Fondamenti di crittografia quantistica EITC/IS/QCF

Il lavoro di Stephen Wiesner e Gilles Brassard è accreditato di aver stabilito la crittografia quantistica. Wiesner, allora alla Columbia University di New York, inventò il concetto di codifica quantistica coniugata all'inizio degli anni '1970. La IEEE Information Theory Society ha respinto il suo importante studio "Conjugate Coding", ma alla fine è stato pubblicato su SIGACT News nel 1983. In questo studio, ha dimostrato come codificare due messaggi in due "osservabili coniugati", come la polarizzazione fotonica lineare e circolare , in modo che uno dei due, ma non entrambi, possa essere ricevuto e decodificato. Fu solo al 20° IEEE Symposium on the Foundations of Computer Science, tenutosi a Porto Rico nel 1979, che Charles H. Bennett del Thomas J. Watson Research Center di IBM e Gilles Brassard scoprirono come incorporare i risultati di Wiesner. "Ci siamo resi conto che i fotoni non sono mai stati pensati per memorizzare informazioni, ma piuttosto per trasmetterle" Bennett e Brassard hanno introdotto un sistema di comunicazione sicuro chiamato BB84 nel 1984, sulla base del loro lavoro precedente. Seguendo l'idea di David Deutsch di utilizzare la non località quantistica e la disuguaglianza di Bell per ottenere una distribuzione di chiavi sicura, Artur Ekert ha studiato in modo più approfondito la distribuzione di chiavi quantistiche basata sull'entanglement in uno studio del 1991.

La tecnica a tre stadi di Kak propone che entrambi i lati ruotano la loro polarizzazione in modo casuale. Se vengono impiegati singoli fotoni, questa tecnologia può essere teoricamente utilizzata per la crittografia dei dati continua e infrangibile. È stato implementato il meccanismo di base della rotazione della polarizzazione. Questo è un metodo di crittografia esclusivamente basato su quantistica, al contrario della distribuzione di chiavi quantistiche, che utilizza la crittografia classica.

I metodi di distribuzione delle chiavi quantistiche si basano sul metodo BB84. MagiQ Technologies, Inc. (Boston, Massachusetts, Stati Uniti), ID Quantique (Ginevra, Svizzera), QuintessenceLabs (Canberra, Australia), Toshiba (Tokyo, Giappone), QNu Labs e SeQureNet sono tutti produttori di sistemi di crittografia quantistica (Parigi , Francia).

Vantaggi

La crittografia è l'anello più sicuro nella catena di sicurezza dei dati. Le parti interessate, d'altra parte, non possono aspettarsi che le chiavi crittografiche rimarranno sicure in modo permanente. La crittografia quantistica ha la capacità di crittografare i dati per periodi di tempo più lunghi rispetto alla crittografia tradizionale. Gli scienziati non possono garantire la crittografia per più di 30 anni con la crittografia tradizionale, ma alcune parti interessate potrebbero richiedere periodi di protezione più lunghi. Prendi il settore sanitario, per esempio. I sistemi di cartelle cliniche elettroniche sono utilizzati dall'85.9% dei medici ambulatoriali per archiviare e trasmettere i dati dei pazienti a partire dal 2017. Le cartelle cliniche devono essere mantenute private ai sensi dell'Health Insurance Portability and Accountability Act. Le cartelle cliniche cartacee vengono solitamente incenerite dopo che è trascorso un certo periodo di tempo, mentre le cartelle informatiche lasciano una traccia digitale. I record elettronici possono essere protetti fino a 100 anni utilizzando la distribuzione della chiave quantistica. La crittografia quantistica ha anche applicazioni per governi e forze armate, poiché i governi hanno in genere mantenuto segreto il materiale militare per quasi 60 anni. È stato anche dimostrato che la distribuzione della chiave quantistica può essere sicura anche se trasmessa su un canale rumoroso a lunga distanza. Può essere trasformato in uno schema silenzioso classico da uno schema quantistico rumoroso. La classica teoria della probabilità può essere utilizzata per affrontare questo problema. I ripetitori quantistici possono aiutare con questo processo di protezione costante su un canale rumoroso. I ripetitori quantistici sono in grado di risolvere in modo efficiente i guasti di comunicazione quantistica. Per garantire la sicurezza delle comunicazioni, i ripetitori quantistici, che sono computer quantistici, possono essere stazionati come segmenti sul canale rumoroso. I ripetitori quantistici ottengono ciò purificando i segmenti del canale prima di collegarli per formare una linea di comunicazione sicura. A lunga distanza, i ripetitori quantistici inferiori alla media possono fornire un livello efficiente di protezione attraverso il canale rumoroso.

Applicazioni

La crittografia quantistica è un termine ampio che si riferisce a una varietà di tecniche e protocolli crittografici. Le sezioni seguenti esaminano alcune delle applicazioni e dei protocolli più importanti.

Distribuzione delle chiavi quantistiche

La tecnica di utilizzare la comunicazione quantistica per stabilire una chiave condivisa tra due parti (ad esempio, Alice e Bob) senza che una terza parte (Eve) impari nulla su quella chiave, anche se Eve può origliare tutte le comunicazioni tra Alice e Bob, è nota come QKD. Le discrepanze si svilupperanno se Eve tenta di raccogliere informazioni sulla chiave che viene stabilita, facendo sì che Alice e Bob se ne accorgano. Una volta stabilita la chiave, viene solitamente utilizzata per crittografare la comunicazione con metodi tradizionali. La chiave scambiata, ad esempio, potrebbe essere utilizzata per la crittografia simmetrica (ad es. One-time pad).

La sicurezza della distribuzione delle chiavi quantistiche può essere stabilita teoricamente senza imporre alcun vincolo alle capacità di un intercettatore, cosa non ottenibile con la distribuzione delle chiavi classica. Sebbene siano richiesti alcuni presupposti minimi, come che si applichi la fisica quantistica e che Alice e Bob possano autenticarsi a vicenda, Eve non dovrebbe essere in grado di impersonare Alice o Bob perché sarebbe possibile un attacco man-in-the-middle.

Sebbene QKD sembri essere sicuro, le sue applicazioni devono affrontare sfide pratiche. A causa della distanza di trasmissione e dei vincoli di velocità di generazione delle chiavi, questo è il caso. La continua ricerca e gli sviluppi tecnologici hanno consentito futuri progressi in tali vincoli. Lucamarini et al. ha suggerito un sistema QKD a doppio campo nel 2018 che potrebbe essere in grado di superare il ridimensionamento della perdita di velocità di un canale di comunicazione con perdite. A 340 chilometri di fibra ottica, è stato dimostrato che la velocità del protocollo a doppio campo supera la capacità di accordo della chiave segreta del canale con perdita, noto come limite PLOB senza ripetitore; la sua velocità ideale supera questo limite già a 200 chilometri e segue il ridimensionamento della perdita di velocità della maggiore capacità di accordo di chiavi segrete assistita da ripetitore (vedere la figura 1 di per maggiori dettagli). Secondo il protocollo, è possibile ottenere velocità chiave ideali utilizzando "550 chilometri di fibra ottica convenzionale", che è già ampiamente utilizzata nelle comunicazioni. Minder et al., che sono stati soprannominati il ​​primo ripetitore quantistico efficace, hanno confermato la scoperta teorica nella prima dimostrazione sperimentale di QKD oltre il limite di perdita di velocità nel 2019. La variante send-not-sending (SNS) del TF-QKD Il protocollo è una delle principali innovazioni in termini di raggiungimento di velocità elevate su lunghe distanze.

Crittografia quantistica diffidente

I partecipanti alla crittografia diffidente non si fidano l'uno dell'altro. Alice e Bob, ad esempio, collaborano per completare un calcolo in cui entrambe le parti forniscono input privati. Alice, d'altra parte, non si fida di Bob e Bob non si fida di Alice. Di conseguenza, un'implementazione sicura di un lavoro crittografico richiede l'assicurazione di Alice che Bob non ha imbrogliato una volta completato il calcolo e l'assicurazione di Bob che Alice non ha imbrogliato. Schemi di impegno e calcoli sicuri, l'ultimo dei quali include le attività di lancio di monete e trasferimento ignaro, sono esempi di attività crittografiche diffidenti. Il campo della crittografia inaffidabile non include la distribuzione delle chiavi. La crittografia quantistica diffidente studia l'uso dei sistemi quantistici nel campo della crittografia diffidente.

In contrasto con la distribuzione di chiavi quantistiche, dove la sicurezza incondizionata può essere raggiunta esclusivamente attraverso le leggi della fisica quantistica, ci sono teoremi no-go che dimostrano che i protocolli incondizionatamente sicuri non possono essere raggiunti esclusivamente attraverso le leggi della fisica quantistica nel caso di vari compiti in diffidenza crittografia. Alcuni di questi lavori, tuttavia, possono essere eseguiti con assoluta sicurezza se i protocolli fanno uso sia della fisica quantistica che della relatività speciale. Mayers e Lo e Chau, ad esempio, hanno dimostrato che un impegno di bit quantistico assolutamente sicuro è impossibile. Lo e Chau hanno dimostrato che lanciare una moneta quantistica perfetta e incondizionatamente sicura è impossibile. Inoltre, Lo ha dimostrato che i protocolli quantistici per il trasferimento ignaro uno su due e altri calcoli sicuri tra due parti non possono essere garantiti per essere sicuri. Kent, d'altra parte, ha dimostrato protocolli relativistici incondizionatamente sicuri per il lancio di monete e l'impegno di bit.

Lanciare una moneta quantistica

Il lancio della moneta quantistica, a differenza della distribuzione della chiave quantistica, è un meccanismo utilizzato tra due parti che non si fidano l'una dell'altra. I partecipanti comunicano attraverso un canale quantistico e si scambiano dati tramite trasmissione qubit. Tuttavia, poiché Alice e Bob sono diffidenti l'uno dell'altro, entrambi si aspettano che l'altro tradisca. Di conseguenza, è necessario dedicare più lavoro per garantire che né Alice né Bob abbiano un vantaggio considerevole sull'altro per ottenere il risultato desiderato. Un pregiudizio è la capacità di influenzare un risultato specifico e ci sono molti sforzi nella progettazione di protocolli per eliminare il pregiudizio di un giocatore disonesto, noto anche come imbroglione. È stato dimostrato che i protocolli di comunicazione quantistica, come il lancio di monete quantistiche, forniscono notevoli vantaggi in termini di sicurezza rispetto alla comunicazione tradizionale, nonostante il fatto che possano essere difficili da implementare nella pratica.

Quello che segue è un tipico protocollo di lancio delle monete:

• Alice seleziona una base (rettilineare o diagonale) e genera una stringa di fotoni in quella base da consegnare a Bob.
• Bob sceglie una base rettilinea o diagonale per misurare ogni fotone a caso, annotando quale base ha usato e il valore registrato.
• Bob fa un'ipotesi pubblica sulle basi su cui Alice ha inviato i suoi qubit.
• Alice rivela la sua scelta di base e invia a Bob la sua stringa originale.
• Bob conferma la stringa di Alice confrontandola con la sua tabella. Dovrebbe essere perfettamente associato alle misurazioni di Bob effettuate sulla base di Alice e completamente non correlato con il contrario.

Quando un giocatore cerca di influenzare o migliorare la probabilità di un risultato specifico, questo è noto come barare. Alcune forme di imbroglio sono sconsigliate dal protocollo; ad esempio, Alice potrebbe affermare che Bob ha indovinato in modo errato la sua base iniziale quando ha indovinato correttamente al passaggio 4, ma Alice dovrebbe quindi generare una nuova stringa di qubit che si correla perfettamente con ciò che Bob ha misurato nella tabella accanto. Con il numero di qubit trasferiti, le sue possibilità di generare una stringa corrispondente di qubit diminuiscono esponenzialmente e se Bob nota una mancata corrispondenza, saprà che sta mentendo. Allo stesso modo Alice potrebbe costruire una stringa di fotoni combinando gli stati, ma Bob vedrebbe rapidamente che la sua stringa corrisponderà in qualche modo (ma non completamente) a entrambi i lati del tavolo, indicando che ha imbrogliato. C'è anche una debolezza intrinseca nei dispositivi quantistici contemporanei. Le misurazioni di Bob saranno influenzate da errori e qubit persi, con conseguenti buchi nella sua tabella delle misurazioni. La capacità di Bob di verificare la sequenza di qubit di Alice nel passaggio 5 sarà ostacolata da errori di misurazione significativi.

Il paradosso Einstein-Podolsky-Rosen (EPR) è un modo teoricamente certo per Alice di barare. Due fotoni in una coppia EPR sono anticorrelati, il che significa che avranno sempre polarizzazioni opposte se misurati sulla stessa base. Alice può creare una stringa di coppie EPR, inviandone una a Bob e tenendo l'altra per sé. Potrebbe misurare la sua coppia di fotoni EPR nella base opposta e ottenere una perfetta correlazione con la tabella opposta di Bob quando Bob afferma la sua ipotesi. Bob non avrebbe idea che avesse tradito. Ciò, tuttavia, richiede competenze che attualmente mancano alla tecnologia quantistica, rendendo impossibile l'ottenimento nella pratica. Per estrarlo, Alice dovrebbe essere in grado di memorizzare tutti i fotoni per un lungo periodo di tempo e misurarli con una precisione quasi perfetta. Questo perché ogni fotone perso durante la memorizzazione o la misurazione lascerebbe un buco nella sua stringa, che dovrebbe riempire con congetture. Più ipotesi deve fare, più è probabile che venga beccata a barare da Bob.

Impegno quantistico

Quando sono coinvolte parti diffidenti, vengono utilizzati metodi di impegno quantistico oltre al lancio di monete quantistiche. Uno schema di impegno consente a una parte Alice di fissare un valore (di "impegnarsi") in modo tale che Alice non possa cambiarlo e il destinatario Bob non possa saperne nulla fino a quando Alice non lo rivela. I protocolli crittografici utilizzano spesso tali meccanismi di impegno (ad es. lancio di monete quantistiche, prova a conoscenza zero, calcolo sicuro a due parti e trasferimento ignaro).

Sarebbero particolarmente utili in un ambiente quantistico: Crépeau e Kilian hanno dimostrato che un protocollo incondizionatamente sicuro per eseguire il cosiddetto trasferimento ignaro può essere costruito da un impegno e da un canale quantistico. Kilian, d'altra parte, ha dimostrato che il trasferimento ignaro potrebbe essere utilizzato per costruire praticamente qualsiasi calcolo distribuito in modo sicuro (il cosiddetto calcolo multipartitico sicuro). (Nota come siamo un po' sciatti qui: i risultati di Crépeau e Kilian non indicano direttamente che è possibile eseguire calcoli multiparti sicuri con un impegno e un canale quantistico. Questo perché i risultati non garantiscono la "componibilità", che significa che quando li combini rischi di perdere la sicurezza.

I primi meccanismi di impegno quantistico, sfortunatamente, si sono rivelati difettosi. Mayers ha dimostrato che l'impegno quantistico (incondizionatamente sicuro) è impossibile: qualsiasi protocollo di impegno quantistico può essere violato da un attaccante computazionalmente illimitato.

Tuttavia, la scoperta di Mayers non esclude la possibilità di costruire protocolli di impegno quantistico (e quindi protocolli di calcolo multiparti sicuri) utilizzando ipotesi considerevolmente più deboli di quelle richieste per protocolli di impegno che non utilizzano la comunicazione quantistica. Una situazione in cui la comunicazione quantistica può essere utilizzata per sviluppare protocolli di impegno è il modello di archiviazione quantistica limitata descritto di seguito. Una scoperta nel novembre 2013 fornisce sicurezza delle informazioni "incondizionata" combinando teoria quantistica e relatività, che è stata effettivamente dimostrata per la prima volta su scala mondiale. Wang et al. ha presentato un nuovo sistema di impegno in cui il "nascondimento incondizionato" è l'ideale.

Gli impegni crittografici possono anche essere costruiti utilizzando funzioni non clonabili fisicamente.

Modello di accumulo quantistico limitato e rumoroso

Il modello di archiviazione quantistica vincolata può essere utilizzato per creare un impegno quantistico incondizionatamente sicuro e protocolli OT (Quantum Oblivious Transfer) (BQSM). In questo scenario, si presume che la capacità di archiviazione dei dati quantistici di un avversario sia limitata da una costante Q nota. Tuttavia, non vi è alcun limite alla quantità di dati classici (non quantistici) che l'avversario può memorizzare.

Impegno e procedure di trasferimento ignare possono essere costruite nel BQSM. Quello che segue è il concetto fondamentale: più di Q bit quantistici vengono scambiati tra parti del protocollo (qubit). Poiché anche un avversario disonesto non può archiviare tutti quei dati (la memoria quantistica dell'avversario è limitata a Q qubit), una parte considerevole dei dati dovrà essere misurata o distrutta. Obbligando soggetti disonesti a misurare una parte considerevole dei dati, il protocollo può evitare il risultato dell'impossibilità, consentendo di utilizzare protocolli di impegno e di trasferimento ignaro.

I protocolli di Damgrd, Fehr, Salvail e Schaffner nel BQSM non presuppongono che i partecipanti onesti al protocollo conservino alcuna informazione quantistica; i requisiti tecnici sono identici a quelli dei protocolli di distribuzione delle chiavi quantistiche. Questi protocolli possono quindi essere realizzati, almeno in teoria, con la tecnologia odierna. La complessità della comunicazione sulla memoria quantistica dell'avversario è solo un fattore costante superiore al limite Q.

Il BQSM ha il vantaggio di essere realistico nella sua premessa che la memoria quantistica dell'avversario è finita. Anche archiviare un singolo qubit in modo affidabile per un lungo periodo di tempo è difficile con la tecnologia odierna. (La definizione di "sufficientemente lungo" è determinata dalle specifiche del protocollo.) La quantità di tempo necessaria all'avversario per conservare i dati quantistici può essere resa arbitrariamente lunga aggiungendo un divario artificiale nel protocollo.)

Il modello di stoccaggio rumoroso proposto da Wehner, Schaffner e Terhal è un'estensione del BQSM. Un avversario può utilizzare dispositivi di archiviazione quantistica difettosi di qualsiasi dimensione invece di porre un limite superiore alla dimensione fisica della memoria quantistica dell'avversario. I canali quantistici rumorosi vengono utilizzati per modellare il livello di imperfezione. Le stesse primitive del BQSM possono essere prodotte a livelli di rumore sufficientemente elevati, quindi il BQSM è un caso specifico del modello di accumulo di rumore.

Risultati simili possono essere ottenuti nella situazione classica imponendo un limite alla quantità di dati classici (non quantistici) che l'avversario può memorizzare. Tuttavia, è stato dimostrato che in questo modello anche le parti oneste devono consumare un'enorme quantità di memoria (la radice quadrata del limite di memoria dell'avversario). Di conseguenza, questi metodi sono impraticabili per i vincoli di memoria del mondo reale. (Vale la pena notare che, con la tecnologia odierna, come i dischi rigidi, un avversario può archiviare enormi volumi di dati tradizionali a un prezzo basso.)

Crittografia quantistica basata sulla posizione

Lo scopo della crittografia quantistica basata sulla posizione è utilizzare la (unica) credenziale di un giocatore: la sua posizione geografica. Ad esempio, supponiamo di voler inviare un messaggio a un giocatore in una posizione specifica con la certezza che può essere letto solo se anche il destinatario si trova in quella posizione. L'obiettivo principale della verifica della posizione è che un giocatore, Alice, persuada i verificatori (onesti) che si trova in un luogo specifico. Chandran et al. ha dimostrato che la verifica della posizione con i protocolli tradizionali è impossibile in presenza di avversari collaboratori (che controllano tutte le posizioni tranne quella dichiarata dal prover). Gli schemi sono possibili con vari vincoli sugli avversari.

Kent ha studiato i primi sistemi quantistici basati sulla posizione nel 2002 con il soprannome di "tagging quantistico". Nel 2006 è stato ottenuto un brevetto statunitense. Nel 2010, l'idea di sfruttare gli effetti quantistici per la verifica della posizione è stata pubblicata per la prima volta su riviste accademiche. Dopo che nel 2010 sono stati proposti diversi altri protocolli quantistici per la verifica della posizione, Buhrman et al. ha affermato un risultato di impossibilità generale: gli avversari collusi possono sempre far sembrare ai verificatori di essere nella posizione dichiarata utilizzando un'enorme quantità di entanglement quantistico (usano un numero doppiamente esponenziale di coppie EPR nel numero di qubit operato dal giocatore onesto in poi). Tuttavia, nel paradigma della memoria quantistica limitata o rumorosa, questo risultato non esclude la possibilità di approcci praticabili (vedi sopra). Beigi e König in seguito aumentarono a livelli esponenziali il numero di coppie EPR richieste nell'ampio assalto contro i metodi di verifica della posizione. Hanno anche dimostrato che un protocollo è sicuro contro gli avversari che controllano solo un numero lineare di coppie EPR. La prospettiva di una verifica formale della posizione incondizionata utilizzando gli effetti quantistici rimane un argomento irrisolto a causa dell'accoppiamento tempo-energia, viene suggerito in. Vale la pena notare che la ricerca sulla crittografia quantistica basata sulla posizione ha legami con il protocollo del teletrasporto quantistico basato su porte, che è una variante più avanzata del teletrasporto quantistico in cui più coppie EPR vengono utilizzate come porte contemporaneamente.

Crittografia quantistica indipendente dal dispositivo

Se la sicurezza di un protocollo di crittografia quantistica non si basa sulla veridicità dei dispositivi quantistici utilizzati, si dice che sia indipendente dal dispositivo. Di conseguenza, le situazioni di dispositivi difettosi o addirittura ostili devono essere incluse nell'analisi di sicurezza di tale protocollo. Mayers e Yao hanno proposto che i protocolli quantistici siano progettati utilizzando apparati quantistici di "autotest", le cui operazioni interne possono essere identificate in modo univoco dalle loro statistiche di input-output. In seguito, Roger Colbeck ha sostenuto l'utilizzo dei test Bell per valutare l'onestà dei gadget nella sua tesi. Da allora, è stato dimostrato che una serie di problemi ammette protocolli incondizionatamente sicuri e indipendenti dal dispositivo, anche quando i dispositivi effettivi che eseguono il test Bell sono significativamente "rumorosi", cioè lontani dall'ideale. La distribuzione della chiave quantistica, l'espansione della casualità e l'amplificazione della casualità sono esempi di questi problemi.

Indagini teoriche condotte da Arnon-Friedman et al. nel 2018 rivelano che sfruttare una proprietà di entropia nota come "Teorema di accumulo di entropia (EAT)", che è un'estensione della proprietà di equipartizione asintotica, può garantire la sicurezza di un protocollo indipendente dal dispositivo.

Crittografia post-quantistica

I computer quantistici possono diventare una realtà tecnologica, quindi è fondamentale ricercare algoritmi crittografici che possono essere utilizzati contro i nemici che hanno accesso a uno. La crittografia post-quantistica è il termine usato per descrivere lo studio di tali metodi. Molte tecniche di crittografia e firma popolari (basate su ECC e RSA) possono essere violate utilizzando l'algoritmo di Shor per la fattorizzazione e il calcolo di logaritmi discreti su un computer quantistico, rendendo necessaria la crittografia post-quantistica. McEliece e gli schemi basati su reticolo, così come la maggior parte degli algoritmi a chiave simmetrica, sono esempi di schemi sicuri contro gli avversari quantistici secondo le conoscenze odierne. Sono disponibili sondaggi di crittografia post-quantistica.

Anche gli algoritmi di crittografia esistenti sono allo studio per vedere come potrebbero essere aggiornati per affrontare gli avversari quantistici. Quando si tratta di sviluppare sistemi a prova di conoscenza zero che siano sicuri contro gli aggressori quantistici, ad esempio, sono necessarie nuove strategie: in un ambiente tradizionale, l'analisi di un sistema a prova di conoscenza zero di solito comporta il "riavvolgimento", una tecnica che richiede la copia dell'avversario stato interno. Poiché non è sempre possibile copiare uno stato in un contesto quantistico (teorema di non clonazione), è necessario applicare un approccio di riavvolgimento.

Gli algoritmi post quantistici sono talvolta conosciuti come "resistenti quantistici" perché, a differenza della distribuzione di chiavi quantistiche, è sconosciuto o dimostrabile che i futuri attacchi quantistici non avranno successo. L'NSA sta dichiarando l'intenzione di migrare verso algoritmi resistenti ai quanti, nonostante non siano soggetti all'algoritmo di Shor. Il National Institute of Standards and Technology (NIST) ritiene che le primitive quantistiche dovrebbero essere considerate.

La crittografia quantistica oltre la distribuzione delle chiavi quantistiche

La crittografia quantistica è stata finora associata allo sviluppo di protocolli di distribuzione delle chiavi quantistiche. Sfortunatamente, a causa della necessità di stabilire e manipolare più coppie di chiavi segrete, i crittosistemi simmetrici con chiavi diffuse tramite distribuzione di chiavi quantistiche diventano inefficienti per le grandi reti (molti utenti) (il cosiddetto "problema di gestione delle chiavi"). Inoltre, questa distribuzione non gestisce un'ampia gamma di processi e servizi crittografici aggiuntivi che sono critici nella vita di tutti i giorni. A differenza della distribuzione della chiave quantistica, che incorpora algoritmi classici per la trasformazione crittografica, il protocollo a tre stadi di Kak è stato presentato come un modo per una comunicazione sicura completamente quantistica.

Oltre alla distribuzione delle chiavi, la ricerca sulla crittografia quantistica include l'autenticazione quantistica dei messaggi, le firme digitali quantistiche, le funzioni unidirezionali quantistiche e la crittografia a chiave pubblica, il fingerprinting quantistico e l'autenticazione di entità (ad esempio, vedere la lettura quantistica dei PUF) e così via.

Implementazioni pratiche

La crittografia quantistica sembra essere un punto di svolta di successo nel settore della sicurezza delle informazioni, almeno in linea di principio. Nessun metodo crittografico, tuttavia, può mai essere completamente sicuro. La crittografia quantistica è in pratica solo condizionatamente sicura, basandosi su una serie di presupposti chiave.

Assunzione di una sorgente di un singolo fotone

Una sorgente di un singolo fotone è assunta nella base teorica per la distribuzione della chiave quantistica. Le sorgenti a fotone singolo, d'altra parte, sono difficili da costruire e la maggior parte dei sistemi di crittografia quantistica del mondo reale si basano su deboli sorgenti laser per trasmettere i dati. Gli attacchi di intercettazione, in particolare gli attacchi di divisione dei fotoni, possono utilizzare queste fonti multi-fotone. Eve, un'intercettatrice, può dividere la sorgente multi-fotonica in due copie e tenerne una per sé. I fotoni rimanenti vengono successivamente inviati a Bob, senza alcuna indicazione che Eve abbia raccolto una copia dei dati. Gli scienziati affermano che l'utilizzo di stati esca per testare la presenza di un intercettatore può mantenere sicura una sorgente multi-fotone. Gli scienziati, tuttavia, hanno prodotto una sorgente di fotoni singoli quasi perfetta nel 2016 e ritengono che ne verrà sviluppata una nel prossimo futuro.

Assunzione di identica efficienza del rivelatore

In pratica, i sistemi di distribuzione delle chiavi quantistiche utilizzano due rivelatori a fotone singolo, uno per Alice e uno per Bob. Questi fotorivelatori sono calibrati per rilevare un fotone in arrivo entro un intervallo di millisecondi. Le finestre di rilevamento dei due rivelatori saranno spostate di un importo finito a causa delle differenze di fabbricazione tra di loro. Misurando il qubit di Alice e fornendo uno "stato falso" a Bob, un intercettatore di nome Eve può trarre vantaggio dall'inefficienza del rilevatore. Eve raccoglie il fotone inviato da Alice prima di generare un nuovo fotone da consegnare a Bob. Eve manomette la fase e la tempistica del fotone "falso" in modo tale che Bob non sia in grado di rilevare un intercettatore. L'unico metodo per eliminare questa vulnerabilità è eliminare le discrepanze nell'efficienza del fotorilevatore, il che è difficile a causa delle tolleranze di produzione finite che producono disparità di lunghezza del percorso ottico, differenze di lunghezza del filo e altri problemi.