Квантовые компьютеры еще только осваивают простейшие логические операции, квантовые каналы связи находятся в "младенческом возрасте", а некоторые ученые уже задумываются о том, возможен ли эффективный информационный перехват в эпоху господства квантовых технологий. Один из них - Ян-Эке Ларссон (Jan-Еke Larsson) из Аархусского университета, статья которого "Практический троянский конь для квантовой криптографии, основанной на неравенствах Белла", возможно, заставит посмотреть на проблемы коммуникационной безопасности несколько более трезвым взглядом.
Квантовая криптография или, более точно, квантовое распределение ключа (КРК) - одно из наиболее активно развиваемых в настоящее время направлений квантовой информатики. Тому есть две главные причины. Во-первых, многие разработки уже переводятся в разряд практически значимых технологий. Во-вторых, об информационной безопасности тут, как полагают, заботиться будет сама природа. И если второе у Ларссона возражений не вызывает (против природы не пойдешь), то первое, в частности, появление первых коммерческих КРК-систем в прошлом году, заставило его высказать ряд критических соображений.
Он обсуждает достаточно реалистичную ситуацию, когда Элис и Боб покупают коммерческую КРК-систему, которая и рекламируется, и ведет себя как настоящая квантовая система, но в действительности является (полу-) классической системой распределения ключа. В таком случае, по мнению Ларссона, о безопасной коммуникации не может быть и речи.
В качестве примера Ларссон рассматривает популярный криптографический протокол ВВ84, предложенный в 1984 г. Ч. Беннеттом и Дж. Брассардом, в котором секретность основана на передаче ключа от Элис к Бобу по квантовому каналу, так что любые попытки перехвата тут же приводят к паразитному, легко детектируемому зашумлению. Безопасность гарантируется квантово-механическими свойствами фотона. "Перехватчица" (обычно обозначаемая именем Ив) не может воспользоваться делителем пучка (так называемая "атака делителем пучка", "Beamsplitter attack"), так как это не останется незамеченным Бобом. Не может она и скопировать себе состояние поляризации фотона в силу запрещающей клонирование теоремы, а также измерить поляризацию и Бобу передать другой фотон ("атака перехвата и пересылки", "Intercept-resend attack"), так как будет нарастать доля ошибок в получаемых Бобом данных. Это может быть обнаружено ценой потери части ключа. Но если окажется, что ключ не сильно зашумлен, то Элис и Боб могут воспользоваться классическим каналом для восполнения ключа. В противном случае от него придется отказаться.
Если канал действительно квантовый, то безопасность гарантирована. Но предположим, что КРК-устройство таково, что для передачи каждого бита ключа используется несколько фотонов, тогда Ив могла бы успешно его перехватывать с помощью "атаки делителем пучка". Ларссон отмечает, что многие практически используемые КРК-устройства вовсе не однофотонные, а просто используют слабые лазерные импульсы - такие, чтобы, в среднем, на каждый импульс приходился примерно один фотон, а безопасность таких устройств очень ограничена.
Несколько иначе выглядит ситуация при использовании другого квантового криптографического протокола - протокола Экерта, основанного на квантово-механических свойствах запутанных (entangled) фотонных пар. В этом протоколе используются избыточные биты, чьи корреляции нарушают неравенства Белла. Квантовый канал имеет двунаправленный источник, который посылает один фотон Элис и один - Бобу. Эти фотоны образуют так называемую ЭПР-пару (от фамилий Эйнштейна, Подольского и Розена, впервые предложивших схему эксперимента) фотонов в запутанном состоянии. Приемники Элис и Боба имеют четыре установки, и Элис и Боб настраивают свои приемники случайным независимым образом. Затем они связываются по классическому каналу и определяют, для каких битов установки совпадали. Эти биты и дают криптографический ключ. Поскольку ЭПР-пары нарушают неравенства Белла, то присутствие перехватчицы может быть определено посредством проверки такого нарушения. Так что нарушение неравенств Белла гарантирует, что действительно используется квантовый канал и нет никакого заранее приготовленного ключа, который можно было бы перехватить.
Однако Ларссон отмечает, что это не совсем так. Могут быть ситуации, когда имеется заранее приготовленный ключ, и локальные установки выбираются случайным образом, а неравенства Белла, тем не менее, нарушаются. Они связаны с так называемыми "прорехами" (loophole) в детектировании. Если производители оборудования предложат на рынке устройства, которые в действительности эксплуатируют (полу-)классический канал, который лишь имитирует квантовый, то полученная в результате измерений статистика будет очень похожа на квантовую корреляцию, неравенства Белла будут нарушаться, но протокол Экерта не будет обеспечивать действительно безопасного ключа. Перехватчице Ив в этом случае не нужен доступ к квантовому каналу, так как знание переводных таблиц и перехват открытой связи между Элис и Бобом - вот все, что понадобится Ив для получения ключа.
Ларссон обращает внимание, что продаваемые устройства могут демонстрироваться перед продажей в "квантовом режиме", а после продажи при эксплуатации автоматически переключаться в "режим троянского коня", причем совершенно незаметно для пользователя. Такое переключение может быть в нужный момент инициировано и самой перехватчицей Ив. Большинство пользователей, в принципе, не смогут определить, является ли купленный прибор "троянским" или нет, так как это может потребовать и специальных знаний, и специального оборудования. Ларссон считает, что секретное оборудование надежнее делать самому. Ну а если покупать, то только у производителей, к которым имеется безусловное доверие, даже если неравенства Белла нарушаются у вас на глазах.
Сергей САНЬКО,
q-n-q@kv.by
Оригинал статьи можно найти по адресу: arxiv.org/pdf/quant-ph/0111073.
Горячие темы