CC BY
100
Раздел IV. Методы и средства криптографии и стеганографии
УДК 621.383
О.А. Кулиш, С.Р. Шарифуллин, Ф.Г. Хисамов
АНАЛИЗ ПРОБЛЕМ ПОСТРОЕНИЯ СИСТЕМ КВАНТОВОЙ КРИПТОГРАФИИ С ФАЗОВЫМ КОДИРОВАНИЕМ
Основой конструкции установок квантовой криптографии являются два разбалансированных интерферометра Маха-Цендера, соединенных волоконно-оптической линией связи. Для приемлемой видности интерференции на выходе такой системы оба интерферометра должны быть идентичны с точностью до единиц микрометров, а расщепители излучения на входах и выходах интерферометров должны разделять интенсивность волны в соотношении 50:50, что сложно выполнить существующими методами. Проведенный анализ показал, что данная проблема может быть решена только на базе использования интегрально-оптических технологий проектирования квантовых систем, исследованию которых посвящены следующие работы авторов.
Квантовая криптография; фазовое кодирование; видность интерференции; дрейф фазы; детектирование фотонов; оптический разделитель.
O.A. Culish, S.R. Sharifullin, F.G. Khisamov ANALYSIS OF THE PROBLEMS OF CONSTRUCTING A QUANTUM CRYPTOGRAPHY SYSTEM WITH A PHASE CODING
The base of the construction of quantum cryptography units are two dis-balanced interferometers of Mah-Cender, connected with fiber-optic line. For acceptable visibility of interference at the quit of such a system the interferometers must be identical up to a few micrometers. Moreover, light splitters at the entrance and at the quit of the interferometers must divide the wave intensity in the ratio 50:50, it is difficult to perform the existing methods. The analysis has shown that this problem can only be solved on the basis of integrated optical design technology of quantum systems, which are devoted to the study of these authors' work.
Quantum cryptography; phase coding; visibility of the interference; phase drift; photons' detection; optical splitter.
Одним из наиболее интенсивно развивающихся направлений криптографии в настоящее время является квантовая криптография, современный этап развития которой характеризуется созданием оптических систем передачи квантовой информации. Безопасность информации, передаваемой по квантово-криптографическому каналу связи, обусловлена физическими принципами квантовой механики.
Для передачи случайной последовательности бит, которую используют в качестве ключа в симметричных криптосистемах, разработаны оптические квантовокриптографические установки с фазовой модуляцией и последующим интерферо-метрическим детектированием фотонов. Основой конструкции квантово-криптографических установок с фазовым кодированием являются два разбалансированных интерферометра Маха-Цендера, соединенных волоконно-оптической линией связи [1].
Рассмотрим основные требования, предъявляемые к оптическим элементам систем квантовой криптографии с фазовым кодированием. Элементы системы квантовой криптографии должны обладать малыми потерями мощности оптического излучения, так как в квантово-криптографических волоконно-оптических схемах нельзя использовать усилители. Из невозможности клонирования состояний квантовых систем следует, что использование усилителя оказывает такое же разрушающее воздействие при передаче по оптическому квантовому каналу, как и попытка перехвата сообщения [2]. Поэтому требованием к квантово-криптографическим системам является малость потерь в передающем оптическом волокне, а также использование для регистрации фотонов фотодетекторов, работающих в режиме счета единичных фотонов. Для всех существующих систем, основанных на инфракрасных фотонах и кварцевых световодах, минимальный уровень потерь оптического излучения составляет порядка 0,2 дБ/км.
Основная трудность в применении волоконно-оптической квантовокриптографической системы с фазовым кодированием состоит в необходимости добиться полной идентичности всех компонентов двух интерферометров системы, что само по себе довольно трудно реализуется на практике. Рассмотрим зависимость видности интерференции от рассогласования оптических путей в интерферометре. Для оптических монохроматических волн видность интерференционной картины всегда равна 1. Свет от реального физического источника никогда не бывает строго монохроматическим, так как даже самая узкая спектральная линия обладает конечной шириной. Кроме того, физический оптический источник имеет конечные размеры и состоит из огромного числа элементарных излучателей. Поэтому для адекватного описания интерференции рассматривают квазимонохроматический свет. То есть свет, состоящий из спектральных компонент, которые занимают частотный интервал А V, малый по сравнению со средней частотой.
Для интерференции квазимонохроматического света интенсивность на выходе для максимумов и минимумов определяется по формулам [3]:
где ^, !2 - вклад каждого из плеч интерферометра, когда другое плечо заблокировано, у(т) - комплексная степень когерентности.
ся вторичными источниками света. Причем колебания в одной точке рассматриваются в момент времени, запаздывающий на величину Т по сравнению с моментом времени колебаний оптического излучения в другой точке. Когда обе точки совпадают, получим:
где скобки ( у означают среднее по ансамблю. Тогда говорят об автокогерентно-
сти световых колебаний. Ансамбль функций A(t) представляет собой световое возмущение.
I
I
макс
мин
k +12 + И0| ;
I! +12 - 24т\Y(t)\ ,
где Г (т) - взаимная когерентность световых колебаний в двух точках, являющих-
На практике время задержки Т одного интерферирующего пучка относи-
( Л
тельно другого часто довольно мало. Если модуль Т так мал, что
V-V т
V
<< 1,
то степень когерентности может быть выражена в форме:
у(т) = \у(г) | е1ф) .
При этом формула интерференции может быть переписана в виде:
I = 1г +12 + \y{t) cos ф(т) .
Формула является основной формулой элементарной теории частичной когерентности оптического излучения. Она будет выполняться до тех пор, пока разность хода между интерферирующими оптическими пучками будет мала по сравнению с длиной когерентности.
По определению видности интерференции:
I -1
1 rnciv 1 г»
V =
Оценив минимум и максимум выражения интерференции, и подставив их в определение видности, мы получим:
V = 2 тгт •
11 + 12
Эта формула связывает видность полос с интенсивностями двух оптических пучков и их степенью когерентности. Когда потери в волоконно-оптическом интерферометре сбалансированы, то есть равны в обоих плечах, измеренная видность равна модулю степени когерентности.
Аргумент р(т) комплексной степени когерентности может быть получен из пространственного положения максимумов интерференционной картины. Он связывается с положением максимумов интенсивности простым соотношением:
2п — (2 -5 )-р(т) = 2шп т = 0,±1,±2,...,
Л
где ^1 , 5 2 - оптические пути лучей.
Используя теорему Винера о спектральном разложении степени когерентности, можно получить нормализованную плотность степени когерентности:
у(Т) = 18(у)в - 2УУ,
0
где g (у') - спектральная плотность.
По приведенным формулам можно найти связь между видностью интерференционной картины и временем разности хода интерферирующих оптических лучей Т. В идеальном случае видность должна быть равна 1. Расчеты показывают, что при рассогласовании плеч волоконно-оптического интерферометра порядка длины волны оптического излучения, видность падает до 50 %, что является очень низким показателем. Таким образом, в волоконно-оптических системах квантовой криптографии с фазовым кодированием оба интерферометра должны быть идентичны с точностью до долей длины волны.
В волоконно-оптических интерферометрах на четкость интерференции негативно влияет также дрейф фазы оптического излучения. Поэтому для нормальной работы оптической установки необходима активная система компенсации дрейфа фазы и подстройка фазы каждый раз перед циклом передачи ключа. Для того, чтобы количество ошибок в сыром ключе не превышало 11 % (максимально допустимое количество), ошибка в установке фазы должна быть менее 10 %.
Одной из основных проблем квантовой криптографии является то, что до сих пор невозможно создавать чистые однофотонные оптические импульсы. Обычно источником света для квантовой криптографии является просто ослабленный аттенюатором луч лазера. Для такого типа света число фотонов в оптическом импульсе есть случайная величина с пуассоновским распределением. Это значит, что некоторые импульсы могут вообще не содержать фотонов, а в других может быть несколько фотонов. Из оптических импульсов с более чем одним фотоном информация может быть подслушана, а для очень слабых импульсов мало отношение сигнала к шуму. Для получения одиночных фотонов в современных волоконнооптических системах используются импульсы лазерного излучения длительностью 30 пс, длиной волны 1,5 мкм и частотой импульсов 10 кГц.
При повышении скорости передачи данных в волоконно-оптических квантовокриптографических системах, появляются проблемы, связанные с детектированием единичных фотонов. На сегодняшний день многие квантово-криптографические системы работают на низкой частоте, так как повышение частоты ведет к повышению процента ошибок при детектировании.
Для волоконно-оптической системы квантовой криптографии с фазовым кодированием важно соотношение потерь и коэффициентов разделения оптического сигнала в разветвителях. Неидеальность разделителя и неравные потери оптического излучения в плечах интерферометра Маха-Цендера существенно влияют на видность интерференционной картины.
На рис. 1 показана система фазового кодирования на одном интерферометре с отражателями. Оптическое излучение лазера делится на два луча пластиной ББ1, оба луча, пройдя через фазовые модуляторы фА и фБ, интерферируют с помощью пластины ББ2. В результате интерференции оптическое излучение поступает на детекторы Б1 или Б2 в зависимости от внесенной фазовыми модуляторами разности фаз. Согласно теории интерферометрии видность на детекторе Б1 (рис. 1) выражается формулой [3]:
а на детекторе Б2 формулой:
і\
-1
V N КІ ы N Ы N у
п1 гг| \гв\ К| |гг| \гм у где ^, Г2, ^, г 2 - амплитудные коэффициенты отражения и пропускания разделителей луча ВБ! и Б82. г^- коэффициенты поглощения в плечах интерферометра.
Рис. 1. Система фазового кодирования на одном интерферометре с отражателями
Видности V и У2 достигают максимума, равного 1, при условиях:
Ы Ы У
V = 1, если
V2 = 1, если
Ы1Г2І \t.
B
ы ы ы
ы ы Ы
Видности V! и ^2 одновременно достигают единицы, когда
|г1|2 = |г2|2 = 0,5. Если уменьшается до значения
2 = | Г212 Ф 0,5, то V1 остается равной единице, а V2
(\ |2
V2 = 2
И'
■ +
І?1І
2 Л
Если |/j|2 = |t212, то V[ и V2 меняются местами.
Из формулы для Vl следует, что возможно достичь единичной видимости на D1 даже, когда |fj|2 ф |^212. Это может быть достигнуто путем введения некоторых потерь оптического излучения в одном из плеч интерферометра. При этом V2 уменьшается до значения:
' ы!+ы2 4-1
V2 = 2
?2|2 |Г2І
2
Делитель ВБ2 в схеме на рис. 1 значительно более важен, чем делитель В81. Если ВБ2 - идеальный делитель 50:50, то можно достичь единичной видности на обоих детекторах одновременно вне зависимости от несовершенства делителя В81. Условия достижения единичной видности на обоих делителях V! = V2 = 1 имеют вид:
Ы2 = 0,5
ІГ1І КА
ы Ы
1
2
и
Если |^212 Ф 0,5, то единичная видность может быть достигнута только на
одном из детекторов. Поэтому разделитель оптического пучка, чей коэффициент разделения близок к 50:50 должен быть использован для сведения лучей, то есть в роли BS2. Например, если ввести потери оптического излучения на уровне 2 дБ в одно из плеч интерферометра, то видность на обоих детекторах понижается на 2,5 %. Если коэффициенты разделения BS1 и BS2 соотносятся как 56:44 и 53:47, то Vi падает до 96 %, а Vj - до 92 %. Таким образом, в системах квантовой
криптографии требуется высокая точность деления мощности оптического излучения в пропорции 50:50.
Таким образом, практическая реализация схемы с фазовым кодированием на двух разбалансированных волоконно-оптических интерферометрах Маха-Цендера сталкивается с рядом серьезных проблем. Как показывают расчеты для получения четкой интерференции на выходе системы оба интерферометра должны быть идентичны с точностью до единиц микрометров. В такой системе будет возникать так же дрейф фазы, который необходимо свести к минимуму путем применения систем температурной стабилизации и компенсации набега фазы. Для приемлемой видности интерференции расщепители излучения на входах и выходах интерферометра должны разделять интенсивность волны пополам.
Решение проблем квантовой криптографии на элементной базе современной волоконной оптики является сложной задачей. Применение интегрально-оптической технологии позволяет создать оптические элементы (разветвители, интерферометры, поляризационные расщепители, фазовые модуляторы, брегговские волноводные отражатели, мультиплексоры) с требуемой точностью геометрических параметров, а также уменьшить размеры устройств, что значительно облегчает и упрощает их термостабилизацию. Хотя в интегрально-оптических волноводах потери излучения выше, чем в волокне, благодаря малым размерам интегрально-оптических устройств их применение в системах квантовой криптографии не требует значительного уменьшения длины квантовой линии связи. Кроме того, интегральнооптические схемы с применением периодически поляризованного ниобата лития позволяют создать источники единичных фотонов и пар фотонов в перепутанных состояниях. Различные протоколы квантовой криптографии требуют построения сложных схем обработки сигналов, что также удобно реализовать на основе единой интегральной схемы. Поэтому дальнейшие исследования авторов посвящены разработке методов квантовой криптографии с применением интегральнооптических технологий и синтезу математических моделей для оптимального их проектирования.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Бауместер Д., Экерт А., Цайлингер А. Физика квантовой информации. - М.: Постмар-кет. - 2003. - 253 с.
2. Bennett С., Bessette F., Brassard G., Salvail L., Smolin J. Experimental Quantum Cryptography // J. of Cryptology. - 1992. - № 5 - P. 356-353.
3. Tittel W., Brendel J., Gisin B., Herzog T., Zbinden H., Gisin N. Experimental demonstration of quantum correlations over more than 10 km // Phys. Rev. A. - 1998. - Vol. 57. - P. 3229-3232.
Статью рекомендовал к опубликованию д.т.н. профессор О. Акаткин.
Кулиш Ольга Александровна - Филиал Военной академии связи г. Краснодар; e-mail: culish_olga@mail.ru; 350035, г. Краснодар, ул. Красина, 4; тел.: 89615213577; кафедра криптографических средств защиты информации и математических основ криптологии; старший преподаватель; к.ф.-м.н.; доцент.
Шарифуллин Сергей Равильевич - e-mail: SharifullinSR@mail.ru; тел.: 89054726222; кафедра криптографических средств защиты информации и математических основ криптологии; начальник; к.т.н.; доцент.
Хисамов Франгиз Гильфанетдинович - e-mail: kiiz@rambler.ru; тел.: 88612523031; кафедра специальной связи; д.т.н.; профессор.
Culish Olga Aleksandrovna - Branch of the Military Academy of Communications, Krasnodar; e-mail: culish_olga@mail.ru; 4, Krasin street, Krasnodar, 350035, Russia; phone: +79615213577; the department of cryptographic systems for information protection and mathematical foundations of cryptology; senior lecturer; cand. of phis.-math. sc; associate professor.
Sharifullin Sergey Raviljevich - e-mail: SharifullinSR@mail.ru; phone: +79054726222; the department of cryptographic systems for information protection and mathematical foundations of cryptology; cand. of eng. sc; associate professor.
Khisamov Frangiz Gilfanetdinovich - e-mail: kiiz@rambler.ru; phone: +78612523031; the department of special communications; dr. of eng. sc.; professor.
УДК 681.03.245
Л.К. Бабенко, Е.А. Ищукова АНАЛИЗ СИММЕТРИЧНЫХ КРИПТОСИСТЕМ*
Рассматриваются основные аспекты применения современных методов криптоанализа для оценки стойкости симметричных блочных алгоритмов шифрования. В том числе, рассмотрены такие методы анализа как линейный, дифференциальный, алгебраический анализы, слайдовая атака. Также рассмотрены различные подходы к анализу стандарта AES. Дано определение Парадоксу дней рождений и объяснена его роль в решении задач защиты информации. При рассмотрении подходов к анализу современных симметричных криптосистем отдельное внимание уделено вопросам возможности применения распределенных многопроцессорных вычислений с целью сокращения времени анализа.
Криптография; крипроанализ; симметричное шифрование; секретный ключ; блочный шифр; стойкость; распределенные многопроцессорные вычисления.
L.K. Babenko, E.A. Ischukova ANALYSIS OF SIMMETRIC CRYPTOSYSTEMS
Article considers the main aspects of application of modern methods of cryptanalysis for an assessment of strength of symmetric block algorithms of enciphering. Considering include such methods of the analysis as linear, differential, algebraic analyses and slide attack. The different variants of analysis of AES are considered. It is described what the Birthday Paradox is and what is its role in the information security. The special attention is given to questions of possibility of using of the distributed multiprocessing calculations for reduction of time of the analysis.
Сryptography; cryptanalysis; symmetric cipher; secret key; block cipher; strength; multiprocessing calculations.
Современные алгоритмы шифрования разрабатываются таким образом, чтобы аналитик имел как можно меньше шансов отыскать секретный ключ, с помощью которого были зашифрованы данные, даже если ему известен сам алгоритм шифрования и есть в наличие несколько текстов и соответствующих им шифртек-стов. Приступая к задаче анализа, первым делом аналитик определяет тот набор данных, который ему изначально известен для анализа. От этого зависит тот тип
* Работа поддержана грантами РФФИ: № 12-07-00037-а, №12-07-31120-мол_а. 136
