Как взламывают квантовую криптографию?

Иллюстрация: один из способов криптоанализа ("взлома") квантовой криптографии.

УДК 003.26.09+621.391.7+004.056.55+519.728.2

Краткое изложение опубликованных работ автора на эту тему 2003-2004 гг.

Аннотация

Предложены устройство и способ для практически незаметного для номинально-легальных пользователей отвода «квантово-криптографического» потока информации. Как следствие, показана возможность нарушения в «квантово-криптографических системах» аутентификации. Как следствие, показаны существенные ограничения на «квантовую» достоверную и на «квантовую» секретную рассылку ключей, подписей, данных. В итоге, восстановлено мнение о том, что и «квантовая криптография» не может противоречить теореме Симмонса.

ВВЕДЕНИЕ

Многие десятки лет известна идея «квантовой криптографии» (К.К.), основанная на тезисе: «Злоумышленник не может отвести часть сигнала с передающей линии, так как нельзя поделить электромагнитный квант на части. Любая попытка злоумышленника вмешаться в процесс передачи вызовет непомерно высокий уровень ошибок» [1].

Очевидно, что если этот тезис верен, то КК применима для задач аутентификации (обеспечения достоверности) – причём аутентификации и сообщений, и ключей, и узлов, и участников информационного обмена (номинального отправителя и др.), и для практически непрерывного контроля физической целостности каналов, и для анализа в каналах уровня естественных шумов и разумной активности (воздействий) третьих лиц (в т.ч. злоумышленников) информационного обмена. Менее очевидно, что КК применима и для противоположной (в смысле Симмонса [3]) задачи – стойкого шифрования (обеспечения секретности). Частным применением этой идеи может быть, например, «квантовая рассылка ключей QKD (Quantum Key Distribution)» [1], например, протокол BB84 Беннета и Брассарда, способ и соответствующий протокол Эккерта на основе эффекта Айнштайна–Подольского–Розена (противоположная поляризация фотонов, излучённых одновременно при самопроизвольном двухфотонном девозбуждении сферически симметричного свободного атома), алгоритмы B91, B92 [4] и др.

Обычным физическим параметром, несущим информацию, используемым в современных оптических каналах связи, является вектор поляризации фотона. Используют (ныне реже) и другие параметры фотона – его положение, его энергию, вектор импульса. Они также связаны между собой соотношением неопределённостей Гайзенберга [5], справедливость которого в волновой (квантовой) физике мы подвергать сомнению здесь отнюдь не намерены. Многочисленные подробности о КК любому читателю легко найти в Internet или в журналах «ТИИЭР» (пер. с англ. IEEE), «Сети», популярных журналах «Наука и жизнь», «Техника–молодёжи» и др., а о квантовой механике – в популярных журналах «Квант» и «Потенциал».

КОНКРЕТНО, ОБЫЧНАЯ ТЕХНОЛОГИЯ КВАНТОВОЙ РАССЫЛКИ КЛЮЧЕЙ

По замыслу авторов КК, Алиса отправляет Бобу по открытому каналу случайную последовательность фотонов, обладающих 2-мя (вариант: 4-мя) различными квантовыми состояниями (например, поляризации). Часть из них теряется в канале. Часть из оставшихся Боб выбирает случайным образом и измеряет их квантовый параметр (вариант: к какой паре значений он принадлежит). Затем Боб сообщает Алисе по открытому каналу, какие (по времени, по позициям) фотоны он измерил, НЕ СООБЩАЯ при этом результаты своих измерений. Но Боб заранее знает (задавал поляризатор либо измерил свою компоненту пары Эйнштейн-Подольский-Розеновских фотонов) значения этого параметра для всех своих фотонов. Итак, Боб и Алиса "отбросили" остальные, ненужные, фотоны и в качестве своего секретного ключа используют значения избранных Бобом фотонов.

ОБЫЧНАЯ ТЕХНОЛОГИЯ ВЗЛОМА КВАНТОВОЙ РАССЫЛКИ КЛЮЧЕЙ

1. Можно заранее вклинить в канал посредника Сёмочку, который перед Алисой будет изображать Боба, а перед Бобом - Алису. Если Сёмочка не успел заранее, то он может нарушить целостность линии АБ, далее вклиниться и далее ждать рассылки. Так Сёмочка получит ключ Алисы+Боба.

Алиса и Боб могут использовать интерферометр для контроля целостности линии.

2. Криптоаналитик Сёмочка может вводить в линию много-много "фальшивых" фотонов с известными ему значениями. Боб с ненулевой вероятностью может избрать эти фотоны, и тогда после сообщения Боба Алисе (скопированному Сёмочкой) часть ключа будет фальсифицирована, что откроет перед Сёмочкой возможность ненулевой вероятности если не подделки, то искажению и порчи сообщений Боба и Алисы.

Но это всё сложно. Есть технический способ проще и гарантированно.

НОВАЯ ПОСТАНОВКА ЗАДАЧИ

Мы намерены опровергнуть исходный тезис «квантовой криптографии», указанный выше, поскольку он является очевидным примером нарушения логической последовательности вывода.

А именно, если принять за «аксиому», сославшись на общеизвестную волновую (квантовую) физику, что «нельзя поделить электромагнитный квант на части», то, действительно, условный, номинальный [2] злоумышленник (криптоаналитик, К.А.) не может отвести из канала связи часть фотона, следовательно, при однофотонных передачах действительно не может отвести из канала часть кодированного сообщения (сигнала) без того, чтобы в канале возникли какие-либо изменения квантовых состояний физических параметров физических носителей информации. Итак, с этой частью исходного тезиса автор согласен.

Также можно ограниченно согласиться с квантовомеханической (нерелятивистской) теоремой о невозможности точного клонирования квантового состояния.

МЕТОД РЕШЕНИЯ

Но следующий шаг в рассуждениях в исходном тезисе КК – что якобы любая попытка вмешательства КА в канал, связанная с отводом фотонов, приводит на выходе из канала к «недопустимому уровню ошибок», ошибочен, ибо это есть произвольная «аксиома», ниоткуда не следующая. Покажем это.

Известны формулы для вероятности вынужденного излучения (Айнштайн, 1916), явление усиления интенсивности вынужденного излучения (В.А. Фабрикант, 1939, СССР), способ усиления электромагнитных излучений (В.А. Фабрикант, Ф.А. Бутаева, М.М.  Вудынский, 1951), общеизвестные работы 1952–1964 гг., в т.ч. Нобелевских лауреатов, по практическому созданию квантовых генераторов и усилителей СВЧ, ИК, видимого, а позднее – УФ и рентгеновского диапазонов.

Вынужденно излучённый фотон при определённых известных условиях статистически почти тождественен вынуждающему, в частности, обладает приблизительно той же энергией, вектором импульса, фазой и поляризацией.

Известны квантовые усилители, способные усиливать излучение любой поляризации.

Известны также быстродействующие однопроходные квантовые усилители (в средах с очень большим коэффициентом усиления).

Известны квантовые усилители, действующие в широком диапазоне энергий.

Известны ослабители (делители) светового потока, переключатели (отводчики), в т.ч. быстродействующие рассекатели цуга фотонов (на явлениях Поккельса, Керра, Фарадея, самопросветления, самофокусировки Аскарьяна и Пилипецкого, и на др. явлениях).

Общеизвестно явление полного внутреннего отражения света, практически повсеместно используемое в оптоволоконных линиях связи.

Известно явление нарушенного полного внутреннего отражения электромагнитного излучения [6].

Известны устройства для ввода фотонов в световод.

Известно явление квантового замедления света как в обычных, так и в криогенных (сверхтекучих, сверхпроводящих) средах.

«Номинальный злоумышленник» (точнее, КА – например, оперативный государственный следователь, либо действительно злоумышленник), таким образом, может с целью чтения (дешифровки) защищённого сообщения из канала КК, а также с целью его целесообразного изменения – порчи, подмены сообщения, самозванства (лжеаутентификации узла, канала, участника), выполнить следующие действия, которые назовём здесь «способ ГАВ для взлома КК канала», действия (шаги) способа пронумерованы по порядку :

Способ ГАВ:
1) Внедряют в ка-нал КК устройство, осуществляющее перенаправление (отведение) потока физических носителей информации (фотонов) из канала КК в канал КА.
2) Отведённые в канал КА фотоны подают на вход квантового (фотонного) усилителя.
3) В квантовом (фотонном) усилителе получают цуг не менее чем 2-х фотонов (чем больше, тем лучше), практически тождественных (статистически близких) по энергии, вектору импульса, фазе, поляризации. Можно сказать, что в нём происходит копирование фотонов, отличающихся от исходного сколько-нибудь значительно разве что временем выхода из устройства.
4) Образовавшиеся в этом усилителе фотоны (когерентный цуг фотонов) рассекают, разводят не менее чем на 2 части (не менее чем 2 отдельных фотона, тождественных исходному, кроме разве что времени и положения в пространстве), например, ячейкой Керра или ячейкой Поккельса.
5) По одной из этих частей (фотону) судят о значении переданного элемента сообщения, т.е. её регистрируют и анализируют обычным способом, как если бы она была получена непосредственно из КК канала.
6) Другую часть (фотон) вводят в канал КК ближе к номинальному получателю, чем место отвода исходного фотона из канала КК криптоаналитиком. При этом стараются ввод фотона осуществить так, чтобы время его поступления к номинальному получателю по возможности было бы неотличимо от времени нормального (т.е. без вмешательства КА) поступления фотона по КК каналу к номинальному получателю. (Например, это возможно, если КК канал – оптоволоконный, с групповой скоростью фотонов существенно меньше скорости света в вакууме, причём достаточно длинный, а путь от места «несанкционированного» отвода из КК канала до места ввода в КК канал – в газовой среде или вакууме.)
7) Остальные (если есть) фотоны поглощают, используют иначе или игнорируют, при этом заботятся о том, чтобы в канал КК «лишние» фотоны не проникли бы.

Способ ГАВ2, отличающийся от ГАВ тем, что на шаге 4 рассечение (разведение) цуга осуществляют после его выхода из квантового усилителя (напр., ячейками Керра, Поккельса, др.).

Способ ГАВ3, отличающийся от ГАВ тем, что на шаге 4 рассечение (разведение) цуга осуществляют внутри усилителя, в процессе генерации фотонных лавин (напр., дифракцией на малом отверстии, зеркале, световоде).

Способ ГАВ4, отличающийся от ГАВ2,3 тем, что количество рассекателей (разводчиков), а также усилителей, а также устройств ввода фотона в КК канал равно количеству возможных значений физического параметра фотона, считающегося несущим информацию, причём каждый из рассекателей (разводчиков), а также уси-лителей, а также устройств ввода фотона в КК канал является осуществляющим своё назначение для фотонов, обладающих только одним («своим») из этих возможных значений, а  другие – для других из этих возможных значений, так, что существует взаимно-однозначное отношение между множеством возможных значений информативного параметра фотона и множеством рассекателей (отводчиков), а также усилителей, а также устройств ввода фотона в КК канал.

Способ ГАВ5, отличающийся от ГАВ1,4 тем, что отведение фотонов из оптического волокна осуществляют без нарушения непрерывности оптического волокна КК канала, приближая к сердцевине оптоволокна сердцевину другого оптоволокна (с большим показателем преломления - топаз, фианит, алмаз) на расстояние столь малое, что туннелирование фотонов из оптоволокна КК канала в оптоволокно КА в условиях нарушенного полного отражения достаточно высоко вероятно, а введение фотонов из оптического волокна КА в оптоволокно КК осуществляют без нарушения непрерывности оптического волокна КК канала, приближая к сердцевине оптоволокна КК сердцевину другого оптоволокна (с малым показателем преломления - крон, литиевое стекло) на расстояние столь малое, что туннелирование фотонов из оптоволокна КА в оптоволокно канала КК в условиях нарушенного полного отражения достаточно высоко вероятно.

Способ ГАВ6, отличающийся от ГАВ1,4,5 тем, что усиление света проводят в однопроходном всеполяризационном широкополосном квантовом усилителе.

Способ ГАВ7, отличающийся от ГАВ1,4,5,6 тем, что КА заранее вводит в канал КК линию задержки между местом отведения и местом введения фотонов.               

Способ ГАВ8, отличающийся от ГАВ 4,5,6,7 тем, что КА использует 4 специфических рассекателя, 4 специфических усилителя и 4 специфических ввода фотонов.

КРИТИКА СПОСОБА ГАВ И ОТВЕТ НА ЭТУ КРИТИКУ

1. Фотоны-копии после квантового усилителя не всегда тождественны исходному.

Ответ: это верно, но статистически в большинстве случаев, как показали эксперименты, разброс поляризации копий не превышает половины разницы между поляризациями исходных фотонов. Поэтому, применяя квантовый усилитель с коэффициентом усиления >>1 и анализируя копии статистически, КА может с вероятностью, близкой к 1, узнать поляризацию исходного фотона.

2. Вследствие квантовой спутанности оба компонента пары Эйнштейна-Подольского-Розена коррелированы на любом расстоянии от источника. Поэтому попытка КА измерить поляризацию копий фотона приведёт к изменению поляризации и у Алисы (отправителя).

Ответ: теория квантовой спутанности, как отметил ещё Фок в 30-е гг. ХХ века, возникла вследствие её нерелятивистскости, то есть в молчаливом предположении, что скорость света бесконечна. Поэтому более или менее достоверными квантовую спутанность ЭПР-пар можно признать только на расстояниях порядка длины фотона, и есть мнение, что даже только на расстояниях порядка длины волны фотона. Практические же расстояния между Алисой и Бобом на много порядков превышают эти длины. Поэтому ЭПР-пары у Алисы, Сёмочки и Боба практически некоррелированы. Известные эксперименты, где якобы наблюдалось дальнодействие спутанных фотонов со сверхсветовой скоростью, критикуют за ошибочность методики.

3. Теорема о запрете клонирования не допускает возможности создания точных копий фотонов.

Ответ: создание ТОЧНЫХ копий неизвестного квантового состояния невозможно, спорить с этим оснований вроде бы нет (впрочем, теорема о запрете клонирования всего лишь нерелятивистская); но она не запрещает создавать приблизительные копии (см. выше). Как пишут теоретики, "Для этого нужно привести исходную систему во взаимодействие с большей вспомогательной системой и провести специальное унитарное преобразование комбинированной системы, в результате которого несколько компонентов большей системы станут приблизительными копиями исходной." Шут его знает, что точно хотели сказать теоретики, но результат понятен даже неграмотному - МОЖНО.

РЕЗУЛЬТАТЫ [8,10] :

1. КК в общепринятых вариантах их реализации нельзя считать стойкой.
2. КК вовсе не противоречит теореме Симмонса о количественном соотношении между секретностью и достоверностью, а соответствует ей.
3. При предложенном здесь способе вмешательства КА в информационный поток в КК канале у номинальных отправителя и получателя остаются следующие возможности улучшения стойкости: 1) анализ времени прохождения фотонов (синхронизация), 2) использование воздушного, а не оптоволоконного канала, 3) использование криптосистемы с открытым чрезмерно большим шифрблокнотом общего пользования [7].

ЛИТЕРАТУРА:

1. Семёнов Ю.А. Квантовая криптография. http://book.itep.ru/6/q_crypt.htm 
3. Габидулин Э.М. Лекции по основам криптологии. МФТИ, 1993.
4. R. J. Hughes, G. G. Luther, G. L. Morgan, C. G. Peterson and C. Simmons, "Quantum cryptography over optical fibers", Uni.of Calif., Physics Division, LANL, Los Alamos, NM 87545, USA.
5. Ландау Л.Д., Лифшиц Е.М. Курс теор. физики. Т.3. Квантовая механика. М., «Наука». 1984
6. Физический энциклопедический словарь. Ред. А.М. Прохоров. М., БРЭ. 1991.
7. Горшков А.В. О криптосист. с откр. шифрблокн. //Деп. ВИНИТИ 12.05.1995. N_1346-В95.
8. Горшков А.В. О нестойкости квантовой криптографии. // Труды 4-й междунар. конф. «Актуальные проблемы современной науки», сек. "Радиотехника и связь". Самара, 10-12.09.2003. Ч.12-16. С.39-42. //Российская научн. конф. "Проблемы экономического роста национальной экономики". 15-17.12.2003. Челябинск, ЮУрГУ. Сек. "Инф. технологии в экономике, управлении, бизнесе и образовании".
9. Горшков А.В. Об ядерном изотопическом и изомерном представлении информации в ЭВМ и ОВМ, о способах ее считывания и об их возможном применении в криптологии. 20.01.-13.02.2003. // Сб.тез. 9-й Всеросс. Научн. конф. студ.-физ. и мол. учёных ВНКСФ-9, Красноярск, 28 марта - 3 апреля 2003 г. : Тезисы докладов: в 2-х т. Т.1. Сек. "Электроника твёрдого тела". С.241-243. //41-я междун. науч. студ. конф. "Студент и научно-технический прогресс". Новосиб. Сек. "Физ.: Физ. ускорителей и элементарных частиц". 16 апреля 2003 г. ИЯФ СО РАН. Материалы XLI МНСК "СНТП", С.168.
10. Горшков А.В. О нестойкости квантовой криптографии. // 1-я Всероссийская научно-практическая конференция «Информационная безопасность региона». Челябинск, ЮУрГУ, 5-7 октября 2004 г., секция «Технические проблемы защиты информации». C.207-211. http://www.fml31.ru/newsite2/pages/gorshkov/04infbez.rar