量子密钥分发协议

量子密钥分发协议的逻辑基础

密码系统的安全性：Kerckhoff's Principle

一个通用的密码系统通常满足两点：

• 密码系统的设计不应当保密, 其原理与细节应当公开
• 密码系统应当做到, 只要密钥隐秘即安全

完善保密性

明文$x$和密文$y$满足以下条件：

$\forall x\in P, y\in C, P(x|y)=P(x)$

• 通俗解释1：已知密文猜测明文的概率等于凭空猜测明文的概率。
• 通俗解释2：密文不包含明文的任何信息

“一次一密”

设密钥集合为$\mathcal{K}$，设其解密过程$x=d(y,k)$，即一个使用密钥$k\in\mathcal{K}$将密文$y\in\mathcal{C}$映射到明文$x\in\mathcal{P}$的过程。

对于遍历式的破解方法，根据加密算法的不同，有两条路可以走：

1. 遍历可能的明文集$\mathcal{P}'$。每次尝试的破解概率即已知$y$求$x$的概率$P_1=P(x|y)$
2. 遍历可能的密钥集$\mathcal{K}'$，再使用密钥解出明文$x$。同理，破解概率$P_2=P(k|y)$

这两种方法显然都大于凭空猜测出明文$x$的概率，即$P(x|y)\geq P(x)$和$P(k|y)\geq P(x)$。此外，$P_1$和$P_2$具体的大小显然取决于它们各自集合的大小$|\mathcal{K}|$和$|\mathcal{C}|$。若$|\mathcal{K}|<|\mathcal{C}|$则遍历密钥比较简单，即$P_1>P_2$，反之，若$|\mathcal{K}|>|\mathcal{C}|$，则遍历明文比较简单，即$P_1<P_2$。

目前，计算机安全领域的大部分加密算法都是使用的$|\mathcal{K}|<|\mathcal{C}|$方案。

(待完成)证明：“一次一密”满足完善保密性

稍微深入地谈谈BB84（一）

香农密码理论汇总:完善保密性

量子密钥分发协议的物理基础：两种极化基、两种测量方法、四种光量子

• 量子通信使用两种极化基：水平/竖直偏振极化基、$\pm45\degree$偏振极化基
• 这两种极化基都各自有两种极化方向，可制备四种光量子：
  • $|0\rangle$：水平偏振光子，水平/竖直偏振极化基+水平极化
  • $|1\rangle$：竖直偏振光子，水平/竖直偏振极化基+竖直极化
  • $|+\rangle$：$+45\degree$偏振光子，$\pm45\degree$偏振极化基+$+45\degree$极化
  • $|-\rangle$：$-45\degree$偏振光子，$\pm45\degree$偏振极化基+$-45\degree$极化
• 两种测量方向：
  • $Z$方向：水平/竖直偏振测量
  • $X$方向：$\pm45\degree$偏振测量
• 用不同的方法测量一个光量子其结果会有所不同：

光量子状态	$+45\degree$偏振光子	$-45\degree$偏振光子	水平偏振光子	竖直偏振光子
$\pm45\degree$偏振测量	$+45\degree$偏振$(100\%)$	$-45\degree$偏振$(100\%)$	水平偏振$(50\%)$或竖直偏振$(50\%)$	水平偏振$(50\%)$或竖直偏振$(50\%)$
水平/竖直偏振测量	$+45\degree$偏振$(50\%)$或$-45\degree$偏振$(50\%)$	$+45\degree$偏振$(50\%)$或$-45\degree$偏振$(50\%)$	水平偏振$(100\%)$	竖直偏振$(100\%)$

基础：光量子的基本性质

1. 测量不对异性原理：测量会改变光量子的状态。
   • 例如当使用水平/竖直偏振测量测量一个$+45\degree$偏振光子时，如果测得竖直偏振，那么这个光子就变成了竖直偏振光子
2. 量子不可克隆原理:在不知道光量子状态的的情况下，光量子的状态不可以被复制。

最原始的量子密钥分发协议：BB84

量子信道中的操作

1. Alice随机生成两个长度为$n$的二进制串$\mathcal A=\{a_n\}$和$\mathcal X=\{x_n\}$，使用下列方式制备光量子：
   • $a_n$决定极化基
     • $a_n=0$表示使用水平/竖直偏振极化基
     • $a_n=1$表示使用$\pm45\degree$偏振极化基
   • $x_n$决定极化方向

于是制备出的光量子如下：

$\qquad$	$a_n=0$	$a_n=1$
$x_n=0$	$\vert0\rangle$	$\vert+\rangle$
$x_n=1$	$\vert1\rangle$	$\vert-\rangle$

2. Bob收到这些光量子后，随机生成一个长度为$n$的二进制串$\mathcal B=\{b_n\}$，使用下列方式测量光量子，测量结果为$\mathcal Y=\{y_n\}$：
   • $b_n=0$表示使用水平/竖直偏振测量
   • $b_n=1$表示使用$\pm45\degree$偏振测量

显然，只有当Bob的测量方向和Alice所选极化基相同时，才能获得正确的结果，即$P(x_n=y_n)=P(a_n=b_n)=P(a_n=0\wedge b_n=0)+P(a_n=1\wedge b_n=1)=0.5$

经典信道中的操作

经典信道中的操作在上述量子信道中的操作完成后开始。

1. Alice公布$\mathcal A$（或Bob公布$\mathcal B$）
2. Bob获得Alice公布的$\mathcal A$（或Alice获得Bob公布的$\mathcal B$），将$\mathcal A$与$\mathcal B$比对，并公布其中相同的位$\mathcal P=\{p\in [1,n]|a_p=b_p,a_p\in\mathcal A,b_p\in\mathcal B\}$
   • 由上面的分析可知$P(a_n=b_n)=0.5$，所以相同位数应该大致为$|\mathcal P|\approx n/2$
3. Alice从$\mathcal X$取出这些相同位组成$\mathcal X'=\{x_p\in\mathcal X|p\in\mathcal P\}$、Bob从$\mathcal Y$取出这些相同位组成$\mathcal Y'=\{y_p\in\mathcal Y|p\in\mathcal P\}$
   • 显然，在没有干扰和中间人对量子信道中的量子进行测量（窃听）的情况下，必有$\mathcal X'=\mathcal Y'$（极化基和测量方向相同，必然测得正确结果）
4. Alice随机公布部分$\mathcal X'$，记为$\mathcal X''$（或Bob随机公布部分$\mathcal Y'$，记为$\mathcal Y''$）
   • $\mathcal X'$和$\mathcal Y'$会成为密钥，不能全部公布
   • 公布的位数量应该要能让下一步中计算出的误码率足够可信
5. 从$\mathcal X''$和$\mathcal Y''$中找出误码$\mathcal E=\{p|x_p\in\mathcal{X}''\wedge y_p\in\mathcal{Y}''\wedge x_p\not ={y_p}\}$，并计算误码率$E=|\mathcal E|/|\mathcal{P}|$
   • 在量子信道中，若有中间人在监听（测量光量子）那么监听的光量子越多，则误码率（$x_p\not ={y_p}$的概率）越高，最高为$25\%$
6. 若误码率$E$超过某一阈值，说明有人监听，则重新开始协议；若误码率$E$小于阈值，则可以$\mathcal X'$和$\mathcal Y'$为密钥，在经典通道中传输数据
   • 若用“一次一密”的方式则可以传输$|\mathcal P|$位数据；也可以进一步对密钥进行纠错、认证、保密增强等操作后再使用

证明：有中间人在监听时，$E=|\mathcal E|/|\mathcal{P}|=1/4$

通信的过程中，$\mathcal X$和$\mathcal A$均未公开，因此光量子的极化基对于中间人来说是未知的，中间人若要测量光量子只能随机选择测量方向，这时若设中间人的测量方向为$\mathcal{C}=\{c_n\}$，那么$P(x_p=y_p)=P(c_p=a_p)+P(c_p\not = a_p\wedge x_p=y_p)=0.5+0.5\times0.5=0.75$，即这时的误码率为$1/4$。

总结

量子密钥分发没有用到纠缠，只用到了测量和叠加，其主要贡献在于不在于解决通信问题，而在于让通信领域的加密方式从逻辑加密进化到物理加密。

• 逻辑加密就是我们已经学过的AES、RSA、Diffie-Hellman等基于计算复杂性的加密方式，这种加密方式有足够的计算能力就可以被破解
• 物理加密就是用物理现象对信息进行加密，这种加密需要基础物理学的进步才有破解的可能

为什么物理加密在量子物理之后才能产生？

因为量子物理告诉人们这个微观世界存在着无法观测和绝对无法获取信息的实体

墨子卫星就是一个量子密钥分发服务器