Verschränkung-basierte sichere Quantenkryptographie über 1.120 Kilometer
Implementierung gegen Gerätefehler
In der Praxis können die Unvollkommenheiten realistischer QKD-Implementierungen Abweichungen (oder Seitenkanäle) von den in der Sicherheitsanalyse verwendeten idealisierten Modellen hervorrufen. Eve könnte diese Unvollkommenheiten ausnutzen und Quantenangriffe starten24. Unsere verschränkungsbasierte QKD-Implementierung ist so konzipiert und charakterisiert, dass sie praktische Sicherheit sowohl gegen bekannte Quantenangriffe als auch gegen potenzielle zukünftige Lücken bietet.
Die verschränkungsbasierte QKD ist von Natur aus quellenunabhängig2,19. Alles, was wir brauchen, ist, die Seitenkanäle in der Erkennungsphase richtig zu betrachten. Hier entwerfen wir ein Detektionssystem, wählen Geräte unter strengen Kriterien aus, um die zugrunde liegenden Sicherheitsannahmen zu erfüllen, und führen sorgfältige Charakterisierungen durch, um diese Annahmen zu testen. Wir stellen fest, dass unsere Implementierung auf vertrauenswürdigen und charakterisierten Geräten basiert, dh in einem geräteabhängigen Szenario. Die Implementierungen sind meist gängige Techniken, aber wir können die Immunität gegen alle bekannten Erkennungsangriffe aufrechterhalten, einschließlich: Detektor-Effizienz-Mismatch-Angriff37, Zeitverschiebungsangriff 27, 38, Detektor-Blendungsangriff 26,39, Detektor-Schadensangriff 40, Detektor-Totzeitangriff 28, wellenlängenabhängiger Angriff 29, räumlicher Modus Angriff 30 und andere mögliche Seitenkanale24. In der erweiterten Datentabelle 3 listen wir die gemeldeten Angriffe gegen die Erkennung sowie unsere Gegenmaßnahmen auf, um sie abzuwenden. Im Folgenden werden wir eine detailliertere Beschreibung geben.
Efficiency-mismatch attack
In der Praxis ist es schwierig, zwei SPDs mit den gleichen Antworten für unterschiedliche Freiheitsgrade herzustellen. Das heißt, praktische SPDs weisen eine Effizienzinkongruenz auf. Mit der Effizienz-Fehlanpassung kann Eve teilweise steuern, welcher Detektor klickt, indem er subtil gewünschte Signale an Bob37 sendet. Zum Beispiel verwenden die meisten QKD-Systeme zwei Gated-Avalanche-Photodioden-Detektoren, die eine zeitabhängige Effizienz-Fehlanpassung erzeugen. Eve kann einen Zeitverschiebungsangriff durchführen27,38, indem die Ankunftszeit jedes Signals verschoben wird, so dass Bobs Detektionsergebnisse abhängig von der Zeitverschiebung vorgespannt sind. Unsere Strategie, um dem Time-Shift-Angriff entgegenzuwirken, besteht darin, dass unser Detektor im Freilaufmodus arbeitet. Wir erfassen alle Detektionsereignisse und wählen die Detektionsfenster so nach, dass die Detektionseffizienz garantiert auf einem nominalen Niveau liegt. Für effizienz mismatch in andere freiheitsgrade37, wir verwenden optische filter zu filtern die eingang licht und beseitigen die mismatch in die frequenz und räumliche modi.
Detector-blending attack
Im Detector-blending attack26 verwendet Eve eine kontinuierlich helle Laserbeleuchtung, um SPDs zu zwingen, im linearen Modus zu arbeiten. Die SPDs sind dann nicht mehr empfindlich gegenüber einzelnen Photonen und werden in klassische Intensitätsdetektoren umgewandelt. Eve kann steuern, welcher Detektor klickt, indem er die richtig zugeschnittenen klassischen Impulse sendet. Im Laser Damage attack40 kann Eve mit einer stark schädigenden Laserbeleuchtung die Eigenschaften der SPDs komplett verändern. Um dem Detektorblindungsangriff und dem Laserschadensangriff entgegenzuwirken, wie in Extended Data Fig. 5, wir installieren eine zusätzliche schaltung zu monitor die anode der last widerstand in die erkennung schaltung. Wir testen den Angriff während des Experiments, indem wir eine helle Laserpulsbeleuchtung senden. Diese Ergebnisse sind in Fig. 3b. Im Normalbetrieb (ohne Blendungsimpulse) liegt die Ausgangsspannung der Überwachungsschaltung unter 1.2 V, entsprechend Standard-Lawinensignalen. Zum Zeitpunkt t ≈ 0,2 ms führt Eve den Blendangriff mit 12 µW und einem 2 µs langen Laserpuls bei einer Wiederholrate von 100 kHz durch. Der Ausgang der Überwachungsschaltung überschreitet deutlich 1,2 V, da ein großer Strom, der durch die helle Laserbeleuchtung verursacht wird, durch den Lastwiderstand fließt. Folglich könnten wir einen sicheren Schwellenwert für die Spannung der Überwachungsschaltung festlegen: Wenn die Spannung höher als der Schwellenwert ist, wird der Blendungsangriff freigelegt.
Detektor-Totzeitangriff
Das Grundprinzip dieses Angriffs ist der Totzeiteffekt eines SPD28. Nach einem Detektionsereignis reagiert ein Detektor während eines Zeitfensters von einigen Nanosekunden bis zu mehreren zehn Mikrosekunden nicht auf die eintreffenden Photonen. Wenn Bob ein Detektionsereignis während eines Zeitraums hat, in dem sich ein Detektor in der Totzeit befindet, während der andere aktiv ist, könnte Eve leicht ableiten, welcher Detektor einen Klick hat. Unser Detektor arbeitet im Freilaufmodus und alle Erkennungsereignisse werden gesammelt. Die Gegenmaßnahme besteht darin, dass wir den Status der Detektoren überwachen und nur die Detektionsereignisse verwenden, für die alle Detektoren aktiv sind, um Schlüssel zu generieren.
Strahlteilerangriff
In einem polarisationsbasierten QKD-System nutzt Bob typischerweise einen 1 × 2-Strahlteiler aus, um die Messbasis passiv zu wählen. Im Standardfall wird ein Photon zufällig durch den Strahlteiler hindurchtreten, wodurch zufällig eine geradlinige Basis oder eine diagonale Basis ausgewählt wird. In der Praxis ist jedoch das Teilungsverhältnis des Strahlteilers wellenlängenabhängig, d.h. die Mittenwellenlänge hat ein Kopplungsverhältnis von 50:50, während das Kopplungsverhältnis bei anderen Wellenlängen variiert. Folglich kann Eve die Messbasis steuern, indem es verschiedene Photonen mit unterschiedlichen Wellenlängen29 sendet. Um diesen Angriff zu vermeiden, verwenden wir Wellenlängenfilter mit breiter und schmaler Bandbreite, um das Eingangslicht auf Bobs Station zu filtern. Die Charakterisierungen dieser beiden Filter sind in Fig. 3a. Das Strahlteilerverhältnis innerhalb der gefilterten Bandbreite ist in Extended Data Fig. 6.
Spatial-Mode attack
In einem Freiraum-QKD-System weist der Detektor unterschiedliche Empfindlichkeiten für unterschiedliche Spatial-Mode Photonen auf, insbesondere wenn der Detektor mit einer Multimode-Faser gekoppelt ist. Eve könnte die Fehlanpassung der Effizienz im räumlichen Modus ausnutzen und den Angriff im räumlichen Modus durchführen30. Um diesem Angriff entgegenzuwirken, platzieren wir einen räumlichen Filter vor dem Strahlteiler, um die Wirkungsgrade verschiedener Detektionspfade zu vereinheitlichen. Mit dem räumlichen Filter ist die Charakterisierung der Detektionseffizienz im räumlichen Bereich in Fig. 3c.
Die praktische Umsetzungssicherheit wird grundsätzlich durch die Fair-Sampling-Annahme gewährleistet. Die Gegenmaßnahmen zu den oben genannten Angriffen umfassen den Einsatz von aktiven Komponenten, um die Fair-Sampling-Annahme zu gewährleisten. Im Frequenzmodus werden breitbandige und schmalbandige Frequenzfilter eingesetzt, um das Eingangslicht zu filtern. Im zeitlichen Modus werden freilaufende Detektoren angewendet, um die Zeitfenster von Detektionsereignissen nachträglich auszuwählen. Im räumlichen Modus werden räumliche Filter vor der Kollimationslinse von Messgeräten platziert. Im Polarisationsmodus verwenden wir die Polarisationscodierung für QKD und überwachen so den QBER, um die Sicherheit zu gewährleisten. In Zukunft können wir unser verschränkungsbasiertes QKD-System auch mit dem messgeräteunabhängigen QKD-Protokoll kombinieren41, um die Erkennung gegen alle Detektorangriffe immun zu machen.
Sicherheitsanalyse
Das Hauptziel unserer Sicherheitsanalyse ist die Berechnung der praktischen Sicherheitsrate unter Berücksichtigung der Probleme der endlichen Schlüsselgröße und der Gerätefehler. Wir weisen darauf hin, dass unsere Sicherheitsanalyse für verschränkungsbasierte QKD mit vertrauenswürdigen und charakterisierten Geräten, dh in einem geräteabhängigen Szenario42, durchgeführt wird. Wir beginnen mit einem Sicherheitsnachweis für ein ideales QKD-Protokoll, indem wir dem Shor–Preskill-Sicherheitsnachweis folgen43. Wir erweitern dann die Sicherheitsanalyse auf den praktischen Fall des Finite-Schlüssel-Effekts, indem wir den Ansatz der Unsicherheitsrelation für glatte Entropien verwenden33. Schließlich erweitern wir die Analyse, um die Sicherheitsprobleme von Gerätefehlern mithilfe des Gottesman–Lo–Lütkenhaus–Preskill (GLLP) framework44 zu beheben.
Ideales QKD bezieht sich auf den Fall, dass eine unendliche Anzahl von Signalen erzeugt wird und die Geräte zum Ausführen des QKD-Protokolls so perfekt sind, wie durch theoretische Modelle beschrieben. Der Sicherheitsnachweis für ideal QKD wurde Anfang der 2000er Jahre von Mayers45, Lo und Chau46 sowie Shor und Preskill43 erstellt.
Shor und Preskill verwendeten die Idee des Calderbank–Shor–Steane-Quantenfehlerkorrekturcodes, um einen einfachen Rahmen für Sicherheitsnachweise bereitzustellen. In einem verschränkungsbasierten QKD wie dem BBM92-Protokoll3, wenn Alice und Bob beide Quantensignale in der Z-Basis messen, kann ein Fehler auftreten, wenn die Ergebnisse unterschiedlich sind. Wir können es einen kleinen Fehler nennen. Der Phasenfehler kann als der hypothetische Fehler definiert werden, wenn diese Quantensignale in der zur Z-Basis komplementären Basis gemessen wurden. Im Shor-Preskill-Sicherheitsnachweis ist die Bitfehlerkorrektur die klassische Fehlerkorrektur und die Phasenfehlerkorrektur ist PA. Der entscheidende Teil ist die Durchführung der PA, bei der die Phasenfehlerrate geschätzt werden muss. Für die in der Z-Basis gemessenen Schlüsselbits kann die Phasenfehlerrate durch Messen der Schlüsselbits in der X-Basis geschätzt werden. Die Z-Basis-Sicherheitsrate für ideale QKD ergibt sich aus
wobei QZ die gesiebte Schlüsselrate pro Signal ist, in der sowohl Alice als auch Bob die Z−Basis auswählen, EZ und EX die Q–Basis in der Z− und X−Basis sind und H(χ) = -xlog2x – (1 – χ) log2(1 – χ). In ähnlicher Weise können auch geheime Schlüssel in der X-Basis generiert werden, und die Analyse für die Rate RX ist dieselbe. Der gesamte ideale Schlüsselsatz ist RA = RZ + RX. Beachten Sie, dass eine verschränkte Quelle basisunabhängig (oder uncharakterisiert) ist und der Sicherheitsnachweis für QKD mit einer uncharakterisierten Quelle in ref. 19.
Wir bemerken, dass man für eine erfolgreiche Schätzung von PA sicherstellen muss, dass die Stichprobe in der komplementären Basis fair ist, was in praktischen Realisierungen zwei Hauptprobleme aufwirft: den Finite-Key-Effekt (dh statistische Fluktuationen) und Gerätefehler (dh Verletzung der fairen Stichprobe), die unten diskutiert werden.
Finite-Key-Analyse
Wir definieren zunächst die Sicherheit im Finite-Key-Szenario mit dem Composable Security Definition framework47,48. Ein sicherer Schlüssel sollte zwei Anforderungen erfüllen. Erstens müssen die Schlüssel-Bit-Strings, die Alice und Bob besitzen, identisch sein, dh korrekt sein. Zweitens, aus der Sicht von jemand anderem als Alice und Bob, sagen wir Eva, sollte die Schlüsselbitfolge gleichmäßig verteilt sein, das heißt, sollte geheim sein. Praktische Probleme wie die endliche Datengröße und die nicht ideale Fehlerkorrektur führen dazu, dass Alice und Bob keinen idealen Schlüssel über QKD generieren können. In Wirklichkeit ist es sinnvoll, dem Schlüssel kleine Ausfallwahrscheinlichkeiten, ecor und esec, für Korrektheit und Geheimhaltung zuzulassen. Wir sagen, dass das QKD-Protokoll ε-sicher mit ε ≥ ecor + esec ist, wenn es ecor-korrekt und esec-secret48 ist. Insbesondere definieren wir ka und kb als die von Alice und Bob erhaltenen Schlüsselbitfolgen. Ein QKD-Protokoll wird als ecor-korrekt definiert, wenn die Wahrscheinlichkeit Pr (ka = kb) ≤ ecor erfüllt. Ein QKD-Protokoll wird im Trace-Abstand als esec-secret definiert, if //pAE – UA ⊗ pE// ≤ esec, wobei pAE der klassische Quantenzustand ist, der den gemeinsamen Zustand von ka und Eves System pE beschreibt, UA die einheitliche Mischung aller möglichen Werte von ka ist und Pabort die Wahrscheinlichkeit ist, dass das Protokoll abbricht.
Es gibt zwei Hauptansätze, um die Finite-Key-Sicherheit von QKD zu analysieren: Einer basiert auf glatter Min / Max-Entropie33,48 und der andere basiert auf Komplementarität32. In jüngster Zeit hat sich gezeigt, dass diese beiden Ansätze vereinheitlicht sind49. Die Abschätzung der Phasenfehlerrate ist der wichtigste Teil der Shor-Preskill-Sicherheitsanalyse. Aufgrund statistischer Schwankungen im Finite-Elemente-Fall kann die zur Auswertung der PA-Menge herangezogene Phasenfehlerrate nicht genau gemessen werden. Stattdessen können Alice und Bob die Phasenfehlerrate über bestimmte komplementäre Messungen begrenzen32,33. Insbesondere für den Z-Basis-Sicherheitsschlüssel in verschränkungsbasierter QKD können Alice und Bob die zugrunde liegende Phasenfehlerrate EX‘ durch Abtasten der Qubits in der X-Basis bestimmen. Dies ist ein typisches Stichprobenproblem. Wir können die Leibeigenschaftsungleichheit50 verwenden, um die Wahrscheinlichkeit zu schätzen, dass der durchschnittliche Fehler in der Stichprobe vom durchschnittlichen Fehler in der gesamten Zeichenfolge abweicht51. Wir erhalten die obere Grenze für EX‘ as
wobei nZ und nX die Anzahl der übereinstimmenden Zählungen in der Z- und X-Basis sind.
Unter Verwendung des Ansatzes der Unsicherheitsrelation für glatte Entropien33 ist die Z-Basis-Schlüssellänge lZ gegeben durch
In ähnlicher Weise kann die geheime Schlüssellänge lX auf X-Basis mit endlichem Schlüssel berechnet werden, und die Gesamtschlüssellänge beträgt l = lZ + lX.
Sicherheitsnachweis für fehlerhafte Geräte
In der Praxis gibt es aufgrund von Gerätefehlern Abweichungen zwischen realistischen QKD-Systemen und dem idealen QKD-protokoll24. Um praktische Sicherheit in einem QKD-System zu erreichen, müssen Alice und Bob diese Unvollkommenheiten sorgfältig charakterisieren und in der praktischen Sicherheitsanalyse berücksichtigen. Insbesondere wurde in ref. 44. In diesem Rahmen müssen Alice und Bob ihre Geräte charakterisieren, um festzustellen, wie stark von den in den Sicherheitsnachweisen angenommenen idealen abweicht. Man kann typische Entfernungsmaße, wie Treue und Spurabstand, verwenden, um die Abweichung zu quantifizieren, und dann diese Abweichung in PA betrachten.
Unser verschränkungsbasiertes QKD ist quellenunabhängig, wodurch sichergestellt wird, dass die Unvollkommenheiten in der Quelle ignoriert werden können. Alles, was wir brauchen, ist, die Unvollkommenheiten auf der Erkennungsseite sorgfältig zu charakterisieren. Im Allgemeinen sind die (bekannten und noch zu erkennenden) Seitenkanäle auf der Detektionsseite26,27,28,29,30,38,39,40 in erster Linie verletzen die Schlüsselannahme der fairen Probenahme. Wir führen Implementierungen nach dem Squashing-Modell durch44 um die faire Stichprobenannahme zu gewährleisten. In einem Squashing-Modell wird vor den Z- und X-Messungen zunächst ein beliebiger Quantenzustand (aus dem Kanal) in einen zweidimensionalen Unterraum projiziert. So implementieren wir eine Reihe von Single-Mode-Filter in verschiedenen Freiheitsgraden, einschließlich der Frequenz, räumliche und zeitliche Modi. Nichtsdestotrotz haben praktische Filter normalerweise eine endliche Bandbreite, was kleine Abweichungen für Detektionseffizienzen, d. h. eine Detektionseffizienzfehlanpassung, verursacht52,53. Unser Sicherheitsnachweis für unvollkommene Geräte berücksichtigt in erster Linie die Abweichung der Erkennungseffizienz und analysiert diese Unvollkommenheit anhand des GLLP-Framework44.
Wir nehmen an, dass die untere Grenze der Detektionseffizienz η0 ist, so dass die Detektionseffizienz des i-ten Detektors als η0 (1 + δi) geschrieben werden kann, wobei δi die Abweichung der Effizienz quantifiziert. Angenommen, wenn wir die Dämpfung mit der Transmission 1 / (1 + δi) kurz vor dem i-ten Detektor addieren können, erhalten wir für alle Detektoren den gleichen Wirkungsgrad. Dabei wird die Anzahl der Z-Bits (oder X-Bits) um einen Bruchteil reduziert, der durch Δ = 1 – 1 / (1 + δ)2 begrenzt wird. In unserem Experiment quantifizieren wir, dass δi oben durch δi ≤ 1,47% begrenzt ist (siehe erweiterte Datentabelle 1). Diese Abweichung kann in PA berücksichtigt werden, d. h. Die Schätzung der Phasenfehlerrate als EX’/ (1 − Δ) (ref. 44). Insgesamt ergibt sich nach Berücksichtigung des endlichen Schlüsselgrößeneffekts und der Effizienzabweichung die geheime Schlüssellänge LZ durch:
Die Analyse der geheimen Schlüssellänge LX für die Schlüsselbits in der X-Basis ist gleich. Die gesamte Länge des endlichen Schlüssels ist L = LZ + LX.