Entanglement-based secure quantum cryptography over 1,120 km

Implementation against device imperfections

in practice, the imperfections of realistic QKD implementations may into exceptions (or side channels) from the idealised models used in the security analysis. Eve saattaa käyttää näitä puutteita hyväkseen ja käynnistää quantum attacks24: n. Meidän entanglement-pohjainen QKD-toteutus on suunniteltu ja luonnehdittu tarjoamaan käytännön turvaa sekä tunnettuja kvanttihyökkäyksiä että mahdollisia tulevia porsaanreikiä vastaan.

sotkeutumispohjainen QKD on luonnollisesti lähde-independent2, 19. Sivukanavat pitää vain huomioida kunnolla havaitsemisvaiheessa. Täällä suunnittelemme tunnistusjärjestelmän, valitsemme laitteet tiukkojen kriteerien mukaisesti niiden perustana olevien turvallisuusoletusten täyttämiseksi ja suoritamme huolellisia luonnehdintoja noiden oletusten testaamiseksi. Toteamme, että toteutuksemme perustuu luotettuihin ja luonnehdittuihin laitteisiin, eli laiteriippuvaiseen skenaarioon. Toteutukset ovat enimmäkseen yleisiä tekniikoita, mutta voimme säilyttää immuniteetin kaikille tunnetuille tunnistushyökkäyksille, mukaan lukien: detector efficiency-mismatch attack37,time-shift attack27, 38,detector-blinding attack26, 39, detector-damage attack40, detector dead-time attack28, aallonpituusriippuvainen attack29, spatial-mode attack30 ja muut mahdolliset sivukanavat24. Laajennetussa Datataulukossa 3 listaamme raportoidut hyökkäykset havaitsemista vastaan sekä vastatoimemme niiden estämiseksi. Seuraavassa annamme yksityiskohtaisemman kuvauksen.

tehokkuus-epäsuhtaisku

käytännössä on vaikea valmistaa kahta yhtenäistä Ohjelmaasiakirjaa, joilla on samat vastaukset eri vapausasteisiin. Toisin sanoen käytännön yhtenäiset ohjelma-asiakirjat osoittavat tehokkuuden epäsuhtaa. Tehokkuuden epäsuhta, Eve voi osittain ohjata joka ilmaisin napsauttaa hienovaraisesti lähettää toivottuja signaaleja Bob37. Esimerkiksi useimmissa QKD-järjestelmissä käytetään kahta aidattua lumivyöryvalodiodinilmaisinta, jotka tuottavat ajasta riippuvan hyötysuhdevian. Eve voi suorittaa aikasiirtohyökkäyksen 27, 38, siirtämällä kunkin signaalin saapumisaikaa niin, että Bobin havaitsemistulokset ovat puolueellisia aikasiirtymän mukaan. Meidän strategiamme aikasiirtohyökkäyksen torjumiseksi on, että ilmaisimemme toimii vapaassa tilassa. Tallennamme kaikki tunnistustapahtumat ja jälkivalitsemme tunnistusikkunat siten, että tunnistustehokkuus on taatusti nimellistasolla. Tehokkuuden epäsuhta muissa asteissa freedom37, käytämme optisia suodattimia suodattaa tulovalon ja poistaa epäsuhta taajuus ja tilatilojen.

Detector-blinding attack

detector-blinding attack26: ssa Eve käyttää jatkuvaa kirkasta laservaloa pakottaakseen SPD: t toimimaan lineaarisessa tilassa. Tällöin SPD: t eivät ole enää herkkiä yksittäisille fotoneille, vaan ne muunnetaan klassisiksi intensiteettiantureiksi. Eve voi ohjata ilmaisimen napsahduksia lähettämällä Bobille oikein räätälöityjä klassisia pulsseja. Laser damage attack40: ssä Eve voi käyttää voimakasta vahingollista laservalaistusta muuttaakseen SPDs: n ominaisuudet kokonaan. Torjua ilmaisin-sokaiseva hyökkäys ja laser-vahinkoa hyökkäys, kuten on esitetty laajennettu Data Fig. 5, asennamme ylimääräisen piirin tarkkailemaan kuormitusvastuksen anodia havaitsemispiirissä. Testaamme hyökkäystä kokeen aikana lähettämällä kirkkaan laserpulssivalon. Nämä tulokset on esitetty kuvassa. 3B. normaalissa käytössä (ilman sokaisevia pulsseja) valvontapiirin lähtöjännite on alle 1.2 V, joka vastaa tavanomaisia lumivyörysignaaleja. Hetkellä t ≈ 0,2 ms Eve suorittaa sokaisuhyökkäyksen käyttäen 12 µW: ta ja 2 µs: n pituista laserpulssia 100 kHz: n toistotaajuudella. Valvontapiirin teho ylittää selvästi 1,2 V, koska kirkkaan laservalaistuksen aiheuttama suuri virta kulkee kuormitusvastuksen läpi. Näin ollen voisimme asettaa turvallisen kynnyksen valvontapiirin jännitteelle: jos jännite on korkeampi kuin kynnys, se altistaa sokaisevan hyökkäyksen.

Detector dead-time attack

tämän hyökkäyksen perusperiaatteena on SPD28: n dead-time-vaikutus. Havaitsemistapahtuman jälkeen ilmaisin ei reagoi saapuviin fotoneihin aikaikkunan aikana, joka vaihtelee useista nanosekunneista kymmeniin mikrosekunteihin. Jos Bobilla on havaitsemistapahtuma ajanjaksona, jolloin toinen ilmaisin on kuolleessa ajassa, kun toinen ilmaisin on aktiivinen, Eve voisi helposti päätellä, kummalla ilmaisimella on naksahdus. Ilmaisimemme toimii vapaassa tilassa, ja kaikki tunnistustapahtumat kerätään talteen. Vastatoimena on, että seuraamme ilmaisimien tilaa ja käytämme avainten tuottamiseen vain niitä tunnistustapahtumia, joihin kaikki ilmaisimet ovat aktiivisia.

Beam-splitter attack

polarisaatiopohjaisessa QKD-järjestelmässä Bob käyttää tyypillisesti 1 × 2 säteen jakajaa hyväkseen valitakseen passiivisesti mittausperusteen. Vakiotapauksessa fotoni kulkee satunnaisesti säteen jakajan läpi, jolloin valitaan satunnaisesti suora tai diagonaalinen perusta. Käytännössä säteen jakajan jakosuhde on kuitenkin aallonpituudesta riippuvainen, eli keskusaallonpituudella on kytkentäsuhde 50:50, kun taas kytkentäsuhde vaihtelee muilla aallonpituuksilla. Näin ollen Eve voi hallita mittausperustetta lähettämällä Bob-fotoneja eri aallonpituuksilla 29. Välttääksemme hyökkäyksen, käytämme laajakaistaisia ja kapeakaistaisia aallonpituussuodattimia Bobin aseman tulovalon suodattamiseen. Näiden kahden suodattimen luonnehdinnat on esitetty kuvassa. 3a. säteen jakaja suhde suodatetun kaistanleveyden on ominaista laajennettu Data Kuva. 6.

Spatial-mode attack

vapaan tilan QKD-järjestelmässä ilmaisimella on erilaisia herkkyyksiä eri spatial-mode-fotoneille, varsinkin kun ilmaisimeen on yhdistetty monitilakuitu. Eve pystyi hyödyntämään tilatilan hyötysuhteen epäsuhtaa ja suorittamaan tilatilan attack30: n. Torjuaksemme tämän hyökkäyksen, asetamme spatiaalisen suodattimen säteen jakajan eteen, jotta eri havaitsemispolkujen tehokkuus olisi yhdenmukainen. Spatial Filterin avulla spatial domainin tunnistustehokkuuden Luonnehdinta esitetään kuvassa. 3c.

yleisesti toteutuksen käytännön varmuus on oleellisesti taattu reilu otanta-oletuksella. Edellä mainittujen hyökkäysten vastatoimenpiteisiin kuuluu aktiivisten komponenttien käyttö oikeudenmukaista otantaa koskevan oletuksen takaamiseksi. Taajuustilassa käytetään laaja-ja kapeakaistaisia taajuussuodattimia tulovalon suodattamiseen. Temporaalitilassa vapaasti kulkevia ilmaisimia käytetään havaitsemistapahtumien aikaikkunoiden jälkeiseen valintaan. Spatiaalitilassa spatiaaliset suodattimet asetetaan mittalaitteiden kollimoivan linssin eteen. Polarisaatiotilassa käytämme QKD: n polarisaatiokoodausta, jolloin valvomme qber: tä turvallisuuden varmistamiseksi. Tulevaisuudessa saatamme myös yhdistää entanglement-pohjaisen QKD-järjestelmämme mittauslaitteista riippumattomaan QKD protocol41-protokollaan tehdäksemme tunnistuksesta immuunin kaikille ilmaisinhyökkäyksille.

tietoturva-analyysi

tietoturva-analyysimme päätavoitteena on laskea käytännön tietoturva-aste ottamalla huomioon äärellisen avaimen koon ja laitteen epätäydellisyydet. Huomautamme, että turvallisuusanalyysimme on takertumiseen perustuva QKD luotettujen ja luonnehdittujen laitteiden kanssa, eli laiteriippuvaisessa scenario42: ssa. Aloitamme turvallisuuden todiste ihanteellinen QKD protokolla seuraamalla Shor-Preskill security proof43. Tämän jälkeen laajennamme turvallisuusanalyysin koskemaan äärellisen keskeisen vaikutuksen käytännön tapausta käyttämällä epävarmuuden suhteen lähestymistapaa sujuviin entropioihin33. Lopuksi laajennamme analyysiä puuttumaan laitteen puutteisiin liittyviin turvallisuuskysymyksiin Gottesman–Lo–Lütkenhaus-Preskill (GLLP) – kehyksellä44.

Ideaalisella QKD: llä tarkoitetaan tapausta, jossa tuotetaan ääretön määrä signaaleja ja QKD-protokollaa käyttävät laitteet ovat yhtä täydellisiä kuin teoreettiset mallit ovat kuvanneet. Ideal QKD: n tietoturvatodiste perustettiin 2000-luvun alussa Mayers45: n, Lo: n ja Chau46: n sekä Shorin ja Preskill43: n toimesta.

Shor ja Preskill käyttivät ajatusta Calderbank–Shor-Steane quantum error correcting code-koodista tarjotakseen yksinkertaisen kehyksen tietoturvatodistelulle. Kietoutumiseen perustuvassa QKD: ssä, kuten BBM92 protocol3: ssa, kun Alice ja Bob molemmat mittaavat kvanttisignaaleja Z-pohjaisesti, voi tapahtua virhe, kun tulokset ovat erilaisia. Voimme kutsua sitä pieneksi virheeksi. Vaihevirhe voidaan määritellä hypoteettiseksi virheeksi, jos nämä kvanttisignaalit mitattiin Z-perustaa täydentävällä pohjalla. Shor-Presskill security proofissa bittivirheen korjaus on klassinen virheenkorjaus ja vaihevirheen korjaus on PA. Ratkaisevaa on suorittaa PA, jossa on arvioitava vaiheen virhetaso. Z-periaatteella mitattujen avainbittien vaihevirhetaajuus voidaan arvioida mittaamalla avainbittejä X-pohjalta. Ideaalisen QKD: n z-basis-turvallisuusaste saadaan

$${R}_{Z}\ge {Q} _ {Z}$$

missä QZ on siivilöity avainnopeus signaalia kohti, jossa sekä Alice että Bob valitsevat Z −perustan, EZ ja EX ovat QBER Z – ja X − emäksissä ja H(χ) = − xlog2x – (1-χ)log2(1-χ). Vastaavasti salaisia avaimia voidaan luoda myös X-pohjaisesti, ja nopeuden RX analyysi on sama. Ihanteellinen kokonaisavainkorko on Ra = RZ + RX. Huomaa, että sotkeutunut lähde on perusta riippumaton (tai uncharacterized), ja turvallisuus todiste QKD kanssa uncharacterized lähde on esitetty ref. 19.

huomautamme, että jotta PA: n arviointi onnistuisi, on varmistettava, että täydentävän perustan otanta on oikeudenmukainen, mikä käytännön toteutuksissa herättää kaksi suurta kysymystä: finite-key effect (eli tilastolliset vaihtelut) ja laitteen epätäydellisyydet (eli reilun otannan rikkominen), joita käsitellään jäljempänä.

Finite-key analysis

määrittelemme tietoturvan ensin finite-key-skenaariossa kompositioitavalla security definition framework47,48: lla. Turvallisen avaimen pitäisi täyttää kaksi vaatimusta. Ensinnäkin Alicen ja Bobin hallussa olevien keskeisten bittijonojen on oltava identtisiä eli oikeita. Toiseksi, näkökulmasta kukaan muu kuin Alice ja Bob, sanoa Eve, avain bit merkkijono pitäisi jakaa tasaisesti, eli pitäisi olla salainen. Käytännön ongelmat, kuten rajallinen tiedon koko ja ei-ihanteellinen Virhekorjaus, tarkoittavat, että Alice ja Bob eivät voi luoda ihanteellinen avain kautta QKD. Todellisuudessa on kohtuullista, että avaimella on pienet vikatodennäköisyydet, ecor ja esec, oikeellisuuden ja salassapidon kannalta. Sanomme, että QKD-protokolla on ε-turvallinen ε ≥ ecor + esec, jos se on ecor-correct ja esec-secret48. Erityisesti määrittelemme ka: n ja kb: n Alicen ja Bobin saamiksi keskeisiksi bittijonoiksi. QKD-protokolla määritellään ecor-oikeaksi, jos todennäköisyys täyttää pr (ka = kb) ≤ ecor. QKD-protokolla määritellään jäljitysetäisyydellä esec-salaiseksi, jos / / pAE-UA ⊗ pE|| ≤ esec, jossa pAE on ka: n ja Eevan systeemin yhteistä tilaa kuvaava klassinen kvanttitila pE, UA on kaikkien ka: n mahdollisten arvojen yhtenäinen seos ja Pabort on todennäköisyys, että protokolla keskeyttää.

QKD: n äärellisen avaimen turvallisuuden analysointiin on kaksi pääasiallista lähestymistapaa: toinen perustuu sileään min/max entropy33,48: aan ja toinen perustuu täydentävyyteen 32. Viime aikoina nämä kaksi lähestymistapaa ovat osoittautuneet yhdistyneiksi 49. Vaihevirhetason estimointi on Shor-Preskill-tietoturva-analyysin tärkein osa. Äärellisen avaintapauksen tilastollisten vaihtelujen vuoksi PA: n määrän arvioinnissa käytettyä vaihevirhetasoa ei voida mitata tarkasti. Sen sijaan Alice ja Bob voivat sitoa vaihevirhetason tiettyjen täydentävien mittausten kautta 32, 33. Erityisesti Z-base security key in entanglement-based QKD, Alice ja Bob voivat sitoa taustalla vaiheen virhetaso EX ’ näytteenotto qubits X perusteella. Tämä on tyypillinen satunnaisotannan ongelma. Voimme käyttää Serfling inequality50 arvioida todennäköisyys, että keskimääräinen virhe otoksessa poikkeaa keskimääräinen virhe koko string51. We obtain the upper limit for EX ’ as

$${E}_{X}{\prime} \le {E}_{X}+\sqrt{\frac{({n}_{X}+1)\log (1/{\varepsilon }_{\sec })}{2{n}_{X}({n} _ {X} + {n}_{Z})}}$$

missä nZ ja NX ovat Z-ja X-emästen rinnakkaislukujen lukumäärä.

käyttämällä sileän entropian epävarmuusrelaation lähestymistapaa33, Z-pohjaisen salaisen avaimen pituus lZ saadaan

$${l}_{Z}={n}_{Z}-{n}_{Z}h\,\left-{f}_{{\rm{e}}}{n}_{{\RM{E}_{Z}) -\, \log\frac {2} {{\varepsilon} _{{\RM {o}} {\rm {r}} {\varepsilon} _{\Sec} ^{2}}.$$

vastaavasti voidaan laskea X-pohjaisen äärellisen avaimen salaisen avaimen pituus lX, ja avaimen kokonaispituus on l = lZ + lX.

tietoturvatodiste epätäydellisille laitteille

käytännössä laitteiden puutteiden vuoksi realististen QKD-järjestelmien ja ihanteellisen QKD-protokollan24 välillä on poikkeamia. Saavuttaakseen käytännön turvallisuuden QKD-järjestelmässä, Alicen ja Bobin täytyy luonnehtia nämä puutteet huolellisesti ja ottaa ne huomioon käytännön turvallisuusanalyysissä. Erityisesti, yleinen kehys turvallisuusanalyysi realistisia laitteita luotiin ref. 44. Tässä yhteydessä Alice ja Bob täytyy luonnehtia laitteensa nähdä, kuinka paljon poikkeama on ihanteellinen oletettu turvallisuus vedoksia. Yksi voi käyttää tyypillinen etäisyys mittoja, kuten uskollisuus ja jäljittää etäisyys, kvantifioida poikkeama, ja sitten harkita tätä poikkeamaa PA.

takertumiseen perustuva QKD on lähderiippumaton, mikä varmistaa, että lähteen epätäydellisyydet voidaan jättää huomiotta. Meidän tarvitsee vain huolellisesti luonnehtia havaitsemispuolen puutteet. Yleensä (tunnetut ja tiedossa olevat) Sivukanavat havaitsemispuolella 26,27,28,29,30,38,39,40 riko ensisijaisesti keskeistä oletusta oikeudenmukaisesta otannasta. Suoritamme toteutuksia noudattamalla squashing model44-mallia taataksemme reilun otannan oletuksen. Squashing-mallissa mielivaltainen kvanttitila (kanavasta) projisoidaan ensin kaksiulotteiseen aliavaruuteen ennen Z-ja X-mittauksia. Joten, toteutamme sarjan yksitilasuodattimia eri vapausasteissa, mukaan lukien taajuus -, tila-ja aikatilat. Käytännön suodattimilla on kuitenkin yleensä rajallinen kaistanleveys, mikä aiheuttaa pieniä poikkeamia havaitsemistehokkuuteen, eli havaitsemistehokkuus on yhteensopimaton 52,53. Meidän turvallisuus todiste epätäydellinen laitteet ensisijaisesti harkita poikkeama havaitsemisen tehokkuutta, ja analysoida tätä epätäydellisyyttä pa seuraamalla GLLP framework44.

oletamme, että havaitsemistehokkuuden alaraja on η0, joten i: nnen detektorin havaitsemistehokkuus voidaan kirjoittaa η0(1 + δi), jossa δi kvantifioi tehokkuuden poikkeaman. Oletetaan, että jos voimme lisätä vaimennus läpäisykyky 1/(1 + δi) juuri ennen ith detector, niin saamme saman tehokkuuden kaikille ilmaisimille. Tällöin Z-bittien (tai X-bittien) määrä vähenee murto – osalla, jota Ylempi rajoittaa Δ = 1-1/(1 + δ)2. Kokeessamme määritämme, että δi on ylempi, jota rajoittaa δi ≤ 1,47% (Katso laajennettu Datataulukko 1). Tätä poikkeamaa voidaan tarkastella pa − arvona, eli vaiheen virhetason estimointina EX’/(1-Δ) (viite. 44). Kaiken kaikkiaan, kun otetaan huomioon äärellisen avaimen kokovaikutus ja hyötysuhteen poikkeama, salaisen avaimen pituus LZ saadaan:

$${L}_{Z}={n}_{Z}-{n}_{z}h\left-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-{N}_{Z}\varDelta -\log \frac{2}{{\varepsilon }_{{\RM{C}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\varepsilon} \ Sec} ^{2}}.$$

X-pohjan avainbittien salaisen avaimen pituuden LX analyysi on sama. Äärellisen avaimen kokonaispituus on L = LZ + LX.