 в

Поскольку ключ получается только из отсчетов

базисе R.

в информационных окнах, для дальнейшего удоб-

Далее индекс «L» для краткости опускаем. По-

но перейти к редуцированной матрице плотности —

сле измерений в соответствующем базисе для мат-

нормированной на вероятность отсчетов в информа-

рицы плотности Алиса-Боб-Ева получаем

ционных временных окнах. Получаем (индекс «L» у

состояний Боба опускаем)

ρ_XYQ =

|0〉_XX 〈0| ⊗ [(1 - ζ)[(1 - Q)|0〉_YY 〈0| ⊗

ρ_XYQ =

|0〉_XX 〈0| ⊗ [(1 - Q)|0〉_YY 〈0| ⊗ |Φ₀〉_Q ×

⊗ |Φ₀〉_QQ〈Φ₀| + Q|1〉Y Y 〈1| ⊗ |Θ₀〉_QQ〈Θ₀|] + ζ|c〉_Y ×

×_Q〈Φ₀| + Q|1〉_YY 〈1| ⊗ |Θ₀〉_QQ〈Θ₀|]+

×_Y 〈c|⊗|Λ₀〉_QQ〈Λ₀|]+

|1〉_XX 〈1|⊗[(1-ζ)[(1-Q)|1〉_Y ×

×_Y 〈1|⊗|Φ₁〉_QQ〈Φ₁|+Q|0〉_YY 〈0|⊗|Θ₁〉_QQ〈Θ₁|]+ζ|c〉_Y ×

+ 2|1〉XX〈1|⊗[(1-Q)|1〉YY〈1|⊗|Φ1〉^QQ〈Φ1|⁺

×_Y 〈c| ⊗ |Λ₁〉_QQ〈Λ₁|].

(18)

+ Q|0〉Y Y 〈0| ⊗ |Θ₁〉_QQ〈Θ₁|].

(19)

1015

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

Соответственно, для матрицы плотности Алиса-Ева

Если коррекция ошибок происходит конструктив-

получаем

ными кодами, то последнее слагаемое в (28) надо

заменить на leak(Q):

ρ_XQ =

|0〉_XX 〈0| ⊗ [(1 - Q)|Φ₀〉_QQ〈Φ₀| +

[

(

)]

ℓ=

1-h

- leak(Q) =

1-ζ

+Q|Θ₀〉_QQ〈Θ₀|]+

|1〉_XX 〈1| ⊗ [(1 - Q)|Φ₁〉_Q ×

= [1 - χ_Hol(ζ)] - leak(Q),

(29)

×_Q〈Φ₁| + Q|Θ₁〉_QQ〈Θ₁|].

(20)

где leak(Q) — утечка информации при коррекции

Матрица плотности Алиса-Боб имеет вид

ошибок, которая зависит от полной ошибки.

Формула (29) имеет интуитивно прозрачную ин-

ρ_XY =

|0〉_XX 〈0| ⊗ [(1-Q)|0〉_YY 〈0|+Q|1〉_Y ×

терпретацию. Из (29) следует, что протокол явля-

ется двухпараметрическим, длина секретного клю-

×_Y 〈1|]+

|1〉_XX 〈1| ⊗ [(1-Q)|1〉_YY 〈1|+Q|0〉_Y ×

ча зависит не только от наблюдаемой ошибки Q в

информационных временных окнах, но и от вероят-

×_Y 〈0|].

(21)

ности отсчетов в контрольных временных окнах ζ.

Матрица плотности, которую видит Ева, есть

Данную причину несложно понять на примере прос-

тейшей атаки прием-перепосыл. Состояния из раз-

ных базисов L и R являются неортогональными, они

ρ_Q =

(1 - Q)[|Φ₀〉_QQ〈Φ₀| + |Φ₁〉_QQ〈Φ₁|] +

перекрываются во временном окне 2 (см. рисунок).

Еве базис неизвестен, поэтому перепосыл состояний

Q[|Θ₀〉_QQ〈Θ₀| + |Θ₁〉_QQ〈Θ₁|].

(22)

в неправильном базисе неизбежно приведет к отсче-

там в контрольном временном окне, где их не долж-

Аналогично матрица плотности, которую видит

но быть. Например, если базис Алисы и Боба есть

Боб, есть

L, а Ева перепосылает состояния в базисе R, то это

приведет к отсчетам в контрольном временном окне

ρY =

[|0〉_YY 〈0| + |1〉_YY 〈1|] .

(23)

3. Аналогично для базиса измерений Алисы и Боба

Оценка длины секретного ключа в асимптоти-

R перепосыл состояний в базисе L приведет к от-

ческом пределе при коррекции ошибок случайными

счетам в контрольном временном окне 1, где их не

шенновскими кодами имеет вид (см. детали в [2])

должно быть. Разумеется, атака прием-перепосыл

не является самой общей. Наиболее общей атакой на

ℓ = H(ρ_XQ|ρ_Q) - H(ρXY |ρY ),

(24)

однофотонные состояния является унитарная атака

(9)-(11).

где условные энтропии фон Неймана

H(ρ_XQ|ρ_Q) = H(ρ_XQ) - H(ρ_Q),

3. ДЕТЕКТИРОВАНИЕ ПОБОЧНОГО

(25)

H(ρ_XY |ρ_Y ) = H(ρ_XY ) - H(ρ_Y ).

ИЗЛУЧЕНИЯ ПЕРЕДАЮЩЕЙ

АППАРАТУРЫ

С учетом (19)-(25) получаем

Подслушиватель может получать информацию

H(ρ_XQ) = 1 + h(Q),

о передаваемом ключе не только из квантового ка-

(

)

нала связи, но и используя побочные каналы утеч-

H(ρ_Q) = h

+ h(Q),

1-ζ

(26)

ки информации. При этом получение информации

(

)

из этих каналов не приводит к искажению инфор-

H (ρ_XQ|ρ_Q) = 1 - h

мационных состояний и ошибкам на приемной сто-

1-ζ

роне. Побочные каналы утечки являются инфор-

H(ρ_XY ) = 1 + h(Q), H(ρ_Y ) = 1,

мационным «бесплатным бонусом». Одним из та-

(27)

ких каналов является побочное электромагнитное

H (ρ_XY |ρ_Y ) = h(Q).

излучение передающей аппаратуры. При приготов-

С учетом (24) для оценки длины секретного ключа

лении аппаратурой состояния |0〉_XX 〈0| вне пере-

получаем

дающей станции Алисы возникает квантовое со-

[

(

)]

стояние |e₀〉_SS〈e₀|. Если аппаратура приготавлива-

ℓ=

1-h

- h(Q).

(28)

ет состояние |1〉_XX〈1|, то это приводит к излуче-

1-ζ

1016

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

нию вне состояния |e₀〉_SS 〈e₀|. Состояния, отвечаю-

Условная энтропия имеет вид

щие 0 и 1 в побочном канале, можно считать ор-

тогональными, а их неразличимость учесть в ве-

H(ρ_XY |ρ_Y ) = H(ρ_XY ) - H(ρ_Y ) = h(Q),

(34)

роятности различения p. Эффективно подслушива-

где h(x) = -x log(x) - (1 - x) log(1 - x), log ≡ log₂.

тель видит в побочном канале матрицу плотности

Вычислим матрицу плотности Алиса-Ева:

(1 - p)|e₀〉_SS 〈e₀| + p|e₁〉_SS 〈e₁|, которая интерпрети-

руется следующим образом: с вероятностью 1 - p

подслушиватель видит состояние |0〉_XX 〈0| и счита-

ρ_XQS =

|0〉_XX 〈0| ⊗ [(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_S ×

ет, что Алиса приготовила бит 0. В этом случае Ева

×_S〈e₁|] ⊗ [(1-Q)|Φ₀〉_QQ〈Φ₀|+Q|Θ₀〉_QQ〈Θ₀|] +

в результате измерения побочного излучения узнает

бит ключа. С вероятностью p Ева детектирует со-

|1〉_XX 〈1| ⊗ [(1-p)|e₁〉_SS 〈e₁|+p|e₀〉_SS 〈e₀|] ⊗

стояние |1〉_XX〈1| и считает, что Алиса приготовила

бит 1, т. е. с вероятностью p Ева ошибается. Анало-

⊗ [(1-Q)|Φ₁〉_QQ〈Φ₁| + Q|Θ₁〉_QQ〈Θ₁|].

(35)

гично, если Алиса приготавливала бит 1. С учетом

Матрица плотности Евы записывается как

сказанного матрица плотности Алиса-Боб-Ева мо-

жет быть записана в виде

ρ_QS =

(1 - Q)[(1 - p)|Φ₀〉_QQ〈Φ₀| + p|Φ₁〉_QQ ×

ρ_XYQS =

|0〉_XX 〈0| ⊗ [(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_S ×

× 〈Φ₁|] ⊗ |e₀〉_SS 〈e₀| +

(1 - Q)[p|Φ₀〉_QQ〈Φ₀|+

×_S〈e₁|] ⊗ [(1 - ζ)(1 - Q)|0〉_YY 〈0| ⊗ |Φ₀〉_QQ〈Φ₀| +

+ (1 - p)|Φ₁〉_QQ〈Φ₁|] ⊗ |e₁〉_SS 〈e₁| +

+ (1 - ζ)Q|1〉Y Y 〈1| ⊗ |Θ₀〉_Q ×

×_Q〈Θ₀| + ζ|c〉_YY 〈c| ⊗ |Λ₀〉_QQ〈Λ₀|]+

Q[(1-p)|Θ₀〉_QQ〈Θ₀|+p|Θ₁〉_QQ〈Θ₁|] ⊗ |e₀〉_SS ×

|1〉_XX 〈1| ⊗ [(1 - p)|e₁〉_SS 〈e₁| + p|e₀〉_SS 〈e₀|]⊗

× 〈e₀| +

Q[p|Θ₀〉_QQ〈Θ₀| + (1 - p)|Θ₁〉_QQ〈Θ₁|] ⊗

⊗ [(1 - ζ)(1 - Q)|1〉Y Y 〈1| ⊗ |Φ₁〉_QQ ×

⊗ |e₁〉_SS 〈e₁|.

(36)

× 〈Φ₁| + (1 - ζ)Q|0〉Y Y 〈0| ⊗ |Θ₁〉_QQ ×

Собственные числа ρ_XQS равны

× 〈Θ₁| + ζ|c〉Y Y 〈c| ⊗ |Λ₁〉_QQ〈Λ₁|].

(30)

Для того чтобы не усложнять выкладки, в (30) по-

(1-p)(1-Q),

(1-p)Q,

p(1-Q),

pQ (37)

бочный канал утечки информации считается сим-

метричным для приготовления 0 и 1. Обобщение на

и дважды вырождены. Энтропия H(ρ_XQS ) равна

несимметричный случай делается аналогично. При

переходе к редуцированной матрице плотности име-

H(ρ_XQS ) = 1 + h(p) + h(Q).

(38)

ем

Матрица плотности Евы принимает вид

ρ_XYQS =

|0〉_XX 〈0| ⊗ [(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_S ×

×_S〈e₁|] ⊗ [(1-Q)|0〉_YY 〈0| ⊗ |Φ₀〉_QQ〈Φ₀|+Q|1〉_Y ×

ρ_QS =

(1 - Q)[(1 - p)|Φ₀〉_QQ〈Φ₀| + p|Φ₁〉_Q ×

×_Y 〈1|⊗|Θ₀〉_QQ〈Θ₀|]+

|1〉_XX 〈1| ⊗ [(1-p)|e₁〉_SS 〈e₁| +

×_Q〈Φ₁|] ⊗ |e₀〉_SS〈e₀|+

(1-Q)[p|Φ₀〉_QQ〈Φ₀| +

+p|e₀〉_SS〈e₀|]⊗[(1-Q)|1〉_YY 〈1|⊗|Φ₁〉_QQ〈Φ₁|+Q|0〉_Y ×

+ (1 - p)|Φ₁〉_QQ〈Φ₁|] ⊗ |e₁〉_SS 〈e₁| +

×_Y 〈0| ⊗ |Θ₁〉_QQ〈Θ₁|],

(31)

(1 - Q)[(1 - p)|Θ₀〉_QQ〈Θ₀| + p|Θ₁〉_Q ×

×_Q〈Θ₁|] ⊗ |e₀〉_SS〈e₀|+

(1-Q)[p|Θ₀〉_QQ〈Θ₀| +

ρ_XY =

|0〉_XX 〈0| ⊗ [(1 - Q)|0〉_YY 〈0| +

+ (1 - p)|Θ₁〉_QQ〈Θ₁|] ⊗ |e₁〉_SS 〈e₁|.

(39)

+ Q|1〉Y Y ] +

|1〉_XX 〈1| ⊗ [(1 - Q)|1〉_Y ×

С учетом того, что (см. подробности в [10,11])

×_Y 〈1| + Q|0〉_YY 〈0|].

(32)

Матрица плотности Боба записывается как

Q〈Θ0,1|Θ0,1〉Q = Q〈Φ0,1|Φ0,1〉Q = ε(ζ),

(40)

ρ_Y =

|0〉_YY 〈0| +

|1〉_YY 〈1|.

(33)

ε(ζ) = 1 - 2κ(ζ), κ(ζ) =

1-ζ

1017

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

достаточно привести к диагональному виду слагае-

где I — единичный оператор в подпространстве, на-

мые в каждых отдельных квадратных скобках. Для

тянутом на {|Φ₀〉_Q, |Φ₁〉_Q}, в базисе этих векторов

первых скобок задача на собственные значения дает

детерминант секулярного уравнения имеет вид

[(1 - p)|Φ₀〉_QQ〈Φ₀| + p|Φ₁〉_QQ〈Φ₁|] - λI = 0,

(41)

(

)

(1 - p) + pε(ζ)² - λ

(1 - p)ε(ζ) + pε(ζ) - λε(ζ)

Det

= 0.

(42)

(1 - p)ε(ζ) + pε(ζ) - λε(ζ)

(1 - p)ε(ζ)² + p - λ

Корни (42) имеют вид

Отметим, что утечка информации в (48) при кор-

рекции ошибок отвечает шенноновскому пределу.

1 ± ε(ζ,p)

λ_±(ζ, p) =

При коррекции ошибок конструктивными кодами

последнее слагаемое в (48) надо заменить на leak —

ε(ζ, p) =

(43)

число битов в пересчете на посылку, расходуемое

√

при коррекции ошибок.

[(1-p)+pε(ζ)²][(1-p)ε(ζ)²+p]-ε(ζ)

1-4

1 - ε(ζ)²

Важно отметить, что в формуле

(48) ниж-

няя граница нехватки информации Евы, допусти-

Проводя аналогичные вычисления для других сла-

мая фундаментальными законами квантовой тео-

гаемых, получаем полный набор собственных чисел:

рии, выражается через условную энтропию. Данная

нижняя граница достигается на коллективных сов-

1 + ε(ζ,p)

(1 - Q)

местных измерениях Евы, что подразумевает сов-

местные коллективные измерения Евы над кванто-

1 - ε(ζ,p)

(1 - Q)

(44)

выми состояниями в побочном канале и искаженны-

ми состояниями ancilla в квантовом канале связи.

1 + ε(ζ,p)

1 - ε(ζ,p)

Формула (48) имеет простую интерпретацию. Ес-

ли вероятность различения состояний 0 и 1 в побоч-

которые двукратно вырождены. Энтропия фон Ней-

ном канале равна p = 1/2, то h(p) = 1 и выражение

мана ρ_QS равна

(48) переходит в выражение (28) для длины ключа

)

без учета побочного канала утечки информации. Ес-

⁽1 ± ε(ζ,p)

H (ρ_QS ) = 1 + h(Q) + χ

(45)

ли p = 0, то Ева достоверно различает состояния 0 и

1 в побочном канале, знает передаваемые биты клю-

где χ — информация Холево [12-14],

ча, даже не вторгаясь в квантовый канал связи и не

)

производя ошибок Q = 0 на приемной стороне. В

⁽1 ± ε(ζ,p)

1 + ε(ζ,p)

этом случае h(p) = 0 и длина секретного ключа ока-

зывается формально отрицательной, т. е. секретный

)

⁽1 + ε(ζ,p)

1 - ε(ζ,p)

ключ распределить нельзя. Таким образом, утечка

× log

информации по побочному каналу связи уменьшает

)

⁽1 - ε(ζ,p)

длину секретного ключа. Для уменьшения утечки

× log

(46)

информации по данному побочному каналу следу-

ет эффективно экранировать передающую станцию.

Окончательно для условной энтропии с учетом

Параметры различения состояния p должны опре-

(40)-(46) находим

деляться экспериментально для каждой конкретной

)

⁽1 ± ε(ζ,p)

реализации системы квантовой криптографии.

H(ρ_XQS |ρ_QS ) = h(p) - χ

(47)

Соответственно для длины ключа получаем

4. АКТИВНОЕ ЗОНДИРОВАНИЕ

СОСТОЯНИЯ ФАЗОВОГО МОДУЛЯТОРА

ℓ = H(ρ_XQS|ρ_QS) - H(ρXY |ρY ) =

)

НА ПЕРЕДАЮЩЕЙ СТАНЦИИ

⁽1 ± ε(ζ,p)

= h(p) - χ

- h(Q) =

Подслушиватель может зондировать состояние

= [1 - χ_Hol(ζ, p)] - h(Q).

(48)

фазового модулятора на передающей станции через

1018

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

волоконную линию связи. Состояние фазового мо-

Для энтропии находим

дулятора однозначно связано с передаваемым Али-

H(ρ_XQT ) = 1 + h(Q).

(53)

сой битом ключа. В своем распоряжении Ева будет

иметь дополнительное квантовое состояние, корре-

Для вычисления собственных чисел требуется диа-

лированное с состоянием фазового модулятора. В

гонализация матрицы плотности ρ_QT , получаем

пользу Евы можно считать, что отраженные состо-

яния чистые, а это увеличивает их различимость.

ρ_QT =

(1 - Q)[λ₀〉_TT 〈λ₀| ⊗ |Φ₀〉_QQ〈Φ₀| +

Наш метод позволяет учесть не только чистые от-

раженные состояния, но и матрицы плотности. Чис-

+ |λ₁〉_TT 〈λ₁| ⊗ |Φ₁〉_QQ〈Φ₁|] +

Q[λ₀〉_T ×

тые состояния выбраны для того, чтобы не загро-

мождать выкладки несущественными техническими

×_T 〈λ₀| ⊗ |Θ₀〉_QQ〈Θ₀| + |λ₁〉_TT 〈λ₁| ⊗

деталями.

⊗ |Θ₁〉_QQ〈Θ₁|].

(54)

Интенсивность отраженных зондирующих состо-

яний точно неизвестна, но можно ограничить интен-

Если зондирование происходит когерентными со-

сивность входных зондирующих состояний входны-

стояниями, фаза которых, консервативно в пользу

ми волоконными оптическими изоляторами, у ко-

Евы, однозначно привязана к состоянию фазового

торых известно обратное пропускание. Входная ин-

модулятора, т. е. равна либо 0 (|λ₀〉_T

= |√μT 〉T ),

тенсивность зондирующего излучения ограничена,

либо π (|λ₁〉T = |-

√μ_T 〉_T ) в зависимости от пе-

поскольку не может быть больше критической ин-

редаваемого бита, то для скалярного произведения

тенсивности, при которой происходит плавление во-

отраженных состояний получаем |_T 〈λ₀|λ₁〉_T | = η =

локна. Подбирая нужный коэффициент обратного

= e-2μT. С учетом сказанного находим секулярное

пропускания оптического изолятора, можно ограни-

уравнение для первого слагаемого в (54):

чить выходную интенсивность отраженных состоя-

⎛

⎞

1+η²ε(ζ)²

ний требуемой величиной.

-λ

2ηε(ζ)-ληε(ζ)

⎜

⎟

⎜

⎟

При атаке с активным зондированием состояния

Det

(55)

⎝

⎠⁼

1+η²ε(ζ)²

аппаратуры внешним излучением следует ввести в

2ηε(ζ)-ληε(ζ)

-λ

рассмотрение еще один побочный канал. Формаль-

но это сводится к введению квантовых состояний,

Собственные числа матрицы плотности с учетом се-

коррелированных с состоянием Алисы. Получаем

кулярного уравнения имеют вид

1 + ηε(ζ)

1 - ηε(ζ)

|0〉_X → |0〉_X ⊗ |λ₀〉_T ,

|1〉_X → |1〉_X ⊗ |λ₁〉_T .

(49)

(1 - Q)

(56)

Для матрицы плотности вместо (30) получаем

1 + ηε(ζ)

1 - ηε(ζ)

ρ_XYQT =

|0〉_XX 〈0| ⊗ |λ₀〉_TT 〈λ₀| ⊗ [|0〉_Y ×

Для энтропии H(ρ_QT ) получаем

×_Y 〈0| ⊗ |Φ₀〉_QQ〈Φ₀|+|1〉_YY 〈1| ⊗ |Θ₀〉_QQ〈Θ₀|]+

⁽1 ± ηε(ζ)⁾

H(ρ_QT ) = h(Q) + χ

(57)

|1〉_XX 〈1| ⊗ |λ₀〉_TT 〈λ₀| ⊗ [|1〉_YY 〈1| ⊗ |Φ₁〉_Q ×

где информация Холево [12-14]

×_Q〈Φ₁| + |0〉_YY 〈0| ⊗ |Θ₁〉_QQ〈Θ₁|].

(50)

)

⁽1 ± ηε(ζ)

1+ηε(ζ)

⁽1+ηε(ζ)⁾

Матрица плотности Алиса-Ева приобретает вид

) log

1 - ηε(ζ)

⁽1 - ηε(ζ)⁾

ρ_XQT =

|0〉_XX 〈0| ⊗ |λ₀〉_TT 〈λ₀| ⊗ [|Φ₀〉_QQ〈Φ₀| +

−

log

(58)

+ |Θ₀〉_QQ〈Θ₀|]+

|1〉_XX 〈1| ⊗ |λ₀〉_TT 〈λ₀| ⊗ [|Φ₁〉_Q ×

Окончательно для длины секретного ключа на-

ходим с учетом (53), (57)

×_Q〈Φ₁| + |Θ₁〉_QQ〈Θ₁|].

(51)

ℓ = H(ρ_XQT|ρ_QT) - H(ρXY |ρY ) =

Собственные числа с учетом нормировки (13), (40)

⁽1 ± ηε(ζ)⁾

принимают вид

=1-χ

- h(Q) =

(1 - Q),

(52)

= [1 - χ_Hol(ζ, η)] - h(Q).

(59)

1019

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

Чем меньше среднее число фотонов μ_T в отражен-

(50) матрица плотности Алиса-Ева для комбиниро-

ных состояниях, тем скалярное произведение η боль-

ванной атаки имеет вид

ше — состояния сильнее слипаются, поэтому отра-

женные состояния менее различимы. При η → 1

ρ_XQST =

|0〉_XX 〈0| ⊗ [(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_S ×

(μ_T → 0) состояния полностью слипаются и полно-

стью неразличимы. При малых μ_T длина секретного

×_S〈e₁|] ⊗ |λ₀〉_TT 〈λ₀| ⊗ [|Φ₀〉_QQ〈Φ₀|+|Θ₀〉_QQ〈Θ₀|]+

ключа уменьшается и становится равной

|1〉_XX 〈1|⊗[p|e₀〉_SS 〈e₀|+(1-p)|e₁〉_SS 〈e₁|]⊗|λ₁〉_T ×

ℓ = 1 - h(ε(ζ) + O(μ_T)) - h(Q) =

×_T 〈λ₁| ⊗ [|Φ₁〉_QQ〈Φ₁| + |Θ₁〉_QQ〈Θ₁|].

(61)

(

)

=1-h

+ O(μ_T )

- h(Q) <

1-ζ

Вычисление энтропии для матрицы плотности (61)

(

)

дает

<1-h

- h(Q),

(60)

H(ρ_XQST ) = 1 + h(p) + h(Q).

(62)

1-ζ

что меньше, чем без зондирования фазового модуля-

Далее, частичная матрица плотности, которую

тора. Отметим также, что нижняя граница нехватки

имеет в своем распоряжении Ева, с учетом (61) рав-

на

информации подслушивателя, которая выражается

через условную энтропию, достигается на совмест-

ных коллективных измерениях отраженных кванто-

ρ_QST =

(1 - Q)[(1 - p)|λ₀〉_TT 〈λ₀| ⊗ |Φ₀〉_Q ×

вых состояний и квантовых состояний ancilla при

×_Q〈Φ₀|+p|λ₁〉_TT 〈λ₁| ⊗ |Φ₁〉_QQ〈Φ₁|] ⊗ |e₀〉_SS〈e₀| +

атаке на информационные квантовые состояния в

канале связи.

(1-Q)[p|λ₀〉_TT 〈λ₀| ⊗ |Φ₀〉_QQ〈Φ₀|+(1-p)|λ₁〉_T ×

×_T 〈λ₁| ⊗ |Φ₁〉_QQ〈Φ₁|] ⊗ |e₁〉_SS〈e₁| +

5. СОВМЕСТНОЕ ДЕТЕКТИРОВАНИЕ

ПОБОЧНОГО ИЗЛУЧЕНИЯ И АКТИВНОЕ

Q[(1 - p)|λ₀〉_TT 〈λ₀| ⊗ |Θ₀〉_QQ〈Θ₀| + p|λ₁〉_T ×

ЗОНДИРОВАНИЕ СОСТОЯНИЯ ФАЗОВОГО

×_T 〈λ₁| ⊗ |Θ₁〉_QQ〈Θ₁|] ⊗ |e₀〉_SS〈e₀|+

МОДУЛЯТОРА ПЕРЕДАЮЩЕЙ СТАНЦИИ

Рассмотрим комбинированную атаку с детекти-

+ 2Q[p|λ0〉^TT〈λ0|⊗|Θ0〉^QQ〈Θ0|+(1-p)|λ1〉^T ×

рованием побочного излучения передающей стан-

×_T 〈λ₁| ⊗ |Θ₁〉_QQ〈Θ₁|] ⊗ |e₁〉_SS〈e₁|.

(63)

ции и активного зондирования фазового модулято-

ра. Для этого необходимо включить в матрицу плот-

Аналогично предыдущему (см. (42), (55)) секуляр-

ности квантовые состояния в обоих побочных кана-

ное уравнение, определяющее собственные числа

лах утечки информации. С учетом формул (30) и

матрицы плотности (63), записывается как

(

)

(1 - p) + pη²ε(ζ)² - λ

(1 - p)ηε(ζ) + pηε(ζ) - ληε(ζ)

Det

= 0.

(64)

(1 - p)ηε(ζ) + pηε(ζ) - ληε(ζ)

(1 - p)η²ε(ζ)² + p - λ

Собственные числа (63) с учетом секулярного уравнения (64) имеют вид

⁽1 + ε(ζ,η,p)⁾

(1 - Q)

⁽1 - ε(ζ,η,p)⁾

(1 - Q)

(65)

⁽1 + ε(ζ,η,p)⁾

⁽1 - ε(ζ,η,p)⁾

где

√

[(1 - p) + pη²ε(ζ)²][(1 - p)η²ε(ζ)² + p] - η²ε(ζ)

ε(ζ, η, p) =

1-4

(66)

1 - η²ε(ζ)²

1020

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

Принимая во внимание (65), для энтропии H(ρ_QST )

волоконный канал связи, которое может детектиро-

получаем

ваться Евой. Для учета такого переизлучения требу-

)

ется ввести в рассмотрение еще один побочный ка-

⁽1 ± ε(ζ,η,p)

H (ρ_QST ) = 1 + h(Q) + χ

(67)

нал утечки, точнее, квантовое состояние, связанное

с переизлучением.

где информация Холево [12-14]

)

Если, например, зарегистрировано состояние

⁽1 ± ε(ζ,η,p)

1 + ε(ζ,η,p)

|0〉_YY 〈0|, то это приведет к появлению в побочном

)

канале состояния [(1 - d)|d₀〉_DD〈d₀| + d|d₁〉_DD〈d₁|] —

⁽1 + ε(ζ,η,p)

1 - ε(ζ,η,p)

× log

матрицы плотности. Неформально это означает, что

с вероятностью 1 - d Ева будет иметь в своем рас-

)

⁽1 - ε(ζ,η,p)

поряжении состояние |d₀〉_DD〈d₀| и с вероятностью

× log

(68)

d — состояние |d₁〉_DD〈d₁|. Состояния |d₀〉_DD〈d₀| и

|d₁〉_DD〈d₁| можно считать ортогональными (чтобы

Собирая вместе формулы (62) и (67), окончательно

не загромождать выкладки несущественными дета-

для длины секретного ключа получаем

лями), тогда с вероятностью 1 - d Ева, детекти-

ℓ = H(ρ_XQST|ρ_QST) - H(ρXY |ρY ) =

руя обратное переизлучение, правильно узнает реги-

)

стрируемый бит ключа, а с вероятностью d — оши-

⁽1 ± ε(ζ,η,p)

= h(p) - χ

- h(Q) =

бается. Вероятность различения включена в вероят-

ность d. Аналогично учитываются состояния в по-

= [1 - χ_Hol(ζ, p, η)] - h(Q).

(69)

бочном канале при регистрации 1. Отметим, что мы

рассматриваем симметричную ситуацию в побоч-

6. СОВМЕСТНОЕ ДЕТЕКТИРОВАНИЕ

ном канале. Это сделано исключительно для эконо-

ПОБОЧНОГО ИЗЛУЧЕНИЯ, АКТИВНОЕ

мии математических выкладок. Не составляет тру-

ЗОНДИРОВАНИЕ ФАЗОВОГО

да обобщить выкладки на случай, когда состояния

МОДУЛЯТОРА ПЕРЕДАЮЩЕЙ СТАНЦИИ

и вероятности при регистрации 0 и 1 оказываются

И ДЕТЕКТИРОВАНИЕ ПЕРЕИЗЛУЧЕНИЯ

разными.

ЛАВИННЫХ ДЕТЕКТОРОВ НА ПРИЕМНОЙ

СТОРОНЕ

Реализация протокола с фазово-временным ко-

Матрица плотности Алиса-Боб-Ева с учетом

дированием (см. рисунок) не использует фазового

упомянутых побочных каналов утечки информации

модулятора на приемной стороне, поэтому побоч-

может быть представлена в виде

ный канал утечки информации, связанный с зон-

дированием фазового модулятора на приемной сто-

ρ_XYSQTD =

|0〉_XX 〈0|⊗[(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_S ×

роне, отсутствует. Отсутствие фазового модулятора

{

достигается за счет использования протокола с фа-

×_S〈e₁|] ⊗ |λ₀〉_TT 〈λ₀| ⊗

(1 - Q)|Φ₀〉_QQ〈Φ₀| ⊗

зово-временным кодированием, что делает систему

⊗ [(1 - d)|d₀〉_DD〈d₀| + d|d₁〉_DD〈d₁|] ⊗ |0〉_YY 〈0| +

устойчивой к такой атаке по сравнению с другими

системами.

+ Q|Θ₀〉_QQ〈Θ₀| ⊗ [(1 - d)|d₁〉_DD〈d₁| + d|d₀〉_D ×

× D〈d0|] ⊗ |1〉Y Y 〈1|}+

|1〉_XX 〈1| ⊗ [(1-p)|e₁〉_S ×

При регистрации 0 и 1 состояние электронного

{

оборудования приемной станции является разным,

×_S〈e₁|+p|e₀〉_SS〈e₀|] ⊗ |λ₁〉_TT 〈λ₁| ⊗

(1-Q)|Φ₁〉_Q ×

поэтому побочное электромагнитное излучение, свя-

× Q〈Φ1| ⊗ [(1-d)|d1〉DD〈d1|+d|d0〉DD〈d0|] ⊗ |1〉Y ×

занное с работой электроники, также является раз-

ным. Электромагнитное излучение может регистри-

× Y 〈1|+Q|Θ1〉QQ〈Θ1| ⊗ [(1-d)|d0〉DD〈d0|+d|d1〉D ×

роваться Евой. Побочный канал, связанный с элек-

× D〈d1|] ⊗ |0〉Y Y 〈0|}.

(70)

тромагнитным излучением электронного оборудова-

Матрица плотности имеет простую интерпретацию.

ния приемной станции при регистрации 0 и 1 может

Детектирование состояний |0〉_YY 〈0| или |1〉_YY 〈1| на

быть включен в состояния |d₀〉_DD〈d₀| и |d₁〉_DD〈d₁|,

приемной стороне проводится двумя лавинными де-

соответствующие вероятностям d - 1 и d. С учетом

текторами (см. рисунок). При срабатывании детек-

(70) матрица плотности Алиса-Ева дается частич-

тора образуется лавина носителей, при их рекомби-

ным следом по пространству состояний Боба, полу-

нации может происходить обратное переизлучение в

чаем

1021

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

ρ_XSQTD =

|0〉_XX 〈0| ⊗ [(1 - p)|e₀〉_SS 〈e₀| + p|e₁〉_S ×

ρ_SQTD =

[(1-p)|e₀〉_SS 〈e₀|+p|e₁〉_SS 〈e₁|] ⊗ |λ₀〉_Q ×

[

{

×_Q〈λ₀| ⊗

(1 - Q)|Φ₀〉_QQ〈Φ₀| ⊗ [(1 - d)|d₀〉_D×

×_S〈e₁|] ⊗ |λ₀〉_TT 〈λ₀| ⊗

(1 - Q)|Φ₀〉_QQ〈Φ₀| ⊗

×_D〈d₀| + d|d₁〉_DD〈d₁|] + Q|Θ₀〉_QQ〈Θ₀| ⊗

⊗ [(1 - d)|d₀〉_DD〈d₀| + d|d₁〉_DD〈d₁|]+

}

⊗ [(1 - d)|d₁〉_DD〈d₁| + d|d₀〉_DD〈d₀|]] +

+Q|Θ₀〉_QQ〈Θ₀| ⊗ [(1-d)|d₁〉_DD〈d₁|+d|d₀〉_DD〈d₀|]

[(1 - p)|e₁〉_SS 〈e₁| + p|e₀〉_SS 〈e₀|] ⊗ |λ₁〉_TT 〈λ₁|⊗

|1〉_XX 〈1|⊗[(1-p)|e₁〉_SS 〈e₁|+p|e₀〉_SS 〈e₀|]⊗|λ₁〉_T ×

[

⊗

(1 - Q)|Φ₁〉_QQ〈Φ₁| ⊗ [(1 - d)|d₁〉_D ×

{

×_T 〈λ₁| ⊗

(1 - Q)|Φ₁〉_QQ〈Φ₁| ⊗ [(1 - d)|d₁〉_D ×

× D〈d1| + d|d0〉DD〈d0|] + Q|Θ1〉QQ〈Θ1| ⊗

×_D〈d₁|+d|d₀〉_DD〈d₀|]+Q|Θ₁〉_QQ〈Θ₁| ⊗ [(1-d)|d₀〉_D×

⊗ [(1 - d)|d₀〉_DD〈d₀| + d|d₁〉_DD〈d₁|]] .

(75)

× D〈d0| + d|d1〉DD〈d1|]}.

(71)

Собственные числа ρ_SQTD определяются корня-

ми секулярных уравнений

Собственные числа (71) равны

(

)

A_i - λ

ε(ζ)η(C_i - λ)

Det

= 0,

(76)

ε(ζ)η(C_i - λ)

B_i - λ

(1 - Q)(1 - p)(1 - d),

Q(1 - p)(1 - d),

где

(72)

A₁ = (1 - p)(1 - d) + pdε(ζ)²η²,

(1 - Q)p(1 - d),

Qp(1 - d),

B₁ = (1 - p)(1 - d)ε(ζ)²η² + pd,

(77)

C₁ = (1 - p)(1 - d) + pd,

(1 - Q)(1 - p)d,

Q(1 - p)d,

A₂ = (1 - p)d + p(1 - d)ε(ζ)²η²,

(73)

B₂ = (1 - p)dε(ζ)²η² + p(1 - d),

(78)

(1 - Q)pd,

Qpd,

C₂ = (1 - p)d + p(1 - d),

A₃ = p(1 - d) + (1 - p)dε(ζ)²η²,

собственные числа двукратно вырождены. С учетом

B₃ = p(1 - d)ε(ζ)²η² + (1 - p)d,

(79)

(72), (73) получаем выражение для энтропии:

C₃ = p(1 - d) + (1 - p)d,

A₄ = pd + (1 - p)(1 - d)ε(ζ)²η²,

H(ρ_XSQTDD) = 1 + h(p) + h(d) + h(Q).

(74)

B₄ = pdε(ζ)²η² + (1 - p)(1 - d),

(80)

C₄ = pd + (1 - p)(1 - d).

Перейдем к вычислению H(ρ_SQTD). Для матрицы

плотности ρ_SQTD находим

Корни (76)-(80) равны

λ_i± =

2(1 - ε(ζ)²η²)

[

√

]

× A_i + B_i - 2ε(ζ)²η²C_i ±

[A_i + B_i - 2ε(ζ)²η²C_i]² - 4[A_iB_i - ε(ζ)²η²C2i](1 - ε(ζ)²η²)

(81)

Собственные числа (76)-(80) равны

χ_i(ζ, p, d, η) = -λi+ log(λi+) - λ_i- log(λ_i-),

∑

(83)

χ(ζ, p, η, d) =

χ_i(ζ, p, d, η).

i=1

(1 - Q)λ_i±,

Qλ_i±, , i = 1, 2, 3, 4.

(82)

Для условной энтропии получаем

Введем обозначение

H(ρ_XSQTD|ρ_SQTD) = h(p) + h(d) - χ(ζ, p, d, η). (84)

1022

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

В итоге для оценки длины секретного ключа в стро-

te-метода является то обстоятельство, что, обнару-

го однофотонном случае с учетом (74), (83) имеем

жив данное фоковское число фотонов в квантовом

канале связи, подслушиватель не может знать, из

ℓ_n

какого состояния и с каким средним числом фото-

ℓ = lim

= h(p) + h(d) - χ(ζ, p, d, η) - h(Q) =

n→∞ n

нов происходит данная компонента состояний.

= [1 - χ_Hol(ζ, p, d, η)] - h(Q),

(85)

При активном зондировании состояния модуля-

тора интенсивности это условие нарушается. Под-

где утечка информации при коррекции ошибок взя-

слушиватель, пусть с некоторой вероятностью, зна-

та в шенноновском пределе. При коррекции конст-

ет, из какого состояния произошла компонента со-

руктивными кодами последнее слагаемое в правой

стояний с данным фоковским числом фотонов. По

части (85) нужно заменить на реальное число битов

этой причине при активном зондировании модуля-

в пересчете на одну позицию, раскрытое при кор-

тора интенсивности стандартный Decoy State-метод

рекции ошибок, h(Q) → leak.

не работает. Ниже явно покажем, на каком этапе это

Еще раз отметим, что выражение для длины сек-

происходит.

ретного ключа (85) учитывает совместные коллек-

Побочный канал утечки информации, связанный

тивные измерения Евы над квантовыми состояния-

с активным зондированием модулятора интенсив-

ми в побочных каналах и квантовом канале связи.

ности на передающей станции, обладает принципи-

альным отличием от других побочных каналов. От-

раженные от модулятора интенсивности зондирую-

7. АКТИВНОЕ ЗОНДИРОВАНИЕ

щие состояния не несут прямой информации о пе-

СОСТОЯНИЯ МОДУЛЯТОРА

редаваемом бите ключа, а лишь об интенсивности

ИНТЕНСИВНОСТИ НА ПЕРЕДАЮЩЕЙ

состояния — среднем числе фотонов. Поэтому от-

СТАНЦИИ

раженные квантовые состояния не могут непосред-

Выше были получены формулы для длины сек-

ственно быть включены в матрицу плотности Али-

ретного ключа с учетом побочных каналов утечки

са-Боб-Ева, через которую вычисляется условная

информации, когда состояния являются строго одо-

энтропия и утечка информации к подслушивателю.

фотонными. В реальной ситуации информационные

В предыдущих разделах состояния в побочных

состояния в квантовом канале связи представляют

каналах утечки информации мы «привязывали» к

собой статистическую смесь состояний с разным фо-

однофотонной компоненте состояний. Естественно,

ковским числом фотонов. Подчеркнем, что реализа-

побочные каналы утечки имеют место и в том слу-

ция системы, использующей импульсный лазер, ко-

чае, когда в квантовом канале присутствуют неодно-

торый включается и выключается в каждой посыл-

фотонные компоненты состояний. Но поскольку ин-

ке на передающей стороне (см. рисунок), приводит

формация о битах ключа, содержащаяся в этих ком-

к рандомизации фаз информационных когерентных

понентах и так консервативно в пользу подслушива-

состояний в разных посылках. Именно по этой при-

теля, считается известной Еве, не нужно «привязы-

чине в квантовом канале связи присутствуют не чи-

вать» состояния в побочных каналах к многофотон-

стые когерентные состояния, а статистическая смесь

ным компонентам информационных состояний.

фоковских состояний с пуассоновской статистикой

Зондирование состояния модулятора интенсив-

по числу фотонов.

ности в отличие от зондирования состояния фазово-

Секретный ключ набирается только из однофо-

го модулятора не дает прямой информации о пере-

тонной компоненты статистической смеси состоя-

даваемом бите ключа, а дает лишь информацию об

ний. Консервативно в пользу подслушивателя счи-

интенсивности передаваемого состояния. Доля од-

тается, что информация, заключенная в многофо-

нофотонной компоненты состояний и вероятность

тонных компонентах состояний, известна подслуши-

ошибки в ней в посылках, в которых посылались

вателю. Поэтому для оценки доли однофотонной

информационные состояния, оценивается через из-

компоненты состояний, достигающей приемной сто-

менение статистики фотоотсчетов в посылках, в ко-

роны, используется Decoy State-метод. В этом мето-

торых посылались состояния «ловушки». Имея до-

де случайно посылаются в квантовый канал связи

полнительную информацию о том, какое состояние

состояния с разным средним числом фотонов. Со-

передается в конкретной посылке — информацион-

стояние с фоковским числом фотонов k может про-

ное или состояние «ловушка», подслушиватель мо-

исходить из состояния с любым средним числом фо-

жет менять свою стратегию при данном обнаружен-

тонов. Принципиальным моментом для Decoy Sta-

ном числе фотонов k. Например, если известно, что

1023

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

послано состояние «ловушка», то подслушиватель

измерений Евы — узнать, из состояния с каким сред-

ничего не делает (ведет себя пассивно) и не искажа-

ним числом фотонов ξ произошла компонента с дан-

ется статистику фотоотсчетов состояний ловушек.

ным числом фотонов k. Фактически цель подслуши-

Ниже мы модифицируем Decoy State-метод на

вателя состоит в различении одного из состояний

случай активного зондирования модулятора интен-

|ψ(μ)〉SM , |ψ(ν₁)〉SM , |ψ(ν₂)〉SM .

сивности, неформально, когда подслушиватель име-

Полное измерение Евы и Боба (I = {μ, ν₁, ν₂})

ет дополнительно в своем распоряжении отражен-

дается разложением единицы:

⎛

⎞

ное квантовое состояние, которое несет информа-

∑

цию о состоянии модулятора интенсивности, соот-

F_ξ′^⎠ ⊗

IBSM = IB ⊗ ISM =^⎝

ветственно о среднем числе фотонов.

ξ^′∈I

Обозначим отраженное от модулятора интен-

⎛

⎞

(87)

∑

сивности зондирующее квантовое состояние как

⊗^⎝

M_y⎠, ξ^′ ∈ {μ, ν₁, ν₂}.

|ψ(ξ)〉SM . Примем, что данное состояние зависит

y∈Y

только от состояния модулятора интенсивности, т. е.

Измерение подслушивателя над отраженным со-

от того, какое состояние со средним числом фотонов

стоянием дается положительно-значными мерами

ξ ∈ I = {μ,ν₁,ν₂} посылается в канал связи. Воз-

F_ξ′ . Естественно, подслушиватель выбирает опти-

можно обобщение на случай, когда данное состоя-

мальное измерение, которое минимизирует ошибку

ние зависит также от состояния фазового модулято-

различения отраженных состояний, отвечающих со-

ра. Но чтобы не загромождать выкладки, приведем

стояниям с разным средним числом фотонов. Для

вывод только для упомянутого случая.

конструирования оптимального измерения необхо-

При измерении числа фотонов в канале связи

димо знать структуру отраженного состояния, что

вместо состояния |Ψ^xk〉_BB〈Ψ^xk|, которое не зависит от

должно определяться экспериментально для кон-

среднего числа фотонов ξ, Ева имеет в своем распо-

кретной реализации системы криптографии.

ряжении состояние |Ψ^xk(ξ)〉_BSBS 〈Ψ^xk(ξ)|. Данное со-

Далее нам не потребуются явно сами отражен-

стояние содержит информацию о среднем числе фо-

ные состояния, нужно лишь знать вероятности раз-

тонов, что дается присутствием отраженного зонди-

личения разных состояний, которые считаем извест-

рующего состояния |ψ(ξ)〉SM . Данное состояние дает

ными из экспериментальных измерений. С учетом

Еве дополнительную информацию об интенсивности

(86), (87) получаем

передаваемого состояния. Информационное кванто-

вое состояние вместе с зондирующим отраженным

P_J|I(ξ^′|I = ξ) = Tr_S{F_ξ′ |ψ(ξ)〉_SS〈ψ(ξ)|},

(88)

состоянием, доступное Еве, имеет вид

J = {μ,ν₁,ν₂},

∑

где P_J|I (ξ^′|I = ξ) — условная вероятность того, что

(2ξ)^k

ρ^x(ξ) = e-2ξ

|Ψ^xk(ξ)〉BSM BSM 〈Ψ^k(ξ)| =

в канал было послано состояние со средним числом

k=0

фотонов ξ, а подслушиватель в результате измере-

∑

ний (87), (88) получил исход ξ^′ — Ева приняла реше-

(86)

= P(k)(ξ)|Ψ^xk(ξ)〉BSMBSM〈Ψ^k(ξ)|,

ние, что в канале присутствует состояние со средним

k=0

числом фотонов ξ^′.

(2ξ)

С учетом сказанного действие супероператора

P(k)(ξ) = e-2ξ

Евы может быть представлено в виде

|Ψ^xk(ξ)〉BSM = |Ψ^xk)〉_B ⊗ |ψ(ξ)〉SM , ξ = μ, ν₁, ν₂,

TBSM [|Ψ^xk)〉_B ⊗ |ψ(ξ)〉SM SM 〈ψ(ξ)| ⊗ B〈Ψ^k

)|] =

где отраженное от модулятора интенсивности состо-

∑

= P_J|I(ξ^′|I = ξ)ρ^xk,ξ′_,B.

(89)

яние |ψ(ξ)〉SM не зависит от информационного со-

ξ^′∈J

стояния.

Ева имеет в своем распоряжении отраженное от

Дадим интерпретацию формулы (89). После обнару-

модулятора интенсивности квантовое состояние, по-

жения в канале числа фотонов k Ева в зависимости

этому действия Евы после обнаружения фоковского

от исхода измерений над отраженным квантовым

состояния с данным числом фотонов будут зависеть

состоянием осуществляет преобразование фоковско-

еще от дополнительной информации, которую под-

го информационного состояния. Это означает, что

слушиватель может получить из отраженного состо-

преобразованная матрица плотности ρ^xk,ξ′_,B, в отли-

яния. Действия Евы определяются результатом из-

чие от ситуации без побочного канала, зависит от

мерения на ходу над отраженным состоянием. Цель

исходного состояния — от среднего числа фотонов ξ

1024

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

∑

в нем. Эта зависимость выражается через переход-

P^contr,totξ =

P_X(x)P^contrξ(y|X = x) =

ные вероятности P_J|I (ξ^′|I = ξ), которые определя-

x∈{0,1} y∈{C}

ются различимостью отраженных состояний.

∑

Фактически по этой причине стандартный Decoy

= P(k)(ξ)

P_J|I(ξ^′|I = ξ)×

k=0

ξ^′∈J

State-метод не работает при атаке активного зонди-

∑

рования модулятора интенсивности.

P_X(x)P(k)X|Y (y, ξ^′|X = x).

(94)

Вероятность исходов измерений на приемной

x∈{0,1} y∈{C}

стороне Боба выражается через матрицу плотности

Перейдем к более компактным обозначениям, для

в (89), с учетом (88) находим

вероятности отсчетов в информационных времен-

P(k)X|Y (y, ξ^′|X = x) = Tr_B{M_yρ^xk,ξ′_,B},

ных окон получаем

(90)

x = 0,1, y = 0,1,c.

Y infk(ξ^′) =

∑

(k)

P_X(x)P_X

(y, ξ^′|X = x).

(95)

Для парциального темпа отсчетов в информацион-

x∈{0,1} y∈{0,1}

ных временных окнах на приемной стороне получа-

ем

Во избежание недоразумений необходимо интер-

∑

претировать величины P(k)X|Y (y, ξ^′|X = x) и пояснить

P^infξ (y|X = x) =

P(k)(ξ)×

обозначения. Хотя обозначение и выглядит как ве-

k=0

роятность, но не является нормированной на едини-

∑

цу величиной. Рассмотрим посылки, в которых ба-

(91)

× P_J|I(ξ^′|I = ξ)P(k)X|Y (y,ξ^′|X = x),

зисы Алисы и Боба совпадали, и Алиса посылала со-

ξ^′∈J

стояния со средним числом фотонов ξ. Выделим по-

сылки, в которых Алиса посылала состояния, отве-

y = 0,1.

чающие биту x с вероятностью P_X (x). Пусть таких

посылок было N(x). Рассмотрим отсчеты у Боба в

Аналогично для парциального темпа отсчетов в

информационных временных окнах. Действия Евы

контрольном временном окне на приемной стороне

зависят от исхода измерений над отраженными со-

получаем

стояниями от модулятора интенсивности. Пусть Ева

∑

решила, что k-фотонная компонента состояний про-

P^contrξ(y|X = x) =

P(k)(ξ)×

изошла от состояний со средним числом фотонов ξ^′

k=0

при заданном (реальном) ξ (см. формулу (91)). На

∑

(92)

приемной стороне для k-фотонной компоненты со-

× P_J|I(ξ^′|I = ξ)P(k)X|Y (y,ξ^′|X = x),

стояний при условии, что Ева решила, что в кана-

ξ^′∈J

ле состояния со средним числом фотонов ξ^′ и ин-

формационный бит есть x, будет зарегистрировано

y = c.

N(k)(ξ^′, y) отсчетов и результат регистрации бита

Для полного темпа отсчетов в информационных

будет интерпретирован Бобом как y. При больших

временных окнах y = 0, 1 с учетом (91) находим

N (ξ, x) доля отсчетовN(k)(ξ′,y)N(x) будет стремиться к

∑

P(k)X|Y (y, ξ^′|X = x) (см. формулу (95)).

P^inf,totξ =

P_X(x)P^infξ (y|X = x) =

Для вероятности отсчетов в контрольных вре-

x∈{0,1} y∈{0,1}

менных окнах получаем

∑

= P(k)(ξ)

P_J|I(ξ^′|I = ξ)×

Y contrk(ξ^′) =

∑

k=0

ξ^′∈J

P_X(x)P(k)X|Y (y, ξ^′|X = x).

(96)

∑

x∈{0,1} y∈{C}

P_X(x)P(k)X|Y (y, ξ^′|X = x).

(93)

x∈{0,1} y∈{0,1}

Далее, обозначив для краткости P(ξ^′|μ)

= P_J|I(ξ^′|I = μ) для (88), находим

Для полного темпа отсчетов в контрольном окне

(индекс c) 3 в базисе L и окне 1 в базисе R с учетом

∑

(92) находим

P^inf,totμ =

P(k)(μ)

P (ξ^′|μ)Y^infk (ξ^′),

(97)

k=0

ξ^′∈J

1025

ЖЭТФ, вып. 6 (12)

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

∑

Отметим, что в отличие от стандартного Decoy

P^contr,totμ =

P(k)(μ)

P (ξ^′|μ)Y^contrk(ξ^′).

(98)

State-метода в выражение для темпа отсчетов со-

k=0

ξ^′∈J

стояний с разным средним числом фотонов входят

Получим выражение для парциальной ошибки в ин-

различные величины Y^inf,contrk и с разными весовы-

формационных состояниях:

ми коэффициентами — условными вероятностями,

зависящими от отраженных состояний от модулято-

e_k(ξ^′) =

ра интенсивности.

∑

P_X(i)P(k)X|Y (y, ξ^′|X = x)

Введем новые более удобные обозначения для ве-

роятности ошибки:

∑

(99)

P_X(i)P(k)X|Y (y, ξ^′|X = x)

tot

x=0,1,y=0,1

Err_ξ

= e2ξErr^totξ =

∑

(2ξ)^k

Используя (91), (93), (96), получаем выражение для

P (ξ^′|ξ)e_k(ξ)Y^infk (ξ).

(103)

полной ошибки в информационных состояниях:

k=0

ξ^′∈J

Err^totμ =

Далее обозначим

∑

= P(k)(μ)

P (ξ^′|μ)e_k(ξ^′)Y^infk (ξ^′).

(100)

p^min(ξ) =

min P (ξ^′|ξ),

ξ^′∈{μ,ν1,ν2}

k=0

ξ^′∈J

(104)

p^max(ξ) = max

P (ξ^′|ξ).

ξ^′∈{μ,ν

1,ν2}

8. ОЦЕНКА ПАРАМЕТРОВ

С использованием (101)-(104) получаем следующую

ОДНОФОТОННОЙ КОМПОНЕНТЫ

ИНФОРМАЦИОННЫХ СОСТОЯНИЙ НА

цепочку неравенств:

ПРИЕМНОЙ СТАНЦИИ

inf,tot

P_μ

≥ p^min(μ)Y inf,Σ0 + p^min(μ)×

Нашей дальнейшей целью будет оценка вероят-

[

]

ности однофотонной компоненты и ошибки в одно-

∑

(2μ)^k

× 2μYinf,Σ1 +

Yinf,Σ

(105)

фотонной компоненте для определения длины сек-

k=2

ретного ключа. Для вычисления длины секретного

ключа необходимо знать по отдельности величины

Y₁(μ), Y₁(ν₁), Y₁(ν₂), аналогично для вероятности

Y inf,Σk = Y ^infk(μ) + Y ^infk(ν₁) + Y ^infk(ν₂),

∑

ошибки нужны отдельные значения e₁(μ), e₁(ν₁),

(106)

Yinf,Σ0 =

Y inf0(ξ).

e₁(ν₂).

ξ∈{μ,ν1,ν2}

Decoy State-метод не позволяет получить выра-

жения для отдельных долей однофотонных компо-

Далее имеем

нент и ошибок. Decoy State-метод позволяет полу-

чить лишь их комбинации (сумму всех величин, см.

P^inf,totν

≤ p^max(ν₁)Y inf,Σ0 + p^max(ν₁)×

ниже). Тем не менее, можно будет получить оценку

[

]

∑

(2ν₁)^k

длины ключа, используя только сумму величин.

× 2ν₁Yinf,Σ1 +

Yinf,Σ

(107)

Перейдем к получению необходимых комбина-

k=2

ций однофотонных компонент. Для дальнейшего

введем новые обозначения:

inf,tot

Pν2

≥ p^min(ν₂)Y inf,Σ0 + p^min(ν₂)×

P^inf,totξ = e2ξP^inf,totξ =

[

]

∑

(2ν₂)^k

∑

(2ξ)^k

× 2ν₂Yinf,Σ1 +

Y^Σk

(108)

P (ξ^′|ξ)Y^infk (ξ),

(101)

k=2

k=0

ξ^′∈J

Введены обозначения

P^contr,totξ = e2ξP^contr,totξ =

P^inf,totμ

P^{inf,tot,minμ} =

∑

p^min(μ)

(2ξ)^k

P (ξ^′|ξ)Y^contrk(ξ).

(102)

(109)

P^inf,totν

k=0

ξ^′∈J

P^{inf,tot,maxν}

p^max(ν₁)

1026

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

Комбинируя (105)-(109), находим

Как следует из формул (28), (40), в длину секретно-

го ключа для однофотонной компоненты входит от-

[

]

ношение вероятностей отсчетов в контрольных вре-

(2ν₁ - 2ν₂)Yinf,Σ1 ≥ P^{inf,tot,maxν}

-P^inf,tot,min

ν2

менных окнах и информационных временных окнах

∑

(2ν₁)^k - (2ν₂)kinf,Σ

ζ/(1 - ζ) (см. детали в [10,11]). Нехватка информа-

Y_k

(110)

ции Евы о ключе выражается через данное отноше-

k=2

ние.

Учитывая, что

Получим оценку для вероятности ошибки в од-

нофотонной компоненте состояний:

∑

{

}

(2ν₁)² - (2ν₂)²

(2μ)^k

∑

Yinf,Σk ≥

(2ν₁)

(2μ)²

Err^totν

≥ p^min(ν₁)

(eY )^Σ

(116)

k=2

k=0

∑

(2ν₁)^k - (2ν₂)kinf,Σ

≥

Y_k

(111)

Аналогично предыдущему находим

k=2

{

}

∑

(2ν₂)^k

Err^totν

≤ p^max(ν₂)

(eY )^Σ

(117)

а также (110), (111), получаем

k=0

P^{inf,tot,minμ} - Yinf,Σ0 - 2μYinf,Σ1 ≥

где введено обозначение

∑

(2μ)kinf,Σ

≥

Y_k

(112)

(eY )Σk = e_k(μ)Y^infk (μ) + e_k(ν₁)Y^infk (ν₁) +

k=2

+ e_k(ν₂)Y ^infk(ν₂).

(118)

Окончательно находим

Комбинируя неравенства (116) и (117), получаем

tot,min

Yinf,Σ1 ≥

Errν1

- Err^tot,maxν

(eY )^Σ1 ≤

(119)

(2ν₁)² - (2ν₂)

(2ν₁ - 2ν₂) -

2ν₁ - 2ν₂

2μ

{[

]

где введены обозначения

(2ν₁)² - (2ν₂)²

× P^{inf,tot,maxν}

-P^{inf,tot,minν}

(2μ)²

Err^totν

[

]}

Err^tot,minν

p^min(ν₁)

× P^{inf,tot,minμ} -Yinf,Σ

(113)

(120)

tot

tot,max

Errν2

p^max(ν₂)

Как было упомянуто выше и как видно из (106),

(113), удается получить лишь оценку для суммы од-

Получим оценку вероятности однофотонной компо-

нофотонных компонент Y^Σ1, а не оценку для отдель-

ненты состояний в контрольных временных окнах:

ных компонент. В то же время в оценку для дли-

{

}

∑

ны секретного ключа (см. ниже формулу (129)) вхо-

(2ν₁)^k

P^contr,totν

≥ p^min(ν₁)

Ycontr,Σ

(121)

дят значения отдельных компонент. Ниже увидим,

k=0

что эту проблему удается обойти, используя свой-

Аналогично предыдущему находим

ство выпуклости условных энтропий (см. ниже).

{

}

Для оценки суммарной доли вакуумной компо-

∑

(2ν₂)^k

ненты Y^Σ0 получаем

P^contr,totν

≤ p^max(ν₂)

Ycontr,Σ

(122)

k=0

Yinf,Σ0 ≥

Комбинируя неравенства (121) и (122), получаем

{

}

inf,tot,max

2ν₁P_ν

-2ν₂P^inf,tot,min

ν1

≥ max

(114)

P^{contr,tot,minν}

-P^{contr,tot,maxν}

2ν₁ - 2ν₂

Ycontr,Σ1 ≤

(123)

2ν₁ - 2ν

где

где введены обозначения

contr,tot

P^inf,totν

Pν1

1,2

P^{inf,tot,minν}

P^{contr,tot,minν}

1,2

p^min(ν1,2)

p^min(ν₁)

(115)

(124)

tot

1,2

P^inf,totν

Pν2

P^{inf,tot,maxν}

P^{contr,tot,maxν}

1,2

p^max(ν1,2

)

p^max(ν₂)

1027

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

Для дальнейшего потребуется отношение, кото-

Неформально говоря, после обнаружения в канале

рое входит в нехватку информации Евы о ключе в

состояния с числом фотонов k Ева проводит измере-

однофотонной компоненте. Для k-фотонной компо-

ния над отраженным зондирующим состоянием с це-

ненты имеем

лью выяснить, из какого состояния, информацион-

ного или состояния «ловушки», произошло обнару-

Y contrk(ξ)

ζ_k(ξ)

(125)

женное состояние. После измерения вероятность ис-

Y infk(ξ)

1 - ζ_k(ξ)

хода дается условной вероятностью P (ξ^′|ξ) и Ева де-

Далее обозначим для краткости

лает вывод о дальнейших действиях. Другими сло-

вами, вероятности отсчетов в контрольных окнах

Y inf,Σ1 = Y inf1(μ) + Y inf1(ν₁) + Y inf1(ν₂),

(126)

ζ₁(ξ) и доли однофотонной компоненты Yinf1 (ξ) за-

Y inf,Σk = Y ^infk(μ) + Y ^infk(ν₁) + Y ^infk(ν₂).

(127)

висят от исхода измерений над отраженным состо-

янием. Условные вероятности P(ξ^′|ξ) являются из-

Модифицированный Decoy State-метод не позволя-

вестными. Отметим, что в длину секретн(о клю)

ет получить отдельно парциальные отношения. Он

ζ1(ξ)

(129) входят парциальные величины ζ₁(ξ)

позволяет лишь получить интегральные отношения

1-ζ1(ξ)

которые являются разными в посылках для состоя-

contr,Σ

Y₁

ний с разной интенсивностью ξ.

(ζY )inf,Σ1 =

(128)

Yinf,Σ

Функции χ_Hol(ζ₁(ξ), p, η, d) в (129) являются вы-

пуклыми функциями аргументов. Для выпуклой

которых вместе с учетом свойств выпуклости энтро-

функции f(x) по определению

пии будет достаточно для вычисления длины сек-

)

ретного ключа.

∑

(∑

λ_if(x_i) ≤ f

λ_ix_i

(130)

∑

9. ОЦЕНКА ДЛИНЫ СЕКРЕТНОГО КЛЮЧА

0 ≤ λ_i ≤ 1,

λ₁ = 1.

С УЧЕТОМ ПОБОЧНЫХ КАНАЛОВ

УТЕЧКИ ИНФОРМАЦИИ И

Поскольку

НЕОДНОФОТОННОСТИ

∑

ИНФОРМАЦИОННЫХ СОСТОЯНИЙ

P (ξ^′|μ)Yinf1 (ξ^′) ≥ p^min(μ)Yinf,Σ1,

(131)

ξ^′

Выше были получены оценки длины секретного

ключа для строго однофотонной компоненты. При

с учетом (130) получаем следующую цепочку нера-

этом параметры, описывающие побочное излучение

венств:

(p, d, η), следует относить к посылкам, в которых пе-

∑ P(ξ|μ)Yinf1(μ)

редавались информационные состояния со средним

∑

χ_Hol(ζ₁(ξ), p, η, d) ≤

P (ξ^′|μ)Yinf1 (ξ^′)

числом фотонов μ. Выражения для длины секрет-

ξ=μ,ν1,ν2

ξ^′

ного ключа имеют следующую структуру:

∑

{

p^max(μ)

Y inf1(ξ)

≤

χ_Hol(ζ₁(ξ), p, η, d) ≤

e-2μ(2μ)

p^min(μ)

inf,Σ

Y₁

ℓ=Pinf,totμ

ξ=μ,ν1,ν2

⎛

⎞

Pμnf,tot

⎛

⎞

∑

p^max(μ)

Y inf1(ξ)ζ₁(ξ)

∑

≤

χ_Hol ⎝

,p, η, d^⎠ =

inf,Σ

p^min(μ)

×^⎝

P (ξ|μ)Yinf1 (ξ)[1-χ_Hol(ζ₁(ξ), p, η, d)]⎠ -

ξ=μ,ν1,ν2

⎛

⎞

ξ=μ,ν1,ν2

}

p^max(μ)

∑

Y contr1(ξ)

χ_Hol ⎝

,p, η, d^⎠ =

inf,Σ

- leak(Err^totμ)

=P^inf,totμ×

p^min(μ)

ξ=μ,ν1,ν2

(

)

⎧

⎛

⎞

p^max(μ)

Ycontr,Σ1

^⎨e-2μ(2μ)

∑

χ_Hol

,p, η, d

⎝

inf,Σ

P (ξ^′|μ)Yinf1 (ξ^′)⎠ ×

p^min(μ)

× ⎩_Pinf,tot

ξ^′

(

)

p^max(μ)

⎛

χ_Hol (ζY )inf,Σ1, p, η, d

(132)

∑

p^min(μ)

P (ξ|μ)Yinf1 (ξ)

×^⎝

∑

P (ξ^′|μ)Yinf1 (ξ^′)

В (132) учтено, что

ξ=μ,ν1,ν2

ξ^′

⎞

⎫

⎬

contr,Σ

Y contr1(ξ)

Y₁

× [1 - χ_Hol(ζ₁(ξ), p, η, d)]^⎠ - leak(Err^totμ)

(129)

ζ₁(ξ) =

(ζY )inf,Σ1 =

(133)

⎭

Y inf1(ξ)

Yinf,Σ

1028

ЖЭТФ, том 158, вып. 6 (12), 2020

О стойкости систем квантовой криптографии. ..

В итоге, используя (132), а также для краткости обо-

где

∑

значение (133), для доли секретных битов получаем

Pinf,Σtotμ =

P^inf,totμ(b).

b=L,R

∑ P(ξ|μ)Yinf1(ξ)

∑

Используя свойство выпуклости функций

P (ξ^′|μ)Yinf1 (ξ^′)

ξ=μ,ν1,ν2

leak(Err^totμ(b)) и χ_Hol(ζ, p, η, d), находим

ξ^′

⎛

⎞

× [1 - χ_Hol(ζ₁(ξ), p, η, d)] ≥

(

)

∑P^inf,totμ(b)

p^max(μ)

leak^⎝

Err^totμ(b)⎠ ≥

≥1-

χ_Hol (ζY )inf,Σ1, p, η, d

(134)

inf,Σtot

p^min(μ)

b=L,R

∑

P^inf,totμ(b)

С учетом (134) находим

≥

leak(Err^totμ(b)),

(138)

{

b=L,R

Pμnf,Σtot

inf,Σ

e-2μ(2μ)p^min(μ)Y₁

ℓ=P^inf,tot

Pμnf,tot

∑

P^inf,totμ(b)

(

ErrΣtotμ =

Err^totμ(b),

(

))

p^max(μ)

inf,Σ

Pμnf,Σtot

χ_Hol (ζY )

,p, η, d

b=L,R

p^min(μ)

}

⎛

⎞

- leak(Err^totμ)

(135)

∑

inf,Σ

χ_Hol ⎝

(ζY )

(b), p, η, d^⎠ ≥

b=L,R

В формулу (135) входят интегральная доля однофо-

∑

(

)

тонной компоненты Yinf,Σ1 и интегральное отноше-

Y inf,Σ1(b)

≥

χ_Hol (ζY )inf,Σ1(b), p, η, d

ние (ζY )inf,Σ1. Фактически это означает, что в фор-

inf,Σtot

b=L,R

мулах (134), (135) в аргументе χ_Hol(ζ₁, p, d, η) нужно

заменить парциальные отношения на средние значе-

Окончательно получаем

ния:

{

ζ₁ → (ζY )inf,Σ1.

(136)

e-2μ(2μ)p^min(μ)Yinf,Σtot1

ℓ^Σ = Pinf,Σtotμ

Данные величины выражаются в модифицирован-

Pμnf,Σtot

ном Decoy State-методе через наблюдаемые величи-

(

))

p^max(μ)

ны — темп отсчетов на приемной стороне для состо-

× 1-

χ_Hol (ζY )inf,Σtot1, p, η, d

p^min(μ)

яний с разным средним числом фотонов. Напомним,

}

что это длина секретного ключа в одном базисе. Для

- leak(ErrΣtotμ)

(139)

того чтобы получить длину ключа по всем базисам,

придется еще раз воспользоваться свойством выпук-

где

лости функций в (135).

∑

inf,Σ

inf,Σtot

Y₁

(b)(ζY )inf,Σ1(b)

(ζY )

10. ОЦЕНКА ДЛИНЫ СЕКРЕТНОГО

Yinf,Σtot

b=L,R

КЛЮЧА ПО ВСЕМ БАЗИСАМ

∑

Перейдем к оценке длины секретного ключа по

Yinf,Σtot1 =

Y inf,Σ1(b).

всем базисам. Теперь величины в (135) необходимо

b=L,R

снабдить индексом базиса b = L, R, получаем

∑

ℓ^Σ =

ℓ(b) =

11. ОБСУЖДЕНИЕ РЕЗУЛЬТАТОВ

b=L,R

{

Формула (139) дает длину секретного ключа в

∑

p^min(μ)e-2μ(2μ)Yinf,Σ1(b) ×

битах в пересчете на одну зарегистрированную по-

b=L,R

сылку по всем базисам. Длина ключа в пересчете на

(

))}

p^max(μ)

одну зарегистрированную посылку по всем базисам

inf,Σ

χ_Hol (ζY )

(b), p, η, d

выражается через средние значения наблюдаемых

p^min(μ)

параметров на приемной стороне. Такими парамет-

∑

P^inf,totμ(b)

tot

-Pinf,Σtotμ

leak(Err

(b)),

(137)

рами являются следующие.

inf,Σtot

b=L,R

1029

С. Н. Молотков

ЖЭТФ, том 158, вып. 6 (12), 2020

1. Средняя по всем базисам полная вероятность

мых в канал связи. Ситуация с состояниями в побоч-

ошибок ErrΣtotμ в информационных временных ок-

ных каналах принципиально иная. Введение в рас-

нах. Данная величина может определяться как пу-

смотрение побочных каналов утечки информации и

тем раскрытия части последовательности зареги-

квантовых состояний в них не может быть сдела-

стрированных посылок, так и по факту, если ис-

но без каких-то модельных соображений. Структу-

правление ошибок происходит сразу без предвари-

ра квантовых состояний в побочных каналах точно

тельной оценки вероятности ошибок. При этом доля

неизвестна. Умозрительно структура квантовых со-

исправленных позиций в асимптотическом пределе

стояний в побочных каналах при каждой конкрет-

сразу дает величину ErrΣtotμ.

ной реализации системы квантовой криптографии

2. Полная вероятность зарегистрированных по-

может быть определена квантовой томографией. Но

сылок Pinf,Σtotμ по всем базисам.

это только умозрительно. Практически это сделать

3. Полная вероятность регистрации в информа-

невозможно из-за огромного числа степеней свободы

ционных временных окнах однофотонной компонен-

системы. Например, точный вид побочного электро-

ты состояний Yinf,Σtot1 по всем базисам. Данная ве-

магнитного излучения электронной аппаратуры из-

личина оценивается через наблюдаемые на прием-

за макроскопически большого числа степеней сво-

ной стороне величины для информационных посы-

боды неизвестен. Поэтому требуются модельные со-

лок и посылок с состояниями ловушками.

ображения. Выше были рассмотрены модели бинар-

4. Полная усредненная вероятность регистрации

ных квантовых каналов для побочного излучения.

в контрольных временных окнах однофотонной ком-

Предложенный метод позволяет включить в рас-

поненты состояний (ζY )inf,Σtot1 по всем базисам.

смотрение регулярным образом любые другие ви-

Данная величина оценивается через наблюдаемые

ды побочных каналов. Более того, как показывает

величины для информационных посылок и посылок

рассмотрение выше, не требуется точный вид самих

с состояниями ловушками.

состояний, достаточно только знать верхнюю гра-

5. Величины p^max(μ) и p^min(μ), определяю-

ницу различимости состояний, что является более

щие максимальную и минимальную вероятности

простой экспериментальной задачей.

различения отраженных зондирующих состояний

Выше был рассмотрен асимптотический предел

от модулятора интенсивности, зависят от кон-

длинных передаваемых последовательностей. Учет

кретной экспериментальной реализации системы

конечной длины передаваемых последовательнос-

квантовой криптографии и должны определять-

тей представляет собой более или менее обычную

ся/вычисляться путем специальных исследований.

задачу по учету флуктуаций наблюдаемых величин

6. Величина η, определяющая минимальное пе-

за счет конечной длины последовательностей, что

рекрытие (максимальную различимость) отражен-

представляет собой стандартную задачу классичес-

ных зондирующих состояний от фазового модуля-

кой теории вероятностей.

тора на приемной стороне, также должна измерять-

ся/вычисляться путем специальных исследований и

Благодарности. Автор выражает благодар-

определяться для конкретной реализации системы.

ность коллегам по Академии криптографии Россий-

7. Величины p, d, описывающие вероятность раз-

ской Федерации за обсуждения и поддержку, а так-

личений квантовых состояний в побочных каналах,

же И. М. Арбекову и С. П. Кулику за многочислен-

связанных с пассивным детектированием электро-

ные интересные обсуждения и замечания, позволив-

магнитного излучения и переизлучения лавинных

шие улучшить изложение.

детекторов, должны определяться эксперименталь-

Финансирование. Работа выполнена при

но, и также зависят от конкретной реализации си-

поддержке Российского научного фонда (проект

стемы.

№16-12-00015 (продолжение)).

Верхняя граница утечки информации к подслу-

шивателю при атаке на информационные состоя-

ния в квантовом канале связи, по крайней мере

ЛИТЕРАТУРА

для однофотонных состояний, можно получить, не

1. C. H. Bennett and G. Brassard, in Proc. IEEE

прибегая к каким-либо модельным соображениям,

Int. Conf. on Comp., Sys. and Signal Process.,

а опираясь только на фундаментальные ограниче-

pp. 175-179, Bangalore, India (1984).

ния квантовой теории, например, на энтропийные

соотношения неопределенностей [3], поскольку из-

2. R. Renner, PhD Thesis, ETH Zürich, arXiv/quant-

вестен вид информационных состояний, направляе-

ph:0512258 (2005).

1030