Zapletení založený na bezpečné kvantové kryptografie přes 1,120 km

BY admin
|

Realizace zařízení proti nedokonalosti

V praxi, nedokonalosti reálných implementací QKD může zavést odchylky (nebo boční kanály) z idealizované modely používané v bezpečnostní analýze. Eve by mohla využít těchto nedokonalostí a zahájit kvantové útoky24. Naše implementace QKD založená na zapletení je navržena a charakterizována tak, aby poskytovala praktickou bezpečnost před známými kvantovými útoky i potenciálními budoucími mezerami.

QKD založené na zapletení je přirozeně nezávislé na zdroji2, 19. Vše, co potřebujeme, je správně zvážit boční kanály ve fázi detekce. Zde navrhujeme detekční systém, vybíráme zařízení podle přísných kritérií pro splnění základních bezpečnostních předpokladů a provádíme pečlivé charakterizace, abychom tyto předpoklady otestovali. Poznamenáváme,že naše implementace je založena na důvěryhodných a charakterizovaných zařízeních, tj. Implementací jsou většinou běžné techniky, ale můžeme udržovat imunitu na všechny známé detekce útoků, včetně: detektor účinnosti-nesoulad attack37, time-shift attack27,38, detektor-oslepující attack26,39, detektor-poškození attack40, detektoru, mrtvá doba attack28, vlnová délka-závislé attack29, prostorové-režim attack30, a další možné nežádoucí channels24. V rozšířené datové tabulce 3 uvádíme seznam hlášených útoků proti detekci a také naše protiopatření k jejich odvrácení. V následujícím textu uvedeme podrobnější popis.

Účinnost-nesoulad útok

V praxi je obtížné vyrobit dva SPDs se stejnou odpovědí pro různé stupně volnosti. To znamená, že praktické SPD představují nesoulad účinnosti. S nesouladem účinnosti může Eve částečně řídit, který detektor klikne, jemným odesláním požadovaných signálů do Bob37. Například, většina systémů QKD používá dva uzavřené lavinové fotodiodové detektory, které vytvářejí časově závislý nesoulad účinnosti. Eve může provést útok na časový posun27, 38, posunutím času příjezdu každého signálu, takže výsledky Bobovy detekce jsou zkreslené v závislosti na časovém posunu. Naší strategií, jak čelit útoku na časový posun, je, že náš detektor pracuje ve volně běžícím režimu. Zaznamenáváme všechny detekční události a poté vybereme detekční okna tak, aby účinnost detekce byla zaručena na nominální úrovni. Pro nesoulad účinnosti v jiných stupních svobody používáme optické filtry k odfiltrování vstupního světla a eliminaci nesouladu ve frekvenčním a prostorovém režimu.

Detektor-oslepující útok

V detektoru-oslepující attack26, Eva používá kontinuální světlé laserové osvětlení force Spd pracovat v lineárním režimu. SPD pak již nejsou citlivé na jednotlivé fotony a jsou přeměněny na klasické detektory intenzity. Eva může řídit, který detektor klikne, zasláním Bob správně přizpůsobených klasických impulzů. Při laserovém poškození attack40 může Eve použít silné škodlivé laserové osvětlení k úplné změně vlastností SPD. Čelit útoku oslepujícím detektorem a útoku poškození laserem, jak je znázorněno na rozšířených datech Obr. 5, instalujeme další obvod pro sledování anody odporu zátěže v detekčním obvodu. Testujeme útok během experimentu zasláním jasného laserového pulzního osvětlení. Tyto výsledky jsou znázorněny na obr. 3b. v normálním provozu (bez oslepujících impulzů) je výstupní napětí monitorovacího obvodu nižší než 1.2 V, odpovídající standardním lavinovým signálům. V čase t ≈ 0,2 ms provádí Eve oslepující útok pomocí 12 µW a 2 µs dlouhého laserového pulsu při opakovací frekvenci 100 kHz. Výstup monitorovacího obvodu jasně přesahuje 1,2 V, protože velký proud způsobený jasným laserovým osvětlením prochází odporem zátěže. V důsledku toho bychom mohli nastavit Bezpečný práh napětí monitorovacího obvodu: pokud je napětí vyšší než práh, vystavuje oslepující útok.

detektor dead-time attack

základním principem tohoto útoku je mrtvý účinek SPD28. Po detekční události detektor nereaguje na příchozí fotony během časového okna v rozmezí od několika nanosekund do desítek mikrosekund. Pokud má Bob detekční událost během časového období, kdy je jeden detektor v mrtvém časovém období, zatímco druhý je aktivní, Eva by mohla snadno odvodit, který detektor má kliknutí. Náš detektor pracuje ve volně běžícím režimu a všechny detekční události jsou shromažďovány. Protiopatření je, že jsme monitorovat stav detektorů a používat pouze ty události zjišťování, pro které všechny detektory jsou aktivní pro generování klíčů.

Beam-splitter útok

V polarizace na bázi QKD systém, Bob typicky využívá 1 × 2 dělič paprsku pasivně vybrat na základě měření. Ve standardním případě foton náhodně projde rozdělovačem paprsku, čímž náhodně vybere přímočarý základ nebo diagonální základ. V praxi je však štípací poměr rozdělovače paprsku závislý na vlnové délce, to znamená, že středová vlnová délka má vazební poměr 50: 50, zatímco spojovací poměr se mění pro jiné vlnové délky. V důsledku toho může Eve řídit měřicí základnu zasláním Bobových fotonů s různou vlnovou délkou29. Abychom se tomuto útoku vyhnuli, používáme filtry s širokou šířkou pásma a vlnovou délkou s úzkou šířkou pásma k filtrování vstupního světla na Bobově stanici. Charakterizace těchto dvou filtrů jsou znázorněny na obr. 3A. poměr rozdělovače paprsku v rámci filtrované šířky pásma je charakterizován v rozšířených datech obr. 6.

Prostorové-režim útok

Ve volném prostoru QKD systém, detektor má různou citlivost pro různé prostorové-režim fotony, zvláště když detektor je spolu s multi-mode vlákna. Eve by mohla využít nesoulad efektivity prostorového režimu a provést útok prostorového režimu30. Abychom tomuto útoku čelili, umístíme prostorový filtr před rozdělovač paprsků, aby byla účinnost různých detekčních cest jednotná. U prostorového filtru je charakterizace účinnosti detekce v prostorové doméně znázorněna na obr. 3c.

obecně platí, že praktická bezpečnost implementace je v podstatě zaručena předpokladem spravedlivého vzorkování. Protiopatření proti výše uvedeným útokům zahrnují použití aktivních složek k zajištění předpokladu spravedlivého výběru vzorků. Ve frekvenčním režimu se pro filtrování vstupního světla používají širokopásmové a úzkopásmové frekvenční filtry. V časovém režimu jsou detektory s volným spuštěním aplikovány na post-select časových oken detekčních událostí. V prostorovém režimu jsou prostorové filtry umístěny před kolimační čočkou měřicích zařízení. V polarizačním režimu používáme kódování polarizace pro QKD, čímž monitorujeme QBER, abychom zajistili bezpečnost. V budoucnu, můžeme také kombinovat naše zapletení založené na QKD systém měření-device-independent QKD protocol41, aby se detekce imunní vůči všem detektor útoků.

bezpečnostní analýza

hlavním cílem naší bezpečnostní analýzy je vypočítat praktickou míru zabezpečení zvážením problémů s velikostí konečných klíčů a nedokonalostí zařízení. Jsme poznámku, že naše bezpečnostní analýzy je pro zapletení na bázi QKD s důvěryhodnými a vyznačuje zařízení, které je závislé na zařízení scenario42. Začneme s bezpečnostním důkazem pro ideální protokol QKD sledováním Shor-Preskill security proof43. Dále rozšiřujeme bezpečnostní analýzu na praktický případ efektu konečných klíčů pomocí přístupu vztahu neurčitosti pro hladké entropie33. Nakonec rozšiřujeme analýzu o řešení bezpečnostních problémů nedokonalostí zařízení pomocí rámce Gottesman-Lo-Lütkenhaus-Preskill (GLLP) 44.

ideální QKD označuje případ, kdy je generován nekonečný počet signálů a zařízení pro spuštění protokolu QKD jsou tak dokonalá, jak je popsáno teoretickými modely. Bezpečnostní důkaz pro ideální QKD byl založen na počátku roku 2000 Mayers45, Lo a Chau46 a Shor a Preskill43.

Shor a Preskill zaměstnávala myšlenka Calderbank–Shor–Steane kvantové opravy chyb kód poskytnout jednoduchý rámec pro zabezpečení důkaz. V QKD založeném na zapletení, jako je protokol BBM923, když Alice a Bob měří kvantové signály na bázi Z, může dojít k chybě, pokud jsou výsledky odlišné. Můžeme to nazvat trochu chybou. Fázová chyba může být definována jako hypotetická chyba, pokud byly tyto kvantové signály měřeny v základu komplementárním k základu Z. V Shor-Preskill security proof je bitová korekce chyb klasická korekce chyb a fázová korekce chyb je PA. Klíčovou součástí je provedení PA, ve kterém je třeba odhadnout fázovou chybovost. Pro klíčové bity měřené v báze Z lze fázovou chybovost odhadnout měřením klíčových bitů v báze X. Z-základ bezpečnosti sazba pro ideální QKD je dána

$${R}_{Z}\ge {Q}_{Z}$$

kde QZ je prosátou klíčovou sazbu na signál, ve kterém se oba Alice a Bob vyberte Z základ, EZ a EX jsou QBER v Z a X základny, a H(χ) = −xlog2x – (1 − χ)log2(1 − χ). Podobně mohou být tajné klíče generovány také na bázi X a analýza rychlosti RX je stejná. Celková ideální klíčová sazba je RA = RZ + RX. Všimněte si, že zapletený zdroj je nezávislý na bázi (nebo necharakterizovaný) a bezpečnostní důkaz pro QKD s necharakterizovaným zdrojem je uveden v ref. 19.

poznamenáváme, že k úspěšnému odhadu PA je třeba se ujistit, že vzorkování v komplementárním základě je spravedlivé,což v praktických realizacích vyvolává dva hlavní problémy: efekt konečných klíčů (tj.

analýza konečných klíčů

nejprve definujeme zabezpečení ve scénáři konečných klíčů pomocí složené definice zabezpečení framework47, 48. Bezpečný klíč by měl splňovat dva požadavky. Za prvé, klíčové bitové řetězce, které mají Alice a Bob, musí být identické, to znamená, aby byly správné. Za druhé, z pohledu někoho jiného než Alice a Bob, řekněme Eve, by měl být klíčový bitový řetězec rovnoměrně rozložen, to znamená, že by měl být tajný. Praktické problémy, jako je konečná velikost dat a neideální korekce chyb, znamenají, že Alice a Bob nemohou pomocí QKD vygenerovat ideální klíč. Ve skutečnosti je rozumné umožnit klíči mít malé pravděpodobnosti selhání, ecor a esec, pro správnost a utajení. Říkáme, že protokol QKD je ε-secure s ε ≥ ecor + esec, pokud je ecor-correct a esec-secret48. Konkrétně definujeme ka a kb jako klíčové bitové řetězce získané Alice a Bobem. Protokol QKD je definován jako ekor-správný, pokud Pravděpodobnost splňuje Pr (ka = kb) ≤ ecor. A QKD protokol je definován ve stopových vzdálenost esec-tajemství, pokud ||pAE − UA ⊗ pE|| ≤ esec, kde pAE je klasický kvantový stav popisuje smíšený stav ka a Evy systém pE, UA je jednotná směs všech možných hodnot ka a Pabort je pravděpodobnost, že protokol přeruší.

Existují dva hlavní přístupy k analýze konečných klíč bezpečnost QKD: jeden je založen na hladké min/max entropy33,48 a druhý je založen na complementarity32. V poslední době se ukázalo, že tyto dva přístupy jsou sjednocené49. Odhad fázové chybovosti je nejdůležitější částí analýzy bezpečnosti Shor-Preskill. Vzhledem ke statistickým výkyvům v případě konečných klíčů nelze přesně měřit fázovou chybovost použitou pro vyhodnocení množství PA. Místo toho mohou Alice a Bob vázat fázovou chybovost pomocí určitých doplňkových měření32, 33. Konkrétně, Z-základ bezpečnostní klíč v zajetí na bázi QKD, Alice a Bob mohou vázán základní fáze chybovost EX‘ odběrem qubits v X základě. Jedná se o typický problém náhodného vzorkování. Můžeme použít Serflingovou nerovnost50 k odhadu pravděpodobnosti, že průměrná chyba na vzorku se odchyluje od průměrné chyby na celkovém řetězci 51. Získáme horní mez pro EX‘ jako

$${E}_{X}{\prime} \le {E}_{X}+\sqrt{\frac{({n}_{X}+1)\log (1/{\varepsilon }_{\sec })}{2{n}_{X}({n}_{X}+{n}_{Z})}}$$

kde nZ a nX je počet shodný se počítá v Z a X základů.

pomocí přístupu k nejistotě vztahu pro hladké entropies33, Z-základ tajný klíč o délce lZ je dána

$${l}_{Z}={n}_{Z}-{n}_{Z}H\,\left-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-\,\log \frac{2}{{\varepsilon }_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\sec }^{2}}.$$

podobně lze vypočítat délku tajného klíče s konečným klíčem x lX a celková délka klíče je l = lZ + lX.

bezpečnostní důkaz pro nedokonalá zařízení

v praxi existují kvůli nedokonalostem zařízení odchylky mezi realistickými systémy QKD a ideálním protokolem QKD24. Aby Alice a Bob dosáhli praktické bezpečnosti v systému QKD, musí tyto nedokonalosti pečlivě charakterizovat a zohlednit je v praktické bezpečnostní analýze. Zejména, obecný rámec pro bezpečnostní analýzu s realistickými zařízeními byl stanoven v ref. 44. V tomto rámci, Alice a Bob je třeba charakterizovat jejich zařízení, aby viděli, jak moc odchylek tam je z těch ideální předpokládá v zabezpečení dokladů. Jeden může použít typické vzdálenosti opatření, jako věrnost a stopové vzdálenosti, kvantifikovat odchylku, a pak zvážit tuto odchylku v PA.

naše QKD založené na zapletení je nezávislé na zdroji, což zajišťuje, že nedokonalosti ve zdroji mohou být ignorovány. Vše, co potřebujeme, je pečlivě charakterizovat nedokonalosti na straně detekce. Obecně platí, že (známé a známé) boční kanály na straně detekce26,27,28,29,30,38,39,40 především porušují klíčový předpoklad spravedlivého výběru vzorků. Implementaci provádíme podle modelu squashing44, abychom zaručili spravedlivý předpoklad vzorkování. V sevření model, libovolný kvantový stav (kanál) je první předpokládá se dvou-dimenzionální podprostor, než Z a X měření. Implementujeme tedy řadu jednomodových filtrů v různých stupních volnosti, včetně frekvenčních, prostorových a časových režimů. Nicméně praktické filtry mají obvykle konečnou šířku pásma, což způsobí malé odchylky pro účinnost detekce, tj. nesoulad účinnosti detekce 52, 53. Náš bezpečnostní důkaz pro nedokonalá zařízení bude primárně zvažovat odchylku účinnosti detekce a analyzovat tuto nedokonalost do PA podle rámce GLLP44.

předpokládáme, že dolní mez detekce je účinnost η0, tak detekční účinnost-tý detektor může být napsáno jako η0(1 + δi), kde δi kvantifikuje odchylku účinnosti. Předpokládám, že pokud můžeme přidat útlum s propustnost 1/(1 + δi) těsně před i-tý detektor, pak bychom získali stejnou účinností pro všechny detektory. Přitom bude počet z-bitů (nebo X-bitů) snížen o zlomek, horní ohraničený Δ = 1-1/(1 + δ)2. V našem experimentu kvantifikujeme, že δi je horní ohraničeno δi ≤ 1,47% (viz rozšířená Tabulka dat 1). Odhad fázové chybovosti jako EX ‚ /(1-Δ) (ref. 44). Celkově, po zvážení konečný-velikost klíče efekt a účinnost odchylka, tajný klíč, délka LZ je dána:

$${L}_{Z}={n}_{Z}-{n}_{Z}H\left-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-{n}_{Z}\varDelta -\log \frac{2}{{\varepsilon }_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\sec }^{2}}.$$

analýza délky tajného klíče LX pro klíčové bity v základu X je stejná. Celková délka konečného klíče je L = LZ + LX.