14.07.2013 Aufrufe

Quantenkryptographie - Institut für Theoretische Physik der ...

Quantenkryptographie - Institut für Theoretische Physik der ...

Quantenkryptographie - Institut für Theoretische Physik der ...

MEHR ANZEIGEN
WENIGER ANZEIGEN

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

Universität Stuttgart Hauptseminar in Theoretischer Physik SS2011

Quanten-Kryptographie

Robert „Bob“ Wulfert

26.07.2011

1


1. Klassische Kryptographie

2. Quantenkryptographie

Inhalt

3. Quantum-Key-Distribution (QKD) Protokolle

4. Technische Umsetzung

5. Sicherheit

6. Zusammenfassung

2


1.1 Terminologie

1. Klassische Kryptographie

(Erstellen von Codes)

Kryptologie

Kryptographie Kryptoanalysis

Verschlüsselung (encryption):

Eve

(Brechen von Codes)

Alice Bob

Ein Algorithmus bzw. Kryptosystem kombiniert die Nachricht mit einem Schlüssel (key)

zu einem Kryptogramm, aus welchem die ursprüngliche Nachricht nur mithilfe des

Schlüssels wiederhergestellt werden kann.

3


1. Klassische Kryptographie

Man unterscheidet zwei Klassen von Systemen:

1. Asymmetrische

public-key Kryptosysteme

Verschlüsselung

Entschlüsselung

2. Symmetrische

secret-key Kryptosysteme

Verschlüsselung &

Entschlüsselung

4


1. Klassische Kryptographie

1.2 Public-key Kryptosysteme

public-key

Alice

(sender)

encrypts message with

public key

● Verschlüsselung mit public-key

● Entschlüsselung nur mit private-key

● Auf beliebig viele Parteien erweiterbar

Eve

computes

public-key

chooses

private-key

Bob

(receiver)

decrypts message with

private key

5


● Sicherheit durch Asymmetrie in Komplexität von Berechnungen

● Dazu verwendet man sogenannte one-way-functions:

● RSA (1978)

1. Klassische Kryptographie

1.2 Public-key Kryptosysteme

– Man berechnet leicht f(x) für ein gegebenes x

→ polynomielle Zeitabhängigkeit von der Anzahl der Eingabebits

– Es ist schwierig x aus einem gegebenen Funktionswert f(x) abzuleiten:

– Beispiel:

→ exponentielle Zeitabhängigkeit von der Anzahl der Eingabebits

– Die Existenz eines schnellen Algorithmus zur Faktorisierung kann nicht prinzipiell

ausgeschlossen werden.

6


1. Klassische Kryptographie

1.3 Secret-Key Kryptosysteme

Alice Bob

encrypts/decrypts

message with

secret key

classical distribution of

secret key

Eve

● Absolut sicher, solange Alice und Bob im Besitz eines gemeinsamen geheimen Schlüssels

sind.

● Der Schlüssel kann nur für eine einzige Übertragung genutzt werden.

● Hauptschwierigkeit: Verteilung des Schlüssels

decrypts/encrypts

message with

secret key

7


1.4 Vernam Protokoll (one-time-pad, 1926)

● Der Quelltext soll bereits digital als (0,1)-Folge der Länge n vorliegen.

● Der Schlüssel besteht aus einer (0,1)-Zufallsfolge ebenfalls mit Länge n

● Verschlüsselung durch gliedweise Addition modulo 2

● Beispiel:

1. Klassische Kryptographie

Alice

Quelltext 0 1 1 0 1 1 0 0

Schlüssel 1 0 0 0 0 1 1 0

Kryptogramm 1 1 1 0 1 0 1 0

public

channel

Bob

Kryptogramm 1 1 1 0 1 0 1 0

Schlüssel 1 0 0 0 0 1 1 0

Quelltext 0 1 1 0 1 1 0 0

● Bob erhält das Kryptogramm und addiert wiederum den Schlüssel modulo 2

● Wegen x + 0 + 0 = x und x + 1 + 1 = x entsteht dann wieder der Quelltext

● Absolute Sicherheit bei Einhaltung aller Vorgaben (→ QKD)

8


2. Quantenkryptographie

2.1 Prinzipien der Quantenmechanik

● Die Quantenmechanik sagt uns was wir nicht tun können:

– Keine Messung an einem Quantenmechanischen System ohne Störung des Systems

– Keine gleichzeitige Messung zweier nicht kommutierender Observablen

→ Die Polarisation eines Photons kann nicht gleichzeitig in

der vertikal-horizontalen Basis und der diagonalen Basis

gemessen werden

– Man kann einen unbekannten Quantenzustand nicht kopieren (no-cloning-Theorem)

● Diese Verbote gelten auch für einen Lauscher Eve

● In der Quantenkryptographie werden diese Verbote ausgenutzt um eine abhörsichere

Übertragung zu gewährleisten

9


2.2 No-Cloning-Theorem

Theorem:

Beweis:

2. Quantenkryptographie

Es ist nicht möglich, einen unbekannten Quantenzustand perfekt zu klonen.

Eine lineare, unitäre Transformation U, die die Basiszustände |0 > und |1 > perfekt

auf einen Anfangszustand |i > kopiert, lautet:

Wollten wir hiermit einen unbekannten Zustand

klonen, so erhielten wir

Dies entspricht nicht dem gewünschten Zustand

10


2. Quantenkryptographie

2.3 Quantum-Key-Distribution (QKD)

● Die Quantenkryptographie baut auf dem klassischen Secret-key-Verfahren auf.

● Sie ergänzt dieses durch die Erzeugung und Verteilung des geheimen Schlüssels mittels

quantenmechanischer Systeme.

Quantum-Key-Distribution

Alice Eve

Bob

encrypts/decrypts

message with

secret key

● Die Sicherheit von QKD beruht auf Naturgesetzen.

decrypts/ecrypts

message with

secret key

● Es wird weiterhin ein klassischer Kommunikationskanal benötigt.

● Voraussetzung für absolute Sicherheit: Authentizität des klassischen Kanals

11


3. QKD-Protokolle

3.1 BB84-Protokoll (1984)

quantum channel

Alice Eve Bob

classical channel

● Alice sendet Bob 2n Qubits, beispielsweise polarisierte Photonen. Sie präpariert dazu

willkürlich Zustände aus einer der beiden Basen H (horizontal-vertikal) und D (diagonal):

● Bob wählt für die Messung der ankommenden Photonen ebenfalls

eine zufällige Basis aus.

● Die Messwerte entsprechen der Nummerierung der Zustände.

Fig.: Equator of Poincare-Sphere

12


3. QKD-Protokolle

Photonennummer 1 2 3 4 5 6 7 8 9

Alices Basis H D D H H D H D D

präparierter Zustand

Bobs Basis H H D D H D H H D

Messergebnis (raw key) 1 Z 0 Z 0 0 1 Z 1

sifted key 1 0 0 0 1 1

● Alice und Bob gleichen über den klassischen Kanal ihre für jedes Photon getroffene Wahl der

Basis ab. Sie müssen also dazu in der Lage sein, eine eins-zu-eins Korrespondenz zwischen

den gesendeten und den empfangenen Qubits herzustellen.

● Sie verwerfen die Qubits bei denen die Präparations- und die Messbasis nicht

übereinstimmen. („sifting“)

● Die übrigen Messwerte sind perfekt korreliert und bilden den sogenannten „sifted-key“ mit

der durchschnittlichen Länge n.

● Weder Alice noch Bob können den resultierenden Schlüssel vorher festlegen. Es ist vielmehr

das Zusammenspiel ihrer zufälligen Entscheidungen welches den Schlüssel entstehen lässt. In

diesem Sinn wird über den Quantenkanal allein keinerlei Information übertragen.

13


3. QKD-Protokolle

3.2 Angriffsmöglichkeiten für Eve:

● Fängt Eve die Photonen ab, so bemerkt Bob dies und das Protokoll wird abgebrochen.

● Eve kann sich keine Kopie der Photonen erstellen (no-cloning-Theorem)

● Intercept-resend-Strategie:

Eve measures Photon

quantum channel

Alice Bob

classical channel

compatible basis ½ ½ incompatible basis

sends correct state

+ 50% information gain

1

sends wrong state

+ no information gain

Eve

½ ½

sifted key unflawed error in sifted key

75% QBER: 25%

● Alice und Bob vergleichen Teile des sifted-keys um einen Lauschangriff mit beliebiger

Wahrscheinlichkeit auszuschliessen

14


● Interaktion von Eve ohne Störung von Alices System:

daraus erhält man

3. QKD-Protokolle

3.3 Störung und Transinformation

● Allgemein gilt also: Je mehr Information Eve erhalten will, desto mehr wird der

ursprüngliche Zustand gestört.

● Die allgemeinste Transformation, die sie durchführen kann lautet:

● D ist ein Maß für die induzierte Störung (D max = 1/2)

Alice U

Bob

perturbation information

Eve

15


3. QKD-Protokolle

● Definition: Transinformation I(X;Y) ist die Menge an Information die man über X bekommt

wenn Y bekannt ist.

● Ziel von Eve ist es, für eine gegebene Störung D (und damit auch I(A;B)) I(A;E) zu

maximieren.

● Eve's maximale Transinformation ist gegeben durch:

16


3. QKD-Protokolle

3.4 Fehlerkorrektur und privacy-amplification

● Alice wählt zufällige Bitpaare (a1,a2) des übertragenen Schlüssels aus und teilt Bob die

Position der Bits im Code sowie den Wert a 1+a 2 (XOR) mit. Erhält Bob dasselbe Resultat, so

behalten beide das erste Bit, falls nicht, werden sie verworfen. Alice und Bob erhalten so

sukzessive einen fehlerlosen Schlüssel.

● Um Eves Information zu reduzieren wird ein Verfahren namens „privacy-amplification“

durchgeführt:

Alice wählt wieder zufällige Bitpaare (a1,a2) des übertragenen Schlüssels, teilt Bob diesmal

jedoch nur die Position der Bits im Code mit. Beide ersetzen nun ihre beiden Bits durch ihr

Ergebnis von a1+a2 bzw. b1+b2 . Hat Eve an einer der beiden Positionen einen fehlerhaften

Eintrag, so wird ihr Ergebnis e1+e2 falsche sein und sie verliert Information.

● Für D < D C lässt sich durch Hintereinanderausführung der beiden obigen Verfahren immer

ein sicherer Schlüssel übertragen werden.

Alice ... 1 0 0 1 0 1 ...

Bob ... 0 0 1 1 0 0 ...

17


3.5 BBM92-Protokoll

3. QKD-Protokolle

● Einfaches 2-QuBit Protokoll beruhend auf EPR-Korrelationen

● Die Quelle erzeugt maximal verschränkte Photonenpaare im drehsymmetrischen Bell-

Zustand

● Jeweils ein QuBit geht and Alice und Bob.

EPR

Alice Bob

source

● Alice und Bob messen unabhängig voneinander in völlig zufälliger Weise die Polarisationen

in einer der Basen H oder D.

● Über einen öffentlichen Kanal werden zu jedem Photonenpaar die Messbasen verglichen und

die Ergebnisse mit unterschiedlichen Basen werden verworfen.

● Die verbleibenden Messergebnisse müssen perfekt korreliert sein, wenn nicht gelauscht

wurde.

● Fehlerkorrektur und privacy-amplification wie beim BB84-Protokoll

18


3.6 Ekert-Protokoll (1991)

BBM92

protocol

3. QKD-Protokolle

Test of CHSH

inequality

Ekert

protocol

● Überprüfung der CHSH-Ungleichung

● Jeweils 3 Messbasen

● 2/9 der Qubits bilden sifted-key

● 7/9 der Qubits → Korrelationsfunktion

● Lauschangriff und Manipulation der

Quelle ausgeschlossen

19


4. Technische Umsetzung

4.1 Experiment: Entanglement-based quantum communication over 144km (2007)

20


4. Technische Umsetzung

4.1 Experiment: Entanglement-based quantum communication over 144km (2007)

● Überprüfung der Polarisationskorrelation mit der CHSH-Ungleichung

● Korrelationsfunktion

● Die Korrelationskoeffizienten ergeben den Bell-Parameter S :

● CHSH-Ungleichung:

● Maximale Verletzung laut QM:

für die Polarisationswinkel:

● Experimenteller Wert:

● Eindrucksvolle Verletzung der CHSH-Ungleichung um 13 Standardabweichungen

21


4.2 off-the-shelf System: MAGIQ QPN 8505

● Features:

4. Technische Umsetzung

– Verwendung des BB84-Protokolls

– Bis zu 140km Distanz

– Bis zu hundert 256 Bit keys pro Sekunde

– Verschlüsselung und QKD in einem Gerät und über denselben optischen Kanal

– Netzwerkkompatibel

22


5. Sicherheit

Theorem (Sicherheitsstatement für QKD):

Wenn

● A1) die Quantenmechanik korrekt ist, und

● A2) die Authentifizierung sicher ist, und

● A3) unsere Geräte zuverlässig und sicher sind,

dann erzeugt die QKD mit einer hohen Wahrscheinlichkeit

einen zufälligen, geheimen Schlüssel.

23


5. Sicherheit

5.1 Authentifizierung

● Die Authentizität muss während der beinahe der gesamten QKD Prozedur gewährleistet

sein

Fig.: Stages of QKD

24


5. Sicherheit

5.1 Authentifizierung

● Ein authentischer klassischer Kanal ist essentiell für die Sicherheit von QKD.

● Klassischer Schlüssel benötigt bevor QKD Sequenz

● Wenn die Authentifizierung in der ersten Sequenz von QKD sicher ist, dann sind alle

darauffolgenden Sequenzen informationstheoretisch sicher.

authentication QKD quantum-key-expansion

quantum-secret-growing

25


5. Sicherheit

5.2 Kerckhoff's Prinzip

Die Sicherheit eines Kryptosystems darf nur auf der Geheimhaltung des

Schlüssels basieren und nicht auf der Geheimhaltung des Algorithmus.

● Strenges „peer-review“ nur bei Veröffentlichung des Algorithmus

● Gegenteil: „security through obscurity“

● Quanten-Kryptosysteme:

Theoretische Beschreibung von QKD öffentlich zugänglich.

– Aber: Quanten-Kryptosysteme sind teuer und nicht vervielfältigbar.

→ kaum öffentliche Überprüfung der technischen Implementierungen möglich.

● Abweichungen von Theorie → mögliche Hintertüren

26


6. Zusammenfassung

Quantenkryptographie → Quantum-Key-Distribution → Quantum-Key-Expansion

● Sicherheit steht und fällt mit Implementierung

27


Quellen

● Prof. D. Bruß - Skript zur Quanteninformationstheorie (WS2004/05)

● R. Ursin, F. Tiefenbacher, T. Schmitt-Manderbach, H. Weier, T. Scheidl, M. Lindenthal, B.

Blauensteiner, T. Jennewein, J. Perdigues, P. Trojek, B. Ömer, M. Fürst, M. Meyenburg, J.

Rarity, Z. Sodnik, C. Barbieri, H. Weinfurter, A. Zeilinger -

Entanglement-based quantum communication over 144 km, Nature Physics 3, 481 (2007)

● N. Gisin, G. Ribordy, W. Tittel, H. Zbinden -

Quantum Cryptography, Rev. Mod. Phys. 74, 145 (2002)

● M. Nielsen, I. Chuang – Quantum Computation and Quantum Information (2000)

● J. Audretsch – Verschränkte Systeme (2005)

28

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!