量子密码学.ppt

《量子密码学.ppt》由会员分享，可在线阅读，更多相关《量子密码学.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1量子密码学：量子密码学：从从“不可破译的密码不可破译的密码”到到“量子骇客量子骇客”戚兵bing.qiutoronto.ca电子与计算机工程系，多伦多大学，加拿大2信息时代？密码时代？信息时代？密码时代？儿子的生日+的前5位+姨妈的小名+?3如何记住你的密码如何记住你的密码密码:65423木条长度=0.65423m可变长度范围 L 1 m信息容量 log2(L/)20 bits长度测量精度 =10-6 m长度测量 读出密码4信息与测量信息与测量信息的获取涉及测量过程；测量精度决定可获取的信息量；经典物理测量过程可以不改变被测物体状态；窃听者可以获取信息而不被发现。量子物理测量过程一般会改变被

2、测物体状态（测不准原理）；量子力学提供了探测窃听的手段。5报告内容报告内容量子密码学简介；实际量子密钥分配(QKD)系统安全性研究安全漏洞及攻击方案防御措施总结量子密钥分配（QKD）的基本原理67现代密码学中现代密码学中“不可破译不可破译”的密码的密码“一次一密一次一密”加密方式加密方式明文明文011010011010XOR 110010XOR 110010 XOR=XOR=Exclusive-ORExclusive-OR101000101000密文密文通道通道101000101000密文密文XOR 110010XOR 110010011010011010明文明文如果1）密钥的长度=信息的长度

3、2）密钥只使用一次“一次一密”原理上原理上绝对安全(Shannon 1949)如何在发送者与接收者间建立如何在发送者与接收者间建立密钥？密钥分配问题密钥？密钥分配问题发送者发送者AliceAlice窃听者窃听者EveEve接收者接收者BobBob密钥密钥密钥密钥VENONA Project:Silly Bugs Can Kill Serious CryptosystemsSoviet Union spied in Manhattan project!Spies communications with Moscow were encrypted by one-time pad.Owing to

4、procedural errors,Soviet re-used one-time-pad!From 1948 to 1951,numerous Soviet spies were uncovered and prosecuted.Today,everyone can view these encrypted tables.89量子力学：测量过程 对量子态产生扰动量子密钥分配的基本原理量子密钥分配的基本原理1011100000110110011010001101AliceBobEve量子编码Errors随机数发生器过高的比特误码率窃听者的存在10要点1利用单个量子态编码：例如单个光子的偏振态。

5、！Eve Eve 可以进行可以进行“截取截取-测量测量-再发送再发送”攻击攻击实例：实例：BB84BB84协议（协议（1 1）1 0 1 1 0 1“1”“0”Alice Bob 90 0偏振 比特值偏振分光镜 单光子探测器11Alice Bob 901 0 1 1 0 1“1”“0”基一1 0 1 1 0 1“1”“0”基二/20135 45实例：实例：BB84BB84协议（协议（2 2）要点2:两组非对易“基”Alice/Bob随机改变“发送基”/“测量基”Alice/Bob 只保留“相同基”的数据12Alices 比特值1001011101Alices 编码基Alices 偏振13545

6、013509090135090Bobs 测量基Bobs 测量结果0450*13590135*090Bobs 比特值00011101Sifted key（相同基）00101:基1;:基2;*:没有探测到光子（损耗）Alice编码基一“+”：0 偏振“0”；90偏振“1”基二“”：45 偏振“0”；135偏振“1”Bob随机选取测量基：“+”-0/90 或“”-45/135实例：实例：BB84BB84协议（协议（3 3）实例：实例：BB84BB84协议（协议（4 4）13安全性的直观理解量子力学：不可能区分0/45/90/135偏振的单光子量子非克隆原理；Eve随机选取基测量，再发送引入比特误差（

7、25%）；Eve获得的信息量越大比特误差率越高；安全性证明：建立比特误差率与Eve的最大信息量间的关系。只要I(A:B)I(A:E)或者I(A:B)I(E:B)，Alice和Bob就可以产生密钥。实际系统中噪声的影响无法区分噪声引入的比特误差与Eve引入的比特误差；保守的估计：所有的比特误差归结于Eve的攻击；高噪声的系统无法证明安全性。量子密钥分配中的传统信息通道量子密钥分配中的传统信息通道14Alice与Bob间的传统认证通道o防止“Man-in-the-middle”攻击；o利用传统密码学方法实现，Alice和Bob预先建立密钥；oQKD密钥扩展协议。比较编码基/测量基；比特误差率的估计

8、；误差校正（Error Correction）：产生全同密钥；隐私放大（Privacy Amplification)：产生安全的密钥。现状及未来现状及未来15实验系统距离：自由空间：150km；光纤：250km效率：（50km）：1Mbits/S商用系统距离：100km(光纤）效率：0012.探测器效率的不匹配26Eve 随机“时移”量子信号 01 or 10；对应每一个信号，特定的单光子探测器有更高的效率；Eve 获得密钥部分信息。B.Qi,C.-H.F.Fung,H.-K.Lo,and X.Ma,Quant.Info.Compu.7,73(2007).“Time-shiftTime-shi

9、ft”攻攻击基本原理基本原理27“Time-shiftTime-shift”攻击攻击实验实验Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,H.-K.Lo,Physical Review A 78 042333(2008)商用QKD系统（瑞士，ID QUANTIQUE）OVDL：可调光学延迟首次成功攻击商用QKD系统28攻击实验结果攻击实验结果Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,and H.-K.Lo,Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,and H.-K.Lo,PRA 78:042333(2008).PRA 78:042333(

10、2008).Lower bound(ignoring the attack)6.81e-5Upper bound(considering the attack)6.76e-5 29为什么攻击会成功？为什么攻击会成功？Alice将随机数编码在单光子的偏振态；Eve将她自己的随机数编码在同一个光子的其它自由度（时移）；测量前，Alice的随机数同Eve的随机数相互独立；Bob的非理想探测器（探测效率不匹配）“Post-select”Alice和Eve比特值相同的事件（“fair sampling”不再成立）。30防御措施防御措施精确检测信号到达时间；四相位调制方案Bob随机改变单光子探测器与比特值

11、的对应关系；*C.-H.F.Fung,K.Tamaki,B.Qi,H.-K.Lo,and X.Ma,QIC 9:131(2009QIC 9:131(2009)探测器效率不匹配条件下的安全性证明*硬件措施软件措施31教训教训QKD协议的安全性 实际系统的安全性；Eve利用实际系统的不完善发起攻击；一旦发现了安全漏洞，找到相应的防御措施不太困难；如何寻找安全漏洞？o“Quantum hacking”更通用的解决方案？o设计“不依赖”于实际系统的QKD协议32更通用的解决方案更通用的解决方案 （1）SourcePMPMSPD0,/2,3/20,/2,3/2AliceBob四相位调制方案Bob 随机改

12、变单光子探测器与比特值的对应关系；Eve 即使知道特定的探测器响应，也无法获得对应的比特值。“1”or“0”“0”or“1”33Failed:detector blinding attack*利用强光照射单光子探测器进入线性工作状态；Eve进行“截取再发送”攻击；只有当Bob和Eve使用的基相同，探测器才会相应“basis dependent”post-selection*Lars Lydersen,et al.,Nature Photonics 4,686-689(2010)34Time-Reversed EPR Quantum Key Distribution*H.Inamori,Algo

13、rithmica 34,pp.340-365(2002)Bell measurementAliceSingle photon sourcePolarization modulationBobSingle photon sourcePolarization modulationEveBB84 statesBB84 states假设：Alice 与 Bob 正确制备量子态。优点：测量系统可以完全受Eve控制。更通用的解决方案更通用的解决方案 （2）Basic idea:qAlice and Bob can perform Bell inequalities test without knowing

14、 how the device actually works.qAs long as Alice and Bob can verify the existence of entanglement,it is possible to generate secure key.35“Device independent”QKD1,21 D.Mayers and A.C.-C.Yao,in Proceedings of the 39th Annual Symposium on Foundations of Computer Science(FOCS98)(IEEE Computer Society,W

15、ashington,DC,1998),p.503.2 A.Acn,N.Brunner,N.Gisin,S.Massar,S.Pironio and V.Scarani,Phys.Rev.Lett.98,230501(2007).假设q量子力学是正确的;q测量基的选择是完全随机的;q信息不能随意从Alice和Bob的系统中泄露出去。局限qDI-QKD is highly impractical as it requires a near unity detection efficiency and even then generates an extremely low key rate(of

16、order 10-10 bit per pulse)at practical distances 1,2.361 N.Gisin,S.Pironio and N.Sangouard,Phys.Rev.Lett.105,070501(2010).2 M.Curty and T.Moroder,Phys.Rev.A 84,010304(R)(2011).“Device independent”QKD37总结总结qQKD协议的安全性 实际系统的安全性q两种研究手段q设计“不依赖”于实际系统的QKD协议q攻击测试的重要性。38Acknowledgements39“Quantum encryption”Bing Qi,Li Qian,and Hoi-Kwong LoGabriel Cristobal,Peter Schelkens,HugoThienpont(Eds.)Optical and Digital Image Processing:Fundamentals and Applications,Weinheim:WILEY-VCH Verlag GmbH&Co.KGaA,769-787(2011).(An extended version is available online:arXiv:1002.1237v2)