Квантовая криптография. Вскрытие на слух

В июле команда физиков из Гарвардского университета заявила о создании 51-кубитного квантового компьютера. Уже понятно, что он принесет не только новые возможности, но и новые опасности. Есть ли шанс защититься?

Фото: фото из архива пресс-службы Российского квантового центра

Кубиты — тип битов, которыми оперируют квантовые компьютеры, и до июля самым сложным был компьютер производства IBM на 17 кубитах. Пока ученые спорят о том, способен ли новый компьютер решать задачи, которые недоступны обычным компьютерам, стоит подумать, какие опасности он может представлять?

Одна из них — квантовый компьютер сможет расшифровать любые данные, которые закодированы с помощью сложных математических алгоритмов, и обычные методы криптографии здесь не помогут. Защиту способны обеспечить только устройства, основанные на принципах той же квантовой физики. В России вывод на рынок устройств квантовой криптографии готовят три команды — Российского квантового центра (РКЦ), Московского государственного университета и совместная группа Университета ИТМО и Казанского квантового центра. Команда РКЦ обещает сделать это первой — уже в 2018 году.

Квантовые ключи

Когда два года назад директор РКЦ Руслан Юнусов пообещал инвестору центра, Газпромбанку, первым в России выпустить на рынок коммерческий продукт в сфере квантовой защиты информации, в положительный исход с трудом верил даже лидер проекта физик Юрий Курочкин, посвятивший теме квантового шифрования без малого десять лет. Сейчас 30 физиков, инженеров и программистов посменно дорабатывают «квантовый криптограф», чтобы успеть запустить его в серию в следующему году.

Большинство современных систем защиты информации основано на крайней сложности применяемых в них математических алгоритмов. Один из самых популярных сегодня методов предполагает использование криптографии с открытым ключом. Ключ — секретная информация, с помощью которой зашифровано сообщение, передается по открытому, незащищенному каналу, отсюда и название. Создать ключ довольно просто, а вот взлом сообщения, которое с его помощью зашифровано, — очень сложная математическая задача, решить которую с существующими компьютерными мощностями практически невозможно, поскольку на это потребуется очень много времени, объясняет научный сотрудник РКЦ и один из руководителей проекта квантовой криптографии Алексей Федоров.


Ситуация может в одночасье измениться: в следующие пять—десять лет в мире может появиться квантовый компьютер, мощностей которого окажется достаточно для расшифровки сообщений, зашифрованных криптографией с открытым ключом, и против которого сегодняшние методы этой криптографии будут бесполезны. Решение проблемы нашлось там же, где и ее причина: на смену математической криптографии приходит квантовая, базирующаяся на физических законах.

Технологии квантовой криптографии точнее будет назвать технологиями квантового распределения ключа, и решают они как раз главную проблему классической криптографии — безопасного распределения ключей. «Вы можете выработать ключ, с помощью которого зашифруете сообщение так, что никто не сможет его прочесть. Но передать этот ключ получателю сообщения так, чтобы быть абсолютно уверенным, что он не был прочитан третьей, нежелательной стороной, вы не можете», — объясняет Федоров.

Квантовое распределение ключей решает эту проблему: ключ генерируется и передается с помощью фотонов, приведенных в определенное квантовое состояние. Перехватить передачу этих элементарных частиц, оставшись незамеченным, невозможно: это противоречит законам физики. Нельзя клонировать неизвестное квантовое состояние — это закон физики, сформулированный Уильямом Вуттерсом, Войцехом Зуреком и Деннисом Диэксом в 1982 году. «Если информация закодирована элементарными квантовыми состояниями, то попытка ее «подслушать» внесет в передаваемые данные ошибки, которые очень легко заметить и измерить. Если ошибок много, информацию могли пытаться узнать посторонние. Тогда ключ просто выкидывается и подбирается новый, и так пока не найдется вариант, при передаче которого не будет превышен допустимый уровень ошибок», — объясняет Вадим Макаров, эксперт по квантовой связи и руководитель лаборатории квантового взлома в Институте квантовых вычислений Университета Ватерлоо (Канада).

Для безопасного коннекта у обеих сторон соединения должно быть два устройства: лазер, источник фотонов, с одной стороны, и детектор, «считыватель» фотонов — с другой. Они соединены оптоволоконным кабелем, по которому передается ключ. Скопировать квантовый ключ нельзя. Таким образом, система дает абсолютную защиту пересылаемым данным. Но сейчас у квантовой коммуникации есть заметная слабость: передавать ключи с помощью фотонов можно только на расстояния 50-100 км. На более длинных дистанциях оптоволокно поглощает фотоны, что кратно снижает скорость передачи информации и делает систему непригодной для практического использования, рассказывает Макаров.
Чтобы создать защищенную линию, например между Москвой и Санкт-Петербургом, понадобится примерно десять раз воспроизвести систему «защищенные — источник-детектор одиночных фотонов», каждый раз устанавливая приемно-передающие станции с защищенным узлом, доступ к которым будет только у доверенных лиц. Пока не проложены магистральные «квантовые» каналы связи, использовать которые смогут одновременно многие пользователи, потребителями технологии, скорее всего, будут компании, которым необходима защищенная линия внутри одного города.

«Фотон как курица»

Проект РКЦ самый молодой: разработку коммерческого устройства ученые центра начали около двух лет назад, тогда как университетские команды работают над своими проектами уже по восемь—десять лет. «Под проект получили инвестиции от Газпромбанка и изначально начинали разработку с прицелом максимально быстрого выхода на рынок. Возможности работать в «университетском» формате и тратить на разработку многие годы у нас не было», — говорит Курочкин. В 2015 году Газпромбанк вложил в эту и другие разработки РКЦ 230 млн руб. Сократить срок разработки команде РКЦ помогло и то, что в проекте использовались разработанные предшественниками из других научных организаций инженерные решения, а также алгоритм генерации ключа, известные всем научным группам, ведущим исследования в этой области.


Фото: Артем Голощапов для РБК

Другое устройство, которое разрабатывает команда Университета ИТМО, проходит испытания в Петербурге, Казани и Самаре. Оно появится в ближайшие год-два, обещают в вузе. Разработчики придумали свой способ передачи фотонов, который, по словам участников команды проекта, поможет улучшить технические характеристики. Обычно в устройствах такого типа квантовый сигнал формируется непосредственно источником и передается сначала в одну сторону, затем отражается и идет обратно: это нужно для компенсации воздействия внешней среды на линию связи, говорит лидер проекта, физик Артур Глейм.

«Мы придумали другой способ: идея в том, чтобы поместить квантовый сигнал на боковой частоте сильного классического оптического сигнала, отправлять сильный импульс, а рядом с ним с отстройкой по частоте квантовый сигнал. Кодирование происходит относительно центральной (опорной) частоты. Благодаря этому ему не нужно проходить путь дважды, увеличиваются скорость и расстояние», — объясняет Глейм.

Все три проекта российских институтов примерно равнозначны по своим характеристикам, очевидного лидера среди них нет, считает Вадим Макаров. «Фотон как курица. Каждый «ресторан» готовит его по-своему, но отличие только в этом, а принцип работы остается одним и тем же». На мировом рынке уже есть работающие устройства для квантовой криптографии. Швейцарская ID Quantique сделала первую коммерческую систему больше десяти лет назад. Выпускают такие устройства компании из Японии (Toshiba), Великобритании (QinetiQ), Австрии (Austrian Institute of Technology) и Китая — правда, купить на открытом рынке можно только швейцарские и австрийские устройства.

Конкурировать с зарубежными производителями, по мнению Макарова, российским компаниям будет довольно сложно: все они уже не первый год рынке, новичкам же только предстоит пройти этот путь. Но информационная безопасность — очень болезненная тема, и по крайней мере один рынок, российский, останется полностью в распоряжении местных производителей, говорит ученый. «У российских устройств есть и экспортный потенциал: в конце концов, для России экспорт оружия — одна из существенных статей дохода, не вижу причин, почему не найдутся покупатели и на устройства квантового шифрования», — добавляет Макаров.

Спрос и предложение

Комплект устройства квантовой криптографии от швейцарской ID Quantique обойдется в $200 тыс. Устройство от РКЦ должно стоить меньше — около $150 тыс., говорят в РКЦ. Выводить на рынок разработку, представляющую черную коробку размером примерно с системный блок компьютера, будет отдельный стартап РКЦ — компания QRate.

Основными покупателями новых систем, считает Макаров, станут правительство, банки и крупный бизнес — те структуры, у которых бюджеты на информационную безопасность достаточно велики, чтобы дополнительные траты не внесли в них радикальных изменений. В РКЦ ориентируются прежде всего на банки. Кроме Газпромбанка команда лаборатории договорилась о сотрудничестве в сфере квантовых технологий с ВЭБом. Когда угроза современным методам шифрования станет вполне реальной, квантовая связь должна уже быть налажена, заявил журналу РБК старший вице-президент банка Глеб Юн. Всего ВЭБу могут потребоваться десятки таких устройств, на внедрение которых может понадобиться несколько лет, говорит он. Газпромбанк не ответил на вопросы журнала РБК.

$1 млрд — приблизительно такой объем у рынка квантовой криптографии на сегодняшний день

50-100 км — примерно на таком расстоянии сегодня могут работать устройства квантовой криптографии

$200 тыс. — ориентировочная стоимость комплекта устройств квантовой криптографии от швейцарской компании ID Quantique, лидирующей на рынке квантовой связи

Квантовые компьютеры и связанные с ними технологии в последнее время становятся все актуальнее. Исследования в этой области не прекращаются вот уже десятилетия, и ряд революционных достижений налицо. Квантовая криптография - одно из них.
Владимир Красавин «Квантовая криптография»

Данная статья является прологом к циклу статей и переводов по теме Квантовая криптография.

Действительно в последнее время все чаще мы слышим такие понятия как «Квантовый компьютер», «Квантовые вычисления» и конечно же «Квантовая криптография».

И если с первыми двумя понятиями в принципе всё понятно, то «Квантовая криптография» - понятие, которое хоть и имеет точную формулировку, до сих пор остается для большинства людей темным и не совсем понятным этакий Ёжик в тумане.

Но прежде чем непосредственно перейти к разбору данной темы введем базовые понятия:

Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Квантовая физика – раздел теоретической физики, в котором изучаются квантово-механические и квантово-полевые системы и законы их движения. Основные законы квантовой физики изучаются в рамках квантовой механики и квантовой теории поля и применяются в других разделах физики.

Квантовая криптография – метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики.

Ортогональность – понятие, являющееся обобщением перпендикулярности для линейных пространств с введённым скалярным произведением.

Quantum Bit Error Rate (QBER) – уровень квантовых ошибок.


Квантовая криптография – направление молодое, но медленно развивающиеся в силу своей необычности и сложности. С формальной точки зрения это не есть криптография в полном понимании этого слова, так как базируется она не столько на математических моделях, сколько на физики квантовых частиц.

Главной её особенностью, а заодно и особенностью любой квантовой системы является невозможность вскрытия состояние системы на протяжении времени, так при первом же измерении система меняет свое состояние на одно из возможных неортогональных значений. Помимо всего прочего существует «Теорема о запрете клонирования» сформулированная в 1982 году Вуттерсом, Зуреком и Диэксом, которая говорит о невозможности создания идеальной копии произвольного неизвестного квантового состояния, хотя и существует лазейка, а именно - создание неточной копии. Для этого нужно привести исходную систему во взаимодействие с большей вспомогательной системой и провести унитарное преобразование общей системы, в результате которого несколько компонентов большей системы станут приблизительными копиями исходной.

Основы передачи данных

Дабы не приводить сложных и не всем понятных схем, прибегну к помеси физики и геометрии.

В качестве носителей информации, чаще всего, используются одиночные или парные связанные фотоны. Значения 0/1 кодируются различными направлениями поляризации фотонов. При передаче используются случайно выбранный 1 из двух или трех неортогональных базисов. Соответственно правильно обработать входной сигнал возможно только если получатель смог подобрать правильный базис, в противном случае исход измерения считается неопределенным.

Если же хакер попытается получить доступ к квантовому каналу, по которому происходит передача, то он, как и получатель будет ошибаться в выборе базиса. Что приведет к искажению данных, которое будет обнаружено обменивающимися сторонами при проверке, по некому выработанному тексту, о котором они договорились заранее, например, при личной встрече или по зашифрованному, методами классической криптографии, каналу.

Ожидание и Реальность

При использовании идеальной системы перехват данных невозможен, так как моментально обнаруживается участниками обмена. Однако при обращении к реальным системам все становится намного прозаичней.

Появляются две особенности:

  • Существует возможность неправильно переданных битов, в силу того, что процесс носит вероятностный характер.
  • Так как главная особенность системы – это использование импульсов с низкой энергией, это сильно снижает скорость передачи данных.
Теперь немного подробней о данных особенностях.

Неправильные, или точнее говоря искаженные биты могут возникать по двум основным причинам. Первая причина это я, несовершенность оборудования используемого при передаче данных, вторая причина - это вмешательство криптоаналитика или хакера.
Решение первой причины очевидно Quantum Bit Error Rate.

Quantum Bit Error Rate представляет собой уровень квантовых ошибок, который вычисляется по довольно замысловатой формуле:

QBER= «p_f+(p_d*n*q*∑(f_r* t_l) /2)*μ»

Где:

p_f: вероятность неправильного «щелчка» (1-2%)
p_d: вероятность неправильного сигнала фотона:
n: количество обнаружений
q: фаза= 1/2; поляризация = 1
Σ: detector efficiency
f_r: частота повторения
p_l: скорость передачи данных (чем больше расстояние, тем меньше)
µ: затухание для световых импульсов.


Говоря о второй особенности стоит упомянуть, что во всех системах присутствует затухание сигнала. И, если в используемых ныне способах передачи данных эта проблема решается за счет различных способов усиления. То в случае с квантовым каналом на данный момент максимальна достигнутая скорость 75 Кбит/с, но уровень потерянных фотонов почти достиг 50%. Хотя справедливость ради скажу, что по известным данным минимальные потери при передаче составляют 0,5% на скорости всего лишь 5 кбит/с.

Таким образом можно сделать следующие выводы:

  1. Хоть в идеале защищенный методами Квантовой криптографии канал взломать практически невозможно, по крайней мере известными на данный момент способами, на практике следуя правилу, что стойкость системы определяется стойкостью самого слабого её звена, мы убеждаемся в обратном;
  2. Квантовая криптография развивается, причем довольно-таки быстро, но к сожалению практика не всегда поспевает за теорией. И как следствие вытекает третий вывод;
  3. Созданные на данный момент системы использующие такие протоколы как BB84, B92 подвержены атакам, и по своей сути не обеспечивают достаточной стойкости.
Конечно Вы скажете:

Но как же так есть ведь протоколы E91 и Lo05. И он принципиально отличается от BB84, B92.
- Да, и все же есть одно, НО…

Но об этом в следующей статье.

Стивен Визнер (Stephen Wiesner), являясь студентом Колумбийского университета, в 1970 подал статью по теории кодирования в журнал IEEE Information Theory, но она не была опубликована, так как изложенные в ней предположения казались фантастическими, а не научными. Именно в была описана идея возможности использования квантовых состояний для защиты денежных банкнот. Визнер предложил в каждую банкноту вмонтировать 20 так называемых световых ловушек, и помещать в каждую из них по одному фотону, поляризованному в строго определенном состоянии. Каждая банкнота маркировалась специальным серийным номером, который заключал информацию о положении поляризационного фотонного фильтра. В результате этого при применении отличного от заданного фильтра комбинация поляризованных фотонов стиралась. Но на тот момент технологическое развитие не позволяло даже рассуждать о таких возможностях. Однако в 1983 году его работа «Сопряженное кодирование» была опубликована в SIGACT News и получила высокую оценку в научных кругах.

В последствии на основе принципов работы Визнера С. ученые Чарльз Беннет (Charles Bennett) из фирмы IBM и Жиль Брассард (Gilles Brassard) из Монреальского университета разработали способ кодирования и передачи сообщений. Ими был сделан доклад на тему «Квантовая криптография: Распределение ключа и подбрасывание монет» на конференции IEEE International Conference on Computers, Systems, and Signal Processing. Описанный в работе протокол впоследствии признан первым и базовым протоколом квантовой криптографии и был назван в честь его создателей BB84. Для кодирования информации протокол использует четыре квантовых состояния микросистемы, формируя два сопряж?нных базиса.

В это время Артур Экерт работал над протоколом квантовой криптографии, основанном на спутанных состояниях . Опубликование результатов его работ состоялось в 1991 году. В основу положены принципы парадокса Эйнштейна- Подольсого-Розенберга, в частности принцип нелокальности спутанных квантовых объектов.

На протяжении двадцати пяти лет, квантовая криптография прошла путь от теоретических исследований и доказательства основных теорий до коммерческих систем, использующих оптическое волокно для передачи на расстояние десятков километров.

В первой экспериментальной демонстрации установки квантового распределения ключей проведенной в 1989 в лабораторных условиях , передача осуществлялась через открытое пространство на расстояние тридцати сантиметров. Далее эти эксперименты были проведены с использованием оптического волокна в качестве среды распространения. После первых экспериментов Мюллера и др. в Женеве, с использованием оптоволокна длиной 1,1 км , в 1995 расстояние передачи было увеличено до 23 км через оптическое волокно, проложенное под водой . Приблизительно в то же время, Таунсендом из British Telecom была продемонстрирована передача на 30 км . Позднее он, продолжив тестирование систем с использованием различных конфигураций оптических сетей , увеличил дальность до 50 км . Эксперименты по передаче на это же расстояние были позднее повторены Хьюзом и др. в Лос-Аламосе . В 2001г., Хискетом и др. в Соединенном Королевстве была осуществлена передача на расстояние 80 км . В 2004-2005гг., две группы в Японии и одна в Соединенном Королевстве сообщили об осуществлении экспериментов по квантовому распределению ключей и интерференции одиночных фотонов на расстояние свыше 100 км . Первые эксперименты по передаче на расстояние 122 км проводились учеными из Toshiba в Кембридже с использованием детекторов на основе лавинных фотодиодов (ЛФД) . Рекорд по дальности передачи информации принадлежит объединению ученых Лос-Аламоса и Национального института стандартов и технологий, и составляет 184 км . В нем использовались однофотонные приемники охлаждаемые до температур близких к нулевым по Кельвину.

Первая презентация коммерческой системы квантовой криптографии произошла на выставке CeBIT-2002. Там, швейцарские инженеры компании GAP-Optique (www.gap-optique.unige.ch) из Женевского университета представили первую систему квантового распределения ключей (QKD - Quantum Key Distribution). Ученым удалось создать достаточно компактное и надежное устройство. Система располагалась в двух 19-дюймовых блоках и могла работать без настройки сразу после подключения к персональному компьютеру. С его помощью была установлена двухсторонняя наземная и воздушная волоконно-оптическая связь между городами Женева и Лузанна, расстояние между которыми составляет 67 км . Источником фотонов служил инфракрасный лазер с длиной волны 1550 нм. Скорость передачи данных была невысока, но для передачи ключа шифра (длина от 27,9 до 117,6 кбит) большая скорость и не требуется.

В последующие годы к проектированию и изготовлению систем квантовой криптографии подключились такие коммерческие монстры как Toshiba, NEC, IBM, Hewlett Packard, Mitsubishi, NTT. Но наряду с ними стали появляться на рынке и маленькие, но высокотехнологичные компании: MagiQ (www.magiqtech.com), Id Quantique (www.idquantique.com), Smart Quantum (www.smartquantum.com). В июле 2005 в гонке за увеличение расстояния передачи ключа вперед вышли инженеры Toshiba, представив на рынке систему, способную передать ключ на 122 км. Однако, как и у конкурентов, скорость генерации ключа в 1,9 кбит/с оставляла желать лучшего. Производители в настоящие время стремятся к разработке интегрированных систем - новинкой от Id Quantique, является система Vectis, использующая квантовое распределение ключей для создания VPN туннелей, шифрующая данные на канальном уровне с помощью шифра AES. Ключ может быть 128, 196 или 256-битной длины и меняется с частотой до 100 Гц. Максимальная дистанция для данной системы составляет 100 км. Все вышеперечисленные компании производят системы кодирующие информацию о битах ключа в фазовых состояниях фотонов. Со времен первых реализаций, схемы построения систем квантового распределения ключей значительно усложнились.

Британские физики из коммерческого подразделения QinetiQ Британской оборонной исследовательской лаборатории и немецкие физики из Мюнхенского университета Людвига-Максимиллиана впервые осуществили передачу ключа на расстояние 23,4 км непосредственно через воздушное пространство без использования оптического волокна . В эксперименте для кодирования криптографической информации использовались поляризации фотонов - одна для передачи двоичного символа «0» и противоположная для символа «1». Эксперимент проводился в горах Южной Германии. Слабый импульсный сигнал посылался ночью с одной горной вершины (2 950 м) на другую (2 244 м), где находился счетчик фотонов.

Руководитель проекта Джон Рэрити (John Rarity) из QinetiQ полагал , что уже в 2005 году будет проведен эксперимент с посылкой криптографического ключа на низкоорбитальный спутник, а к 2009 году с их помощью можно будет посылать секретные данные в любую точку планеты. Отмечалось, что для этого придется преодолеть ряд технических препятствий.

Во-первых, необходимо улучшить устойчивость системы к неизбежной потере фотонов при их посылке на расстояния в тысячикилометров.

Во-вторых, существующие спутники не оснащены соответствующим оборудованием для пересылки криптографических данных по квантовому протоколу, так что потребуется конструирование и запуск совершенно новых спутников .

Исследователи из Северо-западного университета (Эванстон, штат Иллинойс) продемонстрировали технологию, позволяющую передавать на небольшое расстояние шифрованное сообщение со скоростью 250 Мбит/с . Ученые предложили метод квантового кодирования самих данных, а не только одного ключа. В этой модели учитывается угол поляризации каждого переданного фотона, Поэтому любая попытка декодировать сообщение приводит к такой зашумленности канала, что всякая расшифровка становится невозможной. Исследователи обещают, что уже модель следующего поколения сможет работать практически на магистральной скорости Интернета порядка 2,5 Гбит/с. По словам одного из разработчиков, профессора Према Кумара (Prem Kumar), "еще никому не удавалось выполнять квантовое шифрование на таких скоростях". Ученые уже получили несколько патентов на свои разработки и сейчас работают вместе со своими промышленными партнерами Telcordia Technologies и BBN Technologies над дальнейшим усовершенствованием системы. Первоначально рассчитанный на пять лет проект был поддержан грантом DARPA (the Defense Advanced Research Projects Agency) в 4,7 миллиона долларов. Результатом данного проекта стала система квантового кодирования AlphaEta .

Группа Ричарда Хьюгса (Richard Hughes) из Лос-Аламоса занимается разработками спутниковых оптических линий связи (ОЛС). Для реализации преимуществ квантовой криптографии фотоны должны проходить через атмосферу без поглощения и изменения поляризации. Для предотвращения поглощения исследователи выбирают длину волны в 770 нм, соответствующую минимальному поглощению излучения молекулами атмосферы. Сигнал с большей длиной волны также слабо поглощается, но более подвержен турбулентности, которая вызывает изменение локального показателя преломления воздушной среды и, ввиду этого, изменение поляризации фотонов. Ученым приходится решать и побочные задачи. Спутник, наряду с фотонами, несущими сообщение, может принять и фотоны фонового излучения, исходящего как от Солнца, так и отраженного Землей или Луной. Поэтому применяются сверхузконаправленный приемник, а также фильтр для отбора фотонов определенной длины волны. Кроме того, фотоприемник чувствителен к приему фотонов в течение 5 нс периодически с интервалом в 1 мкс. Это должно быть согласовано с параметрами передатчика. Такие ухищрения вновь обуславливают влияние турбулентности. Даже при сохранении поляризации, вследствие турбулентности может измениться скорость передачи фотонов, приводя к фазовому дрожанию. С целью компенсации фазового дрожания впереди каждого фотона высылается световой импульс. Этот синхронизирующий импульс, подвергается такому же, как следующий за ним фотон, влиянию атмосферы. Поэтому независимо от момента получения импульса приемник спутника знает, что через 100 нс нужно открыться для приема информационного фотона. Изменение показателя преломления вследствие турбулентности вызывает уход луча от антенны. Поэтому для направления потока фотонов передающая система отслеживает слабое отражение от синхроимпульсов. Группой Хьюгса осуществлена передача сообщения по квантовому криптографическому каналу через воздушную среду на расстояние в 500 м на телескоп диаметром 3.5 дюйма . Принимаемый фотон попадал на распределитель, который направлял его на тот или иной фильтр. После этого ключ контролировался на наличие ошибок. Реально, даже при отсутствии перехвата, уровень ошибок достигал 1,6% из-за наличия шума, фоновых фотонов и рассогласования. Это несущественно, поскольку при перехвате уровень ошибок обычно более 25%.

Позднее группой Хьюгса было передано сообщения по квантовому каналу через воздушную среду на расстояние 2 км . При испытаниях сигналы передавались горизонтально, вблизи поверхности Земли, где плотность воздуха и флуктуации интенсивности максимальны. Поэтому расстояние в 2 км вблизи поверхности Земли эквивалентны 300 км, отделяющим низкоорбитальный искусственный спутник от Земли.

Таким образом, менее чем за 50 лет квантовая криптография прошла путь от идеи до воплощения в коммерческую систему квантового распределения ключей. Действующая аппаратура позволяет распределять ключи через квантовый канал на расстояние превышающие 100 км (рекорд 184 км), со скоростями достаточными для передачи ключей шифрования, но не достаточными для поточного шифрования магистральных каналов с помощью шифра Вернама. Основными потребителями систем квантовой криптографии в первую очередь выступают министерства обороны, министерства иностранных дел и крупные коммерческие объединения. На настоящий момент высокая стоимость квантовых систем распределения ключей ограничивает их массовое применение для организации конфиденциальной связи между небольшими и средними фирмами и частными лицами.

Технология квантового распределения криптографических ключей решает одну из основных задач криптографии - гарантированное на уровне фундаментальных законов природы распределение ключей между удаленными пользователями по открытым каналам связи. Криптографический ключ - это числовая последовательность определенной длины, созданная для шифрования информации. Квантовая криптография позволяет обеспечить постоянную и автоматическую смену ключей при передаче каждого сообщения в режиме одноразового «шифроблокнота»: на сегодняшний день это единственный вид шифрования со строго доказанной криптографической стойкостью.

История

Идея использовать квантовые объекты для защиты информации от подделки и несанкционированного доступа впервые была высказана Стефаном Вейснером в 1970 г. Спустя 10 лет ученые Беннет и Брассард, которые были знакомы с работой Вейснера, предложили использовать квантовые объекты для передачи секретного ключа. В 1984 г. они опубликовали статью, в которой описывался протокол квантового распространения ключа ВВ84.

Носителями информации в протоколе ВВ84 являются фотоны, поляризованные под углами 0, 45, 90, 135 градусов.

Позднее идея была развита Экертом в 1991 году. В основе метода квантовой криптографии лежит наблюдение квантовых состояний фотонов. Отправитель задает эти состояния, а получатель их регистрирует. Здесь используется квантовый принцип неопределенности Гейзенберга, когда две квантовые величины не могут быть измерены одновременно с требуемой точностью. Таким образом, если отправитель и получатель не договорились между собой, какой вид поляризации квантов брать за основу, получатель может разрушить посланный отправителем сигнал, не получив никакой полезной информации. Эти особенности поведения квантовых объектов легли в основу протокола квантового распространения ключа.

Алгоритм Беннета

В 1991 году Беннет для регистрации изменений в переданных с помощью квантовых преобразований данных использовать следующий алгоритм:

  • Отправитель и получатель договариваются о произвольной перестановке битов в строках, чтобы сделать положения ошибок случайными.
  • Строки делятся на блоки размера k (k выбирается так, чтобы вероятность ошибки в блоке была мала).
  • Для каждого блока отправитель и получатель вычисляют и открыто оповещают друг друга о полученных результатах. Последний бит каждого блока удаляется.
  • Для каждого блока, где четность оказалась разной, получатель и отправитель производят итерационный поиск и исправление неверных битов.
  • Чтобы исключить кратные ошибки, которые могут быть не замечены, операции предыдущих пунктов повторяются для большего значения k.
  • Для того чтобы определить, остались или нет необнаруженные ошибки, получатель и отправитель повторяют псевдослучайные проверки, а именно: получатель и отправитель открыто объявляют о случайном перемешивании позиций половины бит в их строках; получатель и отправитель открыто сравнивают четности (если строки отличаются, четности должны не совпадать с вероятностью 1/2); если имеет место отличие, получатель и отправитель, использует двоичный поиск и удаление неверных битов.
  • Если отличий нет, после m итераций получатель и отправитель получают идентичные строки с вероятностью ошибки 2-m.

Реализация идеи квантовой криптографии

Схема практической реализации квантовой криптографии показана на рисунке. Передающая сторона находится слева, а принимающая - справа. Ячейки Покеля необходимы для импульсной вариации поляризации потока квантов передатчиком и для анализа импульсов поляризации приемником. Передатчик может формировать одно из четырех состояний поляризации. Передаваемые данные поступают в виде управляющих сигналов на эти ячейки. В качестве канала передачи данных может быть использовано оптоволокно. В качестве первичного источника света можно использовать и лазер.

На принимающей стороне после ячейки Покеля установлена кальцитовая призма, которая расщепляет пучок на два фотодетектора (ФЭУ), измеряющие две ортогональные составляющие поляризации. При формировании передаваемых импульсов квантов возникает проблема их интенсивности, которую необходимо решать. Если квантов в импульсе 1000, есть вероятность, что 100 квантов по пути будет отведено злоумышленником на свой приемник. В последующем, анализируя открытые переговоры между передающей и принимающей стороной, он может получить нужную ему информацию. Поэтому в идеале число квантов в импульсе должно быть около одного. В этом случае любая попытка отвода части квантов злоумышленником приведет к существенному изменению всей системы в целом и, как следствие, росту числа ошибок у принимающей стороны. В подобной ситуации принятые данные должны быть отброшены, а попытка передачи повторена. Но, делая канал более устойчивым к перехвату, специалисты сталкиваются с проблемой "темнового" шума (получение сигнала, который не был отправлен передающей стороной, принимающей стороной) приемника, чувствительность которого повышена до максимума. Для того, чтобы обеспечить надежную передачу данных, логическому нулю и единице могут соответствовать определенные последовательности состояний, допускающие коррекцию одинарных и даже кратных ошибок.

Дальнейшего повышения отказоустойчивости квантовой криптосистемы можно достичь, используя эффект EPR, который возникает, когда сферически симметричный атом излучает два фотона в противоположных направлениях в сторону двух наблюдателей. Фотоны излучаются с неопределенной поляризацией, но в силу симметрии их поляризации всегда противоположны. Важной особенностью этого эффекта является то, что поляризация фотонов становится известной только после измерения. Экерт предложил криптосхему на основе эффекта EPR, которая гарантирует безопасность пересылки и хранения ключа. Отправитель генерирует некоторое количество EPR фотонных пар. Один фотон из каждой пары он оставляет для себя, второй посылает своему партнеру. При этом, если эффективность регистрации близка к единице, при получении отправителем значения поляризации 1, его партнер зарегистрирует значение 0 и наоборот. Таким образом партнеры всякий раз, когда требуется, могут получить идентичные псевдослучайные кодовые последовательности. Практически реализация данной схемы проблематична из-за низкой эффективности регистрации и измерения поляризации одиночного фотона.

Экспериментальные реализации

2019: Испытания системы для квантовой защиты передачи данных на ВОЛС «Ростелекома»

2017

В России представлен квантовый телефон ViPNet
Технологию квантового 4D-кодирования впервые испытали в городских условиях

Как стало известно 30 августа 2017 года, исследователи из университета Оттавы успешно провели первые реальные испытания технологии квантового 4D-кодирования, передав зашифрованные сообщения между двумя станциями, расположенными на крышах высотных зданий, расстояние между которыми составляло 300 метров.

Технология

Традиционные технологии квантовых коммуникаций, уже используемые в некоторых местах для создания "невзламываемых" квантовых сетей, используют стандартную двоичную систему счисления, кодируя в одном фотоне один бит передаваемой информации. Некоторое время назад была изобретена технология так называемого многомерного квантового кодирования, которая позволяет удвоить объем информации, заключенной в одном фотоне света. Это, в свою очередь, позволяет каждому фотону нести одно из четырех значений - 00, 01, 10 и 11, вследствие чего технология получила название квантового 4D-кодирования. Помимо того, технологию отличает более высокий уровень защищенности от попыток преднамеренного вмешательства и большая устойчивость к влиянию посторонних факторов окружающей среды.

Эксперимент

Тест проводился на дистанции в 300 метров. В ходе эксперимента осуществлялась передача информации между двумя базовыми станциями, установленными на крышах зданий, которые предварительно были помещены внутрь деревянных коробок, защищающих их от непогоды. В таких условиях уровень ошибок при передаче данных составил 11%, что гораздо ниже уровня, требующегося для организации безопасного квантового коммуникационного канала. С учетом повторов и избыточной информации для коррекции ошибок, система смогла передать в 1,6 раза больше информации, чем система с обычным двухмерным квантовым кодированием, работающая в идеальных условиях.

Наш эксперимент стал первой в мире передачей данных, проведенной при помощи технологии многомерного квантового кодирования в реальных городских условиях, включая непогоду, - рассказал Эбрахим Карими (Ebrahim Karimi), ведущий исследователь. - Продемонстрированная нами безопасная квантовая коммуникационная система, работающая на открытом воздухе, способна обеспечить связь со спутниками на орбите и местами на поверхности Земли, куда нецелесообразно прокладывать оптическое волокно. Кроме этого, такая система может служить для организации безопасной связи с движущимися объектами, такими как самолеты и суда.

Планы

Ученые планируют провести испытания системы квантового 4D-кодирования на дистанции в 3 километра, после чего рассчитывают увеличить дистанцию до 5,6 километров с использованием промежуточных станций и системы адаптивной оптики, предназначенной для компенсации искажений, вносимых атмосферой. В более долгосрочной перспективе исследователи планируют добавить большее количество "измерений кодирования", что, в свою очередь, позволит еще больше увеличить объем информации, упакованной в один фотон.

С точки зрения технологий квантовых коммуникаций окружающий мир является весьма "шумным" местом, заполненным препятствиями, движущимся воздухом и пронизанным электромагнитными сигналами. Как результат, передача сигнала в "шумной" городской среде на расстояние в 3 километра эквивалентна передаче такого же сигнала на спутник с базовой станции, расположенной в тихом изолированном месте, подчеркнули исследователи.

Создание защищенной сети в Китае

В июле 2017 года стало известно о том, что Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии. Проект уже запущен в городе Цзинань. Как утверждает местная пресса, это исторический момент. Ранее "квантовый" канал связи был организован между двумя крупнейшими городами Китая.

К 25 июля 2017 года в цзинаньской сети насчитывается 200 абонентов - представители военных, правительственных организаций, а также финансового и энергетического сектора. Они смогут общаться, не опасаясь прослушки.

Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики - при помощи электронов в электрическом токе, или, как в случае с проектом в Цзинане, фотонов в линиях волоконно-оптической связи.

Китай строит "невзламываемую" коммуникационную сеть, в основе которой будет лежать принцип квантовой криптографии

Ключевой особенностью такой системы является то, что любую атаку, любые попытки подслушивать будут немедленно обнаружены.

Технология квантовой криптографии опирается на принципиальную неопределенность поведения квантовой системы. Принцип неопределенности Гейзенберга гласит: невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Иными словами, попытка измерения взаимосвязанных параметров в квантовой системе вносит в нее нарушения, разрушая исходные сигналы, - это означает возможность немедленного выявления перехватчика в канале связи.

Традиционная (математическая) криптография предусматривает, что попытки взломать ключи шифрования - это очень сложная математическая проблема; для ее решения требуются обширные вычислительные ресурсы.

Однако, чем дальше, тем мощнее становятся компьютеры, и тем длиннее должны становиться ключи шифрования. Вдобавок на подходе квантовые компьютеры, чья вычислительная мощность будет находиться на принципиально более высоком уровне, нежели у современной техники. Традиционная криптография может оказаться слишком слабой перед ними.

Перехват ключей в квантовой криптографии в принципе возможен, но, по вышеописанным причинам, злоумышленник не сможет не выдать себя.

Что характерно, Китай оказался впереди планеты всей в вопросе квантовой криптографии. Создание инфраструктуры для ее практической реализации - дело крайне затратное, и ни европейский, ни американский бизнес не спешили вкладываться в нее.


По его словам, он еще в 2004 году призывал ЕС активнее вкладываться в "квантовые" проекты, но безрезультатно.

Высокоскоростной квантовый шифратор МГУ

На базе технологии, созданной в рамках проекта Фонда перспективных исследований , будет создан высокопроизводительный шифратор с квантовым каналом распределения криптографических ключей для быстрой и абсолютно безопасной передачи информации по оптоволоконным линиям связи.

Грант Минобрнауки России

Как ожидается, 631-килограммовый спутник «Мо-цзы» (Micius), названный в честь китайского философа-легиста, будет находиться на орбите на расстоянии 500 км от земной поверхности в течение не менее двух лет.

По информации агентства «Синьхуа», установлена устойчивая связь для передачи данных между завершившим тесты спутником «Мо-цзы» и экспериментальной платформой для квантовой телепортации на станции Али в Тибете.

Несмотря на «фантастическое» название платформы для квантовой телепортации, она не имеет отношение к телепортации, описываемой в беллетристике.

На оборудовании «Мо-цзы» реализуется канал связи на основе пар так называемых запутанных фотонов - субатомных частиц, свойства которых зависят друг от друга. Ученые рассчитывают передавать один из фотонов со спутника в исследовательские центры в Китае и Австрии.

2016: Т8 и РКЦ создадут систему защищенной квантовой связи

2015

Acronis внедряет квантовое шифрование

30 сентября 2015 года компания Acronis сообщила о планах внедрить технологии квантового шифрования в свои продукты для защиты данных. Поможет ей в этом швейцарская ID Quantique, инвестором которой является созданный Сергеем Белоусовым фонд QWave Capital .

Компания Acronis займется разработкой технологий квантовой криптографии. Вендор планирует оснастить ими свои продукты и считает, что это обеспечит более высокий уровень безопасности и конфиденциальности. Acronis рассчитывает стать первой на рынке компанией, внедрившей подобные методы защиты.

Партнером Acronis по разработке квантовой криптографии станет швейцарская компания ID Quantique, с которой вендор заключил соглашение. ID Quantique - компания, связанная с генеральным директором Acronis Сергеем Белоусовым - он основатель фонда QWave Capital , одного из инвесторов ID Quantique.

Одна из технологий, которую Acronis планирует внедрить в свои решения - квантовое распределение ключа. Ключ шифрования передается по оптоволоконному каналу посредством одиночных фотонов. Попытка перехвата или измерения определенных параметров физических объектов, которые в этом случае являются носителями информации, неизбежно искажает другие параметры. В результате, отправитель и получатель обнаруживают попытку получения неавторизованного доступа к информации. Также планируется применить квантовые генераторы случайных чисел и шифрование , устойчивое к квантовым алгоритмам.

Технологии ID Quantique ориентированы на защиту информации в государственном секторе и коммерческих компаниях.

«Квантовые вычисления требуют нового подхода к защите данных, - заявил Сергей Белоусов . - Мы в Acronis убеждены, что конфиденциальность является одной из важнейших составляющих при комплексной защите данных в облаке. Сегодня мы работаем с такими ведущими компаниями, как ID Quantique, чтобы пользователи наших облачных продуктов получали самые безопасные решения в отрасли и были защищены от будущих угроз и атак».

В компании Acronis выражают уверенность - квантовое шифрование поможет избавить заказчиков (полагающих, что провайдер сможет прочесть их данные) от страха отправки данных в облако.

Эксперимент Toshiba

По мнению разработчиков новой технологии, лучший способ защитить информацию в сети – использовать одноразовые ключи для дешифрования. Проблема в безопасной передаче самого ключа.

Квантовая криптография для этого использует законы физики, в отличие от привычных методов, основанных на математических алгоритмах. Ключ в системе, созданной Toshiba , передается в форме фотонов, сгенерированных лазером - световые частицы доставляются по специальному оптоволоконному кабелю, не подключенному к интернету. Природа фотонов такова, что любые попытки перехвата данных изменяют эти данные и это немедленно детектируется, а поскольку одноразовый ключ должен иметь размер, идентичный зашифрованным данным, исключается повторное применение одного и того же шаблона, что делает декодирование без правильного ключа невозможным.

Квантовая криптография для мобильных устройств

Кван­то­вая крип­то­гра­фия - чрез­вы­чай­но на­деж­ный в тео­рии метод за­щи­ты ка­на­лов связи от под­слу­ши­ва­ния, од­на­ко на прак­ти­ке ре­а­ли­зо­вать его пока до­воль­но труд­но. На обоих кон­цах ка­на­ла долж­на быть уста­нов­ле­на слож­ная ап­па­ра­ту­ра - ис­точ­ни­ки оди­ноч­ных фо­то­нов, сред­ства управ­ле­ния по­ля­ри­за­ци­ей фо­то­нов и чув­стви­тель­ные де­тек­то­ры. При этом для из­ме­ре­ния угла по­ля­ри­за­ции фо­то­нов необ­хо­ди­мо точно знать, как ори­ен­ти­ро­ва­но обо­ру­до­ва­ние на обоих кон­цах ка­на­ла. Из-за этого кван­то­вая крип­то­гра­фия не под­хо­дит для мо­биль­ных устройств.

Уче­ные из Бри­столь­ско­го уни­вер­си­те­та пред­ло­жи­ли схему, при ко­то­рой слож­ное обо­ру­до­ва­ние необ­хо­ди­мо толь­ко од­но­му участ­ни­ку пе­ре­го­во­ров. Вто­рой лишь мо­ди­фи­ци­ру­ет со­сто­я­ние фо­то­нов, ко­ди­руя этим ин­фор­ма­цию, и от­прав­ля­ет их об­рат­но. Ап­па­ра­ту­ру для этого можно раз­ме­стить в кар­ман­ном устрой­стве. Ав­то­ры пред­ла­га­ют и ре­ше­ние про­бле­мы ори­ен­та­ции обо­ру­до­ва­ния. Из­ме­ре­ния про­из­во­дят­ся в слу­чай­ных на­прав­ле­ни­ях. Спи­сок на­прав­ле­ний может быть опуб­ли­ко­ван от­кры­то, но при рас­шиф­ров­ке будут учи­ты­вать­ся толь­ко сов­па­да­ю­щие на­прав­ле­ния. Ав­то­ры на­зы­ва­ют метод «неза­ви­си­мым от си­сте­мы от­сче­та кван­то­вым рас­пре­де­ле­ни­ем клю­чей»: rfiQKD.

  • A.K. Ekert, " Quantum Cryptography Based on Bell"s Theorem", Phys. Rev. lett. 67, 661 (1991).
  • Toby Howard, Quantum Cryptography, 1997, www.cs.man.ac.uk/aig/staff/toby /writing/PCW/qcrypt.htm
  • C.H. Bennet, " Quantum Cryptography Using Any Two Non-Orthogonal States", Phys. Rev. lett. 68, 3121 (1992).
  • А. Корольков, Квантовая криптография, или как свет формирует ключи шифрования. Компьютер в школе, № 7, 1999
  • В. Красавин, Квантовая криптография

    • Вы читаете гостевой пост Романа Душкина (Blogspot , ЖЖ , Twitter). Также вас могут заинтересовать другие заметки за авторством Романа:

    • Алгоритм Шора, его реализация на языке Haskell и результаты некоторых опытов ;
    • Факторизация числа при помощи квантового алгоритма Гровера ;
    • Квантовый зоопарк: карта отношений квантовых алгоритмов ;
    • … и далее по ссылкам;

    Если вы интересуетесь криптографией, попробуйте еще обратить внимание на заметки Эллиптическая криптография на практике и Памятка по созданию безопасного канала связи моего авторства.

    Вся история криптографии основывается на постоянном противоборстве криптографов м криптоаналитиков. Первые придумывают методы сокрытия информации, а вторые тут же находят методы взлома. Тем не менее, теоретически показано, что победа в такой гонке вооружений всегда останется на стороне криптографов, поскольку имеется абсолютно невзламываемый шифр — одноразовый блокнот. Так же есть некоторые очень сложно взламываемые шифры, для получения скрытой информации без пароля из которых у криптоаналитика практически нет шансов. К таким шифрам относятся перестановочные шифры посредством решеток Кардано, шифрование при помощи редких текстов в виде ключей и некоторые другие.

    Все перечисленные методы достаточно просты для применения, в том числе и одноразовый блокнот. Но все они обладают существенным недостатком, который называется проблемой распределения ключей . Да, одноразовый блокнот невозможно взломать. Но чтобы использовать его, необходимо иметь очень мощную инфраструктуру по распространению этих самых одноразовых блокнотов среди всех своих адресатов, с которыми ведется секретная переписка. То же самое касается и других подобных методов шифрования. То есть перед тем, как начать обмен шифрованной информацией по открытым каналам, необходимо по закрытому каналу передать ключ. Даже если ключом обмениваться при личной встрече, у криптоаналитика всегда имеются возможности по альтернативному способу добывания ключений (от ректального криптоанализа не защищен практически никто).

    Обмен ключами при личной встрече — это очень неудобная штука, которая серьезно ограничивает использование абсолютно невзламываемых шифров. Даже государственные аппараты очень небедных государств позволяют себе это только для очень немногих серьезных людей, занимающих сверхответственные должности.

    Однако, в конце концов, был разработан протокол обмена ключами, который позволил сохранять секрет при передаче ключа по открытому каналу (протокол Диффи-Хеллмана). Это был прорыв в классической криптографии, и по сей день этот протокол с модификациями, защищающими от атак класса MITM , используется для симметричного шифрования. Сам протокол основан на гипотезе о том, что обратная задача для вычисления дискретного логарифма является очень сложной. Другими словами, этот стойкость этого протокола зиждется только на том, что на сегодняшний день не существует вычислительных мощностей или эффективных алгоритмов для дискретного логарифмирования.

    Проблемы начнутся тогда, когда будет реализован квантовый компьютер достаточной мощности. Дело в том, что Питер Шор разработал квантовый алгоритм , который решает не только задачу факторизации, но и задачу поиска дискретного логарифма. Для этого квантовая схема незначительно изменяется, а принцип работы остается тем же. Так что хитроумный изобретатель одним ударом убил двух криптографических зайцев — асимметричную криптографию RSA и симметричную криптографию Диффи-Хеллмана. Все пойдет прахом, как только на свет появится он, универсальный квантовый компьютер (не факт, что его еще нет; просто мы можем об этом даже и не знать).

    Но модель квантовых вычислений как повергла криптографов в шок и трепет, так и дала им новую надежду. Именно квантовая криптография позволила придумать новый метод распределения ключей, в котором отсутствуют многие проблемы схемы Диффи-Хеллмана (например, простая атака MITM абсолютно не поможет в силу чисто физических ограничений квантовой механики). Более того, квантовая криптография устойчива и к квантовым алгоритмам поиска ключей, так как основана на совершенно ином аспекте квантовой механики. Так что сейчас мы изучим квантовый метод секретного обмена ключами по открытому каналу.