Название работы	Кол-во страниц	Размер
Название: Использование цифровой подписи в документах	2	693.65kb.
Фонетика Дипломная работа Фонетическая система британского и американского...	1	64.99kb.
B. Соответственно, существует 2b	1	74.85kb.
Система передачи сообщений масштаба предприятия Lotus — объединение...	5	608.66kb.
Модель (методология) Преимущества Недостатки	1	230.89kb.
Сети передачи данных Сеть передачи данных	1	216.56kb.
1. история создания квантовой механики 4 место квантовой механики...	1	239.28kb.
Дипломная работа/выпускная квалификационная работа студента 4 курса	4	833.07kb.
Дипломная работа	1	56.15kb.
Дипломная работа Фольклорная основа сказок А. С. Пушкина 92	1	44.49kb.
Ежемесячная денежная компенсация выплачивается	1	25.82kb.
Замена ключей криптографической защиты	1	34.08kb.
Викторина для любознательных: «Занимательная биология»	1	9.92kb.

Министерство образования Российской Федерации

Санкт-Петербургский государственный технический университет

Радиофизический факультет Допустить работу к защите
Кафедра радиофизики Зав. кафедрой В. М. Николаев

ДИПЛОМНАЯ РАБОТА
Система квантовой передачи криптографического ключа:

автоматическая компенсация набега фазы в интерферометре

Направление: 654200 – РАДИОТЕХНИКА

Специальность: 201500 – БЫТОВАЯ РАДИОЭЛЕКТРОННАЯ АППАРАТУРА
Выполнил студент гр. 6091/2 Брылевский А. В.
Руководитель, к.т.н, доц. Купцов В.Д.
Консультанты: проф. Dag R. Hjelme (NTNU)

аспирант (PhD) Макаров В. В. (NTNU)

Санкт-Петербург

2002

Реферат
Система квантовой передачи криптографического ключа:

автоматическая компенсация набега фазы в интерферометре
Цель дипломной работы состояла в разработке методики автоматической компенсации случайного набега фазы в интерферометре системы квантовой передачи криптографического ключа, проведении соответствующих расчётов, а также в сборке, настройке и тестировании всей системы.

Научная новизна результатов работы заключается в том, что разработана новая методика компенсации фазового набега, не требующая применения дополнительных дорогостоящих компонентов, упрощающая систему в целом и повышающая общую надёжность установки.

Практическая значимость результатов работы заключается в том, что они могут быть применены при построении квантовых криптографических систем передачи закрытой информации, использующих принцип фазового кодирования.

Во введении описывается текущее положение в мире в области криптографии, показывается значимость криптографии в целом и необходимость создания новых видов криптографических систем (квантовых).

В первой главе описываются достоинства и недостатки классических криптосистем, обозначается место квантовой криптографии, описываются принципы квантовой передачи ключа, протокол BB84, а также проводится описание принципов работы основных разновидностей квантовых криптографических систем.

Во второй главе проводится описание экспериментальной установки, объясняется порядок её работы и практические особенности построения.

В третьей главе описывается разработанная методика автоматической компенсации набега фазы в интерферометре, разделённая на два этапа.

В четвёртой главе обсуждаются полученные результаты и проводится сравнение разработанной методики автоматической подстройки фазы с исследованиями других научных групп, работающих в данной области.

В заключении сформулированы основные результаты и выводы работы.

В приложении приведены расчёты, необходимые для проведения второго этапа автоматической подстройки фазы.

Оглавление

Введение

В настоящее время во всём мире уделяется повышенное внимание к системам кодирования и передачи конфиденциальной информации. Во многих областях коммуникации – правительственной, дипломатической, военной, деловой, банковской сферах требуется обмениваться сообщениями таким образом, чтобы содержание этих сообщений не стало известным нежелательным людям или организациям. Обе составные части дисциплины криптологии – криптография, занимающаяся вопросами защищённой передачи информации, и криптоанализ, задачей которого является взлом (расшифровка) закодированных сообщений, – активно изучаются и проводится разработка новых методик в этих областях. На текущий момент в основе наиболее распространённых криптографических систем положен принцип защиты, заключающийся в трудности проведения работ по взлому сообщений, требующих больших вычислительных мощностей, но не исключающий полностью возможность расшифровки. Данный диплом посвящён новому направлению в области криптографии – квантовым криптографическим системам, задачей которых является 100% конфиденциальная передача сообщений. В отличие от большинства классических криптосистем, защищённость которых основывается на недоказанных математических предположениях, защищённость квантовых криптографических систем опирается на фундаментальные законы квантовой механики, что при надлежащей реализации таких систем делает принципиально невозможным чтение передаваемых сообщений третьими лицами.

Исследование, которому посвящена данная дипломная работа, проводилось в Норвежском университете науки и технологии (NTNU, г. Тронхейм) и финансировалось Норвежским советом по исследованиям (NFR) по проекту номер 119376/431.

Глава 1. Обзор текущего положения дел в области криптографических систем. Квантовая криптография.

§ 1.1. Классические системы криптозащиты

Все современные криптографические системы делятся на два основных класса: симметричные и несимметричные. Симметричные, или системы с секретным ключом, представляют собой такие системы, в которых Алиса и Боб (принятые в научной литературе условные имена для передающей и принимающей сторон соответственно) владеют некоей информацией – ключом, который не должен быть известен Еве (условное имя для обозначения подслушивающей стороны). Ключ применяется каждый раз для кодирования и декодирования передаваемой информации.

В противоположность симметричным системам, асимметричные, или системы с открытым (публичным) ключом, имеют дело с парами ключей. Один из них (публичный ключ) используется для кодирования, в то время как другой (секретный ключ) используется для декодирования сообщений.

§ 1.2. Шифр Вернама

Шифр Вернама, предложенный Гилбертом Вернамом из AT&T в 1926 году, принадлежит к категории симметричных криптосистем. В схеме Вернама Алиса кодирует сообщение – последовательность бит, представленную двоичным числом m₁, используя случайным образом сгенерированный ключ k. Она попросту складывает каждый бит сообщения с соответствующим битом ключа для получения шифрованного текста (s = m₁k, где  обозначает двоичное сложение по модулю 2). Этот текст затем посылается Бобу, который декодирует сообщение, вычитая биты ключа (s-k = m₁k-k = m₁).

Из-за того, что биты шифрованного текста настолько же случайны, насколько случаен ключ, они не содержат никакой информации. Поэтому защищённость этой криптосистемы доказуема по теории информации Шеннона. Более того, это единственная на сегодня криптосистема, защищённость которой строго доказуема. Абсолютная защищённость такой системы имеет место лишь при следующих условиях [2]:

1. Ключ абсолютно случаен

2. Его длина равна длине самого сообщения

3. Ключ "одноразовый" - он используется только единожды для передачи одного сообщения.

Попытки использовать один и тот же ключ много раз приводит к возникновению определённой структуры в шифрованном тексте, и Ева может этим воспользоваться. Например, если Ева перехватила два различных сообщения, зашифрованных одним и тем же ключом, она может получить сумму исходных текстов: s₁s₂ = m₁m₂kk = m₁m₂ (где мы использовали свойство коммутативности ).

Очевидно, что главным недостатком такой системы является необходимость Алисе и Бобу располагать одним и тем же большим объёмом случайных данных для использования в качестве ключей. При интенсивном обмене сообщениями эти данные рано или поздно будут израсходованы, и опять возникнет проблема доставки ключа. Самый надёжный способ – личная встреча Алисы с Бобом, но в силу ряда причин такая встреча может быть невозможной. В связи с этим были предприняты попытки создать систему, в которой не было бы необходимости в секретной доставке ключа. Это привело к изобретению новых, "асимметричных" криптографических систем.

§ 1.3. Криптография с публичным ключом

Принцип криптографии с публичным ключом был впервые предложен в 1976 году Витфилдом Диффи и Мартином Хеллманом из Стенфордского университета в США. Идея заключалась в использовании двух разных ключей – одного для кодирования, а другого для декодирования сообщений. Кодирующий ключ не должен быть скрытым от потенциального противника – более того, он должен быть распространён как можно шире, чтобы любой желающий мог посылать сообщения Бобу. Таким образом, этот ключ является "публичным". В противоположность ему, декодирующий ключ должен держаться Бобом в секрете, так как только с помощью этого ключа возможно декодирование. Эти два ключа должны быть связаны между собой некоей "односторонней" функцией, которая позволила бы без труда вычислить публичный ключ из секретного, но не позволяла бы произвести обратную процедуру. Несмотря на то, что этот принцип был изобретён в 1976 году, никто в то время не знал подобной функции, которая бы удовлетворяла этому требованию. Однако в 1978 году Рональду Райвесту, Ади Шамиру и Леонарду Адельману удалось найти такую функцию, которая затем была применена в алгоритме, известном как RSA (Rivest, Shamir, Adleman). [1]

Защищённость криптографических систем с публичным ключом основана на сложности вычислений. Односторонняя функция должна позволять быстро вычислять f(x), но должна сделать трудным вычисление x из f(x). В контексте сложности вычислений "трудный" означает, что время вычисления растёт экспоненциально числу бит на входе, тогда как "простой" означает, что оно растёт полиномиально [2]. Интуитивно ясно, что не составит особого труда перемножить, например, 67 × 71, но нахождение простых чисел, при перемножении которых получится 4757, займёт гораздо больше времени. Защищённость алгоритма RSA основана на факторизации больших целых чисел.

На сегодня RSA считается достаточно защищённым для большинства применений современной криптографии. Наиболее популярная бесплатно распространяемая криптографическая программа PGP (Pretty Good Privacy) основана на принципе RSA. Разработанная в 1991 году Филиппом Циммерманом, PGP быстро стала популярной среди пользователей сети Интернет. Сейчас большинство банковских транзакций, система электронной покупки, коммерческие и некоммерческие системы криптографической защиты используют принципы RSA.

Таким образом, криптосистемы с публичным ключом преодолевают основной недостаток симметричных криптосистем – отпадает необходимость в обмене секретными ключами. Однако, RSA присущ серьёзный недостаток: никто ещё не доказал её защищённость. Это подразумевает, что мы не можем утверждать, что алгоритма быстрой факторизации не существует. И это ещё не всё. В 1985 году Дэвид Дойч описал принцип квантового компьютера – такого компьютера, который на качественном уровне отличается от общепринятых вычислительных систем. По словам Дойча, квантовый компьютер будет обладать вычислительной мощностью, намного превосходящей все мыслимые сегодняшние и будущие компьютерные системы. Более того, в 1994 году Питер Шор из AT&T описал алгоритм, с помощью которого квантовый компьютер сможет легко факторизовать гигантское число [22] – как раз то, что надо для взлома шифра RSA. К сожалению, Шор не смог продемонстрировать работу своего алгоритма, поскольку на тот момент квантовых компьютеров не существовало.

На сегодня никто не знает, как сконструировать квантовый компьютер. В то же время, никто не может доказать, что построение квантового компьютера вообще невозможно. Более того, мы не можем быть полностью уверены, что такой компьютер не построен в какой-нибудь секретной военной лаборатории, оставаясь скрытым от глаз научной общественности. В истории криптологии существует достаточное количество подобных примеров – взять хотя бы алгоритм RSA. Лишь в 1997 году, когда он уже получил достаточное распространение, стало известно, что криптосистема с публичным ключом была изобретена ещё в 1969 году Джеймсом Эллисом из британского GCHQ (Government Communications Headquarters, штаба правительственных коммуникаций).

Итак, мы не можем быть абсолютно уверены в достаточной степени защищённости систем с публичным ключом. На сегодня шифр Вернама остаётся единственной системой, защищённость которой доказана. И опять мы сталкиваемся с проблемой доставки ключа. И эта проблема может быть успешно решена при помощи систем квантовой передачи ключа.

§ 1.4. Краткая история появления систем квантовой криптографии

Квантовая криптография была изобретена Чарльзом Беннеттом и Гиллсом Брассардом в 1984 году [16]. Предшественником этого изобретения была концепция "квантовых денег", которые невозможно подделать, предложенная Стивеном Визнером [17]. Идея заключалась в помещении в купюру нескольких фотонов, поляризованных в двух неортогональных базисах. В соответствии с принципом неопределённости Гейзенберга, существуют несовместимые между собой квантовые состояния, в том смысле, что измерение одного их свойства делает случайным значение другого. Итак, чтобы подделать купюру, фальшивомонетчик должен измерить состояния всех фотонов, "находящихся" в ней, и затем воспроизвести их в поддельной купюре. Однако, он не знает исходных базисов, в которых были закодированы фотоны (эта информация хранится в секрете банком, выпустившим купюру), так что измеряя одно свойство фотона (скажем, его вертикальную/горизонтальную поляризацию), он приводит в случайное состояние другое его свойство (левую/правую круговую поляризации). Очевидно, что такое измерение приведёт примерно к 50 % ошибок. В то же время, банк знает правильные базисы для каждого фотона, и таким образом способен получить полную информацию о квантовой системе. Он сверяет измеренные данные со своими записями, сделанными при производстве данной конкретной купюры (идентифицируя её по номеру), и выносит решение, подделка это или нет. [1]

Идея квантовых денег была блестящей, но она была также совершенно неспособной к воплощению: невозможно сохранить фотон в "ловушке" на достаточно долгое время. По этой причине статья Визнера была отвергнута несколькими научными журналами подряд.

Однако, Беннетт и Брассард восприняли эту идею по-иному: вместо того, чтобы хранить информацию, поляризованные фотоны могут передавать её по квантовому каналу. Как правило, квантовый канал представляет собой оптическое волокно – стандартное одномодовое волокно, используемое во множестве классических систем передачи данных. Отличие состоит в том, что данные по квантовому каналу передаются импульсами света, которые настолько слабые, что вероятность появления фотона в каждом из них значительно меньше единицы.

Итак, задача квантовой криптографической системы заключается в передаче случайной последовательности бит, которая затем может быть использована в качестве ключа для кодирования и декодирования сообщений с использованием шифра Вернама.

§ 1.5. Протокол BB84

Протокол BB84 был предложен Беннеттом и Брассардом в 1984 году (отсюда его название). При передаче ключа по этому протоколу Алиса посылает случайную последовательность поляризованных фотонов Бобу. Боб выбирает случайно и независимо для каждого фотона (и независимо от выбора Алисы, так как он неизвестен Бобу на данный момент) базис, линейный или круговой, в котором он производит измерение поляризации фотона. После приёма определённого количества фотонов Боб по открытому каналу связи сообщает Алисе, какой базис он использовал для измерения поляризации каждого фотона, и Алиса, опять же по открытому каналу, сообщает ему, в каких случаях он измерял поляризацию фотона в том базисе, в котором этот фотон был поляризован Алисой. Затем стороны отбрасывают результаты, полученные Бобом при измерениях в неправильных базисах; также отбрасываются случаи, в которых детектор Боба вообще не смог зарегистрировать фотон. Поляризации оставшихся фотонов интерпретируются как бит 0 для горизонтальной и левой круговой поляризаций и как бит 1 для вертикальной и правой круговой поляризаций. Результирующая последовательность бит является "сырым" ключом. [3]

Рис. 1 наглядно иллюстрирует шаги, описанные выше.

Рис. 1. Иллюстрация передачи ключа по базовому протоколу.

1. Алиса посылает случайную последовательность фотонов, имеющих горизонтальную, вертикальную, левую круговую и правую круговую поляризации;

2. Боб измеряет поляризацию фотонов, выбирая базис по случайному

закону;

3. Боб фиксирует полученные результаты измерений (некоторые фотоны могут быть не приняты вообще);

4. Боб сообщает Алисе, какие базисы он использовал для каждого принятого фотона;

5. Алиса сообщает ему, какие базисы были правильными;

6. Алиса и Боб отбрасывают данные, полученные при измерениях в неправильных базисах;

7. Полученные данные интерпретируются как двоичная последовательность в соответствии с условленной схемой (горизонтальная = левая круговая поляризация = 0 и вертикальная = правая круговая = 1).

Следующим шагом следует тест на наличие факта подслушивания. Алиса и Боб выбирают случайное подмножество бит "сырого" ключа и сравнивают его, передавая по открытому каналу. Очевидно, что Ева в результате подслушивания при передаче последовательности поляризованных фотонов может получить правильные сведения о поляризации не более чем половины фотонов, поскольку ей неизвестны ни базисы, используемые при передаче Алисой, ни базисы, используемые при приёме Бобом.

Если Алиса и Боб не найдут расхождений в своих данных, и если Ева не имеет возможности изменять по своему усмотрению информацию, передаваемую по открытому каналу, стороны могут заключить, что в оставшейся части ключа существует достаточно малое количество ошибок (или их не существует вовсе) и лишь малая часть ключа (или вообще никакая) известна потенциальной Еве.

На самом деле, с "сырым" ключом необходимо произвести более сложные операции. Реальные однофотонные детекторы имеют некий шум. Поэтому данные Алисы и Боба будут различаться даже при отсутствии факта подслушивания. Следовательно, необходимо применять коррекцию ошибок.

Когда передача ключа завершена, Алисе и Бобу необходимо получить строго идентичные последовательности, которые можно будет использовать в качестве ключа, путём переговоров по незащищённому каналу. Так как мы предполагаем, что Ева перехватывает содержание всех сообщений, передаваемых по открытому каналу связи, эти "переговоры" должны производиться таким образом, чтобы сообщать Еве как можно меньше информации о ключе. Эффективным способом для согласования последовательностей Алисы и Боба является их "перемешивание" для более равномерного распределения ошибок и разбиение на блоки размером k – таким, при котором вероятность появления блоков с более чем одной ошибкой пренебрежимо мала. Для каждого такого блока стороны производят проверку чётности. Блоки с совпадающей чётностью признаются правильными, а оставшиеся делятся на несколько более мелких блоков, и проверка чётности производится над каждым таким блоком, до тех пор, пока ошибка не будет найдена и исправлена. Если из-за неверного начального предположения относительно количества ошибок начальный размер блока был слишком большим или слишком маленьким, этот факт станет очевидным, и процедура может быть повторена с блоками более подходящего размера. Чтобы исключить утечку информации о ключе при проведении коррекции ошибок, Алиса и Боб должны отбрасывать последний бит каждого блока, сведения о чётности которого они передали по открытому каналу.

Даже с оптимальным размером блока некоторые ошибки могут остаться незамеченными, когда в каком-либо блоке их количество окажется чётным [3]. Для их исключения перемешивание последовательности бит, разбиение её на блоки и сравнение их чётности производится ещё несколько раз, каждый раз с увеличением размера блоков, до тех пор, пока Алиса и Боб не придут к выводу, что вероятность ошибки в полученной последовательности пренебрежимо мала.

В результате всех этих действий Алиса и Боб получают идентичные последовательности бит, которые и являются ключом, с помощью которого они получают возможность кодировать и декодировать секретную информацию и обмениваться ей по незащищённому от прослушивания каналу связи. Разумеется, все действия, начиная от передачи последовательности фотонов и кончая кодированием, передачей и декодированием зашифрованных полученным ключом сообщений должны осуществляться в автоматическом порядке под управлением персонального компьютера.

§ 1.6. Различные виды систем квантовой криптографии

Существует несколько основных типов систем квантовой передачи ключа. Два основных типа – это системы с поляризационным кодированием и с фазовым кодированием. Исторически системы с поляризационным кодированием появились раньше, поэтому рассмотрим их в первую очередь.

1.6.1. Системы с поляризационным кодированием

Типичная схема квантовой криптографической установки с поляризационным кодированием по протоколу BB84 с четырьмя состояниями показана на рис. 2.

Рис. 2. Типичная схема квантовой криптографической установки с поляризационным кодированием (LD: лазерный диод, BS: ответвитель, F: фильтр нейтральной плотности, PBS: поляризационный ответвитель, /2: полуволновая пластинка, APD: лавинный фотодиод).
Часть, принадлежащая Алисе, состоит из четырёх лазерных диодов. Они излучают короткие импульсы света (1 нс), состоящие из фотонов, поляризованных на -45, 0, +45 и 90. Для передачи одного бита включается один из диодов. Затем импульсы ослабляются набором фильтров для уменьшения среднего количества фотонов, приходящихся на один импульс света, до величины, меньшей единицы. После этого они вводятся в волокно и покидают Алису. Крайне важным является сохранение поляризации фотонов по пути к Бобу, чтобы дать ему возможность получить информацию, закодированную Алисой. [2]

Дисперсия поляризационных мод может деполяризовать фотоны, при условии что задержка, которую она вносит между этими поляризационными модами, больше времени когерентности. Это вносит ограничение на типы лазеров, используемых Алисой.

Когда импульсы достигают Боба, они извлекаются из волокна и проходят через набор волновых пластинок, используемых для восстановления исходных поляризационных состояний путём компенсации трансформаций, внесённых волокном. Затем импульсы достигают ответвителя, осуществляющего выбор базиса. Переданные фотоны анализируются в базисе вертикальной/горизонтальной поляризации при помощи поляризационного ответвителя и двух счётчиков фотонов. Поляризация отражённых фотонов поворачивается волновой пластинкой на 45 (с -45 до 0). После этого фотоны анализируются вторым набором из поляризационного ответвителя и счётчиков фотонов. Таким образом происходят измерения в диагональном базисе.

Для наглядной иллюстрации проследим путь фотона, поляризованного на +45. После того, как он покидает Алису, его поляризация случайным образом преобразуется в волокне. У Боба поляризационный контроллер должен быть установлен таким образом, чтобы вернуть поляризацию обратно к +45. Если фотон выберет выход ответвителя, соответствующий базису горизонтальной/вертикальной поляризации, у него будут равные шансы попасть в один из детекторов, что приведёт к случайному результату. С другой стороны, если он выберет диагональный базис, его поляризация будет повёрнута на 90. Тогда поляризационный ответвитель отразит его с единичной вероятностью, что приведёт к определённому результату.

Вместо использования четырёх лазеров Алисой и двух поляризационных ответвителей Бобом, возможно также применение активных поляризационных модуляторов, таких как ячейки Поккельса [4]. Для каждого импульса света модулятор активируется по случайному закону, приводя поляризацию в одно из четырёх состояний, в то время как принимающая сторона в случайном порядке вращает поляризацию половины принимаемых импульсов на 45.

Антон Мюллер и его коллеги из Женевского университета использовали подобную систему для проведения экспериментов в области квантовой криптографии [9]. Они передавали ключ на расстояние 1100 метров, используя фотоны диапазона 800 нм. Для увеличения максимальной дистанции передачи они повторили эксперимент с фотонами 1300 нм [10, 11] и передавали ключ на 23 километра. Интересной особенностью данного эксперимента было использование в качестве квантового канала, связывающего Алису с Бобом, стандартного телекоммуникационного кабеля, который использовался компанией Swisscom для передачи телефонных переговоров. Это был первый случай, когда эксперимент по квантовой криптографии был проведён не в стенах физической лаборатории.

Эти два эксперимента показали, что изменения поляризации, вносимые оптическим волокном, были нестабильны во времени. Несмотря на то, что они стабилизировались на некоторое время (порядка нескольких минут), в какой-то момент поляризация резко менялась. Это означает, что реальная квантовая криптографическая система требует создания механизма активной компенсации поляризационных изменений. Несмотря на наличие принципиальной возможности создания такого механизма, очевидно, что его практическая реализация весьма затруднена. Джеймс Френсон разработал систему автоматической подстройки поляризации [12], но не стал заниматься её дальнейшим совершенствованием. Существуют и другие способы автоматического контроля поляризации, разработанные для когерентных волоконно-оптических систем связи [18]. Интересно заметить, что замена стандартного волокна волокном с сохранением поляризации не решает проблему. Причина в том, что несмотря на название, эти волокна не сохраняют различные состояния поляризации.

Из-за всего этого поляризационное кодирование не представляется лучшим выбором при построении волоконно-оптических систем квантовой криптографии. Тем не менее, ситуация в корне отличается в случае систем передачи ключа в открытом пространстве, которые на сегодня составляют отдельный активно развивающийся класс подобных систем.

1.6.2. Системы с фазовым кодированием

Нестабильность поляризации в системах с поляризационным кодированием сильно затрудняет (хотя и не делает невозможным) их создание. В поиске выхода был разработан другой тип квантовых криптографических систем. Идея кодирования бит фазой фотонов была впервые упомянута Беннеттом в статье, где он описывал протокол с использованием двух состояний [3]. Получение квантовых состояний и последующий их анализ производятся интерферометрами, которые могут быть реализованы одномодовыми компонентами волоконной оптики [2]. На рис. 3 показана волоконно-оптическая версия интерферометра Маха-Цендера.

Рис. 3. Интерферометр Маха-Цендера (LD: лазерный диод, PM: фазовый модулятор, APD: лавинный фотодиод).
Интерферометр выполнен из двух волоконно-оптических разветвителей, соединённых между собой, и двух фазовых модуляторов – по одному в каждом плече. В такую систему можно ввести свет, используя классический непрерывный источник, и наблюдать интенсивность света на выходах. В случае, если длина когерентности света лазера больше разности длин плеч интерферометра, мы можем получить интерференционную картину. Принимая во внимание фазовый сдвиг /2, происходящий при отражении на разветвителе, действия фазовых модуляторов (_A и _B) и разность длин плеч (L), интенсивность света на выходе "0" определяется следующим образом:

,

где k – волновое число, а I – интенсивность источника.

Если разность фаз составляет /2 + n, где n – целое число, получается деструктивная интерференция. Поэтому интенсивность света, регистрируемого на выходе "0", достигает минимума и весь свет идёт на выход "1". Когда разность фаз составляет n, ситуация обратная – на выходе "0" наблюдается конструктивная интерференция, в то время как интенсивность на выходе "1" достигает минимума. В промежуточных случаях свет может быть зарегистрирован на обоих выходах. Данное устройство работает как оптический переключатель. Необходимо отметить, что крайне важным является сохранение постоянной и малой разности длин плеч для получения устойчивой интерференции.

Описанное выше поведение этого интерферометра справедливо для классического света. Тем не менее, интерферометр работает точно так же и в случае одиночных фотонов. Вероятность зарегистрировать фотон на одном из выходов будет изменяться с изменением фазы. Несмотря на то, что фотон ведёт себя как частица при регистрации, он распространяется через интерферометр как волна [6]. Интерферометр Маха-Цендера – это волоконно-оптический вариант эксперимента Юнга со щелями, в котором плечи интерферометра аналогичны апертурам. Такой интерферометр вместе с однофотонным источником и подсчитывающими фотоны детекторами может быть использован в квантовой криптографии. Установка Алисы в таком случае будет содержать источник, первый разветвитель и первый фазовый модулятор, а установка Боба будет состоять из второго модулятора, разветвителя и детекторов.

Рассмотрим применение к такой схеме протокола BB84 с четырьмя состояниями. Алиса может осуществлять один из четырёх фазовых сдвигов (0, /2, , 3/2). Она сопоставляет 0 и /2 биту 0 и 3/2 - биту 1. В свою очередь, Боб производит выбор базиса, в случайном порядке сдвигая фазу на 0 или /2, и присваивает детектору, подсоединённому к выходу "0" значение бита 0, и детектору, подсоединённому к выходу "1" значение бита 1. Когда разности фаз равны 0 или , Алиса и Боб используют совместимые базисы и получают вполне определённый результат. В таких случаях Алиса может определить, в какой из детекторов Боба попадёт фотон, и следовательно она может определить значение бита. Со своей стороны, Боб может заключить, какую фазу выбирала Алиса при передаче каждого фотона. В случае же, когда разность фаз принимает значения /2 или 3/2, стороны используют несовместимые базисы, и фотон случайным образом выбирает один из детекторов Боба. Все возможные комбинации сведены в таблицу 1.
Таблица 1. Иллюстрация протокола BB84 с четырьмя состояниями для фазового кодирования.

Alice		Bob
Bit value	A	B	A-B	Bit value
0	0	0	0	0
0	0	/2	3/2	?
1		0		1
1		/2	/2	?
0	/2	0	/2	?
0	/2	/2	0	0
1	3/2	0	3/2	?
1	3/2	/2		1

Для такой системы крайне важно сохранять стабильной разность длин плеч интерферометра в течение сеанса передачи ключа. Эта разность не должна изменяться более чем на долю длины волны фотонов. Изменения длины одного из плеч приведёт к дрейфу фазы и выразится в ошибках в передаваемом ключе. Несмотря на то, что данная схема прекрасно работает на оптическом столе, не представляется возможным сохранение длин плеч в случае, когда Алиса и Боб отделены друг от друга более чем на несколько метров. Беннетт показал, как обойти эту проблему [3]. Он предложил использовать два несбалансированных интерферометра Маха-Цендера, соединённых последовательно оптическим волокном (см. рис. 4).

Рис. 4. Система для квантовой криптографии с двумя интерферометрами Маха-Цендера (LD: лазерный диод, PM: фазовый модулятор, APD: лавинный фотодиод).
Регистрируя количество отсчётов во времени, Боб получает три пика. Первый пик соответствует случаям, когда фотоны прошли по коротким плечам в интерферометрах Алисы и Боба, третий – случаям, когда они прошли по длинным плечам. Наконец, центральный пик соответствует фотонам, прошедшим через короткое плечо у Алисы и через длинное у Боба и наоборот. Такие фотоны интерферируют между собой. Для того, чтобы отделить проинтерферировавшие фотоны (то есть центральный пик) от остальных, используется временное "окно". Результат интерференции будет зависеть от состояния фазовых модуляторов Алисы и Боба.

Преимущество этой установки заключается в том, что обе "половинки" фотона проходят по одному и тому же волокну [2]. Следовательно, они проходят пути равной длины в той части системы, которая является наиболее чувствительной к изменениям состояния окружающей среды, при условии, что эти изменения более медленные, чем временные разделения, определяемые несбалансированностью интерферометра (5 нс в установке Беннетта). Чтобы получить хорошую видимость интерференционной картины, и следовательно низкий процент ошибок, несбалансированности в интерферометрах должны быть равными в пределах долей времени когерентности фотонов. Это подразумевает, что разности ходов должны совпадать в пределах нескольких миллиметров, что не представляет большой проблемы. Помимо этого, несбалансированность должна быть выбрана таким образом, чтобы дать возможность чётко разделить интерферирующий пик от неинтерферирующих. Следовательно, она должна превышать длину импульса и дрожание фазы детекторов фотонов. На практике, второе условие наиболее важное. Предполагая дрожание фазы порядка 500 пс, несбалансированность по крайней мере в 1,5 нс позволяет пикам не накладываться друг на друга.

Основная трудность, предоставляемая данной системой, состоит в том, что несбалансированности интерферометров Алисы и Боба должны быть стабильными в пределах доли длины волны фотонов во время передачи ключа для сохранения правильных фазовых отношений [8]. Это подразумевает, что интерферометры должны находиться в термостабилизированных контейнерах. Кроме того, реальная система потребует наличия активной системы компенсации дрейфа фазы. Наконец, в каждом интерферометре изменения поляризации, вызванные коротким плечом, должны совпадать с таковыми у длинного плеча. Для этого необходимо применение поляризационных контроллеров. Тем не менее, поляризационные изменения в коротких оптических волокнах, температура которых остаётся стабильной, и которые не испытывают механических напряжений, остаются достаточно стабильными, поэтому подстройка поляризационных контроллеров не должна быть частой.

Пол Тэпстер и Джон Рарити, работавшие с Полем Таунсендом, первыми продемонстрировали работу подобной системы на катушке волокна длиной в 10 км в 1993 году [19]. Позже Таунсенд усовершенствовал интерферометр установкой поляризующего ответвителя для подавления неинтерферирующих фотонов [13]. В таком случае, в добавок к проблеме стабилизации интерферометров, опять становится необходимой подстройка поляризации фотонов у Боба. В своих последующих экспериментах он продолжил исследования в области систем квантовой криптографии с фазовым кодированием и увеличил максимальную дистанцию передачи [5, 14]. Он также протестировал возможность мультиплексирования квантового канала с традиционной передачей сообщений по одному и тому же волокну с использованием двух различных длин волн [15]. Ричард Хагис и его коллеги из Национальной лаборатории из Лос-Аламоса также экспериментировали с подобными интерферометрами [7].

1.6.3. Системы "Plug and Play"

Описание систем с фазовым кодированием было бы неполным без описания одной из их модификаций – схем "Plug and Play" ("Включил и работай"). Предыдущие системы требовали создания механизма автоматической компенсации флуктуаций, возникающих в квантовом канале. Подход, выработанный в 1989 году Мартинелли позволяет автоматически и в пассивном режиме компенсировать все поляризационные флуктуации в оптическом волокне [21]. Предложенная им схема показана на рис. 5.

Рис. 5. Система "Plug and Play" (LD: лазерный диод, APD: лавинный фотодиод, C – волоконно-оптический разветвитель, PM – фазовый модулятор, PBS: поляризационный ответвитель, DL – оптическая линия задержки, att – аттенюатор, FM – зеркало Фарадея, D_A- классический детектор).

В данной схеме импульсы, которые излучаются Бобом, могут проходить через короткое плечо у Боба, отражаться от зеркала Фарадея у Алисы и возвращаться уже через длинное плечо у Боба, либо наоборот – проходить через длинное плечо, отражаться и проходить через короткое на обратном пути. Эти два типа импульсов интерферируют на разветвителе С₁. Теперь опишем работу этой схемы подробнее. Короткий яркий импульс света вводится в систему через циркулятор. Этот импульс разделяется на разветвителе. Одна из половинок импульса, назовём её P₁, проходит через короткое плечо установки Боба напрямую к поляризационному ответвителю. Преобразование поляризации в этом плече установлено таким, что свет беспрепятственно попадает в линию. Вторая половинка, P₂, проходит к поляризационному ответвителю через длинное плечо. Преобразование поляризации установлено таким, что свет отражается в линию. Фазовый модулятор, присутствующий в длинном плече, на данном этапе остаётся неактивным, так что он не вносит фазового сдвига. P₁ и P₂ отстоят друг от друга на время порядка 200 нс. Обе половинки импульса достигают Алисы. P₁ проходит через разветвитель С₂. Половина попадает на классический детектор для получения сигнала синхронизации, а другая половина проходит через аттенюатор и оптическую линию задержки – состоящую попросту из катушки с волокном, чья роль будет объяснена чуть позже. Наконец, свет проходит через фазовый модулятор и отражается от зеркала Фарадея. P₂ следует тем же путём. Алиса активизирует свой фазовый модулятор, чтобы сдвинуть по фазе только P₁, кодируя при этом значение бита точно так же, как в традиционной схеме с фазовым кодированием. Аттенюатор подобран таким образом, что когда импульсы покидают Алису, они содержат менее одного фотона на импульс. Когда они достигают поляризационного ответвителя после прохождения обратно через линию, благодаря зеркалу Фарадея их поляризация в точности ортогональна исходной. Поэтому P₁ отражается в длинное плечо, вместо того, чтобы пройти в короткое. В этот момент Боб активирует свой модулятор для внесения фазового сдвига, осуществляя таким образом выбор базиса. Аналогичным образом P₂ проходит в короткое плечо. Оба импульса достигают разветвителя и интерферируют на нём. Результат интерференции регистрируется одним из детекторов.

Поскольку по своей сути такая система является двунаправленной, повышенное внимание должно уделяться рэлеевскому обратному рассеянию. Свет, проходящий через волокно, рассеивается на его неоднородностях. Малая доля (порядка 1%) этого света идёт в обратном направлении. Когда частота повторения достаточно велика, импульсы, идущие к Алисе и обратно, пересекутся между собой в какой-то точке. Однако их интенсивности очень сильно различаются – импульсы, идущие к Алисе, имеют в тысячи раз большую интенсивность, чем импульсы, идущие от неё. Фотоны, вызванные обратным рассеянием, могут вызвать ложные отсчёты в детекторах Боба. Эту проблему можно обойти, построив систему таким образом, чтобы импульсы, идущие к Бобу и от него, не могли присутствовать в линии одновременно. Они излучаются в виде цепочек и хранятся Алисой в её линии задержки. Боб ждёт до тех пор, пока все импульсы цепочки не достигнут его, и только после этого посылает следующую цепочку. Несмотря на то, что такой подход полностью решает проблему ошибок, вызванных рэлеевским обратным рассеянием, он имеет недостаток, выражающийся в уменьшении эффективной частоты повторения. Линия задержки длиной в половину канала передачи приводит к уменьшению скорости передачи примерно втрое.

Главным же недостатком систем "Plug and Play" по отношению к другим системам является уязвимость по отношению к атакам типа "Троянский конь" [20]. В самом деле, Ева может послать свой сканирующий импульс для выяснения текущего состояния фазового модулятора Алисы и получить его обратно из-за сильного отражения, вызванного зеркалом на конце установки. Для предотвращения подобных видов атак Алиса устанавливает у себя аттенюатор для уменьшения количества света, проходящего через систему (однако очевидно, что при внесении слишком сильного ослабления система сама окажется неработоспособной). Кроме того, она должна отслеживать интенсивность принимаемого света при помощи классического детектора, чтобы отследить факт возможной атаки. В дополнение ко всему, системы "Plug and Play" не могут работать с настоящими однофотонными источниками, и следовательно, не будут выигрывать от продвижений в области создания таких источников.

следующая страница >>