量子密码学.ppt

1 量子密码学 从 不可破译的密码 到 量子骇客 戚兵bing qi utoronto ca电子与计算机工程系 多伦多大学 加拿大 2 信息时代 密码时代 儿子的生日 的前5位 姨妈的小名 3 如何记住你的密码 密码 65423木条长度 0 65423m 长度测量 读出密码 4 信息与测量 信息的获取涉及测量过程 测量精度决定可获取的信息量 经典物理测量过程可以不改变被测物体状态 窃听者可以获取信息而不被发现 量子物理测量过程一般会改变被测物体状态 测不准原理 量子力学提供了探测窃听的手段 5 报告内容 量子密码学简介 实际量子密钥分配 QKD 系统安全性研究安全漏洞及攻击方案防御措施总结 量子密钥分配 QKD 的基本原理 6 7 现代密码学中 不可破译 的密码 一次一密 加密方式 明文 011010 XOR110010 XOR Exclusive OR 101000 密文 通道 101000 密文 XOR110010 011010 明文 如果1 密钥的长度 信息的长度2 密钥只使用一次 一次一密 原理上绝对安全 Shannon1949 如何在发送者与接收者间建立密钥 密钥分配问题 发送者Alice 窃听者Eve 接收者Bob 密钥 密钥 VENONAProject SillyBugsCanKillSeriousCryptosystems SovietUnionspiedinManhattanproject Spies communicationswithMoscowwereencryptedbyone timepad Owingtoproceduralerrors Sovietre usedone time pad From1948to1951 numerousSovietspieswereuncoveredandprosecuted Today everyonecanviewtheseencryptedtables 8 9 量子力学 测量过程 对量子态产生扰动 量子密钥分配的基本原理 过高的比特误码率 窃听者的存在 10 要点1利用单个量子态编码 例如单个光子的偏振态 Eve可以进行 截取 测量 再发送 攻击 实例 BB84协议 1 11 Alice Bob 90 实例 BB84协议 2 要点2 两组非对易 基 Alice Bob随机改变 发送基 测量基 Alice Bob只保留 相同基 的数据 12 Alice编码基一 0 偏振 0 90 偏振 1 基二 45 偏振 0 135 偏振 1 Bob随机选取测量基 0 90 或 45 135 实例 BB84协议 3 实例 BB84协议 4 13 安全性的直观理解量子力学 不可能区分0 45 90 135 偏振的单光子 量子非克隆原理 Eve随机选取基测量 再发送 引入比特误差 25 Eve获得的信息量越大 比特误差率越高 安全性证明 建立比特误差率与Eve的最大信息量间的关系 只要I A B I A E 或者I A B I E B Alice和Bob就可以产生密钥 实际系统中噪声的影响无法区分噪声引入的比特误差与Eve引入的比特误差 保守的估计 所有的比特误差归结于Eve的攻击 高噪声的系统无法证明安全性 量子密钥分配中的传统信息通道 14 Alice与Bob间的传统认证通道防止 Man in the middle 攻击 利用传统密码学方法实现 Alice和Bob预先建立密钥 QKD 密钥扩展协议 比较编码基 测量基 比特误差率的估计 误差校正 ErrorCorrection 产生全同密钥 隐私放大 PrivacyAmplification 产生安全的密钥 现状及未来 15 实验系统距离 自由空间 150km 光纤 250km效率 50km 1Mbits S商用系统距离 100km 光纤 效率 10Kbits S 全球QKD网络传统中继站量子中继器卫星 欧盟 2008 美国 2005 日本 2010 中国 2009 16 QKD网络 17 商业化QKD系统 美国 MAGIQTECH 瑞士 IDQUANTIQUE 中国 安徽问天量子科技股份有限公司 实际量子密钥分配系统安全性研究 18 19 Quantumcryptography Seekingabsolutesecurity Quantumcryptographyistheoreticallyunbreakable yetahandfulofphysicistsarefindingwaystohackintoitssecrets GeoffBrumfielfindsouthow Nature447 372 373 24May2007 不可破译 的密码 20 理想QKD协议与实际系统的差别 QKD协议 Hilbert空间 21 研究方法 直接方法建立尽可能完善的模型 列出模型背后所有的假设 在实际系统中验证上述假设 间接方法寻找安全性证明中忽略的问题 针对上述问题设计攻击方案 量子骇客 设计补救措施 设计 不依赖 于实际系统的QKD协议 22 Gottesman Lo PhysicsToday 53 22 27 2000 Traditionally breakingcryptographicprotocolshasbeenconsideredtobeasimportantasmakingthem theprotocolsthatsurvivearemorelikelytobetrulysecure ThesamestandardwillhavetobeappliedtoQKD Hackingisaneffectivewaytofindpotentialloopholes 23 针对测量系统的攻击 实用的单光子探测器低探测效率 暗噪声 不能分辨光子数 24 后选择 Post selection 及潜在问题 什么是 Post selection 多次重复特定实验 选择性保留某些实验结果 Post selection应用前提 fairsampling 假设 BB84QKD协议中的Post selection只有一个单光子探测器响应 有效探测 两个单光子探测器同时响应 两个单光子探测器都没响应 25 Time shift 攻击 基本原理 1 工作在门控模式的单光子探测器 B Qi C H F Fung H K Lo andX Ma Quant Info Compu 7 73 2007 26 Eve随机 时移 量子信号 0 1or 1 0 对应每一个信号 特定的单光子探测器有更高的效率 Eve获得密钥部分信息 B Qi C H F Fung H K Lo andX Ma Quant Info Compu 7 73 2007 Time shift 攻击 基本原理 27 Time shift 攻击 实验 Y Zhao C H F Fung B Qi C Chen H K Lo PhysicalReviewA78042333 2008 商用QKD系统 瑞士 IDQUANTIQUE OVDL 可调光学延迟首次成功攻击商用QKD系统 28 攻击实验结果 Y Zhao C H F Fung B Qi C Chen andH K Lo PRA78 042333 2008 Lowerbound ignoringtheattack 6 81e 5 Upperbound consideringtheattack 6 76e 5 29 为什么攻击会成功 Alice将随机数编码在单光子的偏振态 Eve将她自己的随机数编码在同一个光子的其它自由度 时移 测量前 Alice的随机数同Eve的随机数相互独立 Bob的非理想探测器 探测效率不匹配 Post select Alice和Eve比特值相同的事件 fairsampling 不再成立 30 防御措施 精确检测信号到达时间 四相位调制方案 Bob随机改变单光子探测器与比特值的对应关系 C H F Fung K Tamaki B Qi H K Lo andX Ma QIC9 131 2009 探测器效率不匹配条件下的安全性证明 硬件措施 软件措施 31 教训 QKD协议的安全性 实际系统的安全性 Eve利用实际系统的不完善发起攻击 一旦发现了安全漏洞 找到相应的防御措施不太困难 如何寻找安全漏洞 Quantumhacking 更通用的解决方案 设计 不依赖 于实际系统的QKD协议 32 更通用的解决方案 1 四相位调制方案 Bob随机改变单光子探测器与比特值的对应关系 Eve即使知道特定的探测器响应 也无法获得对应的比特值 1 or 0 0 or 1 33 Failed detectorblindingattack 利用强光照射 单光子探测器进入线性工作状态 Eve进行 截取 再发送 攻击 只有当Bob和Eve使用的基相同 探测器才会相应 basisdependent post selection LarsLydersen etal NaturePhotonics4 686 689 2010 34 Time ReversedEPRQuantumKeyDistribution H Inamori Algorithmica34 pp 340 365 2002 假设 Alice与Bob正确制备量子态 优点 测量系统可以完全受Eve控制 更通用的解决方案 2 Basicidea AliceandBobcanperformBellinequalitiestestwithoutknowinghowthedeviceactuallyworks AslongasAliceandBobcanverifytheexistenceofentanglement itispossibletogeneratesecurekey 35 Deviceindependent QKD 1 2 1 D MayersandA C C Yao inProceedingsofthe39thAnnualSymposiumonFoundationsofComputerScience FOCS98 IEEEComputerSociety Washington DC 1998 p 503 2 A Ac n N Brunner N Gisin S Massar S PironioandV Scarani Phys Rev Lett 98 230501 2007 假设量子力学是正确的 测量基的选择是完全随机的 信息不能随意从Alice和Bob的系统中泄露出去 局限DI QKDishighlyimpracticalasitrequiresanearunitydetectionefficiencyandeventhengeneratesanextremelylowkeyrate oforder10 10bitperpulse atpracticaldistances 1 2 36 1 N Gisin S PironioandN Sangouard Phys Rev Lett 105 070501 2010 2 M CurtyandT Moroder Phys Rev A84 010304 R 2011 Deviceindependent QKD 37 总结 QKD协议的安全性 实际系统的安全性两种研究手段设计 不依赖 于实际系统的QKD协议攻击测试的重要性 38 Acknowledgements 39 Quantume