Universität Stuttgart Hauptseminar in Theoretischer Physik SS2011 Quanten-Kryptographie Robert „Bob“ Wulfert 26.07.2011 1 Inhalt 1. Klassische Kryptographie 2. Quantenkryptographie 3. Quantum-Key-Distribution (QKD) Protokolle 4. Technische Umsetzung 5. Sicherheit 6. Zusammenfassung 2 1. Klassische Kryptographie 1.1 Terminologie Kryptologie Kryptographie Kryptoanalysis (Erstellen von Codes) (Brechen von Codes) Eve Alice Bob Verschlüsselung (encryption): Ein Algorithmus bzw. Kryptosystem kombiniert die Nachricht mit einem Schlüssel (key) zu einem Kryptogramm, aus welchem die ursprüngliche Nachricht nur mithilfe des Schlüssels wiederhergestellt werden kann. 3 1. Klassische Kryptographie Man unterscheidet zwei Klassen von Systemen: 1. Asymmetrische public-key Kryptosysteme 2. Symmetrische secret-key Kryptosysteme Verschlüsselung Verschlüsselung & Entschlüsselung Entschlüsselung 4 1. Klassische Kryptographie 1.2 Public-key Kryptosysteme computes public-key public-key chooses private-key Alice (sender) Eve encrypts message with public key ● Verschlüsselung mit public-key ● Entschlüsselung nur mit private-key ● Auf beliebig viele Parteien erweiterbar Bob (receiver) decrypts message with private key 5 1. Klassische Kryptographie 1.2 Public-key Kryptosysteme ● Sicherheit durch Asymmetrie in Komplexität von Berechnungen ● Dazu verwendet man sogenannte one-way-functions: ● – Man berechnet leicht f(x) für ein gegebenes x → polynomielle Zeitabhängigkeit von der Anzahl der Eingabebits – Es ist schwierig x aus einem gegebenen Funktionswert f(x) abzuleiten: → exponentielle Zeitabhängigkeit von der Anzahl der Eingabebits – Beispiel: RSA (1978) – Die Existenz eines schnellen Algorithmus zur Faktorisierung kann nicht prinzipiell ausgeschlossen werden. 6 1. Klassische Kryptographie 1.3 Secret-Key Kryptosysteme classical distribution of secret key Alice Bob Eve encrypts/decrypts message with secret key ● decrypts/encrypts message with secret key Absolut sicher, solange Alice und Bob im Besitz eines gemeinsamen geheimen Schlüssels sind. ● Der Schlüssel kann nur für eine einzige Übertragung genutzt werden. ● Hauptschwierigkeit: Verteilung des Schlüssels 7 1. Klassische Kryptographie 1.4 Vernam Protokoll (one-time-pad, 1926) ● Der Quelltext soll bereits digital als (0,1)-Folge der Länge n vorliegen. ● Der Schlüssel besteht aus einer (0,1)-Zufallsfolge ebenfalls mit Länge n ● Verschlüsselung durch gliedweise Addition modulo 2 ● Beispiel: Alice Quelltext 01101100 Schlüssel 10000110 Kryptogramm 1 1 1 0 1 0 1 0 public channel Bob Kryptogramm 1 1 1 0 1 0 1 0 Schlüssel 10000110 Quelltext 01101100 ● Bob erhält das Kryptogramm und addiert wiederum den Schlüssel modulo 2 ● Wegen x + 0 + 0 = x und x + 1 + 1 = x entsteht dann wieder der Quelltext ● Absolute Sicherheit bei Einhaltung aller Vorgaben (→ QKD) 8 2. Quantenkryptographie 2.1 Prinzipien der Quantenmechanik ● Die Quantenmechanik sagt uns was wir nicht tun können: – Keine Messung an einem Quantenmechanischen System ohne Störung des Systems – Keine gleichzeitige Messung zweier nicht kommutierender Observablen → Die Polarisation eines Photons kann nicht gleichzeitig in der vertikal-horizontalen Basis und der diagonalen Basis gemessen werden – ● ● Man kann einen unbekannten Quantenzustand nicht kopieren (no-cloning-Theorem) Diese Verbote gelten auch für einen Lauscher Eve In der Quantenkryptographie werden diese Verbote ausgenutzt um eine abhörsichere Übertragung zu gewährleisten 9 2. Quantenkryptographie 2.2 No-Cloning-Theorem Theorem: Es ist nicht möglich, einen unbekannten Quantenzustand perfekt zu klonen. Beweis: Eine lineare, unitäre Transformation U, die die Basiszustände | 0 > und | 1 > perfekt auf einen Anfangszustand | i > kopiert, lautet: Wollten wir hiermit einen unbekannten Zustand klonen, so erhielten wir Dies entspricht nicht dem gewünschten Zustand 10 2. Quantenkryptographie 2.3 Quantum-Key-Distribution (QKD) ● ● Die Quantenkryptographie baut auf dem klassischen Secret-key-Verfahren auf. Sie ergänzt dieses durch die Erzeugung und Verteilung des geheimen Schlüssels mittels quantenmechanischer Systeme. Quantum-Key-Distribution Alice Eve encrypts/decrypts message with secret key Bob decrypts/ecrypts message with secret key ● Die Sicherheit von QKD beruht auf Naturgesetzen. ● Es wird weiterhin ein klassischer Kommunikationskanal benötigt. ● Voraussetzung für absolute Sicherheit: Authentizität des klassischen Kanals 11 3. QKD-Protokolle 3.1 BB84-Protokoll (1984) quantum channel Alice Eve Bob classical channel ● ● ● Alice sendet Bob 2n Qubits, beispielsweise polarisierte Photonen. Sie präpariert dazu willkürlich Zustände aus einer der beiden Basen H (horizontal-vertikal) und D (diagonal): Bob wählt für die Messung der ankommenden Photonen ebenfalls eine zufällige Basis aus. Die Messwerte entsprechen der Nummerierung der Zustände. Fig.: Equator of Poincare-Sphere 12 3. QKD-Protokolle Photonennummer Alices Basis präparierter Zustand Bobs Basis Messergebnis (raw key) sifted key ● ● ● ● 1 H 2 D 3 D 4 H 5 H 6 D 7 H 8 D 9 D H 1 1 H Z D 0 0 D Z H 0 0 D 0 0 H 1 1 H Z D 1 1 Alice und Bob gleichen über den klassischen Kanal ihre für jedes Photon getroffene Wahl der Basis ab. Sie müssen also dazu in der Lage sein, eine eins-zu-eins Korrespondenz zwischen den gesendeten und den empfangenen Qubits herzustellen. Sie verwerfen die Qubits bei denen die Präparations- und die Messbasis nicht übereinstimmen. („sifting“) Die übrigen Messwerte sind perfekt korreliert und bilden den sogenannten „sifted-key“ mit der durchschnittlichen Länge n. Weder Alice noch Bob können den resultierenden Schlüssel vorher festlegen. Es ist vielmehr das Zusammenspiel ihrer zufälligen Entscheidungen welches den Schlüssel entstehen lässt. In diesem Sinn wird über den Quantenkanal allein keinerlei Information übertragen. 13 3. QKD-Protokolle 3.2 Angriffsmöglichkeiten für Eve: ● Fängt Eve die Photonen ab, so bemerkt Bob dies und das Protokoll wird abgebrochen. ● Eve kann sich keine Kopie der Photonen erstellen (no-cloning-Theorem) ● Intercept-resend-Strategie: quantum channel Alice Eve Bob classical channel Eve measures Photon compatible basis ½ ½ sends correct state + 50% information gain sends wrong state + no information gain ½ 1 ● incompatible basis ½ sifted key unflawed error in sifted key 75% QBER: 25% Alice und Bob vergleichen Teile des sifted-keys um einen Lauschangriff mit beliebiger Wahrscheinlichkeit auszuschliessen 14 3. QKD-Protokolle 3.3 Störung und Transinformation Alice perturbation ● Bob U Interaktion von Eve ohne Störung von Alices System: information Eve daraus erhält man ● Allgemein gilt also: Je mehr Information Eve erhalten will, desto mehr wird der ursprüngliche Zustand gestört. ● Die allgemeinste Transformation, die sie durchführen kann lautet: ● D ist ein Maß für die induzierte Störung (Dmax = 1/2) 15 3. QKD-Protokolle ● ● ● Definition: Transinformation I(X;Y) ist die Menge an Information die man über X bekommt wenn Y bekannt ist. Ziel von Eve ist es, für eine gegebene Störung D (und damit auch I(A;B)) I(A;E) zu maximieren. Eve's maximale Transinformation ist gegeben durch: 16 3. QKD-Protokolle 3.4 Fehlerkorrektur und privacy-amplification ● ● Alice ... 1 0 0 1 0 1 ... Bob ... 0 0 1 1 0 0 ... Alice wählt zufällige Bitpaare (a1,a2) des übertragenen Schlüssels aus und teilt Bob die Position der Bits im Code sowie den Wert a1+a2 (XOR) mit. Erhält Bob dasselbe Resultat, so behalten beide das erste Bit, falls nicht, werden sie verworfen. Alice und Bob erhalten so sukzessive einen fehlerlosen Schlüssel. Um Eves Information zu reduzieren wird ein Verfahren namens „privacy-amplification“ durchgeführt: Alice wählt wieder zufällige Bitpaare (a 1,a2) des übertragenen Schlüssels, teilt Bob diesmal jedoch nur die Position der Bits im Code mit. Beide ersetzen nun ihre beiden Bits durch ihr Ergebnis von a1+a2 bzw. b1+b2 . Hat Eve an einer der beiden Positionen einen fehlerhaften Eintrag, so wird ihr Ergebnis e1+e2 falsche sein und sie verliert Information. ● Für D < DC lässt sich durch Hintereinanderausführung der beiden obigen Verfahren immer ein sicherer Schlüssel übertragen werden. 17 3. QKD-Protokolle 3.5 BBM92-Protokoll ● ● ● ● ● ● ● Alice EPR source Bob Einfaches 2-QuBit Protokoll beruhend auf EPR-Korrelationen Die Quelle erzeugt maximal verschränkte Photonenpaare im drehsymmetrischen BellZustand Jeweils ein QuBit geht and Alice und Bob. Alice und Bob messen unabhängig voneinander in völlig zufälliger Weise die Polarisationen in einer der Basen H oder D. Über einen öffentlichen Kanal werden zu jedem Photonenpaar die Messbasen verglichen und die Ergebnisse mit unterschiedlichen Basen werden verworfen. Die verbleibenden Messergebnisse müssen perfekt korreliert sein, wenn nicht gelauscht wurde. Fehlerkorrektur und privacy-amplification wie beim BB84-Protokoll 18 3. QKD-Protokolle 3.6 Ekert-Protokoll (1991) ● Überprüfung der CHSH-Ungleichung ● Jeweils 3 Messbasen ● 2/9 der Qubits bilden sifted-key ● 7/9 der Qubits → Korrelationsfunktion ● BBM92 protocol Test of CHSH inequality Lauschangriff und Manipulation der Quelle ausgeschlossen Ekert protocol 19 4. Technische Umsetzung 4.1 Experiment: Entanglement-based quantum communication over 144km (2007) 20 4. Technische Umsetzung 4.1 Experiment: Entanglement-based quantum communication over 144km (2007) ● Überprüfung der Polarisationskorrelation mit der CHSH-Ungleichung ● Korrelationsfunktion ● Die Korrelationskoeffizienten ergeben den Bell-Parameter S : ● CHSH-Ungleichung: ● Maximale Verletzung laut QM: für die Polarisationswinkel: ● Experimenteller Wert: ● Eindrucksvolle Verletzung der CHSH-Ungleichung um 13 Standardabweichungen 21 4. Technische Umsetzung 4.2 off-the-shelf System: MAGIQ QPN 8505 ● Features: – Verwendung des BB84-Protokolls – Bis zu 140km Distanz – Bis zu hundert 256 Bit keys pro Sekunde – Verschlüsselung und QKD in einem Gerät und über denselben optischen Kanal – Netzwerkkompatibel 22 5. Sicherheit Theorem (Sicherheitsstatement für QKD): Wenn ● A1) die Quantenmechanik korrekt ist, und ● A2) die Authentifizierung sicher ist, und ● A3) unsere Geräte zuverlässig und sicher sind, dann erzeugt die QKD mit einer hohen Wahrscheinlichkeit einen zufälligen, geheimen Schlüssel. 23 5. Sicherheit 5.1 Authentifizierung ● Die Authentizität muss während der beinahe der gesamten QKD Prozedur gewährleistet sein Fig.: Stages of QKD 24 5. Sicherheit 5.1 Authentifizierung ● Ein authentischer klassischer Kanal ist essentiell für die Sicherheit von QKD. ● Klassischer Schlüssel benötigt bevor QKD Sequenz ● Wenn die Authentifizierung in der ersten Sequenz von QKD sicher ist, dann sind alle darauffolgenden Sequenzen informationstheoretisch sicher. authentication QKD quantum-key-expansion quantum-secret-growing 25 5. Sicherheit 5.2 Kerckhoff's Prinzip Die Sicherheit eines Kryptosystems darf nur auf der Geheimhaltung des Schlüssels basieren und nicht auf der Geheimhaltung des Algorithmus. ● Strenges „peer-review“ nur bei Veröffentlichung des Algorithmus ● Gegenteil: „security through obscurity“ ● Quanten-Kryptosysteme: – Theoretische Beschreibung von QKD öffentlich zugänglich. – Aber: Quanten-Kryptosysteme sind teuer und nicht vervielfältigbar. → kaum öffentliche Überprüfung der technischen Implementierungen möglich. ● Abweichungen von Theorie → mögliche Hintertüren 26 6. Zusammenfassung ● Quantenkryptographie → Quantum-Key-Distribution → Quantum-Key-Expansion ● Sicherheit steht und fällt mit Implementierung 27 Quellen ● ● ● Prof. D. Bruß - Skript zur Quanteninformationstheorie (WS2004/05) R. Ursin, F. Tiefenbacher, T. Schmitt-Manderbach, H. Weier, T. Scheidl, M. Lindenthal, B. Blauensteiner, T. Jennewein, J. Perdigues, P. Trojek, B. Ömer, M. Fürst, M. Meyenburg, J. Rarity, Z. Sodnik, C. Barbieri, H. Weinfurter, A. Zeilinger Entanglement-based quantum communication over 144 km, Nature Physics 3, 481 (2007) N. Gisin, G. Ribordy, W. Tittel, H. Zbinden Quantum Cryptography, Rev. Mod. Phys. 74, 145 (2002) ● M. Nielsen, I. Chuang – Quantum Computation and Quantum Information (2000) ● J. Audretsch – Verschränkte Systeme (2005) 28