EITC/IS/QCF Quantum Cryptography Fundamentals 是關於量子密碼學理論和實踐方面的歐洲 IT 認證計劃,主要關注量子密鑰分發 (QKD),它與 One-Time Pad 一起首次在歷史絕對(信息論)通信安全。
EITC/IS/QCF 量子密碼學基礎課程包括介紹量子密鑰分配、量子通信信道信息載體、複合量子系統、作為通信理論信息度量的經典和量子熵、QKD 準備和測量協議、基於糾纏的 QKD 協議、 QKD經典後處理(包括糾錯和隱私放大),量子密鑰分發的安全性(定義,竊聽策略,BB84協議的安全性,安全cia熵不確定關係),實用QKD(實驗與理論),實驗量子介紹密碼學,以及量子黑客,在以下結構中,包含全面的視頻教學內容,作為此 EITC 認證的參考。
量子密碼學涉及開發和實施基於量子物理定律而不是經典物理定律的密碼系統。 量子密鑰分發是量子密碼學最著名的應用,因為它為密鑰交換問題提供了信息理論上安全的解決方案。 量子密碼學的優勢在於允許完成已被證明或推測為僅使用經典(非量子)通信是不可能的各種密碼任務。 例如,複製以量子態編碼的數據是不可能的。 如果試圖讀取編碼數據,量子態將由於波函數坍縮(不可克隆定理)而改變。 在量子密鑰分發中,這可用於檢測竊聽(QKD)。
Stephen Wiesner 和 Gilles Brassard 的工作被認為建立了量子密碼學。 Wiesner,當時在紐約哥倫比亞大學,在 1970 年代初發明了量子共軛編碼的概念。 IEEE 信息理論學會拒絕了他的重要研究“共軛編碼”,但它最終於 1983 年在 SIGACT 新聞上發表。在這項研究中,他演示瞭如何在兩個“共軛可觀察量”中編碼兩條消息,例如線性和圓形光子偏振,因此可以接收和解碼其中一個,但不能同時接收和解碼。 直到 20 年在波多黎各舉行的第 1979 屆 IEEE 計算機科學基礎研討會上,IBM Thomas J. Watson 研究中心的 Charles H. Bennett 和 Gilles Brassard 才發現如何整合 Wiesner 的結果。 “我們認識到光子從來不是用來存儲信息的,而是用來傳遞信息的”,Bennett 和 Brassard 在 84 年基於他們之前的工作推出了一個名為 BB1984 的安全通信系統。 遵循 David Deutsch 使用量子非局部性和貝爾不等式來完成安全密鑰分配的想法,Artur Ekert 在 1991 年的一項研究中更深入地研究了基於糾纏的量子密鑰分配。
Kak 的三階段技術建議雙方隨機旋轉其極化。 如果採用單光子,該技術理論上可以用於連續、牢不可破的數據加密。 它已經實現了基本的偏振旋轉機制。 這是一種完全基於量子的加密方法,與使用經典加密的量子密鑰分發相反。
量子密鑰分發方法基於 BB84 方法。 MagiQ Technologies, Inc.(美國馬薩諸塞州波士頓)、ID Quantique(瑞士日內瓦)、QuintessenceLabs(澳大利亞堪培拉)、東芝(日本東京)、QNu Labs 和 SeQureNet 都是量子密碼系統的製造商(巴黎, 法國)。
優點
密碼學是數據安全鏈中最安全的環節。另一方面,相關方不能指望加密密鑰將永久保持安全。與傳統密碼學相比,量子密碼學能夠對數據進行更長時間的加密。科學家們無法保證使用傳統密碼學加密超過 30 年,但一些利益相關者可能需要更長的保護期。以醫療保健行業為例。截至 85.9 年,2017% 的辦公室醫生使用電子病歷系統來存儲和傳輸患者數據。根據《健康保險流通與責任法案》,病歷必須保密。紙質病歷通常在經過一定時間後被焚毀,而計算機化記錄會留下數字痕跡。使用量子密鑰分發可以保護電子記錄長達 100 年。量子密碼學也適用於政府和軍隊,因為政府通常將軍事材料保密近 60 年。也已經證明,即使通過噪聲信道長距離傳輸量子密鑰分配也可以是安全的。它可以從有噪聲的量子方案轉換為經典的無噪聲方案。經典概率論可以用來解決這個問題。量子中繼器可以幫助實現對噪聲信道的持續保護。量子中繼器能夠有效地解決量子通信故障。為了確保通信安全,作為量子計算機的量子中繼器可以作為分段部署在噪聲信道上。量子中繼器通過在連接通道段以形成安全通信線路之前對其進行淨化來實現這一點。在長距離內,低於標準的量子中繼器可以通過嘈雜的信道提供有效的保護。
應用
量子密碼學是一個廣義的術語,指的是各種密碼技術和協議。 以下部分介紹了一些最著名的應用程序和協議。
量子密鑰分發
使用量子通信在兩方(例如,Alice 和 Bob)之間建立共享密鑰而無需第三方(Eve)了解該密鑰的任何技術,即使 Eve 可以竊聽 Alice 和 Bob 之間的所有通信,是已知的作為QKD。 如果 Eve 試圖收集有關正在建立的密鑰的知識,就會產生差異,從而引起 Alice 和 Bob 的注意。 一旦建立了密鑰,它通常用於通過傳統方法加密通信。 例如,交換的密鑰可能用於對稱加密(例如一次性密碼)。
理論上可以建立量子密鑰分發的安全性,而不會對竊聽者的技能施加任何限制,這是經典密鑰分發無法實現的。儘管需要一些最小的假設,例如量子物理學適用並且 Alice 和 Bob 可以相互驗證,但 Eve 不應該能夠冒充 Alice 或 Bob,因為中間人攻擊是可能的。
雖然 QKD 看起來是安全的,但它的應用面臨著實際挑戰。 由於傳輸距離和密鑰生成率的限制,情況就是這樣。 技術的不斷研究和發展使這些限制的未來發展成為可能。 盧卡馬里尼等人。 在 2018 年提出了一個雙場 QKD 系統,該系統可能能夠克服有損通信信道的速率損失縮放。 在 340 公里的光纖中,雙場協議的速率被證明超過了有損信道的密鑰協議容量,稱為無中繼器 PLOB 約束; 它的理想速率在 200 公里處已經超過了這個界限,並且遵循更高中繼器輔助密鑰協議容量的速率損失縮放(更多細節請參見圖 1)。 根據協議,理想的密鑰速率可以使用“550 公里的傳統光纖”來實現,該光纖已經廣泛用於通信。 被稱為第一個有效量子中繼器的 Minder 等人證實了 2019 年 QKD 超出速率損失限制的第一次實驗演示中的理論發現。TF-QKD 的發送-不發送 (SNS) 變體協議是實現長距離高速率方面的重大突破之一。
不信任的量子密碼學
不信任密碼學的參與者彼此不信任。例如,愛麗絲和鮑勃合作完成雙方提供私人輸入的計算。另一方面,愛麗絲不信任鮑勃,鮑勃也不信任愛麗絲。因此,加密作業的安全實施需要 Alice 保證 Bob 在計算完成後沒有作弊,並且 Bob 保證 Alice 沒有作弊。承諾方案和安全計算,後者包括硬幣翻轉和不經意轉移的任務,是不信任密碼任務的例子。不可信密碼學領域不包括密鑰分發。不信任量子密碼學研究了量子系統在不信任密碼學領域的使用。
與僅通過量子物理定律即可實現無條件安全性的量子密鑰分發相比,有禁止定理證明,在各種任務不信任的情況下,僅通過量子物理定律無法實現無條件安全協議密碼學。 然而,如果協議同時利用量子物理學和狹義相對論,其中一些工作可以絕對安全地進行。 例如,Mayers 和 Lo 和 Chau 證明絕對安全的量子比特承諾是不可能的。 Lo 和 Chau 證明了無條件安全完美的量子硬幣翻轉是不可能的。 此外,Lo 證明了用於二分之一不經意傳輸和其他安全兩方計算的量子協議不能保證是安全的。 另一方面,肯特已經展示了用於硬幣翻轉和比特承諾的無條件安全相對論協議。
量子硬幣翻轉
與量子密鑰分發不同,量子硬幣翻轉是一種在互不信任的兩方之間使用的機制。 參與者通過量子通道進行通信,並通過量子比特傳輸交換數據。 然而,由於愛麗絲和鮑勃彼此不信任,他們都希望對方作弊。 因此,為了達到預期的結果,必須花費更多的工作來確保 Alice 和 Bob 都沒有明顯的優勢。 偏見是影響特定結果的能力,並且在設計協議以消除不誠實玩家的偏見(也稱為作弊)方面付出了很多努力。 量子通信協議(例如量子硬幣翻轉)已被證明比傳統通信提供了相當大的安全優勢,儘管它們在實踐中可能難以實施。
下面是一個典型的硬幣翻轉協議:
- Alice 選擇一個基(直線或對角線)並在該基中生成一串光子以傳遞給 Bob。
- Bob 選擇直線或對角線基隨機測量每個光子,並註意他使用的基數和記錄值。
- Bob 公開猜測 Alice 發送她的量子比特的基礎。
- 愛麗絲揭示了她選擇的基礎並將她的原始字符串發送給鮑勃。
- Bob 通過將 Alice 的字符串與他的表進行比較來確認它。 它應該與 Bob 在 Alice 的基礎上進行的測量完全相關,並且與相反的情況完全不相關。
當玩家試圖影響或提高特定結果的可能性時,這被稱為作弊。協議不鼓勵某些形式的作弊行為;例如,Alice 可以聲稱 Bob 在第 4 步正確猜測時錯誤地猜測了她的初始基礎,但是 Alice 必須生成一個新的量子比特串,該串與 Bob 在對面表中測量的值完全相關。隨著傳輸的量子比特數量的增加,她生成匹配的量子比特串的機會呈指數級減少,如果 Bob 注意到不匹配,他就會知道她在撒謊。 Alice 可能通過組合狀態類似地構造一串光子,但 Bob 很快會發現她的串將在某種程度上(但不完全)與桌子的兩邊對應,表明她作弊了。當代量子設備也存在固有的弱點。 Bob 的測量會受到錯誤和丟失量子比特的影響,從而導致他的測量表出現漏洞。 Bob 在步驟 5 中驗證 Alice 的量子比特序列的能力將受到重大測量誤差的阻礙。
愛因斯坦-波多爾斯基-羅森 (EPR) 悖論是愛麗絲作弊的一種理論上確定的方式。 EPR 對中的兩個光子是反相關的,這意味著當在相同的基礎上測量時它們總是具有相反的極化。 Alice 可以創建一串 EPR 對,將其中一個發送給 Bob,另一個留給自己。 當 Bob 說出他的猜測時,她可以在相反的基礎上測量她的 EPR 對光子並獲得與 Bob 的相反表的完美相關性。 鮑勃不會知道她作弊了。 然而,這需要量子技術目前缺乏的技能,因此無法在實踐中實現。 為了解決這個問題,Alice 需要能夠長時間存儲所有光子,並以近乎完美的精度對其進行測量。 這是因為在存儲或測量過程中丟失的每個光子都會在她的弦上留下一個洞,她必須用猜測來填補。 她必須做出的猜測越多,她就越有可能被鮑勃發現作弊。
量子承諾
當涉及不信任方時,除了量子硬幣翻轉外,還使用量子承諾方法。 承諾方案允許一方 Alice 以這樣一種方式固定一個值(以“提交”),即 Alice 無法更改它,並且接收者 Bob 在 Alice 揭示它之前無法了解它的任何信息。 密碼協議經常使用這樣的承諾機制(例如量子硬幣翻轉、零知識證明、安全的兩方計算和不經意傳輸)。
它們在量子環境中特別有用:Crépeau 和 Kilian 證明,可以從承諾和量子通道構建用於執行所謂的不經意傳輸的無條件安全協議。 另一方面,Kilian 已經證明,不經意傳輸可用於以安全方式構建幾乎任何分佈式計算(所謂的安全多方計算)。 (注意我們在這裡有點草率:Crépeau 和 Kilian 的發現並沒有直接表明可以通過承諾和量子通道執行安全的多方計算。這是因為結果並不能確保“可組合性”,即意味著當您將它們結合起來時,您可能會失去安全性。
不幸的是,早期的量子承諾機制被證明是錯誤的。 Mayers 證明了(無條件安全的)量子承諾是不可能的:任何量子承諾協議都可以被計算上無限的攻擊者破壞。
然而,Mayers 的發現並不排除使用比不採用量子通信的承諾協議所需的假設要弱得多的假設來構建量子承諾協議(以及因此安全的多方計算協議)的可能性。 可以利用量子通信來開發承諾協議的一種情況是下面描述的有界量子存儲模型。 2013 年 XNUMX 月的一項發現通過結合量子理論和相對論提供了“無條件”的信息安全,這在全球範圍內首次得到有效證明。 王等人。 提出了一種新的承諾系統,其中“無條件隱藏”是理想的。
密碼承諾也可以使用物理上不可克隆的函數來構建。
有界和有噪聲的量子存儲模型
受約束的量子存儲模型可用於創建無條件安全的量子承諾和量子無意識傳輸 (OT) 協議 (BQSM)。在這種情況下,假設對手的量子數據存儲容量受到已知常數 Q 的限制。但是,對手可以存儲多少經典(非量子)數據沒有限制。
可以在 BQSM 中構建承諾和不經意的轉移程序。 以下是基本概念:多於 Q 個量子比特在協議方(量子比特)之間進行交換。 因為即使是不誠實的對手也無法存儲所有數據(對手的量子存儲器僅限於 Q 個量子比特),因此必須測量或銷毀相當一部分數據。 通過強制不誠實方測量相當一部分數據,該協議可以避免不可能的結果,允許使用承諾和不經意的傳輸協議。
Damgrd、Fehr、Salvail 和 Schaffner 在 BQSM 中的協議不假設誠實的協議參與者保留任何量子信息; 技術要求與量子密鑰分發協議中的技術要求相同。 因此,至少在理論上,這些協議可以用當今的技術來實現。 對手的量子存儲器上的通信複雜度只是一個高於界限 Q 的常數因子。
BQSM 的優點是在對手的量子記憶是有限的前提下是現實的。 使用當今的技術,即使長時間可靠地存儲單個量子比特也很困難。 (“足夠長”的定義由協議的細節決定。通過在協議中添加人為間隙,可以任意延長對手保留量子數據所需的時間。)
Wehner、Schaffner 和 Terhal 提出的噪聲存儲模型是 BQSM 的擴展。 允許對手使用任何大小的有缺陷的量子存儲設備,而不是對對手的量子存儲器的物理大小設置上限。 嘈雜的量子通道用於對不完美程度進行建模。 與 BQSM 中相同的原語可能會在足夠高的噪聲水平下產生,因此 BQSM 是噪聲存儲模型的一個特例。
通過對對手可以存儲的經典(非量子)數據的數量施加限制,可以在經典情況下獲得類似的發現。 然而,已經證明,在這個模型中,誠實方同樣必須消耗大量內存(對手的內存界限的平方根)。 因此,這些方法對於現實世界的內存限制是不可行的。 (值得注意的是,以今天的技術,例如硬盤,對手可能會以低廉的價格存儲大量的傳統數據。)
基於位置的量子密碼學
基於位置的量子密碼學的目的是使用玩家的(唯一)憑證:他們的地理位置。 例如,假設您希望向特定位置的玩家發送消息,並確保只有在接收者也在該位置時才能閱讀該消息。 位置驗證的主要目標是讓玩家 Alice 說服(誠實的)驗證者她在特定位置。 錢德蘭等人。 證明了使用傳統協議的位置驗證在存在合作對手的情況下是不可能的(他們控制所有位置,除了證明者聲明的位置)。 在對對手的各種限制下,方案是可能的。
肯特在 2002 年以“量子標記”的綽號研究了第一個基於位置的量子系統。 2006年獲得美國專利。 2010 年,利用量子效應進行位置驗證的想法首次發表在學術期刊上。 在 2010 年提出了其他幾個用於位置驗證的量子協議之後,Buhrman 等人。 聲稱一個普遍的不可能結果:勾結的對手總是可以通過使用大量的量子糾纏使驗證者看起來他們處於聲稱的位置(他們在誠實玩家操作的量子比特數中使用雙倍指數的 EPR 對在)。 然而,在有界或有噪聲的量子存儲範式中,這一結果並不排除可行方法的可能性(見上文)。 Beigi 和 König 後來將廣泛攻擊位置驗證方法所需的 EPR 對數量增加到指數級。 他們還證明了一個協議對於只控制線性數量的 EPR 對的對手是安全的。 由於時間-能量耦合,使用量子效應進行形式化無條件位置驗證的前景仍然是一個未解決的主題。值得注意的是,對基於位置的量子密碼學的研究與基於端口的量子隱形傳態協議有關,後者是量子隱形傳態的更高級變體,其中多個 EPR 對同時用作端口。
設備無關的量子密碼學
如果量子密碼協議的安全性不依賴於所使用的量子設備的真實性,則稱其與設備無關。 因此,故障甚至惡意設備的情況必須包括在此類協議的安全分析中。 Mayers 和 Yao 建議使用“自我測試”量子設備設計量子協議,其內部操作可以通過其輸入輸出統計數據唯一標識。 之後,羅傑·科爾貝克在他的論文中提倡使用貝爾測試來評估這些小工具的真實性。 從那時起,許多問題已被證明允許無條件安全和設備獨立的協議,即使執行貝爾測試的實際設備明顯“嘈雜”,即遠非理想。 量子密鑰分配、隨機性擴展和隨機性放大就是這些問題的例子。
Arnon-Friedman 等人進行的理論研究。 2018 年的研究表明,利用被稱為“熵累積定理 (EAT)”的熵屬性,它是漸近均分屬性的擴展,可以保證設備獨立協議的安全性。
後量子密碼學
量子計算機可能會成為一種技術現實,因此研究可用於對付有權使用量子計算機的敵人的密碼算法至關重要。後量子密碼學是用於描述此類方法研究的術語。許多流行的加密和簽名技術(基於 ECC 和 RSA)可以使用 Shor 算法在量子計算機上分解和計算離散對數來破解,因此需要後量子密碼學。 McEliece 和基於格的方案,以及大多數對稱密鑰算法,是當今知識對量子對手安全的方案示例。可以進行後量子密碼學調查。
現有的加密算法也正在研究中,以了解如何更新它們以應對量子對手。 例如,在開發對量子攻擊者安全的零知識證明系統時,需要新的策略:在傳統環境中,分析零知識證明系統通常需要“倒帶”,這種技術需要復制對手的內部狀態。 因為在量子上下文中復制狀態並不總是可能的(不可克隆定理),所以必須應用倒帶方法。
後量子算法有時被稱為“抗量子”,因為與量子密鑰分發不同,未知或可證明未來的量子攻擊不會成功。 NSA 宣布有意遷移到抗量子算法,儘管它們不受 Shor 算法的約束。 美國國家標準與技術研究院 (NIST) 認為應該考慮量子安全原語。
超越量子密鑰分發的量子密碼學
到目前為止,量子密碼學一直與量子密鑰分發協議的發展相關聯。 不幸的是,由於需要建立和操作多對秘密密鑰,通過量子密鑰分發傳播密鑰的對稱密碼系統對於大型網絡(許多用戶)變得低效(所謂的“密鑰管理問題”)。 此外,此發行版無法處理日常生活中至關重要的廣泛的附加加密過程和服務。 與包含用於密碼轉換的經典算法的量子密鑰分發不同,Kak 的三階段協議已被呈現為一種完全量子的安全通信方式。
除了密鑰分發之外,量子密碼學的研究還包括量子消息認證、量子數字簽名、量子單向函數和公鑰加密、量子指紋識別和實體認證(例如,參見 PUF 的量子讀出)等。
實際實現
至少在原則上,量子密碼學似乎是信息安全領域的一個成功轉折點。 然而,沒有任何加密方法是完全安全的。 量子密碼學在實踐中只是有條件的安全,依賴於一組關鍵假設。
單光子源的假設
在量子密鑰分發的理論基礎中假設單光子源。另一方面,單光子源很難構建,大多數現實世界的量子加密系統都依賴微弱的激光源來傳輸數據。竊聽者攻擊,尤其是光子分裂攻擊,可以利用這些多光子源。竊聽者 Eve 可以將多光子源分成兩份,自己留一份。剩餘的光子隨後被發送給 Bob,沒有跡象表明 Eve 已經收集了數據的副本。科學家聲稱,利用誘餌狀態來測試竊聽者的存在可以保證多光子源的安全。然而,科學家們確實在 2016 年生產了一個近乎完美的單光子源,他們相信在不久的將來會開發出一個。
假設檢測器效率相同
在實踐中,量子密鑰分發系統使用兩個單光子探測器,一個用於 Alice,一個用於 Bob。 這些光電探測器經過校準,可以在毫秒間隔內探測到入射光子。 由於它們之間的製造差異,兩個檢測器的檢測窗口將發生有限量的位移。 通過測量 Alice 的量子比特並向 Bob 傳遞一個“假狀態”,一個名叫 Eve 的竊聽者可以利用探測器的低效率。 Eve 收集 Alice 發送的光子,然後生成一個新的光子傳遞給 Bob。 Eve 篡改了“偽造”光子的相位和時間,以至於 Bob 無法檢測到竊聽者。 消除此漏洞的唯一方法是消除光電探測器效率差異,由於有限的製造公差會產生光路長度差異、線長差異和其他問題,這具有挑戰性。
要詳細了解認證課程,您可以擴展和分析下表。
EITC/IS/QCF 量子密碼學基礎認證課程以視頻形式引用了開放獲取的教學材料。 學習過程分為逐步結構(課程 -> 課程 -> 主題),涵蓋相關課程部分。 還提供與領域專家的無限諮詢。
有關認證程序檢查的詳細信息 如何操作.
下載 EITC/IS/QCF 量子密碼學基礎課程的完整離線自學準備資料(PDF 檔案)