🕉️ 👨🏻‍🏭 🕵🏿 量子鍵配布プロトコルBB84 🙌🏿 👧🏽 ✌🏼

このテキストは、モスクワ物理技術研究所（GU）の無線工学および制御システム部門の情報セキュリティに関するトレーニングマニュアルの新しい章になります。 完全なチュートリアルはgithubで入手できます。 同時に、新しい「大きな」作品をアップロードすることを計画しています。まず、有用なコメントや意見を収集し、次に、コミュニティに有用で興味深いトピックに関する概要資料を提供します。

1984年、Charles BennettとGilles Brassardは、新しい量子鍵配布プロトコルを提案しました。他のプロトコルと同様に、その目的は新しいセッションキーを作成することであり、これは後で古典的な対称暗号化で使用できます。ただし、プロトコル機能は、量子物理学の特定の規定を使用して、取得したキーが攻撃者に傍受されないように保証することです。

次のセッションキー生成ラウンドの開始前に、プロトコルの参加者であるアリスとボブが以下を持っていると想定されます。

量子通信チャネル;
古典的な通信チャネル。

このプロトコルは、攻撃者がすべての通信チャネルの読み取りと書き込みの両方を一度に制御できるようになるまで、攻撃者がプロトコルに干渉できるようにします。

プロトコルは3つの部分で構成されます。

アリスからボブへの量子通信チャネルを介した光子の送受信。
ボブは使用済みアナライザーに関する情報を送信します。
選択したアナライザーと初期分極の一致に関する情報のアリスの転送。

光子生成

プロトコルの最初の部分では、実験物理学者の観点から、アリスは単一の光子を取り、4つの角度（0、45、90、または135）のいずれかで偏光します。次に、彼女はこれに基づいて2つの偏光方向のいずれかを選択しました。

0（ " $\右矢印$ "）または90（" $\上矢印$ »）第一に。
45（ " $\ nearrow$ "）または135（" $\ nwarrow$ »）2番目の基準。

量子物理学の観点から、2つの基本状態を持つシステムがあると仮定できます。

| 0 \ラ ン グ ル

$| 0 \ラングル$ そして

| 1 \ラ ン グ ル

$| 1 \ラングル$ 。システムの状態はいつでも次のように記述できます。

| p s i r a n g l e = c o s a l p h a | 0 r a n g l e + s i n b e t a | 1 r a n g l e

$| \ psi \ rangle = \ cos \ alpha | 0 \ rangle + \ sin \ beta | 1 \ rangle$ 。アリスが選択した4つの可能な初期状態は互いに非直交であるため（より正確には、すべてがペアワイズではない）、量子物理学の法則から2つの重要な点が続きます。

光子状態を複製できない;
非直交状態を互いに確実に区別できないこと。

情報理論の専門家の観点から、アリスはそれぞれ1ビットのエントロピーを持つ2つの独立したランダム変数X _AおよびAを使用して、通信チャネルに送信される新しいランダム変数Y _A = X _A + Aを取得すると仮定できます。

H（A）= 1ビット、偏光基底の選択（「+」または「×」）

H（X）= 1ビット、メッセージ自体、2つの偏光方向のうちいずれかを選択します。

H（Y _A ）= H（X）+ H（A）= 2ビット、送信されるメッセージ。

攻撃者の行動

実験物理学者として、イブはチャンネルの真ん中に立って、光子で何かをしようとすることができます。単に光子を破壊するか、代わりにランダムに送信しようとする場合があります。後者により、アリスとボブは共通のセッションキーを生成できなくなりますが、イブはこれから有用な情報を抽出しません。

Eveは、光子を偏光子の1つに通して、光子を検出器でキャッチしようとすることができます。光子が2つの直交状態しか持てないことをEvaが確実に知っていた場合（たとえば、垂直

\上 矢 印

$\上矢印$ 「または水平」

\右 矢 印

$\右矢印$ 「偏光」、その後、彼女は垂直偏光子を挿入することができます」

\上 矢 印

$\上矢印$ »また、検出器に信号が存在することにより、光子の偏光が垂直（1、信号あり）または水平（0、光子が偏光子を通過せず、信号がない）かどうかを判断します。 Eveの問題は、フォトンに2つの状態ではなく、4つの状態があることです。そして、1つの偏光子と単一の検出器の位置は、Eveが光子がこれら4つの状態のどれを受け取るかを正確に決定するのに役立ちます。しかし、光子を2つの検出器に通過させることはできません。第一に、光子が垂直偏光子を通過した場合、その初期偏光は何であれ（「

n w a r r o w

$\ nwarrow$ 「、」

\上 矢 印

$\上矢印$ 「、」

n e a r r o w

$\ nearrow$ 「）、偏光子の後に垂直になります」

\上 矢 印

$\上矢印$ 「（2番目のコンポーネントは「消去」です）。第二に、光子を電気信号に変換し、それによってそれを破壊する検出器は、それ以上の測定を複雑にします。

さらに、1つの光子に対して2つまたは4つの検出器では不十分です。非直交偏光を区別する "

\上 矢 印

$\上矢印$ 「そして」

n e a r r o w

$\ nearrow$ 「統計的にのみ可能です。それぞれが垂直になるためです」

\上 矢 印

$\上矢印$ 「そして、対角線」

n e a r r o w

$\ nearrow$ »偏光子、ただし確率は異なります（100％と50％）。

量子物理学の観点から、イブは光子の測定を試みることができ、光子の波動関数の崩壊 （またはフォンノイマン還元 ）につながります。つまり、測定演算子が光子波関数に作用した後、必然的に変化し、アリスとボブが検出できる通信チャネルに干渉が発生します。非直交状態を確実に区別できないため、Eveはオブジェクトの状態に関する完全な情報を受信できなくなり、クローニングの禁止により、Eveは重複したシステムで測定を繰り返すことができなくなります。

情報理論の観点から、光子の実際の透過状態を何らかのランダム変数Y _Aとして考えることができます_。 Evaは、Eのランダムな値（偏光子の直交方向のペア-「+」または「×」の選択）を使用して、Y _Aの測定結果としてY _Eの値を取得します_。この場合、与えられた初期状態ごとに、Evaは次の出力を受け取ります。

50％の確率での同様の状態（アリスが選択したものと一致する偏光子の直交方向のペアを選択する確率）;
それぞれ25％の確率で、元の状態に直交しない2つの内の1つ。

したがって、アリスによって送信された量Yに対するイブによって測定された量Yの条件付きエントロピーは、次の値に等しくなります。

H \左 （ Y_{E} | Y_{A} \右 ） = - f r a c 12 l o g_{2} f r a c 12 - f r a c 14 l o g_{2} f r a c 14 - f r a c 14 l o g_{2} f r a c 14 = 1.5 t e x t b i t

$H \左（Y_E | Y_A \右）=-\ frac {1} {2} \ log_2 \ frac {1} {2}-\ frac {1} {4} \ log_2 \ frac {1} {4} -\ frac {1} {4} \ log_2 \ frac {1} {4} = 1.5 ~~ \ text {bit}$

そして、これらの値の間の相互情報は次と等しくなります：

I \左 （ Y_{E}; Y_{A} \右 ） = H \左 （ Y_{E} \右 ） - H （ Y_{E} | Y_{A} ） = 0.5 t e x t b i t 。

$I \左（Y_E; Y_A \右）= H \左（Y_E \右）-H（Y_E | Y_A）= 0.5 ~~ \ text {bit}。$

これは、チャネルを介して送信されるランダム変数Yのエントロピーの25％です。

イブがY _Eから回復しようとしているX _Eの値を考えると、情報理論の観点からすると状況はさらに悪化します。

50％の確率で偏光子の直交する方向の推測されたペアでは、半分のケースで初期値を取得します。
ペアが予測されない場合、別の4分の1の場合、初期値も取得します（「間違った」偏光子を光子がランダムに通過するため）。

元のX _Aに対する復元されたEveシーケンスX _Eの条件付きエントロピーは次のとおりであることが_わかります。

H \左 （ X_{E} | X_{A} \右 ） = - f r a c 34 l o g f r a c 34 - f r a c 14 l o g f r a c 14 \approx 0 、 81 t e x t b i t 。

$H \左（X_E | X_A \右）=-\ frac {3} {4} log \ frac {3} {4}-\ frac {1} {4} log \ frac {1} {4}≈0 、81 ~~ \ text {bit}。$

そして相互情報

I \左 （ X_{E}; X_{A} \右 ） = H \左 （ X_{E} \右 ） - H \左 （ X_{E} | X_{A} \右 ） \約 0.19 t e x t b i t 。

$I \左（X_E; X_A \右）= H \左（X_E \右）-H \左（X_E | X_A \右）\約0.19 ~~ \ text {bit}。$

これは、元のランダム変数X _Aのエントロピーの≈19％です_。

Eveのさらなるアクションの最適なアルゴリズムは、受信した偏光でボブに光子を送信することです（受信したランダム値Y _Eをさらにチャネルに送信します）。つまり、Evaが垂直偏光子を使用した場合、

\上 矢 印

$\上矢印$ 「そして、検出器は光子の存在を検出し、次に光子を垂直偏光で送信します」

\上 矢 印

$\上矢印$ 「さらにランダム性を追加して送信しようとしないでください」

n w a r r o w

$\ nwarrow$ 「または」

n e a r r o w

$\ nearrow$ 「。

法的受信者のアクション

イブの行動に似ているボブ（イブはボブを真似ようとしている可能性が高い）、偏光方向の直交ペア（「+」または「×」）をランダムに選択し、光子の経路に偏光子を置く（「

\上 矢 印

$\上矢印$ 「または」

n w a r r o w

$\ nwarrow$ "）そして検出器。検出器での信号の場合、ゼロがない場合、単一性を記録します。

Eveと同様に、ボブは新しいランダム変数Bを導入し（ボブによる偏光基底の選択を反映）、測定の結果として新しいランダム変数XBを受け取ると言えます。さらに、ボブは、アリスが送信した元の信号Y _Aを使用したのか、イブが送信した偽の信号Y _Eを使用したのかはまだわかりません。

X _B1 = f（Y _A 、B）;
X _B2 = f（Y _E 、B）。

次に、ボブは、公開されている公開されている古典的な通信チャネルを介して、どの特定の偏波ベースが使用されたかを通知し、アリスは、最初に選択されたものと一致したものを示します。同時に、測定値自体（光子が偏光子を通過したかどうか）ボブは秘密を残します。

アリスとボブは、それらによって生成されたランダム変数AとBの値を公開していると言えますが、約半分のケースで、これらの値は一致します（アリスが偏光基底の正しい選択を確認したとき）。 AとBの値が一致する光子の場合、X _AとX _B1の値も一致します。それは

H（X _B1 | X _A ; A = B）= 0ビット
I（X _B1 ; X _A | A = B）= 1ビット

ボブが誤った偏光基底を選択したフォトンの場合、X _B1とX _Aの値は独立したランダム変数になります（たとえば、フォトンの最初の斜めの偏光では、50％の確率で垂直スロットと水平スロットの両方を通過します）：

H（X _B1 | X _A ; A≠B）= 1ビット
I（X _B1 ; X _A | A≠B）= 0ビット

イブがアリスとボブの間で情報を転送するプロセスに介入し、すでにボブに彼女の光子を送信しているが、アリスとボブが従来の通信チャネルを介して交換する情報を変更する機能がない場合を考えます。前と同様に、ボブはアリスに選択された偏光ベース（B値）を送信し、アリスはそれらのどれが彼女のAと一致したかを示します。

しかし、今では、ボブがX _B2の正しい値（X _B2 = X _A ）を取得するために、各光子について以下のすべての条件が満たされる必要があります。

EveはAliceの偏光基底を推測する必要があります（E = A）
ボブはイブの分極基底を推測する必要があります（B = E）

一般性を失うことなく、アリスが対角偏光「×」を使用した場合のオプションを検討してください。

アリスが使用する偏光原理	Eveが使用する偏光基底	ボブが使用する偏光基底	結果
「×」	「×」	「×」	エラーなしで受け入れられた
「×」	「×」	「+」	受け入れられない
「×」	「+」	「×」	エラーありで受け入れられた
「×」	「+」	「+」	受け入れられない

この場合、ボブとアリスは、最初と3番目のケース（視点からは同じ）で、ボブが光子の偏光を正しく復元したことを確認します。これらの線はすべて同じ確率であるため、ボブとアリスに「推測された」基底を持つ光子だけを選択した後（確かに）、偏光の半分（X _AおよびX _B2値）のみが一致することがわかります。この場合、イブはこれらの値を知っています。 Eveが認識している「共通」シーケンスのビット数とそのエラーの割合は、Eveによってインターセプトされたビット数に直線的に依存しています。

イブの有無に関係なく、アリスとボブは事前に合意したエラー修正手順を使用せざるを得ません。使用されるエラー訂正コードは、一方で、量子チャネルの物理的特徴によって引き起こされるエラーを訂正する必要があります。しかし、一方で、コードが多くのエラーを修正すると、Eveの潜在的な事実が隠されます。エラーを安全に（イブに情報を開示する危険なしに）7.5％（Myers、2001）から11％のエラー（Watanabe、Matsumoto、Uyematsu、2005）に修正できるエラーを修正する方法があることが証明されています。

また興味深いのは、Evaが光だけでなく従来の通信チャネルを介して送信される情報を変更できるオプションです。この場合、Eveがメッセージを偽装できるのはどちらの側（誰に代わって）かによります。最も否定的なシナリオでは、イブがアリスとボブの両方になりすますことができる場合、本格的な「中間者」攻撃が発生します。これを使用しないと、何らかの方法で防御することはできません。追加の安全な通信チャネル、または事前に送信された情報に基づいていない。ただし、これは完全に異なるプロトコルになります。

要約すると、量子鍵配布プロトコル（つまり、これまでのところ知られている「量子暗号」全体はそれらに限定されています）には、特定の機能とその使用を困難にする致命的な欠陥の両方があります（そして、このニーズに疑問を投げかけています）

すべての量子プロトコル（および一般的な量子コンピューティング）には、市販のデバイスや通常の携帯電話の一部にはまだできないオリジナルの高価な機器が必要です。
量子通信チャネルは常に物理的な通信チャネルです。最大チャネル長と一定レベルのエラーがあります。量子チャネル（現在まで）については、無条件での量子データ伝送の長さを延長できる「リピータ」は発明されていません。
（今日の）単一の量子プロトコルは、追加の古典的な通信チャネルなしではできません。このような接続には、たとえば、公開鍵で暗号化を使用する場合と少なくとも同じレベルの保護が必要です。
すべてのプロトコルについて、特別な問題は、正当性の証明（「誠実な」干渉の場合には非常に重要なことです）だけでなく、プロトコルをハードウェアに実装するエンジニアリングタスクです。たとえば、簡単な説明として、 正確に1つのフォトンを作成する簡単な方法はありません。光子の生成不足は明らかに伝送エラーにつながり、同じタイムスロットでの二重の生成は、チャネルに干渉を生じさせることなく、攻撃者に傍受される可能性をもたらします。

量子鍵配布プロトコルBB84

光子生成

攻撃者の行動

法的受信者のアクション

More articles: