összefonódás-alapú biztonságos kvantumkriptográfia 1120 kilométer felett

megvalósítás eszközhibák ellen

a gyakorlatban a valósághű QKD megvalósítások hiányosságai eltéréseket (vagy oldalsó csatornákat) vezethetnek be a biztonsági elemzésben használt idealizált modellektől. Eve kihasználhatja ezeket a tökéletlenségeket, és kvantumtámadásokat indíthat24. Összefonódáson alapuló QKD implementációnkat úgy terveztük és jellemeztük, hogy gyakorlati biztonságot nyújtson mind az ismert kvantumtámadások, mind a potenciális jövőbeli kiskapuk ellen.

az összefonódáson alapuló QKD természetesen forrásfüggetlen2,19. Csak az oldalsó csatornákat kell megfelelően figyelembe venni az észlelési szakaszban. Itt egy felderítő rendszert tervezünk, szigorú kritériumok alapján választunk készüléket az alapul szolgáló biztonsági feltételezések kielégítéséhez, és gondos jellemzéseket hajtunk végre ezen feltételezések teszteléséhez. Megjegyezzük, hogy megvalósításunk megbízható és jellemzett eszközökön alapul, azaz eszközfüggő forgatókönyvben. A megvalósítások többnyire általános technikák, de fenntarthatjuk az immunitást minden ismert detektálási támadással szemben, beleértve: detektor hatékonyság-mismatch attack37,time-shift attack27, 38,detektor-vakító attack26, 39, detektor-damage attack40, detektor dead-time attack28, hullámhossz-függő attack29, térbeli módú attack30és más lehetséges oldalsó csatornák24. A kiterjesztett adattáblázatban 3, felsoroljuk az észlelés elleni bejelentett támadásokat, valamint azok elhárítására irányuló ellenintézkedéseinket. A következőkben részletesebb leírást adunk.

Efficiency-mismatch attack

a gyakorlatban nehéz két SPD-t gyártani azonos válaszokkal a különböző szabadságfokra. Vagyis a gyakorlati SPD-k hatékonysági eltérést mutatnak. A hatékonysági eltéréssel az Eve részben szabályozhatja, hogy melyik detektor kattan, finoman elküldve a kívánt jeleket a Bob37-nek. Például a QKD rendszerek többsége kettőt használ kapuzott avalanche fotodióda detektorok, amelyek időfüggő hatékonysági eltérést eredményeznek. Eve képes időeltolódási támadást végrehajtani27, 38, Az egyes jelek érkezési idejének eltolásával, így Bob észlelési eredményei az időeltolódástól függően elfogultak. Az időeltolódás elleni támadás elleni stratégiánk az, hogy detektorunk szabadon futó módban működik. Az összes észlelési eseményt rögzítjük, majd az észlelési ablakokat úgy választjuk ki, hogy az észlelési hatékonyság garantáltan névleges szinten legyen. A freedom37 más fokozatainak hatékonysági eltéréseihez optikai szűrőket használunk a bemeneti fény kiszűrésére és a frekvencia és a térbeli módok közötti eltérés kiküszöbölésére.

detektor-vakító támadás

a detektor-vakító támadásban26 az Eve folyamatos, fényes lézeres megvilágítást használ az SPD-k lineáris üzemmódban történő működésére. Az SPD-k ekkor már nem érzékenyek az egyes fotonokra, és klasszikus intenzitásdetektorokká alakulnak. Eve vezérelheti, hogy mely detektor kattintások küldésével Bob megfelelően szabott Klasszikus impulzusok. A laser damage attack40-ben az Eve erős káros lézer megvilágítással teljesen megváltoztathatja az SPD tulajdonságait. A detektor-vakító támadás és a lézerkárosító támadás ellen, amint azt a kiterjesztett adatok ábra szemlélteti. 5, telepítünk egy további áramkört a terhelési ellenállás anódjának ellenőrzésére az érzékelő áramkörben. A kísérlet során a támadást fényes lézerimpulzus megvilágítás küldésével teszteljük. Ezek az eredmények ábrán látható. 3b. normál üzemmódban (vakító impulzusok nélkül) a felügyeleti áramkör kimeneti feszültsége 1 alatt van.2 V, amely megfelel a szokásos lavinajeleknek. A t 0,2 ms-os időpontban az Eve a vakító támadást 12 MHz-es és egy 2-KB hosszú lézerimpulzussal hajtja végre 100 kHz ismétlési frekvencián. A monitoring áramkör kimenete egyértelműen meghaladja az 1,2 V-ot, mivel a fényes lézeres megvilágítás által okozott nagy áram áthalad a terhelési ellenálláson. Következésképpen biztonságos küszöböt állíthatunk be a megfigyelő áramkör feszültségére: ha a feszültség magasabb, mint a küszöbérték, akkor kiteszi a vakító támadást.

detektor holtidő támadás

ennek a támadásnak az alapelve az SPD28 holtidő hatása. Detektálási esemény után a detektor nem reagál a bejövő fotonokra egy időablak alatt, amely több nanoszekundumtól tíz mikroszekundumig terjed. Ha Bobnak észlelési eseménye van egy olyan időszakban, amikor az egyik detektor holtidőszakban van, míg a másik aktív, Eve könnyen megállapíthatja, hogy melyik detektornak van kattanása. Detektorunk szabadon futó módban működik, és minden észlelési esemény összegyűjtésre kerül. Az ellenintézkedés az, hogy figyelemmel kísérjük a detektorok állapotát, és csak azokat az észlelési eseményeket használjuk, amelyekre az összes detektor aktív a kulcsok előállításához.

Beam-splitter attack

polarizáción alapuló QKD rendszerben a Bob általában egy 1 db 2 gerenda elosztót használ ki, hogy passzívan válassza ki a mérési alapot. A standard esetben egy foton véletlenszerűen áthalad a sugárelosztón, így véletlenszerűen választva egy egyenes vonalú alapot vagy egy átlós alapot. A gyakorlatban azonban a sugárelosztó hasítási aránya hullámhossztól függ, vagyis a középső hullámhossz kapcsolási aránya 50:50, míg a kapcsolási Arány más hullámhosszaknál változik. Következésképpen az Eve különböző hullámhosszú Bob fotonok küldésével szabályozhatja a mérési alapot. 29. A támadás elkerülése érdekében széles sávszélességű és keskeny sávszélességű hullámhossz-szűrőket használunk Bob állomásának bemeneti fényének szűrésére. E két szűrő jellemzését az ábra mutatja. 3a.a szűrt sávszélességen belüli sugárelosztó arányt kiterjesztett adatok jellemzik. 6.

térbeli módú támadás

szabad térű QKD rendszerben a detektor különböző érzékenységgel rendelkezik a különböző térbeli módú fotonokra, különösen akkor, ha a detektor több módú szálral van összekapcsolva. Az Eve kihasználhatja a térbeli mód hatékonysági eltérését, és végrehajthatja a térbeli módú támadást30. Ennek a támadásnak a ellensúlyozására térbeli szűrőt helyezünk a sugárelosztó elé, hogy a különböző észlelési utak hatékonysága egyenletes legyen. A térbeli szűrővel a térbeli tartomány detektálási hatékonyságának jellemzése Az ábrán látható. 3c.

a végrehajtás gyakorlati biztonságát általában a tisztességes mintavétel feltételezése garantálja. A fent említett támadásokkal szembeni ellenintézkedések magukban foglalják az aktív összetevők használatát a tisztességes mintavétel feltételezésének garantálása érdekében. Frekvencia módban széles sávú és keskeny sávú frekvenciaszűrőket alkalmaznak a bemeneti fény szűrésére. Időbeli módban szabadon futó detektorokat alkalmaznak az észlelési események időablakainak utólagos kiválasztására. Térbeli módban a térbeli szűrőket a mérőeszközök kollimáló lencséje előtt helyezik el. Polarizációs módban a QKD polarizációs kódolását használjuk, így figyelemmel kísérjük a QBER-t a biztonság biztosítása érdekében. A jövőben összekapcsolhatjuk összefonódáson alapuló QKD rendszerünket a mérőeszköztől független QKD protocol41-vel is, hogy a detektálás immunis legyen az összes detektor támadással szemben.

biztonsági elemzés

biztonsági elemzésünk fő célja a gyakorlati biztonsági ráta kiszámítása a véges kulcsméret és az eszköz hiányosságainak figyelembevételével. Megjegyezzük, hogy biztonsági elemzésünk az összefonódáson alapuló QKD-re vonatkozik megbízható és jellemzett eszközökkel, azaz egy eszközfüggő forgatókönyvben42. Az ideális QKD protokoll biztonsági bizonyítékával kezdjük a Shor–Preskill security proof43 követésével. Ezután kiterjesztjük a biztonsági elemzést a véges kulcshatás gyakorlati esetére a bizonytalansági viszony megközelítésének alkalmazásával a sima entrópiákhoz33. Végül kiterjesztjük az elemzést az eszközhibák biztonsági problémáinak kezelésére a Gottesman–Lo–l Enterprisehaus–Preskill (GLLP) keretrendszer44 használatával.

az ideális QKD arra az esetre utal, amikor végtelen számú jel keletkezik, és a QKD protokollt futtató eszközök ugyanolyan tökéletesek, mint az elméleti modellek. Az ideal QKD biztonsági bizonyítékát a 2000-es évek elején hozták létre Mayers45, Lo és Chau46, valamint Shor és Preskill43.

Shor és Preskill a Calderbank–Shor–Steane quantum error correcting code ötletét alkalmazták, hogy egy egyszerű keretet biztosítsanak a biztonság bizonyításához. Egy összefonódás-alapú QKD-ben, mint például a BBM92 protokoll3, amikor Alice és Bob egyaránt mérik a kvantumjeleket A Z alapon, hiba léphet fel, ha az eredmények eltérőek. Ezt nevezhetjük egy kis hibának. A fázishiba hipotetikus hibaként definiálható, ha ezeket a kvantumjeleket A Z bázist kiegészítő alapon mértük. A Shor-Preskill biztonsági bizonyítékban a bit hibajavítás klasszikus hibajavítás, a fázis hibajavítás pedig PA. A döntő rész a PA végrehajtása, amelyben meg kell becsülni a fázis hibaarányát. A Z alapon mért kulcsbitek esetében a fázishiba-arány a kulcsbitek x alapon történő mérésével becsülhető meg. Az ideális QKD Z-alapú biztonsági rátáját a

$${R} _ {Z} \ ge {Q} _ {Z}$$

ahol QZ a szignálonkénti átszitált kulcssebesség, amelyben mind Alice, mind Bob kiválasztja a Z bázist, EZ és EX a QBER A Z és X bázisokban, és H ( ++ ) = −xlog2x – (1−++) log2(1−++). Hasonlóképpen, titkos kulcsok is generálhatók az X alapon, és az RX Arány elemzése ugyanaz. A teljes ideális kulcsarány RA = RZ + RX. Vegye figyelembe, hogy egy kusza forrás alapfüggetlen (vagy nem jellemző), és a QKD biztonsági bizonyítékát egy nem jellemző forrással a ref. 19.

megjegyezzük, hogy a PA sikeres becsléséhez meg kell győződni arról, hogy a kiegészítő alapon történő mintavétel tisztességes-e, ami a gyakorlati megvalósításokban két fő kérdést vet fel: a véges kulcshatás (azaz statisztikai ingadozások) és az eszköz hiányosságai (vagyis a tisztességes mintavétel megsértése), az alábbiakban tárgyaljuk.

Végeskulcs-elemzés

a biztonságot először a végeskulcs-forgatókönyvben határozzuk meg a composable security definition framework47,48 segítségével. A biztonságos kulcsnak két követelménynek kell megfelelnie. Először is, az Alice és Bob által birtokolt kulcsfiguráknak azonosnak kell lenniük, vagyis helyesnek kell lenniük. Másodszor, Alice-n és bobon kívül bárki más szemszögéből, mondjuk Eve, a kulcsbit karakterláncot egyenletesen kell elosztani, Vagyis titkosnak kell lennie. A gyakorlati problémák, mint például a véges adatméret és a nem ideális hibajavítás, azt jelentik, hogy Alice és Bob nem tudnak ideális kulcsot generálni a QKD-n keresztül. A valóságban ésszerű megengedni, hogy a kulcs kis hibalehetőségekkel rendelkezzen, ecor és esec, a helyesség és a titoktartás érdekében. Mi azt mondjuk, hogy a QKD protokoll A (Z) ecor + esec-vel együtt, ha ecor-correct és esec-secret48. Pontosabban a KA-t és a kb-t definiáljuk az Alice és Bob által kapott kulcsbites karakterláncoknak. A QKD protokoll akkor ecor-korrekt, ha a valószínűség kielégíti a PR(ka = kb) ecor értéket. A QKD protokollt nyomtávolságban esec-titkosnak definiáljuk, ha ||pAE − UA (PAE-UA), ha|| PAE-UA (PAE) a klasszikus kvantumállapot, amely leírja a KA és az Eve PE rendszerének együttes állapotát, akkor UA (ua) a KA összes lehetséges értékének egységes keveréke, Pabort (pabort) pedig annak a valószínűsége, hogy a protokoll megszakadna.

a QKD véges kulcsú biztonságának elemzésére két fő megközelítés létezik: az egyik a sima min/max entrópián alapul33,48, a másik pedig a komplementaritáson alapul32. A közelmúltban bebizonyosodott, hogy ez a két megközelítés egységes49. A fázishiba-Arány becslése a Shor-Preskill biztonsági elemzés legfontosabb része. A véges kulcsú eset statisztikai ingadozása miatt a PA mennyiségének értékeléséhez használt fázishiba-arány nem mérhető pontosan. Ehelyett Alice és Bob bizonyos kiegészítő mérésekkel köthetik a fázishiba-arányt. 32, 33. Pontosabban, a Z-basis biztonsági kulcs esetében az összefonódás-alapú QKD-ben Alice és Bob összekapcsolhatja az alapul szolgáló fázis hibaarányt EX’ a qubit-ek mintavételével az X alapon. Ez egy tipikus véletlenszerű mintavételi probléma. A Serfling inequality50 segítségével megbecsülhetjük annak valószínűségét, hogy a minta átlagos hibája eltér a teljes húr átlagos hibájától51. Megkapjuk az EX ‘ as felső határát

$${E} _ {X} {\prime}\le {E}_{X}+\sqrt {\frac{({n}_{X}+1)\log (1/{\varepsilon} _{\sec })}{2{n}_{X} ({n} _ {X} + {n} _ {Z})}}$$

ahol nZ és nX az egybeeső számok száma A Z és X bázisokban.

a sima entrópiák bizonytalansági viszonyának megközelítésével33, A Z-alapú titkos kulcs hosszát lZ adja meg

$${l} _ {Z}={n} _ {Z} – {n} _ {z}H\,\balra – {f} _ {{\rm{e}}}{n}_{z}) -\,\log \ frac{2}{{\varepsilon }_{{\RM{c}} {\RM{o}}{\varepsilon } _ {\sec} ^{2}}.$$

hasonlóképpen kiszámítható az X alapú véges kulcsú titkos kulcs hossza lX, a teljes kulcs hossza pedig l = lZ + lX.

nem tökéletes eszközök biztonsági igazolása

a gyakorlatban az eszköz hiányosságai miatt eltérések vannak a valósághű QKD rendszerek és az ideális QKD protokoll között24. A QKD rendszer gyakorlati biztonságának eléréséhez Alice – nek és Bobnak gondosan jellemeznie kell ezeket a hiányosságokat, és figyelembe kell vennie őket a gyakorlati biztonsági elemzés során. Nevezetesen, a valósághű eszközökkel végzett biztonsági elemzés általános keretét a ref. 44. Ebben a keretben Alice-nek és Bobnak meg kell jellemeznie eszközeit, hogy lássa, mennyi eltérés van a biztonsági igazolásokban feltételezett ideálisaktól. Tipikus távolságmérőket alkalmazhatunk, mint például a hűség és a nyomkövetési távolság, az eltérés számszerűsítésére, majd ezt az eltérést PA-ban vesszük figyelembe.

az összefonódáson alapuló QKD forrásfüggetlen, amely biztosítja, hogy a forrás hiányosságai figyelmen kívül hagyhatók legyenek. Mindössze annyit kell tennünk, hogy gondosan jellemezzük az észlelési oldal hiányosságait. Általában az észlelési oldalon lévő (ismert és ismert) oldalcsatornák26,27,28,29,30,38,39,40 elsősorban sérti a tisztességes mintavétel legfontosabb feltételezését. A megvalósításokat a squashing model44 követésével hajtjuk végre, hogy garantáljuk a tisztességes mintavételi feltételezést. Egy squashing modellben egy tetszőleges kvantumállapotot (a csatornából) először egy kétdimenziós altérbe vetítenek a Z és X mérések előtt. Tehát egy sor egymódú szűrőt alkalmazunk a szabadság különböző fokozataiban, beleértve a frekvenciát, a térbeli és az időbeli módokat. Ennek ellenére a gyakorlati szűrők általában véges sávszélességgel rendelkeznek, ami kis eltéréseket okoz a detektálási hatékonyság szempontjából, vagyis a detektálási hatékonyság eltérését52,53. A nem tökéletes eszközökre vonatkozó biztonsági bizonyítékunk elsősorban az észlelési hatékonyság eltérését veszi figyelembe, és ezt a tökéletlenséget a GLLP keretrendszer44 követésével elemzi a PA-ban.

feltételezzük, hogy a detektálási hatékonyság alsó határa 60, tehát az i-edik detektor detektálási hatékonysága felírható úgy, hogy 60(1 + 6), ahol a hatékonyság eltérését számszerűsíti. Tegyük fel, hogy ha hozzá tudjuk adni a csillapítást 1/(1+!) áteresztéssel közvetlenül az i-edik detektor előtt, akkor egyenlő hatékonyságot érnénk el minden detektor esetében. Ennek során a Z-bitek (vagy X-bitek)száma Egy törttel csökken, a felső határt pedig a következők határolják: 0-1/(1 + 6) 2. Kísérletünkben azt számszerűsítjük, hogy a 6,47% – os felső korlátot a 1.számú 1. számú bővített Adattábla határolja. Ez az eltérés PA − ban tekinthető meg, vagyis a fázishiba-Arány becslése EX’/(1-6) (ref. 44). Összességében, figyelembe véve a véges kulcsméret hatását és a hatékonysági eltérést, a titkos kulcs hosszát LZ adja meg:

$${L}_{Z}={n}_{Z}-{n}_{Z}h\balra-{f}_{{\rm{e}}}{n}_{z}H({E}_{Z})-{n}_{z}\varDelta -\log \frac{2}{{\varepsilon }_{{\RM{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\Sec }^{2}}.$$

a titkos kulcs hosszának elemzése LX a kulcsbitekhez az X alapon ugyanaz. A véges kulcs teljes hossza L = LZ + LX.