An overview on Quantum Key Distribution

Francesco Corucci
Corso di Quantum Computing - Prof. M. Macucci
Percorso di Eccellenza della
Laurea Magistrale in Ingegneria Informatica
Università di Pisa
2012

Parte I: Rassegna dei principali protocolli per QKD
BB84
Ekert
Cenni a Quantum One Time Pad
Parte II: Considerazioni implementative
Sorgenti
Mezzi trasmissivi
Ricevitori
Un esempio di random bit generator
Un setup sperimentale
2Laurea Magistrale in Ingegneria Informatica - Percorso di eccellenza

Quantum Computing e crittografia, implicazioni:
1) Possibilità di «rompere» algoritmi classici, ritenuti computazionalmente
sicuri, grazie ad algoritmi quantistici molto efficienti (e.g. fattorizzazione)
2) Possibilità di creare nuovi algoritmi crittografici intrinsecamente sicuri
basandoli su fenomeni quantistici
 Quantum Key Distribution (QKD)
 Tecniche complementari rispetto a quelle classiche
 Può essere utilizzata per scambiare chiavi da usare per comunicare in
modo cifrato mediante algoritmi convenzionali a chiave simmetrica (e.g.
DES, AES, …), sostituendo in ciò i metodi di crittografia a chiave pubblica

Alice
Canale quantistico dedicato a basso rate per scambio chiavi (fibra, spazio libero)
Canale convenzionale pubblico ad alto rate per comunicazione cifrata
Bob
Eve

«Ogni tentativo di distinguere tra due stati quantistici non
ortogonali (guadagnare informazione) è possibile solo a patto
di introdurre un disturbo sul segnale originale»
Un avversario (Eve) non può dunque acquisire informazioni sulla
comunicazione senza introdurre perturbazioni che possono
rivelarne la presenza
Se Bob ed Alice rilevano che Eve ha acquisito informazioni
durante lo scambio della chiave, possono adottare delle
contromisure
Viceversa, se nessuna perturbazione viene rilevata si ha la
certezza che l’avversario non ha acquisito alcuna informazione
sulla chiave
(C. H. Bennett, G. Brassard,1984)

Due basi con overlap pari ad ½*, quattro quantum states
qubit implementato con un singolo fotone
polarization coding
Consideriamo ad esempio le due basi:
 ↑ : polarizzazione orizzontale
 ↓ : polarizzazione verticale
 → : polarizzazione a +45°
 ← : polarizzazione a -45°
 In figura l’associazione dei valori logici agli stati
* Varrà ad esempio ↑ ←
2
=
1
2
Sfera di Poincaré
Lineare (+)
Diagonale (x)

Round 1:
Alice fa una serie di trasmissioni scegliendo di volta in volta in
modo random la base da utilizzare per rappresentare il qubit
Per ricevere, Bob sceglie di volta in volta, anche lui in modo
random, la base da utilizzare per effettuare la misura

Alice e Bob scelgono la stessa base (~50% dei casi)
Trascurando il rumore, se non c’è nessuna interferenza esterna i qubit
misurati da Bob coincidono con quelli trasmessi da Alice
Alice e Bob scelgono basi diverse (~50% dei casi)
Bob fa una lettura casuale, che può tuttavia (una volta su due) risultare in
una decisione corretta del bit logico (~ 25% dei casi)
In totale Bob dovrebbe misurare correttamente circa il 75%
dei qubit trasmessi da Alice
Alla fine di questa fase, Alice e Bob condividono la cosiddetta
raw key, affetta da errore ~25%
Come raffinare questa chiave?

Round 2:
Bob comunica ad Alice la sequenza delle basi che ha utilizzato
per ricevere (senza comunicare tuttavia l’esito delle misure)
Alice risponde comunicando gli indici dei bit che sono stati
misurati da Bob nella giusta base (saranno circa la metà della
raw key)
Entrambi tengono i bit che risultano essere stati misurati nella
stessa base, e scartano gli altri
La raw key in media si dimezza, e si ottiene la cosìddetta sifted
key (chiave «setacciata»)
Idealmente la sifted key non è affetta da alcun errore (in
presenza di un avversario attivo però le cose cambiano!)

Sifted key

Impedire che i qubit giungano a Bob?
Rallenta soltanto il protocollo
Lasciare che i qubit giungano a Bob mantenendone una copia
perfetta?
 Non è possibile, ci protegge il non-cloning theorem
Intercept-resend strategy:
Eve intercetta i qubit inviati da Alice, li misura (scegliendo anche
lei una base random), ed inoltra a Bob dei qubit negli stati
corrispondenti alle sue misure

Eve sceglie la base giusta (~ 50% dei casi)
Fa una misura corretta ed inoltra a Bob un qubit correlato con
quello trasmesso da Alice, nessuna anomalia viene rilevata
Eve sceglie la base sbagliata (~50% dei casi)
Fa una misura casuale ed inoltra a Bob un qubit non correlato con
quello trasmesso da Alice (disturba lo stato che Bob riceve)
 Può dunque capitare che Bob, pur avendo scelto la base
giusta, effettui una misura sbagliata (~25% dei casi), cosa
che senza la presenza di Eve, idealmente, non può mai
succedere

Tirando le somme:
In totale, Eve riesce ad ottenere un 50% di bit della chiave,
mentre Bob ed Alice, alla fine del Round 2, condividono una sifted
key affetta da 25% di errore (dovuto a quella che viene
chiamata QBER, Quantum Bit Error Rate)
 Questo nel worst case, ovvero nel caso in cui Eve interferisca su
ogni trasmissione

È una situazione classica in crittografia quella in cui alla fine di
un protocollo due entità condividano un’informazione con un
grado di correlazione più basso del 100%, e con possibile
correlazione con una terza entità untrusted
l’algoritmo BB84 può pertanto essere esteso con tecniche
classiche, di:
1) Error correction/information reconciliation(per raggiungere
correlazione del 100% tra le informazioni condivise tra Alice
e Bob)
2) Privacy amplification (per diminuire la quantità di
informazioni note alla terza entità)

Le tecniche di error correction richiedono di stimare la quantità
di informazione in mano ad Eve (upper bound)
Queste tecniche sono possibili, infatti, solo se Alice e Bob
condividono tra loro più informazione rispetto a quanta ne
condividano con Eve
Round 3 (stima del disturbo – random sampling):
Alice e Bob sacrificano un subset dei bit della sifted key, scelti a
caso, per stimare il grado di disturbo (rumore, Eve) subìto dalla
loro comunicazione (vengono trasmessi in chiaro e confrontati)
Se più di t bit risultano compromessi, il protocollo viene ripetuto
Altrimento si procede con l’error correction

Round di error correction (o information reconciliation):
 Alice sceglie a caso delle coppie di bit della sifted key, e comunica a
Bob l’indice dei bit scelti e lo XOR tra di essi
 Bob calcola a sua volta lo XOR tra i bit coinvolti: se coincide con
quello di Alice i due tengono il primo bit della coppia nella chiave
finale, altrimenti vengono scartati entrambi
 Altro metodo: cascade protocol. Ricorsivamente: suddivisione in
blocchi, calcolo della parità, e ricerca binaria per identificare eventuali
errori
 Dopo il round di error correction Bob ed Alice condividono una
chiave identica, correlata al 100%
 Si può ora agire per ridurre la quantità di informazione in possesso
di Eve

Round di Privacy Amplification:
 Alice sceglie a caso coppie di bit, e comunica a Bob gli indici dei
bit scelti
 Entrambi sostituiscono alla coppia di bit lo XOR tra i bit coinvolti
 Si può mostrare che in questo modo diminuisce la quantità di
informazione in possesso di Eve
Esempio:
 Se Eve conosce il valore del primo bit ma non il secondo, non sa niente
riguardo allo XOR
 Se Eve conosce il valore di entrambi i bit con una confidenza del 60%, le
informazioni riguardo al loro XOR si riducono ad una confidenza del 52%
Il processo si può iterare per ridurre a piacere la quantità di
informazione in possesso dell’avversario

Per stabilire una chiave di lunghezza 𝑛:
1. Alice sceglie in modo random una stringa di bit 𝑎 di lunghezza
N = 4 + 𝛿 𝑛 (bit random per la chiave)
2. Sceglie dunque una stringa 𝑏 di lunghezza 𝑁 (𝑏 determina la sequenza
random delle basi che Alice sceglie per codificare 𝑎 in forma quantistica)
3. Alice codifica 𝑎 con una stringa di 𝑁 qubits descritti da:
𝜓 = ⊗ 𝜓 𝑎 𝑘 𝑏 𝑘
𝑘 = 1 … 4 + 𝛿 𝑛
𝑎 𝑘, 𝑏 𝑘: k-esimo bit di 𝑎 e 𝑏. I qubit di 𝜓 assumono i valori:
𝜓 𝑎0 𝑏0
= ↑
𝜓 𝑎1 𝑏0
= ↓
𝜓 𝑎0 𝑏1
= →
𝜓 𝑎1 𝑏1
= ←
(𝑎 viene codificata in una delle due possibili basi secondo la stringa 𝑏)
19

4. Alice invia gli N qubit così ottenuti a Bob
5. Bob misura i qubit scegliendo una sequenza 𝑏′
di basi
random, ottenendo una stringa di bit 𝑎′
6. Con una discussione pubblica Alice e Bob scartano tutti i bit
per cui 𝑏 𝑘
′
≠ 𝑏 𝑘 (basi diverse). Restano in media almeno 2𝑛
bit, che vengono presi come raw key
7. Alice sceglie un subset dei 2𝑛 bit della raw key da
sacrificare per testare il grado di disturbo subìto, e comunica
i loro indici a Bob

8. Alice e Bob confrontano i bit così scelti e controllano il
numero di errori. Se tale numero eccede una soglia il
protocollo viene ripetuto da capo, altrimenti
9. Alice e Bob effettuano information reconciliation
10. Alice e Bob effettuano privacy amplification
Alice e Bob condividono ora una chiave di 𝒏 bit priva di
errori.
La quantità di informazione in possesso di Eve è stata ridotta
a piacimento

È stato dimostrato che il BB84 è un algoritmo sicuro
incondizionatamente (ovvero indipendentemente dalle risorse di
un avversario) rispetto a qualsiasi attacco permesso dalle
leggi della fisica quantistica
La prova è stata data sia sotto l’ipotesi di sorgenti ideali (e.g.
trasmettitori a singolo fotone) sia sotto l’ipotesi di sorgenti reali
(e.g. trasmettitori che possono trasmettere più fotoni)
Le ipotesi sotto cui la sicurezza è verificata sono:
 Eve non ha accesso ai dispositivi di cifratura/decifratura di Alice e Bob
 Alice e Bob usano generatori di numeri random affidabili (e.g. quantum
random number generator)
 Il canale di comunicazione utilizzato per le comunicazioni pubbliche
dev’essere autenticato secondo uno schema che garantisca sicurezza
incondizionata

Se non si ha autenticazione, ci si espone ad attacchi di tipo
man-in-the-middle
Un modo per ottenere autenticazione consiste nel presupporre
che Alice e Bob condividano a priori un segreto corto
In tal caso l’algoritmo fa quella che viene chiamata quantum
secret growing (permette di ottenere un segreto più lungo da
uno più corto)
Parte della chiave generata può essere usata come nuovo
segreto condiviso a supporto dell’autenticazione nella prossima
sessione

È una generalizzazione del BB84 che si appoggia sul
fenomeno dell’entanglement
L’idea è che i qubit che originano la chiave presso Bob siano
entangled con i qubit che originano la chiave presso Alice
Si può partire presupponendo che i due endpoint condividano
a priori una n-pla di entangled qubits, oppure basare il
protocollo su una terza entità che emette coppie di qubits
entangled, uno verso Alice ed uno verso Bob

La sicurezza del protocollo si basa su alcune proprietà
garantite dall’entanglement:
1) Quando Alice e Bob effettuano una misura,
indipendentemente, su degli entangled qubit, ottengono
risultati perfettamente correlati
2) Il risultato della misura è perfettamente random
3) Se un avversario manomette questi qubit introduce
un’alterazione che può essere rilevata con un opportuno
fidelity test (e.g. Bell Inequality)

Round 1:
La sorgente emette un certo numero di entangled pairs
commutando la base in modo random ed inviando ogni volta uno
dei due qubit ad Alice e l’altro a Bob. Una possibile coppia
emessa dalla sorgente è ad esempio:
↑↑ + ↓↓
2
Alice e Bob misurano scegliendo casualmente tra le due basi

Fidelity test:
 Alice e Bob sacrificano un subset dei qubits ricevuti per testare il
grado di sicurezza della comunicazione in atto
 Per fare questa verifica i due possono ad esempio testare la Bell
Inequality per verificare che i rispettivi qubits siano sufficientemente
«puri»
 Se il test da esito positivo, i rimanenti qubits son considerati fidati
 Il fidelity test permette di stabilire un upper bound sulla quantità di
informazione acquisita da Eve e sul rumore di canale

Round 2:
 La sorgente comunica la sequenza delle basi che ha utilizzato
 Bob ed Alice scartano i bit derivanti da misure effettuate nella base
sbagliata, e tengono gli altri
 Si può proseguire il protocollo in modo identico al BB84, e compensare
eventuali errori (rumore, errori dei rivelatori) con tecniche già menzionate
Si ottengono così due stringhe di bit perfettamente random e correlate
Il fidelity test da una certa garanzia di sicurezza, escludendo che:
1) la sorgente sia in mano ad Eve e stia emettendo stati manomessi
2) il rumore sia eccessivo

Il protocollo One Time Pad classico si può interpretare come una
forma di teleporting di informazione classica
Alice e Bob condividono una chiave segreta sufficientemente
lunga
Grazie ad OTP Alice «misura» il sistema classico da
trasmettere (l’informazione) e lo trasferisce a Bob su un canale
insicuro in maniera assolutamente sicura
Bob è in grado di ricostruire esattamente il sistema in possesso
di Alice
Questa interpretazione di OTP introduce l’analogo quantistico
di OTP basato su teleporting

 Sfruttando il fenomeno del quantum teleporting è possibile realizzare
l’analogo quantistico dell’One Time Pad, risolvendo una volta per
tutte il problema della QKD e garantendo la massima sicurezza
 Alice possiede un sistema quantistico, che codifica ad esempio un
messaggio che vuole trasferire
 Si voglia trasferire questo sistema a Bob, in modo che esso possa
ricrearlo esattamente presso di sé
 Inviare una copia del sistema quantistico? Non cloning theorem,
quantum copy esatta non è possibile
 Inviare «istruzioni» classiche per ricreare il sistema? Non è
teleporting vero, sarebbe possibile replicare il sistema e ciò sarebbe
possibile anche per un eavesdropper che intercetti le istruzioni.
Inoltre in generale non è possibile caratterizzare il qubit

Se Alice e Bob condividono un certo numero di quantum
entangled pairs (quantum key) ed un canale classico (richiesto
dal teleporting per comunicare informazioni classiche
ausiliarie), il teleporting permette di trasferire il sistema
quantistico (l’informazione) in maniera assolutamente sicura
Il sistema (messaggio) viene distrutto presso Alice e ricreato
identico presso Bob
È garantito che il trasferimento non permette a nessuno che non
condivida entangled pairs con Alice e Bob di acquisire
informazioni rilevanti sul sistema stesso

Volendo realizzare praticamente un sistema di trasmissione
quantistico, occorre scegliere almeno tre elementi:
1. Mezzo trasmissivo
2. Sorgenti
3. Rivelatori

Quasi tutte le implementazioni sfruttano fotoni, principalmente
per due motivi:
1. La loro interazione con l’ambiente circostante (decoerenza)
può essere limitata e controllata
2. Possibile riutilizzare concetti e dispositivi derivanti dal campo
delle comunicazioni ottiche, molto sviluppato

Nelle comunicazioni ottiche convenzionali l’informazione è
tipicamente ridondante (molti fotoni sono portatori della
stessa informazione)
Nel caso di comunicazione quantistica si vuole che
l’informazione sia codificata in un individual quantum system
Ciò è particolarmente importante nei sistemi di QKD, in cui
l’emissione di più fotoni può compromettere la sicurezza del
sistema

Come ottenere sorgenti di singoli fotoni?
1) Faint-pulse lasers
2) Sorgenti di entangled-pairs
3) Photon guns
Le prime due soluzioni presentano in realtà una probabilità
non nulla di generare più fotoni (pseudo-single-photon sources),
il che può minare la sicurezza di un algoritmo di QKD

Si utilizza un laser a semiconduttore per generare impulsi
coerenti con un numero medio di fotoni estremamente basso (𝜇)
 faint pulses
Possibile con opportuno setup e meccanismi di attenuazione
Drawback: man mano che si abbassa 𝜇 per avere impulsi con
bassissimo numero di fotoni, aumenta la probabilità di avere
empty pulses (impulsi che non contengono nessun fotone)
Il ricevitore, che sta acceso più del necessario, introduce rumore
a causa delle dark detection  peggiora SNR

Approccio alternativo, che consente di limitare il fenomeno
delle dark detections
Utilizzando un laser come sorgente di fotoni (pump photons) ed
un apposito cristallo è possibile splittare un fotone in ingresso
in due fotoni in uscita (parametric downconversion) che risultano
entangled
Usando un rivelatore ausiliario, uno dei due fotoni (trigger
photon) può essere usato per triggerare l’accensione del
ricevitore solo quando un impulso non-empty è stato
effettivamente prodotto

40
Svantaggi:
 I fotoni generati sono sparpagliati su
una banda ottica piuttosto ampia
 Il processo è molto inefficiente
(difficile generare coppie con
caratteristiche desiderate: in media se
ne ottiene una ogni 1010 pump
photons)
 Possibilità di eventi multipair

Vantaggi:
Il rivelatore viene acceso solo in seguito alla rilevazione del
trigger photon, che annuncia l’arrivo del suo compagno
 non c’è il problema degli empty pulses
Oltre che per creare una sorgente a singolo fotone, questo
procedimento può essere usato in generale per generare
entangled pairs

Photon gun: dispositivo che emette un solo fotone, ogni volta
che ciò è richiesto
Esistono dei dispositivi sperimentali che si stanno rivelando
promettenti in tal senso, ma sono ancora ben lontani
dall’essere utilizzabili in pratica (molto complicati, condizioni
di lavoro proibitive, bassa efficienza, …)
Varie proposte, basate sull’eccitazione di singole molecole,
atomi, ioni, o quantum dots (nanostrutture che, tramite un
pozzo di potenziale tridimensionale, riescono a confinare i
portatori di carica in una regione di spazio molto piccola)
42

43
Esempio: nitrogen-vacancy center: difetto che si può trovare
nella struttura cristallina del diamante
Coppia costituita da un atomo di azoto (in
sostituzione di uno di carbonio) affiancato
da una vacanza
L’atomo di azoto può essere eccitato
selettivamente con un fascio laser
Si produce un singolo fotone ad una
lunghezza d’onda caratteristica
Drawback: collection efficiency scarsa
(0.1%)

Fibre multi-mode: dimensione del nucleo 50 𝜇𝑚
Non si prestano come canale quantistico
Accoppiamento tra i vari modi di propagazione (decoerenza)

Fibre single-mode:
Lunghezze d’onda tipiche 1.3 𝜇𝑚 e 1.5 𝜇𝑚
Diametro core 8 𝜇𝑚
Ben si prestano come canale quantistico (no accoppiamenti)
Sono tuttavia affette da alcune non idealità che ad esempio
possono alterare la polarizzazione  vanno compensate

L’atmosfera offre una finestra di trasmissione (intorno ai
770𝑛𝑚) in cui il canale si comporta abbastanza bene (attenua
poco, non altera la polarizzazione dei fotoni)
Per queste lunghezze d’onda
esistono ricevitori commerciali
molto efficienti a conteggio di
fotoni

Drawbacks:
Richiesta line-of-sight
A differenza delle fibre, in cui l’energia viene «confinata»
nella fibra, con trasmissione in campo libero l’energia si
disperde più facilmente  maggior attenuazione e possibilità
di avere perdite
I fotoni che trasportano informazione possono accoppiarsi
molto facilmente con altri fotoni presenti nell’atmosfera
(maggior decoerenza)
Condizioni trasmissive fortemente variabili
Necessità di filtrare la luce ambientale
( filtraggio spaziale, spettrale, e temporale)

Requisiti:
Alta efficienza (% fotoni rivelati) su una banda ottica ampia
Basso rumore di rivelazione (low dark current)
Basso jitter temporale (per avere buona risoluzione
temporale)
Basso recovery time (o dead time, tempo minimo che deve
passare tra due fotoni affinché possano essere rivelati) per
permettere rate elevati

Single-Photon Avalanche Diodes (SPAD):
 Dispositivi molto sensibili che sfruttano l’effetto di assorbimento
fotoelettrico per convertire deboli segnali luminosi in corrente
 Un fotone incidente può comportare la creazione di una coppia
elettrone-lacuna (assorbimento)
 Amplificazione di corrente a
valanga grazie al fenomeno
dell’impact ionization (un elettrone
con molta energia può donarne
ad altri promuovendoli in banda
di conduzione, determinando così
la formazione di nuove coppie
elettrone-lacuna)
-
-
+
𝐸1
𝐸2
𝐸1
𝐸2

 Il processo di amplificazione a valanga può scatenarsi anche
spontaneamente a seguito del passaggio spontaneo di alcuni
elettroni in banda di conduzione (e.g. tunneling interbanda) o per
fenomeni di afterpulsing
 afterpulses: durante un processo a valanga alcuni portatori possono
venir «intrappolati» in alcuni livelli energetici (trapping levels), e
venir rilasciati dopo un certo tempo
 Se il rilascio avviene oltre il dead time, questi portatori possono
innescare una nuova valanga spuria
Dark detections (il rivelatore da in uscita un segnale pur non
essendo arrivato alcun fotone in ingresso)

Molti algoritmi crittografici richiedono la generazione di
numeri perfettamente random
Un modo per ottenerli è basarsi su un processo fisico
intrinsecamente random
Il meccanismo di generazione va compreso fino in fondo per
essere certi che non ci sia nessun pattern deterministico
sotteso  conviene cercare processi semplici

 Si può usare un beam splitter su una
sorgente laser debole per implementare
un generatore di bit perfettamente
random
54
 Quando un fotone viene inviato ad
uno specchio semiriflettente
 50% di probabilità che venga riflesso
 50% di probabilità che non venga
riflesso
 Ponendo due rivelatori sui due
possibili cammini si può ottenere un
generatore di bit random

Protocollo BB84 con polarization coding
Alice
• Quattro diodi laser (LD), ognuno emette brevi impulsi (1ns) polarizzati in
uno dei quattro stati previsti dal BB84
• Quando si deve trasmettere un qubit, un solo laser viene attivato
casualmente
• Una serie di filtri (BS, F) attenua l’impulso, abbassando il numero medio di
fotoni per impulso

Protocollo BB84 con polarization coding
Bob
• Una serie di waveplates modifica la polarizzazione compensando la fibra
• Il primo beam splitter (BS) implementa la scelta random della base di
ricezione (devia i fotoni su uno dei due percorsi con eguale probabilità)
• La rivelazione è implementata con un polarizing beam splitter (PBS), che
divide i fotoni in base alla loro polarizzazione
• I fotoni raggiungono in questo modo i rivelatori a conteggio (APD)

An overview on Quantum Key Distribution

More Related Content

Viewers also liked (20)

More from Francesco Corucci (6)

An overview on Quantum Key Distribution