1 / 39

量子密码学: 从“不可破译的密码”到“量子骇客”

量子密码学: 从“不可破译的密码”到“量子骇客”. 戚兵 bing.qi@utoronto.ca 电子与计算机工程系,多伦多大学,加拿大. 信息时代?密码时代?. 儿子的生日 +  的前 5 位 + 姨妈的小名 + … ???. 如何记住你的密码. 密码 : 65423 木条长度 = 0.65423m. 长度测量  读出密码. 可变长度范围  L ~ 1 m. 长度测量精度  = 10 -6 m. 信息容量 ~ log 2 (  L/  ) ~ 20 bits. 信息与测量. 信息的获取 涉及 测量过程;

red
Download Presentation

量子密码学: 从“不可破译的密码”到“量子骇客”

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 量子密码学: 从“不可破译的密码”到“量子骇客” 戚兵 bing.qi@utoronto.ca 电子与计算机工程系,多伦多大学,加拿大

  2. 信息时代?密码时代? 儿子的生日 + 的前5位 + 姨妈的小名 + … ???

  3. 如何记住你的密码 密码: 65423 木条长度= 0.65423m 长度测量  读出密码 可变长度范围 L~ 1 m 长度测量精度  = 10-6 m 信息容量 ~ log2(L/) ~ 20 bits

  4. 信息与测量 • 信息的获取涉及测量过程; • 测量精度决定可获取的信息量; • 经典物理 • 测量过程可以不改变被测物体状态; • 窃听者可以获取信息而不被发现。 • 量子物理 • 测量过程一般会改变被测物体状态(测不准原理); • 量子力学提供了探测窃听的手段。

  5. 报告内容 • 量子密码学简介; • 实际量子密钥分配(QKD)系统安全性研究 • 安全漏洞及攻击方案 • 防御措施 • 总结

  6. 量子密钥分配(QKD)的基本原理

  7. 现代密码学中“不可破译”的密码“一次一密”加密方式现代密码学中“不可破译”的密码“一次一密”加密方式 发送者 Alice 011010 XOR= Exclusive-OR 明文 XOR 110010 密钥 如果 1)密钥的长度=信息的长度 2)密钥只使用一次 “一次一密”原理上绝对安全 (Shannon 1949) 如何在发送者与接收者间建立密钥?密钥分配问题 101000 密文 窃听者 Eve 通道 密文 101000 密钥 XOR 110010 接收者 Bob 011010 明文

  8. VENONA Project: Silly Bugs Can Kill Serious Cryptosystems • Soviet Union spied in Manhattan project! • Spies’ communications with Moscow were encrypted by one-time pad. Owing to procedural errors, Soviet re-used one-time-pad! • From 1948 to 1951, numerous Soviet spies were uncovered and prosecuted. • Today, everyone can view these encrypted tables.

  9. 量子密钥分配的基本原理 量子力学:测量过程  对量子态产生扰动 Alice Bob 量子编码 随机数 发生器 …10011010001101 …10111000001101 Errors Eve 过高的比特误码率窃听者的存在

  10. 90 0 “0” 1 0 1 1 0 1 “1” Bob Alice 实例:BB84协议(1) • 要点1 • 利用单个量子态编码:例如单个光子的偏振态。 偏振分光镜 偏振 比特值 单光子探测器 !Eve 可以进行“截取-测量-再发送”攻击

  11. 实例:BB84协议(2) • 要点2: • 两组非对易“基” • Alice/Bob随机改变“发送基”/“测量基” • Alice/Bob 只保留“相同基”的数据 90 0 “0” 1 0 1 1 0 1 基一 “1” 135° 45° “0” 1 0 1 1 0 1 /2 基二 “1” Bob Alice

  12. 实例:BB84协议(3) • Alice编码 • 基一“+”:0 偏振~“0”;90偏振~“1” • 基二“”:45 偏振~“0”;135偏振~“1” • Bob随机选取测量基:“+”-0/90 或“”-45/135

  13. 实例:BB84协议(4) • 安全性的直观理解 • 量子力学:不可能区分0/45/90/135偏振的单光子量子非克隆原理; • Eve随机选取基测量,再发送引入比特误差(25%);Eve获得的信息量越大比特误差率越高; • 安全性证明:建立比特误差率与Eve的最大信息量间的关系。只要I(A:B)>I(A:E)或者I(A:B)>I(E:B),Alice和Bob就可以产生密钥。 • 实际系统中噪声的影响 • 无法区分噪声引入的比特误差与Eve引入的比特误差; • 保守的估计:所有的比特误差归结于Eve的攻击; • 高噪声的系统无法证明安全性。

  14. 量子密钥分配中的传统信息通道 • Alice与Bob间的传统认证通道 • 防止“Man-in-the-middle”攻击; • 利用传统密码学方法实现,Alice和Bob预先建立密钥; • QKD—密钥扩展协议。 • 比较编码基/测量基; • 比特误差率的估计; • 误差校正(Error Correction):产生全同密钥; • 隐私放大(Privacy Amplification):产生安全的密钥。

  15. 现状及未来 • 实验系统 • 距离:自由空间:150km;光纤:250km • 效率:(50km):1Mbits/S • 商用系统 • 距离:<100km (光纤) • 效率:<10Kbits/S • 全球QKD网络 • 传统中继站 • 量子中继器 • 卫星

  16. QKD 网络 美国(2005) 欧盟(2008) 中国(2009) 日本(2010)

  17. 商业化QKD系统 美国,MAGIQ TECH. 瑞士,ID QUANTIQUE 中国,安徽问天量子科技股份有限公司

  18. 实际量子密钥分配系统安全性研究

  19. Quantum cryptography:Seeking absolute security “不可破译”的密码? Quantum cryptography is theoretically unbreakable, yet a handful of physicists are finding ways to hack into its secrets. Geoff Brumfiel finds out how. Nature447, 372-373 (24 May 2007)

  20. 理想QKD 协议与实际系统的差别 Bob Alice QKD 协议 建立在一定假设上的数学模型; 可以完全用量子力学描述; 可以建立严格的安全性证明。 实际系统 存在各种噪声及不完善性; 无法完全用量子力学描述; 安全性证明不能直接应用。 Hilbert 空间

  21. 研究方法 • 直接方法 • 建立尽可能完善的模型; • 列出模型背后所有的假设; • 在实际系统中验证上述假设。 • 间接方法 • 寻找安全性证明中忽略的问题; • 针对上述问题设计攻击方案(量子骇客); • 设计补救措施。 • 设计“不依赖”于实际系统的QKD协议。

  22. Hacking is an effective way to find potential loopholes Gottesman & Lo, Physics Today, 53, 22-27 (2000) “Traditionally, breaking cryptographic protocols has been considered to be as important as making them—the protocols that survive are more likely to be truly secure. The same standard will have to be applied to QKD.”

  23. 针对测量系统的攻击 实用的单光子探测器 • 低探测效率; • 暗噪声; • 不能分辨光子数。 单光子探测 “0” 测量基 选择 “1” Bob

  24. 后选择(Post-selection)及潜在问题 • 什么是“Post-selection”? • 多次重复特定实验; • 选择性保留某些实验结果。 • Post-selection 应用前提 • “fair sampling”假设。 • BB84 QKD 协议中的 Post-selection • 只有一个单光子探测器响应(有效探测); • 两个单光子探测器同时响应(??); • 两个单光子探测器都没响应(??)。

  25. “Time-shift”攻击—基本原理 SPD0 SPD1 探测器效率 η t1 t2 t0 时间 1. 工作在门控模式的单光子探测器 信号光子 Bit “1” 同步信号 Bit “0” 门控信号 2. 探测器效率的不匹配 0>1 1>0 B. Qi, C.-H. F. Fung, H.-K. Lo, and X. Ma, Quant. Info. Compu. 7, 73 (2007).

  26. Eve 随机“时移”量子信号  0>1 or 1>0;  对应每一个信号,特定的单光子探测器有更高的效率;  Eve 获得密钥部分信息。 “Time-shift”攻击—基本原理 Bob Alice Eve B. Qi, C.-H. F. Fung, H.-K. Lo, and X. Ma, Quant. Info. Compu. 7, 73 (2007).

  27. “Time-shift”攻击—实验 • 商用QKD系统 (瑞士,ID QUANTIQUE) • OVDL:可调光学延迟 • 首次成功攻击商用QKD系统 Y. Zhao, C.-H. F. Fung, B. Qi, C. Chen, H.-K. Lo, Physical Review A 78 042333 (2008)

  28. 攻击实验结果 Upper bound (considering the attack) 6.76e-5 Lower bound (ignoring the attack) 6.81e-5 > Y. Zhao, C.-H. F. Fung, B. Qi, C. Chen, and H.-K. Lo, PRA 78:042333 (2008).

  29. 为什么攻击会成功? • Alice将随机数编码在单光子的偏振态; • Eve将她自己的随机数编码在同一个光子的其它自由度(时移); • 测量前,Alice的随机数同Eve的随机数相互独立; • Bob的非理想探测器(探测效率不匹配)“Post-select”Alice和Eve比特值相同的事件(“fair sampling”不再成立)。

  30. 防御措施 精确检测信号到达时间; 四相位调制方案—Bob随机改变单光子探测器与比特值的对应关系; … 硬件措施 软件措施 • 探测器效率不匹配条件下的安全性证明* *C.-H. F. Fung, K. Tamaki, B. Qi, H.-K. Lo, and X. Ma, QIC 9:131 (2009)

  31. 教训 QKD协议的安全性  实际系统的安全性; Eve利用实际系统的不完善发起攻击; 一旦发现了安全漏洞,找到相应的防御措施不太困难; 如何寻找安全漏洞? “Quantum hacking” 更通用的解决方案? 设计“不依赖”于实际系统的QKD协议

  32. 更通用的解决方案 (1) “1” or “0” • Bob 随机改变单光子探测器与比特值的对应关系; • Eve 即使知道特定的探测器响应,也无法获得对应的比特值。 SPD PM PM Source “0” or “1” {0,/2,,3/2} {0,/2,,3/2} Bob Alice 四相位调制方案

  33. Failed: detector blinding attack* • 利用强光照射单光子探测器进入线性工作状态; • Eve进行“截取—再发送”攻击; • 只有当Bob和Eve使用的基相同,探测器才会相应— “basis dependent” post-selection *Lars Lydersen, et al., Nature Photonics 4, 686 - 689 (2010)

  34. 更通用的解决方案 (2) Time-Reversed EPR Quantum Key Distribution* • 假设:Alice 与 Bob 正确制备量子态。 • 优点:测量系统可以完全受Eve控制。 Eve Polarization modulation Single photon source Polarization modulation Single photon source Bell measurement Bob Alice BB84 states BB84 states H. Inamori, Algorithmica 34, pp. 340-365 (2002)

  35. “Device independent”QKD[1,2] • Basic idea: • Alice and Bob can perform Bell inequalities test without knowing how the device actually works. • As long as Alice and Bob can verify the existence of entanglement, it is possible to generate secure key. [1] D. Mayers and A. C.-C. Yao, in Proceedings of the 39th Annual Symposium on Foundations of Computer Science (FOCS98) (IEEE Computer Society, Washington, DC, 1998), p. 503. [2] A. Ac´ın, N. Brunner, N. Gisin, S. Massar, S. Pironio and V. Scarani, Phys. Rev. Lett. 98, 230501 (2007).

  36. “Device independent”QKD • 假设 • 量子力学是正确的; • 测量基的选择是完全随机的; • 信息不能随意从Alice和Bob的系统中泄露出去。 • 局限 • DI-QKD is highly impractical as it requires a near unity detection efficiency and even then generates an extremely low key rate (of order 10-10 bit per pulse) at practical distances [1, 2] . [1] N. Gisin, S. Pironio and N. Sangouard, Phys. Rev. Lett. 105, 070501 (2010). [2] M. Curty and T. Moroder, Phys. Rev. A 84, 010304(R) (2011).

  37. 总结 • QKD协议的安全性  实际系统的安全性 • 两种研究手段 • 设计“不依赖”于实际系统的QKD协议 • 攻击测试的重要性。

  38. Acknowledgements

  39. “Quantum encryption” Bing Qi, Li Qian, and Hoi-Kwong Lo Gabriel Cristobal, Peter Schelkens, HugoThienpont (Eds.) Optical and Digital Image Processing: Fundamentals and Applications, Weinheim: WILEY-VCH Verlag GmbH & Co. KGaA, 769-787 (2011). (An extended version is available online: arXiv:1002.1237v2)

More Related