Письма в ЖЭТФ, том 112, вып. 6, с. 401 - 411

О новой атаке на квантовое распределение ключей:

совместные измерения с определенным исходом

зондирующих состояний и PNS атака

на информационные состояния

С. Н. Молотков¹⁾

Институт физики твердого тела РАН, 142432 Черноголовка, Россия

Академия криптографии Российской Федерации, 121552 Москва, Россия

Центр квантовых технологий, МГУ им. М. В. Ломоносова, 119899 Москва, Россия

Поступила в редакцию 11 августа 2020 г.

После переработки 15 августа 2020 г.

Принята к публикации 16 августа 2020 г.

Предложена новая атака на квантовое распределение ключей, основанная на совместных квантовых

измерениях с определенным исходом отраженных зондирующих состояний от модулятора интенсивности

и PNS измерениях (Photon Number Splitting - неразрушающие измерения числа фотонов) информаци-

онных состояний в квантовом канале связи. Данная атака не изменяет относительной статистики фото-

отсчетов состояний с разным числом фотонов, не производит ошибок на приемной стороне, поэтому не

детектируется ни одним из известных методов, включая модифицированный Decoy State метод. Атака

приводит только к дополнительным потерям в линии связи, за которыми не “следит” Decoy State метод.

Дана оценка привносимых потерь в зависимости от интенсивности отраженных зондирующих состояний.

Критический уровень потерь зависит от конкретной физической реализации системы квантовой крип-

тографии, которая определяет верхнюю границу интенсивности отраженных зондирующих состояний.

Знание данной границы принципиально необходимо для обеспечения секретности ключей. Тот факт, что

атака не приводит к ошибкам на приемной стороне и не изменяет относительной статистики фотоотсче-

тов, а приводит только к дополнительным потерям, которые зависят от интенсивности, соответственно

различимости отраженных зондирующих состояний, не означает, что данная атака переводит системы

квантовой криптографии из разряда криптографических систем, где секретность ключей гарантирует-

ся фундаментальными законами квантовой механики, в разряд систем, где секретность гарантируется

техническими ограничениями. Даже при наличии побочных каналов утечки информации секретность

ключей по-прежнему гарантируется фундаментальными ограничениями квантовой механики на разли-

чимость состояний. Низкий уровень различимости (“интенсивности”) квантовых состояний в побочных

каналах, естественно, достигается техническими средствами.

DOI: 10.31857/S123456782018010X

1. Введение. Методы несакционированного съе-

связи, поскольку работа передающей и приемной

ма информации развиваются по мере развития спо-

аппаратуры приводит к побочному электромагнит-

собов передачи и защиты информации. В класси-

ному излучению, которое может детектироваться.

ческой области носителями информации являются

Детектирование побочного электромагнитного излу-

электромагнитные сигналы, которые передаются ли-

чения может приводить к компроментации работы

бо через открытое пространство, по кабельным или

электронного криптографического оборудования.

волоконным линиям связи. Несанкционированный

Различные типы интерфейсов между отдельными

съем информации для классических сигналов возмо-

модулями аппаратуры также приводят к компро-

жен как с кабельных линий связи, так и с волоконно-

ментирующему побочному излучению.

оптических линий.

Существуют и другие побочные каналы утечки

Для получения информации не обязательно

информации: электромагнитное излучение, оптиче-

иметь непосредственный доступ к самой линии

ское излучение (электромагнитное в оптическом диа-

пазоне), акустические каналы, ультразвуковые, ме-

¹⁾e-mail: sergei.molotkov@gmail.com

ханические и пр., которые могут приводить к утеч-

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

401

402

С. Н. Молотков

ке информации без непосредственного доступа к ис-

торое несет на себе информацию о передаваемых

точнику информации. Большой набор методов и экс-

ключах.

периментальных устройств, существующих в данной

В квантовой криптографии ситуация еще более

области, обычно широко не освещается. Некоторые

деликатная, чем в классических криптографических

аспекты детектирования побочных сигналов в клас-

системах. Системы квантовой криптографии явля-

сических криптографических системах, а также ис-

ются открытыми системами, в том смысле, что кро-

торические примеры см., например, в [1-7].

ме детектирования побочного излучения, подслуши-

Понижение уровня оптического сигнала до одно-

ватель может активно зондировать через волокон-

фотонного уровня приводит к тому, что сигнал ста-

ную линию связи состояние волоконных элементов

новится квантовым, и это приводит к принципиаль-

(фазовых модуляторов, модуляторов интенсивности,

но качественно новой ситуации. В отличии от ин-

контроллеров поляризации и пр.), которые дают ин-

тенсивного классического оптического сигнала, пе-

формацию о передаваемых ключах.

редаваемого по волоконной линии связи, попытки

Без понимания и учета утечки информации по

подслушать - измерить неизвестное состояние в ли-

побочным каналам невозможно всерьез говорить о

нии связи приводят к возмущению квантового состо-

секретности ключей в реальных системах кванто-

яния и ошибкам на приемной стороне [8]. По этой

вой криптографии.

причине любое вторжение в квантовый канал связи

Еще одно принципиальное отличие побочных ка-

детектируется, что гарантируется фундаментальны-

налов в квантовой криптографии от побочных ка-

ми законами квантового мира. Более того, фунда-

налов в классических системах состоит в том, что

ментальные ограничения квантовой механики поз-

невозможно рассматривать состояния в побочных

воляют связать наблюдаемый уровень возмущения

каналах классическим образом. Подслушиватель мо-

квантовых состояний (уровень ошибок) на прием-

жет совместно измерять информационные кванто-

ной стороне с верхней границей утечки информа-

вые состояния и состояния в побочных каналах, что

ции [9-11]. Собственно, на этом и строится квантовая

требует полного квантового рассмотрения.

криптография - квантовое распределение секретных

На сегодняшний день полный набор методов уче-

ключей.

та атак на аппаратуру и учет побочных каналов утеч-

В этом смысле, системы квантовой криптогра-

ки находится в стадии активного исследования. В от-

фии защищены от атак непосредственно на ли-

личии от классических криптографических систем

нию связи. Более того, считается, что линия свя-

исследование утечки информации по побочных ка-

зи непосредственно доступна для активного прослу-

налам началось совсем недавно [12-20].

шивания - вторжения.

В реальных системах источник информацион-

На сегодняшний день касательно атак на кванто-

ных состояний представляет собой ослабленные ко-

вые состояния в квантовой линии связи - попыток

герентные состояния с пуассоновской статистикой

съема передаваемой ключевой информации достиг-

по числу фотонов, и не является строго однофотон-

нуто достаточно глубокое понимание. Существуют

ным. Секретный ключ набирается только из одно-

методы учета не строгой однофотонности источни-

фотонной компоненты когерентных состояний. Ин-

ка квантовых состояний, потерь в линии связи, не

формация, заключенная в многофотонных компо-

единичной квантовой эффективности однофотонных

нентах состояний с числом фотонов k

> 1, кон-

детекторов и пр. Относительно атак на квантовый

сервативно в пользу Евы, считается ей извест-

канал связи можно говорить, что квантовая крипто-

ной. Доля однофотонной компоненты на прием-

графия обеспечивает безусловную секретность клю-

ной стороне оценивается модифицированным Decoy

чей, которая базируется только на фундаментальных

State методом (см. детали в [21-23]). Без побоч-

законах квантовой механики.

ных каналов утечки информации самой общей ата-

Системы квантовой криптографии представ-

кой на однофотонную компоненту состояний яв-

ляют собой достаточно сложные и насыщенные

ляется унитарная атака. Для протокола BB84 та-

активными волоконными компонентами устрой-

кую оптимальную атаку можно построить явно

ства

- фазовыми модуляторами, модуляторами

[24, 25].

интенсивности, контроллерами поляризации, управ-

Поскольку многофотонные компоненты состоя-

ляющей электроникой с различными внешними и

ний “отдаются” (считаются известными) подслуши-

внутренними интерфейсами. Работа электроники

вателю, то дальнейшая задача сводится к построе-

и электронно-управляемых активных волоконных

нию атаки на однофотонную компоненту с учетом

элементов приводит к побочному излучению, ко-

побочных каналов утечки.

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

О новой атаке на квантовое распределение ключей. . .

403

Принципиально важно для Decoy State метода,

[21-23] требует радикального изменения, что было

что не имея дополнительной информации, подслу-

сделано в работах [17, 18].

шиватель не знает, из какого состояния и с каким

В данной работе будет предъявлена новая ата-

средним числом фотонов произошла компонента с

ка, которая сводится к активному зондированию

данным числом фотонов k. Искажение однофотон-

модулятора интенсивности, UM измерений отра-

ной компоненты в посылках, относящихся к коге-

женных состояний и PNS атака с неразрушающим

рентным состояниям с разной интенсивностью, при-

измерением числа фотонов в информационных со-

водит к искажению относительного наблюдаемого

стояниях в квантовом канале, которая до сих пор,

полного темпа отсчетов - статистики на приемной

насколько нам известно, не рассматривалась.

стороне для посылок, в которых посылались состо-

При такой атаке подслушиватель знает весь

яния с разной интенсивностью. Изменение относи-

ключ, не производит ошибок на приемной стороне, не

тельного полного темпа отсчетов позволяет оценить

изменяет пуассоновской статистики фотоотсчетов на

долю однофотонной компоненты и ошибку в ней на

приемной стороне в посылках, отвечающих когерент-

приемной стороне.

ным состояниям с разной интенсивностью (средним

Все сказанное справедливо до тех пор, пока у

числом фотонов).

подслушивателя нет дополнительной информации

Данная атака принципиально не детектирует-

о том, какое состояние и с какой интенсивностью

ся Decoy State методом, поскольку не меняет на-

(средним числом фотонов) посылалось в квантовый

блюдаемой относительной статистики отсчетов

канал связи в каждой посылке.

на приемной стороне состояний с разной интенсив-

При наличии побочных сигналов, предположе-

ностью. Атака приводит лишь к снижению общего

ния, на которых базируется Decoy State метод, на-

темпа фотоотсчетов, т.е. приводит лишь к увели-

рушаются. При активном зондировании состояния

чению наблюдаемых потерь без изменения стати-

модулятора интенсивности, подслушиватель полу-

стики отсчетов в фоковских компонентах состоя-

чает дополнительную информацию об интенсивно-

ний с разным числом фотонов.

сти передаваемого состояния.

Важно отметить, что полные потери в ли-

Измерения над отраженными от модулятора ин-

нии связи в Decoy State методе явно не фигуриру-

тенсивности зондирующими состояниями дают до-

ют [17, 21-23], т.е. за общими потерями не нужно

полнительную информацию об интенсивности пере-

следить в стандартном [21-23] и модифицирован-

даваемого состояния в каждой посылке. Возможны

ном Decoy State методе [17, 18].

измерения двух типов.

Поскольку предлагаемая атака приводит лишь к

дополнительным потерям - снижению темпа отсче-

1) Измерение, минимизирующее ошибку различе-

тов на приемной стороне и не производит ошибок, и

ния отраженных состояний.

не нарушает статистики отсчетов, то важно знать, к

2) Измерения с определенным исходом

какому уровню потерь приводит такая атака.

Unambiguous Measurements (UM).

Точнее говоря, атака не детектируется извест-

Измерения первого типа позволяют различить кван-

ными методами, но является эффективной - не де-

товые состояния, но с некоторой вероятностью ошиб-

тектируемой, если уровень потерь, производимый

ки. Измерения второго типа различают состояния

атакой будет не менее некоторой величины.

с определенностью, если получен conclusive исход.

Цель работы - оценить критический наблюда-

При неопределенном исходе, обычно обозначаемым

емый уровень потерь - снижение темпа фотоот-

“?”, ничего о состоянии сказать нельзя. При различе-

счетов, при котором такая атака становится воз-

нии N состояний, измерение первого типа имеет N

можной.

исходов. Измерение второго типа имеет N + 1 исход,

2. Описание атаки. Идея атаки достаточно про-

N определенных, и один “?” - неопределенный. Отме-

ста. В системах квантовой криптографии с фазовым

тим, что для существования UM измерений необхо-

кодированием на передающей стороне используются

димым и достаточным условием является линейная

активные элементы - фазовый модулятор и модуля-

независимость набора N состояний [26-33], что вы-

тор интенсивности. Если известно состояние фазово-

полнено для отраженных состояний (см. ниже).

го модулятора, то известен передаваемый бит ключа.

Атака на распределяемые ключи в случае изме-

Если известно состояние модулятора интенсивности,

рений первого типа детектируется Decoy State ме-

то известна интенсивность когерентного состояния

тодом, поскольку изменяет пуассоновскую статисти-

(и среднего числа фотонов) в нем. Если подслушива-

ку отсчетов. Однако стандартный Decoy State метод

телю достоверно известно состояние обоих активных

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

8^∗

404

С. Н. Молотков

элементов, то подслушиватель знает весь передавае-

|ψxb 〉_PM . Всего имеется 12 отраженных состояний в

мый ключ.

побочном канале активного зондирования

Поскольку системы квантовой криптографии яв-

|ψxbξ〉P MMI = |ψx_b 〉P M ⊗ |ψξ〉MI .

(1)

ляются открытыми системами, то подслушиватель,

кроме доступа к квантовому каналу связи, может

Если в качестве входных зондирующих состояний на

активно зондировать через волоконную линию связи

практике используется когерентное состояние, то по-

состояние активных элементов, посылая зондирую-

сле отражения от активного оптического элемента на

щее излучение, и затем измеряя отраженное состоя-

выходе в линию связи будет когерентное состояние со

ние.

сдвинутой фазой, зависящей от состояния активного

Степень различимости отраженных состояний от

элемента, и другой интенсивностью. В пользу Евы

активных элементов передающей станции зависит

считаем отраженные состояния чистыми, поскольку

от интенсивности отраженных состояний. Интенсив-

они имеют большую различимость. В этих предполо-

ные - классические состояния достоверно различи-

жениях можно представить отраженные состояния

мы. Если интенсивность информационных состоя-

как

ний, выходящих из передающей станции, контроли-

|α_x

bξ〉PMMI^=|αxb^〉PM^⊗|αξ^〉MI^,

руется передатчиком, то интенсивность отраженных

(2)

x_b = {0+, 1+, 0×, 1×}, ξ = {µ, ν₁, ν₂}.

состояний контролируется подслушивателем. Чем

более интенсивные зондирующие состояния посыла-

2.1. Непосредственное различение состояний в

ет подслушиватель, тем более интенсивными будут

побочном канале. Первая стратегия сводится к раз-

отраженные зондирующие состояния.

личению непосредственно 12-ти отраженных (1), (2)

Для того, чтобы знать верхнюю границу интен-

зондирующих состояний при помощи UM измерений.

сивности отраженных состояний, нужно знать верх-

Однако такая стратегия не является наилучшей из-

нюю границу по интенсивности входных зондиру-

за малой вероятности определенного исхода при UM

ющих состояний. Такая граница по интенсивности

измерениях, поскольку требует различения 12-ти со-

диктуется плавлением оптического волокна [34-36].

стояний.

Иначе говоря, интенсивность входных состояний не

Такая стратегия приводит к вероятности опреде-

может быть больше предела, при котором волокно

ленного исхода порядка Pr_OK ≈ µ^11max, где µ_max =

плавится [34-36].

= max_x

b,ξ{|αxb,ξ|2}

- максимальное среднее число

Верхняя граница интенсивности отраженных

фотонов в отраженных состояниях.

состояний при известной верхней границе интен-

Считаем, что использование оптических изолято-

сивности входных состояний может регулироваться

ров, среднее число фотонов в отраженных состояни-

использованием оптических изоляторов, которые

ях не превышает среднего числа фотонов µ ≈ 0.2-0.5

ослабляют выходные отраженные состояния до

в информационных состояниях, µ_max < max_ξ{ξ} = µ.

нужного уровня. Данный уровень будем считать

При такой атаке вероятность успешного различения

известным. Данный уровень будет определять ве-

интенсивности передаваемых информационных со-

роятность различимости выходных зондирующих

стояний и значений бита ключа оказывается ничтож-

состояний.

ной, соответственно в таком виде атака приводит к

Ниже будем иметь в виду применение к прото-

слишком большим потерям. Более эффективной бу-

колу BB84, как наиболее распространенному. Фазо-

дет следующая стратегия.

вый модулятор может быть в 4-х состояниях, отве-

2.2. Измерение интенсивности отраженных от

чающих значениям x = 0 и x = 1 в прямом базисе

модулятора интенсивности состояний и PNS ата-

b = + и сопряженном b = ×. Обозначим отраженные

ка на информационные состояния в квантовом ка-

от фазового модулятора состояния, отвечающие 4-м

нале. Напомним, что цель Евы узнать передаваемый

значениям |ψ_x

〉_PM .

бит, не произвести ошибок, и не быть обнаруженной

Decoy State методом. Для последнего Ева должна

В Decoy State методе [17, 23] обычно использу-

знать интенсивность состояния в каждой посылке,

ются состояния с тремя разными интенсивностями

что передается µ, ν₁, ν₂.

(средним числом фотонов) µ, ν₁, ν₂, которые отвеча-

Атака:

ют трем разным состояниям модулятора интенсивно-

Ева при помощи UM измерений различает состоя-

сти. Отраженные от модулятора интенсивности со-

ния |α_µ〉_MI , |αν1 〉_MI и |αν2 〉_MI . Если исход измерения

стояния для трех значений интенсивности (средне-

неопределенный, посылка блокируется.

го числа фотонов) ξ = µ, ν₁, ν₂, |ψ_ξ〉_MI обозначим

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

О новой атаке на квантовое распределение ключей. . .

405

Если исход определенный, то известно состояние:

ходимо различать 4-е состояния. В посылках с 3-мя

или |α_µ〉_MI , или |αν1 〉_MI , или |αν2 〉_MI . Затем произ-

фотонами 4-е состояния имеют вид:

водятся неразрушающие измерения числа фотонов в

√

информационных состояниях - PNS атака. Если об-

∑

|m〉₁ ⊗ |k - m〉₂

|Φ^xk〉 =

eiϕxm

√

(3)

наружены посылки с числом фотонов k < 3, то по-

2³

m!(k - m)!

m=0

сылка блокируется. Если в информационных состоя-

ниях обнаружено число фотонов k ≥ 3, то проводят-

т.е. 4-е состояния (3) становятся линейно независи-

ся UM измерения над информационным состоянием.

мыми, начиная с 3-х фотонных посылок.

Действительно, базисные векторы в фоковском

подпространстве с 3-мя фотонами (k = 3) в двух вре-

менных окнах есть

Необходимым и достаточным условием для суще-

|3〉₁|0〉₂,

|2〉₁|1〉₂,

|1〉₁|2〉₂,

|0〉₁|3〉₂.

ствования UM измерений является линейная незави-

симость состояний [31]. В протоколе BB84 при фа-

Информационных состояний при k = 3 в двух бази-

зовом кодировании, если базис неизвестен, то необ-

сах также имеется 3 вектора (см. ф-лу (3))





√

0+ →

|3〉₁|0〉₂ +

|2〉₁|1〉₂ +

|1〉₁|2〉₂ +

|0〉₁|3〉₂



basis +



√

 1+ →

|3〉₁|0〉₂ +

|2〉₁|1〉₂ -

|1〉₁|2〉₂ -

|0〉₁|3〉₂





0× →

√

|3〉₁|0〉₂

√

|2〉₁|1〉₂ -

√

|1〉₁|2〉₂

√

|0〉₁|3〉₂



basis ×



 1× →

√

|3〉₁|0〉₂

√

|2〉₁|1〉₂ -

√

|1〉₁|2〉₂ +√

|0〉₁|3〉₂

Для однофотонной компоненты состояний фоковское

минимальной вероятности, учитывая иерархию ин-

подпространство является двумерным, информаци-

тенсивностей µ > ν₁ > ν₂, находим

онных состояний по-прежнему 4-е, поэтому они ли-

{

}

∑

(2ξ)^k

нейно зависимы. Размерность подпространства с 2-

Pr_min(k ≥ 3) = min

e^-2ξ

≤ (ν₂)³.

ξ=(µ,ν1,ν2)

мя фотонами равна 3, состояний 4-е, и они линей-

k=3

но зависимы. По этой причине измерения с опреде-

(5)

ленным исходом над информационными состояния-

После проведения UM измерений над 3-х фотонны-

ми возможны только, начиная с трехфотонной ком-

ми состояниями Ева знает передаваемый бит. Если

поненты состояний.

исход UM измерений над информационными состоя-

Вероятность Pr_ξ(k ≥ 3), ξ = µ, ν₁, ν₂ присутствия

ниями неопределенный, то посылка блокируется.

в квантовом канале посылок с тремя и более фотона-

PNS атака с последующими UM измерениями ин-

ми зависит от интенсивности информационного коге-

формационных состояний и отбрасыванием неопре-

рентного состояния - среднего числа фотонов в нем

деленных исходов, без знания к какой посылке и с

µ, ν₁, ν₂, имеем

каким средним числом фотонов относится трехфо-

тонное состояние, приведет к искажению статистики

∑

(2ξ)^k

фотоотсчетов в посылках с разным средним числом

Pr_ξ(k ≥ 3) = e^-2ξ

≤ (ξ)³.

(4)

фотонов µ, ν₁, ν₂, что будет обнаружено Decoy State

k=3

методом.

Для того, чтобы знать передваемый бит ключа, Ева

Однако у Евы в распоряжении имеются отражен-

должна иметь посылки с числом фотонов k ≥ 3 для

ные от модулятора интенсивности состояния. UM из-

посылок с любой интенсивностью, поэтому вероят-

мерение данных состояний, при определенном исходе

ность успеха определяется минимальной вероятно-

после PNS атаки и UM измерений над информаци-

стью обнаружить три и более фотонов в посылках

онными состояниями, позволяют Еве, при определен-

с разным средним числом фотонов ξ = µ, ν₁, ν₂. Для

ном исходе над отраженными состояниями, знать как

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

406

С. Н. Молотков

Рис. 1. Схематическое изображение атаки с UM измерениями отраженных состояний и PNS измерениями информа-

ционных состояний

Рис. 2. Схематическое изображение второго каскада измерений с определенным исходом

информационный бит, так и значение интенсивности

рениями с определенным исходом, где на каждом

в данной посылке - µ, ν₁, ν₂.

шаге различается пара состояний (см. рис. 1). При

этом не придется прибегать к численной миними-

В итоге, при двух последовательных определен-

зации.

ных исходах Ева знает все о передаваемых состояни-

ях - значение бита ключа и значение µ, ν₁, ν₂. Все

2.3. Каскадные измерения зондирующих состоя-

остальные посылки, где был неопределенный исход,

ний. При различении трех состояний, отраженных

либо при PNS и UM измерениях над информацион-

от модулятора интенсивности, которые для кратко-

ными состояниями, либо над отраженными от моду-

сти обозначим |µ^∗〉, |ν^∗1〉, |ν^∗2〉, каскадные UM измере-

лятора интенсивности, блокируются.

ния содержат два шага. На первом шаге различается

пара состояний |ν^∗1〉, |ν^∗2〉, точнее при одном из двух

Сделаем теперь оценку минимальной вероятно-

определенных исходов, исключается третье состоя-

сти определенного исхода при различении состоя-

ние. Например, исключение на первом шаге состоя-

ний, отраженных от модулятора интенсивности. Оп-

ния |ν^∗1〉 приводит к тому, что после такого исхода

тимальные UM измерения для двух чистых состоя-

измерения остаются неразличенными состояния |µ^∗〉

ний известны [29-31]. Имеется ряд результатов для

и |ν^∗1〉. При исключении на первом шаге состояния

различения более чем двух чистых и смешанных со-

|ν^∗2〉, определенными остаются состояния |µ^∗〉, и |ν^∗2〉,

стояний. Для получения конкретных числовых зна-

которые различаются на втором шаге UM измерений

чений требуется знать точную структуру квантовых

(см. рис. 2). На втором шаге UM измерений различа-

состояний и использовать численную минимизацию.

ются две данные пары состояний (рис. 2) |µ^∗〉 и |ν^∗1〉,

Для оценки порядка величины вероятности опре-

либо |µ^∗〉 и |ν^∗2〉.

деленных исходов, соответственно, потерь, к ко-

На первом шаге выполняется измерение UMν1∗,ν^∗2

торым приводит данная атака, удобнее воспользо-

(рис. 2), которое дается разложением единицы

ваться точными аналитическими результатами

для различения двух состояний, а для различения

трех состояний воспользоваться каскадными изме-

I = P^⊥ν∗

+ P^⊥ν∗

+ P^?ν∗

(6)

,ν∗2

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

О новой атаке на квантовое распределение ключей. . .

407

где

где I - единичный оператор. Операторно-значные

меры в (6), (7) P^⊥ν∗

и P^⊥ν∗

с точностью до норми-

ровки являются проекторами, в том смысле, что

I - |ν^∗1〉〈ν^∗1|

I - |ν^∗2〉〈ν^∗2|

P^⊥ν∗

, P^⊥ν∗

(P^⊥ν∗

)² ∝ P^⊥ν∗

∗

, это потребуется далее.

,ν^∗1

,ν

1 + |〈ν^∗1|ν^∗2〉|

(7)

Вероятности определенного исхода и состояния

P^?ν∗,ν∗2

= I - P^⊥ν∗

− P^⊥ν∗,

на выходе на первом каскаде имеют вид



{

}



Pr(|ν^∗2〉|not |ν^∗1〉) = 1 - |〈ν^∗2|ν^∗1〉|, output state |ν^∗2〉〈ν₂|



not |ν^∗1〉 →

→ UM_µ∗_,ν∗



Pr(|µ^∗〉|not |ν^∗1〉) =1-|〈µ∗|ν1〉|1+|〈ν∗|ν∗

output state |µ^∗〉〈µ^∗|



〉|

UM_ν∗

,ν^∗

(8)

² 

{

}



Pr(|ν^∗1〉|not |ν^∗2〉) = 1 - |〈ν^∗2|ν^∗1〉|, output state |ν^∗1〉〈ν^∗1|

 not |ν²〉 →

∗

→ UM_µ∗_,ν∗

〉|

Pr(|µ^∗〉|not |ν^∗2〉) =1-|〈µ∗|ν2

output state |µ^∗〉〈µ^∗|

1+|〈ν^∗2|ν^∗1〉|

Вероятность определенного исхода на первом шаге, с учетом (8), не более

Pr^(1)OK ≤ min {Pr(|µ^∗〉|not |ν^∗1〉), Pr(|ν^∗1〉|not |ν^∗2〉), Pr(|ν^∗2〉|not |ν^∗1〉)} .

(9)

Второй каскад измерений с определенным исходом (рис.2) выбирается в зависимости от исхода на первом

шаге. Выбирается одно из двух измерений, каждое из которых дается своим разложением единицы. При

исходе на первом шаге (not |ν^∗1〉) на втором каскаде выбирается измерение UM_µ∗_,ν∗ (рис. 2)

I = P^⊥µ∗ + P^⊥ν∗

+ P^?µ∗_,ν∗ ,

(10)

где

I - |µ^∗〉〈µ^∗|

I - |ν^∗2〉〈ν^∗2|

P^⊥µ∗ =

, P^⊥ν∗

, P^?µ∗_,ν∗

= I - P^⊥µ∗ - P^⊥ν∗,

(11)

1 + |〈µ^∗|ν^∗2〉|

{

not |µ^∗〉 → Pr(|ν^∗2〉|not |µ^∗〉) = 1 - |〈µ^∗|ν^∗2〉|, output state |ν^∗2〉〈ν^∗2|

UM_µ∗_,ν∗

(12)

not |ν^∗2〉 → Pr(|µ^∗〉|not |ν^∗2〉) = 1 - |〈µ^∗|ν^∗2〉|, output state |µ^∗〉〈µ^∗|

При исходе на первом шаге (not |ν^∗2〉) на втором каскаде выбирается измерение UM_µ∗,ν∗ (рис. 2)

I = P^⊥µ∗ + P^⊥ν∗

+ P^?µ∗_,ν∗ ,

(13)

где

I - |µ^∗〉〈µ^∗|

I - |ν^∗1〉〈ν^∗1|

P^⊥µ∗ =

P^⊥ν∗

(14)

P^?µ∗,ν∗1 = I - P^µ∗ -

ν∗1

1 + |〈µ^∗|ν^∗1〉|

{

not |µ^∗〉 → Pr(|ν^∗1〉|not |µ^∗〉) = 1 - |〈ν^∗1|µ^∗〉|, output state |ν^∗1〉〈ν^∗1|

UM_µ∗_,ν∗

(15)

not |ν^∗1〉 → Pr(|µ^∗〉|not |ν^∗1〉) = 1 - |〈ν^∗1|µ^∗〉|, output state |µ^∗〉〈µ^∗|

Вероятность определенного исхода на втором шаге, с учетом (10)-(15), не более

Pr^(2)OK ≤ min {Pr(|µ^∗〉|not |ν^∗1〉), Pr(|ν^∗1〉|not |µ^∗〉), Pr(|µ^∗〉|not |ν^∗2〉), Pr(|ν^∗2〉|not |µ^∗〉)} .

(16)

В итоге вероятность определенного исхода в двух

Считая отраженные состояния когерентными раз-

каскадах при измерении отраженных состояний от

личными фазами и средним числом фотонов ξ, ξ^′ ≪

модулятора интенсивности не более

≪ 1, для скалярных произведений в

(8),

(12),

(15) получаем 1-|〈ξ|ξ^′〉|² = 1-e-|ξ-ξ′|² ≤ |ξ -ξ^′|, где

Pr_OK (min) = Pr^(1)OK · Pr^(2)OK .

(17)

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

408

С. Н. Молотков

ξ, ξ^′ принимают значения µ^∗, ν^∗1, ν^∗2.²⁾ Учитывая есте-

Пусть T_µ, Tν1 , Tν2 - прозрачности канала, при кото-

ственную иерархию интенсивностей отраженных со-

рых выполнены равенства

стояний, т.е. считая, что µ^∗ > ν^∗1 > ν^∗2, для оценки

Pr_OK (min) · P_µ(k ≥ 3) = Q(µT_µ) ≈ 2µT,

(22)

получаем

Pr_OK (min) ≤ µ^∗ν^∗1(ν^∗2)².

(18)

Pr_OK (min) · Pν1(k ≥ 3) = Q(ν₁Tν1) ≈ 2ν₁T,

(23)

2.4. Финальная стадия атаки - перепосыл состо-

Pr_OK (min) · Pν2(k ≥ 3) = Q(ν₂Tν2) ≈ 2ν₂T.

(24)

яний на приемную станцию. В посылках, где полу-

чены определенные исходы над отраженными состо-

Фомулы дают вероятность совместного определенно-

яниями и информационными состояниями в кванто-

го исхода для различения состояния и с каким сред-

вом канале связи, Ева знает как информационный

ним числом фотонов произошла данная посылка и

бит, так и с каким средним числом фотонов было

вероятности определения передаваемого бита ключа.

состояние в данной посылке.

Неформально, это доля посылок со средним числом

Все посылки с совместным определенным исхо-

фотонов при разных ξ = µ, ν₁, ν₂, в которых Ева зна-

дом разбиваются на три множества. Одно множество

ет все про данные посылки.

посылок, где посылались состояния со средним чис-

Далее выберем минимальный коэффициент про-

лом фотонов µ, второе множество посылок с ν₁ и тре-

хождения из T_ξ в (22)-(24)

тье с ν₂. Во всех этих посылках Еве также известен

T_min = min_ξ∈{µ,ν

передаваемый бит ключа.

1,ν2}{Tξ^}=

{

}

Как Ева может использовать данную атаку,

= min_ξ∈{µ,ν

⁻¹ (Pr_OK(min) · P_ξ(k ≥ 3))

, (25)

1,ν2} ξ Q

чтобы не произвести ошибок на приемной стороне

и не изменить относительную статистику фото-

здесь Q^-1(...) - обратная функция к Q(...).

отсчетов в посылках с разным средним числом фо-

Пусть для определенности это будет ξ = ν₂, тогда

тонов?

Нужно напомнить следующий факт, если коге-

Pr_OK (min) · P_µ(k ≥ 3) ≥ Q(µT_min),

(26)

рентное состояние со средним числом фотонов ξ про-

Pr_OK (min) · Pν1 (k ≥ 3) ≥ Q(ν₁T_min),

ходит через канал связи с коэффициентом прохожде-

ния T , соответственно с потерями 1-T , то непосред-

Pr_OK (min) · Pν2 (k ≥ 3) = Q(ν₂T_min).

ственно на входе приемной стороны будут состояния

Неформально (26) определяет размеры множеств по-

∑

сылок с µ, ν₁ и ν₂, в которых Ева знает все - среднее

(2ξT )^k

ρ^x(ξ) → ρ^x(ξT) = e^-2ξT

|Φ^xk〉〈Φ^xk|,

(19)

число фотонов и передаваемый бит ключа.

k=0

Если ξ = µ, то в доле посылок

здесь T - коэффициент прохождения через канал

Q(µT_min)

связи (T = 10^-10 , L - длина линии связи, δ - коэф-

(27)

Pr_OK (min) · P_µ(k ≥ 3)

фициент удельных потерь). Соответственно, вероят-

ность компонент состояний с ненулевым числом фо-

с совместным определенным исходом Ева подает

тонов на входе станции Боба есть

непосредственно на вход станции Боба (см. рис.1),

состояния

∑

(2ξT )^k

|Φ^xk〉_BB 〈Φ^xk|

(28)

Q(ξT ) = e^-2ξT

=1-e^-2ξT.

(20)

k=1

с нужными вероятностями

Иначе говоря, формула (20) дает вероятность дости-

(2µT_min)^k

жения входа приемной стороны Боба каждой компо-

e-2µTmin

k ≥ 1.

(29)

нентой |Φ^xk〉〈Φ^xk| с числом фотонов k без искажений

после прохождения канала с потерями. Вероятность

А в доле посылок

достижения приемной стороны компоненты состоя-

Q(µT_min)

ния |Φ^xk〉〈Φ^xk| с k = 0, 1 . . . фотонами есть

(30)

Pr_OK (min) · P_µ(k ≥ 3)

(2ξT )

e^-2ξT

(21)

ничего не передает Бобу (см. рис. 1), даже если по-

лучен совместный определенный исход. Говоря дру-

²⁾Не путать обозначения когерентных состояний |ξ〉 со сред-

гими словами, часть посылок с совместным опреде-

ним значением числа фотонов ξ.

ленным исходом в (22) и (23) является избыточной.

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

О новой атаке на квантовое распределение ключей. . .

409

Размер множества посылок с совместным определен-

яний. Чем меньше интенсивность отраженных состо-

ным исходом для посылок с µ больше, чем требуется

яний, тем больше будут вносимые потери при такой

для удовлетворения неравенств (26).

атаке. Обеспечить низкую интенсивность отражен-

Аналогично Ева поступает для посылок с ν₁, где

ных зондирующих состояний можно использованием

получен совместный определенный исход. В посыл-

односторонних оптических изоляторов на выходе из

ках с ν₂ на вход приемной станции Ева доставляет

передающей станции. Коэффициент ослабления оп-

все посылки с совместным определенным исходом.

тических изоляторов будет определяться конкретной

В итоге, на входе станции Боба при любом ξ =

технической реализацией системы квантовой крип-

= µ, ν₁, ν₂ возникают состояния, которые даются

тографии.

матрицами плотности

3. Заключение. Системы квантовой криптогра-

фии были предложены для квантового распреде-

∑

(2ξT_min)^k

ρ^x(ξT_min) = e-2ξTmin

|Φ^xk〉_BB〈Φ^xk|,

ления ключей, секретность которых гарантируется

k=0

фундаментальными запретами квантовой механики

ξ = µ,ν₁,ν₂.

(31)

на различимость квантовых состояний. Более точ-

но, запрет на копирование неизвестного квантово-

Состояния на входе приемной станции выглядят

го состояния (no cloning теорема [37]) запрещает

так, как, если бы неискаженные состояния прошли

создать копию неизвестного квантового состояния

через канал с прозрачностью T_min. При этом отно-

с вероятностью единица, что является элегантной

сительная и внутренняя пуассоновская статисти-

переформулировкой фундаментальных соотношений

ка состояний по числу фотонов и сами фоковские

неопределенностей Гайзенберга-Робертсона [38, 39].

состояния остаются неискаженными, и все состо-

Применительно к квантовой криптографии, этот за-

яния выглядят как, если бы они прошли через один

прет означает, что подслушиватель не может сделать

и тот же идеальный канал с потерями 1 - T_min. В

копию информационного состояния (соответственно,

итоге на входе приемной станции Боб видит неис-

любое число копий, если можно было бы сделать

каженные состояния с неискаженной внутренней

хоть одну) для своих измерений при подслушива-

и относительной пуассоновской статистикой для

нии. Соотношения неопределенностей Гайзенберга-

состояний с разными ξ. Напомним, что Decoy State

Робертсона есть выражение математического фак-

метод не следит за потерями, поэтому такая ата-

та, что пара некоммутирующих наблюдаемых (эрми-

ка не детектируется Decoy State методом.

товых операторов) не может иметь общей системы

2.5. Некоторые численные оценки. Сделаем чис-

собственных векторов, поэтому любые вторжения в

ленные оценки потерь, к которым приводит данная

квантовый канал связи неизбежно будут приводить

атака. Наблюдаемые потери зависят от среднего чис-

к ошибкам на приемной стороне.

ла фотонов в отраженных зондирующих состояниях

Следующий фундаментальный факт состоит в

от модулятора интенсивности. Пусть среднее число

том, что квантовая теория позволяет получить верх-

фотонов в отраженных состояниях, когда состояние

нюю фундаментальную границу утечки информации

модулятора интенсивности отвечает посылкам ин-

к подслушивателю при данной наблюдаемой ошиб-

формационных состояний со средним числом фото-

ке на приемной стороне. Данную фундаментальную

нов µ равно µ^∗ = 0.1. Соответственно для информа-

границу позволяют получить энтропийные соотно-

ционных посылок с ν₁ и ν₂ есть ν^∗1 = 0.01, ν^∗2 = 0.01.

шения неопределенностей [11], которые также явля-

С учетом полученных выше формул (24), (27), для

ются следствием некоммутируемости наблюдаемых.

коэффициента прохождения T_Eve (коэффициент по-

Все сказанное касалось однофотонных состояний.

терь 1 - T_Eve) при такой атаке, получаем

В реальных системах, ввиду отсутствия на данный

момент строго однофотонного источника информа-

Pr_OK (min) · Pr_min(k ≥ 3) ≤ ν₂T_Eve,

ционных состояний, используются квазиоднофотон-

(32)

ные состояния лазерного излучения - сильно ослаб-

T_Eve ≤ µ^∗ν^∗1ν^∗2 ≈ 10^-5.

ленное когерентное состояние, которое является су-

Напомним, что при стандартных потерях в одно-

перпозицией состояний с разным фоковским числом

модовом волокне δ = 0.2 Дб/км, при длине линии

фотонов. Секретный ключ формируется только из

L = 100км, вероятность прохождения линии связи

однофотонной компоненты состояний, достигающей

составляет T₁₀₀ = 10^-

= 10^-2, что на три порядка

приемной стороны. Вся информация, содержащаяся

больше, чем при такой атаке и используемой для оце-

в многофотонных компонентах состояний, считается

нок интенсивности отраженных зондирующих состо-

известной подслушивателю (“отдается” подслушива-

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

410

С. Н. Молотков

телю). Decoy State метод [21-23] позволяет оценить

зации системы квантовой криптографии, которая

долю однофотонной компоненты, достигающей при-

определяет верхнюю границу интенсивности отра-

емной стороны.

женных зондирующих состояний. Знание данной

Таким образом, относительно атак на информа-

границы принципиально необходимо для обеспече-

ционные состояния в квантовом канале связи на се-

ния секретности ключей. Например, если систе-

годняшний день достигнуто глубокое понимание. Од-

ма должна гарантировать секретность ключей при

нако системы квантовой криптографии являются от-

длине линии 100 км (коэффициент прохождения T =

крытыми системами, в том смысле, что подслушива-

= 10^-2), а ее физическая реализация такова, что ин-

тель имеет в своем распоряжении, кроме квантово-

тенсивность отраженных состояний приводит к кри-

го канала, побочные каналы утечки информации, а

тическим потерям при описанной выше атаке, того

также может активно зондировать оптические ком-

же порядка (коэффициент прохождения линии того

поненты системы - фазовые модуляторы, модулято-

порядка T_Eve = 10^-2) или больше, то система будет

ры интенсивности, состояние которых несет на себе

неспособна гарантировать секретность распределяе-

информацию о передаваемом ключе. Измерение под-

мых ключей - подслушиватель не будет детектиро-

слушивателем зондирующих состояний не приводит

ваться.

к ошибкам на приемной стороне, поскольку не воз-

Детектирование атаки обеспечивается не сред-

мущает информационных состояний, и является до-

ствами протокола квантового распределения клю-

полнительным информационным “бонусом” для под-

чей, а физической реализацией системы, которая

слушивателя.

должна “приводить” к тому, что подслушиватель при

Без учета утечки информации по побочным ка-

данной атаке будет производить уровень потерь, за-

налам невозможно всерьез говорить о секретности

метно превышающий уровень потерь при длине ли-

ключей в квантовой криптографии.

нии, при которой должна работать система.

В данной работе предложена новая атака на си-

В заключение, во избежание недоразумений от-

стемы квантовой криптографии с использованием

метим. Не нужно думать, что учет побочных

совместной атаки на информационные квантовые со-

каналов утечки информации переводит системы

стояния (PNS атака) и атаки с измерениями с опреде-

квантовой криптографии из разряда криптогра-

ленным исходом (UM измерения) отраженных состо-

фических систем, где секретность ключей гаран-

яний от модулятора интенсивности в побочном кана-

тируется фундаментальными законами квантовой

ле. Данная атака не детектируется известными ме-

механики, в разряд систем, где секретность га-

тодами, поскольку не изменяет относительной ста-

рантируется техническими ограничениями. Даже

тистики фотоотсчетов в Decoy State методе, но при-

при наличии побочных каналов утечки информации

водит только к дополнительным потерям в кванто-

секретность ключей по-прежнему гарантируется

вом канале связи, которые Decoy State метод не ре-

фундаментальными ограничениями квантовой ме-

гистрирует. Более того, считалось до сегодняшнего

ханики на различимость состояний.

дня, что за потерями в линии связи следить не нуж-

Интенсивность (среднее число фотонов) в ин-

но, поскольку напрямую они не влияют на секрет-

формационных состояниях - квазиоднофотонных,

ность, если используется Decoy State метод.

в идеале однофотонных, выходящих из передающей

Приведенное выше рассмотрение показывает, что

станции, также достигается техническими сред-

учет утечки информации по побочным каналам тре-

ствами - ослаблением до нужного уровня исходно-

бует учета потерь в квантовом канале связи при по-

го сигнала. При заданном уровне сигналов их мак-

лучении оценок для длины секретного ключа. Наши

симально допустимая - наилучшая возможная раз-

оценки дают уровень потерь при известной макси-

личимость диктуется квантовой механикой. Точно

мальной интенсивности отраженных зондирующих

также и для состояний в побочных каналах. Верх-

состояний, при которых подслушиватель знает весь

няя граница интенсивности состояний в побочных

ключ и не производит ошибок на приемной стороне,

каналах достигается техническими средствами -

и не детектируется, если не следить за общими поте-

реализацией системы, которая дает верхний пре-

рями в линии. При уровне потерь меньше критиче-

дел различимости состояний, который также дик-

ского, подслушиватель неизбежно будет производить

туется фундаментальными запретами квантовой

либо ошибки, либо изменение относительной стати-

механики.

стики фотоотсчетов на приемной стороне.

Выражаю благодарность

И.М.Арбекову,

Еще раз подчеркнем, что критический уровень

К.А.Балыгину, С.П.Кулику, А.Н.Климову за

потерь зависит от конкретной физической реали-

интересные и многочисленные обсуждения, а также

Письма в ЖЭТФ том 112 вып. 5 - 6

2020

О новой атаке на квантовое распределение ключей. . .

411

коллегам по Академии криптографии Российской

13.

K. Tamaki, M. Curty, and M. Lucamarini, New J. Phys.

Федерации за обсуждения и поддержку.

18, 065008 (2016).

Работа выполнена при поддержке проекта

14.

W. Wang, K. Tamaki, and M. Curty, New J. Phys. 20,

Российского научного фонда # 16-12-00015 (продол-

083027 (2018).

жение).

15.

S. N. Molotkov, Laser Phys. Lett. 17, 015203 (2020).

16.

S. N. Molotkov, K.A. Balygin, A.N. Klimov, and

S. P. Kulik, Laser Phys. 29, 124001 (2019).

A.O. Bauer, Some aspects of military line

17.

S. N. Molotkov and K. A. Balygin, Laser Phys. 30,

communications as deployed by the German armed

065201 (2020).

forces prior to

1945. The History of Military

18.

С. Н. Молотков, ЖЭТФ 157, 963, (2020).

Communications, Proceedings of the Fifth Annual

19.

С. Н. Молотков, Письма в ЖЭТФ 111, 778 (2020).

Colloquium, Centre for the History of Defence

20.

С. Н. Молотков, Письма в ЖЭТФ 111, 608 (2020).

Electronics, Bournemouth University,

September

21.

W.-Y. Hwang, arXiv[quant-ph]: 0211153.

(1999).

22.

X.-B. Wang, Phys. Rev. Lett. 94, 230503 (2005).

Electromagnetic Pulse (EMP) and Tempest Protection

23.

H.-K. Lo, X. Ma, and K. Chen, Phys. Rev. Lett. 94,

for Facilities, Engineer Pamphlet EP

1110-3-2,

230504 (2005); X. Ma, B. Qi, Y. Zhao, and H.-K. Lo,

U.S. Army Corps of Engineers, Publications Depot,

arXiv[quant-ph]: 0503005.

Hyattsville, December 31 (1990).

24.

С. Н. Молотков, ЖЭТФ 153 895 (2018).

W. van Eck, Computers & Security 4, 269 (1985).

25.

S. N. Molotkov, Laser Phys. Lett. 16, 075203 (2019).

P. Kocher, J. Jaffe, and B. Jun, Differential Power

26.

A. Chefles, Phys. Lett. A 239, 339 (1998).

Analysis, in Advances in Cryptology - CRYPTO’99,

27.

I. D. Ivanovic, Phys. Lett. A 123, 257 (1987).

LNCS 1666, ed. by M. Wiener, Springer, 388 (1999).

28.

D. Dieks, Phys. Lett. A 126, 303 (1988).

P. Wright, Spycatcher - The Candid Autobiography

of a Senior Intelligence Officer, William Heinemann

29.

G. Jaeger and A. Shimony, Phys. Lett. A 197, 83 (1995).

Australia (1987).

30.

A. Peres and D. R. Terno, J. Phys. A 31, 7105 (1998).

P. Smulders, Computers & Security 9, 53 (1990).

31.

U. Herzog, Phys. Rev. A 75, 052309 (2007).

M. G. Kuhn, Technical Report, Cambridge University,

32.

T. Rudolph, R. W. Spekkens, and P. S. Turner, Phys.

UCAM-CL-TR-577, 577 (2003).

Rev. A 68, 010301 (2003).

C. H. Bennett and G. Brassard, in Proc. of IEEE Int.

33.

P. Raynal and N. Lütkenhaus, Phys. Rev. A 72, 022342

Conf. on Comp. Sys. and Sign. Process. (IEEE, 1984),

(2005).

p. 175.

34.

S. W. Allison, G. T. Gillies, D. W. Magnuson, and

R. Renner, Security of Quantum Key Distribution, PhD

T. S. Pagano, Appl. Opt. 24, 1 (1985).

thesis, ETH Zürich, (2005); arXiv:0512258.

35.

L. W. Tutt and T. F. Boggess, Progress in Quantum

10.

J. M. Renes and J.-C. Boileau, Phys. Rev. Lett. 103,

Electronics 17, 299 (1993).

020402 (2009).

36.

R. M. Wood, Laser-induced damage of optical materials,

11.

M. Tomamichel and R. Renner, Phys. Rev. Lett. 106,

Taylor & Francis (2003).

110506 (2011).

37.

W. K. Wooters and W. H. Zurek, Nature 299, 802

(1982).

12.

M. Lucamarini, I. Choi, M. B. Ward, J. F. Dynes,

Z. L. Yuan, and A. J. Shields, Phys. Rev. X 5, 031030

38.

W. Heisenberg, Z. Phys. 43, 172 (1927).

(2015); arXiv:1506.01989.

39.

H. P. Robertson, Phys. Rev. 34, 163 (1929).

Письма в ЖЭТФ том 112 вып. 5 - 6

2020