Quanten-Kryptographie · 5.2 Kerckhoff's Prinzip Die Sicherheit eines Kryptosystems darf nur auf...
28
1 Quanten-Kryptographie Robert „Bob“ Wulfert 26.07.2011 Universität Stuttgart Hauptseminar in Theoretischer Physik SS2011
Transcript of Quanten-Kryptographie · 5.2 Kerckhoff's Prinzip Die Sicherheit eines Kryptosystems darf nur auf...
1
Quanten-Kryptographie
Robert „Bob“ Wulfert
26.07.2011
Universität Stuttgart Hauptseminar in Theoretischer Physik SS2011
2
Inhalt
1. Klassische Kryptographie
2. Quantenkryptographie
3. Quantum-Key-Distribution (QKD) Protokolle
4. Technische Umsetzung
5. Sicherheit
6. Zusammenfassung
3
(Erstellen von Codes)
Kryptologie
Kryptographie Kryptoanalysis
Verschlüsselung (encryption): Ein Algorithmus bzw. Kryptosystem kombiniert die Nachricht mit einem Schlüssel (key) zu einem Kryptogramm,, aus welchem die ursprüngliche Nachricht nur mithilfe des aus welchem die ursprüngliche Nachricht nur mithilfe des Schlüssels wiederhergestellt werden kann. Schlüssels wiederhergestellt werden kann.
1.1 Terminologie
(Brechen von Codes)
1. Klassische Kryptographie
Alice BobEve
4
1. Asymmetrischepublic-key Kryptosysteme
2. Symmetrische secret-key Kryptosysteme
Verschlüsselung Verschlüsselung &
EntschlüsselungEntschlüsselung
Man unterscheidet zwei Klassen von Systemen:
1. Klassische Kryptographie
5
● Verschlüsselung mit public-key
● Entschlüsselung nur mit private-key
● Auf beliebig viele Parteien erweiterbar
1.2 Public-key Kryptosysteme
Alice(sender)
Bob(receiver)
choosesprivate-key
computes public-key
encrypts message with public key
decrypts message with private key
public-key
Eve
1. Klassische Kryptographie
6
● Sicherheit durch Asymmetrie in Komplexität von Berechnungen
● Dazu verwendet man sogenannte one-way-functions:
– Man berechnet leicht f(x) für ein gegebenes x → polynomielle Zeitabhängigkeit von der Anzahl der Eingabebits
– Es ist schwierig x aus einem gegebenen Funktionswert f(x) abzuleiten:→ exponentielle Zeitabhängigkeit von der Anzahl der Eingabebits
– Beispiel:
● RSA (1978)
– Die Existenz eines schnellen Algorithmus zur Faktorisierung kann nicht prinzipiell ausgeschlossen werden.
1.2 Public-key Kryptosysteme
1. Klassische Kryptographie
7
● Absolut sicher, solange Alice und Bob im Besitz eines gemeinsamen geheimen Schlüssels sind.
● Der Schlüssel kann nur für eine einzige Übertragung genutzt werden.
● Hauptschwierigkeit: Verteilung des Schlüssels
1.3 Secret-Key Kryptosysteme
Alice Bob
classical distribution of secret key
encrypts/decrypts message with
secret key
decrypts/encrypts message with
secret key
Eve
1. Klassische Kryptographie
8
1.4 Vernam Protokoll (one-time-pad, 1926)
AliceQuelltext 0 1 1 0 1 1 0 0Schlüssel 1 0 0 0 0 1 1 0Kryptogramm 1 1 1 0 1 0 1 0
BobKryptogramm 1 1 1 0 1 0 1 0Schlüssel 1 0 0 0 0 1 1 0Quelltext 0 1 1 0 1 1 0 0
● Der Quelltext soll bereits digital als (0,1)-Folge der Länge n vorliegen.
● Der Schlüssel besteht aus einer (0,1)-Zufallsfolge ebenfalls mit Länge n
● Verschlüsselung durch gliedweise Addition modulo 2
● Beispiel:
● Bob erhält das Kryptogramm und addiert wiederum den Schlüssel modulo 2
● Wegen x + 0 + 0 = x und x + 1 + 1 = x entsteht dann wieder der Quelltext
● Absolute Sicherheit bei Einhaltung aller Vorgaben (→ QKD)
1. Klassische Kryptographie
publicchannel
9
● Die Quantenmechanik sagt uns was wir nicht tun können:
– Keine Messung an einem Quantenmechanischen System ohne Störung des Systems
– Keine gleichzeitige Messung zweier nicht kommutierender Observablen
→ Die Polarisation eines Photons kann nicht gleichzeitig in der vertikal-horizontalen Basis und der diagonalen Basis gemessen werden
– Man kann einen unbekannten Quantenzustand nicht kopieren (no-cloning-Theorem)● Diese Verbote gelten auch für einen Lauscher Eve
● In der Quantenkryptographie werden diese Verbote ausgenutzt um eine abhörsichere Übertragung zu gewährleisten
2.1 Prinzipien der Quantenmechanik
2. Quantenkryptographie
10
2.2 No-Cloning-Theorem
Es ist nicht möglich, einen unbekannten Quantenzustand perfekt zu klonen.
Eine lineare, unitäre Transformation U, die die Basiszustände |0 > und |1 > perfekt auf einen Anfangszustand | i > kopiert, lautet:
Wollten wir hiermit einen unbekannten Zustand
klonen, so erhielten wir
Dies entspricht nicht dem gewünschten Zustand
Theorem:
Beweis:
2. Quantenkryptographie
11
● Die Quantenkryptographie baut auf dem klassischen Secret-key-Verfahren auf.
● Sie ergänzt dieses durch die Erzeugung und Verteilung des geheimen Schlüssels mittels quantenmechanischer Systeme.
● Die Sicherheit von QKD beruht auf Naturgesetzen.
● Es wird weiterhin ein klassischer Kommunikationskanal benötigt.
● Voraussetzung für absolute Sicherheit: Authentizität des klassischen Kanals
2.3 Quantum-Key-Distribution (QKD)
2. Quantenkryptographie
Quantum-Key-Distribution
Alice Bobencrypts/decrypts
message with secret key
decrypts/ecrypts message with secret key
Eve
12
● Alice sendet Bob 2n Qubits, beispielsweise polarisierte Photonen. Sie präpariert dazu willkürlich Zustände aus einer der beiden Basen H (horizontal-vertikal) und D (diagonal):
● Bob wählt für die Messung der ankommenden Photonen ebenfallseine zufällige Basis aus.
● Die Messwerte entsprechen der Nummerierung der Zustände.
3. QKD-Protokolle
3.1 BB84-Protokoll (1984)
Alice Bobquantum channel
classical channelEve
Fig.: Equator of Poincare-Sphere
13
● Alice und Bob gleichen über den klassischen Kanal ihre für jedes Photon getroffene Wahl der Basis ab. Sie müssen also dazu in der Lage sein, eine eins-zu-eins Korrespondenz zwischen den gesendeten und den empfangenen Qubits herzustellen.
● Sie verwerfen die Qubits bei denen die Präparations- und die Messbasis nicht übereinstimmen. („sifting“)
● Die übrigen Messwerte sind perfekt korreliert und bilden den sogenannten „sifted-key“ mit der durchschnittlichen Länge n.
● Weder Alice noch Bob können den resultierenden Schlüssel vorher festlegen. Es ist vielmehr das Zusammenspiel ihrer zufälligen Entscheidungen welches den Schlüssel entstehen lässt. In diesem Sinn wird über den Quantenkanal allein keinerlei Information übertragen.
3. QKD-Protokolle
Photonennummer 1 2 3 4 5 6 7 8 9Alices Basis H D D H H D H D Dpräparierter ZustandBobs Basis H H D D H D H H DMessergebnis (raw key) 1 Z 0 Z 0 0 1 Z 1sifted key 1 0 0 0 1 1
14
● Fängt Eve die Photonen ab, so bemerkt Bob dies und das Protokoll wird abgebrochen.
● Eve kann sich keine Kopie der Photonen erstellen (no-cloning-Theorem)
● Intercept-resend-Strategie:
● Alice und Bob vergleichen Teile des sifted-keys um einen Lauschangriff mit beliebiger Wahrscheinlichkeit auszuschliessen
● In durchschnittlich der Hälfte aller Fälle hat sie die Basis kompatibel mit dem von Alice präparierten Zustand gewählt. Dann schickt sie Bob ein Qubit im korrekten Zustand und Alice und Bob bemerken keine Intervention.
Wählt sie jedoch die falsche Basis, was zwangsläufig passieren wird da sie keine Information über Alice's Basiswahl haben kann so lange diese absolut zufällig erfolgt, so wird sie einen Zustand präparieren, der einen Überlapp von ½ mit dem korrekten Zustand hat.
Somit verursacht Eve während sie 50% der Information erhält eine Fehlerrate im sifted-key von 25%. Alice und Bob können also einfach einen Teil des sifted-keys vergleichen und so einen Lauschangriff mit beliebiger Wahrscheinlichkeit ausschliessen.
Eve kann diese Strategie natürlich auch nur auf einen Teil der Kommunikation anwenden.Z.B.: Eve misst 10% der ankommenden QuBits, erhält somit ≈ 5% des Keys und verursacht ≈ 2,5% Fehler.
3. QKD-Protokolle
3.2 Angriffsmöglichkeiten für Eve:
Alice Bobquantum channel
classical channel
Eve
Eve measures Photon
compatible basis incompatible basis
sends correct state+ 50% information gain
sends wrong state+ no information gain
sifted key unflawed error in sifted key
½ ½
½ ½ 1
75% QBER: 25%
15
● Interaktion von Eve ohne Störung von Alices System:
daraus erhält man
● Allgemein gilt also: Je mehr Information Eve erhalten will, desto mehr wird der ursprüngliche Zustand gestört.
● Die allgemeinste Transformation, die sie durchführen kann lautet:
● D ist ein Maß für die induzierte Störung (Dmax = 1/2)
3.3 Störung und Transinformation Alice BobU
Eveperturbation information
3. QKD-Protokolle
16
● Definition: Transinformation I(X;Y) ist die Menge an Information die man über X bekommt wenn Y bekannt ist.
● Ziel von Eve ist es, für eine gegebene Störung D (und damit auch I(A;B)) I(A;E) zu maximieren.
● Eve's maximale Transinformation ist gegeben durch:
3. QKD-Protokolle
17
● Alice wählt zufällige Bitpaare (a1,a2) des übertragenen Schlüssels aus und teilt Bob die Position der Bits im Code sowie den Wert a1+a2 (XOR) mit. Erhält Bob dasselbe Resultat, so behalten beide das erste Bit, falls nicht, werden sie verworfen. Alice und Bob erhalten so sukzessive einen fehlerlosen Schlüssel.
● Um Eves Information zu reduzieren wird ein Verfahren namens „privacy-amplification“ durchgeführt:
Alice wählt wieder zufällige Bitpaare (a1,a2) des übertragenen Schlüssels, teilt Bob diesmal jedoch nur die Position der Bits im Code mit. Beide ersetzen nun ihre beiden Bits durch ihr Ergebnis von a1+a2 bzw. b1+b2 . Hat Eve an einer der beiden Positionen einen fehlerhaften Eintrag, so wird ihr Ergebnis e1+e2 falsche sein und sie verliert Information.
● Für D < DC lässt sich durch Hintereinanderausführung der beiden obigen Verfahren immer ein sicherer Schlüssel übertragen werden.
3.4 Fehlerkorrektur und privacy-amplification
3. QKD-Protokolle
Alice ... 1 0 0 1 0 1 ...Bob ... 0 0 1 1 0 0 ...
18
● Einfaches 2-QuBit Protokoll beruhend auf EPR-Korrelationen
● Die Quelle erzeugt maximal verschränkte Photonenpaare im drehsymmetrischen Bell-Zustand
● Jeweils ein QuBit geht and Alice und Bob.
● Alice und Bob messen unabhängig voneinander in völlig zufälliger Weise die Polarisationen in einer der Basen H oder D.
● Über einen öffentlichen Kanal werden zu jedem Photonenpaar die Messbasen verglichen und die Ergebnisse mit unterschiedlichen Basen werden verworfen.
● Die verbleibenden Messergebnisse müssen perfekt korreliert sein, wenn nicht gelauscht wurde.
● Fehlerkorrektur und privacy-amplification wie beim BB84-Protokoll
3. QKD-Protokolle
3.5 BBM92-Protokoll EPR
sourceAlice Bob
19
3.6 Ekert-Protokoll (1991)
3. QKD-Protokolle
BBM92protocol
Test of CHSHinequality
Ekertprotocol
● Überprüfung der CHSH-Ungleichung
● Jeweils 3 Messbasen
● 2/9 der Qubits bilden sifted-key
● 7/9 der Qubits → Korrelationsfunktion
● Lauschangriff und Manipulation der Quelle ausgeschlossen
20
4.1 Experiment: Entanglement-based quantum communication over 144km (2007)
4. Technische Umsetzung
21
4.1 Experiment: Entanglement-based quantum communication over 144km (2007)
4. Technische Umsetzung
● Überprüfung der Polarisationskorrelation mit der CHSH-Ungleichung
● Korrelationsfunktion
● Die Korrelationskoeffizienten ergeben den Bell-Parameter S :
● CHSH-Ungleichung:
● Maximale Verletzung laut QM:
für die Polarisationswinkel:
● Experimenteller Wert:
● Eindrucksvolle Verletzung der CHSH-Ungleichung um 13 Standardabweichungen
22
4.2 off-the-shelf System: MAGIQ QPN 8505
4. Technische Umsetzung
● Features:
– Verwendung des BB84-Protokolls
– Bis zu 140km Distanz
– Bis zu hundert 256 Bit keys pro Sekunde
– Verschlüsselung und QKD in einem Gerät und über denselben optischen Kanal
– Netzwerkkompatibel
23
Theorem (Sicherheitsstatement für QKD):
Wenn
● A1) die Quantenmechanik korrekt ist, und
● A2) die Authentifizierung sicher ist, und
● A3) unsere Geräte zuverlässig und sicher sind,
dann erzeugt die QKD mit einer hohen Wahrscheinlichkeiteinen zufälligen, geheimen Schlüssel.
5. Sicherheit
24
5.1 Authentifizierung
Fig.: Stages of QKD
● Die Authentizität muss während der beinahe der gesamten QKD Prozedur gewährleistet sein
5. Sicherheit
25
● Ein authentischer klassischer Kanal ist essentiell für die Sicherheit von QKD.
● Klassischer Schlüssel benötigt bevor QKD Sequenz
● Wenn die Authentifizierung in der ersten Sequenz von QKD sicher ist, dann sind alle darauffolgenden Sequenzen informationstheoretisch sicher.
5. Sicherheit
5.1 Authentifizierung
authentication QKD quantum-key-expansionquantum-secret-growing
26
● Strenges „peer-review“ nur bei Veröffentlichung des Algorithmus
● Gegenteil: „security through obscurity“
● Quanten-Kryptosysteme:
– Theoretische Beschreibung von QKD öffentlich zugänglich.
– Aber: Quanten-Kryptosysteme sind teuer und nicht vervielfältigbar.
→ kaum öffentliche Überprüfung der technischen Implementierungen möglich.● Abweichungen von Theorie → mögliche Hintertüren
5. Sicherheit
5.2 Kerckhoff's Prinzip
Die Sicherheit eines Kryptosystems darf nur auf der Geheimhaltung des Schlüssels basieren und nicht auf der Geheimhaltung des Algorithmus.
27
● Quantenkryptographie → Quantum-Key-Distribution → Quantum-Key-Expansion
● Sicherheit steht und fällt mit Implementierung
6. Zusammenfassung
28
● Prof. D. Bruß - Skript zur Quanteninformationstheorie (WS2004/05)
● R. Ursin, F. Tiefenbacher, T. Schmitt-Manderbach, H. Weier, T. Scheidl, M. Lindenthal, B. Blauensteiner, T. Jennewein, J. Perdigues, P. Trojek, B. Ömer, M. Fürst, M. Meyenburg, J. Rarity, Z. Sodnik, C. Barbieri, H. Weinfurter, A. Zeilinger - Entanglement-based quantum communication over 144 km, Nature Physics 3, 481 (2007)
● N. Gisin, G. Ribordy, W. Tittel, H. Zbinden - Quantum Cryptography, Rev. Mod. Phys. 74, 145 (2002)
● M. Nielsen, I. Chuang – Quantum Computation and Quantum Information (2000)
● J. Audretsch – Verschränkte Systeme (2005)
Quellen
