Современные
информационные технологии/ 4. Информационная безопасность
Василиу Е.В., Мамедов Р.С.
Одесская национальная академия связи им. А.С. Попова
АНАЛИЗ СТОЙКОСТИ К
НЕКОГЕРЕНТНЫМ АТАКАМ КВАНТОВЫХ ПРОТОКОЛОВ РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ ТИПА
"ПРИГОТОВЛЕНИЕ – ИЗМЕРЕНИЕ" С КУДИТАМИ
Одной
из важнейших задач криптографии с секретным ключом является распределения ключа
между пользователями канала связи (Алисой и Бобом). В настоящее время для этой
цели широко используют схемы с открытым ключом, например, схему цифрового
конверта или алгоритм Диффи – Хеллмана, обладающие только вычислительной
стойкостью, т.е. использующие ограниченность вычислительных мощностей
злоумышленника (Евы). Альтернативой таким
схемам распределения ключей на основе ассиметричной криптографии являются
системы квантового распределения ключей, стойкость которых основана на законах
квантовой физики и при определенных условиях является теоретико –
информационной [1].
Для достижения теоретико – информационной стойкости квантовых
протоколов распределения ключей (КПРК) необходимы оценки количества информации,
которая могла попасть к Еве при реализации протокола. В качестве приближенной
оценки такой утечки, как правило, рассматривают только информацию, попадающую к
Еве при выполнении самого протокола квантовой передачи. Соответствующая
количественная характеристика – это шенноновская взаимная информация между
Алисой и Евой 
, являющаяся функцией уровня ошибок D, вносимых
подслушиванием Евы.
Другой главной характеристикой КПРК является
эффективность, т.е. отношение количества использованной для генерации
секретного ключа информации к количеству информации, переданной по квантовому
каналу связи. Одним из путей увеличения эффективности является использование
для передачи вместо двухуровневых квантовых систем (кубитов) многоуровневых
систем, называемых кудитами. Каждый кудит позволяет передать 
бит классической
информации, где d – размерность гильбертова пространства кудита. Очевидно, что
эффективность протокола возрастает с ростом d, однако использование для передачи квантовых
систем большой размерности пока невозможно в связи со сложностью создания
необходимой аппаратуры.
Эффективность протокола зависит не только от размерности кудита, но
также и от схемы самого протокола. В дальнейшем будем рассматривать
эффективность протокола в идеальных условиях, т.е. пренебрегать влиянием на нее
потерь в квантовом канале, ошибок, создаваемых подслушиванием, и уменьшением
длины полученного ключа после усиления секретности, поскольку все эти факторы
зависят от конкретных условий реализации протокола, а не от его схемы.
Эффективность будем определять в битах на один переданный кудит.
Предложенные к настоящему времени КПРК (с
конечномерными квантовыми системами) делятся на два класса: первый основан на
передаче одиночных квантовых состояний, относящихся к неортогональным базисам
(этот класс протоколов называют "приготовление – измерение"), а
второй – на распределении перепутанных квантовых состояний между пользователями.
В настоящей работе рассматриваются только протоколы типа "приготовление –
измерение", включение в анализ протоколов с перепутанными кудитами будет
выполнено в другой работе.
Стойкость протоколов с кудитами
типа "приготовление – измерение" к некоторым видам атак исследована к
настоящему времени. Так, в частности, получены зависимости 
для атаки
"перехват – повторная отправка" кудита [2] и для оптимальной полупрозрачной
некогерентной атаки [3,4]. Однако систематического сравнительного исследования всей
совокупности протоколов типа "приготовление – измерение" с целью определения оптимального
протокола (или класса протоколов) одновременно по критериям стойкости и
эффективности не проводилось. Такое исследование выполнено в настоящей работе.
Взаимная информация
между Алисой и Бобом как функция уровня ошибок D у них для
протоколов с кудитами определяется выражением [2,3]:
, (1)
где,
как и в последующих формулах для взаимной информации, единицей информации
выбран бит.
Рассмотрим сначала простейшую атаку "перехвата – повторной отправки" (intercept – resend) кудита, в дальнейшем будем
обозначать эту атаку, как IR-атаку.
В протоколах
типа "приготовление –
измерение" для обеспечения секретности
необходимо использовать как минимум два взаимно несмещенных базиса, как в
протоколе BB84 [1]. Известно, что если
d является степенью простого числа, то в d-мерном
гильбертовом пространстве существует точно d+1 взаимно несмещенных базисов. Таким образом,
максимальное количество базисов, которые могут использовать легитимные
пользователи, равно d+1.
IR-атака на
протоколы типа "приготовление
– измерение" с кудитами была
рассмотрена в [2] как для случая использования двух, так и для случая
использования d+1 взаимно несмещенных базисов. Получены выражения для взаимной информации между Алисой и Евой для
этих случаев:
, (2)
. (3)
Некогерентная полупрозрачная атака с использованием квантовых проб рассмотрена
в [3] для случая, когда легитимные пользователи используют d+1 базис.
Выражение для взаимной информации между Алисой и Евой имеет вид:
, (4)
где
. (5)
Аналогичная
некогерентная атака при использовании легитимными пользователями двух базисов
рассмотрена в [4]. Выражение для взаимной информации между Алисой и Евой имеет вид:
, (6)
где
. (7)
На рис. 1 проведено сравнение мощности IR-атаки и
некогерентной полупрозрачной атаки для d = 4 и d = 32. Видно, что для IR-атаки 
лежит гораздо ниже 
, как и должно быть: так, например, при d=32 в первом случае Ева угадывает один из 33
базисов, а во втором – только один из двух.
а б
Рис. 1. Взаимная
информация для IR-атаки и некогерентной полупрозрачной атаки:
а) d = 4; б) d = 32. 1 – 
; 2 – 
; 3 – 
; 4 – 
; 5 – 
.
Что касается мощности полупрозрачной атаки, то из
рис. 1а видно, что при d=4 эта атака мощнее IR-атаки во всем диапазоне уровня ошибок D как при
использовании d+1 базисов, так и при использовании двух (как и при
d=2, см. рис. 1 в [5]). Однако при d=32 (см. рис.
1б) картина становится иной – полупрозрачная атака (и при использовании d+1, и при
использовании двух базисов) несколько слабее IR-атаки при использовании двух базисов. Отметим, что такой переход
происходит приблизительно при d=16 и такая картина наблюдается и для
бóльших d.
Сравним теперь
мощность полупрозрачной атаки для различных d при
использовании легитимными пользователями двух и d+1 базисов.
На рис. 2а представлены зависимости 
(1), 
(4) и 
(6) для небольших d. Видно, что при
небольшой размерности d кудитов и при всех значениях D кривые
для протоколов с d+1 базисами (кривые 4, 5, 6) лежат ниже
соответствующих кривых для протоколов с двумя базисами (кривые 7, 8, 9
соответственно). Это означает, что использование в протоколе всех возможных d+1 взаимно
несмещенных базисов обеспечивает несколько большую стойкость протокола к
полупрозрачной атаке, чем использование только двух базисов. Однако, как и для
протоколов с кубитами (d=2) [5], разница в информации, которую может получить
Ева при использовании d+1 и двух базисов, невелика и составляет максимум
несколько процентов (при фиксированном D).
а б
Рис. 2.
Взаимная информация для полупрозрачной
некогерентной атаки:
1,
2, 3 – 
(1) для d = 2, 4, 8 (а)
и d = 16, 32, 64 (б) соответственно;
4,
5, 6 – 
(4) для d = 2, 4, 8 (а)
и d = 16, 32, 64 (б) соответственно;
7,
8, 9 – 
(6) для d = 2, 4, 8 (а)
и d = 16, 32, 64 (б) соответственно.
На рис. 2б показаны те же зависимости для d=16,32,64.
Видно, что при d=16 (кривые
4 и 7) полупрозрачная атака дает Еве практически одинаковую информацию
независимо от того, два или d+1 базисов используют Алиса и Боб, вплоть до 
и только при
бóльших D кривые взаимной информации немного
расходятся. При d=32 Ева получит уже несколько больше информации в
широком диапазоне уровня ошибок D, если Алиса и Боб используют два базиса (кривые 5 и 8), а при d=64 Ева
получает больше информации при использовании двух базисов уже при всех D (кривые 6 и
9).
Таким образом, наш анализ показывает, что стойкость протоколов типа
"приготовление – измерение" с кудитами к IR-атаке
и к полупрозрачной некогерентной атаке зависит как от размерности используемых
легитимными пользователями кудитов, так и от количества используемых ими
взаимно несмещенных базисов. При небольшой размерности кудитов (до 
) полупрозрачная атака мощнее IR-атаки,
причем наибольшая разница в мощности этих атак наблюдается для кубитов (d=2). С ростом d разница в мощности
этих двух атак постепенно уменьшается (только при использовании легитимными
пользователями двух базисов) и практически исчезает при d=16. При большей
размерности кудитов (
) и использовании легитимными пользователями двух
базисов IR-атака становится мощнее полупрозрачной
атаки, причем с ростом d разница в мощности этих атак медленно увеличивается. Интересно
отметить, что кривые взаимной информации Алисы и Евы при IR-атаке
и использовании двух базисов 
и при полупрозрачной
атаке и использовании d+1 базисов 
практически полностью
совпадают для всех 
(для d=32 см. кривые 2 и 5 на рис. 1б). Мы полагаем,
что такое совпадение является случайным. Наконец отметим, что самой слабой
является IR-атака при использовании Алисой и
Бобом d+1 базисов, причем мощность этой
атаки быстро убывает с ростом размерности d используемых квантовых систем. Однако при использовании d+1 базисов так же быстро убывает
и эффективность квантового протокола распределения ключа.
В случае использования
легитимными пользователями двух базисов эффективность протокола равна 
бит/кудит и
логарифмически растет с ростом d, а в случае использования d+1 базисов – равна 
бит/кудит и
быстро убывает с ростом d, начиная с d=5. Поскольку, как показывает наш анализ, при заданном
d
стойкость протокола к полупрозрачной некогерентной атаке при использовании d+1 базисов практически
такая же, как и при использовании двух базисов, и при этом практически такая
же, как и стойкость к IR-атаке при
использовании двух базисов, то окончательный вывод следующий: самым оптимальным
из протоколов с кудитами типа "приготовление –
измерение" является протокол с квантовой системой наибольшей доступной (с
экспериментальной точки зрения) размерности d и использованием двух взаимно несмещенных базисов.
Литература:
1.
Gisin N. Quantum
cryptography / N. Gisin, G. Ribordy, W. Tittel, H. Zbinden // Reviews of Modern
Physics. – 2002. – V. 74, №1. – P. 145 – 195.
2.
Bourennane M. Quantum key
distribution using multilevel encoding / M. Bourennane, A. Karlsson, G. Bjork
// Quantum Communication, Computing, and Measurement 3. – N.Y.:
Springer US, 2002. – P. 295 – 298.
3.
Bruß D. Optimal eavesdropping in cryptography with three-dimensional
quantum states / D. Bruß, C. Macchiavello // Physical Review
Letters. –
2002. – V. 88, №12. – Art. 127901.
4.
Cerf N.J. Security of
quantum key distribution using d-level systems / N.J. Cerf, M. Bourennane, A.
Karlsson, N. Gisin // Physical Review Letters. – 2002. – V. 88, №12. – Art. 127902.
5.
Василиу Е.В. Стойкость квантовых протоколов распределения ключей типа "приготовление – измерение" // Georgian
Electronic Scientific Journal: Computer Science and Telecommunications. – 2007. – № 2(13). – С. 50 – 62.– http://gesj.internet-academy.org.ge/gesj_articles/1306.pdf