На чем базируется теория квантовой криптографии
Действительно ли надёжна квантовая криптография?
Тысячи лет лучшие умы человечества изобретают способы защитить информацию от чужих глаз, но каждый раз находится способ раскрыть тайну шифра и прочитать секретные документы. Очередным святым Граалем криптографов всего мира стала квантовая криптография, в рамках которой информация передаётся с помощью фотонов. Фундаментальные свойства фотона как квантовой частицы таковы, что измерение характеристик неизбежно меняет его состояние. Другими словами, невозможно тайком перехватить информацию, передаваемую по квантовому каналу, потому что это изменит её. Или всё-таки возможно?
Принципы работы квантовой криптографии
Впервые идею использования квантовых объектов для защиты информации высказал Стивен Визнер в 1970 году. Он придумал идею банкноты с квантовой защитой, которые нельзя подделать. Прошло много времени с тех пор, но никто так и не придумал способ разместить на купюрах квантовые объекты, однако идея, которой Визнер поделился со своим бывшим однокурсником Чарльзом Беннетом, через несколько лет превратилась в способ защиты информации, получивший название квантовой криптографии.
Шифрование с одноразовым квантовым шифр-блокнотом
В 1984 году Беннет совместно с Жилем Брассардом из Монреальского университета доработали идею Визнера для передачи зашифрованных сообщений с помощью квантовых технологий. Они предложили использовать квантовые каналы для обмена одноразовыми ключами шифрования, причём длина таких ключей должна была быть равной длине сообщения. Это позволяет передавать зашифрованные данные в режиме одноразового шифр-блокнота. Такой способ шифрования обеспечивает математически доказанную криптостойкость, то есть устойчив к взлому при неограниченных вычислительных возможностях взломщика.
В качестве квантовой частицы для передачи информации решили использовать фотон. Его можно было легко получить с помощью имеющегося оборудования (лампы, лазеры и т.п.), и его параметры вполне поддавались измерению. Но для передачи информации требовался способ кодирования, позволяющий получить нули и единицы.
В отличие от обычной электроники, где нули и единицы кодируются в виде разных потенциалов сигнала либо в виде импульсов определённого направления, в квантовых системах такое кодирование невозможно. Требовался параметр фотона, который можно задать при его генерации, а затем с нужной степенью достоверности измерить. Таким параметром оказалась поляризация.
Сильно упрощая, поляризацию можно рассматривать как ориентацию фотона в пространстве. Фотон может быть поляризован под углами 0, 45, 90, 135 градусов. С помощью измерения у фотона можно различить только два взаимно перпендикулярных состояния или базиса:
Отличить горизонтальный фотон от фотона, поляризованного под углом 45 градусов, невозможно.
Эти свойства фотона легли в основу протокола квантового распределения ключей BB84, разработанного Чарльзом Беннетом и Жилем Брассардом. Информация при его применении передаётся через поляризованные фотоны, в качестве нуля или единицы используется направление поляризации. Защищённость системы гарантирует принцип неопределённости Гейзенберга, в соответствии с которым две квантовые величины не могут быть одновременно измерены с необходимой точностью: чем точнее измеряется одна характеристика частицы, тем менее точно можно измерить вторую. Таким образом, если кто-то попробует перехватить ключ во время его передачи, легитимные пользователи узнают об этом.
В 1991 году Артур Экерт разработал алгоритм E91, в котором квантовое распределение ключей производилось с использованием квантовой запутанности — явления, при котором квантовые состояния двух или большего количества фотонов оказываются взаимозависимыми. При этом если один из пары связанных фотонов имеет значение 0, то второй однозначно будет равен 1, и наоборот.
Разберёмся, как генерируется ключ шифрования в квантовой криптосистеме. Будем считать, что отправителя информации зовут Алисой, получателя — Бобом, а подслушать их разговор пытается Ева.
В соответствии с протоколом BB84 секретный ключ генерируется следующим образом:
Если Ева попытается перехватить секретный ключ, ей нужно будет измерить поляризацию фотонов. Не зная правильного базиса для каждого измерения, Ева получит неверные данные, а поляризация фотона изменится. Эту ошибку сразу заметят и Алиса, и Боб.
Поскольку искажения в квантовую систему может внести не только шпион, но и обычные помехи, необходим способ достоверно выявить ошибки. В 1991 году Чарльз Беннет разработал алгоритм выявления искажений в данных, передаваемых по квантовому каналу. Для проверки все передаваемые данные разбиваются на одинаковые блоки, затем отправитель и получатель различными способами вычисляют чётность этих блоков и сравнивают полученные результаты.
В реальных квантовых криптосистемах взаимодействие между абонентами происходит по оптоволокну, при попадании света в оптоволокно поляризация необратимо нарушается. Поэтому коммерческие установки, о которых мы расскажем немного позже, используют другие способы кодирования битов.
Например, компания ID Quantique использует для кодирования битов фазы света:
Практические реализации
В 1989 году Беннет и Брассард построили в Исследовательском центре компании IBM установку для проверки своей концепции. Установка представляла собой квантовый канал, на одном конце которого был передающий аппарат Алисы, на другом принимающий аппарат Боба. Устройства размещались на оптической скамье длиной около 1 м в светонепроницаемом кожухе размерами 1,5 × 0,5 × 0,5 м. Система управлялась с помощью компьютера, в который были загружены программные представления легальных пользователей и злоумышленника.
С помощью установки удалось выяснить, что:
В 2001 году был разработан лазерный светодиод, который позволял испускать единичные фотоны. Это позволило передавать поляризованные фотоны на большее расстояние и увеличить скорость передачи. В ходе эксперимента, изобретателям нового светодиода Эндрю Шилдсу и его коллегами из TREL и Кембриджского университета удалось передать ключ со скоростью 75 кбит/с, хотя более половины фотонов терялись в процессе передачи.
В 2003 году к исследованиям в сфере квантовой криптографии присоединилась Toshiba. Первую систему компания представила в октябре 2013 года, а в 2014 удалось добиться стабильной передачи квантовых ключей по стандартному оптоволокну в течение 34 дней. Максимальное расстояние передачи фотонов без повторителя составляло 100 км. Проверить работу установки в течение долгого времени было важно потому, что уровень потерь и помех в канале мог меняться под воздействием внешних условий.
Проблемы квантовой криптографии
Ограничениями первых реализаций квантовых систем шифрования были небольшая дальность передачи и очень низкая скорость:
Для решения этой проблемы разрабатываются квантовые повторители — устройства, которые позволяют восстановить квантовую информацию, не нарушая её целостности. Один из способов реализации таких повторителей базируется на эффекте квантовой запутанности. Но максимальное расстояние, на котором удаётся сохранить эффект запутанности, на сегодняшний день ограничено 100 км. Дальше в дело вступают всё те же шумы: полезный сигнал просто теряется в них. А в отличие от обычных электромагнитных сигналов усилить или отфильтровать фотоны невозможно.
В 2002 году был обнаружен эффект, который назвали квантовым катализом. В эксперименте, который проводила исследовательская группа под руководством Александра Львовского, удалось создать условия, при которых восстанавливалась запутанность квантовых состояний света. Фактически учёные научились «запутывать» фотоны, утратившие квантовую спутанность из-за долгого пути в оптоволокне. Это позволяет получать устойчивую связь на больших расстояниях при незначительном снижении скорости передачи.
Ещё одна проблема квантовой криптографии — это необходимость создания прямого соединения между абонентами, ведь только такой способ взаимодействия позволяет организовать защищённое распределение ключей шифрования. Стоимость квантовых систем на сегодняшний день составляет десятки и сотни тысяч долларов, так что разработчики коммерческих решений предлагают технологию квантового распределения ключей в виде сервиса, ведь большую часть времени оптические каналы простаивают.
Сеансовый ключ в этом случае формируется из двух частей: первую — мастер-ключ — формирует клиент с помощью средств традиционной криптографии, а вторую — квантовую — генерирует система квантового распределения ключей. Итоговый ключ получается путём побитовой операции XOR этих двух частей. Таким образом, даже если хакеры смогут перехватить или взломать мастер-ключ клиента, данные останутся в безопасности.
Уязвимости квантовой криптографии
Хотя квантовое распределение ключей позиционируется как неуязвимое для взлома, конкретные реализации таких систем позволяют провести успешную атаку и похитить сгенерированный ключ.
Приведём некоторые разновидности атак на криптосистемы с протоколами квантового распределения ключа. Некоторые атаки носят теоретический характер, другие вполне успешно применяются в реальной жизни:
Группа Макарова продемонстрировала атаку на системах квантового шифрования производства ID Quantique и MagiQ Technologies. Для подготовки успешного взлома были использованы коммерческие экземпляры систем. Разработка атаки заняла два месяца.
Выявленная уязвимость, несмотря на свой критический характер, относится не к технологии как таковой, а к особенностям конкретной реализации. Устранить возможность такой атаки можно, установив перед детекторами получателя источник единичных фотонов и включая его в случайные моменты времени. Это позволит удостовериться, что детектор работает в квантовом режиме и реагирует на отдельные фотоны.
Сколько это стоит, работает ли в реальности и кому это нужно?
Когда речь заходит о сферах, где требуется настоящая секретность, в расчёт не принимаются такие мелочи, как стоимость, ограничения на расстояние и скорость передачи.
Востребованность квантовой криптографии в военных, государственных и финансовых секторах привела к тому, что исследовательские группы получают серьёзное финансирование, а разрабатываемые ими промышленные установки не только продаются, но и внедряются в реальное использование.
Система квантового распределения ключей. Источник: Toshiba
Новейшие образцы коммерческих систем квантовой криптозащиты имеют дальность действия более 1000 километров, что позволяет использовать их не только в пределах одной страны, но и для организации защищённых коммуникаций на межгосударственном уровне.
Внедрение установок для квантовой криптографии в массовое производство приводит к удешевлению. К тому же производители разрабатывают различные решения для того, чтобы увеличить доступность квантовой криптографии и уменьшить её стоимость в расчёте на абонента.
Например, система квантового распределения ключей производства Toshiba позволяет соединить только две точки на расстоянии до 100 км. Но при этом устройство позволяет одновременно использовать квантовую криптографию 64 абонентам.
Несмотря на ограничения квантовая криптография имеет несомненное преимущество перед традиционной, поскольку обладает доказанной криптографической стойкостью. Однако, как показывает практика, доказанная стойкость — свойство теоретических моделей, концептов, но не конкретных реализаций. Разработанные способы атак на конкретные системы квантового распределения ключей лишают квантовую криптографию этого преимущества, поскольку никто не может гарантировать, что очередная квантовая криптоновинка не окажется уязвима для какой-либо атаки по сторонним каналам.
С другой стороны, квантовые криптосистемы могут генерировать действительно случайный закрытый ключ. Расшифровать данные, зашифрованные на этом ключе, можно только если угадать ключ. Это позволяет защитить информацию на долгие годы, выбрав квантовый ключ достаточной длины.
Некоторые факты, подтверждающие перспективность квантовой криптографии как технологии:
Быстрый прогресс, который наблюдается в области квантовой криптографии, не оставляет сомнений в том, что в ближайшее десятилетие использование этой технологии станет массовым и фактически превратится в стандарт. А криптографам и криптоаналитикам придётся готовиться к очередному витку сражения за защиту информации.
Возможно, следующим несокрушимым рубежом станет криптография, основанная на теории решёток (Lattice-based Cryptography), которая неуязвима для квантовых компьютеров и может успешно работать даже на устройствах со слабыми процессорами. В любом случае многообразие вариантов непробиваемой защиты информация пойдёт на пользу конечным пользователям.
Квантовая криптография: простейшие протоколы и чуть-чуть криптоанализа
Введение
Азы квантовой механики
Не будем вдаваться в подробности, а просто сформулируем основные утверждения. Начнем с принципа неопределенности. Он гласит, что некоторые физические величины вместе абсолютно точно не измеряются. Приведем в пример импульс и координату частицы: если поместить частицу в прибор точно измеряющий координату (например он показал 
),а потом в прибор точно измеряющий импульс, то второй прибор выдаст случайное число(пусть это число 
, т.е.
). Важный момент: раньше это была частица с координатой 
, теперь это частица с импульсом 
. Если ее поместить обратно в прибор измеряющий координату, он выдаст случайное число.
Теперь перейдем к поляризациям (нам неважно знать что это такое, будем считать ее просто физической величиной, характеризующей частицу). У одной поляризации есть два взаимно перпендикулярных направления, и зная какая поляризацию, мы можем эти направления определить. Пусть у нас есть две поляризации 
и 
(значками показано направление поляризации),у каждой соответственно по 2 состояния. Принцип неопределенности гласит, что не существует прибора, который смог бы различить все 4 состояния. Есть только два отдельных прибора, один различает состояния 
, второй 
. На этом факте и основан протокол BB84.
Протокол BB84
Выпишем наш словарь:
1) _+ = |\rightarrow>» alt=»|0>_+ = |\rightarrow>» src=»https://habrastorage.org/getpro/habr/upload_files/cf1/fe5/550/cf1fe55508ecd46e1dea50c449951867.svg»/> (индексом обозначен базис квантового состояния)
2) _+ = |\uparrow>» alt=»|1>_+ = |\uparrow>» src=»https://habrastorage.org/getpro/habr/upload_files/76e/086/3fc/76e0863fc2b998e60728bbd791bc3ec3.svg»/>
3) _\times = |\nearrow>» alt=»|0>_\times = |\nearrow>» src=»https://habrastorage.org/getpro/habr/upload_files/3c3/946/0cb/3c39460cb76c92b100229881f5390b30.svg»/>
4) _\times = |\searrow>» alt=»|1>_\times = |\searrow>» src=»https://habrastorage.org/getpro/habr/upload_files/d35/cfb/54f/d35cfb54fe8a5fbe3bceeb0c2af4bc39.svg»/>
рис.1
На рисунке 1 показана схема передачи.
Случайно выбирает базис и бит (0 или 1). Отправляет последовательность 0 и 1 в соответствующих базисах Бобу
Получает бит и, чтобы его расшифровать, случайно выбирает базис в котором будет измерять поляризацию. Если он угадал базис, то он получил верный бит, если нет, то он не знает никакой информации о переданном бите. Аналогично со следующими битами информации
После сеанса передачи Алиса и Боб созваниваются по открытому каналу. Далее Боб спрашивает у Алисы по каждому переданному биту правильно ли он выбрал базис (сам бит не называет). Если выбранные Бобом и Алисой базисы совпадают, то бит успешно передан, если нет, то отбрасывается. В процессе передачи данных, бит мог «испортится» (при применении верной поляризации получается неправильный бит). Это может произойти например из-за активной атаки Евы или же из-за особенностей квантового канала. При просмотре бита неверной поляризацией, его поляризация изменяется и невозможно вычислить его изначальное состояние. Для проверки количества ошибок Алиса и Боб раскрывают часть неверных битов. В протоколе BB84 критической величиной ошибок является 11% [10], это значит что Ева пыталась перехватить сообщение. В таком случае перепроверяют квантовый канал и начинают заново.
Рассмотрим возможные действия Евы. Она может пытаться перехватывать биты через квантовый канал: так же как Боб случайно выбирать поляризацию. Однако ей это не сильно поможет прочитать сообщение, она, в отличие от Боба, не может переговариваться с Алисой для выбора нужных позиций битов(вероятность, того что она будет выбирать ту же поляризацию, что и Боб крайне мала для длинных последовательностей). При, этом в случае неправильно угаданных поляризаций, она будет «портить» биты. Боб и Алиса будут знать: их сообщения пытаются перехватить. Теперь пусть Ева дополнительно активно атакует классический канал (активно, то есть не просто подслушивает, а еще может менять информацию). Тогда она может представиться Алисе Бобом, прочитать сообщение, а после стать Алисой для Боба и передать сообщение дальше. В таком случае Ева прочитает секретное сообщение, а Алиса и Боб ничего не заподозрят.
Из рассмотренного выше следует, что для надежности передачи информации нужно предъявить определенные требования к каналам связи:
1)Информацию из квантового канала можно менять, но нельзя подслушать.
2)Информацию из классического канала можно прослушивать, но ни в коем случае нельзя менять.
КРК основанное на ЭПР
Создает ЭПР пары фотонов, одну частицу из каждой пары оставляет себе, вторую отправляет Бобу. Она случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.
Случайно измеряет поляризацию каждой частицы либо в круговом, либо в линейном базисе и записывает каждое измерение.
После этого Алиса и Боб созваниваются по открытому каналу и смотрят, какие поляризации у них совпали, а потом конвертирует их в последовательность 0 и 1.
Объясним в чем отличие этих двух протоколов. В BB84 состояния передаются по квантовому каналу от Алисы к Бобу. В BB84 ключ полностью защищен только при создании, а после его приходится хранить классическим образом. В ЭПР Алиса может отправить вторую запутанную частицу Бобу, а потом они их могут хранить до непосредственного использования ключа в квантово защищенном режиме.
Криптоанализ и безопасность КРК
Рассмотрим более подробно защищенность квантового распределения ключей.
Теорема 1 Если
1) квантовая механика верна
2) аутентификация безопасна
3) устройства достаточно безопасны,
то с большой вероятностью ключ, установленный квантовым распределением ключей, является случайным секретным ключом независящим от входных значений.
Предположение 1 Квантовая механика верна. Это предположение требует, чтобы любой перехватчик был ограничен законами квантовой механики. В частности, мы позволяем перехватчику технологию квантовых вычислений, гораздо мощнее нынешнего.
Предположение 2 Аутентификация безопасна. Это предположение является одной из самых проблемных в квантовой криптографии. Это предположение необходимо для защиты от атаки злоумышленника на классический канал связи.
Проиллюстрируем важность третьего предположения. Скрытое устройство связи может быть спрятано внутри оборудования, рассмотрим, как пример, оптоволоконные модуляторы фазы ниобата лития, использующиеся во многих схемах КРК. Модуляторы ниобата лития поставляются с завода в герметичной коробке. Эта запечатанная коробка a) имеет полную информацию о значениях битов в настройке Алисы (базисы, несущие напряжение модуляции, значения битов подаются непосредственно на его разъемы); б) имеет доступ к оптоволоконному каналу; в) имеет значительную электрическую мощность г) не может быть вскрыт для проверки без нанесения вреда устройству. Это позволяет скрыть «жучок» внутри нормально функционирующего фазового модулятора, который будет сообщать бит значения через оптоволоконный канал и управляться через оптоволоконный канал.
Безопасность протокола BB84 для идеального случая доказана Майерсом [7], а так же многими другими. Для идеальной модели количество битов окончательного секретного ключа на бит просеянного ключа. Выражается формулой [8]
Где H двоичная Шенноновская энтропия, а QBER количество ошибок измеренных Бобом.
рис.2
Перейдем теперь к реальной жизни, где для злоумышленника открываются обширные возможности для атак. Начнем с источника фотонов. В идеале он должен выдавать их по одному, такие устройства существуют, однако стоят больших денег. Поэтому производители используют обычные лазеры на аттенюаторе (прибор, который уменьшает амплитуду, без существенного искажения сигнала). Проблема в том, что такие лазеры с довольно большой вероятностью дают на выходе в одном световом пакете больше одного фотона. Это дает возможность совершить PNS атаку(photon number splitting)[2]. Ева разделяет световой пакет: один фотон пропускает, остальные хранит у себя в памяти, а все пакеты состоящие из одного фотона блокирует. Потом, после озвучивания базиса по открытому каналу, она узнает все биты ключа. Первый способ избежать таких атак, свести уровень мультифотонных пакетов к минимуму, второй включать в последовательность световых импульсов мощный эталонный импульс[1].
Теперь рассмотрим протокол SARG04[1]. Алиса случайно отправляет одно из четырех состояний: _+=|\rightarrow>, |b>_+ = |\uparrow>_+, |a>_\times=|\nearrow>, |b>_\times = |\searrow> » alt=» |a>_+=|\rightarrow>, |b>_+ = |\uparrow>_+, |a>_\times=|\nearrow>, |b>_\times = |\searrow> » src=»https://habrastorage.org/getpro/habr/upload_files/526/a94/df9/526a94df94287cd27b168b49dd35415b.svg»/>. В данном случае закодированным битом является БАЗИС состояния (ЭТО КРАЙНЕ ВАЖНО. ). Боб, так же как и в BB84, их принимает. Дальше, на шаге сравнения базисов, Алиса публично объявляет одну из четырех пар неортогональных состояний:
Пусть для определенности Алиса отправила _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/136/1cb/42b/1361cb42b598cab34e6042dcb7520597.svg»/>и объявила пару _\times, » alt=» |a>_\times, » src=»https://habrastorage.org/getpro/habr/upload_files/047/d5e/e54/047d5ee5485dae9b0746004f375d1069.svg»/> _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/db8/e0f/c91/db8e0fc91b5dc4e1c873820173527ab1.svg»/>(одно состояние в паре обязательно отправленное состояние, а второе случайное из другого базиса). Если Боб мерил в базисе 
, он может получить точный результат, однако этот результат равновероятен для обоих базисов из пары(так как правильный результат одинаков для обоих базисов). Ему придется отбросить это значение. Если он взял базис 
(в этом случае равновероятно получится 
или 
)и получил 
, он опять не может их различить( по той же самой причине). Однако если он измерил в базисе 
и получил 
(вероятность этого 1/4), он понимает, что отправленное состояние _+ » alt=» |a>_+ » src=»https://habrastorage.org/getpro/habr/upload_files/6ac/4ac/3c2/6ac4ac3c2c026e12973dc74123e1a024.svg»/>(в правильном базисе обязательно получилось бы 
, а он получил 
, значит 
неверный базис). Данная модификация сильно усложняет Еве проведение PNS атаки: ей нужно блокировать все импульсы, содержащие 1 или 2 фотона, и разделять где 3 и больше. Более подробный анализ протокола можно посмотреть в [1].
Однако все не так просто, как может показаться. SARG04 уязвим для LPA(large pulse attack). Пусть Ева запустит яркую вспышку света в линию передачи, тогда часть света попадет в передающее устройство и отразится от некоторых оптических приборов внутри него(любой реальный объект имеет ненулевой коэффициент отражения). Таким образом импульс света может попасть во внутренний модулятор и промодулироваться им. Измеряя промодулированный импульс, Ева получит некоторую информацию о настройках модулятора [6].
Кроме пассивного прослушивания, Ева может действовать более активно. Например, изменять параметры настройки установок Алисы и Боба. Коротко обсудим некоторые возможные вредоносные изменения. Для примера возьмем установку одной из двух современных коммерческих схем КРК, продаваемой id Quantique [9], показанной на рис.4
рис.4
Детектор DA, кроме детектирования сигналов Боба, автоматически отслеживает сильную импульсную атаку и ее нейтрализует или бьет тревогу, в зависимости от настроек. Детектор также генерирует сигнал запуска, используемый для синхронизации часов Алисы и Боба. Если чувствительность к падающему свету значительно снизится, или если ослабление регулируемого аттенюатора значительно уменьшится по сравнению с заводской калибровкой, схема становится небезопасной. В таком случае Ева сможет провести импульсную атаку (среднее количество фотонов в световом пакете увеличивается). Для достижения этой цели Ева может: 1) попытаться сжечь детектор; 2) повредить разъемы в детекторе, чтобы уменьшить ослабление аттенюатора; 3)повредить светоделитель BS (надеясь, что его коэффициент расщепления изменится в лучшую для нее сторону); Ева может попытаться контролировать место и характер повреждения, варьируя такие параметры, как длина волны, поляризация, энергия и временной профиль своего лазерного импульса.
Напоследок кратко обсудим атаку с перехватом и повторной передачей, при которой Ева не пытается восстановить исходные состояния, а сохраняет импульсы Алисы себе и пересылает их копии Бобу. В этом случае Алиса и Боб даже не будут подозревать о взломе. Такие световые импульсы называются ложными состояниями. Поддельные состояния специфичны для каждой конкретной схемы или даже конкретного образца атакуемого оборудования. Успешная атака с использованием фальшивых состояний дает Еве полное знание ключа.
Заключение
Может возникнуть закономерный вопрос, неужели нельзя передавать ключи более простым образом? Ведь квантовая криптография дорогое удовольствие: нужен оптоволоконный квантовый канал, фотонная пушка, которая могла бы выстреливать по одному фотону, приборы для определения состояния. К тому же до 1984 года люди как-то справлялись с шифрованием данных, зачем все менять? Дело в том, что классическая криптография базируется на сложности математических задач, например дискретном логарифмировании (RSA). Эти задачи обычные компьютеры решают очень долго, однако в 1994 году Питер Шор предложил алгоритмы их решения на квантовом компьютере. Поэтому требуется создавать новые методы шифрования и перераспределения ключей, невзламываемых любыми вычислительными мощностями. Как можно было заметить неприступная на бумаге квантовая криптосистема на деле дает сбои, так что криптоаналитикам предстоит еще много работы, чтобы сделать эти системы полностью безопасными.
Источники:
1) A. Acin, N. Gisin, and V. Scarani, “Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks”
2) C. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin, “Experimental quantum cryptography”(1992)
3) D. Gottesman, H.-K. Lo, N. L ̈utkenhaus, and J. Preskill, Quant. Inf. Comp. 4, 325 (2004)
4) W.-Y. Hwang, “Quantum key distribution with high loss: toward global secure communication”
6) Vadim Makarov, “Quantum cryptography and quantum cryptanalysis ”, (2006)
7) D. Mayers, “Quantum key distribution and string oblivious transfer in noisy channels” (1996); D. Mayers, “Unconditional security in quantum cryptography” (2001).
8) P. Shor and J. Preskill, “Simple proof of security of the BB84 quantum key distribution protocol”(2000).
9) D. Stucki, N. Gisin, O. Guinnard, G. Ribordy, and H. Zbinden, “Quantum key distribution over 67 km with a plug&play system”
10) Xiaoqing Tan, “Introduction to Quantum cryptography”,(2013)