[ Vittorio Prisco ]

1

Introduzione alla

Crittografia Quantistica

A cura di Vittorio Prisco

“ Chiunque non rimanga scioccato dalla teoria quantistica vuol

dire che non l’ha capita. "

[ Niels Bohr ]

[ Vittorio Prisco ]

2

I. Indice

I Indice 2

II Prefazione 3

1. La crittografia moderna 5

2. Quantum Key Distribution (QKD) 6

2.1. La polarizzazione del fotone 7

2.2. Il principio di indeterminazione e la sovrapposizione

degli stati 12

2.3. Il canale quantistico 17

2.4. L’idea di base della QKD 19

2.5. Il protocollo BB84 20

2.6. Esempio di trasmissione della chiave 22

2.7. Controllo degli errori 23

2.8. Strategie di origliamento 26

2.8.1 Intercettare / Rimandare 27

2.8.2 Divisione del raggio 28

3. Oblivious Transfer (OT) 29

3.1. Attacchi al protocollo OT 33

3.1.1. Attacchi di Alice 33

3.1.2. Attacchi di Bob 34

3.1.2.1 Attacco standard 34

3.1.2.2 Divisione del raggio 34

4. Esempi di implementazioni commerciali di QKD 36

5. Riferimenti 37

[ Vittorio Prisco ]

3

II. Prefazione

Negli ultimi mesi si è sentito parlare molto di Crittografia Quantistica:

annunci, press-realese, progetti, finanziamenti e prototipi commerciali. Verso la

fine del 2003 sono comparsi sul mercato i primi due prototipi commerciali da

parte di "MagiQ Technologies" (New York) e "id Quantique" (Ginevra). Inoltre

altre aziende, quali NEC, Toshiba e Hewlett-Packard, stanno sviluppando propri

sistemi di Crittografia Quantistica che presto appariranno sul mercato.

La Crittografia Quantistica ha già catturato l'interesse di governi, di militari

ed agenzie di sicurezza, di banche ed istituzioni finanziarie.

Ad esempio, Visa International, l'azienda internazionale di carte di credito,

sta sperimentando questa tecnologia ed altre banche e istituzioni finanziare

hanno annunciato il loro interesse. L'Unione Europea ha finanziato il progetto

SECOQC, iniziato il 1 Aprile 2004 e da alcuni indicato come il progetto "anti-

echelon" europeo per lo sviluppo sia della ricerca che della implementazione

tecnologica e commerciale della Crittografia Quantistica (la Press Release è

disponibile sul sito quantenkryptographie.at e la descrizione del progetto sul

sito www.arcs.ac.at/quanteninfo).

Il progetto ha un budget di 11,4 Milioni di euro in 4 anni, vi partecipano 41

partner in 12 paesi europei, e per l'Italia vi sono l'Università di Pavia, il CNR, la

Scuola Normale Superiore di Pisa ed il Politecnico di Milano.

Uno dei primi risultati teorici è stata l'invenzione dei Computer Quantistici:

questi sono elaboratori che funzionano seguendo la logica delle leggi della

Meccanica Quantistica e quindi sono (potenzialmente) in grado di fare i conti in

modo molto diverso da quello noto a tutti noi. In particolare gli elaboratori

[ Vittorio Prisco ]

4

quantistici saranno in grado di risolvere alcuni difficili problemi matematici

istantaneamente. Tra questi problemi vi sono quelli su cui si basano molti degli

algoritmi crittografici moderni, quali ad esempio il famoso RSA.

In altre parole, se fosse possibile costruire oggi un elaboratore quantistico,

questo sarebbe in grado quasi istantaneamente di ottenere da una chiave

pubblica di qualunque lunghezza, la corrispondente chiave privata utilizzata

dagli algoritmi Asimmetrici quali RSA. Questi algoritmi sono utilizzati oggi per

l'identificazione delle parti e la creazione e scambio delle chiavi per cifrare le

connessioni. Poterli "rompere" vorrebbe dire rendere del tutto insicuri smart-

card, firme e certificati digitali, navigazione in internet, email cifrate ecc.ecc. Al

momento comunque non siamo ancora in grado di costruire un efficiente

elaboratore quantistico, e le stime più ottimistiche indicano che ci vorranno

ancora 20 anni.

[ Vittorio Prisco ]

5

1. La crittografia moderna

Il bisogno di nascondere informazioni segrete ha da sempre ricoperto un

ruolo di importanza notevole per l’uomo; a tal motivo, la crittografia,

radica le sue origini in tempi lontani: anche Cesare, in epoca romana, usava

un particolare codice per poter inviare i suoi messaggi in tutta sicurezza al

fine di essere illeggibili se caduti in mano nemica.

Oggi la diffusione di Internet e l’utilizzo che se ne fa, obbliga il

nascondimento della maggior parte delle informazioni che gli utenti si

scambiano e la crittografia è chiamata a ricoprire un ruolo decisivo.

Un tempo, la segretezza dei sistemi di cifratura dipendeva in massima

parte dalla segretezza delle procedure di cifratura e di decifratura: Enigma,

la macchina utilizzata dai tedeschi per codificare i messaggi e la cui rottura

è stata di forte impatto per l’esito della Seconda Guerra Mondiale, ha

chiarito che la sicurezza delle informazioni cifrate deve basarsi unicamente

sulla segretezza della chiave; per questo, attualmente, le tecniche

crittografiche si possono dividere in due categorie: quelle a chiave

condivisa e quelle a chiave pubblica.

Nella crittografia a chiave condivisa mittente e destinatario, che

chiameremo rispettivamente Alice e Bob, devono condividere una chiave

tramite la quale possono cifrare e decifrare le informazioni. La chiave,

però, deve essere condivisa prima di spedire il messaggio vero e proprio, e

questo a volte può non essere gradito.

Il problema maggiore che si incontra con questa tecnica crittografica è

proprio la condivisione della chiave. Per risolvere questo inconveniente,

[ Vittorio Prisco ]

6

sono stati pensati alcuni protocolli che consentono lo scambio della chiave

in relativa sicurezza, ma la soluzione migliore è venuta con un nuovo tipo

di cifrario, quello a chiave pubblica. Ogni utente possiede due chiavi, una

pubblica ed una privata; la prima viene usata per comunicare tramite lo

scambio di messaggi cifrati, mentre la seconda viene utilizzata per eseguire

la decifratura.

Questo tipo di cifratura si basa su alcune assunzioni della teoria dei

numeri e sulla difficoltà di eseguire certe operazioni matematiche: il noto

algoritmo RSA, per esempio, si basa sulla difficoltà di fattorizzare un

numero intero molto grande per garantire che, pur conoscendo la chiave

pubblica, non esista alcun modo computazionalmente efficiente per

ottenere la chiave privata; la scoperta di un algoritmo efficiente o di un

teorema matematico che risolva questo problema, porterebbe alla sua

inutilità.

2. Quantum Key Distribution (QKD)

Già dagli anni ’70 gli studiosi si chiedevano se sarebbe stato possibile

utilizzare le teorie che si basano su particelle sub-atomiche, atomiche ed

elementari, ovvero le teorie della meccanica quantistica, per applicazioni

del tutto innovative nel mondo macroscopico.

Come vedremo nei prossimi paragrafi, le leggi che governano le

particelle atomiche e sub-atomiche sono totalmente differenti da quelle su

cui si basa la vita di tutti i giorni; ciò le rende difficili da comprendere ma

[ Vittorio Prisco ]

7

sono al contempo potenzialmente foriere di applicazioni oggi impensabili

altrimenti.

Una di queste applicazioni è la Crittografia Quantistica, ancora in fase di

sperimentazione ma che ben presto potrebbe segnare un notevole passo in

avanti nel mondo della protezione dell’informazione.

2.1 La polarizzazione del fotone

Prima di addentrarci nei “meandri della crittografia quantistica”,

facciamo una digressione di carattere scientifico, fondamentale per

comprendere a pieno ciò di cui si parla in questa trattazione.

Con gli anni, abbiamo assistito ad una vera e propria rivoluzione

scientifica che oggi ci ha portato fino allo sviluppo e allo studio di una

nuova teoria, quella rappresentata dalla meccanica quantistica.

Tale teoria si basa su aspetti tanto rivoluzionari ed innovativi quanto di

difficile studio ed applicazione. Tutto nasce dalla fondamentale incapacità

degli schemi concettuali “classici” di rendere conto di alcuni fenomeni

fisici di basilare importanza.

La meccanica classica, nata dalle profonde intuizioni di Galileo Galilei e

concretatasi grazie al genio di Isaac Newton, ha consentito di unificare

fenomeni naturali diversissimi fornendo una spiegazione ai processi

termodinamici o elettromagnetici grazie all’uso di equazioni che governano

in modo preciso ogni evento naturale. Essa descrive benissimo il quadro

concettuale sino alla fine del secolo scorso, ma come si poteva riconoscere

[ Vittorio Prisco ]

8

secondo la teoria classica l’esistenza reale sia dei corpuscoli materiali

discreti che dei campi continui?

Tra il 1925 e il 1926, gli scienziati Heisenberg e Schrodinger giunsero,

indipendentemente e seguendo due linee di pensiero assolutamente

diverse, a formulare in modo preciso due modelli teorici che seguono la

nascita della nuova meccanica, la meccanica quantistica.

Heisenberg, infatti, basò la sua teoria sul linguaggio matriciale creando

la “meccanica delle matrici”, Schrodinger invece, basò tutto sul linguaggio

tipico delle equazioni delle onde e il frutto dei suoi studi oggi è noto come

“meccanica ondulatoria”.

Alcuni anni dopo la nascita delle due teorie apparentemente lontane

l’una dall’altra, lo studioso Dirac dimostrò che esse non rappresentavano

altro che due modi diversi di esprimere matematicamente le stesse

identiche leggi. La nuova teoria comportò un’ulteriore unificazione nella

concezione della natura: fenomeni ondulatori e corpuscolari risultavano

uniti in modo tale che ogni processo fisico potesse coinvolgere

simultaneamente queste due facce della realtà.

Difatti, i quanti di luce, detti fotoni, si comportano in molti esperimenti

come delle particelle e analogamente, le particelle, sotto opportune

condizioni, si comportano come onde.

I principi chiave della teoria quantistica si basano sul fenomeno della

polarizzazione della luce : le caratteristiche dei fenomeni di polarizzazione,

in particolare il modo in cui gli stati di polarizzazione possono combinarsi,

presentano analogie strette col modo in cui si combinano tutti gli stati

quantistici. Non solo, quasi la maggior parte degli esperimenti quantistici

[ Vittorio Prisco ]

9

effettuati intorno a tale teoria coinvolgono direttamente o gli stati di

polarizzazione dei fotoni o le proprietà delle particelle materiali (la più

tipica è quella dello spin) che presentano analogie con le proprietà di

polarizzazione del campo elettromagnetico.

In breve, discutiamo una serie di semplici esperimenti con fasci di luce

polarizzata avendo a disposizione uno o due paia di occhiali con lenti

Polaroid.

Una sorgente naturale di luce, come il sole o il filamento di una

lampadina, emette radiazioni luminose che variano di continuo nello

spazio e nel tempo. Genericamente il fascio non è né monocromatico

(contenendo radiazioni di diversa lunghezza d’onda), né polarizzato.

Inoltre, si può constatare subito che più sorgenti indipendenti

contribuiscono a produrre l’onda luminosa emettendo radiazioni senza

relazioni di frequenza, ampiezza e fase e generando un campo variabile

casualmente punto per punto ed istante per istante (quindi senza un

preciso stato di polarizzazione).

In ogni modo, è possibile polarizzare il fascio facendogli attraversare un

filtro polarizzatore che consente l’attraversamento della sola radiazione

con una specifica polarizzazione.

Per fare questo, è utilissimo l’uso di un filtro polaroid, una lastra

plastica utilizzata per costruire lenti per occhiali da sole con la capacità di

sopprimere i riflessi evitando abbagliamenti.

[ Vittorio Prisco ]

10

Consideriamo un fascio di luce che si propaga e la superficie dell’onda

incidente a un certo istante ed in un certo punto del raggio; inoltre,

definiamo EEEE il vettore indicante la direzione del raggio e il piano di

polarizzazione della luce che può assumere una libera orientazione sulla

superficie stessa.

Fatte queste considerazioni, possiamo dire che, quando il fascio

luminoso attraversa il filtro esso viene attenuato riducendosi nell’unica

frazione di luce incidente e risulta polarizzato nel piano di polarizzazione

orientato del filtro.

Nel caso in cui il raggio polarizzato è inviato ad un secondo filtro con

un altro piano di polarizzazione, possiamo notare che se il piano

caratteristico del secondo filtro è coincidente con quello del primo, avremo

un assorbimento della luce trascurabile e quindi una trasmissione massima.

Se i piani vengono disposti perpendicolarmente, allora la trasmissione è

nulla ed il risultato è il buio totale.

Possiamo legare l’intensità luminosa trasmessa IT all’intensità luminosa

incidente IO tra i piani di polarizzazione disposti secondo un angolo Ө,

tramite la legge di Malus :

IT = IO cos2 Ө

[ Vittorio Prisco ]

11

Ovviamente si può constatare che, se il secondo filtro fosse disposto a

45º rispetto al primo polarizzato verticalmente, avremmo un parziale

assorbimento e circa il 50% della luce verrebbe trasmessa.

L’analisi fatta sui fenomeni di polarizzazione ci deve far riflettere su

come, le stesse considerazioni, possono essere fatte nell’ambito della natura

corpuscolare della radiazione e quindi dobbiamo capire come si

comporterebbero i fotoni se attraversassero filtri polarizzati e che tipo di

conseguenze si avrebbero sull’energia emergente.

A tal scopo, considerando la trasmissione di un fascio di struttura

corpuscolare attraverso due filtri polarizzatori il cui piano di

polarizzazione risulta verticale, orizzontale e a 45º, si ha che, analogamente

a quanto detto prima, se il secondo piano è a 45º viene attraversato

esclusivamente dalla metà del fascio di quanti del campo elettromagnetico

incidente.

Dobbiamo precisare che in nessun modo si può ipotizzare a priori quali

fotoni superano il filtro, dato che non è possibile differenziare e

distinguere preventivamente una particella dall’altra e peraltro è

impensabile credere che i fotoni che attraversano il filtro rispetto ad altri

che non lo fanno abbiano caratteristiche differenti e preferenziali.

Per questi motivi, dovremo accettare la natura decisamente aleatoria dei

processi naturali che governano questa teoria e basare i nostri studi sugli

esiti di natura probabilistica a nostra disposizione.

[ Vittorio Prisco ]

12

2.2 Il principio di indeterminazione e la

sovrapposizione degli stati

Un aspetto fondamentale della teoria quantistica sta nell’abbandonare la

visione deterministica del mondo fisico, ossia l’idea della possibilità di

conoscere l’andamento futuro di un sistema a partire dalla conoscenza di

alcune grandezze fisiche in un certo istante.

La realtà viene modellata attraverso l’introduzione di funzioni di

probabilità ed il “caso” comincia a rivestire un ruolo essenziale ed

intrinseco del fenomeno.

In questa ottica dobbiamo considerare due aspetti chiave:

1. il fondamentale principio di indeterminazione di Heisenberg datato

1927;

2. ed il principio di sovrapposizione degli stati.

Il primo stabilisce che “ogni misura fatta su un sistema quantistico che

estragga qualche informazione a riguardo dello stesso, necessariamente

disturba il sistema, anche se in misura molto piccola”. Da ciò si deduce che,

fintanto otteniamo una particolare informazione su una data quantità,

inevitabilmente finiamo per perdere informazioni su altre quantità del

sistema, questo perché esse sono semplicemente non ortogonali.

Di conseguenza, la misura di due variabili, canoniche e coniugate, q e p

è soggetta a una limitazione intrinseca di precisione; infatti, se indichiamo

con ∆q e ∆p le imprecisioni delle due misure, queste risultano legate dalla

relazione di indeterminazione:

[ Vittorio Prisco ]

13

∆q ∆p ≈ ћ,

dove ћ è la costante di Planck che risulta essere 1,0546 × 10-27 Erg � s.

Data la piccolezza della costante di Planck, gli effetti del principio di

indeterminazione sono del tutto trascurabili nel mondo macroscopico,

mentre diventano essenziali nel mondo atomico e subatomico.

Il secondo degli aspetti citati, è quello della sovrapposizione degli stati,

ma prima di considerare il principio nel dettaglio è opportuno fare qualche

osservazione e fornire alcune definizioni.

Prima di tutto, considerando un sistema meccanico con N gradi di

libertà, nella teoria classica, possiamo dire che lo stato di un sistema è

completamente determinato se si conoscono, ad un certo istante le 2N

coordinate canoniche (q, p). In virtù di ciò, una grandezza fisica A è

rappresentata da una funzione delle q e delle p tale che A= A(q, p , t) e il

valore della funzione ad un dato istante t corrisponde al risultato di una

eventuale misura.

Questo vuol dire, in meccanica classica, che la misura di una data

grandezza in un preciso stato del sistema dà sempre (a meno di eventuali

errori) un risultato univoco.

In meccanica quantistica la situazione è profondamente differente.

Infatti, uno stato del sistema, che chiameremo “stato quantico”, sarà dovuto

dalla simultanea conoscenza di un set massimo di grandezze indipendenti e

compatibili fra loro.

Considerando che una grandezza fisica misurabile prende il nome di

“osservabile” e che se le osservabili misurate risultano in un numero

[ Vittorio Prisco ]

14

massimo si dice che si fa un “osservazione massima”, si può affermare che se

{A1, A2, …, AN} è un’osservazione massima del sistema e {a1, a2, …, aN} sono

i valori osservati, lo stato quantico corrispondente è |a>, secondo la

notazione di Dirac. Inoltre, se il sistema è allo stato |a> e viene misurata

una delle Ai ottenendo un risultato univocamente da ai allora, |a> è detto

autostato di Ai.

Ogni osservabile ammette sempre almeno un autostato per ogni risultato

della misura. Viceversa, se misurassimo un’osservabile B incompatibile con

le Ai non otterremmo un risultato univoco, quindi ripetendo più volte le

misure di B, col sistema nello stato |a>, avremmo di volta in volta risultati

b1, b2, …, bN diversi.

Questo ci fa dedurre che il risultato di una singola misura non è

assolutamente prevedibile ma la meccanica quantistica ci permette

mediante il calcolo a priori della probabilità di avere i diversi risultati.

Emergono, dunque, due importanti aspetti:

1. in generale, nella teoria quantistica, il risultato di una misura non è una

funzione univoca dello stato;

2. un’osservazione del sistema influisce fortemente su di esso dato che ne

modifica in modo evidente lo stato quantico. Infatti, se il sistema si

trova inizialmente nello stato |a> e viene fatta la misura di B ottenendo

bk, dopo la misura il sistema si verrà a trovare nell’autostato |bk>.

A questo punto, presentiamo il principio di sovrapposizione degli stati,

fondamentale per poter comprendere a fondo il caso degli stati di

[ Vittorio Prisco ]

15

polarizzazione di un fotone a cui si è fatto riferimento nel precedente

paragrafo.

Se un sistema è nello stato |a> e si esegue la misura di B, si ha la

probabilità Pk di trovare il risultato bk ovvero il sistema nell’autostato |bk>.

Questo ci indurrebbe, sbagliando, a pensare che lo stato |a> è un mix

statico di autostati |bk con pesi Pk; sbagliamo per il solo fatto che, prima di

eseguire la misura, lo stato quantico del sistema è uno stato ben definito,

tant’è che è detto stato puro e non una miscela di stati. A questo punto

dobbiamo affinare le nostre conclusioni e, correggendoci, possiamo

affermare che lo stato |a> è una sovrapposizione degli autostati

componenti, ciascuno dei quali ha un peso statistico e una data fase.

I risultati emersi da questa discussione hanno validità generale e,

opportunamente formulati, faranno parte dei postulati basilari della

meccanica quantistica.

Li riassumiamo nel modo seguente:

1. Possiamo associare ad un generico “stato quantistico” di un sistema un

elemento |ψ> di un opportuno spazio vettoriale che chiameremo, con

notazione di Dirac, vettore “ket”. Tale vettore, considerato in norma 1,

prende il nome di vettore di stato;

2. ogni grandezza osservabile A ammette un insieme di autostati |ak > che

chiameremo autovettori, almeno uno per ogni possibile risultato ak della

misura;

[ Vittorio Prisco ]

16

3. l’insieme di autovettori costituisce una base ortonormale dello spazio,

quindi qualunque vettore di stato può essere espresso come

combinazione lineare a coefficienti complessi degli autovettori:

|ψ> = ∑k ck|a k> .

Tale sviluppo matematico costituisce l’espressione formale del principio

di sovrapposizione.

4. La probabilità Pk di trovare il risultato ak della misura di A è data dal

modulo quadro del coefficiente ck del seguente sviluppo:

Pk = | ck | .

Siccome il vettore è |ψ>=∑k ck|ak>, per ottenere i ck, ovvero i

coefficienti dell’equazione per il vettore di stato, abbiamo bisogno di un

prodotto scalare tale che ck =<ak| ψ>.

Questo ci permetterà di risolvere il calcolo delle Pk che dipendono

unicamente dallo stato iniziale e dai valori di ak.

Infine, se vale |ψ>= ∑k ck|ak> deve poter valere anche il contrario,

ovvero che qualsiasi combinazione lineare convergente degli |ak>

corrisponde a un vettore di stato |ψ>. Le proprietà citate sono tipiche dello

spazio di Hilbert e per tal motivo deduciamo che lo spazio di vettori di

stato è uno spazio lineare sul campo dei numeri complessi, in particolare

uno spazio di Hilbert Ĥ. Le dimensioni di tale spazio dipendono dal sistema

quantistico ed ogni misura fisica che può essere effettuata sul sistema

[ Vittorio Prisco ]

17

corrisponde alla risoluzione del suo spazio di Hilbert in sottospazi

ortogonali, uno per ogni possibile esito della misura.

A questo punto si possono definire meglio gli stati quantici dichiarando

che uno stato puro è rappresentato da un vettore |ψ> appartenente ad Ĥ,

detto vettore di stato, normalizzato e determinato a meno di un fattore di

fase associando ad un dato sistema fisico S uno spazio di Hilbert ĤS. Dal

punto di vista delle particelle lo stato riguarda l’insieme di tutte le

caratteristiche descriventi un fotone, quali energia cinetica, velocità,

momento, polarizzazione, componenti di spin ed altro ancora.

Da un punto di vista pratico, si possono trasmettere bit d’informazione

utilizzando fotoni opportunamente polarizzati a 45, 90, 135, 180 gradi, in

modo tale che ogni fotone contenga un bit di informazione. La

polarizzazione del fotone trasmesso sarà determinata dal valore del bit da

rappresentare (0, 1) e dalla base di conversione utilizzata (rettilinea,

diagonale).

2.3 Il canale quantistico

Il canale quantistico è composto da:

1. un dispositivo ottico di emissione capace di produrre fotoni polarizzati

in una delle 4 configurazioni possibili;

2. un cavo (fibra ottica, per esempio) su cui viaggiano i fotoni;

3. un dispositivo che permette la misurazione della polarizzazione dei

fotoni da parte dell’utente destinatario.

[ Vittorio Prisco ]

18

Per poter misurare la polarizzazione si può usare un cristallo di calcite

che permette di inviare i fotoni a seconda della loro polarizzazione lungo

una delle due possibili direzioni (vedi figure sotto)

FigFigFigFig: fotoni a polarizzazione orizzontali FigFigFigFig: fotoni a polarizzazione verticale

FigFigFigFig: fotoni a polarizzazione diagonale

Come si può notare dalle figure, quando un fotone incontra il cristallo si

può comportare in due modi:

1. può attraversarlo in linea retta ed emergerne polarizzato

perpendicolarmente rispetto all’asse ottico del cristallo;

2. può essere traslato ed emergerne polarizzato lungo l’asse stesso.

Se, entrando nel cristallo, il fotone è già polarizzato in una di queste due

direzioni, esso non subisce modifiche di polarizzazione, ma viene avviato

in modo deterministico lungo un cammino diretto o lungo quello traslato.

Se, invece, nel cristallo entra un fotone polarizzato secondo qualche

direzione intermedia, allora esso può seguire, a seconda dei casi, uno dei

due cammini e quindi venire opportunamente ripolarizzato, perdendo la

polarizzazione d’origine.

[ Vittorio Prisco ]

19

Un comportamento del tutto casuale si ha quando la polarizzazione è

intermedia fra queste due direzioni, ovvero è di 45 o 135 gradi: in questo

caso la probabilità che il fotone segua l’uno o l’altro cammino è la stessa.

In questo modo, inoltre, la memoria della polarizzazione originaria è

persa e su di essa il fotone non rivela più nulla.

2.4 L’idea di base della QKD

La crittografia quantistica permette la creazione e lo scambio delle

chiavi di una comunicazione segreta in modo totalmente innovativo. La

creazione e lo scambio sono “idealmente” sicuri dato che avvengono

secondo i principi base della meccanica quantistica e la teoria dei campi.

L’obiettivo principale della QKD (Quantum Key Distribution) è di

utilizzare il canale quantistico per far in modo che due interlocutori, i quali

inizialmente non condividono informazioni segrete, possano accordarsi su

un insieme di bit casuali. Ciò è ottenuto in modo tale che essi, da successive

conversazioni su un canale ordinario non quantistico possano dire, con un

alto indice di certezza, se la trasmissione quantistica è stata disturbata nel

transito da un eventuale origliatore. Se la trasmissione quantistica non è

stata disturbata, gli utilizzatori possono sicuramente utilizzare questi bit

segreti come una chiave condivisa, per cifrare le comunicazioni successive.

Se la trasmissione è stata disturbata, gli utilizzatori scartano i bit

ottenuti e provano ancora.

[ Vittorio Prisco ]

20

2.5 Il protocollo BB84

Descriviamo il protocollo ormai noto come BB84 ideato da Bennet e

Brassard nel 1984 e che consente lo scambio di una chiave in maniera sicura

tra due utenti che non dispongono di alcuna informazione segreta in

comune.

Supponiamo che Alice e Bob dispongano di due canali di

comunicazione: uno quantistico (che consente la trasmissione di segnali

basati su fenomeni quantistici e che solitamente è una fibra ottica) ed uno

convenzionale, e che siano possibili intercettazioni passive su questi canali.

Le informazioni che Alice scambia con Bob sul canale quantistico sono

singoli fotoni ad una determinata polarizzazione: possiamo scegliere, per

semplicità, quelle orientate nelle direzioni:

che definiscono due basi ×××× e + non ortogonali tra loro: ciò significa che, per

il Principio di Indeterminazione di Heisenberg, non è possibile misurare

contemporaneamente se la polarizzazione è diagonale o rettilinea.

Supponiamo che il modo di rappresentare i bit 0 e 1 sia noto a priori, e

comunque sul quale è possibile accordarsi pubblicamente senza bisogno di

segretezza.

Alice si appresta a spedire i propri dati nel seguente modo: sceglie

casualmente se spedire un bit 0 o 1, sceglie sempre casualmente che base

[ Vittorio Prisco ]

21

utilizzare per spedire il bit, se ×××× e +, e quindi prepara il fotone con la

polarizzazione risultante e lo spedisce a Bob.

Bob, non essendo a conoscenza della base scelta da Alice per spedire i

fotoni, sceglie casualmente quale utilizzare per rilevarne la polarizzazione:

se è la stessa utilizzata per crearli, l’identificazione avverrà correttamente,

mentre se è sbagliata Bob otterrà comunque un valore nella base scelta (se è

quella rettilinea, otterrà un fotone con polarizzazione o verticale od

orizzontale) perdendo però le informazioni del fotone originario.

Cerchiamo di spiegare meglio quest’ultimo punto; prendiamo per

esempio un rivelatore di polarizzazione; se Bob decide di controllare se i

fotoni hanno polarizzazione verticale, l’utilizzo di un filtro + consente di

avere due possibilità: il fotone è rivelato con polarizzazione verticale,

oppure il fotone è rivelato con polarizzazione orizzontale in modo certo. Se

la particella che Bob sta analizzando era stata spedita utilizzando proprio la

base + la misura che ha effettuato è corretta e rispecchia le informazioni di

Alice, ma se invece era stato spedito con base ×××× il fotone supererà

comunque il filtro +, ma avrà una polarizzazione casuale e che non ha nulla

a che vedere con quella con cui era stato spedito.

Raggiunto un numero adeguato di questi scambi, Alice smette di spedire

fotoni. Dal momento che, mediamente, Bob avrà scelto la base sbagliata

nella metà delle misurazioni, i due devono trovare un modo per ottenere la

stessa stringa di bit: Bob, allora, annuncia pubblicamente sul canale

convenzionale la lista delle basi da lui utilizzate per misurare i fotoni, ma

[ Vittorio Prisco ]

22

non cosa ha misurato. A questa lista, Alice risponde indicando quali basi

Bob ha utilizzato correttamente, ma non cosa ha spedito.

In questo modo, vengono a conoscenza di quali misurazioni sono state

effettuate correttamente cosicché le altre possono essere scartate per

mantenere solo le polarizzazioni per le quali hanno utilizzato la stessa base

ed ottenere una chiave identica da entrambe le parti e sicuramente segreta,

e che quindi potrà essere utilizzata per cifrare messaggi.

2.6 Esempio di trasmissione della chiave

Vediamo come funziona in pratica lo scambio delle chiavi appena descritto

considerando la seguente tabella:

1. Alice sceglie casualmente una serie di bit da inviare a Bob;

2. Alice sceglie ancora casualmente una serie di basi con cui spedire i bit

scelti;

3. i fotoni corrispondenti vengono creati da Alice e spediti;

4. Bob sceglie casualmente quale base utilizzare per esaminare il fotone in

arrivo;

5. Bob memorizza i risultati delle osservazioni;

[ Vittorio Prisco ]

23

6. Bob trasforma le informazioni sulle polarizzazioni in una sequenza di

bit;

7. Bob, per sincerarsi di avere la stessa chiave di Alice, le manda le

informazioni sulle basi utilizzate per misurare i fotoni a cui Alice

risponde indicando quali sono corrette;

8. infine, la chiave che possono usare è ricavata come una sottosequenza

della stringa originaria, quella per cui hanno usato le stesse basi.

2.7 Controllo degli errori

È interessante notare come la probabilità che le risultanti stringhe di

Alice e Bob concordino completamente non può essere resa pari ad 1.

Possono, infatti, capitare degli errori dovuti a ripolarizzazioni di fotoni

durante il transito anche in assenza di origliamento.

[ Vittorio Prisco ]

24

Se il numero di errori capitati è relativamente piccolo essi potrebbero

essere corretti tramite l’uso di un codice concordato a correzione d’errore,

generando una sequenza controllata di bit. Questa sequenza può essere

inviata a Bob su un canale pubblico. Se il codice ha sufficiente ridondanza,

Bob può decodificare univocamente l’informazione disponibile per

recuperare, con alta probabilità, la stringa di Alice.

Il controllo di qualità descritto è dispendioso in quanto una parte

significativa di bit viene sacrificata per fornire ragionevole margine di

sicurezza che i dati dei due interlocutori siano identici, anche se gli episodi

di spionaggio sono stati poco frequenti ed hanno comportato pochi errori.

Tale inconveniente può essere risolto da un più sottile protocollo di

verifica che fa uso del controllo di parità di un sottoinsieme casuale di bit

scelto pubblicamente. Questo protocollo riconciliativi consta dei seguenti

passi:

1. Alice e Bob permutano la stringa in base ad una permutazione su cui si

sono accordati e quindi, partizionano le loro stringhe permutate in

blocchi di dimensione k tali che i singoli blocchi contengano, con bassa

probabilità, più di un errore

2. per ogni blocco, Alice e Bob, confrontano la parità. Blocchi con parità

concorde sono ritenuti momentaneamente corretti mentre blocchi con

parità discorde vengono sottoposti a ricerca bisettiva, rivelando al limite

log k parità supplementari di sottoblocchi, finché l’errore è trovato e

corretto. Per evitare di fornire troppa informazione ad Eva

(l’origliatore) durante il processo di riconciliazione, Alice e Bob si

[ Vittorio Prisco ]

25

accordano anche di scartare l’ultimo bit di ogni blocco o sottoblocco, di

cui hanno ricavato la parità.

3. per rimuovere gli errori rimasti la permutazione casuale e la rivelazione

della parità dei blocchi è ripetuta molte più volte, con dimensione dei

blocchi incrementata, finché Alice e Bob stimano che al più un piccolo

numero di errori rimangono nei dati. Anche questo approccio, tuttavia,

è abbastanza dispendioso. Se la dimensione dei blocchi è scelta così che

vi siano l blocchi, la probabilità di non scoprire l’esistenza di tali errori

e 1/ l e il costo per questa strategia è di l bit, dato che ne perdiamo uno

per blocco.

A quest’ultimo problema si può ovviare considerando un’ulteriore

strategia che risulta essere più efficiente della precedente: per ogni

iterazione, Alice e Bob, confrontano la parità di un sottoinsieme casuale,

scelto pubblicamente, delle posizioni dei bit nelle loro rispettive stringhe.

Se le stringhe non sono identiche, allora le parità del sottoinsieme

casuale saranno in disaccordo con probabilità ½. Se un disaccordo è

trovato, Alice e Bob intraprendono una ricerca bisettiva con lo stesso

criterio (scegliendo un sottoinsieme casuale delle sottostringhe casuale e

così via) per trovare e rimuovere gli errori. Come nel precedente passo,

l’ultimo bit di ogni sottoinsieme confrontato è scartato. Per assicurarsi che

le stringhe siano veramente identiche, con una trascurabile probabilità di

non scoprire i rimanenti errori sarà sufficiente attendere 20 accordi

consecutivi. Osserviamo che con questa strategia la probabilità di non

scoprire errori dopo l iterazioni è di (1/2)l che è molto minore di 1/l , per l

[ Vittorio Prisco ]

26

grande, e comporta la perdita di ugualmente l bit. A questo punto del

protocollo, Alice e Bob sono in possesso di una stringa che è quasi

certamente condivisa, ma solo parzialmente segreta, in quanto Eva ha

potuto apprendere tutti i bit di parità che essi hanno rivelato, oltre ai bit

appresi attraverso le sue misurazioni. Prima di procedere, Alice e Bob

devono necessariamente stimare l’intensità dell’origliamento e questo può

essere fatto in base al numero di errori che hanno incontrato e corretto,

all’intensità dell’impulso originale ed all’efficienza quantistica dei

rilevatori di Bob. Se osservano un sensibile origliamento, scartano i loro

dati e riprovano la trasmissione quantistica.

Se Alice e Bob ritengono che Eva abbia appreso poca informazione,

possono proseguire il protocollo estraendo dalla stringa riconciliata una

sottostringa più piccola ma quasi certamente segreta, applicando la tecnica

dell’amplificazione della riservatezza che descriveremo in seguito.

Sia x la stringa riconciliata ed n la sua lunghezza. Definiamo

innanzitutto un bit deterministico di informazione su x il valore e(x) di

un’arbitraria funzione e : { 0,1 }n � { 0,1 }. Ricordiamo che i bit di parità

sono bit deterministici mentre quelli di informazione di Shannon non lo

sono. È possibile dimostrare che se la conoscenza di Eva circa x non è più l

bit deterministici, una funzione hash scelta pubblicamente e casualmente

da un’appropriata classe di funzioni h : { 0,1 }n � { 0,1 } n –l –s , mapperà x in

una stringa h(x) per la quale l’informazione attesa da Eva è minore di

(2 – s) ln2 bit, dove s > 0 è un arbitrario parametro di sicurezza. Questa

tecnica è applicabile per Alice e Bob perché i bit di parità sono un caso

speciale di bit deterministici. Inoltre per poter scegliere una tale funzione

[ Vittorio Prisco ]

27

di contrazione, non è neppure necessario che le due parti sappiano quali

informazioni parziali possa avere l’origliatore sull’input. In particolare basta

definire ciascun bit dell’output come la parità di un sottoinsieme

indipendente ed aleatorio, concordato pubblicamente, dei bit di input.

2.8 Strategie di origliamento

Sia μ il numero atteso di fotoni per impulso luminoso. Se μ è

sufficientemente più piccolo di 1, esso è approssimativamente anche la

probabilità che un fotone venga percepito, all’interno di un impulso, da un

detector perfettamente efficiente. Diciamo inoltre che un impulso ha

successo se Bob lo percepisce nella base originale scelta da Alice. In altri

termini gli impulsi con successo sono quelli che contribuiscono ad un bit

nella trasmissione quantistica. Fatte queste premesse, analizziamo più in

dettaglio le varie strategie di origliamento che Eva potrebbe seguire.

2.8.1 Intercettare / Rimandare

In questo panorama, Eva intercetta alcuni impulsi luminosi e li legge

nella base da lei scelta. Per ogni impulso, con probabilità

approssimativamente μ, i detector perfettamente efficienti di Eva riescono

a percepire un fotone. Quando questo avviene, Eva fabbrica e manda a Bob

un impulso della stessa polarizzazione da lei percepita, ma anche della

stessa intensità, per evitare di essere scoperta da Bob.

[ Vittorio Prisco ]

28

Naturalmente Eva indovina l’esatta polarizzazione con probabilità ½. È

dimostrato che almeno il 25% degli impulsi intercettati o rispediti da Eva

produrranno degli errori se successivamente vengono misurati da Bob.

Inoltre, se ci sono t errori nella trasmissione quantistica, Alice e Bob

possono stimare che meno di 4t+5√(12t) dei loro bit sono stati soggetti ad

una strategia di intercettato/rimandato e che l’ammontare di informazione

lasciata ad Eva non vale più di (4+√2)+5√[(4+2√2)t] bit della trasmissione

quantistica. Quindi, Alice e Bob potrebbero tentare di determinare

empiricamente la percentuale d’errore attesa in assenza di origliamento e

usare la differenza tra la percentuale d’errore attesa in assenza di

origliamento e usare la differenza tra la percentuale d’errore predetta e

quella osservata, per stimare l’ammontare di informazione lasciata ad Eva

attraverso tale strategia.

2.8.2 Divisione del raggio

Tale attacco si basa sul fatto che gli impulsi trasmessi non sono, in

genere, a singoli fotoni. Per portare questo attacco, Eva usa uno specchio

parzialmente argentato, o un dispositivo equivalente, per deviare a sé una

frazione ƒ dell’intensità del raggio iniziale, lasciando passare la rimanente

frazione 1 – ƒ a Bob. Per evitare perdite di informazione misurando gli

impulsi nelle basi sbagliate, Eva potrebbe depositare la sua frazione di

impulso finché le corrette basi non sono state annunciate nella discussione

pubblica. Quando ciò verrà fatto, Eva misurerà i suoi impulsi in queste

basi. Con probabilità approssimativamente ƒμ, Eva riuscirà a percepire un

[ Vittorio Prisco ]

29

fotone ed otterrà, quindi, i bit di Alice per quell’impulso. Benché tale

procedimento in teoria funzioni, in pratica non lo si può applicare per

l’impossibilità tecnica di conservare fotoni per più di una piccola frazione

di secondo.

Osserviamo che tale attacco non introduce errori, ma fa ridurre

l’intensità dell’impulso che giunge a Bob di un fattore 1 – ƒ. Inoltre, se ƒ è

piccola, Alice e Bob potrebbero attribuire la riduzione di intensità a cause

naturali, per cui tale attacco non verrebbe rilevato. Osserviamo che se Eva

volesse misurare immediatamente i suoi fotoni, apprenderebbe una

frazione approssimativamente pari a μ / 2 della stringa di Alice (prendendo

ƒ=1; ½ perché con tale probabilità indovinerebbe la base) se effettuasse

misure nelle basi canoniche, ed una frazione non più grande di (μ√2)/2 se

utilizzasse la base di Breidbart dove √2/2 è la probabilità di successo.

La soluzione più semplice che Alice e Bob possano trovare a tale attacco

è di attendere un tempo arbitrariamente lungo, sufficiente per far sì che gli

impulsi si rovinino nel tempo, e solo allora annunciare le basi in cui hanno

effettuato le misure, ed inoltre utilizzare impulsi molto deboli in maniera

tale che il raggio non possa essere diviso significativamente. Riguardo a tale

attacco, è dimostrato che se la trasmissione quantistica consiste di N

impulsi con successo, Alice e Bob possono stimare che Eva ha appreso

meno di Nμ + 5 {√ [N μ (1-μ)] } bit, dove il secondo termine è la deviazione

standard.

[ Vittorio Prisco ]

30

3. Oblivious Transfer

Nell’oblivious transfer(OT), ed in particolare nella tipologia 1 out of 2

OT, Alice parte con due messaggi di due bit di sua scelta. Lo scopo del

protocollo è di trasmettere i messaggi a Bob in maniera tale che egli possa

scegliere di ricevere uno di loro ma non possa ottenere informazioni

significative su entrambi, mentre Alice rimane completamente ignorante di

quale dei due bit Bob abbia ricevuto. Si vedrà che nessuna parte può

ingannare (cioè deviare dal protocollo mentre lo eseguono) in maniera tale

da ottenere più informazioni di quelle che sono consentite dal protocollo.

Assumiamo che le trasmissioni quantistiche consistano di una serie di

impulsi molto deboli di luce polarizzata e che l’impulso non possa essere

memorizzato per una significativa lunghezza di tempo, così che il ricevente

risulti costretto a misurare ogni impulso prima che arrivi il successivo,

altrimenti perde l’opportunità di misurarlo.

Definiamo innanzitutto con d la percentuale di conteggio oscuro, cioè la

probabilità che un detector registri un conteggio durante un lasso di tempo

nel quale nessun fotone è incidente su di esso (una probabilità di errore,

dunque) e con q l’efficienza quantistica, ovvero la probabilità di registrare

un conteggio quando un fotone è incidente del detector. Siano b0 e b1 i bit

di Alice e sia c la scelta di Bob che vuole ottenere bc . Il protocollo OT si

può riassumere così:

a. Bob dice ad Alice l’efficienza quantistica q e la percentuale di conteggio

oscuro d dei suoi detector. È necessario adattare il protocollo alle

limitazioni fisiche dell’apparato rilevatore di Bob, se non si vuole

[ Vittorio Prisco ]

31

compromettere seriamente la probabilità di successo dello stesso. Se

questi valori sono soddisfatti Alice manda successivamente l’intensità µ

dell’impulso luminoso che vorrà utilizzare, la frazione a di tale impulso

che si attende che Bob percepisca con successo e la percentuale ε di

errore sui bit che sarà disposta a correggere nei dati di Bob, per

compensare il suo calcolo oscuro e le altre sorgenti di rumore. Alice

decide anche su un parametro di sicurezza N, usato nel seguito, e lo

comunica a Bob. I due, infine, si accordano su un codice binario lineare

a correzione d’errore capace di correggere, con alta probabilità, parole

ad N bit trasmesse con percentuale d’errore ε.

b. Alice manda a Bob una sequenza casuale di 2N/a impulsi luminosi di

intensità µ nelle quattro polarizzazioni canoniche.

c. Bob decide casualmente, per ogni impulso, se misurarlo su base

rettilinea o diagonale registrando basi e risultati delle misure in una

tavola ogni volta che percepisce un impulso. Quindi Bob riceverà con

successo approssimativamente 2N impulsi. Se egli ne ha ricevuti di più,

e ciò può avvenire a causa di conteggi sbagliati, ignora l’accesso; se ne

ha ricevuti di meno, e ciò può capitare a causa di perdite nel canale

quantistico, completa la tavola con entrate casuali in modo da avere

esattamente 2N entrate. Bob, infine, dice ad Alice il tempi di arrivo di

tutti i 2N impulsi, ma non le basi che ha usato per misurarli né i risultati

ottenuti (ciò assicura ad Alice che Bob effettivamente ha misurato gli

impulsi)

d. Alice rivela a Bob le basi che ha usato per mandare ognuno degli impulsi

da lui ricevuti.

[ Vittorio Prisco ]

32

e. Bob partiziona gli impulsi in 2 insiemi di N impulsi ciascuno: un buon

insieme consistente di impulsi ricevuti nella corretta base e un cattivo

insieme fatto di impulsi ricevuti nella base errata. Egli dice ad Alice gli

indirizzi dei due insiemi ma non le dice qual è il buono o il cattivo

insieme. A questo punto del protocollo Bob condivide con Alice una

parola (una stringa di N bit con un’attesa percentuale d’errore non più

grande di ε, se ha indovinato per meno di N volte la corretta

polarizzazione), corrispondente al suo buon insieme di misure;

condivide niente (o quasi niente, se ha misurato più di N bit nelle

corrette basi) riguardo al suo cattivo insieme di misure, supposto che

egli segua fedelmente il protocollo. D’altra parte Alice non sa quale

parola condivide con Bob. Vediamo, ora, come Bob possa correggere gli

errori occorsi nel suo buon insieme.

f. Usando il concordato codice a correzione d’errore, Alice computa le

sindromi delle parole corrispondenti ad ogni suo insieme e le manda a

Bob su un canale libero da errori. Da tali sindromi, Bob è in grado di

recuperare la parola originale corrispondente al suo buon insieme, ma

non quella corrispondente al suo cattivo insieme (questo per la proprietà

di opportuni codici detti codici concatenati, che sono in effetti quelli

scelti per la correzione degli errori). Inoltre, Alice computa un

sottoinsieme casuale di parità per ogni insieme e rivela a Bob gli

indirizzi definenti tali sottoinsiemi, ma non le risultanti parità. D’altra

parte, Alice conosce entrambe le parità, ma non sa quale di queste Bob

conosce. Siano x0 e x1 questi due bit di parità e sia č la conoscenza di

Bob (cioè Bob conosce xč ).

[ Vittorio Prisco ]

33

g. Bob dice ad Alice se c = č o meno ed è la prima volta che č entra in

gioco nel protocollo

h. Se c = č, Alice gli manda x0 XOR b0 e x1 XOR b1 (notiamo che ora

entrano in gioco b0 e b1) nell’ordine prescritto altrimenti x0 XOR b1 e x1

XOR b0. Da queste informazioni Bob è in grado di apprendere il suo bc.

Notiamo che, poiché Alice non sa se Bob conosce x0 o x1 non può

rendersi conto se lui ha effettivamente appreso b0 o b1. D’altra parte Bob

conosce solo x0 o x1, percui non è in grado di conoscere

contemporaneamente b0 e b1. Quindi l’Oblivious Transfer è realizzato nel

momento in cui Bob conosce o b0 o b1.

3.1 Attacchi al protocollo OT

I motivi per cui Alice e Bob sono tentati ad ingannare sono, per quanto

riguarda Alice, cercare di apprendere la scelta di Bob, per Bob, cercare di

conoscere entrambi i bit inviati da Alice. Vedremo come nessun attacco sia

in grado di raggiungere questi obiettivi, nonostante Alice e Bob dispongano

di elevate potenze computazionali.

3.1.1 Attacchi di Alice

Notiamo subito che Alice potrebbe ingannare al passo “h” inviando a

Bob il complemento di quello che egli vorrebbe. Tuttavia non si

tratterebbe di un vero inganno poiché un OT verrebbe effettuato lo stesso

anche se il bit trasferito non sarebbe quello voluto. Per determinare o dare

[ Vittorio Prisco ]

34

almeno un’indicazione circa il valore di c, Alice potrebbe rifiutarsi di

mandare una delle due sindromi al passo “f”. Il punto è che Bob non

avrebbe modo di interpretare tale comportamento se Alice monda il rifiuto

per il suo cattivo insieme. Quindi, se Bob reclama, Alice apprende che ciò è

dovuto al fatto che ella ha scelto di mandare il rifiuto per l’insieme buono.

Questo inganno potrebbe non dare frutti in quanto Bob potrebbe

scoprire Alice nell’atto dell’inganno, prima che abbia la possibilità di

apprendere qualcosa su c. Se Bob non reclama, allora Alice deduce che ha

inviato il rifiuto per il cattivo insieme e ciò consentirebbe ad Alice di

conoscere c in quanto il protocollo continuerebbe e lascerebbe Bob ignaro

della cosa.

3.1.2 Attacchi di Bob

Dal punto di vista di Bob ci sono molte strategie per tentare di creare

insiemi buoni al passo “e” o almeno due insiemi che gli facciano

apprendere qualcosa su entrambi i bit di Alice. Concentriamoci sulle

strategie dette simmetriche, che favoriscono entrambi gli insiemi formati

da Bob.

3.1.2.1 Attacco Standard

Consideriamo prima il caso in cui Bob non inganna al passo “c”: in tal

caso la strategia simmetrica si concretizza selezionando circa gli N/2 buoni

bit (e N/2 cattivi bit) in ogni insieme, ovvero Bob conoscerebbe solo metà

[ Vittorio Prisco ]

35

dei bit di ogni insieme. Tuttavia, quanto più il numero di bit di parità

mandati da Alice al passo “f” per ogni insieme è minore di N/2, circa ogni

insieme rappresenta la conoscenza di Bob.

3.1.2.2 Divisione del raggio

Un altro modo mediante il quale Bob può ingannare riguarda ancora il

passo “c”. Ricordiamo che gli impulsi mandati da Alice non sono a singoli

fotoni ma contengono µ fotoni, con µ molto più piccolo di 1, in particolare

c’è la possibilità che un impulso sia a conteggio multiplo, cioè contenga 2 o

più fotoni. In questo caso, Bob lo potrebbe separare in due fotoni

misurandoli in due diverse basi canoniche (rettilinea e diagonale). Dopo

aver ascoltato la corretta base da Alice al passo 4, Bob saprebbe quale

misura è stata rilevante e così apprenderebbe i bit di Alice con certezza.

[ Vittorio Prisco ]

36

4. Esempi di implementazioni commerciali di QKD

• La società americana MagiQ Technologies nata nel 1992 produce sistemi

QKD integrati con soluzioni VPN.

Alcuni dati del dispositivo MagiC QPN5505: refresh massimo delle

chiavi pari a 100 al secondo, VPN tramite IPSEC, standard AES, 3DES,

BB-84, distanza massima fibra ottica 120 Km, generatore di numeri

casuali.

[ Vittorio Prisco ]

37

• La società svizzera idQuantique è nata nel 2001 da uno spin-off di alcuni

ricercatori dell’Università di Ginevra. Oltre a produrre dispositivi di

QKD si è dedicata allo sviluppo di sistemi di generazione di numeri

casuali con dispositivi quantistici. Nei primi di Agosto del 2004 ha

lanciato un nuovo prodotto: Quantis-PCI, un generatore di numeri

casuali quantistico su scheda PCI.

5. Riferimenti

[1] C. Bennett, F. Bassette, G. Brassard, L. Salvail e J. Smolin,

Experimental quantum cryptography, Journal of Cryptology, vol. 5,

n.1, pag. 3-28, 1992

[2] C. Bennett, G. Brassard e A. Ekert, Crittografia Quantistica, 1992