criptografia quântica segura baseada em entrelaçamento sobre 1,120 quilômetros
implementação contra imperfeições de dispositivos
na prática, as imperfeições de implementações realistas QKD podem introduzir desvios (ou canais laterais) dos modelos idealizados usados na análise de segurança. Eve pode explorar estas imperfeições e lançar ataques quânticos 24. Nossa implementação QKD baseada em entrelaçamento é projetada e caracterizada para fornecer segurança prática contra ataques quânticos conhecidos e potenciais brechas futuras.
o QKD baseado em entrelaçamento é naturalmente independente da fonte 2,19. Tudo o que precisamos é de considerar devidamente os canais secundários na fase de detecção. Aqui, projetamos um sistema de detecção, escolhendo aparelhos sob critérios rigorosos para satisfazer os pressupostos de segurança subjacentes, e realizando caracterizações cuidadosas para testar esses pressupostos. Notamos que nossa implementação é baseada em dispositivos confiáveis e caracterizados, ou seja, em um cenário dependente de dispositivos. As implementações são, principalmente, as técnicas comuns, mas podemos manter a imunidade para todos os conhecidos de detecção de ataques, incluindo: detector de eficiência-incompatibilidade de attack37, mudança de hora attack27,38, detector de-cegar attack26,39, detector de dano attack40, detector de mortos-tempo attack28, dependente do comprimento de onda attack29, espacial, de modo attack30, e outros secundários possíveis channels24. Na tabela de dados estendida 3, listamos os ataques relatados contra a Detecção, bem como nossas contramedidas para evitá-los. A seguir, vamos dar uma descrição mais detalhada.
Efficiency-mismatch attack
In practice, it is difficult to manufacture two SPDs with the same responses for different degrees of freedom. Isto é, os DOCUP práticos apresentam um desfasamento de eficiência. Com o desfasamento de eficiência, Eve pode controlar parcialmente que o detector clica subtilmente enviando sinais desejados para Bob37. Por exemplo, a maioria dos sistemas QKD usam dois detectores fotodódicos de avalanche, que produzem um desfasamento de eficiência dependente do tempo. Eve pode executar um ataque de time-shift 27, 38, alterando a hora de chegada de cada sinal, de modo que os resultados de detecção de Bob são tendenciosos dependendo do turno de tempo. A nossa estratégia para combater o ataque do time-shift é que o nosso detector funciona em Modo de funcionamento livre. Registramos todos os eventos de detecção e pós-selecionamos as janelas de detecção de modo que a eficiência de detecção seja garantida a um nível nominal. Para o desfasamento de eficiência em outros graus do freedom37, usamos filtros ópticos para filtrar a luz de entrada e eliminar o desfasamento nos modos de frequência e espacial.
Detector-blinding attack
in the detector-blinding attack26, Eve uses a continuous bright laser illumination to force SPDs to work in the linear mode. Os SPDs não são mais sensíveis a fótons únicos, e são convertidos em Detectores de intensidade clássica. Eve pode controlar qual o detector clica enviando Bob pulsos clássicos feitos à medida. No ataque de danos laser 40, Eve pode usar uma forte iluminação laser prejudicial para mudar as propriedades dos SPDs completamente. Para combater o ataque ofuscante pelo detector e o ataque de danos por laser, como ilustrado em dados estendidos Fig. 5, instalamos um circuito adicional para monitorar o ânodo da resistência à carga no circuito de detecção. Testamos o ataque durante a experiência enviando uma brilhante iluminação de pulsação laser. Estes resultados são apresentados na Fig. 3b. em funcionamento normal (sem impulsos cegos), a tensão de saída do circuito de monitorização é inferior a 1.2 V, correspondente aos sinais padrão de avalanches. No momento t ≈ 0.2 ms, Eve realiza o ataque ofuscante usando 12 µW e um pulso laser de 2 µs de comprimento a uma taxa de repetição de 100 kHz. A saída do circuito de monitorização excede claramente 1,2 V, porque uma grande corrente causada pela iluminação laser brilhante passa através da resistência à carga. Consequentemente, poderíamos definir um limiar seguro na tensão do circuito de monitoramento: se a tensão é maior do que o limiar, ele expõe o ataque ofuscante.
Detector dead-time attack
the basic principle of this attack is the dead-time effect of a SPD28. Depois de um evento de Detecção, um detector não responde aos fótons recebidos durante uma janela de tempo que varia de vários nanossegundos a dezenas de microssegundos. Se Bob tem um evento de detecção durante um período de tempo em que um detector está no período de tempo morto, enquanto o outro está ativo, Eve poderia facilmente inferir que detector tem um clique. O nosso detector funciona no modo de funcionamento livre, e todos os eventos de detecção são recolhidos. A contramedida é que monitoramos o estado dos detectores e usamos apenas os eventos de detecção para os quais todos os detectores estão ativos para gerar chaves.
ataque do divisor de feixes
num sistema QKD baseado em polarização, Bob tipicamente explora um divisor de feixes 1 × 2 para escolher passivamente a base de medição. No caso padrão, um fóton irá passar aleatoriamente através do separador de feixe, selecionando aleatoriamente uma base retilinear ou uma base diagonal. No entanto, na prática, a razão de separação do separador do feixe é dependente do comprimento de onda, ou seja, o comprimento de onda central tem uma razão de acoplamento de 50:50, enquanto a razão de acoplamento varia para outros comprimentos de onda. Consequentemente, Eve pode controlar a base de medição enviando fotões Bob com diferentes comprimentos de onda 29. Para evitar este ataque, usamos filtros de largura de banda larga e largura de banda estreita para filtrar a luz de entrada na estação de Bob. As caracterizações destes dois filtros são mostradas na Fig. 3a.a razão do separador de feixe dentro da largura de banda filtrada é caracterizada em figos de dados estendidos. 6.
ataque com modo espacial
num sistema QKD de espaço livre, o detector tem sensibilidades diferentes para diferentes fótons de modo espacial, especialmente quando o detector está acoplado com uma fibra multi-modo. Eve poderia explorar o desfasamento de eficiência do modo espacial e executar o ataque do modo espacial 30. Para combater este ataque, colocamos um filtro espacial na frente do separador de feixe para tornar uniformes as eficiências de diferentes caminhos de detecção. Com o filtro espacial, a caracterização da eficiência de detecção no domínio espacial é mostrada na Fig. 3c.
em geral, a segurança prática da aplicação é essencialmente garantida pelo pressuposto da amostragem justa. As contramedidas contra os ataques acima referidos incluem a utilização de componentes activos para garantir a hipótese de amostragem justa. No modo de frequência, os filtros de frequência de banda larga e de banda estreita são utilizados para filtrar a luz de entrada. No modo temporal, Detectores de funcionamento livre são aplicados para pós-selecionar as janelas de tempo de eventos de detecção. No modo espacial, os filtros espaciais são colocados antes da lente de colimação dos dispositivos de medição. No modo de polarização, usamos a codificação de polarização para QKD, assim monitorando o QBER para garantir a segurança. No futuro, podemos também combinar o nosso sistema QKD baseado em enredamento com o protocolo QKD independente de dispositivo de medição QKD 41 para tornar a detecção imune a todos os ataques de detetores.
Análise de segurança
o principal objetivo da nossa análise de segurança é calcular a taxa de segurança prática, considerando as questões do tamanho da chave finita e imperfeições do dispositivo. Observamos que nossa análise de segurança é para o QKD baseado em entrelaçamento com dispositivos confiáveis e caracterizados, ou seja, em um scenario42 dependente de dispositivos. Começamos com uma prova de segurança para um protocolo QKD ideal, seguindo o Shor–Preskill security proof43. Em seguida, estendemos a análise de segurança para o caso prático do efeito chave finito, usando a abordagem da relação de incerteza para entropies33 suaves. Finalmente, estendemos a análise para abordar as questões de segurança das imperfeições do dispositivo usando o framework Gottesman–Lo–Lütkenhaus–Preskill (GLLP) 44.
Ideal QKD refere-se ao caso em que um número infinito de sinais são gerados e os dispositivos para executar o protocolo QKD são tão perfeitos como descrito por modelos teóricos. A prova de segurança para QKD ideal foi estabelecida no início da década de 2000 por Mayers45, Lo e Chau46 e Shor e Preskill43.
Shor and Preskill employed the idea of the Calderbank-Shor-Steane quantum error correcting code to provide a simple framework for security proof. Em um emaranhado de base QKD como o BBM92 protocol3, quando Alice e Bob tanto medir o quantum sinais de Z-base, um erro pode ocorrer quando os resultados são diferentes. Podemos chamar-lhe um pequeno erro. O erro de fase pode ser definido como o erro hipotético se esses sinais quânticos foram medidos na base complementar à base Z. Na prova de segurança Shor–Preskill, a correção de erro de bit é a correção de erro clássico e a correção de erro de fase é PA. A parte crucial é executar o PA, no qual é necessário estimar a taxa de erro de fase. Para os bits chave medidos na base Z, a taxa de erro de fase pode ser estimada medindo os bits chave na Base X. O Z-base de segurança taxa ideal QKD é dada por
onde QZ é o peneirada chave de taxa, por sinal, em que ambos, Alice e Bob selecione o Z-base, EZ e EX são as QBER em Z e X bases e H(χ) = −xlog2x – (1 − χ)log2(1 − χ). Similarmente, chaves secretas também podem ser geradas na Base X, e a análise para a taxa RX é a mesma. A taxa de chave ideal total é RA = Rz + RX. Note que uma fonte emaranhada é independente da base (ou não catalatizada), e a prova de segurança para QKD com uma fonte não catalatizada é dada em ref. 19.
observamos que para uma estimativa bem sucedida de PA, é preciso ter certeza de que a amostragem na base complementar é justa, o que em realizações práticas levanta duas questões principais: o efeito chave finito (isto é, flutuações estatísticas) e imperfeições do dispositivo (isto é, violando a amostragem justa), discutidas abaixo.
Análise de chave finita
primeiro definimos a segurança no cenário de chave finita com o framework de definição de segurança composível 47, 48. Uma chave segura deve satisfazer dois requisitos. Primeiro, as cordas chave possuídas por Alice e Bob precisam ser idênticas, ou seja, para serem corretas. Segundo, do ponto de vista de qualquer outra pessoa que não Alice e Bob, digamos Eve, a chave bit string deve ser uniformemente distribuída, isto é, deve ser secreta. Questões práticas, como o tamanho finito dos dados e correção de erro Não-ideal, significam que Alice e Bob não podem gerar uma chave ideal via QKD. Na realidade, é razoável permitir que a chave para ter pequenas probabilidades de falha, ecor e esec, para a correção e sigilo. Dizemos que o protocolo QKD É ε-seguro Com ε ≥ ecor + esec, se é ecor-correto e esec-secret48. Especificamente, definimos ka e kb como sendo as chaves de bits obtidas por Alice e Bob. Um protocolo QKD é definido como ecor-correto se a probabilidade satisfaz Pr (ka = kb) ≤ ecor. Um protocolo QKD é definido em uma distância de traço para ser esec-secret, se / / pAE-UA ⊗ pE / / ≤ esec, onde pAE é o estado quântico clássico que descreve o estado conjunto do sistema de Ka e Eve pE, UA é a mistura uniforme de todos os valores possíveis de ka, e Pabort é a probabilidade de que o protocolo aborta.
existem duas abordagens principais para analisar a segurança de chave finita do QKD: uma é baseada em smooth min/max entropy33,48 e a outra é baseada na complementaridade32. Recentemente, estas duas abordagens revelaram-se unificadas 49. A estimativa da taxa de erro de fase é a parte mais importante da análise de segurança Shor–Preskill. Devido a flutuações estatísticas no caso de chave finita, a taxa de erro de fase utilizada para avaliar a quantidade de PA não pode ser medida com precisão. Em vez disso, Alice e Bob podem ligar a taxa de erro de fase através de certas medidas complementares 32,33. Especificamente, para a chave de segurança Z-basis no QKD baseado em entrelaçamento, Alice e Bob podem vincular a taxa de erro de fase subjacente EX’ através da amostragem dos qubits na Base X. Este é um típico problema de amostragem aleatória. Podemos usar a desigualdade Servida50 para estimar a probabilidade de que o erro médio na amostra se desvie do erro médio no string51 total. Obtém-se o limite superior para EX’ como
onde nZ e nX é o número de coincidentes conta em Z e X bases.
usando a abordagem de incerteza relativamente suave entropies33, o Z-base secreta de comprimento de chave de lZ é dada por
da mesma forma, o tamanho da chave secreta de Chave finita de X-basis LX pode ser calculado, e o comprimento total da chave é l = lZ + lX.
prova de segurança para dispositivos imperfeitos
na prática, devido às imperfeições do dispositivo, existem desvios entre sistemas QKD realistas e o protocolo QKD ideal 24. Para alcançar a segurança prática em um sistema QKD, Alice e Bob precisam caracterizar essas imperfeições cuidadosamente e levá-las em conta na análise de segurança prática. Em especial, foi estabelecido na ref um quadro geral para a análise da segurança com dispositivos realistas. 44. Nesta estrutura, Alice e Bob precisam caracterizar seus dispositivos para ver quanto desvio há em relação aos ideais assumidos nas provas de segurança. Pode-se empregar medidas de distância típicas, como fidelidade e distância de traço, para quantificar o desvio, e então considerar este desvio em PA.
nosso QKD baseado em entrelaçamento é independente da fonte, o que garante que as imperfeições na fonte podem ser ignoradas. Tudo o que precisamos é de caracterizar cuidadosamente as imperfeições do lado da detecção. Em geral, os canais laterais (conhecidos e conhecidos) do lado de detecção26,27,28,29,30,38,39,40 violar, em primeiro lugar, o pressuposto fundamental de uma amostragem justa. Executamos implementações seguindo o modelo de esmagamento 44 para garantir a suposição de amostragem justa. Em um modelo de squash, um estado quântico arbitrário (a partir do canal) é primeiramente projetado para um subespaço bidimensional antes das medições Z e X. Assim, Implementamos uma série de filtros de modo único em diferentes graus de liberdade, incluindo a frequência, modos espaciais e temporais. No entanto, filtros práticos normalmente têm largura de banda finita, o que causará pequenos desvios para a detecção de eficiências, ou seja,uma eficiência de detecção mismatch52, 53. Nossa prova de segurança para dispositivos imperfeitos irá considerar principalmente o desvio da eficiência de detecção, e analisar essa imperfeição na AP seguindo o framework GLLP44.
assumimos que o limite inferior da eficiência de detecção é η0, de modo que a eficiência de detecção do ith detector pode ser escrito como η0(1 + δi), onde δi quantifica o desvio da eficiência. Suponha que se pudermos adicionar atenuação com transmitância 1/(1 + δi) pouco antes do detector ith, então obteríamos igual eficiência para todos os detectores. Ao fazê-lo, o número de z-bits (ou X – bits) será reduzido por uma fração, superior delimitado por Δ = 1-1/(1 + δ)2. Em nossa experiência, quantificamos que δi é superior limitado por δi ≤ 1,47% (Ver Tabela de dados estendida 1). Este desvio pode ser considerado em PA, ou seja, a estimativa da taxa de erro de fase como EX’ / (1-Δ) (ref. 44). No geral, após considerar o finito-chave do tamanho do efeito e a eficiência de desvio, o segredo é o comprimento da chave LZ é dada por:
a análise do tamanho da chave secreta LX para os bits chave na Base X é a mesma. O comprimento total de chave finita é L = LZ + LX.