Next: Náhodné jevy
Up: Kvantové algoritmy
Previous: Shorův faktorizační algoritmus
  Obsah
K tomu, abychom odvrátili nebezpečí prolomení současných šifrovacích schémat
pomocí kvantových počítačů, je nutné soustředit se na takové problémy, jejichž
složitost není potenciální existencí kvantového počítače tak degradována,
jako je tomu v případě faktorizační úlohy.
Kromě hledání nových matematických problémů máme v případě kvantové
mechaniky možnost využít přímo také problémů spojených s vlastním chováním
kvantových systémů. Místo abychom tak použili některý z matematických problémů,
o kterém se domníváme, že je se současným technickým vybavením neschůdný,
opřeme bezpečnost konstruovaného mechanizmu o nějaký fyzikální děj, o kterém
z kvantové teorie víme, že nemůže nastat. Toto nám na první pohled nabízí
vyšší úroveň bezpečnosti než klasický matematický přístup, neboť je to sama
příroda a její elementární zákony, které ručí za neprolomitelnost takového
mechanizmu.
Na druhou stranu však musíme být v takových přístupech velmi obezřetní,
protože je nutné důsledně rozlišit děje, které nejsou v přírodě možné z
principu od dějů, které jsou sice možné, ale které nejsme zatím schopni
technologicky realizovat. Toto je jistě nelehký úkol, který před sebou
má teprve se rozvíjející oblast kvantové kryptografie.
Jako příklad zmíněného mechanizmu si zde uvedeme protokol, který
v roce 1984 navrhli Charles Bennett a Gilles Brassard. Jejich protokol (BB84)
využívá v zásadě dvou kvantových poznatků: teorému o klonování kvantových
stavů a nemožnosti měření určitých párů veličin současně. Je nutné uvést,
že protokol řeší pouze nejcitlivější místo utajené komunikace. A sice
výměnu klíčů bez použití důvěryhodné osoby, která by klíče
oběma stranám doručila. Pokud jsme totiž schopni (kvantově-) bezpečně
distribuovat klíč, pak nám nic nebrání v tom, abychom jako komunikační schéma
použili některý z klasických algoritmů (nenapadnutelných kvantovým počítačem),
jako je například dříve zmíněný One-time pad.
Aby bylo možné protokol BB84 popsat, je nutné nejprve navrhnout nějaké vhodné
technické řešení komunikace mezi oběmi stranami. Již víme, že pro kódování
kvantových stavů můžeme kromě spinu použít i jiné dvoustavové kvantové
systémy. U protokolu BB84 se nám bude dobře hodit polarizace fotonů.
Polarizací mohou být v zásadě dva druhy. Jedna je lineární, u níž
světlo kmitá vždy v jedné rovině, která může být vzhledem k nějaké referenční
rovině stočená o určitý úhel. Druhou je kruhová, při níž fotony
rozlišujeme podle frekvence rotace vektoru elektrického pole v rovině kolmé
na směr šíření. Podle směru rotace rozlišujeme mezi pravo- a levotočivou
kruhovou polarizací. My si vybereme například lineární polarizaci. Nyní
předpokládejme, že Alice a Bob se domluví na způsobu, kterým si budou bity
posílat. Za prvé si určí dvě polarizační báze, tj. roviny, ve kterých mohou
fotony kmitat. Jedna je vertikálně-horizontální (rektilineární) odkloněná od
vodoroviny o
nebo
. Druhá - diagonálně-antidiagonální -
definuje fotony, které oscilují v rovinách stočených o
nebo
. Aby se dalo mezi bity rozlišit, je potřeba definovat, který foton
bude představovat 1, a který 0. Podle obrázku můžeme například říci, že
1 bude
a
(
a
), 0 pak
nebo
(
a
). Shrňme tedy, že máme 2 polarizační báze
a celkem 4 různé polarizace fotonů.
Obrázek:
Měřící báze: Na obrázku jsou znázorněny polarizační báze
pro bit 1 a
,
pro 0. Symbolicky jsou tyto údaje shrnuty v tabulce.
|
Měření se v praxi provádí za použití
krystalu CaCO
, který nechává horizontálně polarizované fotony projít přímo
skrz, kdežto vertikálně polarizované odklání mimo osu příchozích fotonů.
Diagonálně polarizované fotony se s poloviční pravděpodobností odkloní
(a jejich polarizace se změní na vertikální) a s poloviční projdou přímo
(a kmitají horizontálně). Proto nám měření v diagonální bázi neřekne nic
o směru polarizace rektilineárních fotonů. Pokud bychom měřící krystal
stočili o
pro měření diagonální polarizace, vstoupí stejný prvek
náhody do měření rektilineárních fotonů. Jinými slovy jsou obě měřící báze
k sobě komplementární a žádné měřící zřízení proto nemůže bez narušení
stavu fotonu změřit současně jeden foton v obou bázích. To koresponduje
se závěry Heisenbergova principu neurčitosti, který říká, že určité páry
veličin nelze přesně měřit současně.
Vysvětleme si nyní, proč tomu tak je.
Jak víme, je akt měření kvantového systému vyjádřen transformační Hermitovou
maticí, která zachovává vlastní stav a násobí jej reálným číslem (vlastní
hodnotou, tzv. eigenvalue). Obecně bychom napsali, že
. Řekněme, že
kvantový systém je v jednom z vlastních stavů matice
.
Pokud provedeme s tímto operátorem měření, systém ve vlastním stavu zůstane.
Pokud ale budeme měřit takový systém operátorem pro jinou veličinu, například
operátorem
, pak systém nepředvídatelně (dle amplitud)
přejde do jednoho z vlastních stavů popsaných operátorem
.
Pokud provedeme měření s operátory v opačném pořadí, změní se stav systému
dvakrát (z původního souvisejícím s maticí
na stav
související s
a zpět). Tato závislost na pořadí měření
je odražena v komutátoru dvou veličin (jakémsi rozdílu měření veličin
v obou pořadích), který je roven
Zde se dostáváme zpět k fotonům a jejich měření. Pokud definujeme operátory
měření v obou bázích jako
kde hodnoty
odpovídají pozorování fotonů odkloněných či prošlých přímo,
pak komutátor zkonstruovaný ve stejné bázi není roven nule. (Stejné báze se
docílí otočením jednoho operátoru o
pomocí rotace U.)
Z toho plyne závěr, že nelze měřit přesně v obou bázích zároveň.
V kvantově-kryptografické praxi to znemožňuje potenciální odposlouchávací
osobě (obvykle Evě - eavesdropper) na kanále s jistotou určovat
hodnoty bitů vysílací strany, pokud se obě strany domluví na použití dvou
polarizačních bází. Navíc je Eva omezena teorémem o klonování kvantových stavů.
Ten říká, že neznámý kvantový stav není možné klonovat (tj. v Hilbertově
prostoru neexistuje pro jedno-qubitový stav
unitární transformace
U taková, že
U
). Myslí se tím to, že
si Eva nemůže před měřením stav fotonu zkopírovat a mít tak jeden pro
poslání cílové komunikační straně a druhý - identický - pro své měření.
To by samozřejmě znamenalo neschopnost její detekce.
Uvažujme nyní situaci, kde Alice je odesílatel a Bob příjemce zprávy.
Nejprve si rozeberme jednoduchý příklad, kdy Alice používá pro všechny
zaslané bity pouze jednu náhodně zvolenou polarizační bázi, o které Bob ví.
Bob takto dokáže jednoznačně určit (v ideálním případě) všechny bity, které
k němu doputovaly. Pokud ale bude náhodou na kanále odposlouchávat Eva,
je zde 50% šance (v případě, že Eva uhodne polarizační bázi), že
budou data kompromitována. Takové schéma je dosti naivní a je třeba jej
patřičně vylepšit. Pojďme si proto popsat, jak funguje protokol BB84.
Alice chce Bobovi zaslat klíč, kterým by oba později chtěli posílat utajená
data. Proto si na své straně Alice nejprve vygeneruje náhodnou sekvenci
bitů. Ty začne postupně posílat kvantovým kanálem Bobovi. To ale provádí
tak, že opět náhodně mění polarizační bázi na své straně a posílá tak
každý foton v jedné ze 4 možných polarizací. Bob tentokrát neví, kterou
bázi má použít a proto náhodně střídá báze a provádí na fotonech měření
polarizace. Průměrně v 50% případů je úspěšný a trefí se do stejné báze,
v jaké daný foton Alice odeslala. Nyní nastupuje fáze, kdy si Bob a Alice
veřejným kanálem sdělí, v jakých bázích měřili. U těch bází, v nichž se shodli,
je zaručeno (pokud nedošlo k chybám na kanále), že Bob odečetl hodnotu fotonu
správně. Dále je část těchto správných bitů porovnáním obětována ke
zjištění možného odposlechu. Pokud totiž na kanále odposlouchává Eva, potom
neví, kterou bázi má k měření použít a tudíž své měřící báze střídá. To ale
způsobuje, že musí někdy posílat Bobovi foton polarizovaný v jiné bázi než
poslala Alice. Z toho plyne, že v případě, že Bob náhodou použije stejnou bázi
jako Alice, může s pravděpodobností 25% naměřit jinou polarizaci, než Alice
poslala a odhalit tak Evu. Celá věc by se měla objasnit z následujícího
příkladu:
Tato tabulka obsahuje pouze výřez ze všech možností, které mohou nastat.
Předpokládejme, že Alice i Bob měří ve správných polarizačních bázích
a odposlouchávající Eva zkouší nastavit svůj detektor ve směrech
nebo
. Každý z těchto směrů představuje 50% případů v uvedené konfiguraci
Alice a Boba. V prvním sloupci Eva získá správnou informaci a není přitom
odhalena. Ve druhém až pátém sloupci (zbylých 50% případů) nezíská Eva nikdy
správnou hodnotu polarizace (protože měří v jiné bázi) a navíc je porovnáním
výsledků mezi Alicí a Bobem ve dvou z těchto čtyř případů (tj. v polovině z
poloviny všech případů = 25%, viz třetí a pátý sloupec zleva) odhalena.
To však bohatě postačuje k tomu, aby bylo srovnáním dostatečného počtu bitů
její odposlouchávání potvrzeno. Čím více bitů je srovnáno (a tím i obětováno),
tím větší je pravděpodobnost, že bude Eva odhalena. Jestliže je pravděpodobnost
odhalení Evy u jednoho bitu 1/4, pak pro
bitů je to
. Vidíme,
že tato funkce roste exponenciálně k 1. To znamená, že můžeme s libovolnou
přesností určit přítomnost Evy. Už pro pouhých 20 testovaných bitů je
pravděpodobnost odhalení asi 99,7%. Po dokončení komunikace jsou zbylé
neobětované bity použity jako klíč pro následnou tajnou komunikaci, která může
používat klasická kryptoschémata. Protokol BB84 je vhodné shrnout do
následujícího příkladu:
a) |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
0 |
1 |
0 |
1 |
0 |
0 |
1 |
b) |
 |
+ |
 |
+ |
+ |
+ |
 |
 |
 |
+ |
+ |
 |
+ |
 |
c) |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
d) |
+ |
+ |
+ |
 |
 |
+ |
 |
+ |
 |
+ |
 |
+ |
+ |
 |
e) |
0 |
1 |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
0 |
1 |
f) |
|
OK |
|
|
|
OK |
OK |
|
OK |
OK |
|
|
OK |
OK |
g) |
|
1 |
|
|
|
|
1 |
|
|
|
|
|
0 |
|
h) |
|
OK |
|
|
|
|
OK |
|
|
|
|
|
OK |
|
i) |
|
|
|
|
|
1 |
|
|
1 |
0 |
|
|
|
1 |
|
a) Alice generuje náhodně sekvenci bitů. b) Potom si náhodně zvolí polarizační báze c) a kóduje bity do polarizace fotonů. d) Bob si na příjmu také náhodně volí báze, e) aby v nich naměřil hodnoty bitů. f) Veřejným kanálem si obě strany porovnají báze, v nichž měřili. g) Některé bity obětují k odhalení Evy. h) Protože Eva není přítomna (jinak by asi 1/4 bitů pozměnila), i) je uznán kanál za bezpečný a zbylé neodtajněné bity tvoří klíč.
Závěrem řekněme, že na rozdíl od prolamování současných šifer Shorovým
algoritmem, je kvantová kryptografie dnes již laboratorně zvládnutelným
principem, i když se pokusy pohybují na hraně technologických možností
(ať již jde o přípravu jediného fotonu nebo realizaci založenou na
posouvání fáze fotonů podobně jako u kvantového interferometru).
Většinou se pro kvantový kanál používá optické vlákno,
kterým se posílají jednotlivé fotony. I přes obtížnosti, které konstrukce
použitelného kanálu klade, se již podařilo s rychlostmi několika desítek bitů
za sekundu na vzdálenosti řádově desítek kilometrů klíč přenést. Přenos na
větší vzdálenosti (přes
50 km) zatím představuje kvůli nemožnosti
použití zesilovačů problém.
Next: Náhodné jevy
Up: Kvantové algoritmy
Previous: Shorův faktorizační algoritmus
  Obsah
Bashar
2001-01-23