Rozpinanie kwantowej sieci

December 24, 2020March 1, 2021 jakub mielczarekLeave a comment

Pod koniec lat sześćdziesiątych ubiegłego stulecia w Stanach Zjednoczonych zaczął powstawać ARPANET – prekursor dzisiejszego Internetu. Zamysłem stojącym za stworzeniem pierwszej rozległej sieci komputerowej była decentralizacja zasobów obliczeniowych związanych z kontrolowaniem amerykańskiego arsenału nuklearnego. W czasie zimnej wojny, kiedy ryzyko konfliktu nuklearnego brano bardzo poważnie, konieczne stało się uchronienie przed sytuacją w której jeden precyzyjny atak nieprzyjaciela mógł unicestwić działanie całego systemu i w konsekwencji uniemożliwić kontratak. Rozwiązaniem była decentralizacja, która przyjęła formę, rozpiętej na terenie USA, sieci teleinformatycznej.

Schemat sieci ARPANET z 1977 roku. Warto zwrócić uwagę na istniejące już w tamtym czasie łącza satelitarne z węzłem na Hawajach oraz z centrum detekcji trzęsień Ziemi oraz wybuchów jądrowych NORSAR, zlokalizowanym w Norwegii. Źródło

Pomimo, że motywacja projektu związana była ściśle z obronnością, zdecydowano się na włączenie do sieci również segment cywilny, łączący wiodące amerykańskie uczelnie oraz instytucje naukowe. Dzięki temu, w prace nad rozwojem sieci mogła zaangażować się społeczność akademicka, która wykorzystywała ARPANET m.in. do prowadzenia zdalnej korespondencji oraz do współdzielenia zasobów obliczeniowych. Ta otwarta strona projektu dała również impuls do snucia wizji dotyczących możliwych przyszłych zastosowań sieci komputerowych, wykraczających daleko poza domenę militarną, rządową i naukową.

Jedną z osób zafascynowanych koncepcją publicznego wykorzystania sieci komputerowych był absolwent MIT, niezależny spec od bezpieczeństwa komputerowego Whitfield Diffie. Diffie doskonale zdawał sobie sprawę z tego, że urzeczywistnienie idei publicznej sieci wymagać będzie wcześniejszego rozwiązania dobrze znanego problemu wymiany klucza. A to dlatego, że tylko dzięki efektywnej metodzie wymiany sekretnego klucza, możliwe będzie wdrożenie rozwiązań kryptograficznych, gwarantujących bezpieczeństwo komunikacji w sieci. Problem ten, którego znaczenie miało swoje szerokie konsekwencje dla przebiegu II wojny światowej, uważano jednak za niemożliwy do rozwiązania. Nie zniechęciło to jednak upartego Diffi’ego do własnych badań i poszukiwań. I tak, w 1976 roku, razem z Martinem Hellman’em oraz Ralphem Markle, zaproponował On genialne rozwiązanie w postaci kryptografii asymetrycznej (znanej również jako kryptografia z kluczem publicznym), opartej nie na jednym, lecz na dwóch kluczach – sekretnym oraz publicznym.

Rok później powstał, najpopularniejszy algorytm kryptografii asymetrycznej, słynny RSA. Tak oficjalnie narodziła się kryptografia z kluczem publicznym, bez której trudno byłoby sobie wyobrazić późniejszy rozwój Internetu. Należy w tym miejscu jednak dodać, że kryptografia asymetryczna miała również swoją alternatywną historię narodzin, związaną z brytyjską Centralą Łączności Rządowej (ang. GCHQ – Government Communications Headquarters). Instytucja ta, skupiająca elitę brytyjskiej kryptologii, została utworzona po II wojnie światowej na bazie ośrodka w Bletchley Park (w którym złamano Enigmę). To właśnie w GCHQ, w 1969 roku, znany z nieszablonowego myślenia, inżynier i kryptolog James Ellis wpadł na podobny jak Diffie, Hellman i Markle pomysł. Jego ideę rozwiną zaś Clifford Cocks, matematyk który, w 1973 roku, tuż po wstąpieniu w szeregi GCHQ, zaproponował algorytm “odkryty” kilka lat później przez Ronalda Rivesta, Adi Shamira i Leonarda Adelmana (RSA). O Ellisie i Cocksie świat usłyszał jednak dopiero w drugiej połowie lat 90-tych, po częściowym odtajnieniu ich pracy w GCHQ. W tym czasie, algorytm RSA był już wdrożony na globalną skalę a jego oficjalni Twórcy odnieśli dzięki swojemu odkryciu ogromy sukces komercyjny.

Kiedy kryptografia asymetryczna święciła swoje triumfy, w jej piedestale pojawiła się jednak rysa. W 1994 roku, pracujący dla Bell Labs, amerykański matematyk Peter Shor pokazał, że bezpieczeństwo algorytmów kryptografii asymetrycznej, takich jak RSA, można podważyć z wykorzystaniem komputerów kwantowych. To zaś zrodziło obawy dotyczące możliwych przyszłych ataków kwantowych na kryptografię klucza publicznego. Pewne rozwiązanie tego problemu czekało już jednak na półce, a do odparcia kwantowego zagrożenia, wykorzystywało ten sam, kwantowy, oręż. Chodzi mianowicie o kwantową dystrybucję klucza (ang. Quantum Key Distribution – QKD), metodę zaproponowaną w 1984 roku przez Charles’a Bennett’a i Gilles’a Brassard’a. Warto dodać, że pomysł ten był rozwinięciem idei kwantowego pieniądza, która pojawiła się jeszcze na przełomie lat sześćdziesiątych i siedemdziesiątych za sprawą Stephena Weinera.

Kwantowa dystrybucja klucza umożliwia wymianę sekretnego klucza, wykorzystując stany polaryzacji pojedynczych kwantów światła – fotonów. Te zaś, co wynika z zasad rządzących mikroświatem, nie są skłonne do dzielenia się informacją, którą w sobie niosą. W szczególności, nie jest możliwe wykonanie idealnej kopii (klonu) takiego fotonu, jeśli jego stan nie jej nam wcześniej znany. Algorytmy QKD, takie jak zaproponowany przez Bennett’a i Brassard’a BB84, zaprzęgają tą własność do tego by ukryć przed światem wymieniane bity sekretnego klucza. Obrazowo rzecz ujmując, pomiędzy stronami wymieniającymi sekretny klucz powstaje “kwantowy tunel”, a każda próba jego nieuprawnionej eksploracji kończy się jego zasypaniem. Co więcej, bezpieczeństwo takiego rozwiązania możemy ściśle udowodnić na gruncie mechaniki kwantowej i teorii informacji.

Pomimo niezwykłej atrakcyjności QKD, jako wręcz idealnego sposobu wymiany sekretnego klucza, trudności natury technicznej przez wiele lat skutecznie utrudniały szerokie wdrożenie tego rozwiązania. Sytuacja ta uległa w ostatnim dziesięcioleciu znaczącej poprawie, a obecnie możemy mówić wręcz o rozkwicie technologii QKD. Pozostającym problemem jest wciąż dystans na który kwantowa dystrybucja klucza może zostać pomyślnie przeprowadzona, co jest skutkiem tłumienia fotonów w ośrodku optycznym. W konsekwencji, za pomocą światłowodu, QKD możemy skutecznie realizować na odległościach nie większych niż około 100 km. Dopuszczalnym, lecz zarazem bardzo kosztownym, sposobem ominięcia tej trudności jest wykorzystanie przestrzeni kosmicznej. Dzięki dużo słabszemu tłumieniu fotonów w powietrzu i w próżni, kwantowa dystrybucja klucza może być realizowana na znacznie dłuższych odległościach, co zostało potwierdzone dzięki eksperymentom z wykorzystaniem chińskiego satelity Micius. Alternatywnego rozwiązania dostarczają tak zwane powielacze kwantowe. Wymagają one jednak dalszych prac badawczo-rozwojowych.

Bez ich pomocy, już teraz, zaczynają powstawać pierwsze naziemne sieci realizujące QKD. Nie stanowią one jednak zupełnie odrębnych systemów. Tworzone są równolegle do konwencjonalnych sieci teleinformatycznych, dostarczając im sekretnych kluczy, niezbędnych do prowadzenia bezpiecznej wymiany informacji. A to zapewniane jest już przez bardzo silne szyfry symetryczne, które pozostaną nietknięte, nawet w epoce komputerów kwantowych.

Możemy zatem powiedzieć, że na naszych oczach rodzi się, zupełnie nowy typ (kwantowej) sieci. Sytuacja ta nasuwa skojarzenia z ARPANETem. Podobnie jak ARPANET, sieci kwantowe powstają w odpowiedzi na zagrożenia swoich czasów. W latach siedemdziesiątych ubiegłego stulecia, za największe niebezpieczeństwo uważano atak jądrowy. We współczesnym, coraz bardziej cyfrowym, świecie globalne zagrożenia nie tkwią już jednak tylko w silosach lecz także w serwerach. To w cyberprzestrzeni rozgrywa się wiele ze współczesnych konfliktów i to groźba rozległych ataków w cyberprzestrzeni staje się źródłem największych obaw. Dlatego też tak ważne jest bezpieczeństwo wymiany informacji w sieciach teleinformatycznych, której to fundamentem jest kryptografia. Kryptografia kwantowa, wcielona poprzez QKD, jest sposobem na wyniesienie cyberbezpieczeństwa na zupełnie nowy poziom. Podobnie jak w przypadku ARPANETu, tak i wdrożenie jego współczesnego odpowiednika – nazwijmy go QUANTUMNETem – dotyczyć będzie jednak wyjściowo jedynie zasobów o znaczeniu krytycznym. Przez co należy rozumieć zarówno najbardziej wrażliwe dane, jak i połączoną z siecią teleinformatyczną infrastrukturę o szczególnym znaczeniu (np. elektrownie i banki). Jednakże, już teraz, podobnie jak niegdyś Whitfield Diffie, możemy rozmyślać o korzyściach jakie mogłoby płynąć z upublicznienia sieci, w tym przypadku – sieci kwantowej. Czy zatem współczesne pierwsze sieci realizujące kwantową dystrybucję klucza staną się zalążkiem przyszłego Internetu kwantowego?

Dywagacje na ten, skądinąd fascynujący, temat pozostawmy na inną okazję. Teraz natomiast przyjrzyjmy się wybranym, obecnie rozpinanym, sieciom kwantowym. Do najważniejszych z nich należy bez wątpienia chińska sieć, o długości około 2000 km, łącząca miasta Pekin, Jinan, Hefei i Szanghaj. Sieć ta jest pierwszym etapem powstającej chińskiej kwantowej sieci szkieletowej. W jej skład wchodzą również lokalne kwantowe sieci miejskie.

Schemat chińskiej kwantowej sieci łączącej Pekin i Szanghaj. Żródło: [2]

Jak widać na rysunku powyżej, sieć ta złożona jest z szeregu segmentów. Wynika to ze wspomnianego ograniczenia na dystans na jaki można prowadzić QKD za pośrednictwem światłowodu. Każda z pomarańczowych kropek na schemacie to tak zwany zaufany węzeł, który podaje sekretny klucz przez kolejny segment sieci. Węzły te są klasyczne a informacja przez nie przekazywana pozostaje do dyspozycji operatora sieci. To, w naturalny sposób, rodzi obawy co do bezpieczeństwa takiego systemu i możliwości nieautoryzowanego dostępu do przekazywanej informacji. Temat ten jest dużo bardziej złożony i wykracza poza ramy tego tekstu. Dodam jedynie, że wprowadzenie wspomnianych powyżej powielaczy kwantowych powinno umożliwić zastąpienie zaufanych węzłów węzłami kwantowymi, zapewniającymi wyższe bezpieczeństwo przekazywanej informacji.

Ambicje Chin, wyrastających na światowego lidera technologii kwantowych, pozostają niezaspokojone i już teraz prowadzone są działania w kierunku rozszerzenia “kwantowej autostrady,” pokrywając wszystkie chińskie prowincje i regiony autonomiczne. Wraz z siecią naziemną ma powstać także komplementarny segment satelitarny, który jest już z powodzeniem testowany. Umożliwi on realizację QKD na dużych dystansach, częściowo rozwiązując problem zaufanych węzłów. Plan szkieletu tej sieci można znaleźć poniżej.

Planowana chińska szkieletowa sieć kwantowa. Niebieskie linki odpowiadają zbudowanym już fragmentom sieci. Żródło: [3]

Zarówno Stany Zjednoczone, jak i Unia Europejska (czy też inne rozwinięte technologicznie państwa) nie pozostają bierne i również prowadzą prace nad budową własnych kwantowych sieci. Na naszym europejskim podwórku, na szczególną uwagę zasługuje eksperymentalna kwantowa sieć miejska zbudowana w Madrycie. Sieć ta powstała we współpracy naukowców z Politechniki madryckiej oraz firm Telefonica i Huawei. Dostawcą systemów do kwantowej dystrubucji klucza jest tutaj niemiecki oddział firmy Huawei, natomiast Telefonica do celu projektu udostępnia swoje zasoby sieciowe. Madrycka sieć, której schemat przedstawiono poniżej, zawiera obecnie 13 połączeń i należy do najbardziej rozbudowanych tego typu sieci na świecie.

Schemat kwantowej sieci powstałej w Madrycie. Źródło

Kolejną ważną europejską inicjatywą związaną z QKD jest projekt OpenQKD. W jego ramach, testowane są lokalne komponenty sieci kwantowych oraz ich możliwe obszary zastosowań praktycznych. Sieć madrycka jest jedną z kilku eksperymentalnych sieci wchodzących w skład OpenQKD. Warto dodać, że w projekcie tym uczestniczy również Poznańskie Centrum Superkomputerowo-Sieciowe. Technologia QKD, w kontekście budowy sieci kwantowych, rozwijana jest również w projekcie CiViQ, finansowanym w ramach europejskiej inicjatywy Quantum Flagship.

Jednakże, największe nadzieje na utworzenie rozległej paneuropejskiej kwantowej sieci wiążą się z inicjatywą EuroQCI, koordynowaną przez Komisję Europejską. Zakłada ona, że do końca bieżącej dekady ma powstać w Europie rozbudowana kwantowa sieć, przeznaczona wyjściowo do użytku administracji europejskiej oraz biznesu. W lipcu 2019 roku do inicjatywy Euro QCI włączyła się również Polska. Podobnie jak w przypadku sieci chińskiej, planowany jest również komponent satelitarny, co wiąże się z zaangażowaniem w ten projekt Europejskiej Agencji Kosmicznej.

EuroQCI ma zapewnić Europie wejście na nowy poziom bezpieczeństwa cybernetycznego. Początkowo jednak, również opierać się będzie na zaufanych węzłach klasycznych, co pozostawia pewien niedosyt. Mianowicie, o ile zastosowanie QKD eliminuje możliwość przechwytu informacji na łączach optycznych, obawa związana z przejęciem informacji na węzłach pozostaje realna.

Kryptografia asymetryczna, umożliwiająca realizację tzw. szyfrowania end-to-end daje możliwość uzgodnienia sekretnego klucza nawet przez, powszechnie dostępny, kanał publiczny (stosując tzw. protokół Diffiego-Hellmana). Podejście to jest jednak opiera swoje bezpieczeństwo na złożoności obliczeniowej pewnych problemów matematycznych (podobnie jak RSA). To, z jednej strony, rodzi obawę pod kątem kryptoanalizy kwantowej a z drugiej nie daje nam gwarancji bezpieczeństwa nawet w przypadku ataków klasycznych. O ile nie dysponujemy skutecznymi algorytmami ataków na takie szyfry, nie posiadamy również dowodu na to, że takowe nie istnieją i nie zostaną w bliższej lub dalszej przyszłości odkryte i co gorsza zastosowane.

Implementując sieci kwantowe zmierzamy do odejścia od kryptografii asymetrycznej. Jednakże, w kontekście problemu klasycznych węzłów, konieczne może okazać się “wzmocnienie” takich sieci, uniemożliwiając operatorowi sieci dostęp do wymienianych informacji. Stosowanie współczesnych algorytmów asymetrycznych jest w tym kontekście nieuzasadnione. Nadzieję na wdrożenie takiego rozwiązania dają jednak rozwijane obecnie algorytmy kryptografii postkwantowej, takie jak np. algorytmy oparte na kratach.

Prawdziwie bezwarunkowo bezpiecznego rozwiązania może dostarczyć jednak jedynie zastąpienie węzłów klasycznych, węzłami kwantowymi, urzeczywistniając w pełni koncepcję sieci kwantowych. Teoretycznie, sieci takie mogą zagwarantować absolutną prywatność jej użytkownikom. Trudno być jednak przekonanym co do tego, że globalna kwantowa sieć, w takiej formie, kiedykolwiek powstanie. Wynika to nie z wyzwań technicznych, lecz z dobrze znanej kwestii znalezienia kompromisu pomiędzy prywatnością a bezpieczeństwem. Mianowicie, istotne znaczenie ma nie tylko uniknięcie nieuprawnionego przechwycenia naszej komunikacji w sieci ale również zachowanie odpowiednich standardów aktywności w samej sieci. Całkowicie niepodatna na kontrolę kwantowa sieć mogłaby stać nie tyle przestrzenią uszanowania naszej prywatności i swobody działań, co miejscem ekspresji bezkarności i działalności przestępczej. Dlatego też, nawet jeśli Internet kwantowy stanie się faktem, niezbędne będzie wcześniejsze rozwiązanie problemu tego jak sprawić by nie przeistoczył się on w “Kwantowy Darknet”.

Bibliografia

Simon Signh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Anchor Boks, New York (2000).
Qiang Zhang, Feihu Xu, Yu-Ao Chen, Cheng-Zhi Peng, and Jian-Wei Pan, Large scale quantum key distribution: challenges and solutions [Invited], Opt. Express 26, 24260-24273 (2018).
Martino Travagnin, Adam Lewis, Quantum Key Distribution in-field implementations, EUR 29865 EN, Publications Office of the European Union, Luxembourg (2019).
H. Kimble, The quantum internet. Nature 453, 1023–1030 (2008).

Artykuł został opublikowany na portalu Nauka UJ.

Splątanie kwantowe w nanosatelicie

July 5, 2020December 11, 2020 jakub mielczarek6 Comments

Udało się zrealizować kolejny ważny krok w kierunku wykorzystania przestrzeni kosmicznej do prowadzenia komunikacji kwantowej oraz do badań nad zjawiskami kwantowymi w warunkach mikrograwitacji. Stało się to za sprawą nanaosatelity SpooQy-1, który zrealizował eksperyment demonstrujący splątanie kwantowe fotonów w warunkach kosmicznych [1]. Misja została przeprowadzona przez Centrum Technologii Kwantowych w Singapurze, we współpracy z partnerami ze Szwajcarii, Australii i Wielkiej Brytanii.

Pierwsze eksperymenty satelitarne z wykorzystaniem splątanych stanów fotonów zostały zrealizowane w ostatnich latach przez chińskiego satelitę średniego typu o nazwie Micius [2]. Jednakże, dopiero teraz udało się przeprowadzić eksperyment ze splątanymi stanami kwantowymi fotonów z wykorzystaniem miniaturowego nanosatelity typu CubeSat. W standardzie tym, nanosatelity budowane są z jednostek (unitów) w postaci sześcianów o długości krawędzi równej 10 cm. Pojedynczą kostkę określamy jako 1U – jedna jednostka. Nanosatelita SpooQy-1 zbudowany został z trzech jednostek (3U), przy czym, systemy sterowania, łączności i zasilania zamknięto w jednym z nich (1U), eksperyment kwantowy zajmował zaś pozostałe dwa bloki (2U).

Misja SpooQy-1 powstała na bazie wcześniejszego projektu nanosatelitarnego Galassia (2U), który w 2016 roku wykonał orbitalne testy układu do generowania splątanych stanów kwantowych kwantowych [3]. W ramach tej misji nie udało się jednak dokonać pomiarów samego splątania kwantowego. Z uwagi na stosunkowo niskie koszty zarówno budowy jak i umieszczania na niskiej orbicie okołoziemskiej CubseSatów, przeprowadzone misje torują drogę do realizacji kolejnych nanosatelitarnych projektów kwantowych przez mniejsze grupy naukowców i inżynierów.

SpooQy-deployment — Wypuszczenie nanosatelity SpooQy-1 z Międzynarodowej Stacji Kosmicznej. Źródło

Żeby zrozumieć znaczenie przeprowadzonego na pokładzie nanosatelity SpooQy-1 eksperymentu, warto przybliżyć (lub jedynie odświeżyć) to co rozumiemy przez splątanie kwantowe. W tym celu, rozważmy foton, czyli podstawową porcję (kwant) pola elektromagnetycznego. Fotony, oprócz odpowiadającej im długości fali, czy też zbioru długości fali składających się na tak zwaną paczkę falową, posiadają również dwa wewnętrzne stopnie swobody związane z ich polaryzacją. Wypadkowa polaryzacja fotonu ma postać kwantowej superpozycji dwóch stanów bazowych polaryzacji. Jako stany bazowe możemy wybrać przykładowo dwie prostopadłe względem siebie polaryzacje – poziomą (H – horizontal) oraz pionową (V – vertical). Kierunki polaryzacji są ustalone względem referencyjnego układu odniesienia, takiego jaki wyznacza chociażby płaszczyzna stołu optycznego.

Fotony możemy przygotować w stanach o pożądanej polaryzacji liniowej przepuszczając je przez polaryzator. Jeśli będzie on ustawiony np. w pozycji H, to foton o początkowej dowolnej polaryzacji, po przejściu przez taki polaryzator znajdzie się stanie H. Ciekawą sytuacją jest, kiedy pozycja polaryzatora nie będzie pokrywała się z jedną z pozycji bazowych H i V, leczy np. będzie względem każdej z nich obrócona o 45 stopni. Odpowiada to polaryzacjom diagonalnej (D – diagonal) oraz antydiagonalnej (A – anti-diagonal). Wtedy to, analizując np. fotonu w stanie o polaryzacji D za pomocą analizatora złożonego z polaryzatorów ustawionych w pozycjach H i V, zaobserwujemy tak zwaną redukcji stanu kwantowego. Statystycznie, przepuszczając przez analizator pewną liczną fotonów przygotowanych w stanie D, połowę z nich zarejestrujemy jako będące w stanie H, a połowę w stanie V. Stan o polaryzacji D możemy więc uznać za superpozycję kwantową stanów bazowych H i V, z jednakowym rozkładem prawdopodobieństw równym 1/2. W trakcie aktu pomiaru, jakim jest analiza polaryzacji, stan ten redukuje się do jednego ze stanów bazowych (H,V) i pozostaje w nim.

Przejście od koncepcji superpozycji kwantowej do splątania kwantowego wymaga rozszerzenia powyższej dyskusji do przypadku stanu kwantowego dwóch lub więcej fotonów. Do wyjaśnienia eksperymentu przeprowadzonego w misji SpooQy-1, wystarczy nam rozważanie splątania kwantowego dwóch fotonów. Tym bardziej, że jest to sytuacja najpowszechniejsza, a wytwarzanie stanów splątanych trzech i większej liczby fotonów jest wciąż raczkującym obszarem doświadczalnej optyki kwantowej.

Splątanie kwantowe jest szczególnym typem superpozycji kwantowej w układzie cząstek, takich jak fotony, prowadzące do występowania nielokalnych korelacji pomiędzy nimi. Stanami dwufotonowymi, w których możemy zaobserwować splątanie kwantowe są w szczególności stany Bella: Φ+, Φ-, Ψ+ i Ψ-. Stany te są szczególnie interesujące z tego powodu, że należą do przypadku w którym splątanie kwantowe jest najsilniejsze (mówimy, że są to stany maksymalnie splątane).

Przyjrzyjmy się teraz bliższej przypadkowi fotonów przygotowanych w stanie Φ+, co przedstawia rysunek poniżej. Fotony takie, wyemitowane ze źródła stanu splątanego, propagują się następnie do odległych punktów A i B, w których następuje pomiar. Podobnie jak w omawianym powyżej przypadku pojedynczego fotonu, a priori możemy z równym prawdopodobieństwem oczekiwać zarejestrowania każdego z fotonów w stanie o jednej z dwóch polaryzacji: H lub V. W tym momencie dochodzimy jednak do jednej z najbardziej enigmatycznych własności mechaniki kwantowej. Mianowicie, jeśli dokonamy analizy polaryzacji jednego z fotonów, to będzie to miało natychmiastowy wpływ na wynik pomiaru przeprowadzonego na tym drugim. Jeśli np. w wyniku pomiaru okaże się, że foton w punkcie A jest stanie o polaryzacji H, to ze stuprocentową pewnością, analizując drugi foton w punkcie B, zaobserwujemy, że znajduje się on również w stanie H. Natomiast, jeśli nie dokonalibyśmy pomiaru w punkcie A, to wynik pomiaru w punkcie B wynosiłby w 50% przypadków H i w 50% przypadków V. Ta natychmiastowa redukcja stanu kwantowego, odbiegająca od tak zwanego lokalnego realizmu, okazała się trudna do zaakceptowania przez wielu fizyków, co znalazło ucieleśnienie między innymi w paradoksie EPR (Einsteina-Podolskiego-Rosena). Przypuszczano, że mogą istnieć pewne dodatkowe (nieobserwowane) stopnie swobody, tak zwane zmienne ukryte, znajomość których pozwoliłaby przewidzieć wyniki pomiarów i uniknąć konieczności natychmiastowej redukcji stanu kwantowego pomiędzy odległymi punktami. Możliwość występowania zmiennych ukrytych, przynajmniej tych lokalnego typu, wyeliminował ostatecznie w latach sześćdziesiątych ubiegłego wieku północnoirlandzki fizyk John Bell, ten sam od którego nazwiska pochodzi wprowadzona powyżej rodzina stanów kwantowych.

Schemat eksperymentu Bella ze splątaniem kwantowym. Źródło

Rozważając korelacje pomiędzy wynikami pomiarów w punktach A, B wykazał on, że hipoteza zmiennych ukrytych wymaga spełnienia określonej nierówności pomiędzy wynikami pomiarów w różnych bazach. W celu wprowadzenia tej nierówności, oznaczmy wyniki pomiarów w bazie (H,V) w punktach A i B odpowiednio a i b. Natomiast, dla alternatywnego wyboru bazy, np. (D,A), niech wyniki pomiarów w punktach A i B wynoszą a’ i b’. Korzystając z tych oznaczeń, możemy rozważań cztery różne konfiguracje dla funkcji korelacji, E(a,b), E(a’,b), E(a,b’) i E(a’,b’), które pozwalają nam zdefiniować wielkość:

S = E(a,b) – E(a,b’) + E(a’,b) + E(a’,b’),

zwaną parametrem CHSH (Clauser-Horne-Shimony-Holt). Jak wykazał Bell, teoria lokalnych zmiennych ukrytych wymaga, żeby parametr ten spełnia następującą nierówność (zwana nierównością Bella, lub też nierównością Bella-CHSH):

|S|≤ 2.

Okazuje się jednak, że stany splątane takie jak rozważane tu stany Bella, jawnie łamią tę nierówność, przecząc lokalnemu realizmowi.

Wynik ten wspiera postrzeganie mechanik kwantowej jako teorii w pewnym stopniu nielokalnej. Mianowicie, stan splątany dwóch cząstek kwantowych traktujemy jako jeden obiekt kwantowy i niezależnie od tego czy jedna jego część znajduje się w dużej odległości od drugiej, ingerencja w tą pierwszą poniesie za sobą natychmiastowy skutek dla tej drugiej i vice versa. Jednakże, wbrew pierwotnym obawom, wyrażonym w paradoksie EPR, nie jest w ten sposób możliwa nadświetlna wymiana informacji. Pomimo, że splątanie kwantowe nie pozwala urzeczywistnić wizji znanych chociażby z serialu Star Trek, znajduje ono zastosowanie w komunikacji. Ma to miejsce za sprawą zarówno możliwości przeprowadzania za jej pośrednictwem tak zwanej teleportacji stanów kwantowych jak i kwantowej dystrybucji klucza. Oba te procesy zachodzą z prędkością światła w danym ośrodku, która jest mniejsza lub równa prędkości światła w próżni.

To drugie zastosowanie, czyli kwantowa dystrybucja, stanowiąca jeden z głównych filarów kryptografii kwantowej, przyciąga szczególnie duże zainteresowanie i stanowiła jedną z głównych motywacji do przeprowadzenia misji SpooQy-1. Wytworzone stany Bella pozwalają m.in. na realizację protokołu Ekerta (E91) kwantowej dystrybucji klucza [4]. W podejściu tym, zaufana jednostka (na przykład nanosatelita) wytwarza pary splątanych fotonów, wysyłając jeden z nich do punku A a drugi do punktu B. Analizując otrzymane fotony, można otrzymać ciągi wyników pomiaru polaryzacji, np. HVHHVHVHV…. Przypisując zaś stanom polaryzacji wartości binarne np. H->0 i V->1, otrzymujemy ciąg bitów 010010101…, który może stanowić sekretny klucz, stosowany w protokołach klasycznej kryptografii symetrycznej. Przygotowując fotony np. w stanie Φ+, mamy pewność, że jeśli odbiorca A zarejestrował ciąg 010010101…, to taki sam ciąg zaobserwuje również odbiorca klucza w punkcie B. Dodatkowym elementem takiego protokołu jest sprawdzenie na części bitów tego czy nie nastąpił podsłuch transmisji. Po pomyślnej weryfikacji, uzyskujemy wynikającą z praw mechaniki kwantowej gwarancję poufności wymienionego klucza.

Za pomocą satelity SpooQy-1, przeprowadzono testy zarówno wytwarzania jaki i analizy stanów splątanych. Splątane fotony nie były jednak emitowane poza nanosatelitę, do odbiorców w przestrzeni kosmicznej lub na powierzchni Ziemi. To już będzie stanowiło przedmiot kolejnych misji. W ramach tego projektu, cały eksperyment został przeprowadzony w obrębie zamkniętego modułu doświadczalnego, zawierającego źródło splatanych fotonów oraz ich analizator.

Do wytworzenia par splątanych kwantowo fotonów wykorzystano, powszechnie stosowany w warunkach laboratoryjnych, proces zwany spontanicznym parametrycznym obniżaniem częstości (SPDC – Spontaneous Parametric Down-Conversion). W zjawisku tym, wysokoenergetyczny (np. ultrafioletowy) foton ulega w optycznie nieliniowym ośrodku konwersji na dwa niżej-energetyczne fotony, występujące już w stanie splątanym. Wyniki przeprowadzonego eksperymentu raportują o wytworzeniu w ten sposób, w warunkach kosmicznych, stanu Bella Φ- (jest to stan bardzo podoby do stanu Φ+, różniący się od niego jedynie względną fazą pomiędzy stanami bazowymi).

BBO — Wytwarzanie splątanych kwantowo par fotonów w procesie spontanicznego parametrycznego obniżania częstości (SPDC – Spontaneous Parametric Down-Conversion). Źródło

W układzie eksperymentalnym, jako źródło fotonów zastosowano diodę laserową (LD) , generującą wiązkę fotonów o długości fali 405 nm (granica światła widzialnego, w stronę bliskiego ultrafioletu) i szerokości spektralnej równej 160 MHz. Do wytworzenia stanów splątanych wykorzystano dwie płytki wykonane z boranu baru (BBO), pomiędzy którymi ustawiono płytkę półfalową (HWP), dokonującą obrotu polaryzacji o 90 stopni. W celu usunięcia z wiązki wejściowego (pompującego) światła laserowego, które nie uległo konwersji w procesie SPDC, zastosowano lustro dichroiczne (DM1), pełniące funkcję filtru. Natomiast, aby skompensować dyspersję otrzymanych fotonów na drodze optycznej zastosowano kryształ wanadanu (V) itru – YVO4. Tak otrzymany sygnał został rozdzielony do dwóch analizatorów za pomocą kolejnego lustra dichroicznego (DM2). Każdy z nich składał się z ciekłokrystalicznego rotatora polaryzacji (LCPR), polaryzatora (P) oraz fotodiody lawinowej (GM-APD) i analizował jeden z fotonów należący do kwantowo splątanej pary. Zarejestrowane fotony uznawano za pochodzące z jednej splątanej kwantowo pary jeśli zaobserwowano je w oknie czasowym o szerokości ~ 5 ns.

Spooqy_setup — Uproszczony schemat układu doświadczalnego w nanaosatelicie SpooQy-1. Źródło

Za pomocą takiego układu doświadczalnego, przeprowadzono eksperyment w którym wykazano, że wartość parametru S, dla wytworzonych w procesie SPDC stanów Bella przyjmuje wartości większe od klasycznej granicy S=2, a mniejsze od teoretycznie przewidzianej wartości równej S=2√2≈2.83. Uśredniona, otrzymana w ramach eksperymentu wartość to S=2.60±0.07 > 2. Potwierdzono tym samym łamanie nierówności Bella w warunkach orbitalnych. Otrzymany w eksperymencie poziom błędów, odpowiadający parametrowi QBER (Quantum Bit Error Rate) równemu ~ 4 % (około cztery na 100 transmitowanych bitów są błędne), jest wystarczający do tego żeby pomyślnie przeprowadzać kwantową dystrybucję klucza. To wymagać będzie jednak dostosowania układu doświadczalnego do pracy z laserem o większej mocy i układem optycznym umożliwiającym dalekodystansową komunikację optyczną.

MzY1Mzk5OQ — Fizyczna realizacja układu doświadczalnego w nanaosatelicie SpooQy-1. Źródło

Przybliżone tu wyniki grupy z Centrum Technologii Kwantowych w Singapurze, którego dyrektorem do niedawna pozostawał Polak prof. Artur Ekert, to z jednej strony zwieńczenie wielu lat intensywnej pracy a z drugiej preludium do kolejnych, jeszcze szerzej zakrojonych, kwantowych projektów kosmicznych. Do następnych milowych kroków należą niewątpliwie przeprowadzanie kwantowej dystrybucji klucza pomiędzy dwiema nanosatelitami [5] oraz pomiędzy nanosatelitą a stacją naziemną [6]. Prace w tym kierunku, w szczególności w kontekście wykorzystania łatwiejszej wersji kwantowej dystrybucji klucza nie opartej na splątaniu kwantowym, już trwają. Ponadto, nanosatelitarne eksperymenty ze splątaniem kwantowym w warunkach orbitalnych otwierają możliwość do badań podstawowych, szczególnie w kontekście związku pomiędzy teorią grawitacji w fizyką kwantową. Warte podkreślenia jest to, że dzięki wykorzystaniu platform typu CubeSat, projekty tego typu stają się możliwie do realizacji również w warunkach polskich. W kierunku tym zwracamy się ramach działającego na Uniwersytecie Jagielloński w Krakowie zespołu naukowego Quantum Cosmos Lab.

Biblografia

[1] Aitor Villar, et al., Entanglement demonstration on board a nano-satellite, Optica 7, 734-737 (2020).
[2] J-G Ren et al., Ground-to-satellite quantum teleportation, Nature 549, 70–73 (2017).
[3] Zhongkan Tang, et al., Generation and Analysis of Correlated Pairs of Photons aboard a Nanosatellite, Phys. Rev. Applied 5, 054022 (2016).
[4] Artur K. Ekert, Quantum cryptography based on Bell’s theorem, Phys. Rev. Lett. 67, 661 (1991).
[5] Denis Naughton, et al., Design considerations for an optical link supporting intersatellite quantum key distribution, Optical Engineering 58(1), 016106 (2019).
[6] R. Bedington, et al., Nanosatellite experiments to enable future space-based QKD missions, EPJ Quantum Technology 2016 3:12 (2016).

Artykuł został opublikowany na portalu Space24.

Technologie kwantowe a cyberbezpieczeństwo

November 25, 2019April 10, 2020 jakub mielczarekLeave a comment

Jednym z najważniejszych filarów bezpieczeństwa w cyberprzestrzeni jest kryptografia. Z punktu widzenia jednostki, m.in. to dzięki kryptografii możliwe jest korzystanie z systemów bankowości elektronicznej, dokonywanie zakupów online, zachowanie prywatności w komunikacji internetowej, czy też zapewnienie poufności naszej dokumentacji medycznej w medycznych systemach teleinformatycznych. Z punktu widzenia Państwa, kryptografia to zaś kluczowy element tarczy chroniącej przed cyberatakami na strategiczne komponenty (zarówno infrastrukturę fizyczną, jak i zasoby cyfrowe) oraz narzędzie umożliwiające wymianę i przechowywanie informacji niejawnej, o podstawowym znaczeniu dla interesu i bezpieczeństwa Państwa.

Rozwój technologii kwantowych, opartych na niezwykłych własnościach mikroświata, ma z punktu widzenia cyberbezpieczeństwa znaczenie dwojakie. Z jednej strony, kwantowe przetwarzanie informacji dostarcza nowej metody prowadzenia ataków na klasyczne systemy kryptograficzne, poprzez tzw. kryptoanalizę kwantową. Państwa lub organizacje, które wejdą w posiadanie zaawansowanych systemów umożliwiających prowadzenie obliczeń kwantowych będą więc dysponowały nowym narzędziem stanowiącym potencjalne zagrożenie dla cyberbezpieczeństwa. Z drugiej zaś strony, technologie kwantowe dostarczają zupełnie nowych rozwiązań kryptograficznych, które mogą pozwolić osiągnąć poziom bezpieczeństwa w wymianie i magazynowaniu informacji, niedostępny z wykorzystaniem kryptografii klasycznej. W szczególności, rozwiązania takie mogą uchronić przed atakami z wykorzystaniem kryptoanalizy kwantowej.

To czy technologie kwantowe ostatecznie obniżą poziom cyberbezpieczeństwa, czy też tylko go wzmocnią, zależy zarówno od tempa i zakresu postępów w rozwoju technologii kwantowych oraz decyzji państw i organizacji międzynarodowych w zakresie wdrażania rozwiązań odpornych na kryptoanalizę kwantową [1]. Z uwagi na wysokie koszty oraz unikalną wiedzę i doświadczenie, które są niezbędne do rozwoju technologii kwantowych, realne są scenariusze w których zarówno zabezpieczenie cyberprzestrzeni przed atakami, jak i wejście w posiadanie kwantowych narzędzi kryptoanalitycznych, będzie postępowało bardzo niejednorodnie. Stanowić to więc może realne zagrożenie dla krajów nie należących do światowej czołówki w obszarze nauki i techniki.

Kryptoanaliza kwantowa

Zagrożenie związane z kryptoanalizą kwantową wynika z możliwości redukcji tak zwanej złożoności obliczeniowej problemów, na których opierają się algorytmy kryptografii klasycznej. Wiąże się to z występowaniem paralelizmu kwantowego (Dodatek A), który jest możliwy do zrealizowania poprzez wykonanie algorytmów kwantowych na odpowiednio zaawansowanych komputerach kwantowych. Kwantowa redukcja złożoności jest teoretycznie możliwa zarówno w przypadku kryptografii symetrycznej (z tajnym kluczem), jak i kryptografii asymetrycznej (z kluczem publicznym). Otrzymywany, dzięki algorytmom kwantowym, stopień redukcji złożoności jest jednak zasadniczo różny dla tych dwóch przypadków. W konsekwencji, niektóre stosowane obecnie algorytmy kryptografii symetrycznej pozostaną niepodatne na kryptoanalizę kwantową. Natomiast, np. wykorzystywane powszechnie w bankowości elektronicznej, systemach płatniczych, czy też rozwiązaniach opartych o technologię Blockchain, algorytmy kryptografii asymetrycznej zostaną wystawione na potencjalne zagrożenie.

Przedyskutujmy powyższą kwestię bardziej szczegółowo. W przypadku kryptografii symetrycznej, siła zabezpieczenia opiera się, w dużej mierze, na wielkości przestrzeni tajnego klucza. Przykładowo, dla stosowanego powszechnie algorytmu symetrycznego AES (Advanced Encryption Standard) z kluczem 256 bitowym, przestrzeń klucza posiada N = 2²⁵⁶ elementów, co jest w przybliżeniu równe jeden i 77 zer. Przeszukanie tak ogromnego zbioru w poszukiwaniu tajnego klucza jest praktycznie niemożliwe, zarówno korzystając z obecnych, jak i możliwych do przewidzenia przyszłych zasobów obliczeniowych.

Zastosowanie algorytmów kwantowych pozwoli przyśpieszyć proces poszukiwania przestrzeni klucza w ataku siłowym (ang. brute force). Mianowicie, jak pokazał w 1996 roku Lov Grover, wykorzystanie obliczeń kwantowych pozwala zredukować średnią ilość prób potrzebnych do znalezienia elementu w nieuporządkowanym N elementowym zbiorze z N/2 do pierwiastka kwadratowego z N, czyli N^1/2. Oznacza to, że w przypadku AES-256, komputer kwantowy będzie wciąż potrzebował wykonać około N^1/2=2¹²⁸ prób w celu znalezienia tajnego klucza. Nawet więc dysponując komputerem kwantowym, na którym zaimplementowany mógłby zostać algorytm Grover’a, siła szyfru pozostanie na poziomie porównywalnym z AES z kluczem 128 bitowym. Jest to zabezpieczenie zupełnie wystarczający dla większości standardowych sytuacji.

Rzecz ma się jednak inaczej w przypadku szyfrów kryptografii asymetrycznej (z kluczem publicznym). Istota kryptografii asymetrycznej opiera się na trudności obliczeniowej pewnych operacji matematycznych, dla których zaś operacja „przeciwna” jest łatwa do przeprowadzenia. Do najbardziej znanych przykładów algorytmów tego typu zaliczają się DH (Diffie-Hellman), RSA (Rivest-Shamir-Adleman) oraz ECC (Elliptic Curve Cryptography). Algorytm DH jest oryginalnie pierwszą propozycją kryptografii z kluczem publicznym a trudnym problemem jest tutaj znajdowanie tak zwanego logarytmu dyskretnego (logarytmu określonego na skończonym zbiorze liczb). Z kolei, popularny algorytm RSA wykorzystuje złożoność obliczeniową rozkładu liczby na czynniki pierwsze (zagadnienie faktoryzacji). Wadą algorytmów DH i RSA jest konieczność stosowania stosunkowo długich kluczy (obecnie powszechnie stosuje się klucze 2048 bitowe). Problem ten rozwiązuje zastosowanie algorytmów ECC, wykorzystujących problem złożoności logarytmu dyskretnego dla działania zdefiniowanego na krzywej eliptycznej. Poziom bezpieczeństwa porównywalny z DH lub RSA z kluczem 2048 bitwym otrzymamy stosując algorytm ECC z kluczem 224 bitowym. Między innymi z tego powodu, algorytmy ECC znalazły szerokie zastosowanie w technologii Blockchain.

Okazuje się, że trudność obliczeniową na której oparte są przytoczone powyżej algorytmy kryptografii asymetrycznej można sprowadzić do zagadnienia znalezienia okresu pewnej funkcji. O ile jednak, znajdowanie okresu funkcji jest z perspektywy komputerów klasycznych zadaniem trudym obliczeniowo, nie jest już takim dla komputerów kwantowych. Mianowicie, jak pokazał w 1994 roku Peter Shor, obliczenia kwantowe pozwalają zredukować złożoność problemu znajdowania okresu funkcji z problemu wykładniczego w funkcji ilości bitów danej liczby do problemu wielomianowego klasy BPQ (Dodatek B). Fakt ten jest głównym źródłem zagrożenia związanego z kryptoanalizą kwantową.

CyberSec — Obwód kwantowy dla algorytmu Shora na tle fragmentu książki Georga Orwella *1984*, zakodowanej za pomocą kolorów przez Hyo Myoung Kima [cała książka].

W optymalnej konfiguracji, Algorytm Shora dla przypadku z kluczem n-bitowym wymaga rejestru kwantowego zawierającego 2n+3 kubity logiczne. Dla algorytmu RSA-2048 są to więc 4099 kubity logiczne. Jednakże, z uwagi na błędy występujące w fizycznych realizacjach komputerów kwantowych, konieczne jest stosowanie rozbudowanych systemów kwantowej korekcji błędów. Zastosowanie korekcji błędów wymaga użycia co najmniej pięciu fizycznych kubitów do zakodowania jednego kubitu logicznego. Absolutnie minimalna liczba fizycznych kubitów, potrzebnych do przeprowadzenia kwantowej kryptoanalizy algorytmu RSA-2048 na komputerze kwantowym, jest więc rzędu 20 000. W praktyce jednak, konieczne może się okazać wykorzystanie dużo większej ilości kubitów pomocniczych, co może zwiększyć tę liczbę do setek tysięcy lub nawet milionów kubitów. Równie ważną kwestią jest osiągnięcie odpowiednio długiego czasu koherencji, gdyż realizacja powyższego algorytmu będzie wymagać przynajmniej 10⁷kroków obliczeniowych.

Oszacowane powyżej wielkości mogą wydawać się zupełnie abstrakcyjne z perspektywy dostępnych dzisiaj możliwości przeprowadzania obliczeń kwantowych. Dla przykładu, najbardziej zaawansowany komputer kwantowy firmy Google posiada 53 kubity i jest w stanie wykonać kilkanaście kroków obliczeniowych. Jednakże, przyjmując hipotetyczny wykładniczy charakter rozwoju technologii kwantowych (analogiczny do prawa Moore’a), osiągnięcie poziomu miliona kubitów jest realne w perspektywie 30 lat. Załóżmy, że skala czasowa podwojenia ilości kubitów w procesorze kwantowym będzie wynosiła około 2 lata (podobnie jak obecnie ma to miejsce w przypadku liczby tranzystorów w procesorach klasycznych). W takim przypadku, w kolejnych latach możemy prognozować wartości: 100 (2021), 200 (2023), 400 (2025), 800 (2027), 1600 (2029), 3200 (2031), 6400 (2033), 12800 (2035), 25600 (2037), 51200 (2039), 102400 (2041), 204800 (2043), 409600 (2045), 819200 (2047), 1638400 (2049), … . Zgodnie z tą naiwną ekstrapolacją, poziom milionów kubitów powinien zostać osiągnięty do roku 2050. Istnieją również bardziej optymistyczne prognozy, wskazujące na możliwość nawet podwójnie wykładniczego rozwoju technologii kwantowych („prawo” Neven’a).

W kontekście kryptoanalizy, warto przywołać także przypadek funkcji skrótu (ang. hash functions), które są nieodzownym elementem współczesnych protokołów kryptograficznych. Do najpowszechniejszych z nich należą: MD4, MD5, SHA-1, SHA-2 i SHA-3. Kryptoanaliza siłowa funkcji skrótu jest zasadniczo podobna do przypadku kryptografii symetrycznej i opiera się na wykorzystaniu algorytmu Grovera. W przypadku SHA-3 ze skrótem 512 bitowym, odporność na tzw. preimage attack jest więc na poziomie algorytmu symetrycznego z kluczem 256 bitowym. Tego samego poziomu jest odporność na ataki kolizyjne. Z uwagi na tę niepodatność na kryptoanalizę kwantową, funkcje skrótu rozpatruje się jako jeden z najbardziej obiecujących komponentów tak zwanej kryptografii postkwantowej.

Kryptografia postkwantowa

Kryptografia postkwantowa [2] jest odpowiedzią na potencjalne zagrożenie związane z kryptoanalizą kwantową algorytmów klasycznej kryptografii asymetrycznej. Z uwagi na to, że kwantowe przyśpieszenie wykładnicze (Dodatek A) nie występuje w przypadku problemu przeszukiwania przestrzeni klucza, nie istnieją obecnie podstawy do obaw o bezpieczeństwo silnych algorytmów kryptografii symetrycznej, takich jaki AES-256, czy też algorytmów opartych na funkcjach skrótu.

Potencjalne zagrożenie związane z kwantową kryptoanalizą algorytmów kryptografii asymetrycznej nie może jednak zostać zbagatelizowane. Nawet jeśli kwantowe możliwości obliczeniowe umożliwiające kryptoanalizę RSA z kluczem 2048 bitowym pojawią się dopiero za 30 lat, należy podejmować działania zapobiegawcze. Po pierwsze, wynika to z faktu, że proces wdrażania (standaryzacja i implementacja) nowych rozwiązań kryptograficznych jest długotrwały, wymagając zarówno prac badawczych, szeroko zakrojonych testów podatności na kryptoanalizę, jak i samej implementacji w ramach istniejących systemów informatycznych. Po drugie, wiele zaszyfrowanych informacji pozostaje wrażliwymi przez okres kilkudziesięciu lat. Ich przechowywanie (jako szyfrogramy) i odszyfrowanie w momencie pojawienia się odpowiednich możliwości obliczeniowych, może doprowadzić nawet do ogólnoświatowego kryzysu. Dla przykładu, dostępne publicznie mogą stać się dane osobowe, transakcje bankowe, dane medyczne milionów osób, co otworzy szereg możliwości działań natury przestępczej. Ponadto, zgodnie z Art. 25 ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych: „Informacje niejawne stanowiące tajemnicę państwową podlegają ochronie, w sposób określony ustawą, przez okres 50 lat od daty ich wytworzenia.” Biorąc pod uwagę możliwość wykorzystania algorytmów kryptografii asymetrycznej do przetwarzania tego typu informacji (chociażby poprzez wykorzystanie kryptografii asymetrycznej do wymiany klucza), realność kryptoanalizy kwantowej w perspektywie 30 lat stawia pod znakiem zapytania bezpieczeństwo przetwarzanej obecnie informacji niejawnej, stanowiącej tajemnicę państwową.

Z uwagi na zagrożenia powyższego typu, w 2016 roku amerykański Narodowy Instytut Standaryzacji i Technologii (NIST) ogłosił program opracowania standardu kryptografii postkwantowej, odpornego na kryptoanalizę kwantową. Proces ten przebiega na zasadzie konkursu, podobnie jak to wcześniej miało miejsce np. w przypadku standardu AES. Obecnie, w drugiej rundzie, rozważana jest pula 26 propozycji. W pierwszej rundzie, z początkowych 250 zgłoszeń wybranych zostało 69 najbardziej obiecujących rozwiązań. Cały proces ma zostać zakończony do roku 2022. Rozpatrywany wachlarz rozważanych algorytmów kryptografii postkwantowej jest szeroki. Do najbardziej obiecujących kierunków należą zaś:

Algorytmy kratowe (ang. lattice-based cryptography)
Algorytmy oparte na kodach korekcyjnych (ang. code-based cryptography)
Kryptografia wielu zmiennych (ang. multivariate cryptography)
Podpis elektroniczny opary o funkcje skrótu (ang. hash-based signatures)

Z uwagi na subtelną naturę rozwiązań kryptograficznych, standaryzacja jest kluczowym elementem poprzedzającym szeroką implementacji nowych algorytmów. Etap ten jest długotrwały i powiązany jest z badaniem odporności danych rozwiązań na ataki kryptologiczne. Należy mieć jednak na uwadze to, że nawet pomyślne wyłonienie nowego standardu nie gwarantuje późniejszego długotrwałego bezpieczeństwa. Wiązać się to może zarówno z odkryciem niezauważonych wcześniej słabości rozwiązań, z pojawieniem się nowych schematów ataków oraz nowymi możliwościami obliczeniowymi. Dla przykładu, zaprojektowany na zlecenie NIST i stosowany od połowy lat siedemdziesiątych ubiegłego wieku symetryczny szyfr DES (z kluczem efektywnie 56 bitowym), okazał się możliwy do złamania już po 20 latach od jego wprowadzenia.

Fakt iż, możliwości kryptoanalizy szyfrów kryptografii postkwantowej są wciąż stosunkowo słabo poznane, istnienie realna obawa, że nawet wyłonione w procesie standaryzacji rozwiązania będą podatne na pewne typy ataków. Dlatego też, w początkowej fazie implementacji wydaje się zasadne opieranie się w jak największym stopniu na dobrze zbadanych elementach obecnych systemów kryptograficznych, takich jak funkcje skrótu lub kody korekcyjne.

O ile proces standaryzacji prowadzony przez NIST jest w toku, w ramach niezależnych projektów podano już pewne rekomendacje co do algorytmów kryptografii postkwantowej. W szczególności, europejski projekt PQCRYPTO, finansowany w ramach programu Horyzont 2020, rekomendował AES-256 i Salsa20 z kluczem 256 bitowym jako postkwantowe algorytmy kryptografii symetrycznej. Dla kryptografii asymetrycznej, rekomendowany został natomiast szyfr McEliece’a, będący przykładem algorytmu opartego na kodach korekcyjnych [3].

Certyfikowana kwantowa przypadkowość

Jednymi z komponentów systemów kryptograficznych, mającymi fundamentalne znaczenie z punktu widzenia bezpieczeństwa, są generatory liczb losowych. W praktyce, są to generatory liczb pseudolosowych, co na przykład w przypadku szyfrów strumieniowych (wykorzystywanych np. do zabezpieczania transmisji w telefonii komórkowej) jest własnością pożądaną. Jednakże, już w przypadku generowania kluczy (będących ciągami bitów) oczekujemy niepowtarzalnej przypadkowości. Dotyczy to zarówno kluczy wykorzystywanych w kryptografii symetrycznej, jak i asymetrycznej.

Błędy w implementacji generatorów pseudolosowych mogą istotnie wpłynąć na obniżenie bezpieczeństwa, wykorzystujących je algorytmów kryptograficznych. Znanym przykładem jest wykazanie istnienia „tylnej furtki” w generatorze pseudolosowym Dual_EC_DRBG. Ujawnione przez Edwarda Snowdena informacje na temat programu deszyfrażu Bullrun, sugerują, że obecność furtki mogło być działaniem celowym amerykańskiej National Security Agency (NSA) [4]. O ile więc furtki takie mogą być wprowadzane celowo przez agencje dbające o bezpieczeństwo publiczne, ich obecność stwarza również możliwość wykorzystania przez osoby, instytucje i państwa nieprzyjazne.

Probabilistyczna natura mechaniki kwantowej stwarza atrakcyjną możliwość budowy generatorów losowych. Co więcej, rozwiązania takie są już dostępne komercyjnie. Jednakże, otwarte zostaje potencjalne zagrożenie związane z wykorzystaniem możliwych „tylnych furtek” w tego typu rozwiązaniach. Dlatego też, dąży się do opracowania rozwiązań które będą gwarantowały zarówno losowość, jak i niepodatność na ataki, zarówno na poziomie sprzętu, jak i oprogramowania.

Jednym z pojeść do tego zagadnienia jest wykorzystanie trudności obliczeniowej problemu przewidzenia rozkładu prawdopodobieństwa pomiarów dla odpowiednio dużych pseudolosowo-generowanych obwodów kwantowych. Własność tę można wykorzystać do generowania certyfikowanych kwantowo losowych ciągów binarnych (ang. certified quantum randomness) [5]. Losowość otrzymanego ciągu bitów jest zagwarantowana złożonością obliczeniową problemu przewidzenia z jakim prawdopodobieństwem dany ciąg może zostać wygenerowany przez obwód kwantowy. Ponadto, nawet kiedy źródło generatora obwodów zostałoby upublicznione, wygenerowane wartości losowe zachowają prywatność.

Metoda ta może być pomyślnie stosowana już z wykorzystaniem dostępnych obecnie komputerów kwantowych, posiadających kilkadziesiąt (zaszumionych) kubitów fizycznych. Dowodem na to jest niedawny rezultat otrzymany za pomocą komputera kwantowego opracowanego przez firmę Google. Rozważane zagadnienie próbkowaniem (ang. sampling), które przeprowadzono na 53 kubitowym procesorze może zostać zaadoptowane do zapewnienia certyfikowanej kwantowej przypadkowości [6].

Zastosowanie certyfikowanej kwantowej generacji kluczy może istotnie wzmocnić bezpieczeństwo zarówno konwencjonalnej kryptografii (asymetrycznej i symetrycznej) jak i algorytmów kryptografii postkwantowej. Jest to przykład rozwiązania hybrydowego w którym wykorzystuje się połączenie znanych i możliwych do zastosowania algorytmów kryptografii klasycznej z najnowszymi osiągnięciami w obszarze obliczeń kwantowych.

Kwantowa dystrybucja klucza

Nawet jeśli jest to możliwe w niepraktycznie dużych skalach czasowych, algorytmy kryptografii klasycznej, z wyłączeniem szyfru z kluczem jednorazowym (ang. one-time pad), są zawsze możliwe do złamania. Mechanika kwantowa dostarcza jednakże teoretycznie niepodatnej na kryptoanalizę metody szyfrowania informacji. Opracowywaniem tego typu rozwiązań zajmuje się kryptografia kwantowa.

Kwantowa dystrybucja klucza (ang. quantum key distribution – QKD) [7] jest, rozważaną w ramach kryptografii kwantowej, metodą bezpiecznego przesyłania sekretnego klucza za pośrednictwem stanów kwantowych pojedynczych fotonów. Metoda ta wykorzystuje kwantowe własności mikroświata (w szczególności, tak zwane twierdzenie o zakazie klonowania kwantowego) do przesyłania informacji. Ponieważ przepustowość wykorzystywanych do QKD tzw. kanałów kwantowych nie dorównuje tym osiąganym w klasycznych łączach światłowodowych oraz radiowych, łącza kwantowe wykorzystywane są obecnie do przesyłania sekretnych kluczy, pozwalających zaszyfrować (klasyczną) wiadomość, nie zaś do transmisji samej wrażliwej informacji. Udostępniony, za pośrednictwem QKD, klucz może być wykorzystany do zaszyfrowania danych np. z użyciem silnego symetrycznego szyfru AES-256.

Kwantowa dystrybucja klucza jest rozwiązaniem, które zostało już wdrożone do komercyjnego użytku. Jednakże, dostępne obecnie rozwiązania posiadają jedno kluczowe ograniczenie. Mianowicie, jest to dystans, na który możemy przesłać zabezpieczoną kwantowo informację. Wiąże się to z tłumieniem fotonów w światłowodzie i koniecznością stosowania skomplikowanych tzw. powielaczy kwantowych. Obiecującym rozwiązaniem tego problemu jest przesyłanie fotonów z zakodowaną kwantowo informacją poprzez atmosferę oraz przestrzeń kosmiczną. Udane próby międzykontynentalnej QKD z wykorzystaniem kwantowych technologii satelitarnych udało się przeprowadzić w 2017-tym roku. Obecnie trwają prace nad kilkoma projektami satelitarnymi, które mają na celu rozwój kwantowych technologii związanych z łącznością satelitarną.

Połączenie światłowodowej oraz satelitarnej łączności kwantowej może pozwolić urzeczywistnić idę tzw. internetu kwantowego – niepodatnego na kryptoanalizę kanału wymiany informacji. Stworzenie podwalin dla internetu kwantowego to m.in. jeden z filarów, rozpisanego na okres dziesięciu lat (2018-2028), flagowego programu Komisji Europejskiej – Quantum Flagship. Ponadto, w ramach projektu OPENQKD (Open European Quantum Key Distribution Testbed) powstaje obecnie w Europie eksperymentalna sieć do kwantowej dystrybucji klucza, której jeden z węzłów znajdzie się również w Polsce.

Warto w tym miejscu podkreślić, że systemy do kwantowej dystrybucji klucza, choć teoretycznie bezwarunkowo bezpieczne, mogą stać się jednak przedmiotem ataków. Istnieje mianowicie szerokie spektrum możliwych ataków fizycznych, wykorzystujących błędy w implementacji systemów do QKD. Jedną z prób rozwiązania tego problemu jest opracowanie algorytmów kryptografii kwantowej gwarantujących bezpieczeństwo w wymianie informacji, niezależne do wad implementacji fizycznych. Konieczne są jednakże dalsze prace zarówno teoretyczne, jak i eksperymentalne w tym obszarze.

Podsumowanie

Infosfera stała się kluczowym elementem współczesnej aktywności ludzkiej. Jej dynamiczny rozwój doprowadził jednak do pojawienia się zagrożeń zupełnie nowego typu. Dotyczy to zarówno poziomu jednostek, jak i społeczeństw. W konsekwencji, cyberprzestrzeń stała się równoprawnym do wody, lądu, powietrza i przestrzeni kosmicznej, obszarem działań wojennych. Powaga problemu doprowadziła do szerokiego zaangażowania państw i organizacji w obszarze zapewnienia bezpieczeństwa w cyberprzestrzeni. W Polsce, ważnym krokiem stało się sformułowanie w 2015 roku Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej [8]. Elementem realizacji jej założeń jest konsolidacja polskich zasobów w obszarze cyberbezpieczeństwa i kryptologii w ramach utworzonego w 2019 roku Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC), funkcjonującego wcześniej jako Narodowe Centrum Kryptologii (NCK).

Technologie kwantowe, które coraz odważniej wychodzą z obszaru badawczego do fazy wdrożeń, stanowią zarówno potencjalne zagrożenie dla cyberbezpieczeństwa, jak i dają narzędzie dla jego wzmocnienia do bezprecedensowego poziomu. Zagrożenie związane jest głównie z możliwością kryptoanalizy algorytmów kryptografii asymetrycznej (w szczególności RSA i ECC). Natomiast, silne algorytmy kryptografii symetrycznej pozostaną odporne na kryptografię kwantową. W mojej ocenie, realistyczna wydaje się możliwość kryptoanalizy algorytmu RSA z kluczem 2048 bitowym w perspektywie czasowej 30 lat. Warto również mieć na uwadze prawdopodobieństwo opracowania nowych algorytmów, które mogą znaleźć zastosowanie w kryptoanalizie kwantowej.

Odpowiedzią na zagrożenie związane z kryptoanalizą kwantową jest kryptografia postkwantowa. Zadaniem które sobie stawia jest opracowanie algorytmów kryptografii z kluczem publicznym, niepodatnych na ataki kwantowe. W toku jest proces standaryzacji algorytmów kryptografii postkwantowej, po zakończeniu którego (około roku 2023) można spodziewać intensyfikacji w implementacji tego typu rozwiązań. Należy jednak zdawać sobie sprawę z faktu, że algorytmy kryptografii postkwantowej wciąż wymagają testów pod kątem kryptoanalizy, zarówno konwencjonalnej, jak i kwantowej.

Z drugiej strony, technologie kwantowe otwierają obiecującą możliwość implementacji rozwiązań kryptografii kwantowej. Jednym z nich jest kwantowa generacja klucza. Rozwiązania takie stają się możliwe do urzeczywistnienia z wykorzystaniem opracowywanych obecnie komputerów kwantowych. W perspektywie nadchodzącej dekady, certyfikowane kwantowe generowanie kluczy pozwoli wzmocnić bezpieczeństwo kryptografii klasycznej, jak również algorytmów postkwantowych. Kolejnym, bardzo obiecującym, rozwiązaniem dostarczanym przez kryptografię kwantową jest kwantowa dystrybucja klucza. Naziemna i satelitarna sieć kanałów kwantowych (tzw. kwantowy internet) pozwoli na bezwarunkowo bezpieczne przekazywanie sekretnych kluczy. Z ich pomocą, możliwe będzie późniejsze przesyłanie informacji kanałami klasycznymi, stosując silne szyfry symetryczne.

Budowa infrastruktury do komunikacji kwantowej, która ostatecznie zapewni nowy poziom bezpieczeństwa w przesyle informacji jest zadaniem niezwykle złożonym i wymagającym integracji wielu zasobów i kompetencji. Jej utworzenie wykreuje zupełnie nowe realia dla cyberbezpieczeństwa. Warto w tym kontekście zaznaczyć, że z uwagi skomplikowaną naturę systemów do komunikacji kwantowych i kryptografii kwantowej, ważnym elementem będzie proces szkolenia specjalistów, którzy będą w stanie analizować subtelności stosowanych rozwiązań i przewidywać możliwość występowania nowych zagrożeń.

Przeprowadzona tu analiza jedynie zarysowuje zagadnienie cyberbezpieczeństwa kwantowego, akcentując podstawowe możliwości i zagrożenia. Dalsza szersza dyskusja, łącząca płaszczyzny: polityczną, akademicką, militarną i przedsiębiorczą, jest konieczna w celu wypracowania optymalnych rozwiązań, które pozwolą na wykorzystanie technologii kwantowych do zapewnienia jeszcze wyższego poziomu cyberbezpieczeństwa w Polsce i na świecie.

Dodatek A – Kwantowy elementarz

Technologie kwantowe tworzy obecnie szerokie spektrum rozwiązań, wykorzystujących kwantową naturę mikroświata, opisywaną przez mechanikę kwantową. Do najważniejszych przykładów należą: systemy przetwarzania informacji kwantowej (komputery kwantowe), systemy łączności kwantowej (oparte o kryptografię kwantową) i systemy metrologii kwantowej (np. kwantowe magnetometry).

Szczególną klasą układów kwantowych, odgrywają kluczową rolę w kwantowym przetwarzaniu informacji, są kubity. Kubity można postrzegać jako kwantowe odpowiedniki klasycznych bitów, mogące występować w kwantowych superpozycjach stanów „0” i „1”. Sytuacja robi się jeszcze ciekawsza kiedy rozważamy wiele oddziałujących ze sobą kubitów. Właśnie takie złożenie kubitów stanowi rejestr komputera kwantowego, na którym, poprzez wykonywanie odpowiednich operacji (unitarnych), przeprowadzane są obliczenia kwantowe. Wyzwaniem związanym z budowaniem tego typu maszyn jest odseparowanie rejestru kwantowego od środowiska zewnętrznego, które zaburza jego kwantową naturę. Wyzwaniem jest również odpowiednie kontrolowanie kubitów i przeprowadzanie na nich operacji. Przez wiele lat, fizycy zmagali się z osiągnięciem odpowiedniego poziomu koherencji kwantowej i sterowalności rejestrów kwantowych. Przełomowe okazało się wykorzystanie nadprzewodzących kubitów, które ostatecznie doprowadziło do eksperymentalnego wykazania przewagi (w wczasie obliczeń) komputera kwantowego nad najsilniejszym dostępnym superkomputerem klasycznym. Udało się to ostatecznie wykazać firmie Google, dla problemu próbkowania ciągów binarnych z zadanym przez obwód kwantowy rozkładem prawdopodobieństwa [6].

Trudność w emulowaniu obliczeń kwantowych na komputerach klasycznych wiąże się z faktem, że stan układu n kubitów opisywany jest w 2ⁿwymiarowej przestrzeni Hilberta. W konsekwencji, na przykład by opisać układ 100 kubitów należy użyć wektora posiadającego około 10³⁰składowych. Próba zapisania takiego wektora zarówno w obecnych jaki i możliwych do wyobrażenia przyszłych komputerach klasycznych jest praktycznie skazana na niepowodzenie. Z drugiej strony, operowanie w 2ⁿwymiarowej przestrzeni Hilberta, dysponując n kubitami umożliwia wykonywanie wykładniczo rosnącej z n liczby operacji. Na własności tej opiera się tzw. paralelizm kwantowy, mogący w pewnych przypadkach doprowadzić do kwantowego przyśpieszenia wykładniczego (ang. exponential speed-up) w rozwiązaniu pewnych problemów. Z sytuacją taką spotykamy się, w szczególności, w przypadku algorytmu faktoryzacji Shora, znajdującym zastosowanie w kryptoanalizie kwantowej.

Dodatek B – Złożoność obliczeniowa

Złożoność obliczeniowa, w uproszczeniu określa poziom trudności rozwiązania danego problemu. Dla przykładu, rozważmy problem znalezienia konkretnego elementu w nieuporządkowanym zbiorze N elementowym. Element taki znajdziemy w średnio N/2 próbach. Czas potrzebny na znalezienie elementu będzie więc skalował się liniowo wraz z liczebnością (mocą) zbioru. Jest to przykład problemu należącego do wielomianowej klasy złożoności – P (ang. Polynomial). Innym przykładem problemu należącego do klasy P jest mnożenie liczb.

Nie wszystkie znane problemy należą jednak do kasy P, a przynajmniej tak się wydaje. Okazuje się mianowicie, że istnieje cały szereg problemów dla których nie udało się, jak dotąd, zaproponować algorytmów ich rozwiązywania które należałyby do klasy P. Problemy takie określamy mianem NP (ang. Nondeterministically Polynomial). Są to takie problemy dla których znając wynik możemy w czasie wielomianowym zweryfikować czy propozycja wyniku jest rozwiązaniem czy też nie. Przykładem takiego problemu, jest rozkład liczby złożonej na czynniki pierwsze (problemu faktoryzacji). Problemy klasy NP znajdują szerokie zastosowanie w kryptologii. Otwartym i jednym z najważniejszych problemów matematycznych jest odpowiedzenie na pytanie czy faktycznie NP≠P?

Uogólnienie rozważań do obliczeń kwantowych wymaga wprowadzenia nowych klas złożoności. Na potrzeby tego artykułu, wprowadzimy jedynie klasę BQP (ang. bounded-error quantum polynomial time). Do klasy tej należą problemy, dla których istnieje możliwość znalezienia rozwiązania w czasie wielomianowym, z prawdopodobieństwem co najmniej 2/3 (czyli błędem nie większym niż 1/3). Okazuje się, że kwantowy algorytm Shora pozwala zredukować złożoność obliczeniową problemu faktoryzacji, klasycznie klasyfikowanego jaki problem wykładniczy, do takiej właśnie złożoności. Jest to przykład kwantowego przyśpieszenia wykładniczego.

Bibliografia

[1] M. Mosca, Cybersecurity in an Era with Quantum Computers: Will We Be Ready? IEEE Security & Privacy, September/October 2018, pp. 38-41, vol. 16
[2] D. J. Bernstein, T. Lange, Post-quantum cryptography, Nature, 549(7671), 188-194.
[3] PQCRYPTO – Post-Quantum Cryptography for Long-Term Security. Initial recommendations of long-term secure post-quantum systems
[4] D. J. Bernstein, T. Lange, R. Niederhagen, Dual EC: A Standardized Back Door. In: Ryan P., Naccache D., Quisquater JJ. (eds) The New Codebreakers. Lecture Notes in Computer Science, vol 9100. Springer, Berlin, Heidelberg
[5] Acín, A., Masanes, L. Certified randomness in quantum physics. Nature 540, 213–219 (2016).
[6] Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019)
[7] A. Shenoy-Hejamadi, A. Pathak, S. Radhakrishna, Quantum Cryptography: Key Distribution and Beyond, Quanta 2017; 6: 1–47
[8] Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej, 2015.

Artykuł został opublikowany na portalu CyberDefence24.

Kwantowa dystrybucja klucza

May 8, 2019July 17, 2019 jakub mielczarek1 Comment

W moich wcześniejszych wpisach kilkukrotnie odwoływałem się do kwantowej dystrybucji klucza (KDK), będącej jednym z głównych filarów kryptografii kwantowej. Miało to miejsce w kontekście omawiania takich zagadnień jak: kwantowa łączność satelitarna, internet kwantowy oraz bezpieczeństwo kryptowalut (wpisy: Kwantowa łączność satelitarna, Dwanaście technologii jutra i Kryptowaluty-Kwanty-Kosmos). Niniejszy wpis można potraktować jako uzupełnienie techniczne tych rozważań. Poniżej, przedstawię fizyczne podstawy na których opiera się kwantowa dystrybucja klucza oraz omówię, wprowadzony w 1984 roku, protokół Bennetta-Brassard BB84. Jest to najbardziej znany i historycznie pierwszy przykład protokołu KDK opartego na superpozycji kwantowej. W późniejszych latach, wprowadzono także protokoły oparte na innych własnościach mechaniki kwantowej, m.in. na splątaniu kwantowym (np. protokół E91). Dyskusja szerokiego spektrum rozważanych obecnie protokołów kryptografii kwantowej wykracza poza ramy tego wpisu. Czytelnika zainteresowanego zapoznaniem się z pełniejszym obrazem tematu zachęcam do przestudiowania np. przeglądowego artykułu arXiv:1802.05517. Tytułem wstępu dodam jeszcze, że do zrozumienia niniejszego tekstu przydatna jest znajomość zasad mechaniki kwantowej. Niezapoznanego z nimi Czytelnika zachęcam do przestudiowania mojego wpisu Elementary quantum computing oraz znajdujących się w nim odnośników.

Zacznijmy więc. W największym skrócie, kwantowa dystrybucja klucza pozwala na, jak mówimy, bezwarunkowo bezpieczną wymianę klucza w oparciu o własności mechaniki kwantowej. To w jaki sposób fizyka mikroświata pozwala zapewnić “bezwarunkowe bezpieczeństwo”, postaram się wyjaśnić poniżej. Jak to również zostanie dokładniej omówione w dalszej części tekstu, przepustowość wykorzystywanych do KDK tzw. kanałów kwantowych nie dorównuje tym osiąganym w klasycznych łączach światłowodowych oraz radiowych. Z tego też powodu, łącza kwantowe wykorzystywane są obecnie do przesyłania sekretnych kluczy, pozwalających zaszyfrować (klasyczną) wiadomość, nie zaś do transmisji samej wrażliwej informacji. Udostępniony, za pośrednictwem KDK, klucz może być wykorzystany do zaszyfrowania danych np. z użyciem bardzo silnego symetrycznego szyfru AES 256. Przykładową architekturę systemu do kwantowej dystrybucji klucza, zawierającą zarówno kanał kwantowy (do przesyłania klucza) oraz kanał klasyczny (do przesyłania zaszyfrowanych danych oraz informacji pomocniczych), przedstawia rysunek poniżej:

Przykładowa architektura systemu do kwantowej dystrybucji klucza z kanałem kwantowym oraz kanałem klasycznym. Źródło

W przypadku kanału klasycznego opartego o łącze światłowodowe, zaszyfrowana informacja przesyłana jest za pomocą światła. Do przesłania klucza poprzez kanał kwantowy również wykorzystywane jest pole elektromagnetyczne. Z tą jednak różnicą, że odbywa się to za pośrednictwem nie klasycznych impulsów lecz pojedynczych kwantów światła, czyli fotonów. Do zakodowania informacji kwantowej wykorzystywane są zaś stany polaryzacji światła. Przedyskutujmy to bardziej szczegółowo. Mianowicie, światło docierające do nas, na przykład, ze Słońca lub z żarówki nie jest spolaryzowane. Na poziomie klasycznym, oznacza to, że światło tego typu składa się z fal elektromagnetycznych oscylujących jednakowo we wszystkich kierunkach prostopadłych do osi propagacji światła. Żeby dokonać selekcji fal elektromagnetycznych, których wektor natężenia pola oscyluje w wybranym przez nas kierunku, stosujemy polaryzator. Przepuszczając niespolaryzowane światło przez polaryzator liniowy dokonujemy jego polaryzacji. Jeśli za polaryzatorem liniowym umieścilibyśmy kolejny podobny polaryzator, jednakże z osią polaryzacji ustawioną prostopadle do tej pierwszej, dokonalibyśmy całkowitego wygaszenia światła. Zachęcam do przeprowadzenia tego prostego eksperymentu np. pozyskując dwa polaryzatory liniowe z powierzchni wyświetlaczy ciekłokrystalicznych zepsutego zegarka lub kalkulatorka.

Zgodnie z regułą dodawania wektorów, każdą falę elektromagnetyczną można zapisać jako sumę dwóch fal elektromagnetycznych, prostopadłych do siebie w płaszczyźnie polaryzacji. Czyli inaczej, każdą polaryzację liniową światła można opisać jako superpozycję dwóch normalnych względem siebie polaryzacji, nazwijmy je horyzontalną H (ang. horizontal) oraz wertykalną V (ang. vertical).

Przeprowadźmy teraz następujący eksperyment myślowy. Załóżmy, że dysponujemy źródłem światła niespolaryzowanego oraz zestawem płytek półprzepuszczalnych tłumiących światło. Ustawiające je kolejno na osi optycznej, możemy doprowadzić do sytuacji w której przez zestaw płytek przedostawać się będą jedynie pojedyncze fotony. Możemy w tym miejscu zapytać co się stanie gdy pojedynczy foton napotka polaryzator światła? Okazuje się, że foton taki z pewnym prawdopodobieństwem może przejść przez polaryzator, jak również z pewnym prawdopodobieństwem może zostać przez niego zatrzymany. Jest to konsekwencją kwantowej natury fotonu, co przejawia się istnieniem fotonu w stanie kwantowym $|\Psi \rangle$ , będącym superpozycją kwantową dwóch polaryzacji, co zapisujemy jako:

$|\Psi \rangle = \alpha |H \rangle +\beta |V \rangle$ ,

tak, że $|\alpha |^2+|\beta|^2=1$ . Prawdopodobieństwo znalezienia fotonu w stanie $|H \rangle$ równe jest $P(H)=|\alpha|^2$ , natomiast prawdopodobieństwo znalezienia fotonu w stanie $|V \rangle$ równe jest $P(V)=|\beta|^2$ . Stany bazowe $|H \rangle$ i $|V \rangle$ odpowiadają dwóm prostopadłym względem siebie polaryzacjom. Tak więc, polaryzacja światła ma swoje źródło na poziomie pojedynczych fotonów i związana jest z tym, że są one bezmasowymi bozonami o spinie 1. Dla cząstek takich istnieją dwa możliwe rzuty wektora momentu pędu na kierunek jego propagacji. Te dwa stany tak zwanej skrętności (ang. helicity) fotonów, na poziomie klasycznym, odpowiadają dwóm możliwym polaryzacjom kołowym światła (lewoskrętnej i prawoskrętnej). Stany o polaryzacji lewoskrętnej i prawoskrętnej są superpozycjami stanów o polaryzacji liniowej:

$| L \rangle = \frac{1}{\sqrt{2}}\left(|H \rangle - i |V \rangle \right)$ oraz $| R \rangle = \frac{1}{\sqrt{2}}\left(|H \rangle + i |V \rangle \right)$ .

Fakt, że foton jest opisywany przez kwantową superpozycję dwóch stanów bazowych, czyli jego stan należy do dwuwymiarowej przestrzeni Hilberta ma ogromne znaczenie z punktu widzenia kwantowej teorii informacji. A mianowicie, foton może być wykorzystany jako nośnik najmniejszej porcji informacji kwantowej, tak zwanego kubitu. Z tego też powodu możemy utożsamić stany polaryzacji fotonu ze stanami bazowymi kubitu: $|H \rangle = |0 \rangle$ oraz $|V \rangle = |1 \rangle$ . Oznaczmy tę bazę jako $\mathcal{B}_1 = \{ |0 \rangle, |1 \rangle \}$ .

Do przeprowadzenia kwantowej dystrybucji klucza, w ramach protokołu BB84, będziemy potrzebowali wprowadzić jeszcze jedną bazę. Mianowicie, $\mathcal{B}_2 = \{ |+ \rangle, |- \rangle \}$ , gdzie stany bazowe wyrażają się jako następujące superpozycje:

$|+ \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle +| 1 \rangle \right)$ oraz $|- \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle -| 1 \rangle \right)$ .

Jeśli stany bazowe $|0 \rangle$ i $|1 \rangle$ opisują stany polaryzacji pod kątami odpowiednio $0^{\circ}$ i $90^{\circ}$ to stany polaryzacji $|+ \rangle$ i $|- \rangle$ opisują polaryzacje liniowe odpowiednio pod kątami $45^{\circ}$ i $-45^{\circ}$ . Warto w tym miejscu również zaznaczyć, że stany $|0 \rangle$ i $|1 \rangle$ są stanami własnymi operatora $\hat{Z}$ do wartości własnych $+1$ i $-1$ odpowiednio. Natomiast, stany $|+ \rangle$ i $|- \rangle$ są stanami własnymi operatora $\hat{X}$ odpowiednio do wartości własnych $+1$ i $-1$ (operatory $\hat{Z}$ i $\hat{X}$ odpowiadają macierzom Pauliego $\sigma_z$ i $\sigma_x$ ). Wszystkie z wprowadzonych tu stanów bazowych można wytworzyć przepuszczając foton przez polaryzator liniowy ustawiony pod jednym z czterech kątów. Ponadto, powyższy dobór baz nie jest przypadkowy i wynika z faktu, że bazy $\mathcal{B}_1$ i $\mathcal{B}_2$ są przykładem tak zwanych wzajemnie nieobciążonych baz (ang. mutually unbiased bases), spełniających warunek:

$|\langle \psi | \phi \rangle |^2 = \frac{1}{2}$ ,

gdzie $| \psi \rangle \in \mathcal{B}_1$ a $| \phi \rangle \in \mathcal{B}_2$ . Oznacza to, że bazy te wykluczają się w sposób maksymalny, uniemożliwiając jednoczesne wykonywanie pomiarów na kubicie w obydwu bazach. W przypadku fotonu ma to następujące konsekwencje: Jeśli przygotujemy foton np. w stanie bazowym $|0 \rangle$ i przepuścimy go przez analizator polaryzacji pod kątami $0^{\circ}$ i $90^{\circ}$ (odpowiadających stanom polaryzacji bazy $\mathcal{B}_1$ ), to po przejściu przez taki analizator nie nastąpi zmiana stanu fotonu. Jednakże, jeśli na drodze tego samego fotony umieścimy analizator polaryzacji pod kątami $45^{\circ}$ i $-45^{\circ}$ (odpowiadających stanom polaryzacji bazy $\mathcal{B}_2$ ), to po przejściu przez taki analizator foton z prawdopodobieństwem $1/2$ znajdzie się w stanie o polaryzacji $|+ \rangle$ i z takim samym prawdopodobieństwem w stanie o polaryzacji $|- \rangle$ . Jeśli foton ten będziemy chcieli zaś ostatecznie przeanalizować wykorzystując analizator ze stanami polaryzacji odpowiadającymi bazie $\mathcal{B}_1$ to z prawdopodobieństwem $1/2$ zaobserwujemy ten foton w stanie $|0 \rangle$ i z prawdopodobieństwem $1/2$ w stanie $|1 \rangle$ (taki sam wynik uzyskalibyśmy jeśli foton byłbym przygotowany w stanie $|1 \rangle$ ). Próba przeanalizowania stanu fotonu we wzajemnie obciążonej bazie wprowadza więc maksymalną niepewność co do stanu początkowego. Własność ta znajduje bezpośrednie zastosowanie w protokole BB84.

Przyjdźmy więc do jego omówienia. Rozważamy nadawcę (A) i odbiorcę (B) których zwyczajowo określamy mianem Alicji i Boba. Alicja ma za zadanie przesłać do Boba klucz (ciąg bitów) wykorzystując stany polaryzacji fotonu. Ma ona do dyspozycji 4 stany polaryzacji fotonu odpowiadające stanom bazowym baz $\mathcal{B}_1$ i $\mathcal{B}_2$ . Klucz stanowi losowy ciąg binarny $0$ i $1$ , który można wygenerować np. wykorzystując kwantowy generator liczb losowych (z artykułu arXiv:1405.0453 można dowiedzieć się jak samemu zbudować taki generator w oparciu o smartfon). Alicja wprowadza następujące kodowanie klasycznych bitów klucza za pomocą kwantowych stanów polaryzacji fotonu. Mianowicie, stany polaryzacji $|0 \rangle$ i $|+ \rangle$ kodują $0$ , natomiast stany polaryzacji $|1 \rangle$ i $|- \rangle$ kodują $1$ . W praktyce, generacja klucza odbywa się przez losowe ustalanie jednej z czterech pozycji polaryzatora Alicji (rysunek poniżej).

qbejE — Przykładowa realizacja protokołu BB84. Źródło

Przesyłane od Alicji spolaryzowane fotony Bob będzie rejestrował za pomocą analizatora który może przyjmować takie same orientacje jak polaryzator Alicji. Stany polaryzatora Alicji nie są publiczne, Bob będzie więc dokonywał analizy polaryzacji fotonów w (wybieranych losowo) bazach $\mathcal{B}_1$ i $\mathcal{B}_2$ . Na podstawie swoich pomiarów, odzyska on pewien ciąg bitów. Następnym krokiem jest publiczne ogłoszenie przez Boba stanów analizatora (baz) w których dokonywał on kolejnych pomiarów. Warto tu podkreślić, że oczywiście nie upublicznia on samych wyników pomiarów. W ramach danej bazy możliwe są wciąż dwie wartości bitu, wartość klucza pozostaje więc ukryta. Następuje teraz tak zwane uzgodnienie baz (ang. basis reconciliation). Mianowicie, Alicja informuje Boba które użyte przez niego bazy są zgodne ze stanami polaryzacji w których przygotowała ona sekretny klucz. Zdekodowane przez Boba, dla uzgodnionych baz, wartości bitów stanowią sekretny klucz. Ostatnim etapem protokołu jest zweryfikowanie czy nie nastąpiła próba “podsłuchania” przesyłanych kanałem kwantowym informacji.

Omówienie tej kwestii zacznijmy od wyartykułowania jednej z fundamentalnych własności mechaniki kwantowej. Mianowicie, nie jest możliwe idealne skopiowanie nieznanego stanu kwantowego. Nie jest więc możliwe “podłączenie się” do kanału kwantowego i skopiowanie przesyłanej informacji. Własność ta jest ucieleśniona w twierdzeniu o zakazie klonowania, którego dowód dla przypadku kubitów przedstawiam poniżej.

Twierdzenie o zakazie klonowania (ang. no-cloning theorem) leży u podstaw bezwarunkowego bezpieczeństwa protokołów kryptografii kwantowej. Mówi ono, że nie jest możliwe wykonanie dokładnej kopii (klonu) nieznanego stanu kwantowego. Sformułowanie tego twierdzenia zawdzięczamy Williamowi Woottersowi oraz Wojciechowi Żurkowi [Ref]. Poniżej przedstawię jego dowód, dla przypadku stanu kubitu.

Rozważmy stan kwantowy $|\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle$ . Naszym celem będzie próba skopiowania tego stanu, czyli chcemy aby pewien inny stan, nazwijmy go $|\Phi \rangle$ , przetransformować (“nadpisać”) w stan $|\Psi \rangle$ , nie zmieniając jednocześnie stanu $|\Psi \rangle$ . Rozważamy więc wyjściowo stan będący następujacym iloczynem tensorowym: $|\Psi \rangle \otimes |\Phi \rangle$ . Ponadto, wprowadźmy (unitarny) operator kopiujący, nazwijmy go $\hat{K}$ , którego działanie powinno być następujące: $\hat{K}(|\Psi \rangle \otimes |\Phi \rangle)=|\Psi \rangle \otimes |\Psi \rangle$ , dla dowolnego stanu $|\Psi \rangle$ . Żeby sprawdzić czy jest to możliwe, zadziałajmy najpierw operatorem $\hat{K}$ na stany bazowe $| 0 \rangle$ i $| 1 \rangle$ . Działanie operatora $\hat{K}$ powinno dawać $\hat{K}(|0 \rangle \otimes |\Phi \rangle)=|0\rangle \otimes |0 \rangle$ oraz $\hat{K}(|1 \rangle \otimes |\Phi \rangle)=|1\rangle \otimes |1 \rangle$ . Zakładając, że powyższe jest spełnione, spróbujmy przeprowadzić kopiowanie stanu $|\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle$ . Skorzystamy w tym miejscu z własności liniowości operatorów rozważanych w mechanice kwantowej (czyli np. $\hat{O}(|a\rangle+|b\rangle)=\hat{O}(|a\rangle)+\hat{O}(|b\rangle)$ , dla dowolnych stanów $|a\rangle$ i $|b\rangle$ ). W konsekwencji, otrzymujemy:

$\hat{K}(|\Psi \rangle \otimes |\Phi \rangle) = \hat{K}((\alpha | 0 \rangle + \beta | 1 \rangle) \otimes |\Phi \rangle) = \alpha \hat{K}(|0 \rangle \otimes |\Phi \rangle)+\beta \hat{K}(|1 \rangle \otimes |\Phi \rangle) = \alpha |0\rangle \otimes |0 \rangle + \beta |1\rangle \otimes |1 \rangle$ .

Stan końcowy jakiego jednak oczekiwalibyśmy w wyniku kopiowania (klonowania) to:

$|\Psi \rangle \otimes |\Psi \rangle = (\alpha |0\rangle + \beta |1\rangle)\otimes (\alpha |0\rangle + \beta |1\rangle) = \alpha^2 |0\rangle \otimes|0\rangle + \alpha \beta |0 \rangle \otimes|1\rangle + \alpha\beta|1\rangle \otimes|0\rangle + \beta^2 |1\rangle \otimes|1\rangle$ ,

który jest odzyskiwany tylko w szczególnych przypadkach stanów bazowych, tzn. kiedy $\alpha=1$ i $\beta=0$ lub $\alpha=0$ i $\beta=1$ . Powyższa analiza dowodzi tego, że nie jest możliwe skopiowanie nieznanego stanu kubitu. Przeprowadzenie dowodu dla przypadku dowolnego stanu $|\Psi \rangle$ pozostawiam Czytelnikowi jako ćwiczenie.

Pomimo zakazu klonowania stanów kwantowych, istnieją pewne strategie ataków na protokoły kryptografii kwantowej. Np. podsłuchujący (nazwijmy ją Ewa) może ustawić na drodze optycznej fotonu analizator i próbować odczytać pewne bity klucza. Jak to już jednak dyskutowaliśmy powyżej, obecność takiego analizatora w sposób nieodłączny wiąże się z wpłynięciem na stany fotonu. W celu wyeliminowania możliwości podsłuchu, Alicja i Bob porównują publicznie część klucza. Jeśli w wybranym ciągu bitów nie zauważą różnić, mają pewność, że nie nastąpiła próba ataku. Oczywiście, w praktyce mogą występować pewne różnice w ciągu bitów wynikające z występowaniem szumu, generującego pewien poziom błędów. Istnieje jednak metoda dokładnego określenia jaki poziom niezgodności porównywanego ciągu bitów jest dopuszczalny dla zachowania poufności wymiany klucza. Metoda ta opiera się na wykorzystaniu teorii informacji i pozwolę sobie zarysować jej uproszczoną postać. Zacznijmy od odpowiedzi na pytanie jak dużo błędów do odczytywanego przez Boba ciągu bitów będzie wprowadzał ustawiony przez Ewę, na drodze fotonu, analizator. Analizator ten może być dostosowany do bazy $\mathcal{B}_1$ lub $\mathcal{B}_2$ . Prosta probabilistyka mówi nam, że prawdopodobieństwo nie zaburzenia przez Ewę pojedynczego bitu przesyłanego klucza wynosi:

$P= \frac{1}{2}\cdot \frac{1}{2}+\frac{1}{2}\cdot 1 = \frac{3}{4}$ .

Czyli, starająca się wykraść sekretny klucz Ewa, w 25 % przypadków wprowadzi błąd do przesyłanego ciągu bitów. Ponadto, ponieważ z prawdopodobieństwem $1/2$ analizuje ona foton we właściwej bazie, z takim też prawdopodobieństwem odczyta ona poprawnie wartość przesyłanego bitu. Ponieważ, wyjściowo, nie zna ona ustawień polaryzatora Alicji, nie jest ona jednak w stanie stwierdzić który bit odczytała prawidłowo a który nie. Odkodowania połowy przesyłanych bitów klucza może dokonać jedynie poznawszy (post factum) ustawienia polaryzatora Alicji. Może to więc zrobić dla bitów dla których następuje sprawdzenie klucza przez Alicję i Boba.

Do skwantyfikowania ilości błędów wprowadzanych podczas kwantowej transmisji informacji używa się wielkości zwanej QBER (Quantum Bit Error Rate) – $e$ która zdefiniowana jest jako stosunek liczby kubitów z błędem ( $N_e$ ) względem całkowitej liczby przesyłanych kubitów $N$ :

$e := \frac{N_e}{N}$ .

Jeśli przez $f \in [0,1]$ oznaczymy część kubitów analizowanych przez Ewę, to wprowadzany przez Nią QBER wynosi $e = \frac{1}{4} f$ , gdzie czynnik $1/4$ wynika z przeprowadzonych powyżej rozważań probabilistycznych. Przywołajmy teraz pojęcie informacji wzajemnej (ang. mutual information), która pozwoli nam skwantyfikować jaka część informacji jest tracona w kanale kwantowym w wyniku ataków Ewy. Jak można pokazać, wzajemna informacja pomiędzy Alicją a Bobem wyraża się jako

$I(A : B) = 1 - h(e)$ , gdzie $h(e) = -e \log_2 e - (1-e) \log_2 (1-e)$

to tak zwana entropia informacyjna Shannona. Wzajemna informacja pomiędzy Alicją a Ewą wynosi zaś

$I(A : E) = \frac{1}{2}f = 2e$ ,

co wynika z faktu, iż Ewa (znając położenie polaryzatorów Ewy) jest w stanie teoretycznie odzyskać wartości połowy “podsłuchiwanych” przez Nią bitów. Jeśli informacja w układzie Alicja-Ewa $I(A : E)$ zaczyna być większa niż pomiędzy Alicją i Bobem $I(A : B)$ , przesyłanie klucza przestaje być bezpieczne. Na tej podstawie, rozpatrując warunek graniczny $I(A : E)=I(A : B)$ , otrzymujemy, że (przy powyższych założeniach) bezpieczeństwo kwantowej dystrybucji klucza zapewnione jest jeśli poziom błędów $e$ jest mniejszy niż około $17 \%$ . Jeśli, porównując wybrane bity klucza, Alicja i Bob zanotują różnicę na wyższym poziomie, nie można zaakceptować przesyłanego klucza i należy powtórzyć całą procedurę.

Przeprowadzona powyżej analiza ma znaczenie praktyczne i znajduje zastosowanie w istniejących systemach do kwantowej dystrybucji klucza. Na rynku istnienie obecnie kilka zestawów które pozwalają przeprowadzić KDK wykorzystując protokoły oparte na superpozycji kwantowej. Na rysunku poniżej przedstawiono przykładowy zestaw wykorzystujący zmodyfikowaną wersję protokołu BB84, tzw. protokół T12.

ToshibaQKD — Przykładowy dostępny komercyjnie zestaw do kwantowej dystrybucji klucza. Źródło

Do przesyłania fotonów, dostępne komercyjnie systemy kryptografii kwantowej stosują światłowody. Niepożądaną cechą takiego rozwiązania jest jednak wykładnicze tłumienie natężenia światła w funkcji przebytego przez światło dystansu. Z uwagi na twierdzenie o zakazie klonowania oraz na fakt posługiwania się w kwantowej dystrybucji klucza pojedynczymi fotonami, nie jest możliwe stosowanie klasycznych wzmacniaczy sygnału. Dlatego też, kwantowa dystrybucja klucza za pośrednictwem światłowodów jest dzisiaj ograniczona do odległości poniżej około 400 km.

BitRate — Wykładniczy zanik przepustowości kwantowej dystrybucji klucza w funkcji odległości. Źródło

Wraz z długością linii transmisyjnej spada jej przepustowość. Na bardzo krótkich dystansach osiągane są obecnie wartości około 10 Mb/s (arXiv:1807.04484). Na odległościach rzędu 50 km wartość ta spada już do około 1 Mb/s. Natomiast, nieubłagana natura zaniku eksponencjalnego sprawia, że na dystansach około 400 km KDK można przeprowadzać w tempie jedynie około 1 bitu na sekundę (co jest wielkością niepraktyczną).

Możliwym rozwiązaniem dla powyższych trudności jest stosowanie powielaczy kwantowych (ang. quantum repeater). Są to jednakże bardzo złożone systemy, będące wciąż w fazie badań. Dużo bardziej obiecującym rozwiązaniem jest wykorzystanie faktu jedynie odwrotnego z kwadratem odległości zaniku natężenia światła w próżni, oraz dużo słabszego niż w ciele stałym tłumienia fotonów w gazach. Rozwiązanie to wiąże się z wykorzystaniem przestrzeni kosmicznej do przeprowadzenia kwantowej dystrybucji klucza. Możliwość taka została pomyślnie potwierdzona eksperymentalnie na skalach międzykontynentalnych w 2017 roku z wykorzystaniem protokołu BB84. Zagadnienie to opisuję bardziej szczegółowo we wpisie Kwantowa łączność satelitarna.

Naukowe wyzwania a bezpieczeństwo Polski

April 2, 2019July 17, 2019 jakub mielczarekLeave a comment

Nie mając jasno wyznaczonego celu skazani jesteśmy na, jak mówią fizycy, błądzenie przypadkowe, przegrywając z tymi którzy takie cele przed sobą postawili i konsekwentnie do nich dążą. Dotyczy to zarówno naszych osobistych dróg życiowych, jaki i tych obranych kolektywnie przez zbiory jednostek, jakimi są społeczeństwa.

Czy społeczeństwo polskie wyznacza sobie takie globalne cele? Więcej, czy stawia przed sobą ambitne wyzwania, które wymagałby determinacji i zaangażowania ponad podziałami? Trudno mi wskazać jednoznacznie na istnienie obecnie w Polsce takich wyzwań. Mamy pewne, rozmyte, wspólne cele jak chociażby to, że chyba Wszyscy chcielibyśmy żeby Polska stała się krajem silniejszym ekonomicznie. Taki cel nie jest jednak dobrze zdefiniowany. Wymaga on skwantyfikowania, na podobnej zasadzie jak przedsiębiorstwa określają roczne (lub bardziej odległe) plany przychodów i zysków, które później uparcie starają się realizować. W przypadku Polski, za ekonomiczne wyzwanie można by uznać wprowadzenie Polski do grupy G20 w przeciągu, powiedzmy, pięciu lat. To jest całkiem dobrze określony cel, którego osiągnięcie wymaga mobilizacji i odpowiedniego zaangażowania w obszarze gospodarki (ale również dyplomacji) w przeciągu najbliższych lat. Można, w dużym stopniu, określić jakie warunki musielibyśmy spełnić żeby dołączyć do tego elitarnego grona.

Nie w mniejszym stopniu, jako naukowca, zastanawia mnie również to czy przed Polską Nauką możemy postawić pewne globalne wyzwania, wyznaczające kurs jej rozwoju, co pozwoliłoby systematycznie odrabiać straty do światowej czołówki. Nie stawiając przed rodzimą Nauką takich ambitnych celów, będziemy niestety skazani na pogodzenie się z pozycją w środku stawki. Ale czy takie dobrze określone wyzwania da się w ogóle zdefiniować i czym by one mogły być? Nasuwać się może na myśl: podniesienie polskich uczelni w rankingu szanghajskim, wzrost liczby międzynarodowych patentów i publikacji w Nature. Wprowadzenie Uniwersytetu Warszawskiego i Uniwersytetu Jagiellońskiego do trzeciej setki rankingu szanghajskiego może wydawać się całkiem dobrze określonym wyzwaniem. Nie o to tu jednak chodzi. Nie uprawiamy Nauki dla pozycji w rankingach. To są kwestie wtórne. Nauka powinna, przede wszystkim, pracować dla dobra społeczeństwa. A jeśli będzie to robione właściwie to i poziom jaki prezentuje będzie rósł. Dlatego też, chciałbym zastanowić się tutaj nad tym jaka Nauka jest Polsce najbardziej potrzebna i jakie w ramach niej wyzwania powinniśmy podejmować wspólnymi siłami, na skali dużo szerszej niż kilkuosobowe zespoły naukowe, na których opiera się obecnie, w głównej mierze, praca badawcza w Polsce.

Nie jest nowym stwierdzenie że, w pierwszej kolejności, rodzima Nauka powinna podejmować kierunki bezpośrednio związane ze strategicznymi obszarami. W artykule tym, chciałbym zaś podkreślić znaczenie, w mojej opinii, najważniejszego z nich, jakim jest bezpieczeństwo, zarówno to militarne jak i energetyczne. Nie trzeba nikomu uzmysławiać sytuacji geopolitycznej Polski i związanych z tym zagrożeń. Istnieje niezliczona liczba opracowań dyskutujących to zagadnienie, pozwolę więc sobie pominąć wchodzenie w szczegóły. Bezpieczeństwo jest kwestią nadrzędną i bez osiągnięcia odpowiedniego jego poziomu, trudno myśleć o stabilnym długofalowym rozwoju Polski. Niestety, obecnie rozwój nowoczesnego zaplecza militarnego w Polsce opiera się głównie na kontraktach z zagranicznymi dostawcami technologii. Jestem realistą, pewnych zaległości nie da się nadrobić nawet w trzydzieści lat. Problem zapóźnienia technicznego Polski jest głęboki i trudny do nadrobienia w krótkim okresie czasu. Jednakże, moje obserwacje nie wskazują na to by w obszarze nowoczesnych technologii wojskowych następowała w Polsce znacząca poprawa.

W krajach wysoko rozwiniętych, takich jak Stany Zjednoczone, rozwój technologii z zakresu bezpieczeństwa jest silnie związany z prowadzeniem innowacyjnych badań naukowych. Jest to z korzyścią zarówno dla podniesienia poziomu bezpieczeństwa jak i dla samej Nauki, nie wspominając o ogromnym znaczeniu transferu opracowanych rozwiązań do przemysłu cywilnego. W Polsce, obszar ten wydaje się być zaś zupełnie niezagospodarowany. A przecież może on stanowić doskonały motor dla rozwoju Polskiej Nauki, dostarczając nam równocześnie tak ważnego poczucia bezpieczeństwa.

Zanim przejdę do podania propozycji konkretnych działań w tym kierunku, pozwolę sobie w tym miejscu zwrócić uwagę na jeszcze jedną kwestię. Temat jest mi dosyć dobrze znany, a mianowicie rzecz dotyczy tego to co kieruje młodymi naukowcami w decyzji o prowadzeniu swoich badań poza granicami Polski. Skłaniam się do stwierdzenia, że w dzisiejszych czasach, czynnikiem decydującym nie są zazwyczaj kwestie finansowe. Prowadząc solidne badania, godziwe zarobki można osiągnąć również w Polsce. Chodzi natomiast o to, że wciąż prowadzone w Polsce badania są często po prostu mało interesujące. Włączenie się w nie, nie stanowi dla młodych naukowców wyzwania. Chcą robić coś ciekawszego i ważniejszego, na wyższym niż w Polsce poziomie. Możliwość taką odnajdują w grupach badawczych prowadzących nowatorskie prace naukowe, poza granicami naszego kraju.

Wydaje mi się, że podjęcie w Polsce strategicznych kierunków badawczych mających, jak to już podkreśliłem, znaczenie dla bezpieczeństwa naszego kraju, stanowiłby bardzo atrakcyjną ofertę dla młodych naukowców. Nie chodzi oczywiście o to żeby młodzi naukowcy nie wyjeżdżali. Wyjeżdżać trzeba, rzecz w tym żeby mieć również do czego wracać. Ambitne, zakrojone na dużą skalę programy naukowe o bezpośrednim znaczeniu dla Polski działałyby jak magnes na najzdolniejsze umysły. Kiedy można uczestniczyć w takim przedsięwzięciu, kwestia wynagrodzenia staje się poboczna. Ważne, że można być „u siebie”, blisko rodziny i przyjaciół, realizując swoje pasje i jednocześnie robiąc coś ważnego dla całego społeczeństwa. To są, uważam, kwestie niezwykle istotne. W Polsce, możliwość realizowania się w taki sposób jest jednak ograniczona.

W Stanach Zjednoczonych, innowacyjne projekty naukowe o znaczeniu dla obronności finansowane są, między innymi, przez osławioną Defense Advanced Research Project Agency (DARPA). Trochę w cieniu, działa jeszcze kilka podobnych agencji, jak w szczególności Intelligence Advanced Research Project Agency (IARPA), finansująca zaawansowane badania o znaczeniu dla pracy wywiadu. Próżno szukać w Polsce odpowiedników takich instytucji. W ramach firm wchodzących w skład Polskiej Grupy Zbrojeniowej oraz na Wojskowej Akademii Technicznej prowadzone są oczywiście prace badawczo-rozwojowe na potrzeby Sił Zbrojnych RP. Chodzi jednak o to by wyjść z badaniami mającymi znaczenie dla bezpieczeństwa poza te ramy i zaangażować potencjał naukowy uniwersytetów i cywilnych uczelni technicznych, realizując szeroko zakrojone (często interdyscyplinarne) projekty naukowe o znaczeniu strategicznym.

Żeby wyraźniej nakreślić to o jakiego typu przedsięwzięciach mowa, przytoczę tu kilka przykładów projektów finansowanych przez DARPA i IARPA. W szczególności, w latach 2001-2005 DARPA przeznaczyła 100 mln USD na projekt Quantum Information Science and Technology Program (QuIST), dedykowany przede wszystkim budowie systemów kryptografii kwantowej. Rozwiązania tego typu wykorzystują fizykę mikroświata – mechanikę kwantową – do tego by wymieniać w sposób bezwarunkowo bezpieczny informacje pomiędzy np. jednostkami wojskowym lub ośrodkami decyzyjnymi. Z kolei, jednym z projektów finansowanych obecnie przez IARPA jest Machine Intelligence from Cortical Networks (MICrONS), którego celem jest uzyskanie konektomu jednego milimetra sześciennego kory mózgowej gryzonia, co będzie miało znaczenie dla uczenia sztucznych sieci neuronowych. Takie sieci znajdą później zastosowanie w systemach wykrywania różnego typu zagrożeń. Finansowanie projektu to również 100 mln USD. Warto podkreślić, że jest to bardzo interdyscyplinarny projekt w który zaangażowani są m.in. neurobiolodzy, chemicy, fizycy, informatycy i inżynierowie. Jest to więc doskonała okazja do rozwijania współpracy pomiędzy różnymi ośrodkami naukowymi. Kolejny aktualny przykład to program Blackjack, konstelacji dwudziestu nanosatelitów o zastosowaniu militarnym. DARPA zarezerwowała w 2018-tym roku na ten cel ponad 100 mln USD. Bez wątpienia, w projektach tego typu chcieliby bez wahania wziąć udział młodzi ale i starsi Polscy naukowcy i inżynierowie. Warto w tym miejscu zaznaczyć, że naukowe projekty na rzecz bezpieczeństwa, jak chociażby te przytoczone powyżej, dotyczą obszarów zarówno badań stosowanych jak i badań podstawowych. Chciałbym tym samym rozwiać mogącą się pojawić wątpliwość o brak podstawowego charakteru tego typu prac badawczych. Jak uczy nas doświadczenie, to właśnie odpowiednio sprofilowane badania podstawowe mogą być źródłem rozwiązań które później zadecydują o przewadze militarnej.

Wracając do Polski, budżet MON na rok 2019 wynosi 44,7 mld PLN (2,0% PKB). A gdyby, na przykład, przeznaczyć z takiej kwoty jeden miliard złotych rocznie na innowacyjne programy badawcze związane z obronnością. Przedsięwzięcie takie mogłoby być również realizowane międzyresortowo. Niewątpliwie, taki program mógłby przynieść ogromne korzyści, zarówno dla bezpieczeństwa jak i dla samej Polskiej Nauki oraz polskiej gospodarki. W kwocie 1 mld PLN (porównywalnej z jednym sporym kontraktem zagranicznym) udałoby się zrealizować powiedzmy 10 dużych projektów o budżecie 100 mln PLN każdy. Z budżetem 100 mln złotych można np. zbudować i umieścić na niskiej orbicie okołoziemskiej mikrosatelitę (ok. 10-20 kg) o przeznaczeniu wojskowym (obrazowanie, łączność lub naprowadzanie pocisków). Za kolejne 100 mln PLN można zrealizować program budowy rakiety suborbitalnej (w przyszłości, elementu systemu Wisła). 100 mln PLN to również wystarczające środki do tego by połączyć najważniejsze ośrodki decyzyjne w Polsce systemami do kwantowej dystrybucji klucza (zbudowanymi w Polsce). W kwocie 100 mln PLN można również zaprojektować i zbudować nowoczesny system radarowy (typu AESA), mogący w przyszłości stanowić część tarczy antyrakietowej. Wymieniam tu przykłady co do których wiem, że istnieje zaplecze intelektualne i techniczne do ich realizacji w Polsce. Do tego, w skali roku, pozostaje 5 kolejnych projektów, każdy rozpisany na 4-5 lat realizacji. Projekty takie mogłyby być zarówno w dużym stopniu niezależne jak również kontrybuować jako części większych przedsięwzięć.

Można sobie wyobrazić o ile bezpieczniejsi i rozwinięci technologicznie stalibyśmy się dzięki takim działaniom w perspektywie dekady, mając zrealizowanych chociażby kilkanaście ambitnych szeroko zakrojonych projektów naukowo-technicznych z zakresu bezpieczeństwa. Polska Nauka zyskałaby silny impuls do rozwoju, zwiększając poziom innowacyjności i atrakcyjności na światowej arenie. Niniejszy artykuł prezentuje jedynie zarys ścieżki która mogłaby do tego doprowadzić. Moim zamysłem było tu zaś, przede wszystkim, sprowokowanie do dalszych przemyśleń nad zasadnością zaprezentowanej tu koncepcji i szansą jej zmaterializowania w polskich realiach. Wizja ta wymaga oczywiście zarówno dalszej pogłębionej analizy jak i późniejszych ewentualnych odważnych decyzji politycznych. W moim przekonaniu, jest ona jednak realna i możliwa do wcielenia.

Kwantowe cienie

December 10, 2018July 17, 2019 jakub mielczarek1 Comment

Rzucany przez przedmiot cień nie zawsze daje nam właściwe wyobrażenie o naturze oświetlanego obiektu. Dowodzi tego chociażby twórczość duetu artystycznego Tim Noble i Sue Webster, której przykład pozwoliłem sobie zamieścić poniżej.

Tim Noble i Sue Webster *Real Life Is Rubbish* (2002). Źródło

Przyjrzymy się powyższemu zdjęciu trochę bliżej. Widzimy na nim stertę śmieci które, pod określonym kątem, rzucają cień dwojga ludzi – Twórców instalacji. Jednym z zamysłów Artystów było niewątpliwie to by wprowadzić nasz mózg w zakłopotanie, poprzez dwoistość interpretacji tego co widzimy. Co mianowicie jest pierwotne, czy są to sylwetki ludzi czy też oświetlane przedmioty? Oczywiście, z punktu widzenia fizyki , sprawa jest prosta, pierwotna jest sterta rupieci, natomiast cień jest wtórny, a ponadto nie jest on obiektem fizycznym. Wchodząc na warstwę czysto artystyczną, Twórcy skłaniają nas więc do interpretowania prawdziwego (fizycznego) życia jako nie wartego więcej niż to co zdołaliśmy wyrzucić. Świat alegorii nie rządzi się jednak prawami fizyki, przez co nieskrępowanie moglibyśmy kontynuować dalej nasze wywody na temat interpretacji i znaczeń. Jest to niewątpliwe zarówno przyjemne ćwiczenie naszej kreatywności oraz intelektualne wyzwanie. Chciałbym jednak żebyśmy, po tej małej rozgrzewce, wykorzystali nasze umysły do zastanowienia się nad tym czy skoro nie jeden cień to może większa ich ilość może nam pozwolić odsłonić naturę obiektu który te cienie rzuca. Wyobraźmy sobie na przykład, że instalację Real Life Is Rubbish zaczynamy oświetlać pod innymi kątami. Otrzymane cienie nie będą miały już nic wspólnego z sylwetkami ludzi, mogą nie przypominać zupełnie niczego. Czy istnieje jednak metoda na to by wykorzystując te dwuwymiarowe rzuty zrekonstruować trójwymiarowy kształt sterty śmieci? Okazuje się, że jest to możliwe, chociaż w przypadku nietransparentnych obiektów taka procedura ma swoje istotne ograniczenia. Transparentność przedmiotów zależy jednak w dużym stopniu od długości fali którymi je oświetlimy. Jeśli zamiast światła widzialnego użylibyśmy rentgenowskiego zakresu promieniowania elektromagnetycznego, na podstawie rzucanych przez przedmiot cienieni moglibyśmy zrekonstruować jego trójwymiarowy kształt. Metoda ta nazywa się tomografią i jest powszechnie stosowana w obrazowaniu medycznym. Bodajże najpopularniejszym jej przykładem jest tomografia komputerowa (CT), pozwalająca dzięki obrazom (cieniom) rentgenowskim, otrzymanym pod różnym kątem, stworzyć trójwymiarowy obraz, na przykład mózgu (film poniżej).

Od strony matematycznej, zasada działania tomografii opiera się na tak zwanej transformacie Radona. Jest to operacja która na podstawie dwuwymiarowych projekcji (cieni) pozwala odzyskać trójwymiarowy rozkład gęstości obiektu.

Podobną do tomografii komputerowej procedurę rekonstrukcji trójwymiarowego obrazu możemy przeprowadzić również w mikroskali – w świecie kwantowym. Nosi ona nazwę tomografii kwantowej. Odpowiednikiem rozkładu gęstości jest tu tak zwana funkcja Wignera, którą otrzymujemy ze stanu kwantowego $| \Psi \rangle$ , lub ogólniej tak zwanej macierzy gęstości, która w przypadku stanów czystych (ang. pure states) może być wyrażona w następujący sposób: $\hat{\rho} = | \Psi \rangle \langle \Psi |$ . Na przykład, dla cząstki w jednym wymiarze funkcję Wignera $W(x,p)$ , gdzie $x$ to położenie a $p$ to pęd możemy zapisać jako

$W(x,p) = \frac{1}{\pi \hslash} \int_{-\infty}^{+\infty} \langle x+y | \hat{\rho} | x-y \rangle e^{-2i py/\hslash} dy$ .

Z uwagi na ścisłą relację pomiędzy funkcją Wignera a macierzą gęstości, poprzez tomografię kwantową rozumiemy zrekonstruowanie, poprzez dokonanie odpowiednich pomiarów “kwantowych cieni” stanu układu kwantowego, jednego z tych dwóch obiektów. Chciałbym Ci teraz drogi Czytelniku pokazać jak to wygląd w praktyce i w jaki sposób tomografię stanu kwantowego będziesz mogła lub mógł przeprowadzić samodzielnie, nie odchodząc nawet od komputera. Choć świat kwantowy może Ci się jawić jako zupełnie niedostępny a wykonywanie w nim pomiarów jako coś mało realnego, dzięki rozwojowi technologii kwantowych możemy się dzisiaj do niego całkiem łatwo dostać. Wszystko za sprawą dostępnego publicznie pięciokubitowego komputera kwantowego firmy IBM, do którego możesz uzyskać dostęp poprzez tę stronę internetową. Jako wstęp do zagadnienia komputerów kwantowych zachęcam Cię do zapoznania się z moim wcześniejszym wpisem Elementary quantum computing. Zakładając, że jesteś uzbrojona/ny w podstawowe wiadomości dotyczące mechaniki kwantowej, chciałbym przejść do pokazania Ci jak przeprowadzić tomografię stanu kwantowego pojedynczego kubitu, czyli stanu

$|\Psi \rangle = \alpha|0\rangle +\beta |1\rangle$ ,

gdzie, $\alpha, \beta \in \mathbb{C}$ (liczby zespolone), a warunek normalizacji stanu kwantowego $\langle \Psi | \Psi \rangle = 1$ implikuje, że $|\alpha|^2+|\beta|^2=1$ . Kubit jest nośnikiem najmniejszej porcji informacji kwantowej (odpowiednik klasycznego bitu) i od strony matematycznej jest elementem dwuwymiarowej przestrzeni wektorowej nad ciałem liczb zespolonych, czyli tak zwanej przestrzeni Hilberta.

Zanim przejdziemy do przeprowadzenia pomiarów na kubicie wykorzystując komputer kwantowy IBM Q, wprowadźmy najpierw niezbędne podstawy teoretyczne. Po pierwsze, będziemy chcieli zrekonstruować macierz gęstości $\hat{\rho}$ , która w przypadku kubitu jest macierzą $2\times2$ i można ją wyrazić jako:

$\hat{\rho} = \frac{1}{2} \left( \hat{\mathbb{I}}+ \langle \hat{X}\rangle \hat{X}+ \langle \hat{Y}\rangle \hat{Y}+ \langle \hat{Z}\rangle \hat{Z} \right) = \frac{1}{2}\left( \hat{\mathbb{I}}+\vec{S}\cdot \vec{\sigma} \right) =\frac{1}{2} \left( \begin{array}{cc} 1+\langle \hat{Z}\rangle & \langle \hat{X}\rangle-i\langle \hat{Y}\rangle \\ \langle \hat{X}\rangle+i\langle \hat{Y}\rangle & 1-\langle \hat{Z}\rangle \end{array} \right)$ .

Powyżej, wprowadziłem operatory $\hat{X}, \hat{Y}, \hat{Z}$ , którym w reprezentacji macierzowej odpowiadają tak zwane macierze Pauliego:

$\hat{X} := \sigma_x = \left( \begin{array}{cc} 0 & 1 \\ 1 & 0 \end{array} \right), \ \ \hat{Y} := \sigma_y = \left( \begin{array}{cc} 0 & -i \\ i & 0 \end{array} \right), \ \ \hat{Z} := \sigma_z = \left( \begin{array}{cc} 1 & 0 \\ 0 & -1 \end{array} \right)$ ,

składające się na wektor $\vec{\sigma} = (\sigma_x,\sigma_y,\sigma_z)$ . Natomiast, wektor $\vec{S} = (\langle \hat{X}\rangle,\langle \hat{Y}\rangle,\langle \hat{Z}\rangle)$ złożony jest z wartości średnich które można obliczyć w oparciu o ogólne wyrażenie: $\langle \hat{A}\rangle := \text{tr} (\hat{\rho} \hat{A})$ .

Po drugie, warto w tym momencie wprowadzić użyteczne pojęcie sfery Blocha. Mianowicie, jest to sfera jednostkowa która reprezentuje wszystkie możliwe stany kwantowe kubitu. Każdy punkt na tej sferze to inny stan kwantowy i wskazuje na niego wprowadzony powyżej wektor $\vec{S}$ . Równanie sfery Blocha to więc $\vec{S}\cdot \vec{S} = \langle \hat{X}\rangle^2+\langle\hat{Y}\rangle^2+\langle \hat{Z}\rangle^2=1$ . Warto zaznaczyć, że powyższe równanie sfery jest konsekwencją tego, iż $\hat{\rho}=\hat{\rho}^2$ , co wynika z założenia dotyczącego czystości stanu kwantowego.

Bloch

Sferę Blocha wygodnie sparametryzować poprzez poprzez kąty $\phi \in [0, 2 \pi)$ oraz $\theta \in [0, \pi]$ tak, że stan kwantowy kubitu możemy z ich pomocą zapisać jako

$| \Psi \rangle = \cos(\theta/2) |0 \rangle + e^{i \phi} \sin (\theta/2)| 1 \rangle$ ,

gdzie pominięty został nieistotny globalny czynnik fazowy. Tomografia stanu kwantowego kubitu równoważna jest ze znalezieniem składowych wektora $\vec{S}$ , wskazującego na konkretny punk na sferze Blocha. Wektor ten jest obiektem który chcemy zrekonstruować, podobnie jak rozważany wcześniej oświetlany przedmiot. Korzystając z tej analogii, możemy obrazowo powiedzieć, że wektor Blocha $\vec{S}$ “rzuca trzy cienie” będące jego składowymi (rzutami). Tomografia stanu kwantowego wymaga określenia tych trzech składowych. Jednakże, w przypadku stanów czystych, długość wektora $\vec{S}$ jest równa jeden (spełnione jest równanie sfery $\vec{S}\cdot \vec{S} = \langle \hat{X}\rangle^2+\langle\hat{Y}\rangle^2+\langle \hat{Z}\rangle^2=1$ ) co wprowadza relację pomiędzy “cieniami”. W takim przypadku, wystarczy zmierzyć jedynie dwie spośród wszystkich trzech składowych. Trzeci rzut możemy zaś wyznaczyć z równania sfery Blocha. Z uwagi na to, że w przypadku ogólnym, stan kwantowy poprzez jego oddziaływanie ze środowiskiem może nie być do końca czysty (staje się tak zwanym stanem mieszanym) zasadne jest by z góry nie dokonywać założenia o czystości stanu kwantowego.

Komputer kwantowy IBM, pracujący w oparciu o tak zwane kubity nadprzewodzące, pozwala nam wykonać pomiary w bazie własnej operatora $\hat{Z}$ . Wielokrotne powtórzenie pomiarów w takiej bazie, dla każdorazowo przygotowanego na nowo takiego samego stanu kwantowego, pozwala wyznaczyć wartość średnią operatora $\hat{Z}$ w tym stanie. Mianowicie, ponieważ $\hat{Z}|0\rangle = |0\rangle$ oraz $\hat{Z} |1\rangle = -|1\rangle$ , otrzymujemy

$\langle \hat{Z} \rangle = (\alpha^* \langle 0| +\beta^* \langle 1|)(\alpha|0\rangle -\beta |1\rangle) = |\alpha|^2-|\beta|^2 = P(0)-P(1)$ ,

gdzie wykorzystaliśmy ortonormalność stanów bazowych $|0\rangle$ i $|1\rangle$ . Poszukiwana średnia jest więc różnicą pomiędzy prawdopodobieństwami znalezienia układu w stanie $|0\rangle$ a w stanie $|1\rangle$ . Wyznaczenie średnich $\langle \hat{X} \rangle$ oraz $\langle \hat{Y} \rangle$ , niezbędnych do przeprowadzenia tomografii, nie jest już takie bezpośrednie. Należy mianowicie dokonać pomiarów w bazach własnych operatorów $\hat{X}$ oraz $\hat{Y}$ . Jak pokażemy poniżej, można tego dokonać dokonując odpowiednich transformacji badanego stanu kwantowego. Do tego celu będą nam pomocne dodatkowe operatory:

$\hat{H} = \frac{1}{\sqrt{2}} \left( \begin{array}{cc} 1 & 1 \\ 1 & -1 \end{array} \right), \ \ \ \hat{S} = \left( \begin{array}{cc} 1 & 0 \\ 0 & i \end{array} \right), \ \ \ \hat{S}^{\dagger} = \left( \begin{array}{cc} 1 & 0 \\ 0 & -i \end{array} \right)$ ,

pierwszy z nich to tak zwany operator Hadamarda, stowarzyszona z nim tak zwana bramka Hadamarda jest ważnym elementem w konstrukcji obwodów kwantowych. Operator $\hat{S}$ to natomiast operator obrotu fazy o 90 stopni, natomiast $\hat{S}^{\dagger}$ to jego sprzężenie hermitowskie.

Ponieważ jesteśmy już blisko momentu w którym zaczniemy dokonywać konkretnych pomiarów, zdecydujmy się na wybór stanu kwantowego który będziemy chcieli poddać tomografii. Mój wybór padł na stan:

$| \Psi \rangle = \hat{T} \hat{H} | 0 \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle + e^{i \frac{\pi}{4}} | 1 \rangle \right)$ ,

dla którego wektor Blocha wskazuje, pod kątem $\phi = 45^{\circ}$ , na punkt na równiku na sferze Blocha. Natomiast, Ciebie drogi Czytelniku, po przeanalizowaniu poniższego przykładu, zachęcam do eksperymentowania z wybranymi przez Ciebie stanami kwantowymi. Dodam jeszcze, że powyżej wykorzystałem operator $\hat{T}$ zdefiniowany jest w następujący sposób:

$\hat{T} := \sqrt{\hat{S}}=\left( \begin{array}{cc} 1 & 0 \\ 0 & e^{i \frac{\pi}{4}} \end{array} \right)$ .

Dla wybranego przeze mnie stanu kwantowego, macierz gęstości przybiera postać:

$\hat{\rho}_1 = \frac{1}{2} \left( \begin{array}{cc} 1 & \frac{1}{\sqrt{2}}-\frac{i}{\sqrt{2}} \\ \frac{1}{\sqrt{2}}+ \frac{i}{\sqrt{2}} & 1 \end{array} \right)$ .

Sprawdzenie tego pozostawiam jako zadanie dla Ciebie. Porównują elementy tej macierzy z wprowadzoną na wstępie ogólną postacią macierzy gęstości dla kubitu możemy odczytać, że wartości operatorów $\hat{X}, \hat{Y}, \hat{Y}$ mają w tym stanie następujące wartości:

$\langle \hat{X} \rangle = \frac{1}{\sqrt{2}}, \ \ \langle \hat{Y} \rangle = \frac{1}{\sqrt{2}}, \ \ \langle \hat{Z} \rangle = 0$ .

Przekonajmy się teraz na ile te przewidywania teoretyczne zgadzają się z pomiarami otrzymanymi w komputerze kwantowym charakteryzującym się błędami zarówno bramek kwantowych oraz odczytu jaki i wynikającymi z tak zwanej dekoherencji kwantowej, wprowadzającej mieszanie stanu kwantowego.

Pomiar $\langle \hat{Z} \rangle$

Poniżej, przedstawiono obwód kwantowy umożliwiający wytworzenie stanu $| \Psi \rangle = \hat{T} \hat{H} | 0 \rangle = \frac{1}{\sqrt{2}} \left( | 0 \rangle + e^{i \frac{\pi}{4}} | 1 \rangle \right)$ , oraz wykonanie na nim pomiarów w bazie $\{|0\rangle, |1 \rangle \}$ . Obwód taki możemy łatwo zbudować korzystając z kreatora dostępnego na stronie IBM Experience.

Tom-Z Powtarzając powyższy algorytm 1024 razy otrzymaliśmy $P(0)=0.567$ oraz $P(1)=0.433$ , co pozwala wyznaczyć $\langle \hat{Z} \rangle = P(0)-P(1)=0.134$ . Niepewność tego wyniku ma dwa źródła. Pierwsze jest związane z błędami instrumentalnymi pochodzącymi od błędów bramek, będącymi na poziomie $0.001$ na bramkę jedno-kubitową, oraz błędami odczytu, który jest na poziomie $0.08$ . Drugie źródło niepewności jest związane ze statystyczną naturą mechaniki kwantowej. W rozważanej sytuacji spodziewamy się, że z jednakowym prawdopodobieństwem będziemy otrzymywać jako wynik pomiaru stany $|0\rangle$ oraz $|1\rangle$ . Zagadnienie oszacowania odpowiednich niepewności jest matematycznie równoważne do przypadku błądzenia przypadkowego w jednym wymiarze. Jeśli przez $N_0$ oznaczymy ilość wyników $|0\rangle$ a przez $N_1$ ilość wyników dla $|1\rangle$ , tak, że $N_0+N_1=N=1024$ , to odchylenie standardowe $N_0$ i $N_1$ wyniesie $s=\sqrt{N/4}=16$ . Stąd, możemy wyznaczyć niepewność estymacji prawdopodobieństwa, wynikającą ze statystycznej natury mechaniki kwantowej na $s/N = 1/\sqrt{4N} \approx 0.016$ . Sumaryczną niepewność pomiaru możemy więc określić na około $0.1,$ czyli około $10 \%$ . Otrzymane wyniki, dla $P(0)$ oraz $P(1)$ , są w granicach tej niepewności zgodne z teoretycznie przewidywanymi wartościami.

Pomiar $\langle \hat{X} \rangle$

Wykonanie pomiaru wartości średniej $\langle \hat{X} \rangle$ wymaga obrócenia układu tak żeby ustawić kierunek $X$ wzdłuż osi $Z$ . Można tego dokonać dzięki poniższej relacji operatorowej

$\hat{X} = \hat{H} \hat{Z} \hat{H}$ ,

którą łatwo dowieść wykorzystując reprezentację macierzową zaangażowanych tu operatorów. Na tej podstawie, wartość średnią operatora $\hat{X}$ w stanie $|\Psi \rangle$ możemy wyrazić jako

$\langle \hat{X} \rangle = \langle \Psi | \hat{X} |\Psi \rangle = (\langle \Psi | \hat{H}) \hat{Z} (\hat{H}|\Psi \rangle)$ .

Żeby więc obliczyć wartość $\langle \hat{X} \rangle$ należy na stan $|\Psi \rangle$ zadziałać operatorem $\hat{H}$ , po czym wystarczy dokonać pomiarów w bazie operatora $\hat{Z}$ . Ilustruje to poniższy obwód kwantowy:

Tom-X Wykonując $1024$ pomiary, zupełnie tak samo jak w przypadku $\langle \hat{Z} \rangle$ , otrzymujemy $P(0)=0.870$ , $P(1)=0.130$ , co pozwala nam wyznaczyć $\langle \hat{X} \rangle = P(0)-P(1)=0.740$ . Rozważania dotyczące niepewności pomiaru są analogiczne jak w przypadku wyznaczania $\langle \hat{Z} \rangle$ .

Pomiar $\langle \hat{Y} \rangle$

Podobnie jak w przypadku pomiaru $\langle \hat{X} \rangle$ , również wyznaczenie wartości średniej operatora $\hat{Y}$ może zostać wykonana poprzez odpowiednią transformację stanu kwantowego. W tym przypadku, należy wykorzystać transformację:

$\hat{Y} = (\hat{S} \hat{H}) \hat{Z}(\hat{S} \hat{H})^{\dagger} = (\hat{S} \hat{H}) \hat{Z}(\hat{H} \hat{S}^{\dagger})$ ,

(udowodnij tę relację) na której podstawie:

$\langle \hat{Y} \rangle = \langle \Psi | \hat{Y} |\Psi \rangle = (\langle \Psi | \hat{S} \hat{H}) \hat{Z} (\hat{H} \hat{S}^{\dagger}|\Psi \rangle)$ .

W celu wyznaczenia wartość średniej $\langle \hat{Y} \rangle$ musimy więc na otrzymany stan zadziałań najpierw operatorem $\hat{S}^{\dagger}$ , następnie operatorem $\hat{H}$ , po czym dokonać pomiarów w bazie operatora $\hat{Z}$ , jak to przedstawiono na obwodzie poniżej:

Tom-Y

Stąd, postępując analogicznie jak w poprzednich przypadkach, otrzymujemy $P(0)=0.837$ , $P(1)=0.163$ , a to pozwala nam wyznaczyć $\langle \hat{Y} \rangle = P(0)-P(1)=0.674$ . Czym kończymy nasze pomiary. Pozostaje nam pozbierać otrzymane wyniki.

Zbierając wszystko razem

Zbierając powyższe wyniki, otrzymujemy następujący wektor Blocha:

$\vec{S} = (\langle \hat{X}\rangle,\langle \hat{Y}\rangle,\langle \hat{Z}\rangle) = (0.740,0.674,0.134)$ ,

którego kwadrat modułu $\vec{S}\cdot \vec{S} \approx 1.02$ co jest, w granicach błędu, zgodne z przypadkiem stanu czystego. Natomiast, otrzymana w wyniku przeprowadzonej tomografii macierz gęstości to

$\hat{\rho}_2 = \frac{1}{2} \left(\begin{array}{cc} 1.134 & 0.740-i 0.674 \\ 0.740+i 0.674 & 0.866 \end{array} \right)$ .

Powszechnie stosowaną metodą ilościowego określenia zgodności dokonanej tomografii z wartością teoretyczną jest wyznaczenie tak zwanej wierności (ang. fidelity) zdefiniowanej w następujący sposób:

$F(\hat{\rho}_1,\hat{\rho}_2):= \text{tr}\sqrt{\sqrt{\hat{\rho}_1}\hat{\rho}_2 \sqrt{\hat{\rho}_1}}$ .

Stosując powyższe wyrażenia do teoretycznie przewidzianej macierzy gęstości $\rho_1$ oraz macierzy gęstości otrzymanej w wyniku procedury tomografii $\rho_2$ , otrzymujemy wartość $F(\hat{\rho}_1,\hat{\rho}_2) \approx 99.996 \%$ . Wierność zrekonstruowanego kwantowego tomogramu jest więc bardzo wysoka, co jest jednak zgodne z oczekiwaniami dla pojedynczego kubitu. W przypadku tomografii przeprowadzonej dla większej ilości kubitów, wierność odwzorowania będzie odpowiednio niższa. O ile niższa? To już zależy od konkretnego stanu kwantowego. Jeśli masz ochotę na dalsze ambitniejsze wyzwanie, zachęcam Cię do przeprowadzenia tomografii jednego ze splątanych stanów Bella. Stany te odgrywają dużą rolę zarówno w obliczeniach kwantowych jak i w teleportacji kwantowej oraz kwantowej kryptografii (np. protokół Ekerta). W zastosowaniach tych, przygotowanie stanu kwantowego o odpowiednio wysokiej wierności ma znaczenie praktyczne i uzależnione jest od tego na przykład bezpieczeństwo zaszyfrowanej kwantowo informacji. Przyglądając się uważnie “kwantowym cieniom” stanu Bella możemy zdiagnozować czy jest on wystarczajaco “zdrowy” do wykonania powierzonego mu zadania.

Kryptowaluty-Kwanty-Kosmos

August 11, 2018July 17, 2019 jakub mielczarek2 Comments

Świat zachłysnął się cyfrowym złotem – kryptowalutami. Bitcoin i technologia Blockchain stały się, w mgnieniu oka, częścią naszej codzienności. Choć jeszcze dosłownie kilka lat temu były to nazwy znane głównie entuzjastom nowych technologii oraz postępowym inwestorom. Obecnie, zainteresowanie rynkiem kryptowalut jest ogromne, a sięgające nawet kilkuset procent w skali roku wzrosty kursów kryptowalut wabią okazją zbicia fortuny.

Nie mniej emocji dostarcza nam obecny renesans w eksploracji kosmosu (tzw. NewSpace). Takie momenty jak symultaniczne lądowanie odzyskiwanych po stracie rakiety Falcon Heavy stopni pomocniczych to sceny niczym z filmów science fiction. Spektakularność tych wyczynów pobudza wyobraźnię nie tylko pasjonatów kosmosu, ale i inwestorów, przyśpieszając otwarcie przestrzeni kosmicznej dla coraz ambitniejszych wyzwań. Trochę w cieniu Blockchainu i NewSpace, rozgrywa się obecnie jeszcze jedna niezwykle ważna technologiczna rewolucja, nie robiąca może tyle huku co start rakiety ani nie hipnotyzująca tak jak cyfrowe złoto, ale za to gruntownie transformująca informacyjną tkankę naszego świata. Chodzi mianowicie o przeskok od obecnej fazy przetwarzania informacji klasycznej (bity) do epoki informacji kwantowej (qubity). Nowe technologie kwantowe, bo za ich sprawą ma to miejsce, wpłyną na dalszy rozwój zarówno kryptowalut jak i technologii kosmicznych. Możemy sformułować nawet śmielszą tezę: rozwiązania, które zrodzą się na przecięciu tych trzech obszarów (kryptowalut, technologii kwantowych i eksploracji kosmosu), zrewolucjonizują każdy z nich z osobna jak i wygenerują zupełnie nową jakość.

Ale po kolei. Kryptowaluty opierają się na rozproszonym systemie księgowym typu peer-to-peer, zaproponowanym w artykule Bitcoin: A Peer-to-Peer Electronic Cash System. W rozwiązaniu takim, w przeciwieństwie do standardowych systemów finansowych, nie istnieje centralny podmiot autoryzujący, np. bank. Poprawność obrotu kryptowalutą zapewniona jest natomiast poprzez decentralizację oraz szereg zabezpieczeń kryptograficznych. Należy do nich, w szczególności, podpis elektroniczny za pomocą którego składane są dyspozycje transakcji. Jest to przykład tak zwanej kryptografii asymetrycznej, w której istnieją dwa typy klucza: prywatny oraz publiczny. Wykonanie transakcji wiąże się z podpisaniem, za pomocą klucza prywatnego, dyspozycji transakcji i następnie jej autoryzowanie przez innych użytkowników sieci, na postawie znajomości klucza publicznego. Dokładnie tak samo jak w przypadku składania podpisu elektronicznego. Siła takiego zabezpieczenia opiera się na dużej złożoności obliczeniowej związanej z odtworzeniem postaci klucza prywatnego na podstawie znajomości klucza publicznego. W przypadku Bitcoina, wykorzystywany jest w tym celu algorytm ECDSA (Elliptic Curve Digital Signature Algorithm). Jest on odporny na ataki prowadzone przez komputery klasyczne. Natomiast, okazuje się, że dla uniwersalnych komputerów kwantowych problem ten przestaje być aż tak trudny. Mianowicie, do znalezienia klucza prywatnego (w kryptografii bazującej na ECDSA) możliwe jest zastosowanie zmodyfikowanego kwantowego algorytmu faktoryzacji Shora. Niedawna publikacja Quantum attacks on Bitcoin, and how to protect against them sugeruje, że postęp w rozwoju komputerów kwantowych może umożliwić łamanie obecnych zabezpieczeń opartych o ECDSA już za niespełna 10 lat.

Utrzymanie zdecentralizowanej struktury Blockchainu, na której opary jest Bitcoin, wymaga pracy tak zwanych górników (minerów). Zapłatą za wkład ich mocy obliczeniowej w utrzymywanie systemu są Bitcoiny. Żeby jednak je otrzymać, należy rozwiązać zadanie oparte o tak zwaną funkcję haszującą SHA-256, opracowaną przez National Security Agency. W celu rozwiązania zadania, konieczne jest zbadanie wartość funkcji haszujacej dla bardzo dużej ilości różnych wartości jej argumentu. Jest to, dla komputerów klasycznych, niezwykle żmudne zadanie (energia elektryczna przeznaczana obecnie na tę czynność, tylko w przypadku Bitcoinu, wynosi w skali roku ponad 70 TWh, co jest porównywalne z konsumpcją energii elektrycznej Austrii). Okazuje się jednak, że zadanie to jest jednym z tych z którymi doskonale radzą sobie algorytmy kwantowe. Otóż, można w tym przypadku wykorzystać jeden z najbardziej znanych algorytmów kwantowych, tak zwany algorytm Grovera. Pozwala on zredukować złożoność obliczeniową procesu poszukiwania argumentu funkcji haszującej do pierwiastka kwadratowego z liczby dozwolonych argumentów.

Możemy więc dojść do wniosku, że rozwój technologii kwantowych, w szczególności uniwersalnych komputerów kwantowych (takich jak np. IBM Q), stanowi zagrożenie dla zabezpieczeń na których opierają się obecne kryptowaluty. Z drugiej strony jednak, technologie kwantowe pozwalają również ulepszyć systemy takie jak Blockchain. Miedzy innymi, klasyczne zabezpieczenia kryptograficzne mogą zostać zastąpione przez odpowiednie rozwiązania kryptografii kwantowej. Do najważniejszych z nich należą: kwantowe generatory kluczy oraz tak zwana Kwantowa Dystrybucja Klucza (KDK).

KDK opiera się na takich własnościach mechaniki kwantowej jak zaburzenie stanu układu kwantowego poprzez pomiar i tak zwany zakaz klonowania stanów kwantowych. Na tej podstawie, protokoły kwantowej dystrybucji klucza są w stanie wykryć każdą próbę wykradzenia informacji. Stanowią więc wręcz idealną metodę zabezpieczenia wymiany klucza prywatnego, eliminując tym samym potrzebę stosowania kryptografii asymetrycznej. Warto podkreślić, że KDK osiągnęła poziom technologii dostępnej komercyjnie. Jednakże, jej stosowanie na dużych odległościach (rzędu kilkuset kilometrów) wciąż stanowi wyzwanie. Wiąże się to z koniecznością przesyłania pojedynczych fotów, w których stanach kwantowych zakodowany jest klucz prywatny. Można w tym celu zastosować światłowód. Nie jest to jednak rozwiązanie optymalne gdyż, z uwagi na zakaz klonowania stanów kwantowych, wzmacnianie sygnału przesyłanego tą drogą jest trudnym zadaniem. Żeby zniwelować straty w przesyłanym sygnale, niezbędne jest zastosowanie tak zwanych kwantowych powielaczy, realizujących protokół teleportacji kwantowej. Z uwagi na złożoność techniczną takiego rozwiązania, dużo łatwiejsze okazuje się przesyłanie pojedynczych fotonów w powietrzu lub w próżni. W konsekwencji, jedyny dostępny dzisiaj sposób przeprowadzania kwantowej dystrybucji klucza na odległościach międzykontynentalnych opiera się na wykorzystaniu przestrzeni kosmicznej.

Prace nad takim rozwiązaniem prowadzono już od dłuższego czasu. Ostatecznie, udało się tego dokonać w ubiegłym roku przez chińsko-austriacki zespół naukowców i inżynierów. Wyniki przeprowadzonej na dystansie 7600 km, pomiędzy stacjami w Chinach i Austrii, kwantowej dystrybucji klucza opublikowano w styczniu bieżącego roku na łamach Physical Review Letters [arXiv:1801.04418]. Do zrealizowania kwantowej transmisji wykorzystano satelitę Micius, stanowiącą jednostkę zaufaną dystrybuującą klucz prywatny w protokole BB84 (Bennett-Brassard 1984). Szczegóły tego eksperymentu omawiam w artykule Kwantowa łączność satelitarna.

Sukces chińskiego projektu dowodzi możliwości globalnego wykorzystania kwantowych protokołów kryptograficznych. Otwiera on również drogę do dalszego rozwoju tej technologii, zarówno do celów militarnych jak i komercyjnych. Jedną z niewątpliwie najbardziej fascynujących możliwości jest stworzenie tak zwanego kwantowego internetu:

Kwantowy internet zapewni bezpieczeństwo pracy systemów finansowych. W szczególności, umożliwi rozszerzenie technologii Blockchain do przypadku kwantowego (zabezpieczanego przez KDK). Propozycja takiej modyfikacji technologii Blockchain została niedawno opisana w artykule Quantum-secured blockchain. Internet kwantowy umożliwi również wdrożenie pochodnych do dyskutowanych już na początku lat osiemdziesiątych koncepcji kwantowego pieniądza. W szczególności, takich jak propozycja Weisnera, w której pieniądz jest pewnym stanem kwantowym (np. sekwencją qubitów). Niepodrabialność kwantowego banknotu wynika wprost z zakazu klonowania (nieznanego) stanu kwantowego. Warto zaznaczyć, że realizacja kwantowego pieniądza opartego o propozycję Weisnera została doświadczalnie zademonstrowana w 2016-tym roku przez polsko-czeski zespół fizyków kwantowych i opisana w artykule Experimental quantum forgery of quantum optical money, opublikowanym w Nature. Po więcej informacji na temat kwantowych pieniędzy zachęcam sięgnąć do artykułu Quantum Money.

Quantum-banknote — Kwantowy banknot Weisnera zawierający nieznany użytkownikowi stan kwantowy (np. sekwencja qubitów) oraz numer seryjny. Weryfikacja banknotu (zgodność stanu kwantowego z nadanym numerem seryjnym) następuje poprzez jego przesłanie do instytucji emitującej (mennicy). Źródło

Kwantowo zabezpieczone kryptowaluty czy też kwantowe pieniądze będą mogły, dzięki satelitarnemu internetowi kwantowemu, tworzyć globalny system walutowy. Dzięki wykorzystaniu i tak już stosowanej do tego celu przestrzeni kosmicznej, nie będzie stanowiło żadnego problemu by rozszerzyć obszar obejmowany kwantową siecią poza powierzchnię Ziemi. Nie ma przecież lepszego medium do przesyłania stanów kwantowych niż próżnia.

Ludzie przebywający w kosmosie, czy to na orbicie okołoziemskiej czy też w planowanych stacjach na Księżycu oraz na Marsie, będą mogli dokonywać płatności korzystając z kwantowo zabezpieczonych kryptowalut. Będą oni mogli korzystać również z pozafinansowych zastosowań kwantowej wersji technologii Blockchain, np. w telemedycynie.

Od strony możliwości technicznych, takie wizje stają się dzisiaj jak najbardziej wykonalne. Idąc dalej, naturalnym wydaje się wykorzystanie w przyszłości przestrzeni kosmicznej jako miejsca do przechowywania i przetwarzania informacji kwantowej. Stany kwantowe, będące nośnikiem informacji kwantowej ulegają, poprzez oddziaływanie ze środowiskiem, dekoherencji która stanowi jedną z największych przeszkód w rozwoju technologii kwantowych. Warunki wysokiej próżni i niskich temperatur, redukujące proces dekoherencji, powszechnie występują w przestrzeni kosmicznej. Z tego powodu, możliwe jest więc, że przyszłe centra przetwarzania i magazynowania informacji kwantowej, np. skarbce kwantowych pieniędzy, będą ulokowane nie na Ziemi lecz ukryte zostaną w takich miejscach jak jaskinie lawowe na Księżycu.

Jakub Mielczarek

Theoretical physicist looking into the future

Tag: Kryptografia kwantowa