criptografie cuantică securizată bazată pe Entanglement peste 1.120 kilometri

implementare împotriva imperfecțiunilor dispozitivului

în practică, imperfecțiunile implementărilor QKD realiste pot introduce abateri (sau canale laterale) de la modelele idealizate utilizate în analiza de securitate. Eve ar putea exploata aceste imperfecțiuni și lansa atacuri cuantice24. Implementarea noastră QKD bazată pe entanglement este concepută și caracterizată pentru a oferi securitate practică atât împotriva atacurilor cuantice cunoscute, cât și a potențialelor lacune viitoare.

QKD bazat pe entanglement este în mod natural independent de sursă2,19. Tot ce avem nevoie este să luăm în considerare canalele laterale în mod corespunzător în stadiul de detectare. Aici, proiectăm un sistem de detectare, alegând aparate sub criterii stricte pentru satisfacerea ipotezelor de securitate subiacente și efectuând caracterizări atente pentru a testa aceste ipoteze. Observăm că implementarea noastră se bazează pe dispozitive de încredere și caracterizate, adică într-un scenariu dependent de dispozitiv. Implementările sunt în mare parte tehnici comune, dar putem menține imunitatea la toate atacurile de detectare cunoscute, inclusiv: eficiența detectorului-atac de nepotrivire37,atac de schimbare a timpului27, 38,atac de orbire a detectorului26, 39, atac de distrugere a detectorului40, atac de moarte a detectorului28, atac dependent de lungime29, atac în mod spațial30 și alte canale laterale posibile24. În tabelul extins de date 3, enumerăm atacurile raportate împotriva detectării, precum și contramăsurile noastre pentru a le evita. În cele ce urmează, vom oferi o descriere mai detaliată.

eficiență-nepotrivire atac

în practică, este dificil să fabricăm două SPD-uri cu aceleași răspunsuri pentru diferite grade de libertate. Adică, SPD-urile practice prezintă o nepotrivire a eficienței. Cu nepotrivirea eficienței, Eve poate controla parțial ce detector Face clic prin trimiterea subtilă a semnalelor dorite către Bob37. De exemplu, majoritatea sistemelor QKD utilizează două detectoare de fotodiode de avalanșă închise, care produc o nepotrivire de eficiență dependentă de timp. Eve poate efectua un atac de schimbare de timp27, 38, schimbând ora de sosire a fiecărui semnal, astfel încât rezultatele detectării lui Bob să fie părtinitoare în funcție de schimbarea de timp. Strategia noastră de a contracara atacul de schimbare a timpului este că detectorul nostru funcționează în modul de funcționare liberă. Înregistrăm toate evenimentele de detectare și post-selectăm ferestrele de detectare astfel încât eficiența de detectare să fie garantată la un nivel nominal. Pentru nepotrivirea eficienței în alte grade de libertate37, folosim filtre optice pentru a filtra lumina de intrare și pentru a elimina nepotrivirea în modurile de frecvență și spațiale.

Detector-atac orbitor

în detectorul-atac orbitor26, Eve folosește o iluminare laser strălucitoare continuă pentru a forța SPD-urile să funcționeze în modul liniar. SPD-urile nu mai sunt sensibile la fotoni unici și sunt transformate în detectoare clasice de intensitate. Eve poate controla ce clicuri detector prin trimiterea Bob impulsuri clasice adaptate în mod corespunzător. În atacul de daune cu laser40, Eve poate utiliza o iluminare laser puternică dăunătoare pentru a schimba complet proprietățile SPD-urilor. Pentru a contracara atacul de orbire a detectorului și atacul de deteriorare a laserului, așa cum este ilustrat în datele extinse Fig. 5, instalăm un circuit suplimentar pentru a monitoriza anodul rezistenței la sarcină în circuitul de detectare. Testăm atacul în timpul experimentului trimițând o iluminare puternică a pulsului laser. Aceste rezultate sunt prezentate în Fig. 3b. în funcționare normală (fără impulsuri orbitoare), tensiunea de ieșire a circuitului de monitorizare este sub 1.2 V, corespunzând semnalelor standard de avalanșă. La ora t 0.2 ms, Eve efectuează atacul orbitor folosind 12 centi W și un puls laser lung de 2 centi la o rată de repetiție de 100 kHz. Ieșirea circuitului de monitorizare depășește în mod clar 1,2 V, deoarece un curent mare cauzat de iluminarea laser strălucitoare trece prin rezistența la sarcină. În consecință, am putea stabili un prag sigur pe tensiunea circuitului de monitorizare: dacă tensiunea este mai mare decât pragul, expune atacul orbitor.

Detector dead-time attack

principiul de bază al acestui atac este efectul dead-time al unui SPD28. După un eveniment de detectare, un detector nu răspunde la fotonii care intră într-o fereastră de timp variind de la câteva nanosecunde la zeci de microsecunde. Dacă Bob are un eveniment de detectare într-o perioadă de timp în care un detector se află în perioada de timp mort, în timp ce celălalt este activ, Eve ar putea deduce cu ușurință care detector are un clic. Detectorul nostru funcționează în modul de funcționare liberă și toate evenimentele de detectare sunt colectate. Contramăsura este că monitorizăm starea detectoarelor și folosim doar acele evenimente de detectare pentru care toți detectorii sunt activi pentru a genera chei.

Beam-splitter attack

într-un sistem QKD bazat pe polarizare, Bob exploatează de obicei un splitter cu fascicul de 1 x2 pentru a alege pasiv baza de măsurare. În cazul standard, un foton va trece aleatoriu prin splitterul fasciculului, selectând astfel aleatoriu o bază rectilinie sau o bază diagonală. Cu toate acestea, în practică, raportul de despicare al splitterului fasciculului este dependent de lungimea de undă, adică lungimea de undă centrală are un raport de cuplare de 50:50, în timp ce raportul de cuplare variază pentru alte lungimi de undă. În consecință, Eve poate controla baza de măsurare prin trimiterea de fotoni Bob cu lungimi de undă diferite29. Pentru a evita acest atac, folosim filtre cu lățime de bandă largă și lățime de bandă îngustă pentru a filtra lumina de intrare pe stația lui Bob. Caracterizările acestor două filtre sunt prezentate în Fig. 3a. raportul de separare a fasciculului în lățimea de bandă filtrată este caracterizat în date extinse Fig. 6.

atac în mod spațial

într-un sistem QKD în spațiu liber, detectorul are sensibilități diferite pentru diferiți fotoni în mod spațial, mai ales atunci când detectorul este cuplat cu o fibră multi-mode. Eve ar putea exploata nepotrivirea eficienței în modul spațial și ar putea efectua atacul în modul spațial30. Pentru a contracara acest atac, plasăm un filtru spațial în fața divizorului fasciculului pentru a uniformiza eficiența diferitelor căi de detectare. Cu filtrul spațial, caracterizarea eficienței de detecție în domeniul spațial este prezentată în Fig. 3c.

în general, securitatea practică a punerii în aplicare este garantată în esență de ipoteza eșantionării corecte. Contramăsurile la atacurile menționate mai sus cuprind utilizarea de componente active pentru a garanta ipoteza eșantionării echitabile. În modul de frecvență, filtrele de frecvență cu bandă largă și bandă îngustă sunt utilizate pentru filtrarea luminii de intrare. În modul temporal, detectoarele cu funcționare liberă sunt aplicate pentru a post-selecta ferestrele de timp ale evenimentelor de detectare. În modul spațial, filtrele spațiale sunt plasate înaintea lentilei de colimare a dispozitivelor de măsurare. În modul de polarizare, folosim codificarea polarizării pentru QKD, monitorizând astfel QBER-ul pentru a asigura securitatea. În viitor, putem combina, de asemenea, sistemul nostru QKD bazat pe entanglement cu protocolul QKD independent de dispozitiv de măsurare41 pentru a face detectarea imună la toate atacurile detectorului.

analiza de securitate

scopul principal al analizei noastre de securitate este de a calcula rata de securitate practică luând în considerare problemele dimensiunii finite-cheie și imperfecțiunile dispozitivului. Remarcăm că analiza noastră de securitate este pentru QKD bazat pe entanglement cu dispozitive de încredere și caracterizate, adică într-un scenariu dependent de dispozitiv42. Începem cu o dovadă de securitate pentru un protocol QKD ideal urmând Shor-Preskill security proof43. Apoi, extindem analiza de securitate la cazul practic al efectului cheie finită prin utilizarea abordării relației de incertitudine pentru entropiile line33. În cele din urmă, extindem analiza pentru a aborda problemele de securitate ale imperfecțiunilor dispozitivului prin utilizarea cadrului Gottesman–lo–l pentru seria de dispozitive (GLLP) 44.

QKD Ideal se referă la cazul în care un număr infinit de semnale sunt generate și dispozitivele pentru a rula protocolul QKD sunt la fel de perfecte ca cele descrise de modelele teoretice. Dovada de securitate pentru QKD ideal a fost stabilită la începutul anilor 2000 de Mayers45, Lo și Chau46 și Shor și Preskill43.

Shor și Preskill au folosit ideea codului de corectare a erorilor cuantice Calderbank–Shor–Steane pentru a oferi un cadru simplu pentru dovada securității. Într-un QKD bazat pe entanglement, cum ar fi protocolul BBM923, când Alice și Bob măsoară ambele semnale cuantice în baza Z, poate apărea o eroare atunci când rezultatele sunt diferite. O putem numi o mică eroare. Eroarea de fază poate fi definită ca eroare ipotetică dacă acele semnale cuantice au fost măsurate în baza complementară bazei Z. În dovada de securitate Shor-Preskill, corectarea erorilor de biți este corecția clasică a erorilor, iar corectarea erorilor de fază este PA. Partea crucială este de a efectua PA, în care trebuie să estimați rata de eroare de fază. Pentru biții cheie măsurați în baza Z, rata de eroare de fază poate fi estimată prin măsurarea biților cheie în baza X. Rata de securitate Z-basis pentru QKD ideal este dată de

$${R}_{Z}\ge {Q} _ {Z}$$

unde QZ este rata cheii cernute pe semnal în care atât Alice, cât și Bob Selectează baza Z, EZ și EX sunt QBER în bazele Z și X, iar H(xlog) = −xlog2x – (1 − hectolitru)log2(1 − hectolitru). În mod similar, cheile secrete pot fi generate și în baza X, iar analiza ratei RX este aceeași. Rata totală ideală a cheii este RA = RZ + RX. Rețineți că o sursă încurcată este independentă de bază (sau necaracterizată), iar dovada de securitate pentru QKD cu o sursă necaracterizată este dată în ref. 19.

remarcăm că pentru o estimare reușită a AP, trebuie să ne asigurăm că eșantionarea în baza complementară este corectă, ceea ce în realizările practice ridică două probleme majore: efectul finit-cheie (adică fluctuațiile statistice) și imperfecțiunile dispozitivului (adică încălcarea eșantionării corecte), discutate mai jos.

analiza cheii Finite

definim mai întâi securitatea în scenariul cheii finite cu Cadrul de definiție a securității compozitabile47,48. O cheie sigură ar trebui să satisfacă două cerințe. În primul rând, șirurile de biți cheie posedate de Alice și Bob trebuie să fie identice, adică să fie corecte. În al doilea rând, din punctul de vedere al altcuiva decât Alice și Bob, spun Eva, șirul de biți cheie ar trebui să fie distribuite uniform, care este, ar trebui să fie secret. Probleme practice, cum ar fi dimensiunea finită a datelor și corectarea erorilor non-ideale, înseamnă că Alice și Bob nu pot genera o cheie Ideală prin QKD. În realitate, este rezonabil să se permită cheii să aibă probabilități mici de eșec, ecor și esec, pentru corectitudine și secret. Noi spunem că protocolul QKD este secure-XCT cu ecor + esec, dacă este ecor-corect și esec-secret48. Mai exact, definim KA și kb ca fiind șirurile de biți cheie obținute de Alice și Bob. Un protocol QKD este definit ca fiind ecor-corect dacă probabilitatea satisface pr (ka = kb) ecor. Un protocol QKD este definit în Distanța de urmărire pentru a fi esec-secret, dacă / / pAE − ua pe / / esec, unde pAE este starea cuantică clasică care descrie starea comună a sistemului Ka și Eve pe, UA este amestecul uniform al tuturor valorilor posibile ale ka, iar Pabort este probabilitatea ca protocolul să se întrerupă.

există două abordări principale pentru a analiza securitatea cu cheie finită a QKD: una se bazează pe entropia min/max netedă 33,48, iar cealaltă se bazează pe complementaritate32. Recent, aceste două abordări s-au dovedit a fi unificate49. Estimarea ratei de eroare de fază este cea mai importantă parte a analizei de securitate Shor–Preskill. Datorită fluctuațiilor statistice în cazul cheii finite, rata de eroare de fază utilizată pentru evaluarea cantității de PA nu poate fi măsurată cu exactitate. În schimb, Alice și Bob pot lega rata de eroare de fază prin anumite măsurători complementare32, 33. Mai exact, pentru cheia de securitate Z-basis în QKD bazată pe entanglement, Alice și Bob pot lega rata de eroare de fază de bază ex’ prin eșantionarea qubit-urilor în baza X. Aceasta este o problemă tipică de eșantionare aleatorie. Putem folosi inechitatea Serfling50 pentru a estima probabilitatea ca eroarea medie pe eșantion să se abată de la eroarea medie pe șirul total51. Obținem limita superioară pentru EX ‘ ca

$${E} _ {X}{\prim} \ le {E} _ {x}+ \ sqrt {\frac {({n} _ {X} + 1) \ log (1 / {\varepsilon } _ {\sec })} {2{n} _ {x} ({n}_{x}+{n} _ {Z})}}$$

unde nZ și nX sunt numărul de numărări coincidente în bazele Z și X.

folosind abordarea relației de incertitudine pentru entropiile line33, lungimea cheii secrete de bază Z lZ este dată de

$${l}_{z}={n}_{z}-{n}_{z}H\,\stânga-{f}_{{\rm{e}}}{n}_{z}H({E} _ {Z})-\,\log \frac{2} {{\varepsilon } _ {{\rm{c}} {\rm{o}} {\rm{r}} {\varepsilon } _ {\sec }^{2}}.$$

în mod similar, lungimea cheii secrete cu cheie finită de bază x lX poate fi calculată, iar lungimea totală a cheii este l = lZ + lX.

dovada de securitate pentru dispozitive imperfecte

în practică, datorită imperfecțiunilor dispozitivului, există abateri între sistemele QKD realiste și protocolul QKD ideal24. Pentru a obține o securitate practică într-un sistem QKD, Alice și Bob trebuie să caracterizeze cu atenție aceste imperfecțiuni și să le ia în considerare în analiza practică a securității. În special, în ref a fost stabilit un cadru general pentru analiza securității cu dispozitive realiste. 44. În acest cadru, Alice și Bob trebuie să-și caracterizeze dispozitivele pentru a vedea câtă abatere există de la cele ideale asumate în dovezile de securitate. Se pot folosi măsuri tipice de distanță, cum ar fi fidelitatea și distanța de urmărire, pentru a cuantifica abaterea și apoi ia în considerare această abatere în PA.

QKD-ul nostru bazat pe entanglement este independent de sursă, ceea ce asigură că imperfecțiunile din sursă pot fi ignorate. Tot ce avem nevoie este să caracterizăm cu atenție imperfecțiunile din partea de detectare. În general, canalele laterale (cunoscute și cunoscute) de pe partea de detectare26,27,28,29,30,38,39,40 încalcă în primul rând ipoteza cheie de eșantionare echitabilă. Realizăm implementări urmând modelul squashing44 pentru a garanta asumarea corectă a eșantionării. Într-un model de strivire, o stare cuantică arbitrară (din canal) este proiectată mai întâi într-un subspațiu bidimensional înainte de măsurătorile Z și X. Deci, implementăm o serie de filtre cu un singur mod în diferite grade de libertate, inclusiv modurile de frecvență, spațiale și temporale. Cu toate acestea, filtrele practice au în mod normal lățime de bandă finită, ceea ce va provoca mici abateri pentru eficiența detectării, adică o nepotrivire a eficienței detectării52,53. Dovada noastră de securitate pentru dispozitivele imperfecte va lua în considerare în primul rând abaterea eficienței de detectare și va analiza această imperfecțiune în PA urmând cadrul GLLP44.

presupunem ca limita inferioara a eficientei de detectie este de la 0XT, deci eficienta de detectie a celui de-al I-lea detector poate fi scrisa ca fiind de la 0XT(1 + 1xtti), unde se cuantifica deviatia de eficienta de la 0xtti. Să presupunem că dacă putem adăuga atenuarea cu transmitanța 1/(1 + oquti) chiar înaintea celui de-al I-lea detector, atunci vom obține o eficiență egală pentru toți detectorii. Procedând astfel, numărul de Z-biți (sau X-biți) va fi redus cu o fracție, superioară delimitată de hectolitru = 1 – 1/(1 + hectolitru)2. În experimentul nostru, cuantificăm faptul că optimi este superior delimitat de 1,47% de un optimi 1 (a se vedea tabelul extins de date 1). Această abatere poate fi luată în considerare în PA, adică estimarea ratei de eroare de fază ca EX’/(1 − INKT) (ref. 44). În general, după luarea în considerare a efectului dimensiunii cheii finite și a deviației de eficiență, lungimea cheii secrete LZ este dată de:

$${L}_{Z}={N}_{Z}-{N}_{z}H\stânga-{f}_{{\rm{e}}}{n}_{z}H({E}_{Z} {Z}-{N}_{Z}\varDelta -\log \frac {2} {{\varepsilon} _{{\rm {c}} {\rm {o}} {\rm {r}} {\varepsilon} _{\sec} ^{2}}.$$

analiza lungimii cheii secrete LX pentru biții cheie din Baza X este aceeași. Lungimea totală a cheii finite este L = LZ + LX.