Quantum Computing

Hartmut KlauckUniversität FrankfurtWS 04/05

26.1.

Quanten Kryptographie

RSA System ist kompromittiert durch Quantenrechner (schon heute wenn Nachrichten noch lange geheim bleiben müssen)

Ebenso einige andere Public Key Verfahren (Diffie Hellman)

Ausweg 1: Public Key Verfahren, die sicher gegen alle Quantenalgorithmen sind Problem 1: geeignete Kandidaten für solche

Verfahren Problem 2: Grenzen von Quantencomputern

schwer genau abzuschätzen

Quanten Kryptographie

Anderer Ansatz: Ist es möglich, nur die Regeln der

Quantenmechanik anzunehmen, und daraus ein sicheres Verschlüsselungsverfahren anzugeben?

[Wiesner] gibt ein quantenkryptographisches Verfahren ca. 1970 an, veröffentlicht 1983, Quantenzustände als fälschungsicheres Geld

[BB84] Quantum key distribution protocol

Sichere Klassische Verschlüsselung One-Time-Pad (OTP):

Alice möchte Bob einen Text x schicken, den Eve [Eavesdropper] nicht entschlüsseln kann, n Bits

Alice und Bob haben einen geheimen Schlüssel s,n Bits lang

Alice kodiert x1,...,xn als x1©s1,...,xn©sn Bob dekodiert

Wenn s uniform zufällig ist, dann ist für jeden Text x die gesendete Nachricht uniform zufällig

Also erhält Eve keine Information über x D.h. jedes x’ ist gleichwahrscheinlich als Text,

gegeben die Nachricht Problem: Schlüssellänge, sowie Erstellung des

geheimen Schlüssels,

Sichere Klassische Verschlüsselung Problem: Schlüssellänge, sowie Erstellung des

geheimen Schlüssels Schlüssellänge ist unvermeidlich für vollständige

Sicherheit [Shannon] Austausch geheimer Schlüssel im allgemeinen nicht

praktikabel Erzeugung geheimer Schlüssel über einen klassischen

öffentlichen Kommunikationskanal nicht möglich Eve kann gesamte Kommunikation vom Kanal

kopieren und erhält soviel Information wie Bob Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem

Sichere Klassische Verschlüsselung Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem Intuition:

Eve führt eine Messung der vorhandenen Kommunikation aus

Wenn Eve Information erhält, wird die Kommunikation gestört,

Dies kann bemerkt werden Also wird entweder geheimer Schüssel

erzeugt, oder Abbruch

Genauer:

Wenn versucht wird, Information aus zwei nichtorthogonalen Quantenzuständen zu extrahieren, so werden sie gestört

Annahme, sie werden nicht gestört:

Modell

Alice und Bob sind durch einen Quantenkanal verbunden, d.h., jeder kann Qubits verschicken, die beim anderen ankommen

Eventuell mehrere Runden Ausser Eve schreitet ein:

Eve kann gesendete Nachrichten durch Messungen und unitäre Transformationen modifizieren, erhält Information durch Messungen

Veränderte Nachrichten werden zugestellt Ziel ist key distribution, d.h. Erzeugen eines geheimen

Schlüssels Ausserdem: öffentlicher klassischer Kanal, der nicht

gefälscht werden kann, bzw. authentifiziert ist

Verschlüsseln mit EPR Paaren EPR Paar Annahme Alice und Bob haben n EPR

Paare, messen und erhalten geheimen Schlüssel aus n Bits, OTP folgt

Alternativ: Alice erzeugt O(n) EPR-Paare, sendet jeweils ein Qubit zu Bob

Eve kann jetzt angreifen, d.h. beliebigen Operator auf Nachricht anwenden

Alice und Bob testen ob Angriff vorlag, und versuchen “gute” EPR Paare zu finden

Verschlüsseln mit EPR Paaren Alice und Bob messen jedes Qubit in ihrem Besitz mit

Wahrscheinlichkeit 1/2 in einer Basis, mit Wahrscheinlichkeit 1/2 in einer anderen

Alice zieht zufällig a1,...,am, Bob b1,...,bm

Basis 1: |0i, |1i Basis 2: (|0i+|1i)/21/2, (|0i-|1i)/21/2

Danach: Alice und Bob geben a und b bekannt, verwerfen alle gemessenen EPR Paare, wo ai bi

Noch ungefähr m/2 EPR Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt

korrelierte Zufallsbits entstanden, fertig

Problem:

Wir wollen ein Protokoll, in dem keine EPR Paare verwendet werden, da diese schwierig zu handhaben sind

Verschlüsseln ohne EPR Paare [BB84] Alice schickt zufällig Zustände aus

|0i, |1i,(|0i+|1i)/21/2, (|0i-|1i)/21/2

Bob misst zufällig in Basis 1 oder 2 Danach: Alice gibt bekannt, ob aus |0i, |1i

oder nicht, Bob gibt seine Basis bekannt, verwerfen alle Positionen, wo keine Übereinstimmung

Noch ungefähr m/2 Paare übrig Wenn Eve nichts getan hat, sind m/2

perfekt korrelierte Zufallsbits entstanden, fertig

BB84 states

1|2

10|

2

1

1|2

10|

2

1|> = |1>

|> = |0>

| >=| >=

BB84 QKD

...

...

...No Yes Yes Yes

...

0 0 1

Alice Bob

Verschlüsseln mit/ohne EPR Paare

Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig

Wenn Eve aktiv war? Alice und Bob tauschen eine zufällige

Teilmenge ihrer Schlüsselbits aus und testen auf Übereinstimmung

Beispiel, BB84

Eve fängt alle Qubits ab, misst in Basis 1 oder 2, zufällig

Sendet ein Qubit wie gemessen zu Bob In 50% aller Fälle selbe Basis wie Alice’s Nachrichten,

keine Störung, Eve lernt Alice’s Bit In anderen Fällen wird etwa |0i statt (|0i+|1i)/21/2

geschickt, ein Zustand der bei Bob’s Mesung mit Wahrscheinlichkeit 1/2 zu einer Diskrepanz führt

Also erwartet 25% diskrepante Schlüsselbits bei Alice und Bob, aber Eve lernt 25% der richtigen Schlüssel bei denen Bob die richtige Basis wählt

Raffinierter: Eve arbeitet auf einer Teilmenge von 10% aller Schlüssel, erzeugt nur 2.5% Fehler etc.

Sicherheit

Eve’s Angriff Eve misst individuelle Qubits Allgemeiner: Eve nimmt alle Qubits, misst gemeinsam,

sendet Nachricht weiter Fall 1) Nach Eve’s Angriff, Zustand auf Nachricht:

Wenn |eiji alle gleich, keine Information für Eve Wenn |01i und |10i hohe Amplituden, Entdeckung in der

Standardbasis wahrscheinlich Wenn |e00i weit von |e11i dann Entdeckung in anderer Basis

wahrscheinlich Gesamt: Wenn Korrelation in einer Richtung auf vielen

Paaren, dann Entdeckung wahrscheinlich

Sicherheit

Messung in zweiter Basis entspricht Hadamard und dann Messung in Standardbasis

Prinzipielles anderes Protokoll

Teste EPR Paare wie im Protokoll zu den Bell’schen Ungleichungen

Wenn Bell Ungleichung verletzt, existiert entanglement

Distilliere Entanglement

Probleme

Brauchen quantitative Analyse Ausserdem Analyse, wenn Eve global misst

Ziel: Zeige, Eve’s Information ist klein Quantenkanal ist mit Fehlern behaftet, zusätzlich Störung Welche Gesamtfehlerwahrscheinlichkeit des Kanals kann

toleriert werden? Wie bekommt man wieder fast uniform zufällige Schlüssel? Wie behandeln wir Eve’s wenige, aber vorhandene

Information Lösungen:

Fehlerkorrigierende Codes um Diskrepanz zu eliminieren Privacy Amplification (Hashing) um sichere Schlüssel zu

erhalten Weiteres Problem: imperfekte Quellen von Photonen

BB84

Alice wählt 5n zufällige Bits y1,...,y5n sowie 5n zufällige Bits a1,...,a5n

Alice sendet |0i, |1i,(|0i+|1i)/21/2, oder (|0i-|1i)/21/2 für x=0,a=0,x=1,a=0....

Bob misst in X oder Z Basis zufällig Bob veröffentlicht b Alice und Bob entfernen Bits, wo Bob falsche Basis

gemessen hat, 2n Bits übrig whp Alice und Bob testen n ihrer Bits auf Gleichheit, wenn

mehr als t Paare ungleich Abbruch Information Reconciling: Nur Bit Paare übrig, die bei

beiden gleich Privacy Amplification: Verringert Eve’s Information

Information Reconciling

Verwendet fehlerkorrigierende Codes, die t Fehler tolerieren

Annahme uniform zufälliges y wird übertragen (als Schlüsselkandidat)

Bob erhält y mit <t Fehlern Alice und Bob wählen das nächstliegende

Codewort Beide erhalten haben denselben String

Privacy Amplification

Eve habe beschränkte Information über y (sonst ist Test nicht bestanden)

Wie kann man erreichen, dass für einen kürzeren Schlüssel Eve fast keine Information hat?

Beispiel: Verwende Parities von mehreren Bits in y, “schwieriger” vorherzusagen

Technik: Hashing

Sicherheitsbeweis BB84

Durch Reduktion vom EPR Protokoll und kleine Modifikation der letzten Schritte

Welches Mass von Sicherheit Ein Protokoll ist sicher, wenn Alice und Bob

Sicherheitsparameter s,l wählen können, so dass Protokoll entweder abbricht, oder mit Wahrscheinlichkeit 1-1/2S nicht, und dann ist Eve’s Information nur 1/2l

Protokoll toleriert Fehler , wenn durch Kanalfehler und Eve t=n Anteil aller EPR Paare Test nicht bestehen, aber trotzdem sicher

Welche Fehlerraten sind sicher Fehler: Ab welchem Schwellenwert für diskrepante Paare

muss aufgegeben werden Abhängig vom Postprocessing: Einweg oder Zweiweg

Kommunikation Einweg:

Alice sendet Information an Bob, Eve kann mit 14.6% Fehler approximativ klonen, Eve und Bob symmetrische Situation, d.h. keine Sicherheit mehr möglich

Analyse zeigt, bei 11% Fehler Sicherheit möglich Zweiweg:

Eve’s Intercept und Resend Strategie: Bob’s Information nur noch von Eve abhängig, keine Sicherheit, bei 25% Fehler

Möglich, 18.9% Fehler zu tolerieren Anderes Schema kommt auf 27.6 Prozent [Eve kann immer die Kommunikation verhindern]

Implementierung BB84

Problem: Je länger die Verbindung, desto mehr Fehler

Rekord:Glasfaser: 122 km, 1.9 kbit/s

SchlüsselrateOpen Air: 23.4 km, 1 kbit/s

Implementierung

Implementierung

Implementierung

Implementierung