EITC/IS/QCF Grondbeginsels van kwantumkriptografie

Die werk van Stephen Wiesner en Gilles Brassard word gekrediteer met die vestiging van kwantumkriptografie. Wiesner, destyds aan die Columbia-universiteit in New York, het die konsep van kwantumgekonjugeerde kodering in die vroeë 1970's uitgevind. Die IEEE Information Theory Society het sy belangrike studie "Conjugate Coding" verwerp, maar dit is uiteindelik gepubliseer in SIGACT News in 1983. In hierdie studie het hy gedemonstreer hoe om twee boodskappe in twee "conjugate observables" te kodeer, soos lineêre en sirkelvormige fotonpolarisasie , sodat enigeen, maar nie albei nie, ontvang en gedekodeer kan word. Dit was eers op die 20ste IEEE Simposium oor die Grondslae van Rekenaarwetenskap, wat in 1979 in Puerto Rico gehou is, dat Charles H. Bennett van IBM se Thomas J. Watson Navorsingsentrum en Gilles Brassard ontdek het hoe om Wiesner se resultate te inkorporeer. "Ons het besef dat fotone nooit bedoel was om inligting te stoor nie, maar eerder om dit oor te dra" Bennett en Brassard het 'n veilige kommunikasiestelsel genaamd BB84 in 1984 bekendgestel, gebaseer op hul vorige werk. Na aanleiding van David Deutsch se idee om kwantum-nie-lokaliteit te gebruik en Bell se ongelykheid om veilige sleutelverspreiding te bewerkstellig, het Artur Ekert verstrengelingsgebaseerde kwantumsleutelverspreiding in groter diepte in 'n 1991-studie ondersoek.

Kak se drie-stadium tegniek stel voor dat beide kante hul polarisasie lukraak roteer. As enkele fotone gebruik word, kan hierdie tegnologie teoreties gebruik word vir deurlopende, onbreekbare data-enkripsie. Dit is die basiese polarisasie-rotasiemeganisme geïmplementeer. Dit is 'n uitsluitlik kwantumgebaseerde kriptografiemetode, in teenstelling met kwantumsleutelverspreiding, wat klassieke enkripsie gebruik.

Kwantumsleutelverspreidingsmetodes is gebaseer op die BB84-metode. MagiQ Technologies, Inc. (Boston, Massachusetts, Verenigde State), ID Quantique (Geneve, Switserland), QuintessenceLabs (Canberra, Australië), Toshiba (Tokio, Japan), QNu Labs en SeQureNet is almal vervaardigers van kwantumkriptografiestelsels (Parys) , Frankryk).

voordele

Kriptografie is die veiligste skakel in die datasekuriteitsketting. Belangstellendes, aan die ander kant, kan nie verwag dat kriptografiese sleutels permanent veilig sal bly nie. Kwantumkriptografie het die vermoë om data vir langer tydsduur te enkripteer as tradisionele kriptografie. Wetenskaplikes kan nie enkripsie vir meer as 30 jaar met tradisionele kriptografie waarborg nie, maar sommige belanghebbendes sal dalk langer beskermingsperiodes benodig. Neem byvoorbeeld die gesondheidsorgbedryf. Elektroniese mediese rekordstelsels word deur 85.9% van kantoorgebaseerde dokters gebruik om pasiëntdata vanaf 2017 te stoor en oor te dra. Mediese rekords moet privaat gehou word kragtens die Wet op Gesondheidsversekering oordraagbaarheid en aanspreeklikheid. Papier mediese rekords word gewoonlik verbrand nadat 'n sekere tyd verloop het, terwyl gerekenariseerde rekords 'n digitale spoor laat. Elektroniese rekords kan vir tot 100 jaar beskerm word deur gebruik te maak van kwantumsleutelverspreiding. Kwantumkriptografie het ook toepassings vir regerings en weermagte, aangesien regerings tipies militêre materiaal vir byna 60 jaar geheim gehou het. Daar is ook gedemonstreer dat kwantumsleutelverspreiding veilig kan wees, selfs wanneer dit oor 'n raserige kanaal oor 'n lang afstand uitgesaai word. Dit kan omskep word in 'n klassieke geruislose skema van 'n raserige kwantumskema. Klassieke waarskynlikheidsteorie kan gebruik word om hierdie probleem aan te pak. Kwantumherhalers kan help met hierdie proses van konstante beskerming oor 'n raserige kanaal. Kwantumherhalers is in staat om kwantumkommunikasiefoute doeltreffend op te los. Om kommunikasiesekuriteit te verseker, kan kwantumherhalers, wat kwantumrekenaars is, as segmente oor die raserige kanaal gestasioneer word. Kwantumherhalers bereik dit deur die kanaalsegmente te suiwer voordat hulle dit koppel om 'n veilige kommunikasielyn te vorm. Oor 'n lang afstand kan sub-par kwantumherhalers 'n doeltreffende vlak van beskerming deur die raserige kanaal gee.

aansoeke

Kwantumkriptografie is 'n breë term wat na 'n verskeidenheid kriptografiese tegnieke en protokolle verwys. Die volgende afdelings gaan deur sommige van die mees noemenswaardige toepassings en protokolle.

Verspreiding van kwantumsleutels

Die tegniek om kwantumkommunikasie te gebruik om 'n gedeelde sleutel tussen twee partye (byvoorbeeld Alice en Bob) te vestig sonder dat 'n derde party (Eve) iets oor daardie sleutel leer, selfs al kan Eve alle kommunikasie tussen Alice en Bob afluister, is bekend as QKD. Teenstrydighede sal ontwikkel as Eve probeer om kennis in te samel oor die sleutel wat vasgestel word, wat veroorsaak dat Alice en Bob agterkom. Sodra die sleutel vasgestel is, word dit gewoonlik gebruik om kommunikasie via tradisionele metodes te enkripteer. Die omgeruilde sleutel kan byvoorbeeld vir simmetriese kriptografie gebruik word (bv. Eenmalige pad).

Kwantumsleutelverspreiding se sekuriteit kan teoreties vasgestel word sonder om enige beperkings op 'n afluisteraar se vaardighede op te lê, wat nie met klassieke sleutelverspreiding haalbaar is nie. Alhoewel 'n paar minimale aannames vereis word, soos dat kwantumfisika van toepassing is en dat Alice en Bob mekaar kan verifieer, behoort Eve nie in staat te wees om Alice of Bob na te boots nie, want 'n man-in-die-middel-aanval sou moontlik wees.

Alhoewel QKD veilig blyk te wees, het die toepassings daarvan praktiese uitdagings. As gevolg van transmissieafstand en sleutelgenerasietempo-beperkings, is dit die geval. Deurlopende navorsing en ontwikkelings in tegnologie het voorsiening gemaak vir toekomstige vooruitgang in sulke beperkings. Lucamarini et al. het 'n twee-veld QKD-stelsel in 2018 voorgestel wat moontlik 'n verliesryke kommunikasiekanaal se tempo-verlies-skaal kan oorkom. By 340 kilometer optiese vesel is getoon dat die tempo van die tweelingveldprotokol die geheime sleutelooreenkoms-kapasiteit van die verliesryke kanaal, bekend as die herhalerlose PLOB-gebonde, oorskry; sy ideale koers oorskry hierdie grens reeds op 200 kilometer en volg die tempo-verlies-skaal van die hoër herhaler-ondersteunde geheime sleutel-ooreenkoms kapasiteit (sien figuur 1 van vir meer besonderhede). Volgens die protokol kan ideale sleutelkoerse bereik word deur gebruik te maak van "550 kilometer van konvensionele optiese vesel," wat reeds wyd in kommunikasie gebruik word. Minder et al., wat die eerste effektiewe kwantumherhaler genoem is, het die teoretiese bevinding bevestig in die eerste eksperimentele demonstrasie van QKD buite die koersverlieslimiet in 2019. Die stuur-nie-stuur (SNS)-variant van die TF-QKD protokol is een van die groot deurbrake in terme van die bereiking van hoë tariewe oor lang afstande.

Wantrouvolle kwantumkriptografie

Die deelnemers aan wantroue kriptografie vertrou mekaar nie. Alice en Bob werk byvoorbeeld saam om 'n berekening te voltooi waarin beide partye private insette lewer. Alice, aan die ander kant, vertrou Bob nie, en Bob vertrou nie Alice nie. As gevolg hiervan, vereis 'n veilige implementering van 'n kriptografiese taak Alice se versekering dat Bob nie verneuk het sodra die berekening voltooi is nie, en Bob se versekering dat Alice nie verneuk het nie. Verbintenisskemas en veilige berekeninge, waarvan laasgenoemde die take van muntwisseling en onbewuste oordrag insluit, is voorbeelde van wantroue kriptografiese take. Die veld van onbetroubare kriptografie sluit nie sleutelverspreiding in nie. Wantrouvolle kwantumkriptografie ondersoek die gebruik van kwantumstelsels in die veld van wantroue kriptografie.

In teenstelling met kwantumsleutelverspreiding, waar onvoorwaardelike sekuriteit uitsluitlik deur die wette van kwantumfisika verkry kan word, is daar no-go stellings wat bewys dat onvoorwaardelike veilige protokolle nie slegs deur die wette van kwantumfisika bereik kan word in die geval van verskeie take in wantroue. kriptografie. Sommige van hierdie take kan egter met absolute sekuriteit uitgevoer word as die protokolle van beide kwantumfisika en spesiale relatiwiteit gebruik maak. Mayers en Lo en Chau het byvoorbeeld gedemonstreer dat absoluut veilige quantumbit-verbintenis onmoontlik is. Lo en Chau het gedemonstreer dat onvoorwaardelik veilige perfekte kwantummunte omdraai onmoontlik is. Verder het Lo gedemonstreer dat kwantumprotokolle vir een-uit-twee onbewuste oordrag en ander veilige tweeparty-berekeninge nie gewaarborg kan word om veilig te wees nie. Kent, aan die ander kant, het onvoorwaardelik veilige relativistiese protokolle gedemonstreer vir muntwisseling en bietjie-verbintenis.

Kwantummunt wat omdraai

Kwantummuntwisseling, anders as kwantumsleutelverspreiding, is 'n meganisme wat gebruik word tussen twee partye wat mekaar nie vertrou nie. Die deelnemers kommunikeer deur 'n kwantumkanaal en ruil data uit via qubit-oordrag. Maar omdat Alice en Bob mekaar wantrouig, verwag hulle albei dat die ander een sal kul. Gevolglik moet meer werk bestee word om te verseker dat nie Alice of Bob 'n aansienlike voorsprong bo die ander het om die gewenste resultaat te behaal nie. 'n Vooroordeel is die vermoë om 'n spesifieke uitkoms te beïnvloed, en daar is baie moeite om protokolle te ontwerp om die vooroordeel van 'n oneerlike speler, ook bekend as bedrog, uit te skakel. Daar is bewys dat kwantumkommunikasieprotokolle, soos kwantummunte omdraai, aansienlike sekuriteitsvoordele bo tradisionele kommunikasie bied, ten spyte van die feit dat dit uitdagend kan wees om in die praktyk te implementeer.

Die volgende is 'n tipiese muntflip-protokol:

• Alice kies 'n basis (reglynig of diagonaal) en genereer 'n string fotone in daardie basis om aan Bob te lewer.
• Bob kies 'n reglynige of diagonale basis om elke foton ewekansig te meet, en let op watter basis hy gebruik het en die aangetekende waarde.
• Bob maak 'n publieke raaiskoot oor die grondslag waarop Alice haar qubits gestuur het.
• Alice openbaar haar keuse van basis en stuur Bob haar oorspronklike string.
• Bob bevestig Alice se string deur dit met sy tafel te vergelyk. Dit moet perfek geassosieer word met Bob se metings wat op Alice se basis gemaak is en ten volle ongekorreleer met die teendeel.

Wanneer 'n speler probeer om die waarskynlikheid van 'n spesifieke uitkoms te beïnvloed of te verbeter, staan ​​dit bekend as kullery. Sommige vorme van bedrog word deur die protokol ontmoedig; byvoorbeeld, Alice kan beweer dat Bob haar aanvanklike basis verkeerd geraai het toe hy reg geraai het by stap 4, maar Alice sal dan 'n nuwe string qubits moet genereer wat perfek korreleer met wat Bob in die teenoorgestelde tabel gemeet het. Met die aantal qubits wat oorgedra is, verminder haar kanse om 'n ooreenstemmende string qubits te genereer eksponensieel, en as Bob 'n wanpassing opmerk, sal hy weet sy lieg. Alice kon op soortgelyke wyse 'n string fotone konstrueer deur toestande te kombineer, maar Bob sou vinnig sien dat haar string ietwat (maar nie heeltemal nie) met albei kante van die tafel sal ooreenstem, wat aandui dat sy bedrieg het. Daar is ook 'n inherente swakheid in kontemporêre kwantumtoestelle. Bob se metings sal beïnvloed word deur foute en verlore kwbits, wat lei tot gate in sy metingstabel. Bob se vermoë om Alice se qubit-volgorde in stap 5 te verifieer, sal deur beduidende meetfoute belemmer word.

Die Einstein-Podolsky-Rosen (EPR) paradoks is een teoreties seker manier vir Alice om te kul. Twee fotone in 'n EPR-paar is teen-gekorreleer, wat beteken dat hulle altyd teenoorgestelde polarisasies sal hê wanneer dit op dieselfde basis gemeet word. Alice kan 'n string EPR-pare skep, een na Bob stuur en die ander vir haarself hou. Sy kon haar EPR-paarfotone in die teenoorgestelde basis meet en 'n perfekte korrelasie met Bob se teenoorgestelde tabel kry wanneer Bob sy raaiskoot stel. Bob sou geen idee hê sy het verneuk nie. Dit vereis egter vaardighede wat kwantumtegnologie tans ontbreek, wat dit onmoontlik maak om in die praktyk te bereik. Om dit uit te haal, sal Alice in staat moet wees om al die fotone vir 'n lang tydperk te stoor en hulle met byna perfekte akkuraatheid te meet. Dit is omdat elke foton wat verlore gaan tydens berging of meting 'n gat in haar tou sou laat, wat sy met raaiwerk sou moes vul. Hoe meer raaiskote sy moet maak, hoe groter is die kans dat Bob gevang sal word dat sy bedrieg.

Kwantumverbintenis

Wanneer daar wantroue partye betrokke is, word kwantumverbintenismetodes gebruik bykomend tot kwantummunte omdraai. 'n Verbintenisskema laat 'n party Alice toe om 'n waarde vas te stel (om te "commit") op so 'n manier dat Alice dit nie kan verander nie en die ontvanger Bob kan niks daaroor leer totdat Alice dit openbaar nie. Kriptografiese protokolle gebruik gereeld sulke toewydingsmeganismes (bv. Kwantummuntewisseling, Zero-kennis bewys, veilige tweeparty-berekening en Oblivious-oordrag).

Hulle sal veral voordelig wees in 'n kwantum-omgewing: Crépeau en Kilian het gedemonstreer dat 'n onvoorwaardelike veilige protokol vir die uitvoering van sogenaamde onbewustelike oordrag gebou kan word uit 'n verbintenis en 'n kwantumkanaal. Kilian, aan die ander kant, het getoon dat onbewuste oordrag gebruik kan word om feitlik enige verspreide berekening op 'n veilige wyse te konstrueer (sogenaamde veilige veelparty-berekening). (Let op hoe ons hier 'n bietjie slordig is: Die bevindinge van Crépeau en Kilian dui nie direk daarop dat 'n mens veilige veelparty-berekening met 'n verbintenis en 'n kwantumkanaal kan uitvoer nie. Dit is omdat die resultate nie "saamstelbaarheid" verseker nie, wat beteken dat wanneer jy hulle kombineer, jy die risiko loop om sekuriteit te verloor.

Daar is ongelukkig getoon dat vroeë kwantumverbintenismeganismes foutief is. Mayers het gedemonstreer dat (onvoorwaardelik veilige) kwantumverbintenis onmoontlik is: enige kwantumverbintenisprotokol kan deur 'n rekenaar onbeperkte aanvaller verbreek word.

Mayers se ontdekking sluit egter nie die moontlikheid uit om kwantumverbintenisprotokolle (en dus veilige veelparty-berekeningsprotokolle) te bou deur aansienlik swakker aannames te gebruik as dié wat vereis word vir verbintenisprotokolle wat nie kwantumkommunikasie gebruik nie. 'n Situasie waarin kwantumkommunikasie gebruik kan word om verbintenisprotokolle te ontwikkel, is die begrensde kwantumbergingsmodel wat hieronder beskryf word. ’n Ontdekking in November 2013 verskaf “onvoorwaardelike” inligtingsekuriteit deur kwantumteorie en relatiwiteit te kombineer, wat vir die eerste keer effektief op ’n wêreldwye skaal bewys is. Wang et al. het 'n nuwe verbintenisstelsel aangebied waarin "onvoorwaardelike wegkruip" ideaal is.

Kriptografiese verpligtinge kan ook gekonstrueer word deur gebruik te maak van fisies onkloonbare funksies.

Begrensde en raserige kwantumbergingsmodel

Die beperkte kwantumbergingmodel kan gebruik word om onvoorwaardelik veilige kwantumverbintenis en kwantumvergeetlike oordrag (OT) protokolle (BQSM) te skep. In hierdie scenario word aanvaar dat 'n teenstander se kwantumdatabergingskapasiteit deur 'n bekende konstante Q beperk word. Daar is egter geen beperking op hoeveel klassieke (nie-kwantum) data die teenstander kan stoor nie.

Toewyding en onbewuste oordragprosedures kan in die BQSM gebou word. Die volgende is die fundamentele konsep: Meer as Q kwantumbisse word tussen protokolpartye (qubits) uitgeruil. Omdat selfs 'n oneerlike teenstander nie al daardie data kan stoor nie (die teenstander se kwantumgeheue is beperk tot Q qubits), sal 'n aansienlike deel van die data gemeet of vernietig moet word. Deur oneerlike partye te dwing om 'n aansienlike gedeelte van die data te meet, kan die protokol die onmoontlikheidsresultaat vermy, waardeur toewyding en onbewuste oordragprotokolle gebruik kan word.

Damgrd, Fehr, Salvail en Schaffner se protokolle in die BQSM aanvaar nie dat eerlike protokoldeelnemers enige kwantuminligting behou nie; die tegniese vereistes is identies aan dié in kwantumsleutelverspreidingsprotokolle. Hierdie protokolle kan dus, ten minste in teorie, met vandag se tegnologie bewerkstellig word. Die kommunikasiekompleksiteit op die teenstander se kwantumgeheue is slegs 'n konstante faktor hoër as die gebonde Q.

Die BQSM het die voordeel dat dit realisties is in sy uitgangspunt dat die teenstander se kwantumgeheue eindig is. Selfs om 'n enkele qubit vir 'n lang tydperk betroubaar te stoor, is moeilik met vandag se tegnologie. (Die definisie van "voldoende lank" word bepaal deur die protokol se besonderhede.) Die hoeveelheid tyd wat die teëstander benodig om kwantumdata te hou, kan arbitrêr lank gemaak word deur 'n kunsmatige gaping in die protokol by te voeg.)

Die raserige bergingsmodel wat deur Wehner, Schaffner en Terhal voorgestel is, is 'n uitbreiding van die BQSM. 'n Teenstander word toegelaat om gebrekkige kwantumbergingstoestelle van enige grootte te gebruik in plaas daarvan om 'n boonste grens op die fisiese grootte van die teenstander se kwantumgeheue te plaas. Lawaaierige kwantumkanale word gebruik om die vlak van onvolmaaktheid te modelleer. Dieselfde primitiewe as in die BQSM kan teen hoë genoeg geraasvlakke geproduseer word, dus is die BQSM 'n spesifieke geval van die raserige bergingsmodel.

Soortgelyke bevindinge kan in die klassieke situasie verkry word deur 'n beperking te stel op die hoeveelheid klassieke (nie-kwantum) data wat die opponent kan stoor. Dit is egter gedemonstreer dat in hierdie model die eerlike partye eweneens 'n groot hoeveelheid geheue moet verbruik (die vierkantswortel van die teëstander se geheue gebind). As gevolg hiervan is hierdie metodes onwerkbaar vir werklike geheuebeperkings. (Dit is opmerklik dat, met vandag se tegnologie, soos hardeskywe, 'n teenstander enorme volumes tradisionele data vir 'n lae prys kan stoor.)

Kwantumkriptografie gebaseer op posisie

Die doel van posisie-gebaseerde kwantumkriptografie is om 'n speler se (enigste) geloofsbriewe te gebruik: hul geografiese ligging. Gestel byvoorbeeld jy wil 'n boodskap aan 'n speler by 'n spesifieke plek stuur met die versekering dat dit slegs gelees kan word as die ontvanger ook op daardie plek is. Die hoofdoel van posisie-verifikasie is vir 'n speler, Alice, om die (eerlike) verifieerders te oortuig dat sy op 'n spesifieke plek is. Chandran et al. het gedemonstreer dat posisieverifikasie deur gebruik te maak van tradisionele protokolle onmoontlik is in die teenwoordigheid van samewerkende teëstanders (wat alle posisies beheer, behalwe die beoordelaar se gestelde posisie). Skemas is moontlik onder verskeie beperkings op die teëstanders.

Kent het die eerste posisie-gebaseerde kwantumstelsels in 2002 onder die naam 'kwantummerking' ondersoek. In 2006 is 'n Amerikaanse patent verkry. In 2010 is die idee om kwantumeffekte te ontgin vir liggingverifikasie vir die eerste keer in vaktydskrifte gepubliseer. Nadat verskeie ander kwantumprotokolle vir posisieverifikasie in 2010 voorgestel is, het Buhrman et al. het 'n algemene onmoontlikheidsresultaat geëis: samespanning teenstanders kan dit altyd vir die verifieerders laat lyk dat hulle op die opgeëiste posisie is deur 'n enorme hoeveelheid kwantumverstrengeling te gebruik (hulle gebruik 'n dubbel eksponensiële aantal EPR-pare in die aantal kwbits wat die eerlike speler bedryf aan). In die begrensde- of raserige-kwantumberging-paradigma sluit hierdie resultaat egter nie die moontlikheid van werkbare benaderings uit nie (sien hierbo). Beigi en König het later die aantal EPR-pare wat nodig is in die breë aanval teen posisieverifikasiemetodes tot eksponensiële vlakke verhoog. Hulle het ook getoon dat 'n protokol veilig is teen teëstanders wat slegs 'n lineêre aantal EPR-pare beheer. Die vooruitsig van formele onvoorwaardelike liggingverifikasie deur gebruik te maak van kwantum-effekte bly 'n onopgeloste onderwerp as gevolg van tyd-energie-koppeling, word voorgestel. Dit is opmerklik dat navorsing oor posisie-gebaseerde kwantumkriptografie verband hou met die protokol van hawe-gebaseerde kwantumteleportasie, wat is 'n meer gevorderde variant van kwantumteleportasie waarin verskeie EPR-pare terselfdertyd as poorte gebruik word.

Toestel onafhanklike kwantumkriptografie

As die sekuriteit van 'n kwantumkriptografieprotokol nie staatmaak op die waarheid van die kwantumtoestelle wat gebruik word nie, word gesê dat dit toestelonafhanklik is. Gevolglik moet situasies van foutiewe of selfs vyandige toestelle by die sekuriteitsontleding van so 'n protokol ingesluit word. Mayers en Yao het voorgestel dat kwantumprotokolle ontwerp word deur gebruik te maak van "selftoetsende" kwantumapparaat, waarvan die interne bedrywighede uniek geïdentifiseer kan word deur hul inset-uitsetstatistieke. Daarna het Roger Colbeck voorgestaan ​​om Bell-toetse te gebruik om die gadgets se eerlikheid in sy tesis te assesseer. Sedertdien is 'n aantal kwessies gedemonstreer om onvoorwaardelik veilige en toestel-onafhanklike protokolle toe te laat, selfs wanneer die werklike toestelle wat die Bell-toets uitvoer aansienlik "raas" is, dit wil sê, ver van ideaal. Kwantumsleutelverspreiding, ewekansigheidsuitbreiding en ewekansigheidsversterking is voorbeelde van hierdie kwessies.

Teoretiese ondersoeke uitgevoer deur Arnon- Friedman et al. in 2018 onthul dat die gebruik van 'n entropie-eienskap bekend as die "Entropie-akkumulasiestelling (EAT)", wat 'n uitbreiding is van die asimptotiese ekwipartisie-eiendom, die sekuriteit van 'n toestel-onafhanklike protokol kan waarborg.

Post-kwantum kriptografie

Kwantumrekenaars kan 'n tegnologiese werklikheid word, daarom is dit van kritieke belang om kriptografiese algoritmes na te vors wat gebruik kan word teen vyande wat toegang tot een het. Post-kwantum kriptografie is die term wat gebruik word om die studie van sulke metodes te beskryf. Baie gewilde enkripsie- en handtekeningtegnieke (gebaseer op ECC en RSA) kan gebreek word deur gebruik te maak van Shor se algoritme vir faktorisering en berekening van diskrete logaritmes op 'n kwantumrekenaar, wat post-kwantumkriptografie noodsaak. McEliece en rooster-gebaseerde skemas, sowel as die meeste simmetriese sleutel algoritmes, is voorbeelde van skemas wat veilig is teen kwantum teëstanders soos vandag se kennis. Post-kwantum kriptografie opnames is beskikbaar.

Bestaande enkripsie-algoritmes word ook bestudeer om te sien hoe hulle opgedateer kan word om kwantumteenstanders te hanteer. Wanneer dit kom by die ontwikkeling van nulkennis-bewysstelsels wat beveilig is teen kwantumaanvallers, word byvoorbeeld nuwe strategieë vereis: In 'n tradisionele omgewing behels die ontleding van 'n nulkennis-bewysstelsel gewoonlik "terugspoel," 'n tegniek wat die teëstander se kopieer noodsaak. interne toestand. Omdat die kopiëring van 'n toestand in 'n kwantumkonteks nie altyd moontlik is nie (geen-kloningstelling), moet 'n terugspoelbenadering toegepas word.

Post-kwantumalgoritmes staan ​​soms bekend as "kwantumbestand" omdat, anders as kwantumsleutelverspreiding, dit onbekend of bewysbaar is dat toekomstige kwantumaanvalle nie suksesvol sal wees nie. Die NSA verklaar voornemens om na kwantumweerstandige algoritmes te migreer, ten spyte van die feit dat hulle nie aan Shor se algoritme onderworpe is nie. Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) voel dat kwantumveilige primitiewe oorweeg moet word.

Kwantumkriptografie verder as kwantumsleutelverspreiding

Kwantumkriptografie is tot op hierdie stadium met die ontwikkeling van kwantumsleutelverspreidingsprotokolle geassosieer. Ongelukkig, as gevolg van die vereiste vir die vestiging en manipulasie van veelvuldige pare geheime sleutels, word simmetriese kriptostelsels met sleutels wat via kwantumsleutelverspreiding versprei word, ondoeltreffend vir groot netwerke (baie gebruikers) (die sogenaamde "sleutelbestuurprobleem"). Verder hanteer hierdie verspreiding nie 'n wye reeks bykomende kriptografiese prosesse en dienste wat van kritieke belang is in die alledaagse lewe nie. Anders as kwantumsleutelverspreiding, wat klassieke algoritmes vir kriptografiese transformasie insluit, is Kak se drie-stadium protokol aangebied as 'n manier vir veilige kommunikasie wat ten volle kwantum is.

Behalwe vir sleutelverspreiding, sluit kwantumkriptografie-navorsing kwantumboodskapverifikasie, kwantum-digitale handtekeninge, kwantum-eenrigtingfunksies en publiekesleutel-enkripsie, kwantumvingerafdrukke en entiteitstawing in (sien byvoorbeeld Kwantumuitlees van PUF's), ensovoorts.

Praktiese implementerings

Kwantumkriptografie blyk 'n suksesvolle keerpunt in die inligtingsekuriteitsektor te wees, ten minste in beginsel. Geen kriptografiese metode kan egter ooit heeltemal veilig wees nie. Kwantumkriptografie is slegs voorwaardelik veilig in die praktyk, wat staatmaak op 'n stel sleutelaannames.

Aanname van 'n enkelfotonbron

'n Enkelfotonbron word in die teoretiese onderbou vir kwantumsleutelverspreiding veronderstel. Enkelfotonbronne, aan die ander kant, is moeilik om te bou, en die meeste werklike kwantumenkripsiestelsels maak staat op swak laserbronne om data oor te dra. Luisteraanvalle, veral fotonsplitsingsaanvalle, kan van hierdie multi-fotonbronne gebruik maak. Eve, 'n afluisteraar, kan die multi-fotonbron in twee kopieë verdeel en een vir haarself hou. Die oorblywende fotone word daarna aan Bob gestuur, met geen aanduiding dat Eve 'n kopie van die data versamel het nie. Wetenskaplikes beweer dat die gebruik van loktoestande om te toets vir die teenwoordigheid van 'n afluisteraar 'n multi-fotonbron veilig kan hou. Wetenskaplikes het egter in 2016 'n byna perfekte enkelfotonbron vervaardig, en hulle glo dat een in die nabye toekoms ontwikkel sal word.

Aanname van identiese detektordoeltreffendheid

In die praktyk gebruik kwantumsleutelverspreidingstelsels twee enkelfotondetektors, een vir Alice en een vir Bob. Hierdie fotodetektors is gekalibreer om 'n inkomende foton binne 'n millisekonde interval op te spoor. Die opsporingsvensters van die twee detektors sal met 'n eindige hoeveelheid verplaas word as gevolg van vervaardigingsafwykings tussen hulle. Deur Alice se qubit te meet en 'n "vals toestand" aan Bob te lewer, kan 'n afluisteraar genaamd Eve voordeel trek uit die verklikker se ondoeltreffendheid. Eve versamel die foton wat Alice gestuur het voordat sy 'n nuwe foton genereer om aan Bob te lewer. Eve peuter met die fase en tydsberekening van die "vervalste" foton op so 'n manier dat Bob nie 'n afluisteraar kan opspoor nie. Die enigste metode om hierdie kwesbaarheid uit te skakel, is om fotodetektordoeltreffendheidsverskille uit te skakel, wat uitdagend is as gevolg van eindige vervaardigingstoleransies wat optiese padlengte-verskille, draadlengteverskille en ander probleme veroorsaak.