Quantenkryptographie - 1. Institut für Theoretische Physik

Werbung
Universität Stuttgart
Hauptseminar in Theoretischer Physik SS2011
Quanten-Kryptographie
Robert „Bob“ Wulfert
26.07.2011
1
Inhalt
1. Klassische Kryptographie
2. Quantenkryptographie
3. Quantum-Key-Distribution (QKD) Protokolle
4. Technische Umsetzung
5. Sicherheit
6. Zusammenfassung
2
1. Klassische Kryptographie
1.1 Terminologie
Kryptologie
Kryptographie
Kryptoanalysis
(Erstellen von Codes)
(Brechen von Codes)
Eve
Alice
Bob
Verschlüsselung (encryption):
Ein Algorithmus bzw. Kryptosystem kombiniert die Nachricht mit einem Schlüssel (key)
zu einem Kryptogramm, aus welchem die ursprüngliche Nachricht nur mithilfe des
Schlüssels wiederhergestellt werden kann.
3
1. Klassische Kryptographie
Man unterscheidet zwei Klassen von Systemen:
1. Asymmetrische
public-key Kryptosysteme
2. Symmetrische
secret-key Kryptosysteme
Verschlüsselung
Verschlüsselung &
Entschlüsselung
Entschlüsselung
4
1. Klassische Kryptographie
1.2 Public-key Kryptosysteme
computes
public-key
public-key
chooses
private-key
Alice
(sender)
Eve
encrypts message with
public key
●
Verschlüsselung mit public-key
●
Entschlüsselung nur mit private-key
●
Auf beliebig viele Parteien erweiterbar
Bob
(receiver)
decrypts message with
private key
5
1. Klassische Kryptographie
1.2 Public-key Kryptosysteme
●
Sicherheit durch Asymmetrie in Komplexität von Berechnungen
●
Dazu verwendet man sogenannte one-way-functions:
●
–
Man berechnet leicht f(x) für ein gegebenes x
→ polynomielle Zeitabhängigkeit von der Anzahl der Eingabebits
–
Es ist schwierig x aus einem gegebenen Funktionswert f(x) abzuleiten:
→ exponentielle Zeitabhängigkeit von der Anzahl der Eingabebits
–
Beispiel:
RSA (1978)
–
Die Existenz eines schnellen Algorithmus zur Faktorisierung kann nicht prinzipiell
ausgeschlossen werden.
6
1. Klassische Kryptographie
1.3 Secret-Key Kryptosysteme
classical distribution of
secret key
Alice
Bob
Eve
encrypts/decrypts
message with
secret key
●
decrypts/encrypts
message with
secret key
Absolut sicher, solange Alice und Bob im Besitz eines gemeinsamen geheimen Schlüssels
sind.
●
Der Schlüssel kann nur für eine einzige Übertragung genutzt werden.
●
Hauptschwierigkeit: Verteilung des Schlüssels
7
1. Klassische Kryptographie
1.4 Vernam Protokoll (one-time-pad, 1926)
●
Der Quelltext soll bereits digital als (0,1)-Folge der Länge n vorliegen.
●
Der Schlüssel besteht aus einer (0,1)-Zufallsfolge ebenfalls mit Länge n
●
Verschlüsselung durch gliedweise Addition modulo 2
●
Beispiel:
Alice
Quelltext
01101100
Schlüssel
10000110
Kryptogramm 1 1 1 0 1 0 1 0
public
channel
Bob
Kryptogramm 1 1 1 0 1 0 1 0
Schlüssel
10000110
Quelltext
01101100
●
Bob erhält das Kryptogramm und addiert wiederum den Schlüssel modulo 2
●
Wegen x + 0 + 0 = x und x + 1 + 1 = x entsteht dann wieder der Quelltext
●
Absolute Sicherheit bei Einhaltung aller Vorgaben (→ QKD)
8
2. Quantenkryptographie
2.1 Prinzipien der Quantenmechanik
●
Die Quantenmechanik sagt uns was wir nicht tun können:
–
Keine Messung an einem Quantenmechanischen System ohne Störung des Systems
–
Keine gleichzeitige Messung zweier nicht kommutierender Observablen
→ Die Polarisation eines Photons kann nicht gleichzeitig in
der vertikal-horizontalen Basis und der diagonalen Basis
gemessen werden
–
●
●
Man kann einen unbekannten Quantenzustand nicht kopieren (no-cloning-Theorem)
Diese Verbote gelten auch für einen Lauscher Eve
In der Quantenkryptographie werden diese Verbote ausgenutzt um eine abhörsichere
Übertragung zu gewährleisten
9
2. Quantenkryptographie
2.2 No-Cloning-Theorem
Theorem: Es ist nicht möglich, einen unbekannten Quantenzustand perfekt zu klonen.
Beweis:
Eine lineare, unitäre Transformation U, die die Basiszustände | 0 > und | 1 > perfekt
auf einen Anfangszustand | i > kopiert, lautet:
Wollten wir hiermit einen unbekannten Zustand
klonen, so erhielten wir
Dies entspricht nicht dem gewünschten Zustand
10
2. Quantenkryptographie
2.3 Quantum-Key-Distribution (QKD)
●
●
Die Quantenkryptographie baut auf dem klassischen Secret-key-Verfahren auf.
Sie ergänzt dieses durch die Erzeugung und Verteilung des geheimen Schlüssels mittels
quantenmechanischer Systeme.
Quantum-Key-Distribution
Alice
Eve
encrypts/decrypts
message with
secret key
Bob
decrypts/ecrypts
message with
secret key
●
Die Sicherheit von QKD beruht auf Naturgesetzen.
●
Es wird weiterhin ein klassischer Kommunikationskanal benötigt.
●
Voraussetzung für absolute Sicherheit: Authentizität des klassischen Kanals
11
3. QKD-Protokolle
3.1 BB84-Protokoll (1984)
quantum channel
Alice
Eve
Bob
classical channel
●
●
●
Alice sendet Bob 2n Qubits, beispielsweise polarisierte Photonen. Sie präpariert dazu
willkürlich Zustände aus einer der beiden Basen H (horizontal-vertikal) und D (diagonal):
Bob wählt für die Messung der ankommenden Photonen ebenfalls
eine zufällige Basis aus.
Die Messwerte entsprechen der Nummerierung der Zustände.
Fig.: Equator of Poincare-Sphere
12
3. QKD-Protokolle
Photonennummer
Alices Basis
präparierter Zustand
Bobs Basis
Messergebnis (raw key)
sifted key
●
●
●
●
1
H
2
D
3
D
4
H
5
H
6
D
7
H
8
D
9
D
H
1
1
H
Z
D
0
0
D
Z
H
0
0
D
0
0
H
1
1
H
Z
D
1
1
Alice und Bob gleichen über den klassischen Kanal ihre für jedes Photon getroffene Wahl der
Basis ab. Sie müssen also dazu in der Lage sein, eine eins-zu-eins Korrespondenz zwischen
den gesendeten und den empfangenen Qubits herzustellen.
Sie verwerfen die Qubits bei denen die Präparations- und die Messbasis nicht
übereinstimmen. („sifting“)
Die übrigen Messwerte sind perfekt korreliert und bilden den sogenannten „sifted-key“ mit
der durchschnittlichen Länge n.
Weder Alice noch Bob können den resultierenden Schlüssel vorher festlegen. Es ist vielmehr
das Zusammenspiel ihrer zufälligen Entscheidungen welches den Schlüssel entstehen lässt. In
diesem Sinn wird über den Quantenkanal allein keinerlei Information übertragen.
13
3. QKD-Protokolle
3.2 Angriffsmöglichkeiten für Eve:
●
Fängt Eve die Photonen ab, so bemerkt Bob dies und das Protokoll wird abgebrochen.
●
Eve kann sich keine Kopie der Photonen erstellen (no-cloning-Theorem)
●
Intercept-resend-Strategie:
quantum channel
Alice
Eve
Bob
classical channel
Eve measures Photon
compatible basis
½
½
sends correct state
+ 50% information gain
sends wrong state
+ no information gain
½
1
●
incompatible basis
½
sifted key unflawed
error in sifted key
75%
QBER: 25%
Alice und Bob vergleichen Teile des sifted-keys um einen Lauschangriff mit beliebiger
Wahrscheinlichkeit auszuschliessen
14
3. QKD-Protokolle
3.3 Störung und Transinformation
Alice
perturbation
●
Bob
U
Interaktion von Eve ohne Störung von Alices System:
information
Eve
daraus erhält man
●
Allgemein gilt also: Je mehr Information Eve erhalten will, desto mehr wird der
ursprüngliche Zustand gestört.
●
Die allgemeinste Transformation, die sie durchführen kann lautet:
●
D ist ein Maß für die induzierte Störung (Dmax = 1/2)
15
3. QKD-Protokolle
●
●
●
Definition: Transinformation I(X;Y) ist die Menge an Information die man über X bekommt
wenn Y bekannt ist.
Ziel von Eve ist es, für eine gegebene Störung D (und damit auch I(A;B)) I(A;E) zu
maximieren.
Eve's maximale Transinformation ist gegeben durch:
16
3. QKD-Protokolle
3.4 Fehlerkorrektur und privacy-amplification
●
●
Alice
...
1
0
0
1
0
1
...
Bob
...
0
0
1
1
0
0
...
Alice wählt zufällige Bitpaare (a1,a2) des übertragenen Schlüssels aus und teilt Bob die
Position der Bits im Code sowie den Wert a1+a2 (XOR) mit. Erhält Bob dasselbe Resultat, so
behalten beide das erste Bit, falls nicht, werden sie verworfen. Alice und Bob erhalten so
sukzessive einen fehlerlosen Schlüssel.
Um Eves Information zu reduzieren wird ein Verfahren namens „privacy-amplification“
durchgeführt:
Alice wählt wieder zufällige Bitpaare (a 1,a2) des übertragenen Schlüssels, teilt Bob diesmal
jedoch nur die Position der Bits im Code mit. Beide ersetzen nun ihre beiden Bits durch ihr
Ergebnis von a1+a2 bzw. b1+b2 . Hat Eve an einer der beiden Positionen einen fehlerhaften
Eintrag, so wird ihr Ergebnis e1+e2 falsche sein und sie verliert Information.
●
Für D < DC lässt sich durch Hintereinanderausführung der beiden obigen Verfahren immer
ein sicherer Schlüssel übertragen werden.
17
3. QKD-Protokolle
3.5 BBM92-Protokoll
●
●
●
●
●
●
●
Alice
EPR
source
Bob
Einfaches 2-QuBit Protokoll beruhend auf EPR-Korrelationen
Die Quelle erzeugt maximal verschränkte Photonenpaare im drehsymmetrischen BellZustand
Jeweils ein QuBit geht and Alice und Bob.
Alice und Bob messen unabhängig voneinander in völlig zufälliger Weise die Polarisationen
in einer der Basen H oder D.
Über einen öffentlichen Kanal werden zu jedem Photonenpaar die Messbasen verglichen und
die Ergebnisse mit unterschiedlichen Basen werden verworfen.
Die verbleibenden Messergebnisse müssen perfekt korreliert sein, wenn nicht gelauscht
wurde.
Fehlerkorrektur und privacy-amplification wie beim BB84-Protokoll
18
3. QKD-Protokolle
3.6 Ekert-Protokoll (1991)
●
Überprüfung der CHSH-Ungleichung
●
Jeweils 3 Messbasen
●
2/9 der Qubits bilden sifted-key
●
7/9 der Qubits → Korrelationsfunktion
●
BBM92
protocol
Test of CHSH
inequality
Lauschangriff und Manipulation der
Quelle ausgeschlossen
Ekert
protocol
19
4. Technische Umsetzung
4.1 Experiment: Entanglement-based quantum communication over 144km (2007)
20
4. Technische Umsetzung
4.1 Experiment: Entanglement-based quantum communication over 144km (2007)
●
Überprüfung der Polarisationskorrelation mit der CHSH-Ungleichung
●
Korrelationsfunktion
●
Die Korrelationskoeffizienten ergeben den Bell-Parameter S :
●
CHSH-Ungleichung:
●
Maximale Verletzung laut QM:
für die Polarisationswinkel:
●
Experimenteller Wert:
●
Eindrucksvolle Verletzung der CHSH-Ungleichung um 13 Standardabweichungen
21
4. Technische Umsetzung
4.2 off-the-shelf System: MAGIQ QPN 8505
●
Features:
–
Verwendung des BB84-Protokolls
–
Bis zu 140km Distanz
–
Bis zu hundert 256 Bit keys pro Sekunde
–
Verschlüsselung und QKD in einem Gerät und über denselben optischen Kanal
–
Netzwerkkompatibel
22
5. Sicherheit
Theorem (Sicherheitsstatement für QKD):
Wenn
●
A1) die Quantenmechanik korrekt ist, und
●
A2) die Authentifizierung sicher ist, und
●
A3) unsere Geräte zuverlässig und sicher sind,
dann erzeugt die QKD mit einer hohen Wahrscheinlichkeit
einen zufälligen, geheimen Schlüssel.
23
5. Sicherheit
5.1 Authentifizierung
●
Die Authentizität muss während der beinahe der gesamten QKD Prozedur gewährleistet
sein
Fig.: Stages of QKD
24
5. Sicherheit
5.1 Authentifizierung
●
Ein authentischer klassischer Kanal ist essentiell für die Sicherheit von QKD.
●
Klassischer Schlüssel benötigt bevor QKD Sequenz
●
Wenn die Authentifizierung in der ersten Sequenz von QKD sicher ist, dann sind alle
darauffolgenden Sequenzen informationstheoretisch sicher.
authentication
QKD
quantum-key-expansion
quantum-secret-growing
25
5. Sicherheit
5.2 Kerckhoff's Prinzip
Die Sicherheit eines Kryptosystems darf nur auf der Geheimhaltung des
Schlüssels basieren und nicht auf der Geheimhaltung des Algorithmus.
●
Strenges „peer-review“ nur bei Veröffentlichung des Algorithmus
●
Gegenteil: „security through obscurity“
●
Quanten-Kryptosysteme:
–
Theoretische Beschreibung von QKD öffentlich zugänglich.
–
Aber: Quanten-Kryptosysteme sind teuer und nicht vervielfältigbar.
→ kaum öffentliche Überprüfung der technischen Implementierungen möglich.
●
Abweichungen von Theorie → mögliche Hintertüren
26
6. Zusammenfassung
●
Quantenkryptographie → Quantum-Key-Distribution → Quantum-Key-Expansion
●
Sicherheit steht und fällt mit Implementierung
27
Quellen
●
●
●
Prof. D. Bruß - Skript zur Quanteninformationstheorie (WS2004/05)
R. Ursin, F. Tiefenbacher, T. Schmitt-Manderbach, H. Weier, T. Scheidl, M. Lindenthal, B.
Blauensteiner, T. Jennewein, J. Perdigues, P. Trojek, B. Ömer, M. Fürst, M. Meyenburg, J.
Rarity, Z. Sodnik, C. Barbieri, H. Weinfurter, A. Zeilinger Entanglement-based quantum communication over 144 km, Nature Physics 3, 481 (2007)
N. Gisin, G. Ribordy, W. Tittel, H. Zbinden Quantum Cryptography, Rev. Mod. Phys. 74, 145 (2002)
●
M. Nielsen, I. Chuang – Quantum Computation and Quantum Information (2000)
●
J. Audretsch – Verschränkte Systeme (2005)
28
Herunterladen