Entanglement-based secure quantum cryptography over 1,120 km
implementatie tegen apparaatonvolkomenheden
in de praktijk kunnen de onvolkomenheden van realistische qkd-implementaties afwijkingen (of zijkanalen) van de geïdealiseerde modellen in de veiligheidsanalyse veroorzaken. Eve zou deze onvolkomenheden kunnen uitbuiten en quantum attacks24 lanceren. Onze op verstrengeling gebaseerde qkd-implementatie is ontworpen en gekarakteriseerd om praktische beveiliging te bieden tegen zowel bekende quantumaanvallen als potentiële toekomstige mazen in de wet.
de op verstrengeling gebaseerde QKD is van nature brononafhankelijk2, 19. Alles wat we nodig hebben is om de zijkanalen goed te overwegen in de detectiefase. Hier ontwerpen we een detectiesysteem, waarbij we apparaten kiezen onder strikte criteria om aan de onderliggende veiligheidsaannames te voldoen, en zorgvuldige karakteriseringen uitvoeren om die aannames te testen. We merken op dat onze implementatie is gebaseerd op vertrouwde en gekarakteriseerde apparaten, dat wil zeggen in een apparaat-afhankelijk scenario. De implementaties zijn meestal gangbare technieken, maar we kunnen immuniteit behouden voor alle bekende detectieaanvallen, waaronder: detector efficiency-mismatch attack37, time-shift attack27, 38,detector-verblindende attack26, 39, detector-schade attack40, detector dead-time attack28, golflengteafhankelijke attack29, Spatial-mode attack30 en andere mogelijke zijkanalen24. In Uitgebreide gegevenstabel 3, geven we een lijst van de gerapporteerde aanvallen tegen de detectie, evenals onze tegenmaatregelen om ze te voorkomen. In het volgende, zullen we een meer gedetailleerde beschrijving geven.
Efficiency-mismatch attack
in de praktijk is het moeilijk om twee EPD ‘ s te produceren met dezelfde antwoorden voor verschillende vrijheidsgraden. Dat wil zeggen, praktische EPD ‘ s presenteren efficiëntie mismatch. Met de efficiëntie mismatch, Eve kan gedeeltelijk controleren welke detector klikt door subtiel sturen gewenste signalen naar Bob37. De meeste QKD-systemen gebruiken bijvoorbeeld twee omheinde lawine fotodiode-detectoren, die een tijdsafhankelijke efficiëntiefout produceren. Eve kan een time-shift attack27,38 uitvoeren, door de aankomsttijd van elk signaal te verschuiven, zodat Bob ‘ s detectieresultaten bevooroordeeld zijn, afhankelijk van de time shift. Onze strategie om de time-shift aanval tegen te gaan is dat onze detector in vrijloopmodus werkt. We registreren alle detectiegebeurtenissen en post-selecteren de detectievensters zodanig dat de detectieefficiëntie gegarandeerd op een nominaal niveau is. Voor efficiëntie mismatch in andere graden van freedom37, gebruiken we optische filters om het ingangslicht te filteren en de mismatch in de frequentie en ruimtelijke modi te elimineren.
detector-blinding attack
in de detector-blinding attack26 gebruikt Eve een continue heldere laserverlichting om SPD ‘ s te dwingen in de lineaire modus te werken. De SPDs zijn dan niet langer gevoelig voor enige fotonen, en worden omgezet in klassieke intensiteitsdetectors. Eve kan bepalen welke detector klikt door Bob goed op maat gemaakte klassieke pulsen te sturen. In de laserschade attack40 kan Eve een sterke schadelijke laserverlichting gebruiken om de eigenschappen van de SPD ‘ s volledig te veranderen. Om de detector-verblindende aanval en de laser-schade aanval tegen te gaan, zoals geïllustreerd in Uitgebreide gegevens Fig. 5, installeren wij een extra kring om de anode van de ladingsweerstand in het opsporingskring te controleren. We testen de aanval tijdens het experiment door een heldere laserpulsverlichting te sturen. Deze resultaten zijn weergegeven in Fig. 3b. in normaal bedrijf (zonder verblindende pulsen) is de uitgangsspanning van het bewakingscircuit lager dan 1.2 V, overeenkomend met standaard lawinesignalen. Op tijd t ≈ 0,2 ms voert Eve de verblindende aanval uit met 12 µW en een 2 µs lange laserpuls met een herhalingssnelheid van 100 kHz. De output van het bewakingscircuit overschrijdt duidelijk 1,2 V, omdat een grote stroom veroorzaakt door de heldere laserverlichting door de belastingsweerstand gaat. Bijgevolg kunnen we een veilige drempel instellen op de spanning van het bewakingscircuit: als de spanning hoger is dan de drempel, wordt de verblindende aanval blootgelegd.
detector dead-time attack
het basisprincipe van deze aanval is het dead-time effect van een SPD28. Na een opsporingsgebeurtenis, reageert een detector niet op de binnenkomende fotonen tijdens een tijdvenster die zich van verscheidene nanoseconden tot tientallen microseconden uitstrekt. Als Bob een detectiegebeurtenis heeft gedurende een periode waarin de ene detector in de dode-periode is, terwijl de andere actief is, kan Eve gemakkelijk afleiden welke detector een klik heeft. Onze detector werkt in de vrijloopmodus en alle detectiegebeurtenissen worden verzameld. De tegenmaatregel is dat we de status van de detectoren monitoren en alleen die detectiegebeurtenissen gebruiken waarvoor alle detectoren actief zijn om sleutels te genereren.
Beam-splitter attack
in een op polarisatie gebaseerd QKD-systeem gebruikt Bob doorgaans een 1 × 2 beam-splitter om passief de meetbasis te kiezen. In het standaard geval zal een foton willekeurig door de bundelsplitter gaan, waardoor willekeurig een rechtlijnige basis of een diagonale basis wordt gekozen. In de praktijk is de splitsingsverhouding van de bundelsplitter echter golflengteafhankelijk, dat wil zeggen dat de middelste golflengte een koppelingsverhouding van 50:50 heeft, terwijl de koppelingsverhouding voor andere golflengten varieert. Bijgevolg kan Eve de meetbasis controleren door Bob-fotonen met verschillende golflengte29 te sturen. Om deze aanval te voorkomen, gebruiken we breedband-en smalle bandbreedte-golflengtefilters om het ingangslicht op Bob ‘ s station te filteren. De karakteriseringen van deze twee filters zijn weergegeven in Fig. 3a. de verhouding van de straalsplitter binnen de gefilterde bandbreedte wordt gekenmerkt in Uitgebreide gegevens Fig. 6.
Spatial-mode attack
in een QKD-systeem in vrije ruimte heeft de detector verschillende gevoeligheden voor verschillende Spatial-mode fotonen, vooral wanneer de detector is gekoppeld aan een multi-mode vezel. Eve zou de Spatial-mode efficiency mismatch kunnen benutten en de Spatial-mode attack30 uitvoeren. Om deze aanval tegen te gaan plaatsen we een ruimtelijk filter voor de bundelsplitter om de efficiëntie van verschillende detectiepaden uniform te maken. Met het ruimtelijk filter, wordt de karakterisering van de opsporingsefficiëntie in ruimtelijk domein getoond in Fig. 3 quater.
in het algemeen wordt de praktische zekerheid van de uitvoering hoofdzakelijk gewaarborgd door de veronderstelling van een eerlijke steekproef. De tegenmaatregelen tegen de bovengenoemde aanvallen omvatten het gebruik van actieve componenten om de aanname van eerlijke steekproeven te garanderen. In de frequentiemodus worden breedband-en smalbandfrequentiefilters gebruikt om het ingangslicht te filteren. In de temporale modus worden vrijlopende detectoren toegepast om de tijdvensters van detectiegebeurtenissen na te selecteren. In de ruimtelijke modus worden ruimtelijke filters geplaatst voor de collimerende lens van meetapparatuur. In de polarisatiemodus gebruiken we de polarisatiecodering voor QKD, waardoor we de QBER controleren om de veiligheid te garanderen. In de toekomst kunnen we ook ons op verstrengeling gebaseerde QKD-systeem combineren met het meetapparaat-onafhankelijke qkd-protocol41 om detectie immuun te maken voor alle detectoraanvallen.
veiligheidsanalyse
het belangrijkste doel van onze veiligheidsanalyse is het berekenen van de praktische veiligheidssnelheid door rekening te houden met de problemen van de eindige sleutelgrootte en onvolkomenheden van het apparaat. Wij merken op dat onze veiligheidsanalyse is voor verstrengeling-gebaseerde QKD met vertrouwde en gekarakteriseerde apparaten, dat wil zeggen, in een apparaat-afhankelijke scenario42. We beginnen met een security proof voor een ideaal QKD protocol door het volgen van de Shor–Preskill security proof43. Vervolgens breiden we de veiligheidsanalyse uit naar het praktische geval van het eindige-sleuteleffect door gebruik te maken van de benadering van onzekerheid relatie voor vlotte entropies33. Tot slot breiden we de analyse uit om de beveiligingsproblemen van apparaatimperfecties aan te pakken met behulp van het Gottesman–Lo–Lütkenhaus–Preskill (GLLP) framework44.
ideale QKD verwijst naar het geval waarin een oneindig aantal signalen worden gegenereerd en de apparaten voor het uitvoeren van het qkd-protocol even perfect zijn als beschreven door theoretische modellen. Het veiligheidsbewijs voor ideal QKD werd in de vroege jaren 2000 vastgesteld door Mayers45, Lo en Chau46 en Shor en Preskill43.
Shor en Preskill gebruikten het idee van de calderbank–Shor-Steane quantum error correcting code om een eenvoudig raamwerk te bieden voor beveiliging bewijs. In een verstrengeling-gebaseerde QKD zoals BBM92 protocol3, wanneer Alice en Bob beide kwantumsignalen in de Z-basis meten, kan een fout voorkomen wanneer de resultaten verschillend zijn. We kunnen het een kleine fout noemen. De fasefout kan worden gedefinieerd als de hypothetische fout als deze kwantumsignalen werden gemeten in de basis complementair aan de Z-basis. In de Shor-Preskill security proof is de bit foutcorrectie klassieke foutcorrectie en de fasefoutcorrectie is PA. Het cruciale deel is het uitvoeren van de PA, waarin men nodig heeft om de fase foutenpercentage te schatten. Voor de sleutelbits gemeten in de Z-basis, kan het fasefoutpercentage worden geschat door de sleutelbits te meten in de X-basis. Het Z-basis beveiligingspercentage voor ideal QKD wordt gegeven door
waarin QZ de gezeefde sleutelsnelheid per signaal is waarin zowel Alice als Bob de Z-basis selecteren, EZ en EX zijn de QBER in de Z-en X-bases, en H(χ) = −xlog2x – (1 − χ)log2(1 − χ). Op dezelfde manier kunnen ook geheime sleutels worden gegenereerd in de x-basis, en de analyse voor de RX-snelheid is hetzelfde. De totale ideale sleutelsnelheid is RA = RZ + RX. Merk op dat een verstrengelde bron basis-onafhankelijk is (of niet-gekarakteriseerd), en het veiligheidsbewijs voor QKD met een niet-gekarakteriseerde bron wordt gegeven in ref. 19.
wij merken op dat Voor een succesvolle schatting van PA, men ervoor moet zorgen dat de bemonstering in de complementaire basis eerlijk is, wat in praktische realisaties twee belangrijke kwesties oproept: het eindige-sleuteleffect (dat wil zeggen, statistische fluctuaties) en onvolkomenheden van het apparaat (dat wil zeggen, het schenden van de eerlijke bemonstering), die hieronder worden besproken.
Finite-key analysis
we definiëren eerst de beveiliging in het finite-key scenario met het composable security definition framework47, 48. Een veilige sleutel moet aan twee eisen voldoen. Ten eerste moeten de keybit snaren van Alice en Bob identiek zijn, dat wil zeggen, om correct te zijn. Ten tweede, vanuit het oogpunt van iemand anders dan Alice en Bob, zeg Eve, de sleutel bit string moet uniform worden verdeeld, dat wil zeggen, moet geheim zijn. Praktische problemen, zoals de eindige gegevensgrootte en niet-ideale foutcorrectie, betekenen dat Alice en Bob geen ideale sleutel via QKD kunnen genereren. In werkelijkheid is het redelijk om toe te staan dat de sleutel kleine foutkansen heeft, ecor en esec, voor correctheid en geheimhouding. We zeggen dat het qkd-protocol ε-secure is met ε ≥ ecor + esec, als het ecor-correct en esec-secret48 is. Specifiek, definiëren we ka en kb om de sleutel bit strings verkregen door Alice en Bob. Een QKD-protocol wordt gedefinieerd als ecor-correct als de waarschijnlijkheid voldoet aan Pr (ka = kb) ≤ ecor. Een qkd-protocol wordt gedefinieerd in trace distance als esec-secret, Als|| pAE − ua pE pE / / ≤ esec, waar pAE de klassieke kwantumtoestand is die de gezamenlijke toestand van ka en Eve ‘ s systeem pE beschrijft, UA het uniforme mengsel is van alle mogelijke waarden van ka, en Pabort de waarschijnlijkheid is dat het protocol wordt afgebroken.
er zijn twee belangrijke benaderingen om de eindige-sleutelveiligheid van QKD te analyseren: de ene is gebaseerd op soepele min/max entropie33,48 en de andere is gebaseerd op complementariteit32. Onlangs is gebleken dat deze twee benaderingen eenvormig zijn49. De schatting van het fasefoutpercentage is het belangrijkste onderdeel van de Shor–Preskill beveiligingsanalyse. Als gevolg van statistische schommelingen in het geval van de eindige sleutel kan het fasefoutpercentage dat wordt gebruikt voor de evaluatie van de hoeveelheid PA niet nauwkeurig worden gemeten. In plaats daarvan kunnen Alice en Bob het fasefoutenpercentage binden via bepaalde aanvullende meets32,33. Specifiek, voor de Z-basis beveiligingssleutel in verstrengeling-gebaseerde QKD, kunnen Alice en Bob het onderliggende fasefoutpercentage EX’ binden door de qubits in de x-basis te bemonsteren. Dit is een typisch steekproefprobleem. We kunnen de Serfling inequality50 gebruiken om de kans te schatten dat de gemiddelde fout op het monster afwijkt van de gemiddelde fout op de totale string51. We verkrijgen de bovengrens voor EX ‘ as
waarin nZ en nX het aantal samenvallende tellingen in de Z-en X-basen zijn.
door gebruik te maken van de benadering van de onzekerheidsrelatie voor gladde entropies33, wordt de Z-basis geheime sleutellengte lZ gegeven door
op dezelfde manier kan de x-basis eindige-sleutel geheime sleutellengte lX worden berekend, en de totale sleutellengte is l = lZ + lX.
Veiligheidsbestendig voor onvolmaakte apparaten
in de praktijk bestaan er door onvolkomenheden van apparaten afwijkingen tussen realistische QKD-systemen en het ideale qkd-protocol24. Om praktische beveiliging in een QKD-systeem te bereiken, moeten Alice en Bob deze onvolkomenheden zorgvuldig karakteriseren en er rekening mee houden in de praktische beveiligingsanalyse. Met name werd in ref een algemeen kader voor veiligheidsanalyse met realistische apparaten vastgesteld. 44. In dit kader, Alice en Bob nodig hebben om hun apparaten te karakteriseren om te zien hoeveel afwijking er is van de ideale degenen aangenomen in de beveiliging bewijzen. Men kan typische afstandsmaten gebruiken, zoals trouw en spoorafstand, om de afwijking te kwantificeren, en dan deze afwijking in PA overwegen.
onze op verstrengeling gebaseerde QKD is brononafhankelijk, wat ervoor zorgt dat de onvolkomenheden in de bron genegeerd kunnen worden. Alles wat we nodig hebben is om de onvolkomenheden in de detectie kant zorgvuldig te karakteriseren. In het algemeen, de (bekende en te kennen) zijkanalen op de detectie side26,27,28,29,30,38,39,40 in de eerste plaats in strijd met de belangrijkste aanname van eerlijke bemonstering. We voeren implementaties uit door het squashing model44 te volgen om de eerlijke sampling aanname te garanderen. In een squashing model wordt een willekeurige kwantumtoestand (van het kanaal) eerst geprojecteerd naar een tweedimensionale subruimte voor de Z-en X-metingen. Dus implementeren we een reeks single-mode filters in verschillende vrijheidsgraden, waaronder de frequentie, ruimtelijke en temporele modi. Niettemin, praktische filters hebben normaal gesproken eindige bandbreedte, wat kleine afwijkingen voor detectie-efficiëntie zal veroorzaken, dat wil zeggen, een detectie-efficiëntie mismatch52, 53. Ons veiligheidsbewijs voor onvolmaakte apparaten zal in de eerste plaats rekening houden met de afwijking van de detectieefficiëntie en deze onvolmaaktheid in de PA analyseren door het GLLP-framework44 te volgen.
we gaan ervan uit dat de ondergrens van de detectieefficiëntie η0 is, zodat de detectieefficiëntie van de IDE detector kan worden geschreven als η0(1 + δi), waarbij δi de afwijking van de efficiëntie kwantificeert. Stel dat als we demping kunnen toevoegen met transmissie 1/(1 + δi) net voor de IDE detector, dan zouden we dezelfde efficiëntie voor alle detectoren verkrijgen. Daarbij wordt het aantal Z-bits (of X-bits) verminderd met een breuk, die wordt begrensd door Δ = 1 – 1/(1 + δ)2. In ons experiment kwantificeren we dat δi wordt begrensd door δi ≤ 1,47% (zie uitgebreide gegevenstabel 1). Deze afwijking kan worden beschouwd in PA, dat wil zeggen de schatting van het fasefoutenpercentage als EX ‘ / (1 − Δ) (ref. 44). Over het geheel genomen wordt, na het effect van de eindige sleutelformaat en de efficiëntieafwijking, de geheime sleutellengte LZ gegeven door:
de analyse van de geheime sleutellengte LX voor de sleutelbits in de x-basis is hetzelfde. De totale eindige sleutellengte is L = LZ + LX.