Kvantumkriptográfia II.

Átírás

1 LOGO Kvantumkriptográfia II. Gyöngyösi László BME Villamosmérnöki és Informatikai Kar

2 Titkos kommunikáció modellje k 1 k 2 k n k 1 k 2 k n A titkos kommunikáció során Alice és Bob szeretne egymással üzeneteket cserélni a lehallgató Eve jelenlétében Klasszikus rendszerekben egyetlen elméletileg feltörhetetlen módszer létezik: one-time pad Alice és Bob megoszt egy k titkos kulcsot: k {0,1} n, a kulcs Eve számára nem ismert, eloszlása egyenletes

3 OTP módszer k 1 k 2 k n k 1 k 2 k n m 1 m 2 m n One-time pad módszer: Alice előállítja a c = mk üzenetet, majd elküldi Bob-nak Bob fogadja az üzenetet, majd k kulcsával dekódolja az üzenetet ck, (mk)k = m A módszer abszolút biztonságos, hiszen az Eve által elfogott c üzenet eloszlása egyenletes, így annak értéke független az m üzenettől

4 OTP kulcsmegosztás Alice és Bob minden üzenethez új kulcsot használ Ha Alice az m és m' yüzenetet is ugyanazon k tkulccsal kódolná, akkor Eve hozzájuthatna bizonyos információhoz az eredeti üzenettel kapcsolatban, hiszen ekkor: mm' = cc' Hogyan oldjuk meg a biztonságos kulcsmegosztást? Alice és Bob személyesen kicserélik kulcsaikat: problematikus Megbízható harmadik fél: költséges, gyakorlatban nehézkes a hosszú kulcsok miatt A kulcsmegosztási probléma során Alice és Bob biztonságosan szeretné egymással megosztani az OTP kódoláshoz szükséges kulcsot Az OTP módszert a kulcsmegosztás nehézsége és annak költségei miatt a gyakorlatban nem alkalmazzuk!

5 Enyhítés: Gyakorlati feltörhetetlenség Az OTP módszer garantálja az elméleti feltörhetetlenséget, a gyakorlati nehézségek miatt azonban nem alkalmazható hatékonyan Enyhítés: elég a gyakorlati feltörhetetlenség is Az RSA aszimmetrikus módszert is használhatjuk: Alice választ egy véletlen kulcsot, amelyet Bob publikus kulcsával kódol, majd elküldi Bobnak Bob dekódolja Alice üzenetét a saját privát kulcsával Az RSA azonban csak gyakorlati a feltörhetetlenséget garantálja További módszer: pl. hash függvények, stb Ezen módszerek mindegyike azonnal feltörhetővé válik a kvantumszámítógépek megjelenésével

6 Kvantumkriptográfia Az alkalmazott kvantumállapotok: 00 = 0 10 = 1 11 = = = + = Alice előállítja a két véletlenszerű n-bites sztringet: a, b {0,1} n Alice elküldi az = a1 b 1 a2 b 2 an b n kvantumállapotokat Bob-nak Bob a üzenet vételekor a véletlenszerű b' {0,1} n sztringnek megfelelően beméri a kvantumállapotokat: Ha b' i = 0 akkor Bob a kvantumbitet az {0, 1} bázisban méri be Ha b' i = 1 akkor pedig a {+, } bázissal dekódolja az állapotot A dekódolás után Bob oldalán kialakul az a' I állapotokból álló üzenet

7 Kvantumkriptográfia Bob dekódolási folyamata: Ha b' i = b i akkor a' i = a i Ha b' i b i akkor Pr[a' i = a i ] = ½ Bob a publikus csatornán keresztül közli Alice-el a dekódolás során használt bázisokat Alice közli az eltalált bázisok indexét Azon méréseket, ahol b' i b i a felek automatikusan eldobják a kulcsból Alice és Bob így csak az a és a' sorozat maradék bitjeivel foglalkoznak Ha Eve nem hallgatta le a kommunikációt, akkor a kulcsban csak az a = a' állapotok lehetnek Eve a lehallgatás során eltalálhatta a helyes bázist, ekkor a lehallgatása észrevétlen marad

8 Kvantumkriptográfia Eve nem juthat értékes információhoz a állapotról annak megzavarása nélkül Eve a lehallgatott bitek számának emelésével együtt a hibás a és a' bitek számát is megnöveli a kulcsban Alice és Bob a maradék a és a' bitek ellenőrzésével detektálhatja Eve jelenlétét A felek először a kulcs egy-egy véletlenszerűen részhalmazát ellenőrzik A hibás bitek számából megállapítható Eve jelenléte a kvantum-kommunikációban Az ellenőrzés során felhasznált a és a' biteket a felek eldobják a kulcsból (nagyjából a kulcs negyedét, n /4 bitet áldozunk erre)

9 Kvantumkriptográfia Amennyiben a vizsgált a és a' bitek hibaaránya egy adott küszöbszint alatt (nagyjából 11%) marad, akkor Alice és Bob elfogadja a maradék kulcsot A kulcsot a klasszikus OTP kódolás kulcsaként használják fel A kulcs ellenőrzése során alkalmazott technikákkal a felek biztosak lehetnek abban, hogy : A végső kulcs minden a és a' elemére a = a Eve információja a végleges a és a' bitekről elhanyagolható Az elméletileg tökéletes kommunikáció megvalósítható a gyakorlatban is?

10 Kvantum bit-commitment

11 Bit-commitment bit b elköteleződés felfedés Alice szeretné megosztani a b bit értékét Bobbal, úgy hogy: Alice bit-elkötelezése után Bob nem ismerheti meg a vett b bit értékét mindaddig, amíg ahhoz Alice nem járul hozzá Alice az elköteleződésén már nem változtathat a bit értékén Alice felfedési szakasza után: Bob megismeri b értékét, és azt elfogadja Bob visszautasíthatja Alice feloldási szakaszban küldött üzeneteit, ha azok eltérnek a protokolltól. Bob egyértelműen szeretné tudni, hogy amit elfogadott az biztosan az, amit Alice eredetileg is küldött.

12 Bit-commitment szemléltetése Elköteleződés: Alice leírja a b értékét egy papírra, bezárja egy széfbe, majd a széfet elküldi Bobnak. A kulcs Alice-nél marad. Feloldás: Alice elküldi a kulcsot Bob-nak, aki a kulccsal kinyitja a széfet Követelmények: Elköteleződés: Alice nem változtathat a b értékén az elküldés után Elrejtés: Bob nem ismerheti meg b értékét mindaddig, amíg azt Alice nem engedélyezi

13 A bit-commitment nehézsége A bit-commitment alapját az egyirányú függvények és a függvényekhez tartozó ősképellenálló lenyomatképzés jelenti f : {0,1} n {0,1} n h : {0,1} n {0,1} az f-függvényhez Elköteleződési szakasz: Alice választ egy véletlenszerű x {0,1} n sorozatot, kiszámítja az y = f (x) és c = bh(x) függvények értékeit, majd az y és c értékeket elküldi Bob-nak Felfedési szakasz: Alice elküldi az x üzenetet Bobnak, aki ellenőrzi az y = f (x) egyezőségét, majd kiszámítja az b = ch(x) értékét Az elköteleződési és az elrejtési kritérium teljesülésének alapját a h függvény visszafejtésének nehézsége jelenti.

14 Kvantum bit-commitment A kvantumkriptográfia elméleti feltörhetetlenségének sikerére alapozottan kísérletet tettek az elméletileg tökéletes biztonságot garantáló kvantum bit-commitment protokoll megalkotására Az ötlet: A 0 melletti elkötelezettséghez Alice a {0, 1} bázis elemei szerint kódolt véletlen bitsorozatot küldi Bobnak Az 1 melletti elkötelezettség során Alice a {+, } bázis szerint kódolt véletlen sztringet küldi Bobnak Bob minden egyes kvantumbitet bemér egy véletlenszerű bázisban Az felfedés során Alice közli Bob-bal a küldött kvantum-állapotok bázisát és értékét. Alice és Bob az egyes állapotokat azok indexe szerint (00, 01, 10, 11) azonosítják. Bob ellenőrzi a kapott mérési eredményeket. A kvantum bit-commitment protokoll biztonságának bizonyítása 1993-ban jelent meg. A bizonyítás azonban hibás volt!

15 Kvantum bit-commitment 1993 után több kísérletet is tettek a kvantum bit-commitment abszolút biztonságának bizonyítására, azonban sikertelenül A kvantum bit-commitment biztonsága elméletileg sem lehetséges. Alkalmazzuk a Schmidt-felbontást: Legyen egy tetszőleges kvantumállapot: = xx y Y x, y x y Ekkor léteznek olyan 1, 2,, m és 1, 2,, m ortonormált állapotok, amelyekkel: = zz z z z Tr 1 sajátvektorai

16 Kvantum bit-commitment Következmény: ha 0, 1 állapotokra fennáll az Tr = Tr összefüggés, akkor létezik olyan U unitér művelet (az első kvantumbiten végrehajtva) amellyel: (UI ) 0 = 1 Bizonyítás: Legyen ψ 0 β zz z μ z φ z és ψ 1 β zz z μ z φ z Ekkor: U z = z. Alice az elkötelezettségi szakaszban használhatja az 0 és 1 állapotokat együtt is, ahol a második állapotot elküldi Bobnak Azonban az U talkalmazásával a saját állapotára, Alice bármikor képes megváltozatni elköteleződését b = 0 -ről b = 1 re. Ehhez csak az 0 állapotról kell áttérnie a 1 állapotra.

17 Kvantum bit-commitment részletezése

18 Kvantum bit-commitment A kvantum bit-commitment elvi lehetetlenségének alapja: Tegyük fel, hogy a, A B állapotokra Ekkor létezik olyan U L A unitér operátor, amelyre U I. Közelítéssel : Tr olyan U L A, amelyre A rendszeren Tr 0 esetén is igaz, hogy létezik belüli 2 lehetséges tiszta kvantumállapot:,, Alice 0 vagy 1 bitjének értékétől függően. Az állapotokra fennáll, hogy: A A Tr. Tr B Tr A B U I. 0 Tr. B

19 Kvantum bit-commitment Ellenkező esetben Bob képes lenne bemérni a saját vagy állapotát, így információhoz juthatna 0 1 Alice b bitjével kapcsolatban. Alice ekkor végrehajthatná a saját kvantumállapotának megváltoztatását: U I 0 1. Minderről Bob nem szerez tudomást.

20 Hibás megközelítés Alice bitje : b 0, Bázisok: b=0 esetén: B 0, 1, b 1 esetén : B,. Az elküldött bit állapota: B b. Felfedési szakasz Első b it : bázis típusa Második bit: b bit értéke.. : Bob a küldött kvantumbitet a B bázisban méri be, ha a állapot b bemérésének eredménye eltér, akkor Alice megváltoztatta a b bit értékét.

21 Hibás megközelítés Hol a hiba? I. Titkossági kritérium ellenőrzése: b 0 esetén : 0 vagy 1 azonos valószínűséggel: I b 1 esetén : vagy azonos valószínűséggel: I Bob így nem képes meghatározni az elküldött b bit értékét a kódoláshoz használt bázis felfedését megelőő z en.

22 II. Feloldási kritérium sérülése Hibás megközelítés A kommunikáci ó kezdetén Alice nem egy, hanem két kvantumbitet generál, így egy EPR-állapottal kódolja a b bitet: Az első kvantumbitet megtartja, a másodikat pedig Bobnak továbbítja. Bob a felfedés előtt nem méri be a kvantumbitet. Ha Alice b=0 értéket szeretne nyilvánosságra hozni, akkor a saját kvantumbitj ét a B0 0,1 bázisban méri be. Ha a mérés eredménye 0: Bobnak 00-t küld, ha pedig 1 akkor 10-t küld.

23 Hibás megközelítés 1 Alice b= 1 esetén a B, bázist használja. Azaz egy H-transzformációt követően a 0, 1 bázisban méri be az állapotot. Ha Alice mérési eredménye 0, a Bobnál lévő kvantumbit állapota lesz, 1 esetén pedig, mivel : H I = Ekkor, ha Bob méréssel ellenőrzi Alice megbízhatóságát, mindig olyan eredményre jut, amely alapján Alice-t megbízhatónak tekinti. Bob pl. 01 esetén Alice állapotát nek hiszi, miközben Alice állapota 0. A feloldási kritérium tehát sérül.