Technologie kwantowe a cyberbezpieczeństwo

Jednym z najważniejszych filarów bezpieczeństwa w cyberprzestrzeni jest kryptografia. Z punktu widzenia jednostki, m.in. to dzięki kryptografii możliwe jest korzystanie z systemów bankowości elektronicznej, dokonywanie zakupów online, zachowanie prywatności w komunikacji internetowej, czy też zapewnienie poufności naszej dokumentacji medycznej w medycznych systemach teleinformatycznych.   Z punktu widzenia Państwa, kryptografia to zaś kluczowy element tarczy chroniącej przed cyberatakami na strategiczne komponenty (zarówno infrastrukturę fizyczną, jak i zasoby cyfrowe) oraz narzędzie umożliwiające wymianę i przechowywanie informacji niejawnej, o podstawowym znaczeniu dla interesu i bezpieczeństwa Państwa.

Rozwój technologii kwantowych, opartych na niezwykłych własnościach mikroświata, ma z punktu widzenia cyberbezpieczeństwa znaczenie dwojakie. Z jednej strony, kwantowe przetwarzanie informacji dostarcza nowej metody prowadzenia ataków na klasyczne systemy kryptograficzne, poprzez tzw. kryptoanalizę kwantową. Państwa lub organizacje, które wejdą w posiadanie zaawansowanych systemów umożliwiających prowadzenie obliczeń kwantowych będą więc dysponowały nowym narzędziem stanowiącym potencjalne zagrożenie dla cyberbezpieczeństwa. Z drugiej zaś strony, technologie kwantowe dostarczają zupełnie nowych rozwiązań kryptograficznych, które mogą pozwolić osiągnąć poziom bezpieczeństwa w wymianie i magazynowaniu informacji, niedostępny z wykorzystaniem kryptografii klasycznej. W szczególności, rozwiązania takie mogą uchronić przed atakami z wykorzystaniem kryptoanalizy kwantowej.    

To czy technologie kwantowe ostatecznie obniżą poziom cyberbezpieczeństwa, czy też tylko go wzmocnią, zależy zarówno od tempa i zakresu postępów w rozwoju technologii kwantowych oraz decyzji państw i organizacji międzynarodowych w zakresie wdrażania rozwiązań odpornych na kryptoanalizę kwantową [1].  Z uwagi na wysokie koszty oraz unikalną wiedzę i doświadczenie, które są niezbędne do rozwoju technologii kwantowych, realne są scenariusze w których zarówno zabezpieczenie cyberprzestrzeni przed atakami, jak i wejście w posiadanie kwantowych narzędzi kryptoanalitycznych, będzie postępowało bardzo niejednorodnie. Stanowić to więc może realne zagrożenie dla krajów nie należących do światowej czołówki w obszarze nauki i techniki.

Kryptoanaliza kwantowa

Zagrożenie związane z kryptoanalizą kwantową wynika z możliwości redukcji tak zwanej złożoności obliczeniowej problemów, na których opierają się algorytmy kryptografii klasycznej. Wiąże się to z występowaniem paralelizmu kwantowego (Dodatek A), który jest możliwy do zrealizowania poprzez wykonanie algorytmów kwantowych na odpowiednio zaawansowanych komputerach kwantowych.  Kwantowa redukcja złożoności jest teoretycznie możliwa zarówno w przypadku kryptografii symetrycznej (z tajnym kluczem), jak i kryptografii asymetrycznej (z kluczem publicznym). Otrzymywany, dzięki algorytmom kwantowym, stopień redukcji złożoności jest jednak zasadniczo różny dla tych dwóch przypadków.  W konsekwencji, niektóre stosowane obecnie algorytmy kryptografii symetrycznej pozostaną niepodatne na kryptoanalizę kwantową. Natomiast, np. wykorzystywane powszechnie w bankowości elektronicznej,  systemach płatniczych, czy też  rozwiązaniach opartych o technologię Blockchain, algorytmy kryptografii asymetrycznej zostaną wystawione na potencjalne zagrożenie.

Przedyskutujmy powyższą kwestię bardziej szczegółowo. W przypadku kryptografii symetrycznej, siła zabezpieczenia opiera się, w dużej mierze, na wielkości przestrzeni tajnego  klucza. Przykładowo, dla stosowanego powszechnie  algorytmu symetrycznego AES (Advanced Encryption Standard) z kluczem 256 bitowym, przestrzeń klucza posiada N = 2256 elementów, co jest w przybliżeniu równe jeden i 77 zer. Przeszukanie tak ogromnego zbioru w poszukiwaniu tajnego klucza jest praktycznie niemożliwe, zarówno korzystając z obecnych, jak i możliwych do przewidzenia przyszłych zasobów obliczeniowych.

Zastosowanie algorytmów kwantowych pozwoli przyśpieszyć proces poszukiwania przestrzeni klucza w ataku siłowym (ang. brute force). Mianowicie, jak pokazał w 1996 roku Lov Grover, wykorzystanie obliczeń kwantowych pozwala zredukować średnią ilość prób potrzebnych do znalezienia elementu w nieuporządkowanym N elementowym zbiorze z N/2 do pierwiastka kwadratowego z N, czyli N1/2. Oznacza to, że w przypadku AES-256, komputer kwantowy będzie wciąż potrzebował wykonać około N1/2=2128 prób w celu znalezienia tajnego klucza. Nawet więc dysponując komputerem kwantowym, na którym zaimplementowany mógłby zostać algorytm Grover’a, siła szyfru pozostanie na poziomie porównywalnym z AES z kluczem 128 bitowym. Jest to zabezpieczenie zupełnie wystarczający dla większości standardowych sytuacji.

Rzecz ma się jednak inaczej w przypadku szyfrów kryptografii asymetrycznej (z kluczem publicznym). Istota kryptografii asymetrycznej opiera się na trudności  obliczeniowej pewnych operacji matematycznych, dla których zaś operacja „przeciwna” jest łatwa do przeprowadzenia. Do najbardziej znanych przykładów algorytmów tego typu zaliczają się DH (Diffie-Hellman), RSA (Rivest-Shamir-Adleman) oraz ECC (Elliptic Curve Cryptography). Algorytm DH jest oryginalnie pierwszą propozycją kryptografii z kluczem publicznym a trudnym problemem jest tutaj znajdowanie tak zwanego logarytmu dyskretnego (logarytmu określonego na skończonym zbiorze liczb). Z kolei, popularny algorytm RSA wykorzystuje złożoność obliczeniową rozkładu liczby na czynniki pierwsze (zagadnienie faktoryzacji). Wadą algorytmów DH i RSA jest konieczność stosowania stosunkowo długich kluczy (obecnie powszechnie stosuje się klucze 2048 bitowe). Problem ten rozwiązuje zastosowanie algorytmów ECC, wykorzystujących problem złożoności logarytmu dyskretnego dla działania zdefiniowanego na krzywej eliptycznej. Poziom bezpieczeństwa porównywalny z DH lub RSA z kluczem 2048 bitwym otrzymamy stosując algorytm ECC z kluczem 224 bitowym. Między innymi z tego powodu, algorytmy ECC znalazły szerokie zastosowanie w technologii Blockchain.

Okazuje się, że trudność obliczeniową na której oparte są przytoczone powyżej algorytmy kryptografii asymetrycznej można sprowadzić do zagadnienia znalezienia okresu pewnej funkcji. O ile jednak, znajdowanie okresu funkcji jest z perspektywy komputerów klasycznych zadaniem trudym obliczeniowo, nie jest już takim dla komputerów kwantowych. Mianowicie, jak pokazał w 1994 roku Peter Shor, obliczenia kwantowe pozwalają zredukować złożoność problemu znajdowania okresu funkcji z  problemu wykładniczego w funkcji ilości bitów danej liczby do problemu wielomianowego klasy BPQ (Dodatek B). Fakt ten jest głównym źródłem zagrożenia związanego z kryptoanalizą kwantową.

CyberSec
Obwód kwantowy dla algorytmu Shora na tle fragmentu książki Georga Orwella 1984, zakodowanej za pomocą kolorów przez Hyo Myoung Kima [cała książka].

W optymalnej konfiguracji, Algorytm Shora dla przypadku z kluczem n-bitowym wymaga rejestru kwantowego zawierającego 2n+3 kubity logiczne. Dla algorytmu RSA-2048 są to więc 4099 kubity logiczne. Jednakże, z uwagi na błędy występujące w fizycznych realizacjach komputerów kwantowych, konieczne jest stosowanie rozbudowanych systemów kwantowej korekcji błędów. Zastosowanie korekcji błędów wymaga użycia co najmniej pięciu fizycznych kubitów do zakodowania jednego kubitu logicznego. Absolutnie minimalna liczba fizycznych kubitów, potrzebnych do przeprowadzenia kwantowej kryptoanalizy algorytmu RSA-2048 na komputerze kwantowym, jest więc rzędu 20 000. W praktyce jednak, konieczne może się okazać wykorzystanie dużo większej ilości kubitów pomocniczych, co może zwiększyć tę liczbę do setek tysięcy lub nawet milionów kubitów. Równie ważną kwestią jest osiągnięcie odpowiednio długiego czasu koherencji, gdyż realizacja powyższego algorytmu będzie wymagać przynajmniej 107 kroków obliczeniowych.

Oszacowane powyżej wielkości mogą wydawać się zupełnie abstrakcyjne z perspektywy dostępnych dzisiaj możliwości przeprowadzania obliczeń kwantowych. Dla przykładu, najbardziej zaawansowany komputer kwantowy firmy Google posiada 53 kubity i jest w stanie wykonać kilkanaście kroków obliczeniowych. Jednakże, przyjmując hipotetyczny wykładniczy charakter rozwoju technologii kwantowych (analogiczny do prawa Moore’a), osiągnięcie poziomu miliona kubitów jest realne w perspektywie 30 lat. Załóżmy, że skala czasowa podwojenia ilości kubitów w procesorze kwantowym będzie wynosiła około 2 lata (podobnie jak obecnie ma to miejsce w przypadku liczby tranzystorów w procesorach klasycznych). W takim przypadku, w kolejnych latach możemy prognozować wartości: 100 (2021), 200 (2023), 400 (2025), 800 (2027), 1600 (2029), 3200 (2031), 6400 (2033), 12800 (2035), 25600 (2037), 51200 (2039), 102400 (2041), 204800 (2043), 409600 (2045), 819200 (2047), 1638400 (2049), … . Zgodnie z tą naiwną ekstrapolacją, poziom milionów kubitów powinien zostać osiągnięty do roku 2050. Istnieją również bardziej optymistyczne prognozy, wskazujące na możliwość nawet podwójnie wykładniczego rozwoju technologii kwantowych („prawo” Neven’a).

W kontekście kryptoanalizy, warto przywołać także przypadek funkcji skrótu (ang. hash functions), które są nieodzownym elementem współczesnych protokołów kryptograficznych.  Do najpowszechniejszych z nich należą: MD4, MD5, SHA-1, SHA-2 i SHA-3. Kryptoanaliza siłowa funkcji skrótu jest zasadniczo podobna do przypadku kryptografii symetrycznej i opiera się na wykorzystaniu algorytmu Grovera. W przypadku SHA-3 ze skrótem 512 bitowym, odporność na tzw. preimage attack jest więc na poziomie algorytmu symetrycznego z kluczem 256 bitowym. Tego samego poziomu jest odporność na ataki kolizyjne. Z uwagi na tę niepodatność na kryptoanalizę kwantową, funkcje skrótu rozpatruje się jako jeden z najbardziej obiecujących komponentów tak zwanej kryptografii postkwantowej.

Kryptografia postkwantowa

Kryptografia postkwantowa [2] jest odpowiedzią na potencjalne zagrożenie związane z  kryptoanalizą kwantową algorytmów klasycznej kryptografii asymetrycznej. Z uwagi na to, że kwantowe przyśpieszenie wykładnicze (Dodatek A) nie występuje w przypadku problemu przeszukiwania przestrzeni klucza, nie istnieją obecnie podstawy do obaw o bezpieczeństwo silnych algorytmów kryptografii symetrycznej, takich jaki AES-256, czy też algorytmów opartych na funkcjach skrótu.

Potencjalne zagrożenie związane z kwantową kryptoanalizą algorytmów kryptografii asymetrycznej nie może jednak zostać zbagatelizowane. Nawet jeśli kwantowe możliwości obliczeniowe umożliwiające kryptoanalizę RSA z kluczem 2048 bitowym pojawią się dopiero za 30 lat, należy podejmować działania zapobiegawcze. Po pierwsze, wynika to z faktu, że proces wdrażania (standaryzacja i implementacja) nowych rozwiązań kryptograficznych jest długotrwały, wymagając zarówno prac badawczych, szeroko zakrojonych testów podatności na kryptoanalizę, jak i samej implementacji w ramach istniejących systemów informatycznych. Po drugie, wiele zaszyfrowanych informacji pozostaje wrażliwymi przez okres kilkudziesięciu lat. Ich przechowywanie (jako szyfrogramy) i odszyfrowanie w momencie pojawienia się odpowiednich możliwości obliczeniowych, może doprowadzić nawet do ogólnoświatowego kryzysu. Dla przykładu, dostępne publicznie mogą stać się dane osobowe, transakcje bankowe, dane medyczne milionów osób, co otworzy szereg możliwości działań natury przestępczej.  Ponadto, zgodnie z Art. 25 ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych: „Informacje niejawne stanowiące tajemnicę państwową podlegają ochronie, w sposób określony ustawą, przez okres 50 lat od daty ich wytworzenia.” Biorąc pod uwagę możliwość wykorzystania algorytmów kryptografii asymetrycznej do przetwarzania tego typu informacji (chociażby poprzez wykorzystanie kryptografii asymetrycznej do wymiany klucza), realność kryptoanalizy kwantowej w perspektywie 30 lat stawia pod znakiem zapytania bezpieczeństwo przetwarzanej obecnie informacji niejawnej, stanowiącej tajemnicę państwową.

Z uwagi na zagrożenia powyższego typu, w 2016 roku amerykański Narodowy Instytut Standaryzacji i Technologii (NIST) ogłosił program opracowania standardu kryptografii postkwantowej, odpornego na kryptoanalizę kwantową. Proces ten przebiega na zasadzie konkursu, podobnie jak to wcześniej miało miejsce np. w przypadku standardu AES. Obecnie, w drugiej rundzie, rozważana jest pula  26 propozycji. W pierwszej rundzie, z początkowych 250 zgłoszeń wybranych zostało 69 najbardziej obiecujących rozwiązań. Cały proces ma zostać zakończony do roku 2022. Rozpatrywany wachlarz rozważanych algorytmów kryptografii postkwantowej jest szeroki.  Do najbardziej obiecujących kierunków należą zaś:

  • Algorytmy kratowe (ang. lattice-based cryptography)
  • Algorytmy  oparte na kodach korekcyjnych (ang. code-based cryptography)
  • Kryptografia wielu zmiennych (ang. multivariate cryptography)
  • Podpis elektroniczny opary o funkcje skrótu (ang. hash-based signatures)

Z uwagi na subtelną naturę rozwiązań kryptograficznych, standaryzacja jest kluczowym elementem poprzedzającym szeroką implementacji nowych algorytmów. Etap ten  jest długotrwały i powiązany jest z badaniem odporności danych rozwiązań na ataki kryptologiczne. Należy mieć jednak na uwadze to, że nawet pomyślne wyłonienie nowego standardu nie gwarantuje późniejszego długotrwałego  bezpieczeństwa. Wiązać się to może zarówno z odkryciem niezauważonych wcześniej słabości rozwiązań, z pojawieniem się nowych schematów ataków oraz nowymi możliwościami obliczeniowymi. Dla przykładu, zaprojektowany na zlecenie NIST i stosowany od połowy lat siedemdziesiątych ubiegłego wieku symetryczny szyfr DES (z kluczem efektywnie 56 bitowym), okazał się możliwy do złamania już po 20 latach od jego wprowadzenia.

Fakt iż, możliwości kryptoanalizy szyfrów kryptografii postkwantowej są wciąż stosunkowo słabo poznane, istnienie realna obawa, że nawet wyłonione w procesie standaryzacji rozwiązania będą podatne na pewne typy ataków. Dlatego też, w początkowej fazie implementacji wydaje się zasadne opieranie się w jak największym stopniu na dobrze zbadanych elementach obecnych systemów kryptograficznych, takich jak funkcje skrótu lub kody korekcyjne. 

O ile proces standaryzacji prowadzony przez NIST jest w toku, w ramach niezależnych projektów podano już pewne rekomendacje co do algorytmów kryptografii postkwantowej. W szczególności, europejski projekt  PQCRYPTO, finansowany w ramach programu Horyzont 2020, rekomendował AES-256 i  Salsa20 z kluczem 256 bitowym jako postkwantowe algorytmy kryptografii symetrycznej. Dla kryptografii asymetrycznej, rekomendowany został natomiast szyfr McEliece’a, będący przykładem algorytmu opartego na kodach korekcyjnych [3]. 

Certyfikowana kwantowa przypadkowość

Jednymi z komponentów systemów kryptograficznych, mającymi fundamentalne znaczenie z punktu widzenia bezpieczeństwa,  są generatory liczb losowych. W praktyce, są to generatory liczb pseudolosowych, co na przykład w przypadku szyfrów strumieniowych (wykorzystywanych np. do zabezpieczania  transmisji w telefonii komórkowej) jest własnością pożądaną. Jednakże, już w przypadku generowania kluczy (będących ciągami bitów) oczekujemy niepowtarzalnej przypadkowości. Dotyczy to zarówno kluczy wykorzystywanych w kryptografii symetrycznej, jak i asymetrycznej.

Błędy w implementacji generatorów pseudolosowych mogą istotnie wpłynąć na obniżenie bezpieczeństwa, wykorzystujących je algorytmów kryptograficznych. Znanym przykładem jest wykazanie istnienia „tylnej furtki” w generatorze pseudolosowym Dual_EC_DRBG. Ujawnione przez Edwarda Snowdena informacje na temat programu deszyfrażu Bullrun, sugerują, że obecność furtki mogło być  działaniem celowym amerykańskiej National Security Agency (NSA) [4].  O ile więc furtki takie mogą być wprowadzane celowo przez agencje dbające o bezpieczeństwo publiczne, ich obecność stwarza również możliwość wykorzystania przez osoby, instytucje i państwa nieprzyjazne. 

Probabilistyczna natura mechaniki kwantowej stwarza atrakcyjną możliwość budowy generatorów losowych. Co więcej, rozwiązania takie są już dostępne komercyjnie.  Jednakże, otwarte zostaje potencjalne zagrożenie związane z wykorzystaniem  możliwych „tylnych furtek” w tego typu rozwiązaniach. Dlatego też, dąży się do opracowania rozwiązań które będą gwarantowały zarówno losowość, jak i niepodatność na ataki, zarówno na poziomie sprzętu, jak i oprogramowania.

Jednym z pojeść do tego zagadnienia jest wykorzystanie trudności obliczeniowej problemu przewidzenia rozkładu prawdopodobieństwa pomiarów dla odpowiednio dużych pseudolosowo-generowanych obwodów kwantowych. Własność tę można wykorzystać do generowania certyfikowanych kwantowo losowych ciągów binarnych (ang. certified quantum randomness) [5]. Losowość otrzymanego ciągu bitów jest zagwarantowana złożonością obliczeniową problemu przewidzenia z jakim prawdopodobieństwem dany ciąg może zostać wygenerowany przez obwód kwantowy. Ponadto, nawet kiedy źródło generatora obwodów zostałoby upublicznione, wygenerowane wartości losowe zachowają prywatność.

Metoda ta może być pomyślnie stosowana już z wykorzystaniem dostępnych obecnie komputerów kwantowych, posiadających kilkadziesiąt (zaszumionych) kubitów fizycznych. Dowodem na to jest niedawny rezultat otrzymany za pomocą komputera kwantowego opracowanego przez firmę Google. Rozważane zagadnienie próbkowaniem (ang. sampling), które przeprowadzono na 53 kubitowym procesorze może zostać zaadoptowane do zapewnienia certyfikowanej kwantowej przypadkowości [6].

Zastosowanie certyfikowanej kwantowej generacji kluczy może istotnie wzmocnić bezpieczeństwo zarówno konwencjonalnej kryptografii (asymetrycznej i symetrycznej) jak i algorytmów kryptografii postkwantowej. Jest to przykład rozwiązania hybrydowego w którym wykorzystuje się połączenie znanych i możliwych do zastosowania algorytmów kryptografii klasycznej z najnowszymi osiągnięciami w obszarze obliczeń kwantowych.

Kwantowa dystrybucja klucza

Nawet jeśli jest to możliwe w niepraktycznie dużych skalach czasowych, algorytmy kryptografii klasycznej, z wyłączeniem szyfru z kluczem jednorazowym (ang. one-time pad), są zawsze możliwe do złamania. Mechanika kwantowa dostarcza jednakże teoretycznie niepodatnej na kryptoanalizę metody szyfrowania informacji.  Opracowywaniem tego typu rozwiązań zajmuje się kryptografia kwantowa.

Kwantowa dystrybucja klucza (ang. quantum key distribution – QKD) [7] jest, rozważaną w ramach kryptografii kwantowej,  metodą bezpiecznego przesyłania sekretnego klucza za pośrednictwem stanów kwantowych pojedynczych fotonów. Metoda ta wykorzystuje kwantowe własności mikroświata (w szczególności, tak zwane twierdzenie o  zakazie klonowania kwantowego) do przesyłania informacji. Ponieważ przepustowość wykorzystywanych do QKD tzw. kanałów kwantowych nie dorównuje tym osiąganym w klasycznych łączach światłowodowych oraz radiowych, łącza kwantowe wykorzystywane są obecnie do przesyłania sekretnych kluczy, pozwalających zaszyfrować (klasyczną) wiadomość, nie zaś do transmisji samej wrażliwej informacji.  Udostępniony, za pośrednictwem QKD, klucz może być wykorzystany do zaszyfrowania danych np. z użyciem silnego symetrycznego szyfru AES-256.

Kwantowa dystrybucja klucza jest rozwiązaniem,  które zostało już wdrożone do komercyjnego użytku.  Jednakże, dostępne obecnie rozwiązania posiadają jedno kluczowe ograniczenie. Mianowicie, jest to dystans, na który możemy przesłać zabezpieczoną kwantowo informację. Wiąże się to z tłumieniem fotonów w światłowodzie i koniecznością stosowania skomplikowanych tzw. powielaczy kwantowych. Obiecującym rozwiązaniem tego problemu jest przesyłanie fotonów z zakodowaną kwantowo informacją poprzez atmosferę oraz przestrzeń kosmiczną. Udane próby międzykontynentalnej QKD z wykorzystaniem kwantowych technologii satelitarnych udało się przeprowadzić w 2017-tym roku. Obecnie trwają prace nad kilkoma projektami satelitarnymi, które mają na celu rozwój kwantowych technologii związanych z łącznością satelitarną. 

Połączenie światłowodowej oraz satelitarnej łączności kwantowej może pozwolić urzeczywistnić idę tzw. internetu kwantowego – niepodatnego na kryptoanalizę kanału wymiany informacji.  Stworzenie podwalin dla internetu kwantowego to m.in. jeden z filarów, rozpisanego na okres dziesięciu lat (2018-2028), flagowego programu Komisji Europejskiej – Quantum Flagship. Ponadto, w ramach projektu OPENQKD (Open European Quantum Key Distribution Testbed) powstaje obecnie w Europie eksperymentalna sieć do kwantowej dystrybucji klucza, której jeden z węzłów znajdzie się również w Polsce.

Warto w tym miejscu podkreślić, że systemy do kwantowej dystrybucji klucza, choć teoretycznie bezwarunkowo bezpieczne, mogą stać się jednak przedmiotem ataków. Istnieje mianowicie szerokie spektrum możliwych ataków fizycznych, wykorzystujących błędy w implementacji systemów do QKD. Jedną z prób rozwiązania tego problemu jest opracowanie algorytmów kryptografii kwantowej gwarantujących bezpieczeństwo w wymianie informacji, niezależne do wad implementacji fizycznych. Konieczne są jednakże dalsze prace zarówno teoretyczne, jak i eksperymentalne w tym obszarze.

Podsumowanie

Infosfera stała się kluczowym elementem współczesnej aktywności ludzkiej. Jej dynamiczny rozwój doprowadził jednak do pojawienia się zagrożeń zupełnie nowego typu. Dotyczy to zarówno poziomu jednostek, jak i społeczeństw. W konsekwencji, cyberprzestrzeń stała się równoprawnym do wody, lądu, powietrza i przestrzeni kosmicznej, obszarem działań wojennych. Powaga problemu doprowadziła do szerokiego zaangażowania państw i organizacji w obszarze zapewnienia bezpieczeństwa w cyberprzestrzeni. W Polsce, ważnym krokiem stało się sformułowanie w 2015 roku Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej [8]. Elementem realizacji jej założeń jest konsolidacja polskich zasobów  w obszarze cyberbezpieczeństwa i kryptologii w ramach utworzonego w 2019 roku Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC), funkcjonującego wcześniej jako Narodowe Centrum Kryptologii (NCK).

Technologie kwantowe, które coraz odważniej wychodzą z obszaru badawczego do fazy wdrożeń, stanowią zarówno potencjalne zagrożenie dla cyberbezpieczeństwa, jak i dają narzędzie dla jego wzmocnienia do bezprecedensowego poziomu. Zagrożenie związane jest głównie z możliwością kryptoanalizy algorytmów kryptografii asymetrycznej (w szczególności RSA i ECC). Natomiast, silne algorytmy kryptografii symetrycznej pozostaną odporne na kryptografię kwantową. W mojej ocenie, realistyczna wydaje się możliwość kryptoanalizy algorytmu RSA z kluczem 2048 bitowym w perspektywie czasowej 30 lat. Warto również mieć na uwadze prawdopodobieństwo opracowania nowych algorytmów, które mogą znaleźć zastosowanie w kryptoanalizie kwantowej.

Odpowiedzią na zagrożenie związane z kryptoanalizą kwantową jest kryptografia postkwantowa. Zadaniem które sobie stawia jest opracowanie algorytmów kryptografii z kluczem publicznym, niepodatnych na ataki kwantowe. W toku jest proces standaryzacji algorytmów kryptografii postkwantowej, po zakończeniu którego (około roku 2023) można spodziewać intensyfikacji w implementacji tego typu rozwiązań. Należy jednak zdawać sobie sprawę z faktu, że algorytmy kryptografii postkwantowej wciąż wymagają testów pod kątem kryptoanalizy, zarówno konwencjonalnej, jak i kwantowej.

Z drugiej strony, technologie kwantowe otwierają obiecującą możliwość implementacji rozwiązań kryptografii kwantowej. Jednym z nich jest kwantowa generacja klucza. Rozwiązania takie stają się możliwe do urzeczywistnienia z wykorzystaniem opracowywanych obecnie komputerów kwantowych. W perspektywie nadchodzącej dekady, certyfikowane kwantowe generowanie kluczy pozwoli wzmocnić bezpieczeństwo kryptografii klasycznej, jak również algorytmów postkwantowych. Kolejnym, bardzo obiecującym, rozwiązaniem dostarczanym przez kryptografię kwantową jest kwantowa dystrybucja klucza. Naziemna i satelitarna sieć kanałów kwantowych (tzw. kwantowy internet) pozwoli na bezwarunkowo bezpieczne przekazywanie sekretnych kluczy. Z ich pomocą, możliwe będzie  późniejsze przesyłanie informacji kanałami klasycznymi, stosując silne szyfry symetryczne.

Budowa infrastruktury do komunikacji kwantowej, która ostatecznie zapewni nowy poziom bezpieczeństwa w przesyle informacji jest zadaniem niezwykle złożonym i wymagającym integracji wielu zasobów i kompetencji. Jej utworzenie wykreuje zupełnie nowe realia dla cyberbezpieczeństwa. Warto w tym kontekście zaznaczyć, że z uwagi skomplikowaną naturę systemów do komunikacji kwantowych i kryptografii kwantowej, ważnym elementem będzie proces szkolenia specjalistów, którzy będą w stanie analizować subtelności stosowanych rozwiązań i przewidywać możliwość występowania nowych zagrożeń.

Przeprowadzona tu analiza jedynie zarysowuje zagadnienie cyberbezpieczeństwa kwantowego, akcentując podstawowe możliwości i zagrożenia. Dalsza szersza dyskusja, łącząca płaszczyzny: polityczną, akademicką, militarną i przedsiębiorczą, jest konieczna w celu wypracowania optymalnych rozwiązań, które pozwolą na wykorzystanie technologii kwantowych do zapewnienia jeszcze wyższego poziomu cyberbezpieczeństwa w Polsce i na świecie.   

Dodatek A – Kwantowy elementarz

Technologie kwantowe tworzy obecnie szerokie spektrum rozwiązań, wykorzystujących kwantową naturę mikroświata, opisywaną przez mechanikę kwantową. Do najważniejszych przykładów należą: systemy przetwarzania informacji kwantowej (komputery kwantowe),  systemy łączności kwantowej (oparte o kryptografię kwantową) i  systemy metrologii kwantowej (np. kwantowe magnetometry).   

Szczególną klasą układów kwantowych, odgrywają kluczową rolę w kwantowym przetwarzaniu informacji, są kubity. Kubity można postrzegać jako kwantowe odpowiedniki klasycznych bitów, mogące występować w kwantowych superpozycjach stanów „0” i „1”. Sytuacja robi się jeszcze ciekawsza kiedy rozważamy wiele oddziałujących ze sobą kubitów. Właśnie takie złożenie kubitów stanowi rejestr komputera kwantowego, na którym, poprzez wykonywanie odpowiednich operacji (unitarnych), przeprowadzane są obliczenia kwantowe. Wyzwaniem związanym z budowaniem tego typu maszyn jest odseparowanie rejestru kwantowego od środowiska zewnętrznego, które zaburza jego kwantową naturę. Wyzwaniem jest również odpowiednie kontrolowanie kubitów i przeprowadzanie na nich operacji. Przez wiele lat, fizycy zmagali się z osiągnięciem odpowiedniego poziomu koherencji kwantowej i sterowalności rejestrów kwantowych. Przełomowe okazało się wykorzystanie nadprzewodzących kubitów, które ostatecznie doprowadziło do eksperymentalnego wykazania przewagi (w wczasie obliczeń) komputera kwantowego nad najsilniejszym dostępnym superkomputerem klasycznym. Udało się to ostatecznie wykazać firmie Google, dla problemu próbkowania ciągów binarnych z zadanym przez obwód kwantowy  rozkładem prawdopodobieństwa [6].

Trudność w emulowaniu obliczeń kwantowych na komputerach klasycznych wiąże się z faktem, że stan układu n kubitów opisywany jest w 2n wymiarowej przestrzeni Hilberta. W konsekwencji, na przykład by opisać układ 100 kubitów należy użyć wektora posiadającego około 1030 składowych. Próba zapisania takiego wektora zarówno w obecnych jaki i możliwych do wyobrażenia przyszłych komputerach klasycznych jest praktycznie skazana na niepowodzenie.  Z drugiej strony, operowanie w 2n wymiarowej przestrzeni Hilberta,  dysponując n kubitami umożliwia wykonywanie wykładniczo rosnącej z n liczby operacji. Na własności tej opiera się tzw. paralelizm kwantowy, mogący w pewnych przypadkach doprowadzić do kwantowego przyśpieszenia wykładniczego (ang. exponential speed-up) w rozwiązaniu pewnych problemów. Z sytuacją taką spotykamy się, w szczególności, w przypadku algorytmu faktoryzacji Shora, znajdującym zastosowanie w kryptoanalizie kwantowej.

Dodatek B – Złożoność obliczeniowa 

Złożoność obliczeniowa, w uproszczeniu określa poziom trudności rozwiązania danego problemu.  Dla przykładu, rozważmy problem znalezienia konkretnego elementu w nieuporządkowanym zbiorze N elementowym. Element taki znajdziemy w średnio N/2 próbach. Czas potrzebny na znalezienie elementu będzie więc skalował się liniowo wraz z liczebnością (mocą) zbioru. Jest to przykład problemu należącego do wielomianowej klasy złożoności – P (ang. Polynomial). Innym  przykładem problemu należącego do klasy P jest mnożenie liczb.

Nie wszystkie znane problemy należą jednak do kasy P, a przynajmniej tak się wydaje. Okazuje się mianowicie, że istnieje cały szereg problemów dla których nie udało się, jak dotąd, zaproponować algorytmów ich rozwiązywania które należałyby do klasy P. Problemy takie określamy mianem NP (ang. Nondeterministically Polynomial). Są to takie problemy dla których znając wynik możemy w czasie wielomianowym zweryfikować czy propozycja wyniku jest rozwiązaniem czy też nie. Przykładem takiego problemu, jest rozkład liczby złożonej na czynniki pierwsze (problemu faktoryzacji). Problemy klasy NP znajdują szerokie zastosowanie w kryptologii. Otwartym i jednym z najważniejszych problemów matematycznych jest odpowiedzenie na pytanie czy faktycznie NPP?

Uogólnienie rozważań do obliczeń kwantowych wymaga wprowadzenia nowych klas złożoności. Na potrzeby tego artykułu, wprowadzimy jedynie klasę BQP (ang. bounded-error quantum polynomial time). Do klasy tej należą problemy, dla których istnieje możliwość znalezienia rozwiązania w czasie wielomianowym, z prawdopodobieństwem co najmniej 2/3 (czyli błędem nie większym niż 1/3). Okazuje się, że kwantowy algorytm Shora pozwala zredukować złożoność obliczeniową problemu faktoryzacji, klasycznie klasyfikowanego jaki problem wykładniczy, do takiej właśnie złożoności. Jest to przykład kwantowego przyśpieszenia wykładniczego.

Bibliografia

[1] M. Mosca,  Cybersecurity in an Era with Quantum Computers: Will We Be Ready? IEEE Security & Privacy, September/October 2018, pp. 38-41, vol. 16
[2] D. J. Bernstein, T. Lange,  Post-quantum cryptography, Nature, 549(7671), 188-194.
[3] PQCRYPTO – Post-Quantum Cryptography for Long-Term Security. Initial recommendations of long-term secure post-quantum systems
[4] D. J. Bernstein, T. Lange, R. Niederhagen, Dual EC: A Standardized Back Door. In: Ryan P., Naccache D., Quisquater JJ. (eds) The New Codebreakers. Lecture Notes in Computer Science, vol 9100. Springer, Berlin, Heidelberg
[5] Acín, A., Masanes, L. Certified randomness in quantum physics. Nature 540, 213–219 (2016).
[6] Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019)
[7] A. Shenoy-Hejamadi, A. Pathak, S. Radhakrishna, Quantum Cryptography: Key Distribution and Beyond, Quanta 2017; 6: 1–47
[8] Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej, 2015.

                                                                                                                               © Jakub Mielczarek

Artykuł został opublikowany na portalu CyberDefence24.

Kwantowe technologie kosmiczne

Większość z nas każdego dnia korzysta z jednej z kwantowych technologii kosmicznych – zegarów atomowych, zainstalowanych na satelitach systemów nawigacyjnych, takich jak GPS i  Galileo. Zastosowanie zjawisk kwantowych w branży kosmicznej nie jest więc czymś nowym. Jednakże, ostatnie lata przyniosły szereg obiecujących wyników, które pozwalają spojrzeć na wykorzystanie kwantowej natury światła i materii w warunkach kosmicznych w dużo szerszym kontekście.  Niniejsze opracowanie ma na celu dostarczenie zwięzłego przeglądu głównych możliwości jakie rodzą się na styku mechaniki kwantowej i inżynierii kosmicznej.

Zegary, sensory i metrologia kwantowa

Jak już wspomniałem powyżej, zegary atomowe są najpowszechniejszym przykładem technologii kwantowych wykorzystywanych w warunkach kosmicznych. W szczególności, satelity europejskiego systemu Galileo pracują w oparciu o zarówno tradycyjne zegary Rubidowe jak i precyzyjniejsze pasywne masery wodorowe (odpowiedniki laserów działające w zakresie mikrofal). W przypadku zegara wodorowego, wykorzystywane jest doskonale znane wszystkim astronomom przejście kwantowe pomiędzy poziomami w strukturze nadsubtelnej wodoru, czyli osławiona linia neutralnego wodoru 21 cm, której odpowiada częstotliwość około 1,420 GHz (co można wyprowadzić na gruncie mechaniki kwantowej). Okres oscylacji równy jest więc około 0.704 ns a osiągana dokładność pracy takiego zegara to około 0.45 ns na 12h pracy zegara [1]. Niezwykle dokładny pomiar czasu z wykorzystaniem maserów wodorowych przekłada się na większą precyzję pozycjonowania (sięgający 10 cm promień błędu) systemu Galileo, względem konkurencyjnych systemów GPS, Beidou i GLONASS. Warto dodać, że precyzyjne pomiary czasu mają ogromne znaczenie nie tylko dla nawigacji naziemnej, ale również dla nawigacji statków kosmicznych.

Kolejnego, jednak już nieco mniej oczywistego przykładu zastosowania układu kwantowego w warunkach kosmicznych dostarczają kondensaty Bosego-Einsteina. Kondensaty Bosego-Einsteina są konfiguracjami w których bozonowe stopnie swobody (cząstki o spinie całkowitym) makroskopowo obsadzają ten sam stan podstawowy (stan o najniższej energii).  W konsekwencji, gęstość prawdopodobieństwa poszczególnych cząstek (związana z ich funkcją falową) nabiera interpretacji koncentracji materii w kondensacie i może być poddawana analizie optycznej.  Własność ta znajduje zastosowanie m.in. przy budowie interferometrów atomowych, które okazują się być niezwykle wrażliwe na zmiany natężenia pola grawitacyjnego. Opierające swoje działanie na kondensatach Bosego-Einsteina grawimetry doczekały się już wdrożeń komercyjnych, a ich czułość sięga poniżej 10^{-9} g [2] (g jest przyśpieszeniem grawitacyjnym na powierzchni Ziemi).

Wysoka wrażliwość interferometrów atomowych na zmiany pola grawitacyjnego wygenerowała zainteresowanie przeprowadzaniem eksperymentów w warunkach swobodnego spadku. Badania takie, motywowane zarówno możliwymi zastosowaniami praktycznymi jaki i chęcią lepszego zrozumienia wpływu pola grawitacyjnego na układy kwantowe, zostały przeprowadzone m.in. we wieży swobodnego spadku w Bremie [3].  W 2017 roku udało się natomiast zrealizować pierwszą kosmiczną misję z wykorzystaniem kondensatu Bosego-Einsteina. Eksperyment ten przeprowadzono z pomocą rakiety MAIUS-1, wykonującej lot paraboliczny i osiągającej pułap około 243 km nad poziomem morza [4].

BEC
Schemat rakietowego eksperyment z kondensatem Bosego-Einsteina, przeprowadzonego w 2017 roku . Źródło

Powodzenie misji stanowi ważny krok w stronę grawimetrii satelitarnej opartej na wykorzystaniu kondensatów Bosego-Einsteina.  Ma to również znaczenie w kontekście zrozumienia pewnych aspektów oddziaływania (klasycznego) pola grawitacyjnego na układy kwantowe. Watro również podkreślić, że opracowane pod kątem eksperymentu rozwiązania inżynieryjne będą mogły znaleźć szersze zastosowanie w ramach kwantowych technologii kosmicznych. Przeprowadzenie eksperymentu wiązało się bowiem z koniecznością dostosowania skomplikowanego układu doświadczalnego do wymogów stawianych przed technologiami kosmicznymi (m.in. odporność na wibracje i przeciążenia, ograniczenia na rozmiary układu). Warto w tym miejscu zaznaczyć, że wytworzenie kondensatu Bosego-Einsteina wymaga ochłodzenia materii do skrajnie niskich temperaturach, przyjmujących typowo wartości rzędu ułamków mikrokelwinów.

Z punktu widzenia badań podstawowych, interferometry atomowe oparte na kondensatach Bosego-Einsteina rozważane są również w kontekście budowy nowego typu naziemnych i kosmicznych detektorów fal grawitacyjnych [5].   Zanim jednak takie rozwiązania powstaną, własności mechaniki kwantowej zostaną wykorzystane w celu redukcji szumu w obecnie przygotowywanym kosmicznym obserwatorium fal grawitacyjnych LISA. Już teraz, w celu obejścia problemu szumu śrutowego w naziemnych interferometrycznych obserwatoriach fal grawitacyjnych stosuje się tak zwane ściśnięte stany kwantowe światła [6]. Podejście to jest przykładem metrologii kwantowej, wdrożonej już w warunkach ziemskich, a której implementacja w misjach satelitarnych pozostaje jedynie kwestią czasu.

Komunikacja kwantowa

Niewątpliwie, wzbudzającym największe emocje i oczekiwania kierunkiem rodzącym się na styku inżynierii kosmicznej i mechaniki kwantowej jest tak zwana łączność kwantowa (o której pisałem m.in. we wpisie kwantowa łączność satelitarna).  W istocie, jest to wykorzystanie stanów kwantowych pojedynczych fotonów do przesyłania informacji. Ponieważ jednak przepustowość, powstałych w ten sposób, kanałów kwantowych nie może konkurować z przepustowością dostępnych łączy klasycznych, kanał kwantowy wykorzystywany jest jedynie do wymiany tak zwanego sekretnego klucza (będącego ciągiem bitów). Klucz ten umożliwia zastosowanie silnych algorytmów klasycznej kryptografii symetrycznej (takich jak AES-256) dla danych przesyłanych drogą konwencjonalną. Podejście takie nosi nazwę kwantowej dystrybucji klucza (ang. quantum key distribution – QKD) i stanowi jeden z filarów kryptografii kwantowejZaletą takiego rozwiązania jest, wynikająca z zasad mechaniki kwantowej, teoretyczna niepodatność protokołów na ataki (w praktyce, istnieją jednak możliwości ataków fizycznych na systemy kryptografii kwantowej).

Z uwagi na wykładniczne tłumienie sygnału kwantowego w światłowodach, wykorzystanie  przestrzeni kosmicznej daje obecnie jedyną możliwość przeprowadzenia kwantowej dystrybucji klucza na odległościach kilkuset i kliku tysięcy kilometrów.  Pierwszej tego typu satelitarnej komunikacji kwantowej dokonano w 2017 roku z wykorzystaniem chińskiego satelity Micius [7].

QDK
Zrealizowane, obecne i planowane misje satelitarne przeprowadzające kwantową dystrybucję klucza. Źródło

Rozwiązania satelitarne w skali satelity Micius są niezwykle skomplikowane i kosztowne. Aby więc, przy ograniczonych zasobach, przyśpieszyć prace nad satelitarną komunikacja kwantową, grupy badawcze skłaniają się obecnie do dużo tańszych rozwiązań nanosatelitarnych, w szczególności w standardzie CubeSat. Eksperymenty te mają zarówno na celu przetestowanie pracy systemów optyki kwantowej w warunkach kosmicznych jak również samą łączność kwantową pomiędzy satelitą z stacją naziemną.

Do kategorii misji testujących same układy optyczne (bez łączności) można zaliczyć nanosatelitę Galassia (2U) [8], za pomocą której w 2015 roku przeprowadzono testy systemu Spontaneous Parametric DownConversion (SPDC), wytwarzającego splątane stany kwantowe mające zastosowanie w protokole Ekerta E91.  Kierunek ten jest rozwijany obecnie ramach cubesata SpooQySat (3U) [9]. Do misji nanosatelitarnych mających na celu przetestowanie łączności kwantowej możemy natomiast zaliczyć proponowane projekty takie jak Nanobob (12U) [10] i Q3Sat (3U) [11]. Są one zaprojektowane w konfiguracji uplink. Ich konstrukcja nie wymaga więc instalowania systemu do przygotowywania stanów kwantowych a jedynie prostszy układ detekcyjny. Z drugiej strony jednak, rozwiązanie takie jest mniej korzystne z punktu widzenia czynnika atmosferycznego. Mianowicie, w przypadku  konfiguracji downlink, turbulencje atmosferyczne wpływają na kierunek propagacji fotonów dopiero na końcowym etapie drogi, powodując jedynie nieznaczne poszerzenie wiązki. Natomiast, w przypadku konfiguracji uplink, kierunek propagacji fotonów jest najpierw zaburzony przez czynnik atmosferyczny,  po czym dewiacja od wyjściowej osi optycznej narasta w trakcie jego dalszej propagacji. Dlatego też, zarejestrowanie fotonu wymagać będzie większej średnicy zwierciadła. 

Ciekawym wynikiem w kontekście komunikacji kwantowej było niedawne wykorzystanie retroreflektoru zainstalowanego na jednym z satelitów należących do systemu GLONASS do odbicia pojedynczych fotonów [12]. Wyniki tego eksperymentu rodzą nadzieję na przyszłe wykorzystanie pasywnych układów optycznych umieszczonych na satelitach do prowadzenia komunikacji kwantowej. Pozwoliłoby to znacznie uprościć konstrukcję i obniżyć koszty satelitów do kwantowej  dystrybucji klucza, przenosząc środek ciężkości złożoności technologicznej takich systemów na powierzchnię Ziemi.

Warto zaznaczyć, że komunikacja kwantowa z uwagi na wykorzystanie światła laserowego wpisuje się również w kierunek komunikacji laserowej, dostarczającej w przypadku łączności klasycznej dużo większych przepustowości niż łączność radiowa (co jest prostą konsekwencją mniejszej długości fali). Obszar ten jest obecnie rozwijany w Europie w ramach projektu ESA ARTES ScyLight. Postęp w technologii kwantowej łączności satelitarnej (szerzej – kwantowego internetu) oraz metrologii kwantowej jest również obecnie wspierany m.in. w ramach programu flagowego Komisji Europejskiej Quantum Flagship.

Teleportacja kwantowa i efekty relatywistyczne

Nie można utworzyć idealnej kopii (klonu) nieznanego stanu kwantowego, co stanowi fundament bezpieczeństwa komunikacji kwantowej. Możliwe jest natomiast dokonanie jego kwantowej teleportacji (przesłania stanu kwantowego z prędkością światła), wykorzystując połączenie kanału kwantowego oraz klasycznego. Teleportacja kwantowa stanowi bardzo ważny element systemów przesyłania i przetwarzania informacji kwantowej. Jej eksperymentalnego potwierdzenia dokonano po raz pierwszy w 1997 roku [13]. Po 20 latach od tego przełomowego momentu, w 2017 roku, przeprowadzono pierwszą teleportację stanu kwantowych fotonu z powierzchni Ziemi na niską orbitę okołoziemską [14]. W ramach tego eksperymentu dokonano teleportacji sześciu różnych typów stanów kwantowych fotonu. W każdym z przypadków zaobserwowano poziom wierności (ang. fidelity) przesłanych stanów przekraczający wartość dla najlepszej strategii klasycznej, co potwierdza realność przeprowadzonego protokołu teleportacji.

Teleportation
Układ eksperymentalny za pomocą którego w 2017 roku przeprowadzono teleportację stanu kwantowego z powierzchni Ziemi na niską orbitę okołoziemską. Źródło

Jak już wcześniej zaznaczono, wykorzystanie zjawisk kwantowych w warunkach kosmicznych dostarcza zarówno narzędzi do badania zjawisk grawitacyjnych (np. detekcja fal grawitacyjnych) jak również pozwala empirycznie eksplorować pewien obszar oddziaływania (klasycznego) pola grawitacyjnego na układy kwantowe. Dotyczy to przede wszystkim wpływu pola grawitacyjnego na ewolucję układu kwantowego. Okazuje się, że efekty związane z geometrią czasoprzestrzeni mogą mieć niezaniedbywalny wpływ na zachowanie układów kwantowych w pobliżu Ziemi. Rozważania te, w szczególności, dotyczą kwantowej teorii pola na przestrzeniach zakrzywionych. Teorię tę stosujemy głównie do opisu promieniowania czarnych dziur oraz pierwotnych zaburzeń kosmologicznych, jednakże kwantową teorię pola na przestrzeniach zakrzywionych możemy wykorzystać również do opisu paczek falowych fotonów wykorzystywanych w komunikacji kwantowej. Co więcej, bardzo dobre przybliżenie geometrii czasoprzestrzennej w pobliżu Ziemi dostarcza metryka Schwarzschilda, opisująca nierotujące czarne dziury (w przypadku Ziemi, promień Schwarzchilad wynosi ok. 9 mm). Wykorzystując tę metrykę można np. przewidzieć poziom szumu w kanale kwantowym wynikający z grawitacyjnego przesunięcia ku czerwieniCo ciekawe, wartość skumulowanego efektu relatywistycznego (grawitacyjne przesunięcie ku czerwieni + relatywistyczny efekt Dopplera) może prowadzić do błędów w komunikacji kwantowej sięgających ~1% [15]. Taki wkład nie będzie mógł zostać pominięty przy planowaniu przyszłych satelitarnych systemów do kwantowej dystrybucji klucza, podobnie jak uwzględnienie efektów relatywistycznych jest dzisiaj niezbędne do osiągnięcia odpowiednio wysokiej precyzji systemów nawigacji satelitarnej.

Podsumowanie

Kwantowe technologie coraz odważniej wkraczają w świat branży kosmicznej, skutkując kształtowaniem się nowej fascynującej dziedziny – kwantowych technologii kosmicznych. Jako główne praktyczne zastosowania tego kierunku rozwojowego  rysują się obecnie: precyzyjne pomiary czasu (nawigacja), pomiary grawimetryczne oraz komunikacja kwantowa. Ponadto, kosmiczne technologie kwantowe dostarczają narzędzi do prowadzenia nowych eksperymentów w zakresie badań podstawowych takich jak: detekcja fal grawitacyjnych i  wpływ pola grawitacyjnego na zjawiska kwantowe. Szczególnie interesująca jest możliwość urzeczywistnienia wizji satelitarnego internetu kwantowego, który dostarczyłby niepodatnego na kryptoanalizę sposobu wymiany szczególnie wrażliwych informacji. Wprowadzenie takiego rozwiązania stanowiłoby odpowiedź na obecne i przyszłe zapotrzebowanie zarówno cywilne jak i wojskowe. Na drodze do osiągnięcia tego celu stoi wiele wyzwań, zarówno natury technicznej jak i organizacyjnej (m.in. związanej z finansowaniem tak ambitnych przedsięwzięć).  Należy być również świadomym ograniczeń takiego systemu, m.in. wynikających z możliwości zakłócenia jego pracy zarówno poprzez naturalne czynniki atmosferyczne jak i  wywołane celowo, sztuczne, zakłócenia.   

Pozwolę sobie na koniec dodać, że warunki kosmiczne stanowią całkiem dogodne środowisko dla systemów kwantowych. Próżnia kosmiczna dostarcza mianowicie odpowiednią izolację układów kwantowych przed niepożądanym wpływem środowiska (które prowadzi do dekoherencji układów kwantowych). Wiązki fotonów mogą zaś bez przeszkód propagować informację kwantową poprzez przestrzeń kosmiczną. Stwarza to nadzieję na rozwój kwantowych technologii kosmicznym, nie tylko w najbliższym otoczeniu Ziemi ale również w bardziej odległych obszarach. Z teoretycznego punktu widzenia, dopuszczalne jest “rozpięcie” kanału kwantowego chociażby pomiędzy Ziemią (lub orbitą okołoziemską) a Księżycem. Pozwoliłoby to m.in. na pobieranie informacji kwantowej bezpośrednio ze zlokalizowanych na Księżycu sensorów kwantowych i przetwarzanie informacji kwantowej bez konieczności jej “tłumaczenia” na informację klasyczną. Jednym z zastosowań takiego rozwiązania mogłaby być budowa kosmicznych interferometrycznych teleskopów optycznych, wykorzystujących teleportację stanów kwantowych światła [16]. Otrzymana syntetyczna apertura takich teleskopów byłaby nieporównywalna z jakąkolwiek istniejącą obecnie, dając możliwość prowadzenia obserwacji optycznych z niespotykaną rozdzielczością kątową. To oczywiście wciąż jedynie śmiałe pomysły, dopuszczalne jednak przez fizykę i nie aż tak odległe z technicznego punku widzenia. Od nas zależy to czy kiedykolwiek się urzeczywistnią.

Bibliografia

  • [1] https://www.esa.int/Our_Activities/Navigation/Galileo/Galileo_s_clocks
  • [2] V. Menoret et al., Gravity measurements below 10−9 g with a transportable absolute quantum gravimeterScientific Reports  8, Article number: 12300 (2018
  • [3] H. Müntinga et al., Interferometry with Bose-Einstein Condensates in Microgravity, Phys. Rev. Lett. 110 (2013) no.9, 093602 [arXiv:1301.5883]
  • [4] D. Becker et al.Space-borne Bose-Einstein condensation for precision interferometr, Nature 562, 391–395 (2018) [arXiv:1806.06679]
  • [5] S. Dimopoulos, P. W. Graham, J. M. Hogan, M. A. Kasevich and S. Rajendran, Gravitational Wave Detection with Atom Interferometry, Phys. Lett. B 678 (2009) 37 [arXiv:0712.1250]
  • [6] LIGO Scientific Collaboration, Enhanced sensitivity of the LIGO gravitational wave detector by using squeezed states of light, Nature Photonics 7, 613–619 (2013) [arXiv:1310.0383]
  • [7] Sheng-Kai Liao, et al., Satellite-relayed intercontinental quantum network, Phys. Rev. Lett. 120, 030501 (2018) [arXiv:1801.04418]
  • [8] Z. Tang, et al., Generation and Analysis of Correlated Pairs of Photons aboard a Nanosatellite, Phys. Rev. Applied 5 (2016) no.5, 054022 [arXiv:1603.06659]
  • [9] R. Bedington et al.Nanosatellite experiments to enable future space-based QKD missions, EPJ Quantum Technology 2016 3:12
  • [10] E. Kerstel et al.Nanobob: a CubeSat mission concept for quantum communication experiments in an uplink configuration, EPJ Quantum Technology 5, Article number: 6 (2018)  [arXiv:1711.01886]
  • [11] S. P. Neumann et al.Q3Sat: quantum communications uplink to a 3U CubeSat—feasibility & design, EPJ Quantum Technol. (2018) 5: 4 [arXiv:1711.03409]
  • [12] L. Carderaro et al.,  Towards Quantum Communication from Global Navigation Satellite System, Quantum Sci. Technol. 4, 015012 (2019) [arXiv:1804.05022].
  • [13] D. Bouwmeester et al., Exerimental quantum teleportation, Nature 390, 575–579 (1997) [arXiv:1901.11004]
  • [14] J-G Ren et al.Ground-to-satellite quantum teleportation, Nature 549, 70–73 (07 September 2017) [arXiv:1707.00934]
  • [15] D. E. Bruschi, T. Ralph, I. Fuentes, T. Jennewein and M. Razavi, Spacetime effects on satellite-based quantum communications, Phys. Rev. D 90 (2014) no.4, 045041. [arXiv:1309.3088]
  • [16] E. Khabiboulline et al., Quantum-Assisted Telescope Arrays [arXiv:1809.03396]

@ Jakub Mielczarek

 

Kwantowa dystrybucja klucza

W moich wcześniejszych wpisach kilkukrotnie odwoływałem się do kwantowej dystrybucji klucza (KDK), będącej jednym z głównych filarów kryptografii kwantowejMiało to miejsce w kontekście omawiania takich zagadnień jak: kwantowa łączność satelitarna, internet kwantowy oraz bezpieczeństwo kryptowalut (wpisy: Kwantowa łączność satelitarna, Dwanaście technologii jutra i Kryptowaluty-Kwanty-Kosmos). Niniejszy wpis można potraktować jako uzupełnienie techniczne tych rozważań. Poniżej, przedstawię fizyczne podstawy na których opiera się kwantowa dystrybucja klucza oraz omówię, wprowadzony w 1984 roku, protokół Bennetta-Brassard BB84. Jest to najbardziej znany i historycznie pierwszy przykład protokołu KDK opartego na superpozycji kwantowej.  W późniejszych latach, wprowadzono także protokoły oparte na innych własnościach mechaniki kwantowej, m.in. na splątaniu kwantowym (np. protokół E91). Dyskusja szerokiego spektrum rozważanych obecnie protokołów kryptografii kwantowej wykracza poza ramy tego wpisu. Czytelnika zainteresowanego zapoznaniem się z pełniejszym obrazem tematu zachęcam do przestudiowania np. przeglądowego artykułu arXiv:1802.05517. Tytułem wstępu dodam jeszcze, że do zrozumienia niniejszego tekstu przydatna jest znajomość zasad mechaniki kwantowej. Niezapoznanego z nimi Czytelnika zachęcam do przestudiowania mojego wpisu Elementary quantum computing oraz znajdujących się w nim odnośników.

Zacznijmy więc. W największym skrócie, kwantowa dystrybucja klucza pozwala na, jak mówimy, bezwarunkowo bezpieczną wymianę klucza w oparciu o własności mechaniki kwantowej. To w jaki sposób fizyka mikroświata pozwala zapewnić “bezwarunkowe bezpieczeństwo”, postaram się wyjaśnić poniżej.  Jak to również zostanie dokładniej omówione w dalszej części tekstu, przepustowość wykorzystywanych do KDK tzw. kanałów kwantowych nie dorównuje tym osiąganym w klasycznych łączach światłowodowych oraz radiowych. Z tego też powodu, łącza kwantowe wykorzystywane są obecnie do przesyłania sekretnych kluczy, pozwalających zaszyfrować (klasyczną) wiadomość, nie zaś do transmisji samej wrażliwej informacji.  Udostępniony, za pośrednictwem KDK, klucz może być wykorzystany do zaszyfrowania danych np. z użyciem bardzo silnego symetrycznego szyfru AES 256 Przykładową architekturę systemu do kwantowej dystrybucji klucza, zawierającą zarówno kanał kwantowy (do przesyłania klucza) oraz kanał klasyczny (do przesyłania zaszyfrowanych danych oraz informacji pomocniczych), przedstawia rysunek poniżej:

QKD.gif
Przykładowa architektura systemu do kwantowej dystrybucji klucza z kanałem kwantowym oraz kanałem klasycznym.  Źródło

W przypadku kanału klasycznego opartego o łącze światłowodowe, zaszyfrowana informacja przesyłana jest za pomocą światła. Do przesłania klucza poprzez kanał kwantowy również wykorzystywane jest pole elektromagnetyczne. Z tą jednak różnicą, że odbywa się to za pośrednictwem nie klasycznych impulsów  lecz pojedynczych kwantów światła, czyli fotonów. Do zakodowania informacji kwantowej wykorzystywane są zaś stany polaryzacji światła. Przedyskutujmy to bardziej szczegółowo. Mianowicie, światło docierające do nas, na przykład, ze Słońca lub z żarówki nie jest spolaryzowane. Na poziomie klasycznym,  oznacza to, że światło tego typu składa się z fal elektromagnetycznych oscylujących jednakowo we wszystkich kierunkach  prostopadłych do osi propagacji światła.  Żeby dokonać selekcji fal elektromagnetycznych, których wektor natężenia pola oscyluje w wybranym przez nas kierunku, stosujemy polaryzator. Przepuszczając niespolaryzowane światło przez polaryzator liniowy dokonujemy jego polaryzacji.  Jeśli za polaryzatorem liniowym umieścilibyśmy kolejny podobny polaryzator, jednakże z osią polaryzacji ustawioną prostopadle do tej pierwszej, dokonalibyśmy całkowitego wygaszenia światła. Zachęcam do przeprowadzenia tego prostego eksperymentu np. pozyskując dwa polaryzatory liniowe z powierzchni wyświetlaczy ciekłokrystalicznych zepsutego zegarka lub kalkulatorka.

Zgodnie z regułą dodawania wektorów,  każdą falę elektromagnetyczną można zapisać jako sumę dwóch fal elektromagnetycznych, prostopadłych do siebie w płaszczyźnie polaryzacji. Czyli inaczej, każdą polaryzację liniową światła można opisać jako superpozycję dwóch normalnych względem siebie polaryzacji, nazwijmy je horyzontalną H (ang. horizontal) oraz wertykalną V (ang. vertical).

Polar
Polaryzacja światła niespolaryzowanego z wykorzystaniem polaryzatora liniowego.

Przeprowadźmy teraz następujący eksperyment myślowy. Załóżmy, że dysponujemy źródłem światła niespolaryzowanego oraz zestawem płytek półprzepuszczalnych tłumiących światło. Ustawiające je kolejno na osi optycznej, możemy doprowadzić do sytuacji w której  przez zestaw płytek przedostawać się będą jedynie pojedyncze fotony. Możemy w tym miejscu zapytać co się stanie gdy pojedynczy foton napotka polaryzator światła?  Okazuje się, że foton taki z pewnym prawdopodobieństwem może przejść przez polaryzator, jak również z pewnym prawdopodobieństwem może zostać przez niego zatrzymany. Jest to konsekwencją kwantowej natury fotonu, co przejawia się istnieniem fotonu w stanie kwantowym |\Psi \rangle, będącym superpozycją kwantową dwóch polaryzacji, co zapisujemy jako:

|\Psi \rangle = \alpha |H \rangle +\beta |V \rangle,

tak, że |\alpha |^2+|\beta|^2=1. Prawdopodobieństwo znalezienia fotonu w stanie |H \rangle równe jest P(H)=|\alpha|^2, natomiast prawdopodobieństwo znalezienia fotonu w stanie |V \rangle równe jest P(V)=|\beta|^2. Stany bazowe |H \rangle i |V \rangle odpowiadają dwóm prostopadłym względem siebie polaryzacjom. Tak więc, polaryzacja światła ma swoje źródło na poziomie pojedynczych fotonów i związana jest z tym, że są one bezmasowymi bozonami o spinie 1. Dla cząstek takich istnieją dwa możliwe rzuty wektora momentu pędu na kierunek jego propagacji. Te dwa stany tak zwanej skrętności (ang. helicity) fotonów, na poziomie klasycznym, odpowiadają dwóm możliwym polaryzacjom kołowym światła (lewoskrętnej i prawoskrętnej). Stany o polaryzacji lewoskrętnej i prawoskrętnej są superpozycjami stanów o polaryzacji liniowej:

| L \rangle  = \frac{1}{\sqrt{2}}\left(|H \rangle  - i |V \rangle   \right)     oraz   | R \rangle  = \frac{1}{\sqrt{2}}\left(|H \rangle  + i |V \rangle   \right) .

Fakt, że foton jest opisywany przez kwantową superpozycję dwóch stanów bazowych, czyli jego stan należy do dwuwymiarowej przestrzeni Hilberta ma ogromne znaczenie z punktu widzenia kwantowej teorii informacji. A mianowicie, foton może być wykorzystany jako nośnik najmniejszej porcji informacji kwantowej, tak zwanego kubitu. Z tego też powodu możemy utożsamić stany polaryzacji fotonu ze stanami bazowymi kubitu: |H \rangle = |0 \rangle oraz |V \rangle = |1 \rangle. Oznaczmy tę bazę jako \mathcal{B}_1 = \{ |0 \rangle, |1 \rangle \}.

Do przeprowadzenia kwantowej dystrybucji klucza, w ramach protokołu BB84, będziemy potrzebowali wprowadzić jeszcze jedną bazę. Mianowicie, \mathcal{B}_2 = \{ |+ \rangle, |- \rangle \}, gdzie stany bazowe wyrażają się jako  następujące superpozycje:

|+ \rangle =  \frac{1}{\sqrt{2}} \left( | 0 \rangle +| 1 \rangle   \right)   oraz    |- \rangle =  \frac{1}{\sqrt{2}} \left( | 0 \rangle -| 1 \rangle   \right).

Jeśli stany bazowe |0 \rangle i |1 \rangle opisują stany polaryzacji pod kątami odpowiednio 0^{\circ} i 90^{\circ} to stany polaryzacji |+ \rangle i |- \rangle opisują polaryzacje liniowe odpowiednio pod kątami 45^{\circ}  i -45^{\circ}. Warto w tym miejscu również zaznaczyć, że stany |0 \rangle i |1 \rangle są stanami własnymi operatora \hat{Z} do wartości własnych +1 i -1 odpowiednio. Natomiast, stany |+ \rangle i |- \rangle są stanami własnymi operatora \hat{X} odpowiednio do wartości własnych  +1 i -1 (operatory \hat{Z} i \hat{X} odpowiadają macierzom Pauliego \sigma_z i \sigma_x). Wszystkie z wprowadzonych tu stanów bazowych można wytworzyć przepuszczając foton przez polaryzator liniowy ustawiony pod jednym z czterech kątów. Ponadto, powyższy dobór baz nie jest przypadkowy i wynika z faktu, że bazy \mathcal{B}_1 i \mathcal{B}_2 są przykładem tak zwanych wzajemnie nieobciążonych baz (ang. mutually unbiased bases), spełniających warunek:

|\langle \psi | \phi \rangle |^2 = \frac{1}{2},

gdzie | \psi \rangle \in  \mathcal{B}_1 a | \phi \rangle \in  \mathcal{B}_2. Oznacza to, że bazy te wykluczają się w sposób maksymalny, uniemożliwiając jednoczesne wykonywanie pomiarów na kubicie w obydwu bazach. W przypadku fotonu ma to następujące konsekwencje: Jeśli przygotujemy foton np. w stanie bazowym |0 \rangle i przepuścimy go przez analizator polaryzacji pod kątami  0^{\circ} i 90^{\circ} (odpowiadających stanom polaryzacji bazy \mathcal{B}_1), to po przejściu przez taki analizator nie nastąpi zmiana stanu fotonu. Jednakże, jeśli na drodze tego samego fotony umieścimy analizator polaryzacji pod kątami  45^{\circ} i -45^{\circ} (odpowiadających stanom polaryzacji bazy \mathcal{B}_2), to po przejściu przez taki analizator foton  z prawdopodobieństwem 1/2 znajdzie się w stanie o polaryzacji |+ \rangle i z takim samym prawdopodobieństwem w stanie o polaryzacji   |- \rangle.  Jeśli foton ten będziemy chcieli zaś ostatecznie przeanalizować wykorzystując analizator ze stanami polaryzacji odpowiadającymi bazie \mathcal{B}_1 to z prawdopodobieństwem 1/2 zaobserwujemy ten foton w stanie  |0 \rangle i z prawdopodobieństwem 1/2 w stanie |1 \rangle (taki sam wynik uzyskalibyśmy jeśli foton byłbym przygotowany w stanie |1 \rangle). Próba przeanalizowania stanu fotonu we wzajemnie obciążonej bazie wprowadza więc maksymalną niepewność co do stanu początkowego.  Własność  ta znajduje bezpośrednie zastosowanie w protokole BB84.

Przyjdźmy więc do jego omówienia. Rozważamy nadawcę (A) i odbiorcę (B) których zwyczajowo określamy mianem Alicji i Boba.  Alicja ma za zadanie przesłać do Boba klucz (ciąg bitów) wykorzystując stany polaryzacji fotonu. Ma ona do dyspozycji 4 stany polaryzacji fotonu odpowiadające stanom bazowym baz \mathcal{B}_1 i \mathcal{B}_2. Klucz stanowi losowy ciąg binarny 01, który można wygenerować np. wykorzystując kwantowy generator liczb losowych (z artykułu arXiv:1405.0453 można dowiedzieć się jak samemu zbudować taki generator w oparciu o smartfon). Alicja wprowadza następujące kodowanie klasycznych bitów klucza za pomocą kwantowych stanów  polaryzacji fotonu. Mianowicie, stany polaryzacji |0 \rangle i |+ \rangle kodują 0, natomiast stany polaryzacji |1 \rangle i |- \rangle kodują 1. W praktyce, generacja klucza odbywa się przez losowe ustalanie jednej z czterech pozycji polaryzatora Alicji (rysunek poniżej).

qbejE
Przykładowa realizacja protokołu BB84. Źródło

Przesyłane od Alicji spolaryzowane fotony Bob będzie rejestrował za pomocą analizatora który może przyjmować takie same orientacje jak polaryzator Alicji. Stany polaryzatora Alicji nie są publiczne, Bob będzie więc dokonywał analizy polaryzacji fotonów w (wybieranych losowo) bazach \mathcal{B}_1 i \mathcal{B}_2.  Na podstawie swoich pomiarów, odzyska on pewien ciąg bitów. Następnym krokiem jest publiczne ogłoszenie przez Boba stanów analizatora (baz) w których dokonywał on kolejnych pomiarów. Warto tu podkreślić, że oczywiście nie upublicznia on samych wyników pomiarów. W ramach danej bazy możliwe są wciąż dwie wartości bitu, wartość klucza pozostaje więc ukryta. Następuje teraz tak zwane uzgodnienie baz (ang. basis reconciliation). Mianowicie, Alicja informuje Boba które użyte przez niego bazy są zgodne ze stanami polaryzacji w których przygotowała ona sekretny klucz. Zdekodowane przez Boba, dla uzgodnionych baz, wartości bitów stanowią sekretny klucz. Ostatnim etapem protokołu jest zweryfikowanie czy nie nastąpiła próba “podsłuchania” przesyłanych kanałem kwantowym informacji.

Omówienie tej kwestii zacznijmy od wyartykułowania jednej z fundamentalnych własności mechaniki kwantowej. Mianowicie, nie jest możliwe idealne skopiowanie nieznanego stanu kwantowego. Nie jest więc możliwe “podłączenie się” do kanału kwantowego i skopiowanie przesyłanej informacji.  Własność ta jest ucieleśniona w twierdzeniu o zakazie klonowania, którego dowód dla przypadku kubitów przedstawiam poniżej.

Twierdzenie o zakazie klonowania (ang. no-cloning theorem) leży u podstaw bezwarunkowego bezpieczeństwa protokołów kryptografii kwantowej. Mówi ono, że nie jest możliwe wykonanie dokładnej kopii (klonu) nieznanego stanu kwantowego. Sformułowanie tego twierdzenia zawdzięczamy Williamowi Woottersowi oraz Wojciechowi Żurkowi [Ref]. Poniżej przedstawię jego dowód, dla przypadku stanu kubitu.

Rozważmy stan kwantowy |\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle. Naszym celem będzie próba skopiowania tego stanu, czyli chcemy aby pewien inny stan, nazwijmy go  |\Phi \rangle, przetransformować (“nadpisać”) w stan |\Psi \rangle, nie zmieniając jednocześnie stanu  |\Psi \rangle. Rozważamy więc wyjściowo stan będący następujacym iloczynem tensorowym:  |\Psi \rangle \otimes |\Phi \rangle. Ponadto, wprowadźmy (unitarny) operator kopiujący, nazwijmy go  \hat{K}, którego działanie  powinno być następujące: \hat{K}(|\Psi \rangle \otimes |\Phi \rangle)=|\Psi \rangle \otimes |\Psi \rangle, dla dowolnego stanu |\Psi \rangle. Żeby sprawdzić czy jest to możliwe, zadziałajmy najpierw operatorem \hat{K} na stany bazowe  | 0 \rangle i | 1 \rangle. Działanie operatora \hat{K} powinno dawać  \hat{K}(|0 \rangle \otimes |\Phi \rangle)=|0\rangle \otimes |0 \rangle oraz \hat{K}(|1 \rangle \otimes |\Phi \rangle)=|1\rangle \otimes |1 \rangle .  Zakładając, że powyższe jest spełnione, spróbujmy przeprowadzić kopiowanie stanu |\Psi \rangle = \alpha | 0 \rangle + \beta | 1 \rangle. Skorzystamy w tym miejscu z własności liniowości operatorów rozważanych w mechanice kwantowej (czyli np. \hat{O}(|a\rangle+|b\rangle)=\hat{O}(|a\rangle)+\hat{O}(|b\rangle) , dla dowolnych stanów |a\rangle i |b\rangle). W konsekwencji, otrzymujemy:

\hat{K}(|\Psi \rangle \otimes |\Phi \rangle) = \hat{K}((\alpha | 0 \rangle + \beta | 1 \rangle) \otimes |\Phi \rangle) = \alpha \hat{K}(|0 \rangle \otimes |\Phi \rangle)+\beta \hat{K}(|1 \rangle \otimes |\Phi \rangle) = \alpha |0\rangle \otimes |0 \rangle + \beta |1\rangle \otimes |1 \rangle.

Stan końcowy  jakiego jednak oczekiwalibyśmy w wyniku kopiowania (klonowania) to:

|\Psi \rangle \otimes |\Psi \rangle = (\alpha |0\rangle + \beta |1\rangle)\otimes (\alpha |0\rangle + \beta |1\rangle) = \alpha^2 |0\rangle  \otimes|0\rangle + \alpha \beta |0 \rangle  \otimes|1\rangle + \alpha\beta|1\rangle  \otimes|0\rangle + \beta^2 |1\rangle  \otimes|1\rangle,

który jest odzyskiwany tylko w szczególnych przypadkach stanów bazowych,  tzn. kiedy \alpha=1 i \beta=0 lub \alpha=0\beta=1. Powyższa analiza dowodzi tego, że nie jest możliwe skopiowanie nieznanego stanu kubitu. Przeprowadzenie dowodu dla przypadku dowolnego stanu |\Psi \rangle pozostawiam Czytelnikowi jako ćwiczenie.

Pomimo zakazu klonowania stanów kwantowych, istnieją pewne strategie ataków na protokoły kryptografii kwantowej. Np. podsłuchujący (nazwijmy ją Ewa) może ustawić na drodze optycznej fotonu analizator i próbować odczytać pewne bity klucza. Jak to już jednak dyskutowaliśmy powyżej, obecność takiego analizatora w sposób nieodłączny wiąże się z wpłynięciem na stany fotonu. W celu wyeliminowania możliwości podsłuchu, Alicja i Bob porównują publicznie część klucza. Jeśli w wybranym ciągu bitów nie zauważą różnić, mają pewność, że nie nastąpiła próba ataku. Oczywiście, w praktyce mogą występować pewne różnice w ciągu bitów wynikające z występowaniem szumu, generującego pewien poziom błędów. Istnieje jednak metoda dokładnego określenia jaki poziom niezgodności porównywanego ciągu bitów jest dopuszczalny dla zachowania poufności wymiany klucza. Metoda ta opiera się na wykorzystaniu teorii informacji i pozwolę sobie zarysować jej uproszczoną postać. Zacznijmy od odpowiedzi na pytanie jak dużo błędów do odczytywanego przez Boba ciągu bitów będzie wprowadzał ustawiony przez Ewę, na drodze fotonu, analizator. Analizator ten może być dostosowany do bazy \mathcal{B}_1 lub \mathcal{B}_2.  Prosta probabilistyka mówi nam, że prawdopodobieństwo nie zaburzenia przez Ewę pojedynczego bitu przesyłanego klucza wynosi:

P= \frac{1}{2}\cdot \frac{1}{2}+\frac{1}{2}\cdot 1 = \frac{3}{4}.

Czyli, starająca się wykraść sekretny klucz Ewa, w 25 % przypadków wprowadzi błąd do przesyłanego ciągu bitów. Ponadto, ponieważ z prawdopodobieństwem 1/2 analizuje ona foton we właściwej bazie, z takim też prawdopodobieństwem odczyta ona poprawnie wartość przesyłanego bitu. Ponieważ, wyjściowo, nie zna ona ustawień polaryzatora Alicji, nie jest ona jednak w stanie stwierdzić który bit odczytała prawidłowo a który nie. Odkodowania połowy przesyłanych bitów klucza może dokonać jedynie poznawszy (post factum) ustawienia polaryzatora Alicji. Może to więc zrobić dla bitów dla których następuje sprawdzenie klucza przez Alicję i Boba.

Do skwantyfikowania ilości błędów wprowadzanych podczas kwantowej transmisji informacji używa się wielkości zwanej QBER (Quantum Bit Error Rate) – e która zdefiniowana jest jako stosunek liczby kubitów z błędem (N_e) względem całkowitej liczby przesyłanych kubitów N:

e  := \frac{N_e}{N}.

Jeśli przez f \in [0,1] oznaczymy część kubitów analizowanych przez Ewę, to wprowadzany przez Nią QBER wynosi e = \frac{1}{4} f, gdzie czynnik 1/4 wynika z przeprowadzonych powyżej rozważań probabilistycznych. Przywołajmy teraz pojęcie informacji wzajemnej (ang. mutual information), która pozwoli nam skwantyfikować jaka część informacji jest tracona w kanale kwantowym w wyniku ataków Ewy. Jak można pokazać, wzajemna informacja pomiędzy Alicją a Bobem wyraża się jako

I(A : B) = 1 - h(e),  gdzie h(e) = -e \log_2 e - (1-e) \log_2 (1-e)

to tak zwana entropia informacyjna Shannona. Wzajemna informacja pomiędzy Alicją a Ewą wynosi zaś

I(A : E) = \frac{1}{2}f = 2e,

co wynika z faktu, iż Ewa (znając położenie polaryzatorów Ewy) jest w stanie teoretycznie odzyskać wartości połowy “podsłuchiwanych” przez Nią bitów. Jeśli informacja w układzie Alicja-Ewa I(A : E) zaczyna być większa niż pomiędzy Alicją i Bobem I(A : B), przesyłanie klucza przestaje być bezpieczne. Na tej podstawie, rozpatrując warunek graniczny I(A : E)=I(A : B), otrzymujemy, że (przy powyższych założeniach) bezpieczeństwo kwantowej dystrybucji klucza zapewnione jest jeśli poziom błędów e jest mniejszy niż około 17 \%Jeśli, porównując wybrane bity klucza, Alicja i Bob zanotują różnicę na wyższym poziomie, nie można zaakceptować przesyłanego klucza  i należy powtórzyć całą procedurę.   

Przeprowadzona powyżej analiza ma znaczenie praktyczne i znajduje zastosowanie w istniejących systemach do kwantowej dystrybucji klucza. Na rynku istnienie obecnie kilka zestawów które pozwalają przeprowadzić KDK wykorzystując protokoły oparte na superpozycji kwantowej. Na rysunku poniżej przedstawiono przykładowy zestaw wykorzystujący zmodyfikowaną wersję protokołu BB84, tzw. protokół T12

ToshibaQKD
Przykładowy dostępny komercyjnie zestaw do kwantowej dystrybucji klucza. Źródło

Do przesyłania fotonów, dostępne komercyjnie systemy kryptografii kwantowej stosują światłowody. Niepożądaną cechą takiego rozwiązania jest jednak wykładnicze tłumienie natężenia światła w funkcji przebytego przez światło dystansu. Z uwagi na twierdzenie o zakazie klonowania oraz na fakt posługiwania się w kwantowej dystrybucji klucza pojedynczymi fotonami, nie jest możliwe stosowanie klasycznych wzmacniaczy sygnału.  Dlatego też, kwantowa dystrybucja klucza za pośrednictwem światłowodów jest dzisiaj ograniczona do odległości poniżej około 400 km.

BitRate
Wykładniczy zanik przepustowości kwantowej dystrybucji klucza w funkcji odległości. Źródło

Wraz z długością linii transmisyjnej spada jej przepustowość.  Na bardzo krótkich dystansach osiągane są obecnie wartości około 10 Mb/s (arXiv:1807.04484). Na odległościach rzędu 50 km wartość ta spada już do około 1 Mb/s. Natomiast, nieubłagana natura zaniku eksponencjalnego sprawia, że na dystansach około 400 km KDK można przeprowadzać w tempie jedynie około 1 bitu na sekundę (co jest wielkością niepraktyczną).

Możliwym rozwiązaniem dla powyższych trudności jest stosowanie powielaczy kwantowych (ang. quantum repeater). Są to jednakże bardzo złożone systemy, będące wciąż w fazie badań.  Dużo bardziej obiecującym rozwiązaniem jest wykorzystanie faktu jedynie odwrotnego z kwadratem odległości zaniku natężenia światła w próżni, oraz dużo słabszego niż w ciele stałym tłumienia fotonów w gazach. Rozwiązanie to wiąże się z wykorzystaniem przestrzeni kosmicznej do przeprowadzenia kwantowej dystrybucji klucza. Możliwość taka została pomyślnie potwierdzona eksperymentalnie na skalach międzykontynentalnych w 2017 roku z wykorzystaniem protokołu BB84. Zagadnienie to opisuję bardziej szczegółowo we wpisie Kwantowa łączność satelitarna.

© Jakub Mielczarek