Criptografía cuántica segura basada en entrelazamiento a más de 1.120 kilómetros
Implementación contra imperfecciones del dispositivo
En la práctica, las imperfecciones de implementaciones QKD realistas pueden introducir desviaciones (o canales laterales) de los modelos idealizados utilizados en el análisis de seguridad. Eve podría explotar estas imperfecciones y lanzar ataques cuánticos24. Nuestra implementación QKD basada en entrelazamiento está diseñada y caracterizada para proporcionar seguridad práctica contra ataques cuánticos conocidos y posibles lagunas en el futuro.
El QKD basado en entrelazamiento es naturalmente independiente de la fuente 2,19. Todo lo que necesitamos es considerar los canales laterales correctamente en la etapa de detección. Aquí, diseñamos un sistema de detección, elegimos aparatos bajo criterios estrictos para satisfacer las suposiciones de seguridad subyacentes y realizamos caracterizaciones cuidadosas para probar esas suposiciones. Observamos que nuestra implementación se basa en dispositivos confiables y caracterizados, es decir, en un escenario dependiente del dispositivo. Las implementaciones son en su mayoría técnicas comunes, pero podemos mantener la inmunidad a todos los ataques de detección conocidos, incluidos: ataque de desajuste de la eficiencia del detector 37,ataque de cambio de tiempo27, 38,ataque cegador del detector 26, 39, ataque de daño del detector 40, ataque de tiempo muerto del detector 28, ataque dependiente de la longitud de onda 29, ataque de modo espacial30 y otros posibles canales24. En la Tabla de Datos extendida 3, enumeramos los ataques reportados contra la detección, así como nuestras contramedidas para evitarlos. A continuación, daremos una descripción más detallada.
Ataque de desajuste de eficiencia
En la práctica, es difícil fabricar dos SPD con las mismas respuestas para diferentes grados de libertad. Es decir, los DOCUP prácticos presentan desajustes de eficiencia. Con el desajuste de eficiencia, Eve puede controlar parcialmente qué clics del detector mediante el envío sutil de las señales deseadas a Bob37. Por ejemplo, la mayoría de los sistemas QKD utilizan dos detectores de fotodiodos de avalancha cerrados, que producen un desfase de eficiencia dependiente del tiempo. Eve puede realizar un ataque de cambio de tiempo27, 38, cambiando la hora de llegada de cada señal, de modo que los resultados de detección de Bob estén sesgados en función del cambio de hora. Nuestra estrategia para contrarrestar el ataque de cambio de tiempo es que nuestro detector funcione en modo de funcionamiento libre. Registramos todos los eventos de detección y seleccionamos las ventanas de detección para garantizar que la eficiencia de detección esté a un nivel nominal. Para el desajuste de eficiencia en otros grados de freedom37, utilizamos filtros ópticos para filtrar la luz de entrada y eliminar el desajuste en los modos de frecuencia y espacial.
Ataque cegador del detector
En el ataque cegador del detector, Eve utiliza una iluminación láser brillante continua para forzar a los SPD a trabajar en el modo lineal. Los SPD ya no son sensibles a fotones individuales, y se convierten en detectores de intensidad clásicos. Eve puede controlar los clics de los detectores enviando pulsos clásicos a la medida adecuada de Bob. En el laser damage attack40, Eve puede usar una iluminación láser fuerte y dañina para cambiar completamente las propiedades de los SPD. Para contrarrestar el ataque cegador del detector y el ataque con daño láser, como se ilustra en Datos Extendidos Fig. 5, instalamos un circuito adicional para monitorear el ánodo de la resistencia de carga en el circuito de detección. Probamos el ataque durante el experimento enviando una brillante iluminación de pulso láser. Estos resultados se muestran en la Fig. 3b. En funcionamiento normal (sin pulsos cegadores), el voltaje de salida del circuito de monitoreo es inferior a 1.2 V, correspondiente a señales de avalancha estándar. En el tiempo t ≈ 0,2 ms, Eve realiza el ataque cegador utilizando 12 µW y un pulso láser de 2 µs de largo a una tasa de repetición de 100 kHz. La salida del circuito de monitoreo supera claramente los 1,2 V, porque una gran corriente causada por la iluminación láser brillante pasa a través de la resistencia de carga. En consecuencia, podríamos establecer un umbral seguro en el voltaje del circuito de monitoreo: si el voltaje es más alto que el umbral, expone el ataque cegador.
Detector de ataque en tiempo muerto
El principio básico de este ataque es el efecto en tiempo muerto de un SPD28. Después de un evento de detección, un detector no responde a los fotones entrantes durante una ventana de tiempo que va desde varios nanosegundos hasta decenas de microsegundos. Si Bob tiene un evento de detección durante un período de tiempo en el que un detector está en el período de tiempo muerto, mientras que el otro está activo, Eve podría inferir fácilmente qué detector tiene un clic. Nuestro detector funciona en modo de funcionamiento libre y se recopilan todos los eventos de detección. La contramedida es que monitoreamos el estado de los detectores y usamos solo aquellos eventos de detección para los que todos los detectores están activos para generar claves.
Ataque de divisor de haz
En un sistema QKD basado en polarización, Bob normalmente explota un divisor de haz de 1 × 2 para elegir pasivamente la base de medición. En el caso estándar, un fotón pasará aleatoriamente a través del divisor de haz, seleccionando así aleatoriamente una base rectilínea o una base diagonal. Sin embargo, en la práctica, la relación de división del divisor de haz depende de la longitud de onda, es decir, la longitud de onda central tiene una relación de acoplamiento de 50:50, mientras que la relación de acoplamiento varía para otras longitudes de onda. En consecuencia, Eve puede controlar la base de medición enviando fotones Bob con diferentes longitudes de onda 29. Para evitar este ataque, usamos filtros de longitud de onda de ancho de banda amplio y ancho de banda estrecho para filtrar la luz de entrada en la estación de Bob. Las caracterizaciones de estos dos filtros se muestran en la Fig. 3a. La relación de divisor de haz dentro del ancho de banda filtrado se caracteriza en Datos extendidos Fig. 6.
Ataque de modo espacial
En un sistema QKD de espacio libre, el detector tiene diferentes sensibilidades para diferentes fotones de modo espacial, especialmente cuando el detector está acoplado con una fibra multimodo. Eve podría explotar el desajuste de eficiencia en modo espacial y realizar el ataque en modo espacial30. Para contrarrestar este ataque, colocamos un filtro espacial frente al divisor de haz para uniformar la eficiencia de las diferentes rutas de detección. Con el filtro espacial, la caracterización de la eficiencia de detección en el dominio espacial se muestra en la Fig. 3c.
En general, la seguridad práctica de la implementación está garantizada esencialmente por el supuesto de muestreo justo. Las contramedidas a los ataques antes mencionados incluyen el uso de componentes activos para garantizar el supuesto de muestreo justo. En el modo de frecuencia, se emplean filtros de frecuencia de banda ancha y banda estrecha para filtrar la luz de entrada. En el modo temporal, se aplican detectores de ejecución libre para seleccionar las ventanas de tiempo de los eventos de detección. En el modo espacial, los filtros espaciales se colocan antes de la lente colimante de los dispositivos de medición. En el modo de polarización, utilizamos la codificación de polarización para QKD, supervisando así el QBER para garantizar la seguridad. En el futuro, también podemos combinar nuestro sistema QKD basado en entrelazamiento con el protocolo QKD independiente del dispositivo de medida41 para que la detección sea inmune a todos los ataques del detector.
Análisis de seguridad
El objetivo principal de nuestro análisis de seguridad es calcular la tasa de seguridad práctica teniendo en cuenta los problemas del tamaño de clave finita y las imperfecciones del dispositivo. Observamos que nuestro análisis de seguridad es para QKD basado en entrelazamiento con dispositivos confiables y caracterizados, es decir, en un escenario dependiente del dispositivo42. Comenzamos con una prueba de seguridad para un protocolo QKD ideal siguiendo la prueba de seguridad Shor–Preskill43. A continuación, ampliamos el análisis de seguridad al caso práctico del efecto de clave finita utilizando el enfoque de la relación de incertidumbre para entropías suaves33. Por último, ampliamos el análisis para abordar los problemas de seguridad de las imperfecciones de los dispositivos mediante el marco Gottesman–Lo–Lütkenhaus–Preskill (GLLP) 44.
Ideal QKD se refiere al caso en el que se genera un número infinito de señales y los dispositivos para ejecutar el protocolo QKD son tan perfectos como se describe en los modelos teóricos. La prueba de seguridad para QKD ideal fue establecida a principios de la década de 2000 por Mayers45, Lo y Chau46 y Shor y Preskill43.
Shor y Preskill emplearon la idea del código de corrección de errores cuánticos Calderbank–Shor–Steane para proporcionar un marco simple para la prueba de seguridad. En un QKD basado en entrelazamiento, como el protocolo BBM923, cuando Alice y Bob miden las señales cuánticas en la base Z, puede ocurrir un error cuando los resultados son diferentes. Podemos llamarlo un pequeño error. El error de fase se puede definir como el error hipotético si esas señales cuánticas se midieran en la base complementaria a la base Z. En la prueba de seguridad Shor–Preskill, la corrección de errores de bits es la corrección de errores clásica y la corrección de errores de fase es PA. La parte crucial es realizar el PA, en el que se necesita estimar la tasa de error de fase. Para los bits clave medidos en la base Z, la tasa de error de fase se puede estimar midiendo los bits clave en la base X. La tasa de seguridad basada en Z para QKD ideal viene dada por
donde QZ es la frecuencia de tecla tamizada por señal en la que Alice y Bob seleccionan la base Z, EZ y EX son el QBER en las bases Z y X, y H(χ) = −xlog2x – (1 − χ)log2(1 − χ). Del mismo modo, las claves secretas también se pueden generar en la base X, y el análisis para la tasa RX es el mismo. La tasa de clave ideal total es RA = RZ + RX. Tenga en cuenta que una fuente enredada es independiente de la base (o no está caracterizada), y la prueba de seguridad para QKD con una fuente no caracterizada se da en ref. 19.
Observamos que para una estimación exitosa de la AP, es necesario asegurarse de que el muestreo en la base complementaria sea justo, lo que en las realizaciones prácticas plantea dos problemas principales: el efecto de clave finita (es decir, fluctuaciones estadísticas) y las imperfecciones del dispositivo (es decir, violar el muestreo justo), que se discuten a continuación.
Análisis de clave finita
Primero definimos la seguridad en el escenario de clave finita con el marco de definición de seguridad componible 47,48. Una llave segura debe satisfacer dos requisitos. En primer lugar, las cadenas de bits de teclas que poseen Alice y Bob deben ser idénticas, es decir, correctas. En segundo lugar, desde el punto de vista de cualquier otra persona que no sea Alice y Bob, digamos Eve, la cadena de bits de clave debe distribuirse uniformemente, es decir, debe ser secreta. Problemas prácticos, como el tamaño finito de los datos y la corrección de errores no ideales, significan que Alice y Bob no pueden generar una clave ideal a través de QKD. En realidad, es razonable permitir que la clave tenga pequeñas probabilidades de fallo, ecor y esec, para que sea correcta y secreta. Decimos que el protocolo QKD es ε-seguro con ε ≥ ecor + esec, si es ecor-correcto y esec-secreto48. Específicamente, definimos ka y kb como las cadenas de bits clave obtenidas por Alice y Bob. Un protocolo QKD se define como ecor correcto si la probabilidad satisface Pr (ka = kb) ≤ ecor. Un protocolo QKD se define en distancia de trazas como esec-secreto, if / / pAE-UA pE pE / / ≤ esec, donde pAE es el estado cuántico clásico que describe el estado conjunto de ka y el sistema de Eve pE, UA es la mezcla uniforme de todos los valores posibles de ka, y Pabort es la probabilidad de que el protocolo aborte.
Hay dos enfoques principales para analizar la seguridad de clave finita de QKD: uno se basa en una entropía mínima/máxima fluida33,48 y el otro se basa en complementariidad32. Recientemente, se ha demostrado que estos dos enfoques son unificados49. La estimación de la tasa de error de fase es la parte más importante del análisis de seguridad de precalentamiento. Debido a las fluctuaciones estadísticas en el caso de clave finita, la tasa de error de fase utilizada para evaluar la cantidad de PA no se puede medir con precisión. En cambio, Alice y Bob pueden vincular la tasa de error de fase a través de ciertas mediciones complementarias32, 33. Específicamente, para la clave de seguridad de base Z en QKD basado en entrelazamiento, Alice y Bob pueden vincular la tasa de error de fase subyacente EX’ muestreando los qubits en la base X. Este es un problema típico de muestreo aleatorio. Podemos usar la inequidad de servilla50 para estimar la probabilidad de que el error promedio en la muestra se desvíe del error promedio en la cadena total51. Obtenemos el límite superior para EX ‘ as
donde nZ y nX son el número de conteos coincidentes en las bases Z y X.
Utilizando el enfoque de la relación de incertidumbre para entropías suaves33, la longitud de clave secreta de base Z lZ viene dada por
Del mismo modo, se puede calcular la longitud de clave secreta de clave finita de base X lX, y la longitud de clave total es l = lZ + lX.
Prueba de seguridad para dispositivos imperfectos
En la práctica, debido a las imperfecciones del dispositivo, existen desviaciones entre los sistemas QKD realistas y el protocolo QKD ideal 24. Para lograr una seguridad práctica en un sistema QKD, Alice y Bob deben caracterizar cuidadosamente estas imperfecciones y tenerlas en cuenta en el análisis práctico de seguridad. En particular, se estableció un marco general para el análisis de seguridad con dispositivos realistas en la ref. 44. En este marco, Alice y Bob necesitan caracterizar sus dispositivos para ver cuánta desviación hay de los ideales asumidos en las pruebas de seguridad. Uno puede emplear medidas de distancia típicas, como la fidelidad y la distancia de traza, para cuantificar la desviación, y luego considerar esta desviación en PA.
Nuestro QKD basado en entrelazamiento es independiente de la fuente, lo que garantiza que las imperfecciones de la fuente se puedan ignorar. Todo lo que necesitamos es caracterizar cuidadosamente las imperfecciones en el lado de detección. En general, los canales laterales (conocidos y por conocer) del lado de detección26,27,28,29,30,38,39,40 violar principalmente el supuesto clave de muestreo justo. Realizamos implementaciones siguiendo el modelo de aplastamiento 44 para garantizar el supuesto de muestreo justo. En un modelo de aplastamiento, un estado cuántico arbitrario (desde el canal) se proyecta primero a un subespacio bidimensional antes de las mediciones Z y X. Por lo tanto, implementamos una serie de filtros monomodo en diferentes grados de libertad, incluidos los modos de frecuencia, espacial y temporal. Sin embargo, los filtros prácticos normalmente tienen un ancho de banda finito, lo que causará pequeñas desviaciones para las eficiencias de detección, es decir,un desajuste de eficiencia de detección52, 53. Nuestra prueba de seguridad para dispositivos imperfectos considerará principalmente la desviación de la eficiencia de detección y analizará esta imperfección en el PA siguiendo el marco GLLP44.
Asumimos que el límite inferior de la eficiencia de detección es η0, por lo que la eficiencia de detección del detector i-ésimo se puede escribir como η0(1 + δi), donde δi cuantifica la desviación de la eficiencia. Supongamos que si podemos agregar atenuación con transmitancia 1/(1 + δi) justo antes del detector i, entonces obtendríamos la misma eficiencia para todos los detectores. Al hacerlo, el número de bits Z (o bits X) se reducirá en una fracción, limitada por Δ = 1-1/(1 + δ)2. En nuestro experimento, cuantificamos que δi está limitado por δi ≤ 1.47% (ver Tabla de Datos Extendidos 1). Esta desviación se puede considerar en PA, es decir, la estimación de la tasa de error de fase como EX ‘ /(1-Δ) (ref. 44). En general, después de considerar el efecto de tamaño de clave finita y la desviación de eficiencia, la longitud de clave secreta LZ está dada por:
El análisis de la longitud de clave secreta LX para los bits de clave en la base X es el mismo. La longitud total de clave finita es L = LZ + LX.