quantum computing hartmut klauck universität frankfurt ws 04/05 26.1

Download Quantum Computing Hartmut Klauck Universität Frankfurt WS 04/05 26.1

Post on 05-Apr-2015

104 views

Category:

Documents

2 download

Embed Size (px)

TRANSCRIPT

  • Folie 1
  • Quantum Computing Hartmut Klauck Universitt Frankfurt WS 04/05 26.1.
  • Folie 2
  • Quanten Kryptographie RSA System ist kompromittiert durch Quantenrechner (schon heute wenn Nachrichten noch lange geheim bleiben mssen) Ebenso einige andere Public Key Verfahren (Diffie Hellman) Ausweg 1: Public Key Verfahren, die sicher gegen alle Quantenalgorithmen sind Problem 1: geeignete Kandidaten fr solche Verfahren Problem 2: Grenzen von Quantencomputern schwer genau abzuschtzen
  • Folie 3
  • Quanten Kryptographie Anderer Ansatz: Ist es mglich, nur die Regeln der Quantenmechanik anzunehmen, und daraus ein sicheres Verschlsselungsverfahren anzugeben? [Wiesner] gibt ein quantenkryptographisches Verfahren ca. 1970 an, verffentlicht 1983, Quantenzustnde als flschungsicheres Geld [BB84] Quantum key distribution protocol
  • Folie 4
  • Sichere Klassische Verschlsselung One-Time-Pad (OTP): Alice mchte Bob einen Text x schicken, den Eve [Eavesdropper] nicht entschlsseln kann, n Bits Alice und Bob haben einen geheimen Schlssel s, n Bits lang Alice kodiert x 1,...,x n als x 1 s 1,...,x n s n Bob dekodiert Wenn s uniform zufllig ist, dann ist fr jeden Text x die gesendete Nachricht uniform zufllig Also erhlt Eve keine Information ber x D.h. jedes x ist gleichwahrscheinlich als Text, gegeben die Nachricht Problem: Schlssellnge, sowie Erstellung des geheimen Schlssels,
  • Folie 5
  • Sichere Klassische Verschlsselung Problem: Schlssellnge, sowie Erstellung des geheimen Schlssels Schlssellnge ist unvermeidlich fr vollstndige Sicherheit [Shannon] Austausch geheimer Schlssel im allgemeinen nicht praktikabel Erzeugung geheimer Schlssel ber einen klassischen ffentlichen Kommunikationskanal nicht mglich Eve kann gesamte Kommunikation vom Kanal kopieren und erhlt soviel Information wie Bob Geht es ber einen Quantenkanal? Erstes Indiz: No cloning theorem
  • Folie 6
  • Sichere Klassische Verschlsselung Geht es ber einen Quantenkanal? Erstes Indiz: No cloning theorem Intuition: Eve fhrt eine Messung der vorhandenen Kommunikation aus Wenn Eve Information erhlt, wird die Kommunikation gestrt, Dies kann bemerkt werden Also wird entweder geheimer Schssel erzeugt, oder Abbruch
  • Folie 7
  • Genauer: Wenn versucht wird, Information aus zwei nichtorthogonalen Quantenzustnden zu extrahieren, so werden sie gestrt Annahme, sie werden nicht gestrt:
  • Folie 8
  • Modell Alice und Bob sind durch einen Quantenkanal verbunden, d.h., jeder kann Qubits verschicken, die beim anderen ankommen Eventuell mehrere Runden Ausser Eve schreitet ein: Eve kann gesendete Nachrichten durch Messungen und unitre Transformationen modifizieren, erhlt Information durch Messungen Vernderte Nachrichten werden zugestellt Ziel ist key distribution, d.h. Erzeugen eines geheimen Schlssels Ausserdem: ffentlicher klassischer Kanal, der nicht geflscht werden kann, bzw. authentifiziert ist
  • Folie 9
  • Verschlsseln mit EPR Paaren EPR Paar Annahme Alice und Bob haben n EPR Paare, messen und erhalten geheimen Schlssel aus n Bits, OTP folgt Alternativ: Alice erzeugt O(n) EPR-Paare, sendet jeweils ein Qubit zu Bob Eve kann jetzt angreifen, d.h. beliebigen Operator auf Nachricht anwenden Alice und Bob testen ob Angriff vorlag, und versuchen gute EPR Paare zu finden
  • Folie 10
  • Verschlsseln mit EPR Paaren Alice und Bob messen jedes Qubit in ihrem Besitz mit Wahrscheinlichkeit 1/2 in einer Basis, mit Wahrscheinlichkeit 1/2 in einer anderen Alice zieht zufllig a 1,...,a m, Bob b 1,...,b m Basis 1: |0i, |1i Basis 2: (|0i+|1i)/2 1/2, (|0i-|1i)/2 1/2 Danach: Alice und Bob geben a und b bekannt, verwerfen alle gemessenen EPR Paare, wo a i b i Noch ungefhr m/2 EPR Paare brig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig
  • Folie 11
  • Problem: Wir wollen ein Protokoll, in dem keine EPR Paare verwendet werden, da diese schwierig zu handhaben sind
  • Folie 12
  • Verschlsseln ohne EPR Paare [BB84] Alice schickt zufllig Zustnde aus |0i, |1i,(|0i+|1i)/2 1/2, (|0i-|1i)/2 1/2 Bob misst zufllig in Basis 1 oder 2 Danach: Alice gibt bekannt, ob aus |0i, |1i oder nicht, Bob gibt seine Basis bekannt, verwerfen alle Positionen, wo keine bereinstimmung Noch ungefhr m/2 Paare brig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig
  • Folie 13
  • BB84 states | > = |1> | > = |0> | > =
  • Folie 14
  • BB84 QKD... NoYes... 001 Alice Bob
  • Folie 15
  • Verschlsseln mit/ohne EPR Paare Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig Wenn Eve aktiv war? Alice und Bob tauschen eine zufllige Teilmenge ihrer Schlsselbits aus und testen auf bereinstimmung
  • Folie 16
  • Beispiel, BB84 Eve fngt alle Qubits ab, misst in Basis 1 oder 2, zufllig Sendet ein Qubit wie gemessen zu Bob In 50% aller Flle selbe Basis wie Alices Nachrichten, keine Strung, Eve lernt Alices Bit In anderen Fllen wird etwa |0i statt (|0i+|1i)/2 1/2 geschickt, ein Zustand der bei Bobs Mesung mit Wahrscheinlichkeit 1/2 zu einer Diskrepanz fhrt Also erwartet 25% diskrepante Schlsselbits bei Alice und Bob, aber Eve lernt 25% der richtigen Schlssel bei denen Bob die richtige Basis whlt Raffinierter: Eve arbeitet auf einer Teilmenge von 10% aller Schlssel, erzeugt nur 2.5% Fehler etc.
  • Folie 17
  • Sicherheit Eves Angriff Eve misst individuelle Qubits Allgemeiner: Eve nimmt alle Qubits, misst gemeinsam, sendet Nachricht weiter Fall 1) Nach Eves Angriff, Zustand auf Nachricht: Wenn |e ij i alle gleich, keine Information fr Eve Wenn |01i und |10i hohe Amplituden, Entdeckung in der Standardbasis wahrscheinlich Wenn |e 00 i weit von |e 11 i dann Entdeckung in anderer Basis wahrscheinlich Gesamt: Wenn Korrelation in einer Richtung auf vielen Paaren, dann Entdeckung wahrscheinlich
  • Folie 18
  • Sicherheit Messung in zweiter Basis entspricht Hadamard und dann Messung in Standardbasis
  • Folie 19
  • Prinzipielles anderes Protokoll Teste EPR Paare wie im Protokoll zu den Bellschen Ungleichungen Wenn Bell Ungleichung verletzt, existiert entanglement Distilliere Entanglement
  • Folie 20
  • Probleme Brauchen quantitative Analyse Ausserdem Analyse, wenn Eve global misst Ziel: Zeige, Eves Information ist klein Quantenkanal ist mit Fehlern behaftet, zustzlich Strung Welche Gesamtfehlerwahrscheinlichkeit des Kanals kann toleriert werden? Wie bekommt man wieder fast uniform zufllige Schlssel? Wie behandeln wir Eves wenige, aber vorhandene Information Lsungen: Fehlerkorrigierende Codes um Diskrepanz zu eliminieren Privacy Amplification (Hashing) um sichere Schlssel zu erhalten Weiteres Problem: imperfekte Quellen von Photonen
  • Folie 21
  • BB84 Alice whlt 5n zufllige Bits y 1,...,y 5n sowie 5n zufllige Bits a 1,...,a 5n Alice sendet |0i, |1i,(|0i+|1i)/2 1/2, oder (|0i-|1i)/2 1/2 fr x=0,a=0,x=1,a=0.... Bob misst in X oder Z Basis zufllig Bob verffentlicht b Alice und Bob entfernen Bits, wo Bob falsche Basis gemessen hat, 2n Bits brig whp Alice und Bob testen n ihrer Bits auf Gleichheit, wenn mehr als t Paare ungleich Abbruch Information Reconciling: Nur Bit Paare brig, die bei beiden gleich Privacy Amplification: Verringert Eves Information
  • Folie 22
  • Information Reconciling Verwendet fehlerkorrigierende Codes, die t Fehler tolerieren Annahme uniform zuflliges y wird bertragen (als Schlsselkandidat) Bob erhlt y mit