Criptografía Cuántica Alfonsa García y Jesús García Grupo de investigación en Información y Computación Cuántica (GIICC) Universidad Politécnica de Madrid
MAT.ES 2005
Contenido de la presentación Introducción El modelo cuántico de computación Estudio del protocolo BB84 Espionaje y seguridad Otros protocolos Comentarios
Un poco de historia Propuestas de Bennet, Deutsh y Feymann, al principio de los 80 Posibilidad de usar un canal cuántico para la distribución de claves privadas, Bennett y Brassard 1984. Algoritmo de Shor 1994.
Algoritmo de Shor Algoritmos cuánticos de complejidad polinomial para la factorización de enteros y el cálculo de logaritmos discretos. Transformada cuántica de Fourier. Abre la posibilidad de que ordenadores cuánticos puedan romper los criptosistemas de clave pública.
El modelo cuántico: Un experimento
→ Un filtro de polarización horizontal
Si ponemos dos filtros Primero polarización horizontal y luego vertical
→
↑
Si ponemos tres filtros Intercalamos el filtro de 45º
→ %
↑
El modelo cuántico de computación Unidad de información en computación cuántica: Qubit |0i , |1i
φ=a|0i+b|1i a,b∈C |a|2+|b|2=1
Un estado cuántico de un qubit es un vector unitario de un espacio de Hilbert bidimensional complejo H
B0=[|0i, |1i] es base ortonormal.
Medir un estado cuántico Sistema de medida ⇔ Base ortonormal Se obtiene Probabilidad φ=a|0i+b|1i B0=[|0i, |1i]
a/|a| |0i
|a|2
b/|b| |1i
|b|2
Otra base ortonormal B1=[|+i,|-i],
Estado Medido con B0 se obtiene
Medido con B1 se obtiene
|0i →
|0i, con prob. p=1
|+i con prob. p=1/2 |-i con prob. p=1/2
|1i ↑
|1i, con prob. p=1
|+i con prob. p=1/2 |-i con prob. p=1/2
|+i%
|0i, con prob. p=1/2 |1i, con prob. p=1/2
|+i con prob. p=1
|-i &
|0i, con prob. p=1/2 |1i, con prob. p=1/2
|-i con prob. p=1
Estados de n-qubits Un estado de n-qubits es un vector unitario del espacio de Hilbert complejo Hn = H⊗.. (n..⊗H .
Bn=[|x0i,|x1i.....|x2n-1i], xj∈ {0,1}n es la expresión binaria de j, Para n=2, B2=[|00i,|01i ,|10i ,|11i] Hay estados que son producto tensorial de 2 estados de H:
Y estados entrelazados
Medir un qubit en un estado de 2-qubits Usamos B0 para medir el primer qubit de φ=a|00i+b|01i +c|10i +d|11i con |a|2+|b2|+ |c|2+|d|2=1 Medida: Probabilidad: |0i
|a|2+|b2|
|1i
|c|2+|d|2
Estado resultante
Si el estado es entrelazado Medida: Prob:
Est. resultante
|0i
1/2
|00i
|1i
1/2
|11i
Prop: Si se mide el segundo qubit se obtiene el mismo resultado de la medida con probabilidad 1. Idea: Usar pares EPR para distribuir claves
Evolución de estados cuánticos Operadores unitarios definidos en el espacio de Hilbert. Ejemplos de transformaciones de un qubit: Negación: X(|0i)=|1i, X(|1i)=|0i Hadamard: H (|0i)=|+i, H(|1i)=|-i De 2-qubits: CNOT (cambia el segundo bit cuando el primero es 1) De n-qubits: productos tensoriales Wn = H ⊗.. (n..⊗ H Wn (|0i)= Wn (|0...0i)=
N =2n
Protocolo de distribución de claves
Protocolo BB84
0
1
B0
|0i →
|1i ↑
B1
|+i %
|-i &
Alicia genera aleatoriamente una cadena de 0’s y 1’s. Codifica cada bit eligiendo aleatoriamente una de las dos bases B0 y B1 y envía el fotón polarizado. Benito mide el fotón con una de las dos bases elegida aleatoriamente y descodifica. Reconciliación de bases: Benito transmite por un canal público la secuencia de bases usada y Eva le responde indicando las posiciones correctas.
Protocolo BB84 Mensaje
0 0 1
Base elegida
B0 B1 B0 B1 B0 B1 B0 B0 B1 B1
Polarización
→ %
B mide con
B0 B0 B1 B1 B1 B0 B0 B0 B1 B1
Resultado
|0i |0i |+i |+i |-i
Reconciliación 0
↑
0
%
0
1
↑
1 0 0 0
& →
→
%
1
&
|0i |0i |0i |+i |-i
0 0 0
1
Espionaje de Eva: Intercepta y envía Mensaje
0
Base elegida
B0 B1
Polarización Eva mide Resultado
→
%
↑
B1 B1
B0
0
1 0 0 0
1
B1 B0
B1 B0 B0 B1
B1
%
& →
%
&
B1 B1
B0 B0 B0 B0
B0
|+i |+i |1i
|+i |-i
|0i |0i |0i |1i
|0i
Benito mide
B0 B0
B1
B1 B1
B0 B0 B0 B1
B1
Resultado
|0i |0i
|+i
|+i |-i
|0i |0i |0i |-i
|-i
Cadena Eva
0
1
0
0
1
0
Cadena de B
0
0 0 1
1
0
1
0
B0
0
1 ↑
1
0
→
0
Efectos de esta estrategia Eva consigue una coincidencia del 75% con la clave de Alicia. Introduce una discrepancia del 25% en la clave de Benito. Para detectar espías A y B pueden generar una clave de longitud 2n y usar la mitad de ella para estimar el número de discrepancias. A Eva le interesa maximizar su probabilidad de acierto y minimizar la discrepancia introducida.
Eva puede usar otra base B=[|ui,|vi] |ui= cos(α) |0i + sin(α) |1i |vi= -sin(α) |0i +cos(α) |1i
a=cos(α)
Estrategia de la base intermedia Bi=[|ui,|vi], con |ui= cos (π/8) |0i + sin (π/8) |1i, |vi= -sin (π/8) |0i + cos (π/8) |1i.
Probabilidad de acierto de Eva: cos2 (π/8) ~ 0.854 Discrepancia introducida: 0.25
Otras estrategias de espionaje Eva puede llevar a cabo cualquier estrategia compatible con las leyes de la Mecánica cuántica. Un modelo de estrategia general: 1. Eva intercepta cada estado |xi enviado por Alicia 2. Le añade un n-qubit prueba en estado |0i y aplica una transformación unitaria: T(|xi⊗|0i) 3. Envía a Benito el qubit interceptado 4. Tras la reconciliación de bases, Eva puede aplicar otra transformación unitaria 5. Mide un qubit de su estado para obtener su clave
Garantizar la seguridad Interesa establecer la relación entre la máxima probabilidad de acierto de Eva y la discrepancia introducida.
Se puede estimar cuánto mayor es la coincidencia entre las claves de A y B que entre las de A yE
Depurar la clave Establecer una cota de discrepancia admisible. Usar una cadena de 2n bits y utilizar n de ellos para estimar la discrepancia. Si la discrepancia es mayor que la cota abortar el protocolo. Corregir errores. Amplificación de privacidad (acortando la cadena).
Protocolo B92 Alicia genera una cadena aleatoria a de 0’s y 1’s. Alicia codifica cada bit de a, del siguiente modo: 0 → |0i,1 → |+i y envía el qubit a Benito. Benito genera una cadena aleatoria a’ de 0 y 1. Benito mide cada qubit recibido con B0 si a’=0 y con B1 si a’=1. Benito construye una cadena b del siguiente modo: Si elige B0 y obtiene |0i⇒b=0, si obtiene |1i⇒b=1 Si elige B1 y obtiene |+i⇒b=0, si obtiene |-i⇒b=1 Benito publica las posiciones en que b=1 y, considerando sólo esas posiciones, la clave es a para Alicia y 1-a’ para Benito.
Protocolo B92 Si no hay ruido ni espías A y B tienen una clave coincidente con probabilidad 1. La clave final tiene como longitud la cuarta parte de la cadena inicial (P(b=1)=1/4). La acción del espía se refleja en la discrepancia y en la longitud de la clave final.
Dificultades físicas Los experimentos basados en pulsos débilmente coherentes han puesto de manifiesto ciertas limitaciones de seguridad. Dificultades para emitir un solo fotón. Medidas QND. Análisis de la seguridad en modelos no idealizados, con emisores imperfectos. Posibilidad de usar los protocolos cuánticos como apoyo en sistemas simétricos de seguridad en criptografía clásica.
Sistemas que se comercializan www.idquantique.com www.magigtech.com
PVP: 50000 €
Un anuncio publicitario