quantum computing hartmut klauck universität frankfurt ws 04/05 26.1
TRANSCRIPT
Quantum Computing
Hartmut KlauckUniversität FrankfurtWS 04/05
26.1.
Quanten Kryptographie
RSA System ist kompromittiert durch Quantenrechner (schon heute wenn Nachrichten noch lange geheim bleiben müssen)
Ebenso einige andere Public Key Verfahren (Diffie Hellman)
Ausweg 1: Public Key Verfahren, die sicher gegen alle Quantenalgorithmen sind Problem 1: geeignete Kandidaten für solche
Verfahren Problem 2: Grenzen von Quantencomputern
schwer genau abzuschätzen
Quanten Kryptographie
Anderer Ansatz: Ist es möglich, nur die Regeln der
Quantenmechanik anzunehmen, und daraus ein sicheres Verschlüsselungsverfahren anzugeben?
[Wiesner] gibt ein quantenkryptographisches Verfahren ca. 1970 an, veröffentlicht 1983, Quantenzustände als fälschungsicheres Geld
[BB84] Quantum key distribution protocol
Sichere Klassische Verschlüsselung One-Time-Pad (OTP):
Alice möchte Bob einen Text x schicken, den Eve [Eavesdropper] nicht entschlüsseln kann, n Bits
Alice und Bob haben einen geheimen Schlüssel s,n Bits lang
Alice kodiert x1,...,xn als x1©s1,...,xn©sn Bob dekodiert
Wenn s uniform zufällig ist, dann ist für jeden Text x die gesendete Nachricht uniform zufällig
Also erhält Eve keine Information über x D.h. jedes x’ ist gleichwahrscheinlich als Text,
gegeben die Nachricht Problem: Schlüssellänge, sowie Erstellung des
geheimen Schlüssels,
Sichere Klassische Verschlüsselung Problem: Schlüssellänge, sowie Erstellung des
geheimen Schlüssels Schlüssellänge ist unvermeidlich für vollständige
Sicherheit [Shannon] Austausch geheimer Schlüssel im allgemeinen nicht
praktikabel Erzeugung geheimer Schlüssel über einen klassischen
öffentlichen Kommunikationskanal nicht möglich Eve kann gesamte Kommunikation vom Kanal
kopieren und erhält soviel Information wie Bob Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem
Sichere Klassische Verschlüsselung Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem Intuition:
Eve führt eine Messung der vorhandenen Kommunikation aus
Wenn Eve Information erhält, wird die Kommunikation gestört,
Dies kann bemerkt werden Also wird entweder geheimer Schüssel
erzeugt, oder Abbruch
Genauer:
Wenn versucht wird, Information aus zwei nichtorthogonalen Quantenzuständen zu extrahieren, so werden sie gestört
Annahme, sie werden nicht gestört:
Modell
Alice und Bob sind durch einen Quantenkanal verbunden, d.h., jeder kann Qubits verschicken, die beim anderen ankommen
Eventuell mehrere Runden Ausser Eve schreitet ein:
Eve kann gesendete Nachrichten durch Messungen und unitäre Transformationen modifizieren, erhält Information durch Messungen
Veränderte Nachrichten werden zugestellt Ziel ist key distribution, d.h. Erzeugen eines geheimen
Schlüssels Ausserdem: öffentlicher klassischer Kanal, der nicht
gefälscht werden kann, bzw. authentifiziert ist
Verschlüsseln mit EPR Paaren EPR Paar Annahme Alice und Bob haben n EPR
Paare, messen und erhalten geheimen Schlüssel aus n Bits, OTP folgt
Alternativ: Alice erzeugt O(n) EPR-Paare, sendet jeweils ein Qubit zu Bob
Eve kann jetzt angreifen, d.h. beliebigen Operator auf Nachricht anwenden
Alice und Bob testen ob Angriff vorlag, und versuchen “gute” EPR Paare zu finden
Verschlüsseln mit EPR Paaren Alice und Bob messen jedes Qubit in ihrem Besitz mit
Wahrscheinlichkeit 1/2 in einer Basis, mit Wahrscheinlichkeit 1/2 in einer anderen
Alice zieht zufällig a1,...,am, Bob b1,...,bm
Basis 1: |0i, |1i Basis 2: (|0i+|1i)/21/2, (|0i-|1i)/21/2
Danach: Alice und Bob geben a und b bekannt, verwerfen alle gemessenen EPR Paare, wo ai bi
Noch ungefähr m/2 EPR Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt
korrelierte Zufallsbits entstanden, fertig
Problem:
Wir wollen ein Protokoll, in dem keine EPR Paare verwendet werden, da diese schwierig zu handhaben sind
Verschlüsseln ohne EPR Paare [BB84] Alice schickt zufällig Zustände aus
|0i, |1i,(|0i+|1i)/21/2, (|0i-|1i)/21/2
Bob misst zufällig in Basis 1 oder 2 Danach: Alice gibt bekannt, ob aus |0i, |1i
oder nicht, Bob gibt seine Basis bekannt, verwerfen alle Positionen, wo keine Übereinstimmung
Noch ungefähr m/2 Paare übrig Wenn Eve nichts getan hat, sind m/2
perfekt korrelierte Zufallsbits entstanden, fertig
BB84 states
1|2
10|
2
1
1|2
10|
2
1|> = |1>
|> = |0>
| >=| >=
BB84 QKD
...
...
...No Yes Yes Yes
...
0 0 1
Alice Bob
Verschlüsseln mit/ohne EPR Paare
Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig
Wenn Eve aktiv war? Alice und Bob tauschen eine zufällige
Teilmenge ihrer Schlüsselbits aus und testen auf Übereinstimmung
Beispiel, BB84
Eve fängt alle Qubits ab, misst in Basis 1 oder 2, zufällig
Sendet ein Qubit wie gemessen zu Bob In 50% aller Fälle selbe Basis wie Alice’s Nachrichten,
keine Störung, Eve lernt Alice’s Bit In anderen Fällen wird etwa |0i statt (|0i+|1i)/21/2
geschickt, ein Zustand der bei Bob’s Mesung mit Wahrscheinlichkeit 1/2 zu einer Diskrepanz führt
Also erwartet 25% diskrepante Schlüsselbits bei Alice und Bob, aber Eve lernt 25% der richtigen Schlüssel bei denen Bob die richtige Basis wählt
Raffinierter: Eve arbeitet auf einer Teilmenge von 10% aller Schlüssel, erzeugt nur 2.5% Fehler etc.
Sicherheit
Eve’s Angriff Eve misst individuelle Qubits Allgemeiner: Eve nimmt alle Qubits, misst gemeinsam,
sendet Nachricht weiter Fall 1) Nach Eve’s Angriff, Zustand auf Nachricht:
Wenn |eiji alle gleich, keine Information für Eve Wenn |01i und |10i hohe Amplituden, Entdeckung in der
Standardbasis wahrscheinlich Wenn |e00i weit von |e11i dann Entdeckung in anderer Basis
wahrscheinlich Gesamt: Wenn Korrelation in einer Richtung auf vielen
Paaren, dann Entdeckung wahrscheinlich
Sicherheit
Messung in zweiter Basis entspricht Hadamard und dann Messung in Standardbasis
Prinzipielles anderes Protokoll
Teste EPR Paare wie im Protokoll zu den Bell’schen Ungleichungen
Wenn Bell Ungleichung verletzt, existiert entanglement
Distilliere Entanglement
Probleme
Brauchen quantitative Analyse Ausserdem Analyse, wenn Eve global misst
Ziel: Zeige, Eve’s Information ist klein Quantenkanal ist mit Fehlern behaftet, zusätzlich Störung Welche Gesamtfehlerwahrscheinlichkeit des Kanals kann
toleriert werden? Wie bekommt man wieder fast uniform zufällige Schlüssel? Wie behandeln wir Eve’s wenige, aber vorhandene
Information Lösungen:
Fehlerkorrigierende Codes um Diskrepanz zu eliminieren Privacy Amplification (Hashing) um sichere Schlüssel zu
erhalten Weiteres Problem: imperfekte Quellen von Photonen
BB84
Alice wählt 5n zufällige Bits y1,...,y5n sowie 5n zufällige Bits a1,...,a5n
Alice sendet |0i, |1i,(|0i+|1i)/21/2, oder (|0i-|1i)/21/2 für x=0,a=0,x=1,a=0....
Bob misst in X oder Z Basis zufällig Bob veröffentlicht b Alice und Bob entfernen Bits, wo Bob falsche Basis
gemessen hat, 2n Bits übrig whp Alice und Bob testen n ihrer Bits auf Gleichheit, wenn
mehr als t Paare ungleich Abbruch Information Reconciling: Nur Bit Paare übrig, die bei
beiden gleich Privacy Amplification: Verringert Eve’s Information
Information Reconciling
Verwendet fehlerkorrigierende Codes, die t Fehler tolerieren
Annahme uniform zufälliges y wird übertragen (als Schlüsselkandidat)
Bob erhält y mit <t Fehlern Alice und Bob wählen das nächstliegende
Codewort Beide erhalten haben denselben String
Privacy Amplification
Eve habe beschränkte Information über y (sonst ist Test nicht bestanden)
Wie kann man erreichen, dass für einen kürzeren Schlüssel Eve fast keine Information hat?
Beispiel: Verwende Parities von mehreren Bits in y, “schwieriger” vorherzusagen
Technik: Hashing
Sicherheitsbeweis BB84
Durch Reduktion vom EPR Protokoll und kleine Modifikation der letzten Schritte
Welches Mass von Sicherheit Ein Protokoll ist sicher, wenn Alice und Bob
Sicherheitsparameter s,l wählen können, so dass Protokoll entweder abbricht, oder mit Wahrscheinlichkeit 1-1/2S nicht, und dann ist Eve’s Information nur 1/2l
Protokoll toleriert Fehler , wenn durch Kanalfehler und Eve t=n Anteil aller EPR Paare Test nicht bestehen, aber trotzdem sicher
Welche Fehlerraten sind sicher Fehler: Ab welchem Schwellenwert für diskrepante Paare
muss aufgegeben werden Abhängig vom Postprocessing: Einweg oder Zweiweg
Kommunikation Einweg:
Alice sendet Information an Bob, Eve kann mit 14.6% Fehler approximativ klonen, Eve und Bob symmetrische Situation, d.h. keine Sicherheit mehr möglich
Analyse zeigt, bei 11% Fehler Sicherheit möglich Zweiweg:
Eve’s Intercept und Resend Strategie: Bob’s Information nur noch von Eve abhängig, keine Sicherheit, bei 25% Fehler
Möglich, 18.9% Fehler zu tolerieren Anderes Schema kommt auf 27.6 Prozent [Eve kann immer die Kommunikation verhindern]
Implementierung BB84
Problem: Je länger die Verbindung, desto mehr Fehler
Rekord:Glasfaser: 122 km, 1.9 kbit/s
SchlüsselrateOpen Air: 23.4 km, 1 kbit/s
Implementierung
Implementierung
Implementierung
Implementierung