Изотропный протокол квантового распределения ключей

Иван Сущев 14.08.2025

Системы квантового распределения ключей (КРК) являются передовым способом безопасного обмена криптографическими ключами для дальнейшего обеспечения защиты информации. Тем не менее, наряду с известными преимуществами, КРК обладает рядом проблем, препятствующих повсеместному распространению квантово-криптографических систем. К ним относятся:

- проблема безопасности систем КРК при масштабировании квантовой сети;

- проблема стоимости компонентной базы, сборки и, как следствие, конечного продукта;

- проблема компактности систем КРК.

Перечисленные проблемы тесно связаны. Например, удешевление и уменьшение габаритов системы путем исключения отдельных компонентов или путем упрощения ее работы может привести к потере требуемого уровня безопасности. В то же время, построение централизованной квантовой сети накладывает жесткие требования к надежности работы системы. Данное противоречие на сегодняшний день несомненно является камнем преткновения для повсеместного распространения систем КРК и демонстрирует коммерческую нецелесообразность внедрения квантовой криптографии в ряде случаев при масштабировании сети. Особенно выраженно эта проблема проявляется при рассмотрении задачи о доведении квантового ключа до конечного пользователя от магистрального узла – задача последней мили при построении городских сетей.

Как же решить эту проблему? Ответ прост: оставить всю «дорогую» аппаратуру на стороне центрального магистрального узла (сервер) и как можно сильнее удешевить оборудование конечного пользователя (клиент), что позволит относительно безболезненно масштабировать число пользователей в квантовой сети. На сегодняшний день в мире развиваются 3 основных подхода к уменьшению стоимости и габаритов клиентского устройства КРК: квантовая криптография на непрерывных переменных [1], приготовление квантовых состояний с использованием лазерной инжекции [2] и пассивное приготовление квантовых состояний [3]. Сравнение данных способов заслуживает отдельной статьи. Здесь мы остановимся на последнем. Использование передатчиков с пассивным приготовлением состояний уже позволило исследователям из университета TII (Абу-Даби, ОАЭ) разработать «самую дешевую систему КРК в мире» [4].

Магистральный узел используется в качестве сервера городской сети, аппаратура клиентов максимально удешевляется для масштабирования числа пользователей

Итак, пассивное приготовление состояний решает проблему стоимости и, частично, компактности систем КРК. Их можно удешевить и уменьшить еще сильнее при использовании интегрально-оптических технологий (см. Фотонные интегральные схемы для систем квантового распределения ключей. Часть 1. Часть 2). Тем не менее, остро встает проблема безопасности. И вот почему.

Безопасность КРК при масштабировании сети

Безопасность систем КРК обеспечивается квантово-криптографическим протоколом и техническими средствами защиты от атак на техническую реализацию, рассмотренных в статье «Атаки на системы квантового распределения ключей». Одними из самых опасных атак можно считать атаки навязывания, направленные на приемник системы КРК, а именно на детекторы одиночных фотонов (ДОФ). Это делает ДОФ самой уязвимой частью системы КРК и потому накладывает жесткие требования на отказоустойчивость технических средств защиты от атак на ДОФ.

Вернемся к квантовым сетям. Архитектура сети с пассивным приготовлением состояний предполагает разветвление от приемного узла к клиентским передатчикам. Таким образом, безопасность сети целиком зависит от исправности средств защиты на одном устройстве. Чтобы избежать катастрофы, необходимо использовать предельно надежные средства защиты, исключающие возможность спонтанного или спровоцированного выхода из строя.

Другая проблема связана с универсальностью используемых средств защиты. Ряд опубликованных мер защиты от атак навязывания подвергался критике из-за невозможности обеспечения детектирования нарушителя в общем случае [5, 6, 7]. Было представлено несколько экспериментальных подтверждений того, что стандартные методы защиты могут давать брешь при тщательном подборе нарушителем временны́х, частотных и энергетических характеристик излучения, используемого им при атаке [8, 9, 10]. Данные примеры подтверждают, что достижение надлежащего уровня безопасности возможно лишь с использованием средств, гарантирующих обнаружение или нейтрализацию произвольных действий нарушителя, не привязываясь к конкретной стратегии атаки.

Стоит отметить, что на сегодняшний день уже известен способ, решающий вышеперечисленные проблемы. Речь идет о КРК с недоверенными промежуточными узлами, или системами MDI – measurement device independent [11]. Недоверенный промежуточный узел – измерительная сторона – не подвергается атакам со стороны нарушителя (и даже сам может быть нарушителем) по построению, поскольку не располагает конфиденциальной информацией и открыто оглашает все свои результаты измерений. К сожалению, такие системы оказываются сложны в разработке и настройке, а их стоимость, обычно, выше остальных. Поэтому для решения всех трех названных проблем одновременно необходим принципиально новый подход.

Случайное смещение базисов и изотропный протокол КРК

Решение, позволяющее одновременно побороть все три проблемы, было представлено в 2025 году в работе автора настоящей статьи [12]. Был разработан новый протокол квантового распределения ключей, для которого устойчивость к атакам навязывания обеспечивается по построению. В отличие от систем MDI, данное решение можно реализовать достаточно легко и дешево, используя, например, представленную выше схему с пассивным приготовлением состояний. Рассмотрим поэтапно все стадии предложенного протокола.

Формальное описание протокола

Распределение сырой последовательности

Протокол в целом строится по той же схеме, что и знаменитый BB84. В BB84 используется 2 пары ортогональных состояний, смещенных друг относительно друга на угол π/4. Предложенный протокол также использует набор ортогональных пар, однако их смещение задается углами φ_А (на стороне Алисы) и φ_В (на стороне Боба), которые могут случайно и независимо принимать любое значение из отрезка [-π/2,π/2]. Представим, что данные углы выбираются с помощью некоторого аналогового генератора случайных чисел. Получается, что Алиса поворачивает свои состояния на случайный угол, а Боб проводит измерения над ними, используя случайно повернутый базис. Таким образом, протокол основан на равноправном использовании произвольно ориентированных состояний, т.е. обладает внутренней изотропностью.

По окончании этапа Алиса и Боб имеют несогласованные битовые строки.

Схематичное изображение установки для реализации протокола со случайным смещением базисов с использованием поляризационного кодирования. Source – источник горизонтально/вертикально поляризованных фотонов, PR_A – вращатель поляризации Алисы, ARNG_A – аналоговый генератор случайных чисел Алисы, PR_B – вращатель поляризации Боба, ARNG_B – аналоговый генератор случайных чисел Боба, PBS – поляризационный светоделитель, Det₀ и Det₁ – детекторы Боба

Согласование базисов

Боб по аутентифицированному каналу публично объявляет, какие базисы он выбрал, то есть все значения φ_В. В отличие от BB84, Алиса не отвечает Бобу на этом этапе, она лишь вычисляет углы несоответствия между выбранными базисами Δ_φ= φ_А - φ_В. Эти значения случайны и известны только Алисе.

Заметим, что такое согласование базисов не полностью эквивалентно процедуре просеивания, используемой в большинстве протоколов КРК. Обычно, несовпадение базисов приводит к случайному результату детектирования, поэтому соответствующие биты исключаются из ключа. В представленном изотропном протоколе кубиты никогда не определяются детерминированно, даже при отсутствии шума и перехватчика. Напротив, каждое детектирование имеет вероятность ошибки, распределенную от 0 до 1, то есть, в принципе, каждый бит может быть исправлен, за исключением бесконечно малого числа случаев с вероятностью ошибки 50%.

Оценка параметров

Оценка параметров используется для определения объема доступной Еве информации о ключе. В других протоколах для этого часто оценивают квантовую битовую ошибку (QBER), то есть среднюю вероятность неправильного результата измерения, путем раскрытия небольшой доли ключа. В нашем случае средняя вероятность ошибки составляет 50% (Алиса готовит белый шум!) и не дает полезных сведений. Однако, стороны могут построить эмпирическую зависимость QBER от угла несоответствия Δ_φ, что позволит оценить информацию, доступную Еве при проведении унитарной атаки (см. статью). Удобно рассмотреть другой способ оценки максимального информационного выигрыша Евы, основанный на методе максимального правдоподобия.

Пусть Алиса и Боб публично раскрывают и соответствующие битовые значения для n < N случайных пар битов . Тогда вероятность каждого события выражается как функция от α:

где e_j – вероятность неправильного детектирования для j-го кубита, задаваемая следующим образом:

Интуитивно данный вид вероятности ошибки можно интерпретировать следующим образом: неверное детектирование наблюдается при реализации одного из двух случайных событий (отсюда, сумма вероятностей) – отсутствие возмущения бита Евой и инвертирование исхода из-за рассогласования базисов (первое слагаемое), и инвертирование бита Евой и отсутствие ошибки рассогласования базисов (второе слагаемое). Угол 2α фактически является углом раствора между изначально неразличимыми квантовыми состояниями Евы, преобразованными в результате проведения унитарной атаки, а величина sin²α характеризует степень возмущения легитимного квантового состояния Евой.

Функция правдоподобия строится как

Максимизируя , Алиса и Боб получают оценку параметра α (обозначим ее α₀). Теперь, зная α₀, Алиса может рассчитать вероятность ошибок для каждого бита (а не только для разглашенных пар!) и инвертировать те из них, для которых e_j > 1/2. Благодаря такому инвертированию, средняя вероятность ошибки из 50% (белый шум) превратится всего в 18% (без учета Евы и шумов), а значит, становится принципиально исправимой. Далее Алиса запускает процедуру коррекции ошибок, чтобы согласовать свои биты с битами Боба.

Коррекция ошибок

В нашем протоколе Боб считается источником эталонной последовательности, поэтому Алиса начинает процедуру коррекции ошибок, например, с использованием LDPC-кодов (low-density parity-check), чтобы привести свою битовую последовательность в соответствие с битами Боба. Для этого, например, можно использовать специальные версии LDPC-кодов (алгоритмы weighted bit-flipping [13]), учитывающие различие вероятностей ошибок для каждого бита.

Можно показать, что в отсутствие Евы и без шумов длина секретного ключа составляет примерно 44%. В протоколе BB84 при симметричном выборе базисов она достигает 100% в случае нулевой вероятности ошибки (QBER). Однако после согласования базисов остается лишь половина исходного числа бит. Следовательно, в идеальных условиях без перехватчика итоговые скорости секретного ключа в обоих протоколах примерно совпадают.

Усиление секретности

Когда стороны получили согласованные последовательности бит, они переходят к стадии усиления секретности чтобы сформировать итоговый секретный ключ. Процедура аналогична тому, что делается в BB84, за исключением финальной относительной длины ключа, которую теперь следует выразить с учетом оценки α и утечки, связанной с коррекцией ошибок (см. подробности в оригинальной работе [12]). По окончании этой стадии стороны получают общий секретный ключ, и выполнение протокола завершается.

В некотором смысле изотропный протокол является «зашумленной» версией BB84, с той лишь разницей, что Ева не контролирует степень «зашумления» квантовых состояний полностью. С точки зрения доказательства секретности протоколы оказываются очень похожи, с основной разницей, состоящей в необходимости учета ошибок, связанных со случайными поворотами базисов. Структурно, информация Евы о ключе в двух протоколах совпадает.

Наконец, стоит отметить принципиальную принадлежность описанного протокола к семейству протоколов на дискретных переменных. Данные протоколы используют квантовые состояния из гильбертовых пространств конечной размерности (в нашем случае, размерности 2). Иное семейство протоколов – протоколы на непрерывных переменных, используют квантовые состояния из гильбертовых пространств бесконечной размерности. Использование непрерывного множества углов и бесконечное (в общем случае) число используемых квантовых состояний не должно вводить в заблуждение при отнесении нашего протокола к дискретному семейству.

Устойчивость к атакам навязывания

Перейдем к рассмотрению устойчивости изотропного протокола к атакам навязывания. Для удобства рассмотрения будем говорить об атаке контроля детекторов с помощью, например, их ослепления. Атака контроля детекторов предполагает приготовление нарушителем «триггерных» импульсов фиксированной энергии E, превышающей некоторое пороговое значение E_never. При использовании протокола BB84 несовпадение базисов между Евой и Бобом приводит к тому, что «триггерный» импульс делится на два с энергией вдвое меньше, а значит, ниже порога E_never. Таким образом, детекторы срабатывают только в тех случаях, когда Ева угадывает базис, что позволяет ей получить полную копию ключа.

Что же изменится при использовании случайных поворотов базисов? Когда Ева посылает триггерный импульс в несовпадающем базисе, то есть при δφ≡ φ_E- φ_E≠ 0, импульс распадается на две составляющие, энергии которых пропорциональны cos²δφ и sin²δφ соответственно. В этом случае событие детектирования у Боба все равно может произойти даже при «неверном» базисе Евы, если соблюдается условие E cos²δφ > E_never. В нашем протоколе угол между различными базисами минимизирован (в общем случае до нулевого значения), так что даже небольшой избыток энергии над E_never повлияет на статистику детектирований у Боба (например, ненулевой QBER может возникать даже при δφ = 0). Следовательно, при идеальной реализации подобная стратегия против изотропного протокола неэффективна.

В реальности картина будет иной. Учтем следующую особенность однофотонных детекторов. При ослеплении (или другом способе вывода детектора в линейный режим) наблюдается зависимость вероятности срабатывания детектора от энергии импульса, дошедшего до него. Понизив энергию практически до минимального значения, при котором навязывание возможно, Ева может значительно уменьшить число срабатываний в неугаданных базисах. Поскольку оборудование Алисы и Боба не идеально, процедуры приготовления и детектирования состояний выполняются с ограниченной точностью, и статистические возмущения могут быть незаметны. Для простоты рассмотрим случай примерного совпадения базисов Алисы и Боба, то есть, когда их угол несоответствия ограничен малой величиной δ: |Δφ| < δ/2. Будем считать, что Ева понижает энергию навязывающих импульсов и пытается навязать событие детектирования, когда угол несоответствия δφ между базисом Боба и базисом Евы не превышает величину δ. В таком случае вмешательство Евы не окажет заметного влияния на статистику детектирования, затерявшись в шумах, и атака может оказаться успешной.

Типичная зависимость вероятности срабатывания ДОФ, переведенного в линейный режим, от энергии навязывающего импульса. При малых значениях энергии общая вероятность срабатывания детекторов определяется интегралом по выделенной голубым цветом области

К чему приведут такие действия Евы? Рассмотрим, как изменится скорость выработки ключа при понижении энергии навязывания. Энергия на детекторах будет распределяться случайным образом в зависимости от выбранного угла базиса Боба, давая ненулевой вклад в скорость выработки лишь при превышении порогового значения E_never. Среднее значение вероятности успешного навязывания (которая в данном случае и определяет скорость выработки ключа) оказывается пропорционально кубу точности выставления углов δ³. Взяв для оценки реалистичное значение 1° (0.017 рад), получаем, что вероятность успешного навязывания составит около 10^-6, что приведет к значительному снижению скорости формирования сырого ключа. Хотя скорость формирования сырого ключа обычно не оценивается напрямую во время сеанса КРК, ее резкое падение на практике вызовет ошибку по времени выполнения и приведет к отбрасыванию битовой последовательности. Следовательно, атаки навязывания оказываются несостоятельными даже при рассмотрении реальных условий неточного приготовления и измерения состояний.

Заключение

Таким образом, предложенное решение – новый изотропный протокол квантового распределения ключей со случайным смещением базисов, позволяет обеспечить безопасную выработку ключа в условиях несовершенной технической реализации, включая особенности однофотонных детекторов, приводящие к возможности проведения атак навязывания. Данный протокол предлагает надежную и универсальную защиту от данных атак, что крайне важно при масштабировании квантовой сети. Вместе с этим представленный протокол оказывается идеально совместим со схемой пассивного приготовления состояний, в которых базис приготавливаемого состояния рандомизирован по построению. Такая реализация сохраняет дешевизну и компактность схемы пассивного приготовления состояний, повышая ее эффективность на порядки, поскольку срабатывания в несовпадающих базисах оказываются полезными с точки зрения формирования ключа.

Можно с уверенностью утверждать, что построение городских сетей и решение проблем безопасности, стоимости и компактности систем квантового распределения ключей – это неизбежный этап развития квантовой криптографии. Уже сейчас данным вопросам уделяется много внимания во всем мире. Представленный здесь способ может позволить решить эти проблемы в ближайшей перспективе. Но до этого предстоит еще много теоретической и экспериментальной работы.

#КРК #квантовые технологии #квантовые вычисления

Список литературы

1. Zhang Y. et al. Continuous-variable quantum key distribution system: Past, present, and future //Applied Physics Reviews. – 2024. – Т. 11. – №. 1.

2. Yuan Z. L. et al. Directly phase-modulated light source //Physical Review X. – 2016. – Т. 6. – №. 3. – С. 031044.

3. Lu F. Y. et al. Experimental demonstration of fully passive quantum key distribution //Physical Review Letters. – 2023. – Т. 131. – №. 11. – С. 110802.

4. Kurochkin Y. et al. A practical transmitter device for passive state BB84 quantum key distribution //arXiv preprint arXiv:2405.08481. – 2024.

5. Huang A. et al. Testing random-detector-efficiency countermeasure in a commercial system reveals a breakable unrealistic assumption //IEEE Journal of Quantum Electronics. – 2016. – Т. 52. – №. 11. – С. 1-11.

6. Fedorov A. et al. Comment on" Inherent security of phase coding quantum key distribution systems against detector blinding attacks"[Laser Phys. Lett. 15, 095203 (2018)] //arXiv preprint arXiv:1809.03911. – 2018.

7. Wu Z. et al. Robust countermeasure against detector control attack in a practical quantum key distribution system: comment //Optica. – 2020. – Т. 7. – №. 10. – С. 1391-1393.

8. Wu Z. et al. Hacking single-photon avalanche detectors in quantum key distribution via pulse illumination //Optics Express. – 2020. – Т. 28. – №. 17. – С. 25574-25590.

9. Acheva P. et al. Automated verification of countermeasure against detector-control attack in quantum key distribution //EPJ Quantum Technology. – 2023. – Т. 10. – №. 1. – С. 22.

10. Bulavkin D. S. et al. Study of a single-photon detector blinding attack with modulated bright light //Quantum and Nonlinear Optics IX. – SPIE, 2023. – Т. 12323. – С. 73-78.

11. Lo H. K., Curty M., Qi B. Measurement-device-independent quantum key distribution //Physical review letters. – 2012. – Т. 108. – №. 13. – С. 130503.

12. Sushchev I. S. Point-to-point quantum key distribution resistant to fake-state attacks //APL Quantum. – 2025. – Т. 2. – №. 2.

13. Kou Y., Lin S., Fossorier M. P. C. Low-density parity-check codes based on finite geometries: a rediscovery and new results //IEEE Transactions on Information theory. – 2002. – Т. 47. – №. 7. – С. 2711-2736.

Подпишитесь на рассылку, чтобы не пропустить все самое интересное

Все статьи