Квантовая криптография

Принципы квантовой криптографии

Квантовая криптография опирается на законы квантовой механики, в частности на принципы неопределённости и суперпозиции, для обеспечения фундаментальной безопасности передачи информации. В отличие от классических методов шифрования, устойчивость которых основана на вычислительной сложности задач (например, факторизации больших чисел), квантовая криптография предоставляет информационно-безопасный канал, защищённый даже от теоретически неограниченного по вычислительной мощности противника.

Протокол BB84: квантовое распределение ключей

Первый и самый известный протокол квантовой криптографии — BB84 — был предложен Чарльзом Беннеттом и Жилем Брассаром в 1984 году. Он реализует процесс квантового распределения ключей (QKD, Quantum Key Distribution), при котором две стороны — традиционно обозначаемые как Алиса и Боб — обмениваются одноразовым шифровальным ключом, используя одиночные фотоны.

В основе протокола лежит кодирование битов с помощью поляризации фотонов:

Базис + (стандартный): горизонтальная (|⟩) и вертикальная (⊥) поляризация.
Базис × (диагональный): поляризация под углом 45° и 135°.

Алиса случайным образом выбирает базис и направление поляризации для каждого бита и отправляет соответствующие фотоны Бобу. Боб также случайно выбирает базис измерения для каждого фотона. После передачи они открыто обсуждают использованные базисы (не раскрывая сами биты) и сохраняют только те измерения, где базисы совпали. Полученная последовательность битов становится секретным ключом.

Квантовая неразрушимость: невозможность клонирования и обнаружение подслушивания

Одной из основ безопасности квантового протокола является теорема о невозможности клонирования (no-cloning theorem). Она утверждает, что невозможно создать идеальную копию произвольного неизвестного квантового состояния. Это означает, что потенциальный перехватчик (Ева), пытаясь скопировать фотоны Алисы, неизбежно внесёт возмущения в состояние системы, что будет обнаружено в процессе проверки.

Если Ева производит измерения на пути фотонов, её вмешательство приводит к случайным ошибкам в данных Боба. После распределения ключа Алиса и Боб могут сравнить подмножество своих битов и оценить уровень ошибок (QBER — Quantum Bit Error Rate). Если он превышает допустимый порог (например, 11%), считается, что линия была скомпрометирована, и ключ отбрасывается.

Протоколы с энтанглированными состояниями: E91 и B92

BB84 не единственный возможный протокол. Альтернатива была предложена Артуром Эккертом в 1991 году (протокол E91), использующая запутанные пары фотонов (состояния Белла). В E91 Алиса и Боб получают по одному фотону из каждой запутанной пары и выполняют измерения в случайных базисах. Корреляции между результатами измерений, предсказанные квантовой механикой, могут быть использованы для построения общего ключа.

Главное преимущество — возможность проверки нарушения неравенства Белла, что доказывает присутствие истинной квантовой запутанности и отсутствие классического вмешательства в канал связи. Это делает E91 особенно устойчивым к некоторым видам атак, в том числе к атакам посредника (man-in-the-middle).

Протокол B92 использует только два квантовых состояния, но достигает подобной функциональности с упрощённой схемой.

Теоретическая безопасность: доказательства и модели

Квантовая криптография — одна из немногих областей, где возможно доказательство абсолютной безопасности протокола. В работах Люткенхауса, Майера, Шора и Прескилла были получены строгие математические доказательства, что BB84 обеспечивает информационно-теоретическую безопасность даже при наличии квантового компьютера у противника, при условии, что потери и ошибки в канале остаются в пределах допустимого порога.

Для анализа безопасности используется модель общего перехватчика, обладающего доступом ко всем квантовым и классическим каналам, но ограниченного законами квантовой механики. Безопасность достигается через такие процедуры, как усиление конфиденциальности (privacy amplification) и согласование информации (information reconciliation).

Реализация квантовых каналов: технологии и ограничения

Квантовые каналы, используемые для передачи одиночных фотонов, требуют особых условий. На практике используют два подхода:

Оптоволоконные каналы, в которых фотоны передаются по специальным низкодисперсионным волокнам. Ограничения: потери на расстоянии (экспоненциальное затухание сигнала), дисперсия, фазовые шумы.
Свободнопространственные каналы, например, в условиях спутниковой связи. Требуют точной юстировки передающих и приёмных устройств, борьбы с атмосферными искажениями и фоновым шумом.

Одиночные фотоны создаются с помощью лазеров с ослабленной интенсивностью или с использованием источников на основе квантовых точек. Приёмная сторона использует сверхчувствительные фотодетекторы, часто при температурах жидкого гелия или с применением сверхпроводящих нанопроволок.

Физические атаки и методы защиты

Несмотря на теоретическую безопасность, практические реализации квантовых протоколов подвержены уязвимостям, связанным с реальной аппаратурой. Среди возможных атак:

Атаки по боковым каналам, использующие непреднамеренные сигналы (например, тепловое излучение).
Атака по ослеплению детектора (blinding attack), при которой злоумышленник насыщает детектор мощным сигналом, чтобы подменить квантовые измерения классическими.
Фотонные атаки с задержкой (time-shift attacks), использующие несовершенства тайминга.

Для борьбы с этим разрабатываются доверенные устройства с полной сертификацией, а также протоколы с независимым устройством (device-independent QKD), обеспечивающие безопасность без необходимости доверия к внутреннему устройству детектора или источника.

Квантовые сети и будущее интернета

Квантовая криптография — ключевой компонент будущего квантового интернета, где информация будет передаваться в виде квантовых состояний. Разработка таких сетей уже ведётся: демонстрационные проекты действуют в Китае (проект Micius — спутниковый квантовый канал), в ЕС, США и Японии.

Создание квантовых повторителей — устройств, способных восстанавливать запутанность между удалёнными узлами — является важнейшей задачей для масштабируемости квантовых сетей. Без них длина квантовой связи ограничена десятками или сотнями километров.

Сравнение с постквантовой криптографией

Параллельно с квантовой криптографией развивается постквантовая криптография, где алгоритмы шифрования устойчивы к атакам квантового компьютера, но не опираются на квантовую физику. Примеры — решёточные криптосистемы (LWE, NTRU), кодовые (McEliece) и хеш-базированные схемы (SPHINCS+).

Однако их безопасность всё же основана на недоказанной вычислительной трудности задач, тогда как квантовая криптография предлагает фундаментально защищённую передачу ключей. Ожидается, что в будущем обе технологии будут сосуществовать, дополняя друг друга.

Фундаментальные ограничения и перспективы развития

Хотя квантовая криптография обеспечивает высокую безопасность, она сопряжена с рядом технических ограничений:

необходимость в специализированной инфраструктуре;
чувствительность к шумам и потерям;
ограниченные скорости передачи ключей.

Тем не менее, прогресс в создании надёжных фотонных источников, более устойчивых детекторов и алгоритмов коррекции ошибок позволяет постепенно внедрять квантовые системы в реальные телекоммуникационные сети. Квантовая криптография постепенно выходит из лабораторий и становится частью промышленного стандарта защиты информации, особенно в критически важных инфраструктурах: банковской сфере, правительственных коммуникациях, обороне и наукоёмких международных проектах.