Квантовая криптография
Александр Евангели
Фундаментальные законы природы помогают создавать коды, которые невозможно взломать
Помимо своих широко известных и благоприятных для бизнеса следствий, закон Мура несет в себе также и предсказуемый конец: нанотехнологии, подходя к атомному пределу, неизбежно столкнутся с квантовыми свойствами материи, с которыми современная ИТ-индустрия еще не научилась работать. Это будет означать радикальную трансформацию современной вычислительной парадигмы, основанной на известном поведении сигнала, четко определяемом состоянии носителя этого сигнала, повторяемых и проверяемых цепочках причин и следствий. Из всех квантовых информационных технологий, которые должны прийти на смену существующим, ближе всего к созданию приложений, пригодных для использования в реальной жизни, подошла квантовая криптография.
Природа секретности квантового канала
Технология квантовой криптографии опирается на принципиальную неопределенность поведения квантовой системы – невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Это фундаментальное свойство природы в физике известно как принцип неопределенности Гейзенберга, сформулированный в 1927 г.
Согласно этому принципу, попытка измерения взаимосвязанных параметров в квантовой системе вносит в нее нарушения, и полученная в результате такого измерения информация определяется принимаемой стороной как дезинформация.
Если пытаться что-то сделать с фотоном – измерить поляризацию (т. е. направление вращения) или длину волны (т. е. цвет), то его состояние изменится.
Две квантовые величины не могут быть измерены одновременно с требуемой точностью, и измерение одного вида поляризации рандомизует другую составляющую. Если отправитель и получатель не договорились между собой, какой вид поляризации брать за основу, получатель может разрушить посланный отправителем сигнал, не получив никакой полезной информации.
Благодаря этому возможно построение каналов передачи данных, защищенных от подслушивания: получатель всегда сможет определить, не перехвачена ли информация, и при положительном ответе повторить передачу с другим ключом.
Отправитель кодирует отправляемые данные, задавая определенные квантовые состояния, а получатель регистрирует эти состояния. Затем получатель и отправитель совместно обсуждают результаты наблюдений. В итоге можно быть уверенным, что переданная и принятая кодовые последовательности тождественны. Обсуждение результатов касается ошибок, внесенных шумами или злоумышленником, и ни в малейшей мере не раскрывает содержимого сообщения. Может обсуждаться четность сообщения, но не отдельные биты. При передаче данных контролируется поляризация фотонов.
Рождение идеи
В 1984 г. Чарльз Беннет из IBM и Жиль Брассар из Монреальского университета предположили, что фотоны могут быть использованы в криптографии для получения фундаментально защищенного канала. Для представления нулей и единиц они решили взять фотоны, поляризованные в различных направлениях, и предложили простую схему квантового распределения ключей шифрования, названную ими ВВ84. Позднее, в 1991 г. идея была развита Экертом. Эта схема использует квантовый канал, по которому участники защищенного сеанса связи (традиционно называемые у шифровальщиков Алиса и Боб) обмениваются сообщениями, передавая их в виде поляризованных фотонов.
Импульс горизонтально поляризованных фотонов проходит через горизонтальный поляризационный фильтр. Если поворачивать фильтр, то поток пропускаемых фотонов будет уменьшаться до тех пор, пока при повороте на 90 градусов ни один фотон из горизонтально поляризованного импульса не сможет проскочить фильтр. При повороте фильтра на 45 градусов он пропустит горизонтально поляризованный фотон с вероятностью 50%.
Таким образом, измерить поляризацию света можно лишь тогда, когда заранее известно, в какой системе он был поляризован. Если известно, что свет поляризован либо вертикально, либо горизонтально, то пропустив его через горизонтальный фильтр, мы узнаем по результату, была ли поляризация 0 или 90 градусов. Если поляризация была диагональная, а фильтр мы поставили горизонтальный, то по результату невозможно сказать, был ли свет поляризован на +45 или –45 градусов.
Поэтому канал, образованный потоком световых импульсов, невозможно подслушать – неправильно поставленный фильтр разрушает канал.
Алгоритм генерации секретного ключа
Алиса и Боб секретничают. Алиса посылает Бобу последовательность фотонных импульсов. Каждый из импульсов случайным образом поляризован в одном из четырех направлений: | – \ /. Например, Алиса посылает: | \ / – \ – |.
Боб настраивает свой детектор произвольным образом на измерение серии либо диагонально, либо ортогонально поляризованных импульсов (мерить одновременно и те и другие нельзя): X X + X X + +.
Алгоритм формирования ключа
В тех случаях, где Боб угадал поляризацию, он получит правильный результат (такую же поляризацию, какую посылала Алиса). В остальных случаях результат будет случайным.
Боб и Алиса по открытому каналу сообщают друг другу использованные типы поляризаций (диагональная или ортогональная). Оставляют только правильно измеренные.
В нашем примере Боб угадал поляризацию 2-го, 5-го, 6-го и 7-го импульсов. Таким образом, остаются: \ \ – |.
По заранее оговоренным условиям эти результаты превращаются в последовательность битов (например, 0 и 45 принимаются за единицу, 90 и -45 – за ноль).
Перехват сообщения-ключа Боб и Алиса могут обнаружить посредством контроля ошибок, сверив случайно выбранные из сообщения биты. Несовпадения указывают на перехват сообщения, тогда ключ изменяется, т. е. передается повторно.
Если расхождений нет, то биты, использованные для сравнения, отбрасываются, ключ принимается. С вероятностью 2–k (где k – число сравненных битов) канал не прослушивался.
Первая реализация
В 1989 г. все те же Беннет и Брассар в Исследовательском центре IBM построили первую работающую квантово-криптографическую систему. Она состояла из квантового канала, содержащего передатчик Алисы на одном конце и приемник Боба на другом, размещенные на оптической скамье длиной около метра в светонепроницаемом полутораметровом кожухе размером 0,5х0,5 м. Собственно квантовый канал представлял собой свободный воздушный канал длиной около 32 см. Макет управлялся от персонального компьютера, который содержал программное представление пользователей Алисы и Боба, а также злоумышленника.
В 1989 г. передача сообщения посредством потока фотонов через воздушную среду на расстояние 32 см с компьютера на компьютер завершилась успешно. Основная проблема при увеличении расстояния между приемником и передатчиком – сохранение поляризации фотонов. На этом основана достоверность способа.
Состояние работ
Активные исследования в области квантовой криптографии ведут IBM, GAP-Optique, Mitsubishi, Toshiba, Национальная лаборатория в Лос-Аламосе, Калифорнийский технологический институт, молодая компания MagiQ и холдинг QinetiQ, поддерживаемый британским министерством обороны.
Квантовая криптография как сегмент рынка только начинает формироваться, и здесь пока на равных могут играть и мировые компьютерные корпорации, и небольшие начинающие компании.
В IBM продолжаются фундаментальные исследования в области квантовых вычислений, начатые группой Чарльза Беннетта. Ими занимается принадлежащая корпорации лаборатория Almaden Research Center. О практических достижениях IBM в квантовой криптографии известно немногое – эти работы мало рекламируются.
Исследователям из Лос-Аламоса удалось передать фотонный ключ по оптоволокну на расстояние 48 км со скоростью в несколько десятков килобайтов в секунду. Этого достаточно, чтобы соединить между собой отделения банка или правительственные учреждения.
Созданная при участии Женевского университета компания GAP Optique под руководством Николаса Гисина совмещает теоретические исследования с практической деятельностью. Специалистам этой фирмы удалось передать ключ на расстояние 67 км из Женевы в Лозанну с помощью почти промышленного образца аппаратуры. Этот рекорд был побит корпорацией Mitsubishi Electric, передавшей квантовый ключ на расстояние 87 км, правда, на скорости в один байт в секунду.
Исследования в области квантовой криптографии ведутся и в европейском исследовательском центре Toshiba Research Europe Limited (TREL), расположенном в Кембридже (Великобритания). Отчасти они спонсируются английским правительством; в них участвуют сотрудники Кембриджского университета и Империал-колледжа в Лондоне. Сейчас они могут передавать фотоны на расстояние до 100 км. Таким образом, технология может использоваться только в пределах одного города. Есть надежда, что вскоре будут выпущены коммерческие продукты.
Два года назад доктор Эндрю Шилдс и его коллеги из TREL и Кембриджского университета создали диод, способный испускать единичные фотоны. В основе нового светодиода лежит "квантовая точка" – миниатюрный кусочек полупроводникового материала диаметром 15 нм и толщиной 5 нм, который может при подаче на него тока захватывать лишь по одной паре электронов и дырок. Рекомбинация одного электрона с одной дыркой приводит к испусканию фотона. При этом ток, подаваемый на "квантовую точку" подбирается так, чтобы в рекомбинации участвовала только одна пара электрон – дырка. Но даже если новый светодиод испустит два фотона, они будут характеризоваться разной длиной волны, что позволяет отсечь лишнюю частицу при помощи фильтра. Обычные светодиоды и лазеры испускают фотоны группами, что теоретически дает возможность доступа к определению характеристик отдельных фотонов, в то время как другие фотоны продолжат свой путь в неизменном виде.
Чтобы обойти трудность, связанную с созданием источников отдельных фотонов, Фредерик Гроссан из Института оптики в Орсэ (Франция) разработал методику, позволяющую шифровать сообщения с помощью импульсов, состоящих из нескольких сот фотонов. На ее безопасность не влияет даже ослабление сигнала на больших расстояниях. Гроссан отказался от отдельных квантов света и предложил усреднять значения амплитуды и фазы электрического поля группы фотонов. Как и поляризация отдельного фотона, эти переменные связаны друг с другом принципом неопределенности. Однако в отличие от поляризации фотона, принимающей одно из двух значений вдоль каждого ортогонального направления, эти переменные могут принимать непрерывный ряд значений.
Подобные исследования в квантовой криптографии ведутся одновременно несколькими группами. Но только группе Гроссана удалось продемонстрировать практические перспективы, а также создать аппаратуру и ПО для работы с квантовым ключом. При измерении непрерывного ряда значений уже не обязательно регистрировать каждый фотон. В ходе экспериментальной демонстрации удалось передать зашифрованные данные со скоростью 75 Кбит/с – при том, что более половины фотонов терялось.
Такая схема потенциально обладает намного большим быстродействием, чем схемы со счетом единичных фотонов. Это делает ее, по мнению разработчиков, весьма привлекательной для быстрой передачи секретных данных на расстояния менее 15 км. Перспективы ее использования на больших дистанциях требуют дополнительного изучения.
В исследования высокоскоростной квантовой криптографии углубилась и корпорация NEC в лице своего института NEC Research Institute. Над прототипами коммерческих систем квантовой криптографии, действующих по оптоволоконным линиям связи, работает подразделение телекоммуникационного гиганта Verizon Communications – BBN Technologies.
Команда Северо-Западного университета (США) сотрудничает с Telcordia Technologies и BBN Technologies, стараясь довести технологию до коммерческого применения. Им удалось передать зашифрованные данные по оптоволокну со скоростью 250 Мбит/с. Теперь стоит задача доказать, что схема позволяет сигналам проходить сквозь оптические усилители. В этом случае метод можно будет использовать не только в специальных оптоволоконных линиях связи между двумя точками, но и в более широких сетях. Еще эта команда работает над тем, чтобы достичь скоростей порядка 2,5 Гбит/с. Исследования Северо-Западного университета в области квантовой криптографии финансируются DARPA – оборонным ведомством США.
Министерством обороны Великобритании поддерживается исследовательская корпорация QinetiQ, активно совершенствующая технологию квантовой шифрации. Эта компания появилась на свет в результате деления британского агентства DERA (Defence Evaluation and Research Agency) в 2001 г., вобрав в себя все неядерные оборонные исследования. О своих достижениях она широкой публике пока не сообщает.
К исследованиям присоединилось и несколько молодых компаний, в том числе швейцарская Id Quantique (http://www.idquantique.com/), представившая коммерческую систему квантовой криптографии, и Magiq Technologies (http://www.magiqtech.com/) из Нью-Йорка, выпустившая прототип коммерческой квантовой криптотехнологии собственной разработки. MagiQ Technologies была создана в 1999 г. на средства крупных финансовых институтов. Помимо собственных сотрудников с ней взаимодействуют научные работники из целого ряда университетов США, Канады, Великобритании и Германии. Вице-президентом MagiQ является Алексей Трифонов, в 2000 г. защитивший докторскую диссертацию в Петербургском университете. Год назад Magiq получила 7 млн. долл. от нескольких инвесторов, включая основателя Amazon.com Джеффа Безоса.
В продукте Magiq средство для распределения ключей (quantum key distribution, QKD) названо Navajo – по имени индейцев Навахо, язык которых во время Второй мировой войны американцы использовали для передачи секретных сообщений, поскольку за пределами США его никто не знал. Navajo способен в реальном времени генерировать и распространять ключи средствами квантовых технологий и предназначен для обеспечения защиты от внутренних и внешних злоумышленников. Продукт Navajo находится в состоянии бета-тестирования и станет коммерчески доступным в конце года. Несколько коммуникационных компаний тестируют Navajo в своих сетях.
Интерес к квантовой криптографии со стороны коммерческих и военных организаций растет, так как эта технология гарантирует абсолютную защиту. Создатели технологий квантовой криптографии вплотную приблизились к тому, чтобы выпустить их из лабораторий на рынок. Осталось немного подождать, и уже очень скоро квантовая криптография обеспечит еще один слой безопасности для тех, у кого паранойя является привычным состоянием психики – банкиров и сотрудников спецслужб.
Статья опубликована в PC Week/RE № 43 от 18.11.2003 г., стр. 31.