第三章 量子密钥分配
密码学体系主要分为对称密码体系和非对称密码体系(公钥密码体系)[12]。密钥是密码通信的关键,只有通信双方共享只有他们才知道的密钥,才能进行安全通信。其中最重要的是密钥的保密性。简单情况下,密钥可取二进制随机位串。公钥密码体系中,常依靠数学问题的求解难度保证密钥的安全性,其理论基础是数学中的欧拉定理。但原则上这种方式并不绝对安全,而量子密码属于对称密码体系,量子信道主要用于密钥传送。量子力学中的不可克隆定理和不可分性保证了密钥的绝对安全性。量子密码是新的密码思想,利用量子的奇特性质。在直接应用密钥加密的情况下,它的加密体制是一次一密乱码本体制。这种方式看似安全,但是密钥长度和明文长度相同并且只能用一次,与直接进行明文传递并无太大区别,只有理论上的价值。量子密码解决的问题就是如何利用量子信道进行密钥传送。随着技术发展,传统的密码通信的安全性受到威胁,与之比较,量子密码通信更具可靠性和安全性。
第1节 量子密钥分配基本思想
量子力学为量子密钥[13]分配提供了一种新的方式,其安全性由量子力学定理保证。量子密钥分配就是在Alice和Bob之间传递单个粒子或是纠缠粒子对。一个量子体系包括公开信道和交换量子的量子信道,公开信道用来检测信道中传送的量子是否受到干扰,任何人可以接触到公开信道,但不能改变其中的信息。
从物理学角度看,窃听信息主要有两种方式,一是窃听者用量子复制的方法来拷贝传送中量子的量子态,原信息仍会发送到Bob,但中途被窃听者Eve复制,通过分析复制的量子态来窃取信息。经典通信理论中这种方式可以实现且不被发觉,但在量子通信中,量子的线性叠加原理不允许克隆量子的情况存在。另一种窃听方式就是窃听者直接对传递中的量子做测量,获得所需信息。但在量子力学中,任何对量子的测量都会干扰单粒子的量子态或是纠缠粒子对的关联性,在公开信道中,这种窃听方式很容易被发现。
8
第2节 基于单粒子的密钥分配方案—BB84协议
1984年,Bennett和Brassard最早提出了量子密码协议,通称为BB84协议,是第一个量子密码协议,属于量子密钥分配的范畴。在BB84协议中,量子通信实际是由两个阶段完成的。第一阶段通过量子信道进行量子通信,进行密钥通信。第二阶段是在经典信道中进行的,进行密钥协商,探测是否存在窃听者窃取信息,从而确定最后的密钥。以偏振光编码为例[15]。 2.1 基本过程分析
(1) Alice准备一个光子序列,每个光子随机处于共轭基?0,1?和??,??中的四个态之一。这四个量子态分别表示光子处于水平,垂直,左旋和右旋偏振态。Alice记录序列中每个光子所处的状态,并把整个序列通过量子信道发送给Bob。
(2) 对接收到的每个光子,Bob从?0,1?和??,??中随机选择一组偏振基进行测量。
(3) Bob通过公开的经典信道告诉Alice他测量每个光子所用的偏振基,而不是测量得到的偏振态。
(4) Alice告诉Bob在哪些光子上他们选择了相同的基,同时双方把选用不同的基的那些光子对应的数据丢弃。
(5) 双方将对应于每个光子的偏振态按约定转换成0,1比特,如0?0,
1?1,??0,??1,得到一串生密钥。
(6) Alice和Bob从生密钥中随机选择部分比特进行公开比较。若错误率大于安全界限,表示有窃听者存在,抛弃此次得到的所有数据,返回到第一个步骤。反之,协议继续,进入纠错过程。
数据进行筛选后,即使错误低于安全界限率,双方仍然不能确定在信道中没有窃听者,所以必须对生密钥进行纠错。现在比较好的方法是采用奇偶校验,其做法是:Alice和Bob将数据分成n个数据组,然后逐个比较各自数据区的奇偶校验子。若不同,则将该数据组细分,然后继续校验。若相同,双方约定放
9
弃此区最后一个比特。这种过程重复多次,目的是尽可能减少窃听者所获得的信息。研究表明,这样做确实能减少窃听者获得的信息量,加强了密钥的安全性。
(7) Alice和Bob对生密钥比特进行保密加强,是为了进一步提高所获得的密钥的安全性而采取的不要措施:对窃听者获得的信息的部分比特,利用一个数据压缩函数在一定的编码规则下,压缩比特串的长度,从而使窃听者获得的信息最小,最终获得无条件安全的密钥。
图3-1 BB84协议原理示意图
2.2 BB84协议过程详细描述[16]
选取两组正交基:水平偏振基和45度偏振基,分别简单记为??,??和
??,??,这两组基二进制分别对应0和1.对应这两组基有两种测量仪器???和
???,对水平垂直偏振光子用???测量,对45度偏振光子用???测量,结果都是
确定的,因而有:
表3-1 BB84量子通信两套字母表
量子位 0 1 测量仪
水平垂直偏振字母表 对角线偏振字母表 ??? ? ??? 10
???
第一阶段,量子信道上的密钥通信:Alice每次发一个二进制位,以等概率使用两种字母表,无论是Bob还是Eve都无法以大于75%的概率准确的测量Alice发送二进制位。
如果Eve以??0???1?的概率进行窃听则Bob的错误率变为:
11111?11? (3.2.1) ???1???????1???????422?48?222Alice在第一阶段的任务是随机产生数百位的二进制位串作为初始密码,通过量子信道发给Bob。实际应用中可使用激光束发射光子,每次脉冲发送一个光子,Alice处有一个仪器,使光子的相位随机地发生变化,而Bob处也有一个仪器,随机的产生两队正交基中的一对测量收到的光子,这样就完成了原始密钥的传送。
表3-2 BB84协议的密钥筛选过程
第二阶段,经典信道中的通信:
首先需要确定原始密钥。Bob通过经典信道告诉Alice收到信息后与自己发送的字母表进行比较,找到使用了相同的正交基的位,然后把信息告诉Bob。这样Alice和Bob把这些使用相同字母表的位作为他们以后通信的原始密钥。在没有窃听者的情况下,原始密钥完全相同,否则以?4的概率出错。 然后检测是否存在窃听者Eve。Alice和Bob从原始密钥中随机抽取m位(m小于原始密钥的位数)进行比较,如果m位不一致,则Eve一定存在,概率为
?false
??? ??1?? (3.2.2)
4??11
m
如果?false足够小,则可以认为不存在窃听者,通信安全。若存在窃听者,则这
次通信终止。最后,确定这次通信是安全的,就把原始密钥剩下的位作为密钥。 2.3 安全性分析
量子保密通信是通信中的一种特殊方式,在量子密码中BB84协议是第一个密钥分配协议,因而在研究其安全性时,很多攻击性方案被提出,但是还没有任何一种方案能够破译该协议。所以BB84协议虽然是最早提出的协议,但至今仍然在实验中广泛的使用。
第3节 B92协议
3.1 基本过程
基于两个非正交量子态性质的量子密钥分配方案的代表是B92协议[17],由Charl H.Bennett于1992年提出,其原理是利用非正交量子态不可区分原理,这是由海森伯不确定原理决定的。与BB84方案不同的是Alice用来编码的极化光子状态只有两个:0??,1??为:0??,接受者Bob用来编码的极化光子状态
,1??。Alice与Bob各自随机产生相同长度的二进制随机数。
Alice将这组随机数的光信号传给Bob,Bob用与其产生的随机数的极化状态相对应的测量装置来接受Alice发来的信号,记录结果,pass=Y,fail=N。
表3-3 B92 协议实例
Alice的数 Alice的极化状态 Bob的极化状态 Bob的数 Bob的结果 1 ??0 1 ?0 ? ?? ? 1 Y ? 1 Y 0 N 0 N 如表所示,如果收发方的数目不一致,结果一定是N,即使一致,也只有50%的概率为pass。把所有记为Y的位组成为原始密钥,原始密钥产生后,执行步骤与BB84大致相同。
(1) Alice与Bob对原始密钥进行纠错。
12