Протокол квантового шифрования T-12

Протокол квантового шифрования Т-12 - один из протоколов квантовой криптографии, который устраняет идеализации протокола QKD, и включает в себя все функции, которые могут повысить практичность протокола QKD. Среди них эффективный выбор базиса и интенсивности света, плюс другие особенности, которые будут следовать из доказательства безопасности протокола. В свою очередь, анализ безопасности облегчается определением протокола, потому что все шаги, ведущие к окончательной степени безопасности ключа, воссоединяются под уникальным описанием.

Общие сведения о протоколе

Предполагается, что передатчик (Алиса) имеет случайный по фазе источник когерентных состояний. Это делает источник статистически равным пуассоновскому распределению числовых состояний, так что, когда среднее число фотонов или просто интенсивность от источника света равно μ, вероятность посылки импульса k-фотона является пуассоновской: e − μ μ k k ! {displaystyle {frac {e^{-mu }mu ^{k}}{k!}}} . Импульсы света модулируются как по интенсивности, так и по другой степени свободы, которая используется для кодирования квантовой информации. Это может быть, например, поляризация или относительная фаза асимметричного интерферометра Маха-Цендера. Для интенсивности Алиса случайным образом выбирает среди трех возможных значений, которые мы обозначаем через u (сигнал), v (decoy1) и w (decoy2). Удобно ввести специальную метку интенсивности μ j {displaystyle mu _{j}} с j = {0,1,2}, чтобы μ 0 {displaystyle mu _{0}} = u, μ 1 {displaystyle mu _{1}} = v и μ 2 {displaystyle mu _{2}} = w. Тогда символ μ указывает общее значение интенсивности, в то время как символ μ j {displaystyle mu _{j}} представляет собой индекс интенсивности, принимающий три конкретных значения интенсивности u, v и w. Значения μ j {displaystyle mu _{j}} выбираются с вероятностями p μ j {displaystyle p_{mu _{j}}} = ( p u {displaystyle p_{u}} , p v {displaystyle p_{v}} , p w {displaystyle p_{w}} ), и обычно p u ≫ p v > p w {displaystyle p_{u}gg p_{v}>p_{w}} .

Для кодирования Алиса случайным образом выбирает одно из четырех возможных состояний, как в стандартном протоколе BB84 , обозначенных как | 0 z ⟩ {displaystyle |0_{z} angle } и | 1 z ⟩ {displaystyle |1_{z} angle } (Z базис)

и | 0 x ⟩ = | 0 z ⟩ + | 1 z ⟩ 2 {displaystyle {displaystyle |0_{x} angle }={frac {{displaystyle |0_{z} angle }+{displaystyle |1_{z} angle }}{sqrt {2}}}} и | 1 x ⟩ = | 0 z ⟩ − | 1 z ⟩ 2 {displaystyle {displaystyle |1_{x} angle }={frac {{displaystyle |0_{z} angle }-{displaystyle |1_{z} angle }}{sqrt {2}}}} (X базис). Базисы Z и X выбираются с вероятностями p z ≥ 1 2 {displaystyle p_{z}geq {frac {1}{2}}} , p x = 1 − p z {displaystyle p_{x}=1-p_{z}} . В соответствии с этим соглашением Z является более предпочтительным базисом, а X - менее предпочтительным. Когда p z > p x {displaystyle p_{z}>p_{x}} , происходит увеличение эффективности по сравнению со стандартным протоколом BB84, в котором p z = p x {displaystyle p_{z}=p_{x}} .

Интенсивность и состояния выбираются Алисой независимо , так что можно связать любое состояние с любой другой интенсивностью. Это обеспечивает более простую реализацию и предотвращает случайные корреляции между интенсивностью и кодированием информации. Кроме того, возможно

выделить ключевые биты от обоих базисов и получить стандартный результат BB84 как частный случай, когда p z = p x {displaystyle p_{z}=p_{x}} . Такая адаптивность полезна на практике, так как оптимальное соотношение между базисами может зависеть от характеристик квантового канала.

В одном сеансе ключа N импульсов отправляется передатчиком(Алисой) на приемник (Боб). Из-за потерь в канале и детекторе Боб регистрирует только непустые значения C < N {displaystyle C<N} в каждом сеансе. Из этих подсчетов пользователи получают окончательный ключ с помощью ряда классических процедур, которые требуют связи по общедоступному каналу. Они включают просеивание, чтобы выбрать непустые числа с соответствующими базисами; коррекция ошибок (EC), для определения количества ошибок при передаче (E) в непустых счетах и ​​исправление их; усиление конфиденциальности (PA), чтобы удалить для потенциального подслушивающего устройства (Евы) информацию, которая, возможно, просочилась к ней; проверка подлинности и проверка, чтобы предотвратить атаки «человек посередине» и гарантировать, что строки пользователей совпадают с вероятностью, произвольно близкой к 1.

Всю эту информацию можно использовать для разделения чисел N, C и E на более мелкие группы в соответствии с пользовательским выбором базиса и интенсивности для каждого импульса, таким образом реализуя расширенный анализ данных, необходимый для протокола T12. Если базы не совпадают, данные отбрасываются с помощью процедуры просеивания. Из результатов с совпадающими базисами могут быть получены величины, обобщенные в Таблице 1.

Количество импульсов N удовлетворяет следующим соотношениям:

N = ∑ j = ( 0 , 1 , 2 ) N μ j {displaystyle N= extstyle sum _{j=(0,1,2)}displaystyle N_{mu _{j}}}

N μ j = N μ j Z Z + N μ j Z X + N μ j X Z + N μ j X X {displaystyle N_{mu _{j}}=N_{mu _{j}ZZ}+N_{mu _{j}ZX}+N_{mu _{j}XZ}+N_{mu _{j}XX}}

Аналогичные соотношения имеют место для C и E. Эти величины и знание μ j {displaystyle mu _{j}} используются для оценки безопасности протокола в сценарии конечного размера. Конечная степень защищенности протокола задается суммой двух степеней защищенности ключей, извлеченных из сигнальных импульсов отдельно в двух базисах.

Описание работы протокола

N импульсов протокола T12 подготавливаются Алисой с использованием ослабленного лазера, который излучает серию слабых когерентных состояний со случайными фазами. Она также варьирует интенсивность лазера, чтобы реализовать технику состояния приманки. Было показано, что этот источник статистически эквивалентен подготовке N запутанных состояний ρ A N B N {displaystyle ho _{{A^{N}}B^{N}}} с последующим измерением Алисой подпространства A. Такое измерение может быть выполнено в любое время, поэтому его можно отложить в самом конце протокола без потери общности, оставляя таким образом запутанное состояние, совместно используемое пользователями.

Одно запутанное состояние ρ A B {displaystyle ho _{AB}} , вносящее вклад в ρ A N B N {displaystyle ho _{{A^{N}}B^{N}}} , можно записать в виде:

ρ A B = | Φ D ( k ) ⟩ A B ⟨ Φ D ( k ) | {displaystyle ho _{AB}=|Phi _{D}^{(k)} angle _{AB}langle Phi _{D}^{(k)}|} , где D = {Z,X} - базисный индекс, k - количество фотонов в световом импульсе, и | Φ D ( k ) ⟩ A B = | 0 D ⟩ A | 0 D ( k ) ⟩ B + | 1 D ⟩ A | 1 D ( k ) ⟩ B 2 {displaystyle |Phi _{D}^{(k)} angle _{AB}={frac {|0_{D} angle _{A}|0_{D}^{(k)} angle _{B}+|1_{D} angle _{A}|1_{D}^{(k)} angle _{B}}{sqrt {2}}}}

Состояния | 0 D ⟩ {displaystyle |0_{D} angle } и | 1 D ⟩ {displaystyle |1_{D} angle } были определены в предыдущем параграфе, а состояния | 0 D ( k ) ⟩ {displaystyle |0_{D}^{(k)} angle } и | 1 D ( k ) ⟩ {displaystyle |1_{D}^{(k)} angle } - являются состояниями k-фотонов в базисе D со значениями битов 0 и 1 соответственно.

В качестве второго шага мы предполагаем, что детекторы Боба являются пороговыми детекторами с одинаковой эффективностью. Когда ни один детектор не щелкает, Боб регистрирует пустой счет, тогда как все остальные случаи являются непустыми счетами. Кроме того, результаты измерений Боба не являются неоднозначными, если мы назначим ортогональные результаты для двух детекторов и двойные счета для одного из двух детекторов, выбранных случайным образом.

После того, как N сигналов были распределены, Боб обнаружил С непустых значений. Используя открытый (аутентифицированный) канал, пользователи запускают процедуру просеивания, в которой они отбрасывают данные, соответствующие пустым счетчикам и несовпадающим базисам, и остаются с парой необработанных ключей. Выполняя процедуру PE, они могут вычислять из своих данных статистику λ ( a , b ) {displaystyle lambda _{(a,b)}} , то есть частоты обнаруженных символов и ошибок в обнаруженных символах. Это позволит им вывести максимальную информацию, полученную Евой во время ключевой сессии. После этого EC и PA завершат процедуру дистилляции ключа и предоставят им окончательный ключ.

Степень защищенности ключа

В предположении коллективных атак, степень защищенности на обнаруженный кубит r = L n {displaystyle r={frac {L}{n}}} для любого протокола, который соответствует описанию, приведенному выше. Это позволяет нам использовать этот метод для оценки степени безопасности ключа протокола T12 в случае конечного размера. В определении r символ L - это количество защищенных битов после PA, а n - это число необработанных битов ключа перед EC, которые будут вносить вклад в окончательный ключ.

В протоколе T12 это n = C u Z Z {displaystyle n=C_{uZZ}} или n = C u X X {displaystyle n=C_{uXX}} в зависимости от того, извлечены ли защищенные биты из базиса Z или из базиса X соответственно. Далее для простоты мы предполагаем, что защищенные биты получены из Z-базиса. Поэтому мы опускаем основную метку. Тем не менее, все результаты верны и для X-базиса, и окончательная степень дается суммой двух степеней из двух отдельных базисов.

Мы можем записать степень защищенности на обнаруженный кубит следующим образом:

r = H ξ P E ( A | E ) − l e a k E C + Δ n {displaystyle r=H_{xi _{PE}}(A|E)-{frac {leak_{EC}+Delta }{n}}} (1), где

H ξ A B = min σ A E ∈ Γ ξ P E H ( A | E ) {displaystyle H_{xi _{AB}}=min _{sigma _{AE}in Gamma _{xi _{PE}}}H(A|E)} (2)

Δ = 7 n log 2 ⁡ ( 2 ξ s − ξ P E ) + 2 log 2 ⁡ [ 1 2 ( ξ − ξ s − ξ E C ) ] {displaystyle Delta =7{sqrt {nlog _{2}({frac {2}{xi _{s}-xi _{PE}}})}}+2log _{2}[{frac {1}{2(xi -xi _{s}-xi _{EC})}}]} (3)

Термин l e a k E C {displaystyle leak_{EC}} учитывает количество битов, публично переданных во время EC. Это классическая величина и может быть измерена непосредственно в эксперименте. Распространенным способом оценки этого является использование выражения утечки l e a k E C = n f E C h ( Q Z ) {displaystyle leak_{EC}=nf_{EC}h(Q_{Z})} , где h (.) - двоичная энтропия, а Q Z {displaystyle Q_{Z}} - частота ошибок по битам, измеренная в базисе Z. Параметр f E C ≥ 1 {displaystyle f_{EC}geq 1} учитывает эффективность EC. В формуле (2) условная энтропия фон Неймана H ( A | E ) {displaystyle H(A|E)} представляет неуверенность Евы в отношении строки Алисы. Она должна быть минимизирована по всем возможным совместным состояниям Алисы-Евы σ A E {displaystyle sigma _{AE}} , которые содержатся в множестве Γ ξ P E {displaystyle Gamma _{xi _{PE}}} , указанном позже вместе с другими величинами, фигурирующими в уравнении (3).

См.также