CENTRO ALTI STUDI

PER LA DIFESA CENTRO MILITARE

DI STUDI STRATEGICI

Maurizio Artoni

(Codice AO-SMD-06)

Applicazione, in campo militare, delle tecniche di crittografia quantistica associate alle comunicazioni

satellitari per garantire comunicazioni strategico-operative sicure e capaci di adeguarsi efficacemente

ad un moderno scenario net-centrico

Application, in the military field, of quantum cryptography techniques associated with satellite

communications to guarantee safe strategic-operational communications capable of effectively

adapting to a modern net-centric scenario

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo

Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado

equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un

Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del

21 dicembre 2012.

Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le

esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della

conoscenza, a favore della collettività nazionale.

Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,

economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,

ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.

Il livello di analisi è prioritariamente quello strategico.

Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:

a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza

e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi

temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla

Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli

Armamenti per l'impiego del personale civile;

b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle

vigenti disposizioni fra gli esperti di comprovata specializzazione).

Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il

Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o

esteri e rende pubblici gli studi di maggiore interesse.

Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il

Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di

rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo

le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e

definendo i temi di studio da assegnare al Ce.Mi.S.S..

I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli

argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei

singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o

civili alle quali i Ricercatori stessi appartengono.

(Codice AO-SMD-06)

Maurizio Artoni

CENTRO ALTI STUDI

PER LA DIFESA

CENTRO MILITARE

DI STUDI STRATEGICI

Applicazione, in campo militare, delle tecniche di

crittografia quantistica associate alle comunicazioni

satellitari per garantire comunicazioni strategico-

operative sicure e capaci di adeguarsi efficacemente

ad un moderno scenario net-centrico

NOTA DI SALVAGUARDIA

Quanto contenuto in questo volume riflette esclusivamente il pensiero dell’autore, e non

quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o civili alle quali

l’autore stesso appartiene.

NOTE

Le analisi sono sviluppate utilizzando informazioni disponibili su fonti aperte.

Questo volume è stato curato dal Centro Militare di Studi Strategici

Direttore f.f.

Col. AArnn (Pil.) Marco Francesco D’Asta

Vice Direttore - Capo Dipartimento Ricerche Col. c.(li.) s.SM Andrea Carrino

Progetto grafico

Massimo Bilotta - Roberto Bagnato

Autore

Maurizio Artoni

Stampato dalla tipografia del Centro Alti Studi per la Difesa

Centro Militare di Studi Strategici Dipartimento Ricerche

Palazzo Salviati Piazza della Rovere, 83 - 00165 – Roma

tel. 06 4691 3205 - fax 06 6879779 e-mail caporicerche.cemiss@casd.difesa.it

chiusa a novembre 2019

ISBN 978-88-31203-29-6

Applicazione, in campo militare, delle tecniche di crittografia

quantistica associate alle comunicazioni satellitari per garantire

comunicazioni strategico-operative sicure e capaci di adeguarsi

efficacemente ad un moderno scenario net-centrico

INDICE SOMMARIO 7

ABSTRACT 10

INDICE DELLE FIGURE 13

1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO 14

Bibliografia 1. 21

2. LA CRIPTOGRAFIA 23

2.1. Criptografia convenzionale: Basics. 24

2.2. Criptografia quantistica: Basics. 25

2.3. Criptografia convenzionale vs. quantistica: “la differenza”. 26

2.4. La criptografia quantistica: schemi. 30

2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84. 31

2.6. Il protocollo BB84: Sommario. 33

2.7. Un prototipo commerciale QKD. 34

Bibliografia 2. 37

3. Le sfide attuali della distribuzione a chiave quantistica: una panoramica 39

Bibliografia 3. 41

3.1. La distribuzione a chiave quantistica: le sfide. 41

3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.

42

Bibliografia 3.2. 43

3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.

44

Bibliografia 3.3 45

3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete

dorsale. 46

Bibliografia 3.4 49

3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD. 50

Bibliografia 3.5 53

4. Difesa e potenziali applicazioni militari della QKD: una prospettiva 54

4.1. L’intercettatore (eavesdropper) può essere individuato. 54

Bibliografia 4.1 55

4.2. Sicurezza incondizionata ed a prova di futuro. 55

Bibliografia 4.2 56

4.3. A prova di criptoanalisi quantistica…. 56

Bibliografia 4.3 57

4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”. 57

Bibliografia 4.4 58

4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”. 58

4.6. La distribuzione a chiave quantistica (QKD) “mobile”. 59

Bibliografia 4.6 60

4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD). 61

Bibliografia 4.7 62

4.8. Verifica, validazione e conformità d’implementazione. 63

Bibliografia 4.8 64

4.9 Un possibile scenario di QKD mobile e….ulteriori questioni. 65

Bibliografia 4.9 67

5. Una panoramica globale 70

Bibliografia 5. 77

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 79

7

SOMMARIO

La criptografia, con cui è possibile codificare un messaggio in modo tale che solo la

persona a cui è indirizzato possa leggerlo, ha inizio almeno 2000 anni fà. Gran parte della

società odierna dipende dalla criptografia per servizi di sicurezza, riservatezza, integrità,

autenticazione etc. ed è quindi ampiamente usata da organizzazioni finanziarie, governi ed

organizzazioni militari. In particolare, comunicazioni militari sicure sono senza dubbio di

cruciale importanza poiché la mancanza di sicurezza può influire su operazioni militari

critiche (comando, controllo, ecc.) alterando in modo inaspettato l’esito di una missione ... o

perfino di un conflitto.

L'arte della criptografia è una battaglia che viene combattuta da secoli tra chi

“codifica” dati e chi li “decifra”. Code-breaking in ambito militare è ben noto come la "nota di

Zimmermann" [3] ed il "codice Enigma" [4], giusto per citare due esempi famosi. Quando il

primo criptogramma ("Zimmermann") fu decifrato (1917), gli Americani appresero che la

Germania ad es. aveva cercato di convincere il Messico ad unirsi al loro fianco, il che

convinse ancor più gli Stati Uniti ad entrare in guerra. L’altro criptogramma ("Enigma"), un

noto brevetto di ingegneri tedeschi verso la fine della prima guerra mondiale che venne

decifrato da una squadra segreta a Bletchley Park (UK), permise agli alleati di leggere la

maggior parte dei messaggi segreti condivisi dagli eserciti Tedeschi e Giapponesi ... con un

significativo impatto sull'esito della guerra!

L'esempio del codice Enigma evidenzia tuttavia una debolezza cruciale ed intrinseca

a "qualsiasi" metodo di criptografia classica, vale a dire, non v'è "alcun modo" di sapere se

una terza parte indesiderata o “intruso” (eavesdropper) stia intercettando la comunicazione.

Un’ulteriore debolezza intrinseca alle tecniche di criptografia classica, come ad es. le forme

più sicure di criptografia a chiave pubblica, è costituita dal computer quantistico (quantum

computer) il cui avvento potrebbe metterle fuori uso in pochissimo tempo. Sebbene il

computer quantistico non sia ancora una realtà assodata, i principi di base sono già stati

dimostrati in vari laboratori con progressi che procedono in modo abbastanza costante.

È di buon auspicio tuttavia sapere che i progressi nel campo delle comunicazioni

quantistiche degli ultimi decenni hanno condotto ad un’importante tecnologia che ci

permette di superare queste due debolezze. Si tratta della “Distribuzione a Chiave

Quantistica” o Quantum Key Distribution (QKD), un metodo di comunicazione sicuro che

implementa un protocollo criptografico che consente a due parti di produrre una chiave

segreta casuale (random secret key), condivisa e nota solo ad entrambe e che verra’ poi

utilizzata per codificare e decifrare i loro messaggi. Le chiavi vengono generate tramite un

8

processo di convergenza di operazioni casuali condotte direttamente dalle stazioni del

mittente e del destinatario in modo che né il mittente né il destinatario possano determinare

quale sarà la chiave fino al completamento dell'intero processo. C'è una caratteristica in più

ed unica della tecnologia QKD, vale a dire, la sicurezza del protocollo viene garantita

“indipendentemente” dalle risorse dell’intruso [1,2]. In effetti, tale intruso può avere una

potenza computazionale illimitata, una memoria di archiviazione illimitata o qualsiasi

dispositivo concepibile ed immaginabile, tuttavia la condivisione della chiave criptografica

segreta viene garantita in modo perfettamente sicuro.

Il settore militare trarrebbe beneficio certo da una tale forma di criptografia ed è

opinione diffusa che essa favorirà applicazioni atte a migliorare le prestazioni di servizi

d’informazioni sicure (secure communications), facilitando anche una migliore condivisone

di situazioni militari sensibili.

Oltre ad un iniziale accenno (i.) all'ambiente della cybersecurity militare ove la

criptografia QKD può essere di sicuro aiuto, l'obiettivo del presente studio è d’illustrare (ii) i

principi di base della criptografia QKD assieme ad un analisi (iii.) di uno schema operativo

ben consolidato della criptografia QKD. Il lavoro comprenderà inoltre (iv.) un prospetto sullo

stato attuale delle implementazioni QKD delineando benefici e svantaggi dal punto di vista

delle operazioni militari, come espressamente richiesto dal “Centro Militare di Studi

Strategici” (CEMISS). Si illustreranno inoltre (v.) le principali sfide pratiche per i nuovi

networks QKD su larga scala, comprese le ultime acquisizioni sui free-space QKD networks.

Quest’ultimi risultano particolarmente adatti alla tecnologia dell'informazione all'interno di

una struttura net-centric delle operazioni militari (net-centric warfare).

Ciascun capitolo si presta ad un lettura sufficientemente indipendente e con una

stesura concepita appositamente per esser d’aiuto anche al lettore che desideri informazioni

su specifici argomenti piuttosto che sull’intero corpo della ricerca. Abbiamo, inoltre, ritenuto

che potesse essere pertinente menzionare le direttive dei principali attori sulla scena e ciò

viene fatto in una (vi.) sezione finale, non per questo meno importante, del lavoro. Diverse

nazioni stanno investendo pesantemente infatti nella tecnologia quantistica onde poter

migliorare il loro potere economico-militare e tra di esse gli Stati Uniti e la Cina si posizionano

di certo come principali fautrici. Il rapido sviluppo della Cina nelle tecnologie quantistiche

potrebbe avere un impatto sul loro futuro equilibrio strategico, forse anche superando i

tradizionali vantaggi militare-tecnologici degli Stati Uniti, che mantiene tuttavia un primato

militare.

Ciò detto ed a latere del punto di vista tecnologico, è altrettanto importante

sottolineare alcuni aspetti della sicurezza. L’analisi della sicurezza costituisce una

9

problematica comune a "qualsiasi" sistema criptografico, indipendentemente dal fatto che

si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [7-9]. In quanto

dispositivi criptografici ad alta sicurezza, un sistema criptografico QKD dovrebbe essere

sottoposto a valutazioni del grado di sicurezza così come a processi di certificazione per

verificare la possibilita’ ad es. di attacchi fisici, di manipolazione dei dati, di analisi delle

perdite, ecc. Tutti aspetti che dovrebbero apparire nella forma di certificazioni internazionali

condivise sulla verifica dei sistemi criptografici e sullo sviluppo di dispositivi, il cui errato

funzionamento potrebbe influire sulla sicurezza delle persone. All'interno della comunità

QKD sembra al momento esserci poca discussione al riguardo mentre il progresso verso

processi di certificazione che siano indipendenti appare lento.

L'ambiziosa missione d’implementare cybersecurity in campo militare via

criptografia-QKD a supporto ad es. del decision-making a tutti i livelli di comando, della

valutazione d’operazioni di dissuasione, del controllo delle informazioni sensibili in un tipico

scenario di warfare, giusto per citare alcuni esempi…, suggerisce che le sfide

dell’Intelligence non siano solo nel concetto ma anche nell'infrastruttura organizzativa.

Affrontare questa missione richiede un’ampia gamma di attività dell’Intelligence ed

un’altrettanta ampia serie di programmi di formazione che contemplino nuovi skills. Far

fronte ai sistemi di gestione di un network quantistico può essere piuttosto costoso e spesso

complesso. La complessità risiede principalmente nei protocolli di gestione di tale network

e nella gestione dati. Ciò richiedera’ formazione, coaching ed orientamento, oltre ad un

miglioramento della consapevolezza e delle capacità non solo di dipendenti, ma anche

appaltatori, fornitori di servizi, partners ed altri, a seconda dei casi. All’altra estremità, ovvero

sulla linea di combattimento, sono altrettanto richiesti cyber-soldati, armati di tastiere, codici

e strumenti elettromagnetici a supporto d’operazioni militari tradizionali. Ancora una volta

sarà necessario personale con formazione specializzata per configurare, mantenere e

utilizzare in modo efficace sistemi d’arma (weapon systems) di nuove generazione e

particolarmente sofisticati.

Un congruo addestramento delle risorse umane unito al progresso tecnologico sono

"entrambi" elementi cruciali nel perseguire l'efficacia di una nuova tecnologia informatica

che è destinata ad essere importante in un quadro moderno e net-centric delle operazioni

militari

10

ABSTRACT

Cryptography began at least 2000 years ago playing an important role ever since [1].

Much of our society relies on cryptography to provide security services, including

confidentiality and integrity, hence it is widely employed by financial organizations [2],

governments and military organizations. Secure military communications, in particular, are

unquestionably important as failures may indeed affect critical military operations

(command, control, etc.) with a concomitant unexpected outcome of a mission…or even of

a conflict.

Cryptography is also a centuries old battle between “code-maker” and “code-breaker”

[1]. Most ubiquitous code breaking include, e.g., the “Zimmermann note” [3] and the ‘Enigma

code” [4]. When the “Zimmermann” cryptogram was broken (1917), Americans learned that

Germany e.g. had tried to convince Mexico to join the war, an event that built on propelling

the U.S. into World War I. The other code (‘Enigma”) [4], a known cryptogram patented by

German engineers at the end of World War I, was broken instead by a secret team at

Bletchley Park (UK) and allowed the allies to read most of the secret messages shared by

the Germans and Japanese armies with a significant effect on the outcome of the war.

The Enigma code example e.g. highlights an inherent and crucial weakness of “any”

classical encryption technique, that is, there is “no way” of knowing that there is unwanted

eavesdropper. Quantum computers hold a further threat to classical encryption techniques,

such as e.g. the most secure forms of public-key cryptograph, which a quantum computer

could break in almost no time. Though quantum computing is not yet a set reality, the basic

principles have been proven in laboratories already and advances are progressing fairly

steadily.

It’s reassuring to know that important advances in quantum communications, namely

Quantum Key Distribution (QKD), just happen to provide us with a new technology to deal

with these two weaknesses. Quantum key distribution (QKD) is a secure communication

method which implements a cryptographic protocol enabling two parties to produce a shared

random secret key known only to them, which can then be used to encrypt and decrypt

messages. The keys are generated from a convergence of random operations conducted at

the sender and the receiver stations so that neither the sender nor the receiver can

determine what the key will be until the entire process has reached completion.

There is an additional and unique feature of QKD namely the protocol security can

be guaranteed regardless of the eavesdropper’s resources [1,2]. An eavesdropper can have

unlimited computational power, unlimited storage memory and any conceivable device yet

11

the transmission of the cryptographic keys through an open channel can be guaranteed to

be perfectly secure.

The military sector would benefit from such a novel form of cryptography and it is a

widespread belief that it will foster applications apt to improve the performance of secure

information services but also ease specific sharing of military situational awarenesses.

After starting with a brief aim at today’s (i.) specific military cybersecurity issues QKD

cryptography may address, the present study intends to analyze (ii.) basic principles of QKD

enabled cryptography along with (iii.) the illustration of a well established operational

scheme of QKD enabled cryptography. The report also encompasses (iv.) an outlook on the

current status of QKD implementations outlining benefits and drawbacks from the

perspective of military operations, as requested by the “Centro Militare di Studi Strategici”

(CEMISS). Major practical challenges (v.) for large-scale quantum key distribution networks

will also be outlined, including the latest breakthroughs on free-space quantum key

distribution networks. These networks are certainly well poised to leverage the power of

information technology within a network-centric framework for military operations (net-

centric warfare) [4].

Last, yet not the least, we felt it could be germane to make a mention of the bearings

of the major key players; several nations are heavily investing on quantum research to

enhance both economic and military dimensions of national power, with U.S. and China

being powerhouses in quantum technologies. This is swiftly done through a (vi.) global

overview ending section. China’s rapid development in quantum technologies could impact

their future strategic balance perhaps even overtaking the traditional military-technological

advantages of the U.S., which maintains however an overall military primacy.

All that being said from a technology point of view, we reckon to likewise important

to stress on “security analysis” issues. This is actually a common tread of “any” crypto-

system regardless of whether it is based on “quantum mechanics” or on “computational

complexity” [7-9]. QKD enabled cryptography, as a high-security crypto system, should

undergo formal security assessments and certification processes to address e.g. physical

attacks, side channel analysis data manipulation, etc. all aspects that ought to be

overviewed by international safety certifications. At the moment within the QKD community

there seem to be a little concern on the matter along with an arguably sluggish progress

towards independent certification processes.

The ambitious tasks of implementing QKD cryptography within the military sector in

support e.g. of decision-making, of assessing deterrence operations, of guiding information

warfare, just to mention a few, suggests that the challenge for the Army Intelligence is not

12

only in the concept but also the organisation infrastructure. The broad range of Intelligence

work that goes into these missions requires equally broad training programs through which

new skills will be thought. Coping with the management of quantum network systems can

be quite expensive and often complex. The complexity mainly arises from the network’s

quantum protocols and data management which will require training, coaching and

guidance, besides enhancing awareness and capability of employees, contractors, service

providers and others, as appropriate. On the opposite side end of the front lines of combat,

cyber soldiers, armed with keyboards, codes and electromagnetic tools to support traditional

military operations are likewise in large request. Again personnel with specialized training to

effectively configure, maintain and operate these ever more sophisticated tools are needed.

Clearly congruous training and technical advances are “both” crucial in pursuing the

effectiveness of a new information technology bound to be relevant for modern network-

centric framework for military operations.

13

INDICE DELLE FIGURE

1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO

Fig. 1 Arte della guerra elettronica (EW) nei conflitti moderni.

Fig. 2 Lo Spettro Elettromagnetico (EMS).

Fig. 3 Software e Componenti IT incorporati in un sistema d’arma.

Fig. 4 Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.

Fig. 5 Possibili interfacce d’accesso al weapon system.

2. LA CRIPTOGRAFIA.

Fig. 1 Comunicazione ed intrusione classica.

Fig. 2 Lo stato di polarizzazione di un singolo-fotone (Principio di misura).

Fig. 3 Meccanismo di funzionamento del PBS (single-photon polarizing beam splitter).

Fig. 4 Non-clonazione.

Fig. 5 Encoding secondo il protocollo BB84.

Fig. 6 Piattaforma criptografica “Plug & Play” modulare Clavis 300.

Tab. 1 Le due basi (⊕ e ⊗) di polarizzazione del fotone per il protocollo BB84.

Tab. 2 Sequenza di generazione di una chiave privata/segreta nel protocollo BB84.

Tab. 3 Piattaforma Clavis 300 (Specs).

3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE QUANTISTICA: UNA

PANORAMICA.

Fig. 1 La struttura della dorsale QKD (backbone) Pechino-Shanghai.

Fig. 2 Network metropolitano QKD di Jinan.

Fig. 3 Micius il primo satellite quantistico cinese.

Fig. 4 Efficienze a confronto.

Fig. 5 Foto criptata OTP con una chiave sicura (QKD) e condivisa tra Pechino e Vienna.

4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA PROSPETTIVA.

Fig. 1 Rete QKD mobile (rendering).

Fig. 2 Rete free-space QKD alle grandi distanze (Principio di funzionamento).

Tab. 1 Crittografia a chiave pubblica vs crittografia QKD.

5. UNA PANORAMICA GLOBALE

Tab. 1 Scienza & Tecnologia Quantistica in China (Plans and Policies).

14

1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO

Quando si parla di un conflitto moderno, la maggior parte degli esperti è concorde nel

ritenere che esso sia combattuto in ogni possibile dimensione ovvero per terra, per mare,

per aria così come nello spazio. Mentre le nazioni continuano a sviluppare armi per

combattere in ognuna di queste dimensioni, la North Atlantic Treaty Organization (NATO)

svolge un compito di sorveglianza sui potenziali pericoli insiti in operazioni militari in ognuna

di queste dimensioni. Il cyberspazio è diventato una nuova ed importante dimensione del

combattimento, ed una su cui la NATO si sta focalizzando con sempre maggior interesse.

Gli eserciti attuali conducono operazioni che dipendono sempre più da sofisticate

strumentazioni atte a guidare armi con sufficiente accuratezza ed il cui funzionamento

dipende spesso o quasi esclusivamente dall’uso di onde elettromagnetiche (segnali).

L’impiego di tali segnali in networks militari sta diventando costantemente sempre più

rilevante e al fine di migliorarne l’abilità di controllo in operazioni militari che coinvolgano

segnali elettromagnetici devono essere introdotti nuovi strumenti e servizi [1,2].

Fig.1 Arte della guerra elettronica (EW) nei conflitti moderni.

15

La guerra elettronica “EW” (Electronic Warfare) è un’azione militare che sfrutta

energia di natura elettromagnetica, sia passiva che attiva, al fine di creare effetti difensivi

ed offensivi. Un tipico scenario è illustrato in Fig.1. Una guerra EW si svolge in un

environment di tipo elettromagnetico “EME” (Electromagnetic Environment) che comporta

sia (i.) vulnerabilità sia (ii.) opportunità. Una tale guerra comporta l'uso militare dell'energia

elettromagnetica per ridurre o prevenire addirittura l'uso dello spettro elettromagnetico

(EMS) da parte del nemico, proteggendone invece l'uso per sé. Poiché le forze militari di

oggi sono tenute ad operare in un ambiente elettromagnetico sempre più complesso,

quest'ultimo è stato riconosciuto a tutti gli effetti come un ambiente operativo militare “OE”

(Operating Environment). L'ambiente operativo OE militare viene definito secondo la NATO

[2] come un insieme di condizioni e circostanze che influenzano l'impiego delle capacità

militari, incluse le decisioni del comandante.

Poiché le operazioni militari vengono eseguite in un ambiente EME sempre più

complicato, la capacità di gestire con successo operazioni di carattere elettromagnetico è

fondamentale per ogni missione militare moderna al fine di mantenere il passo con i vantaggi

avversari. La mancanza o l'insufficiente comprensione e competenza nel comando e

controllo di operazioni di natura elettromagnetica può avere un impatto significativo sull’esito

della missione. Un avversario che riesca ad es. a controllare le proprie comunicazioni o che

Fig. 2 Lo Spettro Elettromagnetico (EMS)

16

riesca ad annientare la propria capacità di comunicare o navigare può rivelarsi una

catastrofe. Allo stesso modo, è altamente indesiderabile che un avversario conosca

posizione e spostamenti delle forze amiche in base alla trasmissione di loro segnali; ciò le

metterebbe in una situazione di grave svantaggio.

Primissimi casi di electronic warfare (telegrafia senza fili, radio) vengono

contemplati durante la guerra Russia-Giappone (1904), quando i russi riuscirono a bloccare

le comunicazioni della marina giapponese nello scontro a Port Arthur [3] risalendo così fino

alla seconda guerra mondiale quando intensivi attacchi radar, interferenza e distorsione di

onde radio impiegate nei sistemi di comunicazione e di navigazione erano pratiche comuni

sia per le forze Alleate che per quelle dell'Asse [4]. Da allora in poi, ogni conflitto militare ci

ha insegnato che il dominio ed il controllo dell'ambiente elettromagnetico (EME) sono

cruciali per la maggior parte delle operazioni militari. Importanti esempi di guerra elettronica

(EW) si sono verificati durante la guerra del Vietnam [1955-1975], durante la Guerra del

Golfo [1990-1991] fino ai più recenti conflitti in Iraq o in Afghanistan, quando le forze della

coalizione e.g. hanno impiegato la guerra elettronica (EW) principalmente per sconfiggere

la minaccia di dispositivi esplosivi che venivano controllati in remoto. Vale sicuramente la

pena ricordare anche gli attacchi online condotti qualche mese fa dal Cyber Command

statunitense contro un gruppo di intelligence iraniano ritenuto responsabile della

pianificazione degli attacchi contro petroliere…ed anche alla caduta di un DRONE

americano [5].

La capacità di gestire operazioni in un ambiente elettromagnetico (EME) è

fondamentale per le missioni militari a protezione della riservatezza e dell'integrità delle

informazioni sensibili necessarie per portare a compimento la missione. La gestione di tali

operazioni è ancor più cruciale per sistemi d’armi (weapon systems) che si avvalgono di

qualsiasi sistema integrato, solitamente computerizzato, e progettato per controllare le

specifiche sue operazioni. Sebbene alcuni weapon systems siano semplici implementazioni

di architetture IT (Information Technology) altri, al contrario, come alcuni missili e navi non

lo sono. Quest’ultimi a volte vengono anche chiamati “cyber-physical systems" [6]. Tra di

essi si contemplano missili balistici intercontinentali, bombardieri a lungo raggio, missili anti-

ballistici etc. e sono armamenti che vengono definiti di natura “strategica" (strategic weapon

systems). Missili guidati che operano a corto raggio come ad es. armi antiaeree o missili

che operano sul campo di battaglia oppure missili aria-aria o aria-superficie costituiscono

invece armamenti di natura “tattica" (tactical weapon systems) [7]. Attacchi ad armamenti

17

sia strategici che tattici possono avvenire attraverso l'accesso, la modifica o la distruzione

delle informazioni operative e possono colpire qualsiasi sottosistema del sistema d’arma

che dipenda da software. Tali attacchi portano potenzialmente all’impossibilità di completare

la missione militare o addirittura a malfunzionamenti del sistema d’arma. In questo caso gli

attacchi sono chiamati “cyber-attacks" e le conseguenze possono essere più gravi di quelle

derivanti da attacchi ad altri weapon systems. Esempi di funzioni “abilitate” da software —

e potenzialmente suscettibili di manipolazioni — includono l'accensione e lo spegnimento

del sistema d'arma, il puntamento di un missile, il mantenimento dei livelli di ossigeno di un

pilota, etc… L’aggressore malintenzionato potrebbe potenzialmente manipolare i dati gestiti

da questo software onde manipolare il funzionamento delle funzioni abilitate dal software

oppure riuscire ad ottenere un funzionamento imprevisto o non pianificato addirittura. In

generale, attacchi ad un cyber-physical system ha conseguenze fisiche che possono anche

portare alla perdita della vita.

La pratica di proteggere sistemi, networks e programmi da cyber-attacks viene

chiamata “sicurezza informatica” (cyber-security). Poiché i weapon systems sono in realtà

sistemi complessi con una varietà di forme e dimensioni, con funzionalità variabili [8] gli uni

dagli altri, essi mostrano vulnerabilità altamente specifiche cosicché i problemi di sicurezza

informatica possono variare molto da un weapon system all’altro. I moderni sistemi d'arma

mostrano tuttavia qualche similarità; essa consente di classificare [9] in senso lato i problemi

di sicurezza informatica in termini di (i.) vulnerabilità informatica (cyber-vulnerability), ovvero

una debolezza del sistema che potrebbe essere sfruttata per accedere o influenzarne

l’integrità del sistema d’arma, in termini di (ii.) minaccia alla sicurezza informatica (cyber-

security threat), vale a dire qualsiasi cosa che possa sfruttare una vulnerabilità per

danneggiare un sistema (intenzionalmente o accidentalmente) e in termini di (iii.) rischio alla

sicurezza informatica (cyber-security risk), ovvero una conseguenza della minaccia o della

vulnerabilità (intrinseca o introdotta).

18

Numerosi fattori [8] rendono sempre più difficile gestire la cyber-security nei weapon

systems tra cui:

1. La natura sempre più "computerizzata" dei weapon systems, che dipendono sempre più

da software e architetture IT per raggiungere le prestazioni previste. Quasi tutte le loro

funzioni sono controllate da computers e vanno da elementari funzioni di life-support,

come il mantenimento di livelli stabili dell’ossigeno nell’aereo fino all'intercettazione dei

missili in arrivo. La quantità di software nei sistemi d’arma attuali sta crescendo in modo

esponenziale ed è incorporata in un gran numero di sottosistemi tecnologicamente

complessi, che includono sia hardware che una varietà di componenti IT, come illustrato

in Fig. 3. Tale tendenza, che storicamente deriva dallo sforzo verso l'automazione, ha

trasformato le capacità caratteristiche dei sistemi d'arma. Per decenni la Marina Militare

americana, ad es. ha cercato di ridurre le dimensioni dell'equipaggio della nave

basandosi, in parte, sul presupposto che alcuni compiti manuali potevano essere

automatizzati con la conseguente riduzione del personale operativo sulla nave [10].

2. La natura sempre più “in-rete" dei weapon systems, progressivamente sempre più

connessi in rete, che introduce vulnerabilità e rende i sistemi più difficili da difendere. Quasi

ogni componente di un weapon system è collegato ad un fitto set di networks [11] del DOD

(Department of Defence Information Network) e talvolta sono connessi anche a networks

gestiti da appalti esterni al Ministero della Difesa. Il supporto tecnologico, la logistica, il

FIG. 3 SOFTWARE E COMPONENTI IT INCORPORATI IN UN SISTEMA D'ARMA.

19

personale ed altre entità business-related si collegano a volte agli stessi networks usati dai

weapon systems. Quest’ultimi potrebbero addirittura non connettersi in rete ama di altri

sistemi di comunicazione afferenti direttamente alla rete pubblica di internet pubblico, e.g.,

come illustrato nella Fig. 4.

Queste connessioni aiutano a facilitare gli scambi di informazioni a beneficio dei vari

weapon systems e dei loro operatori in vari modi (comando delle armi, controllo delle armi,

comunicazioni, etc.), tuttavia le medesime connessioni possono essere utilizzate come un

“percorso” per un attacco. Se gli aggressori riuscissero ad accedere ad una di queste

connessioni potrebbero poi essere in grado di raggiungerne qualsiasi sistema d’arma

attraverso connessioni già esistenti. Il Defence Science Board (DSB) degli Stati Uniti,

attraverso tests operativi scoprì già diversi anni fa (2013) che alcune reti non erano

“survivable” in caso di guerra informatica (cyber-war) [11,12], sostenendo che "l'avversario

sia già nelle nostre reti". Qualsiasi scambio di informazioni è un potenziale punto di accesso

per l’avversario. Anche i sistemi "air gapped", non collegati direttamente ad internet per

motivi di sicurezza, potrebbero essere potenzialmente accessibili con altri mezzi, come

dispositivi hard (USB, compact disc, etc…).

3. La dipendenza dei weapon systems dal software, con soluzioni software e architetture IT

che si affidano quasi sempre a pacchetti software commerciali ed open source, quindi

soggetti a tutte le vulnerabilità informatiche che ne derivano.

La tendenza in costante crescita rappresentata dai punti 1-3 sopra ha un prezzo!

Fig. 4. Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.

20

La grande varietà di interfacce dei weapon systems, alcuni delle quali non sempre

ovvie ma pur sempre usate dagli avversari come percorsi d’attacco (Vedi Fig. 5) espande

in modo significativo la superficie di attacco. La "superficie di attacco" è la somma dei diversi

punti (attacks vectors) in cui un malintenzionato può tentare di immettersi oppure estrarre

dati sensibili. I weapon systems con grandi superfici di attacco sono più difficili da difendere

perché chiaramente hanno più punti di accesso da proteggere. Dispositivi “intelligenti"

(smart devices), ad es., collegati ad internet, espandono la superficie di attacco. Così come

in una casa… l'inclusione di termostati, forni, televisori e altoparlanti tutti “smart”, ne

espande la superficie di attacco. Spesso anche il software per il controllo della sicurezza ed

altre funzioni rende i weapon systems più vulnerabili agli attacchi [13].

Fig. 5. Possibili interfacce d’accesso al weapon system.

21

4. La dipendenza dei weapon systems da “firewalls” contro gli attacchi informatici. Un

firewall consente oppure blocca il traffico basandosi su un "insieme di regole” pre-fissate.

Poiché è impossibile definire una regola per ogni scenario, gli aggressori cercheranno modi

“non-contemplati” dalle regole per poter accedere. Un esempio a noi tutti familiare è quello

di un firewall che può sistematicamente bloccare il traffico proveniente da uno specifico

Paese, quando gli aggressori possono “apparire” come se si trovassero in un Paese diverso

(non bloccato). Gli aggressori possono utilizzare strumenti per by-passare il firewall, come

incorporare software dannoso in un messaggio di posta elettronica ed attendere che un

utente lo apra ed inavvertitamente lo installi.

5. I controlli di sicurezza sui weapon systems. I controlli di sicurezza sono garanzie o

contromisure per proteggere la riservatezza e l'integrità di un sistema e delle sue

informazioni, ma possono essere aggirati quando il sistema non sia configurato

correttamente. In definitiva i controlli di sicurezza possono potenzialmente essere usati per

perseguire attacchi informatici.

6. Elevato numero di persone che gestiscono i weapon systems. Chiaramente le persone

sono un’ulteriore fonte significativa di vulnerabilità alla cyber-security [14].

7. La dipendenza dei weapon systems da dispositivi esterni, come i sistemi di

posizionamento e navigazione, nonché i dispositivi di comando e controllo ... tutti necessari

allo svolgimento di una missione. Un attacco riuscito a uno di questi sistemi esterni o

sottosistemi può potenzialmente limitare l'efficacia di un weapon system impedendogli di

raggiungere lo scopo della sua missione.

Bibliografia 1.

1. La guerra elettronica (EW) è una delle varie aree in cui la NATO continua con impegno a perseguire i suoi compiti fondamentali garantendo e sostenendo i suoi principi fondatori. Vedi ad es. “The future of electronic warfare in Europe", Army Technology, 13 Jun. 2018 & ”The 106th NATO Electronic Warfare Advisory Committee (NEWAC)", Brussels, 05 Jun. 2019; M. Spreckelsen, “Electronic Warfare–The Forgotten Discipline”, The Journal of the Joint Air Power Competence Centre (JAPCC) January 17, 2019

2. NATO Electronic Warfare Policies, 1956-09-14, Military Committee Series MC 0064, NATO Archives Online. "Future Command and Control of Electronic Warfare", The Journal of the JAPCC, Edition 28, Spring/Summer 2019.

3. “The Russo-Japanese War at Sea 1904-5”: Volume 1-Port Arthur, the Battles of the Yellow Sea and Sea of Japan by Vladimir Semenoff, Leonaur, 2014 (ISBN: 978-1782823414).

4. Nella prima parte della seconda guerra mondiale i Tedeschi iniziarono a usare un sistema di onde radio direzionali (raggi) che avevano iniziato a sviluppare a partire dalla metà degli anni Trenta. Si trattava di un sistema di guida, che utilizzava raggi-radio intersecanti per dirigere gli aeromobili verso un obiettivo ed in particolare in Gran Bretagna. I raggi-radio venivano trasmessi da un sito sulle coste dell'Europa occupata, indicando una città bersaglio in Inghilterra. Un bombardiere poteva volare lungo questo raggio e quando raggiungeva il suo obiettivo un ulteriore raggio (radio) lo segnalava, ed era dove venivano sganciate le bombe. All'inizio del 1940 molte città britanniche furono bombardate con ragionevole precisione causando molti

22

morti e distruzione. Un brillante scienziato (R. Jones) della British Intelligence e responsabile dello studio sull'applicazione tedesca di questo sistema riusci’ a scoprire un modo per contrastare l’aviazione Tedesca, facendo deviare i raggi-radio che segnalavano i bersagli. Winston Churchill si riferiva a tale fase della guerra come la ‘Battle of the Beams’.

5. “U.S. Carried Out Cyberattacks on Iran”, New York Times June 22, 2019. 6. Un sistema cyber-fisico è una rete interagente co-ingegnerizzata con componenti "fisici" e

“computazionali". 7. Un’arma strategica è qualsiasi sistema d'arma progettato per colpire un nemico sia militarmente,

economicamente che politicamente. Ciò significa ad es. distruggere le città, le fabbriche, le basi militari, le infrastrutture di trasporto e di comunicazione di una nazione così come a volte anche la sede del governo. Un'arma tattica invece è progettata per un uso offensivo o difensivo a distanza relativamente breve con conseguenze relativamente immediate. Includono armi usate per assalto anticarro, difesa antiaerea, supporto sul campo di battaglia, combattimento aereo o combattimento navale (Encyclopedia Britannica)

8. Si veda e.g. “Weapon Systems Annual Assessment: Knowledge Gaps Pose Risks to Sustaining Recent Positive Trends”, The U.S. Government Accountability Office (GAO), GAO-18-360SP (Washington, D.C.: April, 2018); “Weapon systems cybersecurity”, GAO-19-128 (Washington, D.C.: October, 2018).

9. Si veda ad es. ”Unclassified terms and definitions from classified report". National Research Council of the National Academies, A Review of U.S. Navy Cyber Defense Capabilities (Washington, D.C.: National Academies Press; 2014).

10. Navy Force Structure: Actions Needed to Ensure Proper Size and Composition of Ship Crews, U.S. Government Accountability Office (GAO), GAO-17-413 (Washington, D.C.: May 18, 2017)

11. Secondo il Defense Science Board (DSB) degli Stati Uniti, quasi ogni possibile componente nel Department of Defense (DOD) è in rete. Vedi ad es “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)

12. “Survivable” significa che una rete è in grado di mantenere le sue capacità critiche sotto l’incombenza di una minaccia. Si parla di un cyber-environment a rischio quando uno o più avversari tentano di cambiare il risultato di una missione negando, degradando, interrompendo o distruggendo le capacità informatiche o alterando l'utilizzo o la nostra fiducia in tali capacità. Si veda ad es. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)

13. Si veda ad es. Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington, D.C.: Mar. 24, 2016)

14. Information Security: Agencies Need to Improve Controls over Selected High- Impact Systems, GAO-16-501 Washington, D.C.: May 18, 2016.

23

2. LA CRIPTOGRAFIA

L'arte della criptografia, attraverso la quale si può codificare un messaggio in modo

tale che solo la persona a cui è indirizzato possa leggerlo, è iniziata almeno 2000 anni fa

[1]. La criptografia è ampiamente utilizzata da organizzazioni finanziarie per prevenire le

frodi nelle transazioni così come da governi ed organizzazioni militari. Oggi gran parte della

società moderna dipende dalla criptografia per fornire servizi di sicurezza tra cui

riservatezza, integrità, autenticazione e non ripudio [2].

Consideriamo il caso di un soldato sul fronte di battaglia che voglia inviare un

importante messaggio al suo quartier generale senza il rischio che il nemico ne apprenda il

contenuto. Non può trasmettere il messaggio in modo semplice poiché il nemico potrà

facilmente capirne il contenuto. Il nemico potrebbe infatti avere un team di criptografi

appositamente addestrati a decifrare codici ed il soldato dovrà pertanto usare i codici in

modo che il nemico troverà molto difficile decifrarli.

Forse uno dei criptogrammi più famosi, la nota "Zimmermann" [3], spinse gli Stati

Uniti a prender parte alla prima guerra mondiale. Quando il criptogramma fu decifrato nel

1917, gli Americani ad es. appresero che la Germania aveva cercato di convincere il

Messico a unirsi ai suoi sforzi bellici promettendo in cambio territori messicani negli Stati

Uniti. Un altro esempio di criptogramma ben noto è il codice "Enigma" [4] brevettato dagli

ingegneri tedeschi alla fine della prima guerra mondiale e messo sul mercato intorno al

1923. Poiché gli avversari avrebbero probabilmente intercettato i segnali radio, i messaggi

dovevano essere protetti con una codifica sicura. Il codice Enigma prevedeva l'uso di una

macchina portatile per generarlo. Esso fu adottato dalla Marina tedesca all'inizio del 1926,

dall’esercito e dell’aeronautica tedesca poco dopo. Fu quindi utilizzato durante la seconda

guerra mondiale divenendo ben noto negli ambienti militari. Queste codifiche non erano

affatto facili da decifrare. In effetti, il compito di decifrare codici sempre più complicati è stato

uno dei fattori che hanno stimolato lo sviluppo dei primi computer elettronici. Come è ormai

noto, tuttavia, una squadra segreta che lavorava a Bletchley Park (UK) riusci’ a decifrare il

codice [5], il che ebbe un effetto significativo sull'esito della guerra. Gli Alleati infatti furono

in grado di leggere la maggior parte dei messaggi segreti trasmessi e condivisi dagli eserciti

tedeschi e giapponesi. Questo esempio, tuttavia, mette in luce una debolezza intrinseca di

qualsiasi metodo di criptografia classica, ovvero "non c'è modo" di sapere se una terza parte

indesiderata abbia una copia del codice.

L'unico modo per il mittente di essere totalmente sicuro che una terza parte non

possa decifrare il messaggio è utilizzare un nuovo codice per ogni messaggio. Uno schema

24

di criptografia basato su questo metodo è chiamato “one-time-pad” ed è stato proposto per

la prima volta da Gilbert Vernam nel 1917 [6]. Esso è anche chiamato cifrario di Vernam. In

questo cifrario il mittente e il destinatario condividono un codice comune chiamato "chiave".

La chiave dovrebbe essere (i.) una sequenza casuale di bit binari (0 "e 1”) utilizzata (ii.) una

sola volta e lunga (iii.) almeno quanto il messaggio stesso. Il testo del messaggio viene

prima tradotto in una stringa binaria con un algoritmo noto dopodiché la chiave viene

aggiunta per produrre una nuova stringa di bit che comprende il messaggio codificato. Il

destinatario deve solo sottrarre la chiave dal messaggio codificato per recuperare il testo

originale. Un semplice esempio [7] può servire a illustrare come funziona questo cifrario.

Il metodo “one-time-pad” è in linea di principio perfettamente sicuro. Non ci sono

schemi che i criptografi possano riconoscere perché la chiave è "casuale" ed "unica" per

ogni messaggio. Tuttavia, il codice one-time-pad non è pratico da usare poiché mittente e

destinatario devono condividere una chiave comune per ogni messaggio. Ciò richiede un

metodo semplice e sicuro per il mittente e il destinatario onde poter scambiare la chiave

senza essere intercettati da (terze) parti indesiderate. Non esiste però un metodo pratico

per scambiare chiavi con i requisiti di cui sopra…ed è probabilmente per questo che soldati

e diplomatici hanno continuato a fare affidamento su cifrari più deboli con chiavi più brevi.

2.1. Criptografia convenzionale: Basics.

Esistono due opzioni elementari per inviare in modo rapido ed efficace un elevato

numero di informazioni sensibili [8].

La prima opzione prevede che il mittente ed il destinatario scambiano una “chiave

segreta” (secret-key) in modo sicuro, ad es. incontrandosi ad una riunione privata, per poi

utilizzarla per tutti i loro messaggi seguenti perlomeno fino a quando non avranno la

possibilità di scambiare una nuova chiave segreta. Ciò è tuttavia destinato a produrre

messaggi non sicuri che possono essere decifrati tramite routines di “pattern-spotting”

causa l'uso ripetuto della stessa chiave.

La seconda opzione consiste nell’uso della criptografia a "chiave pubblica” (Public-

Key Cryptography) (PKC). Ciò comporta in realtà l’uso di due chiavi: una “chiave privata"

(private-key) e una “chiave pubblica” (public-key). La chiave privata è nota solo all'utente

mentre la chiave pubblica è nota a tutti. L'utente genera la chiave privata che viene utilizzata

per generare la chiave pubblica che viene pubblicamente resa nota ed utilizzata per criptare

tutti i messaggi scambiati con l'utente. L’algoritmo di criptografia si basa in genere sul fatto

che alcune funzioni matematiche sono molto difficili da invertire e quindi i messaggi possono

essere facilmente de-criptati solo con l'aiuto della chiave privata. Tuttavia, solo l’utente

25

conosce la chiave privata e solo l’utente potrà quindi invertire facilmente i messaggi criptati

[9].

Lo schema criptografico utilizzato per la sicurezza di Internet, ad es. è un noto

esempio di criptografia a chiave pubblica. L'algoritmo matematico utilizzato per generare la

chiave pubblica potrebbe essere ad es. il prodotto di due “numeri primi” abbastanza grandi

e che comprendono anche la chiave privata nota solo all'utente. La sicurezza dello schema

si basa sul fatto che il tempo impiegato per trovare i fattori primi di un intero di grandi

dimensioni aumenta esponenzialmente con il numero delle cifre, pertanto il processo di

criptografia non può essere invertito rapidamente a meno che questi numeri primi non siano

noti. Il messaggio così criptato è solo difficile da decifrare non impossibile; sebbene non vi

sia alcuna prova matematica che non esista un algoritmo per trovare i fattori primi di un

numero di tante cifre, occorre notare che solo computer quantistici [10], quando

diventeranno operativi, potranno essere in grado di trovare i fattori primi in breve tempo.

2.2. Criptografia quantistica: Basics.

È chiaro che l'intero processo criptografico sarebbe molto più sicuro se le parti

interessate potessero criptare il loro messaggio con una "chiave privata segreta", ovvero

conosciuta "solo" a loro, piuttosto che con una chiave pubblica nota a tutti. È in questo

contesto che la criptografia quantistica entra in gioco fornendo un metodo affidabile per (1.)

“condividere” una chiave segreta e per (2.) “sapere” che nessuno l'ha intercettata. La

distribuzione a chiave quantistica (Quantum Key Distribution-QKD) è un processo che

consente di condividere una tale "chiave segreta privata" in un "modo sicuro".

Una tecnologia criptografica basata sulla distribuzione a chiave quantistica è quindi

importante per organizzazioni governative, militari e finanziarie visto che fornisce un metodo

sicuro per trasmettere chiavi private con la certezza di sapere se vi sono intercettazioni da

parte di terzi. Questo spiega l'interesse che l'argomento ha suscitato negli ultimi anni.

L'archetipo dei dispositivi criptografici quantistici:

(i.) Impiega singoli fotoni di luce [11].

(ii.) Sfrutta il principio di indeterminazione di Heisenberg [12].

i. Singoli fotoni.

I fotoni sono minuscoli pacchetti di radiazione elettromagnetica. Un fotone ha

un’energia che dipende dalla frequenza (colore) della radiazione mentre tutti i fotoni

viaggiano alla stessa velocità della luce. Esistono pertanto fotoni di tutte le

energie…partendo da fotoni molto energetici (raggi gamma, raggi X, etc.), a fotoni di luce

visibile giù fino a fotoni di bassa energia (raggi infrarossi, onde radio, etc.). Il concetto di

26

“fotone”, usato da Einstein per spiegar l'effetto fotoelettrico (1905) ha in effetti origine con

Planck (1900) che postula l’esistenza di pacchetti di energia discreti per spiegare

l’emissione (assorbimento) della radiazione termica di un corpo.

Sorgenti che emettono singoli-fotoni di radiazione sono chiamate sorgenti a singolo

fotone e sono distinte da sorgenti di luce coerente (ad es. laser) e da sorgenti di luce termica

(ad es. lampadina a incandescenza). Un fotone generato da sorgenti a singolo-fotone ha

caratteristiche tipicamente quantistiche ed è a tutti gli effetti un sistema quantistico.

ii. Il principio di indeterminazione.

Secondo il principio di indeterminazione, la misura di un sistema quantistico in

generale lo disturba e fornisce informazioni incomplete sul suo stato "prima" della misura.

L’intrusione su un canale in cui il dato sia codificato e trasmesso da una particella quantistica

(quantum channel) è un tipico esempio di misura di un sistema quantistico ad es. il singolo

fotone e quindi provoca un inevitabile disturbo; è proprio questo che avvisa gli utenti legittimi

dell’intrusione. La criptografia quantistica sfrutta questo effetto per consentire a due parti

“Alice” e “Bob” (utenti legittimi), che non si sono mai incontrati e che non hanno mai

condiviso informazioni segrete prima, di comunicare in assoluta segretezza in presenza di

un intruso.

2.3. Criptografia convenzionale vs. quantistica: “la differenza”.

Supponiamo ora che Alice voglia inviare un messaggio a Bob usando un sistema di

comunicazione convenzionale ad es. in fibra come mostrato in Fig. 1. I dati potrebbero

essere inviati nella forma di impulsi di luce lungo una fibra ottica. Impulsi forti rappresentano

l’entità binaria "1", mentre gli impulsi deboli, o nessun impulso, rappresentano l’entità binaria

"0". In questo non c'è nulla che Alice e Bob possano fare per impedire a Eva (eavesdropper)

di rubare una copia dei dati mentre vengono trasferiti, ovvero intercettando l’impulso di luce

(segnale) e conservandone una copia senza rivelare la sua presenza a Bob. La Fig. 1

mostra schematicamente che ciò potrebbe essere fatto attraverso un beam-splitter (50/50)

seguito da un amplificatore. Il segnale ricevuto da Bob in questo modo è "inalterato" dalla

presenza di Eva che ha intanto ottenuto una copia del segnale di Alice e che può quindi

elaborare usando il proprio sistema di rilevamento. In linea di principio non è possibile che

Alice e Bob siano consapevoli della presenza di Eva allorché si trasmettano segnali con

canali classici. Questo perché non esiste una legge fisica che ci impedisca di misurare un

segnale classico, farne un duplicato esatto e disturbare il processo di trasmissione.

Al contrario, la meccanica quantistica ci insegna che non è possibile effettuare una

misura su una singola particella quantistica senza alterarne lo stato. Non possiamo pertanto

27

rivelare una particella quantistica come il singolo-fotone, estrarre da esso tutte le

informazioni e poi trasmetterne un altro che sia una copia “esatta” del primo, come fatto nel

caso precedente. Questa fondamentale proprietà della meccanica quantistica va sotto il

nome di teorema della non-clonazione [13] (quantum no-cloning theorem). Qualunque

intruso (Eva) che effettui una misura sulla “particella quantistica” che codifica il dato da

trasmettere paleserà la propria presenza a Bob proprio attraverso la misura che effettua.

Questa è la differenza sostanziale con la criptografia classica.

Possiamo illustrare il principio alla base della criptografia quantistica considerando lo

schema sperimentale di Fig. 2 [11,14-15] ideato per misurare lo stato di polarizzazione di

un singolo fotone. Questo è, infatti, uno dei metodi di codifica dei dati con singoli-fotoni.

L'apparato è costituito da un beam splitter polarizzatore (PBS) (si veda Fig. 3) e due

rivelatori di singolo-fotone D1 e D2. Il beam splitter PBS ha la proprietà di trasmettere la

luce polarizzata verticalmente ma devia la luce polarizzata orizzontalmente di 90 °. Se θ =

0◦ il fotone (polarizzato verticalmente) verrà registrato dal rivelatore D1. Allo stesso modo,

se θ = 90◦, il fotone (polarizzato orizzontalmente) verrà registrato dal rivelatore D2. D'altra

parte, se il fotone in arrivo è polarizzato linearmente con il suo vettore di polarizzazione che

FIG1. (A) COMUNICAZIONE CLASSICA. ALICE INVIA UN MESSAGGIO A BOB TRASMETTENDO IMPULSI DI LUCE AD ALTA POTENZA TRAMITE FIBRA OTTICA. ESSI NON HANNO MODO DI SAPERE SE EVA ABBIA INTERCETTATO IL SEGNALE O MENO. (B) EVA PUÒ RUBARE UNA COPIA DEI DATI SENZA CHE BOB SE NE ACCORGA, USANDO UNO SPLITTER 50: 50 (BS) E UN AMPLIFICATORE OTTICO CON UN GUADAGNO PARI A 2.

28

forma un angolo non noto θ rispetto all'asse

verticale, dovremo risolvere la polarizzazione

(vettore) del fotone nelle sue componenti

orizzontali e verticali. I tre possibili risultati di

misure effettuate sul singolo-fotone sono

schematicamente illustrati nella Fig. 3 [14,17],

dove il cristallo di calcite viene usato come

PBS. Se i simboli | ⇕⟩ e | ⇔⟩ denotano

rispettivamente gli stati di fotoni polarizzati

“verticalmente" ed “orizzontalmente”,

possiamo scrivere lo stato quantistico | θ⟩ di

un singolo-fotone con polarizzazione non nota

θ come sovrapposizione dei due stati

(ortogonali) di polarizzazione secondo:

|θ⟩ = cos θ |↕⟩ + sin θ |↔⟩.

La probabilità che il fotone sia rivelato da D1 è data da:

Pv = |⟨↕ |θ⟩|2

= cos2 θ.

La probabilità che il fotone sia trasmesso su D2 è data da:

Ph = |⟨↔ |θ⟩|2

= sin2 θ.

Fig2. Schema per misurare lo stato di polarizzazione di un singolo fotone. Si usa un beam splitter polarizzatore (PBS) e due single-photon detectors (D1, D2). Il fotone in arrivo ha polarizzazione lineare ove il suo vettore di polarizzazione forma un angolo θ rispetto all'asse verticale.

29

Supponiamo ora che Eva voglia intercettare quanto inviato da Alice. Eva dovrebbe

determinare l’angolo di polarizzazione θ e trasmettere a Bob un altro fotone con lo stesso

angolo di polarizzazione θ. In ciascuna delle misure fatte da Eva, l'unica informazione cui

ella potrà accedere è se il rilevatore D1 o il rilevatore D2 registra un “click”, segnalando così

che il fotone è arrivato. Il rivelatore D1 registrerà un click però con una probabilità uguale a

cos2 θ mentre D2 registrerà un click con una probabilità uguale a sin2 θ. Pertanto la cosa

più sensata che Eva possa fare è di trasmettere a Bob un fotone polarizzato verticalmente

se vede “scattare" il rivelatore D1 oppure un fotone polarizzato orizzontalmente se vede

“scattare" il rivelatore D2. Si noti pertanto che lo stato del (secondo) fotone inviato a Bob

sarà lo stesso del primo fotone ricevuto da Alice “solo” per i casi speciali in cui θ = 0◦ o 90◦.

Per tutti gli altri valori di θ, il (secondo) fotone che Eva trasmetterà a Bob avrà un angolo di

polarizzazione θ ′ diverso dal primo. Ciò implica che lo stato del (secondo) fotone in uscita

Fig3. Meccanismo di funzionamento di un single-photon polarizing beam splitter (PBS). Un cristallo di calcite ad es. puo’ essere usato per selezionare fotoni polarizzati orizzontalmente e verticalmente. I fotoni con polarizzazione orizzontale passano direttamente, mentre i fotoni con polarizzazione verticale vengono deviati. I fotoni con polarizzazione diagonale entrano nel cristallo e vengono ri-polarizzati “a caso” in direzione verticale o orizzontale e pertanto seguono cammini diversi.

30

generato da Eva produrrà nell’apparato di misura di Bob risultati diversi da quelli del fotone

originale inviato da Alice (Si veda Fig. 4).

La conclusione è che non è possibile estrarre l’informazione corretta senza alterare

lo stato del fotone. Questa è una tipica conseguenza della natura “invasiva” di una misura

fatta su una particella quantistica, come il singolo-fotone in questo caso. L’intruso (Eva)

rivela la sua presenza attraverso il disturbo prodotto dalla sua misura e tale disturbo

influenzerà i risultati delle successive misure fatte da Bob. Si noti che per quanto l’intruso

(Eva) possa escogitare un modo più sofisticato per attingere allo stato corretto del fotone,

ella sarà pur sempre soggetta ai principi generali della meccanica quantistica e,

indipendentemente da quanto ci provi, altererà i risultati delle misure di Bob ogniqualvolta

si tratti di una polarizzazione non nota (θ).

2.4. La criptografia quantistica: schemi.

Esistono essenzialmente due schemi per implementare la criptografia quantistica; il

primo si basa sui principi della misura quantistica di single-photons [11], mentre il secondo

si basa sui principi della misura quantistica di entangled-photons [17]. Discuteremo ora del

primo schema poiché esso è il più comune. Abbiamo tipicamente due utenti Alice (A) e Bob

(B) che desiderano scambiare informazioni mentre Eva (E) è l’intruso (eavesdropper) che

vuole intercettare il messaggio, senza rivelare la sua presenza. La criptografia quantistica

non protegge dagli attacchi d’intrusione, ma fornisce un "modo per sapere" quando c’è

l’intruso quando Alice e Bob se ne accorgono essi semplicemente scartano le misure fatte

e ricominceranno tutto da capo. Al contrario, quando sapranno di non essere stati

intercettati, useranno le informazioni scambiate per condividere una chiave privata.

Fig. 4. Per estrarre informazioni utili dai dati codificati da Alice (singolo fotone), Eva (eavesdropper) deve cercare di determinare l'angolo di polarizzazione sconosciuto θ del fotone inviato da Alice ed inviare poi a Bob un secondo fotone con lo "stesso" valore di θ. La meccanica quantistica lo vieta e quindi l'angolo di polarizzazione θ‘ del fotone inviato da Eva a Bob non sarà uguale a θ in generale.

31

Essa potrà essere usata per criptare tutti i messaggi segreti che vorranno trasmettere

attraverso canali pubblici.

In particolare, se fossero così veloci da riuscire a creare una “nuova chiave” privata

per ogni “nuovo messaggio” da trasmettere, utilizzerebbero a tutti gli effetti un encoding del

tipo “one-time-pad” ed in questo modo il loro messaggio sarebbe totalmente sicuro contro

intercettazioni da parte di terzi indesiderati (hackers).

2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84.

La tecnologia QKD (Quantum Key Distribution) è adatta a qualsiasi circostanza che

richieda elevati requisiti di sicurezza nella distribuzione di una chiave privata condivisa tra

due parti geograficamente separate [18-19]. Tale distribuzione può essere implementata in

diversi modi e ci limiteremo nel seguito ad illustrarne uno di essi, il protocollo Bennett-

Brassard 84 (BB84), sufficiente per spiegare i principi di base della Quantum Key

Distribution [14].

L’idea iniziale risale a S. Wiesner, che sviluppò la tecnica del “quantum conjugate

coding” alla fine degli anni '60 [20]. Il suo approccio utilizza fotoni polarizzati in basi

coniugate come qubit (quantum bit) per codificare le informazioni da trasmettere [21].

La tecnica di Wiesner porta Charles Bennett e Giles Brassard a ideare un sistema

criptografico basato sulle leggi della meccanica quantistica [15] ovvero il protocollo BB84

ove i dati da trasmettere sono codificati come "stati di polarizzazione" di un singolo-fotone.

Se θ indica l'angolo di polarizzazione di un singolo fotone (Si veda Fig. 4), si potrebbe

associare alla polarizzazione verticale (θ = 0) il binario '1' ed alla polarizzazione orizzontale

il binario '0' (θ = 90◦). Nel protocollo BB84 vengono utilizzati due "sets" di stati di

polarizzazione ortogonale chiamati

(Tab. 1):

• Base ⊕: Binario “1” e “0”

corrispondono a fotoni con angoli di

polarizzazione 0◦ e 90◦. Denotiamo gli

stati delle due polarizzazioni con | ↕⟩

and | ↔⟩.

• Base ⊗ : Binario “1” e “0”

corrispondono a fotoni con angoli di

polarizzazione 45◦ and 135◦.

TAB.1. LE DUE BASI (⊕ E ⊗) DI POLARIZZAZIONE DEL FOTONE USATE PER IL PROTOCOLLO BB84. Θ E’ L’ANGOLO DI POLARIZZAZIONE DEL FOTONE DEFINITO IN FIG.2

32

Denotiamo gli stati delle due polarizzazioni con | ↗⟩ and | ↘⟩.

Il protocollo BB84 con codifica (Alice) e decodifica (Bob) è mostrato in Fig. 5, dove

l'apparato di Alice è costituito da una sorgente di fotoni polarizzati verticalmente ed una cella

di Pockels (PC1) [11,15]. Alice sincronizza la sua cella Pockels con la sorgente a singolo

fotone per generare fotoni con angoli di polarizzazione (θ) di 0◦, 45◦, 90◦ o 135◦ scelti peroò

“a caso”. In questo modo Alice può inviare una stringa di dati binari codificata in una delle

due basi di polarizzazione (⊕ o ⊗).

I fotoni inviati da Alice vengono ricevuti da Bob che ne misura la polarizzazione con

un apparato simile. L'apparato di Bob comprende una seconda cella di Pockels (PC2) posta

di fronte al beam splitter polarizzatore (PBS). Bob usa questa cella per ruotare il vettore di

polarizzazione del fotone in arrivo di 0◦ o −45◦, dove 0◦ equivale a rilevare nella base ⊕ e

−45◦ nella base ⊗. È importante notare che Bob “non conosce” la base con cui Alice ha

scelto di codificare i singoli-fotoni, quindi sceglie “a caso” tra le due basi ⊕ e ⊗. Se Bob

“indovina” la base giusta registrerà il risultato corretto. Ciò si verifica quando Alice sceglie

la base ⊕ e Bob sceglie di misurare l'angolo di 0◦ ed anche quando Alice sceglie la base ⊗

e Bob sceglie l'angolo −45◦. Se la scelta della base da parte di Alice è casuale, questa

Fig. 5. Encoding dei dati secondo il protocollo BB84. Alice ha una sorgente di fotoni con polarizzazione verticale. La Pockels cell (PC1) ruota per ogni fotone il vettore di polarizzazione di un angolo di 0◦, 45◦, 90◦ o 135◦ a caso. Il fotone viene quindi trasmesso a Bob che lo rileva utilizzando un beam-splitter polarizzatore (PBS) e due single-photon detectors D1 e D2 simili a quelli in Fig.2. L'apparato di Bob include una seconda Pockels cell (PC2) che può ruotare il vettore di polarizzazione del fotone in arrivo di un angolo di 0◦ o −45◦ a scelta di Bob.

33

corrispondenza corretta delle basi avverrà in media il 50% delle volte. Per il restante 50%

delle volte Bob rileverà la base sbagliata e quindi registrerà un risultato non corretto [22].

2.6. Il protocollo BB84: Sommario.

Riassumiamo il protocollo BB84 nella Tabella 2 [11,14-15]. Si delineano inoltre i

passaggi principali sotto.

Step 1: Alice genera e invia dati (riga da 1 a 3).

Un bit (cifra binaria), la più piccola unità di dati, ha un singolo valore binario (0 o 1) e qui

corrisponde all'angolo di polarizzazione (θ) di un fotone secondo i criteri della Tabella 1.

Alice genera una sequenza di bit (prima riga), alternando casualmente tra le basi ⊗ e ⊗

(seconda riga). Viene inoltre mostrata la codifica nell’angolo (θ) corrispondente alla

polarizzazione di ciascun singolo fotone inviato (terza riga). Alice trasmette ogni fotone a

Bob a "intervalli di tempo" regolari. A questo punto Alice non dice a nessuno cosa sta

facendo.

Step 2: Bob riceve i dati (riga da 4 a 5).

Bob riceve i fotoni di Alice. Bob registra i risultati della misura di polarizzazione

usando una scelta "casuale" delle basi di rilevamento ⊕ e ⊗ (4a fila) [23]. A priori, Bob “non

sa” quale base abbia scelto Alice e può solo scegliere "casualmente" una delle due

possibilità ⊕ e ⊗. I dati misurati di Bob (5a fila) coincideranno "in media" con i dati di Alice

per la metà delle volte. In questi casi Bob registrerà il risultato corretto, a condizione che

non sia presente alcun intruso (Eva).

TAB. 2. SEQUENZA DI GENERAZIONE DI UNA CHIAVE SEGRETA NEL PROTOCOLLO

BB84. Θ È L'ANGOLO DI POLARIZZAZIONE SECONDO LO SCHEMA DI CODIFICA

RIPORTATO NELLA TAB. 1.

34

Step 3: Bob e Alice confrontano le loro basi (riga da 6 a 7).

Bob annuncia ad Alice su un canale pubblico la sua “scelta di basi”, senza rivelare i

risultati della sua misura. Alice “confronta” le scelte di basi di Bob rispetto alle sue ed

identifica le volte in cui entrambi hanno scelto la stessa base. Indica a Bob sul canale

pubblico quali degli "intervalli di tempo" hanno la stessa scelta di base, identificata con

l'etichetta "y" (riga 6). Sia Alice che Bob scartano gli altri casi mentre ciò che rimane ad

entrambi sono i “sifted bits” o “sifted key” (Riga 7).

Step 4: Analisi errori e chiave segreta (riga da 8 a 9)

Bob ora invia un "sottoinsieme" dei suoi “sifted bits” ad Alice, ad es. invia solo quelli

“alterni” (nona riga) cosicché Alice può confrontarli (sulla propria lista) ed eseguire un'analisi

d’errori. Questo è il punto in cui l’intruso rivela la sua presenza! Se il tasso di errore è

inferiore al 25% [24], Alice deduce che non si è verificata alcuna intercettazione da parte di

Eva e che pertanto la comunicazione quantistica è sicura. Alice e Bob sono quindi in grado

di conservare i bit rimanenti come "chiave privata".

2.7. Un prototipo commerciale QKD.

I sistemi criptografici commerciali utilizzano in genere QKD come mezzo per produrre

chiavi segrete/private condivise

necessarie negli algoritmi di

criptografia simmetrica di massa,

come ad es. Advanced Encryption

Standard (AES). Nella maggior parte

dei casi, la chiave generata tramite

QKD viene aggiornata

frequentemente; sebbene gli utenti

considerino aggiornamenti frequenti

delle chiavi un miglioramento rispetto

ai tipici aggiornamenti che avvengono

giornalmente (o mensilmente), i sistemi criptografici commerciali basate su QKD non sono

“unconditionally sicure”. Sistemi commerciali QKD sono disponibili presso i rivenditori in

Europa (ad es. ID Quantique-IDQ, SeQureNet, etc.), in Australia (Quintessence Labs), in

Nord America (MagiQ), in Asia (Quantum Communication Technology Co., Ltd.) ... ecc.

Anche settori più istituzionali hanno da tempo aderito in tutto il mondo a missioni di National

Security basate sulla criptografia quantistica mettendo a punto sistemi criptografici QKD

FIG. 6. PIATTAFORMA CRIPTOGRAFICA “PLUG

& PLAY” MODULARE CLAVIS 300 (ID QUANTIQUE)

35

particolarmente avanzati come è avvenuto ad es. al Quantum Institute del Los Alamos

National Laboratory (U.S.) [25].

Oltre alle soluzioni commerciali, sono disponibili anche protocolli e architetture QKD

che forniscono una distribuzione delle chiavi "unconditionally secure". Un dispositivo "plug

& play" ad es. è stato proposto, costruito e distribuito con successo per una distribuzione di

chiavi incondizionatamente sicure tra due centri di ricerca collegati per molti mesi attraverso

un lago in Svizzera già all'inizio degli anni 2000. Ancora in Svizzera (2001) “ID Quantique

(IDQ)” ha offerto e venduto il primo sistema QKD disponibile in commercio. Questo fu al

tempo uno sviluppo significativo poiché chiunque poteva acquistare un sistema criptografico

“unconditionally secure” per circa mezzo milione di dollari. Oggi IDQ è uno dei leader

mondiali nelle soluzioni di criptografia quantistiche sicure, fornendo “quantum-safe network

encryption” e “QKD Service & Solutions” per l'industria finanziaria, le imprese e le

organizzazioni governative di tutto il mondo.

La Fig. 6 mostra una tipica piattaforma criptografica "plug & play" completa

(Clavis300

) che esegue QKD "punto a punto" modulare o QKD a “lungo raggio” con “relais-

nodes”. Si riescono a distribuire chiavi sicure con rates di generazione fino a 10 kb/s (o più)

e perdite di collegamento di 10 dB (link loss) che corrisponde a circa 100 km di distanza a

seconda della qualità delle fibre. Nell'elaborazione criptografica gli intervalli morti

(encryption processing latency) sono inferiori a 10 microsecondi mentre le chiavi possono

essere distribuite fino a un massimo di 80 utenti. L’algoritmo di codifica Korean LEA (Light

Encryption Algorithm) consente un encryption rate di 4x10 Gbps [26]. Le piattaforme

criptografiche quantistiche commerciali sono progettate con configurazioni variabili a

seconda dello specifico task criptografico richiesto. Le specifiche di una tipica piattaforma

Clavis300

sono riportate in Tab. 3 a titolo illustrativo.

36

Tab.3 Piattaforma Clavis 300 (Specs)

37

Bibliografia 2.

1. Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)

2. Elaine B. Barker, William C. Barker, Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies, Special Publication (NIST SP) - 800-175A Report Number: 800-175A, Published: August 22, 2016

3. Il messaggio sotto forma di un telegramma in codice fu inviato da Arthur Zimmermann, allora funzionario al Ministero degli Esteri dell'Impero tedesco. Si veda ad es. Katz, Friedrich, The Secret War in Mexico: Europe, the United States, and the Mexican Revolution, University of Chicago Press (1984) (ISBN 978-0226425894)

4. La macchina “Enigma” era un dispositivo criptografico utilizzato per proteggere le comunicazioni commerciali, diplomatiche e militari. Fu ampiamente impiegato dalla Germania nazista durante la seconda guerra mondiale, in tutti i settori dell'esercito tedesco. Vi furono altre macchine di cifratura tedesche come ad es. il “Lorenz cipher” usata nella seconda guerra mondiale per criptare i messaggi di alto livello del personale. Si veda [1].

5. I matematici e i criptografi polacchi (Polish Cipher Bureau) per primi usarono la teoria delle permutazioni e dei difetti per decifrare le chiavi dei messaggi criptati dai militari tedeschi con Enigma. Più tardi, un massiccio sforzo intrapreso dal British Government Code e la Cypher School di Bletchley Park (U.K.) permise la decodifica dei cifrari tedeschi Enigma e Lorenz utilizzate per le comunicazioni segrete delle Potenze dell'Asse.

6. In questo periodo Gilbert S. Vernam dell’American Telephone and Telegraph Company e il maggiore Joseph O. Mauborgne del Unites States Army Signal Corps svilupparono il primo codice davvero inattaccabile chiamato "Vernam cipher" [S. Vernam, brevetto USA 1.310.719, Secret Signaling System (1918) e brevetto USA 1.416.765, Ciphering Device (1920)].

7. Si consideri un codice elementare in cui le lettere sono rappresentate da numeri binari “a cinque bit” da 1 a 26 secondo la sequenza dell'alfabeto. Quindi A è 00001, B è 00010 e Z è 11010. Il processo di criptografia è l'aggiunta modulo 2 e la chiave casuale è "111011000111001". Ad esempio, il messaggio "110111111000001" può essere decodificato eseguendo la sottrazione modulo 2: 110111111000001 ⊖ 111011000111001 001100111111000. I primi cinque bit del messaggio decifrato sono 00110, che riconosciamo come "F", la sesta lettera dell'alfabeto. Allo stesso modo, i secondi cinque bit sono 01111 = 15 che riconosciamo come "O", ecc. Una caratteristica distintiva del codice è la necessità di una chiave che non sia "mai riutilizzata" per inviare un altro messaggio; ecco perché si chiama "one-time-pad".

8. W. Stallings, “Cryptography and Network Security: Principles and Practice”. Prentice Hall. p. 165 (1990). (ISBN 9780138690175).

9. I crypto-sistemi a chiave pubblica sono particolarmente adatti per criptare la posta elettronica e le transazioni commerciali, che spesso si verificano tra parti che, a differenza di diplomatici e spie, non hanno anticipato la necessità di comunicare in segreto. L'idea di PKC (Public Key Cryptography) è che un utente, che chiamiamo "Alice", scelga casualmente una coppia di trasformazioni matematiche reciprocamente inverse da utilizzare per la criptare e de-criptare (decodifica). Alice pubblica quindi le istruzioni per criptare ma non la "decodifica". Un altro utente, Bob, può utilizzare l'algoritmo di criptografia pubblica di Alice per preparare un messaggio che solo Alice può peroò de-codificare. Si veda ad es. E. Rieffel, “Quantum computing” in The Handbook of Technology Management, Vol III, 1st ed., H. Bidgoli, Ed. Wiley, 2009 .

10. Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5

11. See e.g. M. Fox, ”Quantum Optics: An Introduction”, Oxford Master Series in Physics, OUP Oxford, 2006 (ISBN-13: 978-0198566731) and also F. Kaneda, P. G. Kwiat, “High-efficiency single-photon generation via large-scale active time multiplexing”, Sci. Adv.5, eaaw 8586 (2019).

12. L.D. Landau, E. M. Lifshitz (1977). “Quantum Mechanics: Non-Relativistic Theory”. Vol. 3 (3rd ed.). Pergamon Press. (ISBN 978-0-08-020940-1)

13. W. K. Wootters & W. H. Zurek, “A single quantum cannot be cloned”, Nature volume 299, pages802–803 (1982)

38

14. C. H. Bennett, G. Brassard and A. K. Ekert, “Quantum Cryptography,” Sci Am, vol. 1, pp. 50-57, 1992.

15. Nielson, Michael A. and Chuang, Issac L. (2000). “Quantum computation and quantum information”. Cambridge University Press, Cambridge. Hughes, R. J., Alda, D. M., Dyer, P., Luther, G. G., Morgan, G. L., and Schauer, M. (1995). “Quantum cryptography”. Contemp. Phys. 36, 149–63. Hughes R. and Nordholt J. (1999) & “Quantum cryptography takes to the air”,Phys. World 12(5), 31–5.

16. C. H. Bennett and G. Brassard. "Quantum cryptography: Public key distribution and coin tossing". In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, (1984). Il protocollo BB84, sviluppato da Charles Bennett e Gilles Brassard nel 1984, è il primo protocollo conosciuto di criptografia quantistica QKD.

17. Bouwmeester, D. et al. (2000). “Quantum cryptography with entangled photons” Phys. Rev. Lett. 84, 4729–32.

18. M. R. Grimaila, J. D. Morris and D. Hodson, “Quantum key distribution, a revolutionary security technology” The ISSA Journal, vol. 27, pp. 20-27, 2012.

19. Altri protocolli importanti possono essere implementati come ad es. il protocollo Bennett 92 (B92). Vedi ad es.C. H. Bennett, Phys. Rev. Lett,68, 3121 (1992).

20. S.J. Wiesner, "Conjugate Coding", SIGACT News 15:1, pp. 78–88, (1983). Sebbene questo lavoro sia rimasto inedito per oltre un decennio, il manoscritto aveva una circolazione sufficiente per stimolare l'emergere della scienza dell'informazione quantistica intorno agli anni '80 e ’90.

21. J. D. Morris et al., “A survey of quantum key distribution (qkd) technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013, pp. 141.

22. Ad esempio, se il fotone in arrivo è polarizzato a + 45◦ e Bob sta rilevando sulla base ⊕ (angolo di rotazione = 0◦), registrerà i risultati su uno dei suoi rivelatori con una probabilità uguale del 50%.

23. Questo viene fatto scegliendo “casualmente” l'angolo di rotazione di una cella di Pockels (Vedi Fig. 5) per cui l'angolo di rotazione 0◦ corrisponde alla base ⊕ e la rotazione −45◦ corrisponde alla base ⊗

24. Eva potrebbe rivelare i fotoni di Alice (usando una copia dell'apparato di Bob) e trasmettere nuovi fotoni a Bob (usando una copia dell'apparato di Alice). Poiché Eva non può sapere quale base stia usando Alice, deve scegliere la sua base "a caso". La metà delle volte Eva indovinerà "correttamente", ma per la metà delle volte indovinerà "in modo errato". In un caso Eva determina il corretto stato di polarizzazione del fotone ovvero invierà a Bob un fotone polarizzato in modo identico a quello che avrebbe inviato Alice senza che nessuno se ne accorga. Nell'altro caso indovinerà "in modo errato" e invierà quindi a Bob un fotone polarizzato diversamente da quello di Alice. Poiché Eva sceglie in modo errato il 50% delle volte (in media), ella modificherà l'angolo di polarizzazione del fotone per il 50% delle volte. Quando Bob ha scelto la "stessa" base di Alice mentre Eva hanno scelto "in modo errato", Bob registrerà risultati casuali sui suoi rilevatori con una probabilità del 50%. La probabilità complessiva di errore è:

25. Nel 2014, Los Alamos National Laboratory ha concesso in licenza i risultati dei loro 20 anni di

ricerca sulla criptografia quantistica a Whitewood Encryption Systems, Inc. principalmente per “quantum-based encryption systems” and “random number generators” necessari a generare le “random keys”.

26. L’ “encryption rate” è il tempo di elaborazione richiesto dall'algoritmo per criptare i dati. Esso dipende dalla dimensione dei dati, dalla velocità del processore, dalla complessità dell'algoritmo ecc.

39

3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE

QUANTISTICA: UNA PANORAMICA

La criptografia è una battaglia secolare tra creatore di codice e decodificatore [1].

Come si evince dai capitoli precedenti, la combinazione tra Quantum Key Distribution (a.) e

metodi One-Time-Pad (OTP) (b.) fornisce un metodo di comunicazione sicuro.

(a) In realtà, solo gli algoritmi OTP (chiave simmetrica) producono realmente "informazioni

sicure", mentre tutti gli altri sistemi criptografici sono decifrabili da un avversario che

disponga di una quantità sufficiente di testo cifrato, risorse computazionali e tempo.

Malgrado siano sicuri, tuttavia, i metodi OTP non sono comunemente usati, a causa di

alcuni problemi nella generazione e nella distribuzione delle chiavi sicure. Queste ultime

dovrebbero essere casuali, di lunghezza pari al messaggio, e non dovrebbero mai

essere riutilizzate. Tali requisiti pongono limitazioni significative alla maggior parte delle

implementazioni pratiche dell’algoritmo One-Time-Pad.

(b) A differenza degli algoritmi OTP, ben consolidati sin dalle prime applicazioni del cifrario

di Vernam, la Quantum Key Distribution (QKD) è un'area di ricerca emergente e

piuttosto complessa [2]. Gli schemi QKD assicurano la segretezza della chiave generata

e fanno sì che eventuali intercettazioni da parte di terzi introducano errori rilevabili.

Per elaborare le informazioni, questi metodi sfruttano la meccanica quantistica anziché

la meccanica classica, con conseguenze potenzialmente rivoluzionarie per le tecnologie

informatiche, di comunicazione e criptografiche su cui fanno affidamento le

organizzazioni che lavorano con stringenti requisiti di sicurezza. La QKD ha già trovato

applicazione, ad esempio, nelle transazioni finanziarie e nelle comunicazioni elettorali,

con un ventaglio di altri possibili utilizzi in ambito governativo e militare.

(c) In questo contesto il Quantum Computing (QC), uno dei più importanti traguardi

tecnologici del nostro tempo, può fornire ulteriori sviluppi in grado di incidere sulla

sicurezza militare strategica. In effetti, la capacità dei computer quantistici di effettuare

ricerche in modo efficiente in elenchi di dati di grandi dimensioni può consentire a ogni

sistema che utilizza database o metodi di archiviazioni di dati di ridurre i "tempi di

risposta" e di valutare "maggiori quantità" di dati con efficienza superiore. Ovviamente,

tutto ciò è ancora più importante quando si tratta di archiviazione di dati nel cloud. In

generale, qualsiasi processo che richiede grandi quantità di tempo di elaborazione o

massicce ricerche di dati (data search) può trarre beneficio dallo sviluppo dei computer

quantistici.

40

D’altro canto, l’implementazione dei computer quantistici comporterà un gran

numero di rischi in termini di sicurezza, dato che il calcolo quantistico sarebbe in grado di

decifrare i sistemi di criptografia odierni praticamente in tempo reale. Ogni organizzazione

che abbia requisiti di sicurezza dovrà quindi premunirsi rispetto all’avvento di una potenza

di calcolo in grado di rendere obsoleti gli attuali algoritmi di criptografia. In campo militare,

ciò può tradursi nella pratica a dover costringere amici e avversari ad investire nello sviluppo

di protocolli di criptografia capaci di resistere al calcolo quantistico.

La combinazione di Quantum Key Distribution (a.) e metodi One-Time-Pad (OTP)

(b.) può rivelarsi vantaggiosa per operazioni di tipo militare. In particolare, lo sviluppo di un

sistema di distribuzione di chiavi quantistiche che si traducesse in un sistema criptografico

pratico da utilizzare e sicuro su ampia scala potrebbe condurre a tecnologie innovative per

le guerre che vengono combattute nell’era moderna dell'informazione.

In linea di principio, i canali di comunicazione protetti da QKD potrebbero collegare

nodi di comando e di controllo, mettendo in contatto i comandanti con altri alti ufficiali delle

forze armate ed a loro volta col loro staff sia attraverso (i.) circuiti terrestri ad es. reti di "fibre"

ottiche, sia attraverso (ii.) circuiti terra-spazio ad es. "satelliti" che si muovono su orbite

terrestri basse e collegati a stazioni a terra. I satelliti, che trasportano dispositivi QKD, in

questo caso distribuirebbero nuove chiavi private a contingenti di ufficiali così come a

personale predisposto alla supervisione delle operazioni di campo purchè situati in qualsiasi

punto del campo visivo delle piattaforme. Ad esempio, nel caso di Micius, il primo satellite

quantistico cinese (si veda omonimo paragrafo), sono state create delle chiavi segrete tra

Cina ed Europa in posizioni distanti circa 7000 km l'una dall'altra per mezzo di un network

satellitare (civile) per la crittografia QKD intercontinentale [3]. I futuri tentativi di realizzare

una rete QKD "globale" [4] sfrutteranno senza dubbio la potenza della tecnologia

dell'informazione in un quadro di operazioni militari incentrate sulla rete (net-centric warfare)

[5].

In teoria, i metodi QKD possono anche rappresentare una protezione contro le

capacità di decodifica di un computer quantistico. Per esempio, aumentando la velocità di

generazione delle chiavi nei sistemi QKD fino a valori compatibili con la criptografia OTP, si

potrebbe sventare il rischio di decodifica da parte dei computer quantistici. Poiché la velocità

di generazione dell'ordine dei kbps (kilo bit al secondo) sufficienti per la codifica OTP sono

già raggiungibili [6] (Si veda anche “Clavis𝟑𝟎𝟎

"), l’attuale tecnologia QKD è potenzialmente

41

in grado di sviluppare un metodo criptografico resistente agli attacchi dei computer

quantistici.

In pratica, comunque, tutto ciò richiederebbe la messa in opera di una nuova

generazione di hardware criptografico in tutto l'esercito, con canali di comunicazione protetti

da crittografia QKD.

Bibliografia 3.

1. Simon Singh, “The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography”, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)

2. J. D. Morris et al., “A survey of quantum key distribution technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013.

3. Un tale risultato pone chiaramente le basi per un’efficiente rete quantistica globale a “doppio-uso” (dual-use), il che significa che può essere di supporto per applicazioni sia militari che civili.

4. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)

5. Negli anni '90, il Dipartimento della Difesa degli Stati Uniti (DoD) apri’ ad un approccio di guerra basato sulla rete (Net-centric warfare) ovvero ad una guerra network-centrica … o anche guerra digitale. Esso contemplava l’impiego dell’informatica onde ottenere un vantaggio militare competitivo nei confronti del nemico. Un tale approccio, che inizialmente contemplava reti di computers efficientemente connessi tra forze geograficamente disperse e ben informate, ha col tempo acquisito il significato più generale della capacità di raggiungere una superiorità derivante dai vantaggi della tecnologia informatica onde dominare lo spazio di battaglia a partire dalle operazioni di pace fino all'applicazione diretta del potere militare.

6. H.-L. Yin, et al.“Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).

3.1. La distribuzione a chiave quantistica: le sfide.

Sebbene negli ultimi decenni siano stati fatti progressi significativi, le reti di

distribuzione di chiavi quantistiche su larga scala hanno ancora alcuni ostacoli davanti a sè.

I più rilevanti per le applicazioni militari saranno esaminati nei prossimi paragrafi, seguiti da

una panoramica delle possibili applicazioni. Verranno anche tratteggiati vantaggi e

svantaggi della distribuzione di chiavi quantistiche dal punto di vista delle operazioni militari.

Il primo ostacolo da superare è il divario tra teoria e pratica nelle attuali

implementazioni della QKD [1], che è idealmente sicura solo quando utilizza sorgenti a

singolo fotone ideali e rivelatori “ideali”. Purtroppo nella realtà i dispositivi ideali non

esistono: le loro imperfezioni possono quindi aprire falle di sicurezza o canali secondari,

compromettendo all’atto pratico la sicurezza di un protocollo QKD [2-4]. Sono stati proposti

diversi protocolli QKD che non risentono delle imperfezioni del dispositivo [5,6] ed alcuni

sono già stati dimostrati con esperimenti di successo e riguardano metodi QKD "con stato

42

esca" (decoy state) [7,8] e metodi QKD "indipendenti dal dispositivo di misura”

(Measurement Device Independent-MDI) [9].

3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.

Il protocollo QKD più noto è il BB84, in cui Alice (mittente) codifica i suoi numeri

casuali in una sequenza di singoli fotoni preparati in basi di polarizzazione scelte a caso e

Bob (ricevitore) misura ogni singolo fotone in ingresso utilizzando una delle due basi,

anch’essa scelta a caso. Successivamente, durante la riconciliazione delle basi, Alice e Bob

sacrificano una porzione scelta in modo casuale dei dati rimanenti per stimare il tasso di

errore del bit quantistico (QBER). Se quest’errore è maggiore di un valore-soglia

predeterminato, interrompono il protocollo, altrimenti usano le classiche tecniche di post-

selezione per generare una chiave segreta. Nelle implementazioni reali, è strato dimostrato

inoltre che la criptografia QKD è sicura per mittente e destinatario a condizione che i

dispositivi da essi utilizzati siano gli stessi del modello teorico. In pratica, tuttavia, il modello

potrebbe non essere soddisfatto, lasciando a Eva scappatoie per fare “hacking" sui canali

di comunicazione QKD.

La prima strategia nota per l'hacking quantistico è l'attacco “photon number splitting"

(PNS) [10]. Il protocollo BB84 richiede una sorgente a singolo fotone, che tuttavia con la

tecnologia attuale non è "ideale". Inoltre le attuali sorgenti a singolo fotone generalmente

sono voluminose, costose e poco efficienti, perciò per le implementazioni pratiche della QKD

vengono usati impulsi coerenti deboli prodotti da laser fortemente attenuati. Poiché anche

in un impulso di intensitàà molto bassa esiste una probabilità non nulla di trovare 2 o più

fotoni, Eva può trattenere una parte dell'impulso a più fotoni ed inviare l'altra parte a Bob. In

questo modo durante il processo di riconciliazione delle basi, Alice e Bob non possono

accorgersi dell'esistenza di Eva!

In pratica, l'attacco PNS limita la distanza per una QKD sicura a meno di 30 km [11].

Alcuni gruppi [12] hanno implementato la QKD con impulsi coerenti deboli fino a 100 km,

ma questi sistemi QKD non sono sicuri sotto un attacco PNS. Per contrastare questo tipo di

attacco, negli scorsi decenni sono stati proposti numerosi protocolli QKD e, in particolare,

quello basato sul cosiddetto “decoy state” [13] (stato esca). In questo metodo, oltre al

normale stato del segnale, Alice prepara alcuni decoy states. Gli stati esca sono “uguali"

allo stato del segnale, ad eccezione del numero previsto di fotoni. Questi decoy states

aggiuntivi vengono usati solo per rilevare gli attacchi di Eva, mentre gli stati di segnale

servono per generare la chiave privata. A “ciascun impulso” generato da Alice è assegnato

lo "stato di segnale" o lo “stato esca" in modo casuale dopodiché Alice modula l'intensità di

43

ogni impulso e lo invia a Bob. Allorché Bob annuncia di aver ricevuto tutti i segnali, Alice gli

comunica mediante un canale classico quali sono gli stati di “segnale".

Diversi esperimenti hanno dimostrato che il BB84 con decoy state è sicuro e può

essere applicato in condizioni realistiche. Rosenberg et al. [14] e Peng et al. [15] hanno

implementato la decoy state QKD attraverso 100 km di fibra, superando per la prima volta

i 30 km previsti come distanza-limite per rimanere indenni da un attacco PNS. In seguito,

Schmitt-Manderbach et al. sono riusciti a realizzare una decoy state QKD su 144 km nello

spazio [16]. Altri test sperimentali su questo tipo di QKD sono stati effettuati coinvolgendo

vari laboratori ed eseguendo varie prove sul campo [17]. Alla luce di questi risultati, la

comunità di criptografia quantistica ha maturato la convinzione che sia possibile rendere

sicura la distribuzione delle chiavi quantistiche anche se si dispone di dispositivi imperfetti

[18].

Bibliografia 3.2.

1. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).

2. 1. Y. Zhao, C. Fung, B. Qi, C. Chen, and H.-K. Lo, “Quantum hacking: experimental demonstration of time-shift attack against practical quantum-key-distribution systems”, Phys. Rev. A 78(4), 042333 (2008).

3. 3. N. Jain, et al.“Device calibration impacts security of quantum key distribution” Phys. Rev. Lett. 107(11), 110501 (2011).

4. 4. Y.-L. et al., “Source attack of decoy-state quantum key distribution using phase information” Phys. Rev. A 88(2), 022308 (2013).

5. 5. V. Scarani, A. Acín, G. Ribordy, and N. Gisin, “Quantum cryptography protocols robust against photon number splitting attacks for weak laser pulse implementations” Phys. Rev. Lett. 92(5), 057901 (2004).

6. 6. D.Gottesman, H.-K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004).

7. A.Acín, N.Brunner, N.Gisin, S.Massar, S.Pironio and V.Scarani, “Device-independent security of quantum cryptography against collective attacks” Phys. Rev. Lett. 98(23), 230501 (2007).

8. 21. H.-K.Lo, X.Ma and K.Chen, “Decoy state quantum key distribution”, Phys.Rev.Lett.94 (23), 230504 (2005).

9. 22. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution”, Phys. Rev. Lett. 108(13), 130503 (2012).

10. G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett. 85 (6), 1330 (2000).

11. D.Gottesman, H.K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.

12. 13. C.Gobby, Z.L.Yuan and A.J.Shields, “Quantum key distribution over 122 km of standard telecom fiber”, Appl. Phys. Lett. 84(19), 3762–3764 (2004).

13. 14. X.-B.Wang,“Beating the photon-number splitting attack in practical quantum cryptography”, Phys.Rev.Lett. 94(23), 230503 (2005).

14. D. Rosenberg et. al, “Long-distance decoy-state quantum key distribution in optical fiber”, Phys. Rev. Lett. 98(1), 010503 (2007).

44

15. C.-Z. Peng, et al., “Experimental long-distance decoy-state quantum key distribution based on polarization encoding”, Phys. Rev. Lett. 98(1), 010505 (2007).

16. T.Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Phys. Rev. Lett. 98(1), 010504 (2007).

17. A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Gigahertz decoy quantum key distribution with 1 Mbit/s secure key rate”, Opt. Express 16(23), 18790–18797 (2008).

18. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)

3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.

Delle falle di sicurezza si possono aprire anche sul fronte della misura (detection).

L’esistenza di numerose possibilità di attacco a rivelatori di sistemi QKD sia sviluppati a

scopo di ricerca che commerciali è stata dimostrata sperimentalmente più di dieci anni fa

(2008-2011). A titolo di esempio, citiamo brevemente il cosiddetto attacco di “accecamento

del rivelatore” [1] (blinding), tralasciando diversi altri tipi ben noti d’attacco [2].

I rivelatori più utilizzati da Bob sono diodi a valanga a singolo-fotone (Single Photon

Avalanche Diode o “SPAD”). Quando l'intensità in ingresso è a livello di singolo fotone il

rivelatore funziona correttamente, ma all’aumentare dell'intensità diventa "cieco" e inizia a

funzionare in modo diverso: l'uscita sarà direttamente proporzionale alla potenza ottica in

ingresso (regime lineare). Di conseguenza Eva può effettuare un attacco di "intercettazione

e rinvio", intercettando gli impulsi di Alice e misurandoli. Dopodiché, prima invia una luce

intensa per accecare tutti i rivelatori di Bob e poi, basandosi sulle misure effettuate, gli invia

un'altra luce di intensità opportunamente calibrata in modo che i suoi rivelatori possano

scattare solo quando seleziona la stessa base di Eva. In questo modo Eva è in grado di

rubare le informazioni chiave senza farsi scoprire.

Una soluzione praticabile per difendersi dagli attacchi sulla misura è offerta dai

metodi QKD “indipendenti dal dispositivo di misurazione” (Measurement Device

Independent o “MDI”). Secondo la procedura MDI, sia Alice sia Bob sono mittenti e

trasmettono segnali a una terza persona non affidabile, Eva, che in questo caso dovrebbe

effettuare una misura specifica (“stato di Bell”). Tale misura fornisce un risultato che potrà

essere verificato da Alice e da Bob. Pertanto, la MDI-QKD riesce ad eliminare canali

secondari di perdite nella fase del processo di misura. Per maggiori dettagli sui metodi QKD

indipendenti dal dispositivo di misurazione rimandiamo il lettore ad alcuni lavori recenti

sull'argomento [3-6].

A partire dal 2013, vari gruppi di ricerca hanno implementato con successo la MDI-

QKD [3]. Ai fini dell’utilizzo pratico del sistema sono particolarmente importanti le

dimostrazioni condotte da Liu et al con stati esca [4] e da Tang et al con fonti imperfette [5].

45

L’importanza della MDI-QKD risiede non solo nel fatto che è sicura nei confronti degli

attacchi in fase di misura, ma anche nella sua praticità. Infatti può essere implementata con

laser coerenti deboli facilmente disponibili, è in grado di resistere a elevate perdite durante

la comunicazione che pertanto rimane efficace anche sulle lunghe distanze. Recenti studi

hanno dimostrato la possibilità di realizzare protocolli MDI-QKD che utilizzano una fibra a

bassa perdita (0,16 dB / km) su una distanza di 400 km [6]. È importante sottolineare che la

velocità di generazione delle chiavi raggiunta in questo esperimento è di circa 3 kbps a una

distanza di circa 100 km, sufficiente ad es. per la codifica One Time Pad di un messaggio

vocale. Nel frattempo, anche tentativi di raggiungere una velocità di 1 Mbps utilizzando un

protocollo QKD-MDI hanno avuto esito positivo. Date le distanze coinvolte, tutti questi

esperimenti dimostrano che la QKD-MDI è adatta a una rete QKD metropolitana [7].

Bibliografia 3.3

1. L. Lydersen, C. Wiechers, C. Wittmann, D. Elser, J. Skaar, and V. Makarov, “Hacking commercial quantum cryptography systems by tailored bright illumination” Nat. Photonics 4(10), 686–689 (2010).

2. Altre tipologie di attacchi includono ad es. “time-shift” attack, “dead-time” attack etc. 3. T. F. da Silva, et al, “Proof-of- principle demonstration of measurement-device-independent

quantum key distribution using polarization qubits” Phys. Rev. A 88(5), 052303 (2013). 4. Y. Liu et al., “Experimental measurement-device-independent quantum key distribution” Phys.

Rev. Lett. 111(13), 130502 (2013). 5. Z. Tang, K. Wei, O. Bedroya, L. Qian, and H.-K. Lo, “Experimental measurement-device-

independent quantum key distribution with imperfect sources” Phys. Rev. A 93(4), 042308 (2016).

6. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).

7. L. C. Comandar et al., “Quantum key distribution without detector vulnerabilities using optically seeded lasers” Nat. Photonics 10(5), 312–315 (2016).

Il secondo ostacolo è il decadimento del rate con cui si generano le chiavi private

nelle realizzazioni pratiche della QKD. Sebbene l'attuale record di distanza in fibra per la

QKD sia di circa 400 km [1] e la proposta di un nuovo protocollo per estenderla di altri 100

km [2] sia già stata avanzata, la velocità di generazione delle chiavi private in fibra cala

drasticamente su lunghe distanze. Una soluzione è rappresentata dal ripetitore quantistico,

benché la sua applicazione pratica risenta ancora delle prestazioni limitate delle memorie

quantistiche [3]. In attesa che questo inconveniente venga superato, al posto del ripetitore

quantistico si può utilizzare lo schema del relè affidabile (trusted relay), esso può essere

implementato nella tecnologia attuale ma che richiede una "protezione" su tutti i nodi di relè

[4].

46

3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete dorsale.

Storicamente, la prima prova sul campo documentata per la QKD con fibre ottiche è

stata eseguita nel 1965 dal British Telecom Lab, nel Suffolk (UK) [5]. Il test prevedeva la

partecipazione di quattro utenti, un’Alice e tre Bob, e l’utilizzo di un impulso coerente debole.

La lunghezza del collegamento in fibra era di diverse centinaia di chilometri, con un rate di

generazione di chiavi sicure di circa 1

kbps. Un altro risultato di rilievo fu messo

a segno dal DARPA a Boston (USA). In

questo caso la rete è un “mix” di BB4 con

impulsi coerenti deboli e di protocolli

basati sull’entanglement. Molti anni dopo,

a Vienna è stata creata una rete QKD

europea basata su fibra (2009), seguita da

un’altra rete analoga a Tokyo (2011) [7].

Più o meno nello stesso periodo (2009-

2011) è stata costruita una rete QKD per

applicazioni civili nella città di Hefei, in

Cina [8], in cui il segnale telefonico vocale

veniva codificato e decodificato da chiavi

quantistiche abbinate al metodo OTP. Reti

quantistiche sono state costruite anche a

Ginevra (2011) e a Durban, in Sudafrica

(2010), sulla base di protocolli QKD “plug

& play” BB84.

Oltre alla criptografia OTP, la generazione di chiavi quantistiche è stata anche

combinata con il sistema Advanced Encryption Standard (ASE) per aumentare la velocità

di comunicazione, anche se al prezzo di una minore sicurezza rispetto alla criptografia OTP.

È pure possibile integrare sistemi crittografici QKD in una rete di telecomunicazione a fibra

singola per dati classici; questa possibilità consente di ridurre significativamente i costi,

aumentando al contempo la robustezza e la praticità della crittografia QKD [9]. Di recente

(2018) in Cina è stata dimostrata la possibilità di realizzare una QKD integrata con dati di

comunicazione in fibra ottica convenzionale con un traffico dati da 3,6 Tbps su una distanza

di 66 km [10].

Anche se la tendenza attuale è quella di voler integrare la criptografia QKD con reti

standard di comunicazione ottica in fibra per trasmissioni di dati sicuri su larga scala, la

FIG. 1 LA STRUTTURA DELLA DORSALE QKD (BACKBONE) PECHINO-SHANGHAI (~ 2000 KM)

47

perdite e decoerenza tipiche delle fibre ottiche riducono tuttavia esponenzialmente non solo

l'intensità ma anche la fedeltà del segnale quantistico. A differenza di un segnale ottico

classico, infatti, il segnale quantistico non può essere né clonato perfettamente (teorema di

non clonazione) né amplificato senza introdurre errori. In tal senso, il metodo del ripetitore

ottico classico non funziona per canali di comunicazione quantistica. Di conseguenza, la

realizzazione di una rete QKD a lunga distanza rappresenta tuttora una sfida difficile da

vincere. Si elencano di seguito alcune soluzioni.

• “Quantum repeaters”. Una via percorribile può essere quella di utilizzare dei "ripetitori

quantistici" [11]. Per quanto siano stati fatti enormi progressi in questa direzione, la

realizzazione pratica di un ripetitore quantistico è ancora fuori dalla portata dell'attuale

tecnologia [12].

• “Trusted relays”. Una soluzione più praticabile per realizzare reti in fibra ottica che

colleghino utenti remoti può essere quella di usare “relè affidabili (trusted relays). In questo

caso, Alice e Bob condividono una chiave segreta mediante un trusted relay centrale, che

annuncerà pubblicamente i risultati di entrambe le chiavi (XOR-gate [13]), in modo che Alice

e Bob possano conoscere l’uno la chiave dell’altro. Lo svantaggio di questo metodo è che

sia Alice sia Bob devono "fidarsi" del relay che, per garantire una comunicazione sicura,

dovrebbe essere fisicamente "ben isolato". Il vantaggio consiste nella riduzione dei costi e

della complessità rispetto ad una configurazione punto-punto (point-to-point). Il metodo dei

trusted relays permette inoltre d’estendere la distanza di trasmissione.

FIG. 2. NETWORK METROPOLITANO QKD DI JINAN

48

È importante notare che la Cina ha costruito la rete “dorsale” di comunicazione

quantistica (backbone) sicura più lunga del mondo, da Pechino a Shanghai (Si veda Fig. 1),

con una distanza in fibra superiore a 2000 km [4]. Tale network include 32 nodi e collega

quattro reti metropolitane: Pechino, Jinan, Hefei e Shanghai. Ciascuna di esse ha più di 10

nodi con topologie diverse. Ad esempio, la topologia della rete dorsale QKD (backbone QKD

network) di Jinan è illustrata in Fig. 2. Durante il funzionamento della rete dorsale di Pechino-

Shanghai, la QKD viene implementata tra “ogni coppia di nodi adiacenti”, senza la necessità

di ripetitori quantistici né di memorie quantistiche. Tutti e 32 i nodi sono "nodi fidati", cosicché

in ciascuno di essi la chiave quantistica viene ricevuta e trasmessa lungo la linea dorsale

mediante un'operazione XOR [13]. La rete dorsale di Pechino-Shanghai, insieme alle

quattro reti metropolitane, si è rivelata utile ai fini di molte applicazioni pratiche nel settore

bancario, finanziario e assicurativo che sono attualmente già in fase di collaudo. Tutte le reti

QKD metropolitane e dorsali prese in esame fino ad ora si basano su trusted relays e di

conseguenza la sicurezza dipende in modo cruciale dal fatto che ciascun nodo di relay sia

affidabile mentre verrebbe meno se uno di essi dovesse dimostrarsi inaffidabile o

compromesso.

• “Untrusted relays”. Relays non-affidabili sono una soluzione molto più promettente e di

ampia portata per la realizzazione di una futura rete QKD. Il protocollo MDI-QKD descritto

in precedenza è intrinsecamente adatto a un'architettura di rete di telecomunicazione “a

stella” (star network) in cui i dispositivi di misurazione sono posizionati sul relay centrale

"non affidabile", ovvero un server di rete a cui tutti gli utenti circostanti semplicemente

trasmettono segnali quantistici [14]. Ogni coppia di utenti che vuole condividere chiavi

segrete tramite QKD verrà indirizzata al relay centrale "non affidabile", che su loro richiesta

eseguirà una specifica misura [15].

Tipicamente, la parte più costosa di un sistema QKD è rappresentata dai rivelatori a

singolo fotone (ricevitore). Per aumentare la scalabilitàà della rete, spesso le architetture

sono condivise, e una rete a stella viene progettata in modo da poter condividere i rivelatori

(a singolo fotone), ovvero la risorsa più costosa. I nodi della rete MDI-QKD diventano quindi

"mittenti", con la riduzione del costo dell'intero sistema. Con una tale struttura "topologica"

diventa semplice aggiungere direttamente più utenti, mantenendo al contempo bassi

requisiti hardware.

Ad esempio, Tang et al. hanno eseguito nella cittàà di Hefei la prima

implementazione di una rete MDI-QKD di questo tipo [16] con una topologia star network a

quattro nodi, di cui uno “di relay” e gli altri tre “di utente”. Non è necessario che il nodo

49

centrale di relay sia affidabile [17]. La rete a stella per la distribuzione di chiave quantistica

indipendente dal dispositivo di misurazione è stata costruita su un'area metropolitana di 200

chilometri quadrati. In tutti i test effettuati sul campo, lo schema criptografico ha funzionato

continuativamente per una settimana con una velocità di generazione di chiavi sicure 10

volte maggiore rispetto ai risultati ottenuti in precedenza. Nel complesso questi risultati

dimostrano che, tra i vari tipi di possibili protocolli QKD, le reti MDI-QKD coniugano

sicurezza e praticitàà e costituiscono una soluzione allettante per proteggere comunicazioni

metropolitane.

Bibliografia 3.4

1. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber”, Phys. Rev. Lett. 117(19), 190501 (2016).

2. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate-distance limit of quantum key distribution without quantum repeaters” Nature 557 (7705), 400–403 (2018).

3. N.Sangouard, C.Simon, H.DeRiedmatten and N.Gisin, “Quantum repeaters based on atomic ensembles and linear optics” Rev. Mod. Phys. 83(1), 33–80 (2011).

4. J.Qiu, “Quantum communications leap out of the lab”, Nature 508 (7497), 441–442(2014). 5. P.D.Townsend, S.J.D. Phoenix,K.J.Blow, and S.M.Barnett, “Design of quantum cryptography

systems for passive optical networks” Electron. Lett. 30(22), 1875–1877 (1994). 6. C.Elliott, A.Colvin, D.Pearson, O.Pikalo, J.Schlafer and H.Yeh “Current status of the DARPA

quantum network” in Quantum Information and Computation III 5815, 138–150 (2005)

7. Entrambi networks comprendono 6 nodi e contengono protocolli QKD di diverso tipo, tra cui ad es. il “plug & play”, il “decoy-state BB84”, protocolli basati sull “entanglement”, il “coherent one way (COW)”, il “differential phase shift (DPS)” così come protocolli a “variabile continua (CV)”.…

8. T.-Y. Chen et al., “Metropolitan all-pass and inter-city quantum communication network” Opt. Express 18(26), 27217–27225 (2010).

9. L’idea di adattare schemi di criptografia QKD alle linee convenzionali di trasmissione dati è stato introdotto per la prima volta da Townsend nel 1997. Si veda PD Townsend, “Simultaneous quantum cryptographic key distribution and conventional data transmission over installed fibre using wavelength-division multiplexing” Electronics Letters 33(3), 188 (1997). Successivamente, diversi esperimenti QKD hanno dimostrato la fattibilità dell'integrazione di vari protocolli QKD con i canali di telecomunicazione classici.

10. Y. Mao, B.-X et al, “Integrating quantum key distribution with classical communications in backbone fiber network”, Opt. Express 26(5), 6010–6020 (2018).

11. H.-J. Briegel, W. Dür, J. I. Cirac, and P. Zoller, “Quantum repeaters: the role of imperfect local operations in quantum communication”, Phys. Rev. Lett. 81(26), 5932–5935 (1998).

12. S. Muralidharan, L. Li, J. Kim, N. Lütkenhaus, M. D. Lukin, and L. Jiang, “Optimal architectures for long distance quantum communication”, Sci. Rep. 6(1), 20463 (2016).

13. Questo può essere fatto con una porta XOR (Exclusive or or exclusive disjunction), un’operazione logica che fornisce uscite "corrette" solo quando gli ingressi differiscono (….il numero di ingressi è dispari).

14. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).

15. Il relay centrale fara’ una misura di uno stato di Bell (Bell state measurement). Si veda ad es. [4].

16. Y.-L. Tang et al., “Measurement-device- independent quantum key distribution over un-thrustful metropolitan network” Phys. Rev. X 6(1), 011024 (2016).

50

17. In pratica, quando il relè (relay) centrale può essere considerato “attendibile”, si può anche riconfigurare la rete MDI-QKD per adattarla a protocolli diversi di comunicazione quantistica.

3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD.

In generale, il rate di generazione delle chiavi segrete in fibra diminuisce linearmente

con la trasmissione lungo la fibra, il che rappresenta una grave limitazione su distanze molto

lunghe. Nell’atmosfera l'attenuazione è molto minore che in fibra ottica, con perdita di canale

e decoerenza notevolmente inferiori, cosicché la comunicazione quantistica basata su

satellite risulta essere una soluzione più promettente. L’attenuazione nella regione del vuoto

al di sopra dell'atmosfera terrestre (il cui spessore verticale effettivo è di circa 5-10 km da

terra) è invece trascurabile. Di conseguenza, è possibile utilizzare i satelliti come nodi

intermedi affidabili per la comunicazione tra postazioni a terra. Entro il limite di

sopravvivenza dei singoli fotoni una volta penetrati nell'atmosfera terrestre, i collegamenti

QKD di tipo terra-satellite possono essere di gran lunga più efficienti dei collegamenti in

fibra! È un campo straordinariamente promettente per la comunicazione quantistica su scala

globale, nel quale recentemente sono stati fatti notevoli progressi [1,2].

Perdite per assorbimento da parte dell’atmosfera.

Il primo esperimento in cui sia mai stato verificato il principio della free-space QKD è

stato effettuato su un collegamento di 32 cm (1992), mentre per la dimostrazione della

fattibilità della QKD nello spazio su distanze dell’ordine dei chilometri si sono dovuti

aspettare ancora diversi anni (1998-2002). Ad ogni modo, la maggior parte di quei primi

tests ha dimostrato che gli stati quantistici possono sopravvivere alla propagazione

nell’atmosfera, confermando così la fattibilità della comunicazione quantistica nello spazio

basata ad es. su satelliti terrestri. Prima di lanciare un satellite è stata effettuata anche

un’importante serie di prove a terra, come ad es. la distribuzione di chiavi (QKD) con decoy

states su un collegamento free-space di 144 km (2007) [3], con una velocità di generazione

delle chiavi sicure di 12,8 bit/s, un'attenuazione di circa 35 dB su una distanza di oltre 100

km (2012) [4].

Sebbene tali esperimenti dimostrino che la QKD è in grado di sopravvivere

all'assorbimento dell'atmosfera, non simulano tuttavia un reale collegamento tra un satellite

"in rapido movimento" ed una stazione terrestre. Una seconda generazione di esperimenti

[5] ha pertanto impiegato un apparato criptografico montato su piattaforme girevoli o

addirittura una mongolfiera testando in tal modo le prestazioni di comunicazione criptata

(QKD) in condizioni di rapido movimento, brusche variazioni di altitudine, vibrazioni,

movimento casuale dei satelliti ecc. tutte circostanze che corrispondono a parametri

51

realistici di comunicazione con satelliti in basse orbite terrestri (LEO) (Vedi anche il

paragrafo: "Micius; il primo satellite quantistico cinese"). Nel frattempo è stata fornita

un’eclatante prova di criptografia QKD tra un aereo ed una stazione terrestre [6] così come

di una dimostrazione della trasmissione diretta terra-satellite di una sorgente a quasi-

singolo-fotone (weak laser pulse) generata e riflessa sulla terra da un retro-riflettore posto

su un satellite [7].

Perdite geometriche e di accoppiamento.

Oltre alle perdite per assorbimento, esistono anche perdite geometriche, ottiche,

di/per accoppiamento etc., che si traducono in una perdita di canale complessiva tra un

satellite LEO e la Terra, o tra satelliti LEO, di circa 40-45 dB [8]. I parametri tipici per questi

tipi di perdite sono riportati nel prossimo paragrafo (Micius).

3.6 Micius: Il primo satellite quantistico cinese.

Il primo satellite quantistico “Micius” è stato lanciato a Jiuquan (Cina) nel 2016.

Si tratta di un satellite LEO in orbita ad un'altitudine di circa 500 km (Si veda Fig. 3).

Un trasmettitore QKD con stato esca (decoy) viene installato su uno dei payload satellitari

di Micius che esegue il downlink QKD inviando i segnali quantistici al ricevitore di Xinglong

(stazione a terra). La possibilità di decoy-state QKD è stata dimostrata con codifica di

polarizzazione dal satellite a terra, con una velocità di 1 kbps su una distanza fino a 1200

km [1]. Il test QKD è stato ripetuto 23 volte in giorni sempre diversi, ed è stato riscontrato

FIG. 3. LE TRE STAZIONI DI TERRA (GRAZ, NANSHAN E XINGLONG) CONNESSE DAL SATELLITE MICIUS. SONO ELENCATI I PERCORSI UTILIZZATI PER LA GENERAZIONE DELLA CHIAVE PRIVATA E LA CORRISPONDENTE LUNGHEZZA FINALE DELLA CHIAVE.

52

che i tassi di errore dei bit quantistici e il rate di generazione delle chiavi sicure variavano al

variare della distanza e delle condizioni

meteorologiche. In Fig.4 è mostrata

l'efficienza del collegamento QKD terra-

satellite per distanze tra 645 e 1200 km e

confrontate col metodo convenzionale

tramite fibre ottiche. Nonostante il breve

tempo di copertura (273 secondi al giorno) e

la necessitàà di condizioni meteorologiche

ragionevolmente buone, il satellite Micius

garantisce un enorme miglioramento

dell'efficienza rispetto alle fibre. A 1200 km

di distanza, l'efficienza del canale

quantistico nei 273 secondi di copertura

supera di circa 20 ordini di grandezza

quanto riportato in precedenza per la QKD.

Successivamente, il satellite Micius è stato utilizzato come trusted relay per distribuire

chiavi private tra più postazioni remote in Cina e in Europa [9]. Cina e Austria hanno

utilizzato questo collegamento QKD quantistico per scambiare dati criptografati con One

Time Pad, trasferendo immagini (Si veda Fig. 5) dalla Cina all'Austria e viceversa. Le tre

stazioni terrestri che hanno collaborato erano situate a Xinglong, Nanshan e Graz; le prime

due città (Xinglong-Nanshan) si trovano a 2500 km di distanza, mentre le altre due

(Nanshan-Graz) distano 7600 km. In questo esperimento Micius seguiva un'orbita

sincronizzata con il Sole, ruotando attorno alla Terra ogni 94 minuti. Ogni notte, a partire

dalle 0:50 circa (ora locale), il satellite passava sopra le tre stazioni terrestri consentendo

d’effettuare un downlink QKD per una durata di ~300 s. In condizioni meteorologiche

ragionevolmente buone, si sono potute ottenere sistematicamente chiavi (sifted keys) a ~3

kbps per ~1000 km di distanza di separazione fisica e a ~9 kbps per circa 600 km di distanza

FIG. 4. EFFICIENZE A CONFRONTO. TRASMISSIONE DIRETTA VIA FIBRA OTTICA (ROSSO) E VIA TERRA-SATELLITE (BLUE).

53

(al massimo angolo di

elevazione). La prima

comunicazione quantistica

intercontinentale è stata

quindi portata a termine con

successo usando il satellite

Micius come trusted relay.

Bibliografia 3.5

1. S.-K. Liao, et al. “Satellite-to-ground quantum key distribution”, Nature 549 (7670), 43 (2017). 2. J.-G. Ren, et al., “Ground-to-satellite quantum teleportation”, Nature 549 (7670), 70 (2017). 3. R. Ursin, et al., “Entanglement-based quantum communication over 144 km” Nat. Phys. 3(7),

481 (2007). 4. J. Yin et al. “Quantum teleportation and entanglement distribution over 100-kilometre free-

space channels” Nature 488 (7410), 185 (2012). 5. J.-Y. Wang et al. “Direct and full-scale experimental verifications towards ground-satellite

quantum key distribution”, Nat. Photonics 7(5), 387 (2013). 6. S. Nauerth et al., “Air-to-ground quantum communication”, Nat. Photonics 7(5), 382 (2013). 7. J. Yin et al., “Experimental quasi-single-photon transmission from satellite to earth”, Opt.

Express 21(17), 20032 (2013). 8. M. Pfennigbauer, W. R. Leeb, M. Aspelmeyer, T. Jennewein, and A. Zeilinger, “Free-space

optical quantum key distribution using inter-satellite links” in Proceedings of the CNES - Intersatellite Link Workshop, (2003).

9. S.-K. Liao, et al., “Satellite-relayed intercontinental quantum network”, Phys. Rev. Lett. 120(3), 030501 (2018).

FIG. 5. Una foto JPG di Micius (filosofo) e Schrödinger (fisico), criptata OTP con una chiave sicura (5,34 o 4,9 kB) garantendo una sicurezza incondizionata, è stata condivisa tra Pechino e Vienna. Immagine binaria delle foto e delle chiavi. Le immagini sono state criptate (de-cifrate) sia a Pechino che a Vienna con una operazione operazione XOR.

54

4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA

PROSPETTIVA

Nuovi sviluppi nel settore militare e della difesa in genere sono attesi dalla scienza

dell'informazione quantistica. Anche se tali applicazioni vengono definite “quantistiche” in

generale meritano tuttavia un’analisi più specifica. In particolare, la distribuzione a chiave

quantistica (Quantum Key Distribution o QKD) e la criptoanalisi quantistica sono destinate

ad influenzare significativamente la sicurezza militare strategica in vari modi.

Lo scopo di questa sezione è di riassumere lo stato attuale della “sicurezza

dell’informazione” in uno schema criptografico QKD per un pubblico di non specialisti,

descrivendo le migliori pratiche da adottare nel settore militare, inteso nella accezione più

ampia del termine come richiesto dal CEMISS. Per preservare la leggibilità del testo,

chiariremo in che modo l'implementazione possa influire sulla sicurezza senza fornirne

un'analisi dettagliata, per la quale si rimanda il lettore ai capitoli precedenti. Alla fine della

sezione viene presentato, sotto forma di tabella (Si veda Tab. 1) anche un confronto con un

protocollo criptografico standard.

4.1. L’intercettatore (eavesdropper) può essere individuato.

La criptografia QKD è protetta dalle leggi della fisica quantistica e garantisce

che "qualsiasi" intercettazione verrà rilevata. Una criptografia di questo tipo è

particolarmente importante in campo militare, per impedire che vengano intercettate

informazioni riservate.

In una situazione tipica, in cui due elementi distanti (Alice e Bob) usano i loro

dispositivi criptografici QKD per ottenere una stringa di bit (chiave), un intercettatore (Eva)

può tentare di ricavare informazioni sui bits misurando i segnali che viaggiano lungo il canale

di comunicazione che collega Alice e Bob. Poiché nella fisica classica non c'è nulla che

impedisca ad Eva di copiare il segnale classico (chiave) durante il suo passaggio da Alice

a Bob, tutti i metodi classici per distribuire una chiave sicura sono "intrinsecamente" insicuri.

Quando invece Eva legge il segnale inviato attraverso il canale criptografico QKD di

Alice nel tentativo di copiarne la chiave, ella aggiungerà inevitabilmente rumore alla

trasmissione del segnale stesso, proprio in virtu’ della natura quantistica del segnale che

viene impiegato. Misurando tale rumore Alice e Bob possono stimare la massima quantità

di informazioni che Eva ha acquisito sulla serie di bit e quindi possono rilevare la presenza

di Eva. Di conseguenza la QKD consente a Bob e Alice di appurare se la loro chiave

55

condivisa sia “assolutamente sicura” o se Eva sta “origliando”, nel qual caso non la

useranno.

Un'altra caratteristica unica della QKD è che la sicurezza del protocollo è garantita

indipendentemente dalle risorse a disposizione di Eva [1,2]: anche se ella disponesse di

potenza computazionale illimitata, memoria di archiviazione illimitata e ogni dispositivo

possibile e immaginabile, in questo tipo di criptografia la trasmissione delle chiavi potrebbe

avvenire in modo assolutamente sicuro mediante un qualsiasi canale aperto, perfino se

fosse totalmente controllato da Eva.

È il caso di sottolineare, comunque, che la criptografia QKD non risolve altri aspetti

cruciali della sicurezza, come la verifica dell'identità o il controllo dell'accesso [3]. Rispetto

alle firme digitali convenzionali, le firme digitali quantistiche sono note [4] e vengono

utilizzate nel trasferimento dei dati per impedire il disconoscimento e la manomissione dei

messaggi, con la sicurezza garantita dai limiti teorici della meccanica quantistica.

Bibliografia 4.1

1. Alléaume, et al., “Using quantum key distribution for cryptographic purposes: A survey”. Theoretical Computer Science, 560 (2014).

2. Government Office for Science. “The Quantum Age: technological opportunities” (The Blackett Review of quantum technologies). 2016.

3. European Telecommunications Standards Institute. “Implementation Security of Quantum Cryptography: Introduction, challenges, solutions”. ETSI, 2018.

4. Tests preliminari in cui vengono distribuite firme quantistiche (quantum signatures) ad es. da un mittente a due destinatari si sono rivelati a prova di falsificazione. Si veda ad es. P.J. Clarke et al., "Experimental demonstration of quantum digital signatures using phase-encoded coherent states of light", Nat. Commun. 3, 1174 (2012).

4.2. Sicurezza incondizionata ed a prova di futuro.

La criptografia QKD offre una sicurezza "teorica delle informazioni” assoluta.

Attualmente l’One Time Pad (OTP) è l'unico schema di criptografia non de-codificabile

conosciuto e la criptografia QKD, sfruttando le leggi della meccanica quantistica, è l'unica

in grado di produrre quantità illimitate di materiale di codifica simmetrico necessario per

utilizzare efficacemente un cripto-sistema OTP. Di conseguenza, la QKD è in grado di

garantire una sicurezza teorica delle informazioni molto superiore a quella offerta dalle

tecniche di criptografia classiche, basate sulla complessità computazionale. La sicurezza

teorica delle informazioni è di estrema importanza per la segretezza di dati militari sensibili.

La QKD ha anche il vantaggio di essere “a prova di futuro” [1] (future proof security).

Infatti, a differenza di quanto avviene nel caso di una distribuzione classica delle chiavi, il

56

teorema di non clonazione quantistica [2,3] impedisce a un intercettatore di "conservare"

una trascrizione delle informazioni che sono state codificate mediante un processo QKD.

Ciò rende la criptografia QKD un elemento imprescindibile di qualsiasi infrastruttura di

archiviazione di dati militari segreti di cui si voglia garantire la sicurezza nel futuro.

Per questo motivo la QKD si è imposta a livello mondiale come principale forma di

criptografia quantistica e come tecnologia emergente per la sicurezza informatica.

Bibliografia 4.2

1. D. Unruh, IACR Cryptology ePrint Archive p. 177 (2012). 2. W. K. Wootters and W. H. Zurek, “A single quantum cannot be cloned”, Nature 299, 802 (1982). 3. D. Dieks, “Communication by EPR devices”,Phys. Lett. 92A, 271 (1982).

4.3. A prova di criptoanalisi quantistica….

Come abbiamo già detto, il calcolo quantistico potrebbe decodificare praticamente in

tempo reale i messaggi cifrati con tecniche di criptografia tradizionali basate sulla

complessità computazionale, come le forme più sicure di criptografia a chiave pubblica. Gli

attuali standard criptografici per la codifica dei dati si basano su algoritmi matematici

effettivamente inviolabili su un periodo di tempo ragionevole. La criptografia AES (Advanced

Encryption Standard) a 256 bit, adottata dall’esercito degli Stati Uniti [1], teoricamente

richiederebbe miliardi di anni perché i computer attuali riuscissero a decifrare il codice

utilizzando metodi basati sulla “forza bruta”, ovvero procedendo per "tentativi ed errori" alla

ricerca di tutte le possibili soluzioni. I computer quantistici, invece, sostituendo i metodi

sequenziali di tentativi ed errori con tecniche alternative, saranno in grado di effettuare la

decodifica in pochissimo tempo [2]. La criptografia QKD fornisce una protezione contro le

capacità di decodifica degli attuali algoritmi matematici, di nuovi algoritmi più potenti e dei

computer di prossima generazione, tra cui, in particolare, i computer quantistici attesi nel

prossimo futuro.

L’avvento della criptoanalisi quantistica [3] avrà pesanti ripercussioni sulle relazioni

internazionali, dal momento che le comunicazioni intercettate diventeranno decifrabili [4].

Per i paesi che garantiscono la sicurezza delle proprie operazioni militari o della

comunicazione di dati diplomatici sensibili per mezzo della criptografia standard, ciò

segnerà una svolta epocale: la criptografia QKD sarà allora un metodo efficace per

continuare a proteggere operazioni e dati.

Inoltre, esistono dati riservati che devono essere tenuti segreti per decenni [5]. I dati

trasmessi nel 2019 ad es. sono "vulnerabili" ai progressi tecnologici futuri: Eva potrebbe

57

semplicemente infatti salvarne le trascrizioni in memoria e aspettare il momento in cui verrà

costruito un computer quantistico capace di decifrarli, magari tra dieci anni! Ciò è altamente

probabile [6]. I dati criptati mediante QKD invece non sono accessibili e resteranno sicuri

anche a distanza di decenni.

Bibliografia 4.3

1. "Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” Elaine Barker, NIST Special Publication 800-175B (July 2019)

2. Anche se ancora non sappiamo quando saranno disponibili i computer quantistici, alcuni malintenzionati “gamblers” stanno già raccogliendo dati che accumulano aspettando il giorno in cui un computer quantistico sarà in grado di de-cifrare in pochi minuti gli attuali standard di criptografia. Gartner stima che entro il 2023, il 20% di tutte le organizzazioni avrà già investito in comunicazioni di criptografia quantistica e che il mercato globale delle “quantum cryptography communications” crescerà fino a $ 24,75 miliardi nel 2025 (Market Research Media). Si veda ad es. ”Quantum Xchange breaks final barriers to make QKD commercially viable with launch of Phio TX”, Press release from Quantum Xchange, September 9th 2019.

3. La “Criptoanalisi quantistica” è l'uso del computer quantistico specificatamente per de-cifrare messaggio criptati.

4. La promessa della criptoanalisi quantistica è così allettante che in alcune nazioni si stanno già raccogliendo comunicazioni militari sensibili criptate di altri nazioni con l'aspettativa di essere poi in grado di decifrarne il contenuto in un futuro non lontano.

5. Dati segreti come ad es. i dati del censimento in Canada vengono depositati negli archivi nazionali solo dopo 92 anni dalla data di raccolta. Si veda ad es. “Release of personal data after 92 years” in http://www12.statcan.gc.ca/census-recensement/2011/ref/about-apropos/personal- personnels-eng.cfm

6. La NSA degli Stai Uniti (U.S. National Security Agency) ha preso sul serio la minaccia del quantum computing ed ha recentemente annunciato piani di transizione verso algoritmi “quantum-resistant”.

4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”.

Come si è già detto, le comunicazioni cifrate mediante QKD sono iniziate tempo

addietro (1992) con un collegamento free-space “punto-punto" lungo 30 cm...e ci sono voluti

ben due decenni prima che si riuscisse a estenderlo a distanze di chilometri! In effetti,

l’estensione della distanza dei collegamenti QKD è potuta avvenire solo grazie a eclatanti

sviluppi tecnologici. Attualmente, uno dei fattori critici per le implementazioni pratiche dei

collegamenti punto-punto è il "livello di rumore" dei rivelatori a singolo fotone [1]. I rivelatori

a singolo fotone a nanofili (nanowire) superconduttori [2,3], operano con un'elevata

efficienza quantica (93%) alle lunghezze d'onda delle telecomunicazioni e con perdite

relativamente basse (72 dB) [4]. Ciò consente di garantire la sicurezza dei collegamenti di

comunicazione fino a una distanza di 360 km in fibra monomodale standard o di circa 450

km in fibre a bassissima perdita. Vale la pena di notare, tuttavia, che estendere ulteriormente

la distanza punto-punto, per quanto tecnologicamente possibile, non è interessante ai fini

58

pratici, perché la perdita del canale ridurrebbe inevitabilmente la velocità di generazione

delle chiavi, rendendola di scarsa utilità. Infatti la distanza di comunicazione e la velocità di

generazione delle chiavi sono inversamente proporzionali: maggiore è la distanza tra

mittente e destinatario, minore sarà la velocità di generazione delle chiavi.

Fondamentalmente, i protocolli di comunicazione QKD punto-punto sono progettati

per funzionare solo per due utenti, perciò sono perfetti per un collegamento tra due siti in

modo da criptare, ad es., le comunicazioni vocali tra un’unità di governo ed un'unità militare,

o tra due unità militari. Benché la criptografia punto-punto QKD sia irrealizzabile tra due

unità distanti, è possibile utilizzare collegamenti QKD punto-punto per creare connessioni

tra più di due siti non troppo distanti, in modo da formare una piccola rete. La prima rete

QKD in assoluto è stata realizzata sfruttando la rete commerciale in fibra di China Netcom

Company a Pechino (2007) e ha consentito di effettuare comunicazioni quantistiche sicure

tra i quattro elementi (utenti) della rete.

Bibliografia 4.4

1. B. Korzh et al. “Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre”, Nature Photon. 9, 163 (2015).

2. F. Marsili et al., “Detecting Single Infrared Photons with 93% System Efficiency”, Nature Photon. 7, 210 (2013

3. L.C.Comandar et al. “Gigahertz-gated InGaAs/InP single-photon detector with detection efficiency exceeding 55% at 1550 nm”, J. Appl. Phys. 117, 083109 (2015).

4. H. Shibaba, T. Honjo, and K. Shimizu, “Ultimate low system dark-count rate for superconducting nanowire single-photon detector”,Opt. Lett. 39, 5078 (2014).

4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”.

I collegamenti QKD punto-punto diventano ingredienti essenziali per

l'implementazione della criptografia QKD su larga scala, purché sia possibile creare una

topologia di rete (network topology) in grado di consentire l'accesso di molti utenti, come ad

es. la rete QKD completata nel 2012 a Hefei [1], che collega 40 telefoni e 16 videocamere

installate presso uffici municipali, dipartimenti militari e istituti finanziari [2]. Una rete civile

analoga, completata nel 2014, collega circa 90 utenti a Jinan. Le strutture con “topologia a

stella” (star network) sono le più adatte per la realizzazione di reti QKD di questo tipo e ne

sono state date diverse dimostrazioni sperimentali utilizzando fibre ottiche [3] o relè affidabili

(trusted relays) nello spazio. Soprattutto, le reti a stella hanno permesso di rendere più

ampia la copertura geografica.

Infatti, installando nodi affidabili, diciamo ogni 50 km, per "trasmettere" informazioni

segrete è possibile ottenere comunicazioni sicure su grandi distanze [4]. La rete QKD tra

59

Shanghai e Pechino è un esempio di tale approccio ed è la più lunga e sofisticata del mondo.

Serve come collegamento portante tra quattro reti quantistiche a Pechino, Shanghai, Jinan

(provincia dello Shandong) e Hefei (provincia dell’Anhui).

Varie prove di QKD terra-satellite [5], in cui uno (o alcuni) satelliti affidabili (trusted)

sono stati utilizzati con successo come stazioni di trasmissione, hanno dimostrato che è

possibile raggiungere distanze ancora maggiori, estendendo la sicurezza della crittografia

QKD su scala "globale". A questo scopo, sono state realizzate diverse comunicazioni QKD

nello spazio tra la terra e satelliti in basse orbite terrestri (LEO), per mezzo di una tecnologia

in cui la Cina è ora leader mondiale, a partire dal lancio del proprio satellite nell'agosto 2016

[6,7].

Questi successi hanno impartito una brusca accelerazione allo sviluppo di sistemi di

distribuzione a chiave quantistica terra-satellite, e altre nazioni, tra cui UE, Canada e Stati

Uniti, sono attualmente impegnati in progetti a lungo termine altrettanto ambiziosi che

coinvolgono comunicazioni criptografiche quantistiche ultra-sicure via satelliti LEO.

La criptografia QKD implementata su satelliti è potenzialmente in grado di favorire

l’affermazione di una rete quantistica su scala globale, con un sostanziale cambiamento

d’approccio nelle modalità di comunicazione, a favore di connessioni sicure in rete. In termini

operativi, l’implementazione su satelliti necessita di un servizio in cui le informazioni

possano essere indirizzate e raccolte in modo efficiente, resiliente e sicuro così da garantire

sia la gestione che la distribuzione delle chiavi tra tutti i partecipanti della rete che vogliano

"inviare" e "ricevere" dati critici (ad es. tra aeromobili, aeromobili e terra, aeromobili e risorse

spaziali ecc.). Ciò prevede che unità operative con requisiti di sicurezza stringenti, come

settori militari e governativi, o anche fornitori di infrastrutture critiche, collaborassero con

una strategia di informazione incentrata sulla rete, il che migliorerebbe non solo la sicurezza

dei servizi d’informazione ma anche la gestione delle prestazioni.

4.6. La distribuzione a chiave quantistica (QKD) “mobile”.

La maggior parte delle reti quantistiche sviluppate fino ad ora possiedono canali

cablati (fibre) e nodi in posizioni fisse. D'altra parte, terminali mobili come satelliti, droni,

automobili, ecc. recentemente hanno fatto notevoli progressi. Piccoli veicoli aerei senza

equipaggio (Unmanned Aerial Vehicles o “UAV”) come ad es. i droni, grazie alla loro

capacità di muoversi in ogni direzione o addirittura di restare fermi a mezz’aria, prospettano

la possibilità di realizzare una connettività on-demand economicamente vantaggiosa

all'interno di reti flessibili. UAV di dimensioni maggiori, che continuano a volare nella

stratosfera per molti anni sfruttando l'energia solare, hanno già consentito di realizzare

60

piattaforme ad alta quota (High Altitude Platforms o “HAP”) dedicate al rilevamento e alla

comunicazione. La disponibilità di satelliti di piccole dimensioni e poco costosi, unita alla

possibilità di effettuare lanci a basso costo, ha condotto da tempo ad un aumento di

programmi satellitari per analoghi scopi di comunicazione e rilevamento.

In un momento in cui la trasmissione di dati mediante bande RF congestionate si sta

facendo sempre più difficile, i sistemi di gestione dei big data montati su un terminale mobile

e coadiuvati da sistemi di comunicazione ottica nello spazio (Free-Space Optical o “FSO”)

dovrebbero produrre un throughput elevato ed adatto a collegamenti dati satellite-satellite,

collegamenti dati terra-satellite e anche collegamenti dati ad hoc tra piccoli UAV (droni).

Se generatori di numeri casuali con scambio di chiavi segrete ad alta velocità potessero

inoltre essere implementati in terminali QKD mobili…quest’ultimi potrebbero effettivamente

motivare la realizzazione di reti wireless quantistiche. L'integrazione di "nodi QKD mobili"

per la distribuzione di chiavi segrete impartirebbe sicuramente una grande flessibilità alle

connessioni di una rete criptografica QKD [8].

In ambito militare, tutto ciò può

risultare utile per molte applicazioni, come le

comunicazioni tra una nave e l’altra, o tra

veicoli militari che hanno bisogno di inviare e

ricevere dati critici. In questo caso, la

mobilità delle piattaforme QKD può

richiedere una rete altamente riconfigurabile,

nel senso che gli utenti QKD dovrebbero

essere in grado di determinare

automaticamente la rotta QKD ottimale in

tempo reale in base alla loro posizione [9].

Rappresentiamo in Fig. 1 un’ipotetica rete

QKD di questo tipo, che dovrebbe garantire

una copertura geografica ancora più

capillare, impossibile da ottenere mediante

una rete in fibra.

Bibliografia 4.6

1. Wang, S. et al., ‘Field and long-term demonstration of a wide area quantum key distribution network’, Optics Express Vol. 22, Issue 18, pp. 21739-21756, (2014)

2. The declared cost for the Hefei network’s was around 9 million USD!

FIG. 1. Rendering ipotetico di una rete QKD mobile. Satelliti, HAP, UAV, droni ecc. incorporano nodi QKD mobili per la distribuzione di chiavi private.

61

3. Y.-L. Tang et al. “Measurement-Device-Independent Quantum Key Distribution over Untrustful Metropolitan Network”, Phys. Rev. X 6, 011024 (2016).

4. M. Sasaki, et al, “Field test of quantum key distribution in the Tokyo QKD Network”, Optics Express Vol. 19, Issue 11, pp. 10387-10409 (2011)

5. Wang J, et al. “Direct and full-scale experimental verifications towards ground-satellite quantum key distribution”, Nat Photonics 2013;7(5):38793.

6. Gibney, E. “One giant step for quantum internet”, Nature News, 27 July 2016. 7. Qiu, J, ”Quantum communications leap out of the lab: China begins work on super-secure

network as ‘real-world’ trial successfully sends quantum keys and data”, Nature, 508, 7497 (2014).

8. Eleni Diamanti, Hoi-Kwong Lo, Bing Qi & Zhiliang Yuan, “Practical challenges in quantum key distribution”, npc Quantum Information, volume 2, 16025 (2016). Poiché la rete mobile QKD (mobile QKD network) è particolarmente adatta allo scambio di chiavi-private su (i.) lunghe distanze e ad (ii.) alta-velocità, potrebbe anche esserne appropriato l’uso per la criptografia multipla, ovvero il processo di criptare una o più volte ancora un messaggio già criptato, utilizzando lo stesso oppure un diverso algoritmo (physical layer cryptography).

9. Sistemi di tracciamento rapido (beam tracking), la cui tecnologia è disponibile, sono necessari in questo caso.

4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD).

Sembra alquanto improbabile che si riesca a contenere o ridurre il costo degli attuali

sistemi criptografici QKD, per quanto la tecnologia impiegata sia già piuttosto ben

consolidata. Diversi governi già attivi nello sviluppo di una tale criptografia (government

security centers) pubblicano reviews ove si raccomanda di perseguire ricerca e sviluppo nel

campo della criptografia quantistica mirate a garantire applicazioni che da un lato riducano

i costi e dall’altro ne aumentino la praticità d’implementazione [1].

Nel lungo termine ogni utente di un network QKD potrebbe ad es. usare un "semplice

trasmettitore" e rilegare tutti i complicati dispositivi necessari per il controllo e misura ad un

operatore di rete…possibilmente anche untrusted [2] (untrusted network operator). Poiché

per una tale configurazione risulterebbe necessario un set unico di dispositivi per la misura,

il costo per utente a fronte di un numero elevato di utenti, potrebbe essere mantenuto

relativamente basso. D'altra parte, il fornitore della rete (network provider) sarebbe in una

posizione più vantaggiosa per poter investire in tecnologie all'avanguardia onde migliorare

sia (i) le prestazioni che (ii.) le attivitàà di gestione del network.

Sforzi in questa direzione sono particolarmente evidenti nel settore dalle fotonica [3],

ben nota per essere un ottimo compromesso tra costi ed possibilità d'integrazione su chips.

Chiaramente, ciò richiamerebbe un alto livello di miniaturizzazione con il conseguente

risultato di moduli QKD compatti e leggeri da poter essere prodotti in serie (basso costo).

Le principali piattaforme di integrazione attualmente in fase di studio sono il silicio (Si) [4] e

il fosfuro di indio (InP) [5]. “Chips trasmettitori” per protocolli criptografici QKD, riconfigurabili

in modo da potersi adattare alla preparazione di stati quantistici di fotoni per diversi protocolli

(decoy-state BB84, COW e DPS, etc.) sono stati recentemente sviluppati con successo

62

utilizzando InP [6]. Anche lo sviluppo di “chips ricevitori" per la rivelazione di singoli fotoni

nei protocolli QKD sta progredendo in modo rilevante. Si sono integrati con successo ad es.

rivelatori a singolo-fotone in circuiti planari (PLC) a basse perdite impiegando lo state of the

art della tecnologia silica-on-silicon [7].

Anche se lo sviluppo di piattaforme QKD su chip è ancora in una fase iniziale, esse

rimangono la strada maestra onde poter accedere a sistemi completamente integrati ed a

basso costo. Tali sforzi contribuiranno a rendere più pratica la criptografia QKD.

Bibliografia 4.7

1. Una “review” del governo britannico (2106) sulle tecnologie quantistiche, ad es. raccomanda che i gruppi di ricerca sulle comunicazioni e criptografia quantistica dovrebbero lavorare uniti portando a sviluppi tecnici congiunti della criptografia quantistica QKD così come ad altri usi

Tab 1. crittografia a chiave pubblica vs crittografia QKD

QKD Public Key

CON Richiede “ad hoc” hardware, linee

di comunicazione, etc.

Standard hardware, linee, etc sono

sufficienti PRO

PRO La sicurezza si basa su principi che non richiedono cambiamenti in futuro

Richiede l'uso di chiavi sempre piu’ complesse all'aumentare della potenza dei computers

CON

PRO

La sicurezza del protocollo è garantita indipendentemente dalle risorse di Eva (potenza computazionale, memoria di archiviazione, ecc.)

La sicurezza del protocollo dipende dalle risorse di Eva (potenza di calcolo, memoria di archiviazione, ecc.)

CON

PRO Sicuro sulla base di leggi di fisica ben consolidate

Basato su algoritmi che non possono essere facilmente risolti, cui tuttavia è possibile trovare una soluzione

CON

CON Per ora costoso... ma migliorerà Sostanzialmente a disposizione di chiunque

PRO

PRO Sarà sicuro anche quando verrà costruito un computer quantistico

Un computer quantistico, sarà in grado di decifrare qualsiasi codice in pochissimo tempo

CON

CON Tecnologia ancora in forte sviluppo…

Tecniche comprovate da tempo… PRO

? Il rate con cui si generano le chiavi-private continua ad aumentare….

Richiede una notevole quantità di potenza di calcolo, funziona bene dati con “standard” chiavi-private, ma poco pratico con dati “più grandi”…

CON

CON Ad oggi funziona solo in networks specifici..

Funziona con networks comuni PRO

PRO Può essere utilizzato con One-Time-Pad (OTP), l'unico algoritmo crittografico sicuro…

Non può essere utilizzato con One-Time-Pad… CON

63

della tecnologia quantistica. La suddetta review è pubblicata in: Government Office for Science. The Quantum Age: technological opportunities (The Blackett Review of quantum technologies) 2016.

2. “Untrusted networks” hanno l’importante vantaggio che il gestore del network può non essere “affidabile” senza con questo compromettere la sicurezza dell’intero network. Untrusted networks vengono usati ad es. nei network con topologia a “stella” in cui vi sia al massimo un nodo intermedio tra due utenti qualsiasi. Un tale approccio è già stato dimostrato. Si ved ad es. il protocollo MDI-QKD al par. Metropolitan e Backbone.

3. R. J. Hughes et al. “Alternative techniques include lithium niobate (LiNbO3) integration and glass waveguide technologies” arXiv:1305.0305 [quant-ph] (2013).

4. A. E.-J. Lim, J. Song, Q. Fang, C. Li, X. Tu, N. Duan, K. K. Chen, R. P.-C. Tern, and T.-Y. Liow, IEEE J. Sel. Topics Quantum Electron. 20, 405 (2014).

5. M. Smit et al., “An introduction to InP-based generic integration technology”, Semicond. Sci. Technol. 29, 083001 (2014).

6. P. Sibson et al., “Chip-based Quantum Key Distribution”, Nature Communications, Vol. 8, 13984 (2017).

7. Y. Nambu, K. Yoshino, and A. Tomita, “Quantum encoder and decoder for practical quantum key distribution using a planar lightwave circuit”, J. Mod. Opt. 55, 1953 (2008).

4.8. Verifica, validazione e conformità d’implementazione.

La sicurezza di un sistema criptografico può avere delle falle quando la sua

implementazione si discosta significativamente dai modelli ideali utilizzati per l'analisi della

sicurezza. Anche per la criptografia QKD [1,2], per quanto essa sia incondizionatamente

sicura da un punto di vista “teorico” (information-theoretic security), la sicurezza dal punto

di vista “pratico" (information-practical security) dipende da una sua corretta

implementazione. Quest’ultima è fortemente soggetta ad es. all’hardware che viene

impiegato, il che chiaramente offre a qualunque avversario tutta una serie di possibili canali

d’attacco (eavesdropper), alcuni dei quali già ben noti da quasi un decennio. Come visto in

precedenza, questo hardware "non ideale" include emettitori on-demand a singolo-fotone,

links fotonici tra mittente e destinatario, rilevatori di singoli fotoni, allineamento (ottico) della

base mittente-destinatario, etc ... Tali "non idealità" [3] portano a problemi di sicurezza

dell’informazione chiamati col nome generico di "hacking quantico” (quantum hacking).

Pertanto, se l'analisi della sicurezza nell'implementazione di un sistema criptografico

(implementation security) è importante, questo vale ancor di più per la criptografia QKD ove

la sicurezza dipende in gran parte dall’apparecchiatura locale degli utenti

(mittente/destinatario). Compito fondamentale dell’implementation security nella criptografia

quantistica QKD è quello di stimare la quantità di informazione che trapela ad un potenziale

avversario attraverso tale apparecchiatura. Quando le perdite rimangono al di sotto di una

determinata soglia, è possibile fare un assessment della sicurezza [4,5]. I problemi relativi

alla sicurezza dell’implementazione devono essere ben studiati e valutati attraverso

consolidati principi di progettazione e di disegno, progetti verificabili ed infine attraverso

64

configurazioni garantite a fornire un sistema criptografico affidabile ed operativo per

“qualunque utente”.

A tal fine è comunque altrettanto importante sottolineare che l'analisi della sicurezza

resta tuttavia una minaccia comune a "qualsiasi" sistema criptografico, indipendentemente

dal fatto che si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [6-

8]. Come per tutti i dispositivi criptografici ad alta sicurezza, anche i sistemi criptografici QKD

dovrebbero quindi essere sottoposti a valutazioni formali della sicurezza con processi di

certificazione che permettano di poter fare un assessment delle vulnerabilità attraverso

l'analisi dei canali di perdita dati e manipolazione dati. Al momento non sembra esserci una

sufficiente discussione al riguardo all'interno della comunitàà criptografia QKD…mentre

appare ancora lento il progresso verso processi indipendenti di certificazione.

L’adeguata caratterizzazione di un sistema criptografico realistico è cruciale per

garantire un livello di sicurezza quanto più prossimo al valore atteso del protocollo teorico.

Un'attenta analisi del livello di sicurezza (security statement) di un sistema di criptografia

QKD risulta essere specificatamente rilevante in quanto esso non cambia con l’avanzare

dei progressi tecnologici e, alla pari di altre tecnologie quantistiche, la criptografia

quantistica QKD è "a duplice uso", nel senso che ha applicazioni sia militari che civili. Questo

richiama pertanto ad un buon coordinamento tra queste due controparti con la possibilità di

poter dotare ogni protocollo QKD di una "validazione" indipendente [9].

Una tale convalida (validation) dovrebbe inoltre inglobare i principi di "innovazione

responsabile" [10]. Per alcuni governi, le tecnologie quantistiche occupano un posto

speciale in tema d'innovazione responsabile, poiché esse sono nuove ed ancora emergenti.

Bibliografia 4.8

1. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf, M. Dušek, N. Lütkenhaus and M. Peev, “The security of practical quantum key distribution”, Rev. Mod. Phys. 81, 1301 (2009).

2. V. Scarani and C. Kurtsiefer, “The black paper of quantum cryptography: real implementation problems”, Theor. Comput. Sci. 560, 27 (2014).

3. “Quantum key distribution”, White paper on quantum key distribution (QKD). National Cyber Security Centre Quantum key distribution, 2016.

4. “Public attitudes to quantum technology”, Sciencewise (2014). 5. Una sequenza di bit parzialmente segreta può essere ad es. compressa in una chiave sicura.

In questo caso il grado di compressione dipende dalla perdita stimata d’informazioni (amplificazione della privacy).

6. I “timing attacks” ad es. possono essere un pericolo per sistemi sia quantici che non quantistici. 7. Si veda ad es. P. Kocher, “Timing attacks on implementations of Diffie-Hellman, RSA, DSS and

other systems”. CRYPTO’96, LNCS, vol. 1109, pp. 104–113 (1996) for the non-quantum case 8. Si veda ad es. Qi, B., et al., “Time-Shift Attack in Practical Quantum Crypto-systems”, Quantum

Information Computation, 7, (2007) 73-82 for the quantum case. 9. Vale la pena notare che il ”Quantum Communications Hub (York)“ attualmente ha una

Partnership Resource che lavora esattamente su tale validazione ad es. per i “Quantum

65

Random Number Generators”. Tale partnership coinvolge il National Physical Laboratory (NPL), un organismo di validazione indipendente, e la British Telecom (BT) con supervisione da parte del National Cyber Security Centre (NCSC).

10. ”Innovazione responsabile” (Responsible Innovation) consiste in un insieme di pratiche che sono state sviluppate per aiutare tutte le parti interessate a considerare questioni sociali ed etiche di una nuova tecnologia, onde garantire che esse vengano sviluppate nell'interesse pubblico, siano eticamente accettabili, economicamente, socialmente e ambientalmente sostenibili.

4.9 Un possibile scenario di QKD mobile e….ulteriori questioni.

La discussione dei paragrafi precedenti (§ 4.1-4.8) sembra indicare che la criptografia

QKD possa offrire un vantaggio a breve termine e piuttosto realistico sulla sicurezza nelle

comunicazioni militari di natura sensibile. Al fine di poter illustrarne i meriti descriviamo di

seguito un semplice esempio di best-practice d’impiego della criptografia QKD in campo

militare. Lo scenario descritto è chiaramente ipotetico ed inteso per un audience piuttosto

generica [1].

Scenario:

“Immaginiamo una crisi che colpisca gli Stati Uniti nel prossimo futuro. Il presidente

entra nel suo centro di comando, ricevendo informazioni da tutto il mondo trasmesse da

satelliti. Prese le decisioni, il presidente e collaboratori passano al Pentagono le istruzioni

segrete ove vengono criptate da dispositivi QKD con chiavi private (secret-keys) ottenute

con dispositivi di rete a criptografia veloce (large-bit network encryptors). Questi dispositivi

cambiano le loro “secret keys” più volte al secondo, rendendo praticamente impossibile per

i cyber-avversari decodificarne i messaggi.

Le istruzioni segrete, una volta giunte al Pentagono, sono coordinate attraverso piani

di emergenza che generano ordini per i contingenti militari sparsi sui diversi fronti di

battaglia. Una volta che tali ordini e piani saranno pronti, le informazioni verranno criptate,

usando di nuovo circuiti protetti con criptografia QKD, ed inviate. I collegamenti terra-satellite

saranno difficili da intercettare in quanto i dati (sensibili) vengono criptati utilizzando gli stessi

network encryptors così come i messaggi inviati dai satelliti verso terra. Sul campo, gli

avversari potranno ascoltare le comunicazioni “spazio-terra”, ma con la chiave criptografica

(secret-key) così lunga e che cambia così rapidamente, è impossibile de-cifrarne il

contenuto.

La natura incondizionatamente sicura delle chiavi generate con criptografia-QKD

rende quest’ultima attraente per gli elevati requisiti di sicurezza che spesso s’incontrano nel

settore militare”.

66

Principio di funzionamento alle grandi distanze:

La natura “free-space” dei moderni networks QKD rende la criptografia-QKD

particolarmente attraente per le grandi distanze d’operazione che spesso separano non solo

i vari contingenti operativi tra loro ma anche dal centro decisionale. Mirando di nuovo ad un

pubblico generico, illustriamo di seguito l’essenziale di un archetipo di criptografia di dati

sicuri su grandi distanze.

Le stazioni di terra A e B, con requisiti di sicurezza molto elevati, rappresentano due

nodi “distanti” del network (Fig. 2). Un satellite passa sopra A e B una volta al giorno e

consente loro di condividere un segreto comune che verrà quindi utilizzato in uno schema

(simmetrico) di criptografia per garantire la trasmissione dei dati tra loro nonostante la

grande separazione geografica.

I due siti remoti [2] sono serviti, uno dopo l'altro, tramite un collegamento free-space

QKD ad es. da un aereo [3] o anche da un satellite che si muova su orbite relativamente

basse (LEO) [4] facilitato dal fatto che l'attenuazione è significativamente più bassa nello

spazio libero rispetto all'atmosfera terrestre. Una variante di questa configurazione potrebbe

coinvolgere anche più di un satellite LEO, purché interconnessi tramite collegamenti “free-

space" e in grado di scambiare in modo efficiente chiavi-private a velocità molto elevate.

Piattaforme mobili HAP (high altitude platforms) che funzionano come nodi QKD volanti

(flying QKD nodes) potrebbero rappresentare un’ulteriore variante [4].

A e B sono inoltre dotati di telescopi direzionali mobili in grado di puntare e localizzare

un bersaglio C che si muove nel cielo e trasporta un sistema QKD “affidabile e sicuro” (Flying

trusted node). “Prima”, C passa sopra la stazione di terra A e scambia una chiave “a” (mutual

symmetric) con A (Fig. 2a). Successivamente, C passa sopra la stazione B e fa altrettanto

ovvero scambia un’altra chiave "b" (mutual symmetric) con B (Fig. 2b). Quindi C usa “b” per

criptare (One-Time-Pad) la chiave segreta (“a”) precedentemente scambiata con A e passa

il criptogramma (a xor b) a B attraverso un canale di comunicazione classico convenzionale.

A questo punto B può recuperare la chiave segreta "a" che A già possiede (Fig.2c).

Le stazioni di terra A e B ora condividono una chiave segreta comune (“a”) che possono

utilizzare per criptare qualsiasi comunicazione (Fig.2d).

Vantaggi.

L'operazione consente la distribuzione di una chiave privata (secret key) con (i.)

massima sicurezza, (ii.) tra siti remoti (A e B) posti a distanze “arbitrarie" e (iii.) senza la

necessità di svariati nodi intermedi. In linea di principio, le stazioni possono infatti trovarsi in

67

“qualsiasi” punto sulla superficie terrestre, possono anche essere "stazionarie" o "in

movimento" sulla superficie, purché coperte dal target C.

Nella fattispecie A e B, con requisiti di sicurezza molto elevati, possono essere

“qualsiasi” due contingenti militari, un contingente ed un centro di comando etc. o possono

essere due unità appartenenti ad un settore governativo, militare, etc.

ll target (C) potrebbe anche non appartenere a settori istituzionali ma potrebbe essere

ad es. un fornitore di infrastrutture critiche, un fornitore di servizi (service provider, operatore

etc…).

Qualità del servizio.

L'indice di rifrazione dell'aria nell'atmosfera varia poiché esistono strati di diversa

temperatura e di diversa umiditàà oppure varia a causa di condizioni meteorologiche

avverse, a causa dell’inquinamento, etc… La criptografia free-space QKD è suscettibile alle

condizioni atmosferiche. La forte luce dell’ambiente ostacola inoltre la misura di segnali

estremamente deboli (singoli-fotoni). Questi fenomeni possono ridurre significativamente

l’efficienza ed il rate di generazione delle chiavi-private. Anche il "movimento rapido" del

target (C) potrebbe influire sulla efficacia di generazione.

In un free-space QKD network la difficoltà d’accesso al target C sarebbe un’ulteriore

svantaggio ad es. in caso di guasti che richiedano riparazioni mentre la disponibilitàà di

canali aggiuntivi all’interno di un network QKD a lunga distanza (long-haul), ovviamente

“indispensabili” nel caso di operazioni militari, dovrebbe essere garantita nel caso di un

eventuale “fall-back”.

Bibliografia 4.9

1. J. D. Morris et al., “A military QKD usage scenario”, in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Morgan Kaufmann Publishing, Waltham, MA (2013). 4.9.2 Bibliografia.

2. Si fa riferimento qui a due “utenti remoti” a differenza del caso in cui le parti comunicanti sono direttamente connesse tramite collegamenti QKD o tramite un'infrastruttura di rete intermedia per la distribuzione delle chiavi.

68

Fig. 2a: A e C scambiano una chiave segreta “a” (secret key)

Fig. 2b: B e C scambiano una chiave segreta “b”

Fig. 2c: C scambia (One-Time-Pad-encryption) la chiave “A” con B attraverso un canale classico (“A” xor “B”).

Fig. 2d: A e B condividono la chiave segreta “A”.

69

3. Si possono invece usare aerei o eventualmente piattaforme ad alta quota HAP (high altitude platforms) come ad es. velivoli con raggio di crociera limitato che operano ad altezze di circa 10-20 km. Gli HAP possono “servire” una tipica area metropolitana fornendo chiavi-private dall'alto, così coprendo un'area potenzialmente più ampia di quella che si potrebbe ottenere sulla superficie dell’area (direct line of sight).

4. I satelliti LEO (Low Earth Orbit) sono utilizzati per reti pubbliche e per scopi scientifici. La comunicazione via satellite inizia solo quando il satellite si trova nella loro “regione di visibilità “delle stazioni terrestri e ad un’altitudine di circa 300-1000 chilometri. La durata della visibilità e della comunicazione non è mai stessa ma varia per ciascun passaggio del satellite sulla stazione. L’area di copertura del satellite è definita come una regione della Terra in cui il satellite è visto con un angolo di elevazione “minimo” predefinito. Satelliti geostazionari, d’altra parte, non sono una soluzione in quanto orbitano ad un’altitudine compresa tra 36 000 km (orbita circolare) e 42000 km (orbita inclinata) il che richiederebbe telescopi ottici con aperture impraticabili di circa 10 metri.

70

5. UNA PANORAMICA GLOBALE

Le sviluppo delle tecnologie quantistiche è ancora abbastanza “in salita” e restano

quindi aperte ad una serie di futuri possibili, alcuni più alettanti di altri. È quindi questo il

momento più opportuno per soffermarsi sul potenziale impatto di tali tecnologie nel settore

militare e nella sicurezza nazionale, sebbene previsioni troppo precise non siano al

momento possibili. Quando si considera il futuro impatto di una nuova tecnologia, esiste

inoltre sempre un dilemma [1] vale a dire è difficile prevederne l’impatto, in quanto non

ancora ampiamente sviluppata ed utilizzata, mentre al contrario cambiamenti diventano

difficili una volta che la tecnologia si sia radicata.

Inutile dire che l'integrazione delle tecnologie quantistiche rappresenta attualmente

per le forze armate uno dei progressi più attesi. La generazione di una chiave casuale OTP

(One Time Pad) mediante Quantum Key Distribution (QKD) rappresenta un sistema

criptografico inattaccabile; esso offre la massima protezione disponibile con comprovata

sicurezza anche contro il computer quantistico [2]. Questa nuova forma di criptografia

quantistica si adatta tuttavia a fatica all'interno delle comuni infrastrutture delle reti di

comunicazione.

A tal fine sono stati creati con successo networks di nuova generazione ove si possa

sfruttare la moderna criptografia QKD tramite fibre ottiche a bassissime perdite o terminali

(mobili) dei nuovi networks free-space. Come illustrato nei capitoli precedenti, gli ultimi

decenni hanno visto risultati straordinari che porteranno certamente nuove soluzioni anche

per i futuri sistemi di comunicazione militare. Vista la velocità con cui avvengono tali

progressi, ci sono pochi dubbi, sostengono gli esperti della sicurezza, che la criptografia

quantistica QKD avrà un effetto dirompente allorché verrà impiegata a regime. Le principali

potenze militari del mondo si stanno preparando a questi importanti cambiamenti, spesso

con ingenti investimenti, onde ottenerne un vantaggio sia economico che militare e di cui

faremo nel seguito una breve panoramica.

Gli Stati Uniti e la Cina si posizionano come principali potenze nelle tecnologie

quantistiche. Sebbene esse continuino ad accumulare capacità militari offensive sempre più

sofisticate, i recenti progressi della Cina potrebbero comunque avere un impatto sul futuro

equilibrio strategico delle due super-potenze, forse anche superando i tradizionali vantaggi

71

militare-tecnologici degli Stati Uniti, che mantengono pur tuttavia un primato militare

complessivo.

Negli ultimi anni, infatti, i ricercatori cinesi hanno conseguito una serie di progressi

consistenti nel campo della criptografia quantistica. Molte di queste scoperte sono il frutto

di una complessa agenda di ricerca e sviluppo [3] (si veda Tab. 1) che ha visto una

straordinaria dedizione ai migliori talenti oltre che ad ingenti finanziamenti. La lunga ascesa

della Cina è stata coronata dal lancio (2016) del primo satellite quantistico "Micius" (Mozi,

墨子). La Cina ha inoltre realizzato il primo collegamento di comunicazione quantistica

“terrestre” a lunga distanza tra Pechino e Shanghai (2017). Il completamento del laboratorio

nazionale per le scienze dell'informazione quantistica a Hefei, nella provincia di Anhui e con

un costo complessivo di 10 miliardi di dollari, testimonia l'impegno della nazione per le

tecnologie quantistiche. Gli importanti successi cinesi nella scienza dell'informazione

quantistica [4], hanno motivato il lancio di ulteriori "mega-progetti" nazionali nelle

comunicazioni quantistiche con l'obiettivo di raggiungere importanti traguardi entro il 2030.

Tali sforzi chiaramente sottolineano l’altissima priorità che Pechino pone nell'innovazione di

tecnologie atte a rafforzare le capacità militari della Cina. Rappresentano peraltro iniziative

di riferimento a garanzia della sicurezza nazionale ed, in particolare, della privacy del

governo contro l’ingerenza straniera.

72

Già nel 2015 McKinsey & Company collocava la Cina tra i principali investitori in

tecnologie quantistica “non-classified”, seconda solo agli Stati Uniti, ma davanti a Canada,

Australia, Giappone e Russia [4]. Sempre nel 2015, la Cina è stata prima al mondo per

applicazioni di brevetti per la criptografia quantistica (367 applicazioni) pur essendo secondi

solo agli Stati Uniti per brevetti di sensori quantistici e tuttavia quinta per quanto riguarda i

brevetti che riguardavano il computer quantistico [4]. I finanziamenti in Cina sembrano

essere sostanzialmente in aumento dal 2015 e questo sforzo non è limitato al governo.

Tab. 1. Scienza & Tecnologia Quantistica in China (Plans and Policies).

73

Anche il settore privato cinese sta infatti investendo in tecnologie quantistiche, tra cui ad es.

Alibaba Quantum Computing Lab, che nasce (2015) da una collaborazione congiunta tra il

cloud computing di Alibaba Group (Aliyun) e l'Accademia Cinese delle Scienze (CAS) per

esplorare e sviluppare applicazioni commerciali di calcolo quantistico [5].

I leader politici cinesi d’altronde sono ben consci del potenziale strategico che le

scienze e le tecnologia quantistiche rivestono per il potere militare ed economico della

nazione. Il Presidente Xi Jinping ha recentemente sottolineato l'importanza strategica di tali

tecnologie per la sicurezza nazionale e, in particolare, per la sicurezza informatica [6].

Questa attenzione di alto livello ha dimostrato il chiaro riconoscimento da parte di Pechino

delle potenziali implicazioni strategiche delle tecnologie quantistiche per il futuro campo di

battaglia in rete (networked battlefield) [6]. Gli strateghi cinesi sembrano fiduciosi che le

comunicazioni quantistiche possano essere dispiegate anche per "guerre locali" come ad

es. nei mari vicini, sebbene in questa fase sia chiaramente prematuro predire la traiettoria

completa delle capacità quantistiche della Cina [7].

Al contrario, gli Stati Uniti e l'Esercito americano non sembrano aver ancora fatto

altrettanti significativi investimenti nello sviluppo dei sistemi di comunicazione quantistica,

con il presupposto apparente che questa tecnologia non possa migliorare significativamente

la sicurezza della comunicazione [8]. Secondo una percezione diffusa, la sicurezza

incondizionata promessa dalla criptografia quantistica potrebbe non essere realizzabile in

pratica [8]. Rimpiazzare i sistemi criptografici convenzionali con la criptografia QKD non

eliminerebbe, secondo tale percezione, altre debolezze e vulnerabilità nella sicurezza.

Date le notevoli difficoltà logistiche e tecnologiche, la criptografia QKD, secondo la

valutazione iniziale di un Scientific Advisory Board dell'Aeronautica statunitense (U.S. Air

Force), non sembra conferire un vantaggio di sicurezza sufficiente a giustificare la

complessità aggiuntiva necessaria per il suo utilizzo, relativamente al migliori alternative

classiche disponibili [8,9].

A sostegno di tale percezione, i più diffidenti segnalano anche una serie di sfide

pratiche d’implementazione che la criptografia QKD ha affrontato [10] così come alcune

dimostrazioni di pirateria (hacking) per falsificare o interferire con sistemi di criptografia

quantistica commerciale, come ad es. attraverso attacchi del tipo side-channel, attacchi

d’intercettazione che rimangono al di sotto della soglia di errore prevista, attacchi con

74

repliche nascoste di dati etc. [11]. La percezione che la promessa di "perfetta" sicurezza

non possa essere realizzata appieno ha fatto sì che sostanziali finanziamenti per ricerche

di tecnologia quantistica da parte dall’Army Research Office ad es. siano iniziati solo da

poco!

Recente è pure l’intenzione del DoD (Department of Defense) d’intraprendere ad es.

un analisi dell'utilità delle attuali forme di criptografia quantistica e comunicazioni per

proteggere i sistemi di informazione militari con l’auspicio che man mano che i risultati

diventano più maturi, sia presa nella dovuta considerazione la sperimentazione di queste

tecnologie [3]. È sempre abbastanza recente l’espressa volontà che gli Stati Uniti hanno di

valutare costi e tempi associati ad una transizione a livello militare-governativo dalle forme

di criptografia attuali ad un nuovo regime, anche se ciò potrebbe richiedere notevoli

modifiche alle varie infrastrutture di comunicazione. Identica volontà è stata espressa per la

navigazione quantistica (quantum navigation) ovvero radar quantistici (quantum radar),

imaging quantistici (quantum imaging), rilevamento quantico (quantum sensing) etc. [3]

È altresì vero che la navigazione basata su criptografia e computazione quantistica

(quantum navigation) potrebbe consentire alla Cina una maggiore indipendenza dai sistemi

spaziali mentre l’avvento di radar quantistici, imaging quantistico e rilevamento quantico etc.

potrebbe migliorare la procedura di targeting. Numerosi analisti esterni hanno avvertito che

i progressi della Cina nell’ambito della tecnologia quantistica per uso militare potrebbe forse

esporre le comunicazioni militari statunitensi a nuove vulnerabilità in tempo di pace

anticipando, a loro volta, che durante un conflitto o una crisi queste vulnerabilità potrebbero

rendere l'equilibrio di informazioni asimmetrico in favore di Pechino [12-13]. Allo stesso

modo, se la Cina dovesse diventare un leader indiscusso nel campo del computer

quantistico, il possesso di tali immense capacità di calcolo potrebbe portare un vantaggio

strategico. È stato anche drasticamente affermato [14] che se la Cina diventasse la prima

potenza quantistica del mondo metterebbe a rischio i sistemi di informazione sensibili,

sfidando al contempo il dominio tecnologico degli Stati Uniti in tutte le forme di guerra in rete

(info-centric networked warfare) ed, in particolare, le reti satellitari militari [13-14].

Un funzionario della Casa Bianca ha recentemente ammonito che le “ways of war"

incentrate sull'informazione in America sono sempre più sotto assedio dai progressi della

75

tecnologia quantistica della Cina, minacciando di compensare il vantaggio militare e

tecnologico degli Stati Uniti [13-14].

È tuttavia importante sottolineare che gli Stati Uniti hanno comunque una lunga storia

di ricerca ed innovazione nell'area delle informazione quantistica, in particolare della

criptografia quantistica. I ricercatori del Los Alamos National Laboratory, infatti, furono i primi

ad inviare una chiave quantistica lungo una fibra ottica di 31 miglia, nel lontano 1999!

Gli stessi ricercatori svilupparono anche un sistema di criptografia quantistica free-space in

grado di inviare chiavi a distanze fino a 10 miglia [15]. Apparentemente anche gli Stati Uniti

hanno fatto progressi sostanziali nella scienza dell'informazione quantistica ed un recente

rapporto della “Science, Homeland and National Security” sottolinea che il progresso della

scienza dell'informazione quantistica rimane una priorità per investimenti federali [16].

Alcune agenzie federali statunitensi hanno effettivamente sviluppato programmi di ricerca

nelle tecnologie quantistiche per oltre due decenni con finanziamenti annuali di circa 200

milioni di dollari per la ricerca di base e applicata [16]. Il Dipartimento della Difesa degli Stati

Uniti attraverso la Defense Advanced Research Projects Agency (DARPA) e il National

Institute of Standards and Technology (NIST) hanno finanziato la ricerca di base (2018) per

la scienza dell'informazione quantistica mentre il Department of Energy (DOE) e la National

Science Foundation (NSF) hanno finanziato ulteriori $ 250 milioni per ricerche sul

rilevamento quantistico, l'informatica e le comunicazioni sotto forma di grants quinquennali

oltre ad integrare risorse esistenti all'interno del governo, del mondo accademico e

dell'industria nell'ambito della National Strategic Computing Initiative [17].

Inoltre, alcuni colossi nel settore privato, come ad es. IBM, hanno più di trent'anni di

esperienza in ricerca nelle tecnologie quantistiche, mentre giganti come Google, Microsoft

e Intel stanno attualmente investendo abbondantemente in scienze quantistiche

dell'informazione e tecnologie correlate. In Occidente, compagnie private come ad es. D-

Wave Systems (Canada) stanno guidando lo sviluppo di computer quantistici che

potrebbero far funzionare le piattaforme militari del futuro. Non c'è dubbio che gli Stati Uniti

godano di un fertile ecosistema innovativo [18] che manca invece alla Cina e che a lungo

termine il successo della Cina dipenderà dalla sua capacità di sviluppare un ecosistema più

forte e con il coinvolgimento del mondo accademico ed industriale, oltre al saldo sostegno

del governo.

76

Gli Stati Uniti e la Cina non sono chiaramente gli unici attori in questo enorme sforzo.

Collettivamente, le nazioni europee hanno una riconosciuta eccellenza scientifica nelle

tecnologie quantistiche con una competenza tecnica di livello mondiale come si può

dimostrare ad es. dal numero di pubblicazioni di alto livello. Tale eccellenza è stata

promossa da programmi come ad es. l'iniziativa “Future and Emerging Technologies"

dell'Unione europea, a sostegno della ricerca sulle tecnologie quantistiche dal Quinto

Programma Quadro (1998). Negli ultimi due decenni, il finanziamento totale in questo

settore ha raggiunto quasi 550 milioni di euro [19]. Il programma "Quantum-Technologies

Flagship" (2018) della Commissione europea [20] è un'altra iniziativa di ricerca su larga

scala che comporta fondi di gran lunga superiori a 1 miliardo di euro su un arco di dieci anni.

L'iniziativa è concentrata su quattro principali aree della tecnologia quantistica:

comunicazione, calcolo, simulazione e rilevamento e chiaramente mira a rafforzare

l'eccellenza scientifica europea nella ricerca e nelle tecnologie quantistiche.

Il Regno Unito ha invece impegnato £ 270 milioni per un programma nazionale

quinquennale sulle tecnologie quantistiche (2013) [21] destinato a costruire quattro nuovi

hubs per sensori e metrologia, imaging quantistico, tecnologie di informazione quantistica

in rete e tecnologie di comunicazione quantistica [22]. Questo programma dovrebbe anche

capitalizzare sulla duplice esperienza del mondo accademico e dell'industria onde garantire

che i risultati dei laboratori di ricerca vengano trasformati in prodotti industriali.

Tale programma è stato anche oggetto di un’interessante indagine parlamentare nel Regno

Unito (fine 2018).

Il presidente francese Macron ha firmato un memorandum d'intesa (2018) con l'allora

primo ministro australiano Turnbull in una joint-venture per lo sviluppo e la

commercializzazione di un circuito integrato al silicio per tecnologie quantistiche e che

combina gli sforzi del Silicon Quantum Computing (Australia) e del Commissariat à l’Énergie

Atomique et aux Énergies Alternatives (CEA-France).

Infine, la Germania ha annunciato nuovi finanziamenti (2018) per la ricerca sulle

tecnologie quantistiche per un valore di 650 milioni di euro per il periodo 2018-2022.

Anche la Russia sta investendo in tecnologia quantistica ma non ha impegnato lo

stesso livello di risorse di altre nazioni e chiaramente in ritardo rispetto a Cina e Stati Uniti.

Ciò potrebbe essere parzialmente correlato al declino generale della capacità di ricerca

77

scientifica russa dagli anni '90, nonostante il presidente Putin abbia di recente aumentato la

spesa nazionale in ricerca e sviluppo (R&S) all’1% del prodotto interno lordo della Russia

($ 3 miliardi) nel 2018.

Bibliografia 5.

1. Questo è indicato come il "dilemma di Collingridge" in base al quale gli sforzi per influenzare o controllare l'ulteriore sviluppo della tecnologia vanno incontro ad un problema a doppio vincolo. Vedi ad es. Collingridge, D., “The social control of technology”. Pinter, London, (1980).

2. “Quantum Technology Is Beginning to Come into Its Own” The Economist, October 8 (2017). I. Friedson, “The Quantum Computer Revolution Is Closer than You May Think” National Review, May 2, (2017). Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5.

3. Elsa B. Kania & John K. Costello, “Quantum Hegemony? China’s Ambitions and the Challenge to U.S. Innovation Leadership”, September 2018.

4. Sei veda e.g J. Costello e E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science, China Brief 16, no. 18 (2016), 11–6. La scienza dell'informazione quantistica comprende non solo la criptografia quantistica ma anche la navigazione quantistica (quantum navigation) i cui progressi sono ben noti nel campo del radar quantistico, il rilevamento quantistico, l'imaging quantistico etc.. Gli sforzi cinesi nella direzione della quantum information ed artificial intelligence (AI) sono aumentati di importanza in seguito alle vicende di Edward Snowden presso la National Security Agency (NSA) e Central Intelligence Agency (CIA), vicende che hanno mostrato la disparità in termini di cyber-war tra le capacità offensive dell’esercito popolare di liberazione cinese (PLA) e gli Stati Uniti.

5. “Aliyun and Chinese Academy of Sciences Sign MoU for Quantum Computing Laboratory” Alibaba Group press release, July 30, (2015).

6. Nel 2013 e.g. President Xi ha visitato Anhui Quantum Communication Technology Co. Ltd. per una sessione di studio. Lì incontrò Pan Jianwei, il vice direttore del nuovo Northern Theatre Command del PLA [5-bis]. Vedi ad es. “Anhui Quantum Communication Innovation Achievement Debut: Central Politburo Team Learning Event” QuantumCTek, September, (2013). Successivamente (2015) durante il 5 ° Plenum del 18 ° Congresso del Partito Cinese (China’s 18th Party Congress’ 5th Plenum), Xi ha incluso la comunicazione quantistica come obiettivo strategico di ricerca prioritaria per "major breakthroughs" entro il 2030. Vedi ad es. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science” China Brief 16, no. 18 (2016), 11–6. [5-bis]. L'esercito popolare di liberazione cinese (PLA) è un'organizzazione unificata delle forze militari terrestri, marittime ed aeree della Cina. Il PLA risale al 1927 ed è una delle più grandi forze militari del mondo (britannica.com).

7. Nel 2017, il DoD degli Stati Uniti ha riferito che la Cina ha fatto "notevoli progressi nella ricerca sulla criptografia", il che avrebbe implicazioni significative per l'esercito cinese, in particolare per le comunicazioni sicure. Si veda Military and security developments involving the Peoplès Republic of China, Office of the Secretary of Defense, U.S. Department of Defense, 2017, 34.

8. Il valore della criptografia quantistica per uso militare è stato soggetti di alcuni dibattiti: la sostituzione della tecnologia di criptografia standard con varianti quantistiche non rimuove le vulnerabilità di base inerenti ai sistemi di comunicazione. Si veda ad es. Mehta, A. “Air force study shows potential limits of quantum technology”, Defense News, 9 August 2015.

9. USAF Scientific Advisory Board, “Utility of Quantum Systems for the Air Force” August 19, (2016).

10. Si veda ad es. E. Diamanti et al., “Practical challenges in quantum key distribution,” Quantum Information, November 8, (2016) [https://www.nature.com/articles/npjqi201625].

11. “Canadian researchers claim Chinese quantum network might not be hack proof after all” in South China Morning Post, June 12, (2017).Si veda anche “Commercial Quantum Cryptography System Hacked” MIT Technology Review, May 17 (2010).

78

12. Si veda e.g. J. Wang, “Quantum Technology: Informatization and the Changing face of Warfare” PLA Press, September 27, 2015.

13. M. Ravindranath, “America’s lead in quantum computing is ’under siege” Defense One, December 7 (2106).

14. J. Costello, and E. Kania, “Quantum Leap (Part 2): The Strategic Implications of Quantum Technologies” China Brief 16, no. 19 (2016).

15. “Quantum Cryptography,” Los Alamos National Laboratory, accessed January 24, (2018). 16. “Advancing Quantum Information Science: National Challenges and Opportunities”, joint report

of the Committee on Science and Committee on Homeland, National Security of the National Science and Technology Council, Washington, DC, July (2016).

17. “The National Strategic Computing Initiative” Networking and Information Technology Research and Development Program, accessed January 24 (2018).

18. Durante una recente sessione del Defense Innovation Board (DIB) parte del DoD, è stato lanciato un appello per una maggiore collaborazione tra i settori privato-governativo per lo studio di nuove tecnologie innovative all'avanguardia per applicazioni militari ed in particolare su artificial-intelligence (AI) e Machine Learning (ML). Si veda ad es. C. Pellerin, “Defense Innovation Board Makes Interim Recommendations” DoD News, Defense Media Activity, October 5, (2016).

19. “Commission Staff Working Document on Quantum Technologies” COM (2016) 178 (European Commission, Brussels), 4.

20. “European Commission Will Launch €1 Billion Quantum Technologies Flagship,” European Commission, May (2016).

21. “Overview of Programme,” UK National Quantum Technologies Programme, accessed January 24, (2018).

22. “UK National Quantum Technologies Programme”, January 24, (2018)

79

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE

Ce.Mi.S.S.1

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e

per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria

opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di

pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del

Ricercatore e non quella del Ministero della Difesa.

Maurizio ARTONI (*)

M. Artoni, Ph.D. The City University (New York, 1990), National Academy of Science Fellow

& Goddard Space Flight Center (NASA, Washington, 1991-93), Research Officer (1993-99)

The University of Essex (UK) e Consejo Superior de Investigationes Cientificas (Spagna),

Laboratorio Europeo di Spettroscopia non Lineare (LENS, 2000-02), Professore (2002,

Università di Brescia), Ricercatore associato (LENS ed Istituto nazionale di ottica (2005).

I suoi interessi fino ad oggi includono l'ottica quantistica, coerenza quantistica in strutture

atomiche e fotoniche a bassa dimensionalità, aree di ricerca svolte in collaborazione con

teams nazionali e internazionali (Scuola Normale Superiore (Pisa), Essex, St. Andrews,

Exeter e York University (UK), Universitat Autonoma de Barcelona (Spagna), Jilin University

e Center for Quantum Sciences (Cina) etc.). Ha coordinato progetti nazionali (PRIN-MIUR,

PAISS-INFM”, etc…) e progetti internazionali (“Action Integrada” Italia-Spagna, “CRUI-

British Council”, progetti Grande Rilevanza Italia-Cina del Ministero degli Affari Esteri

italiano e della National Science Foundation of China, etc…). Responsabile esterno nella

valutazione della ricerca per principali iniziative scientifiche e tecnologiche nazionali e

internazionali (Comissió d'Avaluació de la Recerca a AQU Catalunya (Spagna), John D. e

Catherine T. MacArthur Foundation (US), NASA-Goddard Space Flight Center (US),

l'Istituto Nazionale di Scienze dell'Educazione e della Ricerca (NISER) del Governo

dell’India, Ministero dell'Istruzione, dell'Università e della Ricerca (MIUR) etc.)

(*) Per maggiori dettagli si rimanda al sito ugov dell'unibsphotos.

1 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo

Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado

equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un

Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del

21 dicembre 2012.

Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le

esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della

conoscenza, a favore della collettività nazionale.

Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,

economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,

ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.

Il livello di analisi è prioritariamente quello strategico.

Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:

a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza

e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi

temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla

Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli

Armamenti per l'impiego del personale civile;

b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle

vigenti disposizioni fra gli esperti di comprovata specializzazione).

Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il

Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o

esteri e rende pubblici gli studi di maggiore interesse.

Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il

Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di

rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo

le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e

definendo i temi di studio da assegnare al Ce.Mi.S.S..

I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli

argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei

singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o

civili alle quali i Ricercatori stessi appartengono.

CENTRO ALTI STUDI

PER LA DIFESA

CENTRO MILITARE

DI STUDI STRATEGICI

Maurizio Artoni

Application, in the military field, of quantum

cryptography techniques associated with satellite

communications to guarantee safe strategic-

operational communications capable of effectively

adapting to a modern net-centric scenario

(Code AO-SMD-06)

)

The Military Center for Strategic Studies (Ce.MI.S.S.), founded in 1987 and located at

Palazzo Salviati in Rome, is headed by a Major General (Director) or an Officer of equivalent

rank. The Center is organized on two departments (Strategic Monitoring-Research) and an

External Relations Office. The activities are regulated by the Decree of the Minister of

Defense 21 December 2012.

The Ce.Mi.S.S. carries out study and research activities on strategic, political and military

matters for the needs of the Ministry of Defense. It contributes to the development of culture

and knowledge in favor of the Italian national community.

The activities conducted by Ce.Mi.S.S. are focused to the study of political, economic,

cultural, social and military phenomena and on the effect of the introduction of new

technologies, or phenomena that determine appreciable changes in the security scenario.

The level of analysis is strategic.

For the conduct of study and research activities, Ce.Mi.S.S. employs:

a) military and civilian personnel of the Ministry of Defense with suitable experience and

professional qualification. These personnel is employed by means of temporary postings,

on the basis of the provisions given by the Chief of Defense on an annual basis, after

consultation with the Secretary General of the Defense / National Director of Armaments;

b) collaborators not belonging to the public administration, (selected in compliance with

specific provisions established on the basis of the subject of the study among experts of

proven specialization).

For the development of culture and knowledge of matters of interest to the Defense,

Ce.Mi.S.S. establishes collaborations with universities, institutes and research centers,

Italian or foreign, and publishes the studies of greater interest.

The Minister of Defense, after consulting the Chief of Defense, in agreement with the

Secretary General of the Defense / National Director of Armaments, for the themes of

respective interest, issues the directives regarding strategic research activities, establishing

the general guidance for the analysis and collaboration activities with the homologous

institutions and defining the study subjects for the Ce.Mi.SS.

The researchers are free to express their thoughts on the topics. The content of the

published studies reflects exclusively the thinking of individual authors, not official position

of the Ministry of Defense or of any military and / or civil institutions to which the researchers

themselves belong.

(Code AO-SMD-06)

CENTRO ALTI STUDI

PER LA DIFESA

CENTRO MILITARE

DI STUDI STRATEGICI

Maurizio Artoni

Application, in the military field, of quantum

cryptography techniques associated with satellite

communications to guarantee safe strategic-

operational communications capable of effectively

adapting to a modern net-centric scenario

DISCLAIMER

The opinions expressed in this volume are of the Authors; they do not reflect the official

opinion of the Italian Ministry of Defence or of the Organizations to which the Authors belong.

NOTES

The researches are written using open source informations.

Editing by

Military Center for Strategic Studies

Director

Col. A.F. Marco Francesco D’Asta

Deputy Director – Chief Studies Department Col. c.(li.) s.SM Andrea Carrino

Graphic and layout

Massimo Bilotta - Roberto Bagnato

Author

Maurizio Artoni

Printing by Typography of the Center for Advanced Defence Studies

Military Center for Strategic Studies Studies Department

Palazzo Salviati Piazza della Rovere, 83 - 00165 – Roma – ITALY

tel. 06 4691 3205 - fax 06 6879779 e-mail caporicerche.cemiss@casd.difesa.it

closed: november 2019

ISBN 978-88-31203-29-6

Application, in the military field, of quantum cryptography

techniques associated with satellite communications to guarantee

safe strategic-operational communications capable of effectively

adapting to a modern net-centric scenario

5

INDEX

ABSTRACT 6

1. CYBER-SECURITY AND THE ELECTROMAGNETIC ENVIRONMENT. 9

2. CRYPTOGRAPHY. 18

3. QUANTUM KEY DISTRIBUTION’S CURRENT CHALLENGES: AN OVERVIEW. 33

4. DEFENSE AND POTENTIAL MILITARY APPLICATIONS OF QKD: AN OUTLOOK. 47

5. A POSSIBLE SCENARIO AND ISSUES. 55

6. A GLOBAL OVERVIEW. 64

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 72

6

ABSTRACT

Cryptography began at least 2000 years ago playing an important role ever since [1].

Much of our society relies on cryptography to provide security services, including

confidentiality and integrity, hence it is widely employed by financial organizations [2],

governments and military organizations. Secure military communications, in particular, are

unquestionably important as failures may indeed affect critical military operations

(command, control, etc.) with a concomitant unexpected outcome of a mission…or even of

a conflict.

Cryptography is also a centuries old battle between “code-maker” and “code-breaker”

[1]. Most ubiquitous code breaking include, e.g., the “Zimmermann note” [3] and the ‘Enigma

code” [4]. When the “Zimmermann” cryptogram was broken (1917), Americans learned that

Germany e.g. had tried to convince Mexico to join the war, an event that built on propelling

the U.S. into World War I. The other code (‘Enigma”) [4], a known cryptogram patented by

German engineers at the end of World War I, was broken instead by a secret team at

Bletchley Park (UK) and allowed the allies to read most of the secret messages shared by

the Germans and Japanese armies with a significant effect on the outcome of the war.

The Enigma code example e.g. highlights an inherent and crucial weakness of “any”

classical encryption technique, that is, there is “no way” of knowing that there is unwanted

eavesdropper. Quantum computers hold a further threat to classical encryption techniques,

such as e.g. the most secure forms of public-key cryptograph, which a quantum computer

could break in almost no time. Though quantum computing is not yet a set reality, the basic

principles have been proven in laboratories already and advances are progressing fairly

steadily.

It’s reassuring to know that important advances in quantum communications, namely

Quantum Key Distribution (QKD), just happen to provide us with a new technology to deal

with these two weaknesses. Quantum key distribution (QKD) is a secure communication

method which implements a cryptographic protocol enabling two parties to produce a shared

random secret key known only to them, which can then be used to encrypt and decrypt

messages. The keys are generated from a convergence of random operations conducted at

the sender and the receiver stations so that neither the sender nor the receiver can

determine what the key will be until the entire process has reached completion.

There is an additional and unique feature of QKD namely the protocol security can

be guaranteed regardless of the eavesdropper’s resources [1,2]. An eavesdropper can have

unlimited computational power, unlimited storage memory and any conceivable device yet

7

the transmission of the cryptographic keys through an open channel can be guaranteed to

be perfectly secure.

The military sector would benefit from such a novel form of cryptography and it is a

widespread belief that it will foster applications apt to improve the performance of secure

information services but also ease specific sharing of military situational awarenesses.

After starting with a brief aim at today’s (i.) specific military cybersecurity issues QKD

cryptography may address, the present study intends to analyze (ii.) basic principles of QKD

enabled cryptography along with (iii.) the illustration of a well established operational

scheme of QKD enabled cryptography. The report also encompasses (iv.) an outlook on the

current status of QKD implementations outlining benefits and drawbacks from the

perspective of military operations, as requested by the “Centro Militare di Studi Strategici”

(CEMISS). Major practical challenges (v.) for large-scale quantum key distribution networks

will also be outlined, including the latest breakthroughs on free-space quantum key

distribution networks. These networks are certainly well poised to leverage the power of

information technology within a network-centric framework for military operations (net-

centric warfare) [4].

Last, yet not the least, we felt it could be germane to make a mention of the bearings

of the major key players; several nations are heavily investing on quantum research to

enhance both economic and military dimensions of national power, with U.S. and China

being powerhouses in quantum technologies. This is swiftly done through a (vi.) global

overview ending section. China’s rapid development in quantum technologies could impact

their future strategic balance perhaps even overtaking the traditional military-technological

advantages of the U.S., which maintains however an overall military primacy.

All that being said from a technology point of view, we reckon to likewise important

to stress on “security analysis” issues. This is actually a common tread of “any” crypto-

system regardless of whether it is based on “quantum mechanics” or on “computational

complexity” [7-9]. QKD enabled cryptography, as a high-security crypto system, should

undergo formal security assessments and certification processes to address e.g. physical

attacks, side channel analysis data manipulation, etc. all aspects that ought to be

overviewed by international safety certifications. At the moment within the QKD community

there seem to be a little concern on the matter along with an arguably sluggish progress

towards independent certification processes.

The ambitious tasks of implementing QKD cryptography within the military sector in

support e.g. of decision-making, of assessing deterrence operations, of guiding information

warfare, just to mention a few, suggests that the challenge for the Army Intelligence is not

8

only in the concept but also the organisation infrastructure. The broad range of Intelligence

work that goes into these missions requires equally broad training programs through which

new skills will be thought. Coping with the management of quantum network systems can

be quite expensive and often complex. The complexity mainly arises from the network’s

quantum protocols and data management which will require training, coaching and

guidance, besides enhancing awareness and capability of employees, contractors, service

providers and others, as appropriate. On the opposite side end of the front lines of combat,

cyber soldiers, armed with keyboards, codes and electromagnetic tools to support traditional

military operations are likewise in large request. Again personnel with specialized training to

effectively configure, maintain and operate these ever more sophisticated tools are needed.

Clearly congruous training and technical advances are “both” crucial in pursuing the

effectiveness of a new information technology bound to be relevant for modern network-

centric framework for military operations.

9

1. CYBER-SECURITY AND THE ELECTROMAGNETIC ENVIRONMENT.

When talking about a modern conflict, most agree that such a conflict will be fought

in all possible dimensions namely on land, on and below the sea, in the air, and in space.

While nations continue to develop new weapons to operate in all of these dimensions, the

North Atlantic Treaty Organization (NATO) e.g. provides good supervision on threats one

might encounter when conducting military operation in each of these dimensions.

Cyberspace, in addition, has increasingly become a new important dimension, and one

which has become a bright focus area for NATO.

Today’s modern forces conduct operations that depend on communication, sensing

and guidance of weapon devices, whose function heavily depends upon the use of

electromagnetic waves (signals). Mastering of the electromagnetic picture and associated

platforms in networks devised and implemented by military organizations is steadily more

and more important. In order to enhance the ability of military forces to effectively command

and control electromagnetic operations, for instance, new tools and functional services are

being introduced. [1,2]

Fig.1 Electronic Warfare in today’s military environment.

10

Needless to say that the recognized need for military forces to access and utilize

the Electromagnetic Environment (EME) creates both (i.) vulnerabilities and (ii.)

opportunities for Electronic Warfare (EW). Electronic Warfare is a military action that exploits

electromagnetic energy, both actively and passively, to provide situational awareness and

create offensive and defensive effects (See Fig.1).

Warfare within the Electromagnetic Spectrum (EMS) (See Fig. 2) involves the military use

of electromagnetic energy to prevent or reduce an enemy’s effective use of the EMS while

protecting its use for friendly forces. Because today’s military forces are required to operate

within an increasingly complex electromagnetic environment, the latter has been recognized

as an effective military operating environment (OE). According to NATO [2] e.g. the

Operating Environment is a composite of the conditions, circumstances and influences that

affect the employment of capabilities and bear on the decisions of the commander. B y all

means NATO then recognizes the Electromagnetic Environment (EME) as an operating

environment.

Fig. 2 The Electromagnetic Spectrum (EMS)

11

Because military operations are executed in an (electromagnetic) information

environment increasingly complicated, the ability to successfully manage electromagnetic

operations is critical to every modern military mission in order to catch up and keep up with

(peer) adversary advantages. The lack or insufficient understanding and expertise in the

command and control electromagnetic operations can have significant (mission) impact. For

example, having an adversary monitor one’s communications or eliminate one’s ability to

communicate or navigate may turn out to be catastrophic. Likewise, having an adversary to

know the location of friendly forces based on their electronic transmissions is highly

undesirable and can put those forces at a substantial disadvantage.

Most ubiquitous cases have been reported over the course of history spanning from

very early instances of wireless telegraphy (radio) during the Russia-Japanese war (1904),

when the Russians successfully jammed Japanese naval signals communication being used

to correct naval gunfire at Port Arthur [3] up to World War II, when extensive radars attacks,

jamming and distortion of radio waves employed in communications and navigation systems

were common practice for both the Allied and Axis Powers [4]. Similar examples of electronic

warfare occurred during the Vietnam War [1955-1975] through the Gulf War [1990-1991].

Every conflict since, military forces have proven that dominance and control of the

electromagnetic environment (EME) is crucial for most military operations as for instance in

the recent Iraq or Afghanistan conflicts, when the coalition forces employed electronic

warfare primarily to defeat the threat of remote-controlled unexpected explosive devices. It

is also worth mentioning the recent online attacks conducted by the US Cyber Command

against an Iranian intelligence group that US officials believe helped to plan the attacks

against oil tankers [5]…as a direct response to both the tanker attacks and the downing of

an American drone.

The ability to manage electromagnetic operations, strictly speaking, is critical to

military missions as it provides safeguard and protection of the confidentiality and integrity

of sensitive informations required to reach successful completion of a planned mission.

Managing of electromagnetic operations is far more crucial to weapon systems that

represent any integrated system usually computerized and designed to control the specific

operations of a weapon. Although some weapon systems are straightforward

implementations of information technology (IT) architectures some others on the contrary

like missiles and ships are not. The latter sometimes are also referred to as “cyber-physical

systems” [6]. Among these intercontinental ballistic missiles, long-range bombers, and

12

antiballistic missiles are the weaponry of the “strategic” weapons system. Guided missiles

operating at shorter range such as e.g. anti-aircraft or battlefield weapons and air-to-air or

air-to-surface attack-type missiles, constitute instead a “tactical“ weapons system [7].

Attacks to either strategic or tactical weapons systems may occur through accessing,

changing, or destroying the operation information and can target any weapon subsystem

that depends on software. Such attacks potentially lead to the inability to complete the

military mission or even to weapon’s malfunctions. In this case the attacks are called “cyber-

attacks” and their consequences may be greater than those arising from attacks on other

types of weapon systems. Examples of functions enabled by software—and potentially

susceptible to manipulations—include powering a system on and off, targeting a missile,

maintaining a pilot’s oxygen levels, and flying aircraft, etc.. An attacker could potentially

manipulate data in these systems, prevent components or systems from operating, or cause

them to function in unexpected or unplanned ways. An attack on a cyber-physical systems

could have physical consequences that may even result in loss of life.

Clearly the practice of protecting systems, networks, and programs from digital

attacks is called “cyber-security”. Because weapon systems are unique in so many ways,

they often face different vulnerabilities and therefore cybersecurity issues can vary a lot

within the different types of weapon systems. These are in fact complex systems that have

a variety of shapes and sizes, with varying functionality [8]. Despite obvious differences in

form, function and complexity, weapon systems are however somewhat similar in some

important, if not obvious, ways. This enables one to classify [9] in a broad sense

cybersecurity issues in terms of (i.) a cyber vulnerability, i.e., a weakness in a system that

could be exploited to gain access or otherwise affect the system’s confidentiality and

integrity, in terms of (ii.) a cybersecurity threat, i.e., anything that can exploit a vulnerability

to harm a system (intentionally or by accident) and in terms of a (iii.) cybersecurity risk, i.e.

a consequence (fixable or fatal) of the threat or vulnerability (inherent or introduced).

13

Multiple factors [8] make weapon systems cybersecurity increasingly difficult including:

1. The increasingly “computerized” nature of weapons systems, which are ever more

dependent on software and IT architectures to achieve their intended performance. Nearly

all weapon system functions are enabled by computers—ranging from basic life support

functions, such as maintaining stable oxygen levels in the aircraft, to intercepting incoming

missiles. The amount of software in today’s weapon systems is growing exponentially and

is embedded in a large number of technologically complex subsystems, which include

hardware and a variety of IT components, as sketched in Fig. 3. Such a trend, which

historically arises from an effort to seek automation into weapon systems, has transformed

weapon capabilities and has become a basic enabler of every modern country military

capabilities. For decades the U.S. Navy e.g. has sought to reduce the ship crew size based,

in part, on the assumption that some manual tasks could be automated and fewer people

would be needed to operate a ship [10].

2. The increasingly “networked” nature of weapons systems, progressively more

connected than ever before, which introduces vulnerabilities and make systems more

difficult to defend. Nearly every conceivable component is networked [11]. Weapon systems

FIG. 3 EMBEDDED SOFTWARE AND INFORMATION TECHNOLOGY ARE PERVASIVE IN

WEAPON SYSTEMS.

14

connect to DOD’s extensive set of networks—called the Department of Defense (DOD)

Information Network—and sometimes to external networks, such as those of defense

contractors. Technology supports, logistics, personnel, and other business-related systems

sometimes connect to the same networks as weapon systems. Furthermore, some weapon

systems may not connect directly to a network, but may connect to other systems that may

connect directly to the public Internet, as is sketched in Fig. 4.

These connections help facilitate information exchanges that benefit weapon

systems and their operators in many ways—such as e.g. command and control of the

weapons, communications, and battlespace awareness. Nonetheless networks can be used

as a pathway to attack other systems. If attackers can access one of those systems, in fact,

they may be able to reach any of the others through well sought connections. Furthermore,

the networks themselves are vulnerable; the Defense Science Board (DSB) through

Operational Tests and Evaluations found already in 2013 that some networks were not

survivable in a cyber-contested environment [12], claiming that “the adversary is in our

networks”. This arises in part from the fact that the DOD historically focused on the

cybersecurity of its networks without placing priority on cybersecurity in weapon systems

acquisitions. Any exchange of information is a potential access point for an adversary. Even

“air gapped” systems, not directly connected to the Internet for security reasons, could

potentially be accessed by other means, such as USB devices and compact discs.

Fig. 4. Weapon systems connected to networks that may connect to many other systems.

15

3. The dependence of weapon systems on software, with software solutions and IT

architectures that rely more than ever before on commercial and open source software

hence subject to any cyber vulnerabilities that come with them.

All in all, the steadily growing trend depicted points 1-3 above comes at a price.

Weapon systems have in fact a wide variety of interfaces, some of which are not obvious,

and could be used as pathways for adversaries to access the systems (See Fig. 5). This in

the end will significantly expand the weapons’ attack surface. The “attack surface” is sum of

different points (the "attack vectors") where an attacker can try to enter or extract data from

an environment. Systems with large attack surfaces are more difficult to defend because

they exhibit more access points to protect. For example, “smart” devices, which connect to

the Internet, expand the attack surface. Incorporating smart thermostats, ovens, televisions,

and speakers into a home likewise expands its attack surface. Even relying on software to

control safety-critical and other functions leaves vehicles more vulnerable to cyber attacks.

[13]

Fig. 5. Weapons interfaces that can be used as path to access the system

16

4. The reliance of weapon systems on firewalls to prevent cyberattacks. A firewall is a

common control to allow or block traffic based on a "set of rules”. Because it is impossible

to define a rule for every scenario, attackers look for ways to access a system that are not

covered by the rules. As a familiar example, a firewall may block traffic from a specific

country, but attackers may make it appear that they are in a country that is not blocked.

Attackers may use tools to avoid the firewall, such as embedding malicious software in an

e-mail and waiting for a user to open it and inadvertently install the code.

5. The security controls on weapon systems. Security controls are safeguards or

countermeasures to protect the confidentiality and integrity of a system and its information,

yet they can be bypassed if the system is not properly configured and can be exploited to

pursue cyberattacks.

6. The heavy presence of people operating weapon systems. Clearly people are a

significant source of cybersecurity vulnerability for any sort system [14].

7. The reliance of weapon systems on external devices, such as positioning and

navigation systems as well as command and control devices…all needed to carry out a

mission. A successful attack on one of the systems or subsystems can potentially limit the

weapon’s effectiveness and prevent it from achieving its mission.

Bibliography.

1. Electronic Warfare is one of many areas where NATO endeavors to ensure that it is prepared to continue to uphold its founding principles and pursue its core tasks. See e.g. “The future of electronic warfare in Europe", Army Technology, 13 Jun. 2018 & ”The 106th NATO Electronic Warfare Advisory Committee (NEWAC)", Brussels, 05 Jun. 2019; M. Spreckelsen, “Electronic Warfare–The Forgotten Discipline”, The Journal of the Joint Air Power Competence Centre (JAPCC) January 17, 2019

2. NATO Electronic Warfare Policies, 1956-09-14, Military Committee Series MC 0064, NATO Archives Online. "Future Command and Control of Electronic Warfare", The Journal of the JAPCC, Edition 28, Spring/Summer 2019.

3. “The Russo-Japanese War at Sea 1904-5”: Volume 1-Port Arthur, the Battles of the Yellow Sea and Sea of Japan by Vladimir Semenoff, LEONAUR (August 29, 2014), (ISBN: 9781782823421)

4. In the early part of the World War II the Germans began to use a radio beam system which they had been developing since the mid thirties. It was a guidance system, which used intersecting radio beams to direct aircraft to any particular target in Britain. Radio beams were transmitted from a coastal site in occupied Europe, pointing at a target city in England. A bomber could fly along this beam and when it reached its target a further radio beam would signal this, and that is where its bombs would be released. Early 1940 many British towns and cities had been bombed with reasonable accuracy, causing much death and destruction. A brilliant scientist, R V Jones, working for British Intelligence, was responsible for investigating the German application of this system, and to discover a means of counteract. Winston Churchill referred to this period of the war as the ‘Battle of the Beams’.

5. “U.S. Carried Out Cyberattacks on Iran”, New York Times June 22, 2019. 6. A cyber-physical system is a co-engineered interacting networks bearing “physical” and

“computational” components. 7. A strategic weapon is any weapon system designed to strike an enemy at the source of his

military, economic, or political power and that means e.g. destroying a nation’s cities, factories, military bases, transportation and communications infrastructure, and seat of

17

government. A tactical weapon is designed for offensive or defensive use at relatively short range with relatively immediate consequences. They include weapons used for antitank assault, antiaircraft defense, battlefield support, aerial combat, or naval combat (Encyclopedia Britannica)

8. See e.g. Weapon Systems Annual Assessment: Knowledge Gaps Pose Risks to Sustaining Recent Positive Trends, The U.S. Government Accountability Office (GAO), GAO-18-360SP (Washington, D.C.: April, 2018); “Weapon systems cybersecurity”, GAO-19-128 (Washington, D.C.: October, 2018).

9. Despite that cybersecurity issues can vary a lot for different types of systems, they can be described using common terminology. See e.g. ”Unclassified terms and definitions from classified report". National Research Council of the National Academies, A Review of U.S. Navy Cyber Defense Capabilities (Washington, D.C.: National Academies Press; 2014).

10. Navy Force Structure: Actions Needed to Ensure Proper Size and Composition of Ship Crews, U.S. Government Accountability Office (GAO), GAO-17-413 (Washington, D.C.: May 18, 2017)

11. According to the U. S. Defense Science Board (DSB), nearly every conceivable component in the Department of Defense (DOD) is networked. See e.g. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)

12. “Survivable” means that a system is able to maintain its critical capabilities under applicable threat environments. A cyber contested environment is when one or more adversaries attempt to change the outcome of a mission by denying, degrading, disrupting, or destroying cyber capabilities, or by altering the usage or our confidence in those capabilities. See e.g. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)

13. See e.g. Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington, D.C.: Mar. 24, 2016)

14. Information Security: Agencies Need to Improve Controls over Selected High- Impact Systems, GAO-16-501 Washington, D.C.: May 18, 2016.

18

2. CRYPTOGRAPHY

The art of cryptography, by which one can encode a message in such a way that only

the person to whom it is addressed can read it, began at least 2000 years ago and has

played an important role in history ever since [1]. Cryptography is widely employed by

financial organizations [2] to prevent fraud in transactions or by governments and military

organizations. Today much of modern society depends on cryptography to provide security

services including confidentiality, integrity, authentication and non-repudiation.

Let us consider the case of a soldier at the battlefront who wants to send an important

(radio) message to his headquarter without the risk of the enemy learning its contents. He

cannot transmit the message in any simple way because the enemy can easily listen and

figure out the message. Because the enemy might have a team of qualified cryptanalysts

who are specially trained in code-breaking to decipher the messages, the soldier has to be

clever and use codes so that the enemy will find it very difficult to decipher.

Perhaps one of the most famous cryptograms, the “Zimmermann” note [3], propelled

the U.S. into World War I. When the cryptogram was broken in 1917, Americans e.g. learned

that Germany had tried to convince Mexico to join its war effort by promising Mexico

territories in the U.S. Another example of well known cryptogram is the ‘Enigma” code [4]

patented by German engineers at the end of World War I and placed on the market around

1923. Since adversaries would likely intercept radio signals, messages would have to be

protected with secure encoding. The enigma code involved the use of a portable machine

to produce a very sophisticated code. This was adopted by the German Navy early on 1926

and by the German Army and Air Force soon after. It was then used during the World War

II and became widely known in military circles. These Ciphers, though breakable, were by

no means easy to crack. Indeed, the formidable task of breaking increasingly sophisticated

ciphers was one of the factors that stimulated the development of electronic computers. As

is now well-known, however, a secret team working at Bletchley Park in Britain cracked the

code [5]. This had a significant effect on the outcome of the war. The Allies in fact were able

to read most of the secret messages transmitted and shared by the Germans and Japanese

armies. The example of the enigma code, however, highlighted an inherent weakness of

any classical encryption method, that is, there is “no way” of knowing that an unwanted third

party does not have a copy of the code book.

19

The only way for the sender to be totally sure that a third party cannot decipher the

message is to use a new code for every message. One encryption scheme based on this

method is called the one-time-pad and was first proposed by Gilbert Vernam in 1917 [6].

The one-time-pad is also called the Vernam cipher. In this cipher the sender and receiver

share a common code called the “key”. The key should be (i.) a random sequence of binary

bits (0’s and 1’s), should be (ii.) used only once and and should be (iii.) at least as long as

the message itself. The text of the message is translated into a binary string by some well-

known algorithm and the key is added to produce a new string of bits that comprises the

encoded message. The receiver only has to subtract the key from the encoded message to

retrieve the original text. A simple example may serve to illustrate how this cipher works [7]

The one-time-pad cipher is in principle perfectly secure. There are no patterns for the

cryptanalysts to recognize because the key is “random” and “unique” to each message.

However, the one-time-pad cipher is impractical to implement because the sender and

receiver must share a common key for each message. This requires a secure and easy

method for the sender and receiver to exchange the key without eavesdropping by unwanted

third parties. No such practical method for dealing with massive key requirements exists for

purely classical ciphers and this is probably why soldiers and diplomats continued to rely on

weaker ciphers using shorter keys.

2.1. Conventional Cryptography: Basics.

There are two basic options for sending a large number of sensitive information

quickly [8].

The first option is for the sender and receiver to exchange the “secret-key” in a secure

way, for example by a private meeting, and then use it for all their messages until they next

get a chance to exchange a new secret key. This is however bound to be insecure messages

which are likely to be decrypted by pattern-spotting routines through the repeated use of the

same key.

The second option is to use “public-key” cryptography (PKC). This actually involves

two keys: a “private” key and a “public” key. The private key is only known to the user while

the public key is known to everyone. The user generates a “private key” which is then used

to generate the “public key”; this is broadcast openly and used to encrypt all messages that

are exchanged with the user. The encryption process relies on the fact that certain

20

mathematical functions are very hard to invert and hence messages can only be easily

decrypted with the help of the private key. Only the user, however, knows the private key

and can then easily invert the encrypted messages [9].

The encryption scheme used for internet security, e.g. is a well-known example of

public-key encryption. The mathematical algorithm used to generate the public key may be

e.g. the product of two large prime numbers which comprise also the private key known only

to the user. The security of the scheme relies on the fact that the time taken to find the prime

factors of a large integer increases exponentially with the number of digits hence the

encryption process cannot be inverted quickly unless these prime numbers are known. The

encryption is only difficult to decipher, not impossible, and although there is no mathematical

proof that an algorithm for finding the prime factors of a large number does not exist, it worth

noting that only powerful quantum computers, when they will become operational, would be

able to find the prime factors in a manageable time [10].

2.2. Quantum Cryptography: Basics.

It is clear that the whole encryption system would be much safer if the interested

parties could encrypt their message with a “secret private key”, i.e. known “only” to them,

rather than with a public key known to everyone. It is in this context that quantum

cryptography enters the field providing (1.) a reliable method for transmitting a secret key

and knowing (2.) that no-one has intercepted it along the way. Quantum key distribution

(QKD) is a process that makes it possible to share such a “secret key” in a “secure way”.

Quantum cryptography and, in particular, quantum key distribution is then obviously

important for government, military and financial organizations because it provides a secure

method for transmitting private keys across public channels without the risk of undetected

eavesdropping by third parties. This explains the interest that the subject has aroused in

recent years.

The archetype of quantum cryptographic devices:

(i.) Employ individual photons of light [11].

(ii.) Take advantage of Heisenberg's uncertainty principle [12].

i. Single photons.

Photons are minute energy packet of electromagnetic radiation. The energy of a

photon depends on the radiation frequency so that there are photons of all energies from

21

high-energy gamma and X-rays, through visible light, to low-energy infrared and radio

waves. All photons travel at the speed of light. The “photon” concept originated in Einstein’s

explanation of the photoelectric effect (1905), in which he proposed the existence of discrete

energy packets during the transmission of light. The basic idea of photons was postulated

earlier by Planck (1900) to explain that thermal radiation is emitted and absorbed in distinct

units, or quanta of radiation.

Sources that emit single photons of radiation are called single-photon sources and

are distinct from coherent light sources (e.g. lasers) and thermal light sources (e.g.

incandescent light bulbs). A single-photon from an ideal single-photon source gives rise to

an effectively one-photon state and exhibits quantum mechanical characteristics.

ii. The uncertainty principle.

According to the uncertainty principle measuring a quantum system in general

disturbs it and yields incomplete information about its state “before” the measurement.

Eavesdropping on a quantum communications channel is an example of measuring a

quantum system, i.e. the single-photon, therefore causes unavoidable disturbances. This is

what alerts the legitimate users. Quantum cryptography exploits this effect to allow two

parties, who have never met and who shared no secret information before, to communicate

in absolute secrecy in the presence of an adversary.

2.3. Conventional vs. quantum cryptography: “the difference”.

Let us suppose that Alice wants to send a message to Bob by using a conventional

telecommunications system as shown in Fig. 1. The data signals could be sent, e.g. as

pulses of light along the optical fibre. Strong pulses represent binary ‘1’, while weak pulses,

or no pulse at all, represents binary ‘0’. In this arrangement, there is nothing that Alice and

Bob can do to prevent Eve from stealing a copy of the data while it is being transferred down

the fibre, intercepting the signal, and keep a copy of it without disclosing her presence to

Bob. Fig. 1 shows just one way in which this might be done i.e. through a 50/50 beam splitter

followed by an amplifier. The signal received by Bob is “unaffected” by Eve’s presence, but

Eve has obtained a copy which she can then process using her own detection system. For

transmission of In classical data there is in principle no way that Alice and Bob can be aware

of Eve’s presence. This is because there is no physical law that prevents us from measuring

the data signal and making an exact duplicate without affecting it in the process.

22

Quantum mechanics, on the other hand, tells us that in general it is not possible to

make measurements on single particles without affecting their state. For example, we

cannot detect a photon, extract all the quantum information from it, and then transmit another

photon which is an exact quantum copy of the first one, as in the previous case. This is

called the quantum no-cloning theorem [13]. Now an eavesdropper will have to make some

form of measurement on the data stream in order to extract information from it. This means

that when data are encoded in a quantum-mechanical way, the eavesdropper will in principle

have reveal her presence just through the measurement she makes. This is the difference

with classical cryptography.

We can illustrate the basic principle behind quantum cryptography by considering the

experimental arrangement of Fig. 2 [14,11] designed to measure the polarization state of a

single photon. This is, in fact, one of the data encoding methods used in practical quantum

cryptography devices.

The apparatus consists of a polarizing beam splitter (PBS) and two single-photon

detectors D1 and D2. The PBS has the property that it transmits vertically polarized light but

diverts horizontally polarized light through 90◦. If θ = 0◦, we have vertically polarized light

and the photon will be registered by detector D1. Similarly, if θ = 90◦, we have horizontally

23

polarized light and the photon will be registered by detector D2. On the other hand, if the

incoming photon is linearly polarized with its polarization vector at an unknown angle of θ

with respect to the vertical axis, we’ll have to resolve the polarization (vector) into its

horizontal and vertical components. The three possible measurements outcomes are

schematically illustrated in Fig. 3 [15] for a typical calcite crystal. If the symbols | ⇕⟩and | ⇔

⟩denote respectively the vertically and horizontally polarized photon states, we can then

write the quantum state of a photon with unknown polarization θ as a superposition |θ⟩ of

the two orthogonal polarization states according to:

|θ⟩ = cos θ |↕⟩ + sin θ |↔⟩.

The probability that the photon is transmitted

at D1 is given by:

Pv = |⟨↕ |θ⟩|2

= cos2 θ.

The probability that the photon is diverted in

D2 is equal

Ph = |⟨↔ |θ⟩|2

= sin2 θ.

Fig.3. Single-photon polarizing beam splitter (PBS) Mechanism.

24

Now suppose Eve tries to determine θ and then transmit to Bob another photon with

the same polarization angle as the one received by Alice. This is exactly the procedure one

would have to do to eavesdrop in a quantum cryptography apparatus. In each one of Eve’s

measurement the only information she receives is whether detector D1 or D2 registers.

Detector D1 will register with a probability equal to cos2 θ and D2 with probability sin2 θ.

Yet, if detector D1 “clicks” then the most sensible thing Eve can do is to send on a vertically

polarized photon. Similarly, if instead D2 “clicks” she will transmit a horizontally polarized

photon. Notice, however, that the state of the second photon is only the same as the first

one for the special cases where θ = 0◦ or 90◦. For all other values of θ, the act of trying to

extract the information about the polarization angle leads Eve to transmit the second photon

with a different polarization angle θ′ to the first one. This implies that the outgoing photon

state generated by Eve will give different results from the ones of the original photon sent

by Alice (See Fig. 4).

The conclusion is that it is not possible to extract information from a quantum system

without altering its state in the extraction process. This is a consequence of the invasive

nature of quantum measurements. The eavesdroppers must reveal their presence though

the disturbance they make through their measurements, which affects the results of

subsequent measurements on the photons made by Bob at the final destination. Notice that

even when Eve devised a more sophisticated way to tap in to the data she will always be

subject, no matter how hard she tries, to the general principles of quantum mechanics and

must give away something when making the measurement.

25

2.4. Quantum cryptographic schemes.

There are two basic quantum cryptographic schemes, one that relies on the basic

principles of quantum measurements of single-photons [15] while the other that relies on the

properties of entangled-photons [16]. We shall now discuss the first quantum cryptography

scheme, as it is the most commonly implemented. Here we have two users Alice (A) and

Bob (B) who wish to exchange information while Eve (E) is the eavesdropper who is trying

to intercept the message and steal it, without disclosing her presence. The scheme does

not protect against eavesdropping attacks, but it does provide a “way to know” when the

message has been intercepted. In fact, when an eavesdropper is spotted, they can simply

discard the bits transferred while Eve was listening in, and start all over again. On the

contrary, if they have successfully shared the private key, they can use it for encrypting a

secret message that can be transmitted across public channels at high data rates. Moreover,

if they can encrypt “every” message with a new key, they are effectively using a one-time-

pad cipher; in this case their message is totally secure against eavesdropping attacks by

unwanted third parties.

2.5. Quantum Key Distribution (QKD): The BB84 protocol.

QKD is suitable for use in any key distribution application that has high security

requirements. QKD, a technology that offers the means for two geographically separated

parties to create a shared secret key [18].

The idea is to distribute a “private key” in a secure way so that Alice and Bob can

subsequently use it to encrypt secret messages transmitted over public channels can be

implemented with several schemes. In the following we’ll restrict our attention to the

Bennett–Brassard 84 (BB84) protocol, which will be sufficient to explain the basic principles

[19].

The basic principle of Quantum Key Distribution traces back to S. Wiesner, who

developed the idea of quantum conjugate coding in the late 1960s [20]. Wiesner’s approach

uses photons polarized in conjugate bases as qubits to pass information. If Bob measures

the photons in the correct polarization basis, he receives a correct result with high likelihood

yet if the receiver Bob measures the photons in the wrong (conjugate) basis, the measured

result is random, and because of the measurement, all information about the original basis

is destroyed [21]. These basic ideas lead Charles Bennett and Giles Brassard to devise a

cryptographic system based on the laws of quantum mechanics [14]. In the simplest version

26

of the BB84 protocol, the data are encoded as “polarization states” of single-photons. If θ

denotes the single-photon polarization angle (See Fig. 4), one could represent the binary

‘1’ with the θ = 0 (vertical polarization state) and and the binary ‘0’ with the θ = 90◦ (horizontal

polarization state). However, we are not restricted to choosing the axes of the polarization

states to be horizontal or vertical. Any “basis” of an orthogonal pair of angles will do. In the

BB84 protocol two “sets” of orthogonal polarization

states called the are used (Table 1):

• The ⊕ basis: Binary 1 and 0 corresponds to photons

with polarization angles of 0◦ and 90◦, respectively. The

two polarization states for the ⊕ basis can be

represented as | ↕⟩ and | ↔⟩.

• The ⊗ basis: Binary 1 and 0 corresponds to photons

with polarization angles of 45◦ and 135◦, respectively.

The two states for the ⊗ basis are instead represented

by | ↗⟩ and | ↘⟩.

The BB84 quantum cryptography protocol with a typical encoding (Alice) and

decoding (Bob) procedure is shown in Fig. 5, where Alice’s apparatus consists of a source

of vertically polarized photons and a Pockels cell (PC1) [14,11]. Alice synchronizes her

Pockels cell with the single-photon source to produce polarization angles (θ) of 0◦, 45◦, 90◦,

27

or 135◦. These angle are chosen at random. In this way she can send a string of binary data

which is encoded in either of the two polarization bases at her choice.

The photons sent by Alice’s apparatus are received by Bob who has a similar

polarization measurement arrangement. Bob’s apparatus includes a second Pockels cell

(PC2) in front of the PBS. Bob uses this cell to rotate the polarization vector of the incoming

photon by either 0◦ or −45◦ at his choice, where 0◦ is equivalent to detecting in the ⊕ basis

and −45◦ in the ⊗ basis. Important to notice that Bob does not know the basis that Alice has

chosen to encode the individual photons, therefore he has to choose between the two

detection bases “at random”. If Bob guesses the right basis, he will register the correct result.

This occurs when Alice chooses the ⊕ basis and Bob chooses the 0◦ detection angle, and

also when Alice chooses the ⊗ basis and Bob chooses the −45◦ rotation angle. If Alice’s

choice of basis is random, this correct matching of bases will occur 50% of the time on

average. For the remaining 50% of the time Bob will be detecting in the wrong basis [22].

2.6. The BB84 protocol: Summary.

We summarize the BB84 protocol for the secret key generation in Table 2 [11,14-15].

The main steps are also outlined.

28

Step 1: Alice’s generates and sends data (Row 1 to 3).

A bit (binary digit), the smallest unit of data, has a single binary value (0 or 1) and

corresponds here to the polarization angle (θ) of a photon according to the criteria of Table

1. Alice generates a sequence of data bits (1st row), switching randomly between the ⊕ and

⊗ bases (2nd row). The angle encoding (θ) corresponding to the polarization of each single-

photon sent are also shown (third row). Alice transmits each photon to Bob at regular “time

intervals”. At this stage Alice does not tell anyone what she is doing.

Step 2: Bob’s receives the data (Row 4 to 5).

Bob receives Alice’s photons. Bob’s records the results using a “random” choice of

the detection bases ⊕ and ⊗ (4th row) [23]. A priori Bob does not know what basis Alice

has chosen and he can only “randomly” choose one out of the two possibilities ⊕ and ⊗.

Bob’s measured data (5th row) will coincide “on average” with Alice’s data for half of the

times. In these cases Bob will register the correct result, provided no eavesdropper is

present.

Step 3: Bob & Alice compare their bases (Row 6 to 7).

Bob announces his choice of bases to Alice over a public channel, without revealing

his results. Alice checks Bob’s choices of bases against her own bases and identifies the

subset of bits where both have chosen the same basis. She tells Bob over the public channel

which of the “time intervals” have the same choice of basis, identified with the ‘y’ label (Row

6). Both Alice and Bob discard the other bits and both are now left with the sifted bits (Row

7).

Step 4: Error Analysis & Secret Key (Row 8 to 9)

Bob now sends a “subset” of his sifted bits to Alice, for example he sends every other

bit (9th row), and Alice can check these against her own list, and carry out an error analysis.

This is the stage at which the eavesdropper reveals her presence. If the error rate is less

than 25% [24], Alice deduces that no eavesdropping has occurred and that the quantum

communication has been secure. Alice and Bob are then able to retain the remaining bits

as their “private key”.

This high error rate of 25% will be easily recognizable when Alice carries out her error

analysis in the final step of the process. Alice will thus be able to detect the presence of the

eavesdropper, and therefore know whether the private key distribution between her and Bob

has been secure.

29

2.6. A commercial QKD prototype.

Commercial cryptographic systems typically use QKD as a means to produce shared

secret keys needed in bulk symmetric encryption algorithms, such as e.g. the Advanced

Encryption Standard (AES). In

most cases, the QKD-generated

key is updated frequently and

though users consider this an

improvement when compared with

updating the key less frequently

(e.g., daily or monthly), these QKD

based commercial quantum

cryptographic setups are not

“unconditionally” secure.

Commercial QKD systems are available from sellers in Europe (ID Quantique-IDQ;

SeQureNet), Australia (Quintessence Labs), North America (MagiQ) and Asia (Quantum

Communication Technology Co., Ltd.) … etc. It is worth noting that also quite a number of

National Laboratories around the world have long fostered national security missions based

on quantum cryptography, such as e.g. the Quantum Institute based at Los Alamos (U.S.)

[25].

Besides commercial solutions, QKD protocols and architectures which provide

“unconditionally secure” key distribution are also available. A working “plug & play” device

e.g. was proposed, built and successfully deployed for unconditionally secure key

distribution between two research centers connected for many months through a lake in

30

Switzerland already in the early

2000’s. Again in Switzerland (2001)

ID Quantique (IDQ) offered and sold

the first commercially available

QKD system. This was a significant

development as anyone could buy

an unconditionally secure

cryptosystem costing less than

roughly half a million dollars.

Nowadays ID Quantique (IDQ) is

one of the world leader in quantum-

safe crypto solutions, provides

quantum-safe network encryption,

secure quantum key generation and

quantum key distribution solutions

and services to the financial

industry, enterprises and

government organizations globally.

Fig. 6 shows a typical fibre

“plug & play” complete modular

cryptographic solution ( Clavis300

)

performing modular “point-to-point“

QKD or long-range QKD with relay

nodes. The device generates and

distributes keys, providing up to 10

kb/s (or more) secure key bit

generation rate at 10 dB link loss

which corresponds to about 100 km

in distance depending on fibres

quality. The encryption processing

latency is less than 10

microseconds. Keys can be

supplied to up to 80 separate

encryptors. The encryptor is based

on Korean LEA (Light Encryption

31

Algorithm) ciphers, and allows 4x10 Gbps encryption rate [26]. Commercial Clavis300

quantum cryptographic platforms are designed for multiple configurations depending on the

specific cryptographic operation being requested. Full specs for a typical Clavis300

quantum

platform are reported in Tab. 3.

Bibliography.

1. Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)

2. Elaine B. Barker, William C. Barker, Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies, Special Publication (NIST SP) - 800-175A Report Number: 800-175A, Published: August 22, 2016

3. The message was sent in the form of a coded telegram dispatched by Arthur Zimmermann, in the Foreign Office of the German Empire in 1917. See e.g. Katz, Friedrich, The Secret War in Mexico: Europe, the United States, and the Mexican Revolution, University of Chicago Press (1984) (ISBN 978-0226425894)

4. The Enigma machine was an encryption device developed and used to protect commercial, diplomatic and military communications. It was employed extensively by Nazi Germany during World War II, in all branches of the German Army. Other German cipher machines as e.g. the “Lorenz cipher” were used in World War II to encrypt high-level staff messages. See also [1].

5. Polish mathematicians and cryptanalysts (Polish Cipher Bureau) first used the theory of permutations and flaws to break the encipherment procedures of the message keys for the Enigma machine used by the the German military message. Later a massive effort mounted by the United Kingdom at the British Government Code and Cypher School at Bletchley Park enabled regular decoding of the German Enigma and Lorenz ciphers used for secret communications of the Axis Powers.

6. Around this time Gilbert S. Vernam at the American Telephone and Telegraph Company and Major Joseph O. Mauborgne of the U.S. Army Signal Corps developed the first truly unbreakable code called the “Vernam cipher” [S. Vernam, US Patent 1,310,719, Secret Signalling System (1918) and US Patent 1,416,765, Ciphering Device (1920)].

7. Consider an elementary code in which the letters are represented by “five-bit” binary numbers from 1 to 26 according to the sequence of the alphabet. Thus A is 00001, B is 00010 and Z is 11010. The encryption process is addition modulo 2, and the random key is ‘111011000111001’. For instance the message ‘110111111000001’ can be decoded by carrying out subtraction modulo 2: 110111111000001 ⊖ 111011000111001 001100111111000. The first five bits of the deciphered message are 00110, which we recognize as ‘F’, the sixth letter of the alphabet. Similarly, the second five bits are 01111 = 15 which we recognize as ‘O’, etc. One distinctive feature of the code is the need for a key that is “never re-used” to send another message; this is why it is called a “one-time-pad”.

8. W. Stallings, “Cryptography and Network Security: Principles and Practice”. Prentice Hall. p. 165 (1990). (ISBN 9780138690175).

9. Public-key cryptosystems are especially suitable for encrypting electronic mail and commercial transactions, which often occur between parties who, unlike diplomats and spies, have not anticipated their need to communicate secretly. The idea of PKC is for a user, whom we call “Alice”, to choose randomly a pair of mutually inverse mathematical transformations to be used for encryption and decryption. Alice then publishes the instructions for performing “encryption” but not “decryption”. Another user, Bob, can use Alice's public-encryption algorithm to prepare a message that only Alice can decrypt.

10. E. Rieffel, “Quantum computing” in The Handbook of Technology Management, Vol III, 1st ed., H. Bidgoli, Ed. Wiley, 2009. See also [16] .

11. See e.g. M. Fox, ”Quantum Optics: An Introduction”, Oxford Master Series in Physics, OUP Oxford, 2006 (ISBN-13: 978-0198566731) and also F. Kaneda, P. G. Kwiat, “High-efficiency

32

single-photon generation via large-scale active time multiplexing”, Sci. Adv.5, eaaw 8586 (2019).

12. L.D. Landau, E. M. Lifshitz (1977). “Quantum Mechanics: Non-Relativistic Theory”. Vol. 3 (3rd ed.). Pergamon Press. (ISBN 978-0-08-020940-1)

13. W. K. Wootters & W. H. Zurek, “A single quantum cannot be cloned”, Nature volume 299, pages802–803 (1982)

14. C. H. Bennett, G. Brassard and A. K. Ekert, “Quantum Cryptography,” Sci Am, vol. 1, pp. 50-57, 1992.

15. Nielson, Michael A. and Chuang, Issac L. (2000). “Quantum computation and quantum information”. Cambridge University Press, Cambridge. & Hughes, R. J., Alda, D. M., Dyer, P., Luther, G. G., Morgan, G. L., and Schauer, M. (1995). “Quantum cryptography”. Contemp. Phys. 36, 149–63. Hughes R. and Nordholt J. (1999) & “Quantum cryptography takes to the air”, Phys. World 12(5), 31–5.

16. Bouwmeester, D. et al. (2000). “Quantum cryptography with entangled photons” Phys. Rev. Lett. 84, 4729–32.

17. C. H. Bennett and G. Brassard. "Quantum cryptography: Public key distribution and coin tossing". In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, (1984). The BB84 protocol is a quantum key distribution scheme developed by Charles Bennett and Gilles Brassard in 1984. It is the first quantum cryptography protocol.

18. M. R. Grimaila, J. D. Morris and D. Hodson, “Quantum key distribution, a revolutionary security technology” The ISSA Journal, vol. 27, pp. 20-27, 2012.

19. Others important protocols may be implemented as e.g. the Bennett 92 (B92) protocol. See e.g. C. H. Bennett, Phys. Rev. Lett,68, 3121 (1992).

20. S.J. Wiesner, "Conjugate Coding", SIGACT News 15:1, pp. 78–88, (1983). Although this work remained unpublished for over a decade, the manuscript had sufficient circulation to stimulate the emergence of quantum information science around the 1980’s and 1990’s.

21. J. D. Morris et al., “A survey of quantum key distribution (qkd) technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013, pp. 141-152.

22. For example, if the incoming photon is polarized at +45◦ and Bob is detecting in the ⊕ basis

(rotation angle = 0◦), he will register results on either of his detectors with an equal probability of 50%.

23. This is done by choosing at “random” the rotation angle of a Pockels cell (See Fig. 5) whereby

0◦ rotation angle corresponds to the ⊕ basis and −45◦ rotation corresponds to ⊗ basis 24. “If” Eve has the same apparatus as Alice and Bob, she could detect the photons sent by Alice

(using a copy of Bob’s apparatus) and transmit new photons to Bob (using a copy of Alice’s apparatus). Because Eve cannot know what choice of basis Alice is making, she must choose her basis “randomly”. Half the time Eve will guess “correctly” but for half of the time she will guess “incorrectly”. In one case Eve determines the photon’s correct polarization state and she will then send an identically polarized photon on to Bob without anyone knowing about it. In the other case she will guess “incorrectly” and she will then send to Bob a photon which is polarized with a choice of basis that is different from Alice’s basis. Because Eve guesses incorrectly on average 50% of the times she will alter the photon’s polarization angle for 50% of the times. When Bob has chosen the “same” basis as Alice and Eve guessed “incorrectly", Bob will register random results on his detectors with a 50% probability. The overall error probability is:

25. In 2014, Los Alamos National Laboratory licensed the results of their 20 years of quantum cryptography research to Whitewood Encryption Systems, Inc. for “quantum-based encryption systems” and “random number generators” needed to create the random keys.

26. The encryption rate is the processing time required by the algorithm to encrypt the data. It depends on the size of the data, on the processor speed, on the algorithm complexity etc.

33

3. QUANTUM KEY DISTRIBUTION’S CURRENT CHALLENGES: AN

OVERVIEW

Cryptography is a centuries old battle between code maker and code breaker [1] and

from what we have gathered from the previous sections (a.) Quantum Key Distribution

(QKD) together with (b.) One-Time-Pad (OTP) methods provide a secure means of

communications.

(a.) Only One-Time-Pad (OTP) symmetric key algorithms are, in fact, “information

secure”. Unfortunately, all other cryptographic systems are breakable if the adversary has

enough cipher text, computational resources and time. In spite of its security, the OTP

methods are not commonly used because of secure key generation and distribution issues:

keys should be random, equal in length to the message and can never be reused. These

requirements impose significant limitations on most practical implementations of One-Time-

Pad.

(b.) Unlike OTP algorithms, well established since the early work of the Vernam

cipher, Quantum Key Distribution (QKD) is an emerging and complex area of research [2].

QKD schemes assure the secrecy of the generated key and ensure that any eavesdropping

third-party introduces detectable errors. They use quantum mechanics for information

processing rather than classical mechanics and portend game-changing implications to

computing, communication and cryptographic technologies long-relied on by organizations

working on strict security requirements. Documented applications include e.g. financial

transactions and electoral communications, with a number of potential applications in the

government and military sectors.

Within this context (c.) quantum computing (QC), one of the biggest foreseen

technological achievements of recent history, may further provide technological innovations

affecting strategic military security. In fact, the ability of quantum computers to search

efficiently large data lists may allow any system that uses databases or data storage to

decrease “response time” and to evaluate “greater amounts” of data with a much better

efficiency. This is clearly even more relevant when dealing with cloud data storage. Any

process that requires large amounts of computing time or data searching may in general

benefit from quantum computers.

When quantum computers will be implemented, on the other hand, they will entail

lots of security risks. Quantum computing could break widely-used current encryption

systems in almost real-time. All organizations that work on security requirements need to

stay one step ahead of such potential computational power that could render today’s

34

encryption algorithms obsolete; as far as the military sector is concerned, this may mean

forcing both friendly and adversaries to invest in developing quantum computing resistant

encryption protocols.

Quantum key distribution (a.) together with one time pad (b.) may prove to be

advantageous to Army operations. In particular, the development of a quantum key

distribution system that would mature into a practical cryptosystem and secure over large

scales may have a large impact on innovative technologies for modern information age

warfare.

In principle, QKD-secured communication channels could link command and control

nodes, connecting commanders with their leadership both through (i.) terrestrial circuits,

enabled by optical “fibers" networks and through (ii.) ground-to-space circuits, enabled

instead by “satellites” that move in low earth orbits and connected to stations on the ground.

The satellites, carrying onboard QKD devices, would in this case distribute new keys to

friendly systems located anywhere in the line of sight to the platforms. See Sect. “Micius;

China’s first quantum satellite” e.g. where secret keys have been created between China

and Europe at locations approximately 7000 km from one another through a (civilian)

intercontinental QKD communication satellite network [3]. The ongoing and successful effort

to realize a “global” QKD network will certainly leverage the power of information technology

within a network-centric framework for military operations (net-centric warfare) [4].

In principle, QKD may also provide a defense against the decryption abilities of a

quantum computer. Increasing e.g. the key generation rate in QKD systems up to values

that would enable OTP encryption, would defeat decryption by quantum computers. Since

generation rates on the order of the kbps (kilo/bit/per/second) sufficient for OTP encoding

are already within reach [5] (See also “Clavis300

” in Sect. 2.6.), current QKD technology is

well poised to develop a cryptographic method that is resilient to quantum computers

attacks.

In practice, all this would require fielding a new generation of cryptographic hardware

throughout the Army with QKD-secured channels fielded to senders and receivers.

Bibliography.

1. Simon Singh, “The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography”, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)

2. J. D. Morris et al., “A survey of quantum key distribution technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013.

35

3. Such an achievement clearly points towards an efficient solution for a ‘dual-use’ ultra-long-distance global quantum network, meaning that it may entail both military and civil applications.

4. Network-centric warfare military approach was pioneered by the United States Department of Defense in the 1990s. It seeks to translate an information advantage, enabled in part by information technology, into a competitive advantage through robust computer networking of well informed geographically dispersed forces.

5. H.-L. Yin, T.-Y. Chen, Z.-W. Yu, H. Liu, L.-X. You, Y.-H. Zhou, S.-J. Chen, Y. Mao, M.-Q. Huang, W.-J. Zhang, H. Chen, M. J. Li, D. Nolan, F. Zhou, X. Jiang, Z. Wang, Q. Zhang, X.-B. Wang, and J.-W. Pan, “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).

3.1. Quantum Key Distribution: challenges.

Despite significant progresses over the past decades, there are still major challenges

for large-scale quantum key distribution networks. Some of these challenges are of special

relevance to military applications and will be reviewed in the sections below, followed by an

outlook on potential defense applications. Benefits and drawbacks of quantum key

distribution from the perspective of military operations will be briefly outlined there.

The first challenge is the gap between the theory and practice in the actual

implementations of QKD [1], which is ideally secure only when it employs ideal single-photon

sources and ideal detectors. Unfortunately, ideal devices never exist in practice. As a result,

device imperfections may raise security loopholes or side channels, which can break the

security of practical QKD [2-4]. Several QKD protocols that can be secure against device

imperfections have been proposed [5,6] and the ones that have been widely demonstrated

in experiments are “decoy-state” QKD [7,8] and “measurement-device-independent (MDI)”

QKD [9].

3.2. Secure QKD with imperfect devices: Faulty single-photon sources.

The BB84 protocol is the best-known QKD protocol, where Alice (sender) encodes

her random numbers into a sequence of single photons prepared in different polarization

states and Bob (receiver) measures each incoming single-photon using one of the two

conjugate bases. Next, when Alice and Bob perform the basis reconciliation they sacrifice a

randomly chosen portion of the remaining data to estimate the quantum bit error rate

(QBER). If this quantity is larger than some prescribed threshold value, Alice and Bob abort

the protocol. Otherwise, Alice and Bob use classical post-processing techniques to generate

36

a secret key (See § 2.4). The security of BB84 relies on the quantum no-cloning theorem:

an unknown quantum state cannot be perfectly copied. In actual implementations, the

security proofs of QKD for sender and receiver requires that the devices exploited in the

experiment must be the same as for the theoretical model. In practical circumstances,

however, the model may not be satisfied leaving a back door for Eve to “hack” realistic QKD

communication channels.

The first well known quantum hacking strategy is “photon number splitting” (PNS)

attack [10]. The BB84 protocol requires single photon source, which, however, are not “ideal”

with current technology. Besides, current single photon sources are generally bulky,

expensive and low efficient and hence weak coherent pulses generated by highly attenuated

lasers are used instead for practical QKD implementations. Since in such a weak pulse there

is still a probability to find 2 or more photons, Eve can keep one part of the multiple-photon

pulse and sends the other part to Bob [11]. Later, Eve can get the value of the key during

the basis-reconciliation process. Under these circumstances, Alice and Bob cannot be

aware of Eve’s existence!

In practice the PNS attack limits the distance for secure QKD below 30 km [12]. A

few groups [13] have implemented QKD with weak coherent pulses up to 100 km, but those

QKD systems are insecure under PNS attack. In the paste decades many QKD protocols

were proposed to contrast PNS attacks and, in particular, the so called “decoy-state” [14].

This method consists in Alice preparing some decoy states in addition to the standard signal

state. The decoy states are the “same” as the signal state, except for the expected number

of photons. Those extra decoy states are only used for detecting Eve’s attacks, whereas the

signal states are used for the generation of the key. Each of Alice’s pulses is assigned to

either “signal state” or “decoy state” randomly. Alice then modulates the intensity of each

pulse and sends it to Bob. After Bob acknowledges the receipt of all the signals, Alice tells

Bob over a classical channel which ones are the “signal” states.

Several experiments have demonstrated that decoy state BB84 is secure and

feasible under realistic conditions. Rosenberg et al. [15] and Peng et al. [16] implemented

decoy-state QKD through 100 km fiber, for the first time overcoming the PNS-attack limit

distance of 30 km. Later on, Schmitt-Manderbach et al. achieved 144 km decoy state QKD

in free-space [17]. More experimental efforts on decoy-state QKD have been pursued

involving laboratories and field tests [18]. With these results at hand, the quantum

cryptographic community became confident that even with imperfect devices can make

quantum key distribution secure.

37

Bibliography.

1. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution” Nat. Photonics 8(8), 595–604 (2014).

2. 1. Y. Zhao, C. Fung, B. Qi, C. Chen, and H.-K. Lo, “Quantum hacking: experimental demonstration of time-shift attack against practical quantum-key-distribution systems” Phys. Rev. A 78(4), 042333 (2008).

3. 3. N. Jain, C. Wittmann, L. Lydersen, C. Wiechers, D. Elser, C. Marquardt, V. Makarov, and G. Leuchs, “Device calibration impacts security of quantum key distribution” Phys. Rev. Lett. 107(11), 110501 (2011).

4. 4. Y.-L. Tang, H.-L. Yin, X. Ma, C.-H. F. Fung, Y. Liu, H.-L. Yong, T.-Y. Chen, C.-Z. Peng, Z.-B. Chen, and J.- W. Pan, “Source attack of decoy-state quantum key distribution using phase information” Phys. Rev. A 88(2), 022308 (2013).

5. 5. V. Scarani, A. Acín, G. Ribordy, and N. Gisin, “Quantum cryptography protocols robust against photon number splitting attacks for weak laser pulse implementations” Phys. Rev. Lett. 92(5), 057901 (2004).

6. 6. D.Gottesman, H.-K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.

7. A.Acín, N.Brunner, N.Gisin, S.Massar, S.Pironio and V.Scarani, “Device-independent security of quantum cryptography against collective attacks” Phys. Rev. Lett. 98(23), 230501 (2007).

8. 21. H.-K.Lo, X.Ma and K.Chen, “Decoy state quantum key distribution”, Phys.Rev.Lett.94(23),230504(2005).

9. 22. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution”, Phys. Rev. Lett. 108(13), 130503 (2012).

10. G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett. 85(6), 1330–1333 (2000).

11. She blocks the one-photon pulse and splits the pulse into two for multiple-photon pulse. 12. D.Gottesman, H.K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution

with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.

13. 13. C.Gobby, Z.L.Yuan and A.J.Shields, “Quantum key distribution over 122 km of standard telecom fiber”, Appl. Phys. Lett. 84(19), 3762–3764 (2004).

14. 14. X.-B.Wang,“Beating the photon-number splitting attack in practical quantum cryptography”, Phys.Rev.Lett. 94(23), 230503 (2005).

15. D. Rosenberg et. al, “Long-distance decoy-state quantum key distribution in optical fiber”, Phys. Rev. Lett. 98(1), 010503 (2007).

16. C.-Z. Peng, et al., “Experimental long-distance decoy-state quantum key distribution based on polarization encoding”, Phys. Rev. Lett. 98(1), 010505 (2007).

17. T.Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Phys. Rev. Lett. 98(1), 010504 (2007).

18. A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Gigahertz decoy quantum key distribution with 1 Mbit/s secure key rate”, Opt. Express 16(23), 18790–18797 (2008).

3.3. Secure QKD with imperfect devices: Faulty photon detection.

Loopholes may also occur at the detection side. Several attacks against detectors

have been demonstrated in experiment against both research-based and commercial QKD

38

systems already more than ten years ago (2008-2011). As an example, we briefly mention

here the so called detector blinding-attack [1], though several other types of attacks have

been confirmed [2].

In actual QKD implementations, the most widely used detectors by Bob are single

photon avalanched diode (SPAD). When the input intensity is at the single photon level the

detector works properly, yet when the input intensity increases the detector will turn “blind”

and will start to operate differently, i.e., the detector output will be proportional to the input

optical power (linear-mode). Consequently, Eve can perform an “intercept-and-resend”

attack by intercepting Alice’s pulses and measuring them. Then, Eve first sends a strong

light to blind all Bob’s detectors and then according to her measurements, she sends another

light at a tailored intensity to Bob such that Bob’s detectors can fire only when Bob selects

the same basis as Eve does. By doing so, Eve can successfully steal the key information

without being noticed.

Viable solutions to detection attacks are “measurement device independent” (MDI)-

QKD methods. According to the MDI procedure, both Alice and Bob are senders, and they

transmit signals to an untrusted third party, Eve, who is supposed to perform a specific (Bell

state) measurement. Such a measurement provides post-selected entanglement that can

be verified by Alice and Bob. Since the measurement setting is only used to post-select

entanglement, it can be treated as an entirely black box. Hence, MDI-QKD can remove all

detection side-channels. We refer the reader to recent work on the subject for more details

on measurement-device-independent QKD methods [3-6].

Various and independent research groups have implemented MDI-QKD with success

starting in 2013 [3]. Particularly relevant to practical exploitation of the scheme are the

demonstrations carried out by Liu et al with decoy states [4] and by Tang et al. with imperfect

sources [5].

MDI-QKD is attractive not only because of its security against detection attacks, but

also for its practicality. It can be implemented with weak coherent lasers, hence practical

with present technology. It can also resist high channel loss and reach long distance. Very

recently MDI-QKD protocols over 400 km using a low-loss fiber (0.16 dB/km) have been

demonstrated [6]. Importantly, the key rate achieved in the experiment is around 3 kbps at

around a distance of 100 km, which is sufficient for one-time-pad encoding of voice

message. Meanwhile, attempts to reach 1 Mbps key rate using a MDI-QKD protocol have

been successful. Given the distances involved, all these experiments show that MDI-QKD

is practical and suitable for metropolitan QKD network [7].

39

Bibliography.

1. L. Lydersen, C. Wiechers, C. Wittmann, D. Elser, J. Skaar, and V. Makarov, “Hacking commercial quantum cryptography systems by tailored bright illumination” Nat. Photonics 4(10), 686–689 (2010).

2. These attacks include “time-shift” attack, “detector-blinding” attack, “dead-time” attack and so forth.…

3. T. F. da Silva, D. Vitoreti, G. B. Xavier, G. C. do Amaral, G. P. Temporão, and J. P. von der Weid, “Proof-of- principle demonstration of measurement-device-independent quantum key distribution using polarization qubits” Phys. Rev. A 88(5), 052303 (2013).

4. Y. Liu et al., “Experimental measurement-device-independent quantum key distribution” Phys. Rev. Lett. 111(13), 130502 (2013).

5. Z. Tang, K. Wei, O. Bedroya, L. Qian, and H.-K. Lo, “Experimental measurement-device-independent quantum key distribution with imperfect sources” Phys. Rev. A 93(4), 042308 (2016).

6. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).

7. L. C. Comandar et al., “Quantum key distribution without detector vulnerabilities using optically seeded lasers” Nat. Photonics 10(5), 312–315 (2016).

The second challenge is the decay of the key generation rate in practical QKD set-

ups. Although current distance record in fiber-QKD is about 400 km [1] with a new proposal

of a protocol to extend to about an extra 100 km [2], the key rate of QKD in fiber drops down

dramatically over long distance [decay-rate]. One solution to this challenge is quantum

repeater though its real application still suffers from the limited performance of quantum

memories [3]. A temporary replacement to the quantum repeater is the trustful relay scheme,

which can be deployed within current technology but requires a “protection” on all the relay

nodes [4].

3.4. Signal loss and decoherence in optical fiber networks: metropolitan and

backbone.

Historically, the first reported QKD field test (1965) with optical fibers was

implemented by British Telecom (BT) Lab in Suffolk (UK) [5] encompassing four users with

one Alice and three Bobs and employed a weak coherent pulse. The length for the fiber link

was around several kilometers providing a secure key rate at about 1 kbps. Another

important landmark was implemented by DARPA [6] (2003) in the city of Boston (US). This

network in this case is a “mixture” of both fiber link and free space link, and it is also a

“mixture” of weak coherent pulse BB84 and entanglement based protocols. Much later a

European fiber-based QKD network was built in Vienna (2009) and one in Tokyo (2011) [7].

At about the same time (2009-2011) a QKD network for civil applications was built in the city

of Hefei, China [8], where the voice signal of telephone was encoded and decoded by

quantum keys together with the OTP method. A quantum network was built in Geneva

40

(2011) and in the city of Durban in South Africa (2010) based on a QKD plug&play BB84

protocols.

Besides the OTP encryption, quantum keys generation has been also combined with

Advanced Encryption Standard (ASE) system to increase the communication rate yet at the

cost of less security when compared with OTP encryption. Integration of QKD systems with

classical (telecom) data in a conventional telecom single-fiber network is also possible; this

further possibility may significantly reduce the cost while increasing robustness in practical

applications of QKD [9]. Very recently in

China (2018), a QKD integrated with 3.6

Tbps traffic optical communication data over

66 km backbone-fiber has been

demonstrated [10].

The current trend is then to apply QKD to

standard optical communication fiber

networks for large-scale secure

communications. The channel loss and

decoherence in optical fibers, however, will

reduce exponentially not only the intensity

but also fidelity of the quantum signal. Unlike

the classical optical communication, the

unknown quantum signal cannot be

perfectly cloned (no-cloning theorem) or

amplified without introducing errors. In that

sense, classical optical repeater method

does not work in quantum communication

channels. As a result, long distance QKD

network is a great challenge.

• “Quantum repeaters” may be a foreseeable way to take up the challenge [11]. Enormous

progresses have been made in this direction, yet the deployment of a practical quantum

repeater is still beyond current technology [12].

• “Trusted relays” may be another and more feasible solution for fiber networks and can

be used to connect remote users. In the trusted relay scenario, Alice and Bob share a secret

key through a trusted relay in the middle which will announce the results of both keys publicly

(XOR-gate [13]) so that Alice and Bob can figure out each other’s key. The drawback of this

method is that both Alice and Bob must “trust” the relay, which should be physically “well

41

isolated” to warrant secure communication. The advantage of trusted relays consists in

reducing cost and complexity when compared to point-to-point connection links. It also

enables to extend the transmission distance.

Remarkably, China has built the world’s longest quantum secure communication

backbone network, from Beijing to Shanghai, with a fiber distance exceeding 2000 km [4]

as shown in Fig. 1; this backbone network includes 32 nodes in total. The backbone network

connects four metropolitan networks, namely Beijing, Jinan, Hefei and Shanghai. Each

metropolitan network has more than 10 nodes and different topologies. As an example, the

topology of Jinan metropolitan QKD network is depicted in Fig. 2. During the operation of

the Beijing-Shanghai backbone network, QKD is implemented between “every two adjacent

nodes” and no quantum repeaters or quantum memories are needed. All the 32 nodes are

“trusted nodes” so that at each node the quantum key is received and passed on along the

backbone line through a XOR operation [13]. The Beijing-Shanghai backbone network,

together with the four metropolitan networks, turned out to be valuable for practical

applications and inspires real-world applications in banks, securities, and insurances that

are currently on trial. All

metropolitan and

backbone QKD

networks reviewed so

far rely on trusted

relays. This implies that

security critically relies

on whether each relay

node is accountable or

not; security will clearly

break down should the

relay be dishonest or

compromised.

• “Untrusted relays” are a far more reaching solution for future QKD network. The

aforementioned MDI-QKD protocol is intrinsically suitable for a star-type telecom network

architecture where the measurement devices are placed at the central “untrusted” relay, a

network server in the middle where all the surrounding users just transmit quantum signals

to the server [14]. Any two users intending to share secret keys via QKD, will be routed to

42

the central “untrusted” relay that will perform a specific measurement [15] upon their

requests via an optical switch.

Usually, the most expensive part of a QKD system are the single photon detectors

(receiver). To increase network scalability the architectures some sharing is often in order

whereby a star-type network is designed to share (single-photon) detectors i.e. the most

expensive resource. Nodes in the MDI-QKD network become then “senders“ reducing the

entire system’s cost. With such a “topological” structure it is straightforward to directly add

more users while keeping low hardware requirements.

Tang et al. e.g. performed the first implementation of such MDI-QKD network in the

city of Hefei [16], bearing a star topology and four nodes with one relay node and three-user

nodes. The central relay node needs not to be trustful in MDI-QKD network [17]. The

measurement-device-independent quantum key distribution star topology network was built

over a 200-square-kilometer metropolitan area and is secure against un-trustful relays and

against all detection attacks. In all field tests, the cryptographic scheme continuously run

through one week with a secure key rate 10 times larger than what previously obtained

results. Overall, among the various kinds of QKD protocols, these results demonstrate that

the MDI-QKD networks combine security and practicality and constitute an appealing

solution to secure metropolitan communications.

Bibliography.

1. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber”, Phys. Rev. Lett. 117(19), 190501 (2016).

2. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate-distance limit of quantum key distribution without quantum repeaters” Nature 557 (7705), 400–403 (2018).

3. N.Sangouard, C.Simon, H.DeRiedmatten and N.Gisin, “Quantum repeaters based on atomic ensembles and linear optics” Rev. Mod. Phys. 83(1), 33–80 (2011).

4. J.Qiu,“Quantum communications leap out of the lab”, Nature 508 (7497), 441–442(2014). 5. P.D.Townsend, S.J.D. Phoenix,K.J.Blow, and S.M.Barnett, “Design of quantum cryptography

systems for passive optical networks” Electron. Lett. 30(22), 1875–1877 (1994). 6. C.Elliott, A.Colvin, D.Pearson, O.Pikalo, J.Schlafer and H.Yeh “Current status of the DARPA

quantum network” in Quantum Information and Computation III 5815, 138–150 (2005)

7. Both networks have 6 nodes and contain multiple types of QKD protocols, including plug&play scheme, decoy state BB84, entanglement-based protocol, coherent one way (COW), differential phase shift (DPS), and continuous-variable (CV) protocol.

8. T.-Y. Chen et al., “Metropolitan all-pass and inter-city quantum communication network” Opt. Express 18(26), 27217–27225 (2010).

9. The scheme of simultaneously adopting QKD with conventional transmission lines was first introduced by Townsend in 1997. See P. D. Townsend, “Simultaneous quantum cryptographic key distribution and conventional data transmission over installed fibre using wavelength-division multiplexing” Electronics Letters 33(3), 188–190 (1997). After that, several QKD experiments demonstrated the feasibility of integrating various QKD protocols with classical telecom channels.

43

10. Y. Mao, B.-X et al, “Integrating quantum key distribution with classical communications in backbone fiber network”, Opt. Express 26(5), 6010–6020 (2018).

11. H.-J. Briegel, W. Dür, J. I. Cirac, and P. Zoller, “Quantum repeaters: the role of imperfect local operations in quantum communication”, Phys. Rev. Lett. 81(26), 5932–5935 (1998).

12. S. Muralidharan, L. Li, J. Kim, N. Lütkenhaus, M. D. Lukin, and L. Jiang, “Optimal architectures for long distance quantum communication”, Sci. Rep. 6(1), 20463 (2016).

13. This can be done via a XOR gate (Exclusive or or exclusive disjunction) that is a logical operation that provides “true” outputs only when inputs differ (the number of true inputs is odd).

14. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).

15. The central relay will perform a Bell state measurement (see e.g. [4]) 16. Y.-L. Tang et al., “Measurement-device- independent quantum key distribution over un-

thrustful metropolitan network” Phys. Rev. X 6(1), 011024 (2016). 17. In practice, if the central relay can be trusted, one can reconfigure the MDI-QKD network to

allow many quantum communication protocols [92,93]

3.5. Signal loss and decoherence in satellites QKD network: free-space QKD.

In general, secret key generation rate in fibres scales linearly with the channel

transmittance, which severely limits its feasible transmission over very long distances. In an

atmospheric environment, on the other hand, attenuation is much less significant than in

fibers making satellite-based quantum communication a more promising solution due to the

remarkably less channel loss and decoherence

Even more attenuation in the vacuum region above the Earth’s atmosphere whose effective

vertical thickness is approximately 5-10 km from the ground is just negligible. Therefore,

satellites may be employed as intermediate trusted nodes for communication between

locations on the ground. As long as single-photons can survive after penetrating the Earth’s

atmosphere, ground–satellite-based QKD links can be far superior and more efficient than

fiber links! Such a perspective offers a unique approach for quantum communication on a

global scale and has recently witnessed remarkable progresses [1,2].

Atmosphere absorption losses.

A a matter of fact, the very first proof-of-principle QKD experiment was done in free-

space over a link of 32 cm (1992) whereas it took a long while to demonstrate the feasibility

of free-space QKD over distances in the Km-range (1998-2002). Most of such an early

pioneering tests proved anyway for the first time that the quantum states, even their

superpositions (entanglement), can somehow survive after propagating in the atmosphere,

thus confirming the feasibility of ground-satellite based free-space quantum communication.

Before launching a real satellite an important series of ground tests have also been

performed such as e.g. free-space distribution of decoy-state QKD over a 144 km link (2007)

44

[3], with a secure key generation rate of 12.8 bit/s with an attenuation of about 35 dB, and

the distribution of entangled photons over more than 100 km (2012) [4].

Although such free-space ground test experiments demonstrated that QKD could

survive atmosphere’s absorption they could not indeed simulate the real link between a fast

“moving” satellite with respect to a ground station. A second important generation of

experiments [5] then followed where a platform moving through a turntable or floating on a

hot-air balloon tested QKD transmission performances under rapid motion, altitude change

and vibration, random movement of satellites etc.. These circumstances well encompass

realistic parameters of transmission with low earth orbit (LEO) satellites (See also Sect.

“Micius; China’s first quantum satellite”). Meanwhile the remarkable demonstration of QKD

between an airplane and a ground station was also reported [6]. Later, a direct

demonstration of the satellite-ground transmission of a quasi-single-photon source (weak

laser pulse), generated reflected back to earth with a cube-corner retro-reflector set on a

satellite, was also reported [7].

Geometric and coupling losses.

Besides absorption losses, there are also geometrical loss, optical loss, coupling loss

and so forth…..which amounts for a total channel loss between a LEO satellite and Earth,

or between LEO satellites, around 40-45 dB [8]. Typical parameters for these kind flosses

are reported in the following section (“Micius”). Characteristic geometric and coupling loss

parameters are reported in the following section (“Micius”)

Micius; China’s first quantum satellite.

The first quantum satellite “Micius” was launched in Jiuquan (China-2016). This is a

LEO satellite orbiting at an altitude of about 500 km (See Fig. 3). A decoy-state QKD

transmitter is equipped on one of the Micius satellite payloads performs downlink QKD by

sending the quantum signals to the receiver at Xinglong (ground station). Decoy-state QKD

(See § 3.2) was demonstrated with polarization encoding from the satellite to the ground,

with 1 kbps rate over a distance of up to 1200 km [1]. The QKD test was performed on 23

different days. The quantum bit error rates and secure key rates varied with the distance

and with the weather over different days. The ground-satellite based QKD link efficiency is

45

shown in Fig.4 for distances between 645 and 200 km and is compared with conventional

method of direct transmission through optical fibers. Despite the short coverage time (273 s

per day) and the need for reasonably good

weather conditions, Micius satellite

provides a substantial efficiency

enhancement compared to fibers. At 1200

km, the quantum channel efficiency over

the 273-s coverage time is about 20 orders

of magnitudes higher than previously

reported QKD.

Later, the Micius quantum satellite

was used as a trusted relay to distribute

secure keys between multiple remote

locations in China and Europe [9]. China

and Austria used this quantum QKD link to exchange quantum one-time pad encrypted data

for images (See Fig. 5) from China to Austria and viceversa. The three cooperating ground

stations were located at Xinglong, Nanshan and Graz, where the first two cities (Xinglong-

Nanshan) are 2500 km distant from one another while the other two (Nanshan-Graz) are

7600 km apart.

46

In this experiment, Micius

flied along a Sun-synchronized

orbit, circling Earth every 94 min.

Each night starting at around 0:50

a.m. local time, Micius passed over

the three ground stations allowing

for downlink QKD in a duration of

∼300 s. Under reasonably good

weather conditions, sifted key

rates of ∼3 kbps at ∼1000 km

physical separation distance and

∼9 kbps at ∼600 km distance (at

the maximal elevation angle) could

be obtained routinely. The first

intercontinental quantum communication was established successfully using the Micius

quantum satellite as a trusted relay.

Bibliography

1. S.-K. Liao, et al. “Satellite-to-ground quantum key distribution”, Nature 549 (7670), 43–47 (2017).

2. J.-G. Ren, et al., “Ground-to-satellite quantum teleportation”, Nature 549 (7670), 70–73 (2017).

3. R. Ursin, et al., “Entanglement-based quantum communication over 144 km” Nat. Phys. 3(7), 481–486 (2007).

4. J. Yin et al. “Quantum teleportation and entanglement distribution over 100-kilometre free-space channels” Nature 488 (7410), 185– 188 (2012).

5. J.-Y. Wang et al. “Direct and full-scale experimental verifications towards ground-satellite quantum key distribution” Nat. Photonics 7(5), 387–393 (2013).

6. S. Nauerth et al., “Air-to-ground quantum communication”, Nat. Photonics 7(5), 382–386 (2013).

7. J. Yin et al., “Experimental quasi-single-photon transmission from satellite to earth”, Opt. Express 21(17), 20032– 20040 (2013).

8. M. Pfennigbauer, W. R. Leeb, M. Aspelmeyer, T. Jennewein, and A. Zeilinger, “Free-space optical quantum key distribution using inter-satellite links” in Proceedings of the CNES - Intersatellite Link Workshop, (2003).

9. S.-K. Liao, et al., “Satellite-relayed intercontinental quantum network”, Phys. Rev. Lett. 120(3), 030501 (2018).

47

4. DEFENSE AND POTENTIAL MILITARY APPLICATIONS OF QKD: AN

OUTLOOK

The field of quantum information science is giving rise to multiple new defense related

applications that are often grouped together under the term ‘quantum’, but which merit

independent consideration. In the field of quantum information, quantum key distribution and

quantum cryptanalysis all promise to significantly affect strategic military security in different

ways.

The purpose of this final section is to summarize the current status of Quantum Key

Distribution (QKD) implementation security for a rather general audience. We will outline the

current understanding of the best practice related to the military sector in its general

acception, as requested by the CEMISS. To maintain readability, we will point out how the

physical implementation may impact security without providing a detailed analysis, for which

the reader is referred to the previous sections. A summary in the form of a table is also

provided at the end of the chapter (See Tab. 1).

4.1. The eavesdropper can be spotted.

Quantum Key Distribution enabled cryptography is protected by the laws of quantum

physics and provides a guarantee that “any” interception would be detected. Hence in the

military sector such a form of cryptography is important for applications to prevent the

interception of classified informations.

In a typical scenario, where two distant parties (Alice and Bob) use their QKD

cryptographic devices to obtain a string of bits (key), an eavesdropper (Eve) may attempt to

gain information about the bits by measuring the signals travelling along the communication

channel linking Alice and Bob. Because in classical physics there is nothing preventing Eve

from copying the classical signal (key) during its transit from Alice to Bob, all classical

methods to distribute a secure key are “fundamentally” insecure.

At variance with this and owing to the quantum nature of the signal, when Eve reads

the quantum signal sent through Alice and Bob’s QKD cryptographic channel trying to copy

the key, she will inevitably add noise to the transmission of the signal. By measuring such a

noise Alice and Bob can estimate the maximum amount of information Eve has gained on

the string of bits and hence they can detect her presence.

48

Thus QKD provides a method for establishing either that the key shared by Bob and

Alice is perfectly secure or that Eve is listening, in which case Bob and Alice will not use the

key.

Another novel and unique feature of QKD is that the protocol security can be

guaranteed without setting any assumption on Eve’s resources [1,2]. Indeed, an

eavesdropper can have unlimited computational power, unlimited storage memory and any

conceivable device yet the transmission of the cryptographic keys through an open channel,

even one that is entirely under Eve’s control, can be guaranteed to be perfectly secure.

At the stage it is worth warning that QKD enabled cryptography does not solve other

essential aspects of security such as e.g. identity verification or access control [3]. At

variance with conventional digital signatures, quantum digital signatures are well known [4]

and are used in data transfer to prevent impersonation, repudiation and message tampering

with security verified by the information-theoretical limits of quantum mechanics.

Bibliography.

1. Alléaume, et al., “Using quantum key distribution for cryptographic purposes: A survey”. Theoretical Computer Science, 560 (2014).

2. Government Office for Science. “The Quantum Age: technological opportunities” (The Blackett Review of quantum technologies). 2016.

3. European Telecommunications Standards Institute. Implementation Security of Quantum Cryptography: Introduction, challenges, solutions. ETSI, 2018.

4. Proof of principle test where quantum signatures are distributed e.g. from one sender to two receivers and enable message sending ensured against forging and repudiation have been demonstrated. See e.g. P.J. Clarke et al., "Experimental demonstration of quantum digital signatures using phase-encoded coherent states of light", Nat. Commun. 3, 1174 (2012).

4.2 Unconditional security & future proof security.

Quantum Key Distribution enabled cryptography provides unbreakable “theoretic

information” security. So far the one-time pad (OTP) is the only known unbreakable

encryption scheme and QKD enabled cryptography, leveraging the laws of quantum

mechanics, is the only one known that can grow unlimited amounts of symmetric keying

material to effectively employ an OTP crypto-system. Based on such robust ground, QKD

information-theoretic security turns out to be much stronger than classical encryption

techniques, which rely on computational complexity. Information-theoretic security is very

important for military data confidentiality.

Quantum key distribution has also the advantage of being future-proof [1]. Unlike

classical key distribution, the quantum non-cloning theorem [2,3] prevents an eavesdropper

from “keeping” a transcript of information that has been encoded through a QKD process.

49

For this reason, QKD cryptography is an essential element of any future-safe military data

storage infrastructure.

This is precisely why QKD is the most common form of quantum encryption and one

that has gained world recognition as an emerging cybersecurity technology.

Bibliography.

1. D. Unruh, IACR Cryptology ePrint Archive p. 177 (2012). 2. W. K. Wootters and W. H. Zurek, “A single quantum cannot be cloned”, Nature 299, 802

(1982). 3. D. Dieks, “Communication by EPR devices”,Phys. Lett. 92A, 271 (1982).

4.3. Quantum cryptanalysis safe.

As noted before, quantum computing could break in almost real-time widely-used

current encryption techniques which are based on computational complexity, such as e.g.

the most secure forms of public-key cryptography. Current encryption standards, in fact,

primarily rely upon mathematical algorithms for encoding data that are effectively

unbreakable in a reasonable period of time. US military-grade [1], Advanced Encryption

Standard (AES) 256-bit encryption would theoretically require billions of years for current

computers to crack the code through brute-force methods i.e. through ‘trial-and-error’ of all

possible solutions. Quantum computers, however, by replacing sequential trial-and-error

methods for processing such complex mathematical problems with alternate means, will

eventually be able to make decryption possible quite in a very short time. [2]. Conversely,

quantum key distribution enabled cryptography provides a defense against the decryption

abilities embodied in current mathematical algorithms, in new powerful algorithms as well

as in next generation computers, in particular, quantum computers that are expected in the

near future.

When quantum cryptanalysis [3] will become available, it will significantly affect

international relations by making intercepted communications open to decryption [4]. For

countries that extensively rely on standard encryption to secure military operations or other

sensitive diplomatic data correspondence, this would be a turning point event and QKD

enabled cryptography will be a way to secure operations and data.

In addition, some confidential data need to be kept secret for decades [5]. Data

transmitted in 2019 e.g. are “vulnerable” to technological advances made in the future; Eve

50

might just save the data transcripts in her memory and wait until a quantum computer e.g.

be built some time before 2020 to decrypt them 10 years from now! This is highly probable.

[6]. QKD crypted data cannot be accessed and will safe even them 10 years from the

encryption date.

Bibliography.

1. "Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” Elaine Barker, NIST Special Publication 800-175B (July 2019)

2. While there's some debate as to when quantum computers will be available, nefarious actors are harvesting data now, stockpiling it and waiting for the day when a quantum computer will be able to break modern encryption standards in mere minutes. Gartner estimates that by 2023, 20% of all organizations will budget for quantum projects, and the global quantum cryptography communications market is expected to grow to $24.75 billion in 2025, according to Market Research Media.

3. Cryptanalysis is the specific application of quantum computing for decrypting encoded message.

4. The promise of quantum cryptanalysis is so alluring that some countries are already beginning to collect encrypted foreign communications related to the military sector with the expectation that they will be able to extract valuable secrets from that data in the future.

5. Secret data as e.g. census data in Canada are released to the National Archives 92 years after the date of collection. See e.g. “Release of personal data after 92 years”, see http://www12.statcan.gc.ca/census-recensement/2011/ref/about-apropos/personal- personnels-eng.cfm.

6. The US National Security Agency is taking the threat of quantum computing seriously and has recently announced transition plans to quantum-resistant classical algorithms.

4.5. Point-to-point QKD communication links.

As noted earlier, QKD ciphered communications began a while ago (1992) with a

stint 30 cm long (free-space) “point-to-point” link….and it took nearly two decades to extend

such a link to distances of kilometers! Such an extension of the QKD connection range has

been enabled by massive technological developments. As a matter of fact one of today’s

most important enabling factor [1] in practical implementations of point-to-point links is the

“noise level” of single-photon detectors. Superconducting nanowire single-photon detectors

[2,3] working with a high quantum efficiencies (93%) at telecom wavelengths can now

withstand a record loss of 72 dB [4]. This amounts to secure communication links up to a

maximum of 360 km in standard single-mode fiber or about 450 km in ultra low loss fibers.

It is worth noting however that further extending the point-to-point distance, although

technologically possible, is nevertheless unappealing because the channel loss will

inevitably reduce the key generation rate to a level of little practical relevance. In fact, the

range of communication and the key generation rate are inversely related to one another,

51

so that the longer the distance between sender and receiver, the lower the key generation

rate.

Point-to-point QKD communication protocols are basically designed to work for two

parties only and hence they appears to be an excellent fit for a two-site connection to encrypt

e.g. voice communications between a government and a military unit or between different

military units. Although QKD enabled point-to-point cryptography is impractical over certain

distances, point-to-point QKD links may be harnessed to enable connections among more

than two and not so distant sites so as to form a small network. The very first QKD network

was actually built through the commercial fibre network of China Netcom Company in Beijing

(2007) and enabled quantum-safe communications between any site among the four-parties

(users) of the network’s.

Bibliography.

1. B. Korzh et al. “Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre”, Nature Photon. 9, 163 (2015).

2. F. Marsili et al., “Detecting Single Infrared Photons with 93% System Efficiency”, Nature Photon. 7, 210 (2013

3. L.C.Comandar et al. “Gigahertz-gated InGaAs/InP single-photon detector with detection efficiency exceeding 55% at 1550 nm”, J. Appl. Phys. 117, 083109 (2015).

4. H. Shibaba, T. Honjo, and K. Shimizu, “Ultimate low system dark-count rate for superconducting nanowire single-photon detector”,Opt. Lett. 39, 5078 (2014).

4.6. Network-centric QKD.

Point-to-point QKD links are essential ingredients in the implementation of wide scale

QKD cryptography provided a network structure could be created. Such a structure would

grant access to many users as e.g. the QKD network in Hefei [1], completed in 2012, linking

40 telephones and 16 video cameras installed at city government agencies, military

departments and financial institutions [2]. A similar civilian network, completed in 2014,

connects some 90 users in Jinan. “Star topologies” structures are best suited for the

realization of such a QKD network and several experimental demonstrations of such QKD

star-networks have been realised either with optical fibers [3] or with free space using trusted

relays. Most importantly star networks have also enabled to reach a broader geographical

coverage.

By setting up, in fact, trusted nodes say every 50 km, to “relay” secrets, it is possible

to achieve secure communication over arbitrarily long distances [4]. The QKD network

between Shanghai and Beijing is an example of such an approach and it is the world’s

longest and most sophisticated QKD network. It serves as a backbone link connecting four

52

quantum networks respectively in Beijing, Shanghai, Jinan (Shandong province) and Hefei

(Anhui province).

The successful demonstrations of ground-to-satellite QKD [5], where one (or a few)

trusted satellites have been used as relay stations, has made it now possible to reach even

longer distances, extending secure QKD to a “global” scale. To this end, several free-space

successful demonstration of QKD between ground and low earth orbit (LEO) satellites have

been achieved through a technology in which China is now world-leading, starting with the

launch of its own satellite in August 2016 [6,7].

Satellite-to-ground quantum key distribution picture has taken a drastic turn after

these successes and other countries around the world, including EU, Canada and US are

currently engaged in similarly ambitious long-term projects involving ultra-secure

cryptography and quantum communications in LEO satellites. Satellite-based QKD has the

potential to help establishing a global-scale quantum network fostering a fundamental

change of approach in communications capabilities toward a secure network-centric

communication. Operational satellite-based QKD relies on routable, resilient and secure

information service apt to provide both management and distribution of keys among all

network's participants that require “sending” and “receiving” critical data as e.g. between

aircrafts, aircraft and the ground, and aircraft and space assets etc.… This would envision

operational units, whose security requirements are very high as e.g. military and government

sectors but also critical infrastructure providers, to collaborate with a net-centric information

strategy. Not only would this improve performance management of secure information

services but also ease sharing of a situational awareness among the the different sectors of

a government.

4.7. Mobile QKD network.

Most quantum networks so far

developed have wired channels

(fibres) and nodes at fixed locations.

On the other hand, mobile terminals

such as satellites, drones,

automotive cars etc…have recently

witnessed an impressive progress.

Small unmanned aerial vehicles

(UAV) like drones, owing to the fact

53

they can move any direction or even stay stationary in the air, bear indeed a promise for a

cost-effective on-demand connectivity within flexible networks. Larger UAVs that continue

to fly in the stratosphere for many years using solar power supply, have already enable high-

altitude platforms (HAP) especially for sensing and communication. Small-size and low-cost

satellites and low-cost launches has also led to a rapid growth in satellite programs for

similar communications and sensing purposes.

At a time when data transmission through congested RF bands is becoming harder

and harder, big-data management systems mounted in any of these mobile terminals

together with free-space optical (FSO) communication are expected to yield high-throughput

suitable for satellite-satellite data links, satellite-ground data link and even hoc data link

between small UAVs (drones). On similar grounds, if physical random number generators

and high-rate secret key exchange is to be implemented in the free-space optical

communication with mobile terminals a new frontier of research on quantum wireless

network may actually open (mobile QKD networks). The incorporation of “mobile QKD

nodes” for the distribution of secret keys could actually add to QKD network connections

great flexibility [8]. Information theoretic security ensured by these perspective technologies

is meant to protect sensitive information in emerging mobile quantum communications

network.

This may be useful in many applications, such as e.g. ship-to-ship communication as

well as communications among military vehicles that are in need of sending and receiving

critical data. In this case the mobility of QKD platforms may require a highly reconfigurable

network in the sense that the QKD users should be able to automatically determine the

optimal QKD route in real time based on their locations [9]. Fig.1 depicts a perspective on

such an hypothetical QKD network, expected to cover on a global scale an even more

thorough geographical coverage not possible through a fibre network.

Bibliography.

1. Wang, S. et al., ‘Field and long-term demonstration of a wide area quantum key distribution network’, Optics Express Vol. 22, Issue 18, pp. 21739-21756, (2014)

2. The declared cost for the Hefei network’s was around 9 million USD! 3. Y.-L. Tang et al. “Measurement-Device-Independent Quantum Key Distribution over

Untrustful Metropolitan Network”, Phys. Rev. X 6, 011024 (2016). 4. M. Sasaki, et al, “Field test of quantum key distribution in the Tokyo QKD Network”, Optics

Express Vol. 19, Issue 11, pp. 10387-10409 (2011) 5. Wang J, et al. “Direct and full-scale experimental verifications towards ground-satellite

quantum key distribution”, Nat Photonics 2013;7(5):38793. 6. Gibney, E. “One giant step for quantum internet”, Nature News, 27 July 2016. 7. Qiu, J, ”Quantum communications leap out of the lab: China begins work on super-secure

network as ‘real-world’ trial successfully sends quantum keys and data”, Nature, 508, 7497 (2014).

54

8. Eleni Diamanti, Hoi-Kwong Lo, Bing Qi & Zhiliang Yuan, “Practical challenges in quantum key distribution”, npc Quantum Information, volume 2, 16025 (2016). Because mobile QKD network is well poised to achieve long distance and high-rate key exchange it may well be suitable for multiple encryption i.e. the process of encrypting an already encrypted message one or more times, either using the same or a different algorithm (physical layer cryptography).

9. Fast beam tracking systems, whose technology is already available, are in order this case.

55

5. A POSSIBLE SCENARIO AND ISSUES

The above assets (§ 4.1-4.7) all concur to make Quantum Key Distribution enabled

cryptography quite a realistic near-term advantage for defenders to secure their military

classified communications. The relevant merits could better summarised by setting an

hypothetical stage for military usage of QKD enabled cryptography. This is also intended for

the general army audience to grasp the current understanding of the best-practice QKD

enabled cryptography.

Scenario:

“Imagine a crisis affecting the United States in the near future. The president enters

his command center, receiving information from around the globe carried by satellites and

telecommunication circuits. As decisions flow from the center, the secret instructions are

carried by regular telecommunications circuits to the Pentagon and have been encrypted by

QKD devices providing key material to fast network encryption devices. These devices

change their large-bit keys several times a second, making it virtually impossible for cyber

adversaries to decrypt the traffic.

Once at the Pentagon, these decisions are coordinated with contingency plans, then

orders are generated to forces around the globe. Once the orders and plans are ready, the

information is sent to satellites in orbit, again using QKD-secured circuits. Not only are the

ground-to-space links hard to intercept, the data is encrypted using the same large-bit

network encryptors. The signals are then sent from space to ground stations using the same

type of encrypted circuits. On the ground, adversaries may listen in on the space-to-ground

communications, but with the encryption key changing so fast, it is impossible to decrypt the

data. As the distance for QKD links increases, many more communication circuits could be

secured by such systems. The unconditionally secure nature of QKD-generated key material

makes it attractive for high security requirements often found in the military domain.”

Aiming again to address a general audience, we further provide in the following the

essentials of a secure data encryption archetype operation across large distances.

Concept of operation:

Ground stations A and B represent the two distant nodes of a network. The owner of

the two stations has very high security requirements e.g. government sector, military sector,

critical infrastructure provider etc… A satellite passes over A and B once a day and enables

56

them to share a common secret which will then be used in a (symmetrical) encryption

scheme to secure data transmission between them across the long communication path.

The two remote sites [1] are served, one after the other, via a free-space QKD link

by an aircraft [2] or by a low orbiting space satellite (LEO) [3]. A variant of this configuration

could well involve several LEO satellites, interconnected via “free-space" links and able to

exchange keys over long distances at very high rates, due to the significantly lower

attenuation of free space compared to the terrestrial atmosphere. Moving platform working

as flying QKD nodes, providing a physical connection to “each end” of the long-haul path

may also be envisaged as a variant [4].

A and B have free space QKD systems with movable directional telescopes capable

of pointing and tracking a target C that moves in the sky and carries a QKD system

considered trustworthy and secure. “First”, C passes over ground station A and establishes

a mutual symmetrical secret “a” with A (Fig.2a). Later, C passes over the station B and

establishes another symmetrical secret “b” with B (Fig.2b). It then uses it to One-Time-Pad-

encrypt the secret it previously exchanged with A and passes the cryptogram (a xor b) trough

a conventional classical communication channel to B that can recover the secret key “a”

which A already has (Fig.2c). The ground stations A and B now share a common secret key

they can be use for any crypted communication (Fig.2d).

57

Fig. 2a: C and A exchange a secret “a”

Fig. 2b: C and B exchange a secret “b”

Fig. 2c: C sends encrypted secret (“a” xor “b”) to B using a classical channel

Fig. 2d: A and B share a common secret key “a”

58

5.1. Benefits.

The operation allows distribution of a key with highest security between two ground

stations A and B separated by “arbitrary” distances. In principle, the stations can be in fact

at “any” two points on the surface of the earth, as long as these points are covered by the

moving target. Most important, the two ground stations can be either “stationary" or “moving”

on the surface. The moving target C can either belong to a service provider (operator,

carrier, etc.) or to the owner of the ground stations.

5.2. Quality of the service.

The refractive index of air in the atmosphere varies between the layers of different

temperature and different humidity or because of adverse weather conditions or pollution,

so that free-space QKD enabled cryptography is susceptible to attenuation by atmospheric

conditions. Strong ambient light also hampers detection of extremely weak quantum signals.

These phenomena can significantly reduce the achievable key generation rate of QKD

enabled cryptography. The "fast motion” of C may also reduce the window of opportunity for

QKD enabled cryptography.

Finally, the target may not be easily accessed when it is deployed in space, which is

a disadvantage in case of a failure requiring repair yet an advantage for preserving its

physical integrity. The availability of a long-distance service should also be guaranteed “in

combination” with additional key distribution channels as a “fall-back” solution.

Bibliography.

1. We consider here two remote users unlike the case in which the communicating parties are

either directly connected by QKD links or are relying on an intermediary network

infrastructure for key distribution.

2. Planes can instead can be employed or possibly high altitude platforms (HAP) as e.g.

aircrafts with limited cruising radius operating at heights of about 10-20 km. The HAP’s can

conveniently supply a metropolitan area region with keys from above, covering a potentially

larger area than what can be achieved in direct line of sight on the surface ground.

3. Low Earth Orbit (LEO) satellites are used for public networking and for scientific purposes.

Communication via satellite begins when the satellite is positioned in its orbital position at

about 300 to 1000 kilometers altitude. Ground stations can communicate with LEO satellites

only when the satellite is in their visibility region. The duration of the visibility and the

communication vary for each LEO satellite pass over the station, since LEO satellites move

59

too fast over the Earth. The satellite coverage area is defined as a region of the Earth where

the satellite is seen at a minimum predefined elevation angle. Geosynchronous or

geostationary satellites e.g. are not viable options as their altitude of orbit of between 36 000

km (circular orbit) and 42 000 km (inclined orbit) requires optical telescopes with impractical

apertures of about 10 meters.

5.3. Cost Effective & Practicality.

QKD-secured circuits are unlikely to be cost-effective, though current technology is

rather well established and available. Most reviews from government security centers seems

to recommend that research and development of QKD systems should be actively pursued

to ensure that the relevant applications become cost-effective and practical. In the long-term

vision each user could adopt a “simple transmitter” and outsource all the complicated

devices for network control and measurement to an “untrusted” network operator [1]. Since

only one set of measurement devices will be needed for such a network shared by many

users, the cost per user could tentatively be kept relatively low. The network provider would

on the other hand be in a favorable position to deploy state-of-the-art technologies to

enhance both (i.) the network performance and (ii.) all network management tasks.

Consistent with this target promising efforts are being made including photonic

integration [2]. The latter is well known to encompass both cost and robustness issues and

chip-scale integration will bring high level of miniaturization, leading to compact and light-

weight QKD modules that can be mass-manufactured at low cost. The main integration

platforms currently being explored are silicon (Si) [3] and indium phosphide (InP) [4]. Chip-

scale “transmitters” for QKD protocols, reconfigurable so as to accommodate state

preparation for several QKD protocols, including e.g. decoy-state BB84, COW and DPS,

has been recently developed using InP [5]. Chip-scale “receivers” for QKD protocols

employing single-photon detection are also making progress; single-photon detectors have

been successfully integrated e.g. in low-loss planar-lightwave-circuits (PLCs) exploiting

state of the art silica-on-silicon technology [6].

The development of chip-scale QKD is still at an early stage, yet it remains a crucial

and promising venue to develop full integrated systems and research in this direction will

certainly help bring the QKD technology closer to its wide adoption.

60

Bibliography.

1. Untrusted network have the important advantage that the network operator can be

completely untrusted without compromising security. Imagine a star network where there is

at most one intermediate node between any two users, allowing for secure quantum

communication among all users without the need for the relay to be trusted. This approach

has already been demonstrated based on the MDI-QKD protocol (See Sect. metropolitan

and backbone).

2. R. J. Hughes et al. “Alternative techniques include lithium niobate (LiNbO3) integration and

glass waveguide technologies” arXiv:1305.0305 [quant-ph] (2013).

3. A. E.-J. Lim, J. Song, Q. Fang, C. Li, X. Tu, N. Duan, K. K. Chen, R. P.-C. Tern, and T.-Y.

Liow, IEEE J. Sel. Topics Quantum Electron. 20, 405 (2014).

4. M. Smit et al., “An introduction to InP-based generic integration technology”, Semicond. Sci.

Technol. 29, 083001 (2014).

5. P. Sibson et al., “Chip-based Quantum Key Distribution”, Arxiv preprint arXiv:1509.00768

[quant-ph] (2015).

6. Y. Nambu, K. Yoshino, and A. Tomita, “Quantum encoder and decoder for practical quantum

key distribution using a planar lightwave circuit”, J. Mod. Opt. 55, 1953 (2008).

5.4. Implementation security & validation.

Although QKD provides unconditional “information-theoretic” provably secure

cryptography, its “information-practical” security relies on the correct implementation. In fact,

real systems may still possess side channels, i.e. security vulnerabilities, if their

implementation deviates significantly from the idealised models used in the security analysis

[1,2]. QKD implementations are hardware dependent, for instance, which clearly opens a

new set of possible avenues for attack [3]. Weaknesses in QKD implementations have

anyway been known since at least 2010 when state-of-the art technology and hardware

used in QKD systems hardly met the theoretic security of the original QKD protocol

conditions. As seen in the previous, these hardware ‘non-idealities’ included e.g. on-demand

single photon emitters, lossless photonic channels between sender and receiver, perfect

photonic detectors, perfect alignment of bases throughout the system, etc.… Such ‘non-

idealities’ are known [4] to lead to security issues called “quantum hacking “.

Therefore, the security analysis of a cryptosystem’s implementation i.e.

“implementation security” is an important step in the evolution of a cryptographic technology

and so does QKD enabled cryptography. Since the security of quantum cryptography

depends only on the local equipment of the users, the fundamental task in quantum

61

cryptography implementation security is to estimate how much information leaks from such

equipment to a potential adversary. When this information leakage can be bounded below

a certain value [5], security can be restored [6]. Implementation security issues and their

relevant vulnerabilities must be well-studied and assessed through established architectural

design principles, verifiable designs and assured operational configurations to provide

trustworthy systems to end users.

To that end it is very important stressing that security analysis is however a common

threat to “any” cryptosystem, regardless of whether it is based on “quantum mechanics” or

on “computational complexity” [7-9]. As high-security crypto devices, QKD cryptographic

systems should then undergo formal security assessments and certification processes to

address physical attacks, side channel analysis and data manipulation. At the moment

within the QKD community there seem to be a little discussion thereof along with an arguably

sluggish progress towards an independent certification process.

By adequately characterizing a real system, it is then possible to restore the security

promise of the theoretical protocol. It is worth recalling that a chief feature of quantum

cryptography is that this security statement does not change with future technological

advances and a careful analysis of the real security level of a cryptosystem remains an

important issue. Protocols should, in fact, be accompanied by independent “validation” apt

to test and certify quantum communication equipment and services [10]. This is far more

important because many quantum technologies are ‘dual-use’, meaning that they have

military and civil applications and there should be good co-ordination between military and

civil aspects of future quantum technologies. Validation should further encapsulate the

principles of “responsible innovation” as well [11]. For a number of governments responsible

innovation bears a special place for quantum technologies as they are new and still

emerging [12,13].

62

Tab 1. QKD vs. Public/Private Key protocols

QKD Public Key

CON

Requires specific hardware,

communication lines etc.

Can be implemented in standard

software PRO

PRO

Security is based on principles

that do not requires changes in

future

Requires using longer P/P keys

as computer power increases CON

PRO

Protocol security is guaranteed

regardless of Eve’s resources

(computational power, storage

memory, etc.)

Protocol security depends on

Eve’s resources (computational

power, storage memory, etc.)

CON

PRO Mathematically proven secure

based on basic physics laws

Mathematically based on

algorithms that cannot be easily

solved, yet a solution may be

found

CON

CON Not cost effective…but will

improve Affordable by anyone PRO

PRO Will still be as secure even if

quantum computer will be built

If a quantum computer will be

built, it will be able to break it in

no time

CON

CON

Still young and in strong

development Quite tested and deployed

PRO

?

Bit rate for key generation still

increasing and it will continue to

improve

Requires considerable amount of

computing power, not a problem

with little data like normal secret

keys, but impractical with larger

data

CON

CON

As of today it works only within

specific networks

Works with most familiar

networks PRO

PRO

Can be used with One-Time-Pad,

the only mathematically proven

secure cryptographical algorithm

Cannot be used with One-Time-

Pad CON

63

Bibliography.

1. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf, M. Dušek, N. Lütkenhaus and M. Peev, “The security of practical quantum key distribution”, Rev. Mod. Phys. 81, 1301 (2009).

2. V. Scarani and C. Kurtsiefer, “The black paper of quantum cryptography: real implementation problems”, Theor. Comput. Sci. 560, 27 (2014).

3. “Quantum key distribution”, White paper on quantum key distribution (QKD). National Cyber Security Centre Quantum key distribution, 2016.

4. “Public attitudes to quantum technology”, Sciencewise (2014). 5. A partially secret bit sequence can be compresses into a highly secure key, with the amount

of compression depending upon the estimated information leakage (privacy amplification). 6. Moser, P. M. “Gravitational Detection of Submarines”, Pacific-Sierra Research Corporation

Warminster United States, 1989. 7. For example, timing attacks can threaten implementations of both quantum and non-quantum

systems. 8. See e.g. P. Kocher, “Timing attacks on implementations of Diffie-Hellman, RSA, DSS and

other systems”. CRYPTO’96, LNCS, vol. 1109, pp. 104–113 (1996) for the non-quantum case

9. See e.g. Qi, B., et al., “Time-Shift Attack in Practical Quantum Cryptosystems”, Quantum Information Computation, 7, (2007) 73-82 for the quantum case.

10. It is worth noting that the Quantum Communications Hub (York) currently has a Partnership Resource project working on exactly such validation for Quantum Random Number Generators, as a first step towards these recommendations. NPL is the independent validation body, underpinned by theoretical work from the University of York and overseen by NCSC.

11. Responsible Innovation is an emerging set of practices which have been developed to help all stakeholders to consider the social and ethical issues of new technologies, to ensure that new technologies are developed in the public interest, are ethically acceptable, economically, socially and environmentally sustainable, and socially desirable.

12. The UK government’s review of quantum technologies e.g. recommends that quantum communications and cryptography research groups should work together leading to joint technical developments of QKD based quantum cryptography as well as other uses of quantum technology.

13. Government Office for Science. The Quantum Age: technological opportunities (The Blackett Review of quantum technologies). 2016.

64

6. A GLOBAL OVERVIEW

Quantum technologies are still much “upstream” and therefore open to a range of

possible futures, some more attractive than others. It is then timely to dwell on the potential

impact of those technologies on defense and national security, though at the moment clear-

cut predictions are somehow not easy to make. When considering the future impact of a

new technology, there is anyway always a dilemma [1], namely, it is difficult to predict the

impact of a new technology still not extensively developed and widely used, conversely,

change is difficult once the technology has become deep-set.

Needless to say that for armed forces integration of quantum technologies currently

represents one of the most anticipated advances. Unbreakable one-time pad encryption

enabled by QKD provide the ultimate protection available and proven secure even against

quantum computing; still such a new form of cryptography is hard to fit within the

infrastructures of standard communication networks.

To this purpose new quantum networks are being successfully created that can be

combined with modern QKD cryptography in ultra-low loss fibre networks as well as in the

mobile terminals of emerging free-space networks. As illustrated in the previous sections,

tremendous achievements have been accomplished in the past decades, which certainly

will yield new solutions for the future communication systems for the military. At the fast

pace at which such advancements progress there is little doubt, according to security

professionals, that QKD enabled cryptography will have a disruptive effect when it will be

employed at large. A brief brief outlook on how the world's foremost military powers are

tackling these important changes is now provided.

Several nations are indeed investing heavily in quantum research to gain both

economic and military advantages. U.S. and China place themselves as powerhouses in

quantum technologies. Although they continue to accumulate ever-sophisticated offensive

capabilities, China’s recent advances could impact their future strategic balance perhaps

even overtaking the traditional military-technological advantages of the U.S., which

maintains however an overall military primacy.

Over the past few years, the Chinese researchers have achieved a track record of

consistent advances in the development of quantum technologies, most remarkably in the

area of quantum cryptography. Many of these breakthroughs demonstrate the success of a

65

long-term research agenda (See Table 2.) that has been actively dedicated to cultivating top

talents and extensive fundings. China’s long rise was displayed with the launch (2016) of

the first quantum satellite “Micius” (Mozi, 墨子). China also established the first long-distance

terrestrial quantum-communication link (2017) between Beijing and Shanghai. In addition,

full completion of the planned US$10-billion National Laboratory for Quantum Information

Sciences in Hefei, Anhui province, will lead the nation’s drive for quantum technology. Such

successful demonstrations in quantum information science [1], spurred China’s launch of

new national “mega-projects” in quantum communications and computing, with the aim to

achieve major breakthroughs in quantum technologies by 2030. These endeavors clearly

underscored Beijing’s continued prioritization on innovation in critical technologies apt to

strengthen China’s Military capabilities. They also represent indeed landmark initiatives that

could secure further China’s national security and, inarticulate, government communications

against foreign observation.

Already in 2015 a McKinsey & Company estimate placed China among the top

spenders in nonclassified quantum technology research, second only to the United States,

ahead of Canada, Australia, Japan, and Russia [2] Again in 2015, China led the world in

patent applications for quantum cryptography and quantum-key distribution (367

applications) while being second only to the U.S. in filing patents for quantum sensors, yet

lagging behind five countries as far as quantum computing patents are concerned [3] though

these rankings may be nowadays out of date. Funding in China appears to be substantially

on the rise since 2015, and this effort is not restricted to the government only. China’s private

sector is in fact investing in this area, including e.g. Alibaba Quantum Computing Lab, a joint

collaboration (2015) between Alibaba Group’s cloud computing (Aliyun) and the Chinese

Academy of Sciences (CAS) to explore and develop commercial applications of quantum

computing [4].

China’s leaders, on the other hand, recognize the strategic potential of quantum

science and technology to enhance the economic and military dimensions of national power.

President Xi Jinping recently emphasized the strategic importance of quantum technologies

to national security, and in particular, in the context of cyber-security [5]. This high-level

focus evinced clear recognition by Beijing of the potential strategic implications of quantum

technologies for future networked battlefield [6] Chinese strategists seem confident that

66

quantum communications are deployable for ‘local wars’ as e.g. in the near-seas [6] though

it is clearly difficult at this stage to substantiate the trajectory of China’s quantum capabilities.

In contrast, the U.S. military has yet to make significant investments into the

development of quantum communications systems, under the apparent assumption that this

technology would not significantly enhance U.S. communication security [7] According to a

widespread perception, the perfect security that quantum cryptography promises may not

be achievable in practice. The substitution of QKD for conventional encryption does not

eliminate other weak links and vulnerabilities in the security of a system. Thus far, QKD has

confronted a range of practical challenges in implementation beyond the laboratory [8].

Given the considerable logistical and technological difficulties, QKD, according to the initial

assessment of a report from the U.S. Air Force Scientific Advisory Board, did not appear to

confer enough of a security advantage to warrant the added complexity necessary for its

use, relative to the best classical alternatives available [9].

In support of such a belief, there have even been several demonstrations of

techniques to hack, spoof, or otherwise interfere with commercial quantum cryptographic

systems, such as through side-channel attacks and means of interception that remain below

the expected error threshold or replicate data surreptitiously [10]. The detection of these

potential loopholes has since enabled measures to mitigate those vulnerabilities and better

verify the security of quantum systems. But it remains to be seen whether this promise of

“perfect” security will ever be more fully realized.

Surprisingly enough among the armed forces, only up until recently the US Army

Research Office has started to fund extensive research in quantum technology, including

quantum cryptography and quantum computing while the US Air Force sees these two fields

as bearing transformative technology for information and space warfare. Navigation base

on quantum cryptography and quantum computing (quantum navigation) e.g. may allow

greater independence from space-based systems and the realization of quantum radar,

quantum imaging and quantum sensing would enhance domain awareness and targeting.

Several external analysts have warned that China’s pursuit of military-use quantum

technology could nevertheless expose U.S. military communications to new vulnerabilities

during peacetime anticipating, in turn, that during a conflict or crisis these vulnerabilities

could shift the asymmetric information balance of power in Beijing’s favor [11]. On the same

note, should China become a pioneer in quantum computing, for instance, then the

leveraging of such immense computing capabilities could convey a strategic advantage. It

67

has also been drastically stated [46] that if China was to become the world’s first quantum

power it would place sensitive information systems at risk while challenge U.S. technological

dominance in all forms of information-centric networked warfare and, in particular, stealth

capabilities and military satellite networks [12]. A White House official recently warned that

America’s information-centric ‘ways of war’ were increasingly under siege from China’s

quantum technology advances, threatening to eventually offset U.S. military-technological

lead [13].

It is nevertheless important to emphasize at this stage that the U.S. has a long history

of research and innovation in the area of quantum information, especially quantum

cryptography. Los Alamos researchers, in fact, were the first to send a quantum key through

a 31-mile-long optical fiber, way back in 1999! The researchers also developed a free-space

quantum cryptography system that could send keys through the air for distances of up to 10

miles [14]. The U.S. has also apparently made substantial and continued progress in

quantum information science according e.g. to a recent report of the Committee on Science,

Homeland and National Security (2016) underscoring that advancing quantum information

science was a definite priority for federal investment. Some of the U.S. federal agencies

have indeed executed research programs in quantum related technologies for over two

decades with annual fundings around $200 million for basic and applied research [15]. The

U.S. Department of Defense through the Defense Advanced Research Projects Agency

(DARPA) and the National Institute of Standards and Technology (NIST) have provided

basic research support (2018) for quantum information science while the Department of

Energy and the National Science Foundation committed another US$250m to support

quantum sensing, computing and communications in the form of five-year grant awards.

They have also supplemented existing resources within the government, academia, and

industry in the National Strategic Computing Initiative [16].

Crucially, a few leaders in the private sector such as e.g. IBM have more than three

decades of research experience in quantum technologies, while giants such as Google,

Microsoft and Intel are currently investing heavily in quantum information sciences and

related technologies [17]. In the West, private companies along with D-Wave Systems

(Canada) are leading the development of quantum computers that may run the quantum-

enabled military platforms of the future. No doubts the U.S. enjoys a vibrant innovation

ecosystem that China lacks instead and in the long term China’s success will depend on its

ability to develop stronger ecosystem involving academia and industry, with firm support

from the government.

68

U.S. and China are clearly not the sole players in this massive effort. Collectively,

European nations have a well-acknowledged scientific excellence in quantum technologies

with a world-class technical expertise as one may evince e.g. from the number of top level

research publications. Such an excellence has been fostered by programs like e.g. the

“Future and Emerging Technologies” initiative of the European Union, supporting research

in quantum technologies since the Fifth Frame-work Program (1998). Over the last two

decades, the cumulative funding in this area has reached close to €550 million [18]. The

European Commission’s “Quantum-Technologies Flagship” (2018) programme [19] is

another large-scale research initiative entailing funds far in excess of €1bn (US$1.1bn) over

a ten-year range. The initiative, as part of its Future and Emerging Technologies Program,

is intended to focus on four main quantum technology areas: communication, computation,

simulation and sensing and clearly aims at reinforcing European scientific excellence in

quantum research and technologies.

The United Kingdom committed £270 million for a five-year National Quantum

Technologies Programs (2013) [20] that was intended to build four new hubs in sensors and

metrology, quantum enhanced imaging, networked quantum information technologies, and

quantum communications technologies [21]. This program is also supposed to harness

expertise in both academia and industry to ensure that research laboratories results gets

transformed into industry products, a measure that has become the subject of a UK

parliamentary inquiry (late in 2018).

French President Macron signed a memorandum of understanding (2018) with

Australia’s then-prime minister Turnbull on a joint venture to develop and commercialise a

quantum silicon integrated circuit combining the efforts of Silicon Quantum Computing

(Australia) and the Commissariat à l'énergie atomique et aux énergies alternatives (France).

Finally, Germany announced new funding (2018) for quantum-technologies research

worth €650m (US$771m) for the period 2018–22.

Russia is also investing in quantum technology but has not committed the same level

of resources as other nations do remaining behind China and the US. That may partially

correlate with the overall decline in Russian scientific-research capacity since the 1990s

69

despite president Putin has reportedly raised national spending on research and

development (R&D) to 1% of Russia’s gross domestic product (US$3bn) in 2018.

Bibliography.

1. This is referred to as the “Collingridge dilemma” whereby the efforts to influence or control the further development of technology face a double-bind problem. See e.g. Collingridge, D., “The social control of technology”. Pinter, London, (1980).

70

2. Quantum information technology encompasses quantum cryptography, quantum computing and also quantum navigation for which reports of progress in quantum radar, sensing, imaging and metrology are well known. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science,” China Brief 16, no. 18 (2016), 11–6. Chinese efforts to develop quantum information science and Artificial Intelligence (AI) increased in importance in the aftermath of the leaks by former NSA contractor Edward Snowden that demonstrated the disparity between the PLA’s offensive cyber-warfare capabilities vis-a-vis the United States.

3. “Quantum Technology Is Beginning to Come into Its Own,” The Economist, accessed October 8, 2017, http://www.economist.com/news/essays/21717782-quantum-technology-beginning-come-its-own.

4. Ibid. 5. “Aliyun and Chinese Academy of Sciences Sign MoU for Quantum Computing Laboratory,”

Alibaba Group press release, July 30, (2015). 6. In 2013 e.g. President Xi visited Anhui Quantum Communication Technology Co. Ltd. for a

collective learning session. There he met with Pan Jianwei, the deputy chief of staff of the PLA [5-bis] new Northern Theater Command. See e.g. Anhui Quantum Communication Innovation Achievement Debut: Central Politburo Team Learning Event,” QuantumCTek, September, 2013. http://www.quantum-sh.com/news/ 146.html (accessed June 13, 2017). Later (2015) during China’s 18th Party Congress’ 5th Plenum, he included quantum communication as a priority research strategic focus for ‘major breakthroughs’ by 2030. See e.g. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science,” China Brief 16, no. 18 (2016), 11–6. [5-bis] The Chinese People's Liberation Army (PLA) is an unified organization of China’s land, sea, and air forces. It is one of the largest military forces in the world. The People’s Liberation Army traces its roots back to the 1927 (britannica.com).

7. See J. Wang, “Quantum Technology: Informatization and the Changing face of Warfare” PLA Press, September 27, (2015). S. Chen, “Quantum teleportation breakthrough earns Pan Jianwei’s team China’s top science award” South China Morning Post, January 8 (2016).

8. The value of quantum cryptography for military use has been subject to some debate namely on whether the substitution of standard encryption technology for quantum alternatives does not actually remove the basic vulnerabilities inherent to communication systems. See e.g. A. Mehta, Air force study shows potential limits of quantum technology. Defense News, August 9, 2015.

9. Eleni Diamanti et al., “Practical challenges in quantum key distribution,” Quantum Information, November 8, 2016, https://www.nature.com/articles/npjqi201625.

10. USAF Scientific Advisory Board, “Utility of Quantum Systems for the Air Force” August 19, (2016).

11. “Canadian researchers claim Chinese quantum network might not be hack proof after all” South China Morning Post, June 12, 2017, http://www. scmp.com/news/china/article/2068122/canadian-re-searchers-claim-chinese-quantum-network-might-not- be-hack. See also “Commercial Quantum Cryptography System Hacked,” MIT Technology Review, May 17 (2010).

12. M. Ravindranath, “America’s lead in quantum computing is ’under siege” Defense One, December 7 (2106).

13. J. Costello, and E. Kania, “Quantum Leap (Part 2): The Strategic Implications of Quantum Technologies” China Brief 16, no. 19 (2016).

14. During a recent DoD’s Defense Innovation Board (DIB) session, a call with made for greater collaboration between the private and state sectors (or ‘citizen-leader-innovators’) in the study of new innovative cutting-edge technologies for military applications - especially investment into A.I. and machine learning. C. Pellerin, “Defense Innovation Board Makes Interim Recommendations,” DoD News, Defense Media Activity, October 5, (2016).

15. “Quantum Cryptography,” Los Alamos National Laboratory, accessed January 24, (2018). 16. “Advancing Quantum Information Science: National Challenges and Opportunities” joint

report of the Committee on Science and Committee on Homeland, National Security of the National Science and Technology Council, Washington, DC, July (2016).

71

17. “The National Strategic Computing Initiative” Networking and Information Technology Research and Development Program, accessed January 24 (2018).

18. Idalia Friedson, “The Quantum Computer Revolution Is Closer than You May Think” National Review, May 2, (2017).

19. “Commission Staff Working Document on Quantum Technologies,” COM (2016) 178 (European Commission, Brussels), 4.

20. “European Commission Will Launch €1 Billion Quantum Technologies Flagship,” European Com- mission, May (2016).

21. “Overview of Programme,” UK National Quantum Technologies Programme, accessed January 24, (2018).

22. “UK National Quantum Technologies Programme”, January 24, (2018)

72

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE

Ce.Mi.S.S.1

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e

per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria

opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di

pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del

Ricercatore e non quella del Ministero della Difesa.

Maurizio ARTONI (*)

M. Artoni, Ph.D. The City University (New York, 1990), National Academy of Science Fellow

& Goddard Space Flight Center (NASA, Washington, 1991-93), Research Officer (1993-99)

The University of Essex (UK) e Consejo Superior de Investigationes Cientificas (Spagna),

Laboratorio Europeo di Spettroscopia non Lineare (LENS, 2000-02), Professore (2002,

Università di Brescia), Ricercatore associato (LENS ed Istituto nazionale di ottica (2005).

I suoi interessi fino ad oggi includono l'ottica quantistica, coerenza quantistica in strutture

atomiche e fotoniche a bassa dimensionalità, aree di ricerca svolte in collaborazione con

teams nazionali e internazionali (Scuola Normale Superiore (Pisa), Essex, St. Andrews,

Exeter e York University (UK), Universitat Autonoma de Barcelona (Spagna), Jilin University

e Center for Quantum Sciences (Cina) etc.). Ha coordinato progetti nazionali (PRIN-MIUR,

PAISS-INFM”, etc…) e progetti internazionali (“Action Integrada” Italia-Spagna, “CRUI-

British Council”, progetti Grande Rilevanza Italia-Cina del Ministero degli Affari Esteri

italiano e della National Science Foundation of China, etc…). Responsabile esterno nella

valutazione della ricerca per principali iniziative scientifiche e tecnologiche nazionali e

internazionali (Comissió d'Avaluació de la Recerca a AQU Catalunya (Spagna), John D. e

Catherine T. MacArthur Foundation (US), NASA-Goddard Space Flight Center (US),

l'Istituto Nazionale di Scienze dell'Educazione e della Ricerca (NISER) del Governo

dell’India, Ministero dell'Istruzione, dell'Università e della Ricerca (MIUR) etc.)

(*) Per maggiori dettagli si rimanda al sito ugov dell'unibsphotos.

1 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx

Satmpato dalla tipografia del Centro Alti Studi per la Difesa____________

Printed by typography fo the Center for Defence Higher Studies