SARG04 — протокол квантового распределения ключей, полученный усовершенствованием протокола BB84 и известный своей устойчивостью к атаке с разделением по числу фотонов.

История

В 2004 году группа криптографов опубликовала в Physical Review Letters свою работу по исследованию протоколов на устойчивость к PNS-атакам (англ. Photon Number Splitting attack), где была показана уязвимость протокола 4+2 (полученный комбинацией BB84 и B92) ^[1], который являлся первой попыткой противостоять PNS-атаке ^[2]. Вместе с тем они предложили решение этой проблемы, а именно была придумана конфигурация векторов, не позволяющая проведение измерения, которое ортогонализирует состояния в каждой паре базисов (с ненулевой вероятностью).

Описание

Невозможность измерения

Измерение, названное фильтрацией (англ. filtering), может стать невозможным, если пары векторов из разных базисов не связаны никаким унитарным преобразованием. Рассмотрим две пары базисов^[3]: ${\displaystyle a:\{|0_{a}\rangle ,|1_{a}\rangle \},\ b:\{|0_{b}\rangle ,|1_{b}\rangle \}}$, которые связаны унитарным преобразованием ${\displaystyle U:{\begin{cases}|0_{b}\rangle =u_{11}|0_{a}\rangle +u_{12}|1_{a}\rangle ,\\|1_{b}\rangle =u_{21}|0_{a}\rangle +u_{22}|1_{a}\rangle .\end{cases}}}$

Злоумышленник по имени Ева пытается провести фильтрацию, проектируя исходные состояния из базиса ${\displaystyle a}$ на ортогональное состояние ${\displaystyle \{|0'_{a}\rangle ,|1'_{a}\rangle \}}$, то есть

${\displaystyle M|i_{a}\rangle ={\frac {1}{\sqrt {p_{a}}}}|i'_{a}\rangle ,\quad i=0,1}$,

а в силу линейности отображение векторов из базиса ${\displaystyle b:}$

${\displaystyle M|0_{a}\rangle =M(u_{11}|0_{a}\rangle +u_{12}|1_{a}\rangle )={\frac {1}{\sqrt {p_{a}}}}(u_{11}|0'_{a}\rangle +u_{12}|1'_{a}\rangle ),}$

${\displaystyle M|1_{b}\rangle =M(u_{21}|0_{a}\rangle +u_{22}|1_{a}\rangle )={\frac {1}{\sqrt {p_{a}}}}(u_{21}|0'_{a}\rangle +u_{22}|1'_{a}\rangle ).}$

Наложение векторов в базис ${\displaystyle b}$ будет выглядеть: ${\displaystyle |\langle 0'_{b}|1'_{b}\rangle |=|u_{11}u_{21}+u_{12}u_{22}|}$, но ${\displaystyle u_{11}u_{21}+u_{12}u_{22}=0}$ (следует из определения унитарного преобразования), а значит Ева может подобрать измерение, проектирующее векторы каждого базиса на ортогональные состояния, для любого унитарного преобразования, которое связывает состояния из разных базисов. Однако, если связывающее преобразование неортогонально, то ${\displaystyle |u_{11}u_{21}+u_{12}u_{22}|>|\langle 0_{a}|1_{a}\rangle |}$, то есть всякое измерение, делающее ортогональным состояния одной пары базисов, будет непременно уменьшать угол между состояниями другой пары, делая их менее различимыми. Это обеспечивает противостояние PNS-атаке.

Принцип работы

В SARG04 реализуется описанное выше описанное свойство: при определенной конфигурации состояний Ева не сможет провести фильтрацию. Авторы протокола предложили следующую конфигурацию ^[4]:

${\displaystyle |0_{a}\rangle ={\begin{pmatrix}\cos {\frac {\eta }{2}}\\\sin {\frac {\eta }{2}}\end{pmatrix}},\quad |1_{a}\rangle ={\begin{pmatrix}\cos {\frac {\eta }{2}}\\-\sin {\frac {\eta }{2}}\end{pmatrix}},}$

${\displaystyle |0_{b}\rangle ={\begin{pmatrix}\sin {\frac {\eta }{2}}\\-\cos {\frac {\eta }{2}}\end{pmatrix}},\ |1_{b}\rangle ={\begin{pmatrix}\sin {\frac {\eta }{2}}\\-\cos {\frac {\eta }{2}}\end{pmatrix}}.}$

Угол между векторами в каждом из базисов равен ${\displaystyle \eta :\langle 0_{a}|1_{a}\rangle =\cos \eta ,\ \langle 0_{b}|1_{b}\rangle =-\cos \eta }$, причем ${\displaystyle \langle 0_{a}|0_{b}\rangle =\langle 1_{a}|1_{b}\rangle =0,\ \langle 0_{a}|1_{b}\rangle =\langle 1_{a}|0_{b}\rangle =\sin \eta }$.

Проверим такую конфигурацию на уязвимость к PNS-атакам ^[5]. Вектора разных базисов связаны следующим образом:

${\displaystyle |0_{b}\rangle =c|0_{a}\rangle +c'|1_{a}\rangle ,\ |1_{b}\rangle =c'|0_{a}\rangle +c|1_{a}\rangle }$, где ${\displaystyle c=-{\frac {\cos \eta }{\sin \eta }},\ c'={\frac {1}{\sin ^{2}\eta }}}$.

Величина перекрытия равна: ${\displaystyle 2cc'={\frac {2\cos \eta }{\sin \eta }}\geqslant \cos \eta }$, следовательно протокол устойчив к PNS-атакам.

Криптоанализ

Протокол становится уязвимым к PNS-атакам, если злоумышленник способен блокировать все посылки с одним и двумя фотонами, а для в посылках с тремя фотонами может измерять два из них в разных базисах, блокируя импульс при получении по крайней мере одного несовместного исхода. При угле ${\displaystyle {\frac {\pi }{4}}}$ вероятность получить несовместный исход хотя бы при одном измерении получается больше ${\displaystyle \cos ^{2}{\frac {\pi }{4}}={\frac {1}{2}}}$, следовательно для эффективного перехвата Ева должна уметь блокировать посылки и с тремя фотонами. Получаем, что для успешной атаки протокола необходимо иметь возможность блокировать все посылки с одним, двумя и тремя фотонами, а значит SARG04 заметно лучше защищен от PNS-атак по сравнению с BB84^[6].

Вариация протокола

В своей работе авторы SARG04 также описали важный частный случай протокола ^[7], который использует аналогичные сигнальные состояния, что и BB84, но имеет другую технику кодирования, что позволяет увеличить стойкость к PNS-атакам, жертвуя скоростью передачи данных. Рассмотрим угол ${\displaystyle \eta ={\frac {\pi }{4}}}$, после поворота сигнальными состояниями будут ${\displaystyle |\pm x\rangle }$ и ${\displaystyle |\pm z\rangle }$, как и в BB84 (использование тех же состояний упрощает техническую реализацию). Боб также случайно меряет компоненту ${\displaystyle \sigma _{x}}$ или ${\displaystyle \sigma _{z}}$, но теперь Алиса при публичном согласовании вместо базиса называет одну из четырёх пар состояний ${\displaystyle A_{m,n}\ (m,n\in \{\pm \})}$. Сигналы ${\displaystyle 0}$ и ${\displaystyle 1}$ кодируются состояниями ${\displaystyle |\pm x\rangle }$ и ${\displaystyle |\pm z\rangle }$ соответственно. Если Алиса собирается послать сигнал ${\displaystyle 1}$, то она может послать ${\displaystyle |-z\rangle }$ и публично объявить пару ${\displaystyle A_{+,-}}$. В свою очередь Боб сможет достоверно это распознать только тогда, когда он мерил ${\displaystyle \sigma _{x}}$ и получил ${\displaystyle -1}$. Он не сможет распознать ${\displaystyle 0}$ в базисе ${\displaystyle \sigma _{x}}$ или что-либо в базисе ${\displaystyle \sigma _{z}}$, если получил ${\displaystyle +1}$. Измерив ${\displaystyle \sigma _{z}}$, он получит ${\displaystyle -1}$, но не узнает базис отправного состояния, посколько Алиса могла использовать базис ${\displaystyle \sigma _{x}}$. Получаем, что после согласования базисов у Боба и Алисы совпадет только четверть посланных сигналов^[8], а скорость передачи упадет вдвое по сравнению с BB84 и B92.

Примечания

Литература

• Д.А. Кронберг, Ю.И. Ожигов, А.Ю. Чернявский. Глава 4.4 Протокол SARG04 // Квантовая криптография. Учебное пособие. — М.: МГУ имени М.В.Ломоносова, факультет ВМК, 2012. — 112 с.
• Acin A., Gisin N., and Scarani V. Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks // Physical Review Letters. — 2004. — P. 69, 012309.
• Scarani V., Acin A., Ribordy G., Gisin N. Quantum Cryptography Protocols Robust against Photon Number Splitting Attacks for Weak Laser Pulse Implementations // Physical Review Letters. — 2004. — P. 92, 057901.
• Huttner B., Imoto N., Gisin N., Mor T. Quantum cryptography with coherent states // Physical Review A. — 1995. — P. 51, 1863.
• Hitesh Singh, D.L. Gupta, A.K Singh Quantum Key Distribution Protocols: A Review // IOSR Journal of Computer Engineering. — 2014. — P. 9.

SARG04.