量子密码术是一门利用量子力学性质来执行密码任务的科学。量子密码术最著名的例子是量子密钥分发,它为密钥交换问题提供了一个信息理论上安全的解决方案。量子密码术的优点在于,它允许仅使用经典(即非量子)通信来完成被证明或推测不可能完成的各种密码任务。例如,不可能复制以量子状态编码的数据。如果试图读取编码数据,量子状态将会改变(不克隆定理)。这可以用来检测量子密钥分发中的窃听。
量子密码术的起源归功于斯蒂芬·威斯纳和吉尔·布拉萨尔的工作。威斯纳当时在纽约哥伦比亚大学,他在20世纪70年代早期引入了量子共轭编码的概念。他的开创性论文《共轭编码》被IEEE信息论学会拒绝,但最终在1983年发表在《全球信息与行动通讯》(SIGACT News)上。[1] 在这篇论文中,他展示了如何通过将两个信息编码成两个“共轭可观测值”来存储或传输两个信息,例如光子的线性极化和圆极化,[2] 从而可以接收和解码其中的一个信息,但不能同时接收和解码两个信息。直到在波多黎各举行的第20届IEEE研讨会上,IBM公司托马斯·J·沃森研究中心的查尔斯·班尼特和吉尔·布拉萨德相遇,他们才发现如何整合威斯纳的发现。“当我们意识到光子从未打算存储信息,而不是传输信息时,主要的突破就出现了。”[1] 1984年,贝内特和布拉萨德在这项工作的基础上提出了一种安全通信的方法,现在被称为BB84。[3] 1991年,阿图尔·埃克特基于称为量子纠缠的特殊量子关联,开发了一种不同的量子密钥分配方法。[4]
在Kak的三阶段协议中,双方都提出了极化的随机旋转。[5] 原则上,如果使用单光子,这种方法可以用于连续、不可破解的数据加密。[6] 基本偏振旋转方案已经实施。[7] 这代表了一种纯基于量子的加密方法,与量子密钥分发相反,在量子密钥分发中,实际的加密是经典的。[8]
BB84方法是量子密钥分发方法的基础。制造量子密码系统的公司包括MagiQ Technologies,Inc .(美国马萨诸塞州波士顿)、ID Quantique(瑞士日内瓦)、QuintessenceLabs(澳大利亚堪培拉)和SeQureNet(法国巴黎)。
量子密码术最广为人知和最发达的应用是量子密钥分发(QKD),这是一个使用量子通信在双方(例如爱丽丝和鲍勃)之间建立共享密钥的过程,而第三方(伊芙)对该密钥一无所知,即使夏娃可以窃听爱丽丝和鲍勃之间的所有通信。如果伊芙试图了解正在建立的密钥的信息,就会出现差异,引起爱丽丝和鲍勃的注意。一旦密钥被建立,它通常被用于使用经典技术的加密通信。例如,交换的密钥可以用于对称加密。
量子密钥分发的安全性可以在数学上得到证明,而不会对窃听者的能力施加任何限制,这在经典密钥分发中是不可能的。这通常被描述为“无条件安全”,尽管需要一些最低限度的假设,包括量子力学定律适用,爱丽丝和鲍勃能够相互认证,即伊芙不应该能够冒充爱丽丝或鲍勃,否则中间人攻击是可能的。
虽然量子密钥分发看似安全,但其应用面临着实用性的挑战。这是由于传输距离和密钥生成速率的限制。正在进行的研究和不断发展的技术使得这种局限性得到了进一步的发展。2018年Lucamarini等人提出了一个可能克服“速率-距离限制”的方案。双场量子密钥分发方案表明,在“550公里标准光纤”上可以实现最佳密钥速率,这种光纤现在已经在通信中广泛使用。[9]
除了量子硬币翻转之外,当涉及不信任方时,量子承诺协议也被实现。承诺方案允许一方爱丽丝以这样的方式确定某个值(即“承诺”),即爱丽丝不能改变该值,同时确保接收者鲍勃在爱丽丝揭示该值之前不能了解该值。这种承诺方案通常用于密码协议(例如量子硬币翻转、零知识证明、安全的双方计算和不经意传输)。
在量子环境中,它们将特别有用:克雷波和基利安表明,通过承诺和量子信道,人们可以构造一个无条件安全的协议来执行所谓的不经意传输。[13] 另一方面,Kilian已经证明了不经意传输允许以安全的方式实现几乎任何分布式计算(所谓的安全多方计算)。[14] (注意,这里我们有点不精确:克雷波和基利安的结果[13][14] 并不直接意味着给定承诺和量子信道就可以执行安全的多方计算。这是因为结果不能保证“可组合性”,也就是说,当将它们连接在一起时,可能会失去安全性。
不幸的是,早期的量子承诺协议[15] 被证明是有缺陷的。事实上,迈尔斯证明了(无条件安全的)量子承诺是不可能的:计算无限制的攻击者可以破坏任何量子承诺协议。[16]
然而,迈尔斯的结果并不排除在比不使用量子通信的承诺协议所需的假设弱得多的假设下构建量子承诺协议(从而安全多方计算协议)的可能性。下面描述的有界量子存储模型是量子通信可用于构建承诺协议的设置的示例。2013年11月的一项突破通过利用量子理论和相对论提供了信息的“无条件”安全性,这在全球范围内首次得到成功证明。[17] 最近,王等人提出了另一个承诺方案,其中“无条件隐藏”是完美的。[18]
构造无条件安全的量子承诺和量子不经意传输(OT)协议的一种可能性是使用有界量子存储模型(BQSM)。在该模型中,假设对手可以存储的量子数据量受到某个已知常数Q的限制。然而,对对手可以存储的经典(即非量子)数据量没有限制。
在BQSM中,可以构建承诺和不经意传输协议。[19] 其基本思想如下:协议双方交换超过Q个量子比特(qubits)。因为即使是不诚实的一方也不能存储所有的信息(对手的量子存储仅限于Q个量子比特),大部分数据要么被测量,要么被丢弃。强迫不诚实的一方测量大部分数据允许协议绕过不可能的结果,现在可以实现承诺和不经意的传输协议。[16]
达摩德(Damgrd)、菲尔(Fehr)、萨尔瓦勒(Salvail)和沙夫纳(Schaffner)提出的BQSM中的协议[19] 不假设诚实的协议参与者存储任何量子信息;技术要求与量子密钥分发协议中的技术要求类似。因此,这些协议至少在原理上可以用今天的技术来实现。通信复杂性只是一个常数因子,大于对手量子存储上的界限Q。
BQSM的优点是对手的量子存储有限的假设是非常现实的。利用今天的技术,在足够长的时间内可靠地存储一个量子位是很困难的。(什么是“足够长”取决于协议细节。通过在协议中引入人工暂停,对手需要存储量子数据的时间可以任意变大。)
BQSM的扩展是由魏纳、沙夫纳和泰尔哈尔引入的噪声存储模型。[20] 不考虑对手量子存储物理大小的上限,而是允许对手使用任意大小的不完全量子存储设备。缺陷的程度是由噪声量子信道模拟的。对于足够高的噪声水平,可以实现与BQSM中相同的基元,[21] 并且BQSM形成了噪声存储模型的一种特殊情况。
在经典设置中,当假设对手可以存储的经典(非量子)数据量有界限时,可以获得类似的结果。[22] 然而在这个模型中,事实证明诚实的一方也必须使用大量的存储(即对手存储界限的平方根)。[23] 这使得这些协议对于现实的内存边界不切实际。(请注意,利用当今的技术,如硬盘,对手可以廉价存储大量经典数据。)
基于位置的量子密码术的目标是使用玩家的地理位置作为其(唯一的)凭证。例如,一个人想要向特定位置的玩家发送消息,并保证只有当接收方位于该特定位置时才能被读取。在位置验证的基本任务中,玩家爱丽丝想让(诚实的)验证者相信她位于特定的位置。Chandran等人已经证明,使用经典协议进行位置验证是不可能对抗勾结的对手(他们控制除了证明者声称的位置之外的所有位置)。[24] 在对手的各种限制下,方案是可能的。
肯特在2002年以“量子标签”的名义研究了第一个基于位置的量子方案。2006年获得了美国专利。[25] 使用量子效应进行位置验证的概念最早出现在2010年的科学文献中。[26][27] 在2010年其他几个位置验证的量子协议被提出后,[28][29] Buhrman等人声称一个普遍不可能的结果:[30] 使用大量的量子纠缠(他们使用双倍指数的电子顺磁共振对,以诚实的玩家操作的量子位数为单位),联盟对手总是能够让它看起来像是在声明的位置上一样。然而,这一结果并不排除在有界或噪声量子存储模型中实现实用方案的可能性(见上文)。后来,贝吉和柯尼格将针对位置验证协议的一般攻击所需的电子顺磁共振对的数量提高到指数级。他们还声称,对于只控制线性数量的电子顺磁共振对的对手,特定的协议仍然是安全的。[31] 有人认为, [32] 由于时间-能量耦合,通过量子效应进行正式无条件位置验证的可能性仍然是一个开放的问题。
如果量子密码协议的安全性不依赖于相信所使用的量子设备是真实的,那么它就是独立于设备的。因此,这种协议的安全性分析需要考虑不完美甚至恶意设备的情况。迈尔斯和姚[33] 提出了利用“自测”量子设备设计量子协议的想法,量子设备的内部操作可以由他们的输入输出统计数据来唯一确定。随后,罗杰·科尔贝克在他的论文中[34] 提出使用贝尔测试来检查设备的可靠性。从那时起,几个问题已经被证明允许无条件的安全和独立于设备的协议,即使当执行贝尔测试的实际设备基本上是“有噪声的”,即远不是理想的。这些问题包括量子密钥分配、[35][36] 随机性扩展[36][37] 和随机性放大。[38]
2018年,Arnon- Friedman等人进行的理论研究表明,利用熵的性质,即后来称为“熵累积定理(EAT)”的性质,这是渐近均分性质的扩展,可以保证设备无关协议的安全性。[39]
量子计算机可能成为技术现实;因此,研究用于对抗能够访问量子计算机的对手的密码方案非常重要。对这种方案的研究通常被称为后量子密码术。对后量子密码术的需求来自于这样一个事实,即许多流行的加密和签名方案(基于ECC和RSA的方案)可以利用肖尔算法在量子计算机上分解和计算离散对数而被破坏。据目前所知,基于量子对手的安全方案的例子有基于网格的方案和大多数对称密钥算法。[40][41] 后量子密码术的调查是可用的。[42][43]
还有关于如何修改现有密码技术以应对量子对手的研究。例如,当试图开发针对量子对手的零知识证明系统时,需要使用新的技术:在经典设置中,零知识证明系统的分析通常涉及“倒带”,这种技术使得有必要复制对手的内部状态。在量子设置中,复制一个状态并不总是可能的(非克隆定理);必须使用倒带技术的变体。[44]
后量子算法也被称为“量子抗性”,因为—与量子密钥分发不同—不知道或不可证明未来不会有针对它们的潜在量子攻击。尽管他们不容易受到肖尔算法的攻击,国家安全局还是宣布了向量子抗性算法过渡的计划。[45] 国家标准与技术研究所(NIST)认为是时候考虑量子安全基元了。[46]
到目前为止,量子密码术主要是随着量子密钥分发协议的发展而确立起来的。不幸的是,由于需要建立和操作许多成对的密钥(所谓的“密钥管理问题”),因而具有通过量子密钥分发方式分发的密钥的对称密码系统对于大型网络(许多用户)变得低效。此外,这种分发本身并不能解决日常生活中至关重要的许多其他密码任务和功能。Kak的三阶段协议已经被提出作为一种完全量子化的安全通信方法,不同于量子密钥分发,在量子密钥分发中,密码转换使用经典算法。[47]
除了量子承诺和不经意传输(如上所述)以外,对超越密钥分配的量子密码术的研究围绕量子数字签名、量子单向函数和公钥加密、量子指纹和实体认证(例如,见PUFs的量子读出)等展开。[48][49] [50][51][52][53][54] [55]
^Bennett, Charles H.; et al. (1992). "Experimental quantum cryptography". Journal of Cryptology. 5 (1): 3–28..
^Wiesner, Stephen (1983). "Conjugate coding". ACM SIGACT News. 15 (1): 78–88..
^Bennett, Charles H.; Brassard, Giles (1984). "Quantum cryptography: Public key distribution and coin tossing". Proceedings of IEEE International Conference on Computers, Systems and Signal Processing. 175: 8..
^Ekert. A. Physical Review Letters, 67, pp. 661–663, (1991).
^Kak, Subhash (2006). "A three-stage quantum cryptography protocol". Foundations of Physics Letters. 19 (3): 293–296. arXiv:quant-ph/0503027. doi:10.1007/s10702-006-0520-9..
^Chen, Y.; et al. (2009). "Embedded security framework for integrated classical and quantum cryptography in optical burst switching networks". Security and Communication Networks. 2: 546–554..
^"A multi-photon approach to quantum cryptography". Kurzweil. 5 October 2012. Archived from the original on 5 February 2015. Retrieved 5 February 2015..
^Cardinal, David (2019), Quantum Cryptography Demystified: How It Works in Plain Language. Extreme Tech, March 11. [1].
^Shields, A. J.; Dynes, J. F.; Yuan, Z. L.; Lucamarini, M. (May 2018). "Overcoming the rate–distance limit of quantum key distribution without quantum repeaters". Nature (in 英语). 557 (7705): 400–403. arXiv:1811.06826. doi:10.1038/s41586-018-0066-6. ISSN 1476-4687. PMID 29720656..
^Stuart Mason Dambort, "Heads or tails: Experimental quantum coin flipping cryptography performs better than classical protocols" Archived 25 3月 2017 at the Wayback Machine, Phys.org, March 26, 2014.
^Doescher, C.; Keyl, M. (2002). "An introduction to quantum coin-tossing". arXiv:quant-ph/0206088..
^Bennett, Charles H.; Brassard, Gilles (2014). "Quantum cryptography: Public key distribution and coin tossing". Theoretical Computer Science. 560: 7–11. doi:10.1016/j.tcs.2014.05.025..
^Crépeau, Claude; Joe, Kilian (1988). Achieving Oblivious Transfer Using Weakened Security Assumptions (Extended Abstract). FOCS 1988. IEEE. pp. 42–52..
^Kilian, Joe (1988). Founding cryptography on oblivious transfer. STOC 1988. ACM. pp. 20–31. Archived from the original on 24 December 2004..
^Brassard, Gilles; Claude, Crépeau; Jozsa, Richard; Langlois, Denis (1993). A Quantum Bit Commitment Scheme Provably Unbreakable by both Parties. FOCS 1993. IEEE. pp. 362–371..
^Mayers, Dominic (1997). "Unconditionally Secure Quantum Bit Commitment is Impossible". Physical Review Letters. 78 (17): 3414–3417. arXiv:quant-ph/9605044. Bibcode:1997PhRvL..78.3414M. CiteSeerX 10.1.1.251.5550. doi:10.1103/PhysRevLett.78.3414..
^Lunghi, T.; Kaniewski, J.; Bussières, F.; Houlmann, R.; Tomamichel, M.; Kent, A.; Gisin, N.; Wehner, S.; Zbinden, H. (2013). "Experimental Bit Commitment Based on Quantum Communication and Special Relativity". Physical Review Letters. 111 (18): 180504. arXiv:1306.4801. doi:10.1103/PhysRevLett.111.180504. PMID 24237497..
^Wang, Ming-Qiang; Wang, Xue; Zhan, Tao (2018). "Unconditionally secure multi-party quantum commitment scheme" (PDF). Quantum Information Processing (in 英语). 17 (2). doi:10.1007/s11128-017-1804-7. ISSN 1570-0755..
^Damgård, Ivan; Fehr, Serge; Salvail, Louis; Schaffner, Christian (2005). Cryptography In the Bounded Quantum-Storage Model. FOCS 2005. IEEE. pp. 449–458. arXiv:quant-ph/0508222..
^Wehner, Stephanie; Schaffner, Christian; Terhal, Barbara M. (2008). "Cryptography from Noisy Storage". Physical Review Letters. 100 (22): 220502. arXiv:0711.2895. Bibcode:2008PhRvL.100v0502W. doi:10.1103/PhysRevLett.100.220502. PMID 18643410..
^Doescher, C.; Keyl, M.; Wullschleger, Jürg (2009). "Unconditional security from noisy quantum storage". IEEE Transactions on Information Theory. 58 (3): 1962–1984. arXiv:0906.1030. doi:10.1109/TIT.2011.2177772..
^Cachin, Christian; Crépeau, Claude; Marcil, Julien (1998). Oblivious Transfer with a Memory-Bounded Receiver. FOCS 1998. IEEE. pp. 493–502..
^Dziembowski, Stefan; Ueli, Maurer (2004). On Generating the Initial Key in the Bounded-Storage Model. Eurocrypt 2004. LNCS. 3027. Springer. pp. 126–137. Preprint available at "Archived copy" (PDF). Archived (PDF) from the original on 4 September 2010. Retrieved 2 September 2010.CS1 maint: Archived copy as title (link)..
^Chandran, Nishanth; Moriarty, Ryan; Goyal, Vipul; Ostrovsky, Rafail (2009). Position-Based Cryptography..
^US 7075438, issued 2006-07-11.
^Malaney, Robert (2010). "Location-dependent communications using quantum entanglement". Physical Review A. 81 (4): 042319. arXiv:1003.0949. Bibcode:2010PhRvA..81d2319M. doi:10.1103/PhysRevA.81.042319..
^Malaney, Robert (2010). Quantum Location Verification in Noisy Channels. IEEE Global Telecommunications Conference GLOBECOM 2010. pp. 1–6. arXiv:1004.4689. doi:10.1109/GLOCOM.2010.5684009..
^Doescher, C.; Keyl, M.; Spiller, Timothy P. (2011). "Quantum Tagging: Authenticating Location via Quantum Information and Relativistic Signalling Constraints". Physical Review A. 84: 012326. arXiv:1008.2147. doi:10.1103/PhysRevA.84.012326..
^Lau, Hoi-Kwan; Lo, Hoi-Kwong (2010). "Insecurity of position-based quantum-cryptography protocols against entanglement attacks". Physical Review A. 83 (1): 012322. arXiv:1009.2256. Bibcode:2011PhRvA..83a2322L. doi:10.1103/PhysRevA.83.012322..
^Doescher, C.; Keyl, M.; Fehr, Serge; Gelles, Ran; Goyal, Vipul; Ostrovsky, Rafail; Schaffner, Christian (2010). "Position-Based Quantum Cryptography: Impossibility and Constructions". SIAM Journal on Computing. 43: 150–178. arXiv:1009.2490. doi:10.1137/130913687..
^Beigi, Salman; König, Robert (2011). "Simplified instantaneous non-local quantum computation with applications to position-based cryptography". New Journal of Physics. 13 (9): 093036. arXiv:1101.1065. Bibcode:2011NJPh...13i3036B. doi:10.1088/1367-2630/13/9/093036..
^Malaney, Robert (2016). "The Quantum Car". IEEE Wireless Communications Letters. 5 (6): 624–627. arXiv:1512.03521. doi:10.1109/LWC.2016.2607740..
^Mayers, Dominic; Yao, Andrew C.-C. (1998). Quantum Cryptography with Imperfect Apparatus. IEEE Symposium on Foundations of Computer Science (FOCS). arXiv:quant-ph/9809039. Bibcode:1998quant.ph..9039M..
^Colbeck, Roger (December 2006). "Chapter 5". Quantum And Relativistic Protocols For Secure Multi-Party Computation (Thesis). University of Cambridge. arXiv:0911.3814..
^Vazirani, Umesh; Vidick, Thomas (2014). "Fully Device-Independent Quantum Key Distribution". Physical Review Letters. 113 (2): 140501. arXiv:1403.3830. Bibcode:2014PhRvL.113b0501A. doi:10.1103/PhysRevLett.113.020501. PMID 25062151..
^Miller, Carl; Shi, Yaoyun (2014). "Robust protocols for securely expanding randomness and distributing keys using untrusted quantum devices". Journal of the ACM. 63 (4): 33. arXiv:1402.0489..
^Miller, Carl; Shi, Yaoyun (2017). "Universal security for randomness expansion". SIAM Journal on Computing. 46 (4): 1304–1335. arXiv:1411.6608..
^Chung, Kai-Min; Shi, Yaoyun; Wu, Xiaodi (2014). "Physical Randomness Extractors: Generating Random Numbers with Minimal Assumptions". arXiv:1402.4797 [quant-ph]..
^Arnon-Friedman, Rotem; Dupuis, Frédéric; Fawzi, Omar; Renner, Renato; Vidick, Thomas (2018-01-31). "Practical device-independent quantum cryptography via entropy accumulation". Nature Communications (in 英语). 9 (1): 459. doi:10.1038/s41467-017-02307-4. ISSN 2041-1723. PMC 5792631. PMID 29386507..
^Daniel J. Bernstein (2009). "Introduction to post-quantum cryptography" (PDF). (Introductory Chapter to Book "Post-quantum Cryptography"). Archived (PDF) from the original on 20 September 2009..
^Daniel J. Bernstein (17 May 2009). "Cost analysis of hash collisions: Will quantum computers make SHARCS obsolete?" (PDF). Archived (PDF) from the original on 25 August 2017..
^"Post-quantum cryptography". Archived from the original on 17 July 2011. Retrieved 29 August 2010..
^Bernstein, Daniel J.; Buchmann, Johannes; Dahmen, Erik, eds. (2009). Post-quantum cryptography. Springer. ISBN 978-3-540-88701-0..
^Watrous, John (2009). "Zero-Knowledge against Quantum Attacks". SIAM Journal on Computing. 39 (1): 25–58. arXiv:quant-ph/0511020. CiteSeerX 10.1.1.190.2789. doi:10.1137/060670997..
^"NSA Suite B Cryptography". Archived from the original on 1 January 2016. Retrieved 29 December 2015..
^"Quantum Resistant Public Key Exchange: The Supersingular Isogenous Diffie-Hellman Protocol – CoinFabrik Blog". blog.coinfabrik.com (in 英语). Archived from the original on 2 February 2017. Retrieved 24 January 2017..
^Thapliyal, K.; Pathak, A. (2018). "Kak's three-stage protocol of secure quantum communication revisited". Quantum Information Processing. 17 (9). arXiv:1803.02157. doi:10.1007/s11128-018-2001-z..
^Doescher, C.; Keyl, M. (2001). "Quantum Digital Signatures". arXiv:quant-ph/0105032..
^Collins, Robert J.; Donaldson, Ross J.; Dunjko, Vedran; Wallden, Petros; Clarke, Patrick J.; Andersson, Erika; Jeffers, John; Buller, Gerald S. (2014). "Realization of Quantum Digital Signatures without the Requirement of Quantum Memory". Physical Review Letters. 113 (4): 040502. arXiv:1311.5760. doi:10.1103/PhysRevLett.113.040502. PMID 25105603..
^Kawachi, Akinori; Koshiba, Takeshi; Nishimura, Harumichi; Yamakami, Tomoyuki (2011). "Computational Indistinguishability Between Quantum States and its Cryptographic Application". Journal of Cryptology. 25 (3): 528–555. CiteSeerX 10.1.1.251.6055. doi:10.1007/s00145-011-9103-4..
^Kabashima, Yoshiyuki; Murayama, Tatsuto; Saad, David (2000). "Cryptographical Properties of Ising Spin Systems". Physical Review Letters. 84 (9): 2030–2033. arXiv:cond-mat/0002129. doi:10.1103/PhysRevLett.84.2030. PMID 11017688..
^Nikolopoulos, Georgios M. (2008). "Applications of single-qubit rotations in quantum public-key cryptography". Physical Review A. 77 (3): 032348. arXiv:0801.2840. doi:10.1103/PhysRevA.77.032348..
^Nikolopoulos, Georgios M.; Ioannou, Lawrence M. (2009). "Deterministic quantum-public-key encryption: Forward search attack and randomization". Physical Review A. 79 (4). doi:10.1103/PhysRevA.79.042327..
^Seyfarth, U.; Nikolopoulos, G. M.; Alber, G. (2012). "Symmetries and security of a quantum-public-key encryption based on single-qubit rotations". Physical Review A. 85 (2): 022342. arXiv:1202.3921. doi:10.1103/PhysRevA.85.022342..
^Buhrman, Harry; Cleve, Richard; Watrous, John; De Wolf, Ronald (2001). "Quantum Fingerprinting". Physical Review Letters. 87 (16): 167902. arXiv:quant-ph/0102001. doi:10.1103/PhysRevLett.87.167902. PMID 11690244..
暂无