Entanglement-baseret sikker kvantekryptografi over 1.120 kilometer

implementering mod enhedsfejl

i praksis kan ufuldkommenhederne i realistiske KVANTERIMPLEMENTERINGER indføre afvigelser (eller sidekanaler) fra de idealiserede modeller, der anvendes i sikkerhedsanalysen. Eve kan udnytte disse ufuldkommenheder og starte kvanteangreb24. Vores sammenfiltringsbaserede implementering er designet og karakteriseret til at give praktisk sikkerhed mod både kendte kvanteangreb og potentielle fremtidige smuthuller.

den entanglement-baserede KKD er naturligvis kilde-uafhængig 2,19. Alt, hvad vi har brug for, er at overveje sidekanalerne korrekt på detektionsstadiet. Her designer vi et detektionssystem, vælger apparater under strenge kriterier for at opfylde de underliggende sikkerhedsantagelser og udfører omhyggelige karakteriseringer for at teste disse antagelser. Vi bemærker, at vores implementering er baseret på pålidelige og karakteriserede enheder, det vil sige i et enhedsafhængigt scenario. Implementeringerne er for det meste almindelige teknikker, men vi kan opretholde immunitet over for alle kendte detektionsangreb, herunder: detektoreffektivitet-mismatch attack37, time-shift attack27,38, detector-blinding attack26,39, Detector-damage attack40, detector dead-time attack28, bølgelængdeafhængigt angreb29, spatial-mode attack30 og andre mulige sidekanaler24. I udvidet Datatabel 3 viser vi de rapporterede angreb mod detekteringen samt vores modforanstaltninger for at afværge dem. I det følgende vil vi give en mere detaljeret beskrivelse.

Efficiency-mismatch attack

i praksis er det vanskeligt at fremstille to SPD ‘ er med de samme svar for forskellige frihedsgrader. Det vil sige, praktiske SPD ‘ er præsenterer effektivitetsmismatch. Med effektivitetsmatchen kan Eve delvist styre, hvilken detektor der klikker ved subtilt at sende ønskede signaler til Bob37. For eksempel bruger de fleste af KKD-systemer to gated lavine fotodiode detektorer, som producerer en tidsafhængig effektivitetsmatch. Eve kan udføre et tidsskiftangreb27, 38, ved at skifte ankomsttidspunktet for hvert signal, så Bobs detektionsresultater er forudindtaget afhængigt af tidsskiftet. Vores strategi for at imødegå time-shift-angrebet er, at vores detektor fungerer i frit kørende tilstand. Vi registrerer alle detektionshændelser og vælger detektionsvinduerne efter valg, så detektionseffektiviteten garanteres at være på et nominelt niveau. For effektivitetsmatch i andre frihedsgrader37 bruger vi optiske filtre til at filtrere indgangslyset ud og eliminere uoverensstemmelsen i frekvens og rumlige tilstande.

detektor-blændende angreb

i detektor-blændende angreb26 bruger Eve en kontinuerlig lys laserbelysning til at tvinge SPD ‘ er til at arbejde i lineær tilstand. SPD ‘ erne er derefter ikke længere følsomme over for enkeltfotoner og omdannes til klassiske intensitetsdetektorer. Eve kan styre, hvilke detektor klik ved at sende Bob korrekt skræddersyet klassiske impulser. I laser damage attack40 kan Eve bruge en stærk skadelig laserbelysning til at ændre SPD ‘ ernes egenskaber fuldstændigt. For at imødegå detektor-blændende angreb og laser-skade angreb, som illustreret i udvidede Data Fig. 5, Vi installerer et ekstra kredsløb for at overvåge anoden for belastningsmodstanden i detektionskredsløbet. Vi tester angrebet under eksperimentet ved at sende en lys laserpulsbelysning. Disse resultater er vist i Fig. 3b. ved normal drift (uden blændende impulser) er udgangsspændingen på overvågningskredsløbet under 1.2 V, svarende til standard lavinesignaler. På tidspunktet for 0,2 ms udfører Eve det blændende angreb ved hjælp af 12 kg og en 2 kg lang laserpuls med en gentagelseshastighed på 100 kg. Udgangen af overvågningskredsløbet overstiger klart 1,2 V, fordi en stor strøm forårsaget af den lyse laserbelysning passerer gennem belastningsmodstanden. Derfor kunne vi indstille en sikker tærskel på spændingen i overvågningskredsløbet: hvis spændingen er højere end tærsklen, udsætter den det blændende angreb.

detektor dead-time attack

det grundlæggende princip for dette angreb er dead-time effekten af en SPD28. Efter en detektionshændelse reagerer en detektor ikke på de indkommende fotoner i et tidsvindue, der spænder fra flere nanosekunder til snesevis af mikrosekunder. Hvis Bob har en detektionshændelse i en periode, hvor en detektor er i dødtiden, mens den anden er aktiv, Eve kunne let udlede, hvilken detektor der har et klik. Vores detektor fungerer i frit kørende tilstand, og alle detekteringshændelser indsamles. Modforanstaltningen er, at vi overvåger detektorens status og kun bruger de detektionshændelser, som alle detektorer er aktive til at generere nøgler.

Beam-splitter attack

i et polarisationsbaseret KKD-system udnytter Bob typisk en 1 liter 2 stråledeler til passivt at vælge målegrundlaget. I standard tilfælde vil en foton tilfældigt passere gennem stråledeleren og således tilfældigt vælge et retlinet grundlag eller et diagonalt grundlag. I praksis er opdelingsforholdet for strålesplitteren imidlertid bølgelængdeafhængig, dvs.centerbølgelængden har et koblingsforhold på 50:50, hvorimod koblingsforholdet varierer for andre bølgelængder. Derfor kan Eve styre målegrundlaget ved at sende Bobfotoner med forskellige bølgelængder29. For at undgå dette angreb bruger vi bredbåndsbånd og smalle båndbreddebølgelængdefiltre til at filtrere indgangslyset på Bobs station. Karakteriseringerne af disse to filtre er vist i Fig. 3a. stråledelingsforholdet inden for den filtrerede båndbredde er kendetegnet ved udvidede Data Fig. 6.

Spatial-mode attack

i et FRIRUMSSYSTEM har detektoren forskellige følsomheder for forskellige rumlige fotoner, især når detektoren er koblet med en multi-mode fiber. Eve kunne udnytte den spatial-mode effektivitet mismatch og udføre spatial-mode attack30. For at imødegå dette angreb placerer vi et rumligt filter foran stråledeleren for at gøre effektiviteten af forskellige detektionsstier ensartet. Med det rumlige filter er karakteriseringen af detektionseffektiviteten i det rumlige domæne vist i Fig. 3c.

generelt er den praktiske sikkerhed ved implementering i det væsentlige garanteret af antagelsen om fair-sampling. Modforanstaltningerne mod ovennævnte angreb omfatter anvendelse af aktive komponenter for at sikre en rimelig prøveudtagningsantagelse. I frekvenstilstanden anvendes bredbånds-og smalbåndsfrekvensfiltre til filtrering af indgangslyset. I den tidsmæssige tilstand anvendes friløbsdetektorer til at vælge tidsvinduerne for detektionshændelser. I rumlig tilstand placeres rumlige filtre før kollimeringslinsen på måleenheder. I polarisationstilstand bruger vi polarisationskodningen til KKD og overvåger således KBB ‘ en for at sikre sikkerheden. I fremtiden kan vi også kombinere vores sammenfiltringsbaserede KKD-system med den måleenhed-uafhængige KKD-protokol 41 for at gøre detektion immun mod alle detektorangreb.

sikkerhedsanalyse

hovedmålet med vores sikkerhedsanalyse er at beregne den praktiske sikkerhedsrate ved at overveje problemerne med den endelige nøglestørrelse og enhedsfejl. Vi bemærker, at vores sikkerhedsanalyse er for indfiltringsbaseret KKD med pålidelige og karakteriserede enheder, det vil sige i et enhedsafhængigt scenario42. Vi starter med et sikkerhedsbevis for en ideel KKD–protokol ved at følge Shor-Preskill security proof43. Vi udvider derefter sikkerhedsanalysen til det praktiske tilfælde af den endelige nøgleeffekt ved at bruge tilgangen til usikkerhedsrelation til glatte entropier33. Endelig udvider vi analysen til at løse sikkerhedsproblemerne ved enhedsfejl ved hjælp af Gottesman–Lo–L Pristkenhaus–Preskill (GLLP) ramme44.

ideel KKD henviser til det tilfælde, hvor der genereres et uendeligt antal signaler, og enhederne til at køre KKD-protokollen er lige så perfekte som beskrevet af teoretiske modeller. Sikkerhedsbeviset for ideal KKD blev etableret i begyndelsen af 2000 ‘ erne af Mayers45, Lo og Chau46 og Shor og Preskill43.

Shor og Preskill anvendte ideen om calderbank–Shor–Steane kvantefejlkorrektionskode for at give en simpel ramme for sikkerhedsbevis. BBM92-protokollen3, når Alice og Bob begge måler kvantesignaler i å-basis, kan der opstå en fejl, når resultaterne er forskellige. Vi kan kalde det en smule fejl. Fasefejlen kan defineres som den hypotetiske fejl, hvis disse kvantesignaler blev målt i basis komplementært til Å basis. I Shor-Preskill sikkerhed bevis, bit fejlkorrektion er klassisk fejlkorrektion og fase fejlkorrektion er PA. Den afgørende del er at udføre PA, hvor man skal estimere fasefejlfrekvensen. For nøglebitene målt i å-basis kan fasefejlfrekvensen estimeres ved at måle nøglebitene i H-basis. Sikkerhedsprocenten for den ideelle KKD er givet af

$${R} _ {å} \ ge {å}_{å}$$

signal, hvor både Alice og Bob vælger å-basis, er å-OG Å-basis, og H (kur) = – å-log2 (1 − kur)log2(1-kur). På samme måde kan hemmelige nøgler også genereres i basis, og analysen for satsen rks er den samme. Den samlede ideelle nøgletal er RA = RS + RS. Bemærk, at en indviklet kilde er basisuafhængig (eller ukarakteriseret), og sikkerhedsbeviset for KKD med en ukarakteriseret kilde er angivet i ref. 19.

vi bemærker, at for at en vellykket estimering af PA skal man sørge for, at prøveudtagningen i det komplementære grundlag er retfærdig, hvilket i praktiske realiseringer rejser to store spørgsmål: den endelige nøgleeffekt (det vil sige statistiske udsving) og enhedsfejl (det vil sige at krænke den retfærdige prøveudtagning), diskuteret nedenfor.

endelig nøgleanalyse

vi definerer først sikkerheden i det endelige nøglescenarie med det sammensatte sikkerhedsdefinitionsramme47,48. En sikker nøgle skal opfylde to krav. For det første skal Nøglebitstrengene, som Alice og Bob besidder, være identiske, det vil sige at være korrekte. For det andet, set fra andre end Alice og Bob, siger Eve, skal nøglebitstrengen fordeles ensartet, det vil sige, skal være hemmelig. Praktiske problemer, såsom den endelige datastørrelse og ikke-ideel fejlkorrektion, betyder, at Alice og Bob ikke kan generere en ideel nøgle via KKD. I virkeligheden er det rimeligt at lade nøglen have små fejlsandsynligheder, ecor og esec, for korrekthed og hemmeligholdelse. Vi siger, at KKD-protokollen er Kristian-secure med Kristian ecor + esec, hvis den er ecor-correct og esec-secret48. Specifikt definerer vi ka og kb for at være de vigtigste bitstrenge opnået af Alice og Bob. En KKD-protokol er defineret til at være ecor-korrekt, hvis sandsynligheden opfylder pr(ka = kb) liter ecor. Hvis|| Pae − ua ren pe / / ren esec, hvor pAE er den klassiske kvantetilstand, der beskriver den fælles tilstand af ka og Eve ‘ s system pE, er UA den ensartede blanding af alle mulige værdier af ka, og Pabort er sandsynligheden for, at protokollen afbrydes.

der er to hovedmetoder til analyse af den endelige nøglesikkerhed for KKD: den ene er baseret på glat min/maks entropi33,48 og den anden er baseret på komplementaritet32. For nylig har disse to tilgange vist sig at være forenet49. Estimeringen af fasefejlfrekvensen er den vigtigste del af Shor–Preskill-sikkerhedsanalysen. På grund af statistiske udsving i finite-key-sagen kan fasefejlfrekvensen, der anvendes til evaluering af mængden af PA, ikke måles nøjagtigt. I stedet kan Alice og Bob binde fasefejlfrekvensen via visse komplementære målinger32,33. For eksempel kan Alice og Bob sammenbinde den underliggende fasefejlfrekvens ved at prøve kvbits i basis. Dette er et typisk tilfældigt prøveudtagningsproblem. Vi kan bruge serfling ulighed 50 til at estimere sandsynligheden for, at den gennemsnitlige fejl på prøven afviger fra den gennemsnitlige fejl på den samlede streng51. Vi får den øvre grænse for eks ‘ som

$${E}_{n} {\prime} \ le {E}_{N}+ \ \ S {\frac {({n}_{n}+1) \ log (1 / {\varepsilon } _{\sec})} {2{N}_{S}({n}_{S} + {n}_{S})}}$$

hvor ns og NS er antallet af sammenfaldende tællinger i NS og baserne.

ved at bruge tilgangen til usikkerhedsforholdet for glatte entropier33 er den hemmelige nøglelængde på basis af

$${l}_{å}={n}_{å}-{n}_{å}H\,\left-{f}_{{\rm{e}}}{n}_{å}H({E}_{å})-\,\log \frac{2}{{\RM {c}} {\rm{o}} {\rm{r}} {\rm{R}}{\varepsilon} _{\sec }^{2}}.$$

på samme måde kan den endelige nøglelængde beregnes, og den samlede nøglelængde er l = l + l.

sikkerhed bevis for ufuldkomne enheder

i praksis, på grund af enhedens ufuldkommenheder, der findes afvigelser mellem realistiske kvalitetssikringssystemer og den ideelle KVALITETSSIKRINGSPROTOKOL24. For at opnå praktisk sikkerhed i et KKD-system er Alice og Bob nødt til at karakterisere disse ufuldkommenheder omhyggeligt og tage dem i betragtning i den praktiske sikkerhedsanalyse. Navnlig blev der etableret en generel ramme for sikkerhedsanalyse med realistiske enheder i ref. 44. I denne ramme er Alice og Bob nødt til at karakterisere deres enheder for at se, hvor meget afvigelse der er fra de ideelle, der antages i sikkerhedsbeviserne. Man kan anvende typiske afstandsforanstaltninger, som troskab og sporafstand, for at kvantificere afvigelsen og derefter overveje denne afvigelse i PA.

vores sammenfiltringsbaserede KKD er kildeuafhængig, hvilket sikrer, at manglerne i kilden kan ignoreres. Alt, hvad vi har brug for, er at omhyggeligt karakterisere ufuldkommenhederne i detektionssiden. Generelt er de (kendte og kendte) sidekanaler på detektionssiden26,27,28,29,30,38,39,40 primært overtræder den centrale antagelse om retfærdig prøveudtagning. Vi udfører implementeringer ved at følge klemmodellen44 for at garantere den retfærdige prøveudtagningsantagelse. I en kvastmodel projiceres en vilkårlig kvantetilstand (fra kanalen) først til et todimensionelt underrum før målingerne. Så vi implementerer en række single-mode filtre i forskellige frihedsgrader, herunder frekvens, rumlige og tidsmæssige tilstande. Ikke desto mindre har praktiske filtre normalt begrænset båndbredde, hvilket vil medføre små afvigelser for detektionseffektivitet, det vil sige en detektionseffektivitetsmismatch52, 53. Vores sikkerhedsbevis for ufuldkomne enheder vil primært overveje afvigelsen af detektionseffektiviteten og analysere denne ufuldkommenhed i PA ved at følge gllp-rammearbejdet44.

vi antager, at den nedre grænse for detektionseffektivitet er KR0, så detektionseffektiviteten af ith-detektoren kan skrives som KR0(1 + krei), hvor krei kvantificerer effektivitetsafvigelsen. Antag, at hvis vi kan tilføje dæmpning med transmittans 1/(1 + Kursi) lige før ith-detektoren, ville vi opnå lige effektivitet for alle detektorer. Ved at gøre dette reduceres antallet af bits (eller bits) med en brøkdel, øvre afgrænset af LR = 1-1 / (1 + LR)2. I vores eksperiment kvantificerer vi, at Kursi er øvre afgrænset af Kursi kursi 1,47% (se udvidet Datatabel 1). Denne afvigelse kan overvejes i PA, det vil sige estimeringen af fasefejlfrekvensen som eks’/(1 − liter) (ref. 44). Samlet set, efter at have overvejet den endelige nøglestørrelseseffekt og effektivitetsafvigelsen, er den hemmelige nøglelængde givet af:

$${L}_{Vardelta-\log\frac{2} {{\varepsilon}_{{\rm {c}} {\rm{o}} {\rm{r}} {{\Vardelta-\log\frac{2} {{\varepsilon}_{{\rm {c}} {\rm{o}} {\rm{r}} {\varepsilon}_{{\RM {c}} {\rm {o}} {\rm {r}} {\varepsilon}_{\sek} ^{2}}.$$

analysen af den hemmelige nøglelængde for nøglebitene i basis er den samme. Den samlede endelige nøglelængde er L = L + L.