13-10-2023
Протокол B92 — один из первых протоколов квантового распределения ключа, который был предложен в 1992 году Чарльзом Беннетом (англ. Charles H. Bennett). Отсюда и название B92, под которым этот протокол известен в наше время[1]. Протокол B92 основан на принципе неопределённости в отличие от таких протоколов, как E91. Носителями информации являются 2-х уровневые системы, называемые кубитами (квантовыми битами). Важной особенностью протокола[2][3] является использование двух неортогональных квантовых состояний.
Фундаментальные законы физики утверждают, что наблюдение за квантовой системой изменяет её состояние. Эта непреодолимая трудность имеет положительный эффект, позволяя предотвратить нежелательное получение информации из публичной квантовой системы и решая проблему сохранения конфиденциальности при коммуникации по открытому каналу связи[4].
Математика даёт другое решение данной проблемы[4]: построение криптосистем с открытым ключом. Каждая сторона, зная свой закрытый ключ и открытый ключ[5] противоположной стороны, могут шифровать важную для них информацию и обмениваться ею по публичному каналу. Однако, такие системы основаны на вычислительной трудности однонаправленных хеш-функций, поэтому не обеспечивают полную безопасность[6][7].
Протокол B92 является обобщением[2] квантового криптографического протокола BB84. В отличие от своего предшественника данный протокол может использовать неортогональные квантовые состояния. Чарльз Беннет разработал данный протокол, чтобы показать принципиальную возможность такого разделения ключа[8].
Схема кодирования квантовых состояний[Прим. 1] в протоколе B92 схожа со схемой кодирования протокола BB84, но использует только два неортогональных из четырёх состояний BB84, а качестве базиса используются различные поляризации[4]:
В данном протоколе классический бит кодируется двумя неортогональными состояниями:
Поляризация | Горизонтальная (↔) | Вертикальная (↕) | Правая круговая (↻) | Левая круговая (↺) |
---|---|---|---|---|
Бит | 0 | 1 | 1 | 0 |
Поскольку в соответствии с принципом неопределённости Гейзенберга при измерении нельзя отличить два неортогональных состояния друг от друга, поэтому невозможно достоверно определить значение бита. Более того, любые попытки узнать состояние кубита непредсказуемым образом изменят его. Это и есть идея[9], лежащая в основе квантового протокола разделения ключей B92. Так как схема кодирования протокола использует только лишь два состояния, то иногда она проще в реализации, нежели другие схемы. Однако, получение достаточной надёжности такого протокола в некоторых экспериментах является трудной задачей, и часто оказывается, что протокол является совсем не безопасным.
Начальное состояние фотонов зависит от реализации протокола. Если протокол реализован на основе ЭПР-коррелированных фотонов, то Алиса генерирует такие пары фотонов и базисы, в которых она измеряет их состояние, а отправляет Бобу невозмущённые частицы. В противном случае, Алиса генерирует фотоны случайной поляризации и посылает их Бобу. Вторым этапом протокола является выявление поляризаций полученных от Алисы фотонов. Состояние частиц измеряется в случайно выбранном базисе. На следующем этапе Алиса и Боб сравнивают используемые для измерения базисы (в случае не ЭПР-реализации Алиса использует поляризации, созданных фотонов) и сохраняют информацию только при совпавших базисах. Алиса и Боб выбирают случайное подмножество бит и сравнивают их чётность. Если хотя бы один бит изменился в результате действий Евы, то стороны узнают об этом с вероятностью ½. Затем необходимо отбросить один бит, так как в результате такой проверки открывается один бит ключа. Выполнение проверки чётности произвольного подмножества бит k раз позволяет установить, что канал связи Алисы и Боб не прослушивается с вероятностью p(k) = 1 - (½)k[10].
Процесс разделения ключей можно проанализировать по шагам. Результат выполнения каждого действия соответствует строке таблицы[10].
№ | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | ◯ | + | ◯ | + | + | + | + | + | ◯ | ◯ | + | ◯ | ◯ | ◯ | + |
2 | ↺ | ↕ | ↻ | ↔ | ↕ | ↕ | ↔ | ↔ | ↻ | ↺ | ↕ | ↻ | ↺ | ↺ | ↕ |
3 | + | ◯ | ◯ | + | + | ◯ | ◯ | + | ◯ | + | ◯ | ◯ | ◯ | ◯ | + |
4 | ↕ | ↻ | ↔ | ↕ | ↺ | ↺ | ↔ | ↻ | ↕ | ↻ | ↻ | ↺ | ↕ | ||
5 | + | ◯ | + | + | ◯ | ◯ | + | ◯ | + | ◯ | ◯ | ◯ | + | ||
6 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
7 | ↻ | ↔ | ↕ | ↔ | ↻ | ↻ | ↺ | ↕ | |||||||
8 | 1 | 0 | 1 | 0 | 1 | 1 | 0 | 1 | |||||||
9 | 1 | 0 | 0 | 1 | 1 | ||||||||||
10 | 0 | 1 | 0 | 1 | 1 | 0 | 1 |
В результате коммуникации по протоколу B92 Алиса и Боб получают общий секретный ключ 0101101 и выявляют отсутствие Евы с вероятностью ½.
В своей статье[10] Чарльз Беннет предложил практическую интерферометрическую реализацию протокола для слабых когерентных световых импульсов[8]. Алиса при помощи полупрозрачного зеркала разделяет световой импульс от источника на две части. Один из пучков проходит по длинному каналу в результате чего приобретает задержку ΔtA. А второй проходит через устройство, которое сдвигает фазу на 0 или π. Затем расщеплённые лучи собираются в один при помощи полупрозрачного зеркала. Результирующий сигнал будет иметь два фронта, отстоящих друг от друга на ΔtB. Получившийся сигнал передаётся по оптическому каналу связи Бобу, где он проводит аналогичные действия с сигналом.
Каждый фронт полученного сигнал расщепляется на два, которые получают либо дополнительную задержку распространения, либо сдвиг фазы. Если задержки распространения устройств Алисы и Боба равны ΔtA = ΔtB, то Боб наблюдает на три световых импульса. Если же суммарный набег фазы ΔφA + ΔφB равен π, то на выходе вовсе останется два импульса, так как интерференция пучков равной интенсивности увеличивает интенсивность при совпадении фаз лучей или компенсирует пучки в противофазе. В данной реализации кодирование определяется наличием или отсутствием второго импульса в полученном сигнале. Последний импульс не несёт никакую информацию о фазе, тем не менее, он используется для подтверждения получения Бобом сигнала, уменьшая воздействия шумов на систему.
Криптостойкость протокола B92 использует тот факт, что при попытке измерить Евой состояние фотона, вносится ошибка в другое неортогональное состояние данному[11][8]. Таким образом, Алиса и Боб совместными усилиями могут выявить существование Евы.
Для описания криптостойкости протокола квантового разделения ключей вводя специальный критерий:
Протокол КРК[Прим. 2] является надёжным, если для любых параметров s > 0 и l > 0, выбранных Алисой и Бобом, и для любой стратегии подслушивания выполнение протокола либо прекращается, либо успешно завершается с вероятностью, по меньшей мере, 1 - O(2-s), и гарантирует, что взаимная информация Евы с окончательным ключом меньше, чем 2-l. Строка ключа должна быть существенно случайной.— Нильсен М., Чанг И.[12]
Протокол B92 удовлетворяет критерию надёжности[13], что достигается подходящим выбором контрольных кубитов и квантового кода, но в том случае, если существует идеальный канал, метод приготовления и измерения состояний единичных фотонов[14][15]. Развитие формализма анализа данных при передачи позволило предложить новые методы обнаружения Евы[16]. Также существует утверждение о том, что возможность различать неортогональные квантовые состояния, нарушает надёжность данного протокола, и более того, протоколов BB84 и E91[17].
Исследования в области криптостойкости квантовых протоколов стали отправной точкой для криптоанализа протокола и криптоатак на него. Данный протокол в некоторых физических реализациях может быть взломан PNS-атакой. Идея атаки основана на том, что протокол может быть реализован на не единичных фотонах. В таком случае появляется возможность отобрать часть фотонов из квантового канала связи, достаточную для измерения поляризации данного пучка Евой[18].
B92.