УДК 621.383.523
А.С. Задорин, Д.А. Махорин
Статистическая обработка сигналов в системах квантового распределения ключей
Предложена модель усиления протокола квантового распределения ключей (КРК) за счет мониторинга статистики уровней ошибок, скорости генерации ключа и распределения квази-однофотонных состояний в квантовом канале. Установлены границы безопасных зон работы квантового канала для различных типов атак.
Ключевые слова: система квантового распределения ключей, зоны безопасной генерации ключа, PNS-атака.
На развитие методологии построения безусловно защищенных систем конфиденциальной связи в последние полтора десятилетия заметное влияние оказали идеи использования квантовых объектов для генерации секретного ключа удаленными пользователями А и Б [1—3]. Системы, построенные на этих идеях, в литературе принято называть системами квантового распределения ключей (КРК) [4-6]. Безусловная секретность генерируемых системами КРК ключей основана, как известно, на фундаментальных запретах квантовой механики на копирование неортогональных состояний квантовых объектов, в качестве которых, как правило, предполагается использование одиночных фотонов оптического диапазона волн. Детектирование попыток подслушивания в таких системах обеспечивается за счет динамического мониторинга нескольких показателей - вероятности ошибок Pf, скорости генерации первичного ключа B, а также распределения вероятности числа фотонов p(n) в сигнальных посылках. При этом абсолютный уровень криптозащищенности указанных систем гарантируется лишь для идеализированных условий - переноса сигналов по квантовому каналу строго одиночными фотонами, а также отсутствия шумов и потерь в канале связи.
В реальных условиях техника приготовления однофотонных состояний, как правило, сводится к ослаблению лазерного импульсов до уровня, характеризуемого средним числом фотонов т. При такой технологии распределение p(n) значительно отклоняется от идеальной 5-функции и описывается пуассоновской статистикой [7]
е~т
p(n) = mn. (1)
n!
Соотношение (1) показывает, что указанным способом приготовить идеальные однофотонные посылки не представляется возможным. Можно лишь с помощью параметра т регулировать вероятность их появления в сигнальном импульсе. В дальнейшем стохастические состояния фотонных посылок в квантовом канале, описываемые соотношением (1), будем называть квазиоднофотон-ными состояниями (КОС).
Вместе с отмеченным различием (1) от 5(n), для реального квантового канала характерно ненулевое значение погонного затухания линии а0, а также ограниченный уровень квантовой эффективности п фотоприемного устройства (ФПУ).
Несмотря на нарушения всех названных выше теоретических условий криптоустойчивости протоколов КРК, их безусловная защищенность может обеспечиваться и в реальных системах [8, 9]. Возможность такого усиления протокола основана на контроле сразу всех параметров КОС, искажаемых при возможных атаках некого агента Е на квантовый канал системы КРК, а также за счет дополнения протокольных состояний КОС специальными состояниями-ловушками (decoy states-D-состояние) [9-11]. Указанные D-состояния формируются пользователем А путем динамического расщепления однофотонных состояний в разбалансированном интерферометре Маха-Цендера (ИМЦ). Таким образом, создается возможность не только простого статистического подсчета числа состояний-ловушек на обоих концах канала, но также и контроля фазовых соотношений между фрагментами расщепленного D-состояния, осуществляемого путем интерференционных измерений в ИМЦ.
(3)
К основным контролируемым скалярным параметрам системы КРК относятся Pf, B, а также распределение p(n). Считается, что защищенность ключа в указанных системах обеспечивается до тех пор, пока Pf не превысит критического уровня PfKp~11%, зависящего от скорости генерации ключа системой B, используемого протокола КРК длины L и шумов Pn квантового канала [9, 12].
Последний параметр удобно выразить через Pf и другой системный показатель Pi - вероятность пропуска сигнальных КОС на приемной стороне квантового канала. Для этого обозначим порог срабатывания компаратора ФПУ как U0, выразим его через n, а Pn выразим через плотности вероятности шума pn(n) и смеси сигнала с шумом pc(n) [7]. Тогда
U0 ж
Pl = J Pc (n)dn, Pf = J Pn (n)dn . (2)
-ж -U 0
Скорость генерации системой КРК секретной ключевой последовательности (КП) B будет выражаться через введенные выше параметры Pl, L и а0 как [14]
aL
B = Bo(1 - Pl )p(1)kp 10 й",
где BQ - тактовая частота системы; кр - коэффициент снижения скорости, предусмотренный конкретным протоколом КРК.
Формулы (1)-(3), дополненные шумовой моделью ФПУ системы [13], позволяют рассчитать двумерную зависимость B(Pf, a0L). Пример расчета такой поверхности дан на рис. 1. Здесь шаг изменений аргументов по оси aL составляет 2,5 дБ, а по оси Pf - 3%. График получен для m = 0,1 и ФПУ, рассчитанного на работу с ЛФД S8664-05K в линейном режиме с коэффициентом лавинного размножения 100 и темновым током 0,15х10-9 А.
С помощью B(Pf, acL) можно установить безопасные для конкретных видов атак агента Е границы значений скорости генерации КП B и длины квантового канала L. Отыскание данных границ и является целью настоящей работы.
Границы безопасного режима систем КРК. Рассмотрим классическую систему КРК с источником КОС, описываемым формулой (1). Как отмечалось выше, использование подобного рода неидеальных источников сопряжено с рисками реализации нескольких видов атак [8, 9, 12]. Наиболее опасные из них - PNS-атака (Photon Number Splitting), UM-атака (Unambiguous Measurements) и др. - связаны с переконфигурированием агентом Е квантового канала, а также различного рода сортировок транслируемых по нему КОС. В ходе этих сортировок из пользовательских КОС в канале целиком или полностью исключаются однофотонные состояния, что приводит к изменению статистик pn(n) и pc(n). Естественно, что для обеспечения скрытности своей процедуры агенту Е необходимо сохранить значения строго контролируемых легитимными пользователями параметров B и Pf. Из формул (1)-(3) следует, что для этого достаточно изменить значения длины и погонного затухания квантового канала. Для отыскания этих значений пометим их штриховыми индексами (а' и L1) и подставим в (1)-(3). Получим общую систему уравнений для L' и а':
a'L' aL
B, с-1
15000
10000
5000
0 2 4 6 Q I ■ 0 4 6
8 10 Pf
a L
Рис. 1. Зависимость скорости
генерации ключа от Pf и ослабления КОС в канале связи
,(1 -P(Ь'))р(п')-10 Ю =(1-11 (Ь))р(1) 10 Ю, (4)
Р/ (¿') = Р/ (1) • Здесьр(пг) - вероятности измененных в ходе атаки КОС.
Связь уравнений в системе (4) определяется критериями (2) сортировки гипотез о наличии или отсутствии КОС в моменты опроса компаратора ФПУ, т.е. соответствующим пороговым уровнем и0 и распределениями рп(п), рс(п).
В случаях, когда шумами в квантовом канале можно пренебречь, т.е. мощность шума Рп можно считать сосредоточенной на входе ФПУ пользователя Б,
Р'АР')= Р#), Р\(Р')= ВД, (5)
уравнение (4) линеаризуется и сводится к элементарному виду:
а'Х'= аХ -[1вЦ1))-1§ (т(п'))]. (6)
Из (6) следует, что агент Е получает необходимый для маскировки бюджет ослабления
АаЬ=аЬ-а'Ь'
КОС в квантовом канале лишь тогда, когда ослабление основного канала (аХ) превысит критический уровень (аХ)кр:
KL = [g И1))-lg(m(«'))].
(7)
Последнее соотношение вместе с (3) определяют безопасную нижнюю границу Вкр скорости генерации системой ключевой последовательности, необходимую для обеспечения мониторинга статистической обработки КОС. Так, превышение текущего значения В уровня Вкр означает, что агент Е не располагает необходимым для организации конкретного вида атаки бюджетом ослабления ДаХ.
Условие (5), определяющее границы применимости (6), можно считать выполненным, например, в квантовом канале, построенном на основе волоконно-оптической линии связи (ВОЛС). Однако в другом важном для практики случае атмосферного канала указанное условие не выполняется. Здесь с увеличением его длины L имеет место накопление фонового рассеяния. В ФПУ фоновое излучение вызывает избыточный дробовой шум, снижающий помехоустойчивость системы. В данных условиях границы безопасной зоны (aL)^ необходимо отыскивать из решения нелинейного уравнения (4).
Рассмотрим, например, возможности организации PNS-атаки по ВОЛС. Как известно [8, 9, 12], данная атака сводится к тому, что агент Е неразрушающим образом измеряет в разрыве квантового
канала числа фотонов в импульсах КОС. Однофотонные импульсы при этом блокируются, а пользователю Б транслируются только импульсы с двумя и более фотонами, один из которых агент Е сохраняет в своей квантовой памяти. Битовое состояние этого фотона агент Е может легко установить позднее, после раскрытия и согласования пользователями состояний соответствующих поляризационных базисов по классическому каналу.
Для определения критического затухания в случае PNS-атаки учтем, что p(n') = p(2), тогда из (6) получим (aL)Sp ~ 12,5 дБ. Этот результат можно получить и прямым расчетом В по формуле (3). Соответствующие графики для параметров ФПУ к рис. 1, приведены на рис. 2.
Из рис. 2 видно, что необходимый для организации PNS-атаки бюджет ослабления в данных условиях составляет (aL)^ = ДaL ~ 12,5 дБ, а уровень Вкр ~ 1 Кбит/с.
Заключение. Анализ приведенной выше модели системы КРК показывает, что усиление протокола за счет мониторинга статистики Pf, В и распределенияp(n') и установления границ Вкр и (aL)^ безопасных зон работы квантового канала для различных типов атак связано с учетом соответствующих статистик p(n), pn(n) и рс(п) в формулах (1)-(7).
Из этих же соотношений видно, что использование в системах КРК традиционных лазерных источников с пуассоновской статистикой приготовления КОС, значительно увеличивает риски организации атак на генерируемый ключ и существенно снижает скорость этой генерации.
Литература
1. Quantum cryptography: Public key distribution and coin tossing [Электронный ресурс]. - Режим доступа http://www.cs.ucsb.edu/~chong/290N-W06/BB84.pdf свободный (дата обращения: 27.07.2014).
2. Bennett C.H. Quantum cryptography using any two nonorthogonal states // Phys. Rev. Lett. -1992. - Vol. 68, № 21. - P. 3121.
3. Ekert A. Quantum cryptography based on Bell's theorem // Phys. Rev. Lett. - 1991. - Vol. 67, № 6. - P. 661-663.
aL, дБ
AaL
Рис. 2. Зависимость В от ослабления одно- и двух-фотонных КОС в ВОЛС
4. Бауместер Д. Физика квантовой информации / Д. Бауместер, А. Экерт, А. Цайлингер. - М.: Постмаркет, 2002. - 376 с.
5. Молотков С.Н. Квантовая криптография и теоремы В.А. Котельникова об одноразовых ключах и об отсчетах // Успехи физических наук. - 2006. - Т. 176, вып. 7. - С. 777-788.
6. Килин С.Я. Квантовая криптография: идеи и практика / С.Я. Килин, Д.Б. Хорошко, А.П. Ни-зовцев. - Мн: Белорусская наука, 2008. - 392 с.
7. Куликов Е.И. Прикладной статистический анализ. - М.: Горячая линия-Телеком, 2008. -464 с.
8. Молотков С.Н. О решении проблемы обеспечения стойкости квантовой криптографии для канала связи со сколь угодно большой длиной // Письма в ЖЭТФ. - 2011. - Т. 93, вып. 12. - С 830-836.
9. Молотков С.Н. О предельных возможностях квантового распределения ключей с контролем статистики неоднофотонного источника // Письма в ЖЭТФ. - 2008. - Т. 87, вып. 10. - С. 674-679.
10. Hwang W.-Y. Quantum key distribution with high loss: Toward global secure communication // Phys. Rev. Lett. - 2003. - Vol. 91. - P. 057901.
11. Хорошко Д.Б. Квантовое распределение ключа на временных сдвигах с использованием состояний-ловушек / Д.Б. Хорошко, Д.И. Пустоход, С.Я. Килин // Оптика и спектроскопия. - 2010. -Т. 108, № 3. - С. 372-379.
12. Молотков С.Н. Об интегрировании квантовых систем засекреченной связи (квантовой криптографии) в оптоволоконные телекоммуникационные системы // Письма в ЖЭТФ. - 2004. -Т. 79. - С. 691-704.
13. Махорин Д.А. Возможность реализации линейного режима счета фотонов на лавинном фотодиоде S8664-05K при комнатной температуре / Д.А. Махорин, А.Б. Галиев, А.С. Задорин // Доклады ТУСУРа. - 2014. - № 1 (31). - C. 65-68.
Задорин Анатолий Семенович
Д-р физ.-мат. наук, профессор, зав. каф. радиоэлектроники и защиты информации (РЗИ) ТУСУРа
Тел.: 8 (382-2) 41-33-65
Эл. почта: Anatoly.Zadorin@rzi.tusur.ru
Махорин Дмитрий Алексеевич
Аспирант каф. РЗИ
Тел.: 8-913-824-11-11
Эл. почта: mda.tomsk@gmail.com
Zadorin A.S., Makhorin D.A.
Statistical analysis of signals in quantum key distribution systems
In the paper we propose a model of amplification protocol with quantum key distribution by monitoring the levels of statistical error rate of key generation and distribution of quasi-one-photon states in quantum channel. The boundaries of the safety zone of a quantum channel for different types of attacks has been set. Keywords: quantum key distribution system, secure key generation zone, PNS-attack.