1 / 57

Kvantna kriptografija

Kvantna kriptografija. Predava č : dr. Mario Stipčević, Institut Ruđer Bošković U okviru seminara prof. L. Budina 17. prosinca 2003. FER, Zagreb http://www.irb.hr/users/stipcevi/download/fer171203.pdf. Osnovni zadaci: autentikacija

imelda
Download Presentation

Kvantna kriptografija

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Kvantna kriptografija Predavač: dr. Mario Stipčević, Institut Ruđer Bošković U okviru seminara prof. L. Budina 17. prosinca 2003. FER, Zagreb http://www.irb.hr/users/stipcevi/download/fer171203.pdf

  2. Osnovni zadaci: autentikacija generiranje tajnog ključa između dvije strane koje ne dijele tajnu osiguranje tajnosti poruke osiguranje integriteta poruke osiguranje autentičnosti por. osiguranje neporecivosti Složeni: sigurne komunikacije elektroničko trgovanje i poslovanje elektroničko potpisivanje anonimne bankovne transakcije elektroničko glasovanje elektronički novac Što je kriptografija (zadaci) Nekad umjetnost, a danas specijalizirano područje teorije informacija koje se bavi raznim zadacima:

  3. Tipovi kriptografije • Još jedna zanimljiva karakterizacija: • klasična kriptografija je deterministička, a • kvantna je stohastička.

  4. Shannonov model kriptosustava • Ovaj kriptosustav podrazumijeva da Eve iz javnog kanala prima istu • informaciju kao Alice i Bob [1]. • U Shannonovom modelu javlja se problem distribucije tajnog ključa. Osnovno je • pitanje: kako dvije strane koje se nikada nisu vidjele ni čule mogu uspostaviti • zajednički tajni ključ ?

  5. Težište ovog predavanja biti će na jednom od najvažnijih zadataka kriptografije: generiranju zajedničkog tajnog ključa između dvije strane koje prethodno ne dijele nikakvu zajedničku tajnu. Generiranje zajedničkog ključa Zamislimo prostoriju punu ljudi u kojoj dvoje (koji se ne poznaju) žele prenijeti / stvoriti neku zajedničku tajnu. Da li je to moguće ?

  6. U svom djelu “Matematička teorija kriptografije” iz 1946. Shannon je dokazao pesimističan rezultat da je nužan i dovoljan uvjet da šifratror bude apsolutno siguran taj da je tajni ključ iste duljine kao i informacijski sadržaj (Shannonova entropija H) poruke. Prema tome, ukoliko Alice i Bob već ne dijele neku tajnu, oni je ne mogu uspostaviti nikakvim protokolom. Shannonov teorem

  7. Vernamov “One Time Pad” Inženjeri G. Vernam i J. Mauborgne patentirali su 1918. sistem za šifriranje koji se sastoji u tome da se poruka (plaintext) XOR-ira s jednokratnim slučajnim predloškom (pad) kojeg posjeduju strane koje žele izmjeniti poruku u tajnosti. Sistem je siguran ako se predložak koristi samo jednom i uništi nakon korištenja. • Kriptirane poruke ostaju zauvijek sigurne. (Dekriptiranje: - MOD 26) • Shannonov teorem ekvivalentan je tvrdnji da je jedini siguran kriptosistem OTP.

  8. Diffie-Hellman protokol... • W. Diffie, M. Hellman (Stanford) objavili su 1976 metodu za uspostavu tajnog ključa između dvije strane koje ne dijele prethodnu tajnu. Iako ovo prividno proturječi Shannonovom teoremu, riječ je o triku. • Alice generira slučajan broj A i računa X=exp(A), šalje X Bobu • Bob generira slučajan broj B i računa Y=exp(B) i šalje Y Alice U konačnici Alice i Bob računaju tajni ključ, K. DH je vjerojatno najveće pojedinačno otkriće klasične kripotografije.

  9. …Diffie-Hellman protokol Prisluškivačica Eve je u posjedu X i Y. Može li izračunati K ? Da bi izračunala K, Eve mora izračunati A ili B, jer tada može ponoviti račun ključa na isti način kao Alice odnosno Bob. Trik je u tome što račun A ili B zahtijeva račun diskretnog logaritma: A = log(X) ili B = log(Y) a za to ne postoji efikasan način ukoliko se spomenute operacije vrše nad Galoisovim poljem GF(p) gdje je p takozvani “sigurni prim” broj. Eve ima svu potrebnu informaciju za jednoznačni izračun ključa !

  10. Pojam efikasnosti U kriptografiji se često rabi pojam efikasnosti posuđen iz Teorije kompleksnosti (dio matematike). Teorija kompleksnosti postavlja pitanja o složenosti općenito definiranih problema, npr. koliko vremena (koraka) treba da bi se problem riješio u općem slučaju, kao funkcija duljine ulaza (mjerene u bitovima) pomoću najboljeg mogućeg algoritma. Na primjer, za problem faktorizacije pitanje je koliko vremena treba da se proizvoljan cijeli broj rastavi na proste faktore. Za problem se kaže da je težak ukoliko funkcija vremena raste brže nego polinomijalno (tj. eksponencijalno) s duljinom ulaza. Vjeruje se da je problem faktorizacije težak.

  11. Pojam slučajnosti Sve što možemo reći o slučajnosti može se svesti na tvrdnje o slučaj- nom nizu nula i jedinica. Pitanje je dakle: što je slučajni binarni niz ? Odgovor na to pitanje ne postoji i ne može postojati. Knuth [2] daje rukovet definicija koje su sve blesaste i uglavnom se ne pojavljuju drugdje u literaturi. Ne postoji mogućnost da se definira slučajnost, a da se u definiciji opet ne spomene isti pojam. Činjenica jest da je pojam slučajnosti binarnog niza intuitivan, a da bi se stroga definicija sastojala od beskonačnog nabrajanja statističkih svojstava koje mora zadovoljavati takav niz. Primjer: vjerojatnost pojavljivanja jedinice jest 0.5, itd.

  12. Generatori slučajnih bitova Definicija: generator slučajnih bitova je idealizirani model uređaja koji proizvodi niz statistički nezavisnih bitova, tako da je vjerojatnost p(0)=p(1)=1/2. Primjeri fizičkih uređaja: • bacanje novčića • mjerenje vremena između radioaktivnih raspada • vremenska sumacija šuma Zener diode • digitalizirani šum iz PC audio kartice ili temp. senzora • slučajnost ekstrahirana iz pritisaka tipki na tipkovnici • slučajnost ekstrahirana iz vremena pristupa čvrstom disku • itd.

  13. Generatori pseudo-slučajnih bitova Definicija: generator pseudo-slučajnih bitova je efikasno izračunljivo preslikavanje iz prostora sjemena konačne (male) duljine u prostor polu-beskonačnih binarnih nizova koje ima određena svojstva: • veliki period • za proizvoljno k svih 2^k k-tupla pojavljuju se jednako često • nepredvidljivost (kriptoanalitička) • zadovoljavanje drugih statističkih kriterija odnosno “testova”. Primjene: • kad god je generator slučajnih bitova potreban, ali neraspoloživ (međutim sjeme mora često ipak biti slučajno odabrano) • aditivni “stream” šifratori • ekspanzija tajnog ključa • (reproducibilne) statističke simulacije itd.

  14. Usporedba prave i pseudo-slučajnosti • Pseudoslučajni generator mora primiti sjeme da bi funkcionirao. Proizvedeni niz je potpuno određen (numeriran) sjemenom. Za kriptografske svrhe sjeme najčešće mora biti odabrano slučajno. • Ne-deterministički generator ne može primiti sjeme. Generirani niz je nemoguće ponoviti. Prava slučajnost dolazi samo iz fizičkog svijeta.

  15. RSA Rivest-Shamir-Adleman (MIT, 1977) kriptosistem baziran je na teškosti problema rastava velikog cijelog broja na proste faktore. Prvo se odaberu dva velika prim broja p i q i neki d relativno prosts n=pq. Zatim se izračuna inverz e od d : ed=1. I na kraju se tekst enkodira brojevima iz reduciranog skupa reziduuma od n. Javni ključ čine (n, e) a tajni je d. • Enkripcija: • Dekripcija: • Pokazano je da kriptanaliza nije jednostavnija od problema faktorizacije n tj. pronalaženja prostih faktora p i q.

  16. ...RSA • RSA je jedinstven u tome što omogućuje istovremeno distribuciju ključa putem javnog medija i enkripciju/dekripciju putem javnog/privatnog ključa. • Javni ključ obično se koristi za enkripciju, a tajni za dekripciju. • Zamjenjivost uloga ključeva (tajni se ključ može koristiti i za enkripciju, a javni za dekripciju) RSA također omogućuje i elektronički potpis. Dok je DH simetričan sistem (enkripcija i dekripcija istim ključem) dotle je RSA je primjer nesimetričnog sistema.

  17. Kompjutacijska sigurnost Kompjutacijska sigurnost je bazirana na količini CPU vremena potrebnog da se sistem “razbije” pomoću najboljih poznatih računskih metoda. Kažemo da je sistem siguran ako ga nije moguće razbiti u doglednom vremenu s najjačim raspoloživim računalnim resursima. Za najčešće korištene kriptosustave s javnim ključem (RSA, DH) kao neke s tajnim ključem (DES, IDEA, RC5) vjeruje se da spadaju u tu kategoriju. Njihova je sigurnost zasnovana na problemima faktoriziranja velikih brojeva i izračuna diskretnig logaritama u određenim konačnim grupama. Za te probleme za koje vjeruje se da su “teški” u smislu da ne postoji bolji način da ih se riješi nego da se pogađaju sva moguća rješenja (ključevi), tj. broj koraka raste eksponencijalno s duljinom ključa. No teškost tih problema (još) nije dokazana !

  18. Kvantna računala Kvantna računala predstavljaju novi tip računala koji može riješiti neke teške (eksponencijalne) probleme u vremenu linearno ovisnom s duljinom problema. To se odnosi napose na problem faktorizacije i na problem diskretnih logaritama nad nekim konačnim poljima. Teorija kvantne informatike i rudimentarni eksperimenti pokazuju načelnu mogućnost realizacije kvantnih računala, no svrhovita kvantna računala danas još ne postoje. Ipak, s napretkom tehnologije kvantna će računala kad-tad postati stvarnost, a tada će klasična kriptografija postati vrlo nesigurna. Odgovor na tu prijetnju je kvantna kriptografija.

  19. Bezuvjetna sigurnost Kvantna kriptografija nudi (obećaje) bezuvjetnu sigurnost. Pojam bezuvjetne sigurnosti baziran je na teoriji informacija i on ne postavlja ograničenja na računalne resurse prisluškivača. Kažemo da je sistem bezuvjetno siguran ukoliko prisluškivač jednostavno nema dovoljno informacije da izračuna tajni ključ, dakle bez obzira na količinu raspoložive kompjutacijske moći, memorije i vremena. Prvu definiciju i primjer bezuvjetne sigurnosti dao je Shannon u svojoj knjizi o matematičkoj teoriji tajnosnih sistema [1].

  20. Revizija Shannonovog modela U ranim devedesetima pokazano je kako se Shannonov model kriptosustava može modificirati na način koji omogućuje kreiranje praktičnih, dokazivo bezuvjetno sigurnih kriptosustava. Modifikacija se sastoji u slabljenju dvije pretpostavke: • Prisluškivač ne mora primati egzaktno istu informaciju kao i legitimni korisnici • Prisluškivačevo znanje o uspostavljenom tajnom ključu veće je od nule, ali se može učiniti po volji malenim. Jedna od mogućih realizacija je tzv. kvantna distribucija ključa (QKD). Druga koristi klasične binarne kanale sa šumom.

  21. Kvantna kriptografija • C.H.Bennett (IBM) i G. Brassard (U.Montreal) [5] objavili su 1984. godine prvi bezuvjetno siguran protokol za generiranje tajnog ključa između dvije strane koje ne dijele nikakovu prethodnu tajnu, baziran na zakonima kvantne fizike. Taj je protokol poznat kao BB84. • Tek pet godina kasnije isti autori konstruirali su prvi uređaj za generiranje tajnog ključa, koji implementira BB84. • U tom protokolu kao i svim kasnije razvijenim QKD protokolima dvije strane vezane su s dva kanala: jednim kvantnim i jednim klasičnim (javnim).

  22. Konjugirane baze kvantnih stanja Kvantni kanal najčešće se realizira pomoću fotona dobro određene polarizacije. Moguće su tri ortogonalne baze polarizacija koje su međusobno konjugirane, npr: 1. vertikalna linearna - horizontalna linearna 2. linearna 45 deg - linearna 135 deg 3. cirkularna lijeva - cirkularna desna Bilo koje dvije polarizacije iz različitih baza su konjigirane tj. ne mogu se razlikovati sa samo jednim polarizatorom (mjerenjem). Kvantna kriptografija je moguća ako se nule i jedinice enkodiraju međusobno konjugiranim stanjima.

  23. O detekciji polariziranih fotona Nepolarizirano svjetlo može se shvatiti kao jednolika smjesa dvije komponente koje čine ortonormiranu bazu, npr. vertikalne i horizontalne polarizacije. Polarizator propušta samo jednu polarizaciju (pola intenziteta). Wollastonova prizma razdvaja nepolarizirani snop na dvije okomite polarizacije, koje izlaze pod različitim kutevima. Pockelsova ćelija može se upravljati naponom, a pretvara linearnu polarizaciju u lijevu ili desnu cirkularnu (ovisno o naponu) i obrnuto.

  24. BB84 protokol ...

  25. ... BB84 protokol

  26. Sigurnost BB84 Bitovi koje šalje Alice su međusobno nezavisni - dovoljno je gledati što se zbiva pri prijenosu samo jednog bita. • O svakom bitu Eve ima slijedeću informaciju (koju dobiva prisluš-kivanjem javnog / klasičnog kanala): Bobov odabir polarizatora i Alicin odgovor o tome da li je taj odabir ispravan. Ako je Bob npr. izabrao detektor + i taj je ispravan, onda Eve znade da je poslan (i primljen) bit ili 0 ili 1 (jednako vjerojatno) i da će biti zadržan. Eve dakle ne zna ništa o tome bitu. Da bi Eve imala šanse nešto doznati o ključu ona osim pasivnog prisluškivanja javnog kanala mora intervenirati i u kvantni kanal.

  27. Nemogućnost kopiranja kvantnog stanja No-cloning teorem [8] kaže da ako imamo dva sistema od kojih je prvi u nepoznatom stanju, a drugi u proizvoljnom stanju, nije moguće postići to da i prvi i drugi drugi sistem budu u stanju u kojem se početno nalazio prvi sistem. To jest, nepoznato stanje nije moguće “kopirati”. Dokaz izlazi iz linearnosti operatora U(t) evolucije u kv. mehanici. Pretpostavimo 2 sistema s istim Hilbertovim prostorom, A i B. Sistem A nalazi se u nepoznatom stanju, a sistem B u proizvoljnom stanju: Kompozitni sistem predstavljen je tenzorskim produktom: Jedini način manipulacije kompozitnog sistema jest da mu mijenjamo Hamiltonijan pa pogledamo što se dogodilo u kasnijem trenutku t. Ta je operacija opisana operatorom evolucije. Dakle ako neki U(t) djeluje kao univerzalna “kopirka” tada, po definiciji, mora vrijediti:

  28. ... dokaz no-cloning teorema za bilo koju funkciju stanja i za neki fiksni t. Dakle to mora vrijediti i za vektore baze (tj. b=0 i a=0): Pomnožimo li gornju jednadžbu s a, te donju s b i zbrojimo, iz linearnosti operatora U slijedi: Desna strana u općem slučaju nije jednaka , dakle univerzalna “kopirka” nije moguća.

  29. BB84 u praksi U stvarnoj realizaciji javljaju se razni efekti nesavršenosti aparature: • Fotonski “topovi” ispaljuju uglavnom Poissonovski raspodijeljen broj fotona odjednom. Za snop s <1% primjese višestrukih fotona efikasnost topa za ispaljivanje jednog fotona je oko 0.1 • Polarizatori su nesavršeni što utječe i na produkciju i na detekciju i povećava mogućnost krivog prijenosa • Pri prolazu kroz svjetlovod fotoni bivaju apsorbirani i mijenja im se polarizacija, što povećava mogućnost neispravne detekcije • Detektori fotona imaju kvantnu efikasnost u rasponu 10%-30%, dakle mnogi fotoni ne budu uopće detektirani • Detektori fotona imaju šum (reda 10-100 lažnih detekcija u sekundi) • Smjerovi osi u prijamu i predaji ne poklapaju se savršeno, što povećava pogrešku Prisluškivanje kanala neizostavno povećava broj pogrešno primljenih bitova.

  30. Sigurnost BB84 BB84 bio bi potpuno nesiguran kada bi Eve mogla napraviti bilo koju od ove dvije intervencije u kvantnom kanalu: 1. izmjeriti polarizaciju fotona kojeg šalje Alice pa producirati isto takav foton i poslati ga Bobu; 2. umnožiti fotone što ih šalje Alice. U prvom slučaju Alice imala bi istu informaciju koju imaju Alice i Bob, pa bi na kraju procedure imala isti ključ. Međutim, Alice koristi fotone s kojugiranih baza, tj. ne postoji orijentacija polarizatora kojom bi Eve mogla nepobitno razlučiti polarizaciju fotona. U drugom slučaju Eve želi s nekoliko različito orijentiranih polarizatora nepobitno odrediti polarizaciju fotona. No umnažanje nepoznatog kvantnog stanja nije moguće (no-cloning teorem). Eve ipak može dokučiti nešto probabilističke informacije o ključu koristeći dvije vrste aktivnih napada na kvantni kanal.

  31. Napadi na BB84 protokol Idealno, BB84 se radi tako da se kroz kvantni kanal puštaju samo pojedinačni fotoni. U tom slučaju jedini mogući napad je: • presretni / pošalji (intercept / resend) Ukoliko se (radi povećanja dometa) umjesto jednim, svaki bit enkodira s više fotona moguć je i napad: • razdvajanje snopa (beamsplitting) Razdvajanje snopa vrši se djelomično posrebrenim (tj. polupropusnim) zrcalom.

  32. ...napadi na BB84 protokol Pri svakom od spomenutih napada Eve dobiva informaciju o bitu s nekom malom vjerojatnošću, neizostavno povećavajući broj pogrešno primljenih bitova kod Boba. Alice i Bob mogu izmjeriti razliku u primljenim bitovima: • ako je razlika dovoljno mala ona se može korigirati na način da Eve ima vrlo malo informacije o konačnom ključu ulazeći u daljnje faze protokola; • ako je razlika prevelika protokol se abortira. Informacija koju Eve ima o konačnom ključu je probabilistička budući da NITKO nema informaciju o tome koji bit Eve zna, a koji ne zna. Njeno znanje je razmazano po cijelom ključu.

  33. Daljnje faze protokola za uspostavu tajnog ključa Nakon do sada opisanog dijela protokola Alice i Bob u posjedu su dva jednako duga niza koji nisi sasvim jednaki (aparatura, prisluškivanje). Osim toga Eve može imati određenu informaciju o tim nizovima. Alice i Bob mogu odrediti gornju granicu na količinu te informacije. Da bi se eliminirali problemi, kompletni protokol generiranja tajnog ključa sastoji se iz tri dijela: 1. BB84 2. Izjednačenje podataka (Information Reconciliation) 3. Povećanje privatnosti (Privacy Amplification)

  34. Protokol za izjednačenje podataka Protokol za izjednačenje podataka je u stvari error-correction protokol, pri čemu se pretpostavi da npr. Alice ima “ispravan”, a Bob “oštećeni” niz, pa se protokol svodi na to da se Bobovi podaci usuglase s Alicinim. - Alice i Bob podijele svako svoj niz na n blokova pa usporede paritete. U blokovima koji imaju različiti paritete binarnom pretragom pronalaze različiti bit. Bob invertira bit. - Alice i Bob randomiziraju položaj svih bitova u nizovima javnim protokolom (matricom) te ponavljaju oba koraka nekoliko puta. Budući da se protokol vodi putem javnog kanala bitan zahtjev jest što manje curenje informacija.

  35. Jednosmjerne funkcije • Kolokvijalno rečeno jednosmjerne funkcije su one kojima je lako izračunati vrijednost, a teško inverz. Jednu takvu funkciju smo već upoznali: exponenciranje nad Galoisovim poljem. • Malo preciznije, one-way function je efikasno (tj. polinomijalno u duljini ulaza) izračunljivo preslikavanje: kojem efikasan izračun inverza nije moguć ili nije poznat (tj. najbolji način je pogađanje).

  36. Hash ili digest funkcije Hash funkcije su varijanta one-way funkcija čiji je argument u skupu nizova bilo koje duljine, a vrijednost u skupu svih nizova jedne određene duljine: i za koje vrijedi još jedno svojstvo (tzv. collision resistance): • za dani x, vrlo je teško naći y takav da je H(x) = H(y). Za univerzalne hash funkcije vrijedi (Wegman 1979 [9]): kolokvijalno rečeno, minimalna promjena x uzrokuje drastičnu promjenu H(x). Najpoznatije hash funkcije su MD5 (r=128) i SHA-1 (r=160).

  37. Protokol za povećanje privatnosti U [11] opisan je postupak kojim se djelomično tajni niz (kakvog na kraju 2. faze imaju Alice i Bob) može putem javne komunikacije pretvortiti u kraći, vrlo tajni niz - odnosno konačni ključ. Teorem. Ako se niz duljine n o kojem Eve ima t bitova informacije hashira nekom univerzalnom hash funkcijom na duljinu r, onda o rezultirajućem nizu duljine r Eve ima manje od bitova informacije, gdje je s=n-t-r tzv.security factor. Hash funkcija može biti poznata Eve, ali mora biti korištena jednokratno.

  38. Zašto to funkcionira ? Već smo vidjeli da najmanja razlika između nizova E i A vodi gotovo sigurno na na različite hash vrijednosti: H(E) H(A). Ako se E razlikuje od A za r bitova, to znači da nam (po definiciji) treba r bitova informacije da bismo E mogli svesti (transformirati) na A. Takovih transformacija ima 2^r i vjerojatno je da bi svaki E (koji odgovara jednoj od tih transformacija) imao drugačiji H(E). Uzmimo da H preslikava u nizove duljine r. Dakle je H(A) jedan određeni niz duljine r. S druge strane, za slučajno odabrani E je H(E) jedan uniformno distribuirani slučajni broj duljine r. Drugim riječima H(E) nema nikakve veze s H(A). Upravo to (malo preciznije) govori izrečeni Teorem.

  39. Fizička aparatura Fizička aparatura koja implementira BB84 (Bennett, Bessette, Brassard 1991) ima slijedeće parametre: efikasnost detekcije ~0.25%, pogreška pri prijenosu p=4%, udjel višestrukih fotona=0.12. Konzervativna procjena da je svaka pogreška u prijenosu posljedica prisluškivanja kvantnog kanala, za niz duljine N vodi na procjenu probabilističke informacije koju ima Eve: Za konkretne parametre:

  40. Fizička aparatura U stvarno provedenom eksperimentu Alice je poslala 715,000 bitova od čega je 2000 ispravno primljeno. Nakon izjednačavanja ostalo je 1400 bitova. Procjena Evine informacije o tih 1400 bitova jest 466 ± 27. Uzevši u obzir marginu od 5 i security faktor s = 20, nakon provedenog povećanja privatnosti, došlo se do konačnog ključa duljine 754 bita o kojem Eve ima samo 10^-6 bita informacije. U drugom eksperimentu, pri simulaciji “jakog” prisluškivanja došlo se do ključa od samo 105 bitova.

  41. Prvi komercijalni uređaj za kvantnu kriptografiju Sredinom 2002. godine Švicarska spin-off firma idQuantique prikazala je prvi komercijalni uređaj za kvantnu kriptografiju s nevjerojatnim postignutim dometom od 67 kilometara.

  42. No-cloning QKD protokoli • BB84 (Bennett, Brassard 1984) - originalno koristi 4 neortog. stanja • EPR (Ekert 1991) - koristi EPR parove • B92 (Bennet 1992) - koristi samo 2 neortogonalna kvantna stanja Pokazuje se da su ti protokoli ekvivalentni te da se svode BB84 ! Postoje i brojne manje modifikacije aparature ili protokola čija je svrha povećanje otpornosti na pojedine napade. Općenito, kaže se da je QKD protokol siguran ako Alice i Bob mogu odabrati parametre s > 0 i l > 0 tako da za bilo koju strateguju prisluš- kivanja protokol uspjeva s vjerojatnošću barem i pri tom je prisluškivačeva zajednička informacija s konačnim ključem manja od

  43. EPR paradoks Einstein nije vjerovao u kvantnu fiziku pa je pokušavao raznim paradoksima dokazati njenu kontradiktornost ili nepotpunost. Pokazalo se, međutim, da je svaki puta bio u krivu te da su njegovi paradoksi doveli do novih uvida i čudesnih dokaza valjanosti kvantne fizike. Naj- poznatiji je tzv. EPR paradoks [4] koji ukazuje na ne-lokalnost kv. fizike. Određenim postupkom moguće je proizvesti par “isprepletenih” (entangled) fotona. Ako se jednom od njih na put stavi polarizator, vjerojatnost prolaska je 0.5, a njegova polarizacija odgovara smjeru polarizatora (prolaz) ili je okomita. Istovremeno, na ma kojoj udaljenosti, drugi foton poprima ortogonalnu polarizaciju. Paradoks je u tome što se drugi foton “orijentira” momentalno. Činjenica da se ne može utjecati na orijentaciju prvog fotona može se iskoristiti za kvantnu kriptografiju.

  44. Kriptografija s EPR parovima Austrijska grupa [12] ostvarila je 1999. Ekertov protokol [6] koji je u stvari BB84 protokol gdje je kvantni kanal ostvaren EPR parovima. Iako logički ekvivalentan, kriptosistem s EPR parovima ima prednosti: 1. Inherentna slučajnost mjerene polarizacije fotona 2. Vrlo mala vjerojatnost dvofotonskih događaja. Ostvarena brzina generiranja tajnog ključa je oko 550 bit/s .

  45. Zaključci o no-cloning QKD • Omogućuje uspostavu tajnog ključa o kojem prisluškivač ima proizvoljno malo informacije (npr. < 0.5 bit) • Dovoljno je da je kvantni kanal jednosmjeran • Nužno je postojanje dvosmjernog autenticiranog klasičnog kanala (može ići preko istog svjetlovoda) • Bilo koje dvije strane A i B koje žele uspostaviti ključ moraju biti povezane kvantnim kanalom: za N sudionika treba N^2 kanala • Sigurnost ovisi o nemogućnosti kloniranja nepoznatog kvantnog stanja. Međutim noviji rezultati (D. Bouwmeester, Oxford 2002) omogućuju kloniranje s teoretskim maksimumom vjernosti od 83.3% što bitno smanjuje duljinu tajnog ključa. • Domet je konačan radi apsorpcije i dekoherencije u kvant. kanalu Sigurnost no-cloning kvantne kriptografije još je na kušnji, a egzotična (i skupa) instrumentacija za sada ograničava širu primjenu.

  46. Kriptografija kanala sa šumom Pretpostavimo da su Alice, Bob (i Eve) povezani klasičnim kanalima, ali sa šumom, tako da nitko ne prima točno onu informaciju koja mu je poslana (Wynerov kanal). Kod no-cloning kriptografije nakon prve faze protokola Alice i Bob uvijek imaju prednost pred Eve. U stvari, prednost je dovoljno velika da i nakon faze izjednačavanja podataka, u kojoj Eve doznaje još informacije o nizu kojeg dijele Alice i Bob, ostaje dovoljno prednosti kako bi se mogla izvršiti amplifikacija privatnosti i time doći do konačnog ključa. Ta je prednost osigurana nemogućnošću savršenog kopiranja informacije iz kvantnog kanala.

  47. Binarni simetrični kanal Binarni simetrični kanal je klasični digitalni sistem u kojem vrijednost transmisijske pogreške ima konstantnu vrijednost p, jednaku za “nule” i “jedinice”. U slučaju pogreške izlazni bit je komplementaran ulaznom: Csiszar i Koerner [7] su uočili da BSK imaju kriptografsku moć. Međutim, oni su izložili scenarij u kojem je prijenos tajne moguć samo ukoliko su legitimni korisnici povezani kanalom koji ima manji šum nego li kanal prisluškivača, što često nije realistična pretpostavka.

  48. S.K.A.P.D U. Maurer (1993) je, nastavljajući se na rad CK, predložio protokol u kojem Alice i Bob mogu početno imati nizove koji imaju manji preklop negoli ga imaju s nizom kojeg posjeduje prisluškivač, pa da ipak uspiju “izvući” zajednički ključ ! Da bi to bilo moguće Maurer je osmislio poseban scenarij u kojem Alice i Bob primaju korelirane nizove iz nekontrolabilnog izvora slučajnog signala te uveo fazu destilacije prednosti (Advantage Distillation) u kojoj Alice i Bob postižu prednost pred Eve i na to nakalemio posljednje dvije faze iz no-cloning kvantnih protokola.

  49. S.K.A.P.D. - scenarij U. Maurer 1993, “Secret Key Agreement by Public Discussion” [3]

  50. Faze S.K.A.P.D. protokola 0. Alice, Bob i Eve primaju svoje početne nizove iz nekontrolabilnog izvora slučajnih bitova s kojim su povezani putem BSK. Svi su nizovi različiti, ali korelirani. 1. Advantage Distillation (AD) 2. Information Reconciliation (IR) 3. Privacy Amplification (PA)

More Related