量子密钥分配的基本原理.ppt

量子密钥分配的基本原理.ppt

《量子密钥分配的基本原理.ppt》由会员分享，可在线阅读，更多相关《量子密钥分配的基本原理.ppt（39页珍藏版）》请在冰豆网上搜索。

1量子密码学：

量子密码学：

从从“不可破译的密码不可破译的密码”到到“量子骇客量子骇客”戚兵bing.qiutoronto.ca电子与计算机工程系，多伦多大学，加拿大2信息时代？

密码时代？

信息时代？

密码时代？

儿子的生日+的前5位+姨妈的小名+?

3如何记住你的密码如何记住你的密码密码:

65423木条长度=0.65423m可变长度范围L1m信息容量log2（L/）20bits长度测量精度=10-6m长度测量读出密码4信息与测量信息与测量信息的获取涉及测量过程；测量精度决定可获取的信息量；经典物理测量过程可以不改变被测物体状态；窃听者可以获取信息而不被发现。

量子物理测量过程一般会改变被测物体状态（测不准原理）；量子力学提供了探测窃听的手段。

5报告内容报告内容量子密码学简介；实际量子密钥分配（QKD）系统安全性研究安全漏洞及攻击方案防御措施总结量子密钥分配（QKD）的基本原理67现代密码学中现代密码学中“不可破译不可破译”的密码的密码“一次一密一次一密”加密方式加密方式明文明文011010011010XOR110010XOR110010XOR=XOR=Exclusive-ORExclusive-OR101000101000密文密文通道通道101000101000密文密文XOR110010XOR110010011010011010明文明文如果1）密钥的长度=信息的长度2）密钥只使用一次“一次一密”原理上原理上绝对安全（Shannon1949）如何在发送者与接收者间建立如何在发送者与接收者间建立密钥？

密钥分配问题密钥？

密钥分配问题发送者发送者AliceAlice窃听者窃听者EveEve接收者接收者BobBob密钥密钥密钥密钥VENONAProject:

SillyBugsCanKillSeriousCryptosystemsSovietUnionspiedinManhattanproject!

SpiescommunicationswithMoscowwereencryptedbyone-timepad.Owingtoproceduralerrors,Sovietre-usedone-time-pad!

From1948to1951,numerousSovietspieswereuncoveredandprosecuted.Today,everyonecanviewtheseencryptedtables.89量子力学：

测量过程对量子态产生扰动量子密钥分配的基本原理量子密钥分配的基本原理1011100000110110011010001101AliceBobEve量子编码Errors随机数发生器过高的比特误码率窃听者的存在10要点1利用单个量子态编码：

例如单个光子的偏振态。

！

EveEve可以进行可以进行“截取截取-测量测量-再发送再发送”攻击攻击实例：

实例：

BB84BB84协议（协议（11）101101“1”“0”AliceBob900偏振比特值偏振分光镜单光子探测器11AliceBob90101101“1”“0”基一101101“1”“0”基二/2013545实例：

实例：

BB84BB84协议（协议（22）要点2:

两组非对易“基”Alice/Bob随机改变“发送基”/“测量基”Alice/Bob只保留“相同基”的数据12Alices比特值1001011101Alices编码基Alices偏振13545013509090135090Bobs测量基Bobs测量结果0450*13590135*090Bobs比特值00011101Siftedkey（相同基）00101:

基1;:

基2;*:

没有探测到光子（损耗）Alice编码基一“+”：

0偏振“0”；90偏振“1”基二“”：

45偏振“0”；135偏振“1”Bob随机选取测量基：

“+”-0/90或“”-45/135实例：

实例：

BB84BB84协议（协议（33）实例：

实例：

BB84BB84协议（协议（44）13安全性的直观理解量子力学：

不可能区分0/45/90/135偏振的单光子量子非克隆原理；Eve随机选取基测量，再发送引入比特误差（25%）；Eve获得的信息量越大比特误差率越高；安全性证明：

建立比特误差率与Eve的最大信息量间的关系。

只要I（A:

B）I（A:

E）或者I（A:

B）I（E:

B），Alice和Bob就可以产生密钥。

实际系统中噪声的影响无法区分噪声引入的比特误差与Eve引入的比特误差；保守的估计：

所有的比特误差归结于Eve的攻击；高噪声的系统无法证明安全性。

量子密钥分配中的传统信息通道量子密钥分配中的传统信息通道14Alice与Bob间的传统认证通道o防止“Man-in-the-middle”攻击；o利用传统密码学方法实现，Alice和Bob预先建立密钥；oQKD密钥扩展协议。

比较编码基/测量基；比特误差率的估计；误差校正（ErrorCorrection）：

产生全同密钥；隐私放大（PrivacyAmplification）：

产生安全的密钥。

现状及未来现状及未来15实验系统距离：

自由空间：

150km；光纤：

250km效率：

（50km）：

1Mbits/S商用系统距离：

100km（光纤）效率：

0012.探测器效率的不匹配26Eve随机“时移”量子信号01or10；对应每一个信号，特定的单光子探测器有更高的效率；Eve获得密钥部分信息。

B.Qi,C.-H.F.Fung,H.-K.Lo,andX.Ma,Quant.Info.Compu.7,73（2007）.“Time-shiftTime-shift”攻攻击基本原理基本原理27“Time-shiftTime-shift”攻击攻击实验实验Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,H.-K.Lo,PhysicalReviewA78042333（2008）商用QKD系统（瑞士，IDQUANTIQUE）OVDL：

可调光学延迟首次成功攻击商用QKD系统28攻击实验结果攻击实验结果Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,andH.-K.Lo,Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,andH.-K.Lo,PRA78:

042333（2008）.PRA78:

042333（2008）.Lowerbound（ignoringtheattack）6.81e-5Upperbound（consideringtheattack）6.76e-529为什么攻击会成功？

为什么攻击会成功？

Alice将随机数编码在单光子的偏振态；Eve将她自己的随机数编码在同一个光子的其它自由度（时移）；测量前，Alice的随机数同Eve的随机数相互独立；Bob的非理想探测器（探测效率不匹配）“Post-select”Alice和Eve比特值相同的事件（“fairsampling”不再成立）。

30防御措施防御措施精确检测信号到达时间；四相位调制方案Bob随机改变单光子探测器与比特值的对应关系；*C.-H.F.Fung,K.Tamaki,B.Qi,H.-K.Lo,andX.Ma,QIC9:

131（2009QIC9:

131（2009）探测器效率不匹配条件下的安全性证明*硬件措施软件措施31教训教训QKD协议的安全性实际系统的安全性；Eve利用实际系统的不完善发起攻击；一旦发现了安全漏洞，找到相应的防御措施不太困难；如何寻找安全漏洞？

o“Quantumhacking”更通用的解决方案？

o设计“不依赖”于实际系统的QKD协议32更通用的解决方案更通用的解决方案

（1）SourcePMPMSPD0,/2,3/20,/2,3/2AliceBob四相位调制方案Bob随机改变单光子探测器与比特值的对应关系；Eve即使知道特定的探测器响应，也无法获得对应的比特值。

“1”or“0”“0”or“1”33Failed:

detectorblindingattack*利用强光照射单光子探测器进入线性工作状态；Eve进行“截取再发送”攻击；只有当Bob和Eve使用的基相同，探测器才会相应“basisdependent”post-selection*LarsLydersen,etal.,NaturePhotonics4,686-689（2010）34Time-ReversedEPRQuantumKeyDistribution*H.Inamori,Algorithmica34,pp.340-365（2002）BellmeasurementAliceSinglephotonsourcePolarizationmodulationBobSinglephotonsourcePolarizationmodulationEveBB84statesBB84states假设：

Alice与Bob正确制备量子态。

优点：

测量系统可以完全受Eve控制。

更通用的解决方案更通用的解决方案

（2）Basicidea:

qAliceandBobcanperformBellinequalitiestestwithoutknowinghowthedeviceactuallyworks.qAslongasAliceandBobcanverifytheexistenceofentanglement,itispossibletogeneratesecurekey.35“Deviceindependent”QKD1,21D.MayersandA.C.-C.Yao,inProceedingsofthe39thAnnualSymposiumonFoundationsofComputerScience（FOCS98）（IEEEComputerSociety,Washington,DC,1998）,p.503.2A.Acn,N.Brunner,N.Gisin,S.Massar,S.PironioandV.Scarani,Phys.Rev.Lett.98,230501（2007）.假设q量子力学是正确的;q测量基的选择是完全随机的;q信息不能随意从Alice和Bob的系统中泄露出去。

局限qDI-QKDishighlyimpracticalasitrequiresanearunitydetectionefficiencyandeventhengeneratesanextremelylowkeyrate（oforder10-10bitperpulse）atpracticaldistances1,2.361N.Gisin,S.PironioandN.Sangouard,Phys.Rev.Lett.105,070501（2010）.2M.CurtyandT.Moroder,Phys.Rev.A84,010304（R）（2011）.“Deviceindependent”QKD37总结总结qQKD协议的安全性实际系统的安全性q两种研究手段q设计“不依赖”于实际系统的QKD协议q攻击测试的重要性。

38Acknowledgements39“Quantumencryption”BingQi,LiQian,andHoi-KwongLoGabrielCristobal,PeterSchelkens,HugoThienpont（Eds.）OpticalandDigitalImageProcessing:

FundamentalsandApplications,Weinheim:

WILEY-VCHVerlagGmbH&Co.KGaA,769-787（2011）.（Anextendedversionisavailableonline:

arXiv:

1002.1237v2）