Оценка защищённости практической квантово-криптографической системы на основе волоконно-оптических линий связи от несанкционированного доступа (стр. 6 из 8)
Обозначим за τout разницу во времени между отражённым сканирующим импульсом и информационным импульсом (она, разумеется, может принимать и отрицательные значения), vRF и vL – групповые скорости соответственно РЧ сигналов в воздухе и оптических сигналов в волокне. Тогда необходимое расстояние между детектором базисов и приёмником информации будет равно
.Подобным же образом, дистанция между приёмником и передатчиком Евы будет равна
.Схема доступа для этого случая приведена на рис.9.
Косвенное детектирование бит данных возможно в рамках протокола B92 таким же образом, как и с передающей стороны. Можно также детектировать базисы передачи в рамках протокола BB84 (поскольку фазовый модулятор Боба обеспечивает 2 возможных значения фазы - 0 и
, которые соответствуют двум различным базисам). Успешная атака типа “перехват/регенерация” возможна здесь в случае, когда отражённый сканирующий импульс покидает приёмный интерферометр перед тем, как переданный носитель информации войдёт внутрь него, иначе информация о базисе станет доступной Еве уже после того, как носитель информации будет уже вне её распоряжения. Таким образом, должно быть удовлетворено следующее условие: 
,где tPM -это время требуемое оптическому импульсу для того, чтобы пройти от входа в приёмный интерферометр до фазового модулятора, а остальные символы определены ранее. Временная диаграмма, поясняющая это требование, помещена на рис.10.
Следует отметить, однако, что даже если вышеуказанное неравенство не удовлетворено, Ева может тем не менее почерпнуть некоторую дополнительную информацию, используя детектирование базисов. Представим, что Ева производит обыкновенную атаку типа "расщепление луча". Типичное рассуждение здесь выглядит следующим образом [21]:
«Пускай Ева отделяет часть f энергии каждого из импульсов, среднее число фотонов в которых равно m. Тогда она получит часть
от общего числа импульсов, или ~fm для малых значений fm . Таким образом, эта атака даст Еве порцию fm /2 исправленного ключа, т.к. она вынуждена использовать случайные значения базисов для детектирования. Можно обойти это ограничение, если Ева способна хранить фотоны до фазы открытого обмена, однако эта фаза всегда может быть задержана на время, достаточное для затухания большинства сохранённых фотонов».Но если задержки tPM и tR в приёмном интерферометре таковы, что Ева получает информацию о базисах сразу или через короткое время после того, как информационные импульсы достигают её местоположения, она может просто задержать их на это время и затем продетектировать корректно. Таким образом, при учёте возможности детектирования базисов оценка fm /2 становится неприменимой, и следует предполагать, что Еве, использующей расщепление луча, доступна порция fm переданной информации.
Для защиты от детектирования базисов с приёмной стороны можно предложить увеличение задержки сигнала в приёмном интерферометре, так что
Кроме этого, возможно применение однонаправленных оптических вентилей на выходе передающей схемы и на входе приёмной, однако сам по себе такой вентиль лишь увеличит требуемую мощность сканирующего импульса, не устраняя опасности, т.к. имеет конечное ослабление, причем лишь в одном направлении. Более того, для схем типа “plug-n-play” этот метод не подходит вообще, поскольку принципом их работы основан на двунаправленности.
Существует ещё одна, вообще говоря, полумера для защиты Алисы, заключающаяся в постановке аттенюатора на выходе передающего интерферометра. Дело заключается в следующем. Источник одиночных фотонов для передатчика делается путём ослабления лазерных импульсов до средней интенсивности порядка 0.1 фотона на импульс. Аттенюатор помещается непосредственно после на выходе лазера или же на выходе приёмника, однако нет никаких видимых причин для того, чтобы предпочесть первый способ второму. А для Евы присутствие аттенюатора на выходе приёмника будет означать значительное увеличение требуемой мощности лазера (а именно, при значении выходного коэффициента ослабления A дБ требуемая мощность сканирующего лазера возрастёт на 2A дБ). Рано или поздно при больших значениях интенсивности сканирующих импульсов станет заметным вредный эффект от рэлеевского рассеяния, упомянутый выше, а также возможно возникновение нелинейных эффектов. По-видимости, применение такого аттенюатора вкупе с однонаправленным вентилем может дать приемлемую степень защиты.
Но самой надёжной мерой является измерение входящей оптической мощности в передающем и приёмном интерферометрах для предупреждения легальных пользователей о несанкционированном проникновении в канал. Поскольку для Евы имеется также достаточно широкий выбор длин волн, на которых может осуществляться сканирование (он определяется диапазоном эффективной работы фазового модулятора), то было бы правильно использовать узкополосные чувствительные детекторы вместе с полосовыми фильтрами на выходе передатчика и входе приёмника, вместо широкополосных измерителей оптической мощности.
Замечания по конкретным схемам
Описываемая стратегия подслушивания, в принципе, приложима и ко многим другим схемам квантовой криптографии, не рассматриваемым в настоящей работе. Следует только сделать поправку на способ формирования квантовых состояний, кодирующих биты данных (это могут быть, например, поляризационные состояниях [3,22], или фазовые состояния в боковых полосах фазомодулированного сигнала [23,24]) и соответствующие изменения в приёмной и передающей аппаратуре. Надо отметить, что в схемах, где каналом передачи является открытый воздух [3,22], Ева не может воспользоваться преимуществом высокой групповой скорости распространения радиочастотных сигналов (см. пункт "Детектирование базисов передачи").
Можно сделать замечание по поводу схем типа "plug-n-play".
Эти схемы потенциально весьма уязвимы по отношению к рассматриваемому виду несанкционированного доступа из-за их исходной "отражательной" природы (Фарадеевские зеркала). По-видимому, из-за этого исследуемая проблема была замечена именно в связи с данными системами. Женевской группой было коротко упомянуто в [12], что детектор в "передающей" схеме должен обеспечивать измерение входящей оптической мощности. Это защищает от косвенного детектирования бит данных, но даже при таком усовершенствовании схема остаётся беззащитной против детектирования базисов с приёмной стороны и, следовательно, успешных атак типа “перехват/регенерация” и "расщепление луча"; более того, при применении протокола B92 становится возможным косвенное детектирование бит данных с приёмной стороны. Bethune и Risk из IBM рассматривали проблему более детально в их недавней работе [21], но также не уделили внимания возможности доступа с приёмной стороны.
 |
| Рис.5. Параметр tR |
 |
| Рис.7. Косвенное детектирование бит данных |
| Рис.8. Детектирование базисов передачи |
| Данные Алисы | 1 | 0* | 0 | 1 | 1* |
| Фазовые сдвиги Алисы | p | p/2 | 0 | p | 3p/2 |
| Фазовые сдвиги, продетектированные Евой | - | 3p/2 | p/2 | p | p/2 |
| Возможные варианты ключа | 0? | 3p/2 | p | 0 | p/2 |
| p/2? | p | 3p/2 | 3p/2 | p | |
| 3p/2? | 0 | p | 0 | p/2 | |
| p? | p/2 | 0 | p | 3p/2 |
 |
| Рис.10. Детектирование базисов на приёмной части (временная диаграмма). |