SARG04

SARG04 — протокол квантового распределения ключей, полученный усовершенствованием протокола BB84. Известен своей устойчивостью к атаке с разделением по числу фотонов.

История

В 2004 году группа криптографов (Acin A., Gisin N., Scarani V.) опубликовала в Physical Review Letters свою работу по исследованию протоколов на устойчивость к PNS-атакам (англ. Photon Number Splitting attack), где была показана уязвимость протокола 4+2 (комбинация BB84 и B92) ^[1], который являлся первой попыткой противостоять PNS-атаке ^[2]. Вместе с тем они предложили решение этой проблемы, а именно была придумана конфигурация векторов, не позволяющая провести измерение, которое бы ортогонализовало состояния в каждой паре базисов (с ненулевой вероятностью).

Описание

Невозможность измерения

Измерение, названное фильтрацией (англ. filtering), может стать невозможным, если пары векторов из разных базисов не будут связаны никаким унитарным преобразованием. Рассмотрим две пары базисов^[3]: $a:\{|0_{a}\rangle ,|1_{a}\rangle \},\ b:\{|0_{b}\rangle ,|1_{b}\rangle \}$ , они связаны унитарным преобразованием $U:{\begin{cases}|0_{b}\rangle =u_{11}|0_{a}\rangle +u_{12}|1_{a}\rangle ,\\|1_{b}\rangle =u_{21}|0_{a}\rangle +u_{22}|1_{a}\rangle .\end{cases}}$

Злоумышленник по имени Ева пытается провести фильтрацию, проецируя исходные состояния из базиса $a$ на ортогональное состояние $\{|0'_{a}\rangle ,|1'_{a}\rangle \}$ , то есть

$M|i_{a}\rangle ={\frac {1}{\sqrt {p_{a}}}}|i'_{a}\rangle ,\quad i=0,1$ ,

а в силу линейности отображения векторов из базиса $b:$

$M|0_{a}\rangle =M(u_{11}|0_{a}\rangle +u_{12}|1_{a}\rangle )={\frac {1}{\sqrt {p_{a}}}}(u_{11}|0'_{a}\rangle +u_{12}|1'_{a}\rangle ),$

$M|1_{b}\rangle =M(u_{21}|0_{a}\rangle +u_{22}|1_{a}\rangle )={\frac {1}{\sqrt {p_{a}}}}(u_{21}|0'_{a}\rangle +u_{22}|1'_{a}\rangle ).$

Наложение векторов в базис $b$ будет выглядеть: $|\langle 0'_{b}|1'_{b}\rangle |=|u_{11}u_{21}+u_{12}u_{22}|$ , но $u_{11}u_{21}+u_{12}u_{22}=0$ (следует из определения унитарного преобразования), а значит Ева может подобрать измерение, проектирующее векторы каждого базиса на ортогональные состояния, для любого унитарного преобразования, которое связывает состояния из разных базисов. Однако, если связывающее преобразование неортогонально, то $|u_{11}u_{21}+u_{12}u_{22}|>|\langle 0_{a}|1_{a}\rangle |$ , то есть всякое измерение, делающее ортогональным состояния одной пары базисов, будет непременно уменьшать угол между состояниями другой пары, делая их менее различимыми. Это обеспечивает противостояние PNS-атаке.

Принцип работы

В SARG04 реализуется описанное выше свойство: при определенной конфигурации состояний Ева не сможет провести фильтрацию. Авторы протокола предложили следующую конфигурацию ^[4]:

$|0_{a}\rangle ={\begin{pmatrix}\cos {\frac {\eta }{2}}\\\sin {\frac {\eta }{2}}\end{pmatrix}},\quad |1_{a}\rangle ={\begin{pmatrix}\cos {\frac {\eta }{2}}\\-\sin {\frac {\eta }{2}}\end{pmatrix}},$

$|0_{b}\rangle ={\begin{pmatrix}\sin {\frac {\eta }{2}}\\-\cos {\frac {\eta }{2}}\end{pmatrix}},\ |1_{b}\rangle ={\begin{pmatrix}\sin {\frac {\eta }{2}}\\-\cos {\frac {\eta }{2}}\end{pmatrix}}.$

Угол между векторами в каждом из базисов равен $\eta :\langle 0_{a}|1_{a}\rangle =\cos \eta ,\ \langle 0_{b}|1_{b}\rangle =-\cos \eta$ , причем $\langle 0_{a}|0_{b}\rangle =\langle 1_{a}|1_{b}\rangle =0,\ \langle 0_{a}|1_{b}\rangle =\langle 1_{a}|0_{b}\rangle =\sin \eta$ .

Проверим такую конфигурацию на уязвимость для PNS-атак ^[5]. Вектора разных базисов связаны следующим образом:

$|0_{b}\rangle =c|0_{a}\rangle +c'|1_{a}\rangle ,\ |1_{b}\rangle =c'|0_{a}\rangle +c|1_{a}\rangle$ , где $c=-{\frac {\cos \eta }{\sin \eta }},\ c'={\frac {1}{\sin ^{2}\eta }}$ .

Величина перекрытия равна: $2cc'={\frac {2\cos \eta }{\sin \eta }}\geqslant \cos \eta$ , следовательно протокол устойчив к PNS-атакам.

Криптоанализ

Протокол уязвим для PNS-атак, если злоумышленник способен блокировать все посылки с одним и двумя фотонами, а в посылках с тремя фотонами может измерять два из них в разных базисах, блокируя импульс при получении как минимум одного несовместного исхода. При угле ${\frac {\pi }{4}}$ вероятность получить несовместный исход хотя бы при одном измерении получается больше $\cos ^{2}{\frac {\pi }{4}}={\frac {1}{2}}$ , следовательно для эффективного перехвата Ева должна уметь блокировать посылки и с тремя фотонами. Получаем, что для успешной атаки протокола необходимо иметь возможность блокировать все посылки с одним, двумя и тремя фотонами, а значит SARG04 заметно лучше защищен от PNS-атак по сравнению с BB84^[6].

Вариация протокола

В своей работе авторы SARG04 также описали важный частный случай протокола ^[7], который использует аналогичные сигнальные состояния, что и BB84, но имеет другую технику кодирования, что позволяет увеличить стойкость к PNS-атакам, жертвуя скоростью передачи данных. Рассмотрим угол $\eta ={\frac {\pi }{4}}$ , после поворота сигнальными состояниями будут $|\pm x\rangle$ и $|\pm z\rangle$ , как и в BB84 (использование тех же состояний упрощает техническую реализацию). Боб также случайно меряет компоненту $\sigma _{x}$ или $\sigma _{z}$ , но теперь Алиса при публичном согласовании вместо базиса называет одну из четырёх пар состояний $A_{m,n}\ (m,n\in \{\pm \})$ . Сигналы $0$ и $1$ кодируются состояниями $|\pm x\rangle$ и $|\pm z\rangle$ соответственно. Если Алиса собирается послать сигнал $1$ , то она может послать $|-z\rangle$ и публично объявить пару $A_{+,-}$ . В свою очередь Боб сможет достоверно это распознать только тогда, когда он мерил $\sigma _{x}$ и получил $-1$ . Он не сможет распознать $0$ в базисе $\sigma _{x}$ или что-либо в базисе $\sigma _{z}$ , если получил $+1$ . Измерив $\sigma _{z}$ , он получит $-1$ , но не узнает базис отправного состояния, поскольку Алиса могла использовать базис $\sigma _{x}$ . Получаем, что после согласования базисов у Боба и Алисы совпадет только четверть посланных сигналов^[8], а скорость передачи упадет вдвое по сравнению с BB84 и B92.