Crittografia Quantistica definitiva - VITTORIOPRISCO.COM e Guide/Crittografia Quantistica.pdf ·...
Transcript of Crittografia Quantistica definitiva - VITTORIOPRISCO.COM e Guide/Crittografia Quantistica.pdf ·...
[ Vittorio Prisco ]
1
Introduzione alla
Crittografia Quantistica
A cura di Vittorio Prisco
“ Chiunque non rimanga scioccato dalla teoria quantistica vuol
dire che non l’ha capita. "
[ Niels Bohr ]
[ Vittorio Prisco ]
2
I. Indice
I Indice 2
II Prefazione 3
1. La crittografia moderna 5
2. Quantum Key Distribution (QKD) 6
2.1. La polarizzazione del fotone 7
2.2. Il principio di indeterminazione e la sovrapposizione
degli stati 12
2.3. Il canale quantistico 17
2.4. L’idea di base della QKD 19
2.5. Il protocollo BB84 20
2.6. Esempio di trasmissione della chiave 22
2.7. Controllo degli errori 23
2.8. Strategie di origliamento 26
2.8.1 Intercettare / Rimandare 27
2.8.2 Divisione del raggio 28
3. Oblivious Transfer (OT) 29
3.1. Attacchi al protocollo OT 33
3.1.1. Attacchi di Alice 33
3.1.2. Attacchi di Bob 34
3.1.2.1 Attacco standard 34
3.1.2.2 Divisione del raggio 34
4. Esempi di implementazioni commerciali di QKD 36
5. Riferimenti 37
[ Vittorio Prisco ]
3
II. Prefazione
Negli ultimi mesi si è sentito parlare molto di Crittografia Quantistica:
annunci, press-realese, progetti, finanziamenti e prototipi commerciali. Verso la
fine del 2003 sono comparsi sul mercato i primi due prototipi commerciali da
parte di "MagiQ Technologies" (New York) e "id Quantique" (Ginevra). Inoltre
altre aziende, quali NEC, Toshiba e Hewlett-Packard, stanno sviluppando propri
sistemi di Crittografia Quantistica che presto appariranno sul mercato.
La Crittografia Quantistica ha già catturato l'interesse di governi, di militari
ed agenzie di sicurezza, di banche ed istituzioni finanziarie.
Ad esempio, Visa International, l'azienda internazionale di carte di credito,
sta sperimentando questa tecnologia ed altre banche e istituzioni finanziare
hanno annunciato il loro interesse. L'Unione Europea ha finanziato il progetto
SECOQC, iniziato il 1 Aprile 2004 e da alcuni indicato come il progetto "anti-
echelon" europeo per lo sviluppo sia della ricerca che della implementazione
tecnologica e commerciale della Crittografia Quantistica (la Press Release è
disponibile sul sito quantenkryptographie.at e la descrizione del progetto sul
sito www.arcs.ac.at/quanteninfo).
Il progetto ha un budget di 11,4 Milioni di euro in 4 anni, vi partecipano 41
partner in 12 paesi europei, e per l'Italia vi sono l'Università di Pavia, il CNR, la
Scuola Normale Superiore di Pisa ed il Politecnico di Milano.
Uno dei primi risultati teorici è stata l'invenzione dei Computer Quantistici:
questi sono elaboratori che funzionano seguendo la logica delle leggi della
Meccanica Quantistica e quindi sono (potenzialmente) in grado di fare i conti in
modo molto diverso da quello noto a tutti noi. In particolare gli elaboratori
[ Vittorio Prisco ]
4
quantistici saranno in grado di risolvere alcuni difficili problemi matematici
istantaneamente. Tra questi problemi vi sono quelli su cui si basano molti degli
algoritmi crittografici moderni, quali ad esempio il famoso RSA.
In altre parole, se fosse possibile costruire oggi un elaboratore quantistico,
questo sarebbe in grado quasi istantaneamente di ottenere da una chiave
pubblica di qualunque lunghezza, la corrispondente chiave privata utilizzata
dagli algoritmi Asimmetrici quali RSA. Questi algoritmi sono utilizzati oggi per
l'identificazione delle parti e la creazione e scambio delle chiavi per cifrare le
connessioni. Poterli "rompere" vorrebbe dire rendere del tutto insicuri smart-
card, firme e certificati digitali, navigazione in internet, email cifrate ecc.ecc. Al
momento comunque non siamo ancora in grado di costruire un efficiente
elaboratore quantistico, e le stime più ottimistiche indicano che ci vorranno
ancora 20 anni.
[ Vittorio Prisco ]
5
1. La crittografia moderna
Il bisogno di nascondere informazioni segrete ha da sempre ricoperto un
ruolo di importanza notevole per l’uomo; a tal motivo, la crittografia,
radica le sue origini in tempi lontani: anche Cesare, in epoca romana, usava
un particolare codice per poter inviare i suoi messaggi in tutta sicurezza al
fine di essere illeggibili se caduti in mano nemica.
Oggi la diffusione di Internet e l’utilizzo che se ne fa, obbliga il
nascondimento della maggior parte delle informazioni che gli utenti si
scambiano e la crittografia è chiamata a ricoprire un ruolo decisivo.
Un tempo, la segretezza dei sistemi di cifratura dipendeva in massima
parte dalla segretezza delle procedure di cifratura e di decifratura: Enigma,
la macchina utilizzata dai tedeschi per codificare i messaggi e la cui rottura
è stata di forte impatto per l’esito della Seconda Guerra Mondiale, ha
chiarito che la sicurezza delle informazioni cifrate deve basarsi unicamente
sulla segretezza della chiave; per questo, attualmente, le tecniche
crittografiche si possono dividere in due categorie: quelle a chiave
condivisa e quelle a chiave pubblica.
Nella crittografia a chiave condivisa mittente e destinatario, che
chiameremo rispettivamente Alice e Bob, devono condividere una chiave
tramite la quale possono cifrare e decifrare le informazioni. La chiave,
però, deve essere condivisa prima di spedire il messaggio vero e proprio, e
questo a volte può non essere gradito.
Il problema maggiore che si incontra con questa tecnica crittografica è
proprio la condivisione della chiave. Per risolvere questo inconveniente,
[ Vittorio Prisco ]
6
sono stati pensati alcuni protocolli che consentono lo scambio della chiave
in relativa sicurezza, ma la soluzione migliore è venuta con un nuovo tipo
di cifrario, quello a chiave pubblica. Ogni utente possiede due chiavi, una
pubblica ed una privata; la prima viene usata per comunicare tramite lo
scambio di messaggi cifrati, mentre la seconda viene utilizzata per eseguire
la decifratura.
Questo tipo di cifratura si basa su alcune assunzioni della teoria dei
numeri e sulla difficoltà di eseguire certe operazioni matematiche: il noto
algoritmo RSA, per esempio, si basa sulla difficoltà di fattorizzare un
numero intero molto grande per garantire che, pur conoscendo la chiave
pubblica, non esista alcun modo computazionalmente efficiente per
ottenere la chiave privata; la scoperta di un algoritmo efficiente o di un
teorema matematico che risolva questo problema, porterebbe alla sua
inutilità.
2. Quantum Key Distribution (QKD)
Già dagli anni ’70 gli studiosi si chiedevano se sarebbe stato possibile
utilizzare le teorie che si basano su particelle sub-atomiche, atomiche ed
elementari, ovvero le teorie della meccanica quantistica, per applicazioni
del tutto innovative nel mondo macroscopico.
Come vedremo nei prossimi paragrafi, le leggi che governano le
particelle atomiche e sub-atomiche sono totalmente differenti da quelle su
cui si basa la vita di tutti i giorni; ciò le rende difficili da comprendere ma
[ Vittorio Prisco ]
7
sono al contempo potenzialmente foriere di applicazioni oggi impensabili
altrimenti.
Una di queste applicazioni è la Crittografia Quantistica, ancora in fase di
sperimentazione ma che ben presto potrebbe segnare un notevole passo in
avanti nel mondo della protezione dell’informazione.
2.1 La polarizzazione del fotone
Prima di addentrarci nei “meandri della crittografia quantistica”,
facciamo una digressione di carattere scientifico, fondamentale per
comprendere a pieno ciò di cui si parla in questa trattazione.
Con gli anni, abbiamo assistito ad una vera e propria rivoluzione
scientifica che oggi ci ha portato fino allo sviluppo e allo studio di una
nuova teoria, quella rappresentata dalla meccanica quantistica.
Tale teoria si basa su aspetti tanto rivoluzionari ed innovativi quanto di
difficile studio ed applicazione. Tutto nasce dalla fondamentale incapacità
degli schemi concettuali “classici” di rendere conto di alcuni fenomeni
fisici di basilare importanza.
La meccanica classica, nata dalle profonde intuizioni di Galileo Galilei e
concretatasi grazie al genio di Isaac Newton, ha consentito di unificare
fenomeni naturali diversissimi fornendo una spiegazione ai processi
termodinamici o elettromagnetici grazie all’uso di equazioni che governano
in modo preciso ogni evento naturale. Essa descrive benissimo il quadro
concettuale sino alla fine del secolo scorso, ma come si poteva riconoscere
[ Vittorio Prisco ]
8
secondo la teoria classica l’esistenza reale sia dei corpuscoli materiali
discreti che dei campi continui?
Tra il 1925 e il 1926, gli scienziati Heisenberg e Schrodinger giunsero,
indipendentemente e seguendo due linee di pensiero assolutamente
diverse, a formulare in modo preciso due modelli teorici che seguono la
nascita della nuova meccanica, la meccanica quantistica.
Heisenberg, infatti, basò la sua teoria sul linguaggio matriciale creando
la “meccanica delle matrici”, Schrodinger invece, basò tutto sul linguaggio
tipico delle equazioni delle onde e il frutto dei suoi studi oggi è noto come
“meccanica ondulatoria”.
Alcuni anni dopo la nascita delle due teorie apparentemente lontane
l’una dall’altra, lo studioso Dirac dimostrò che esse non rappresentavano
altro che due modi diversi di esprimere matematicamente le stesse
identiche leggi. La nuova teoria comportò un’ulteriore unificazione nella
concezione della natura: fenomeni ondulatori e corpuscolari risultavano
uniti in modo tale che ogni processo fisico potesse coinvolgere
simultaneamente queste due facce della realtà.
Difatti, i quanti di luce, detti fotoni, si comportano in molti esperimenti
come delle particelle e analogamente, le particelle, sotto opportune
condizioni, si comportano come onde.
I principi chiave della teoria quantistica si basano sul fenomeno della
polarizzazione della luce : le caratteristiche dei fenomeni di polarizzazione,
in particolare il modo in cui gli stati di polarizzazione possono combinarsi,
presentano analogie strette col modo in cui si combinano tutti gli stati
quantistici. Non solo, quasi la maggior parte degli esperimenti quantistici
[ Vittorio Prisco ]
9
effettuati intorno a tale teoria coinvolgono direttamente o gli stati di
polarizzazione dei fotoni o le proprietà delle particelle materiali (la più
tipica è quella dello spin) che presentano analogie con le proprietà di
polarizzazione del campo elettromagnetico.
In breve, discutiamo una serie di semplici esperimenti con fasci di luce
polarizzata avendo a disposizione uno o due paia di occhiali con lenti
Polaroid.
Una sorgente naturale di luce, come il sole o il filamento di una
lampadina, emette radiazioni luminose che variano di continuo nello
spazio e nel tempo. Genericamente il fascio non è né monocromatico
(contenendo radiazioni di diversa lunghezza d’onda), né polarizzato.
Inoltre, si può constatare subito che più sorgenti indipendenti
contribuiscono a produrre l’onda luminosa emettendo radiazioni senza
relazioni di frequenza, ampiezza e fase e generando un campo variabile
casualmente punto per punto ed istante per istante (quindi senza un
preciso stato di polarizzazione).
In ogni modo, è possibile polarizzare il fascio facendogli attraversare un
filtro polarizzatore che consente l’attraversamento della sola radiazione
con una specifica polarizzazione.
Per fare questo, è utilissimo l’uso di un filtro polaroid, una lastra
plastica utilizzata per costruire lenti per occhiali da sole con la capacità di
sopprimere i riflessi evitando abbagliamenti.
[ Vittorio Prisco ]
10
Consideriamo un fascio di luce che si propaga e la superficie dell’onda
incidente a un certo istante ed in un certo punto del raggio; inoltre,
definiamo EEEE il vettore indicante la direzione del raggio e il piano di
polarizzazione della luce che può assumere una libera orientazione sulla
superficie stessa.
Fatte queste considerazioni, possiamo dire che, quando il fascio
luminoso attraversa il filtro esso viene attenuato riducendosi nell’unica
frazione di luce incidente e risulta polarizzato nel piano di polarizzazione
orientato del filtro.
Nel caso in cui il raggio polarizzato è inviato ad un secondo filtro con
un altro piano di polarizzazione, possiamo notare che se il piano
caratteristico del secondo filtro è coincidente con quello del primo, avremo
un assorbimento della luce trascurabile e quindi una trasmissione massima.
Se i piani vengono disposti perpendicolarmente, allora la trasmissione è
nulla ed il risultato è il buio totale.
Possiamo legare l’intensità luminosa trasmessa IT all’intensità luminosa
incidente IO tra i piani di polarizzazione disposti secondo un angolo Ө,
tramite la legge di Malus :
IT = IO cos2 Ө
[ Vittorio Prisco ]
11
Ovviamente si può constatare che, se il secondo filtro fosse disposto a
45º rispetto al primo polarizzato verticalmente, avremmo un parziale
assorbimento e circa il 50% della luce verrebbe trasmessa.
L’analisi fatta sui fenomeni di polarizzazione ci deve far riflettere su
come, le stesse considerazioni, possono essere fatte nell’ambito della natura
corpuscolare della radiazione e quindi dobbiamo capire come si
comporterebbero i fotoni se attraversassero filtri polarizzati e che tipo di
conseguenze si avrebbero sull’energia emergente.
A tal scopo, considerando la trasmissione di un fascio di struttura
corpuscolare attraverso due filtri polarizzatori il cui piano di
polarizzazione risulta verticale, orizzontale e a 45º, si ha che, analogamente
a quanto detto prima, se il secondo piano è a 45º viene attraversato
esclusivamente dalla metà del fascio di quanti del campo elettromagnetico
incidente.
Dobbiamo precisare che in nessun modo si può ipotizzare a priori quali
fotoni superano il filtro, dato che non è possibile differenziare e
distinguere preventivamente una particella dall’altra e peraltro è
impensabile credere che i fotoni che attraversano il filtro rispetto ad altri
che non lo fanno abbiano caratteristiche differenti e preferenziali.
Per questi motivi, dovremo accettare la natura decisamente aleatoria dei
processi naturali che governano questa teoria e basare i nostri studi sugli
esiti di natura probabilistica a nostra disposizione.
[ Vittorio Prisco ]
12
2.2 Il principio di indeterminazione e la
sovrapposizione degli stati
Un aspetto fondamentale della teoria quantistica sta nell’abbandonare la
visione deterministica del mondo fisico, ossia l’idea della possibilità di
conoscere l’andamento futuro di un sistema a partire dalla conoscenza di
alcune grandezze fisiche in un certo istante.
La realtà viene modellata attraverso l’introduzione di funzioni di
probabilità ed il “caso” comincia a rivestire un ruolo essenziale ed
intrinseco del fenomeno.
In questa ottica dobbiamo considerare due aspetti chiave:
1. il fondamentale principio di indeterminazione di Heisenberg datato
1927;
2. ed il principio di sovrapposizione degli stati.
Il primo stabilisce che “ogni misura fatta su un sistema quantistico che
estragga qualche informazione a riguardo dello stesso, necessariamente
disturba il sistema, anche se in misura molto piccola”. Da ciò si deduce che,
fintanto otteniamo una particolare informazione su una data quantità,
inevitabilmente finiamo per perdere informazioni su altre quantità del
sistema, questo perché esse sono semplicemente non ortogonali.
Di conseguenza, la misura di due variabili, canoniche e coniugate, q e p
è soggetta a una limitazione intrinseca di precisione; infatti, se indichiamo
con ∆q e ∆p le imprecisioni delle due misure, queste risultano legate dalla
relazione di indeterminazione:
[ Vittorio Prisco ]
13
∆q ∆p ≈ ћ,
dove ћ è la costante di Planck che risulta essere 1,0546 × 10-27 Erg � s.
Data la piccolezza della costante di Planck, gli effetti del principio di
indeterminazione sono del tutto trascurabili nel mondo macroscopico,
mentre diventano essenziali nel mondo atomico e subatomico.
Il secondo degli aspetti citati, è quello della sovrapposizione degli stati,
ma prima di considerare il principio nel dettaglio è opportuno fare qualche
osservazione e fornire alcune definizioni.
Prima di tutto, considerando un sistema meccanico con N gradi di
libertà, nella teoria classica, possiamo dire che lo stato di un sistema è
completamente determinato se si conoscono, ad un certo istante le 2N
coordinate canoniche (q, p). In virtù di ciò, una grandezza fisica A è
rappresentata da una funzione delle q e delle p tale che A= A(q, p , t) e il
valore della funzione ad un dato istante t corrisponde al risultato di una
eventuale misura.
Questo vuol dire, in meccanica classica, che la misura di una data
grandezza in un preciso stato del sistema dà sempre (a meno di eventuali
errori) un risultato univoco.
In meccanica quantistica la situazione è profondamente differente.
Infatti, uno stato del sistema, che chiameremo “stato quantico”, sarà dovuto
dalla simultanea conoscenza di un set massimo di grandezze indipendenti e
compatibili fra loro.
Considerando che una grandezza fisica misurabile prende il nome di
“osservabile” e che se le osservabili misurate risultano in un numero
[ Vittorio Prisco ]
14
massimo si dice che si fa un “osservazione massima”, si può affermare che se
{A1, A2, …, AN} è un’osservazione massima del sistema e {a1, a2, …, aN} sono
i valori osservati, lo stato quantico corrispondente è |a>, secondo la
notazione di Dirac. Inoltre, se il sistema è allo stato |a> e viene misurata
una delle Ai ottenendo un risultato univocamente da ai allora, |a> è detto
autostato di Ai.
Ogni osservabile ammette sempre almeno un autostato per ogni risultato
della misura. Viceversa, se misurassimo un’osservabile B incompatibile con
le Ai non otterremmo un risultato univoco, quindi ripetendo più volte le
misure di B, col sistema nello stato |a>, avremmo di volta in volta risultati
b1, b2, …, bN diversi.
Questo ci fa dedurre che il risultato di una singola misura non è
assolutamente prevedibile ma la meccanica quantistica ci permette
mediante il calcolo a priori della probabilità di avere i diversi risultati.
Emergono, dunque, due importanti aspetti:
1. in generale, nella teoria quantistica, il risultato di una misura non è una
funzione univoca dello stato;
2. un’osservazione del sistema influisce fortemente su di esso dato che ne
modifica in modo evidente lo stato quantico. Infatti, se il sistema si
trova inizialmente nello stato |a> e viene fatta la misura di B ottenendo
bk, dopo la misura il sistema si verrà a trovare nell’autostato |bk>.
A questo punto, presentiamo il principio di sovrapposizione degli stati,
fondamentale per poter comprendere a fondo il caso degli stati di
[ Vittorio Prisco ]
15
polarizzazione di un fotone a cui si è fatto riferimento nel precedente
paragrafo.
Se un sistema è nello stato |a> e si esegue la misura di B, si ha la
probabilità Pk di trovare il risultato bk ovvero il sistema nell’autostato |bk>.
Questo ci indurrebbe, sbagliando, a pensare che lo stato |a> è un mix
statico di autostati |bk con pesi Pk; sbagliamo per il solo fatto che, prima di
eseguire la misura, lo stato quantico del sistema è uno stato ben definito,
tant’è che è detto stato puro e non una miscela di stati. A questo punto
dobbiamo affinare le nostre conclusioni e, correggendoci, possiamo
affermare che lo stato |a> è una sovrapposizione degli autostati
componenti, ciascuno dei quali ha un peso statistico e una data fase.
I risultati emersi da questa discussione hanno validità generale e,
opportunamente formulati, faranno parte dei postulati basilari della
meccanica quantistica.
Li riassumiamo nel modo seguente:
1. Possiamo associare ad un generico “stato quantistico” di un sistema un
elemento |ψ> di un opportuno spazio vettoriale che chiameremo, con
notazione di Dirac, vettore “ket”. Tale vettore, considerato in norma 1,
prende il nome di vettore di stato;
2. ogni grandezza osservabile A ammette un insieme di autostati |ak > che
chiameremo autovettori, almeno uno per ogni possibile risultato ak della
misura;
[ Vittorio Prisco ]
16
3. l’insieme di autovettori costituisce una base ortonormale dello spazio,
quindi qualunque vettore di stato può essere espresso come
combinazione lineare a coefficienti complessi degli autovettori:
|ψ> = ∑k ck|a k> .
Tale sviluppo matematico costituisce l’espressione formale del principio
di sovrapposizione.
4. La probabilità Pk di trovare il risultato ak della misura di A è data dal
modulo quadro del coefficiente ck del seguente sviluppo:
Pk = | ck | .
Siccome il vettore è |ψ>=∑k ck|ak>, per ottenere i ck, ovvero i
coefficienti dell’equazione per il vettore di stato, abbiamo bisogno di un
prodotto scalare tale che ck =<ak| ψ>.
Questo ci permetterà di risolvere il calcolo delle Pk che dipendono
unicamente dallo stato iniziale e dai valori di ak.
Infine, se vale |ψ>= ∑k ck|ak> deve poter valere anche il contrario,
ovvero che qualsiasi combinazione lineare convergente degli |ak>
corrisponde a un vettore di stato |ψ>. Le proprietà citate sono tipiche dello
spazio di Hilbert e per tal motivo deduciamo che lo spazio di vettori di
stato è uno spazio lineare sul campo dei numeri complessi, in particolare
uno spazio di Hilbert Ĥ. Le dimensioni di tale spazio dipendono dal sistema
quantistico ed ogni misura fisica che può essere effettuata sul sistema
[ Vittorio Prisco ]
17
corrisponde alla risoluzione del suo spazio di Hilbert in sottospazi
ortogonali, uno per ogni possibile esito della misura.
A questo punto si possono definire meglio gli stati quantici dichiarando
che uno stato puro è rappresentato da un vettore |ψ> appartenente ad Ĥ,
detto vettore di stato, normalizzato e determinato a meno di un fattore di
fase associando ad un dato sistema fisico S uno spazio di Hilbert ĤS. Dal
punto di vista delle particelle lo stato riguarda l’insieme di tutte le
caratteristiche descriventi un fotone, quali energia cinetica, velocità,
momento, polarizzazione, componenti di spin ed altro ancora.
Da un punto di vista pratico, si possono trasmettere bit d’informazione
utilizzando fotoni opportunamente polarizzati a 45, 90, 135, 180 gradi, in
modo tale che ogni fotone contenga un bit di informazione. La
polarizzazione del fotone trasmesso sarà determinata dal valore del bit da
rappresentare (0, 1) e dalla base di conversione utilizzata (rettilinea,
diagonale).
2.3 Il canale quantistico
Il canale quantistico è composto da:
1. un dispositivo ottico di emissione capace di produrre fotoni polarizzati
in una delle 4 configurazioni possibili;
2. un cavo (fibra ottica, per esempio) su cui viaggiano i fotoni;
3. un dispositivo che permette la misurazione della polarizzazione dei
fotoni da parte dell’utente destinatario.
[ Vittorio Prisco ]
18
Per poter misurare la polarizzazione si può usare un cristallo di calcite
che permette di inviare i fotoni a seconda della loro polarizzazione lungo
una delle due possibili direzioni (vedi figure sotto)
FigFigFigFig: fotoni a polarizzazione orizzontali FigFigFigFig: fotoni a polarizzazione verticale
FigFigFigFig: fotoni a polarizzazione diagonale
Come si può notare dalle figure, quando un fotone incontra il cristallo si
può comportare in due modi:
1. può attraversarlo in linea retta ed emergerne polarizzato
perpendicolarmente rispetto all’asse ottico del cristallo;
2. può essere traslato ed emergerne polarizzato lungo l’asse stesso.
Se, entrando nel cristallo, il fotone è già polarizzato in una di queste due
direzioni, esso non subisce modifiche di polarizzazione, ma viene avviato
in modo deterministico lungo un cammino diretto o lungo quello traslato.
Se, invece, nel cristallo entra un fotone polarizzato secondo qualche
direzione intermedia, allora esso può seguire, a seconda dei casi, uno dei
due cammini e quindi venire opportunamente ripolarizzato, perdendo la
polarizzazione d’origine.
[ Vittorio Prisco ]
19
Un comportamento del tutto casuale si ha quando la polarizzazione è
intermedia fra queste due direzioni, ovvero è di 45 o 135 gradi: in questo
caso la probabilità che il fotone segua l’uno o l’altro cammino è la stessa.
In questo modo, inoltre, la memoria della polarizzazione originaria è
persa e su di essa il fotone non rivela più nulla.
2.4 L’idea di base della QKD
La crittografia quantistica permette la creazione e lo scambio delle
chiavi di una comunicazione segreta in modo totalmente innovativo. La
creazione e lo scambio sono “idealmente” sicuri dato che avvengono
secondo i principi base della meccanica quantistica e la teoria dei campi.
L’obiettivo principale della QKD (Quantum Key Distribution) è di
utilizzare il canale quantistico per far in modo che due interlocutori, i quali
inizialmente non condividono informazioni segrete, possano accordarsi su
un insieme di bit casuali. Ciò è ottenuto in modo tale che essi, da successive
conversazioni su un canale ordinario non quantistico possano dire, con un
alto indice di certezza, se la trasmissione quantistica è stata disturbata nel
transito da un eventuale origliatore. Se la trasmissione quantistica non è
stata disturbata, gli utilizzatori possono sicuramente utilizzare questi bit
segreti come una chiave condivisa, per cifrare le comunicazioni successive.
Se la trasmissione è stata disturbata, gli utilizzatori scartano i bit
ottenuti e provano ancora.
[ Vittorio Prisco ]
20
2.5 Il protocollo BB84
Descriviamo il protocollo ormai noto come BB84 ideato da Bennet e
Brassard nel 1984 e che consente lo scambio di una chiave in maniera sicura
tra due utenti che non dispongono di alcuna informazione segreta in
comune.
Supponiamo che Alice e Bob dispongano di due canali di
comunicazione: uno quantistico (che consente la trasmissione di segnali
basati su fenomeni quantistici e che solitamente è una fibra ottica) ed uno
convenzionale, e che siano possibili intercettazioni passive su questi canali.
Le informazioni che Alice scambia con Bob sul canale quantistico sono
singoli fotoni ad una determinata polarizzazione: possiamo scegliere, per
semplicità, quelle orientate nelle direzioni:
che definiscono due basi ×××× e + non ortogonali tra loro: ciò significa che, per
il Principio di Indeterminazione di Heisenberg, non è possibile misurare
contemporaneamente se la polarizzazione è diagonale o rettilinea.
Supponiamo che il modo di rappresentare i bit 0 e 1 sia noto a priori, e
comunque sul quale è possibile accordarsi pubblicamente senza bisogno di
segretezza.
Alice si appresta a spedire i propri dati nel seguente modo: sceglie
casualmente se spedire un bit 0 o 1, sceglie sempre casualmente che base
[ Vittorio Prisco ]
21
utilizzare per spedire il bit, se ×××× e +, e quindi prepara il fotone con la
polarizzazione risultante e lo spedisce a Bob.
Bob, non essendo a conoscenza della base scelta da Alice per spedire i
fotoni, sceglie casualmente quale utilizzare per rilevarne la polarizzazione:
se è la stessa utilizzata per crearli, l’identificazione avverrà correttamente,
mentre se è sbagliata Bob otterrà comunque un valore nella base scelta (se è
quella rettilinea, otterrà un fotone con polarizzazione o verticale od
orizzontale) perdendo però le informazioni del fotone originario.
Cerchiamo di spiegare meglio quest’ultimo punto; prendiamo per
esempio un rivelatore di polarizzazione; se Bob decide di controllare se i
fotoni hanno polarizzazione verticale, l’utilizzo di un filtro + consente di
avere due possibilità: il fotone è rivelato con polarizzazione verticale,
oppure il fotone è rivelato con polarizzazione orizzontale in modo certo. Se
la particella che Bob sta analizzando era stata spedita utilizzando proprio la
base + la misura che ha effettuato è corretta e rispecchia le informazioni di
Alice, ma se invece era stato spedito con base ×××× il fotone supererà
comunque il filtro +, ma avrà una polarizzazione casuale e che non ha nulla
a che vedere con quella con cui era stato spedito.
Raggiunto un numero adeguato di questi scambi, Alice smette di spedire
fotoni. Dal momento che, mediamente, Bob avrà scelto la base sbagliata
nella metà delle misurazioni, i due devono trovare un modo per ottenere la
stessa stringa di bit: Bob, allora, annuncia pubblicamente sul canale
convenzionale la lista delle basi da lui utilizzate per misurare i fotoni, ma
[ Vittorio Prisco ]
22
non cosa ha misurato. A questa lista, Alice risponde indicando quali basi
Bob ha utilizzato correttamente, ma non cosa ha spedito.
In questo modo, vengono a conoscenza di quali misurazioni sono state
effettuate correttamente cosicché le altre possono essere scartate per
mantenere solo le polarizzazioni per le quali hanno utilizzato la stessa base
ed ottenere una chiave identica da entrambe le parti e sicuramente segreta,
e che quindi potrà essere utilizzata per cifrare messaggi.
2.6 Esempio di trasmissione della chiave
Vediamo come funziona in pratica lo scambio delle chiavi appena descritto
considerando la seguente tabella:
1. Alice sceglie casualmente una serie di bit da inviare a Bob;
2. Alice sceglie ancora casualmente una serie di basi con cui spedire i bit
scelti;
3. i fotoni corrispondenti vengono creati da Alice e spediti;
4. Bob sceglie casualmente quale base utilizzare per esaminare il fotone in
arrivo;
5. Bob memorizza i risultati delle osservazioni;
[ Vittorio Prisco ]
23
6. Bob trasforma le informazioni sulle polarizzazioni in una sequenza di
bit;
7. Bob, per sincerarsi di avere la stessa chiave di Alice, le manda le
informazioni sulle basi utilizzate per misurare i fotoni a cui Alice
risponde indicando quali sono corrette;
8. infine, la chiave che possono usare è ricavata come una sottosequenza
della stringa originaria, quella per cui hanno usato le stesse basi.
2.7 Controllo degli errori
È interessante notare come la probabilità che le risultanti stringhe di
Alice e Bob concordino completamente non può essere resa pari ad 1.
Possono, infatti, capitare degli errori dovuti a ripolarizzazioni di fotoni
durante il transito anche in assenza di origliamento.
[ Vittorio Prisco ]
24
Se il numero di errori capitati è relativamente piccolo essi potrebbero
essere corretti tramite l’uso di un codice concordato a correzione d’errore,
generando una sequenza controllata di bit. Questa sequenza può essere
inviata a Bob su un canale pubblico. Se il codice ha sufficiente ridondanza,
Bob può decodificare univocamente l’informazione disponibile per
recuperare, con alta probabilità, la stringa di Alice.
Il controllo di qualità descritto è dispendioso in quanto una parte
significativa di bit viene sacrificata per fornire ragionevole margine di
sicurezza che i dati dei due interlocutori siano identici, anche se gli episodi
di spionaggio sono stati poco frequenti ed hanno comportato pochi errori.
Tale inconveniente può essere risolto da un più sottile protocollo di
verifica che fa uso del controllo di parità di un sottoinsieme casuale di bit
scelto pubblicamente. Questo protocollo riconciliativi consta dei seguenti
passi:
1. Alice e Bob permutano la stringa in base ad una permutazione su cui si
sono accordati e quindi, partizionano le loro stringhe permutate in
blocchi di dimensione k tali che i singoli blocchi contengano, con bassa
probabilità, più di un errore
2. per ogni blocco, Alice e Bob, confrontano la parità. Blocchi con parità
concorde sono ritenuti momentaneamente corretti mentre blocchi con
parità discorde vengono sottoposti a ricerca bisettiva, rivelando al limite
log k parità supplementari di sottoblocchi, finché l’errore è trovato e
corretto. Per evitare di fornire troppa informazione ad Eva
(l’origliatore) durante il processo di riconciliazione, Alice e Bob si
[ Vittorio Prisco ]
25
accordano anche di scartare l’ultimo bit di ogni blocco o sottoblocco, di
cui hanno ricavato la parità.
3. per rimuovere gli errori rimasti la permutazione casuale e la rivelazione
della parità dei blocchi è ripetuta molte più volte, con dimensione dei
blocchi incrementata, finché Alice e Bob stimano che al più un piccolo
numero di errori rimangono nei dati. Anche questo approccio, tuttavia,
è abbastanza dispendioso. Se la dimensione dei blocchi è scelta così che
vi siano l blocchi, la probabilità di non scoprire l’esistenza di tali errori
e 1/ l e il costo per questa strategia è di l bit, dato che ne perdiamo uno
per blocco.
A quest’ultimo problema si può ovviare considerando un’ulteriore
strategia che risulta essere più efficiente della precedente: per ogni
iterazione, Alice e Bob, confrontano la parità di un sottoinsieme casuale,
scelto pubblicamente, delle posizioni dei bit nelle loro rispettive stringhe.
Se le stringhe non sono identiche, allora le parità del sottoinsieme
casuale saranno in disaccordo con probabilità ½. Se un disaccordo è
trovato, Alice e Bob intraprendono una ricerca bisettiva con lo stesso
criterio (scegliendo un sottoinsieme casuale delle sottostringhe casuale e
così via) per trovare e rimuovere gli errori. Come nel precedente passo,
l’ultimo bit di ogni sottoinsieme confrontato è scartato. Per assicurarsi che
le stringhe siano veramente identiche, con una trascurabile probabilità di
non scoprire i rimanenti errori sarà sufficiente attendere 20 accordi
consecutivi. Osserviamo che con questa strategia la probabilità di non
scoprire errori dopo l iterazioni è di (1/2)l che è molto minore di 1/l , per l
[ Vittorio Prisco ]
26
grande, e comporta la perdita di ugualmente l bit. A questo punto del
protocollo, Alice e Bob sono in possesso di una stringa che è quasi
certamente condivisa, ma solo parzialmente segreta, in quanto Eva ha
potuto apprendere tutti i bit di parità che essi hanno rivelato, oltre ai bit
appresi attraverso le sue misurazioni. Prima di procedere, Alice e Bob
devono necessariamente stimare l’intensità dell’origliamento e questo può
essere fatto in base al numero di errori che hanno incontrato e corretto,
all’intensità dell’impulso originale ed all’efficienza quantistica dei
rilevatori di Bob. Se osservano un sensibile origliamento, scartano i loro
dati e riprovano la trasmissione quantistica.
Se Alice e Bob ritengono che Eva abbia appreso poca informazione,
possono proseguire il protocollo estraendo dalla stringa riconciliata una
sottostringa più piccola ma quasi certamente segreta, applicando la tecnica
dell’amplificazione della riservatezza che descriveremo in seguito.
Sia x la stringa riconciliata ed n la sua lunghezza. Definiamo
innanzitutto un bit deterministico di informazione su x il valore e(x) di
un’arbitraria funzione e : { 0,1 }n � { 0,1 }. Ricordiamo che i bit di parità
sono bit deterministici mentre quelli di informazione di Shannon non lo
sono. È possibile dimostrare che se la conoscenza di Eva circa x non è più l
bit deterministici, una funzione hash scelta pubblicamente e casualmente
da un’appropriata classe di funzioni h : { 0,1 }n � { 0,1 } n –l –s , mapperà x in
una stringa h(x) per la quale l’informazione attesa da Eva è minore di
(2 – s) ln2 bit, dove s > 0 è un arbitrario parametro di sicurezza. Questa
tecnica è applicabile per Alice e Bob perché i bit di parità sono un caso
speciale di bit deterministici. Inoltre per poter scegliere una tale funzione
[ Vittorio Prisco ]
27
di contrazione, non è neppure necessario che le due parti sappiano quali
informazioni parziali possa avere l’origliatore sull’input. In particolare basta
definire ciascun bit dell’output come la parità di un sottoinsieme
indipendente ed aleatorio, concordato pubblicamente, dei bit di input.
2.8 Strategie di origliamento
Sia μ il numero atteso di fotoni per impulso luminoso. Se μ è
sufficientemente più piccolo di 1, esso è approssimativamente anche la
probabilità che un fotone venga percepito, all’interno di un impulso, da un
detector perfettamente efficiente. Diciamo inoltre che un impulso ha
successo se Bob lo percepisce nella base originale scelta da Alice. In altri
termini gli impulsi con successo sono quelli che contribuiscono ad un bit
nella trasmissione quantistica. Fatte queste premesse, analizziamo più in
dettaglio le varie strategie di origliamento che Eva potrebbe seguire.
2.8.1 Intercettare / Rimandare
In questo panorama, Eva intercetta alcuni impulsi luminosi e li legge
nella base da lei scelta. Per ogni impulso, con probabilità
approssimativamente μ, i detector perfettamente efficienti di Eva riescono
a percepire un fotone. Quando questo avviene, Eva fabbrica e manda a Bob
un impulso della stessa polarizzazione da lei percepita, ma anche della
stessa intensità, per evitare di essere scoperta da Bob.
[ Vittorio Prisco ]
28
Naturalmente Eva indovina l’esatta polarizzazione con probabilità ½. È
dimostrato che almeno il 25% degli impulsi intercettati o rispediti da Eva
produrranno degli errori se successivamente vengono misurati da Bob.
Inoltre, se ci sono t errori nella trasmissione quantistica, Alice e Bob
possono stimare che meno di 4t+5√(12t) dei loro bit sono stati soggetti ad
una strategia di intercettato/rimandato e che l’ammontare di informazione
lasciata ad Eva non vale più di (4+√2)+5√[(4+2√2)t] bit della trasmissione
quantistica. Quindi, Alice e Bob potrebbero tentare di determinare
empiricamente la percentuale d’errore attesa in assenza di origliamento e
usare la differenza tra la percentuale d’errore attesa in assenza di
origliamento e usare la differenza tra la percentuale d’errore predetta e
quella osservata, per stimare l’ammontare di informazione lasciata ad Eva
attraverso tale strategia.
2.8.2 Divisione del raggio
Tale attacco si basa sul fatto che gli impulsi trasmessi non sono, in
genere, a singoli fotoni. Per portare questo attacco, Eva usa uno specchio
parzialmente argentato, o un dispositivo equivalente, per deviare a sé una
frazione ƒ dell’intensità del raggio iniziale, lasciando passare la rimanente
frazione 1 – ƒ a Bob. Per evitare perdite di informazione misurando gli
impulsi nelle basi sbagliate, Eva potrebbe depositare la sua frazione di
impulso finché le corrette basi non sono state annunciate nella discussione
pubblica. Quando ciò verrà fatto, Eva misurerà i suoi impulsi in queste
basi. Con probabilità approssimativamente ƒμ, Eva riuscirà a percepire un
[ Vittorio Prisco ]
29
fotone ed otterrà, quindi, i bit di Alice per quell’impulso. Benché tale
procedimento in teoria funzioni, in pratica non lo si può applicare per
l’impossibilità tecnica di conservare fotoni per più di una piccola frazione
di secondo.
Osserviamo che tale attacco non introduce errori, ma fa ridurre
l’intensità dell’impulso che giunge a Bob di un fattore 1 – ƒ. Inoltre, se ƒ è
piccola, Alice e Bob potrebbero attribuire la riduzione di intensità a cause
naturali, per cui tale attacco non verrebbe rilevato. Osserviamo che se Eva
volesse misurare immediatamente i suoi fotoni, apprenderebbe una
frazione approssimativamente pari a μ / 2 della stringa di Alice (prendendo
ƒ=1; ½ perché con tale probabilità indovinerebbe la base) se effettuasse
misure nelle basi canoniche, ed una frazione non più grande di (μ√2)/2 se
utilizzasse la base di Breidbart dove √2/2 è la probabilità di successo.
La soluzione più semplice che Alice e Bob possano trovare a tale attacco
è di attendere un tempo arbitrariamente lungo, sufficiente per far sì che gli
impulsi si rovinino nel tempo, e solo allora annunciare le basi in cui hanno
effettuato le misure, ed inoltre utilizzare impulsi molto deboli in maniera
tale che il raggio non possa essere diviso significativamente. Riguardo a tale
attacco, è dimostrato che se la trasmissione quantistica consiste di N
impulsi con successo, Alice e Bob possono stimare che Eva ha appreso
meno di Nμ + 5 {√ [N μ (1-μ)] } bit, dove il secondo termine è la deviazione
standard.
[ Vittorio Prisco ]
30
3. Oblivious Transfer
Nell’oblivious transfer(OT), ed in particolare nella tipologia 1 out of 2
OT, Alice parte con due messaggi di due bit di sua scelta. Lo scopo del
protocollo è di trasmettere i messaggi a Bob in maniera tale che egli possa
scegliere di ricevere uno di loro ma non possa ottenere informazioni
significative su entrambi, mentre Alice rimane completamente ignorante di
quale dei due bit Bob abbia ricevuto. Si vedrà che nessuna parte può
ingannare (cioè deviare dal protocollo mentre lo eseguono) in maniera tale
da ottenere più informazioni di quelle che sono consentite dal protocollo.
Assumiamo che le trasmissioni quantistiche consistano di una serie di
impulsi molto deboli di luce polarizzata e che l’impulso non possa essere
memorizzato per una significativa lunghezza di tempo, così che il ricevente
risulti costretto a misurare ogni impulso prima che arrivi il successivo,
altrimenti perde l’opportunità di misurarlo.
Definiamo innanzitutto con d la percentuale di conteggio oscuro, cioè la
probabilità che un detector registri un conteggio durante un lasso di tempo
nel quale nessun fotone è incidente su di esso (una probabilità di errore,
dunque) e con q l’efficienza quantistica, ovvero la probabilità di registrare
un conteggio quando un fotone è incidente del detector. Siano b0 e b1 i bit
di Alice e sia c la scelta di Bob che vuole ottenere bc . Il protocollo OT si
può riassumere così:
a. Bob dice ad Alice l’efficienza quantistica q e la percentuale di conteggio
oscuro d dei suoi detector. È necessario adattare il protocollo alle
limitazioni fisiche dell’apparato rilevatore di Bob, se non si vuole
[ Vittorio Prisco ]
31
compromettere seriamente la probabilità di successo dello stesso. Se
questi valori sono soddisfatti Alice manda successivamente l’intensità µ
dell’impulso luminoso che vorrà utilizzare, la frazione a di tale impulso
che si attende che Bob percepisca con successo e la percentuale ε di
errore sui bit che sarà disposta a correggere nei dati di Bob, per
compensare il suo calcolo oscuro e le altre sorgenti di rumore. Alice
decide anche su un parametro di sicurezza N, usato nel seguito, e lo
comunica a Bob. I due, infine, si accordano su un codice binario lineare
a correzione d’errore capace di correggere, con alta probabilità, parole
ad N bit trasmesse con percentuale d’errore ε.
b. Alice manda a Bob una sequenza casuale di 2N/a impulsi luminosi di
intensità µ nelle quattro polarizzazioni canoniche.
c. Bob decide casualmente, per ogni impulso, se misurarlo su base
rettilinea o diagonale registrando basi e risultati delle misure in una
tavola ogni volta che percepisce un impulso. Quindi Bob riceverà con
successo approssimativamente 2N impulsi. Se egli ne ha ricevuti di più,
e ciò può avvenire a causa di conteggi sbagliati, ignora l’accesso; se ne
ha ricevuti di meno, e ciò può capitare a causa di perdite nel canale
quantistico, completa la tavola con entrate casuali in modo da avere
esattamente 2N entrate. Bob, infine, dice ad Alice il tempi di arrivo di
tutti i 2N impulsi, ma non le basi che ha usato per misurarli né i risultati
ottenuti (ciò assicura ad Alice che Bob effettivamente ha misurato gli
impulsi)
d. Alice rivela a Bob le basi che ha usato per mandare ognuno degli impulsi
da lui ricevuti.
[ Vittorio Prisco ]
32
e. Bob partiziona gli impulsi in 2 insiemi di N impulsi ciascuno: un buon
insieme consistente di impulsi ricevuti nella corretta base e un cattivo
insieme fatto di impulsi ricevuti nella base errata. Egli dice ad Alice gli
indirizzi dei due insiemi ma non le dice qual è il buono o il cattivo
insieme. A questo punto del protocollo Bob condivide con Alice una
parola (una stringa di N bit con un’attesa percentuale d’errore non più
grande di ε, se ha indovinato per meno di N volte la corretta
polarizzazione), corrispondente al suo buon insieme di misure;
condivide niente (o quasi niente, se ha misurato più di N bit nelle
corrette basi) riguardo al suo cattivo insieme di misure, supposto che
egli segua fedelmente il protocollo. D’altra parte Alice non sa quale
parola condivide con Bob. Vediamo, ora, come Bob possa correggere gli
errori occorsi nel suo buon insieme.
f. Usando il concordato codice a correzione d’errore, Alice computa le
sindromi delle parole corrispondenti ad ogni suo insieme e le manda a
Bob su un canale libero da errori. Da tali sindromi, Bob è in grado di
recuperare la parola originale corrispondente al suo buon insieme, ma
non quella corrispondente al suo cattivo insieme (questo per la proprietà
di opportuni codici detti codici concatenati, che sono in effetti quelli
scelti per la correzione degli errori). Inoltre, Alice computa un
sottoinsieme casuale di parità per ogni insieme e rivela a Bob gli
indirizzi definenti tali sottoinsiemi, ma non le risultanti parità. D’altra
parte, Alice conosce entrambe le parità, ma non sa quale di queste Bob
conosce. Siano x0 e x1 questi due bit di parità e sia č la conoscenza di
Bob (cioè Bob conosce xč ).
[ Vittorio Prisco ]
33
g. Bob dice ad Alice se c = č o meno ed è la prima volta che č entra in
gioco nel protocollo
h. Se c = č, Alice gli manda x0 XOR b0 e x1 XOR b1 (notiamo che ora
entrano in gioco b0 e b1) nell’ordine prescritto altrimenti x0 XOR b1 e x1
XOR b0. Da queste informazioni Bob è in grado di apprendere il suo bc.
Notiamo che, poiché Alice non sa se Bob conosce x0 o x1 non può
rendersi conto se lui ha effettivamente appreso b0 o b1. D’altra parte Bob
conosce solo x0 o x1, percui non è in grado di conoscere
contemporaneamente b0 e b1. Quindi l’Oblivious Transfer è realizzato nel
momento in cui Bob conosce o b0 o b1.
3.1 Attacchi al protocollo OT
I motivi per cui Alice e Bob sono tentati ad ingannare sono, per quanto
riguarda Alice, cercare di apprendere la scelta di Bob, per Bob, cercare di
conoscere entrambi i bit inviati da Alice. Vedremo come nessun attacco sia
in grado di raggiungere questi obiettivi, nonostante Alice e Bob dispongano
di elevate potenze computazionali.
3.1.1 Attacchi di Alice
Notiamo subito che Alice potrebbe ingannare al passo “h” inviando a
Bob il complemento di quello che egli vorrebbe. Tuttavia non si
tratterebbe di un vero inganno poiché un OT verrebbe effettuato lo stesso
anche se il bit trasferito non sarebbe quello voluto. Per determinare o dare
[ Vittorio Prisco ]
34
almeno un’indicazione circa il valore di c, Alice potrebbe rifiutarsi di
mandare una delle due sindromi al passo “f”. Il punto è che Bob non
avrebbe modo di interpretare tale comportamento se Alice monda il rifiuto
per il suo cattivo insieme. Quindi, se Bob reclama, Alice apprende che ciò è
dovuto al fatto che ella ha scelto di mandare il rifiuto per l’insieme buono.
Questo inganno potrebbe non dare frutti in quanto Bob potrebbe
scoprire Alice nell’atto dell’inganno, prima che abbia la possibilità di
apprendere qualcosa su c. Se Bob non reclama, allora Alice deduce che ha
inviato il rifiuto per il cattivo insieme e ciò consentirebbe ad Alice di
conoscere c in quanto il protocollo continuerebbe e lascerebbe Bob ignaro
della cosa.
3.1.2 Attacchi di Bob
Dal punto di vista di Bob ci sono molte strategie per tentare di creare
insiemi buoni al passo “e” o almeno due insiemi che gli facciano
apprendere qualcosa su entrambi i bit di Alice. Concentriamoci sulle
strategie dette simmetriche, che favoriscono entrambi gli insiemi formati
da Bob.
3.1.2.1 Attacco Standard
Consideriamo prima il caso in cui Bob non inganna al passo “c”: in tal
caso la strategia simmetrica si concretizza selezionando circa gli N/2 buoni
bit (e N/2 cattivi bit) in ogni insieme, ovvero Bob conoscerebbe solo metà
[ Vittorio Prisco ]
35
dei bit di ogni insieme. Tuttavia, quanto più il numero di bit di parità
mandati da Alice al passo “f” per ogni insieme è minore di N/2, circa ogni
insieme rappresenta la conoscenza di Bob.
3.1.2.2 Divisione del raggio
Un altro modo mediante il quale Bob può ingannare riguarda ancora il
passo “c”. Ricordiamo che gli impulsi mandati da Alice non sono a singoli
fotoni ma contengono µ fotoni, con µ molto più piccolo di 1, in particolare
c’è la possibilità che un impulso sia a conteggio multiplo, cioè contenga 2 o
più fotoni. In questo caso, Bob lo potrebbe separare in due fotoni
misurandoli in due diverse basi canoniche (rettilinea e diagonale). Dopo
aver ascoltato la corretta base da Alice al passo 4, Bob saprebbe quale
misura è stata rilevante e così apprenderebbe i bit di Alice con certezza.
[ Vittorio Prisco ]
36
4. Esempi di implementazioni commerciali di QKD
• La società americana MagiQ Technologies nata nel 1992 produce sistemi
QKD integrati con soluzioni VPN.
Alcuni dati del dispositivo MagiC QPN5505: refresh massimo delle
chiavi pari a 100 al secondo, VPN tramite IPSEC, standard AES, 3DES,
BB-84, distanza massima fibra ottica 120 Km, generatore di numeri
casuali.
[ Vittorio Prisco ]
37
• La società svizzera idQuantique è nata nel 2001 da uno spin-off di alcuni
ricercatori dell’Università di Ginevra. Oltre a produrre dispositivi di
QKD si è dedicata allo sviluppo di sistemi di generazione di numeri
casuali con dispositivi quantistici. Nei primi di Agosto del 2004 ha
lanciato un nuovo prodotto: Quantis-PCI, un generatore di numeri
casuali quantistico su scheda PCI.
5. Riferimenti
[1] C. Bennett, F. Bassette, G. Brassard, L. Salvail e J. Smolin,
Experimental quantum cryptography, Journal of Cryptology, vol. 5,
n.1, pag. 3-28, 1992
[2] C. Bennett, G. Brassard e A. Ekert, Crittografia Quantistica, 1992