Kwantowa dystrybucja klucza

W moich wcześniejszych wpisach kilkukrotnie odwoływałem się do kwantowej dystrybucji klucza (KDK), będącej jednym z głównych filarów kryptografii kwantowej. Miało to miejsce w kontekście omawiania takich zagadnień jak: kwantowa łączność satelitarna, internet kwantowy oraz bezpieczeństwo kryptowalut (wpisy: Kwantowa łączność satelitarna, Dwanaście technologii jutra i Kryptowaluty-Kwanty-Kosmos). Niniejszy wpis można potraktować jako uzupełnienie techniczne tych rozważań. Poniżej, przedstawię fizyczne podstawy na których opiera się kwantowa dystrybucja klucza oraz omówię, wprowadzony w 1984 roku, protokół Bennetta-Brassard BB84. Jest to najbardziej znany i historycznie pierwszy przykład protokołu KDK opartego na superpozycji kwantowej. W późniejszych latach, wprowadzono także protokoły oparte na innych własnościach mechaniki kwantowej, m.in. na splątaniu kwantowym (np. protokół E91). Dyskusja szerokiego spektrum rozważanych obecnie protokołów kryptografii kwantowej wykracza poza ramy tego wpisu. Czytelnika zainteresowanego zapoznaniem się z pełniejszym obrazem tematu zachęcam do przestudiowania np. przeglądowego artykułu arXiv:1802.05517. Tytułem wstępu dodam jeszcze, że do zrozumienia niniejszego tekstu przydatna jest znajomość zasad mechaniki kwantowej. Niezapoznanego z nimi Czytelnika zachęcam do przestudiowania mojego wpisu Elementary quantum computing oraz znajdujących się w nim odnośników.

Zacznijmy więc. W największym skrócie, kwantowa dystrybucja klucza pozwala na, jak mówimy, bezwarunkowo bezpieczną wymianę klucza w oparciu o własności mechaniki kwantowej. To w jaki sposób fizyka mikroświata pozwala zapewnić “bezwarunkowe bezpieczeństwo”, postaram się wyjaśnić poniżej. Jak to również zostanie dokładniej omówione w dalszej części tekstu, przepustowość wykorzystywanych do KDK tzw. kanałów kwantowych nie dorównuje tym osiąganym w klasycznych łączach światłowodowych oraz radiowych. Z tego też powodu, łącza kwantowe wykorzystywane są obecnie do przesyłania sekretnych kluczy, pozwalających zaszyfrować (klasyczną) wiadomość, nie zaś do transmisji samej wrażliwej informacji. Udostępniony, za pośrednictwem KDK, klucz może być wykorzystany do zaszyfrowania danych np. z użyciem bardzo silnego symetrycznego szyfru AES 256. Przykładową architekturę systemu do kwantowej dystrybucji klucza, zawierającą zarówno kanał kwantowy (do przesyłania klucza) oraz kanał klasyczny (do przesyłania zaszyfrowanych danych oraz informacji pomocniczych), przedstawia rysunek poniżej:

Przykładowa architektura systemu do kwantowej dystrybucji klucza z kanałem kwantowym oraz kanałem klasycznym. Źródło

W przypadku kanału klasycznego opartego o łącze światłowodowe, zaszyfrowana informacja przesyłana jest za pomocą światła. Do przesłania klucza poprzez kanał kwantowy również wykorzystywane jest pole elektromagnetyczne. Z tą jednak różnicą, że odbywa się to za pośrednictwem nie klasycznych impulsów lecz pojedynczych kwantów światła, czyli fotonów. Do zakodowania informacji kwantowej wykorzystywane są zaś stany polaryzacji światła. Przedyskutujmy to bardziej szczegółowo. Mianowicie, światło docierające do nas, na przykład, ze Słońca lub z żarówki nie jest spolaryzowane. Na poziomie klasycznym, oznacza to, że światło tego typu składa się z fal elektromagnetycznych oscylujących jednakowo we wszystkich kierunkach prostopadłych do osi propagacji światła. Żeby dokonać selekcji fal elektromagnetycznych, których wektor natężenia pola oscyluje w wybranym przez nas kierunku, stosujemy polaryzator. Przepuszczając niespolaryzowane światło przez polaryzator liniowy dokonujemy jego polaryzacji. Jeśli za polaryzatorem liniowym umieścilibyśmy kolejny podobny polaryzator, jednakże z osią polaryzacji ustawioną prostopadle do tej pierwszej, dokonalibyśmy całkowitego wygaszenia światła. Zachęcam do przeprowadzenia tego prostego eksperymentu np. pozyskując dwa polaryzatory liniowe z powierzchni wyświetlaczy ciekłokrystalicznych zepsutego zegarka lub kalkulatorka.

Zgodnie z regułą dodawania wektorów, każdą falę elektromagnetyczną można zapisać jako sumę dwóch fal elektromagnetycznych, prostopadłych do siebie w płaszczyźnie polaryzacji. Czyli inaczej, każdą polaryzację liniową światła można opisać jako superpozycję dwóch normalnych względem siebie polaryzacji, nazwijmy je horyzontalną H (ang. horizontal) oraz wertykalną V (ang. vertical).

Przeprowadźmy teraz następujący eksperyment myślowy. Załóżmy, że dysponujemy źródłem światła niespolaryzowanego oraz zestawem płytek półprzepuszczalnych tłumiących światło. Ustawiające je kolejno na osi optycznej, możemy doprowadzić do sytuacji w której przez zestaw płytek przedostawać się będą jedynie pojedyncze fotony. Możemy w tym miejscu zapytać co się stanie gdy pojedynczy foton napotka polaryzator światła? Okazuje się, że foton taki z pewnym prawdopodobieństwem może przejść przez polaryzator, jak również z pewnym prawdopodobieństwem może zostać przez niego zatrzymany. Jest to konsekwencją kwantowej natury fotonu, co przejawia się istnieniem fotonu w stanie kwantowym $|\Psi \rangle$ , będącym superpozycją kwantową dwóch polaryzacji, co zapisujemy jako:

$|\Psi \rangle = \alpha |H \rangle +\beta |V \rangle$ ,

tak, że $|\alpha |^2+|\beta|^2=1$ . Prawdopodobieństwo znalezienia fotonu w stanie $|H \rangle$ równe jest $P(H)=|\alpha|^2$ , natomiast prawdopodobieństwo znalezienia fotonu w stanie $|V \rangle$ równe jest $P(V)=|\beta|^2$ . Stany bazowe $|H \rangle$ i $|V \rangle$ odpowiadają dwóm prostopadłym względem siebie polaryzacjom. Tak więc, polaryzacja światła ma swoje źródło na poziomie pojedynczych fotonów i związana jest z tym, że są one bezmasowymi bozonami o spinie 1. Dla cząstek takich istnieją dwa możliwe rzuty wektora momentu pędu na kierunek jego propagacji. Te dwa stany tak zwanej skrętności (ang. helicity) fotonów, na poziomie klasycznym, odpowiadają dwóm możliwym polaryzacjom kołowym światła (lewoskrętnej i prawoskrętnej). Stany o polaryzacji lewoskrętnej i prawoskrętnej są superpozycjami stanów o polaryzacji liniowej:

$| L \rangle = \frac{1}{\sqrt{2}}\left(|H \rangle - i |V \rangle \right)$ oraz $| R \rangle = \frac{1}{\sqrt{2}}\left(|H \rangle + i |V \rangle \right)$ .

Fakt, że foton jest opisywany przez kwantową superpozycję dwóch stanów bazowych, czyli jego stan należy do dwuwymiarowej przestrzeni Hilberta ma ogromne znaczenie z punktu widzenia kwantowej teorii informacji. A mianowicie, foton może być wykorzystany jako nośnik najmniejszej porcji informacji kwantowej, tak zwanego kubitu. Z tego też powodu możemy utożsamić stany polaryzacji fotonu ze stanami bazowymi kubitu: $|H \rangle = |0 \rangle$ oraz $|V \rangle = |1 \rangle$ . Oznaczmy tę bazę jako $\mathcal{B}_1 = \{ |0 \rangle, |1 \rangle \}$ .

Do przeprowadzenia kwantowej dystrybucji klucza, w ramach protokołu BB84, będziemy potrzebowali wprowadzić jeszcze jedną bazę. Mianowicie, $\mathcal{B}_2 = \{ |+ \rangle, |- \rangle \}$ , gdzie stany bazowe wyrażają się jako następujące superpozycje:

$|+ \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle +| 1 \rangle \right)$ oraz $|- \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle -| 1 \rangle \right)$ .

Jeśli stany bazowe $|0 \rangle$ i $|1 \rangle$ opisują stany polaryzacji pod kątami odpowiednio $0^{\circ}$ i $90^{\circ}$ to stany polaryzacji $|+ \rangle$ i $|- \rangle$ opisują polaryzacje liniowe odpowiednio pod kątami $45^{\circ}$ i $-45^{\circ}$ . Warto w tym miejscu również zaznaczyć, że stany $|0 \rangle$ i $|1 \rangle$ są stanami własnymi operatora $\hat{Z}$ do wartości własnych $+1$ i $-1$ odpowiednio. Natomiast, stany $|+ \rangle$ i $|- \rangle$ są stanami własnymi operatora $\hat{X}$ odpowiednio do wartości własnych $+1$ i $-1$ (operatory $\hat{Z}$ i $\hat{X}$ odpowiadają macierzom Pauliego $\sigma_z$ i $\sigma_x$ ). Wszystkie z wprowadzonych tu stanów bazowych można wytworzyć przepuszczając foton przez polaryzator liniowy ustawiony pod jednym z czterech kątów. Ponadto, powyższy dobór baz nie jest przypadkowy i wynika z faktu, że bazy $\mathcal{B}_1$ i $\mathcal{B}_2$ są przykładem tak zwanych wzajemnie nieobciążonych baz (ang. mutually unbiased bases), spełniających warunek:

$|\langle \psi | \phi \rangle |^2 = \frac{1}{2}$ ,

gdzie $| \psi \rangle \in \mathcal{B}_1$ a $| \phi \rangle \in \mathcal{B}_2$ . Oznacza to, że bazy te wykluczają się w sposób maksymalny, uniemożliwiając jednoczesne wykonywanie pomiarów na kubicie w obydwu bazach. W przypadku fotonu ma to następujące konsekwencje: Jeśli przygotujemy foton np. w stanie bazowym $|0 \rangle$ i przepuścimy go przez analizator polaryzacji pod kątami $0^{\circ}$ i $90^{\circ}$ (odpowiadających stanom polaryzacji bazy $\mathcal{B}_1$ ), to po przejściu przez taki analizator nie nastąpi zmiana stanu fotonu. Jednakże, jeśli na drodze tego samego fotony umieścimy analizator polaryzacji pod kątami $45^{\circ}$ i $-45^{\circ}$ (odpowiadających stanom polaryzacji bazy $\mathcal{B}_2$ ), to po przejściu przez taki analizator foton z prawdopodobieństwem $1/2$ znajdzie się w stanie o polaryzacji $|+ \rangle$ i z takim samym prawdopodobieństwem w stanie o polaryzacji $|- \rangle$ . Jeśli foton ten będziemy chcieli zaś ostatecznie przeanalizować wykorzystując analizator ze stanami polaryzacji odpowiadającymi bazie $\mathcal{B}_1$ to z prawdopodobieństwem $1/2$ zaobserwujemy ten foton w stanie $|0 \rangle$ i z prawdopodobieństwem $1/2$ w stanie $|1 \rangle$ (taki sam wynik uzyskalibyśmy jeśli foton byłbym przygotowany w stanie $|1 \rangle$ ). Próba przeanalizowania stanu fotonu we wzajemnie obciążonej bazie wprowadza więc maksymalną niepewność co do stanu początkowego. Własność ta znajduje bezpośrednie zastosowanie w protokole BB84.

Przyjdźmy więc do jego omówienia. Rozważamy nadawcę (A) i odbiorcę (B) których zwyczajowo określamy mianem Alicji i Boba. Alicja ma za zadanie przesłać do Boba klucz (ciąg bitów) wykorzystując stany polaryzacji fotonu. Ma ona do dyspozycji 4 stany polaryzacji fotonu odpowiadające stanom bazowym baz $\mathcal{B}_1$ i $\mathcal{B}_2$ . Klucz stanowi losowy ciąg binarny $0$ i $1$ , który można wygenerować np. wykorzystując kwantowy generator liczb losowych (z artykułu arXiv:1405.0453 można dowiedzieć się jak samemu zbudować taki generator w oparciu o smartfon). Alicja wprowadza następujące kodowanie klasycznych bitów klucza za pomocą kwantowych stanów polaryzacji fotonu. Mianowicie, stany polaryzacji $|0 \rangle$ i $|+ \rangle$ kodują $0$ , natomiast stany polaryzacji $|1 \rangle$ i $|- \rangle$ kodują $1$ . W praktyce, generacja klucza odbywa się przez losowe ustalanie jednej z czterech pozycji polaryzatora Alicji (rysunek poniżej).

qbejE — Przykładowa realizacja protokołu BB84. Źródło

Przesyłane od Alicji spolaryzowane fotony Bob będzie rejestrował za pomocą analizatora który może przyjmować takie same orientacje jak polaryzator Alicji. Stany polaryzatora Alicji nie są publiczne, Bob będzie więc dokonywał analizy polaryzacji fotonów w (wybieranych losowo) bazach $\mathcal{B}_1$ i $\mathcal{B}_2$ . Na podstawie swoich pomiarów, odzyska on pewien ciąg bitów. Następnym krokiem jest publiczne ogłoszenie przez Boba stanów analizatora (baz) w których dokonywał on kolejnych pomiarów. Warto tu podkreślić, że oczywiście nie upublicznia on samych wyników pomiarów. W ramach danej bazy możliwe są wciąż dwie wartości bitu, wartość klucza pozostaje więc ukryta. Następuje teraz tak zwane uzgodnienie baz (ang. basis reconciliation). Mianowicie, Alicja informuje Boba które użyte przez niego bazy są zgodne ze stanami polaryzacji w których przygotowała ona sekretny klucz. Zdekodowane przez Boba, dla uzgodnionych baz, wartości bitów stanowią sekretny klucz. Ostatnim etapem protokołu jest zweryfikowanie czy nie nastąpiła próba “podsłuchania” przesyłanych kanałem kwantowym informacji.

Omówienie tej kwestii zacznijmy od wyartykułowania jednej z fundamentalnych własności mechaniki kwantowej. Mianowicie, nie jest możliwe idealne skopiowanie nieznanego stanu kwantowego. Nie jest więc możliwe “podłączenie się” do kanału kwantowego i skopiowanie przesyłanej informacji. Własność ta jest ucieleśniona w twierdzeniu o zakazie klonowania, którego dowód dla przypadku kubitów przedstawiam poniżej.

Twierdzenie o zakazie klonowania (ang. no-cloning theorem) leży u podstaw bezwarunkowego bezpieczeństwa protokołów kryptografii kwantowej. Mówi ono, że nie jest możliwe wykonanie dokładnej kopii (klonu) nieznanego stanu kwantowego. Sformułowanie tego twierdzenia zawdzięczamy Williamowi Woottersowi oraz Wojciechowi Żurkowi [Ref]. Poniżej przedstawię jego dowód, dla przypadku stanu kubitu.

Rozważmy stan kwantowy $|\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle$ . Naszym celem będzie próba skopiowania tego stanu, czyli chcemy aby pewien inny stan, nazwijmy go $|\Phi \rangle$ , przetransformować (“nadpisać”) w stan $|\Psi \rangle$ , nie zmieniając jednocześnie stanu $|\Psi \rangle$ . Rozważamy więc wyjściowo stan będący następujacym iloczynem tensorowym: $|\Psi \rangle \otimes |\Phi \rangle$ . Ponadto, wprowadźmy (unitarny) operator kopiujący, nazwijmy go $\hat{K}$ , którego działanie powinno być następujące: $\hat{K}(|\Psi \rangle \otimes |\Phi \rangle)=|\Psi \rangle \otimes |\Psi \rangle$ , dla dowolnego stanu $|\Psi \rangle$ . Żeby sprawdzić czy jest to możliwe, zadziałajmy najpierw operatorem $\hat{K}$ na stany bazowe $| 0 \rangle$ i $| 1 \rangle$ . Działanie operatora $\hat{K}$ powinno dawać $\hat{K}(|0 \rangle \otimes |\Phi \rangle)=|0\rangle \otimes |0 \rangle$ oraz $\hat{K}(|1 \rangle \otimes |\Phi \rangle)=|1\rangle \otimes |1 \rangle$ . Zakładając, że powyższe jest spełnione, spróbujmy przeprowadzić kopiowanie stanu $|\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle$ . Skorzystamy w tym miejscu z własności liniowości operatorów rozważanych w mechanice kwantowej (czyli np. $\hat{O}(|a\rangle+|b\rangle)=\hat{O}(|a\rangle)+\hat{O}(|b\rangle)$ , dla dowolnych stanów $|a\rangle$ i $|b\rangle$ ). W konsekwencji, otrzymujemy:

$\hat{K}(|\Psi \rangle \otimes |\Phi \rangle) = \hat{K}((\alpha | 0 \rangle + \beta | 1 \rangle) \otimes |\Phi \rangle) = \alpha \hat{K}(|0 \rangle \otimes |\Phi \rangle)+\beta \hat{K}(|1 \rangle \otimes |\Phi \rangle) = \alpha |0\rangle \otimes |0 \rangle + \beta |1\rangle \otimes |1 \rangle$ .

Stan końcowy jakiego jednak oczekiwalibyśmy w wyniku kopiowania (klonowania) to:

$|\Psi \rangle \otimes |\Psi \rangle = (\alpha |0\rangle + \beta |1\rangle)\otimes (\alpha |0\rangle + \beta |1\rangle) = \alpha^2 |0\rangle \otimes|0\rangle + \alpha \beta |0 \rangle \otimes|1\rangle + \alpha\beta|1\rangle \otimes|0\rangle + \beta^2 |1\rangle \otimes|1\rangle$ ,

który jest odzyskiwany tylko w szczególnych przypadkach stanów bazowych, tzn. kiedy $\alpha=1$ i $\beta=0$ lub $\alpha=0$ i $\beta=1$ . Powyższa analiza dowodzi tego, że nie jest możliwe skopiowanie nieznanego stanu kubitu. Przeprowadzenie dowodu dla przypadku dowolnego stanu $|\Psi \rangle$ pozostawiam Czytelnikowi jako ćwiczenie.

Pomimo zakazu klonowania stanów kwantowych, istnieją pewne strategie ataków na protokoły kryptografii kwantowej. Np. podsłuchujący (nazwijmy ją Ewa) może ustawić na drodze optycznej fotonu analizator i próbować odczytać pewne bity klucza. Jak to już jednak dyskutowaliśmy powyżej, obecność takiego analizatora w sposób nieodłączny wiąże się z wpłynięciem na stany fotonu. W celu wyeliminowania możliwości podsłuchu, Alicja i Bob porównują publicznie część klucza. Jeśli w wybranym ciągu bitów nie zauważą różnić, mają pewność, że nie nastąpiła próba ataku. Oczywiście, w praktyce mogą występować pewne różnice w ciągu bitów wynikające z występowaniem szumu, generującego pewien poziom błędów. Istnieje jednak metoda dokładnego określenia jaki poziom niezgodności porównywanego ciągu bitów jest dopuszczalny dla zachowania poufności wymiany klucza. Metoda ta opiera się na wykorzystaniu teorii informacji i pozwolę sobie zarysować jej uproszczoną postać. Zacznijmy od odpowiedzi na pytanie jak dużo błędów do odczytywanego przez Boba ciągu bitów będzie wprowadzał ustawiony przez Ewę, na drodze fotonu, analizator. Analizator ten może być dostosowany do bazy $\mathcal{B}_1$ lub $\mathcal{B}_2$ . Prosta probabilistyka mówi nam, że prawdopodobieństwo nie zaburzenia przez Ewę pojedynczego bitu przesyłanego klucza wynosi:

$P= \frac{1}{2}\cdot \frac{1}{2}+\frac{1}{2}\cdot 1 = \frac{3}{4}$ .

Czyli, starająca się wykraść sekretny klucz Ewa, w 25 % przypadków wprowadzi błąd do przesyłanego ciągu bitów. Ponadto, ponieważ z prawdopodobieństwem $1/2$ analizuje ona foton we właściwej bazie, z takim też prawdopodobieństwem odczyta ona poprawnie wartość przesyłanego bitu. Ponieważ, wyjściowo, nie zna ona ustawień polaryzatora Alicji, nie jest ona jednak w stanie stwierdzić który bit odczytała prawidłowo a który nie. Odkodowania połowy przesyłanych bitów klucza może dokonać jedynie poznawszy (post factum) ustawienia polaryzatora Alicji. Może to więc zrobić dla bitów dla których następuje sprawdzenie klucza przez Alicję i Boba.

Do skwantyfikowania ilości błędów wprowadzanych podczas kwantowej transmisji informacji używa się wielkości zwanej QBER (Quantum Bit Error Rate) – $e$ która zdefiniowana jest jako stosunek liczby kubitów z błędem ( $N_e$ ) względem całkowitej liczby przesyłanych kubitów $N$ :

$e := \frac{N_e}{N}$ .

Jeśli przez $f \in [0,1]$ oznaczymy część kubitów analizowanych przez Ewę, to wprowadzany przez Nią QBER wynosi $e = \frac{1}{4} f$ , gdzie czynnik $1/4$ wynika z przeprowadzonych powyżej rozważań probabilistycznych. Przywołajmy teraz pojęcie informacji wzajemnej (ang. mutual information), która pozwoli nam skwantyfikować jaka część informacji jest tracona w kanale kwantowym w wyniku ataków Ewy. Jak można pokazać, wzajemna informacja pomiędzy Alicją a Bobem wyraża się jako

$I(A : B) = 1 - h(e)$ , gdzie $h(e) = -e \log_2 e - (1-e) \log_2 (1-e)$

to tak zwana entropia informacyjna Shannona. Wzajemna informacja pomiędzy Alicją a Ewą wynosi zaś

$I(A : E) = \frac{1}{2}f = 2e$ ,

co wynika z faktu, iż Ewa (znając położenie polaryzatorów Ewy) jest w stanie teoretycznie odzyskać wartości połowy “podsłuchiwanych” przez Nią bitów. Jeśli informacja w układzie Alicja-Ewa $I(A : E)$ zaczyna być większa niż pomiędzy Alicją i Bobem $I(A : B)$ , przesyłanie klucza przestaje być bezpieczne. Na tej podstawie, rozpatrując warunek graniczny $I(A : E)=I(A : B)$ , otrzymujemy, że (przy powyższych założeniach) bezpieczeństwo kwantowej dystrybucji klucza zapewnione jest jeśli poziom błędów $e$ jest mniejszy niż około $17 \%$ . Jeśli, porównując wybrane bity klucza, Alicja i Bob zanotują różnicę na wyższym poziomie, nie można zaakceptować przesyłanego klucza i należy powtórzyć całą procedurę.

Przeprowadzona powyżej analiza ma znaczenie praktyczne i znajduje zastosowanie w istniejących systemach do kwantowej dystrybucji klucza. Na rynku istnienie obecnie kilka zestawów które pozwalają przeprowadzić KDK wykorzystując protokoły oparte na superpozycji kwantowej. Na rysunku poniżej przedstawiono przykładowy zestaw wykorzystujący zmodyfikowaną wersję protokołu BB84, tzw. protokół T12.

ToshibaQKD — Przykładowy dostępny komercyjnie zestaw do kwantowej dystrybucji klucza. Źródło

Do przesyłania fotonów, dostępne komercyjnie systemy kryptografii kwantowej stosują światłowody. Niepożądaną cechą takiego rozwiązania jest jednak wykładnicze tłumienie natężenia światła w funkcji przebytego przez światło dystansu. Z uwagi na twierdzenie o zakazie klonowania oraz na fakt posługiwania się w kwantowej dystrybucji klucza pojedynczymi fotonami, nie jest możliwe stosowanie klasycznych wzmacniaczy sygnału. Dlatego też, kwantowa dystrybucja klucza za pośrednictwem światłowodów jest dzisiaj ograniczona do odległości poniżej około 400 km.

BitRate — Wykładniczy zanik przepustowości kwantowej dystrybucji klucza w funkcji odległości. Źródło

Wraz z długością linii transmisyjnej spada jej przepustowość. Na bardzo krótkich dystansach osiągane są obecnie wartości około 10 Mb/s (arXiv:1807.04484). Na odległościach rzędu 50 km wartość ta spada już do około 1 Mb/s. Natomiast, nieubłagana natura zaniku eksponencjalnego sprawia, że na dystansach około 400 km KDK można przeprowadzać w tempie jedynie około 1 bitu na sekundę (co jest wielkością niepraktyczną).

Możliwym rozwiązaniem dla powyższych trudności jest stosowanie powielaczy kwantowych (ang. quantum repeater). Są to jednakże bardzo złożone systemy, będące wciąż w fazie badań. Dużo bardziej obiecującym rozwiązaniem jest wykorzystanie faktu jedynie odwrotnego z kwadratem odległości zaniku natężenia światła w próżni, oraz dużo słabszego niż w ciele stałym tłumienia fotonów w gazach. Rozwiązanie to wiąże się z wykorzystaniem przestrzeni kosmicznej do przeprowadzenia kwantowej dystrybucji klucza. Możliwość taka została pomyślnie potwierdzona eksperymentalnie na skalach międzykontynentalnych w 2017 roku z wykorzystaniem protokołu BB84. Zagadnienie to opisuję bardziej szczegółowo we wpisie Kwantowa łączność satelitarna.

One thought on “Kwantowa dystrybucja klucza”

Kwantowe technologie kosmiczne – Jakub Mielczarek says:

July 18, 2019 at 10:04 am

[…] (takich jak AES-256) dla danych przesyłany drogą konwencjonalną. Podejście takie nosi nazwę kwantowej dystrybucji klucza (ang. quantum key distribution – QKD) i stanowi jeden z filarów kryptografii […]

Jakub Mielczarek

Theoretical physicist looking into the future

Kwantowa dystrybucja klucza

One thought on “Kwantowa dystrybucja klucza”

Leave a comment Cancel reply

Share this:

One thought on “Kwantowa dystrybucja klucza”

Leave a comment Cancel reply