bezpieczna kryptografia kwantowa oparta na splątaniu ponad 1120 kilometrów
implementacja przeciw niedoskonałościom urządzeń
w praktyce niedoskonałości realistycznych implementacji QKD mogą wprowadzać odchylenia (lub kanały boczne) od wyidealizowanych modeli używanych w analizie bezpieczeństwa. Eve może wykorzystać te niedoskonałości i rozpocząć ataki kwantowe24. Nasza implementacja QKD oparta na splątaniu została zaprojektowana i charakteryzuje się praktycznym zabezpieczeniem przed zarówno znanymi atakami kwantowymi, jak i potencjalnymi lukami w przyszłości.
QKD oparte na splątaniu jest naturalnie niezależne od źródła2,19. Wszystko, czego potrzebujemy, to właściwe rozważenie kanałów bocznych na etapie wykrywania. Tutaj projektujemy system detekcji, wybierając aparaturę pod ścisłymi kryteriami spełniania podstawowych założeń bezpieczeństwa i wykonując staranne charakterystyki w celu przetestowania tych założeń. Zauważamy, że nasze wdrożenie opiera się na zaufanych i scharakteryzowanych urządzeniach, czyli w scenariuszu zależnym od urządzenia. Implementacje są w większości powszechnymi technikami, ale możemy zachować odporność na wszystkie znane ataki detekcyjne, w tym: atak na sprawność detektora-niedopasowanie 37,atak na przesunięcie czasowe27, 38,atak na oślepianie detektora 26, 39, atak na uszkodzenie detektora 40, atak na czas martwy detektora 28, atak zależny od długości fal29, atak w trybie przestrzennym30 i inne możliwe kanały boczne24. W rozszerzonej tabeli danych 3 wymieniamy zgłoszone ataki przeciwko wykryciu, a także nasze środki zaradcze, aby je zapobiec. Poniżej podamy bardziej szczegółowy opis.
efektywność-atak niedopasowania
w praktyce trudno jest wyprodukować dwa SPD o tych samych reakcjach dla różnych stopni swobody. Oznacza to, że praktyczne SPD prezentują niedopasowanie wydajności. Dzięki niedopasowaniu wydajności Eve może częściowo kontrolować, który detektor kliknie, subtelnie wysyłając pożądane sygnały do Bob37. Na przykład większość systemów QKD wykorzystuje dwa ogrodzone detektory fotodiod lawinowych, które wytwarzają zależne od czasu niedopasowanie wydajności. Eve może wykonać atak z przesunięciem czasowym27, 38, zmieniając czas przybycia każdego sygnału, tak aby wyniki wykrywania Boba były stronnicze w zależności od przesunięcia czasowego. Nasza strategia przeciwdziałania atakowi przesunięcia czasowego polega na tym, że nasz detektor działa w trybie swobodnej pracy. Rejestrujemy wszystkie zdarzenia detekcji i wybieramy okna detekcji tak, aby skuteczność detekcji była gwarantowana na nominalnym poziomie. W celu niedopasowania wydajności w innych stopniach swobody37 używamy filtrów optycznych, aby odfiltrować światło wejściowe i wyeliminować niedopasowanie w trybach częstotliwości i przestrzeni.
atak oślepiający detektora
w ataku oślepiającym detektora Eve wykorzystuje ciągłe jasne oświetlenie laserowe, aby zmusić SPD do pracy w trybie liniowym. SPD nie są wtedy już czułe na pojedyncze fotony i są przekształcane w Klasyczne detektory intensywności. Eve może kontrolować, który detektor kliknie, wysyłając Bobowi odpowiednio dopasowane Klasyczne impulsy. W laser damage attack40 Eve może użyć silnego szkodliwego oświetlenia laserowego, aby całkowicie zmienić właściwości SPD. Aby przeciwdziałać atakowi oślepiającemu detektor i atakowi laserowemu, jak pokazano na rozszerzonych danych rys. 5, instalujemy dodatkowy obwód do monitorowania anody rezystancji obciążenia w obwodzie detekcji. Testujemy atak podczas eksperymentu wysyłając jasne oświetlenie impulsowe lasera. Wyniki te przedstawiono na Fig. 3b. w normalnej pracy (bez impulsów oślepiających) napięcie wyjściowe obwodu monitorującego wynosi poniżej 1.2 V, odpowiadające standardowym sygnałom lawinowym. W czasie t ≈ 0,2 ms, Eve wykonuje oślepiający atak przy użyciu 12 µW i impulsu laserowego o długości 2 µs z częstotliwością powtarzania 100 kHz. Wyjście obwodu monitorującego wyraźnie przekracza 1,2 V, ponieważ duży prąd spowodowany jasnym oświetleniem Laserowym przechodzi przez rezystancję obciążenia. W związku z tym możemy ustawić bezpieczny próg na napięciu obwodu monitorującego: jeśli napięcie jest wyższe niż próg, naraża oślepiający atak.
atak w czasie martwym detektora
podstawową zasadą tego ataku jest efekt w czasie martwym spd28. Po zdarzeniu detekcji detektor nie reaguje na przychodzące fotony w przedziale czasowym od kilku nanosekund do kilkudziesięciu mikrosekund. Jeśli Bob ma Zdarzenie detekcji w czasie, gdy jeden detektor znajduje się w martwym okresie czasu, podczas gdy drugi jest aktywny, Eve może łatwo wywnioskować, który detektor ma kliknięcie. Nasz detektor pracuje w trybie free-running, a wszystkie zdarzenia detekcji są zbierane. Przeciwdziałanie polega na tym, że monitorujemy stan detektorów i używamy tylko tych zdarzeń detekcji, dla których wszystkie detektory są aktywne do generowania kluczy.
atak rozdzielacza wiązki
w systemie QKD opartym na polaryzacji, Bob zazwyczaj wykorzystuje rozdzielacz wiązki 1 × 2, aby pasywnie wybrać podstawę pomiaru. W standardowym przypadku Foton losowo przechodzi przez rozdzielacz wiązki, wybierając w ten sposób podstawę prostoliniową lub podstawę diagonalną. Jednak w praktyce stosunek podziału rozdzielacza wiązki jest zależny od długości fali, to znaczy Środkowa długość fali ma stosunek sprzężenia 50: 50, podczas gdy stosunek sprzężenia jest różny dla innych długości fal. W związku z tym Eve może kontrolować podstawę pomiaru, wysyłając fotony Boba o różnej długości fal29. Aby uniknąć tego ataku, używamy filtrów o szerokim i wąskim paśmie długości fali do filtrowania światła wejściowego na stacji Boba. Charakterystyki tych dwóch filtrów przedstawiono na Fig. 3A. stosunek rozdzielacza wiązki w przefiltrowanej Szerokości pasma jest scharakteryzowany na rozszerzonych danych rys. 6.
atak w trybie przestrzennym
w systemie QKD w wolnej przestrzeni detektor ma różne czułości dla różnych fotonów w trybie przestrzennym, zwłaszcza gdy detektor jest sprzężony z włóknem wielomodowym. Eve mogłaby wykorzystać niedopasowanie wydajności trybu przestrzennego i przeprowadzić atak w trybie przestrzennym30. Aby przeciwdziałać temu atakowi, umieszczamy filtr przestrzenny przed rozdzielaczem wiązki, aby wydajność różnych ścieżek detekcji była jednolita. Z filtrem przestrzennym, charakterystyka skuteczności wykrywania w dziedzinie przestrzennej jest pokazana na Fig. 3c.
ogólnie rzecz biorąc, praktyczne bezpieczeństwo wdrożenia jest zasadniczo gwarantowane przez założenie sprawiedliwego pobierania próbek. Środki zaradcze wobec wyżej wymienionych ataków obejmują stosowanie aktywnych składników w celu zagwarantowania sprawiedliwego pobierania próbek. W trybie częstotliwości do filtrowania światła wejściowego stosuje się filtry szerokopasmowe i wąskopasmowe. W trybie temporalnym detektory wolno działające są stosowane do Po wybraniu okien czasowych zdarzeń detekcji. W trybie przestrzennym filtry przestrzenne umieszcza się przed soczewką kolimacyjną urządzeń pomiarowych. W trybie polaryzacji używamy kodowania polaryzacji dla QKD, monitorując w ten sposób QBER w celu zapewnienia bezpieczeństwa. W przyszłości możemy również połączyć nasz oparty na splątaniu system QKD z niezależnym od urządzenia pomiarowego protokołem QKD41, aby uczynić detekcję odporną na wszystkie ataki detektorów.
analiza bezpieczeństwa
głównym celem naszej analizy bezpieczeństwa jest obliczenie praktycznej stopy bezpieczeństwa, biorąc pod uwagę kwestie skończonego rozmiaru klucza i niedoskonałości urządzenia. Zwracamy uwagę, że nasza analiza bezpieczeństwa dotyczy QKD opartego na splątaniu z zaufanymi i scharakteryzowanymi urządzeniami, to znaczy w scenariuszu zależnym od urządzenia42. Zaczynamy od dowodu bezpieczeństwa dla idealnego protokołu QKD, postępując zgodnie z Shor-Preskill security proof43. Następnie rozszerzamy analizę bezpieczeństwa na praktyczny przypadek efektu skończonego klucza, stosując podejście relacji niepewności dla gładkich entropii33. Na koniec rozszerzamy analizę, aby rozwiązać problemy związane z bezpieczeństwem niedoskonałości urządzeń za pomocą frameworka Gottesman–Lo–Lütkenhaus–Preskill (GLLP) 44.
idealny QKD odnosi się do przypadku, w którym generowana jest nieskończona liczba sygnałów, a Urządzenia do uruchamiania protokołu QKD są tak doskonałe, jak opisano w modelach teoretycznych. Dowód bezpieczeństwa ideal QKD został ustanowiony na początku 2000 roku przez Mayers45, Lo i Chau46 oraz Shor i Preskill43.
Shor i Preskill wykorzystali pomysł kodu Quantum error correcting calderbank-Shor-Steane, aby zapewnić prosty framework dla dowodu bezpieczeństwa. W QKD opartym na splątaniu, takim jak protokół bbm923, gdy Alice i Bob mierzą sygnały kwantowe w podstawie Z, może wystąpić błąd, gdy wyniki są różne. Możemy to nazwać drobnym błędem. Błąd fazowy można zdefiniować jako błąd hipotetyczny, jeśli te sygnały kwantowe były mierzone w bazie uzupełniającej bazę Z. W zabezpieczeniu Shor-Preskill korekcja błędów bitowych jest klasyczną korekcją błędów, a korekcja błędów fazowych jest PA. Kluczową częścią jest wykonanie PA, w którym należy oszacować poziom błędu fazowego. Dla bitów klucza mierzonych w podstawie Z, współczynnik błędu fazy można oszacować poprzez pomiar bitów klucza w podstawie X. Z-basis security rate for ideal QKD is given by
gdzie QZ jest przesianą szybkością klucza na sygnał, w której zarówno Alice, jak i Bob wybierają bazę Z, EZ i EX są QBEREM w bazach z I X, A H(χ) = – xlog2x − (1 − χ)log2(1-χ). Podobnie, tajne klucze mogą być również generowane w bazie X, a analiza dla szybkości RX jest taka sama. Całkowita idealna stopa kluczowa to RA = RZ + RX. Zauważ, że splątane źródło jest niezależne od podstawy (lub nietypowe), a dowód bezpieczeństwa dla QKD z nietypowym źródłem jest podany w ref. 19.
zauważamy, że w celu pomyślnego oszacowania PA, należy upewnić się, że próbkowanie w bazie komplementarnej jest uczciwe, co w praktycznych realizacjach rodzi dwa główne problemy: efekt skończonego klucza (czyli fluktuacje statystyczne) i niedoskonałości urządzenia (czyli naruszenie uczciwego próbkowania), omówione poniżej.
Analiza skończonych kluczy
najpierw definiujemy bezpieczeństwo w scenariuszu skończonych kluczy za pomocą composable security definition framework47,48. Bezpieczny klucz powinien spełniać dwa wymagania. Po pierwsze, struny bitów kluczy posiadane przez Alice i Bob muszą być identyczne, to znaczy poprawne. Po drugie, z punktu widzenia kogokolwiek innego niż Alice i Bob, powiedzmy Eve, ciąg bitów klucza powinien być równomiernie rozłożony, to znaczy powinien być tajny. Problemy praktyczne, takie jak skończony Rozmiar danych i niedokładna korekcja błędów, oznaczają, że Alice i Bob nie mogą wygenerować idealnego klucza za pomocą QKD. W rzeczywistości uzasadnione jest, aby klucz miał małe prawdopodobieństwo awarii, ecor i esec, dla poprawności i tajemnicy. Mówimy, że protokół QKD jest ε-secure z ε ≥ ecor + esec, jeśli jest to ECOR-correct I esec-secret48. W szczególności definiujemy ka i kb jako ciągi bitów kluczy uzyskane przez Alice i Boba. Protokół QKD jest zdefiniowany jako ECOR-correct, jeśli prawdopodobieństwo spełnia Pr (ka = kb) ≤ ecor. Protokół QKD jest zdefiniowany w odległości śladowej jako ESEC-secret, jeśli ||pAE − UA ⊗ pE|| ≤ esec, gdzie pAE jest klasycznym stanem kwantowym opisującym wspólny stan ka i układu Ewy pE, UA jest jednolitą mieszaniną wszystkich możliwych wartości ka, a Pabort jest prawdopodobieństwem przerwania protokołu.
istnieją dwa główne podejścia do analizy bezpieczeństwa skończonego klucza QKD: jedno opiera się na płynnej entropii min/max33,48, a drugie na komplementarności32. Ostatnio udowodniono, że te dwa podejścia są jedne49. Oszacowanie poziomu błędu fazowego jest najważniejszą częścią analizy bezpieczeństwa Shor–Preskill. Ze względu na wahania statystyczne w przypadku klucza skończonego, współczynnik błędu fazowego używany do oceny ilości PA nie może być dokładnie zmierzony. Zamiast tego Alicja i Bob mogą związać poziom błędu fazowego za pomocą pewnych uzupełniających miar32,33. W szczególności, dla klucza bezpieczeństwa bazującego na z w QKD opartym na splątaniu, Alice i Bob mogą związać podstawowy poziom błędu fazy EX’, próbkując kubity w bazie X. Jest to typowy problem losowego pobierania próbek. Możemy użyć nierówności Służebności50, aby oszacować prawdopodobieństwo, że średni błąd na próbce odbiega od średniego błędu na całkowitym string51. Otrzymujemy górną granicę dla EX ’ as
gdzie nZ i nX są liczbą zbieżnych zliczeń w bazach z I X.
korzystając z podejścia relacji niepewności dla entropii gładkiej33, długość klucza tajnego z-basis LZ jest dana przez
Podobnie można obliczyć długość klucza skończonego lx na podstawie X, a całkowita długość klucza wynosi l = lZ + lX.
zabezpieczenie dla niedoskonałych urządzeń
w praktyce, ze względu na niedoskonałości urządzeń, istnieją odchylenia między realistycznymi systemami QKD a idealnym protokołem QKD24. Aby osiągnąć praktyczne bezpieczeństwo w systemie QKD, Alice i Bob muszą dokładnie scharakteryzować te niedoskonałości i wziąć je pod uwagę w praktycznej analizie bezpieczeństwa. W szczególności w ref. 44. W tym kontekście Alice i Bob muszą scharakteryzować swoje urządzenia, aby zobaczyć, jak duże jest odchylenie od idealnych założonych w dowodach bezpieczeństwa. Można użyć typowych miar odległości, takich jak wierność i odległość śladowa, aby obliczyć odchylenie, a następnie rozważyć to odchylenie w PA.
nasz QKD oparty na splątaniu jest niezależny od źródła, co zapewnia, że niedoskonałości w źródle mogą być ignorowane. Wszystko, czego potrzebujemy, to dokładnie scharakteryzować niedoskonałości po stronie wykrywania. Ogólnie rzecz biorąc, (znane i znane) kanały boczne Po stronie detekcji26,27,28,29,30,38,39,40 przede wszystkim naruszają kluczowe założenie uczciwego pobierania próbek. Realizujemy wdrożenia według modelu zgniatania44, aby zagwarantować uczciwe założenie próbkowania. W modelu zgniatania arbitralny stan kwantowy (z kanału) jest najpierw rzutowany na dwuwymiarową podprzestrzeń przed pomiarami Z I X. Wdrażamy więc serię filtrów jednomodowych w różnych stopniach swobody, w tym w trybie częstotliwości, przestrzennym i czasowym. Niemniej jednak, praktyczne filtry zwykle mają skończoną przepustowość, co powoduje niewielkie odchylenia wydajności wykrywania, to znaczy niedopasowanie wydajności wykrywania 52, 53. Nasz dowód bezpieczeństwa dla niedoskonałych urządzeń będzie przede wszystkim uwzględniał odchylenie skuteczności wykrywania i analizował tę niedoskonałość w PA, postępując zgodnie z ramami GLLP44.
Zakładamy, że dolna granica skuteczności wykrywania wynosi η0, więc skuteczność wykrywania i-tego detektora można zapisać jako η0 (1 + δi), gdzie δi określa odchylenie wydajności. Załóżmy, że jeśli dodamy tłumienie o transmitancji 1 / (1 + δi) tuż przed i-tym detektorem, to uzyskamy równą sprawność dla wszystkich detektorów. W ten sposób Liczba Z-bitów (lub X-bitów) zostanie zmniejszona o ułamek, górny ograniczony przez Δ = 1 – 1/(1 + δ)2. W naszym eksperymencie obliczamy, że δi jest górna granica δi ≤ 1,47% (patrz Rozszerzona Tabela danych 1). Odchylenie to można uwzględnić w PA, czyli oszacowaniu współczynnika błędu fazowego jako EX ’ / (1-Δ) (ref. 44). Ogólnie rzecz biorąc, po rozważeniu efektu rozmiaru skończonego klucza i odchylenia wydajności, tajna długość klucza LZ jest podana przez:
analiza tajnej długości klucza LX dla bitów klucza w bazie X jest taka sama. Całkowita długość klucza wynosi L = LZ + LX.