2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




Начать новую тему Ответить на тему
 
 Вопрос из квантовой криптографии
Сообщение21.11.2014, 20:48 


31/07/14
16
Здравствуйте

Мой вопрос по-видимому относится к сфере специальной теории относительности, но его (вопрос) сформулирую позже, а пока - объёмное введение в проблему и изложение того что мне понятно (дабы понятно было также и всем читающим тему).

Речь, вообще говоря, идёт об особой схеме обмена информацией. Но реализуется эта схема средствами квантовой криптографиии. Суть схемы, - это так называемое "битовое обязательство". Например: Алиса и Боб играют по телефону в игру "Камень, ножницы, бумага". Выигрывает тот кто может порезать ножницами бумагу, кто может обернуть камень бумагой и т. д. Но как по телефону обеспечить независимость выбора игроком предмета (ножниц и т. д.) если они говорят их названия по очереди друг другу ? В криптографии для этого используется упомянутая выше схема обязательств - один игрок передает другому зашифрованное сообщение от которого (поэтому и обязательство) он уже отказаться не может, но которое - расшифровывается лишь тогда когда второй игрок передал в свою очередь зашифрованное сообщение первому.

Реализована такая схема и средствами квантовой криптографии.

Сама схема вообще говоря до безобразия проста. Зашифровать своё обязательство должна Алиса (один из двух игроков). Для этого второй игрок - Боб посылает Алисе (Боб находится от Алисы на расстоянии не более 1 метра) серию поляризованных кубитов. Их поляризация Бобу известна и её он записал. Алиса выбирает горизонтально-вертикальный базис измерения если хочет взять на себя обязательство "0" и диагонально-антидиагональный базис если хочет закодировать обязательство "1" (понятно что можно поменять цифры и будет "1" для горизонтально-вертикального и "0" для диагонального - это мы вольны выбирать). После завершения измерения последнего посланного Бобом кубита Алиса сообщает ему об этом и это время фиксируется Бобом как время взятия на себя Алисой обязательства. После этого Алиса зашифровывает свой выбор и посылает его в двух экземплярах двум своим агентам находящимся на весьма приличных расстояниях друг от друга и от Алисы. Рядом (на расстоянии не более 1 метра) с каждым из двух агентов Алисы нахдятся по одному агенту Боба. Когда Алиса даёт команду - расшифрованные сообщения передаются агентами Алисы соотвествующим агентам Боба и время передачи сообщения каждому из агентов Боба фиксируется.

Вот это на рисунке (взято отсюда):

Изображение

А вот эта схема реализована экспериментально:

Изображение
Изображение

Описание схемы (во второй статье и рисунке буквенные обозначения отличаются от таковых в первой):

Цитата:
1. The first step guarantees the security of the communications between Alice and her agents. For this, Alice uses quantum key distribution [13,14] (or, alternatively, a trusted courier) to share two secret keys, $\[{K_{{A_0}}}\]$ and $\[{K_{{A_1}}}\]$, with $\[{A_0}\]$ and $\[{A_1}\]$.

2. The protocol itself starts when Bob sends Alice N signals (e.g., phase-randomized weak coherent pulses) prepared in either horizontal, vertical, diagonal or antidiagonal polarization states, which Bob selects independently and randomly for each signal. We denote as $\[{t_0}\]$ the time instant when Bob sends Alice his first signal.

3. To commit to the bit value 0 (1), Alice measures all the incoming signals in the rectilinear (diagonal)polarization basis. We denote as $\[{t_{{\text{commit}}}}\]$ the time instant when Alice completes all her measurements. Then, she uses a public channel to notify Bob which signals she has detected. Also, she encrypts her measurement results with the one-time pad (OTP) [15] using the secret keys $\[{K_{{A_0}}}\]$ and $\[{K_{{A_1}}}\]$, and sends them to $\[{A_0}\]$ and $\[{A_1}\]$.

4. To unveil the commitment, $\[{A_0}\]$ and $\[{A_1}\]$ decrypt the measurement results received from Alice and send them to Bob’s agents $\[{B_0}\]$ and $\[{B_1}\]$, respectively. We denote as $\[{t_{{B_0}}}\left( {{t_{{B_1}}}} \right)\]$ the time instant when agent $\[{B_0}\left( {{B_1}} \right)\] $receives the last signal from agent $\[{A_0}\left( {{A_1}} \right)\]$.

5. To verify the commitment, Bob compares the results submitted by $\[{A_0}\]$ and $\[{A_1}\]$. If they are different, Bob rejects the commitment. Otherwise, he estimates a lower bound, $\[{{\text{n}}_{{\text{rect}}}}\]$, for the number of single photons sent in the rectilinear basis and detected by Alice. Likewise, Bob does the same with the signals he sent in the diagonal basis. Let $\[{{\text{n}}_{{\text{e;rect}}}}\left( {{{\text{n}}_{{\text{e;diag}}}}} \right)\]$ be the total number of errors in the rectilinear (diagonal) basis. Then, from the geographical distribution of his agents $\[{B_0}\]$ and $\[{B_1}\]$, together with the knowledge of $\[{t_0}\]$, $\[{t_{{B_0}}}\]$ and $\[{t_{{B_1}}}\]$, Bob estimates an upper bound, $\[{{\text{t}}_{{\text{max}}}}\]$, for $\[{{\text{t}}_{{\text{commit}}}}\]$. Only when both $\[{{\text{n}}_{{\text{rect}}}},{{\text{n}}_{{\text{diag}}}} \geqslant {N_{{\text{tol}}}}\]$, $\[{{\text{n}}_{{\text{e}}{\text{,rect}}}} \leqslant {E_{{\text{tol}}}}{N_{{\text{tol}}}}\left( {{{\text{n}}_{{\text{e}}{\text{,diag}}}} \leqslant {E_{{\text{tol}}}}{N_{{\text{tol}}}}} \right)\]$ and $\[{{\text{t}}_{{\text{max}}}} \leqslant {{\text{t}}_{{\text{tol}}}}\]$, Bob accepts the commitment as 0 (1), for some prefixed tolerated parameters $\[{N_{{\text{tol}}}}\]$, $\[{E_{{\text{tol}}}}\]$ and $\[{t_{{\text{tol}}}}\]$ previously agreed by Alice and Bob.


Основным условием удовлетворение которому соответствует обстоятельство, что Алисе не удалось обмануть Боба является:

$\[{t_{{\text{commit}}}} \leqslant {t_{{\text{max}}}} \equiv \frac{1}{2}\left( {{t_{{B_0}}} + {t_{{B_1}}} - \frac{{{d_{{A_0}{A_1}}}}}{c}} \right) - {t_0}\]$

где $\[d\]$ - расстояние, $\[c\]$ - скорость света

Так вот здесь и начинается мой вопрос

Доказательство справедливости этой формулы приводится здесь:

Цитата:
...In this Appendix we show how to estimate an upper bound for...


И основано на том что скорость света является конечной

Изображение

Так вот мой вопрос-проблема: мне не видно в построениях авторов (хотя там совсем несложная математика) аргументов в пользу того что Алиса не может обмануть Боба. Дело в том что как и указано авторами Алиса (как я это понимаю - возможно я заблуждаюсь) может сообщить Бобу что она произвела измерения хотя на сомом деле таковых на этот момент не осуществила, а - записала кубиты Боба в квантовую память и переместилась в нужную ей точку где овладела выгодной для неё информацией (например что Боб выбрал бумагу а не ножницы) и лишь после этого де факто осуществила измерения в выгодном ей (но не Бобу) базисе. То есть доказательство этой приведенной выше формулы мне со слов авторов совершенно неочевидно. Помогите пожалуйста понять аргументы (не формулы - выкладки там просты) авторов

Вот ещё иллюстрация отсюда:

Изображение

 Профиль  
                  
 
 Re: Вопрос из квантовой криптографии
Сообщение22.12.2015, 22:35 


20/12/15

67
Цитата:
хотя там совсем несложная математика

Зато не самая простая логика с множеством оговорок. Когда эта статья вышла, я её пролистывал, но не вникал в протокол. Сейчас посмотрел повторно, теперь контуры протокола понятны лучше, но у меня у самого есть вопрос, на который я пока не могу ответить. Я не понял, должна ли Алиса уметь детектировать читерство со стороны Боба, или это выносится за рамки требований.

Цитата:
Дело в том что как и указано авторами Алиса (как я это понимаю - возможно я заблуждаюсь) может сообщить Бобу что она произвела измерения хотя на сомом деле таковых на этот момент не осуществила, а - записала кубиты Боба в квантовую память и переместилась в нужную ей точку где овладела выгодной для неё информацией (например что Боб выбрал бумагу а не ножницы) и лишь после этого де факто осуществила измерения в выгодном ей (но не Бобу) базисе.

Боб знает, какие состояния он проготовил (т.е. базисы и какие биты закодированы в этих базисах). Соответственно, в тех случаях, когда Алиса мерит состояния в выбранном Бобом базисе (случайно угадывает его, таких случаев будет около половины), результат измерений для Боба будет известен заранее. Обратите внимание на параметр $N$ в статье Кента. При достаточно большом количестве посланных состояний (большом $N$) Алиса не сможет случайно угадать базисы всех состояний -- это даст значимую ошибку, что Боб сразу заметит. Чем выше $N$, тем меньше вероятность для Алисы правильно угадать базисы и подделать результаты измерений. Этот момент работы с BB84-состояниями в статьях не особо обсуждается, т.к. считается общеизвестным, но вы можете прочитать про эти состояния и их свойства в статьях по BB84-протоколу квантовой криптографии. Также можете познакомиться с общей концепцией MUBов.

"Переместиться в точку" с полученными состояниями Алиса сможет, но только в одну. Обратите внимание, что точек, куда она должна сообщить результаты измерений, две, причём сообщить нужно за то время, с какой распространяется свет. Либо Алиса всё делает честно и отправляет световые сигналы в обе точки, либо она перемещается в одну из них, но тогда результаты во второй точке не будут совпадать с результатами в первой (будут случайными), и Боб увидит это по несоответствию результатов, полученных из обеих точек.

Наконец, "овладеть информацией" Алиса не может, потому что она не может угадать, какой базис использовал Боб для кодирования своего бита. Оценка на оптимальное различение BB84-состояний была ещё в первых статьях по BB84-протоколу квантовой криптографии, она равняется где-то 85%. Соответственно, даже в самом лучшем случае вероятность Алисы ошибиться будет около 15% в каждом кубите. При числе кубитов (параметр $N$), стремящемся к бесконечности, вероятность детекции ошибки Алисы стремится к 100%, т.е. $0.85^N\to0$ при $N\to\infty$.

Цитата:
То есть доказательство этой приведенной выше формулы мне со слов авторов совершенно неочевидно.

Нужно отделить мух от котлет. Статья Кента -- теоретическое самодостаточное описание идеального протокола. Последовавшая статья экспериментаторов-китайцев -- заземление этого протокола в практическую плоскость, которая пораждает дополнительные трудности. Теория требует работы с BB84-состояниями, но состояния поляризованного света -- это будут не BB84-состояния, а более сложные объекты, где только подсистемы, соответствующие поляризации, являются BB84-состояниями. Соответственно, теория с идеальными состояниями более неприменима, и приходится вводить поправку на то, что состояние поляризации можно узнавать, измеряя число фотонов в импульсе, которое очень трудно сделать строго равным единице (обычно в эксперименте используются слабые когерентные лазерные импульсы, где состояния с числом фотонов, больших, чем один, иногда проскакивают, и атакующий может этим воспользоваться в свою пользу, чтобы обмануть и остаться незамеченным).

Это ровно та же проблема, которая возникает в квантовой криптографии с BB84-состояниями, она известна под названием photon number splitting attack. Можно, конечно, работать не со светом, а с массовыми частицами типа электронов, тогда этой проблемы не возникнет, но технологически посылать пучки электронов куда труднее, чем свет через оптоволокно. Когда экспериментаторы попытаются всё честно и корректно учесть, подозреваю, они упрутся в те же проблемы, в какие упёрлась квантовая криптография (QKD) -- вместо концептуально простых протоколов с BB84-состояниями придётся нагородить сложные типа SARGа, обвешанные time-bin'ами, decoy state'ами и прочими нужными эксперментально, но теоретически не изящными вещами. Полное описание таких протоколов со всеми нюансами работы -- целые книжки, а полного строгого формального доказательства безопасности большинства таких протоколов нет до сих пор, хотя приборы с ними уже давно в продаже.

Экспериментаторы в той статье взяли более произвольное расположение точек, где происходит коммитмент, и написали (думаю, довольно грубую) оценку на безопасность с учётом этого случая. Т.е. одно дело -- теоретическая концепция, безопасность которой следует из общих соображений, и совсем другое -- оптические приборы на столе с вполне конкретными счётчиками фотонов и оптоволокном, где нужно явно задавать все параметры и оценивать времена, соответствующие читингу и честному комитменту.

 Профиль  
                  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Модераторы: photon, whiterussian, profrotter, Jnrty, Aer, Парджеттер, Eule_A, Супермодераторы



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group