Протокол квантового распределения ключей с использованием ЭПР (Hjkmktkl tfgumkfkik jgvhjy;ylyunx tlZcyw v nvhkl,[kfgunyb |HJ)

Протокол квантового распределения ключей с использованием ЭПР, ЭПР-протокол (англ. EPR-Protocol) — квантовый криптографический протокол, основанный на «мысленном эксперименте» Эйнштейна-Подольского-Розена^[1] и обобщённой теореме Белла^[2]. Был впервые предложен польским физиком Артуром Экертом в 1991 году^[3].

В 1991 году Артур Экерт разработал квантовый протокол, основанный на свойствах так называемых «запутанных» состояний квантовых частиц^[3]. Для этого он использовал пару частиц, называемых ЭПР-парой (где ЭПР означает Эйнштейн-Подольский-Розен, которые представили в статье 1935 года одноимённый парадокс^[1]). В этой статье они рассмотрели пространственно разделённые пары частиц (ЭПР-пары), чьи состояния связаны между собой таким образом, что измерение выбранной наблюдаемой одной частицы автоматически определяет результат измерения этой же наблюдаемой другой частицы. При этом, пространственная разделённость ЭПР-пар позволяет говорить о «действии на расстоянии» (дальнодействии).

Например, возможно создать пару фотонов с запутанными поляризациями, состояние которых можно представить следующим образом:

${\displaystyle \vert S\rangle ={\frac {1}{\sqrt {2}}}(\vert 0\rangle \vert 1\rangle +\vert 1\rangle \vert 0\rangle )}$

Если в результате измерения состояния одного фотона данной пары получилось, что он находится в состоянии ${\displaystyle \vert 0\rangle }$, то можно заранее сказать, что результатом измерения второго фотона будет ${\displaystyle \vert 1\rangle }$ и наоборот.

Чтобы объяснить парадокс «действия на расстоянии» Эйнштейн с коллегами предположили, что должны существовать некие скрытые параметры, недоступные в ходе эксперимента. Это, в дальнейшем, привело их к выводу о несостоятельности квантовой механики. Однако, уже в 1964 году Джон Белл доказал, что любая теория локально скрытой переменной должна удовлетворять выведенному им неравенству Белла^[2]. Однако, эксперименты, проводимые с 1972 года, убедительно показали, что теория квантовой механики данное неравенство нарушает и посему является теорией без локально скрытых параметров^[4][5][6][7]. Именно благодаря этому факту квантовые криптографические протоколы на ЭПР-парах способны определить вмешательство криптоаналитика в процесс передачи данных, т.к. наличие криптоаналитика в квантовомеханической системе вносит в неё скрытый параметр, что влечет за собой выполнение неравенства Белла^[8].

Протокол ЭПР использует в своей работе 3 квантовых состояния. Далее приведено его описание с использованием в качестве состояния квантовых частиц поляризации запутанных фотонов (ЭПР-пары)^[8]. Обозначим символом ${\displaystyle \left|\theta \right\rangle }$ линейно поляризованный под углом ${\displaystyle \theta }$ фотон.

В качестве трёх возможных состояний поляризации ЭПР-пары (не путать с состоянием отдельного кубита) выберем:

${\displaystyle \vert S_{0}\rangle ={\frac {1}{\sqrt {2}}}\left(\vert 0\rangle \left|{\frac {3\pi }{6}}\right\rangle +\left|{\frac {3\pi }{6}}\right\rangle \vert 0\rangle \right)}$

${\displaystyle \vert S_{1}\rangle ={\frac {1}{\sqrt {2}}}\left(\left|{\frac {\pi }{6}}\right\rangle \left|{\frac {4\pi }{6}}\right\rangle +\left|{\frac {4\pi }{6}}\right\rangle \left|{\frac {\pi }{6}}\right\rangle \right)}$

${\displaystyle \vert S_{2}\rangle ={\frac {1}{\sqrt {2}}}\left(\left|{\frac {2\pi }{6}}\right\rangle \left|{\frac {5\pi }{6}}\right\rangle +\left|{\frac {5\pi }{6}}\right\rangle \left|{\frac {2\pi }{6}}\right\rangle \right)}$

В свою очередь, для каждого отдельного кубита необходимо выбрать 6 состояний, используемых в ЭПР-паре. Эти состояния будет кодировать следующую информацию:

Состояние	${\displaystyle \left|0\right\rangle }$	${\displaystyle \left|{\frac {3\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {4\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {2\pi }{6}}\right\rangle }$	${\displaystyle \left|{\frac {5\pi }{6}}\right\rangle }$
Бит	0	1	0	1	0	1

В качестве наблюдаемых выберем, соответственно:

${\displaystyle M_{0}=\left|0\right\rangle \left\langle 0\right|,}$ ${\displaystyle M_{1}=\left|{\frac {\pi }{6}}\right\rangle \left\langle {\frac {\pi }{6}}\right|,}$ ${\displaystyle M_{2}=\left|{\frac {2\pi }{6}}\right\rangle \left\langle {\frac {2\pi }{6}}\right|}$

Как и во многих квантовых криптографических протоколах, в ЭПР-протоколе существует две фазы: передача информации по квантовому и по открытому классическому каналу. Алгоритм работы данного протокола может быть описан следующим образом^[8]:

Для каждого временного интервала случайным образом из набора состояний ${\displaystyle \{\left|S_{0}\right\rangle ,\left|S_{1}\right\rangle ,\left|S_{2}\right\rangle \}}$ с равной вероятностью выбирается состояние ${\displaystyle \left|S_{j}\right\rangle }$. Затем, создаётся ЭПР-пара в выбранном состоянии ${\displaystyle \left|S_{j}\right\rangle }$. Доверенным источником создаётся ЭПР-пара запутанных фотонов, и один фотон из созданной пары посылается Алисе, второй — Бобу. Алиса и Боб независимо и равновероятно выбирают один из трёх базисов измерений ${\displaystyle M_{0}}$, ${\displaystyle M_{1}}$ или ${\displaystyle M_{2}}$, и измеряют полученные фотоны в данном базисе. Алиса записывает измеренный бит, а Боб применяет к своему биту операцию отрицания и записывает результат. Далее данная процедура повторяется в течение необходимого для получения ключа количества временных интервалов.

В данной фазе протокола Алиса и Боб передают сообщения по открытому каналу в два этапа.

На данном этапе Алиса и Боб выясняют по открытому каналу номера битов, которые они измеряли в одинаковом базисе. Затем они разделяют свои последовательности бит на две подпоследовательности. Одна из них, называемая чистым ключом, содержит те биты, которые были измерены в одинаковом базисе. Другая, называемая отброшенным ключом, содержит все оставшиеся биты.

На данном этапе Алиса и Боб обсуждают по открытому каналу свои отброшенные ключи, чтобы определить, выполняется ли неравенство Белла. Его выполнение означает присутствие криптоаналитика (Евы), а невыполнение — отсутствие.

Для ЭПР-протокола неравенство Белла может быть записано в следующем виде. Пусть ${\displaystyle P(\neq \vert i,j)}$ определяет вероятность того, что два соответствующих бита отброшенных ключей Алисы и Боба не совпадают, считая, что для измерений был выбран либо базис ${\displaystyle M_{i}}$ и ${\displaystyle M_{j}}$ или ${\displaystyle M_{j}}$ и ${\displaystyle M_{i}}$ соответственно.

Пусть также:

${\displaystyle P(=\vert i,j)=1-P(\neq \vert i,j)}$,

${\displaystyle \Delta (i;j)=P(\neq \vert i,j)-P(=\vert i,j)}$

${\displaystyle \beta =1+\Delta (1;2)-\vert \Delta (0;1)-\Delta (0;2)\vert }$

Тогда неравенство Белла для данного случая сводится к ${\displaystyle \beta \geq 0}$.

Однако, при соблюдении законов квантовой механики (то есть в теории без скрытых параметров), ${\displaystyle \beta =-{\frac {1}{2}}}$, что является явным нарушение неравенства Белла. Таким образом, пользуясь данным критерием, можно легко определить вмешательство криптоаналитика в передачу данных, т.к. при его отсутствии система будет описываться законами квантовой механики и, следовательно, нарушать неравенство Белла, а при его наличии становится теорией со скрытым параметром, удовлетворяющей этому неравенству.

Согласно принципам квантовой механики, Ева не может точно определить квантовое состояние, пересылаемое от Алисе к Бобу (или, что то же самое, от источника Алисе и Бобу). Тем не менее, она может получить часть пересылаемой информации^[9]. Без вмешательства криптоаналитика, каждый кубит несет один бит информации от Алисы к Бобу. Когда же Ева получает часть этой информации, она не может не внести возмущения к состоянию, считываемому Бобом, вводя таким образом ненулевой уровень ошибок. В принципе, Боб может выяснить уровень ошибок и выявить наличие криптоаналитика в ходе общения с Алисой по открытому каналу. Простейшей атакой Евы (перехват и с последующей пересылкой) будет измерение каждого кубита так, как это сделал бы Боб, и пересылка Бобу сигнала, соответствующего результату измерения.

Кроме того, всегда присутствует шум от источника, детекторов и т.д., поэтому принципиально невозможно отличить ошибки, вызванные шумом, от ошибок, вызванных действиями криптоаналитика^[9]. Поэтому при дальнейшем анализе будем предполагать, что все ошибки вызваны только вмешательством криптоаналитика.

Ещё одна проблема имеет статистический характер. Криптоаналитику может просто повезти: ведь ошибки возникают только в среднем, поэтому в каждом отдельном случае, уровень ошибок вполне может быть нулевым (разумеется, с вероятностью, экспоненциально убывающей с ростом длины ключа). Введем величину QBER (Quantum Bit Error Rate), которая отвечает за уровень ошибок при передаче кубитов.

Высокие значения QBER в системах квантового разделения ключей позволяют криптоаналитику получить больше информации о передаваемых ключах, чем пользователю системы. Если такое случается, то использование каких-либо методов усилений безопасности становятся бесполезными. Поэтому, при разработке сети квантового разделения ключей необходимо закладывать уровень QBER ниже определённого предела, чтобы в дальнейшем использовать методы понижения количества информации, перехваченной Евой^[9].

Предельно безопасный уровень для ЭПР-протокола: ${\displaystyle QBER_{T}\approx 15\%}$ ^[9]

Существуют и другие вариации данного протокола, улучшающие эффективность использования кубитов вплоть до теоретически достижимых 100 %^{[10] [11]}

В отличие от широко известных протоколов BB84 и B92, этот протокол использует отброшенные ключи для обнаружения присутствия криптоаналитика (Евы) с помощью неравенства Белла^[8].

• Samuel J. Lomonaco, Jr. A Quick Glance at Quantum Cryptography (неопр.) // arXiv.org. — 1998.
• Elboukhari et al. Quantum Key Distribution Protocols: A Survey (неопр.) // International Journal of Universal Computer Sciences. — 2010.