Релятивистская квантовая криптография

Релятивистская квантовая криптография — это подраздел квантовой криптографии , в котором помимо использования принципов квантовой физики также , используется принцип отсутствия сверхсветовой сигнализации теории относительности утверждающий, что информация не может перемещаться быстрее света. Технически говоря, релятивистская квантовая криптография — это подобласть релятивистской криптографии, в которой криптографические протоколы используют принцип отсутствия сверхсветовой сигнализации, независимо от того, используются квантовые свойства или нет. Однако на практике термин «релятивистская квантовая криптография» используется и для обозначения релятивистской криптографии.

В 1997 и 1998 годах было показано, что некоторые важные задачи недоверчивой криптографии невозможно решить с помощью безусловной безопасности. Майерс ^[1] и Ло и Чау ^[2] показали, что безусловно безопасная передача квантовых битов невозможна. Ло показал, что невнимательную передачу и широкий класс безопасных вычислений также невозможно достичь при безусловной безопасности в квантовой криптографии. ^[3] Более того, Ло и Чау показали, что абсолютно безопасное подбрасывание идеальной квантовой монеты также невозможно. ^[4] В этом контексте Кент представил в 1999 году первые релятивистские криптографические протоколы для фиксации битов и идеального подбрасывания монеты, которые преодолевают предположения, сделанные Майерсом, Ло и Чау, и обеспечивают безусловную безопасность. ^{[5] [6]} С тех пор Кент и другие нашли другие безусловно безопасные релятивистские протоколы для фиксации битов. ^{[7] [8] [9] [10] [11]} и другие криптографические задачи исследовались в рамках релятивистской квантовой криптографии. ^{[12] [13] [14] [15] [16] [17] [18]}

Принцип отсутствия сигналов квантовой теории гласит, что информация не может передаваться между двумя различными точками L ₀ и L ₁ без передачи каких-либо физических систем, несмотря на любую квантовую запутанность, разделяемую между L ₀ и L ₁ . Это подразумевает, в частности, что без передачи каких-либо физических систем между L ₀ и L ₁ квантовая корреляция между L ₀ и L ₁ не может быть использована для передачи информации между L ₀ и L ₁ , даже если они нелокально причинны. и нарушать неравенства Белла . Согласно теории относительности , физические системы не могут двигаться быстрее скорости света . Таким образом, из принципа отсутствия сигналов следует, что информация не может распространяться быстрее скорости света . Это называется принципом не-сверхсветовой сигнализации.

Принцип отсутствия сверхсветовой передачи сигналов — ключевой физический принцип, используемый в релятивистской криптографии. Это гарантирует, что результат x случайной величины X, полученный в некоторой точке пространства-времени P, может влиять на вероятность того, что случайная величина Y примет некоторое значение y в пространственноподобной отдельной точке пространства-времени Q. не Таким образом, например, если две стороны, Алиса и Боб, имеют по два агента, причем первый агент Боба отправляет секретное сообщение x первому агенту Алисы в точке пространства-времени P , а второй агент Алисы отправляет секретное сообщение. y второму агенту Боба в точке пространства-времени Q , где P и Q разделены пространственно, то Боб может гарантировать, что сообщение y, полученное от Алисы, было выбрано независимо от сообщения x , которое он передал Алисе, и наоборот. Это полезное математическое свойство, которое используется для доказательства безопасности криптографических протоколов в релятивистской криптографии.

Фундаментальным требованием релятивистской криптографии является то, чтобы стороны, реализующие криптографическую задачу, имели хорошее описание пространства-времени , по крайней мере, в пределах той области пространства-времени, где задача реализуется. Например, в протоколах, реализованных вблизи поверхности Земли, можно предположить, что пространство-время близко к Минковскому . Важно отметить, что это означает, что вблизи поверхности Земли физические системы и информация не могут двигаться быстрее скорости света в вакууме , которая составляет примерно 300 000 км/с. В принципе, релятивистская криптография может применяться и к более общим пространствам-временям , пока стороны могут гарантировать отсутствие механизмов, позволяющих мгновенное общение, таких как червоточины . Другое требование состоит в том, чтобы стороны имели доступ к общей системе отсчета , чтобы они могли гарантировать, что некоторые коммуникационные события разделены пространственно. ^[5]

В релятивистской криптографии предполагается, что каждая сторона, участвующая в криптографической задаче, имеет различных доверенных агентов, которые сотрудничают для реализации этой задачи. Агенты реализуют протокол, выполняя различные действия в различных точках пространства-времени . Агенты одной и той же стороны могут общаться через аутентифицированные и защищенные каналы , которые могут быть реализованы с использованием ранее общих безопасных ключей , например, с использованием одноразовых блокнотов . ^{[5] [18]}

Различные задачи, исследуемые с помощью релятивистской криптографии, состоят из задач недоверчивой криптографии, в которых две или более недоверчивые стороны должны сотрудничать для реализации криптографической задачи, в то же время гарантируя, что другие стороны не обманывают. Примерами задач недоверчивой криптографии являются фиксация битов , подбрасывание монеты , непреднамеренная передача и безопасные вычисления . Распределение ключей не относится к недоверчивой криптографии, поскольку в этом случае стороны, распределяющие ключ, доверяют друг другу. В релятивистской криптографии каждая участвующая сторона имеет различных доверенных агентов, которые сотрудничают друг с другом, выполняя разные действия в разных точках пространства-времени. Например, Алиса и Боб могут быть двумя компаниями с офисами и лабораториями в разных точках Земли. Офисы и лаборатории Алисы работают в сотрудничестве и доверяют друг другу. Точно так же офисы и лаборатории Боба работают в сотрудничестве и доверяют друг другу. Но Алиса и Боб не доверяют друг другу. ^{[5] [18]}

Обязательство по битам — важная криптографическая задача, которая широко исследовалась в релятивистской криптографии. При обязательстве по биту Алиса фиксирует бит b в некоторый момент времени t , а через некоторое время t' > t Алиса раскрывает свой зафиксированный бит b Бобу. Говорят, что небольшое обязательство «скрывается», если Боб не может знать b до того, как Алиса раскроет его. Говорят, что оно является «обязательным», если по истечении времени фиксации t Алиса не может выбрать значение b и успешно раскрыть b Бобу. Протокол фиксации битов является «безопасным», если он скрыт и обязателен. Теорема Майерса-Ло-Чау «no go» утверждает, что безоговорочно безопасное фиксирование битов невозможно, основываясь только на законах квантовой физики. ^{[1] [2]} Кент показал, что теорема Майерса-Ло-Чау недостаточно общая, поскольку она исключает протоколы, использующие принцип отсутствия сверхсветовой передачи сигналов. ^[5] Кент предоставил первый безусловно безопасный протокол фиксации битов в рамках релятивистской криптографии. ^[5] Кент и другие разработали различные протоколы фиксации битов. ^{[7] [8] [9] [10] [11]} Были реализованы экспериментальные демонстрации релятивистской фиксации битов. ^{[19] [20] [10] [21]}

При сильном подбрасывании монеты Алиса и Боб находятся в разных местах и ​​хотят бросить монету таким образом, чтобы Алисе было гарантировано, что Боб не сможет исказить результат, а Бобу было гарантировано, что Алиса также не сможет исказить результат. Ло и Чау показали, что идеального сильного подбрасывания монеты невозможно достичь при безусловной безопасности, основанной только на законах квантовой физики. ^[4] Однако Кент преодолел эту запретную теорему, предложив релятивистский протокол для сильного подбрасывания монеты, который является безусловно безопасным. ^[6] Этот протокол концептуально очень прост и показан здесь как пример протокола релятивистской криптографии.

В протоколе подбрасывания монеты Кента у Алисы есть два агента а _агента у Боба _{A0 и A1} — B0 _и , B1 _два . A _i и B _i находятся в позиции L _i , поскольку ${\displaystyle i\in \{0,1\}}$. Пусть L ₀ и L ₁ имеют отдаленное расстояние D . Предположим, что пространство-время — это Минковский. Таким образом, минимальное время, которое требуется свету для перемещения между L ₀ и L _1, равно t = D/c , где c — скорость света в вакууме. 0 _{генерирует} случайный бит ${\displaystyle a}$ в защищенной лаборатории и передает его B ₀ в момент времени t ₀ . B ₁ генерирует случайный бит b в защищенной лаборатории и передает его A ₁ в момент времени t ₁ . B ₀ и B ₁ общаются ${\displaystyle a}$ и b через безопасный и проверенный канал. Аналогично, A ₀ и A ₁ сообщают ${\displaystyle a}$ и b через безопасный и проверенный канал. Алиса и Боб соглашаются, что результат броска d — это xor битов. ${\displaystyle a}$ и б , ${\displaystyle d=a\oplus b}$. Алиса и Боб заранее договариваются о значениях t ₀ и t ₁ в общей системе отсчета таким образом, что |t ₀ - t ₁ | <т . Таким образом, из принципа отсутствия сверхсветовой сигнализации при приеме ${\displaystyle a}$ из A ₀ B B ₀ не может отправить какой-либо сигнал, который поступит в , _прежде чем B ₁ передаст b A 1 ₁ . Таким образом, Алисе гарантировано, что бит b выбирается Бобом независимо от бита ${\displaystyle a}$ выбранный ею. Поскольку Алиса выбирает ${\displaystyle a}$ случайным образом, и поскольку b не зависит от ${\displaystyle a}$, Алисе гарантировано, что бит ${\displaystyle d=a\oplus b}$ является случайным. Используя аналогичные аргументы, Бобу также гарантируется, что бит d является случайным.

Варианты подбрасывания монеты исследовали в релятивистской криптографии Колбек и Кент. ^{[12] [14]}

Ло показал, что передача данных и другие безопасные вычисления не могут быть достигнуты с безусловной безопасностью, основанной только на законах квантовой физики. ^[3] Этот результат Ло о невозможности распространяется на более общую ситуацию релятивистской квантовой криптографии. ^{[12] [13]} Колбек показал, что различные безопасные вычисления невозможно достичь при безусловной безопасности в релятивистской квантовой криптографии. ^{[13] [14]}

Квантовая криптография, основанная на положении, состоит из криптографических задач, безопасность которых использует местоположение стороны, принцип отсутствия сверхсветовой сигнализации и законы квантовой физики. ^{[16] [15]} Например, в задаче аутентификации квантового местоположения доказывающий хочет продемонстрировать свое местоположение L группе верификаторов, использующих квантовые системы. Протокол аутентификации квантового местоположения работает следующим образом. Набор верификаторов в различных местах, окружающих локацию L, классические сообщения и квантовые состояния в сторону локации L. отправляет Если доказывающий находится в точке L , то он может получать сигналы в определенное время и отвечать верификаторам запрошенными классическими сообщениями и/или квантовыми состояниями, которые должны быть получены верификаторами в определенное время. ^{[16] [15]}

Аутентификация квантового местоположения была впервые исследована Кентом в 2002 году и названа «квантовой маркировкой», в результате чего Кент и др. подали патент США. в 2007 году, ^[22] и публикация в научной литературе в 2010 г. ^[15] после того, как Бурман и др. опубликовали статью о позиционной квантовой криптографии. ^[16] Существует непреодолимая теорема для аутентификации квантового местоположения, доказанная Бурманом и др. заявляя, что группа проверяющих не может подтвердить местоположение проверяющего с безусловной безопасностью. ^[16] Это связано с тем, что для любого протокола аутентификации квантового местоположения набор нечестных доказывающих, имеющих достаточную степень запутанности и расположенных между верификаторами и местоположением L, может перехватывать все сообщения от верификаторов, включая все передаваемые квантовые состояния, а затем применять не- локальная квантовая операция, которая позволяет им правильно и в нужное время отвечать проверяющим. Поскольку для этого нечестным проверяющим не обязательно находиться в локации L , протокол аутентификации квантовой локации небезопасен. Эта теорема о запрете предполагает, что местоположение L честного доказывающего является его единственным удостоверением личности. Кент показал, что если проверяющий делится секретными ключами с проверяющими, то аутентификация местоположения может быть реализована безопасно. ^[23]