Relatywistyczna kryptografia kwantowa

Relatywistyczna kryptografia kwantowa jest poddziedziną kryptografii kwantowej , w której oprócz wykorzystywania zasad fizyki kwantowej , wykorzystywana jest również zasada sygnalizacji bez światła nadświetlnego z teorii względności, stwierdzająca, że informacja nie może podróżować szybciej niż światło. Technicznie rzecz biorąc, relatywistyczna kryptografia kwantowa jest poddziedziną kryptografii relatywistycznej, w której protokoły wykorzystują zasadę sygnalizacji no-superluminal, niezależnie od tego, czy wykorzystywane są właściwości kwantowe, czy nie. Jednak w praktyce termin relatywistyczna kryptografia kwantowa jest również używany w odniesieniu do kryptografii relatywistycznej.

Historia

W latach 1997 i 1998 wykazano, że niektóre ważne zadania w nieufnej kryptografii są niemożliwe do wykonania przy bezwarunkowym bezpieczeństwie. Mayers, Lo i Chau wykazali, że bezwarunkowe zabezpieczenie bitów kwantowych jest niemożliwe. Lo pokazał, że nieświadomy transfer i szeroka klasa bezpiecznych obliczeń były również niemożliwe do osiągnięcia przy bezwarunkowym bezpieczeństwie w kryptografii kwantowej. Co więcej, Lo i Chau wykazali, że bezwarunkowo bezpieczny idealny kwantowy rzut monetą również jest niemożliwy. W tym kontekście Kent dostarczył w 1999 r. pierwsze relatywistyczne protokoły kryptograficzne do przydzielania bitów i idealnego rzutu monetą, które przezwyciężają założenia przyjęte przez Mayersa, Lo i Chau i zapewniają bezwarunkowe bezpieczeństwo. Od tego czasu Kent i inni odkryli inne bezwarunkowo bezpieczne protokoły relatywistyczne do zaangażowania bitów, a inne zadania kryptograficzne zostały zbadane w kontekście relatywistycznej kryptografii kwantowej.

Podstawy

Sygnalizacja bez sygnalizacji i bez sygnalizacji nadświetlnej

Zasada braku sygnalizacji w teorii kwantów głosi, że informacja nie może być przekazywana między dwiema odrębnymi lokalizacjami L ₀ i L ₁ bez transmisji jakichkolwiek układów fizycznych, pomimo jakiegokolwiek splątania kwantowego wspólnego między L ₀ i L ₁ . korelacja _Oznacza to w szczególności, że bez transmisji jakichkolwiek układów fizycznych między L1 _L i ₀ L1 kwantowa między L ₀ i nie mogą być użyte do przesyłania informacji między L ₀ i L ₁ , nawet jeśli są one nielokalnie przyczynowe i naruszają nierówności Bella . Zgodnie z teorią względności układy fizyczne nie mogą poruszać się szybciej niż prędkość światła . Zatem z zasady braku sygnalizacji wynika, że informacja nie może podróżować szybciej niż prędkość światła . Nazywa się to zasadą sygnalizacji bez nadświetla.

Zasada sygnalizacji bez nadświetla jest kluczową zasadą fizyczną wykorzystywaną w kryptografii relatywistycznej. Gwarantuje, że wynik x zmiennej losowej X uzyskany w pewnym punkcie czasoprzestrzennym P nie może wpłynąć na prawdopodobieństwo, że zmienna losowa Y przyjmie pewną wartość y w punkcie czasoprzestrzennym Q oddzielonym od siebie przestrzenią . Tak więc, na przykład, jeśli dwie strony Alicja i Bob mają po dwóch agentów, przy czym pierwszy agent Boba wysyła tajną wiadomość x do pierwszego agenta Alicji w punkcie czasoprzestrzeni P , a drugi agent Alicji wysyła tajną wiadomość y do drugiego agenta Boba w punkcie czasoprzestrzennym Q , przy czym P i Q są rozdzielone przestrzennie, to Bob może mieć pewność, że wiadomość y otrzymana od Alicji została wybrana niezależnie od wiadomości x , które dał Alicji i vice versa. Jest to użyteczna właściwość matematyczna wykorzystywana do udowodnienia bezpieczeństwa protokołów kryptograficznych w kryptografii relatywistycznej.

Ustawienie

Podstawowym wymaganiem w kryptografii relatywistycznej jest, aby strony realizujące zadanie kryptograficzne posiadały dobry opis czasoprzestrzeni , przynajmniej w obszarze czasoprzestrzeni, w którym zadanie jest realizowane. Na przykład w protokołach realizowanych blisko powierzchni Ziemi można przyjąć, że czasoprzestrzeń jest zbliżona do Minkowskiego . Co ważne, oznacza to, że w pobliżu powierzchni Ziemi systemy fizyczne i informacje nie mogą podróżować szybciej niż prędkość światła w próżni , czyli około 300 000 km/s. Zasadniczo kryptografię relatywistyczną można zastosować w bardziej ogólnych czasoprzestrzeniach , o ile strony mogą zagwarantować, że nie ma mechanizmów umożliwiających natychmiastową komunikację, takich jak tunele czasoprzestrzenne . Kolejnym wymogiem jest to, aby strony miały dostęp do wspólnego układu odniesienia , tak aby mogły zagwarantować, że niektóre zdarzenia komunikacyjne są oddzielone przestrzennie.

W kryptografii relatywistycznej zakłada się, że każda strona uczestnicząca w zadaniu kryptograficznym ma różnych zaufanych agentów, którzy współpracują przy realizacji zadania. Agenci wdrażają protokół, wykonując różne akcje w różnych punktach czasoprzestrzeni . Agenci tej samej strony mogą komunikować się za pośrednictwem uwierzytelnionych i bezpiecznych kanałów , które mogą być realizowane za pomocą wcześniej współdzielonych bezpiecznych kluczy , na przykład za pomocą jednorazowych podkładek .

Różne zadania badane przez kryptografię relatywistyczną polegają na zadaniach kryptografii nieufnej, w której dwie lub więcej nieufnych stron musi współpracować w celu wykonania zadania kryptograficznego, mając jednocześnie gwarancję, że inne strony nie oszukują. Przykładami zadań w nieufnej kryptografii są przydzielanie bitów , rzucanie monetą , nieświadomy transfer i bezpieczne obliczenia . Dystrybucja kluczy nie należy do kryptografii nieufnej, ponieważ w tym przypadku strony rozprowadzające klucz ufają sobie nawzajem. W kryptografii relatywistycznej każda strona uczestnicząca ma różnych zaufanych agentów, którzy współpracują ze sobą, wykonując różne działania w różnych punktach czasoprzestrzeni. Na przykład Alicja i Bob mogą być dwiema firmami z biurami i laboratoriami w różnych miejscach na Ziemi. Biura i laboratoria Alice współpracują ze sobą i ufają sobie nawzajem. Podobnie biura i laboratoria Boba współpracują i ufają sobie nawzajem. Ale Alice i Bob nie ufają sobie nawzajem.

Zadania badane w kryptografii relatywistycznej

Trochę zaangażowania

Zaangażowanie bitowe jest ważnym zadaniem kryptograficznym, które było szeroko badane w kryptografii relatywistycznej. W zobowiązaniu bitowym Alicja zobowiązuje się do bitu b w pewnym momencie t , a w pewnym późniejszym czasie t' > t Alicja ujawnia swój zaangażowany bit b Bobowi. Mówi się, że niewielkie zaangażowanie jest „ukrywaniem się”, jeśli Bob nie może wiedzieć b , zanim Alice się ujawni. Mówi się, że jest to „wiążące”, jeśli po czasie zobowiązania t Alicja nie może wybrać wartości b i pomyślnie odsłonić b do Boba. Protokół zobowiązania bitowego jest „bezpieczny”, jeśli jest ukrywany i wiążący. Twierdzenie Mayersa-Lo-Chau no go stwierdza, że bezwarunkowe zabezpieczenie bitu jest niemożliwe tylko w oparciu o prawa fizyki kwantowej. Kent wykazał, że twierdzenie Mayersa-Lo-Chau nie jest wystarczająco ogólne, ponieważ wyklucza protokoły wykorzystujące zasadę sygnalizacji bez nadświetla. Kent dostarczył pierwszy bezwarunkowo bezpieczny protokół zobowiązania bitowego w kontekście kryptografii relatywistycznej. Kent i inni opracowali różne protokoły przydzielania bitów. Zaimplementowano eksperymentalne demonstracje relatywistycznego zaangażowania bitowego.

Rzucanie monetą

W silnym rzucie monetą Alicja i Bob znajdują się w różnych miejscach i chcą rzucić monetą w taki sposób, aby Alicja miała pewność, że Bob nie może wpłynąć na wynik, a Bob ma gwarancję, że Alicja również nie może wpłynąć na wynik. Lo i Chau wykazali, że idealnego silnego rzutu monetą nie da się osiągnąć przy bezwarunkowym bezpieczeństwie opartym wyłącznie na prawach fizyki kwantowej. Jednak Kent przezwyciężył to twierdzenie bez wyjścia, dostarczając relatywistyczny protokół silnego rzucania monetą, który jest bezwarunkowo bezpieczny. Ten protokół jest koncepcyjnie bardzo prosty i jest tutaj zilustrowany jako przykład protokołu w kryptografii relatywistycznej.

W protokole rzutu monetą Kenta Alicja ma dwóch agentów ma _{A i A1} , a ₀ Bob dwóch agentów B ₀ i B1 _. ZA _ja i B _ja są w miejscu L _ja , dla ${\ Displaystyle i \ in \ {0,1 \}}$ . Niech L ₀ i L ₁ mają odległą separację D . Załóżmy, że czasoprzestrzeń to Minkowski. Tak więc minimalny czas potrzebny światłu na podróż między L ₀ i L1 _jest wynosi t = D/c , gdzie c prędkością światła w próżni. A ₀ generuje losowy bit $.$ bezpiecznym laboratorium i przekazuje go B ₀ w czasie t ₀ B ₁ generuje losowy bit b w bezpiecznym laboratorium i przekazuje go A ₁ w czasie t ₁ . B ₀ i B ₁ $.$ się za pośrednictwem bezpiecznego i uwierzytelnionego kanału Podobnie A ₀ i A ₁ komunikują się $bezpiecznego$ pośrednictwem i uwierzytelnionego kanału . Alicja i Bob zgadzają się , że wynikiem rzutu d jest xor bitów i $za {\ displaystyle a}$ , ${\ Displaystyle d = a \ oplus b}$ . Alicja i Bob uzgadniają postęp wartości t ₀ i t ₁ we wspólnym układzie odniesienia w taki sposób, że ₀ |t - t ₁ | <t . Tak więc, zgodnie z zasadą braku sygnalizacji nadświetlnej, po otrzymaniu $A$ B nie może ₀ wysłać ₀ żadnego sygnału, który dotrze do B ₁ , zanim B ₁ przekaże b A ₁ za {\ displaystyle a} . Dlatego Alicja ma gwarancję, że bit b zostanie wybrany przez Boba niezależnie od $wybranego przez nią$ . Ponieważ Alicja wybiera $losowy$ $ponieważ$ b jest niezależne od $,$ że bit jest Z podobnymi argumentami Bob ma również gwarancję, że bit d jest losowy.

Odmiany rzucania monetą zostały zbadane w kryptografii relatywistycznej przez Colbecka i Kenta.

Nieświadomy transfer i bezpieczne obliczenia

Lo pokazał, że nieświadomy transfer i inne bezpieczne obliczenia nie mogą być osiągnięte przy bezwarunkowym bezpieczeństwie opartym wyłącznie na prawach fizyki kwantowej. Ten wynik niemożliwości Lo rozciąga się na bardziej ogólne ustawienie relatywistycznej kryptografii kwantowej. Colbeck wykazał, że różne bezpieczne obliczenia są niemożliwe do osiągnięcia przy bezwarunkowym bezpieczeństwie w relatywistycznej kryptografii kwantowej.

Kryptografia kwantowa oparta na pozycji

Kryptografia kwantowa oparta na pozycji polega na zadaniach kryptograficznych, których bezpieczeństwo wykorzystuje lokalizację strony, zasadę sygnalizacji bez nadświetla oraz prawa fizyki kwantowej. Na przykład w problemie uwierzytelniania lokalizacji kwantowej, dowodzący chce zademonstrować swoją lokalizację L zbiorowi weryfikatorów wykorzystujących systemy kwantowe. Protokół kwantowego uwierzytelniania lokalizacji działa w następujący sposób. Zestaw weryfikatorów w różnych lokalizacjach otaczających lokalizację L wysyła klasyczne komunikaty i stany kwantowe w kierunku lokalizacji L . Jeśli dowódca znajduje się w miejscu L następnie może odbierać sygnały w określonych momentach i odpowiadać weryfikatorom żądanymi komunikatami klasycznymi i/lub stanami kwantowymi, które weryfikatorzy muszą otrzymać w określonych momentach.

Uwierzytelnianie lokalizacji kwantowej zostało po raz pierwszy zbadane przez Kenta w 2002 r., Które nazwał „znakowaniem kwantowym”, co zaowocowało zgłoszeniem patentu w USA przez Kenta i in. w 2007 r. i publikacja w literaturze akademickiej w 2010 r., po opublikowaniu przez Buhrmana i in. artykułu na temat kryptografii kwantowej opartej na pozycji. Istnieje twierdzenie bez wyjścia dla uwierzytelniania lokalizacji kwantowej, udowodnione przez Buhrmana i in. stwierdzające, że zestaw weryfikatorów nie jest w stanie uwierzytelnić lokalizacji dowodzenia z bezwarunkowym bezpieczeństwem. Dzieje się tak dlatego, że w przypadku dowolnego protokołu uwierzytelniania lokalizacji kwantowej zestaw nieuczciwych weryfikatorów dzielących wystarczającą ilość splątania i umieszczonych między weryfikatorami a lokalizacją L może przechwycić całą komunikację od weryfikatorów, w tym wszystkie przesyłane stany kwantowe, a następnie zastosować nielokalną operację kwantową, która pozwala im poprawnie odpowiedzieć weryfikatorom we właściwym czasie. Ponieważ nieuczciwi dowodzący nie muszą znajdować się w lokalizacji L , aby to zrobić, protokół uwierzytelniania lokalizacji kwantowej jest niepewny. To twierdzenie „no-go” zakłada, że lokalizacja L uczciwego dowodzącego jest jego jedynym poświadczeniem. Kent wykazał, że jeśli weryfikator udostępnia tajne klucze weryfikatorom, uwierzytelnianie lokalizacji może być bezpiecznie realizowane.