Как устроена квантовая криптография?

HARALD RITSCH/Science Photo Library/East News
Как защитить информацию раз и навсегда, используя фундаментальные свойства нашей Вселенной?
Сергей Молотков
доктор физико-математических наук, профессор кафедры суперкомпьютеров и квантовой информатики факультета вычислительной математики и кибернетики МГУ, заведующий лабораторией спектроскопии поверхности полупроводников Института физики твердого тела РАН

 

Немного предыстории

Термин «квантовая криптография» — синоним квантового распределения ключей. Чтобы понять, что такое ключи и что такое вообще криптография, стоит начать с классического случая. Представим, что я — отправитель, а вы — получатель. Для того чтобы я мог вам передавать информацию и никто, кроме нас, эту информацию никогда не прочел, должен быть заранее приготовлен некий общий секрет, который знаем только мы. Можно этим секретом много раз шифровать одну и ту же информацию.

Что такое шифр? В простейшем случае это когда вы заменяете каждый символ своего сообщения каким-то другим. Есть исторический пример — шифр Цезаря: вы пишете латиницей, а дальше каждую букву заменяете на букву, которая на три позиции от нее отстоит. Секретом является количество позиций, на которые вы эту букву сдвигаете. Это и есть общий ключ. Ключ неизвестен изначально, но если вы это делаете много раз, то можно его подобрать, двигаясь на некое количество позиций, пока не возникнет осмысленный текст. В общем, таких шифров человечеством придумано было много, и люди полагали, что их невозможно взломать. Но впоследствии оказалось, что взломать можно, и даже великие в этом вопросе ошибались. 

Ситуация радикально изменилась в 1918 году. Гилберт Вернам додумался до running keys («бегущие ключи»). Выглядело это так: у вас есть текст, который можно превратить в 0 и 1. Вы их просто складываете по двоичной арифметике, и получается шифр. На обратной стороне он расшифровывается с помощью ключа — общего секрета. Ключом были тоже 0 и 1, они были записаны на циклической ленте, которая ходила по кругу. Когда Вернам сдавал эту тему, в приемной комиссии был представитель заказчика — майор Моборн, и он обратил внимание на то, что с какого-то момента ключ стал повторяться. Майор сообразил, что, наверное, это плохо, и сказал: «А что будет, если мы эту ленту сделаем бесконечной?» В 1926 году они сделали патент. Это были предтечи одноразовых ключей.

Следующий шаг сделал наш соотечественник — академик Котельников. 19 июня 1941 года Владимир Александрович доказал, что можно сделать системы шифрования с одноразовыми ключами. Открытое сообщение и случайный ключ, который меняется каждый раз, — это принципиально невзламываемая система, даже теоретически. Следующий шаг совершил Клод Шеннон — отец классической теории информации. Он работал в Bell и тоже придумал систему шифрования с одноразовыми ключами.

Далее мы упираемся в центральную проблему, которая называется симметричной криптографией. Когда мы сидим тет-а-тет, мы можем, спрятавшись от всех, на листочке нагенерировать случайную последовательность 0 и 1, потом разойтись и послать сообщение. А что нам делать в следующий раз, когда надо этот ключ передать, распределить? Мы находимся на расстоянии, между нами только канал связи, и он должен быть секретным. А секретный канал сам по себе требует секретных ключей. Получается замкнутый круг. Так вот, квантовая криптография, или квантовое распределение ключей, этот порочный круг рвет.

За счет чего работает квантовая криптография

Объясню на примере. Представьте, что вы включаете свой приемник, я включаю свой, и вообще все вокруг включат, допустим, радиостанции. Мы друг другу не мешаем, сигнал не портится. Передатчик испускает электромагнитные волны. Как мы знаем, электромагнитные волны содержат множество фотонов — отдельных квантов. И этот квант неделим.

Что же происходит? Передатчик испускает радиоволны или световые волны, и этих квантов там много. Ваш приемник часть этих квантов сигнала отбирает, преобразует в звук или в изображение, но их остается еще много. А теперь давайте понизим уровень сигнала — уменьшим количество фотонов до одного. У этого фотона тоже может быть разное состояние. Например, поляризация, когда электрическое поле колеблется вертикально: оно либо такое, либо такое. Одно состояние я пропишу 0, а второе — 1. Передатчик по традиции называют Алисой. И с его помощью мы передаем состояние: посылаем либо 0, либо 1.

А теперь представьте, что я одну поляризацию посылаю перпендикулярную, а вторую —немножко под наклоном. Это как поляризационные очки: повернули так — вы не видите, повернули иначе — видите. Такой же принцип у ортогональной поляризации. У вас есть одна попытка, но вы не знаете, как повернуть поляризатор. Если вы его поставите вертикально, фотон пройдет, детектор щелкнет. Но возникает вопрос, что это для вас: 0 или 1? Попытка улавливать эти фотоны приводит к тому, что детектор неточно получает даже посланный сигнал, не говоря уже о том, чтобы его расшифровать.

Любые попытки подслушивания будут замечены. Как бы злоумышленник ни ставил поляризатор, он неизбежно будет ошибаться. Он может перепосылать — это не самая умная стратегия, она тоже приводит к ошибкам. А зная процент ошибок, вы можете сказать, сколько информации утекло к подслушивателю.

Что мы уже умеем

На каком технологическом уровне находится квантовое шифрование? Мы знаем, что нужны одиночные фотоны, и к этому приближаемся. Однофотонные источники — это практически реальность сегодняшнего дня. Есть такие источники, которые испускают почти по одному фотону. Используется так называемый квазиоднофотонный сигнал. То есть берется интенсивный телекоммуникационный лазер и ослабляется так, что в основном летит один фотон.

Затухание происходит, но то, что фотон сам по себе пропал, — это не страшно. Проблема состоит в ложных срабатываниях детекторов, которые регистрируют одиночные фотоны. Детектор — не совсем совершенное устройство, он сам по себе шумит. Когда прилетает фотон, загорается лампочка. Но он может выдать импульс тока и просто так, когда ничего не прилетает: щелкнет — и вы запишете сигнал. Вы же не знаете, из-за чего сработал детектор: подслушиватель вам «нагадил», либо это просто шум прибора. Когда детекторы сами по себе шумят и ничего не прилетает, процент ошибок около 50%.

Пока приемлемые расстояния, на которых можно работать, — 100 км. Используется обычное телекоммуникационное волокно, твердотельные детекторы. Сверхпроводящие детекторы шумят поменьше. Есть специальные протоколы SNS-TF — это волокно с пониженными потерями, рекорд передачи сейчас — 600 км. Волоконные системы ограничены расстоянием: передача возможна на сотни километров.

Но можно передавать ключи через открытое пространство — космос. И, собственно, китайцы такой спутник уже запустили («Мо-цзы»). Делу мешает атмосфера — 10 км, где помехи, турбулентность. Зато дальше фотоны летят и никуда не поглощаются. Поэтому глобально между континентами можно передавать сигналы через спутники. И такой эксперимент был. Китайцы совместно с европейцами зашифровали картинку (Шредингер и китайский философ) и сгенерировали одноразовые ключи. Процесс происходил долго, с шумами. Но в целом тенденция такова: передача сигнала через открытое пространство дополнит волоконные системы.

Подробнее смотрите в передаче «Вопрос науки» на канале «Наука»:

От искусства до науки: 10 фактов из истории криптографии

Квантовый интернет — как это?

Как применять квантовый компьютер на практике