翟晨曦 鄭心如 楊建偉

(東南大學(xué)吳健雄學(xué)院610081班,江蘇南京 211189)

量子密碼及BB84協(xié)議的分析

翟晨曦 鄭心如 楊建偉

(東南大學(xué)吳健雄學(xué)院610081班,江蘇南京 211189)

擁有強(qiáng)大破密功能的量子計(jì)算機(jī)的出現(xiàn)預(yù)示著傳統(tǒng)的RSA密碼算法最終將被淘汰.要對(duì)付量子計(jì)算機(jī)驚人的密碼破譯功能,唯一途徑就是運(yùn)用量子密碼技術(shù).作為量子密碼術(shù)中最基本的協(xié)議,BB84協(xié)議有其獨(dú)特的優(yōu)勢(shì).盡管我們是一年級(jí)學(xué)生,但在《雙語物理導(dǎo)論》課程教育理念的鼓勵(lì)下,帶著對(duì)量子密碼的興趣,我們小組展開了對(duì)它的初步研究,闡述了量子密碼學(xué)原理及BB84協(xié)議,并就此分析了其安全性及制約因素.

量子密碼原理;BB84協(xié)議;安全性;制約因素

1 量子密碼學(xué)原理

微觀世界的粒子有許多共軛量,如位置和速度、時(shí)間和能量,都是一對(duì)共軛量,在某一時(shí)刻,人們只能對(duì)一對(duì)共軛量之一進(jìn)行測(cè)量,不能同時(shí)測(cè)得另一個(gè)與之共軛的量,比如對(duì)位置進(jìn)行測(cè)量的同時(shí),就失去了對(duì)速度進(jìn)行測(cè)量的可能性.

海森堡量子測(cè)不準(zhǔn)原理:對(duì)于任意兩個(gè)量子的測(cè)量值 A和B,有

式中 ,ΔA=A-〈A〉,ΔB=B-〈B〉,[A,B]=AB-BA.

可見,(ΔA)2和(ΔB)2反映了測(cè)量值 A和B的不確定性.由于測(cè)量值存在不兼容性,即對(duì)于[A,B]≠0,測(cè)量值 A的不確定性(ΔA)2的減少將迫使測(cè)量值B的不確定性(ΔB)2增加,反之亦然,因此不可能同時(shí)準(zhǔn)確測(cè)量A和B,對(duì)其中一個(gè)的測(cè)量將影響對(duì)另一個(gè)的測(cè)量.

在傳統(tǒng)的物理信道中,當(dāng)存在竊聽者時(shí),收發(fā)雙方不會(huì)知道竊聽者的存在,尤其像光盤或無線電波,其中所攜帶的信息在被復(fù)制或截收時(shí)都難以被發(fā)現(xiàn).但當(dāng)信息以量子為載體時(shí),根據(jù)量子力學(xué)的原理,微觀世界的粒子的位置不可能被確定,它總是以不同的概率存在于不同的地方.對(duì)未知狀態(tài)的量子系統(tǒng)的每一次測(cè)量都必將改變系統(tǒng)原來的狀態(tài).反過來說,如果系統(tǒng)狀態(tài)沒有改變,也就沒有測(cè)量或竊聽行為的發(fā)生.也就是說,一個(gè)位置的量子狀態(tài)不可能被復(fù)制或克隆,因此它也被稱為不可克隆原理.量子密碼學(xué)利用了量子的不確定性,一旦信道上有竊聽發(fā)生,通信本身必然受到影響,從而達(dá)到發(fā)現(xiàn)竊聽者的目的,保證信道的安全.

但這個(gè)密碼系統(tǒng)的缺點(diǎn)是通信者只能在機(jī)密消息傳送之后才能發(fā)現(xiàn)是否有竊聽的出現(xiàn),而不能在過程中察覺.因此通常在使用信道傳輸真正的機(jī)密消息之前,只用量子密碼方法傳輸一個(gè)隨機(jī)的密鑰,來判斷該信道是否安全.實(shí)際上這是為了保證通信安全的一個(gè)基本處理原則.隨機(jī)密鑰可以是一個(gè)隨機(jī)的比特序列.這樣,當(dāng)消息正在傳輸時(shí),竊聽者通過測(cè)量量子系統(tǒng)的狀態(tài)來讀取消息時(shí)必然改變?cè)袪顟B(tài).如果通信雙方發(fā)現(xiàn)密鑰在傳輸過程中已受到竊聽,他們就丟棄它.然后他們重新傳輸另一個(gè)隨機(jī)密鑰,直到?jīng)]有竊聽出現(xiàn)為止.

2 BB84量子密碼協(xié)議

BB84量子密碼協(xié)議是第一個(gè)量子密碼通信協(xié)議,由Bennett和Brassard于 1984年創(chuàng)立.它基于兩種共軛基的四態(tài)方案,用到了單光子量子信道中的測(cè)不準(zhǔn)原理.BB84也是唯一被商業(yè)化實(shí)現(xiàn)的量子密鑰分發(fā)協(xié)議.

BB84密鑰分發(fā)協(xié)議用光子作為量子系統(tǒng).光子有一個(gè)固有的稱為極化的屬性,一個(gè)光子或者被+基極化,或者被×基極化.假設(shè)通過一個(gè)垂直極化的濾光器發(fā)送一串光子流,則它們被垂直極化至“|”方向上.之后通過另一個(gè)極化濾光器來測(cè)量,這個(gè)用于測(cè)量的濾光器可以改變它與垂直方向的角度,只有當(dāng)測(cè)量濾光器位于水平位置“—”方向時(shí)沒有光子能通過它,其余角度均有光子通過.實(shí)際上,每一個(gè)光子都以一個(gè)確定的概率穿過這個(gè)測(cè)量濾光器,這個(gè)概率連續(xù)地從100%(濾光器處于垂直位置時(shí))變化到50%(濾光器處于45°時(shí))再變化到0%(濾光器處于水平位置時(shí)).

2.1 無噪聲BB84量子密碼協(xié)議

我們用單光子的極化狀態(tài)來描述BB84協(xié)議,這里選擇×基或+基極化編碼方案(和|表示bet1,/和—表示bet0).Bennett和Brassard指出,如果Alice只用一種特定的極化編碼方案與Bob進(jìn)行通信,則 Eve的竊聽可能不會(huì)被發(fā)現(xiàn).因?yàn)镋ve能100%準(zhǔn)確地截取到Alice傳輸?shù)膬?nèi)容,然后假裝Alice重傳她收到的內(nèi)容給Bob,Eve所用的這種策略稱為不透明竊聽.

為了確保能夠發(fā)現(xiàn)Eve的竊聽行為,Alice和Bob需要進(jìn)行兩階段的通信.

在第一個(gè)階段,Alice通過量子信道單方向每次傳輸單個(gè)比特,每個(gè)比特對(duì)應(yīng)光子的一個(gè)極化狀態(tài),她等概率地使用×基極化或+基極化兩種方式.Bob只要將測(cè)量儀的極化方式設(shè)置得與發(fā)送方一致,接收正確率就是100%,否則正確接收的概率是50%.由于×基極化和+基極化的測(cè)量儀不能同時(shí)使用,對(duì)Alice所傳送的每一位,Bob可以選擇+基極化或×基極化進(jìn)行測(cè)量,有50%的概率猜測(cè)正確.因此總體上Bob正確接收Alice傳輸?shù)谋忍氐母怕适?/p>

對(duì)于由Alice傳輸?shù)拿恳槐忍?假定Eve竊聽的概率為λ(0≤λ≤1),則不竊聽的概率為1-λ.由于Bob和 Eve都是相互獨(dú)立地設(shè)置測(cè)量的位置,也與Alice的設(shè)置沒有聯(lián)系,Eve的竊聽將對(duì)Bob接收的結(jié)果產(chǎn)生影響,這種影響是可發(fā)現(xiàn)的.由于Eve的竊聽使得Bob的錯(cuò)誤接收率從25%變到

這樣如果 Eve對(duì)每一位都竊聽,即λ=1,則Bob接收出錯(cuò)的概率從25%增加到37.5%.

在第二階段,Alice和Bob通過公共信道進(jìn)行通信公開比對(duì)自己濾光器的基矢設(shè)置,再通過分析Bob的接收出錯(cuò)率來檢查是否遭到竊聽.

首先Alice和Bob要去除錯(cuò)誤的比特.他們通過比較濾光器的基矢設(shè)置留下相同的比特部分,對(duì)于其他濾光器基矢設(shè)置不正確的比特則扔掉.這樣他們分別得到各自的原密鑰.如果沒有入侵行為發(fā)生,則Alice和Bob的原密鑰將是一致的.如果 Eve實(shí)施了竊聽行為,則Alice和Bob的原密鑰不一致的概率是

之后Alice和Bob通過公共信道啟動(dòng)一個(gè)雙向會(huì)話來判斷是否遭到竊聽.在沒有噪聲的環(huán)境中,Alice和Bob的原密鑰只要有不同就說明有入侵.因此要發(fā)現(xiàn) Eve的入侵,Alice和Bob從原密鑰中隨機(jī)選擇一個(gè)比特?cái)?shù)為m的子序列進(jìn)行公開比較.如果完全一致,Eve竊聽但不被發(fā)現(xiàn)的概率是

如果 Pfalse足夠小,Alice和Bob可認(rèn)為沒有竊聽出現(xiàn),可將余下的原密鑰作為他們最終通信的秘密密鑰.如果取λ=1且 m=200,則

這個(gè)概率小到可以忽略.

2.2 有噪聲BB84量子密碼協(xié)議

實(shí)際的通信環(huán)境通常是有噪聲的.這時(shí)候Alice和Bob就不能區(qū)分傳輸發(fā)生的錯(cuò)誤是由噪聲引起的還是由 Eve的竊聽引起的.為了安全起見,他們必須假設(shè)所有錯(cuò)誤都是由 Eve的竊聽引起的.

和無噪聲情形一樣,整個(gè)協(xié)議工作分為兩個(gè)階段.第一階段是基于量子信道的通信,除了錯(cuò)誤可能由噪聲引起外,其他和無噪聲情況完全一致.

第二階段Alice和Bob基于公共信道進(jìn)行四個(gè)通信過程.

確定原密鑰這個(gè)過程除了Alice和Bob刪除那些Bob已經(jīng)收到但并未接受的比特外,其余與無噪聲情況完全一致,這里所說的未接受比特可能是由Eve的入侵或Bob的探測(cè)器的噪聲引起的,后者稱為“暗計(jì)數(shù)”,發(fā)生的位置由Bob通過公共信道告訴Alice.

原密鑰錯(cuò)誤估計(jì)Alice和Bob通過公共信道來估計(jì)原密鑰中的出錯(cuò)率.他們公開地選定原密鑰的一個(gè)隨機(jī)取樣并比較這些位以獲得錯(cuò)誤率的估計(jì)值 R.這些位將被從原密鑰中刪除.如果 R超過了一個(gè)極限值Rmax,那么Alice和Bob不可能獲得最終的共享密鑰,Alice和Bob只能回到第一階段重新開始.

確定協(xié)調(diào)密鑰這一步的目的是要從原密鑰中清除所有的錯(cuò)誤比特以產(chǎn)生一個(gè)無錯(cuò)誤的密鑰,稱為協(xié)調(diào)密鑰.首先,Alice和Bob協(xié)商一個(gè)隨機(jī)的置換規(guī)則作用于他們各自的原密鑰.接下來,Alice和Bob將原密鑰分成長度為1的分組,這里選擇長度1是為了保證該長度的分組不可能包含超過一位的錯(cuò)誤.對(duì)于每一個(gè)這樣的分組,Alice和Bob公開地比較整個(gè)分組的偶校驗(yàn),每次要將被比較分組的最后一位丟棄.如果偶校驗(yàn)比較出現(xiàn)不一致,Alice和Bob就將這一組再分成兩個(gè)子分組,對(duì)這兩個(gè)子分組的每一個(gè)進(jìn)行偶校驗(yàn),丟棄每一個(gè)子分組的最后一位.這種操作稱為雙叉誤差搜索.重復(fù)進(jìn)行這一操作直到所有的錯(cuò)誤比特被發(fā)現(xiàn)和刪除,再繼續(xù)處理下一個(gè)分組.

Alice和Bob隨后公開地隨機(jī)選取剩余原密鑰的子集,公開地比較偶校驗(yàn)結(jié)果,每次處理所選定的密鑰取樣中的一位.如果一個(gè)偶校驗(yàn)不一致,就用雙叉誤差搜索來確定和刪除錯(cuò)誤位.

確定最終密鑰Alice和Bob現(xiàn)在已有一個(gè)協(xié)調(diào)密鑰,這個(gè)密鑰對(duì)Eve只是部分保密的.他們要確定的最終密鑰,就是從這個(gè)部分保密的密鑰中抽取出來的秘密密鑰.

設(shè)在誤差估計(jì)為 R的情況下,Alice和Bob獲取了一個(gè)n位的協(xié)調(diào)密鑰,該密鑰被 Eve知道的位數(shù)的上限為k.他們隨后選擇協(xié)調(diào)密鑰的n-k-s位的子集,s是一個(gè)理想的安全參數(shù),可由 Alice和Bob調(diào)整.他們不公布其內(nèi)容及奇偶校驗(yàn)結(jié)果.這個(gè)保密的內(nèi)容成了共享的最終密鑰.可以證明Eve關(guān)于最終密鑰的平均信息低于2-s/ln2位.

2.3 BB84量子密碼協(xié)議實(shí)例演示

續(xù)表

3 量子密碼分析

3.1 量子密碼的安全性分析

量子密碼的安全性分析是指被竊聽但沒有發(fā)現(xiàn)的概率.A傳送一個(gè)比特,B正確接收的平均概率為3/4,因此,如果A發(fā)送 N比特,則B平均可得到3N/4個(gè)正確的比特,減去B公布的 x%用于檢驗(yàn)的比特,實(shí)際A、B間可作為密鑰共享的比特只有:3N/4(1-x%).之前說過,沒有竊聽時(shí),A驗(yàn)證的所有比特都是正確的.當(dāng)A驗(yàn)證的比特中出現(xiàn)錯(cuò)誤時(shí),說明一定有竊聽的出現(xiàn).但當(dāng)A驗(yàn)證的所有比特都沒有出現(xiàn)錯(cuò)誤時(shí),遭到竊聽但沒有發(fā)現(xiàn)的概率是多少呢?按照剛才的假設(shè),如果B公布 x%的比特,則B需要公布3N/4×x%比特用于驗(yàn)證,因?yàn)槊總€(gè)比特被竊聽而不被發(fā)現(xiàn)的概率為1-λ/4,而共公布的比特?cái)?shù)為3N/4×x%,因此這些公布的比特被竊聽而不被發(fā)現(xiàn)的概率為

也就是說,C竊聽的概率λ越高,即竊聽的位數(shù)越多,A、B間發(fā)送的比特?cái)?shù) N越多,B公布的比特比例 x%越大,則竊聽不被發(fā)現(xiàn)的概率 Pfalse就越小.

一般來說B公布的比特比例為1/3,即 x%=1/3,如果A、B間發(fā)送的比特?cái)?shù)為 N,則在無竊聽的情況下,A、B間所發(fā)送的比特能用作密鑰共享的比特?cái)?shù)為:3N/4(1-x%)=3N/4(1-1/3)=N/2,即實(shí)際可作為密鑰共享的比特?cái)?shù)只占發(fā)送比特的1/2,因此,如果需要得到典型的128位的密鑰,則平均至少要求 N=2×128=256比特,考慮到在極端情況,即 Eve對(duì)每一位都進(jìn)行竊聽,此時(shí)λ=1,則竊聽不被發(fā)現(xiàn)的概率為

由此可見,當(dāng)選取的位數(shù)足夠多時(shí),C進(jìn)行竊聽而不被發(fā)現(xiàn)的概率幾乎為零.所以量子密碼可以抵抗擁有無窮計(jì)算能力的攻擊者,這一點(diǎn)要大大優(yōu)于現(xiàn)有的其他密碼算法.隨著計(jì)算機(jī)計(jì)算能力的不斷增強(qiáng),認(rèn)為量子密碼學(xué)是未來唯一安全的密碼技術(shù)也未嘗不可.

3.2 量子密碼面臨的制約因素

目前,阻礙量子密碼術(shù)走向?qū)嵱眠€存在一些技術(shù)問題:

首先,由于光纖具有損耗低、穩(wěn)定性高以及能實(shí)現(xiàn)長距離傳輸?shù)膬?yōu)點(diǎn),所以可以考慮在光纖中建立量子信道,信息載體采用單光子.但問題是制造出高效地單光子源比較困難,這是因?yàn)樵趯?shí)際中獲得理想的單光子很困難.而另一個(gè)關(guān)鍵問題是我們還需要有能在所需波長條件下工作的高效地單光子探測(cè)器.

我們還要防止竊聽者假扮合法通信者非法獲取通信信息.因此量子密碼要走向?qū)嵱帽仨毥Y(jié)合一些經(jīng)典技術(shù),如保密加強(qiáng)、糾錯(cuò)及認(rèn)證技術(shù)等.這在一定程度上也減弱了量子密碼術(shù)在技術(shù)上的優(yōu)勢(shì).

量子密碼系統(tǒng)即使沒有竊聽者竊聽,由于系統(tǒng)自身的不穩(wěn)定性也會(huì)造成一定的長期誤碼率,使通信的質(zhì)量受到影響.事實(shí)上在實(shí)際量子通信系統(tǒng)傳輸過程中,光探測(cè)器暗計(jì)數(shù)誤碼、信道噪聲所產(chǎn)生的誤碼也會(huì)導(dǎo)致一定的誤碼率.

阻礙量子密碼術(shù)走向?qū)嵱煤苤匾姆羌夹g(shù)問題則是經(jīng)濟(jì)問題.因?yàn)榱孔油ㄐ偶夹g(shù)必須與傳統(tǒng)的通信技術(shù)來競(jìng)爭以獲得市場(chǎng),而這些傳統(tǒng)方法在長距離傳輸上以及成本費(fèi)用上的優(yōu)勢(shì)使量子密碼通信技術(shù)處于不利地位.

4 發(fā)展前景

量子密碼從理論設(shè)想到現(xiàn)在已實(shí)現(xiàn)的在常規(guī)光纜線路上傳輸達(dá)幾十千米的量子密碼系統(tǒng)只用了短短幾年的時(shí)間.如此迅速之發(fā)展足以證明量子密碼技術(shù)的強(qiáng)大生命力.它的前途是不可估量的.在不久的將來,隨著單光子探測(cè)等技術(shù)的不斷發(fā)展,量子密碼技術(shù)在全光網(wǎng)絡(luò)和衛(wèi)星通信等領(lǐng)域的應(yīng)用潛力會(huì)不斷成熟.量子密碼已是密碼學(xué)領(lǐng)域的一個(gè)新的成員,而且必將成為光通信網(wǎng)絡(luò)中數(shù)據(jù)保護(hù)的有力工具.在將來要對(duì)付擁有量子計(jì)算能力的密碼破譯者,量子密碼可能是唯一的選擇.

[1] 陸果.基礎(chǔ)物理學(xué)教程[M].北京:高等教育出版社,2008.494～497

[2] 曾貴華.量子密碼學(xué)[M].北京:科學(xué)出版社,2006.256～270

[3] 馬瑞霖.量子密碼通信[M].北京:科學(xué)出版社,2006.42～44,56～57

[4] 胡向東,魏琴芳.應(yīng)用密碼學(xué)[M].北京:電子工業(yè)出版社,2006.318～325

2010-04-06;

2010-09-21)