cómo los ordenadores cuánticos aniquilarían la criptografía ......cómo los ordenadores...
TRANSCRIPT
Cómo los ordenadores cuánticos aniquilarían la criptografía actual
Verónica Fernández MármolInstituto de Seguridad de la Información (ISI)
http://www.ifa.csic.es/
Índice• Amenaza del ordenador cuántico a la
criptografía actual• Solución? Criptografía cuántica
• Cómo funciona: • Protocolos
• Sistemas experimentales y comerciales
• Nuestro sistema
Índice• Amenaza del ordenador cuántico a la
criptografía actual• Solución? Criptografía cuántica
• Cómo funciona: • Protocolos
• Sistemas experimentales y comerciales
• Nuestro sistema
Criptografía simétricao
clave secreta
Una sola clave
Debe mantenerse en secreto
ejemplo paradigmático
¿Es seguro DES?
¿Por qué no?
Fuerza bruta
Longitud
128 a 256 bits
Son muy rápidos
Discos duros
Base de datos
Audio y vídeo
Comunicaciones de red
Cifran cantidades grandes
Cifrar
Clave
DescifrarClaro ClaroCifrado
¿Cómo distribuir la clave?
A B
Criptografía asimétricao
clave pública
Diffie y Hellman (1976)
claves: pública y privada
Clave pública
la conoce todo el mundo
Clave privada
sólo la conoce una persona
Cifrar
Clave
púb
DescifrarClaro ClaroCifrado
Clave
priv
bits de longitud mínima
Son muy lentos
Cifran cantidades pequeñas
Claves secretas
Cifrar
Clave
púb
Descifrar
Clave
priv
Ks KsEKpub(Ks)
RSA
Clave pública
N = p*qe, primo con (p-1)*(q-1)
Clave privada
d, tal que d*e mod (p-1)(q-1) = 1
Cifrado
c = me mod N
Descifrado
m = cd mod N
Cifradoc = me mod N = 73 mod 33 = 343 mod 33=13
EjemploClave pública N = p*qe, primo con (p-1)*(q-1)
Clave privadad, tal que d*e mod (p-1)(q-1) = 1d*3 mod 20 = 1
p=11, q=3, N=33e=3 (primo con 20),
d=7
Descifradom = cd mod N = 137 mod 33 = 7
(21 mod 20 =1)
¿Es seguro RSA?
¿En qué se basa su fortaleza?
Problema de la factorización
¿Factores de 15?
3 x 5
¿Factores de 391?
17 x 23
Último reto RSA640 bits en 5 meses en 80 PCs
¿Cuánto se tarda en hacer operaciones
matemáticas?
Sumar dos números de N bits
Tiempo lineal: O(N)
Multiplicar dos números de N bits
Tiempo cuadrático: O(N2)
Factorizar un número de N bits
Tiempo exponencial: O(eN)
No se ha probado que RSA sea seguro
Problema difícil, pero ¿imposible?
Ordenadores cuánticos
¿Podrán resolver en tiempo polinómico
problemas intratables?
¿Cómo funcionan los ordenadores?
Puertas lógicas
NOT
AND
ORXOR
NAND
entrada salida
Suma de dos bits
+ 0 10 00 011 01 10
Suma = x XOR y
Acarreo = x AND y
xy
suma
acarreo
¿Pueden usarse estados cuánticos?
Bit 0:
Bit 1:
0
1
Bit 0:
Bit 1:
0
1Qubits
Pueden existir como una superposición de estados
Superposición
0 1
Gato de Schrödinger
hυ 1
0hυ
hυ
10 ba
122 ba
Esfera de Bloch
x
y
z|0>
|1>
Ninguna medida revela el estado original de un
qubit desconocido
No pueden obtenerse a y b
Entradas: )10(2
1
Superposición de estados
Computación clásica
)(xfy
Computación cuántica
)1()0(10 fbfabaf
La función f se evalúa para ambos valores a
la vez
0+00+11+01+1
Salida: superposición de todas las posibles
respuestas
La medida obtendrá un resultado aleatorio
¿Cómo obtener resultados útiles?
Las puertas lógicas anteriores no sirven
con estados cuánticos
AND, OR, XOR son irreversibles
Pérdida de información
En mecánica cuántica no es posible perder información sin medir
Puertas cuánticas reversibles
Mismo nº de entradas y salidas
NOT
CNOT
Control 1 Cambia el blanco
Control 0 No cambia el blanco
Cualquier función se puede realizar a partir de puertas CNOT y puertas
de qubits individuales
92
1011111001010000
Control: )10(2
1
Blanco: 0
Entrada
)1000(2
10)10(2
1
Superposición de: 00
21
102
1
112
1002
1
)1000(2
1
CNOT
)1100(2
1
Entrelazado cuántico
No pueden expresarse como producto de dos estados individuales
Medir el estado de una partícula determina el
estado de la otra
)1100(2
1
Puerta Hadamard
)10(2
11
)10(2
10
H
H
Control: )10(2
1
Blanco: )10(2
1
)10(2
1)10(2
1
CNOT
)11100100(21
)10110100(21
)10(2
1)10(2
1
No hay entrelazado
Resultado definido de la medida
estado en superposición
estado definido
CNOT
Importantes aplicaciones
Juego mentalCNOT rota
Control desconectado
1111101001010000
Control loco
1011111000010100
Una sola medida por puerta
¿Cómo encontrar la CNOT buena?
Las combinaciones clásicas no funcionan
CNOT desconectada
)11100100(21
)11100100(21
)10(2
1)10(2
1
CNOT loca
)11100100(21
)10110001(21
)10(2
1)10(2
1
CNOT
)11100100(21
)10110100(21
)10(2
1)10(2
1
)10(2
1)10(2
1
)10(2
1)10(2
1
)10(2
1)10(2
1 )10(
21)10(
21
Resultado definido ycomputación en paralelo
ordenador clásico1011 0101
ordenador cuántico
0000000100100011010001010110011110001001101010111100110111101111
0100111100100011000101010110110110000111101010111100100100001110
Problemabúsqueda en la guía
telefónica
N/2 búsquedas en promedio
¿Puede ayudar la mecánica cuántica?
Algoritmo de Grover
0 X1 R2 P3 A
contrario casoen ,0)(Pa ecorrespondsi,1)(
xfxxf
1)2( f
Superposición de todas las x posibles
11,10,01,00
)10(2
1)10(2
1
112110
2101
2100
21
1/2 1/2 1/2 1/2|00> |01> |10> |11>
1/2 1/2
‐1/2
1/21/4
1
Inversión sobre la media l*=m-(l-m)=2m-l
Ordenador cuántico
si f(x)=1, invierte la fase
probabilidad de encontrar la respuesta
correcta
4 qubits
…|0010>…
1/4
1/4
‐1/4
7/32
3/16
11/16
probabilidad de encontrar la respuesta
correcta
3/16
11/16
3/16
‐11/16
17/128
5/64
61/64
probabilidad de encontrar la respuesta
correcta
¿Cuántas iteraciones para 100%?
4N
Guía telefónica con 1 millón de nombres
días con algoritmos clásicos
minutos con algoritmo de Grover
Impacto en criptografía
Búsqueda exhaustiva de claves
Amenaza a la criptografía simétrica
¿Qué pasa con la asimétrica?
Problema de la factorización
Tiempo exponencial
¿Puede acelerarse cuánticamente?
Algoritmo de Shor
Transformada de Fourier
1, 2, 3, 4, 1, 2, 3, 4, 1, 2, 3, 4, …
periodo = 4
71=7, 72=49, 73=343, 74=2401, 75=16807, 76=117649, 77=823453, …
mod 15
7, 4, 13, 1, 7, 4, 13, …
Exponenciación modular
ax mod N
Si la periodicidad es par se pueden calcular
los factores de N
m.c.d (aq/2 + 1, N)
m.c.d (aq/2 – 1, N)
Ejemploa=7, N=15, q=4,
¿factores?
m.c.d (74/2 - 1=40, 15)=315 = 3 x 5
m.c.d (aq/2 + 1, N)m.c.d (74/2 + 1=50, 15)=5
m.c.d (aq/2 -1, N)
Los circuitos lógicos cuánticos son rápidos
buscando periodicidades
QFT
Paso 1Registro de 2c > N estados
superpuestos
|00…000> + |00…001> + |00…010> +…+ |11…110> + |11…111>
Paso 2Registro de c qubits a |0>
000000
Paso 3Elegir un número a < N al azar y
primo con N
ax mod N
|0>|0>+|1>|0>+|2>|0>+|3>|0>+|4>|0>+|5>|0>+|6>|0>+…1er registro2º registro
N=15a=7
|0>|1>+|1>|7>+|2>|4>+|3>|13>+|4>|1>+|5>|7>+|6>|4>+…
Medida en 2º registro
|1>|7>+|5>|7>+|9>|7>+|13>|7>+…
Transformada Fourier
período = 4
Tiempo polinómico
¿El fin de la criptografía clásica?
Cifrado de Vernam
Secreto perfecto
1 0 0 1 1 1 1 0 1 0 00 0 1 0 1 1 0 0 0 1 01 0 0 1 0 0 1 0 1 1 0
kme
Matemáticamente 100% seguro …
… si se utiliza una sola vez
21
21
21
21
)()()()(
mmkkmmkmkm
ee
… y si la clave es 100% aleatoria
¿Cómo generar claves aleatorias?
Transmisión cuántica de claves
Índice• Amenaza del ordenador cuántico a la
criptografía actual• Solución? Criptografía cuántica
• Cómo funciona: • Protocolos
• Sistemas experimentales y comerciales
• Nuestro sistema
El único método de transmitir claves
criptográficas en el que la presencia de un intruso es
detectada
Basada en las leyes de la Física Cuántica
Principio de Incertidumbre de Heisenberg
Heisenberg
2x p
Alice quiere mandar una secuencia aleatoria a Bob
1101000110010110Secuencia aleatoria
Alice utiliza aleatoriamente las bases:
Rectilínea Circular
Bases
ALICE
Protocolo BB84
1101000110010110Secuencia aleatoriaBases
Alice utiliza uno de los cuatro posibles estados de polarización para codificar sus estados
0 1 0 1
Polarización
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoriaBases
Polarización
Alice manda su secuencia de fotones aleatoriamente codificados a
BobBOB
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoriaBases
Polarización
BOB
No todos los fotones que manda Alice son recibidos por Bob. Algunos se pierden como consecuencia de la
absorción del canal cuántico
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoriaBases
Polarización
BOB
Bob utiliza la base circular o rectilinea de forma aleatoria para medir los fotones recibidosRectilínea Circular
Protocolo BB84
ALICE
O divisor por polarización (PBS)
Prisma de Wollaston
0 1 PBSPBS
Detector 0
Detecta ‘0’ con 100% de probabilidad
Protocolo BB84
Detector 1
Detecta ‘1’ con 100% probabilidad
Detector 0
Base rectilínea Base rectilínea
Detector 1
0 1PBS
Protocolo BB84
‘0’ o ‘1’ con 50% probabilidad
PBS
Detector 0
Detector 1
Detector 0
Detector 1
Base rectilínea Base rectilínea
Incertidumbre2
x p
0 1 PBSPBS/4 /4
Protocolo BB84
‘0’ con 100% probabilidad ‘1’ with 100% probabilidad
Detector 0
Detector 1
Detector 0
Detector 1
Base circular Base circular
0 1PBSPBS/4 /4
Protocolo BB84
Detector 0
Detector 1
Detector 0
Detector 1
‘0’ o ‘1’ con 50% probabilidad
Base circular Base circular
Incertidumbre2
x p
• 4 tipos de medidas:+
• 2 deterministas:+
+• 2 ambiguas:
+
Protocolo BB84
1101000110010110Secuencia aleatoria
Bases
Polarización
BOB
Por cada fotón recibido Bob mide aleatoriamente con la base rectilínea o circularRectilínea Circular
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoria
Bases
Polarización
BOB
Bases
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoria
Bases
BOB
Polarizción
Bases
000011101100
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoria
Bases
BOB
Bases
000011101100
Protocolo BB84
ALICE
1101000110010110Secuencia aleatoria
Bases
BOB
Bases
000011101100
Alice y Bob comparan las bases a través de un canal público
Protocolo BB84
ALICE
00011010
00011001
01
1110
1
01
0
10Secuencia aleatoria
BOB
Bases
Alice y Bob desechan los bits que en los que no han utilizado la misma base
Protocolo BB84
ALICE Bases
00011010
00011
0010Secuencia aleatoria
BOB
Bases
Protocolo BB84
ALICE Bases
Y en los que Bob no midió ningún fotón
00011010
00011010
BOB
Bases
Secuencia aleatoria
Bases
Protocolo BB84
ALICE
00011010
00011 010
BOB
0 1 0 1 1 0 0 0Alice y Bob nunca revelan el valor del bit en su
discusión
Protocolo BB84
ALICE
Dejando una secuencia común final
• Dos partes: Alice (emisor) & Bob (receptor)• Dos canales de comunicación: cuántico y clásico • Canal cuántico utiliza fotones individuales• Canal clásico discusión post procesamiento• Utiliza bases no ortogonales• Imposible distinción determinista Principio de Incertidumbre de
Heisenberg
Descarta los siguientes bits
Canal cuántico
Canal clásico público
Resumen QKD
Fotones individuales
Discusión post procesamiento
Bob(Receptor)
Alice(Emisor)
Las copias no están permitidas en el mundo
cuántico
hυ
hυ
hυ
Canal cuántico
Canal clásico cuántico
¿Qué pasa si espían el canal?
Alice(Emisor)
Bob(Receiver)
¿Pueden Alice y Bob detectar la presencia de un intruso en el canal cuántico?
SíUn intruso introducirá un error detectable
por Alice y Bob
Eve
Un espía introducirá un error del 25%
Ataque interceptado y reenvío
Alice(Emisor)
Bob(Receptor)
Eve
El ataque más simple
Un intruso tiene solo el 50% de detectar correctamente cada fotón
50%Probabilidad 50%
Probabilidad
Bob sólo tiene un 50 por ciento de detectar correctamente cada fotón
Error que introduce un intruso
Alice Eve Bob Medidas que se quedan
Error que introduce Eve
(½+½)/4 = 25%
0
1/2
1/2
0
• Dos partes: Alice (emisor) & Bob (receptor)• Dos canales de comunicación: cuántico y clásico • Canal cuántico utiliza fotones individuales• Canal clásico discusión post procesamiento• Utiliza bases no ortogonales• Imposible distinción determinista Principio de Incertidumbre de
Heisenberg• Detección de un espía!
Discard the following bits
Canal cuántico
Canal clásico público
Resumen QKD
Fotones individuales
Discusión post procesamiento
Bob(Receptor)
Alice(Emisor)
• Dos estados no ortogonales(Bennett 1992)
• Codificados en polarización o fase
• Polarización a 0 representa el estado a “0”; polarización a 45
representa “1”
‘1’‘0’ 45°
0°
90°
180°
270°
Polarización
Protocolo B92
Protocolo de Ekert (BBM92)
Entrelazado cuántico
BobAlice
A BArthur Ekert
• Generación de pares de fotones entrelazados
Protocolo de Ekert
• Idealmente fuente de fotones individuales• Tecnología todavía por madurar
• Baja eficiencia• Temperaturas criogénicas
• Weak coherent pulses (WCP) (pulsos de láser atenuados)
Emisión de fotones individuales
en
nPn
!),(
Stadística de Poisson
<0.5% pulsos con más de un fotón
90% pulsos vacíos
Micropilar de 2m de diametro
µ~0.1
Emisión de fotones individuales
• Capaces de operar a alta frecuencia (GHz)
• Facilidad de integración y bajo coste
• Bajas intensidades umbral• Baja spectral linewidth
VCSELs (Vertical Cavity Surface Emitting Laser)
230
Detección de fotones individuales
ip+ n+p
Absorción Ganancia
Zona absorción
Zona multiplicación
hυ
Fotodiodo de avalancha o APD
La zona de multiplicación se introduce para obtener ganancia
APD tipo
‘reach-through’
231
Detección de fotones individuales
Ec
Ev
hυ
p nE p nEc
Ev
Ionización por impacto
Un electrón con suficiente energía cinética es capaz de originar una avalancha autosuficiente
Detección de fotones individuales
1.E-04
1.E-121.E-111.E-101.E-091.E-081.E-071.E-061.E-05
0 10 20 30 40 50 60 70 80
Inverse Voltage (V)
curr
ent (
A)
Dark current
Photocurrent
avalanche breakdown voltage
El voltaje necesario para que ocurra la avalancha como resultado de un único fotón se denomina voltaje de ruptura de avalancha
SPAD (single photon avalanche diode)
Fujitsu APD
Detectores de fotones individuales
superconductores
Canal de transmisiónFibra óptica
Atenuación en fibra óptica
0
0.5
1
1.5
2
2.5
3
800 1000 1200 1400 1600 1800W avelength (nm )
Attenuation(dB/km)
λ~850nm λ~1300nm λ~1550nm
Consecuencia de No cloning
hυ
hυ
hυ
No se pueden utilizar amplificadores ópticos
Trabajar a altas frecuencias reloj
237
Detectores disponibles
• Alta eficiencia• Bajas cuentas oscuras• ‘Afterpulsing’
despreciable
Altas frecuencias reloj
Si SPADs (λ~850nm)
SPAD comercial de Si de Perkin Elmer
Detectores disponibles
• Buena eficiencia
• Altas cuentas oscuras
• ‘Afterpulsing’ dominante
Ge and InGaAs SPADs (λ~1300nm λ~1550nm)
Bajas frecuencias reloj
n+-InP Substrate
n-InP Buffer Layer
n--InGaAs Absorption Layer
n--InGaAsP Graded Region
n-InP Charge Sheet
i-InP Multiplication Layer
Floating Guard Ring
Floating Guard Ring p+ - Zinc Diffusion
SiNx
Au
=1.55µm
SPAD (InGaAs/InP)
INCORRECT
INCORRECT CORRECT
NQBERN N
• Factores que afectan el QBER: Cuentas oscuras en los detectores de fotones individuales Timing jitter de la fuente láser y detectores Contribuciones de luz no deseadas Distancia de transmisión Un intruso!
Quantum Bit Error Rate
Índice• Amenaza del ordenador cuántico a la
criptografía actual• Solución? Criptografía cuántica
• Cómo funciona: • Protocolos
• Sistemas experimentales y comerciales
• Nuestro sistema
241
Sistemas con cifrado en polarización
A. Muller et. al, “Quantum cryptography over 23km in installed under-lake telecom fibre”, Europhysics Letters, 33, Page 335-339 (1996) (λ~1300 nm)
• 1996, transmisión a 23km
• λ~1300nm
• 1 MHz clock
• Ge detectors
• 3.4% error
Sistemas con cifrado en fase
‘0’: 0, π/2‘1’: π, 3π/2
0, π/2Alice Bob
ΦA-ΦB = πI0=0,I1= I
Bob recibe un ‘1’
I0=I, I1=0 Bob recibe un ‘0’
ΦA-ΦB = 0
ΦA-ΦB = π/2I0=I/2,I1=I/2 Bob recibe?ØA/B
243
• Sistemas de doble interferómetro más estables
Sistemas con cifrado en fase
LDAPDs
Coupler Short (S1) Short (S2)
Long (L1) Long (L2)ALICE BOBTransmission
channel
Sistemas con cifrado en fase
• Detectores superconductores de fotones individuales (SSPD)
• Clock frequency 10 GHz
• 12bits/s over 200 km fibre
H. Takesue, S. W. Nam, Q. Zhang, R.H. Hadfield, T. Honjo, K. Tamaki and Y. Yamamoto, “Quantum key distribution over a 40-dB channel loss using superconducting single-photon detectors”, Nature Photonics 1, 343, (2007).
• 2007, record mundial en fibra óptica
Tanto los sistemas con cifrado en polarización como en fase requieren
compensación activa
246
Sistemas plug and play
PMA
PMB
Long arm
Short arm
Phase modulators
LD
ALICE BOBQuantumchannel
Faraday mirror Laser
diode
D1 APD’sP1
P2
P1 P2
StorageLine
coupler
attenuator PBS
PC
PC
A. Muller et al. “‘Plug and Play’ systems for quantum cryptography”, Applied Physics Letters, 70, Page 793-795 (1997)
• 2002, distancia 67 km
247
Sistemas plug and play
• Primer producto comercial
•λ~ 1550 nm
D. Stucki et al, “Quantum key distribution over 67 km with a plug and play system”, New Journal of Physics, 4, Page 41.1 - 41.8 (2002)
Canal de transmisiónAire
249
Espacio libre como canal transmisión
Atmósfera no birefrigente y no dispersiva
250
Espacio libre como canal transmisión
Comunicación global segura a través de satélite
Alice Bob
Atenuación en aire
λ~850nm
λ~1550nm
252
Free space QKD systems
• 2007, transmision de claves cuánticas a 144 km
T. Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Physical Review Letters, vol. 98, 010504, 2007
• λ~850 nm • AutomaticTracking
• GPS synchronization Clock 10MHz
• key rate ~12.8 bits-1
Free space QKD systems
Receiver (ESA OGS) (Tenerife)
Transmitter (Nordic Optical Telescope)
(La Palma)
• MagiQ (USA)• Idquantique (Suiza)• NEC (Japón)
Sistemas que utilizan fibra óptica y ~ 1550nm. Hasta 100km de transmisión segura Pero baja velocidad
IdQuantique 1 kbits-1
MagicQ 256 bits-1
Se utiliza con cifrado AES Gigabit Ethernet, SONET/SDH (hasta 10Gbps) y ATM (622Mbps).
¿Sistemas comerciales?
¿Es segura la criptografía cuántica en la vida real?
Sí, pero…Side-channel attacks
Quantum hacking
Primer quantum hacker
Caracterización minuciosa de posibles loopholes de
un sistema
Device-independent quantum cryptography
Antonio Acín, ICFO, Barcelona
Índice• Amenaza del ordenador cuántico a la
criptografía actual• Solución? Criptografía cuántica
• Cómo funciona: • Protocolos
• Sistemas experimentales y comerciales
• Nuestro sistema
Free space QKD systems
• QKD en espacio libre
• Orientada a largas distancias (satélite)
• Baja transmisión
Sistemas de espacio libre en ciudad
Escenarios urbanos menos explorados
• Ventajas Mayor flexibilidad de instalación
(Portabilidad) Menor coste (licencias) Ideal para comunicación segura
entre edificios gubernamentales, financieros o militares en ciudad
Más difíciles de espiar
• Inconvenientesx Aerosol urbano: mas absorcion y
turbulencias
Emisor: Alice
Sistema gimbal para Alice
Base Motor
Lateral Motor
Precisión de radians
o Sincronización óptica a diferente longitud de onda (1550 nm)
o Láser de sincronización: VCSEL monomodo a 1550nm diseñado para
aplicacionesde comunicaciones a alta velocidad.
Alto BW bajo timing jitter bajo QBER
o Detector sincronizado: InGaAs APD
Low‐light‐level detection, large active area (0.2mm)
and high‐speed response (0.9 GHz)
SincronizaciónTsync
SPAD1
SPAD0
APD Clk-in
TIA
Canal 1
Canal 0
VCSEL1
Laser 1550nm
PPGtrigger
output
output VCSEL0
. . .
. . .
. . .
Tsync
λ~ 850nm
Generador de patrón de pulsos
Analizador de tiempos
VCSEL sync
λ~1550nm
λ~850nm
Receptor: Bob
Lente
Filter850nm
Dicroic filter
Plate BS
xyz
SPDTelescopio
SPD
APD
Optical fibre
Optical fibre
xyz
Polarizers
λ~1550nm
0 1
ch1
ch0
λ/4 λ/4
λ/2
APD: avalanche photodiodeSPD: single photon detector
10MHz clock
Canal ´1´s
Canal ´0´s
Bob
Desde Alice
Tests a 40 m (QBERs 2%-6% diurnos, 1.5% nocturnos)1.1 Mbit/s a 1 GHz de frecuencia reloj con un QBER de 2%.
1.5 Mbits a 1.5 GHz con un QBER de 3%.
Bob
Desde Bob
Alice
Conclusiones• Ordenador cuántico grave amenaza
para la criptografía actual• Solución criptografía cuántica• Análisis de seguridad de los
sistemas reales• Mejorar velocidad sistemas reales
para hacerlos más competitivos