エンタングルメントベースの安全な量子暗号1,120キロメートル以上

デバイスの不完全さに対する実装

実際には、現実的なQKD実装の不完全さは、セキュリティ分析で使用される理想化されたモデルからの逸脱(またはサイドチャネル)を導入する可能性がある。 Eveはこれらの欠陥を悪用し、量子攻撃を開始する可能性があります24。 私たちのもつれベースのQKDの実装は、既知の量子攻撃と潜在的な将来の抜け穴の両方に対して実用的なセキュリティを提供するように設計され、特

もつれベースのQKDは自然にソースに依存しません2,19。 必要なのは、検出段階でサイドチャネルを適切に考慮することだけです。 ここでは、検出システムを設計し、基礎となるセキュリティ仮定を満たすための厳格な基準の下で装置を選択し、それらの仮定をテストするために この実装は、信頼され特性化されたデバイスに基づいていること、つまりデバイス依存のシナリオに基づいていることに注意してください。 実装は主に一般的な技術ですが、検出器効率ミスマッチ攻撃37、タイムシフト攻撃27、38、検出器盲目攻撃26、39、検出器損傷攻撃40、検出器デッドタイム攻撃28、波長依存攻撃29、空間モード攻撃30、およびその他の可能なサイドチャネル24を含む、すべての既知の検出攻撃に対する耐性を維持することができます。 拡張データ表3では、検出に対する報告された攻撃とそれらを回避するための対策を一覧表示しています。 以下では、より詳細な説明を与える。

効率ミスマッチ攻撃

実際には、異なる自由度に対して同じ応答を持つ二つのSpdを製造することは困難です。 すなわち、実用的なSpdは効率の不一致を示す。 効率の不一致により、Eveは、所望の信号をBob37に微妙に送信することによって、どの検出器のクリックを部分的に制御することができます。 たとえば、QKDシステムのほとんどは、2つのゲートアバランシェフォトダイオード検出器を使用しており、時間依存の効率不整合が発生します。 Eveは、各信号の到着時間をシフトすることにより、タイムシフト攻撃27,38を実行することができ、Bobの検出結果はタイムシフトに応じてバイアスされる。 タイムシフト攻撃に対抗するための私たちの戦略は、私たちの検出器がフリーランニングモードで動作することです。 すべての検出イベントを記録し、検出効率が公称レベルになることが保証されるように検出ウィンドウを選択します。 他の程度の自由度37での効率の不一致のために、光学フィルタを使用して入力光をフィルタリングし、周波数モードと空間モードの不一致を排除します。

検出器盲検攻撃

検出器盲検攻撃26では、Eveは連続的な明るいレーザー照明を使用してspdをリニアモードで強制的に動作させます。 Spdは、もはや単一光子に敏感ではなく、古典的な強度検出器に変換されます。 Eveは、適切に調整された古典的なパルスをBobに送信することによって、どの検出器のクリッ レーザダメージアタック40では、Eveは強力な損傷レーザー照明を使用してSpdの特性を完全に変更することができます。 検出器盲検攻撃およびレーザ損傷攻撃に対抗するために、拡張データ図に示すように、検出器盲検攻撃およびレーザ損傷攻撃に対抗するために、図に示すよ 5つ、私達は検出回路に負荷抵抗の陽極を監察するために付加的な回路を取付けます。 実験中に明るいレーザーパルス照明を送信することにより、攻撃をテストします。 これらの結果を図1に示す。 3b.通常動作(まばたきパルスなし)では、監視回路の出力電圧は1以下になります。標準的な雪崩信号に相当する2V。 時間t≤0.2msで、Eveは12µ wと2µ sの長さのレーザーパルスを使用して100kHzの繰り返し速度で盲目攻撃を実行します。 明るいレーザー照明によって引き起こされる大きな電流が負荷抵抗を通過するため、監視回路の出力は明らかに1.2Vを超えています。 その結果、監視回路の電圧に安全なしきい値を設定することができました:電圧がしきい値よりも高い場合、それは盲目の攻撃を公開します。

ディテクタデッドタイムアタック

この攻撃の基本原理はSPD28のデッドタイム効果です。 検出イベントの後、検出器は、数ナノ秒から数十マイクロ秒の範囲の時間ウィンドウ中に入ってくる光子に応答しません。 一方の検出器がデッドタイム期間にあり、他方の検出器がアクティブである期間中にBobが検出イベントを持っている場合、Eveはどの検出器がクリック 私たちの検出器はフリーランニングモードで動作し、すべての検出イベントが収集されます。 対策は、検出器の状態を監視し、すべての検出器がアクティブである検出イベントのみを使用してキーを生成することです。

ビームスプリッタ攻撃

偏光ベースのQKDシステムでは、ボブは通常、1×2ビームスプリッタを利用して測定基準を受動的に選択します。 標準的なケースでは、光子はビームスプリッタをランダムに通過するため、直線基底または対角基底をランダムに選択します。 しかし、実際には、ビームスプリッタの分割比は波長依存性であり、すなわち、中心波長は50:50の結合比を有するが、結合比は他の波長に対して変化する。 その結果、Eveは波長の異なるBob光子を送ることによって測定基準を制御することができる29。 この攻撃を回避するために、広帯域幅と狭帯域幅の波長フィルタを使用して、Bobの局の入力光をフィルタリングします。 これらの2つのフィルタの特性化を図2に示す。 フィルタされた帯域幅内のビームスプリッタ比は、拡張データ図3aに特徴づけられる。 6.

空間モード攻撃

自由空間QKDシステムでは、検出器は、特に検出器がマルチモードファイバと結合されている場合、異なる空間モード光子に対して異な Eveは空間モード効率の不一致を悪用し、空間モード攻撃を実行することができます30。 この攻撃に対抗するために,ビームスプリッタの前に空間フィルタを配置して,異なる検出経路の効率を均一にした。 空間フィルタを用いて、空間領域における検出効率の特性評価を図に示す。 3c.

一般に、実装の実際的な安全性は、本質的に公正サンプリングの仮定によって保証される。 上記の攻撃に対する対策は、公正サンプリングの仮定を保証するための有効成分の使用で構成されています。 周波数モードでは、広帯域および狭帯域の周波数フィルタを使用して入力光をフィルタリングします。 時間モードでは、フリーランニングディテクタは、検出イベントのタイムウィンドウを後選択するために適用されます。 空間モードでは、空間フィルタは測定デバイスのコリメートレンズの前に配置されます。 分極モードでは、私達はQKDのために分極の符号化を使用しま、従って保証を保障するためにQBERを監視します。 将来的には、エンタングルメントベースのQKDシステムと測定デバイスに依存しないQKDプロトコル41を組み合わせて、すべての検出器の攻撃に対して検出を免疫させることもできます。

セキュリティ分析

私たちのセキュリティ分析の主な目的は、有限キーサイズとデバイスの欠陥の問題を考慮して、実用的なセキュリティ率を計算す 私たちのセキュリティ分析は、信頼され、特徴づけられたデバイスとの絡み合いベースのQKD、すなわちデバイス依存のシナリオ42に対するものであると 私達はShor–Preskillの保証proof43に続くことによって理想的なQKDの議定書のための保証証拠から始まります。 次に、滑らかなエントロピー33のための不確実性関係のアプローチを使用して、セキュリティ解析を有限キー効果の実用的なケースに拡張します。 最後に、Gottesman–Lo–Lütkenhaus–Preskill(GLLP)フレームワーク44を使用して、デバイスの欠陥のセキュリティ問題に対処するために分析を拡張します。

理想的なQKDとは、無限の数の信号が生成され、QKDプロトコルを実行するデバイスが理論モデルで説明されているように完全である場合を指します。 理想的なQKDのための保証証拠は2000年代初頭にMayers45、LoおよびChau46およびShorおよびPreskill43によって確立されました。

ShorとPreskillは、セキュリティ証明のための簡単なフレームワークを提供するためにCalderbank–Shor–Steane量子誤り訂正符号のアイデアを採用しました。 BBM92protocol3のようなもつれベースのQKDでは、AliceとBobの両方がzベースで量子信号を測定すると、結果が異なる場合にエラーが発生する可能性があります。 それをビットエラーと呼ぶことができます。 これらの量子信号がZ基底に相補的な基底で測定された場合、位相誤差は仮説的誤差として定義することができます。 Shor-Preskillセキュリティ証明では、ビット誤り訂正は古典的誤り訂正であり、位相誤り訂正はPAである。 重要な部分は、位相誤り率を推定する必要があるPAを実行することです。 Zベースで測定されたキービットについては、xベースでキービットを測定することによって位相誤り率を推定することができます。 理想的なQKDのZ-basisセキュリティ率は、次式で与えられます

$${r}_{Z}\ge{Q}_{Z}\ge{Q}_{Z}\ge{Q}ge}$$

ここで、QZはAliceとBobの両方がZ基底を選択する信号あたりのふるいにかけられたキーレートであり、EZとEXはZ基底とX基底のQBERであり、H(λ)=−xlog2x-(1–λ)log2(1−λ) 同様に、秘密鍵もXベースで生成することができ、レートRXについての分析は同じである。 総理想的なキーレートは、RA=RZ+RXである。 絡み合ったソースは基底に依存しない(または特徴づけられていない)ことに注意してください、そして特徴づけられていないソースを持つQKDのセキュリテ 19.

我々は、PAの推定を成功させるためには、相補的な基底でのサンプリングが公正であることを確認する必要があることに留意し、実用的な実現では、有限キー効果(すなわち、統計的ゆらぎ)とデバイスの不完全性(すなわち、公正なサンプリングに違反する)という二つの主要な問題を提起する。

有限鍵解析

まず、有限鍵シナリオにおけるセキュリティを、合成可能なセキュリティ定義framework47,48で定義します。 セキュリティで保護されたキーは2つの要件を満たす必要があります。 まず、AliceとBobが所有するキービット文字列は同一である必要があります。 第二に、AliceとBob以外の人の視点から、Eveと言うと、キービット文字列は均一に分散されるべきであり、つまり秘密でなければなりません。 有限のデータサイズや非理想的な誤り訂正などの実用的な問題は、AliceとBobがQKDを介して理想的な鍵を生成できないことを意味します。 実際には、鍵の正確性と秘密性のために、ecorとesecという小さな故障確率を持つことを可能にすることは合理的です。 QKDプロトコルは、ecor-correctおよびesec-secret48であれば、ε ≥ecor+esecでε-secureであると言います。 具体的には、KaとkbをAliceとBobによって取得されたキービット文字列と定義します。 QKDプロトコルは、確率がPr(k A=kb)≦ecorを満たす場合、ecor−correctであると定義される。 QKDプロトコルは、トレース距離でesec-secretと定義され、||pAE−UA≤pE||≤esecであり、pAEはkaとEveのシステムpEの結合状態を記述する古典的な量子状態であり、UAはkaのすべての可能な値の一様な混合物であり、Pabortはプロトコルが中止する確率である。

QKDの有限鍵セキュリティを分析するには、主に二つのアプローチがあります:一つはsmooth min/max entropy33,48に基づいており、もう一つはcomplementarity32に基づいています。 最近では、これら二つのアプローチが統一されていることが証明されている49。 位相誤り率の推定は,Shor–Preskillセキュリティ解析の最も重要な部分である。 有限キーの場合の統計的変動のために、PAの量を評価するために使用される位相誤り率は正確に測定することができない。 代わりに、AliceとBobは、特定の相補的な測定32、33を介して位相誤り率を束縛することができます。 具体的には、絡み合いベースのQKDにおけるZベースのセキュリティキーについて、AliceとBobは、Xベースの量子ビットをサンプリングすることによって、基礎となる位相誤り率EX’を束縛することができます。 これは典型的な無作為抽出問題です。 Serfling不等式50を使用して、サンプルの平均誤差が合計文字列51の平均誤差から逸脱する確率を推定できます。 EX’の上限を次のように求めます

$${sqrt frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\})}}$$

ここで、nZおよびnXは、Z基数およびX基数における一致カウントの数である。

滑らかなエントロピー33に対する不確実性関係のアプローチを用いることにより、Z基底秘密鍵長lZは次のように与えられる

$${l f_{z}=f_{z}-f_{z}H({E}_{Z})-\frac{2}{{\varepsilon}_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon}_{\sec}.{2}}.は、log f_{z}=f_{z}-f_{z}Hであることを示しています。$$

同様に、Xベースの有限鍵秘密鍵長Lxを計算することができ、総鍵長はl=Lz+Lxである。

不完全なデバイスに対するセキュリティ証明

実際には、デバイスの不完全さのために、現実的なQKDシステムと理想的なQKDプロトコル24との間に偏差が存在する。 Qkdシステムで実用的なセキュリティを実現するには、AliceとBobはこれらの欠陥を慎重に特性化し、実用的なセキュリティ分析で考慮する必要があります。 特に、現実的なデバイスを使用したセキュリティ分析のための一般的なフレームワークがref. 44. このフレームワークでは、AliceとBobは、セキュリティ証明で想定されている理想的なものからどのくらいの偏差があるかを確認するために、デバイスを特 忠実度やトレース距離などの一般的な距離測定を使用して、偏差を定量化し、PAでこの偏差を考慮することができます。

私たちのもつれベースのQKDはソースに依存しないため、ソースの不完全さを無視できます。 私たちが必要とするのは、検出側の欠陥を慎重に特徴付けることだけです。 一般に、検出側の(既知および既知の)側チャネル26,27,28,29,30,38,39,40 主に公正なサンプリングの重要な仮定に違反します。 私達は公平な見本抽出の仮定を保証するために押しつぶすモデル44に続くことによって実裝を行います。 スカッシングモデルでは、ZとXの測定の前に、(チャネルからの)任意の量子状態が最初に二次元部分空間に投影されます。 そこで、周波数モード、空間モード、時間モードなど、さまざまな自由度で一連のシングルモードフィルタを実装します。 それにもかかわらず、実用的なフィルタは通常、有限の帯域幅を有しており、検出効率のための小さな偏差、すなわち検出効率の不一致52,53を引き起こ 不完全な装置のための私達の保証証拠は主に検出の効率の偏差を考慮し、GLLPのframework44に続くことによってPAにこの不完全を分析する。

検出効率の下限をσ0と仮定すると、i番目の検出器の検出効率はσ0(1+δ i)と書くことができます。δ iは効率の偏差を定量化します。 I番目の検出器の直前に透過率1/(1+δ i)の減衰を加えることができれば、すべての検出器に対して等しい効率が得られると仮定します。 そうすることで、Zビット(またはXビット)の数は、δ=1-1/(1+δ)2によって上限が制限される分数だけ減少する。 私たちの実験では、δ iがδ i≥1.47%で上限があることを定量化します(拡張データ表1を参照)。 この偏差は、PA、すなわち、E X’/(1−Δ)としての位相誤り率の推定で考えることができる(参照。 44). 全体として、有限鍵サイズ効果と効率偏差を考慮した後、秘密鍵の長さLZは次式で与えられます。:

$${L F(Z)=\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\log\frac{1}{2}\…..$$

Xベースの鍵ビットに対する秘密鍵長L Xの分析は同じである。 有限キーの長さの合計はL=LZ+LXです。