密码会报告量子密码

《密码会报告量子密码》由会员分享，可在线阅读，更多相关《密码会报告量子密码（39页珍藏版）》请在装配图网上搜索。

1、 主要内容量子密码的研究背景和意义基本物理概念典型协议和基本模型介绍研究现状和实验进展协议分析研究进展研究背景和意义对称密码体制q优点：加密速度快，适合批量加密数据q缺点：密钥分配、密钥管理、没有签名功能公钥密码体制：基于大数分解等数学难题q优点：可解决密钥分配、管理问题，可用于签名q缺点：加密速度慢实际使用：混合密码体制q用公钥密码体制分发会话密钥q用对称密码体制加密数据安全性挑战：量子计算qShor算法：大数分解算法 多项式时间内解决大数分解难题 受影响密码体制：RSA等大多数公钥密码qGrover算法：快速搜索算法 可以加速搜索密钥 受影响密码体制：DES，AES等对称密码计算能力对比：

2、大数因子分解q经典方法：运算时间随输入长度指数增长 129位，1600个工作站花了8个月的时间完成分解 250位，用同样计算功能需要8*105年 1000位，1025年 (宇宙年龄！) (1994年数据)q量子方法(Shor算法)：运算时间按多项式增长 1000位，只需运算几百万次（分钟量级！)计算能力对比：搜索算法（从 N 个未分类的客体中寻找出某个特定的客体）q经典方法 执行查找N/2次，正确的概率为1/2 从256个密钥中寻找一个正确的密钥需要1000年(106次/秒)q量子方法(Grover算法) 次，正确的概率接近1 从256个密钥中寻找一个正确的密钥需要的时间小于4分钟(106次/

3、秒)N有没有彻底的解决办法？q加密：One-Time Pad (OTP) 一次一密乱码本q密钥分发：？ 0 1 1 0 0 1 1 1 明文明文+ 1 0 0 0 0 1 0 1 密钥密钥 1 1 1 0 0 0 1 0 密文密文量子密钥分发（QKD）量子密钥分发的特点q可以检测到潜在的窃听行为q基于物理学原理，理论上可达到无条件安全基本物理概念量子的概念q微观世界的某些物理量不能连续变化而只能取某些分立值，相邻分立值的差称为该物理量的一个量子q直观理解：具有特殊性质的微观粒子或光子量子态q经典信息：比特 0 或 1，可用高低电压等表示q量子信息：量子比特（Qubit） |0 ， |1q量子比

4、特还可以处在 不同状态的叠加态上！ 10|+|-量子态的向量描述10,0 01,1 100101 11101,122 11101122 |0,|1相互正交， |+,|-相互正交量子态的可叠加性带来一系列特殊性质q量子计算的并行性：强大的计算能力q不可克隆定理：未知量子态不可克隆q测不准原理：未知量子态不可准确测量q对未知量子态的测量可能会改变量子态38.3o01UUU一则漫画量子比特的测量力学量、测量基q每个力学量都对应一个厄米算符（矩阵）q测量某个力学量时，测量结果为此力学量对应厄米算符的本征值（特征值）q测量后量子态塌缩到此本征值对应的本征态（特征向量） 1, -1本征值 0 , 1本征态

5、 1, -1本征值 , 本征态 0 , 1称为用 基测量,称为用 基测量10 01Z力学量01 10X力学量 一般地，用 测量量子态 将以概率 测得1，测量后量子态变为 将以概率 测得-1，测量后量子态变为 例如用 基测量 态，会以概率1得到 用 基测量 态，会以概率1得到 例如用 基测量 态，会随机得到 或 用 基测量 态，会随机得到 或 测量 或 态时有类似结论0,0 , 10 , 1011其中0100 , 101,01典型协议BB84 QKD协议使用的四种量子态：|0, |1, |+, |-根据测量知识，这四种量子态不可可靠区分，并且冒然测量会干扰量子态！10210 0度偏振态度偏振态|

6、09090度偏振态度偏振态|1旋转波片，顺旋转波片，顺时针旋转时针旋转4545度度4545度偏振态度偏振态10214545度偏振态度偏振态1. Alice制备一组偏振态光子发给Bob，每个光子随 机地处于|0, |1, |+, |-四个态之一2. Bob 随机选择一组偏振基同步测量每个光子3. Bob通知Alice测量到光子用的偏振基（不是态）4. Alice告诉Bob哪些选择是正确的，保留相应数据5. 双方按约定转换成0、16. 两人随机公布一些比特进行窃听检测。有窃听则终止7. 两人进行纠错和保密放大得到无条件安全的密钥窃听可检测性：假设a b c d分别代表|0 |1 |- |+态；1,

7、2分别代表|0,|1, |+,|-基无窃听时的情况：无窃听时的情况： 正确得到密钥正确得到密钥有窃听时的情况：有窃听时的情况： 密钥出错密钥出错量子密码基本模型四个基本步骤q信息传输q纠错信息传输：通常用到两种信道q量子信道 传输量子载体，例如 光纤、自由空间等 允许窃听者对传输的量子消息进行任意窃听和篡改q经典信道 传输经典消息，例如 测量基、测量结果等 基本假设：窃听者只能窃听经典消息而不能篡改它们q窃听检测q保密增强（Privacy Amplification）窃听检测q一般手段：随机选择部分量子载体，比较初末状态q对好的协议：窃听必然干扰量子态，进而引入错误q一旦发现存在窃听（错误率过

8、高），则终止通信，丢弃相关数据q因为传输的是密钥（即随机数），而不是秘密消息，因此可以丢弃它们而不会因此泄露秘密 纠错和保密增强：解决噪声问题q理想情况（无噪声）：有错误就认为有窃听q实际情况（有噪声）：噪声也会带来一定错误率q对策：设定一个阈值，当错误率高于这个阈值时丢弃通信数据，反之保留（即允许有一定的错误） Alice和Bob的密钥可能不完全一致 Eve可能在噪声掩饰下获得部分密钥信息q纠错：纠正密钥中的错误q保密增强：通过压缩密钥长度，将Eve可能获得的部分密钥信息压缩至任意小，得到安全的密钥研究现状和实验进展 量子密码协议的设计与分析q 量子密钥分发q 量子秘密共享q 量子安全直接通

9、信q 量子身份认证q 量子抛币q 量子不经意传输 关键技术q 提高效率：可重用基、纠缠增强、双光子、双探测器q 提高抗干扰能力：无消相干子空间、量子纠错码q 提高抗攻击能力：诱骗态（Decoy State） 实验技术：速率更高、距离更远、安全性更强q 量子比特承诺q 量子投票q 量子签名q 量子公钥密码q 量子拜占庭协定q 连续变量量子密码协议。实验进展（国外） 1989年，IBM、Montreal大学，第一个QKD实验，光纤，30公分 1995年，瑞士日内瓦大学，光纤，23公里 2002年，德国慕尼黑大学和英国军方，自由空间，23.4 公里 2004年，美国马萨诸塞州剑桥城，第一个量子密码通

10、信网络 2006年，德奥荷新英联合小组，自由空间，144公里q 全球QKD成为可能（卫星-地面）q T. Schmitt-Manderbach, et al., Phys. Rev. Lett. 98, 010504 (2007) 2008年， 瑞士、美国联合小组，光纤，250公里q 100km, 6kb/s, 0.85%q 250km, 15b/s, 1.9%q D. Stucki, et al., New J. Phys. 11, 075003 (2009)量子密钥分发系统，量子密钥分发系统，20012001年年 第一个商用量子密码系统第一个商用量子密码系统 最大传输距离最大传输距离: 6

11、0 km : 60 km 最大密钥分发速率：最大密钥分发速率：1000 bits/s 1000 bits/s Id Id QuantiqueQuantique公司公司, , 日内瓦大学日内瓦大学实验进展（国内） 1995年，中科院物理所, 首次演示性实验 2000年，中科院物理所、研究生院，光纤, 1.1公里 2004年，郭光灿小组, 光纤, 125公里 2004年，潘建伟小组, 量子隐形传态 2006年，潘建伟小组, 六粒子纠缠态 2008年，潘建伟小组, 量子中继器 2009年，潘建伟小组, 量子电话（20公里，10.5kb/s） 2009年，郭光灿小组, 量子政务网（芜湖）郭光灿小组郭光

12、灿小组QKD实验：北京至天津实验：北京至天津协议分析研究进展 协议分析的研究内容q 深入分析协议能否真正实现其密码学目标q 给出可能的攻击方法 协议分析的研究意义q 学科发展：q 应用角度：q 提出可行的改进方式研究现状 重设计而轻分析分析表明 很多协议被攻破设计和分析相互促进，共同推动密码学的发展熟悉常见攻击方法对协议设计有重要指导意义全面的安全性分析是协议走向实用的必要步骤误用不安全的密码系统将可能会带来严重后果研究成果举例 发现目前流行的双向量子安全直接通信协议中存在的信息泄漏问题（涉及整个方向的十余种协议），有一半甚至更多的秘密信息将被泄露出去。 (中国科学)从信息论和密码学的角度分析

13、了十余种不同双向QSDC方案，这些论文的SCI总引用次数已达160余次。以著名的QSS协议HBB为例，给出了具有一般意义的QSS安全性分析方法，得出了攻击成功的充要条件。本结果“终结了HBB协议的安全分析”（审稿专家），现有攻击策略都是该结果的特例。(PRA)该方法一方面可以发现协议的安全性问题，得到攻击成功的具体方法，另一方面可以证明协议在个体攻击下的安全性。建立了单粒子量子安全直接通信中的一种通用PNS攻击模型，证明了所有的双向单粒子量子安全直接通信协议在此模型下都是不安全的。(PRA)该攻击模型可直接应用于单粒子量子密码协议的安全性分析，包括量子密钥分发和量子安全直接通信协议。 提出参与

14、者攻击的概念，并对不同协议给出十余种有效的参与者攻击方法，使不诚实的参与者能够非法获得未授权秘密信息。（QIC等）在多方协议中，参与者往往具有更强的攻击能力。这种威胁一直未能引起人们足够的重视。分析表明，很多现有QSS协议都存在此类安全问题。 对一类多方量子秘密共享协议提出一种纠缠交换攻击方法，使得未授权用户可以非法获得共享的秘密信息。（QIC、OC等）可以应用于共享经典消息、共享量子态和可控量子秘密共享等至少7种不同方案，这些方案的SCI总引用次数已超过150次 指出现有的四种秘密分发参考系协议均不能抵抗拒绝服务攻击。并且发现由于没有共享的参考系，通信双方检测窃听的能力大大受限，要对抗拒绝服

15、务攻击远比QKD或QSDC协议中更复杂。截止目前人们还没有找到好的方法来解决这一难题。(PRA) 发现了GHZ态的一种新规律相关可提取性，这一性质可以被窃听者所利用，严重威胁着很多量子密码协议的安全性，尤其是在那些用GHZ态作量子载体的密码协议。应用这一性质攻击了多种量子密码协议。(PLA等) 提出了一种比较不同检测方法效率的模型，并用这种模型分析了ping-pong协议中两种不同检测方法的效率，比较结果与直观分析结果完全吻合。（中国科学） 分析了由德、瑞、新、西联合研究小组提出量子拜占庭协议，发现叛变者可以通过截获重发策略成功攻破此协议，他可以使两个忠诚的将军采取相反的行动，甚至可以成功地诬

16、陷任何一个忠诚的将军。(PRL) 对一类基于可重用载体的QKD、QSS协议（总SCI引用次数超过100次）提出一种间歇性攻击方法，可以使窃听者获得一半秘密信息而不被检测到。（PRA） 假信号攻击、纠缠分裂攻击、蛮力攻击、隐形传态攻击、密集编码攻击。不可低估量子特性赋予攻击者的攻击能力 必须对量子密码协议分析给予足够重视量子密码安全性分析研究的新方向 经典密码中安全性证明方法在量子密码中的应用q 量子密码的安全性证明方法与经典密码大不相同q 能否将经典密码中的证明方法应用到量子密码协议的分析？ 实际密码系统的安全性研究q 侧信道攻击：设备不理想的情况 光源：非理想单光子光源 信道：信道损失、信道噪声 探测器：暗计数、探测效率低、响应时间窗口不匹配 q 设备无关的量子密码体制：设备不可信的情况q 有限密钥长度量子密码体制Email: Tel: 86 -10 -62283240Web: