Authentifizierungsverfahren in der Quantenkryptographie Carolin Lunemann

Transkript

1 10. Mai 2006 Zwischenstand Authentifizierungsverfahren in der Quantenkryptographie Carolin Lunemann Universität Potsdam SoSe 2006

2 Grundlagen der Quantenkryptographie Dirac Notation: 0 = 1 0, 1 = 0 1 Zustand eines (unpolarisierten) Qubit/Superposition: Ψ =(α 0 + β 1 ) (mit α 2 + β 2 =1) Wahrscheinlichkeit für Wert 0 : α 2 Wahrscheinlichkeit für Wert 1 : β 2 Polarisation eines Qubits zur Speicherung eines Informationsbits Entanglement (Verschränkung): Φ + = 1 2 ( ) Authentifizierungsverfahren in der Quantenkryptographie 2

3 No-cloning Theorem Heisenberg sche Unschärferelation: 1. Unmöglichkeit kompletten Systemzustand zu kennen 2. jede Messung zerstört das System Quantum Key Distribution (QKD) Quantum Direct Communication (QDC) z-basis: { 0, 1 } x-basis: { +, } mit ± = 1 2 ( 0 ± 1 ) Authentifizierungsverfahren in der Quantenkryptographie 3

4 Authentifizierung Authentifizierung verhindert Man-in-the-middle Attacke Konzepte: 1. initial shared secret 2. initial shared entanglement 3. trusted third party (Trent) ++ Multiuser-Konzept möglich + geringes Schlüsselverteilungsproblem + O(n) Schlüssel + evtl. keine direkten Quantenlinks zwischen Nutzern nötig Authentifizierungsverfahren in der Quantenkryptographie 4

5 Protokolle mit Trent Protokoll 1: Quantum Authentication and Quantum Key Distribution Protocol von Lee, Lim und Yang [quant-ph/ ] Protokoll 2a/b: Quantum Direct Communication with Authentication von Lee, Lim und Yang [quant-ph/ ] bzw. [pra ] Protokoll 3: Authenticated Multiuser Quantum Direct Communication using Entanglement Swapping von Hong, Kim, Lee und Yang [quant-ph/ ] Authentifizierungsverfahren in der Quantenkryptographie 5

6 Zeng/Zhang-Protokoll [pra ] (Initialisierung, hybrides Verfahren) Ljunggren/Bourennane/Karlsson-Protokoll [pra ] (Initialisierung, Lauschmöglichkeit) Mihara-Protokoll [pra ] (nur Authentifizierung) Biham/Huttner/Mor-Protokoll [quant-ph/ ] ( statisches Verfahren) Kuhn-Protokoll [quant-ph/ ] (nur Authentifizierung, hybrides Verfahren) Wang/Zhang/Tang-Protokoll [quant-ph/ ] (nur Authentifizierung) Authentifizierungsverfahren in der Quantenkryptographie 6

7 Authentifizierungsinformation AI (geheime) Nutzer-ID ID user (geheime) one-way hash function h user : {0, 1} {0, 1} l {0, 1} c Berechnung von AI: h user (ID user,c user )=id 1...id n (c Aufrufszähler) id = 0 Identitätstransformation I id = 1 Hadamardtransformation H Authentifizierungsverfahren in der Quantenkryptographie 7

8 Trent - Aufgaben und Voraussetzungen 1. Registrierung der IDs (durch persönliche Authentifizierung) 2. Initialisierung (Aufbau der Quantenlinks) 3. Authentifizierung der Nutzer 4. evtl. Kommunikationshelfer Trent ist ehrlich ID und h sind geheim AI wird nur einmal verwendet Eve kann h mit teilweiser Kenntnis der AI nicht berechnen Authentifizierungsverfahren in der Quantenkryptographie 8

9 Protokoll 1 und 2a/b: Authentifizierung (dreiteilige) GHZ-Zustände: Ψ i = 1 2 ( ) AT B (i =1, 2,..., n) Trent kodiert GHZ-Partikel mit entprechender AI Trent Alice/Bob Alice/Bob dekodieren ihre GHZ-Partikel mit ihren AI Korrelationstest Alice - Bob (Vergleich einer zufälligen Teilmenge an Qubits nach Messung in z-basis) Authentifizierungsverfahren in der Quantenkryptographie 9

10 Protokoll 1 und 2a/b: Sicherheit Authentifizierung Sicherheit basiert auf Verschränkung der GHZ-Zustände, DP 1 ( 3 4 )c, c<<n Impersonation Attacke (Eve als Trent): 1. mit Raten (sinnlos, da Test Alice - Bob) 2. mit Intercept-resend (unmöglich, da Trent nichts verschickt) 3. Eve verschickt GHZ-Partikel: DP = 12 (falsch) 1 16 (Wahr. pro Fall) 1 2 (DP pro Fall) = 3 8 ( 1 im Protokoll) 4 Authentifizierungsverfahren in der Quantenkryptographie 10

11 Impersonation Attacke (Eve als Alice (Protokoll 1) bzw. Bob (Protokoll 2)): 1. mit Raten: id =0 = id =1 : DP= mit Intercept-resend: id = 0: kein Fehler id =1: H( 1 2 ( )) = 1 ( ) 2 id =0 = id =1 : DP= = Authentifizierungsverfahren in der Quantenkryptographie 11

12 Translucent Attacke (Eve auf Alices Partikel (Protokoll 1) bzw. Bobs Partikel (Protokoll 2)) 1. Ancilla mit unitärer Operation: U AE 0E = α 0 e 00 + β 1 e 01 U AE 1E = α 1 e 11 + β 0 e 10 DP = 1 β2 +β = β2 +β Ancilla mit unitärer Operation: U AE 00 = 00 U AE 10 = 11 DP = = 1 4 (im Protokoll 1 2 ) Authentifizierungsverfahren in der Quantenkryptographie 12

13 Protokoll 1: QKD Operationen auf verbleibenden Partikeln: I (0) oder H (1) Bob Alice Alice projektiert beide Partikel in Bell-Basis Trent misst seinen Partikel in x-basis (und gibt Resultat bekannt) Eavesdropping-Test Alice schließt auf Bob s Transformation (Schlüssel) Authentifizierungsverfahren in der Quantenkryptographie 13

14 Operation Transformation Alice Bob der GHZ-Zustände I (0) I (0) I (0) H (1) H (1) I (0) H (1) H (1) 1 2 ( Φ + AB + T + Φ AB T ) 1 2 ( Φ + AB T + Φ AB + T + Ψ + AB + T + Ψ AB T ) 1 2 ( Φ + AB T + Φ AB + T + Ψ + AB + T Ψ AB T ) 1 2 ( Φ + AB + T + Ψ + AB T ) Tabelle 1: QKD Authentifizierungsverfahren in der Quantenkryptographie 14

15 Protokoll 1: Sicherheit QKD Angriff nur auf Bobs Partikel möglich Translucent Attacke: DP = β2 +β 2 + Verbindung von Authenifizierung und Schlüsselverteilung: keine Man-in-the-middle Attacke + Trent kann Schlüssel nicht kennen + Eve muss Alices Partikel (Authentifizierung) und Bobs Patikel abfangen, DP in beiden Fällen 8 Authentifizierungsverfahren in der Quantenkryptographie 15

16 -zusätzlich Quantenlink zwischen Alice und Bob (über Trent nicht möglich) - Schlüssel wird allein von Bob festgelegt Authentifizierungsverfahren in der Quantenkryptographie 16

17 Protokoll 2a/b: QDC Operationen auf verbleibenden Partikeln: H (0) und Hadamard-Bitflip HX (1) Alice Bob (2a)/Trent (2b) Bob/Trent projektieren beide Partikel in Bell-Basis Trent/Bob misst sein Partikel in x-basis (und gibt Resultat bekannt) Eavesdropping-Test Bob kann Nachricht entschlüsseln Authentifizierungsverfahren in der Quantenkryptographie 17

18 Alices Operation H (0) HX (1) Transformation der GHZ-Zustände 1 2 ( Φ + AB T + Φ AB + T + Ψ + AB + T Ψ AB T ) 1 2 ( Φ + AB + T + Φ AB T Ψ + AB T + Ψ AB + T ) Tabelle 2: QDC (2a) Authentifizierungsverfahren in der Quantenkryptographie 18

19 Protokoll 2a/b: Sicherheit QDC Angriff nur auf Alices Partikel möglich Translucent Attacke: DP = Verbindung von Authenifizierung und Kommunikation: keine Man-in-the-middle Attacke + Test nach Authentifizierung und nach QDC: Erhöhung der DP -Möglichkeit für Trent (aktiv) zu Lauschen Authentifizierungsverfahren in der Quantenkryptographie 19

20 Protokoll 2a/b: Trents Lauschangriff Lauschangriff nach Zhang [quant-ph/ ] Trent fängt Alices Partikel ab (in 2a) Trent führt zusätzliche Hadamard-Operation aus: H T H A Ψ = 1( ) 2 AT B) bzw. H T H A X A Ψ = 1( ) 2 AT B Trent misst seinen und Alices Partikel in z-basis: gleiches Ergebnis H unterschiedliches Ergebnis HX Authentifizierungsverfahren in der Quantenkryptographie 20

21 - Fehlerrate ist zwar höher, aber kein Wissen, dass komplette Nachricht bekannt ist + Pauli-Z Operation anstatt HX: H T H A Ψ = 1( ) 2 AT B bzw. H T H A σ za Ψ = 1( ) 2 AT B Authentifizierungsverfahren in der Quantenkryptographie 21

22 Protokoll 3: Authenifizierung Bell-Zustände Φ + = 1 2 ( ) TA A Φ + = 1 2 ( ) TB B Trent kodiert Partikel mit entprechender AI Trent Alice/Bob (Authentifizierungssequenzen) Alice/Bob dekodieren ihren Partikel mit ihrer AI Korrelationstest Trent - Alice/Bob (Vergleich nach Messung in z-basis) Authentifizierungsverfahren in der Quantenkryptographie 22

23 Protokoll 3: QDC Alice: Φ + = 1 2 ( ) TA A Ψ + = 1 2 ( ) TA A Bob: Φ + = 1 2 ( ) TB B Alice/Bob Trent Eavesdropping-Test Alice/Bob - Trent Entanglement Swapping durch Trent Kodierung- und Dekodierungssequenzen werden verschränkt (Trent veröffentlicht Resultat): Authentifizierungsverfahren in der Quantenkryptographie 23

24 Φ + TA A Φ + TB B = 1( ) 2 T A AT B B = 1( ) 2 T A T B AB = 1 2 ( Φ+ Φ + + Φ Φ + Ψ + Ψ + + Ψ Ψ ) TA T B AB Eavesdropping-Test Alice - Bob Alice schließt auf Bobs Resultat Alice sendet Bitflip-Positionen Authentifizierungsverfahren in der Quantenkryptographie 24

25 Bob Alice ES (Trent) Alices Resultat Bobs Resultat Φ + Φ + Φ ± 0 0 Φ + Φ + Φ ± 1 1 Φ + Φ + Ψ ± 0 1 Φ + Φ + Ψ ± 1 0 Φ + Ψ + Φ ± 0 1 Φ + Ψ + Φ ± 1 0 Φ + Ψ + Ψ ± 0 0 Φ + Ψ + Ψ ± 1 1 Tabelle 3: QDC mit Entanglement Swapping (ES) Authentifizierungsverfahren in der Quantenkryptographie 25

26 Protokoll 3: Sicherheit Authentifizierung Sicherheit der Authentifizierungssequenzen durch Verschränkung DP 1 ( 3 4 )c, c<<n Impersonation Attacke (Eve als Trent) 1. Eve kann Test umgehen 2. Intercept-resend bzw. Verschicken eigener Partikel nicht möglich Authentifizierungsverfahren in der Quantenkryptographie 26

27 Impersonation Attacke (Eve als Bob) 1. mit Raten: id =0 = id =1 : DP= mit Intercept-resend: id = 0: kein Fehler id =1:H( 1 2 ( )) = 1 ( ) 2 id =0 = id =1 : DP= = Authentifizierungsverfahren in der Quantenkryptographie 27

28 Translucent Attacke (Eve auf Bobs Partikel) 1. Ancilla mit unitärer Operation: U AE 0E = α 0 e 00 + β 1 e 01 U AE 1E = α 1 e 11 + β 0 e 10 DP = 1 β2 +β = β2 +β Ancilla mit unitärer Operation: U AE 00 = 00 U AE 10 = 11 DP = = 1 4 Authentifizierungsverfahren in der Quantenkryptographie 28

29 Protokoll 3: Sicherheit Kommunikation 1. Sicherheit der Sequenzen durch Verschränkung Sicherheit ist gleich der Sicherheit des BBM92 Alice und Bob kontrollieren die Quelle (keine Fake-source Attacke) Test Alice/Bob - Trent (n checking positions, (C.3)): U TE Φ + TA A = 1 2 (α 00 e 00 + β 10 e 01 + α 11 e 11 + β 01 e 10 ) U TE Ψ + TA A = 1 2 (α 01 e 00 + β 11 e 01 + α 10 e 11 + β 00 e 10 ) Authentifizierungsverfahren in der Quantenkryptographie 29

30 DP (pro Fall) = β2 +β 2 2 DP (Alice-Trent) = Alice wählt Φ + und Ψ + mit Wahrscheinlichkeit p Φ + und p Ψ + (p Φ + + p Ψ + =1): DP = p Φ + β2 +β 2 + p 2 Ψ + β2 +β 2 = β2 +β DP (Bob-Trent) = β2 +β 2 2 DP gesamt = β 2 + β 2 Intercept-resend Attacke (Verschränkung): DP = zusätzliche Sicherheit durch Entanglement Swapping Test Alice - Bob (q checking positions, (C.5)): Eve muss beide Sequenzen belauscht haben, um Informationen zu erhalten und darf in (C.3) nicht entdeckt werden: Authentifizierungsverfahren in der Quantenkryptographie 30

31 1 (α 00 e β 10 e 01 + α 11 e 11 + β 01 e 10 ) (α 00 e 00 + β 10 e 01 + α 11 e 11 + β 01 e 10 ) mit α = α und β = β : 1 2 (α2 Φ + Φ + + α 2 Φ Φ +2αβ Φ + Ψ + + αβ Ψ + Ψ + + αβ Ψ Ψ +2αβ Ψ + Φ + + ββ Φ + Φ + ββ Φ Φ + ββ Φ + Φ + ββ Φ Φ ) DP = 2β 2 2β 4 Intercept-resend Attacke (Entanglement Swapping): DP = 1 4 Authentifizierungsverfahren in der Quantenkryptographie 31

32 Protokoll3: Sicherheit Authentifizierung und Kommunikation Angriff auf Authentifizierungssequenzen und Sequenzen der Kommunikation, Sicherheit der Sequenzen entspricht Sicherheit des BBM92 (unconditional security) Sicherheitsbeweise in [prl ], [pra ] und [quant-ph/ ] Authentifizierungsverfahren in der Quantenkryptographie 32

33 PROBLEM: Authentifizierung ist eigener Prozess, neue Partikel für Kommunikation Man-in-the-middle Attacke (Eve anstatt Bob): Eve kennt komplette Nachricht Man-in-the-middle Attacke (Eve anstatt Trent): Eve erlangt keine Informationen (weder durch aktives noch passives Lauschen) Authentifizierungsverfahren in der Quantenkryptographie 33

34 Vorschlag: Zeng/Zhang Authentifizierung und QCD (gekürzte) Zeng/Zhang Authentifizierung [pra ] um gleichen, geheimen joint key (JK) zu erhalten: Trent kodiert Φ + ATA and Φ + BTB mit AI (im Orginal: Ψ) Alice und Bob dekodieren Korrelationstest/Eavesdropping-Test Trent - Alice/Bob Entanglement Swapping durch Trent Partikel A and B werden verschränkt Alice und Bob messen in x- oder z-basis Authentifizierungsverfahren in der Quantenkryptographie 34

35 Vergleich der Basen Alice - Bob (gleiche Basen bilden JK) QDC wie in Protokoll 3 Authentifizierung der (öffentlichen) Diskussion mit JK: durch klassische Identifikationsmethoden JK schützt öffentliche Diskussion gegen Man-in-the-middle Attacke z.b. nach Dusek/Haderka/Hendrych/Myska [pra ]: three-pass authenticated public discussion Authentifizierungsverfahren in der Quantenkryptographie 35

36 Vorschlag: modifizierte Zeng/Zhang Authentifizierung und QDC (gekürzte) Zeng/Zhang Authentifizierung [pra ] um gleichen, geheimen joint key zu erhalten Modifikation: 0 entspricht Φ + TA A 1 entspricht Ψ + TA A QDC wie in Protokoll 3 Bob kennt jetzt auch Alices Resultat beide können jetzt mittels Bitflip-Anweisungen kommunizieren Kommunikation in beide Richtungen Authentifizierungsverfahren in der Quantenkryptographie 36

37 Vorschlag: Statische Authentifizierung und QDC statische Authentifizierung nach Biham/Huttner/Mor [quant-ph/ ]: Alice und Bob müssen Zustände im Center (Trent) gespeichert haben: 0, 1, 1 2 ( ), 1 2 ( 0 1 ) Trent behält Zustände ohne sie zu messen Trent projektiert Alices Partikel und Bobs Partikel in Bell-Zustand (und publiziert das Ergebnis) Vergleich der Basen Alice - Bob (gleiche Basen bilden JK) Authentifizierungsverfahren in der Quantenkryptographie 37

38 QDC wie in Protokoll 3 Authentifizierung der (öffentlichen) Diskussion mit JK: durch klassische Identifikationsmethoden JK schützt öffentliche Diskussion gegen Man-in-the-middle Attacke z.b. nach Dusek/Haderka/Hendrych/Myska [pra ]: three-pass authenticated public discussion Authentifizierungsverfahren in der Quantenkryptographie 38

39 Vorschlag: Verknüpfung von Authentifizierung und QDC Alice und Bob kodieren ihre AI in Φ + Alice sendet n-mal Φ + TA A (n = h(id A ) ) und zusätzlich Ψ + TA A Bob sendet Φ + TB B Alice gibt Trent die Positionen der kodierten Φ + TA A an Trent dekodiert Korrelationstest/Eavesdropping-Test Trent - Alice/Bob QDC wie in Protokoll 3 Authentifizierungsverfahren in der Quantenkryptographie 39

40 Vergleich der Protokolle - Protokoll 1: zusätzlicher Quantenlink zwischen Alice und Bob - Protokoll 2a: zusätzlicher Quantenlink zwischen Alice und Bob + modifiziertes Protokoll 2b (mit Pauli-Z): geeignet für Multiuser-Konzept und Verbindung zwischen Authentifizierung und Kommunikation - Protokoll 3: keine Verbindung zwischen Authentifizierung und Kommunikation + modifiziertes Protokoll 3: Verbindung zwischen Authentifizierung und Kommunikation und geeignet für Multiuser-Konzept Authentifizierungsverfahren in der Quantenkryptographie 40

41 Vielen Dank für die Aufmerksamkeit! Authentifizierungsverfahren in der Quantenkryptographie 41