Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Agnethe Helf Geändert vor über 10 Jahren
1
Quantum Computing Hartmut Klauck Universität Frankfurt WS 05/06 30.1.
2
Quanten Kryptographie RSA System ist kompromittiert durch Quantenrechner (schon heute wenn Nachrichten noch lange geheim bleiben müssen) Ebenso einige andere Public Key Verfahren (Diffie Hellman) Ausweg 1: Public Key Verfahren, die sicher gegen alle Quantenalgorithmen sind Problem 1: geeignete Kandidaten für solche Verfahren Problem 2: Grenzen von Quantencomputern schwer genau abzuschätzen
3
Quanten Kryptographie Anderer Ansatz: Ist es möglich, nur die Regeln der Quantenmechanik anzunehmen, und daraus ein sicheres Verschlüsselungsverfahren anzugeben? [Wiesner] gibt ein quantenkryptographisches Verfahren ca. 1970 an, veröffentlicht 1983, Quantenzustände als fälschungsicheres Geld [BB84] Quantum key distribution protocol
4
Sichere Klassische Verschlüsselung One-Time-Pad (OTP): Alice möchte Bob einen Text x schicken, den Eve [Eavesdropper] nicht entschlüsseln kann, n Bits Alice und Bob haben einen geheimen Schlüssel s, n Bits lang Alice kodiert x 1,...,x n als x 1 ©s 1,...,x n ©s n Bob dekodiert Wenn s uniform zufällig ist, dann ist für jeden Text x die gesendete Nachricht uniform zufällig Also erhält Eve keine Information über x D.h. jedes x ist gleichwahrscheinlich als Text, gegeben die Nachricht Problem: Schlüssellänge, sowie Erstellung des geheimen Schlüssels,
5
Sichere Klassische Verschlüsselung Problem: Schlüssellänge, sowie Erstellung des geheimen Schlüssels Schlüssellänge ist unvermeidlich für vollständige Sicherheit [Shannon] Austausch geheimer Schlüssel im allgemeinen nicht praktikabel Erzeugung geheimer Schlüssel über einen klassischen öffentlichen Kommunikationskanal nicht möglich Eve kann gesamte Kommunikation vom Kanal kopieren und erhält soviel Information wie Bob Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem
6
Sichere Klassische Verschlüsselung Geht es über einen Quantenkanal? Erstes Indiz: No cloning theorem Intuition: Eve führt eine Messung der vorhandenen Kommunikation aus Wenn Eve Information erhält, wird die Kommunikation gestört, Dies kann bemerkt werden Also wird entweder geheimer Schüssel erzeugt, oder Abbruch
7
Genauer: Wenn versucht wird, Information aus zwei nichtorthogonalen Quantenzuständen zu extrahieren, so werden sie gestört Annahme, sie werden nicht gestört:
8
Modell Alice und Bob sind durch einen Quantenkanal verbunden, d.h., jeder kann Qubits verschicken, die beim anderen ankommen Eventuell mehrere Runden Ausser Eve schreitet ein: Eve kann gesendete Nachrichten durch Messungen und unitäre Transformationen modifizieren, erhält Information durch Messungen Veränderte Nachrichten werden zugestellt Ziel ist key distribution, d.h. Erzeugen eines geheimen Schlüssels Ausserdem: öffentlicher klassischer Kanal, der nicht gefälscht werden kann, bzw. authentifiziert ist
9
Verschlüsseln mit EPR Paaren EPR Paar Annahme Alice und Bob haben n EPR Paare, messen und erhalten geheimen Schlüssel aus n Bits, OTP folgt Alternativ: Alice erzeugt O(n) EPR-Paare, sendet jeweils ein Qubit zu Bob Eve kann jetzt angreifen, d.h. beliebigen Operator auf Nachricht anwenden Alice und Bob testen ob Angriff vorlag, und versuchen gute EPR Paare zu finden
10
Verschlüsseln mit EPR Paaren Alice und Bob messen jedes Qubit in ihrem Besitz mit Wahrscheinlichkeit 1/2 in einer Basis, mit Wahrscheinlichkeit 1/2 in einer anderen Alice zieht zufällig a 1,...,a m, Bob b 1,...,b m Basis 1: |0i, |1i Basis 2: (|0i+|1i)/2 1/2, (|0i-|1i)/2 1/2 Danach: Alice und Bob geben a und b bekannt, verwerfen alle gemessenen EPR Paare, wo a i b i Noch ungefähr m/2 EPR Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig
11
Problem: Wir wollen ein Protokoll, in dem keine EPR Paare verwendet werden, da diese schwierig zu handhaben sind
12
Verschlüsseln ohne EPR Paare [BB84] Alice schickt zufällig Zustände aus |0i, |1i,(|0i+|1i)/2 1/2, (|0i-|1i)/2 1/2 Bob misst zufällig in Basis 1 oder 2 Danach: Alice gibt bekannt, ob aus |0i, |1i oder nicht, Bob gibt seine Basis bekannt, verwerfen alle Positionen, wo keine Übereinstimmung Noch ungefähr m/2 Paare übrig Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig
13
BB84 states | > = |1> | > = |0> | > =
14
BB84 QKD... NoYes... 001 Alice Bob
15
Verschlüsseln mit/ohne EPR Paare Wenn Eve nichts getan hat, sind m/2 perfekt korrelierte Zufallsbits entstanden, fertig Wenn Eve aktiv war? Alice und Bob tauschen eine zufällige Teilmenge ihrer Schlüsselbits aus und testen auf Übereinstimmung
16
Beispiel, BB84 Eve fängt alle Qubits ab, misst in Basis 1 oder 2, zufällig Sendet ein Qubit wie gemessen zu Bob In 50% aller Fälle selbe Basis wie Alices Nachrichten, keine Störung, Eve lernt Alices Bit In anderen Fällen wird etwa |0i statt (|0i+|1i)/2 1/2 geschickt, ein Zustand der bei Bobs Mesung mit Wahrscheinlichkeit 1/2 zu einer Diskrepanz führt Also erwartet 25% diskrepante Schlüsselbits bei Alice und Bob, aber Eve lernt 25% der richtigen Schlüssel bei denen Bob die richtige Basis wählt Raffinierter: Eve arbeitet auf einer Teilmenge von 10% aller Schlüssel, erzeugt nur 2.5% Fehler etc.
17
Sicherheit Betrachte EPR-Protokoll.Eves Angriff: Einfach: Eve misst individuelle Qubits Allgemeiner: Eve nimmt alle Qubits, misst gemeinsam, sendet Nachricht weiter Einfacher Fall) Nach Eves Angriff, Zustand auf Nachricht: Wenn |e ij i alle gleich, keine Information für Eve Wenn |01i und |10i hohe Amplituden, Entdeckung in der Standardbasis wahrscheinlich Wenn |e 00 i weit von |e 11 i dann Entdeckung in anderer Basis wahrscheinlich Gesamt: Wenn Korrelation in einer Richtung auf vielen Paaren, dann Entdeckung wahrscheinlich
18
Sicherheit Messung in zweiter Basis entspricht Hadamard und dann Messung in Standardbasis
19
Sicherheit Wenn |e 00 i weit von |e 11 i dann Effekt einer Messung dieser Zustände ähnlich Kollaps auf Zustände sowie Dies zeigt Testmessung auf
20
Probleme Brauchen quantitative Analyse Ausserdem Analyse, wenn Eve global misst Ziel: Zeige, Eves Information ist klein Quantenkanal ist mit Fehlern behaftet, zusätzlich Störung Welche Gesamtfehlerwahrscheinlichkeit des Kanals kann toleriert werden? Wie bekommt man wieder fast uniform zufällige Schlüssel? Wie behandeln wir Eves wenige, aber vorhandene Information Lösungen: Fehlerkorrigierende Codes um Diskrepanz zu eliminieren Privacy Amplification (Hashing) um sichere Schlüssel zu erhalten Weiteres Problem: imperfekte Quellen von Photonen
21
BB84 Alice wählt 5n zufällige Bits y 1,...,y 5n sowie 5n zufällige Bits a 1,...,a 5n Alice sendet |0i, |1i,(|0i+|1i)/2 1/2, oder (|0i-|1i)/2 1/2 für x=0,a=0,x=1,a=0.... Bob misst in X oder Z Basis zufällig Bob veröffentlicht b Alice und Bob entfernen Bits, wo Bob falsche Basis gemessen hat, 2n Bits übrig whp Alice und Bob testen n ihrer Bits auf Gleichheit, wenn mehr als t Paare ungleich Abbruch Information Reconciling: Nur Bit Paare übrig, die bei beiden gleich Privacy Amplification: Verringert Eves Information
22
Information Reconciling Verwendet fehlerkorrigierende Codes, welche Eve nicht bekannt sind (kleine enge solcher Codes) Fehlerkorrigierenden Code, der t Fehler toleriert Annahme uniform zufälliges y wird übertragen (als Schlüsselkandidat) Bob erhält y mit <t Fehlern Alice und Bob wählen das nächstliegende Codewort Beide erhalten haben denselben String
23
Privacy Amplification Eve habe beschränkte Information über y (sonst ist Test nicht bestanden) Wie kann man erreichen, dass für einen kürzeren Schlüssel Eve fast keine Information hat? Beispiel: Verwende Parities von mehreren Bits in y, schwieriger vorherzusagen Technik: Hashing
24
Sicherheitsbeweis BB84 Durch Reduktion vom EPR Protokoll und kleine Modifikation der letzten Schritte
25
Welches Mass von Sicherheit Ein Protokoll ist sicher, wenn Alice und Bob Sicherheitsparameter s,l wählen können, so dass Protokoll entweder abbricht, oder mit Wahrscheinlichkeit 1-1/2 S nicht, und dann ist Eves Information nur 1/2 l Protokoll toleriert Fehler, wenn durch Kanalfehler und Eve t= n Anteil aller EPR Paare Test nicht bestehen, aber trotzdem sicher
26
Welche Fehlerraten sind sicher Fehler: Ab welchem Schwellenwert für diskrepante Paare muss aufgegeben werden Abhängig vom Postprocessing: Einweg oder Zweiweg Kommunikation Einweg: Alice sendet Information an Bob, Eve kann mit 14.6% Fehler approximativ klonen, Eve und Bob symmetrische Situation, d.h. keine Sicherheit mehr möglich Analyse zeigt, bei 11% Fehler Sicherheit möglich Zweiweg: Eves Intercept und Resend Strategie: Bobs Information nur noch von Eve abhängig, keine Sicherheit, bei 25% Fehler Möglich, 18.9% Fehler zu tolerieren Anderes Schema kommt auf 27.6 Prozent [Eve kann immer die Kommunikation verhindern]
27
Implementierung BB84 Problem: Je länger die Verbindung, desto mehr Fehler Rekord: Glasfaser: 122 km, 1.9 kbit/s Schlüsselrate Open Air: 23.4 km, 1 kbit/s
28
Implementierung
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.