Grundlagen der EITC/IS/QCF-Quantenkryptografie

Den Arbeiten von Stephen Wiesner und Gilles Brassard wird die Etablierung der Quantenkryptographie zugeschrieben. Wiesner, damals an der Columbia University in New York, erfand in den frühen 1970er Jahren das Konzept der quantenkonjugierten Codierung. Die IEEE Information Theory Society lehnte seine wichtige Studie „Conjugate Coding“ ab, wurde aber schließlich 1983 in SIGACT News veröffentlicht , so dass beide, aber nicht beide empfangen und dekodiert werden können. Erst auf dem 20. IEEE Symposium on the Foundations of Computer Science, das 1979 in Puerto Rico stattfand, entdeckten Charles H. Bennett vom Thomas J. Watson Research Center von IBM und Gilles Brassard, wie man die Ergebnisse von Wiesner einbeziehen kann. „Wir haben erkannt, dass Photonen nie dazu gedacht sind, Informationen zu speichern, sondern sie zu übermitteln.“ Bennett und Brassard führten 84 ein sicheres Kommunikationssystem namens BB1984 ein, basierend auf ihren früheren Arbeiten. In Anlehnung an David Deutschs Idee, Quanten-Nichtlokalität und Bell-Ungleichung zu verwenden, um eine sichere Schlüsselverteilung zu erreichen, untersuchte Artur Ekert in einer Studie von 1991 die verschränkungsbasierte Quantenschlüsselverteilung eingehender.

Kaks dreistufige Technik schlägt vor, dass beide Seiten ihre Polarisation zufällig drehen. Werden einzelne Photonen eingesetzt, kann diese Technologie theoretisch für eine durchgängige, bruchsichere Datenverschlüsselung eingesetzt werden. Es wurde der grundlegende Polarisationsdrehmechanismus implementiert. Dies ist ein ausschließlich quantenbasiertes Kryptographieverfahren, im Gegensatz zur Quantenschlüsselverteilung, die klassische Verschlüsselung verwendet.

Quantenschlüsselverteilungsmethoden basieren auf der BB84-Methode. MagiQ Technologies, Inc. (Boston, Massachusetts, USA), ID Quantique (Genf, Schweiz), QuintessenceLabs (Canberra, Australien), Toshiba (Tokio, Japan), QNu Labs und SeQureNet sind alle Hersteller von Quantenkryptografiesystemen (Paris , Frankreich).

Vorteile

Kryptographie ist das sicherste Glied in der Datensicherheitskette. Dagegen können Interessenten nicht erwarten, dass kryptografische Schlüssel dauerhaft sicher bleiben. Quantenkryptographie kann Daten für längere Zeiträume verschlüsseln als herkömmliche Kryptographie. Wissenschaftler können mit herkömmlicher Kryptographie keine Verschlüsselung für mehr als 30 Jahre garantieren, aber einige Interessengruppen benötigen möglicherweise längere Schutzfristen. Nehmen Sie zum Beispiel die Gesundheitsbranche. Seit 85.9 verwenden 2017 % der niedergelassenen Ärzte elektronische Patientenaktensysteme, um Patientendaten zu speichern und zu übermitteln. Krankenakten müssen gemäß dem Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen privat geführt werden. Krankenakten in Papierform werden in der Regel nach einer gewissen Zeit verbrannt, während computergestützte Akten eine digitale Spur hinterlassen. Elektronische Aufzeichnungen können durch die Verteilung von Quantenschlüsseln bis zu 100 Jahre lang geschützt werden. Die Quantenkryptographie hat auch Anwendungen für Regierungen und Militärs, da Regierungen militärisches Material normalerweise seit fast 60 Jahren geheim halten. Es wurde auch gezeigt, dass die Verteilung von Quantenschlüsseln selbst dann sicher sein kann, wenn sie über einen verrauschten Kanal über eine lange Distanz übertragen wird. Es kann von einem verrauschten Quantenschema in ein klassisches rauschfreies Schema umgewandelt werden. Um dieses Problem anzugehen, kann die klassische Wahrscheinlichkeitstheorie verwendet werden. Quantum-Repeater können bei diesem Prozess des ständigen Schutzes über einen verrauschten Kanal helfen. Quantenrepeater sind in der Lage, Fehler in der Quantenkommunikation effizient zu beheben. Um die Kommunikationssicherheit zu gewährleisten, können Quantenrepeater, also Quantencomputer, als Segmente über dem verrauschten Kanal stationiert werden. Quantum-Repeater erreichen dies, indem sie die Kanalsegmente reinigen, bevor sie sie zu einer sicheren Kommunikationsleitung verbinden. Über eine große Entfernung können unterdurchschnittliche Quantenrepeater einen effizienten Schutz durch den verrauschten Kanal bieten.

Anwendungen

Quantenkryptografie ist ein weit gefasster Begriff, der sich auf eine Vielzahl von kryptografischen Techniken und Protokollen bezieht. In den folgenden Abschnitten werden einige der bemerkenswertesten Anwendungen und Protokolle behandelt.

Verteilung von Quantenschlüsseln

Die Technik der Quantenkommunikation, um einen gemeinsamen Schlüssel zwischen zwei Parteien (zum Beispiel Alice und Bob) einzurichten, ohne dass eine dritte Partei (Eve) etwas über diesen Schlüssel erfährt, selbst wenn Eve die gesamte Kommunikation zwischen Alice und Bob belauschen kann, ist bekannt als QKD. Es entstehen Diskrepanzen, wenn Eve versucht, Wissen über den erstellten Schlüssel zu sammeln, was Alice und Bob auffällt. Sobald der Schlüssel eingerichtet ist, wird er normalerweise verwendet, um die Kommunikation mit herkömmlichen Methoden zu verschlüsseln. Der ausgetauschte Schlüssel könnte beispielsweise für symmetrische Kryptographie (zB One-Time-Pad) verwendet werden.

Die Sicherheit der Quantenschlüsselverteilung kann theoretisch hergestellt werden, ohne den Fähigkeiten eines Lauschers irgendwelche Beschränkungen aufzuerlegen, was mit der klassischen Schlüsselverteilung nicht erreichbar ist. Obwohl einige minimale Annahmen erforderlich sind, beispielsweise dass Quantenphysik gilt und sich Alice und Bob gegenseitig authentifizieren können, sollte Eve nicht in der Lage sein, sich als Alice oder Bob auszugeben, da ein Man-in-the-Middle-Angriff möglich wäre.

Obwohl QKD sicher zu sein scheint, stehen seine Anwendungen vor praktischen Herausforderungen. Aufgrund der Beschränkungen der Übertragungsentfernung und der Schlüsselerzeugungsrate ist dies der Fall. Kontinuierliche Forschung und technologische Entwicklungen haben zukünftige Fortschritte bei solchen Einschränkungen ermöglicht. Lucamariniet al. schlug 2018 ein Doppelfeld-QKD-System vor, das in der Lage sein könnte, die Ratenverlustskalierung eines verlustbehafteten Kommunikationskanals zu überwinden. Bei 340 Kilometern Glasfaser wurde gezeigt, dass die Rate des Twin-Field-Protokolls die geheime Schlüsselvereinbarungskapazität des verlustbehafteten Kanals, bekannt als Repeater-less PLOB-Bound, überstieg; seine ideale Rate überschreitet diese Grenze bereits bei 200 Kilometern und folgt der Rate-Loss-Skalierung der höheren Repeater-unterstützten geheimen Schlüsselvereinbarungskapazität (siehe Abbildung 1 für weitere Details). Mit „550 Kilometern konventioneller Glasfaser“, die in der Kommunikation bereits weit verbreitet ist, lassen sich laut Protokoll ideale Schlüsselraten erzielen. Minder et al., die als erster effektiver Quantenrepeater bezeichnet wurden, bestätigten die theoretischen Ergebnisse bei der ersten experimentellen Demonstration von QKD über die Geschwindigkeitsverlustgrenze im Jahr 2019. Die Sending-Not-Send-Variante (SNS) des TF-QKD Protokoll ist einer der wichtigsten Durchbrüche in Bezug auf das Erreichen hoher Übertragungsraten über lange Distanzen.

Misstrauische Quantenkryptographie

Die Teilnehmer an misstrauischer Kryptographie vertrauen einander nicht. Alice und Bob arbeiten beispielsweise zusammen, um eine Berechnung abzuschließen, bei der beide Parteien private Eingaben bereitstellen. Alice hingegen vertraut Bob nicht, und Bob vertraut Alice nicht. Folglich erfordert eine sichere Implementierung eines kryptografischen Jobs Alices Versicherung, dass Bob nicht geschummelt hat, nachdem die Berechnung abgeschlossen ist, und Bobs Versicherung, dass Alice nicht geschummelt hat. Commitment-Schemata und sichere Berechnungen, von denen letztere die Aufgaben des Münzwurfs und des unbewussten Transfers umfassen, sind Beispiele für misstrauische kryptografische Aufgaben. Das Gebiet der nicht vertrauenswürdigen Kryptographie umfasst keine Schlüsselverteilung. Die misstrauische Quantenkryptographie untersucht den Einsatz von Quantensystemen im Bereich der misstrauischen Kryptographie.

Im Gegensatz zur Quantenschlüsselverteilung, bei der bedingungslose Sicherheit allein durch die Gesetze der Quantenphysik erreicht werden kann, gibt es No-Go-Theoreme, die belegen, dass bedingungslos sichere Protokolle nicht allein durch die Gesetze der Quantenphysik bei verschiedenen Aufgaben in misstrauischen Kryptographie. Einige dieser Aufgaben können jedoch mit absoluter Sicherheit ausgeführt werden, wenn die Protokolle sowohl Quantenphysik als auch spezielle Relativitätstheorie verwenden. Mayers und Lo und Chau haben beispielsweise gezeigt, dass eine absolut sichere Quantenbitbindung unmöglich ist. Lo und Chau demonstrierten, dass bedingungslos sicheres, perfektes Quantenmünzenwerfen unmöglich ist. Darüber hinaus zeigte Lo, dass die Sicherheit von Quantenprotokollen für die eins-aus-zwei-oblivious-Übertragung und andere sichere Zwei-Parteien-Berechnungen nicht garantiert werden kann. Kent hingegen hat bedingungslos sichere relativistische Protokolle für Münzwurf und Bit-Commitment demonstriert.

Quantenmünzen werfen

Quantum Coin Flipping ist im Gegensatz zur Quantenschlüsselverteilung ein Mechanismus, der zwischen zwei Parteien verwendet wird, die sich nicht vertrauen. Die Teilnehmer kommunizieren über einen Quantenkanal und tauschen Daten per Qubit-Übertragung aus. Da Alice und Bob jedoch misstrauisch sind, erwarten sie beide, dass der andere betrügt. Infolgedessen muss mehr Arbeit aufgewendet werden, um sicherzustellen, dass weder Alice noch Bob einen erheblichen Vorteil gegenüber dem anderen haben, um das gewünschte Ergebnis zu erzielen. Eine Voreingenommenheit ist die Fähigkeit, ein bestimmtes Ergebnis zu beeinflussen, und es werden große Anstrengungen unternommen, um Protokolle zu entwickeln, um die Voreingenommenheit eines unehrlichen Spielers, auch bekannt als Betrug, zu beseitigen. Es hat sich gezeigt, dass Quantenkommunikationsprotokolle, wie beispielsweise das Quantencoin-Flipping, erhebliche Sicherheitsvorteile gegenüber der herkömmlichen Kommunikation bieten, obwohl sie in der Praxis möglicherweise nur schwer umzusetzen sind.

Das Folgende ist ein typisches Münzwurfprotokoll:

• Alice wählt eine Basis (geradlinig oder diagonal) aus und erzeugt eine Reihe von Photonen in dieser Basis, um sie an Bob zu liefern.
• Bob wählt eine geradlinige oder diagonale Basis, um jedes Photon zufällig zu messen, und notiert, welche Basis er verwendet und welchen Wert er aufgezeichnet hat.
• Bob macht eine öffentliche Vermutung über die Grundlage, auf der Alice ihre Qubits gesendet hat.
• Alice verrät ihre Wahl der Basis und schickt Bob ihren Originalstring.
• Bob bestätigt Alices String, indem er sie mit seiner Tabelle vergleicht. Es sollte perfekt mit Bobs Messungen verbunden sein, die auf Alices Basis gemacht wurden, und völlig unkorreliert mit dem Gegenteil.

Wenn ein Spieler versucht, die Wahrscheinlichkeit eines bestimmten Ergebnisses zu beeinflussen oder zu verbessern, wird dies als Betrug bezeichnet. Von einigen Formen des Betrugs wird durch das Protokoll abgeraten; Alice könnte beispielsweise behaupten, dass Bob ihre anfängliche Basis falsch erraten hat, als er in Schritt 4 richtig geraten hat, aber Alice müsste dann eine neue Folge von Qubits generieren, die perfekt mit dem korreliert, was Bob in der gegenüberliegenden Tabelle gemessen hat. Mit der Anzahl der übertragenen Qubits sinken ihre Chancen, eine übereinstimmende Qubit-Reihe zu generieren, exponentiell, und wenn Bob eine Nichtübereinstimmung bemerkt, weiß er, dass sie lügt. Alice könnte auf ähnliche Weise eine Reihe von Photonen konstruieren, indem sie Zustände kombiniert, aber Bob würde schnell sehen, dass ihre Reihe etwas (aber nicht vollständig) mit beiden Seiten der Tabelle übereinstimmt, was darauf hindeutet, dass sie betrogen hat. Es gibt auch eine inhärente Schwäche bei zeitgenössischen Quantengeräten. Bobs Messungen werden von Fehlern und verlorenen Qubits beeinflusst, was zu Löchern in seiner Messtabelle führt. Bobs Fähigkeit, Alices Qubit-Sequenz in Schritt 5 zu verifizieren, wird durch erhebliche Messfehler behindert.

Das Einstein-Podolsky-Rosen (EPR)-Paradoxon ist ein theoretisch sicherer Weg für Alice, zu betrügen. Zwei Photonen in einem EPR-Paar sind antikorreliert, was bedeutet, dass sie bei Messung auf derselben Basis immer entgegengesetzte Polarisationen aufweisen. Alice kann eine Reihe von EPR-Paaren erstellen, eines an Bob senden und das andere für sich behalten. Sie konnte ihre EPR-Paarphotonen auf der entgegengesetzten Basis messen und eine perfekte Korrelation zu Bobs gegenüberliegender Tabelle erhalten, wenn Bob seine Vermutung angibt. Bob hätte keine Ahnung, dass sie betrogen hatte. Dies erfordert jedoch Fähigkeiten, die der Quantentechnologie derzeit fehlen und die in der Praxis nicht zu erreichen sind. Um dies herauszuholen, müsste Alice in der Lage sein, alle Photonen über einen längeren Zeitraum zu speichern und mit nahezu perfekter Genauigkeit zu messen. Dies liegt daran, dass jedes Photon, das während der Lagerung oder Messung verloren geht, ein Loch in ihrer Schnur hinterlassen würde, das sie mit Vermutungen füllen müsste. Je mehr Vermutungen sie anstellen muss, desto wahrscheinlicher ist es, dass sie von Bob beim Schummeln erwischt wird.

Quanten-Verpflichtung

Wenn misstrauische Parteien involviert sind, werden zusätzlich zum Quantencoin-Flipping Quanten-Commitment-Methoden verwendet. Ein Commitment-Schema ermöglicht es einer Partei Alice, einen Wert so festzulegen (zu „committieren“), dass Alice ihn nicht ändern kann und der Empfänger Bob nichts darüber erfahren kann, bis Alice ihn preisgibt. Kryptografische Protokolle verwenden häufig solche Commitment-Mechanismen (zB Quantum Coin Flipping, Zero-Knowledge-Beweis, sichere Zwei-Parteien-Berechnung und Oblivious Transfer).

Sie wären in einer Quantenumgebung besonders nützlich: Crépeau und Kilian zeigten, dass aus einer Verpflichtung und einem Quantenkanal ein bedingungslos sicheres Protokoll für die Durchführung des sogenannten oblivious transfers aufgebaut werden kann. Auf der anderen Seite hat Kilian gezeigt, dass mit Hilfe von Oblivive Transfer praktisch jede verteilte Berechnung auf sichere Weise aufgebaut werden kann (sogenannte sichere Mehrparteienberechnung). (Beachten Sie, dass wir hier ein wenig schlampig sind: Die Ergebnisse von Crépeau und Kilian deuten nicht direkt darauf hin, dass man mit einem Commitment und einem Quantenkanal sichere Mehrparteienberechnungen durchführen kann. Dies liegt daran, dass die Ergebnisse keine „Zusammensetzbarkeit“ gewährleisten, die bedeutet, dass Sie beim Kombinieren riskieren, die Sicherheit zu verlieren.

Leider haben sich die frühen Mechanismen der Quantenverpflichtung als fehlerhaft erwiesen. Mayers zeigte, dass (bedingungslos sicheres) Quanten-Commitment unmöglich ist: Jedes Quanten-Commitment-Protokoll kann von einem rechnerisch unbegrenzten Angreifer gebrochen werden.

Die Entdeckung von Mayers schließt jedoch nicht die Möglichkeit aus, Quanten-Commitment-Protokolle (und damit sichere Multi-Party-Computing-Protokolle) zu erstellen, die deutlich schwächere Annahmen verwenden als die, die für Commitment-Protokolle erforderlich sind, die keine Quantenkommunikation verwenden. Eine Situation, in der Quantenkommunikation verwendet werden kann, um Verpflichtungsprotokolle zu entwickeln, ist das unten beschriebene begrenzte Quantenspeichermodell. Eine Entdeckung im November 2013 sorgt für „bedingungslose“ Informationssicherheit durch die Kombination von Quantentheorie und Relativitätstheorie, die erstmals weltweit wirksam bewiesen wurde. Wanget al. hat ein neues Verpflichtungssystem vorgestellt, in dem „bedingungsloses Verstecken“ ideal ist.

Kryptografische Verpflichtungen können auch mithilfe von physikalisch nicht klonbaren Funktionen erstellt werden.

Begrenztes und verrauschtes Quantenspeichermodell

Das eingeschränkte Quantenspeichermodell kann verwendet werden, um bedingungslos sichere Quantenverpflichtungs- und Quantenoblivious-Transfer (OT)-Protokolle (BQSM) zu erstellen. In diesem Szenario wird davon ausgegangen, dass die Quantendatenspeicherkapazität eines Gegners durch eine bekannte Konstante Q begrenzt ist. Es gibt jedoch keine Begrenzung dafür, wie viele klassische (nicht Quanten-) Daten der Gegner speichern kann.

Im BQSM können Commitment- und Oblivious-Transfer-Verfahren aufgebaut werden. Das Grundkonzept lautet: Es werden mehr als Q Quantenbits zwischen Protokollparteien (Qubits) ausgetauscht. Da selbst ein unehrlicher Gegner nicht alle diese Daten speichern kann (der Quantenspeicher des Gegners ist auf Q Qubits beschränkt), muss ein beträchtlicher Teil der Daten gemessen oder vernichtet werden. Indem unehrliche Parteien gezwungen werden, einen beträchtlichen Teil der Daten zu messen, kann das Protokoll das Ergebnis der Unmöglichkeit vermeiden und die Verwendung von Verpflichtungs- und Vergesslichkeitsübertragungsprotokollen ermöglichen.

Die Protokolle von Damgrd, Fehr, Salvail und Schaffner im BQSM gehen nicht davon aus, dass ehrliche Protokollteilnehmer Quanteninformationen speichern; die technischen Anforderungen sind mit denen der Quantenschlüsselverteilungsprotokolle identisch. Diese Protokolle sind somit zumindest theoretisch mit heutiger Technik realisierbar. Die Kommunikationskomplexität im Quantenspeicher des Gegners ist nur um einen konstanten Faktor höher als das gebundene Q.

Das BQSM hat den Vorteil, dass es realistisch ist in seiner Prämisse, dass der Quantenspeicher des Gegners endlich ist. Selbst die zuverlässige Speicherung eines einzelnen Qubits über einen längeren Zeitraum ist mit der heutigen Technologie schwierig. (Die Definition von „ausreichend lang“ wird durch die Besonderheiten des Protokolls bestimmt.) Die Zeit, die der Gegner benötigt, um Quantendaten aufzubewahren, kann durch Hinzufügen einer künstlichen Lücke im Protokoll beliebig lang gemacht werden.)

Das von Wehner, Schaffner und Terhal vorgeschlagene Noisy-Storage-Modell ist eine Erweiterung des BQSM. Ein Gegner darf defekte Quantenspeicher beliebiger Größe verwenden, anstatt die physikalische Größe des Quantenspeichers des Gegners nach oben zu begrenzen. Verrauschte Quantenkanäle werden verwendet, um den Grad der Unvollkommenheit zu modellieren. Die gleichen Grundelemente wie im BQSM können bei ausreichend hohen Rauschpegeln erzeugt werden, daher ist das BQSM ein spezieller Fall des verrauschten Speichermodells.

Ähnliche Ergebnisse können in der klassischen Situation erzielt werden, indem die Menge der klassischen (nicht-quantenartigen) Daten, die der Gegner speichern kann, begrenzt wird. Es hat sich jedoch gezeigt, dass in diesem Modell die ehrlichen Parteien ebenfalls sehr viel Speicher verbrauchen müssen (die Quadratwurzel der Speichergrenze des Gegners). Als Ergebnis sind diese Methoden für reale Speicherbeschränkungen nicht praktikabel. (Es ist erwähnenswert, dass ein Gegner mit der heutigen Technologie, wie beispielsweise Festplatten, enorme Mengen herkömmlicher Daten zu einem niedrigen Preis speichern kann.)

Quantenkryptographie basierend auf Position

Der Zweck der positionsbasierten Quantenkryptographie besteht darin, die (einzigen) Berechtigungsnachweise eines Spielers zu verwenden: seinen geografischen Standort. Angenommen, Sie möchten einem Spieler an einem bestimmten Ort eine Nachricht mit der Gewissheit senden, dass sie nur gelesen werden kann, wenn sich auch der Empfänger an diesem Ort befindet. Das Hauptziel der Positionsverifizierung besteht darin, dass eine Spielerin, Alice, die (ehrlichen) Verifizierer davon überzeugt, dass sie sich an einem bestimmten Ort befindet. Chandranet al. demonstrierten, dass eine Positionsüberprüfung mit herkömmlichen Protokollen in Anwesenheit von kollaborierenden Gegnern (die alle Positionen außer der vom Prüfer angegebenen Position kontrollieren) unmöglich ist. Schemata sind unter verschiedenen Einschränkungen der Gegner möglich.

Kent untersuchte 2002 die ersten positionsbasierten Quantensysteme unter dem Spitznamen „Quantum Tagging“. Im Jahr 2006 wurde ein US-Patent erhalten. Im Jahr 2010 wurde die Idee, Quanteneffekte zur Standortverifizierung auszunutzen, erstmals in Fachzeitschriften veröffentlicht. Nachdem 2010 mehrere andere Quantenprotokolle zur Positionsverifikation vorgeschlagen wurden, haben Buhrman et al. behaupteten ein allgemeines Unmöglichkeitsergebnis: Kolluierende Gegner können den Verifizierern immer den Anschein erwecken, dass sie sich an der behaupteten Position befinden, indem sie eine enorme Menge an Quantenverschränkung verwenden (sie verwenden eine doppelt exponentielle Anzahl von EPR-Paaren in der Anzahl der Qubits, die der ehrliche Spieler betreibt). an). Im Bounded- oder Noisy-Quantum-Storage-Paradigma schließt dieses Ergebnis jedoch die Möglichkeit praktikabler Ansätze nicht aus (siehe oben). Beigi und König erhöhten später die Anzahl der EPR-Paare, die für den breiten Angriff gegen Positionsüberprüfungsmethoden erforderlich waren, auf ein exponentielles Niveau. Sie zeigten auch, dass ein Protokoll gegen Gegner sicher ist, die nur eine lineare Anzahl von EPR-Paaren kontrollieren. Die Aussicht auf eine formale bedingungslose Standortverifizierung mit Quanteneffekten bleibt aufgrund der Zeit-Energie-Kopplung ein ungelöstes Thema, wird in vorgeschlagen. Es ist erwähnenswert, dass die Erforschung der positionsbasierten Quantenkryptographie Verbindungen zum Protokoll der portbasierten Quantenteleportation hat, das ist eine fortschrittlichere Variante der Quantenteleportation, bei der mehrere EPR-Paare gleichzeitig als Ports verwendet werden.

Geräteunabhängige Quantenkryptographie

Wenn die Sicherheit eines Quantenkryptografieprotokolls nicht von der Wahrhaftigkeit der verwendeten Quantengeräte abhängt, wird es als geräteunabhängig bezeichnet. Daher müssen Situationen fehlerhafter oder sogar feindlicher Geräte in die Sicherheitsanalyse eines solchen Protokolls einbezogen werden. Mayers und Yao schlugen vor, Quantenprotokolle mit „selbsttestenden“ Quantengeräten zu entwerfen, deren interne Operationen durch ihre Eingabe-Ausgabe-Statistiken eindeutig identifiziert werden können. Danach plädierte Roger Colbeck in seiner Diplomarbeit dafür, Bell-Tests zu verwenden, um die Ehrlichkeit der Geräte zu beurteilen. Seitdem hat sich eine Reihe von Problemen gezeigt, die bedingungslos sichere und geräteunabhängige Protokolle zulassen, selbst wenn die tatsächlichen Geräte, die den Bell-Test durchführen, erheblich „verrauscht“, dh alles andere als ideal sind. Quantenschlüsselverteilung, Zufallserweiterung und Zufallsverstärkung sind Beispiele für diese Probleme.

Theoretische Untersuchungen von Arnon-Friedman et al. im Jahr 2018 zeigen, dass die Nutzung einer Entropieeigenschaft, bekannt als „Entropy Accumulation Theorem (EAT)“, die eine Erweiterung der Asymptotic Equipartition Property ist, die Sicherheit eines geräteunabhängigen Protokolls garantieren kann.

Postquantenkryptographie

Quantencomputer können zu einer technologischen Realität werden, daher ist es wichtig, kryptografische Algorithmen zu erforschen, die gegen Feinde eingesetzt werden können, die Zugang zu einem haben. Post-Quanten-Kryptographie ist der Begriff, der verwendet wird, um das Studium solcher Methoden zu beschreiben. Viele gängige Verschlüsselungs- und Signaturtechniken (basierend auf ECC und RSA) können mit dem Shor-Algorithmus zum Faktorisieren und Berechnen diskreter Logarithmen auf einem Quantencomputer gebrochen werden, was eine Post-Quanten-Kryptographie erfordert. McEliece- und gitterbasierte Schemata sowie die meisten Algorithmen mit symmetrischen Schlüsseln sind Beispiele für Schemata, die nach heutigem Kenntnisstand gegen Quantengegner sicher sind. Post-Quanten-Kryptographie-Umfragen sind verfügbar.

Bestehende Verschlüsselungsalgorithmen werden ebenfalls untersucht, um zu sehen, wie sie aktualisiert werden können, um mit Quantengegnern umzugehen. Wenn es beispielsweise darum geht, Zero-Knowledge-Proof-Systeme zu entwickeln, die gegen Quantenangreifer sicher sind, sind neue Strategien gefragt: In einer traditionellen Umgebung erfordert die Analyse eines Zero-Knowledge-Proof-Systems in der Regel das „Zurückspulen“, eine Technik, die das Kopieren des Gegners erfordert internen Zustand. Da das Kopieren eines Zustands in einem Quantenkontext nicht immer möglich ist (No-Cloning-Theorem), muss ein Rückspulansatz angewendet werden.

Postquantenalgorithmen werden manchmal als „quantenresistent“ bezeichnet, da im Gegensatz zur Quantenschlüsselverteilung unbekannt oder beweisbar ist, dass zukünftige Quantenangriffe nicht erfolgreich sein werden. Die NSA erklärt die Absicht, auf quantenresistente Algorithmen umzusteigen, obwohl sie nicht dem Algorithmus von Shor unterliegen. Das National Institute of Standards and Technology (NIST) ist der Ansicht, dass quantensichere Primitive in Betracht gezogen werden sollten.

Quantenkryptographie jenseits der Quantenschlüsselverteilung

Bisher wurde die Quantenkryptographie mit der Entwicklung von Quantenschlüsselverteilungsprotokollen in Verbindung gebracht. Leider werden symmetrische Kryptosysteme mit Schlüsseln, die über die Quantenschlüsselverteilung verbreitet werden, aufgrund der Notwendigkeit der Einrichtung und Manipulation mehrerer geheimer Schlüsselpaare für große Netzwerke (viele Benutzer) ineffizient (das sogenannte „Schlüsselmanagementproblem“). Darüber hinaus beherrscht diese Distribution eine Vielzahl zusätzlicher kryptografischer Verfahren und Dienste, die im Alltag kritisch sind, nicht. Im Gegensatz zur Quantenschlüsselverteilung, die klassische Algorithmen für die kryptografische Transformation beinhaltet, wurde das dreistufige Protokoll von Kak als Weg für eine sichere, vollständig quantenbasierte Kommunikation vorgestellt.

Über die Schlüsselverteilung hinaus umfasst die Quantenkryptographie-Forschung die Quantennachrichten-Authentifizierung, Quanten-Digitalsignaturen, Quanten-Einwegfunktionen und Public-Key-Verschlüsselung, Quanten-Fingerabdruck und Entitätsauthentifizierung (siehe zum Beispiel Quantenauslesen von PUFs) und so weiter.

Praktische Umsetzungen

Die Quantenkryptographie scheint zumindest im Prinzip ein erfolgreicher Wendepunkt im Bereich der Informationssicherheit zu sein. Keine kryptographische Methode kann jedoch jemals vollständig sicher sein. Quantenkryptographie ist in der Praxis nur bedingt sicher und beruht auf einer Reihe von Schlüsselannahmen.

Annahme einer Einzelphotonenquelle

Bei der theoretischen Untermauerung der Quantenschlüsselverteilung wird eine Einphotonenquelle angenommen. Andererseits sind Einzelphotonenquellen schwierig zu bauen, und die meisten realen Quantenverschlüsselungssysteme verlassen sich auf schwache Laserquellen, um Daten zu übertragen. Lauscherangriffe, insbesondere Photonenspaltungsangriffe, können diese Multiphotonenquellen nutzen. Eve, eine Lauscherin, kann die Multiphotonenquelle in zwei Kopien aufteilen und eine für sich behalten. Die restlichen Photonen werden anschließend an Bob gesendet, ohne dass darauf hingewiesen wird, dass Eve eine Kopie der Daten gesammelt hat. Wissenschaftler behaupten, dass die Verwendung von Köderzuständen, um das Vorhandensein eines Lauschers zu testen, eine Multiphotonenquelle sicher halten kann. Wissenschaftler haben jedoch 2016 eine nahezu perfekte Einzelphotonenquelle hergestellt, und sie glauben, dass in naher Zukunft eine entwickelt werden wird.

Annahme identischer Detektoreffizienz

In der Praxis verwenden Quantenschlüsselverteilungssysteme zwei Einzelphotonendetektoren, einen für Alice und einen für Bob. Diese Fotodetektoren sind kalibriert, um ein eintreffendes Photon innerhalb eines Millisekundenintervalls zu erkennen. Die Detektionsfenster der beiden Detektoren werden aufgrund von Herstellungsunterschieden zwischen ihnen um einen endlichen Betrag verschoben. Indem sie Alices Qubit misst und Bob einen „falschen Zustand“ liefert, kann eine Lauscherin namens Eve die Ineffizienz des Detektors ausnutzen. Eve sammelt das Photon ein, das Alice gesendet hat, bevor sie ein neues Photon erzeugt, das es an Bob liefert. Eve manipuliert die Phase und das Timing des „gefälschten“ Photons so, dass Bob keinen Lauscher erkennen kann. Das einzige Verfahren, um diese Schwachstelle zu beseitigen, besteht darin, Diskrepanzen der Photodetektoreffizienz zu beseitigen, was aufgrund endlicher Herstellungstoleranzen, die optische Weglängenunterschiede, Drahtlängenunterschiede und andere Probleme erzeugen, eine Herausforderung darstellt.