Kvantna kriptografija -...
57
1 Kvantna kriptografija Predavač: dr. Mario Stipčević, Institut Ruđer Bošković U okviru seminara prof. L. Budina 17. prosinca 2003. FER, Zagreb http://www.irb.hr/users/stipcevi/download/fer171203.pdf
Transcript of Kvantna kriptografija -...
1
Kvantna kriptografija
Predavač: dr. Mario Stipčević, Institut Ruđer BoškovićU okviru seminara prof. L. Budina17. prosinca 2003. FER, Zagreb
http://www.irb.hr/users/stipcevi/download/fer171203.pdf
2
Što je kriptografija (zadaci)
Osnovni zadaci:
• autentikacija• generiranje tajnog ključa
između dvije strane koje nedijele tajnu
• osiguranje tajnosti poruke• osiguranje integriteta poruke• osiguranje autentičnosti por.• osiguranje neporecivosti
Složeni:
• sigurne komunikacije• elektroničko trgovanje i
poslovanje• elektroničko potpisivanje• anonimne bankovne
transakcije• elektroničko glasovanje• elektronički novac
Nekad umjetnost, a danas specijalizirano područje teorije informacijakoje se bavi raznim zadacima:
3
Tipovi kriptografije
Galoisove grupe Elipticke grupe
Logaritamska(Diffie-Hellman)
Primalna(RSA)
Klasicna
No-cloning(BB84, B92
EPR)
Sumni kanali(SKAPD)
Kvantna
Kriptografija
Još jedna zanimljiva karakterizacija:
• klasična kriptografija je deterministička, a• kvantna je stohastička.
4
Shannonov model kriptosustava
• Ovaj kriptosustav podrazumijeva da Eve iz javnog kanala prima istu informaciju kao Alice i Bob [1].
• U Shannonovom modelu javlja se problem distribucije tajnog ključa. Osnovno je pitanje: kako dvije strane koje se nikada nisu vidjele ni čule mogu uspostaviti zajednički tajni ključ ?
5
Generiranje zajedničkog ključaTežište ovog predavanja biti će na jednom od najvažnijih zadatakakriptografije: generiranju zajedničkog tajnog ključa između dvijestrane koje prethodno ne dijele nikakvu zajedničku tajnu.
Zamislimo prostoriju punu ljudi u kojoj dvoje (koji se ne poznaju) želeprenijeti / stvoriti neku zajedničku tajnu.
Da li je to moguće ?
6
Shannonov teoremU svom djelu “Matematička teorija kriptografije” iz 1946. Shannon jedokazao pesimističan rezultat da je nužan i dovoljan uvjet da šifratrorbude apsolutno siguran taj da je tajni ključ iste duljine kao i informacijskisadržaj (Shannonova entropija H) poruke.
Prema tome, ukoliko Alice i Bob već ne dijele neku tajnu, oni je nemogu uspostaviti nikakvim protokolom.
7
Inženjeri G. Vernam i J. Mauborgne patentirali su 1918. sistem zašifriranje koji se sastoji u tome da se poruka (plaintext) XOR-ira sjednokratnim slučajnim predloškom (pad) kojeg posjeduju strane koježele izmjeniti poruku u tajnosti. Sistem je siguran ako se predložakkoristi samo jednom i uništi nakon korištenja.
• Kriptirane poruke ostaju zauvijek sigurne. (Dekriptiranje: - MOD 26)• Shannonov teorem ekvivalentan je tvrdnji da je jedini siguran
kriptosistem OTP.
Vernamov “One Time Pad”
8
Diffie-Hellman protokol...• W. Diffie, M. Hellman (Stanford) objavili su 1976 metodu za
uspostavu tajnog ključa između dvije strane koje ne dijele prethodnutajnu. Iako ovo prividno proturječi Shannonovom teoremu, riječ je otriku.
• Alice generira slučajan broj A i računa X=exp(A), šalje X Bobu• Bob generira slučajan broj B i računa Y=exp(B) i šalje Y Alice
U konačnici Alice i Bob računaju tajni ključ, K.
DH je vjerojatno najveće pojedinačno otkriće klasične kripotografije.
9
…Diffie-Hellman protokolPrisluškivačica Eve je u posjedu X i Y. Može li izračunati K ?
Da bi izračunala K, Eve mora izračunati A ili B, jer tada možeponoviti račun ključa na isti način kao Alice odnosno Bob.
Trik je u tome što račun A ili B zahtijeva račun diskretnog logaritma:A = log(X) iliB = log(Y)
a za to ne postoji efikasan način ukoliko se spomenute operacije vršenad Galoisovim poljem GF(p) gdje je p takozvani “sigurni prim” broj.
Eve ima svu potrebnu informaciju za jednoznačni izračun ključa !
10
Pojam efikasnostiU kriptografiji se često rabi pojam efikasnosti posuđen iz Teorijekompleksnosti (dio matematike).
Teorija kompleksnosti postavlja pitanja o složenosti općenitodefiniranih problema, npr. koliko vremena (koraka) treba da bi seproblem riješio u općem slučaju, kao funkcija duljine ulaza (mjerene ubitovima) pomoću najboljeg mogućeg algoritma.
Na primjer, za problem faktorizacije pitanje je koliko vremena treba dase proizvoljan cijeli broj rastavi na proste faktore.
Za problem se kaže da je težak ukoliko funkcija vremena raste brženego polinomijalno (tj. eksponencijalno) s duljinom ulaza.
Vjeruje se da je problem faktorizacije težak.
11
Pojam slučajnostiSve što možemo reći o slučajnosti može se svesti na tvrdnje o slučaj-nom nizu nula i jedinica. Pitanje je dakle: što je slučajni binarni niz ?
Odgovor na to pitanje ne postoji i ne može postojati. Knuth [2] dajerukovet definicija koje su sve blesaste i uglavnom se ne pojavljujudrugdje u literaturi.
Ne postoji mogućnost da se definira slučajnost, a da se u definiciji opetne spomene isti pojam.
Činjenica jest da je pojam slučajnosti binarnog niza intuitivan, a da bise stroga definicija sastojala od beskonačnog nabrajanja statističkihsvojstava koje mora zadovoljavati takav niz.
Primjer: vjerojatnost pojavljivanja jedinice jest 0.5, itd.
12
Generatori slučajnih bitovaDefinicija: generator slučajnih bitova je idealizirani model uređajakoji proizvodi niz statistički nezavisnih bitova, tako da je vjerojatnostp(0)=p(1)=1/2.Primjeri fizičkih uređaja:• bacanje novčića• mjerenje vremena između radioaktivnih raspada• vremenska sumacija šuma Zener diode• digitalizirani šum iz PC audio kartice ili temp. senzora• slučajnost ekstrahirana iz pritisaka tipki na tipkovnici• slučajnost ekstrahirana iz vremena pristupa čvrstom disku• itd.
13
Generatori pseudo-slučajnih bitovaDefinicija: generator pseudo-slučajnih bitova je efikasno izračunljivopreslikavanje iz prostora sjemena konačne (male) duljine u prostorpolu-beskonačnih binarnih nizova koje ima određena svojstva:
– veliki period– za proizvoljno k svih 2^k k-tupla pojavljuju se jednako često– nepredvidljivost (kriptoanalitička)– zadovoljavanje drugih statističkih kriterija odnosno “testova”.
Primjene:• kad god je generator slučajnih bitova potreban, ali neraspoloživ
(međutim sjeme mora često ipak biti slučajno odabrano)• aditivni “stream” šifratori• ekspanzija tajnog ključa• (reproducibilne) statističke simulacije itd.
14
Usporedba prave i pseudo-slučajnosti
• Pseudoslučajni generator mora primiti sjeme da bi funkcionirao.Proizvedeni niz je potpuno određen (numeriran) sjemenom. Zakriptografske svrhe sjeme najčešće mora biti odabrano slučajno.
• Ne-deterministički generator ne može primiti sjeme. Generirani nizje nemoguće ponoviti.Prava slučajnost dolazi samo iz fizičkog svijeta.
15
RSARivest-Shamir-Adleman (MIT, 1977) kriptosistem baziran je na teškostiproblema rastava velikog cijelog broja na proste faktore.
Prvo se odaberu dva velika prim broja p i q i neki d relativno prost sn=pq. Zatim se izračuna inverz e od d : ed=1. I na kraju se tekstenkodira brojevima iz reduciranog skupa reziduuma od n.Javni ključ čine (n, e) a tajni je d.
• Enkripcija:
• Dekripcija:
• Pokazano je da kriptanaliza nije jednostavnija od problemafaktorizacije n tj. pronalaženja prostih faktora p i q.
nCT dii mod=
nTC eii mod=
16
...RSA
• RSA je jedinstven u tome što omogućuje istovremenodistribuciju ključa putem javnog medija i enkripciju/dekripcijuputem javnog/privatnog ključa.
• Javni ključ obično se koristi za enkripciju, a tajni za dekripciju.
• Zamjenjivost uloga ključeva (tajni se ključ može koristiti i zaenkripciju, a javni za dekripciju) RSA također omogućuje ielektronički potpis.
Dok je DH simetričan sistem (enkripcija i dekripcija istim ključem)dotle je RSA je primjer nesimetričnog sistema.
17
Kompjutacijska sigurnostKompjutacijska sigurnost je bazirana na količini CPU vremenapotrebnog da se sistem “razbije” pomoću najboljih poznatih računskihmetoda.
Kažemo da je sistem siguran ako ga nije moguće razbiti u doglednomvremenu s najjačim raspoloživim računalnim resursima.
Za najčešće korištene kriptosustave s javnim ključem (RSA, DH) kaoneke s tajnim ključem (DES, IDEA, RC5) vjeruje se da spadaju u tukategoriju. Njihova je sigurnost zasnovana na problemima faktoriziranjavelikih brojeva i izračuna diskretnig logaritama u određenim konačnimgrupama. Za te probleme za koje vjeruje se da su “teški” u smislu da nepostoji bolji način da ih se riješi nego da se pogađaju sva mogućarješenja (ključevi), tj. broj koraka raste eksponencijalno s duljinom ključa. No teškost tih problema (još) nije dokazana !
18
Kvantna računalaKvantna računala predstavljaju novi tip računala koji može riješiti neketeške (eksponencijalne) probleme u vremenu linearno ovisnom sduljinom problema. To se odnosi napose na problem faktorizacije i naproblem diskretnih logaritama nad nekim konačnim poljima.
Teorija kvantne informatike i rudimentarni eksperimenti pokazujunačelnu mogućnost realizacije kvantnih računala, no svrhovita kvantnaračunala danas još ne postoje.
Ipak, s napretkom tehnologije kvantna će računala kad-tad postatistvarnost, a tada će klasična kriptografija postati vrlo nesigurna.
Odgovor na tu prijetnju je kvantna kriptografija.
19
Bezuvjetna sigurnostKvantna kriptografija nudi (obećaje) bezuvjetnu sigurnost.
Pojam bezuvjetne sigurnosti baziran je na teoriji informacija i on nepostavlja ograničenja na računalne resurse prisluškivača.
Kažemo da je sistem bezuvjetno siguran ukoliko prisluškivačjednostavno nema dovoljno informacije da izračuna tajni ključ, daklebez obzira na količinu raspoložive kompjutacijske moći, memorije ivremena.
Prvu definiciju i primjer bezuvjetne sigurnosti dao je Shannon u svojojknjizi o matematičkoj teoriji tajnosnih sistema [1].
20
Revizija Shannonovog modelaU ranim devedesetima pokazano je kako se Shannonov modelkriptosustava može modificirati na način koji omogućuje kreiranjepraktičnih, dokazivo bezuvjetno sigurnih kriptosustava.
Modifikacija se sastoji u slabljenju dvije pretpostavke:
• Prisluškivač ne mora primati egzaktno istu informaciju kao ilegitimni korisnici
• Prisluškivačevo znanje o uspostavljenom tajnom ključu veće je odnule, ali se može učiniti po volji malenim.
Jedna od mogućih realizacija je tzv. kvantna distribucija ključa (QKD).Druga koristi klasične binarne kanale sa šumom.
21
Kvantna kriptografija
• C.H.Bennett (IBM) i G. Brassard (U.Montreal) [5] objavili su 1984.godine prvi bezuvjetno siguran protokol za generiranje tajnogključa između dvije strane koje ne dijele nikakovu prethodnu tajnu,baziran na zakonima kvantne fizike. Taj je protokol poznat kaoBB84.
• Tek pet godina kasnije isti autori konstruirali su prvi uređaj zageneriranje tajnog ključa, koji implementira BB84.
• U tom protokolu kao i svim kasnije razvijenim QKD protokolimadvije strane vezane su s dva kanala: jednim kvantnim i jednimklasičnim (javnim).
22
Konjugirane baze kvantnih stanjaKvantni kanal najčešće se realizira pomoću fotona dobro određenepolarizacije. Moguće su tri ortogonalne baze polarizacija koje sumeđusobno konjugirane, npr:
1. vertikalna linearna - horizontalna linearna2. linearna 45 deg - linearna 135 deg3. cirkularna lijeva - cirkularna desna
Bilo koje dvije polarizacije iz različitih baza su konjigirane tj. ne moguse razlikovati sa samo jednim polarizatorom (mjerenjem).
Kvantna kriptografija je moguća ako se nule i jedinice enkodirajumeđusobno konjugiranim stanjima.
23
O detekciji polariziranih fotonaNepolarizirano svjetlo može se shvatiti kao jednolika smjesa dvijekomponente koje čine ortonormiranu bazu, npr. vertikalne ihorizontalne polarizacije.
Polarizator propušta samo jednu polarizaciju (pola intenziteta).
Wollastonova prizma razdvaja nepolarizirani snop na dvije okomitepolarizacije, koje izlaze pod različitim kutevima.
Pockelsova ćelija može se upravljati naponom, a pretvara linearnupolarizaciju u lijevu ili desnu cirkularnu (ovisno o naponu) i obrnuto.
24
BB84 protokol ...
25
... BB84 protokol
26
Sigurnost BB84Bitovi koje šalje Alice su međusobno nezavisni - dovoljno je gledati štose zbiva pri prijenosu samo jednog bita.
• O svakom bitu Eve ima slijedeću informaciju (koju dobiva prisluš-kivanjem javnog / klasičnog kanala): Bobov odabir polarizatora iAlicin odgovor o tome da li je taj odabir ispravan. Ako je Bob npr.izabrao detektor + i taj je ispravan, onda Eve znade daje poslan (i primljen) bit ili 0 ili 1 (jednako vjerojatno) i da će bitizadržan. Eve dakle ne zna ništa o tome bitu.
Da bi Eve imala šanse nešto doznati o ključu ona osim pasivnogprisluškivanja javnog kanala mora intervenirati i u kvantni kanal.
27
Nemogućnost kopiranja kvantnog stanjaNo-cloning teorem [8] kaže da ako imamo dva sistema od kojih je prviu nepoznatom stanju, a drugi u proizvoljnom stanju, nije moguće postićito da i prvi i drugi drugi sistem budu u stanju u kojem se početnonalazio prvi sistem. To jest, nepoznato stanje nije moguće “kopirati”.
Dokaz izlazi iz linearnosti operatora U(t) evolucije u kv. mehanici.Pretpostavimo 2 sistema s istim Hilbertovim prostorom, A i B. Sistem Analazi se u nepoznatom stanju, a sistem B u proizvoljnom stanju:
Kompozitni sistem predstavljen je tenzorskim produktom:
Jedini način manipulacije kompozitnog sistema jest da mu mijenjamoHamiltonijan pa pogledamo što se dogodilo u kasnijem trenutku t. Taje operacija opisana operatorom evolucije. Dakle ako neki U(t) djelujekao univerzalna “kopirka” tada, po definiciji, mora vrijediti:
AAA ba ⟩+⟩=⟩ 1|0||ψ Be⟩|
BA e⟩⟩ ||ψ
28
... dokaz no-cloning teorema
za bilo koju funkciju stanja i za neki fiksni t. Dakle to mora vrijediti i za
vektore baze (tj. b=0 i a=0):
Pomnožimo li gornju jednadžbu s a, te donju s b i zbrojimo, iz linearnostioperatora U slijedi:
Desna strana u općem slučaju nije jednaka , dakleuniverzalna “kopirka” nije moguća.
BABA etU ⟩⟩=⟩⟩ ψψψ ||||)(
BABA
BABA
etUetU
⟩⟩=⟩⟩⟩⟩=⟩⟩
1|1||1|)(0|0||0|)(
BABABA baetU ⟩⟩+⟩⟩=⟩⟩ 1|1|0|0|||)( ψBA ⟩⟩ ψψ ||
29
BB84 u praksiU stvarnoj realizaciji javljaju se razni efekti nesavršenosti aparature:• Fotonski “topovi” ispaljuju uglavnom Poissonovski raspodijeljen broj
fotona odjednom. Za snop s <1% primjese višestrukih fotonaefikasnost topa za ispaljivanje jednog fotona je oko 0.1
• Polarizatori su nesavršeni što utječe i na produkciju i na detekciju ipovećava mogućnost krivog prijenosa
• Pri prolazu kroz svjetlovod fotoni bivaju apsorbirani i mijenja im sepolarizacija, što povećava mogućnost neispravne detekcije
• Detektori fotona imaju kvantnu efikasnost u rasponu 10%-30%,dakle mnogi fotoni ne budu uopće detektirani
• Detektori fotona imaju šum (reda 10-100 lažnih detekcija u sekundi)• Smjerovi osi u prijamu i predaji ne poklapaju se savršeno, što
povećava pogreškuPrisluškivanje kanala neizostavno povećava broj pogrešno primljenihbitova.
30
Sigurnost BB84BB84 bio bi potpuno nesiguran kada bi Eve mogla napraviti bilo kojuod ove dvije intervencije u kvantnom kanalu:1. izmjeriti polarizaciju fotona kojeg šalje Alice pa producirati isto takav
foton i poslati ga Bobu;2. umnožiti fotone što ih šalje Alice.U prvom slučaju Alice imala bi istu informaciju koju imaju Alice i Bob,pa bi na kraju procedure imala isti ključ. Međutim, Alice koristi fotone skojugiranih baza, tj. ne postoji orijentacija polarizatora kojom bi Evemogla nepobitno razlučiti polarizaciju fotona.
U drugom slučaju Eve želi s nekoliko različito orijentiranih polarizatoranepobitno odrediti polarizaciju fotona. No umnažanje nepoznatogkvantnog stanja nije moguće (no-cloning teorem).
Eve ipak može dokučiti nešto probabilističke informacije o ključukoristeći dvije vrste aktivnih napada na kvantni kanal.
31
Napadi na BB84 protokolIdealno, BB84 se radi tako da se kroz kvantni kanal puštaju samopojedinačni fotoni. U tom slučaju jedini mogući napad je:• presretni / pošalji (intercept / resend)
Ukoliko se (radi povećanja dometa) umjesto jednim, svaki bit enkodira sviše fotona moguć je i napad:• razdvajanje snopa (beamsplitting)Razdvajanje snopa vrši se djelomično posrebrenim (tj. polupropusnim)zrcalom.
32
...napadi na BB84 protokolPri svakom od spomenutih napada Eve dobiva informaciju o bitu snekom malom vjerojatnošću, neizostavno povećavajući broj pogrešnoprimljenih bitova kod Boba.
Alice i Bob mogu izmjeriti razliku u primljenim bitovima:• ako je razlika dovoljno mala ona se može korigirati na način da Eve
ima vrlo malo informacije o konačnom ključu ulazeći u daljnje fazeprotokola;
• ako je razlika prevelika protokol se abortira.
Informacija koju Eve ima o konačnom ključu je probabilistička budući daNITKO nema informaciju o tome koji bit Eve zna, a koji ne zna. Njenoznanje je razmazano po cijelom ključu.
33
Daljnje faze protokola zauspostavu tajnog ključa
Nakon do sada opisanog dijela protokola Alice i Bob u posjedu su dvajednako duga niza koji nisi sasvim jednaki (aparatura, prisluškivanje).
Osim toga Eve može imati određenu informaciju o tim nizovima.Alice i Bob mogu odrediti gornju granicu na količinu te informacije.
Da bi se eliminirali problemi, kompletni protokol generiranja tajnogključa sastoji se iz tri dijela:
1. BB842. Izjednačenje podataka (Information Reconciliation)3. Povećanje privatnosti (Privacy Amplification)
34
Protokol za izjednačenje podatakaProtokol za izjednačenje podataka je u stvari error-correction protokol,pri čemu se pretpostavi da npr. Alice ima “ispravan”, a Bob “oštećeni”niz, pa se protokol svodi na to da se Bobovi podaci usuglase s Alicinim.
- Alice i Bob podijele svako svoj niz na n blokova pa usporede paritete.U blokovima koji imaju različiti paritete binarnom pretragompronalaze različiti bit. Bob invertira bit.
- Alice i Bob randomiziraju položaj svih bitova u nizovima javnimprotokolom (matricom) te ponavljaju oba koraka nekoliko puta.
Budući da se protokol vodi putem javnog kanala bitan zahtjev jest štomanje curenje informacija.
35
Jednosmjerne funkcije• Kolokvijalno rečeno jednosmjerne funkcije su one kojima je lako
izračunati vrijednost, a teško inverz. Jednu takvu funkciju smo većupoznali: exponenciranje nad Galoisovim poljem.
• Malo preciznije, one-way function je efikasno (tj. polinomijalno uduljini ulaza) izračunljivo preslikavanje:
kojem efikasan izračun inverza nije moguć ili nije poznat (tj. najboljinačin je pogađanje).
rnF }1,0{}1,0{: →
36
Hash ili digest funkcijeHash funkcije su varijanta one-way funkcija čiji je argument u skupunizova bilo koje duljine, a vrijednost u skupu svih nizova jedneodređene duljine:
i za koje vrijedi još jedno svojstvo (tzv. collision resistance):
• za dani x, vrlo je teško naći y takav da je H(x) = H(y).
Za univerzalne hash funkcije vrijedi (Wegman 1979 [9]):
kolokvijalno rečeno, minimalna promjena x uzrokuje drastičnupromjenu H(x).
Najpoznatije hash funkcije su MD5 (r=128) i SHA-1 (r=160).
rxH }1,0{}1,0{:)( * →
rxHxHpxx −<=⇒≠ 2))()(( 2121
37
Protokol za povećanje privatnostiU [11] opisan je postupak kojim se djelomično tajni niz (kakvog nakraju 2. faze imaju Alice i Bob) može putem javne komunikacijepretvortiti u kraći, vrlo tajni niz - odnosno konačni ključ.
Teorem. Ako se niz duljine n o kojem Eve ima t bitova informacijehashira nekom univerzalnom hash funkcijom na duljinu r, onda orezultirajućem nizu duljine r Eve ima manje od
bitova informacije, gdje je s=n-t-r tzv. security factor. Hash funkcijamože biti poznata Eve, ali mora biti korištena jednokratno.
2ln/2 s−
38
Zašto to funkcionira ?
Već smo vidjeli da najmanja razlika između nizova E i A vodi gotovosigurno na na različite hash vrijednosti: H(E) ≠ H(A). Ako se E razlikujeod A za r bitova, to znači da nam (po definiciji) treba r bitovainformacije da bismo E mogli svesti (transformirati) na A. Takovihtransformacija ima 2^r i vjerojatno je da bi svaki E (koji odgovarajednoj od tih transformacija) imao drugačiji H(E).
Uzmimo da H preslikava u nizove duljine r. Dakle je H(A) jedanodređeni niz duljine r. S druge strane, za slučajno odabrani E je H(E)jedan uniformno distribuirani slučajni broj duljine r.
Drugim riječima H(E) nema nikakve veze s H(A). Upravo to (malopreciznije) govori izrečeni Teorem.
39
Fizička aparaturaFizička aparatura koja implementira BB84 (Bennett, Bessette,Brassard 1991) ima slijedeće parametre: efikasnost detekcije ~0.25%,pogreška pri prijenosu p=4%, udjel višestrukih fotona µ=0.12.
Konzervativna procjena da je svaka pogreška u prijenosu posljedicaprisluškivanja kvantnog kanala, za niz duljine N vodi na procjenuprobabilističke informacije koju ima Eve:
Za konkretne parametre:
))224())1((5)24( pNpNl ++−++= µµµ
NNl 1.323.0 +=
40
Fizička aparaturaU stvarno provedenom eksperimentu Alice je poslala 715,000 bitovaod čega je 2000 ispravno primljeno. Nakon izjednačavanja ostalo je1400 bitova. Procjena Evine informacije o tih 1400 bitova jest
466 ± 27. Uzevši u obzir marginu od 5σ i security faktor s = 20, nakonprovedenog povećanja privatnosti, došlo se do konačnog ključa duljine754 bita o kojem Eve ima samo 10^-6 bita informacije.
U drugom eksperimentu, pri simulaciji “jakog” prisluškivanja došlo sedo ključa od samo 105 bitova.
41
Prvi komercijalni uređaj za kvantnukriptografiju
Sredinom 2002. godine Švicarska spin-off firma idQuantique prikazala jeprvi komercijalni uređaj za kvantnu kriptografiju s nevjerojatnimpostignutim dometom od 67 kilometara.
42
No-cloning QKD protokoli• BB84 (Bennett, Brassard 1984) - originalno koristi 4 neortog. stanja• EPR (Ekert 1991) - koristi EPR parove• B92 (Bennet 1992) - koristi samo 2 neortogonalna kvantna stanja
Pokazuje se da su ti protokoli ekvivalentni te da se svode BB84 !
Postoje i brojne manje modifikacije aparature ili protokola čija je svrhapovećanje otpornosti na pojedine napade.
Općenito, kaže se da je QKD protokol siguran ako Alice i Bob moguodabrati parametre s > 0 i l > 0 tako da za bilo koju strateguju prisluš-kivanja protokol uspjeva s vjerojatnošću barem i pri tom jeprisluškivačeva zajednička informacija s konačnim ključem manja od.2 l−
)2(1 SO −−
43
EPR paradoksEinstein nije vjerovao u kvantnu fiziku pa je pokušavao raznimparadoksima dokazati njenu kontradiktornost ili nepotpunost. Pokazalose, međutim, da je svaki puta bio u krivu te da su njegovi paradoksidoveli do novih uvida i čudesnih dokaza valjanosti kvantne fizike. Naj-poznatiji je tzv. EPR paradoks [4] koji ukazuje na ne-lokalnost kv. fizike.
Određenim postupkom moguće je proizvesti par “isprepletenih”(entangled) fotona. Ako se jednom od njih na put stavi polarizator,vjerojatnost prolaska je 0.5, a njegova polarizacija odgovara smjerupolarizatora (prolaz) ili je okomita. Istovremeno, na ma kojoj udaljenosti,drugi foton poprima ortogonalnu polarizaciju. Paradoks je u tome štose drugi foton “orijentira” momentalno.
Činjenica da se ne može utjecati na orijentaciju prvog fotona može seiskoristiti za kvantnu kriptografiju.
44
Kriptografija s EPR parovimaAustrijska grupa [12] ostvarila je 1999. Ekertov protokol [6] koji je ustvari BB84 protokol gdje je kvantni kanal ostvaren EPR parovima.
Iako logički ekvivalentan, kriptosistem s EPR parovima ima prednosti:1. Inherentna slučajnost mjerene polarizacije fotona2. Vrlo mala vjerojatnost dvofotonskih događaja.
Ostvarena brzina generiranja tajnog ključa je oko 550 bit/s .
45
Zaključci o no-cloning QKD• Omogućuje uspostavu tajnog ključa o kojem prisluškivač ima
proizvoljno malo informacije (npr. < 0.5 bit)• Dovoljno je da je kvantni kanal jednosmjeran• Nužno je postojanje dvosmjernog autenticiranog klasičnog kanala
(može ići preko istog svjetlovoda)• Bilo koje dvije strane A i B koje žele uspostaviti ključ moraju biti
povezane kvantnim kanalom: za N sudionika treba N^2 kanala• Sigurnost ovisi o nemogućnosti kloniranja nepoznatog kvantnog
stanja. Međutim noviji rezultati (D. Bouwmeester, Oxford 2002)omogućuju kloniranje s teoretskim maksimumom vjernosti od83.3% što bitno smanjuje duljinu tajnog ključa.
• Domet je konačan radi apsorpcije i dekoherencije u kvant. kanalu
Sigurnost no-cloning kvantne kriptografije još je na kušnji, a egzotična(i skupa) instrumentacija za sada ograničava širu primjenu.
46
Kriptografija kanala sa šumomPretpostavimo da su Alice, Bob (i Eve) povezani klasičnim kanalima,ali sa šumom, tako da nitko ne prima točno onu informaciju koja mu jeposlana (Wynerov kanal).
Kod no-cloning kriptografije nakon prve faze protokola Alice i Bobuvijek imaju prednost pred Eve. U stvari, prednost je dovoljno velika dai nakon faze izjednačavanja podataka, u kojoj Eve doznaje jošinformacije o nizu kojeg dijele Alice i Bob, ostaje dovoljno prednostikako bi se mogla izvršiti amplifikacija privatnosti i time doći dokonačnog ključa. Ta je prednost osigurana nemogućnošću savršenogkopiranja informacije iz kvantnog kanala.
47
Binarni simetrični kanalBinarni simetrični kanal je klasični digitalni sistem u kojem vrijednosttransmisijske pogreške ima konstantnu vrijednost p, jednaku za “nule”i “jedinice”. U slučaju pogreške izlazni bit je komplementaran ulaznom:
Csiszar i Koerner [7] su uočili da BSK imaju kriptografsku moć. Međutim,oni su izložili scenarij u kojem je prijenos tajne moguć samo ukoliko sulegitimni korisnici povezani kanalom koji ima manji šum nego li kanalprisluškivača, što često nije realistična pretpostavka.
48
S.K.A.P.DU. Maurer (1993) je, nastavljajući se na rad CK, predložio protokol ukojem Alice i Bob mogu početno imati nizove koji imaju manji preklopnegoli ga imaju s nizom kojeg posjeduje prisluškivač, pa da ipak uspiju“izvući” zajednički ključ !
Da bi to bilo moguće Maurer je osmislio poseban scenarij u kojem Alicei Bob primaju korelirane nizove iz nekontrolabilnog izvora slučajnogsignala te uveo fazu destilacije prednosti (Advantage Distillation) ukojoj Alice i Bob postižu prednost pred Eve i na to nakalemio posljednjedvije faze iz no-cloning kvantnih protokola.
49
S.K.A.P.D. - scenarijU. Maurer 1993, “Secret Key Agreement by Public Discussion” [3]
50
Faze S.K.A.P.D. protokola0. Alice, Bob i Eve primaju svoje početne nizove iz nekontrolabilnog
izvora slučajnih bitova s kojim su povezani putem BSK. Svi sunizovi različiti, ali korelirani.
1. Advantage Distillation (AD)
2. Information Reconciliation (IR)
3. Privacy Amplification (PA)
51
Nulta fazaSatelit S šalje slab signal koji enkodira niz slučajnih bitova. Alice, Bob(Eve) primaju isti komad niza slučajnih bitova te tako tvore svoje nizoveA, B (E) respektivno. Nizovi su svi duljine N, ali nisu sasvim jednakizbog šuma koji je individualan. Označimo:
Ako je i ondaAlice i Bob nemaju prednostpred Eve i ne mogu odmah ućiu faze 2. i 3.
Eii
Bii
Aii
sepsbpsap
εεε
=≠=≠=≠
)()()(
AE εε < BE εε <
52
Protokol za destilaciju prednostiPretpostavljajući Alice i Bob uspostavljaju prednost koristećiAdvantage Distillation protokol.
• Alice i Bob podijele svoj nizna parove i odrede paritetsvakog para.
• Parove kod kojih se paritet razli-kuje odbacuju, a kod kojih je istizadržavaju samo prvi bit.
• Bitovi koji nisu odbačeni čineniz koji ulazi u slijedeći korak.
Eksponencijalnim kraćenjem polaz-nog niza A i B ostvaruju prednost.
EBA εεε ,,
53
IR i PA protokoli
Nakon n iteracija AD protokola nizovi A_n i B_n općenito se jošmeđusobno razlikuju. Stoga Alice i Bob ne mogu odmah primijenitiPA već prvo primijenjuju IR, baš kao i u slučaju no-cloning QKD.
IR protokol sam je sebi dostatan za kriterij koliko je iteracija potrebnoe da bi vjerojatnost da je p(A≠B) bila manja od neke unaprijed zadanevrijednosti.
Pitanje kod PA prot. je kolika je duljina r konačnog ključa koja garantirada je znanje Eve ograničeno na neku unaprijed zadanu veličinu(npr. 2^-5 bita). Duljina r funkcija je samo od N, i može seunaprijed izračunati ili odrediti simulacijama.
EBA εεε ,,
54
Zaključci o šumnoj kriptografiji• Sigurnost ovisi o individualnosti šuma pri prijemu početnih nizova.• Omogućuje uspostavu tajnog ključa o kojem prisluškivač ima
proizvoljno malo informacije (npr. < 0.5 bit)• Bilo koje dvije strane A i B koje žele uspostaviti ključ moraju biti
međusobno povezane samo klasičnim kanalom.• Za N sudionika dovoljno je N kanala (i switchboard)• Prikazani SKAPD protokol otporan je samo na aktivnog
prisluškivača, no ukoliko A i B dijele malu prethodnu tajnu mogućeje postići otpornost i na aktivnog prisluškivača.
Praktičnost šumne kriptografije još je na kušnji zbog egzotičnogscenarija koji za sada ograničava širu primjenu.
55
Usporedba no-cloning i šumne QKDUkoliko se uspostavljeni ključ koristi kao OTP, kvantna kriptografijanudi dokazivu sigurnost od napadača s neograničenom kompju-tacijskom moći i neograničenom memorijom.• Dokaziva sigurnost vrijedi za aktivnog napadača na kvantni i
pasivnog na klasični kanalDokaziva sigurnost vrijedi samo za pasivnog napadačaMala prethodna tajna ⇒ oba prot. otporna na aktivnog napadača
• A i B moraju biti povezani i klasičnim i kvantnim kanalomSKAPD potrebuje samo klasični kanal
• Skupa aparatura ograničava širu primjenuČudan postav koji zahtijeva nekontrolabilni izvor slučajnosti
• Parametri protokola lako mjerljiviOdlučni parametar protokola, šum prisluškivača, nije moguće mjeriti
• Domet ograničenDomet neograničen
56
Bibliografija[1] C. Shannon, Communication Theory of Secrecy Systems, Interna publikacija Bell
Systems, 1946 (zabrana tajnosti skinuta 1949)[2] D. Knuth, The art of computer programming, Vol 2. Seminumerical algorithms,
Addison-Wesley 1998[3] U. Maurer, Secret Key Agreement by Public Discussion, IEEE Trans. Inform. Theor.
39(1993)733-742[4] A. Einstein, B. Podolski, N. Rosen, Phys. Rev. 41(1935)777[5] C.H.Bennett, G. Brassard, Quantum cryptography: public key distribution and coin
tossing, proc. IEEE International Conference on Computers, Systems and SignalProcessing, Bangalore, India 1984, pp 175-179
[6] A. Ekert, Quantum cryptography based on Bell’s theorem, Phys. Rev. Lett.67(1991)661-663
[7] I. Csiszar, J. Koerner, Broadcast channels with confidential messages, IEEE Trans.Inform. Theor. 24(1978)339-348
[8] W.K. Wooters, W.H. Zurek, A Single Quantum Cannot be Cloned, Nature,299(1982)802-803
[9] J.L Carter, M.N.Wegman, Universal Classes of Hash Functions, J. Compututer andSystem Sciences 18(1979)143-154
57
[10] C.H.Bennett, F.Besette, G.Brassard, L.Savail, J.Smolin, Experimental Quantum Cryptography, Proc. Eurocrypt 1980, pp. 253-265
[11] C.H.Bennet, G.Brassard, J-M.Robert, Privacy amplification by public discussion, SIAM J. on Computing 17(1988)210-229[12] http://www.quantum.univie.ac.at/research/crypto/index.html
