Resume N 2 Lucio
Resume N 2 Lucio
Resume N 2 Lucio
claves. El destinatario genera dos claves, hace pública la clave pública y mantiene su clave privada en
un lugar secreto para garantizar su posesión privada. El algoritmo está diseñado de tal manera que
cualquier persona puede encriptar un mensaje usando la clave pública, sin embargo, solo el destinatario
legítimo puede descifrar el mensaje usando su clave privada.
La seguridad de la criptografía de clave pública se basa en varios problemas de cómputo, que se cree
que son intratables. Los algoritmos de cifrado y descifrado utilizan las llamadas funciones de un solo
sentido. Las funciones unidireccionales son funciones matemáticas que son fáciles de calcular en una
dirección, pero su inversión es muy difícil (por "difícil" se entiende que el número de operaciones
elementales requeridas aumenta exponencialmente con la longitud del número de entrada).
Es, por ejemplo, muy fácil multiplicar dos números primos, pero factorizar el producto de dos primos
grandes ya es una tarea difícil. Sin embargo, es importante señalar que no se ha demostrado que
ninguna "función unidireccional" sea unidireccional; simplemente se cree que lo son.
El primer desafío para romper una clave RSA de 425 bits (equivalente a 129 dígitos decimales) se
publicó en Scientific American en 1977 (Gardner [1977]). Ronald Rivest calculó que factorizar un
número de 125 dígitos, el producto de dos números primos de 63 dígitos, tomaría al menos 40 × 1015
años (aproximadamente un millón de veces la edad del universo) con los mejores algoritmos de
factorización conocidos hasta entonces. Sin embargo, 17 años después, en 1994, se descubrieron
nuevos algoritmos de factoraje y el poder de la computadora había avanzado a tal nivel que se
necesitaron 1600 computadoras (¡y dos máquinas de fax!) Interconectadas a través de Internet solo
durante 8 meses. Hoy, una sola PC basada en Pentium podría hacer el mismo trabajo.
Un número de 512 bits fue factorizado en agosto de 1999 por 292 máquinas. Eso significa que ninguna
de las claves de 512 bits proporciona suficiente seguridad para nada más que necesidades de seguridad
a muy corto plazo. Todos estos desafíos han servido para estimar la cantidad de trabajo y el costo de
romper una llave de cierto tamaño por esfuerzos públicos.
En la criptografía de clave secreta, los usuarios deben compartir una clave secreta de antemano. La
clave común se utiliza para cifrado y descifrado. La distribución de clave segura es el principal
inconveniente de los criptosistemas de clave secreta.
El criptosistema de clave secreta más difundido es el Estándar de encriptación de datos (DES) y sus
variaciones. Debido a su uso frecuente en los sistemas híbridos, es el criptosistema que se usa con más
frecuencia. Fue desarrollado por IBM y el gobierno de EE. UU. En 1975 y fue adoptado como estándar
dos años más tarde. Es un ejemplo de un cifrado de bloque: un algoritmo que toma una cadena de texto
plano de longitud fija y la transforma a través de una serie de operaciones en otro texto cifrado de la
misma longitud. En el caso de DES, el tamaño del bloque es de 64 bits. La transformación depende de
la clave. El algoritmo consiste en la cascada de 16 iteraciones de sustituciones y transposiciones y se
puede implementar en hardware, donde puede alcanzar velocidades de cifrado muy altas.
En 1997, RSA Data Security, Inc. publicó su primer desafío para descifrar un mensaje de texto claro
codificado por DES. En enero de 1998, se ofreció un nuevo premio. El ganador del concurso utilizó el
tiempo de inactividad de las computadoras conectadas a Internet. Más de 50,000 CPUs fueron
conectadas entre sí. La clave se encontró después de 41 días (DES Cracker 1). Otro grupo de
descifradores tiene un enfoque diferente. Construyeron una sola máquina, que reveló el mensaje cifrado
"Es hora de las teclas de 128, 192 y 256 bits" después de solo 56 horas, buscando una tasa de 88 mil
millones de teclas por segundo (DES Cracker 2).
Los criptógrafos intentaron mejorar la seguridad de DES. Triple DES, DESX y otras modificaciones
han sido desarrolladas. En octubre de 2000, un esfuerzo de cuatro años para reemplazar el
envejecimiento culminó con el anuncio de un nuevo estándar, el Advanced Encryption Standard (AES).
Utiliza bloques de 128 bits y tamaños de clave de 128, 192 y 256 bits. Esta norma se aprobó en
diciembre de 2001 y entró en vigencia en mayo de 2002.
Otro problema común de la criptografía convencional es el llamado criptoanálisis de canal lateral (Rosa
[2001]). Los canales laterales son formas indeseables en las que puede filtrarse la información
relacionada con la actividad del dispositivo criptográfico. Los ataques basados en información de canal
lateral no afectan la estructura matemática de los criptosistemas, sino sus implementaciones
particulares. Es posible obtener información midiendo el consumo de energía, la radiación de calor o la
emanación electromagnética.
VERNAM CIPHER, PROBLEMA DE DISTRIBUCIÓN CLAVE
La criptografía clásica puede proporcionar un cifrado irrompible, que resiste a los adversarios con
poder y poder de cómputo ilimitados: el cifrado de Vernam. El cifrador de Vernam fue inventado en
1917 por el ingeniero de AT & T Gilbert S. Vernam (Vernam [1926]).
El cifrado de Vernam pertenece a los cifrados de clave secreta simétrica, es decir, la misma clave se
utiliza para cifrado y descifrado. El principio del cifrado es la clave de un mensaje, los bits de la cadena
resultante de información e información. Si utilizamos la lógica binaria, a diferencia de Vernam, que
trabajó con un alfabeto de 26 letras, el algoritmo de encriptación E puede escribirse como:
Para que este sistema sea incondicionalmente seguro, se requiere lo siguiente: (1) La clave debe ser tan
larga como el mensaje; (2) debe ser puramente aleatorio; (3) Se puede usar solo una vez.
Hasta 1949, cuando se publicó su artículo, el cifrado de Vernam se consideraba irrompible, pero no se
demostró matemáticamente. Si alguno de estos requisitos no se cumple, la seguridad del sistema se
pone en peligro. Un buen ejemplo es la revelación de los espías atómicos de la Segunda Guerra
Mundial debido al uso repetitivo de la clave incorrectamente preparada por la KGB (publicaciones de
la NSA).
El principal inconveniente del cifrado de Vernam es la necesidad de distribuir una clave secreta siempre
que el mensaje impida un uso más amplio. El cifrado hasta ahora ha encontrado aplicaciones
principalmente en los servicios militares y diplomáticos. Es aquí donde la mecánica cuántica es útil y
ofrece una solución. La mecánica cuántica nos da la capacidad de detectar el espionaje.
PROTOCOLO BB84
Bennett y Brassard presentaron un protocolo que permite a los usuarios establecer una secuencia de bits
idéntica y puramente aleatoria en dos lugares diferentes, al tiempo que les permite revelar su escucha
con una probabilidad muy alta.
El punto crucial del protocolo BB84 es el uso de dos bases conjugadas. El emisor del mensaje codifica
estados lógicos y ortogonales de un sistema cuántico. Pero para cada bit cambia aleatoriamente este par
de estados, es decir, elige una de las dos bases. Cada vector de estado de una base tiene proyecciones de
igual longitud en todos los vectores de la otra base. Es decir, si se mide sobre la base del otro, y su
resultado es completamente aleatorio y el sistema "pierde toda la memoria" de su estado anterior. De
hecho, los estados de señal no ortogonales se usan para probar el canal de transmisión, verificándolo
libre de espías.
Una base puede consistir, por ejemplo, en estados de polarización horizontal y vertical de fotones, | H $
y | V $, resp.; vamos a llamar a esta base rectilínea. La otra base, diagonal, consistiría en estados de
polarizaciones lineales a 45◦ (anti-diagonal), | A $ y 135◦ (diagonal), | D $, tal que:
Si Eve está presente y quiere espiar el canal, no puede monitorear pasivamente las transmisiones (el
único quantum no se puede dividir y su estado no se puede copiar sin perturbaciones detectables, como
se discutió anteriormente). Lo que Eve puede hacer es interceptar los fotones enviados por Alice, para
medir la señal del fotón, es decir, para interactuar con el sistema cuántico que transporta información,
guárdalo y mídelo más tarde. Para comprender el efecto de las escuchas, consideraremos primero solo
el ataque de intercepción y reenvío. Como Alicia alterna sus bases de codificación al azar, Eve no
conoce las bases para realizar una medición. Ella debe elegir su medida al azar. La mitad del tiempo
ella acerta y vuelve a enviar fotones correctamente polarizados.
Sin embargo, en el 50% de los casos, mide incorrectamente, lo que produce errores. Por ejemplo,
supongamos que Alice envía un "1" en forma rectilínea, es decir, indica | V $, Eve mide en diagonal y
Bob mide en forma rectilínea (de lo contrario, el bit se descartaría). Ahora, no importa si Eve detecta y
reenvía | A $ o | D $, Bob tiene un 50% de probabilidad de obtener | H $, es decir, un "0" binario, en
lugar de | V $.
Si sus cadenas son idénticas, la clave se considera segura y secreta, y se puede utilizar para el cifrado
Vernam mencionado anteriormente para encriptar las comunicaciones. Como los bits se han usado para
probar, siempre deben desecharse y solo los bits restantes constituyen la clave. Un ataque de
intercepción y reenvío no es la estrategia óptima para escuchar a escondidas. Sin embargo, cualquier
interacción con los portadores de datos puede proporcionar información sobre la transmisión.
Para dejar intactos los estados originales, puede interactuar con el proveedor de información:
Debe mencionarse que ningún aparato físico es perfecto y silencioso. Alice y Bob siempre encontrarán
discrepancias, incluso en ausencia de Eva. No pueden malinterpretarse debido a su comportamiento, se
atribuyen de forma conservadora a los errores en las transmisiones a Eva. A partir de la cantidad de
errores, se puede estimar la cantidad de información que se pudo haber filtrado a Eve. Después, Alice y
Bob reconcilian sus cadenas de bits utilizando una técnica de corrección de errores para llegar a una
secuencia idéntica de bits. Esta secuencia no es completamente secreta. Eva podría tener un
conocimiento parcial al respecto. Para eliminar este conocimiento, ejecutan un procedimiento llamado
amplificación de privacidad.
La probabilidad de que Alice y Bob elijan la misma base es 1/3 ahora.7 Pero esta desventaja contra
BB84 es mayor que el hecho de que las escuchas provocan una mayor tasa de error. Por ejemplo, un
ataque de reenvío-reenvío continuo induce en promedio el 33% de los errores en comparación con el
25% en la caja del protocolo BB84. En general, la información mutua máxima entre Eve y Alice es
menor que el escenario BB84. Además, la simetría de los estados de señal simplifica el análisis de
seguridad.
PROTOCOLO SARG
El protocolo SARG se propuso para el ataque de división del número de fotones (PNS) 8 en QKD
basado en pulsos láser débiles. Se refiere a estados no ortogonales (Scarani et al., [2004], Branciard et
al., [2005]). En contraste con BB84, dos valores de una clase están codificados en estados no
ortogonales. Sin embargo, para implementar el protocolo SARG uno puede mantener el mismo
hardware que para BB84 y modificar solo la comunicación clásica entre Alice y Bob. Alice prepara
cuatro estados cuánticos y Bob hace las mediciones exactamente como en el protocolo BB84. Pero
Alicia no revela la base de estados de señal no ortogonales, de modo que uno de estos estados es el que
ella siente. Bob adivina el ortogonal a uno de dos estados no ortogonales (para detalles, ver Scarani et
al. [2004]). En comparación con el protocolo BB84, SARG permite aumentar el radio de QKD cuando
la fuente no es una fuente de fotón único.
PROTOCOLOS DECOY-STATE
BB84 es linealmente dependiente de la transmitancia solo en el caso de una fuente de fotón único, con
puntos láser débiles es proporcional al cuadrado de la transmitancia.
La idea se basa en la observación de que al agregar algunos estados señuelo, uno puede estimar el
comportamiento de los estados de vacío, fotón único y fotofotón individualmente. Por lo tanto, Alice
envía un estado adicional, señuelo, con una intensidad diferente a los estados usados para la
transmisión de la clave (pero con la misma longitud de onda, sincronización, etc.).
Estos estados de señuelo son solo para probar la presencia de Eva. Eve no sabe cuándo Alice envía los
señuelos y no puede identificarlos. Los cambios que el ataque del PNS de Eve produce en estos
señuelos permiten que Alice y Bob detecten el espionaje del PNS.photon-number splitting attack (PNS)
La esencia del método señuelo-estado consiste en el siguiente hecho: la probabilidad condicional de
que Bob detecte una señal, siempre que la fuente de Alice haya emitido un estado n-fotón, debe ser la
misma tanto para los estados de señal como de señuelo. Cuando no está presente el espía, debe ser igual
al siguiente valor dado por los parámetros del aparato:
Ahora, tratemos de describir tal situación por el lenguaje cuántico, asumiendo dos partículas de spin un
medio en el siguiente estado enredado:
donde los vectores de estado | n, ± $ corresponden a dos proyecciones ortogonales de giro hacia la
dirección n. Entonces la predicción cuántica para la función de correlación dice:
Los qubits estaban codificados en la polarización de fotones por medio de células Pockels. El canal
cuántico tenía 32 cm de aire libre. Bob analizó los estados de polarización usando un prisma Wollaston,
que fue precedido por otra celda de Pockels para elegir su base de polarización. La salida del prisma
fue monitoreada por fotomultiplicadores.
Cuatro años más tarde, el grupo de Gisin de la Universidad de Ginebra, vía óptica ópticamente clara,
fibra óptica de 1 km (Mullull et al., 1993, Br eguet et al., 1994). Se utilizó un semiconductor láser a 800
nm para generar pulsos de luz que se detectaron mediante fotodiodos de avalancha de silicio. Dado que
la fibra óptica deforma el estado de polarización de la luz, se ha empleado un controlador de
polarización ajustable manualmente para compensar los cambios temporales de polarización.
Los bires y los giros de la fibra óptica inducen la birrefringencia, lo que da lugar a diferentes
velocidades de los componentes de polarización ortogonal de la luz que dan como resultado el cambio
del estado de polarización. Dado que el grado de polarización disminuye lentamente en las fibras, se
puede usar la misma birrefringencia inducida por el esfuerzo para compensar esta deformación.
Un carrete de fibra de un diámetro adecuado puede actuar como una placa de onda fraccional.
El uso de fibra óptica no es la única forma de implementar QKD a distancia. Otro enfoque es tratar de
comunicarse directamente a través del espacio libre. A diferencia de las fibras, la atmósfera no es
birrefringente, por lo que la codificación de polarización es muy adecuada. Jacobs y Franson (1996)
demostraron la viabilidad de la QKD en espacio libre, que logró comunicarse a través de un corredor
iluminado con tubos fluorescentes y más de 75 metros al aire libre a la luz del día.
Codificación de fase
En este método, las diferentes polarizaciones (usadas en la codificación de polarización) son
reemplazadas por diferentes cambios de fase entre dos brazos del interferómetro Mach-Zehnder. Alice
controla el cambio de fase en un brazo del interferómetro, Bob controla el desplazamiento de fase en el
otro brazo. Si los cambios de fase de Alice y Bob son los mismos, entonces el comportamiento del
fotón en el divisor de haz de Bob es determinista debido a la interferencia constructiva en una de las
salidas y la interferencia destructiva en la otra. Si el desplazamiento de fase total es diferente de un
múltiplo entero de 180, los fotones se detectan aleatoriamente en ambos detectores.
en el caso del protocolo BB84, Alice codifica estados cuánticos no ortogonales. Envía impulsos de luz
débil al interferómetro y establece aleatoriamente la fase φA a 0◦, 90◦, 180◦ o 270◦. Bobs establece al
azar (e independientemente de Alicia) la fase φB a 0◦ o 90◦. Estos dos valores corresponden a la
medición en bases "rectilíneas" y "diagonales", respectivamente:
Sin embargo, es imposible mantener la misma fase estable en dos brazos diferentes del interferómetro
Mach-Zehnder a largas distancias.
Bennett [1992b]. Se pueden usar dos piezas de comunicación para interconectar sus dispositivos (vea la
Fig. 2). Ahora se usan dos interferómetros Mach-Zehnder desequilibrados. La longitud del camino
entre el brazo más corto y el más largo del interferómetro es mayor que el ancho del pulso del láser.
Gisin et al. [2004] propuso una nueva técnica para QKD práctica, basada en un protocolo específico y
adaptada para una implementación con pulsos láser débiles. La clave se obtiene mediante una simple
medición de los tiempos de llegada de los pulsos entrantes a Bob. La presencia de un espía es revisada
por un interferómetro construido en una línea de monitoreo adicional. Cada bit lógico está codificado
en una secuencia de dos pulsos: uno vacío y otro no vacío o viceversa. Hay una coherencia de fase
entre dos pulsos no vacíos porque se usa un láser de modo bloqueado como fuente. Algunos pulsos se
reflejan en el divisor de haz de Bobs y van al interferómetro Mach-Zehnder desequilibrado (línea de
monitoreo). Aquí es donde la coherencia cuántica juega un papel. Si la coherencia no se rompe, solo el
detector en la salida particular del interferómetro puede disparar en ciertos instantes. Esto permite
detectar un espionaje. La primera realización experimental de este protocolo fue realizada por Stucki et
al. [2005].
Enredo de polarización
En este caso, Alice y Bob son provistos por un fotón de un par enredado de una de estas formas:
donde | V $, | H $ denota estados de fotón único con polarizaciones lineales verticales y horizontales,
respectivamente. Los pares se preparan mediante un proceso paramétrico de conversión descendente en
cristales ópticos no lineales. El enredo de polarización se crea mediante un cristal utilizando el
emparejamiento de fase de tipo II (en un diseño geométrico adecuado) o mediante dos cristales con
coincidencia de fase de tipo I que se colocan estrechamente uno a uno pero con ejes ópticos orientados
perpendicularmente entre sí. Alice y Bob están equipados con analizadores de polarización que pueden
cambiar rápidamente las bases de polarización de medición, por ejemplo, moduladores de polarización
electro-ópticos seguidos por divisores de haz polarizadores (con contadores de fotones detrás de ellos).
con S y L que indican las contribuciones de los pulsos de la bomba que pasan por un brazo más corto y
más largo del interferómetro, respectivamente. Las diferencias de ruta de los tres interferómetros
deberían ser las mismas. Ahora, Alicia puede detectar un fotón en tres ventanas de tiempo diferentes
(después de cada pulso láser): la primera corresponde a la situación en la que tanto el pulso de la
bomba como el fotón de Alicia pasaron por los brazos más cortos (SS), el el segundo corresponde a la
combinación del brazo más corto y el más corto o viceversa (SL o LS), y el tercero corresponde a la
situación cuando tanto el pulso de la bomba como el fotón de Alice pasaron por los brazos más largos
(LL). Lo mismo vale para las detecciones de Bob. Para establecer la clave secreta, Alice y Bob
acuerdan públicamente los eventos cuando ambos detectaron un fotón (no importa en qué detector) ya
sea en la primera o en la tercera ventana de tiempo, pero no revelan en cuál, y en el eventos cuando
ambos registraron clics del detector en la ventana de la segunda vez, sin revelar en qué detector. En el
primer caso, asignan diferentes valores de bit a la primera y tercera ventana de tiempo (Alice y Bob
deben tener tiempos de detección correlacionados). El segundo caso (ambos fotones detectados en la
segunda ventana de tiempo) es formalmente equivalente al método de codificación de fase descrito
anteriormente.
Tecnología
Láseres atenuados
En los sistemas QKD prácticos, los láseres atenuados siguen siendo las únicas fuentes de luz
razonables (excepto los sistemas que usan pares entrelazados). La radiación de un láser puede
describirse normalmente por un estado coherente de modo único que muestra la distribución del
número de fotones de Poisson (donde μ es un número medio de fotones):
El número medio óptimo de fotones es tal que maximiza la tasa de seguridad para las condiciones
dadas. Resulta de la compensación entre el valor de la tasa de detección y el acortamiento de la clave
debido a la amplificación de la privacidad (debido a las contribuciones de fotones múltiples, la
amplificación de la privacidad).
DETECTORES
Fotodiodos de avalancha
Los detectores más utilizados en los sistemas QKD con variables discretas son, sin duda, los fotodiodos
de avalancha (APD). En APD, un fotoelectrón único generado por un fotón incidente se multiplica por
una ionización por colisión. Esto se debe a que los detectores de fotón único APD funcionan en el
llamado modo Geiger: en la unión se aplica un voltaje inverso que excede el voltaje de ruptura. Por lo
tanto, el fotón incidente provoca una avalancha de miles de portadores. Para reiniciar el detector, la
avalancha debe ser apagada. Se podría hacer de forma pasiva o activa. En el enfriamiento pasivo, se
coloca una resistencia grande en el circuito del detector. Causa la disminución del voltaje en APD
después de que comienza la avalancha. en el caso del enfriamiento activo, el voltaje de polarización se
reduce mediante un circuito de control activo. Esta solución es más rápida, por lo que se pueden
alcanzar mayores tasas de repetición (hasta 10 MHz). Otra posibilidad es trabajar en un llamado modo
cerrado cuando la tensión de polarización se incrementa por encima del voltaje de ruptura solo durante
un período corto y bien definido.
Para detectar fotones en longitudes de onda específicas, se necesitan diferentes materiales de chips
detectores. Para la región infrarroja visible y cercana (hasta 1.1 μm), se puede usar la APD de silicio.
Hoy en día están bien elaborados. Los módulos de conteo compactos con enfriamiento Peltier integrado
y enfriamiento activo están disponibles comercialmente que ofrecen bajas tasas de conteo oscuro
(menos de 50 por segundo) altas eficiencias cuánticas (hasta aproximadamente 70%) y tasas máximas
de conteo que alcanzan los 10MHz. Es necesario enfriar a temperaturas de alrededor de -20 ° C para
mantener el número de recuentos oscuros inducidos por el ruido térmico en un rango razonable. Tenga
en cuenta que los recuentos de oscuridad, es decir, los eventos cuando el detector envía un impulso
incluso si ningún fotón ha entrado en él, representan un factor importante que limita el rango de
operación de QKD (consulte la Sección 6).
Resulta que la tasa de recuento oscuro aumenta al aumentar la eficiencia de detección. Siempre es
necesario encontrar una compensación entre estas cantidades. A medida que el número de recuentos
oscuros aumenta con la temperatura, se puede lograr un mejor rendimiento general a temperaturas más
bajas. Además, el aumento de la frecuencia de repetición de la señal conduce al crecimiento del número
de recuentos oscuros debido a la creciente probabilidad de los pulsos posteriores.14 Mencionemos
también otro efecto que puede jugar un papel negativo en la criptografía cuántica. Cuando se apaga la
avalancha, todos los portadores de carga se recombinan. Vuelve a poner el diodo en un estado aislante,
finaliza un ciclo completo de fotodetección y el diodo está listo para el próximo evento. Sin embargo,
algunas recombinaciones son radiativas, esto se traduce en los llamados reventones.
Una posibilidad interesante para mejorar el rendimiento de QKD con detectores APD en longitudes de
onda de telecomunicaciones podría ser la combinación de conversión paramétrica de frecuencia con
APD de silicio eficientes, en lugar de uso directo de APD InGaAs. La conversión ascendente en
niobato de litio poled periódicamente puede ser bastante eficiente, mientras que solo introduce un ruido
relativamente bajo. La eficiencia cuántica global en combinación con un detector APD de silicio podría
ser comparable con la eficiencia de detección de una APD InGaAs mientras que la tasa de
oscurecimiento sería menor (Diamanti et al. [2005]).
Detectores superconductores
Para detectar fotones individuales, también se pueden emplear procesos físicos en superconductores. Se
han propuesto algunos principios diferentes que ahora se prueban experimentalmente. Todos estos
detectores requieren un ambiente criogénico. El primer tipo de detector, generalmente llamado detector
de fotón único superconductor, consiste en tiras finas de material superconductor, como nitrato de
niobio, interconectadas para formar un "alambre" en forma de meandro (Verevkin et al., [2002]). En
este "cable" se mantiene la polarización de corriente por debajo de la corriente crítica del material. Un
fotón incidente rompe un par de Cooper y genera un punto de acceso que forma un potencial de
resistencia. El ancho de las tiras está diseñado de tal manera que la corriente forzada alrededor del
punto de acceso excede la corriente crítica. Esto da como resultado el aumento de la resistencia y una
señal de voltaje que indica la detección de fotones. Las mediciones recientes muestran que a 1300-1550
nm las muestras tienen una eficiencia cuántica de hasta el 10%, una tasa de recuento oscuro de
aproximadamente 0,01 s-1 y una velocidad de conteo superior a 2 GHz (Verevkin et al., [2004]). Las
mediciones se realizaron a una temperatura de 2,5 K (helio líquido).
Otro tipo de detector superconductor es un sensor de borde de transición (Miller et al. [2003]). Estos
sensores consisten en películas delgadas superconductoras polarizadas eléctricamente en la transición
resistiva. Su sensibilidad es el resultado de la fuerte dependencia de la resistencia a la temperatura en la
transición y el bajo calor específico y la conductividad térmica de los materiales a temperaturas de
funcionamiento típicas de cerca de 100 mK. El dispositivo produce una señal eléctrica proporcional al
calor producido por la absorción de un fotón. Estos detectores pueden incluso determinar el número de
fotones incidentes, es decir, pueden realizar un recuento de fotones.
La siguiente posibilidad es un detector de unión de túnel superconductor (Fraser et al. [2003]). Consiste
en dos electrodos superconductores separados por una capa aislante que forma juntos una unión
Josephson. Para suprimir la corriente de efecto túnel a través de la unión, se aplica un campo magnético
paralelo a los electrodos (paralelo a la barrera del túnel). Los fotones de incidentes rompen los pares de
Cooper. Cambia la tasa de tunelización según la energía absorbida. La temperatura de funcionamiento
es del orden de cientos de milikelvins. Estos detectores pueden registrar fotones desde la región
infrarroja a la ultravioleta.
CANALES CUÁNTICOS
Fibras
Los canales más prometedores para QKD terrestre son indudablemente fibras ópticas monomodo.
Las atenuaciones más bajas de las fibras de telecomunicaciones estándar son a 1300 nm
(aproximadamente 0,35 dB / km) y a 1550 nm (aproximadamente 0,2 dB / km). Desafortunadamente,
para estas longitudes de onda no se pueden usar fotodetectores de semiconductores basados en silicio
estándar. En principio, es posible usar fibras especiales y trabajar alrededor de 800 nm, donde los
detectores eficientes están disponibles. Pero la atenuación de las fibras en estas longitudes de onda es
relativamente alta, aproximadamente 2 dB / km, y tales fibras no se utilizan en una infraestructura
existente. Por lo tanto, se presta atención a las fibras de telecomunicaciones estándar y existe un
esfuerzo para desarrollar detectores de bajo ruido y eficientes para longitudes de onda de 1300 nm y
1550 nm.
La distorsión de la polarización es un obstáculo crucial para el uso de cualquier tipo de polarización
que codifica la información. Por lo tanto, en los sistemas QKD basados en fibra se emplean
generalmente esquemas de codificación de fase. Sin embargo, incluso en tal caso, el estado de
polarización de salida debe estar bajo control. Afortunadamente, si la fibra es fija, las propiedades de
polarización son relativamente estables.
Espacio libre
La distribución cuántica de claves también se puede lograr a través del espacio libre. La ventaja de este
enfoque es que la atmósfera tiene una absorción muy baja alrededor de las longitudes de onda de 770
nm y 860 nm donde se pueden usar detectores de semiconductores de silicio relativamente eficientes y
de bajo ruido. Además, no se deben instalar cables ópticos. Además, la atmósfera no es birrefringente
en estas longitudes de onda y solo es débilmente dispersiva. La desventaja es que la comunicación en
espacio libre se puede usar solo en las distancias de línea de vista, ningún obstáculo puede ser entre las
partes que se comunican. También hay otros inconvenientes: el rendimiento depende en gran medida
del clima, la contaminación y otras condiciones atmosféricas. Existen grandes diferencias en la
atenuación para diferentes tipos de clima. Por ejemplo, para longitudes de onda cercanas a 860 nm, la
atenuación del aire limpio puede ser inferior a 0,2 dB / km, en el caso de lluvia moderada es de
aproximadamente 2 - 10 dB / km, y en niebla intensa puede exceder los 20 dB / km. Además, hasta
altitudes de aproximadamente 15-20 km hay considerables turbulencias atmosféricas. El problema
también es una influencia espuria de la luz de fondo, especialmente la luz del día. Otro problema es la
divergencia del haz. Debido a la difracción, el diámetro del haz se puede agrandar considerablemente
en grandes distancias. Este efecto puede causar pérdidas adicionales si solo una parte del haz es
capturada por el receptor.
Limitations
Existen dos obstáculos tecnológicos principales que inhiben la amplia distribución de la distribución de
claves cuánticas: el rango operativo limitado y las bajas velocidades de transmisión.
VELOCIDAD DE TRANSMISION
El factor clave que limita la velocidad de la clave bruta es el tiempo muerto del detector (es decir, el
tiempo de recuperación del detector). en el caso de los fotodiodos de avalancha (APD) inmediatamente
después del evento de detección, el detector no está listo para otra detección. En primer lugar, la
avalancha de portadores de carga debe apagarse. Sin embargo, también existe un problema con los
llamados postpulsos: clics del detector causados por transiciones espontáneas de trampas de vida larga
(niveles en una banda prohibida) pobladas por la avalancha anterior. Es necesario esperar hasta que los
portadores salgan de la región de detección (agotada). El tiempo muerto típico de APD es de
aproximadamente cien nanosegundos a un microsegundo.
LÍMITE EN LA DISTANCIA
La distancia máxima sobre la cual se puede establecer una QKD segura disminuye al aumentar las
pérdidas y aumentar el ruido del detector. La frecuencia de conteo oscuro del detector es constante
(para un detector y configuración determinados). Pero la tasa de tecla disminuye con el aumento de la
distancia debido a las pérdidas acumuladas. Por lo tanto, la cantidad relativa de bits erróneos provocada
por recuentos oscuros aumenta siempre que sea tan alta que no sea posible la QKD segura. Los
amplificadores estándar no se pueden usar ya que afectarían los estados de los fotones de una manera
similar a la escucha. La tecnología actual permite un funcionamiento seguro de hasta 100 km.
REPETIDORES CUÁNTICOS
El uso de pares enredados para QKD (ver Sección 3.6) ofrece una ventaja importante.
Permite extender el radio de comunicación segura a una distancia prácticamente arbitraria (al menos en
teoría). Esto puede ser alcanzado por los repetidores cuánticos (Dürur et al. [1999]). Pueden hacer
"corrección de errores distribuidos" sin revelar ninguna información sobre la clave. El canal de
comunicación está dividido en segmentos más cortos que contienen una fuente de pares enredados. En
los extremos de cada segmento se lleva a cabo una destilación del enredo (Bennett et al., [1996a]).
Produce un número menor de pares "muy reparados" altamente enredados de un número originalmente
mayor de pares dañados durante la transmisión. Los segmentos individuales están "conectados" por
medio de un método de intercambio de enredos (Bennett et al. [1993], Zukowski y otros [1993]).
Entonces, finalmente, Alice y Bob poseen pares muy enredados.
PROCEDIMIENTOS DE APOYO
ESTIMACIÓN DE FUGA DE INFORMACIÓN
Los dispositivos reales como polarizadores, fibras, detectores, etc. nunca son perfectos y silenciosos.
Por lo tanto, siempre tenemos que tolerar una cierta cantidad de errores. Sin embargo, no podemos
estar seguros de que estos errores no se deriven de la actividad de Eva (Eva podría, por ejemplo,
reemplazar alguna parte ruidosa del sistema por una mejor, menos ruidosa), así que debemos atribuir
todos los errores a Eva. Afortunadamente, a partir de la tasa de error observada, es posible estimar la
información filtrada a Eve y luego "acortar" la clave establecida de tal forma que la información de Eve
sobre la nueva clave más corta es arbitrariamente pequeña. Primero, Alice y Bob eligieron
aleatoriamente una cierta cantidad de bits transmitidos y los compararon públicamente para estimar la
tasa de error. Cuanto mayor es el número de bits comparados, mayor es la probabilidad de que la
probabilidad de error real no exceda el valor estimado. Suponiendo que el ataque más general
permitido por las leyes de la física cuántica uno puede encontrar el límite de la cantidad de
información, Eve podría obtener la clave, en función de la tasa de error causada por el ataque. Para el
ataque más simple de intercepción y reenvío descrito anteriormente (asumiendo escuchas no continuas)
Eve obtiene una información promedio por bit I = 21, donde 1 es la tasa de error de bit. Por supuesto,
este ataque no es óptimo. Los valores límite ("peores") de I (1) dependen tanto del protocolo como de
la implementación
CORRECCIÓN DE ERRORES PARA BIT STRINGS CLASICOS
Aquí describimos un procedimiento simple de corrección de errores propuesto por Bennett et al.
[1992a]. Alice y Bob primero acordaron una permutación aleatoria de las posiciones de los bits en sus
cadenas para aleatorizar la ubicación de los errores. A continuación, dividen las cadenas permutadas en
bloques de tamaño k, de modo que es poco probable que los bloques individuales contengan más de un
error (el tamaño de bloque es una función del índice de error de bit esperado). Para cada bloque, Alice
y Bob comparan la paridad del bloque. Los bloques con paridades coincidentes se aceptan
tentativamente como correctos. Si las paridades no concuerdan, el bloque se somete a una búsqueda
bisectiva, revelando paridades adicionales de subbloques, hasta que se encuentre y se corrija el error.
Seguridad
El objetivo de QKD es entregar claves secretas a los usuarios. Difiere de los esquemas clásicos de
distribución de claves, ya que en QKD realmente podemos probar la seguridad de la clave final bajo un
número muy limitado de suposiciones naturales. Estos incluyen, por ejemplo, que un espía no puede
tener acceso a los datos dentro de los dispositivos de Alice y Bob.
En una implementación experimental no se puede demostrar directamente la distribución segura de
claves cuánticas: la seguridad no se puede medir como tal. La seguridad es una declaración teórica y se
refiere a protocolos específicos para generar una clave secreta a partir de los datos que obtenemos en
un experimento. Estos protocolos dependen de parámetros observables, como la tasa de error, el
número medio de fotones de la fuente y la tasa de pérdida de las señales. Por lo tanto, en un
experimento, uno verifica los supuestos del modelo del análisis de seguridad teórico y demuestra que
uno puede operar el dispositivo de forma tal que los parámetros observados permitan la generación de
una clave secreta siguiendo el protocolo. Es importante que la conciencia de este punto aumente.
Todos los dispositivos que estamos utilizando serán imperfectos hasta cierto punto. Además, todos los
canales cuánticos muestran imperfecciones, por ejemplo en forma de una dispersión en modo de
polarización, desfase en los esquemas interferométricos y, predominantemente, pérdida (Gisin et al.
[2002]). Los protocolos básicos QKD prueban la presencia de un espía al buscar cambios en las señales
mecánicas cuánticas. Como resultado de las imperfecciones tenemos que enfrentar la situación de que
Alice y Bob terminan con datos que se desvían de los ideales. Por lo tanto, tendrían que cancelar QKD
en un protocolo simple idealizado que solo prueba la presencia de un espía: tenemos que asumir el peor
escenario de que la degradación de los datos no se deba a las imperfecciones del canal, sino que podría
provenir de un escuchador activo El espía podría correlacionarse con los datos de Alice y Bob, por lo
que podría tener cierta información sobre ellos. Además, en general, Alice y Bob ni siquiera comparten
una cadena de bits libre de errores.
Resulta que hay formas de crear una clave secreta a pesar de estas imperfecciones. Para esto, Alice y
Bob aplican algunos procedimientos de posprocesamiento comunicándose públicamente a través de un
canal autenticado clásico. Típicamente, estos procedimientos incluyen la corrección de errores y la
amplificación de la privacidad (ver la Sección 7).
Fase I: una configuración física genera señales mecánicas cuánticas. Estos se distribuyen y luego se
miden. Como resultado, Alice y Bob tienen datos clásicos que describen su conocimiento sobre las
señales preparadas y los resultados de medición obtenidos.
Fase II: Alice y Bob usan su canal clásico autenticado para hablar sobre sus datos, por ejemplo, al
cribar sus datos, realizar la corrección de errores y la amplificación de la privacidad.
Sorprendentemente, encontramos que este límite inferior clásico también se cita y usa en un escenario
QKD, donde se realiza una optimización sobre ataques individuales para dar límites a la información de
Eve sobre los datos de Alice o Bob. Tenga en cuenta que el uso de la fórmula de Csisz ar y K ̈orner está
restringido al caso clásico de variables aleatorias distribuidas de forma independiente e idéntica. Esto
solo se puede justificar si restringimos a Eve a ataques individuales, que no son necesariamente
óptimos en comparación con ataques coherentes o colectivos. Además, debemos suponer que Eve ataca
todas las señales exactamente de la misma manera, y que ella mide las sondas de cada señal de
inmediato.
El segundo resultado importante en la situación tripartita clásica se debe a Maurer
(Maurer [1993], Maurer y Wolf [1999]). Este resultado da un límite superior en el
tasa de clave secreta extraíble para P (A, B, E). Se puede expresar en términos de
la información mutua condicional I (A; B | E), que se define como19
I(A; B|E) = H(A|E) + H(B|E) − H(A, B|E) .
La información intrínseca mide cuánto aprende Bob sobre los datos de Alice al ver sus propios datos
después de que Eve anunció sus datos (o una función de sus datos). El límite está dado por
R ≤ I(A; B ↓ E) .
Al evaluar los límites inferior y superior, se encuentra una gran brecha entre ellos. En realidad, no hay
protocolos conocidos para alcanzar la tasa del límite superior. El método de destilación de ventaja (ver
Sección 7.4) se conecta a la brecha (Maurer [1993]). Hay casos donde el límite inferior es inicialmente
cero, pero después de la aplicación de un paso de destilación de ventaja, el límite inferior para las
correlaciones nuevas, condicionales, es positivo.
NÚMEROS DE DISTRIBUCIÓN CUÁNTICA CLAVE
Hasta ahora hemos estado hablando sobre el escenario clásico. Allí tuvimos que asumir una forma
específica de la distribución de probabilidad conjunta P (A, B, E). En la mecánica cuántica podemos
deducir de las observaciones del lado de Alicia y Bob algo sobre las formas en que Eva podría estar
correlacionada con sus datos, por lo que estamos en una posición más sólida. Al mismo tiempo,
tenemos algunas complicaciones adicionales: Eve es libre de mantener sus sondas en un estado de
mecánica cuántica. No podemos obligarla a medir su sonda, reduciendo así su sonda a datos clásicos.
Entonces no podemos usar directamente la mecánica cuántica para considerar la clase de distribuciones
de probabilidad conjuntas P (A, B, E) que son compatibles con las observaciones para aplicar el
resultado de Csisz ar-K ̈orner. Aquí tenemos que encontrar nuevas líneas de argumentación para
proporcionar las declaraciones de seguridad, incluidos nuevos límites inferiores. Sin embargo, en un
punto los enunciados clásicos se pueden aplicar directamente: el resultado de Maurer en los límites
superiores de las tasas clave es válido para QKD.
PRUEBAS DE SEGURIDAD
Es hora de mostrar ideas sobre cómo construir protocolos en la Fase II que conviertan los datos
correlacionados observados en claves secretas. El requisito clave en la distribución de claves cuánticas
es que, al final de dicho protocolo, el sistema cuántico en la mano de Eva no esté correlacionado con la
salida del protocolo: la clave secreta.
El truco consiste en utilizar códigos clásicos de corrección de errores que codifican el mensaje original
como las denominadas palabras clave. El mensaje codificado se envía a través del canal ruidoso. El
efecto del ruido en las palabras de código se puede detectar y los errores se pueden corregir. Este
mecanismo funciona asintóticamente perfecto. Algo similar se puede hacer mediante el uso de códigos
de corrección de errores cuánticos (QECC); Calderbank y Shor [1996], Steane [1996]. De nuevo, la
idea básica es tomar los estados de las señales no ortogonales de la fuente, codificarlos en una
secuencia más larga de señales que se transmiten a través del canal, y luego decodificar los estados
originales de forma asintótica sin errores.
Basándose en esta idea, y utilizando los resultados anteriores de Mayers (Mayers [1996], Mayers
[2001]), Shor y Preskill [2000] mostraron que se puede adaptar la idea básica de los códigos de
corrección de errores cuánticos para que el protocolo cuántico se convierta en equivalente a el
protocolo estándar BB84 en el que Alice envía una secuencia aleatoria de señales y Bob las mide de
forma aleatoria. En ese caso, la operación de descodificación de la QECC se convierte en la clásica
corrección de errores y la amplificación de la privacidad y no se requieren capacidades de
manipulación cuántica.
Echemos un vistazo a este método con más detalle. Un QECC puede corregir los errores que introduce
el canal. La prueba de seguridad de Shor y Presal se basa en el QECC de Calderbank-Shor-Steane
(Calderbank y Shor [1996], Steane [1996]) que divide los errores en errores de bit y fase. Es decir, sin
pérdida de generalidad, el canal aplica a cada señal qubit ya sea un operador de error, el σx o el σz, o
aplica el operador de identidad. Uno codifica los qubits de señal en palabras de código cuánticas, p. en
un mayor número de qubits, que luego se envían a través del canal. Siempre que el número de qubits
afectados por los operadores de error sea suficientemente bajo, la acción del canal puede revertirse,
gracias a la estructura adicional proporcionada por las palabras de código. La reversión de σx
corresponde a la corrección de error de bit clásico. Los errores provenientes de σz no serán corregidos,
ya que solo estamos interesados en los valores de bit de las señales cuánticas originales. En cambio,
uno elige la estructura de QECC de modo que, en principio, uno podría haber corregido los errores en
el dominio cuántico. Esto ocurre al incluir redundancia en las señales. Sacar esta redundancia es
exactamente lo que sucede en el procedimiento de amplificación de privacidad.
Observamos que un paso esencial es estimar el número de errores de fase y de bit, ya que la seguridad
depende del hecho de que uno podría, en principio, corregir estos errores. Por lo tanto, de hecho, es una
tarea esencial estimar el número de errores a partir de los datos observables.
Pasemos al siguiente principio para las pruebas de seguridad. El principio que explota el método QECC
utiliza de manera efectiva solo la comunicación unidireccional. Esta idea se puede extender a la
comunicación bidireccional, que resulta tolerar niveles de ruido más altos en el canal. Hasta ahora,
hemos estado usando la idea de que es suficiente crear un canal perfecto efectivo entre Alice y Bob
para garantizar que Eva se desacople de Alice y Bob. Otra forma de lograr este objetivo es establecer
estados entrelazados al máximo entre Alice y Bob. Una vez que Alice y Bob verifiquen esta propiedad,
pueden estar seguros de que Eve está desacoplada de sus estados bipartitas.
En la QKD práctica es importante encontrar los protocolos de destilación de enredos que se pueden
traducir de nuevo en el post-procesamiento clásico de datos. Un ejemplo de esto es el protocolo y la
prueba de seguridad basados en el protocolo BB84 de Gottesman y Lo [2003] y Chau [2002].
ATAQUES ESPECÍFICOS
Entendemos que bajo el ataque de intercepción y reenvío cualquier ataque en el que Eve realice una
medición completa de las señales que envía Alice.
Ataque de discriminación de estado inequívoco
Pasemos a un ataque que es un caso especial de un ataque de intercepción y reenvío. Se aplica siempre
que los estados de señal enviados por Alicia sean linealmente independientes. En este caso, Eve puede
medir las señales con una medición inequívoca de discriminación de estado (USD) para que con cierta
probabilidad aprenda, sin error, la señal exacta, mientras que en los casos restantes se queda sin
información sobre los estados de señal (Dusek et al. [2000]). Ella ahora puede continuar selectivamente
su ataque. Por ejemplo, podría enviar una nueva señal a Bob solo en los casos en que conozca la señal
con certeza, mientras que ella podría enviar ninguna señal en absoluto (lo que corresponde al envío del
estado de vacío) en los casos restantes. Con esta estrategia, ella es capaz de imitar un canal con
pérdidas. Como resultado, los datos obtenidos por Alice y Bob no muestran ningún rastro obvio de
escuchas cuando Bob obtiene una señal. A pesar de esta ausencia de perturbación visible del grado de
libertad de la señal, no se puede crear ninguna clave segura. Un protocolo típico para el que surge este
problema es la variación del protocolo B92 (Bennett [1992b]) que utiliza fotones individuales en
estados de polarización no ortogonales junto con detecciones de fotones individuales (véase la Sección
3.1). Este protocolo se vuelve inseguro una vez que la transmisividad del canal desciende por debajo de
un umbral que depende de la no ortogonalidad de los estados de la señal. El umbral se define como la
transmisividad donde la probabilidad de éxito de la medición USD es igual a la probabilidad de
detección de Bob a través del canal con pérdida. En nuestro ejemplo, la probabilidad de éxito de la
medición en USD se da como Psucc USD = 1 - | & φ0 | $1 $ | y Bob obtiene la fracción η de señales,
donde η es la transmisividad del canal. Luego, encontramos para el umbral de la transmisividad la
expresión (Tamaki et al. [2003a])
En el límite, usan básicamente solo una base y prueban solo una pequeña cantidad de señales en la otra
base. Aunque esto requiere un tamaño de muestra más grande, no obstante, podemos deshacernos del
factor 1/2 en las fórmulas de velocidad.
Este resultado se sostiene contra el ataque más general de Eva, el ataque coherente donde Eva puede
retrasar sus mediciones. Además, permite dar tasas de claves secretas razonables en la imagen
paranoica donde todas las imperfecciones de detección de Bob (recuentos oscuros, eficacia de
detección) se atribuyen a Eve.