Kvantová kryptografie

K tomu, abychom odvrátili nebezpečí prolomení současných šifrovacích schémat pomocí kvantových počítačů, je nutné soustředit se na takové problémy, jejichž složitost není potenciální existencí kvantového počítače tak degradována, jako je tomu v případě faktorizační úlohy. Kromě hledání nových matematických problémů máme v případě kvantové mechaniky možnost využít přímo také problémů spojených s vlastním chováním kvantových systémů. Místo abychom tak použili některý z matematických problémů, o kterém se domníváme, že je se současným technickým vybavením neschůdný, opřeme bezpečnost konstruovaného mechanizmu o nějaký fyzikální děj, o kterém z kvantové teorie víme, že nemůže nastat. Toto nám na první pohled nabízí vyšší úroveň bezpečnosti než klasický matematický přístup, neboť je to sama příroda a její elementární zákony, které ručí za neprolomitelnost takového mechanizmu. Na druhou stranu však musíme být v takových přístupech velmi obezřetní, protože je nutné důsledně rozlišit děje, které nejsou v přírodě možné z principu od dějů, které jsou sice možné, ale které nejsme zatím schopni technologicky realizovat. Toto je jistě nelehký úkol, který před sebou má teprve se rozvíjející oblast kvantové kryptografie. Jako příklad zmíněného mechanizmu si zde uvedeme protokol, který v roce 1984 navrhli Charles Bennett a Gilles Brassard. Jejich protokol (BB84) využívá v zásadě dvou kvantových poznatků: teorému o klonování kvantových stavů a nemožnosti měření určitých párů veličin současně. Je nutné uvést, že protokol řeší pouze nejcitlivější místo utajené komunikace. A sice výměnu klíčů bez použití důvěryhodné osoby, která by klíče oběma stranám doručila. Pokud jsme totiž schopni (kvantově-) bezpečně distribuovat klíč, pak nám nic nebrání v tom, abychom jako komunikační schéma použili některý z klasických algoritmů (nenapadnutelných kvantovým počítačem), jako je například dříve zmíněný One-time pad. Aby bylo možné protokol BB84 popsat, je nutné nejprve navrhnout nějaké vhodné technické řešení komunikace mezi oběmi stranami. Již víme, že pro kódování kvantových stavů můžeme kromě spinu použít i jiné dvoustavové kvantové systémy. U protokolu BB84 se nám bude dobře hodit polarizace fotonů. Polarizací mohou být v zásadě dva druhy. Jedna je lineární, u níž světlo kmitá vždy v jedné rovině, která může být vzhledem k nějaké referenční rovině stočená o určitý úhel. Druhou je kruhová, při níž fotony rozlišujeme podle frekvence rotace vektoru elektrického pole v rovině kolmé na směr šíření. Podle směru rotace rozlišujeme mezi pravo- a levotočivou kruhovou polarizací. My si vybereme například lineární polarizaci. Nyní předpokládejme, že Alice a Bob se domluví na způsobu, kterým si budou bity posílat. Za prvé si určí dvě polarizační báze, tj. roviny, ve kterých mohou fotony kmitat. Jedna je vertikálně-horizontální (rektilineární) odkloněná od vodoroviny o $0^\circ$ nebo $90^\circ$. Druhá - diagonálně-antidiagonální - definuje fotony, které oscilují v rovinách stočených o $45^\circ$ nebo $135^\circ$. Aby se dalo mezi bity rozlišit, je potřeba definovat, který foton bude představovat 1, a který 0. Podle obrázku můžeme například říci, že 1 bude $x$ a $x'$ ($0^\circ$ a $45^\circ$), 0 pak $y$ nebo $y'$ ($90^\circ$ a $135^\circ$). Shrňme tedy, že máme 2 polarizační báze a celkem 4 různé polarizace fotonů.

pol. báze	0	1
+	$\updownarrow$	$\leftrightarrow$
$\times$	$\nwarrow$	$\nearrow$

Obrázek: Měřící báze: Na obrázku jsou znázorněny polarizační báze $x, x'$ pro bit 1 a $y$, $y'$ pro 0. Symbolicky jsou tyto údaje shrnuty v tabulce.

Měření se v praxi provádí za použití krystalu CaCO$_3$, který nechává horizontálně polarizované fotony projít přímo skrz, kdežto vertikálně polarizované odklání mimo osu příchozích fotonů. Diagonálně polarizované fotony se s poloviční pravděpodobností odkloní (a jejich polarizace se změní na vertikální) a s poloviční projdou přímo (a kmitají horizontálně). Proto nám měření v diagonální bázi neřekne nic o směru polarizace rektilineárních fotonů. Pokud bychom měřící krystal stočili o $45^\circ$ pro měření diagonální polarizace, vstoupí stejný prvek náhody do měření rektilineárních fotonů. Jinými slovy jsou obě měřící báze k sobě komplementární a žádné měřící zřízení proto nemůže bez narušení stavu fotonu změřit současně jeden foton v obou bázích. To koresponduje se závěry Heisenbergova principu neurčitosti, který říká, že určité páry veličin nelze přesně měřit současně. Vysvětleme si nyní, proč tomu tak je. Jak víme, je akt měření kvantového systému vyjádřen transformační Hermitovou maticí, která zachovává vlastní stav a násobí jej reálným číslem (vlastní hodnotou, tzv. eigenvalue). Obecně bychom napsali, že $\textbf{\textit{A}}\vert\psi\rangle = a \vert\psi\rangle$. Řekněme, že kvantový systém je v jednom z vlastních stavů matice $\textbf{\textit{A}}$. Pokud provedeme s tímto operátorem měření, systém ve vlastním stavu zůstane. Pokud ale budeme měřit takový systém operátorem pro jinou veličinu, například operátorem $\textbf{\textit{B}}$, pak systém nepředvídatelně (dle amplitud) přejde do jednoho z vlastních stavů popsaných operátorem $\textbf{\textit{B}}$. Pokud provedeme měření s operátory v opačném pořadí, změní se stav systému dvakrát (z původního souvisejícím s maticí $\textbf{\textit{A}}$ na stav související s $\textbf{\textit{B}}$ a zpět). Tato závislost na pořadí měření je odražena v komutátoru dvou veličin (jakémsi rozdílu měření veličin v obou pořadích), který je roven

$$[\textbf{\textit{A}}, \textbf{\textit{B}}]= \textbf{\textit{A}} \textbf{\textit{B}} - \textbf{\textit{B}} \textbf{\textit{A}}.$$

Zde se dostáváme zpět k fotonům a jejich měření. Pokud definujeme operátory měření v obou bázích jako

$$\textbf{\textit{P}$_r$} = \left( \begin{array}{cc} 1 & 0 \\ ... ...ft( \begin{array}{cc} 1 & 0 \\ 0 & -1 \\ \end{array}\right) ,$$

kde hodnoty $\pm 1$ odpovídají pozorování fotonů odkloněných či prošlých přímo, pak komutátor zkonstruovaný ve stejné bázi není roven nule. (Stejné báze se docílí otočením jednoho operátoru o $\pi/4$ pomocí rotace U.) Z toho plyne závěr, že nelze měřit přesně v obou bázích zároveň. V kvantově-kryptografické praxi to znemožňuje potenciální odposlouchávací osobě (obvykle Evě - eavesdropper) na kanále s jistotou určovat hodnoty bitů vysílací strany, pokud se obě strany domluví na použití dvou polarizačních bází. Navíc je Eva omezena teorémem o klonování kvantových stavů. Ten říká, že neznámý kvantový stav není možné klonovat (tj. v Hilbertově prostoru neexistuje pro jedno-qubitový stav $\vert\psi\rangle$ unitární transformace U taková, že U $\vert\psi, 0\rangle = \vert\psi,\psi\rangle$). Myslí se tím to, že si Eva nemůže před měřením stav fotonu zkopírovat a mít tak jeden pro poslání cílové komunikační straně a druhý - identický - pro své měření. To by samozřejmě znamenalo neschopnost její detekce. Uvažujme nyní situaci, kde Alice je odesílatel a Bob příjemce zprávy. Nejprve si rozeberme jednoduchý příklad, kdy Alice používá pro všechny zaslané bity pouze jednu náhodně zvolenou polarizační bázi, o které Bob ví. Bob takto dokáže jednoznačně určit (v ideálním případě) všechny bity, které k němu doputovaly. Pokud ale bude náhodou na kanále odposlouchávat Eva, je zde 50% šance (v případě, že Eva uhodne polarizační bázi), že budou data kompromitována. Takové schéma je dosti naivní a je třeba jej patřičně vylepšit. Pojďme si proto popsat, jak funguje protokol BB84. Alice chce Bobovi zaslat klíč, kterým by oba později chtěli posílat utajená data. Proto si na své straně Alice nejprve vygeneruje náhodnou sekvenci bitů. Ty začne postupně posílat kvantovým kanálem Bobovi. To ale provádí tak, že opět náhodně mění polarizační bázi na své straně a posílá tak každý foton v jedné ze 4 možných polarizací. Bob tentokrát neví, kterou bázi má použít a proto náhodně střídá báze a provádí na fotonech měření polarizace. Průměrně v 50% případů je úspěšný a trefí se do stejné báze, v jaké daný foton Alice odeslala. Nyní nastupuje fáze, kdy si Bob a Alice veřejným kanálem sdělí, v jakých bázích měřili. U těch bází, v nichž se shodli, je zaručeno (pokud nedošlo k chybám na kanále), že Bob odečetl hodnotu fotonu správně. Dále je část těchto správných bitů porovnáním obětována ke zjištění možného odposlechu. Pokud totiž na kanále odposlouchává Eva, potom neví, kterou bázi má k měření použít a tudíž své měřící báze střídá. To ale způsobuje, že musí někdy posílat Bobovi foton polarizovaný v jiné bázi než poslala Alice. Z toho plyne, že v případě, že Bob náhodou použije stejnou bázi jako Alice, může s pravděpodobností 25% naměřit jinou polarizaci, než Alice poslala a odhalit tak Evu. Celá věc by se měla objasnit z následujícího příkladu:

Alice posílá	+  $\updownarrow$	+  $\updownarrow$	+  $\updownarrow$	+  $\updownarrow$	+  $\updownarrow$
Eva měří / posílá	+  $\updownarrow$	$\times$ $\nearrow$	$\times$ $\nearrow$	$\times$ $\nwarrow$	$\times$ $\nwarrow$
Bob měří	+  $\updownarrow$	+  $\updownarrow$	+  $\leftrightarrow$	+$\updownarrow$	+  $\leftrightarrow$

Tato tabulka obsahuje pouze výřez ze všech možností, které mohou nastat. Předpokládejme, že Alice i Bob měří ve správných polarizačních bázích $+$ a odposlouchávající Eva zkouší nastavit svůj detektor ve směrech $+$ nebo $\times$. Každý z těchto směrů představuje 50% případů v uvedené konfiguraci Alice a Boba. V prvním sloupci Eva získá správnou informaci a není přitom odhalena. Ve druhém až pátém sloupci (zbylých 50% případů) nezíská Eva nikdy správnou hodnotu polarizace (protože měří v jiné bázi) a navíc je porovnáním výsledků mezi Alicí a Bobem ve dvou z těchto čtyř případů (tj. v polovině z poloviny všech případů = 25%, viz třetí a pátý sloupec zleva) odhalena. To však bohatě postačuje k tomu, aby bylo srovnáním dostatečného počtu bitů její odposlouchávání potvrzeno. Čím více bitů je srovnáno (a tím i obětováno), tím větší je pravděpodobnost, že bude Eva odhalena. Jestliže je pravděpodobnost odhalení Evy u jednoho bitu 1/4, pak pro $n$ bitů je to $1 - (3/4)^n$. Vidíme, že tato funkce roste exponenciálně k 1. To znamená, že můžeme s libovolnou přesností určit přítomnost Evy. Už pro pouhých 20 testovaných bitů je pravděpodobnost odhalení asi 99,7%. Po dokončení komunikace jsou zbylé neobětované bity použity jako klíč pro následnou tajnou komunikaci, která může používat klasická kryptoschémata. Protokol BB84 je vhodné shrnout do následujícího příkladu:

a)

1

1

0

1

1

1

1

0

1

0

1

0

0

1

b)

$\times$

+

$\times$

+

+

+

$\times$

$\times$

$\times$

+

+

$\times$

+

$\times$

c)

$\nwarrow$

$\leftrightarrow$

$\updownarrow$

$\leftrightarrow$

$\leftrightarrow$

$\updownarrow$

$\nearrow$

$\nwarrow$

$\nwarrow$

$\updownarrow$

$\leftrightarrow$

$\nwarrow$

$\updownarrow$

$\nearrow$

d)

+

+

+

$\times$

$\times$

+

$\times$

+

$\times$

+

$\times$

+

+

$\times$

e)

0

1

0

0

1

1

1

1

1

0

1

1

0

1

f)

OK

OK

OK

OK

OK

OK

OK

g)

1

1

0

h)

OK

OK

OK

i)

1

1

0

1

a) Alice generuje náhodně sekvenci bitů. b) Potom si náhodně zvolí polarizační báze c) a kóduje bity do polarizace fotonů. d) Bob si na příjmu také náhodně volí báze, e) aby v nich naměřil hodnoty bitů. f) Veřejným kanálem si obě strany porovnají báze, v nichž měřili. g) Některé bity obětují k odhalení Evy. h) Protože Eva není přítomna (jinak by asi 1/4 bitů pozměnila), i) je uznán kanál za bezpečný a zbylé neodtajněné bity tvoří klíč.

Závěrem řekněme, že na rozdíl od prolamování současných šifer Shorovým algoritmem, je kvantová kryptografie dnes již laboratorně zvládnutelným principem, i když se pokusy pohybují na hraně technologických možností (ať již jde o přípravu jediného fotonu nebo realizaci založenou na posouvání fáze fotonů podobně jako u kvantového interferometru). Většinou se pro kvantový kanál používá optické vlákno, kterým se posílají jednotlivé fotony. I přes obtížnosti, které konstrukce použitelného kanálu klade, se již podařilo s rychlostmi několika desítek bitů za sekundu na vzdálenosti řádově desítek kilometrů klíč přenést. Přenos na větší vzdálenosti (přes $\approx$ 50 km) zatím představuje kvůli nemožnosti použití zesilovačů problém.