Протокол квантового шифрования T-12

Протокол квантового шифрования Т-12 - один из протоколов квантовой криптографии, который устраняет идеализации протокола QKD, и включает в себя все функции, которые могут повысить практичность протокола QKD. Среди них эффективный выбор базиса и интенсивности света, плюс другие особенности, которые будут следовать из доказательства безопасности протокола. В свою очередь, анализ безопасности облегчается определением протокола, потому что все шаги, ведущие к окончательной степени безопасности ключа, воссоединяются под уникальным описанием.

Общие сведения о протоколе править

Предполагается, что передатчик (Алиса) имеет случайный по фазе источник когерентных состояний. Это делает источник статистически равным пуассоновскому распределению числовых состояний, так что, когда среднее число фотонов или просто интенсивность от источника света равно μ, вероятность посылки импульса k-фотона является пуассоновской: ${\frac {e^{-\mu }\mu ^{k}}{k!}}$ . Импульсы света модулируются как по интенсивности, так и по другой степени свободы, которая используется для кодирования квантовой информации. Это может быть, например, поляризация или относительная фаза асимметричного интерферометра Маха-Цендера. Для интенсивности Алиса случайным образом выбирает среди трех возможных значений, которые мы обозначаем через u (сигнал), v (decoy1) и w (decoy2). Удобно ввести специальную метку интенсивности $\mu _{j}$ с j = {0,1,2}, чтобы $\mu _{0}$ = u, $\mu _{1}$ = v и $\mu _{2}$ = w. Тогда символ μ указывает общее значение интенсивности, в то время как символ $\mu _{j}$ представляет собой индекс интенсивности, принимающий три конкретных значения интенсивности u, v и w. Значения $\mu _{j}$ выбираются с вероятностями $p_{\mu _{j}}$ = ( $p_{u}$ , $p_{v}$ , $p_{w}$ ), и обычно $p_{u}\gg p_{v}>p_{w}$ .

Для кодирования Алиса случайным образом выбирает одно из четырех возможных состояний, как в стандартном протоколе BB84 , обозначенных как $|0_{z}\rangle$ и $|1_{z}\rangle$ (Z базис)

и ${\displaystyle |0_{x}\rangle }={\frac {{\displaystyle |0_{z}\rangle }+{\displaystyle |1_{z}\rangle }}{\sqrt {2}}}$ и ${\displaystyle |1_{x}\rangle }={\frac {{\displaystyle |0_{z}\rangle }-{\displaystyle |1_{z}\rangle }}{\sqrt {2}}}$ (X базис). Базисы Z и X выбираются с вероятностями $p_{z}\geq {\frac {1}{2}}$ , $p_{x}=1-p_{z}$ . В соответствии с этим соглашением Z является более предпочтительным базисом, а X - менее предпочтительным. Когда $p_{z}>p_{x}$ , происходит увеличение эффективности по сравнению со стандартным протоколом BB84, в котором $p_{z}=p_{x}$ .

Интенсивность и состояния выбираются Алисой независимо , так что можно связать любое состояние с любой другой интенсивностью. Это обеспечивает более простую реализацию и предотвращает случайные корреляции между интенсивностью и кодированием информации. Кроме того, возможно

выделить ключевые биты от обоих базисов и получить стандартный результат BB84 как частный случай, когда $p_{z}=p_{x}$ . Такая адаптивность полезна на практике, так как оптимальное соотношение между базисами может зависеть от характеристик квантового канала.

В одном сеансе ключа N импульсов отправляется передатчиком(Алисой) на приемник (Боб). Из-за потерь в канале и детекторе Боб регистрирует только непустые значения $C<N$ в каждом сеансе. Из этих подсчетов пользователи получают окончательный ключ с помощью ряда классических процедур, которые требуют связи по общедоступному каналу. Они включают просеивание, чтобы выбрать непустые числа с соответствующими базисами; коррекция ошибок (EC), для определения количества ошибок при передаче (E) в непустых счетах и исправление их; усиление конфиденциальности (PA), чтобы удалить для потенциального подслушивающего устройства (Евы) информацию, которая, возможно, просочилась к ней; проверка подлинности и проверка, чтобы предотвратить атаки «человек посередине» и гарантировать, что строки пользователей совпадают с вероятностью, произвольно близкой к 1.

Всю эту информацию можно использовать для разделения чисел N, C и E на более мелкие группы в соответствии с пользовательским выбором базиса и интенсивности для каждого импульса, таким образом реализуя расширенный анализ данных, необходимый для протокола T12. Если базы не совпадают, данные отбрасываются с помощью процедуры просеивания. Из результатов с совпадающими базисами могут быть получены величины, обобщенные в Таблице 1.

Таблица 1. Величины для расширенного анализа данных протокола T-12
$N_{\mu _{j}ZZ}$ , $N_{\mu _{j}XX}$	Количество импульсов с интенсивностью $\mu _{j}$ и базисами Z,X
$C_{\mu _{j}ZZ}$ , $C_{\mu _{j}XX}$	Количество импульсов с непустыми значениями с интенсивностью $\mu _{j}$ и базисами Z,X
$E_{\mu _{j}ZZ}$ , $E_{\mu _{j}XX}$	Количество ошибок в импульсах с непустыми значениями, с интенсивностью $\mu _{j}$ и базисами Z,X

Количество импульсов N удовлетворяет следующим соотношениям:

$N=\textstyle \sum _{j=(0,1,2)}\displaystyle N_{\mu _{j}}$

$N_{\mu _{j}}=N_{\mu _{j}ZZ}+N_{\mu _{j}ZX}+N_{\mu _{j}XZ}+N_{\mu _{j}XX}$

Аналогичные соотношения имеют место для C и E. Эти величины и знание $\mu _{j}$ используются для оценки безопасности протокола в сценарии конечного размера. Конечная степень защищенности протокола задается суммой двух степеней защищенности ключей, извлеченных из сигнальных импульсов отдельно в двух базисах.

Описание работы протокола править

N импульсов протокола T12 подготавливаются Алисой с использованием ослабленного лазера, который излучает серию слабых когерентных состояний со случайными фазами. Она также варьирует интенсивность лазера, чтобы реализовать технику состояния приманки. Было показано, что этот источник статистически эквивалентен подготовке N запутанных состояний $\rho _{{A^{N}}B^{N}}$ с последующим измерением Алисой подпространства A. Такое измерение может быть выполнено в любое время, поэтому его можно отложить в самом конце протокола без потери общности, оставляя таким образом запутанное состояние, совместно используемое пользователями.

Одно запутанное состояние $\rho _{AB}$ , вносящее вклад в $\rho _{{A^{N}}B^{N}}$ , можно записать в виде:

$\rho _{AB}=|\Phi _{D}^{(k)}\rangle _{AB}\langle \Phi _{D}^{(k)}|$ , где D = {Z,X} - базисный индекс, k - количество фотонов в световом импульсе, и $|\Phi _{D}^{(k)}\rangle _{AB}={\frac {|0_{D}\rangle _{A}|0_{D}^{(k)}\rangle _{B}+|1_{D}\rangle _{A}|1_{D}^{(k)}\rangle _{B}}{\sqrt {2}}}$

Состояния $|0_{D}\rangle$ и $|1_{D}\rangle$ были определены в предыдущем параграфе, а состояния $|0_{D}^{(k)}\rangle$ и $|1_{D}^{(k)}\rangle$ - являются состояниями k-фотонов в базисе D со значениями битов 0 и 1 соответственно.

В качестве второго шага мы предполагаем, что детекторы Боба являются пороговыми детекторами с одинаковой эффективностью. Когда ни один детектор не щелкает, Боб регистрирует пустой счет, тогда как все остальные случаи являются непустыми счетами. Кроме того, результаты измерений Боба не являются неоднозначными, если мы назначим ортогональные результаты для двух детекторов и двойные счета для одного из двух детекторов, выбранных случайным образом.

После того, как N сигналов были распределены, Боб обнаружил С непустых значений. Используя открытый (аутентифицированный) канал, пользователи запускают процедуру просеивания, в которой они отбрасывают данные, соответствующие пустым счетчикам и несовпадающим базисам, и остаются с парой необработанных ключей. Выполняя процедуру PE, они могут вычислять из своих данных статистику $\lambda _{(a,b)}$ , то есть частоты обнаруженных символов и ошибок в обнаруженных символах. Это позволит им вывести максимальную информацию, полученную Евой во время ключевой сессии. После этого EC и PA завершат процедуру дистилляции ключа и предоставят им окончательный ключ.

Степень защищенности ключа править

В предположении коллективных атак, степень защищенности на обнаруженный кубит $r={\frac {L}{n}}$ для любого протокола, который соответствует описанию, приведенному выше. Это позволяет нам использовать этот метод для оценки степени безопасности ключа протокола T12 в случае конечного размера. В определении r символ L - это количество защищенных битов после PA, а n - это число необработанных битов ключа перед EC, которые будут вносить вклад в окончательный ключ.

В протоколе T12 это $n=C_{uZZ}$ или $n=C_{uXX}$ в зависимости от того, извлечены ли защищенные биты из базиса Z или из базиса X соответственно. Далее для простоты мы предполагаем, что защищенные биты получены из Z-базиса. Поэтому мы опускаем основную метку. Тем не менее, все результаты верны и для X-базиса, и окончательная степень дается суммой двух степеней из двух отдельных базисов.

Мы можем записать степень защищенности на обнаруженный кубит следующим образом:

$r=H_{\xi _{PE}}(A|E)-{\frac {leak_{EC}+\Delta }{n}}$ (1), где

$H_{\xi _{AB}}=\min _{\sigma _{AE}\in \Gamma _{\xi _{PE}}}H(A|E)$ (2)

$\Delta =7{\sqrt {n\log _{2}({\frac {2}{\xi _{s}-\xi _{PE}}})}}+2\log _{2}[{\frac {1}{2(\xi -\xi _{s}-\xi _{EC})}}]$ (3)

Термин $leak_{EC}$ учитывает количество битов, публично переданных во время EC. Это классическая величина и может быть измерена непосредственно в эксперименте. Распространенным способом оценки этого является использование выражения утечки $leak_{EC}=nf_{EC}h(Q_{Z})$ , где h (.) - двоичная энтропия, а $Q_{Z}$ - частота ошибок по битам, измеренная в базисе Z. Параметр $f_{EC}\geq 1$ учитывает эффективность EC. В формуле (2) условная энтропия фон Неймана $H(A|E)$ представляет неуверенность Евы в отношении строки Алисы. Она должна быть минимизирована по всем возможным совместным состояниям Алисы-Евы $\sigma _{AE}$ , которые содержатся в множестве $\Gamma _{\xi _{PE}}$ , указанном позже вместе с другими величинами, фигурирующими в уравнении (3).

См.также править

Литература править

Научные статьи править

[1] (недоступная ссылка) Efficient decoy-state quantum key distribution with quantified security.
[2] BB84