Wprowadzenie do kryptografii kwantowej

Transkrypt

1 Instytut Informatyki Uniwersytetu Wrocławskiego 31 maja 2007

2 Kilka słów o kryptografii klasycznej Podstawowe pojęcia Przykład LOCC destylacja splątania quantum error-correction Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura

3 Podstawowe pojęcia Przykład Typowym schematem rozważanym w kryptografii jest rozmowa między Alicją i Bobem, którą chce podsłuchać zła Ewa. Alicja bierze tekst jawny, szyfruje go i wysyła Bobowi łączem, które może być podsłuchane. Zakładamy, że Ewa zna sposób szyfrowania używany przez Alicję i Boba, ale nie zna klucza, który został uzyty do szyfrowania. Bob i Alicja chcą mieć pewność, że Ewie nie uda się w sensownym czasie odszyfrować wiadomości ani nie uda się jej podmienić wiadomości na swoją.

7 Podstawowe pojęcia Przykład One time pad Długość klucza równa długości wiadomości. Alicja dodaje bit po bicie klucz do swojej wiadomości, Bob odejmuje. Dla zaszyfrowanej wiadomości każdy tekst jawny jest równie praqwdopodobny. Każdy klucz może być użyty najwyżej jeden raz (potem powinien zostać zniszczony), a funckja generująca klucze musi być dostatecznie losowa. Ewa zdobywa pewne informacje o tekście jawnym (np. jego długość) Dla n użytkowników potrzeba n(n 1) 2 kluczy.

12 Podstawowe pojęcia Przykład Co by jednak się stało, gdyby tu NAGLE były komputery kwantowe - w przyszłości Szyfrowanie kluczem publicznym (RSA-poodobne) przestaje być bezpieczne Osoby dysponujące szybkim sposobem faktoryzacji liczb mają wgląd do naszych kont bankowych, do poczty. Analogicznie, można się pod nas podszywać Szyfrowanie kluczem prywatnym nadal pozostaje bezpieczne

16 Podstawowe pojęcia Przykład Jak widać, świat nie jest przygotowany jeszcze na pojawienie się sprawnych i wydajnych komputerów kwantowych. Czego możemy być pewni, to tego, iż takie komputery nie pojawią się nagle, analogicznie do klasycznych komputerów i one rozwijają się powoli, i można podejrzewać, iż do czasu pojawienia się ich na rynku, świat komputerowy dorobi się odpowiednich, bezpiecznych technik kryptograficznych.

17 LOCC destylacja splątania quantum error-correction Analogie w teori informacji Klasyczna Kwantowa entropia Shannona entropia von Neumanna H(X ) = x p(x) log p(x) S(ρ) = tr(ρ log ρ) dostrzegalne i dostępne informacje Listy zawsze dostrzegalne ograniczenie Holevo N = H(X )) H(X : Y ) S(ρ) x P xs(ρ x ) ρ = x p xρ x kodowanie cichokanałowe teoria Shannona teoria Schumachera n bits = H(X ) n qbits = S( x p xρ x )

18 LOCC destylacja splątania quantum error-correction Analogie w teori informacji Inne analogie: Klasyczna teoria głośnego kodowania Shannona nierówność Fano wzajemne informacje przetwarzanie nierówności Kwantowa teoria Helvo-Schumachera- -Westmorelanda kwantowa nierówność Fano koherentne informacje kwantowe przetwarzanie nierówności

19 LOCC destylacja splątania quantum error-correction LOCC LOCC - Local Operations and Clasical Communication Alicja i Bob dysponują splątanymi qubitami. Wykonują operacje na komputerach kwantowych u siebie, natomiast do komunikacji używają jedynie klasycznych łączy. Alicja i Bob znają swoje algorytmy szyfrujące, toteż Alicja jest w stanie przewidywać, co zrobi Bob po otrzymaniu wiadomości. Jeśli nawet teoretycznie komunikacja Alicji i Boba wymagałaby wielokrotnego przesyłania danych, to Alicja może zasymulować i sama sobie wygenerować zapytania Boba, w konsekwencji czego LOCC wymaga jedynie jednorazowego przesłania informacji od Alicji do Boba.

20 LOCC destylacja splątania quantum error-correction Załózmy, że Alicja i Bob dzielą jedeną parę splątanych kubitów w stanie Bella ( )/ 2) Alicja przeprowadza 2 pomiary M 1 i M 2 : M 1 = cos θ 0 0 cos θ ; M 2 = sin θ 0 0 cos θ Po pomiarze stan to albo: cos θ 00 + sin θ 11 albo cos θ 11 + sin θ 00 w zależności od wyniku pomiaru, 1 lub 2. W tym drugim przypadku Alicja stosuje bramkę NOT po pomiarze, czego efektem jest stan: cos θ 01 + sin θ 10. Następnie wysyła wynik pomiaru (1 lub 2) do Boba, który nie robi nic, jeśli wynik pomiaru to 1 oraz stosuje bramkę NOT jeśli wynik pomiaru to 2. Końcowy wynik to stan cos θ 00 > + sin θ 11 > niezależnie od poiaru dokonanego przez Alicję.

21 LOCC destylacja splątania quantum error-correction Wyobrażmy sobie, że mamy metalowe kulki. Z kilogramowej sztabki metalu jesteśmy w stanie zrobić 3 takie kulki Tym niemniej potrzebujemy aż 4 kulek, aby zrobić taką sztabkę Jak zatem sprawdzić przybliżoną masę kulki? Mamy formę kulek i formę sztabek i dużo metalu, potrafimy też topić ten metal.

25 LOCC destylacja splątania quantum error-correction Odpowiedź: Bierzemy bardzo dużo kulek i sprawdzamy ile da się z nich zrobić sztabek, Okazuje się, że w analogiczny sposób, używając LOCC, można wyrażać dowolny stan przy pomocy stanu Bella ( / 2) Bierzemy możliwie dużo kopii jakiegoś stanu i sprawdzamy ile da sie z nich zrobić stanów Bella.

26 LOCC destylacja splątania quantum error-correction Destylować można dowolny, dowolnie wymieszany stan. Oto jak wysłać md(ρ) qubitów informacji do Boba, gdzie D(ρ) to destylacja stanów stanów ρ - stanów, które powstają przez wyslanie połowy stanów Bella kanałem ε. Alicja przygotowuje m stanów Bella i przesyła połowę każdej splątanej pary przez ε Pod wpływem ε tworzą się z stany ρ Tak więc Alicja i Bob dzielą m kopii stanu ρ Oboje destylują to co mają i uzyskują md(ρ) stanów Bella Alicja przygotowuje md(ρ) qubitów informacji, które chce przesłać Przy pomocy stanów splątanych Bella, którymi dysponują teleportuje wiadomość do Boba

33 LOCC destylacja splątania quantum error-correction Tym sposobem można przesyłać dane nawet zdepolaryzowanymi kanałami, których przepustowość kwantowa wydawałaby się zerowa. Musimy jedynie zapewnić klasyczny kanał komunikacji, gdyż destylacja wymaga LOCC.

34 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Kryptografia klucza prywatnego wymaga, aby zarówno Alicja jak i Bob dysponowali kluczem. Ale co, gdy te klucze się niznacznie różnią? Aby rozwiązać ten problem, przy okazji nie mówiąc zbyt dużo Ewie wykonamy 2 etapy: Uzgadnianie informacji Wzmacnianie prywatności

35 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Uzgadnianie informacji Na początku Alicja ma ciąg znaków X, Bob ciąg Y. Przy pomocy tych ciągów Alicja i Bob ustalają wspólny W Po tym zabiegu Ewa dysponuje ciągiem Z częściowo powiązany z W Wzmacnianie prywantności: Zarówno Alicja jak i Bob destylują z W ciąg S (mniejszy) Ustalamy sobie próg, poniżej którego ma być pokrewieństwo między S a Z

40 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Niech G będzie klasą uniwersalnych funkcji haszujących mapujących n-bitowe A na m-bitowe B. Jeśli g G zostanie wybrane losowo, to prawdopodobieństwo, że g(a 1 ) = g(a 2 ) jest mniejsze niż B 1 Zatem aby zminimalizować ryzyko, zwiększa się B.

41 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Wybrane fakty o QKD Udowodnione jest, że Kwantowa dystrybucja kluczy (QKD) jest bezpieczna. Dzięki QKD prywatny klucz może zostać wygenerowany między Alicją i Bobem używającymi publicznego kanału. QKD wymaga by qubity w publicznym kanale miały niski odsetek błędu. Bezpieczeństwo gwarantowane jest podstawowymi prawami fizyki: Ewa nie może podejrzeć qubitów bez naruszania ich stanów. W protokoły QKD wplata się nieortogonalne qubity w losowe miejsca - jeśli Ewa podgląda dane, to się o tym dowiemy

47 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Protokół BB84 Alicja wybiera (4 + δ)n bitów informacji Alicja wybiera (4 + δ)n-bitowy ciąg znaków b. Każdy bit koduje: Jeśli b = 0 wstawia { 0, 1 }, w p.p. { +, } Alicja wysyła Bobowi uzyskany stan Bob odbiera (4 + δ)n qubitów, ogłasza ten fakt i mierzy każdy kubit w losowej kolejności (zgaduje sobie b ) Alicja ogłasza b

52 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Protokół BB84 Alicja i Bob odkrywają każdy bit, w którym Bob zmierzył inaczej, niż to przygotowała Alicja. Jeśli zostało im przynajmniej 2n bitów działają dalej, zostawiając pierwsze 2n bitów Alicja wybiera i ogłasza podciąg n bitów, które posłużą do sprawdzenia jak bardzo Ewa sprawdzała Alicja i Bob ogłaszają i sprawdzają wartości bitów w podciągu ogłoszonym przez alicję Jeśli zbyt wiele bitów się nie zgadza, cały proces rusza od nowa Z pozostałych n bitów tworzy się m-bitowy klucz poprzez uzgadnianie informacji i wzmacnianie prywatności

57 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Protokół B92 B92 jest bardzo podobne do B84, tylko że Alicja przygotowuje jedynie jeden ciąg bitów a Alicja wysyła 0 jeśli a = 0 i + w p.p. Bob zgaduje a i wedle niego odkodowuje jako { 0, 1 } lub jako { +, }. Z tych obliczeń uzyskuje b (0,1) Bob publicznie ogłasza b, ale a trzyma w sekrecie. Bob i Alicja publicznie dyskutują o tych bitach, gdzie b = 0 Pozostałe a tworzą ciąg Alicji. Ciąg Boba to 1-a

63 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Protokół EPR Alicja i Bob mają n stanów splątanych zwanych EPR Wybierają losowy podciąg EPR ów by sprawdzić, czy stany są w dobrej kondycji Alicja wymyśla sobie b, mierzy w { 0 1 } albo { +, } i w ten sposób ustala swoje a Bob analogicznie wymyśla b i ustala a Publicznie porównują b i b, i zachowują jedynie te {a, a }, dla których b = b

68 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Zmodyfikowany protokół Lo-Chau Alicja tworzy 2n par EPR w stanie β 00 2n Alicja losowo wybiera n spośród 2n EPR par do sprawdzania aktywności Ewy. Na raie nie robi z nimi nic Alicja wymyśla losowe 2n-bitowe b i stosuje transformację Hadamarda na 2. qubicie każdej pary, gdzie b=1 Alicja wysyła 2. kubit każdej pary do Boba Bob odbiera qubity i to ogłasza

73 Wzmacnianie prywatności i uzgadnianie informacji Kwantowa dystrybucja kluczy Alicja ogłasza b oraz podciąg n, który wybrała na początku Bob stosuje transformację Hadamarda na qubitach, gdzie b=1 Alicja i Bob mierzą n testowych qubitów w 0, 1 i publicznie ogłaszają wyniki. Jeśli więcej niż t się nie zgadza, przerywają protokół Alicja i Bob mierzą pozostałe n qubitów zgodnie z macierzą dla określenia [n, m] kwantowej korekcji do t błędów. Dzielą się wynikami, przygotowują m niemal idealnych EPR par Alicja i Bob wykonują protokół EPR dla uzyskania kluczy.

80 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura - cz. 2 Instytut Informatyki Uniwersytetu Wrocławskiego 1 czerwca cz. 2

81 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Wczoraj poznaliśmy różne sposoby na wykorzystanie kwantów do szyfrowania danych. Mimo licznych zalet, opisywane metody są ciągle w fazie eksperymentów, są drogie, a ponadto wymagają zapewnienia kanału kwantowego. Teraz zajmiemy się algorytmami, które można już tanio realizować na klasycznych komputerach, a które wydają się być niepodatne na ataki kwantowe. - cz. 2

82 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Logarytm dyskretny Logarytm dyskretny elementu b (przy podstawie a) w danej grupie skończonej jest to taka liczba całkowita c, że w grupie zachodzi równość a c = b. Najszybszy znany algorytm obliczania logarytmu dyskretnego w 1 2 skończonym ciele ma złożoność czasową e c log 32 (p) log 3 2 (log 2 (p)) Trudność znalezienia logarytmu dyskretnego jest podstawą istnienia wielu klasycznych algorytmów kryptograficznych, takich jak ElGamal i protokół Diffiego-Hellmana czy algorytmów opartych na krzywych eliptycznych. - cz. 2

85 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Problem ukrytej podgrupy Dana grupa G, jej podgrupa H i zbiór X. Powiemy, że funkcja f : G X dzieli warstwy H jeśli dla wszystkich g 1, g 2 G mamy f (g 1 ) = f (g 2 ) wtedy i tylko wtedy, gdy g 1 H = g 2 H. Niech G będzie grupą, X skończonym zbiorem, a f : G X taką funkcją, że istnieje podgrupa H grupy G taka, że f dzieli warstwy H. Problemem ukrytej podgrupy nazywamy zadanie znalezienia generatorów podgrupy H. Wersja decyzyjna tego problemu polega na sprawdzeniu, czy dany element jest jednym z generatorów podgrupy H. - cz. 2

89 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Izomorfizm grafów Chyba każdy wie, czym jest ten problem. Grupa symetryczna jest to grupa wszystkich wzajemnie jednoznacznych przekształceń danego zbioru X w siebie z działaniem składania funkcji jako działaniem grupowym. Grupę symetryczna zbioru {1,..., n} oznaczamy jako S n. W [EHK99a] pokazano, jak mając dwa grafy o n wierzchołkach zdefiniować instancję problemu ukrytej podgrupy w grupie S 2n (a właściwie to w jej właściwej podgrupie S n S 2 ) tak, że w ukrytej podgrupie jest element pewien ustalony element wtedy i tylko wtedy, gdy te grafy są izomorficzne. - cz. 2

92 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Poznane algorytmy Peter W. Shor w pracy [Sho97] pokazał wielomianowe algorytmy kwantowe rozwiązujące problemy logarytmu dyskretnego i faktoryzacji na czynniki pierwsze, wykorzystujące transformatę Fouriera. Poznaliśmy je na trzecim spotkaniu. Analogicznie rozwiązuje się problem ukrytej podgrupy w grupach abelowych. Metodę użytą w tych algorytmach będziemy dalej nazywać próbkowaniem Fouriera, słabym próbkowaniem Fouriera lub standardową metodą. - cz. 2

93 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Normal Subgroup Reconstruction and Quantum Computation Using Group Representations Specjaliści od teorii obliczeń kwantowych zaczęli się zastanawiać, czy transformatę Fouriera da sie zastosować do rozwiązania problemu ukrytej podgrupy dla grup nieabelowych. W pracy [HRTS00] autorzy pokazują, że rozwiązanie problemu ukrytej podgrupy dla grup abelowych nie daje się wykorzystać do rozwiązania problemu ukrytej podgrupy dla grup symetrycznych oraz argumentują, że nasuwające sie uogólnienie rozwiązania dla grup abelowych nie daje się wykorzystać do rozwiązania problemu izomorfizmu grafów. Ponadto autorzy podają kwantowy algorytm dla problemu ukrytej podgrupy w przypadku dzielników normalnych. - cz. 2

94 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Quantum mechanical algorithms for the nonabelian hidden subgroup problem W pracy [GSVV01] autorzy pokazali, że przy losowym wyborze bazy próbkowanie Fouriera może przynieść jedynie wykładniczo mało informacji o ukrytej podgrupie. Ponadto pokazali dolne ograniczenie na złożoność (mierzoną jako liczbę rund próbkowania Fouriera) standardowej metody szukania ukrytej podgrupy: ( G ) 1/3 H c(g) gdzie c(g) jest liczbą klas sprzężoności. Ten wzór jest wykładniczy w przypadku grup permutacji, gdy G = k!. - cz. 2

95 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Quantum mechanical algorithms... cd. Autorzy wprowadzili również pojęcie silnego próbkowania Fouriera, aby odróżnić je od dotychczas rozpatrywanego, bardziej naturalnego wariantu, zwanego słabym próbkowaniem Fouriera, w którym możemy wartości w poszczególnych wierszach i kolumnach macierzy. Ponadto autorzy pokazują algorytm dla grup prawie abelowych. Grupa jest prawie abelowa, jeśli indeks κ(g) jest mały względem G, gdzie κ(g) jest przecięciem normalizatorów wszystkich podgrup G. - cz. 2

96 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura The symmetric group defies strong Fourier sampling W artykule [MRS05] autorzy pokazali, że problemu ukrytej podgrupy dla S n nie da się rozwiązać używając silnego próbkowania Fouriera, nawet używając POVM (positive operator-valued measurement). Dowód przebiega podobnie do dowodu z [HRTS00], jednakże tamten dowód był dla słabego próbkowania. - cz. 2

97 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Limitations of Quantum Coset States for Graph Isomorphism W pracy [HMR+06] rozszerzono poprzednie wyniki w ten sposób, że pokazano, iż potrzeba zmierzyć co najmniej n log n splątanych stanów warstwowych do zdobycia użytecznych informacji o izomorfiźmie grafów. Ten wynik jest traktowany jako negatywny, ponieważ implementacja silnie splątanych pomiarów (highly entangled measurements) jest uważana w ogólności za trudną. - cz. 2

98 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Podsumowanie Wspomniane negatywne wyniki powodują, że problem ukrytej podgrupy dla grup nieabelowych wydaje się trudny i wymagający co najmniej wykładniczego czasu lub stworzenia wielu silnie splątanych stanów. Na bazie tej obserwacji buduje się pewne algorytmy, które mają być odporne na ataki kwantowe. - cz. 2

99 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Jednym z wyzwań w kryptografii jest stworzenie funkcji jednostronnej f : Σ n Σ m, która może zostać efektywnie obliczona na klasycznych komputerach, a której odwrócenie nawet na komputerach kwantowych będzie trudne. Ponadto chcielibyśmy, by m nie było zbyt duże. Na ćwiczeniach z języków formalnych pokazuje się, że istnienie funkcji jednostronnnej implikuje P NP. - cz. 2

100 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Definicje Przez F = F q będziemy oznaczać skończone ciało o q elementach, gdzie q jest ustaloną liczbą pierwszą. Przez GL n (F q ) lub GL n będziemy oznaczać zbiór wszystkich odwracalnych macierzy n n nad ciałem F q, a przez End n = End n (F q ) zbiór wszystkich macierzy n n nad tym ciałem. Jeśli M End n i V F n q, to przez MV będziemy oznaczać zbiór {Mv v V }. Funkcja f V, parametryzowana zbiorem wektorów V = {v 1, v 2,..., v m }, dana jest wzorem: f V (M) = MV Wektory v i powinny być wybierane losowo. Zauważmy, że wynikiem działania f V jest zbiór nieuporządkowany. - cz. 2

101 Podstawowe pojęcia Wyniki negatywne Algorytmy odporne na ataki kwantowe Literatura Definicje Przez F = F q będziemy oznaczać skończone ciało o q elementach, gdzie q jest ustaloną liczbą pierwszą. Przez GL n (F q ) lub GL n będziemy oznaczać zbiór wszystkich odwracalnych macierzy n n nad ciałem F q, a przez End n = End n (F q ) zbiór wszystkich macierzy n n nad tym ciałem. Jeśli M End n i V F n q, to przez MV będziemy oznaczać zbiór {Mv v V }. Funkcja f V, parametryzowana zbiorem wektorów V = {v 1, v 2,..., v m }, dana jest wzorem: f V (M) = MV Wektory v i powinny być wybierane losowo. Zauważmy, że wynikiem działania f V jest zbiór nieuporządkowany. - cz. 2

Pokazać jeszcze