Entanglement-baserad säker kvantkryptografi över 1,120 kilometer

implementering mot enhetsfel

i praktiken kan bristerna i realistiska QKD-implementeringar införa avvikelser (eller sidokanaler) från de idealiserade modellerna som används i säkerhetsanalysen. Eve kan utnyttja dessa brister och starta kvantattacker24. Vår intrasslingsbaserade QKD-implementering är utformad och karakteriserad för att ge praktisk säkerhet mot både kända kvantattacker och potentiella framtida kryphål.

den intrasslingsbaserade QKD är naturligt källoberoende 2,19. Allt vi behöver är att överväga sidokanalerna ordentligt vid detekteringsstadiet. Här designar vi ett detekteringssystem, väljer apparater under strikta kriterier för att uppfylla de underliggande säkerhetsantagandena och utför noggranna karakteriseringar för att testa dessa antaganden. Vi noterar att vår implementering är baserad på betrodda och karakteriserade enheter, det vill säga i ett enhetsberoende scenario. Implementeringarna är mestadels vanliga tekniker, men vi kan upprätthålla immunitet mot alla kända detekteringsattacker, inklusive: detektor effektivitet-mismatch attack37,time-shift attack27, 38,detektorblindande attack26, 39, detektor-damage attack40, detektor dödtidsattack28, våglängdsberoende attack29, rumsligt läge attack30 och andra möjliga sidokanaler24. I utökad Datatabell 3 listar vi de rapporterade attackerna mot upptäckten, liksom våra motåtgärder för att avvärja dem. I det följande kommer vi att ge en mer detaljerad beskrivning.

effektivitet-mismatch attack

i praktiken är det svårt att tillverka två SPD med samma svar för olika frihetsgrader. Det vill säga praktiska SPD: er uppvisar effektivitetsmatchning. Med effektivitetsmatchningen kan Eve delvis styra vilken detektor som klickar genom att subtilt skicka önskade signaler till Bob37. Till exempel använder de flesta av QKD-system två gated lavin fotodiod detektorer, som ger en tidsberoende effektivitetsmatchning. Eve kan utföra en tidsförskjutningsattack27, 38, genom att flytta ankomsttiden för varje signal, så att Bobs detekteringsresultat är förspända beroende på tidsförskjutningen. Vår strategi för att motverka tidsförskjutningsattacken är att vår detektor fungerar i Fritt körläge. Vi registrerar alla detekteringshändelser och väljer efter detekteringsfönstren så att detekteringseffektiviteten garanteras vara på en nominell nivå. För effektivitetsfel i andra grader av frihet37 använder vi optiska filter för att filtrera bort ingångsljuset och eliminera felaktigheten i frekvens-och rumsliga lägen.

detektor-bländande attack

i detektor-bländande attack26 använder Eve en kontinuerlig ljus laserbelysning för att tvinga SPD att arbeta i linjärt läge. SPD: erna är då inte längre känsliga för enstaka fotoner och omvandlas till klassiska intensitetsdetektorer. Eve kan styra vilken detektor klick genom att skicka Bob ordentligt anpassade klassiska pulser. I laserskadeattacken40 kan Eve använda en stark skadlig laserbelysning för att ändra SPD: s egenskaper helt. För att motverka detektor-bländande attack och laser-skada attack, såsom illustreras i utökade Data Fig. 5, vi installerar en extra krets för att övervaka anoden för belastningsmotståndet i detekteringskretsen. Vi testar attacken under experimentet genom att skicka en ljus laserpulsbelysning. Dessa resultat visas i Fig. 3b. vid normal drift (utan bländande pulser) är utgångsspänningen för övervakningskretsen under 1.2 V, motsvarande standard lavinsignaler. Vid tiden t 0,2 ms, utför Eve den bländande attacken med 12 USC och en 2-USCS-lång laserpuls med en repetitionshastighet på 100 kHz. Utgången från övervakningskretsen överstiger klart 1,2 V, eftersom en stor ström som orsakas av den ljusa laserbelysningen passerar genom lastmotståndet. Följaktligen kan vi ställa in en säker tröskel på spänningen i övervakningskretsen: om spänningen är högre än tröskeln exponerar den den bländande attacken.

detektor dödtidsattack

grundprincipen för denna attack är dödtidseffekten av en SPD28. Efter en detektionshändelse svarar en detektor inte på de inkommande fotonerna under ett tidsfönster som sträcker sig från flera nanosekunder till tiotals mikrosekunder. Om Bob har en detektionshändelse under en tidsperiod när en detektor befinner sig i dödsperioden, medan den andra är aktiv, kan Eve lätt dra slutsatsen vilken detektor som har ett klick. Vår detektor fungerar i Fritt körläge, och alla detekteringshändelser samlas in. Motåtgärden är att vi övervakar detektorernas status och endast använder de detekteringshändelser för vilka alla detektorer är aktiva för att generera nycklar.

Beam-splitter attack

i ett polarisationsbaserat QKD-system utnyttjar Bob vanligtvis en 1-2-stråldelare för att passivt välja mätbasen. I standardfallet kommer en foton slumpmässigt att passera genom stråldelaren och därmed slumpmässigt välja en rätlinjig bas eller en diagonal bas. I praktiken är emellertid klyvningsförhållandet för stråldelaren våglängdsberoende, det vill säga mittvåglängden har ett kopplingsförhållande på 50:50, medan kopplingsförhållandet varierar för andra våglängder. Följaktligen kan Eve styra mätbasen genom att skicka Bob-fotoner med olika våglängder29. För att undvika denna attack använder vi våglängdsfilter med bred bandbredd och smal bandbredd för att filtrera ingångsljuset på Bobs station. Karakteriseringarna av dessa två filter visas i Fig. 3A. stråldelarförhållandet inom den filtrerade bandbredden kännetecknas av utökade Data Fig. 6.

rumslig lägesattack

i ett QKD-system med fritt utrymme har detektorn olika känsligheter för olika rumsliga fotoner, särskilt när detektorn är kopplad till en multilägesfiber. Eve skulle kunna utnyttja den rumsliga-mode effektivitet mismatch och utföra den rumsliga-mode attack30. För att motverka denna attack placerar vi ett rumsligt filter framför stråldelaren för att göra effektiviteten hos olika detekteringsvägar enhetliga. Med det rumsliga filtret visas karakteriseringen av detektionseffektiviteten i rumslig domän i Fig. 3c.

i allmänhet garanteras den praktiska säkerheten för genomförandet i huvudsak genom antagandet om rättvis urval. Motåtgärderna mot de ovan nämnda attackerna omfattar användningen av aktiva komponenter för att garantera antagandet om rättvis provtagning. I frekvensläget används bredband och smalbandsfrekvensfilter för att filtrera ingångsljuset. I det temporala läget tillämpas frilöpande detektorer för att välja tidsfönster för detekteringshändelser. I rumsligt läge placeras rumsliga filter före kollimeringslinsen för mätanordningar. I polarisationsläge använder vi polarisationskodningen för QKD och övervakar därmed QBER för att säkerställa säkerheten. I framtiden kan vi också kombinera vårt intrasslingsbaserade QKD-system med det mätanordningsoberoende QKD-protokollet 41 för att göra detektering immun mot alla detektorattacker.

säkerhetsanalys

huvudmålet med vår säkerhetsanalys är att beräkna den praktiska säkerhetshastigheten genom att överväga problemen med finita nyckelstorlek och enhetsfel. Vi påpekar att vår säkerhetsanalys är för intrasslingsbaserad QKD med betrodda och karakteriserade enheter, det vill säga i ett enhetsberoende scenario42. Vi börjar med ett säkerhetsprov för ett idealiskt QKD-protokoll genom att följa Shor-Preskill security proof43. Vi utvidgar sedan säkerhetsanalysen till det praktiska fallet med den ändliga nyckeleffekten genom att använda osäkerhetsrelationen för smidiga entropier33. Slutligen utvidgar vi analysen för att ta itu med säkerhetsproblemen för enhetsfel genom att använda Gottesman–lo–l Jacobtkenhaus–Preskill (GLLP) ramverk44.

Ideal QKD hänvisar till fallet där ett oändligt antal signaler genereras och enheterna för att köra QKD-protokollet är lika perfekta som beskrivs av teoretiska modeller. Säkerhetssäkerheten för ideal QKD grundades i början av 2000-talet av Mayers45, Lo och Chau46 och Shor och Preskill43.

Shor och Preskill använde tanken på Calderbank–Shor–Steane quantum error correcting code för att ge en enkel ram för säkerhetssäker. I en intrasslingsbaserad QKD såsom BBM92-protokollet3, när Alice och Bob båda mäter kvantsignaler i Z-basen, kan ett fel uppstå när resultaten är olika. Vi kan kalla det lite fel. Fasfelet kan definieras som det hypotetiska felet om dessa kvantsignaler mättes i basen som kompletterar Z-basen. I Shor–Preskill säkerhet bevis, bit felkorrigering är klassisk felkorrigering och fas felkorrigering är PA. Den avgörande delen är att utföra PA, där man måste uppskatta fasfelfrekvensen. För nyckelbitarna uppmätta i Z-basen kan fasfelfrekvensen uppskattas genom att mäta nyckelbitarna i X-basen. Z-basis säkerhetshastighet för ideal QKD ges av

$${R} _ {Z} \ ge {Q} _ {Z}$$

där QZ är den siktade styrräntan per signal där både Alice och Bob väljer Z −basen, EZ och EX är QBER i Z – och X − baserna, och H(GHz) = − xlog2x – (1-IE)log2(1-IE). På samma sätt kan hemliga nycklar också genereras i X-basen, och analysen för hastigheten RX är densamma. Den totala ideala styrräntan är RA = RZ + RX. Observera att en intrasslad källa är basoberoende (eller okarakteriserad), och säkerhetsbeviset för QKD med en okarakteriserad källa anges i ref. 19.

vi påpekar att för att en framgångsrik uppskattning av PA måste man se till att provtagningen i komplementär basis är rättvis, vilket i praktiska realiseringar väcker två viktiga frågor: den ändliga nyckeleffekten (det vill säga statistiska fluktuationer) och enhetsfel (det vill säga bryter mot rättvis provtagning), diskuteras nedan.

Finite-key analysis

vi definierar först säkerheten i finite-key-scenariot med composable security definition framework47,48. En säker nyckel ska uppfylla två krav. För det första måste Nyckelsträngarna som Alice och Bob har vara identiska, det vill säga att vara korrekta. För det andra, från någon annan än Alice och Bob, säger Eva, bör nyckelbitsträngen vara jämnt fördelad, det vill säga vara hemlig. Praktiska problem, såsom ändlig datastorlek och icke-ideal felkorrigering, innebär att Alice och Bob inte kan generera en ideal nyckel via QKD. I verkligheten är det rimligt att låta nyckeln ha små felsannolikheter, ecor och esec, för korrekthet och sekretess. Vi säger att QKD-protokollet är secure med ecor + esec, om det är ecor-korrekt och esec-secret48. Specifikt definierar vi ka och kb för att vara de viktigaste bitsträngarna som Alice och Bob erhållit. Ett QKD-protokoll definieras för att vara ecor-korrekt om sannolikheten uppfyller Pr (ka = kb) bisexuell ecor. Ett QKD-protokoll definieras i spåravstånd för att vara esec-hemligt, om ||pAE − ua bisexuell pe|| esec, där pAE är det klassiska kvanttillståndet som beskriver det gemensamma tillståndet för ka och Evas system pE, UA är den enhetliga blandningen av alla möjliga värden för ka, och Pabort är sannolikheten för att protokollet avbryts.

det finns två huvudsakliga metoder för att analysera den ändliga nyckelsäkerheten för QKD: en är baserad på smidig min/max entropi33,48 och den andra är baserad på komplementaritet32. Nyligen har dessa två tillvägagångssätt visat sig vara förenade49. Uppskattningen av fasfelfrekvensen är den viktigaste delen av Shor–Preskill-säkerhetsanalysen. På grund av statistiska fluktuationer i finita nyckelfallet kan fasfelfrekvensen som används för att utvärdera mängden PA inte mätas exakt. Istället kan Alice och Bob binda fasfelfrekvensen via vissa kompletterande mätningar32,33. Specifikt, för Z-basis säkerhetsnyckel i entanglement-baserade QKD, Alice och Bob kan binda den underliggande fasen felfrekvens EX’ genom provtagning qubits i X basis. Detta är ett typiskt slumpmässigt urvalsproblem. Vi kan använda serfling inequality50 för att uppskatta sannolikheten för att det genomsnittliga felet på provet avviker från det genomsnittliga felet på den totala strängen51. Vi får den övre gränsen för EX ’ som

$${E} _ {x}{\prime} \ le {e}_{X}+ \ sqrt {\frac {({n}_{X} + 1) \ log (1 / {\varepsilon } _ {\sek })} {2{n}_{x} ({n}_{x} + {n}_{Z})}}$$

där nZ och nX är antalet sammanfallande räkningar i Z-och X-baserna.

genom att använda metoden för osäkerhetsrelationen för släta entropier33 ges Z-basens hemliga nyckellängd lZ av

$${l}_{Z}={n}_{Z} – {n}_{Z}H\,\vänster-{f}_{{\rm{e}}}{n}_{Z}h({E}_{Z})-\,\log \frac{2}{{\rm {c}} {\rm{o}} {\rm{r}} {\varepsilon} _{\sek} ^{2}}.$$

på samma sätt kan X-basen ändlig nyckel hemlig nyckellängd lX beräknas, och den totala nyckellängden är l = lZ + lX.

säkerhetssäker för ofullkomliga enheter

i praktiken finns det på grund av enhetsfel avvikelser mellan realistiska QKD-system och det ideala QKD-protokollet24. För att uppnå praktisk säkerhet i ett QKD-system måste Alice och Bob karakterisera dessa brister noggrant och ta hänsyn till dem i den praktiska säkerhetsanalysen. I synnerhet fastställdes en allmän ram för säkerhetsanalys med realistiska enheter i ref. 44. I detta ramverk måste Alice och Bob karakterisera sina enheter för att se hur mycket avvikelse det finns från de ideala som antas i säkerhetsbevisen. Man kan använda typiska avståndsåtgärder, som trohet och spåravstånd, för att kvantifiera avvikelsen och sedan överväga denna avvikelse i PA.

vår intrasslingsbaserade QKD är källoberoende, vilket säkerställer att bristerna i källan kan ignoreras. Allt vi behöver är att noggrant karakterisera bristerna i detekteringssidan. I allmänhet är de (kända och kända) sidokanalerna på detekteringssidan26,27,28,29,30,38,39,40 i första hand bryter mot det viktigaste antagandet om rättvis provtagning. Vi utför implementeringar genom att följa squashingmodellen44 för att garantera ett rättvist provtagningsantagande. I en squashmodell projiceras ett godtyckligt kvanttillstånd (från kanalen) först till ett tvådimensionellt delrum före Z-och X-mätningarna. Så vi implementerar en serie single-mode-filter i olika frihetsgrader, inklusive frekvens, rumsliga och tidsmässiga lägen. Icke desto mindre har praktiska filter normalt begränsad bandbredd, vilket kommer att orsaka små avvikelser för detektionseffektivitet, det vill säga en detektionseffektivitetsmatchning52,53. Vår säkerhet bevis för ofullkomliga enheter kommer i första hand överväga avvikelsen av detektionseffektiviteten, och analysera denna ofullkomlighet i PA genom att följa GLLP framework44.

vi antar att den nedre gränsen för detektionseffektivitet är 20, så detektionseffektiviteten hos ith-detektorn kan skrivas som 20(1 + 1I), där 2i kvantifierar avvikelsen för effektivitet. Antag att om vi kan lägga till dämpning med transmittans 1 / (1 + GHz) strax före ith-detektorn, skulle vi få lika effektivitet för alla detektorer. Genom att göra så kommer antalet Z-bitar (eller X-bitar) att minskas med en fraktion, övre avgränsad av XXL = 1 – 1/(1 + XL2). I vårt experiment kvantifierar vi att det övre gränsat till 1,47% (se utökad Datatabell 1). Denna avvikelse kan övervägas i PA, det vill säga uppskattningen av fasfelfrekvensen som EX’/(1 − Xiaomi) (ref. 44). Sammantaget, efter att ha beaktat effekten av ändlig nyckelstorlek och effektivitetsavvikelsen, ges den hemliga nyckellängden LZ av:

$${L}_{Z}={n}_{Z}-{n}_{Z}h\vänster-{f}_{{\rm{e}}}{n}_{Z}h({E}_{Z})-{N}_{Z}\varDelta -\log \frac{2}{{\rm {c}} {\rm{o}} {\rm{r}} {\varepsilon} _{\sek} ^{2}}.$$

analysen av den hemliga nyckellängden LX för nyckelbitarna i X-basen är densamma. Den totala ändliga nyckellängden är L = LZ + LX.