Академия

Квантовая криптография: загадки квантового мира становятся технологиями

Квантовая криптография: загадки квантового мира становятся технологиями

О том, как философские вопросы, вроде свободы воли или объективности существования, приобретают практическое значение и становятся технологией, рассказывает ведущий научный сотрудник Математического института РАН им. В.А. Стеклова, д.ф.-м.н. Антон Трушечкин.

Прошлый XX век стал веком неслыханного научно-технического прогресса, и он же оставил нам множество научных загадок. Так, теория относительности и квантовая теория — главные физические теории, открытые в прошлом веке — позволили нам описывать явления микромира и, напротив, макромира — ближнего и дальнего космоса — ценой тотального пересмотра таких фундаментальных понятий, как время, пространство, объективность физических процессов, роль наблюдателя в них. Если раньше физики верили, что описывают объективно протекающие процессы, в которых он — физик — да и любой человек является лишь сторонним наблюдателем, то теперь выяснилось, что протекание физических процессов существенно зависит от действий самого наблюдателя. Образно говоря, граница между «сценой» и «зрительным залом» оказалась размытой: «зрители» незаметно сами оказываются участниками действия. Эти удивительные открытия стали предметом больших и глубоких обсуждений между отцами физики XX века: Эйнштейном, Гейзенбрегом, Шрёдингером, Дираком, Бором и многими другими, оказали большое влияние на философию и даже, возможно, на общественную мысль.

У науки (в этой статье мы говорим прежде всего о естественных науках) двоякая роль. В первую очередь её цель — познание природы, во вторую — то, за что современное общество особенно её ценит — практические приложения, технический прогресс, улучшающий качество нашей жизни. Но есть по меньшей мере одна нарождающаяся технология, в которой эти две ипостаси науки удивительным образом соединяются. Речь идёт о квантовой криптографии. С одной стороны, в ней самые загадочные аспекты квантовой реальности, связанные с нелокальностью и кажущейся мгновенной передачей информации на расстояние, обретают непосредственный практический смысл. И, с другой стороны, благодаря этому на примере квантовой криптографии очень удобно рассказывать об этих загадках. В этой статье мы поговорим о квантовой криптографии в свете обоих этих аспектов — практического и фундаментального. 

Криптография: шифры и ключи. Угроза от квантового компьютера

 Начнём с практического аспекта. В современном обществе, которое часто называют информационным, трудно переоценить роль информационной безопасности. Технологии информационной безопасности окружают нас повсюду, и мы пользуемся ими в нашей повседневной жизни, когда разговариваем по мобильному телефону, общаемся в мессенджерах, выходим в интернет, осуществляем онлайн-платежи или пользуемся банкоматами. Задача передачи конфиденциальных данных возникла очень давно – тогда же, когда зародилась собственно письменность, – но только в XX веке в результате работ американского математика и инженера Клода Элвуда Шеннона криптография («тайнопись» в буквальном переводе на русский язык) стала наукой.

Многие из нас в детстве играли в шифрование своих сообщений. Менять одни буквы на другие или вовсе заменять их на значки — вот первое, что приходит в голову практически каждому ребёнку. И это действительно один из простейших шифров, который называется шифром простой замены. Во «взрослой» криптографии он взламывается частотным анализом. Дело в том, что разные буквы, например, в русском языке используются с разными частотами. Так, например, буква «о» встречается в типичном русском тексте намного чаще буквы «ф». Пользуясь этим свойством, нетрудно понять замены букв в шифре и восстановить зашифрованное сообщение.

Можно придумать более надёжные шифры, основанные на более сложных алгоритмах. Но, как говорят, что правила дорожного движения писаны кровью на асфальте, так и правила криптографии писаны в том числе многочисленными провалами, взломанными секретными сообщениями и последующим ущербом от этого. Практика показала, что надёжность шифра не должна быть основана на неизвестности для противника самого алгоритма шифрования: алгоритм шифрования рано или поздно становится известен. Надёжность передачи зашифрованного сообщения должна основываться на незнании противником ключа — неизвестного параметра алгоритма. В нашем шифре простой замены роль ключа играет таблица замены, которая показывает, какой именно символ сопоставляется данной букве. Сегодня это таблица одна, завтра может быть другая. В отличие от алгоритма ключ мы можем менять часто. Если мы меняем ключ, допустим, каждый день, и противнику удалось узнать один ключ, то он сможет прочитать только сообщения соответствующего дня.

Но тогда во весь рост встаёт проблема распределения ключей: каким образом одна сторона может секретно передать ключ другой стороне, которая находится на расстоянии. Ведь мы избавлены от необходимости постоянно куда-то ездить за электронными ключами, когда пользуемся мобильным телефоном, банковскими карточками, защищёнными интернет-соединениями. Кстати, в цифровом мире ключ — это просто последовательность нулей и единиц. Она должна быть случайной, но в то же время одинаковой для двух сторон, обменивающихся конфиденциальной информацией. Задача распределения ключей является, по сути, парадоксальной, содержащей порочный круг. Чтобы передать секретное сообщение по прослушиваемому каналу связи, обе стороны должны иметь одинаковый секретный ключ. Но этот ключ тоже надо как-то передать от одной стороны к другой по тому же прослушиваемому каналу — если, например, одна сторона его генерирует и передаёт другой.

Каким же образом можно выйти из этого порочного круга? Сейчас мы выходим из него посредством так называемой криптографии с открытым ключом. Если секретный ключ нельзя передавать по прослушиваемому каналу, то давайте и не будем его передавать! Давайте ключ, с помощью которого мы будем расшифровывать посылаемые секретные сообщения, будем держать в тайне у себя. А опубликуем мы другой ключ — открытый, несекретный. С его помощью можно только зашифровывать сообщения, но не расшифровывать их. Принцип почтового ящика: кто угодно может класть туда письма, но вынимать может только тот, у кого есть ключ от этого ящика. К сожалению, зная открытый ключ, можно вычислить и закрытый, секретный. Но, к счастью, системы шифрования с открытым ключом разрабатывают так, чтобы это требовало огромных, нереалистичных вычислительных ресурсов. Так, например, широко используемый шифр RSA (от фамилий создателей — Rivest, Shamir и Adleman) основана на сложности разложения целого числа на простые сомножители. Если мы перемножим два простых числа (напомним, простым называется натуральное число, не имеющее других делителей, кроме единицы и самого себя), в котором число разрядов исчисляется сотнями и тысячами, и сообщим кому-то произведение, то даже при использовании самых мощных суперкомпьютеров, а то и вовсе всех вычислительных ресурсов человечества, многие сотни лет пройдут, прежде чем тот человек сможет ответить, каковы же были исходные сомножители.

Но тут вступают в свои права квантовые технологии. Последние годы ознаменовались большим прорывом в развитии технологий квантовых вычислений: целый ряд лабораторий в крупнейших мировых научных центрах разработали свои прототипы квантовых компьютеров. Благодаря так называемому квантовому параллелизму квантовые компьютеры позволяют находить решения многих вычислительных задач намного быстрее. Мы надеемся, например, что с их помощью мы быстрее будем находить новые лекарства и новые материалы с заданными свойствами. Но также квантовый компьютер будет способен и быстро раскладывать большие натуральные числа на простые сомножители. Там, где самому мощному суперкомпьютеру потребуются сотни и тысячи лет, квантовый может справиться за считаные минуты. Конечно, до создания полномасштабного квантового компьютера ещё, по-видимому, довольно далеко. Сегодняшние прототипы квантового компьютера работают лишь с десятками квантовых битов (кубитов) и частота ошибок в них ещё достаточно высока. Чтобы раскладывать на множители числа, использующиеся в криптографии, надо иметь квантовый компьютер с десятками тысяч, а то и сотнями тысяч кубитов и надо уметь проводить вычислительные операции в них достаточно точно. Но начало положено.

Едва ли кто может сказать наверняка, когда появится полномасштабный квантовый компьютер и появится ли. Но готовиться к обновлению инфраструктуры информационной безопасности, которая поставлена под угрозу описанной перспективой, надо уже сейчас. Когда появится полномасштабный квантовый компьютер, реагировать будет уже поздно, поскольку с помощью этого компьютера можно будет взламывать и прошлые сообщения, чья конфиденциальность ещё будет оставаться актуальной. На внедрение инфраструктуры информационной безопасности, стойкой к атакам с использованием квантового компьютера, также требуется время, она не может быть внедрена одномоментно. 

Квантовый мир: роль наблюдателя и невозможность тиражирования информации 

Одним из возможных ответов на данный вызов и служит квантовая криптография, или, точнее, квантовое распределение ключей. Таким образом, квантовые технологии удивительным образом и ставят нашу информационную безопасность под угрозу, и предлагают ответ на эту угрозу.

Идея заключается в том, чтобы защитить информацию не путём математических преобразований, а на фундаментальном физическом уровне. Информация в оптоволокне или по воздуху передаётся посредством электромагнитных волн. Возможность прослушивания связана с тем, что человек, имеющий доступ к каналу связи, может отвести себе часть электромагнитного сигнала. В рамках классических (неквантовых) представлений, каким бы слабым ни был сигнал, всегда можно при наличии достаточно чувствительной аппаратуры отвести себе небольшую его часть и прочитать передаваемую информацию.

Но квантовая теория учит, что мы не можем уменьшать интенсивность сигнала до сколь угодно малых величин, бесконечно делить сигнал на части. С точки зрения квантовой теории электромагнитный сигнал представляет собой поток частиц — фотонов. Если сигнал настолько слабый, что содержит только один фотон, то его уже нельзя больше делить, нельзя разделить фотон на две половинки. Фотон — неделимая порция, квант электромагнитного поля. Если мы ослабим сигнал до уровня одного фотона, то здесь уже вступают в силу принципиально иные законы — законы квантовой механики. И здесь же всплывают все те загадки квантовой теории, которые упоминались выше.

Начнём с роли наблюдателя. В классической (то есть неквантовой) физике мы привыкли к тому, что физические процессы протекают независимо от нас и от того, наблюдаем ли мы за ними или нет. Это представление основано на том, что мы можем сделать воздействие, оказываемое нами на систему в ходе наблюдения, пренебрежимо малым. Чтобы увидеть в темноте предмет, мы должны посветить на него. Свет оказывает давление на этот предмет, но оно очень маленькое и с учётом большой массы предмета им можно пренебречь. Не так, если мы работаем с одиночным электроном, атомом или фотоном. Они слишком малы. Любое наше информативное взаимодействие с ними посредством других микрочастиц будет сопоставимо по энергии с их собственными энергиями. Тем более, если мы взаимодействуем с ними посредством макроскопического, большого прибора, чья энергия на много порядков больше энергии микроскопической частицы. Наблюдатель, таким образом, уже не может остаться в стороне: то, каким образом он организует своё взаимодействие с микроскопической частицей для того, чтобы измерить ту или иную величину, к ней относящуюся, существенно влияет на саму систему.

И именно это — конечно, на очень общем и абстрактном уровне — и обеспечивает стойкость квантовой криптографии к прослушиваю с использованием любых, сколь угодно мощных классических или квантовых вычислительных устройств. Итак, информация закодирована в состояние единичного фотона (например, в его поляризацию). Если кто-то хочет прочитать эту информацию, он должен провзаимодействовать с этим фотоном. Провзаимодействовать — значит, изменить его состояние, повлиять на него, «испортить». Оказывается, в общем случае нельзя просто «отксерокопировать» неизвестное состояние фотона («теорема о запрете квантового клонирования»). Таким образом, при попытке прослушивания в передаваемую информацию будет вноситься шум, ошибки. Обнаружив эти ошибки, используя сообщения по обычному открытому каналу (т. е. такому, который можно свободно кому угодно прослушивать, он не предполагается секретным), легитимные участники обнаруживают факт прослушивания и прекращают связь. Соглядатай не достигает своей цели.

Важно отметить, что здесь мы не передаём никакой полезной информации. Мы занимаемся проблемой генерации общего секретного ключа для двух участников, находящихся на расстоянии друг от друга. Когда такой ключ есть, эти две стороны могут передавать секретные сообщения, используя заранее обговоренный шифр. Таким образом, если соглядатай попытается узнать часть передаваемых битов, но это вмешательство будет обнаружено и связь прервана, то те биты, которые он успел узнать, окажутся уже ненужными: все переданные биты будут забыты легитимными сторонами и не будут использованы для формирования ключа.

Но тогда здесь можно задать следующий вопрос: получается ведь, что недоброжелатель всегда может прервать связь, осуществляя прослушивание, которое будет каждый раз обнаруживаться? К сожалению, да. Мы не в силах передать информацию во что бы то ни стало: если канал связи контролируется третьими лицами, то они всегда могут тем или иным образом этот канал нарушить или оборвать (например, физически оборвать оптоволокно). Цель соглядатая — не оборвать связь, а позволить легитимным сторонам передать полезную информацию, подслушав её. Цель же легитимных сторон — либо обнаружить факт подслушивания и прервать связь, либо удостовериться, что прослушки нет и сгенерировать секретный ключ, который потом будет использоваться для зашифрования и расшифрования информации. 

Чудеса квантовой нелокальности 

Итак, мы с вами разобрали общий принцип квантовой криптографии. Давайте теперь рассмотрим принцип её работы с другой стороны, которая ближе к тому, с чем реально работают при доказательстве её стойкости. Для этого нам нужно обратиться к самой загадочной черте квантового мира — его нелокальности. Опыт, который мы опишем, проводится с квантовыми частицами — фотонами, электронами и т. п. Но для большей наглядности мы опишем его на примере ботинок, представляя, что это такие квантовые частицы.

Пусть в коробке лежит пара ботинок и два человека, не глядя, достают из неё по ботинку и, также не глядя, кладут их в свои рюкзаки и разлетаются в разные концы галактики. Там каждый из них открывает рюкзак и достаёт ботинок. Если один человек видит, что его ботинок — левый, то он мгновенно понимает, что ботинок на другом конце галактики — правый. Допустим, нас также интересует цвет ботинка. Он может быть белым или черным — заранее это неизвестно, но ботинки одной и той же пары обязательно имеют одинаковый цвет. Если один человек видит, что его ботинок — белый, то он мгновенно понимает, что и на другом конце галактики ботинок тоже белый. Здесь пока нет ничего удивительного, т. к. пока у нас ботинки — самые обычные.

Но всё меняется, если наши ботинки подчиняются законам квантовой механики. В квантовом мире царят соотношения неопределённостей: например, нельзя измерить одновременно сколь угодно точно положение и скорость частицы. Если мы очень точно измеряем положение частицы, то становится очень неопределённой скорость, и наоборот. На языке ботинок это означает следующее: мы не можем одновременно узнать («измерить») и цвет ботинка, и его «право-левость», по-научному — хиральность. Если мы измеряем цвет, то ботинок становится неопределенной хиральности: не определено, правый он или левый. Если же мы измеряем хиральность, то теряем определённое значение цвета. Иными словами, ботинку мы можем задать только один вопрос из этих двух: «Ты чёрный или белый?» и «Ты правый или левый?». Но свойство, что хиральности двух ботинок из одной пары различаются, а цвета совпадают, сохраняется.

Допустим, один человек решает измерить цвет и видит, что его ботинок — белого цвета. Тогда и ботинок находящегося на другом конце галактики, мгновенно (!) тоже приобретает определённый цвет — белый, тогда как хиральность обоих становится неопределённой. Если, наоборот, тот человек измеряет хиральность и получает результат, например, что его ботинок — правый, то второй ботинок мгновенно приобретает хиральность (левую), а цвет обоих ботинок становится неопределённым.

Суть в том, что у человека есть свобода воли, и когда он выбирает, какую характеристику ему измерять, второй ботинок заранее не знает, какой выбор он сделает. Получается как бы мгновенная передача информации о том, что измеряет человек, цвет или хиральность, на другой конец галактики. В зависимости от этого второй ботинок переходит либо в состояние с определённой хиральностью, либо в состояние с определённым цветом.

Но мгновенная (вообще, сверхсветовая) передача информации на расстояние противоречит теории относительности! К счастью, владельцы ботинок не могут воспользоваться этим эффектом для мгновенной передачи «человеческой» информации друг другу, иначе бы это действительно вело к известным парадоксам. А именно, появилась бы возможность послать сообщение себе в прошлое, что, опять же, ведёт к описанным в фантастике парадоксам, связанным с путешествием во времени и свободой воли. То есть квантовые частицы ведут себя так, как будто передают мгновенно друг другу информацию о своих состояниях, но человек не может воспользоваться этим для сверхсветовой передачи каких-то сведений, поэтому формально парадоксов не возникает. Но всё равно эффект очень удивительный и непонятный. Говоря юридическим языком, этот эффект (его ещё называют квантовой нелокальностью) не противоречит букве теории относительности, но противоречит её духу, т. к. она всё же запрещает любые виды сверхсветового и, тем более, мгновенного действия на расстоянии.

Состояния пар частиц, обладающих такими необычными свойствами, ввёл Эрвин Шрёдингер. По-русски они называются «сцепленными» (как вариант — «зацепленными») или «запутанными». Эти названия отражают свойства, что, несмотря на то что два ботинка находятся на расстоянии, они составляют единое целое и как бы «чувствуют» друг друга на расстоянии.

Мы не можем использовать описанный эффект квантовой нелокальности для мгновенной передачи «человеческой» информации, сведений, но можем его использовать и используем в квантовой криптографии для удостоверения в том, что квантовый канал связи не подслушивают. Так эта фундаментальная, отчасти даже философская загадка квантового мира становится практически значимой!

Дело в том, что сцепленным можно быть только с одним «партнёром». Если наши два человека, анализируя результаты измерений (для чего, конечно, они будут общаться по каналу связи, скорость передачи информации по которому не превышает скорость света в вакууме), понимают, что их ботинки находятся в сцепленном состоянии, то совершенно точно нет какого-то третьего ботинка, который был бы сцеплен с этими двумя. Это свойства называется немного смешно: «моногамия сцепленности» (напомним, в социологии моногамией называется ситуация, когда человек не может иметь одновременно больше одной жены или больше одного мужа). В классическом (неквантовом) мире информация свободно тиражируема: в мире может быть сколько угодно ботинок, которые могут составить пару с нашим (то есть иметь тот же цвет и противоположную хиральность). В квантовом мире это невозможно: может быть только один, нельзя создать другой, не испортив первый. Это и гарантирует то, что никто больше во Вселенной не имеет даже теоретической возможности знать на выбор или цвет, или хиральность нашего ботинка, кроме того одного человека, который обладает вторым ботинком пары.

Но в этих свойствах мы можем кодировать информацию. К примеру, мы можем положить, что белый цвет или левая хиральность — это бит «0», а чёрный цвет или правая хиральность — бит «1». Мы случайно выбираем, что нам измерять: цвет или хиральность, и сообщаем о нашем выборе (но не сам результат!), нашему партнёру, с кем мы держим связь. Он проводит такое же измерение и неизбежно получит либо тот же бит (в случай с цветом), либо противоположный (в случае с хиральностью). В последнем случае наш партнёр по связи просто заменит бит на противоположный и получит то же значение бита, что и у нас. Так мы можем, находясь на расстоянии и общаясь по прослушиваемому каналу, получить один общий секретный бит. Если пар фотонов (которые в нашем рассказе «маскируются» под видом ботинок) будет больше, то и общих секретных битов мы сгенерируем больше. Получится ключ. На практике генерируются миллиарды фотонов в секунду, но из-за потерь и шумов в канале связи бит ключа генерируется намного меньше, но всё равно достаточное для многих практических целей: от тысячи до сотен миллионов бит в секунду.

Осталось только сказать, каким образом мы поймём, что наши фотоны-ботинки находятся в этих «волшебных» сцепленных состояниях, что действия соглядатая не испортили эти состояния. Для этого мы должны раскрыть результаты измерений в части позиций. Если и при измерении цвета, и при измерении хиральности обеими сторонами результаты согласуются (совпадают в одном случае и различаются в другом), то это гарантирует сцепленность состояния, т. е. только такие состояния обладают таким свойством. 

Заключение

Вот мы и описали в общих чертах принципы квантовой криптографии, в которой философские вопросы квантовой механики, такие как вопрос объективности или субъективности свойств объектов (цвет или хиральность существуют объективно или возникают в процессе их измерения?), вопрос свободы воли, вопрос действия на расстоянии, вопрос о существовании случайности в этом мире, приобретают практическое значение и становятся технологией.

В настоящее время предложено множество разных протоколов квантового распределения ключей, продолжаются работы, в том числе и в России, по доказательству их стойкости в условиях неидеального, реалистичного оборудования, совершенствуется технология, чтобы сделать квантовое распределение ключей более быстрым, работающим на более дальних расстояниях, более дешёвым и простым в реализации. Также за пределами данной популярной статьи осталось формальное описание протокола квантовой криптографии, который мы здесь имели в виду — протокола BB84 (названного по фамилиям его создателей – Bennett и Brassard — и года изобретения — 1984), а точнее, его модификации BBM92 (Bennett, Brassard и Mermin, 1992 год), хотя, если излагать их на языке ботинок, то до этого, в сущности, остаётся один шаг. В целом технология развивается и, вероятно, в скором будущем займёт своё место в обеспечении информационной безопасности.