Entanglement-basert sikker kvantekryptografi over 1,120 kilometer

Implementering mot enhetsfeil

i praksis kan ufullkommenhetene til realistiske QKD-implementeringer introdusere avvik (eller sidekanaler) fra de idealiserte modellene som brukes i sikkerhetsanalysen. Eve kan utnytte disse ufullkommenhetene og starte kvanteangrep 24. Vår entanglement-baserte QKD-implementering er designet og preget for å gi praktisk sikkerhet mot både kjente kvantangrep og potensielle fremtidige smutthull.

den entanglementbaserte QKD er naturlig kilde-uavhengig 2,19. Alt vi trenger er å vurdere sidekanalene riktig på deteksjonsstadiet. Her designer vi et deteksjonssystem, velger apparater under strenge kriterier for å tilfredsstille de underliggende sikkerhetsforutsetningene, og utfører forsiktige karakteriseringer for å teste disse antagelsene. Vi merker at implementeringen vår er basert på pålitelige og karakteriserte enheter, det vil si i et enhetsavhengig scenario. Implementeringene er for det meste vanlige teknikker, men vi kan opprettholde immunitet mot alle kjente deteksjonsangrep, inkludert: detektoreffektivitet-mismatch attack37,time-shift attack27, 38,detektorblindende attack26, 39, detektorskader attack40, detektor dead-time attack28, bølgelengdeavhengig attack29, spatial-mode attack30 og andre mulige sidekanaler24. I Utvidet Datatabell 3 lister vi de rapporterte angrepene mot deteksjonen, samt våre motforanstaltninger for å avverge dem. I det følgende vil vi gi en mer detaljert beskrivelse.

Efficiency-mismatch attack

i praksis er det vanskelig å produsere to Spd-Er med samme svar for forskjellige frihetsgrader. Det vil si, praktisk SPDs presentere effektivitet mismatch. Med effektivitet mismatch, Eve kan delvis kontrollere hvilke detektor klikk ved subtilt sende ønskede signaler Til Bob37. FOR eksempel bruker DE fleste QKD-systemer to gated lavine fotodiode detektorer, som produserer en tidsavhengig effektivitetsmangel. Eve kan utføre et tidsskiftangrep27, 38, ved å skifte ankomsttid for hvert signal, slik At Bobs deteksjonsresultater er partisk avhengig av tidsskiftet. Vår strategi for å motvirke tidsskiftangrepet er at vår detektor fungerer i fri kjøremodus. Vi registrerer alle deteksjonshendelsene og post-velger deteksjonsvinduene slik at deteksjonseffektiviteten er garantert å være på et nominelt nivå. For effektivitet mismatch i andre grader av freedom37, bruker vi optiske filtre for å filtrere ut inngangslyset og eliminere mismatch i frekvens og romlige moduser.

Detektorblindende angrep

I det detektorblindende angrepet26 bruker Eve en kontinuerlig lys laserbelysning for å tvinge SPDs til å fungere i lineær modus. Spdene er da ikke lenger følsomme for enkeltfotoner, og omdannes til klassiske intensitetsdetektorer. Eve kan kontrollere hvilke detektor klikk ved å sende Bob riktig skreddersydd klassiske pulser. I laser damage attack40 Kan Eve bruke en sterk skadelig laserbelysning for å endre egenskapene til SPDs helt. For å motvirke detektorblindende angrepet og laserskadeangrepet, som illustrert I Utvidede Data Fig. 5, installerer vi en ekstra krets for å overvåke anoden til lastmotstanden i deteksjonskretsen. Vi tester angrepet under forsøket ved å sende en lys laserpulsbelysning. Disse resultatene er vist I Fig. 3b. ved normal drift (uten blendende pulser) er utgangsspenningen til overvåkingskretsen under 1.2 V, tilsvarende standard avalanching signaler. Ved tidspunkt for 0,2 ms utfører Eve det blendende angrepet med 12 µ og en 2-µ lang laserpuls med en repetisjonsrate på 100 kHz. Utgangen fra overvåkingskretsen overskrider klart 1,2 V, fordi en stor strøm forårsaket av den lyse laserbelysningen passerer gjennom lastmotstanden. Følgelig kan vi sette en sikker terskel på spenningen til overvåkingskretsen: hvis spenningen er høyere enn terskelen, eksponerer den blendingsangrepet.

detektor dead-time attack

det grunnleggende prinsippet for dette angrepet er dead-time-effekten AV EN SPD28. Etter en deteksjonshendelse reagerer en detektor ikke på innkommende fotoner i et tidsvindu som spenner fra flere nanosekunder til titalls mikrosekunder. Hvis Bob har en deteksjonshendelse i løpet av en tidsperiode når en detektor er i dødtidsperioden, mens Den andre er aktiv, Kan Eve lett utlede hvilken detektor som har et klikk. Vår detektor fungerer i fri kjøremodus, og alle deteksjonshendelser samles inn. Mottiltaket er at vi overvåker statusen til detektorene og bruker bare de deteksjonshendelsene som alle detektorer er aktive for å generere nøkler.

Beam-splitter attack

I et polarisasjonsbasert QKD-system utnytter Bob vanligvis en 1 × 2 beam splitter for passivt å velge målegrunnlaget. I standard tilfellet vil en foton tilfeldig passere gjennom strålen splitter, og dermed tilfeldig velge en rettlinjet basis eller en diagonal basis. I praksis er imidlertid spaltningsforholdet til strålesplitteren bølgelengdeavhengig, det vil si at senterbølgelengden har et koblingsforhold på 50: 50, mens koblingsforholdet varierer for andre bølgelengder. Følgelig Kan Eve styre målegrunnlaget ved å sende Bob fotoner med forskjellige bølgelengder29. For å unngå dette angrepet bruker vi bredbåndbredde og smalbåndbreddebølgelengdefiltre for å filtrere inngangslyset På Bobs stasjon. Karakteriseringen av disse to filtrene er vist I Fig. 3a. strålen splitter forholdet innenfor den filtrerte båndbredden er karakterisert I Utvidede Data Fig. 6.

Spatial-mode attack

i et fritt rom QKD-system har detektoren forskjellige følsomheter for forskjellige spatial-mode fotoner, spesielt når detektoren er kombinert med en multi-mode fiber. Eve kunne utnytte romlig modus effektivitet mismatch og utføre romlig modus attack30. For å motvirke dette angrepet plasserer vi et romlig filter foran strålesplitteren for å gjøre effektiviteten til forskjellige deteksjonsbaner ensartede. Med det romlige filteret er karakteriseringen av deteksjonseffektiviteten i romlig domene vist I Fig. 3c.

generelt er den praktiske sikkerheten ved implementering i hovedsak garantert av rettferdig prøvetakingsforutsetningen. Mottiltakene til de ovennevnte angrepene omfatter bruk av aktive komponenter for å garantere antagelsen om rettferdig prøvetaking. I frekvensmodus brukes bredbånds-og smalbåndsfrekvensfiltre til å filtrere inngangslyset. I temporal modus brukes frittstående detektorer for å velge tidsvinduer for deteksjonshendelser etter valg. I romlig modus plasseres romlige filtre før kollimerende linse av måleinstrumenter. I polarisasjonsmodus bruker vi polarisasjonskodingen FOR QKD, og overvåker DERMED QBER for å sikre sikkerheten. I fremtiden kan vi også kombinere vårt entanglementbaserte QKD-system med den måleenhetsuavhengige QKD-protokollen 41 for å gjøre deteksjon immun mot alle detektorangrep.

Sikkerhetsanalyse

hovedmålet med vår sikkerhetsanalyse er å beregne den praktiske sikkerhetsraten ved å vurdere problemene med den endelige nøkkelstørrelsen og enhetsfeil. Vi bemerker at vår sikkerhetsanalyse er for entanglement-basert QKD med pålitelige og karakteriserte enheter, det vil si i en enhetsavhengig scenario42. Vi starter med et sikkerhetsbevis for en ideell QKD-protokoll ved å følge shor-Preskill security proof43. Vi utvider deretter sikkerhetsanalysen til det praktiske tilfellet av den endelige nøkkeleffekten ved å bruke tilnærmingen til usikkerhetsrelasjon for glatte entropier33. Til slutt utvider vi analysen for å løse sikkerhetsproblemer ved feil i enheten ved å bruke gottesman–Lo–Lü–Preskill (GLLP) framework44.

Ideell QKD refererer til tilfellet der et uendelig antall signaler genereres og enhetene for å kjøre QKD-protokollen er like perfekte som beskrevet av teoretiske modeller. Sikkerhetsbeviset for ideal QKD ble etablert tidlig på 2000-tallet Av Mayers45, Lo Og Chau46 og Shor Og Preskill43.

Shor Og Preskill ansatt ideen Om Calderbank-Shor-Steane quantum error correcting code for å gi et enkelt rammeverk for sikkerhet bevis. I en entanglement-basert QKD som BBM92-protokollen 3, når Alice og Bob begge måler kvantesignaler I Z-basis, kan det oppstå en feil når resultatene er forskjellige. Vi kan kalle det en liten feil. Fasefeilen kan defineres som den hypotetiske feilen hvis disse kvantesignalene ble målt i grunnlaget komplementært Til Z-basis. I Shor-Preskill – sikkerhetsbeviset er bitfeilkorreksjonen klassisk feilkorreksjon og fasefeilkorreksjonen ER PA. Den avgjørende delen er å utføre PA, der man må estimere fasefeilfrekvensen. For nøkkelbitene målt I z-basis, kan fasefeilfrekvensen estimeres ved å måle nøkkelbitene I X-basis. Z-basis sikkerhetsraten for ideell QKD er gitt ved

$${R} _ {Z}\ge {Q} _ {Z}$$

HVOR QZ er siktet nøkkelrente per signal hvor Både Alice og Bob velger Z-basis, EZ og EX er QBER i Z −Og X – basene, Og H(χ) = − xlog2x − (1-χ)log2(1-χ). På samme måte kan hemmelige nøkler også genereres I x-basis, og analysen for frekvensen RX er den samme. Den totale ideelle renten ER RA = RZ + RX. Merk at en viklet kilde er basisuavhengig( eller ukarakterisert), og sikkerhetsbeviset FOR QKD med en ukarakterisert kilde er gitt i ref. 19.

vi bemerker at for en vellykket estimering AV PA, må man sørge for at prøvetaking i komplementær basis er rettferdig, som i praktiske realiseringer reiser to store problemer: den endelige nøkkeleffekten (det vil si statistiske svingninger) og enhetsfeil (det vil si brudd på rettferdig prøvetaking), diskutert nedenfor.

endelig nøkkelanalyse

vi definerer først sikkerheten i endelig nøkkel-scenariet med composable security definition framework47,48. En sikker nøkkel skal tilfredsstille to krav. Først må nøkkelbitstrengene besatt Av Alice Og Bob være identiske, det vil si å være riktige. Sekund, fra visningen av noen andre Enn Alice Og Bob, Sier Eve, nøkkelen bit strengen skal være jevnt fordelt, det vil si, bør være hemmelig. Praktiske problemer, for eksempel den endelige datastørrelsen og ikke-ideell feilkorreksjon, betyr At Alice og Bob ikke kan generere en ideell nøkkel via QKD. I virkeligheten er det rimelig å la nøkkelen ha små feil sannsynligheter, ecor og esec, for korrekthet og hemmelighold. Vi sier AT QKD-protokollen er ε-sikker med ε ≥ ecor + esec, hvis det er ecor-correct og esec-secret48. Spesielt definerer vi ka og kb å være nøkkelen bit strenger innhentet Av Alice Og Bob. EN QKD-protokoll er definert som ecor-correct hvis sannsynligheten tilfredsstiller Pr (ka = kb) ≤ ecor. EN QKD-protokoll er definert i sporavstand for å være esec-hemmelig, hvis ||pAE − UA ⊗ pe|| ≤ esec, hvor pAE er den klassiske kvantetilstanden som beskriver fellestilstanden til ka og Eves system pE, ER UA den ensartede blandingen av alle mulige verdier av ka, og Pabort er sannsynligheten for at protokollen avbryter.

det er to hovedmetoder for å analysere den endelige nøkkelen til QKD: den ene er basert på jevn min / max entropy33, 48 og den andre er basert på komplementarity32. Nylig har disse to tilnærmingene vist seg å være forenet49. Estimeringen av fasefeilfrekvensen er den viktigste delen Av Shor-Preskill sikkerhetsanalysen. På grunn av statistiske svingninger i den endelige nøkkelsaken, kan fasefeilfrekvensen som brukes til å evaluere MENGDEN PA ikke måles nøyaktig. I stedet Kan Alice Og Bob binde fasefeilfrekvensen via visse komplementære målinger32, 33. Spesielt For Z-basis sikkerhetsnøkkelen I entanglement-basert QKD, Kan Alice og Bob binde den underliggende fasefeilfrekvensen EX ‘ ved å prøve qubits i X-basis. Dette er et typisk tilfeldig utvalgsproblem. Vi kan bruke serfling inequality50 til å estimere sannsynligheten for at gjennomsnittlig feil på prøven avviker fra gjennomsnittlig feil på totalstrengen51. Vi får den øvre grensen FOR EX ‘ som

$${E}_{X}{\prime} \le {E}_{X}+\sqrt{\frac{({n} _{X}+1)\log (1/{\varepsilon} _ {\sec })}{2{n} _ {x}({n} _ {X} + {n} _ {Z})}}$$

hvor nZ og nX er antall sammenfallende teller I z og X baser.

ved å bruke tilnærmingen til usikkerhetsforholdet for glatte entropier33, er z-basis hemmelig nøkkellengde lZ gitt av

$${l}_{Z}={n}_{Z}-{n}_{z}H\,\venstre-{f}_{{\rm{e}}}{n}_{Z}H({E} _ {Z})-\,\log \frac{2} {{\varepsilon} _{{\rm {c}} {\rm{o}} {\rm{r}} {\varepsilon }_{\sec }^{2}}.$$

På Samme måte kan x-basis endelig nøkkel hemmelig nøkkel lengde lX beregnes, og den totale nøkkellengden er l = lZ + lX.

sikkerhetsbevis for ufullkomne enheter

i praksis, på grunn av enhetsfeil, eksisterer det avvik mellom realistiske QKD-systemer og den ideelle QKD-protokollen24. For å oppnå praktisk sikkerhet I ET QKD-system må Alice Og Bob karakterisere disse ufullkommenhetene nøye og ta hensyn til dem i den praktiske sikkerhetsanalysen. Spesielt ble det etablert et generelt rammeverk for sikkerhetsanalyse med realistiske enheter i ref. 44. I dette rammeverket Må Alice Og Bob karakterisere sine enheter for å se hvor mye avvik det er fra de ideelle som antas i sikkerhetsbevisene. Man kan bruke typiske avstandsmål, som troskap og sporavstand, for å kvantifisere avviket, og deretter vurdere dette avviket I PA.

vår entanglement-baserte QKD er kildeuavhengig, noe som sikrer at ufullkommenhetene i kilden kan ignoreres. Alt vi trenger er å nøye karakterisere ufullkommenhetene i deteksjonssiden. Generelt er sidekanalene (kjent og kjent) på deteksjonssiden26,27,28,29,30,38,39,40 primært bryter nøkkelen antakelsen om rettferdig prøvetaking. Vi utfører implementeringer ved å følge squashing model44 for å garantere rettferdig prøvetaking antagelse. I en squashing-modell projiseres en vilkårlig kvantetilstand (fra kanalen) først til et todimensjonalt underrom før z-og X-målingene. Så implementerer vi en serie enkeltmodusfiltre i forskjellige frihetsgrader, inkludert frekvens, romlig og tidsmessig modus. Ikke desto mindre har praktiske filtre vanligvis begrenset båndbredde, noe som vil føre til små avvik for deteksjonseffektivitet, det vil si en deteksjonseffektivitet som ikke samsvarer 52, 53. Vårt sikkerhetsbevis for ufullkomne enheter vil primært vurdere avviket fra deteksjonseffektiviteten, og analysere denne ufullkommenheten i PA ved å følge GLLP framework44.

vi antar at den nedre grensen for deteksjonseffektivitet er η0, slik at deteksjonseffektiviteten til ith-detektoren kan skrives som η0(1 + δ), der δ kvantifiserer avviket fra effektiviteten. Anta at hvis vi kan legge til demping med transmisjon 1 / (1 + δ) like før ith-detektoren, vil vi oppnå lik effektivitet for alle detektorer. Ved å gjøre det vil antall Z-bits (Eller X-bits) reduseres med en brøkdel, øvre avgrenset av Δ = 1 – 1/(1 + δ)2. I vårt eksperiment kvantifiserer vi at ④i er øvre begrenset av δi ≤ 1.47% (se Utvidet Datatabell 1). Dette avviket kan vurderes I PA, det vil si estimering av fasefeilrate SOM EX’/(1 − Δ) (ref. 44). Samlet sett, etter å ha vurdert den endelige nøkkelstørrelseseffekten og effektivitetsavviket, er den hemmelige nøkkellengden LZ gitt av:

$${L}_{Z}={n}_{Z}-{n}_{Z}H\venstre-{f}_{{\rm{e}}}{n}_{Z}H({E}_{Z})-{n}_{z}\vardelta -\log \frac{2}{{\varepsilon }_{{\rm{c}}{\rm{o}}{\rm{r}}}{\varepsilon }_{\sec^{2}}.$$

analysen av den hemmelige nøkkellengden LX for nøkkelbitene I x-basis er den samme. Den totale endelige nøkkellengden ER L = LZ + LX.