Ondřej Oubrecht, konzultant pro síťovou infrastrukturu v NTT DATA, pro tento článek přehledně sesumarizoval a zpřístupnil podklady od kolegů z NTT k tématu Quantum Key Distribution (QKD), tedy jedné z klíčových technologií budoucí bezpečné komunikace.
Dozvíte se, zda jsou dnešní šifrovací metody skutečně v ohrožení a jaké technologie mohou ochránit data i v éře kvantových počítačů. Článek přináší stručný přehled principů QKD, jeho významu i aktuálního směru výzkumu v NTT.
Quantum Key Distribution Technologie
Kvantová mechanika se zrodila na počátku 20. století a prosadila se jako základní princip ovládající různé druhy fyziky v nanorozměrech, od elektroniky, jako jsou tranzistory, až po molekuly a biomateriály. Ve 20. století se objevila další rychle se rozvíjející oblast: informační a komunikační technologie (ICT). V poslední době byla velká pozornost věnována nové atraktivní oblasti výzkumu, kvantová informační a komunikační technologie (QICT), která je založena na těchto dvou zdánlivě stěží propojitelných oblastech. QICT umožňuje hlubší pochopení kvantové mechaniky prostřednictvím nových přístupů k ověřování jejích principů, a také zcela nové funkce, které nelze realizovat pomocí klasických informačních a komunikačních technologií (ICT), například umožňují řešit extrémně obtížné problémy v krátkém čase pomocí kvantových počítačů, zcela bezpečnou komunikaci pomocí kvantové distribuce šifrovacích klíčů a kvantové certifikace. Mezi různými kvantovými médii od elementárních částic až po makroskopické kvantové stavy, jako jsou např. supravodivé stavy, je foton nejvhodnějším kandidátem pro kvantovou komunikaci. Foton je kvantová částice světla. Nejzákladnější formou kvantové komunikace je kvantová distribuce klíčů (QKD), která umožňuje sdílení tajných klíčů mezi dvěma vzdálenými stanicemi prostřednictvím zasílání fotonů se zakódovanou informací. Významnou vlastností této technologie je nemožnost odposlechu, protože kvantová informace je při odposlechu zničena a nedoputuje k příjemci, což je u konvenční komunikace téměř nemožné.
Krátká historie distribuce šifrovacího klíče pomocí detekce kvantových stavů QKD (Quantumm Key Distribution)
V prostředí veřejného internetu je velké riziko odcizení či zneužití dat a toto riziko nelze snížit na nulu ani při přenosu digitálních dat prostřednictvím pronajatých nebo vlastních datových spojů. Proto se při zasílání hesel nebo čísel kreditních karet používá kryptografická technologie. Široce používaný je tzv. kryptosystém veřejného klíče (Public Key Cryptosystem): jeho zabezpečení je založeno na určitých obtížných matematických rovnicích. Proto jeho zabezpečení závisí na vývoji výkonu počítačů a matematických algoritmů. Naproti tomu One Time Pad (OTP) kryptosystém je dlouhodobě znám tím, že je nemožné jej prolomit. Nicméně dvě strany (odesílatel zvaný Alice a příjemce zvaný Bob), potřebují mezi sebou sdílet bezpečnostní klíč, který je náhodně vygenerován. QKD může poskytnout metodu distribuce takových klíčů zcela bezpečným způsobem.
Základní princip QKD je znázorněn na obr. 1. Alice si připraví dlouhé náhodné pole bitů složené z nul a jedniček, zakóduje tuto binární informaci na fotony, které jsou kvantovým kanálem (např. optickým vláknem) odeslány Bobovi. Bob získá logical bit (základní jednotku informace) pomocí detekce každého fotonu. Doposud se toto jeví jako klasická komunikace, ale rozdíl je zřejmý, pokud dojde k pokusu o odposlech šifrovacího klíče odeslaného pomocí QKD. V klasické komunikaci lze informaci odcizit větvením její části. Ale kvantová informace zakódovaná na elementární částici, fotonu, nelze nijak rozdělit, jedinou možností je vzít ji celou. Krádež dat se rovná prosté ztrátě těchto dat, což je okamžitě detekovatelné. Pokud je ukradena pouze část dat, zbývající bity mohou být stále využity s tím, že Bob později sdělí Alici pozici ztracených bitů. Chytrý odposlouchávač nebo zloděj by mohl posílat falešné fotony na základě výsledků měření ukradených fotonů.
Nelze měřit kvantový stav fotonu, aniž by se změnil nekontrolovatelným způsobem (zpětné měření), takže falešné signály závislé na tomto měření nevyhnutelně vnášejí bitové chyby do Bobova měření (detekce). Teorém o nemožnosti klonování v kvantové mechanice zakazuje, aby odposlouchávač (zloděj) kopíroval fotony před měřením (detekcí). Proto není možné pro odposlouchávače získat klíčovou informaci bez vyvolání bitových chyb. Jinými slovy, Alice a Bob mohou rozpoznat přítomnost odposlouchávače podle detekce bitových chyb.
V prvním protokolu QKD navrženém v roce 1984, tzv. BB84 podle C. H. Bennetta a G. Brassarda, přiřazuje Alice logické bity 0 a 1 stavu polarizace fotonu pomocí dvou náhodně vybraných setů (bází), a to cirkulární polarizaci (pravotočivá right-hand polarizace a levotočivé left-hand polarizace) nebo lineární polarizaci (horizontální a vertikální). Bob změří foton po náhodném výběru způsobu měření, ale získá správný výsledek pouze v případě, že si zvolil stejný způsob jako Alice. Po přenosu fotonu si tedy Alice a Bob vymění informace o svých způsobech měření a vyselektují pouze ten klíč, který odpovídá stejnému způsobu měření. Porovnají část získaného sifted key (filtrovaného klíče), aby zkontrolovali chybovost. Pokud je chybovost menší než určitá prahová hodnota, mohou vyvodit závěr, že není přítomen žádný odposlouchávač. Nakonec je vygenerován bezpečný klíč pomocí postprocess – error correction.
Bezpodmínečný důkaz, který potvrzuje vysokou bezpečnost kvantové distribuce klíčů, i když odposlouchávač využije všechny fyzicky možné akce, je známý již od protokolu BB84, kdy můžeme použít ideální jednofotonový emitor, který emituje fotony přesně každý zvlášť. Nedávno byla prokázána bezpodmínečná bezpečnost pro zeslabený koherentní (laserový) zdroj, místo single-photon emitoru s použitím decoy-BB84. Byly navrženy také jiné protokoly QKD než BB84 a jejich bezpečnost byla zkoumána.
Optická vlákna jsou doposud nejoblíbenějším kvantovým kanálem, ale polarizační stavy, které byly původně navrženy v BB84, nelze stabilně udržet na velkou vzdálenost. Místo toho, jak je znázorněno na obr. 2, se v případě, že se foton nachází buď v časové bázi (foton se nachází v prvním nebo druhém impulsu) nebo fázové bázi (relativní fázi fotonu, který se rozprostírá přes dva impulsy, je buď 0 nebo π). Alternativně lze použít dvě báze relativních fází {0, π} nebo {π/2, 3π/2}.
V reálných systémech se rychlost generování bezpečnostního klíče a distribuční vzdálenost omezena citlivostí, dark count rate single-photon detektoru (Single Photon Detector dále jen SPD) a ztrátou kvantového kanálu. Jak daleko můžeme bezpečný klíč distribuovat? Když používáme optická vlákna, musíme použít fotony o vlnové délce 1,5 µm, protože ta má minimální přenosové ztráty. Největším technickým problémem byla neexistence vhodného SPD citlivého na fotony této vlnové délky. Nedávný vývoj SPD však přinesl řadu novinek, umožnil bezpečné generování klíčů rychlostí 1 Mbit/s pro vzdálenost 50 km prostřednictvím optického vlákna [1] nebo 200 km pokud je rychlost generování klíče velmi pomalá [2] , [3] . Ačkoli přenos na dlouhou vzdálenost se zdokonalenými SPD může být obtížná, existují tři možná řešení. Prvním z nich je umístit důvěryhodné retranslační body (trusted points) každých 50-100 km a sdílet tajný klíč mezi dvěma vzdálenými body pomocí výměny klíčů v předávacích bodech. Reálné testy byly demonstrovány v roce 2008 v rámci projektu EU SECOQC [4] a také v roce 2010 v rámci projektu Tokio QKD Network [5] , [6] , na kterém se podílela společnost NTT.
Druhou možností je generování tajného klíče mezi družicí a pozemní základnou, pak satelit vymění klíč s cílovou pozemní základnou. Nyní jsou takové experimenty připravovány v EU a v Japonsku [7] . Třetím kandidátem je kvantový opakovač, což je budoucí technologie pro opakování kvantové informace bez její konverze na klasickou informaci. Tato technologie je považována za klíčovou pro budoucí QICT, neboť stejně jako QKD, je nyní aktivně zkoumána po celém světě [8] .
NTT výzkum a vývoj (R & D)
Společnost NTT se zabývá základním výzkumem v oblasti QICT: kvantová optika. V případě QKD se nejprve začalo s teoretickým výzkumem a později v roce 2000 s experimentálním výzkumem. Naše spolupráce s prof. Yoshihisou Yamamotem ze Stanfordovy univerzity vedla k vytvoření projektu BB84 QKD experimentům s použitím jednofotonového emitoru s kvantovou tečkou (quantum dot) (vlnová délka: 0,8 µm) [9] .
Jednotlivé fotony emitované z quantum dot zabudované do sloupcové struktury zobrazené na skenovacím elektronovém mikrographu, obr. 3 (vlevo), jsou odesílány Bobovi po zakódování v jednom ze čtyř polarizačních stavů (dvou logických bitů × dvě báze). Bob změří fotony pomocí náhodného výběru báze za použití polarization beam splitters (polarizačních děličů paprsků) a čtyř SPD.
NTT a Stanfordova univerzita navrhli nový QKD protokol DPS-QKD Differential Phase Shift Quantum Key Distribution v roce 2003 [10]. Používá moderní optický komunikační protokol, DPSK Differential Phase Shift Keying do kvantového režimu. DPS-QKD využívá slabý koherentní stav rozprostřený přes více impulzů, což je v jasném kontrastu s dřívějšími návrhy QKD, které používaly kvantové stavy jednotlivých fotonů, jak je znázorněno na spodní části obr. 2. Systém DPS-QKD je jednoduchý a použitelný pro vysoký počet impulzů, má dobrou odolnost vůči útoku pomocí rozdělení počtu fotonů (photon number splitting attack), což je útok, při kterém se rozdělí počet fotonů v impulzu. Informace je ukradena oddělením jednoho z mnoha fotonů v impulzu. Kromě toho v DPS-QKD všechny přicházející fotony mohou generovat klíč, zatímco v případě BB84 průměrně polovina z nich negeneruje klíč z důvodu basis mismatch (nesouladu bází). Souvisejícím protokolem je COW Coherent One-Way protokol [3]. Základní výzkum NTT Laboratories využívá tento protokol DPS-QKD a provedl systémové experimenty pro taktovací frekvence od 1GHz až do 10 GHz.
Společnost NTT rovněž vyvíjí různé vylepšené systémy SPD. Konvenční telekomunikační vlnové SPD je InGaAs Avalanche Photodiode APD, která má v současné době problémy s nízkou účinností, vysokou dark cout rate, omezený slow gate-mode provoz, kvůli signálu následujícím po impulzu (after-pulse signal) vznikajícím v důsledku zbytkových nábojů po detekci fotonů. Naproti tomu Si APD má nízký dark count rate a nepotřebuje gate mode operation (režim hradla), ale je vysoce účinný pouze pro fotony s relativně krátkou vlnovou délkou. Vyvinuli jsme a ověřili frequency-up-conversion SPD systém (vzestupná frekvenční konverze SPD). Pomocí zvýšení frekvence fotonů (čímž se dosáhne kratší vlnové délky) pomocí periodically poled lithium nitride PPLN (periodicky poledovaného krystalu nitridu lithia), non-linear optics crystal (nelineárního optického krystalu), intensive pump light (intenzivní světelná pumpa) a detekcí fotonů pomocí Si-APD. Provedli jsme také QKD experiment, který prokázal velmi vysokou rychlost generování klíčů pomocí fast hybrid single-photon detector (rychlého hybridního jednofotonového detektoru) a frequency-up-conversion (vzestupnou frekvenční konverzí) [11]. Nedávno jsme demonstrovali více než 1-GHz taktovací frekvenci pomocí vylepšení InGaAs-APD optical signal analyzing circuit (obvodu pro analýzu optického signálu) [12]. Superconducting Single-Photon Detector SSPD (Supravodivý jednofotonový detektor) přitahuje velkou pozornost pro svou extrémně vysokou účinnost [13].
Dosud jsme se zabývali QKD s detekcí jednotlivých fotonů nebo zeslabeným koherentním optickým přenosem. Je známo, že kvantová mechanika může umožnit kvantově provázaný stav. Vyspělou technologii pro generování párů provázaných fotonů má, zejména společnost NTT, která je lídrem v oblasti generování provázaných (entanglovaných) fotonových párů v telekomunikačním pásmu a jeho aplikací QKD [14]. V budoucnu budeme pokračovat ve výzkumu a vývoji kvantových opakovačů a propojení vzdálených kvantových počítačů, abychom dosáhli vysoce rozvinuté kvantové sítě.
Budoucnost
Z hlediska významu ochrany soukromí v moderní informační společnosti se zdá být lákavá bezpodmínečná bezpečnost QKD. Nicméně bezpečnost systému není součtem všech jeho vlastností nebo jeho složek, ale jejich součin. Například celková bezpečnost je nulová, pokud se tajnými klíči zachází neopatrně. V tomto smyslu můžeme považovat výzkum a vývoj QKD za výzvu vedoucí k maximálnímu zabezpečení. Navíc, zatímco předchozí výzkum a vývoj byl zaměřen na hardware, očekává se, že v budoucnu bude věnována pozornost aplikacím a softwaru. QKD je atraktivní oblast s praktickým využitím stejně tak jako je to základní vědní obor.
Zdroje
Část tohoto výzkumu byla provedena za podpory NICT a JST-CREST.
[1] A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Continuous Operation of High Bit Rate Quantum Key Distribution,” Appl. Phys. Lett., Vol. 96, No. 16, p. 161102, 2010. ↩
[2] H. Takesue, S. Woo Nam, Q. Zhang, R. H. Hadfield, T. Honjo, K. Tamaki, and Y. Yamamoto, “Quantum Key Distribution over a 40-dB Channel Loss Using Superconducting Single-photon Detectors,” Nature Photonics, Vol. 1, No. 6, pp. 343–348, 2007. ↩
[3] D. Stucki, N. Walenta, F. Vannel, R. T. Thew, N. Gisin, H. Zbinden, S. Gray, C. R. Towery, and S. Ten, “High Rate, Long-distance Quantum Key Distribution over 250 km of Ultra Low Loss Fibres,” New. J. Phys., Vol. 11, No. 075003, 2009. ↩
[4] M. Peev, C. Pacher, R. Alléaume, C. Barreiro, J. Bouda, W. Boxleitner, T. Debuisschert, E. Diamanti, M. Dianati, J. F. Dynes, S. Fasel, S. Fossier, M. Fürst, J.-D. Gautier, O. Gay, N. Gisin, P. Grangier, A. Happe, Y. Hasani, M. Hentschel, H. Hübel, G. Humer, T. Länger, M. Legré, R. Lieger, J. Lodewyck, T. Lorünser, N. Lütkenhaus, A. Marhold, T. Matyus, O. Maurhart, L. Monat, S. Nauerth, J-B. Page, A. Poppe, E. Querasser, G. Ribordy, S. Robyr, L. Salvail, A. W. Sharpe, A. J. Shields, D. Stucki, M. Suda, C. Tamas, T. Themel, R. T. Thew, Y. Thoma, A. Treiber, P. Trinkler, R. Tualle-Brouri, F. Vannel, N. Walenta, H. Weier, H. Weinfurter, I. Wimberger, Z. L. Yuan, H. Zbinden, and A. Zeilinger, “The SECOQC quantum key distribution network in Vienna,” New J. Phys., Vol. 11, No. 075001, 2009. ↩
[5] http://www.uqcc2010.org/ ↩
[6] M. Sasaki, M. Fujiwara, H. Ishizuka, W. Klaus, K. Wakui, M. Takeoka, A. Tanaka, K. Yoshino, Y. Nambu, S. Takahashi, A. Tajima, A. Tomita, T. Domeki, T. Hasegawa, Y. Sakai, H. Kobayashi, T. Asai, K Shimizu, T. Tokura, T. Tsurumaru, M. Matsui, T. Honjo, K. Tamaki, H. Takesue, Y. Tokura, J. F. Dynes, A. R. Dixon, A. W. Sharpe, Z. L. Yuan, A. J. Shields, S. Uchikoga, M. Legre, S. Robyr, P. Trinkler, L. Monat, J.-B. Page, G. Ribordy, A. Poppe, A. Allacher, O. Maurhart, T. Langer, M. Peev, and A. Zeilinger, “Field Test of Quantum Key Distribution in the Tokyo QKD Network,” Opt. Express, Vol. 19, No. 11, pp. 10387–10409, 2011. ↩
[7] http://www.quantum.at/quest ↩
[8] For example, H. J. Kimble, “The Quantum Internet,” Nature, Vol. 453, No. 7198, pp. 1023–1030, 2008. ↩
[9] E. Waks, K. Inoue, C. Santori, D. Fattal, J. Vuckovic, G. S. Solomon, and Y. Yamamoto, “Quantum Cryptography with a Photon Turnstile,” Nature, Vol. 420, No. 6917, p. 762, 2002. ↩
[10] Y. Tokura and T. Honjo, “Differential Phase Shift Quantum Key Distribution (DPS-QKD) Experiments,” NTT Technical Review, Vol. 9, No. 9, 2011. https://www.ntt-review.jp/archive/ntttechnical.php?contents=ntr2011 09fa8.html ↩
[11] Q. Zhang, H. Takesue, T. Honjo, K. Wen, T. Hirohata, M. Suyama, Y. Takiguchi, H. Kamada, Y. Tokura, O. Tadanaga, Y. Nishida, M. Asobe, and Y. Yamamoto, “Megabits Secure Key Rate Quantum Key Distribution,” New J. Phys., Vol. 11, p. 045010, 2009. ↩
[12] N. Namekata, H. Takesue, T. Honjo, Y. Tokura, and S. Inoue, “Highrate Quantum Key Distribution over 100 km Using Ultra-low-noise, 2-GHz Sinusoidally Gated InGaAs/InP Avalanche Photodiodes,” Opt. Express, Vol. 19, No. 11, pp. 10632–10639, 2011. ↩
[13] H. Shibata, “Superconducting Single-photon Detectors,” NTT Technical Review, Vol. 9, No. 9, 2011. https://www.ntt-review.jp/archive/ntttechnical.php?contents=ntr2011 09fa9.html ↩
[14] H. Takesue, “Quantum Communication Using Entangled Photon Pairs..Toward Quantum Repeaters,” NTT Technical Review, Vol. 9, No. 9, 2011. https://www.ntt-review.jp/archive/ntttechnical.php?contents=ntr2011 09fa10.html