Crittografia quantistica sicura basata su entanglement oltre 1.120 chilometri

Implementazione contro imperfezioni del dispositivo

In pratica, le imperfezioni delle implementazioni QKD realistiche possono introdurre deviazioni (o canali laterali) dai modelli idealizzati utilizzati nell’analisi della sicurezza. Eve potrebbe sfruttare queste imperfezioni e lanciare attacchi quantici24. La nostra implementazione QKD basata su entanglement è progettata e caratterizzata per fornire una sicurezza pratica contro attacchi quantistici noti e potenziali scappatoie future.

Il QKD basato sull’entanglement è naturalmente indipendente dalla sorgente 2,19. Tutto ciò di cui abbiamo bisogno è considerare correttamente i canali laterali nella fase di rilevamento. Qui, progettiamo un sistema di rilevamento, scegliendo apparecchi in base a criteri rigorosi per soddisfare le ipotesi di sicurezza sottostanti e eseguendo accurate caratterizzazioni per testare tali ipotesi. Notiamo che la nostra implementazione si basa su dispositivi affidabili e caratterizzati, ovvero in uno scenario dipendente dal dispositivo. Le implementazioni sono tecniche per lo più comuni, ma siamo in grado di mantenere l’immunità a tutti gli attacchi di rilevamento noti, tra cui: efficienza del rivelatore-disallineamento attack37, time-shift attack27,38, detector-accecante attack26,39, detector-danno attack40, detector dead-time attack28, lunghezza d’onda-dipendente attack29, spatial-mode attack30, e altri canali laterali possibili24. Nella Tabella Dati estesa 3, elenchiamo gli attacchi segnalati contro il rilevamento, così come le nostre contromisure per evitarli. Di seguito, daremo una descrizione più dettagliata.

Attacco di disallineamento dell’efficienza

In pratica, è difficile produrre due SPD con le stesse risposte per diversi gradi di libertà. Cioè, i DOCUP pratici presentano disallineamenti di efficienza. Con la mancata corrispondenza dell’efficienza, Eve può controllare parzialmente i clic del rilevatore inviando sottilmente i segnali desiderati a Bob37. Ad esempio, la maggior parte dei sistemi QKD utilizza due rivelatori fotodiodi a valanga gated, che producono un disallineamento dell’efficienza dipendente dal tempo. Eve può eseguire un attacco time-shift 27, 38, spostando l’orario di arrivo di ciascun segnale, in modo che i risultati di rilevamento di Bob siano distorti a seconda dello spostamento temporale. La nostra strategia per contrastare l’attacco time-shift è che il nostro rivelatore funziona in modalità free-running. Registriamo tutti gli eventi di rilevamento e post-selezioniamo le finestre di rilevamento in modo tale che l’efficienza di rilevamento sia garantita a un livello nominale. Per disallineamento dell’efficienza in altri gradi di libertà37, usiamo filtri ottici per filtrare la luce di ingresso ed eliminare la disallineamento nelle modalità di frequenza e spaziale.

Attacco rivelatore-accecante

Nell’attacco rivelatore-accecante 26, Eve utilizza un’illuminazione laser continua per forzare gli SPD a lavorare in modalità lineare. Gli SPD non sono più sensibili ai singoli fotoni e vengono convertiti in rivelatori di intensità classici. Eve può controllare quali clic del rilevatore inviando impulsi classici Bob correttamente personalizzati. Nel laser damage attack40, Eve può utilizzare una forte illuminazione laser dannosa per modificare completamente le proprietà degli SPD. Per contrastare l’attacco rivelatore-accecante e l’attacco laser-danni, come illustrato in dati estesi Fig. 5, installiamo un circuito aggiuntivo per monitorare l’anodo della resistenza di carico nel circuito di rilevamento. Testiamo l’attacco durante l’esperimento inviando un’illuminazione a impulsi laser brillante. Questi risultati sono mostrati in Fig. 3b. Nel normale funzionamento (senza impulsi accecanti), la tensione di uscita del circuito di monitoraggio è inferiore a 1.2 V, corrispondente ai segnali standard di valanghe. Al tempo t ≈ 0,2 ms, Eve esegue l’attacco accecante utilizzando 12 µW e un impulso laser lungo 2 µs a una frequenza di ripetizione di 100 kHz. L’uscita del circuito di monitoraggio supera chiaramente 1,2 V, poiché una grande corrente causata dall’illuminazione laser luminosa passa attraverso la resistenza di carico. Di conseguenza, potremmo impostare una soglia sicura sulla tensione del circuito di monitoraggio: se la tensione è superiore alla soglia, espone l’attacco accecante.

Rivelatore dead-time attack

Il principio di base di questo attacco è l’effetto dead-time di un SPD28. Dopo un evento di rilevamento, un rivelatore non risponde ai fotoni in arrivo durante una finestra temporale che va da diversi nanosecondi a decine di microsecondi. Se Bob ha un evento di rilevamento durante un periodo di tempo in cui un rivelatore è nel periodo di tempo morto, mentre l’altro è attivo, Eve potrebbe facilmente dedurre quale rivelatore ha un clic. Il nostro rivelatore funziona in modalità free-running, e tutti gli eventi di rilevamento sono raccolti. La contromisura è che monitoriamo lo stato dei rivelatori e usiamo solo quegli eventi di rilevamento per i quali tutti i rivelatori sono attivi per generare chiavi.

Attacco Beam-splitter

In un sistema QKD basato sulla polarizzazione, Bob sfrutta tipicamente un beam splitter 1 × 2 per scegliere passivamente la base di misurazione. Nel caso standard, un fotone passerà casualmente attraverso il beam splitter, selezionando così casualmente una base rettilinea o una base diagonale. Tuttavia, in pratica, il rapporto di divisione del beam splitter è dipendente dalla lunghezza d’onda, cioè la lunghezza d’onda centrale ha un rapporto di accoppiamento di 50:50, mentre il rapporto di accoppiamento varia per altre lunghezze d’onda. Di conseguenza, Eve può controllare la base di misurazione inviando fotoni Bob con lunghezze d’onda diverse29. Per evitare questo attacco, usiamo filtri a larghezza di banda larga e larghezza di banda stretta per filtrare la luce di ingresso sulla stazione di Bob. Le caratterizzazioni di questi due filtri sono mostrate in Fig. 3a. Il rapporto del divisore del fascio all’interno della larghezza di banda filtrata è caratterizzato nei dati estesi Fig. 6.

Attacco in modalità spaziale

In un sistema QKD a spazio libero, il rivelatore ha sensibilità diverse per diversi fotoni in modalità spaziale, specialmente quando il rivelatore è accoppiato con una fibra multimodale. Eve potrebbe sfruttare la mancata corrispondenza dell’efficienza in modalità spaziale ed eseguire l’attacco in modalità spaziale30. Per contrastare questo attacco, posizioniamo un filtro spaziale davanti al beam splitter per rendere uniformi le efficienze dei diversi percorsi di rilevamento. Con il filtro spaziale, la caratterizzazione dell’efficienza di rilevamento nel dominio spaziale è mostrata in Fig. 3 quater.

In generale, la sicurezza pratica dell’attuazione è essenzialmente garantita dal presupposto del campionamento equo. Le contromisure agli attacchi summenzionati comprendono l’uso di componenti attivi per garantire l’ipotesi di un campionamento equo. Nella modalità di frequenza, i filtri di frequenza a banda larga e a banda stretta sono impiegati per filtrare la luce di ingresso. Nella modalità temporale, i rilevatori a funzionamento libero vengono applicati per post-selezionare le finestre temporali degli eventi di rilevamento. Nella modalità spaziale, i filtri spaziali vengono posizionati prima della lente di collimazione dei dispositivi di misurazione. In modalità di polarizzazione, usiamo la codifica di polarizzazione per QKD, monitorando così il QBER per garantire la sicurezza. In futuro, potremmo anche combinare il nostro sistema QKD basato sull’entanglement con il protocollo QKD indipendente dal dispositivo di misura41 per rendere il rilevamento immune a tutti gli attacchi dei rivelatori.

Analisi di sicurezza

L’obiettivo principale della nostra analisi di sicurezza è calcolare il tasso di sicurezza pratico considerando i problemi della dimensione della chiave finita e le imperfezioni del dispositivo. Notiamo che la nostra analisi di sicurezza è per il QKD basato su entanglement con dispositivi affidabili e caratterizzati, ovvero in uno scenario dipendente dal dispositivo42. Iniziamo con una prova di sicurezza per un protocollo QKD ideale seguendo la prova di sicurezza Shor–Preskill43. Estendiamo quindi l’analisi della sicurezza al caso pratico dell’effetto a chiave finita utilizzando l’approccio della relazione di incertezza per le entropie fluide 33. Infine, estendiamo l’analisi per affrontare i problemi di sicurezza delle imperfezioni del dispositivo utilizzando il telaio Gottesman–Lo–Lütkenhaus–Preskill (GLLP) 44.

QKD ideale si riferisce al caso in cui viene generato un numero infinito di segnali e i dispositivi per eseguire il protocollo QKD sono perfetti come descritti dai modelli teorici. La prova di sicurezza per ideal QKD è stata fondata nei primi anni 2000 da Mayers45, Lo e Chau46 e Shor e Preskill43.

Shor e Preskill hanno utilizzato l’idea del codice di correzione degli errori quantistici Calderbank–Shor–Steane per fornire un semplice framework per la prova di sicurezza. In un QKD basato su entanglement come il protocollo BBM923, quando Alice e Bob misurano entrambi i segnali quantistici nella base Z, può verificarsi un errore quando i risultati sono diversi. Possiamo chiamarlo un errore di bit. L’errore di fase può essere definito come l’errore ipotetico se quei segnali quantistici sono stati misurati nella base complementare alla base Z. Nella prova di sicurezza Shor–Preskill, la correzione degli errori di bit è la correzione degli errori classica e la correzione degli errori di fase è PA. La parte cruciale è eseguire la PA, in cui è necessario stimare il tasso di errore di fase. Per i bit chiave misurati nella base Z, il tasso di errore di fase può essere stimato misurando i bit chiave nella base X. Il tasso di sicurezza Z-basis per QKD ideale è dato da

$${R}_{Z} \ ge {Q}_{Z}$$

dove QZ è la frequenza chiave setacciata per segnale in cui sia Alice che Bob selezionano la base Z, EZ ed EX sono il QBER nelle basi Z e X e H(χ) = −xlog2x – (1 − χ)log2(1 − χ). Allo stesso modo, le chiavi segrete possono anche essere generate nella base X e l’analisi per la velocità RX è la stessa. Il tasso chiave ideale totale è RA = RZ + RX. Si noti che una fonte impigliata è indipendente dalla base (o non caratteristica) e la prova di sicurezza per QKD con una fonte non caratteristica è fornita in ref. 19.

Notiamo che per una stima di successo della PA, è necessario assicurarsi che il campionamento nella base complementare sia equo, il che nelle realizzazioni pratiche solleva due problemi principali: l’effetto chiave finito (cioè le fluttuazioni statistiche) e le imperfezioni del dispositivo (cioè la violazione del campionamento equo), discussi di seguito.

Analisi a chiave finita

Per prima cosa definiamo la sicurezza nello scenario a chiave finita con il framework47,48 composable security definition. Una chiave sicura dovrebbe soddisfare due requisiti. Innanzitutto, le stringhe di bit chiave possedute da Alice e Bob devono essere identiche, cioè essere corrette. In secondo luogo, dal punto di vista di chiunque altro che Alice e Bob, ad esempio Eve, la stringa di bit chiave dovrebbe essere distribuita uniformemente, cioè dovrebbe essere segreta. Problemi pratici, come la dimensione dei dati finiti e la correzione degli errori non ideali, significano che Alice e Bob non possono generare una chiave ideale tramite QKD. In realtà, è ragionevole consentire alla chiave di avere piccole probabilità di fallimento, ecor ed esec, per correttezza e segretezza. Diciamo che il protocollo QKD è ε-secure con ε ≥ ecor + esec, se è ecor-correct ed esec-secret48. In particolare, definiamo ka e kb come le stringhe di bit chiave ottenute da Alice e Bob. Un protocollo QKD è definito come ecor-corretto se la probabilità soddisfa Pr (ka = kb) ≤ ecor. Un protocollo QKD è definito in trace distance per essere esec-secret, se / / pAE-UA pE pE / / ≤ esec, dove pAE è lo stato quantico classico che descrive lo stato congiunto di ka e PE del sistema di Eve, UA è la miscela uniforme di tutti i possibili valori di ka e Pabort è la probabilità che il protocollo aborti.

Esistono due approcci principali per analizzare la sicurezza a chiave finita di QKD: uno è basato sull’entropia min/max liscia 33,48 e l’altro è basato sulla complementarità32. Recentemente, questi due approcci si sono dimostrati unificati49. La stima del tasso di errore di fase è la parte più importante dell’analisi di sicurezza di Shor–Preskill. A causa delle fluttuazioni statistiche nel caso a chiave finita, il tasso di errore di fase utilizzato per valutare la quantità di PA non può essere misurato con precisione. Invece, Alice e Bob possono vincolare il tasso di errore di fase tramite determinate misure complementari32,33. In particolare, per la chiave di sicurezza Z-basis in QKD basato su entanglement, Alice e Bob possono legare il tasso di errore di fase sottostante EX ‘ campionando i qubit nella base X. Questo è un tipico problema di campionamento casuale. Possiamo usare l’iniquità del servaggio 50 per stimare la probabilità che l’errore medio sul campione si discosti dall’errore medio sulla stringa totale51. Otteniamo il limite superiore per l’EX’ come

$${E}_{X}{\prime} \le {E}_{X}+\sqrt{\frac{({n}_{X}+1)\log (1/{\varepsilon }_{\sec })}{2{n}_{X}({n}_{X}+{n}_{Z})}}$$

dove nZ e nX sono il numero di coincidente conta alla Z e X basi.

utilizzando l’approccio del rapporto di incertezza per liscia entropies33, la Z-base chiave segreta lunghezza lZ è dato da

$${l}_{Z}={n}_{Z}-{n}_{Z}H\,\left-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-\,\log \frac{2}{{\varepsilon }_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\sec }^{2}}.$$

Allo stesso modo, è possibile calcolare la lunghezza della chiave segreta a chiave finita X-basis lX e la lunghezza totale della chiave è l = lZ + lX.

Prova di sicurezza per dispositivi imperfetti

In pratica, a causa di imperfezioni del dispositivo, esistono deviazioni tra i sistemi QKD realistici e il protocollo QKD ideale24. Per ottenere una sicurezza pratica in un sistema QKD, Alice e Bob devono caratterizzare attentamente queste imperfezioni e tenerne conto nell’analisi pratica della sicurezza. In particolare, un quadro generale per l’analisi della sicurezza con dispositivi realistici è stato stabilito in ref. 44. In questo quadro, Alice e Bob hanno bisogno di caratterizzare i loro dispositivi per vedere quanta deviazione c’è da quelli ideali assunti nelle prove di sicurezza. Si possono impiegare misure di distanza tipiche, come la fedeltà e la distanza di traccia, per quantificare la deviazione e quindi considerare questa deviazione in PA.

Il nostro QKD basato su entanglement è indipendente dalla sorgente, il che garantisce che le imperfezioni nella sorgente possano essere ignorate. Tutto ciò di cui abbiamo bisogno è caratterizzare attentamente le imperfezioni nel lato di rilevamento. In generale, i canali laterali (noti e da conoscere) sul lato di rilevazione26,27,28,29,30,38,39,40 in primo luogo violare l’ipotesi chiave di campionamento equo. Eseguiamo implementazioni seguendo il modello di schiacciamento 44 per garantire l’assunzione di campionamento equo. In un modello di schiacciamento, uno stato quantico arbitrario (dal canale) viene prima proiettato in un sottospazio bidimensionale prima delle misurazioni Z e X. Quindi, implementiamo una serie di filtri monomodali in diversi gradi di libertà, tra cui la frequenza, i modi spaziali e temporali. Tuttavia, i filtri pratici normalmente hanno una larghezza di banda finita, che causerà piccole deviazioni per le efficienze di rilevamento, cioè una mancata corrispondenza dell’efficienza di rilevamento52, 53. La nostra prova di sicurezza per dispositivi imperfetti considererà principalmente la deviazione dell’efficienza di rilevamento e analizzerà questa imperfezione nella PA seguendo il frame GLLP44.

Assumiamo che il limite inferiore dell’efficienza di rilevamento sia η0, quindi l’efficienza di rilevamento del rivelatore ith può essere scritta come η0(1 + δi), dove δi quantifica la deviazione dell’efficienza. Supponiamo che se possiamo aggiungere attenuazione con trasmittanza 1 / (1 + δi) appena prima del rivelatore ith, otterremmo la stessa efficienza per tutti i rivelatori. In tal modo, il numero di bit Z(o X – bit) sarà ridotto di una frazione, delimitata in alto da Δ = 1-1/(1 + δ)2. Nel nostro esperimento, quantifichiamo che δi è delimitato in alto da δi ≤ 1.47% (vedi Tabella dati estesa 1). Questa deviazione può essere considerata in PA, cioè la stima del tasso di errore di fase come EX ‘ / (1-Δ) (ref. 44). Nel complesso, considerando la limitata dimensione della chiave di effetto e l’efficienza deviazione, la chiave segreta lunghezza LZ è dato da:

$${L}_{Z}={n}_{Z}-{n}_{Z}H\left-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-{n}_{Z}\varDelta -\log \frac{2}{{\varepsilon }_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\sec }^{2}}.$$

L’analisi della lunghezza della chiave segreta LX per i bit chiave nella base X è la stessa. La lunghezza totale della chiave finita è L = LZ + LX.