Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Hartmut Klauck Universität Frankfurt WS 04/

Ähnliche Präsentationen


Präsentation zum Thema: "Hartmut Klauck Universität Frankfurt WS 04/"—  Präsentation transkript:

1 Hartmut Klauck Universität Frankfurt WS 04/05 26.1.
Quantum Computing Hartmut Klauck Universität Frankfurt WS 04/05 26.1.

2 Quanten Kryptographie
RSA System ist kompromittiert durch Quantenrechner (schon heute wenn Nachrichten noch lange geheim bleiben müssen) Ebenso einige andere Public Key Verfahren (Diffie Hellman) Ausweg 1: Public Key Verfahren, die sicher gegen alle Quantenalgorithmen sind Problem 1: geeignete Kandidaten für solche Verfahren Problem 2: Grenzen von Quantencomputern schwer genau abzuschätzen

3 Quanten Kryptographie
Anderer Ansatz: Ist es möglich, nur die Regeln der Quantenmechanik anzunehmen, und daraus ein sicheres Verschlüsselungsverfahren anzugeben? [Wiesner] gibt ein quantenkryptographisches Verfahren ca an, veröffentlicht 1983, Quantenzustände als fälschungsicheres Geld [BB84] Quantum key distribution protocol

4 Sichere Klassische Verschlüsselung
One-Time-Pad (OTP): Alice möchte Bob einen Text x schicken, den Eve [Eavesdropper] nicht entschlüsseln kann, n Bits Alice und Bob haben einen geheimen Schlüssel s, n Bits lang Alice kodiert x1,...,xn als x1©s1,...,xn©sn Bob dekodiert Wenn s uniform zufällig ist, dann ist für jeden Text x die gesendete Nachricht uniform zufällig Also erhält Eve keine Information über x D.h. jedes x’ ist gleichwahrscheinlich als Text, gegeben die Nachricht Problem: Schlüssellänge, sowie Erstellung des geheimen Schlüssels,

5 Sichere Klassische Verschlüsselung
Problem: Schlüssellänge, sowie Erstellung des geheimen Schlüssels Schlüssellänge ist unvermeidlich für vollständige Sicherheit [Shannon] Austausch geheimer Schlüssel im allgemeinen nicht praktikabel Erzeugung geheimer Schlüssel über einen klassischen öffentlichen Kommunikationskanal nicht möglich Eve kann gesamte Kommunikation vom Kanal kopieren und erhält soviel Information wie Bob Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem

6 Sichere Klassische Verschlüsselung
Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem Intuition: Eve führt eine Messung der vorhandenen Kommunikation aus Wenn Eve Information erhält, wird die Kommunikation gestört, Dies kann bemerkt werden Also wird entweder geheimer Schüssel erzeugt, oder Abbruch

7 Genauer: Wenn versucht wird, Information aus zwei nichtorthogonalen Quantenzuständen zu extrahieren, so werden sie gestört Annahme, sie werden nicht gestört:

8 Modell Alice und Bob sind durch einen Quantenkanal verbunden, d.h., jeder kann Qubits verschicken, die beim anderen ankommen Eventuell mehrere Runden Ausser Eve schreitet ein: Eve kann gesendete Nachrichten durch Messungen und unitäre Transformationen modifizieren, erhält Information durch Messungen Veränderte Nachrichten werden zugestellt Ziel ist key distribution, d.h. Erzeugen eines geheimen Schlüssels Ausserdem: öffentlicher klassischer Kanal, der nicht gefälscht werden kann, bzw. authentifiziert ist

9 Verschlüsseln mit EPR Paaren
Annahme Alice und Bob haben n EPR Paare, messen und erhalten geheimen Schlüssel aus n Bits, OTP folgt Alternativ: Alice erzeugt O(n) EPR-Paare, sendet jeweils ein Qubit zu Bob Eve kann jetzt angreifen, d.h. beliebigen Operator auf Nachricht anwenden Alice und Bob testen ob Angriff vorlag, und versuchen “gute” EPR Paare zu finden

10 Verschlüsseln mit EPR Paaren
Alice und Bob messen jedes Qubit in ihrem Besitz mit Wahrscheinlichkeit 1/2 in einer Basis, mit Wahrscheinlichkeit 1/2 in einer anderen Alice zieht zufällig a1,...,am, Bob b1,...,bm Basis 1: |0i, |1i Basis 2: (|0i+|1i)/21/2, (|0i-|1i)/21/2 Danach: Alice und Bob geben a und b bekannt, verwerfen alle gemessenen EPR Paare, wo ai bi Noch ungefähr m/2 EPR Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig

11 Problem: Wir wollen ein Protokoll, in dem keine EPR Paare verwendet werden, da diese schwierig zu handhaben sind

12 Verschlüsseln ohne EPR Paare [BB84]
Alice schickt zufällig Zustände aus |0i, |1i,(|0i+|1i)/21/2, (|0i-|1i)/21/2 Bob misst zufällig in Basis 1 oder 2 Danach: Alice gibt bekannt, ob aus |0i, |1i oder nicht, Bob gibt seine Basis bekannt, verwerfen alle Positionen, wo keine Übereinstimmung Noch ungefähr m/2 Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig

13 BB84 states |> = |1> |  >= |  >= |> = |0>

14 BB84 QKD Alice ... Bob ... ... No Yes ... 1

15 Verschlüsseln mit/ohne EPR Paare
Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig Wenn Eve aktiv war? Alice und Bob tauschen eine zufällige Teilmenge ihrer Schlüsselbits aus und testen auf Übereinstimmung

16 Beispiel, BB84 Eve fängt alle Qubits ab, misst in Basis 1 oder 2, zufällig Sendet ein Qubit wie gemessen zu Bob In 50% aller Fälle selbe Basis wie Alice’s Nachrichten, keine Störung, Eve lernt Alice’s Bit In anderen Fällen wird etwa |0i statt (|0i+|1i)/21/2 geschickt, ein Zustand der bei Bob’s Mesung mit Wahrscheinlichkeit 1/2 zu einer Diskrepanz führt Also erwartet 25% diskrepante Schlüsselbits bei Alice und Bob, aber Eve lernt 25% der richtigen Schlüssel bei denen Bob die richtige Basis wählt Raffinierter: Eve arbeitet auf einer Teilmenge von 10% aller Schlüssel, erzeugt nur 2.5% Fehler etc.

17 Sicherheit Eve’s Angriff
Eve misst individuelle Qubits Allgemeiner: Eve nimmt alle Qubits, misst gemeinsam, sendet Nachricht weiter Fall 1) Nach Eve’s Angriff, Zustand auf Nachricht: Wenn |eiji alle gleich, keine Information für Eve Wenn |01i und |10i hohe Amplituden, Entdeckung in der Standardbasis wahrscheinlich Wenn |e00i weit von |e11i dann Entdeckung in anderer Basis wahrscheinlich Gesamt: Wenn Korrelation in einer Richtung auf vielen Paaren, dann Entdeckung wahrscheinlich

18 Sicherheit Messung in zweiter Basis entspricht Hadamard und dann Messung in Standardbasis

19 Prinzipielles anderes Protokoll
Teste EPR Paare wie im Protokoll zu den Bell’schen Ungleichungen Wenn Bell Ungleichung verletzt, existiert entanglement Distilliere Entanglement

20 Probleme Brauchen quantitative Analyse
Ausserdem Analyse, wenn Eve global misst Ziel: Zeige, Eve’s Information ist klein Quantenkanal ist mit Fehlern behaftet, zusätzlich Störung Welche Gesamtfehlerwahrscheinlichkeit des Kanals kann toleriert werden? Wie bekommt man wieder fast uniform zufällige Schlüssel? Wie behandeln wir Eve’s wenige, aber vorhandene Information Lösungen: Fehlerkorrigierende Codes um Diskrepanz zu eliminieren Privacy Amplification (Hashing) um sichere Schlüssel zu erhalten Weiteres Problem: imperfekte Quellen von Photonen

21 BB84 Alice wählt 5n zufällige Bits y1,...,y5n sowie 5n zufällige Bits a1,...,a5n Alice sendet |0i, |1i,(|0i+|1i)/21/2, oder (|0i-|1i)/21/2 für x=0,a=0,x=1,a=0.... Bob misst in X oder Z Basis zufällig Bob veröffentlicht b Alice und Bob entfernen Bits, wo Bob falsche Basis gemessen hat, 2n Bits übrig whp Alice und Bob testen n ihrer Bits auf Gleichheit, wenn mehr als t Paare ungleich Abbruch Information Reconciling: Nur Bit Paare übrig, die bei beiden gleich Privacy Amplification: Verringert Eve’s Information

22 Information Reconciling
Verwendet fehlerkorrigierende Codes, die t Fehler tolerieren Annahme uniform zufälliges y wird übertragen (als Schlüsselkandidat) Bob erhält y mit <t Fehlern Alice und Bob wählen das nächstliegende Codewort Beide erhalten haben denselben String

23 Privacy Amplification
Eve habe beschränkte Information über y (sonst ist Test nicht bestanden) Wie kann man erreichen, dass für einen kürzeren Schlüssel Eve fast keine Information hat? Beispiel: Verwende Parities von mehreren Bits in y, “schwieriger” vorherzusagen Technik: Hashing

24 Sicherheitsbeweis BB84 Durch Reduktion vom EPR Protokoll und kleine Modifikation der letzten Schritte

25 Welches Mass von Sicherheit
Ein Protokoll ist sicher, wenn Alice und Bob Sicherheitsparameter s,l wählen können, so dass Protokoll entweder abbricht, oder mit Wahrscheinlichkeit 1-1/2S nicht, und dann ist Eve’s Information nur 1/2l Protokoll toleriert Fehler , wenn durch Kanalfehler und Eve t=n Anteil aller EPR Paare Test nicht bestehen, aber trotzdem sicher

26 Welche Fehlerraten sind sicher
Fehler: Ab welchem Schwellenwert für diskrepante Paare muss aufgegeben werden Abhängig vom Postprocessing: Einweg oder Zweiweg Kommunikation Einweg: Alice sendet Information an Bob, Eve kann mit 14.6% Fehler approximativ klonen, Eve und Bob symmetrische Situation, d.h. keine Sicherheit mehr möglich Analyse zeigt, bei 11% Fehler Sicherheit möglich Zweiweg: Eve’s Intercept und Resend Strategie: Bob’s Information nur noch von Eve abhängig, keine Sicherheit, bei 25% Fehler Möglich, 18.9% Fehler zu tolerieren Anderes Schema kommt auf 27.6 Prozent [Eve kann immer die Kommunikation verhindern]

27 Implementierung BB84 Problem: Je länger die Verbindung, desto mehr Fehler Rekord: Glasfaser: 122 km, 1.9 kbit/s Schlüsselrate Open Air: 23.4 km, 1 kbit/s

28 Implementierung

29 Implementierung

30 Implementierung

31 Implementierung


Herunterladen ppt "Hartmut Klauck Universität Frankfurt WS 04/"

Ähnliche Präsentationen


Google-Anzeigen