量子密碼學的理論基礎是量子力學, 與傳統密碼學使用的數學基礎不同, 量子密碼學是利 用物理學原理保護訊息, 最基本的兩個原理是海森堡的測不準原理 (uncertanty prin-ciple) 和量子不可複製理論 (Quantum No-Cloning Theorem)(見1.2.2節)。
最早將量子理論用於密碼學上的是美國科學家 Wiesner , 他在1969 年提出了 『 con-jugate coding』 的觀念, 但因為他的方案超越當時的觀念, 其論文因而未被接受刊登, 直 到 1983 年才被接受發表[7] 。 後來, Bennett 和 Brassard 從 Wiesner 的想法中受到 啟發, 將量子理論用於傳輸訊息之上, 於1984 年提出了第一個量子金鑰分配(Quantum Key Distribution,QKD) 的方法, 稱為 BB84 協定 [16]。1992 年, Bennett 又提出 一種與 BB84 協定類似的, 但較為簡化的 B92 協定 [17]。
而另外一種根據量子糾纏態(Quantum entanglement) 的量子特性的 EPR 協定 [18], 則於 1991 年由 Ekert 所提出。 主要是利用雙量子的糾纏態特性作為量子金鑰分 配, 並以糾纏態的獨特物理特性作為是否遭受到竊聽的判斷依據。
上面所提到的三種量子金鑰分配協定為目前被普遍研究的三種協定, 雖然還有其他不 同的協定, 但多可歸納屬於此三種類型之下, 下面的內容則針對此三種類型分別進行說 明。
第 3 章 量子密碼學
圖3.1: BB84 通訊階段圖
3.1 BB84 協定
BB84 協定是 Bennett 和 Brassard 於 1984 年所提出的量子金鑰分配系統 [16], 也 是第一個最著名的量子金鑰分配協定, 它是利用光子的偏振狀態所設計的。
若以雷射發射出單一光子, 光子會以兩種模式的其中一種做偏振 [8]。 第一種偏振方向 是垂直或水平的線極化光學狀態, 包含垂直極化狀態 |li, 設為1 ; 和水平極化狀態 |↔i, 設為 0 。 第二種偏振方向是和垂直呈現45度角的對角線極化光學狀態, 包含和垂直偏離 θ = π4 的極化狀態 |րi , 設為 1 ; 和垂直偏離 θ = −π4 的極化狀態 |տi , 設為 0 。 我 們以 ⊞ 代表使用 {|li, |↔i} 狀態的模式, 以 ⊠ 代表使用 {|րi, |տi} 狀態的模式,
BB84量子金鑰分配分成兩個階段進行, 如圖3.1所示:
第一階段: 經由量子通道 (Quantum Channel) 進行單向通訊 (One-Way Com-munication)
1.發送端 Alice 首先產生由0或1所構成的序列, 這些序列即將被用來建立金鑰。
2. Alice 任意選擇偏振濾片, 根據序列中的每一個元素產生偏極化光子, 並且記錄下 所使用的偏振片及產生的偏振狀態, 我們將之整理如表3.1, 第一行表示 Alice 所使用的 偏振片, 第二行是所產生的偏振狀態, 第三行則是序列的編碼。
第 3 章 量子密碼學
表3.1: Alice 傳送資訊表
Alice ⊞ ⊠ ⊠ ⊞ ⊞ ⊠ ⊞ ⊠ ⊠ ⊞
l ր տ l ↔ տ l ր տ ↔
1 1 0 1 0 0 1 1 0 0
3. Alice 將產生的光子傳遞給接受端 Bob。
4. Bob 任意選擇偏振片來接受光子, 同時記錄下他所使用的偏振片, 以及接受到的
序列, 如表。 第一行表示 Bob 所使用的偏振片, 第二行是所接收到的序列編碼。
第二階段: 經由公開通道 (Public Channel) 進行雙向的確認 (Two-Way Com-munication)
1.原始金鑰的確認
(1) Bob 透過公開通道 (可以是電話或者是電子郵件) 告訴 Alice 自己所使用的偏振 片。
(2) Alice 也透過公開通道告訴 Bob 所使用的偏振片哪些是正確的。
(3) 雙方將錯誤的 bits 去除, 剩下的將成為判斷是否被 Eve 竊聽的基礎。 如果 Eve 沒有竊聽, 他們剩下的 bits 將會完全相同; 如果 Eve 有竊聽, 他們剩下的 bits 就不會 完全相同。
2.錯誤率的評估
Alice 和 Bob 拿原始金鑰的一小部份來做測試, 並依此評估錯誤率 R。 如果 R=0 , 表示 Eve 沒有竊聽, 可以將原始金鑰減去測試的部份, 成為共同金鑰。 如果 R 6= 0, 表 示 Eve 有竊聽, 本次通訊並非安全, 必須將原始金鑰完全丟棄, 重新來過。
我們使用表3.2來檢測是否遭受到 Eve 進行不透明竊聽, 所謂不透明竊聽 (o-paque eavesdropping) 是說Eve 攔截每一個 qubit , 測量之後再寄給Bob [9]。 由於 Eve 所 使用的偏振片與 Alice 不完全相同, 因此會改變原本 Alice 所發送的光子偏振狀態。 根 據量子不可複製理論(Quantum No-Cloning Theorem), 量子測量會改變系統狀態,
第 3 章 量子密碼學
因此 Eve 無法完全複製出相同的量子狀態, 從而改變了 Alice 所發送的光子偏振狀態, 使得Bob 所接收到的與 Alice所發送的產生誤差, 因而得知 Eve的存在。 表3.2中 Bob 所使用的偏振片與 Alice 的不同者就去除不用, 與 Alice 相同者才列入原始金鑰。 其中, Bob 使用與 Alice 相同的偏振片, 但卻出現不同的結果的部份, 即顯示出因 Eve 竊聽 而產生的錯誤部份, 也同時告訴 Alice 及 Bob 本次通訊不安全。
表3.2: Alice,Eve,Bob 傳送資訊比對表
Alice ⊞ ⊠ ⊠ ⊞ ⊞ ⊠ ⊞ ⊠ ⊠ ⊞
l ր տ l ↔ տ l ր տ ↔
1 1 0 1 0 0 1 1 0 0
Eve ⊞ ⊠ ⊠ ⊞ ⊞ ⊞ ⊠ ⊠ ⊞ ⊞
1 1 0 1 0 0 1 1 1 0
Bob ⊞ ⊠ ⊠ ⊠ ⊞ ⊠ ⊞ ⊠ ⊞ ⊞
1 1 0 0 0 1 0 1 1 0
與 Alice 相同 ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
受到竊聽 E E
3.2 B92 協定
Bennett 在 1992 年結合了量子糾纏 (quantum entanglement) 以及量子不可複製 原理 (Quantum No-Cloning Theorem) 提出了 B92 量子金鑰分配協定, 由於量子 原理的限制, 如果一種測量不會破壞兩個非正交態中的任一個,那麼經由該測量也不可能 獲得任何能夠區分這兩個狀態的訊息 [17]。 因此, 不同於 BB84 協定需要使用到4 個非 正交態的光子, B92 協定只需要使用 2 個非正交狀態的光子。
B92 協定和 BB84 有許多相似的地方, 依據[19]所述, B92 協定也分成兩個階段, 第 一階段在量子通道進行單向通訊, 第二階段在公開通道中進行雙向的確認。
第一階段:
1. Alice 隨機準備一個二進位序列 a, 並依照以下的規則傳送量子位元給 Bob。(1)
第 3 章 量子密碼學
如果 a = 0 , 傳送 | ψi =| 0i 。(2) 如果 a = 1 , 傳送 | ψi = |0i+|1i√2 。
2.Bob 自己隨機產生一個二進位序列 a′ , 然後依照 a′ 依下列規則對 Alice 所傳送 的序列 a 進行測量。(1) 如果 a′ = 0 , 使用 Z 基態 | 0i, | 1i 作測量。(2) 如果 a′ = 1 , 使用 X 基態 | ±i = |0i±|1i√2 作測量。
3. Bob 將測量的結果整理成二進位序列 b 。 測量的結果中包含了 X 和 Z 的本徵值 -1 和 +1 , 將 -1 轉為 0 , +1 轉為 1 , 形成一個僅包含 0 和 1 的序列 b 。
第二階段:
1. Bob 經由公開通道告知 Alice 序列 b 。
2. Alice 和 Bob 保留 b=1 時的序列 a 和 a′ , 剩下的 a 就是 Alice 的金鑰, 剩下 的 1− a′ 就是 Bob 的金鑰。
3.錯誤率的評估: 與 BB84 相同。
我們可以用表3.3來看出在 B92 協定中, 各個序列之間的關係。 並且發現到當 b = 0 時, a = a′; 只有在 b = 1 時, a = 1 − a′, 其機率為 12, 且本例中最後形成金鑰為 01011 。
表3.3: B92 傳送序列關係表
Alice a 0 1 0 0 1 1 0 0 1 1
| ψi | 0i |0i+|1i√2 | 0i | 0i |0i+|1i√2 |0i+|1i√2 | 0i | 0i |0i+|1i√2 |0i+|1i√2
Bob a′ 0 1 1 0 0 1 0 1 0 0
basis Z X X Z Z X Z X Z Z
b 0 0 1 0 1 0 0 1 1 1
選取 ∨ ∨ ∨ ∨ ∨
3.3 EPR 協定
EPR協定是Ekert在1991年提出的量子金鑰分配協定, 主要是利用量子糾纏態 (Quan-tum entanglement) 的特性, 並且用貝爾不等式 (Bell’s inequality) 來偵測竊聽者的 存在 [18]。 所謂的量子糾纏是指兩個或兩個量子位元以上的量子系統, 無法被分解成獨
第 3 章 量子密碼學
立的純量子位元的張量積(tensor product), 則稱此量子系統具有糾纏的特性。
一般而言, 一個多量子位元系統 (multi-qubit system) 可以表示成各個獨立的量子 位元的張量積, 數學上以符號 N
來表示, 假設有兩個量子位元分別為: | φ1i = a | 0i + b | 1i, | φ2i = c | 0i + d | 1i, 若此雙量子系統為非糾纏態 (Un-entangled) 的 量子系統, 我們可以將系統的狀態表示成:
| φ1iO
| φ2i =| φ1φ2i = ac | 00i + ad | 01i + bc | 10i + bd | 11i, (3.1) 然而並非所有的多量子系統都可以用多個獨立的純量子位元張量積來表示, 也就是說, 多量子系統 | ψi, 如果無法被分解成獨立的純量子位元張量積的話, 就說這個量子系統 具有糾纏的特性, 不存在單量子位元系統 | φ1i 和 | φ2i, 滿足 | ψi =| φ1iN | φ2i 。
量子糾纏是一種奇特的量子現象, 當兩個量子系統發生糾纏時, 他們的命運就已經牽 連在一起了, 且不受時空的限制及外界干擾。 如此奇特的性質, 讓量子糾纏成為量子資訊 的重要基礎 [10]。
Ekert(1991) 的原始協定使用3個非正交狀態的協定, 假設選擇了 | Ω0i = √12(| 0i1 | 3π6 i2− | 3π6 i1 | 0i2), | Ω1i = √12(| π6i1 | 4π6 i2− | 4π6 i1 | π6i2), 和| Ω2i = √12(|
2π
6 i1 | 5π6 i2− | 5π6 i1 | 2π6 i2), 三種不同的偏極化狀態, 對於每一種狀態選擇相對應的字 母 A0, A1和A2, 並將其編碼如表3.4所示,
表3.4: EPR 編碼表
字母 Symbol Bit A0 | 0i 0
| 3π6 i 1 A1 | π6i 0
| 4π6 i 1 A2 | 2π6 i 0
| 5π6 i 1
然後分別選擇相對應的測量算符
第 3 章 量子密碼學
M0 =| 0ih0 |, M1 =| π6ihπ6 |, M2 =| 2π6 ih2π6 |。
EPR 協定分為兩個階段進行, 第一階段是在量子通道進行單向通訊, 第二階段是在公 開通道進行雙向的確認。
第一階段:
1.發信者或者是管理者隨機地從 {| Ω0i, | Ω1i, | Ω2i} 選取狀態 | Ωji 。 2.在挑選的狀態 | Ωji 中創造 EPR 對。
3.創造出的 EPR 對, ㄧ個光子傳送給 Alice, 另一個光子傳送給 Bob 。
4. Alice 和 Bob 分別隨機且獨立的選擇 M0, M1 和 M2 之一測量自己的光子, 並 且分別記錄下自己所測量到的Bits。
第二階段:
1. Alice 和 Bob 在公開通道進行測量算符的比對, 找出他們相同的測量算符, 做為 原始金鑰 (raw keys), 不同的測量算符則作為棄置金鑰 (rejected keys)。
2.利用棄置金鑰的 Bell 不等式決定是否遭受到竊聽, 如果 Bell 不等式被滿足了, 就 表示遭受到竊聽, 如果 Bell 不等式沒有被滿足, 就表示通道是安全的, 竊聽者並不存在。
我們令P(6=| i, j)表示Alice和Bob選擇的測量算符分別為 (Mi,Mj)或(Mj,Mi) 之下, 相對應的棄置金鑰不同的機率, 而 P(=| i, j) = 1 − P (6=| i, j) 表示相對應的棄 置金鑰相同的機率。 設 ∆(i, j) = P (6=| i, j) − P (=| i, j), 則 Bell 不等式可以化為 β = 1 + ∆(1, 2)− | ∆(0, 1) − ∆(0, 2) |, 根據量子力學, 如果 β = −12, 就不滿足 Bell 不等式, 表示沒有竊聽者的存在; 如果 β ≥ 0, 表示滿足了 Bell 不等式, 也就是說 有竊聽者的存在。