La distribución de claves cuánticas ( QKD ) es un método de comunicación seguro que implementa un protocolo criptográfico que involucra componentes de la mecánica cuántica . Permite que dos partes produzcan una clave secreta aleatoria compartida que solo conocen ellas, que luego puede usarse para cifrar y descifrar mensajes . El proceso de distribución de claves cuánticas no debe confundirse con la criptografía cuántica , ya que es el ejemplo más conocido de una tarea criptográfica cuántica.
Una propiedad importante y única de la distribución de claves cuánticas es la capacidad de los dos usuarios que se comunican para detectar la presencia de cualquier tercero que intente obtener conocimiento de la clave. Esto es resultado de un aspecto fundamental de la mecánica cuántica: el proceso de medición de un sistema cuántico en general perturba el sistema. Un tercero que intente espiar la clave debe medirla de alguna manera, introduciendo así anomalías detectables. Al utilizar superposiciones cuánticas o entrelazamiento cuántico y transmitir información en estados cuánticos , se puede implementar un sistema de comunicación que detecte las escuchas clandestinas. Si el nivel de escuchas clandestinas está por debajo de un cierto umbral, se puede producir una clave que se garantiza que es segura (es decir, el espía no tiene información sobre ella). De lo contrario, no es posible una clave segura y la comunicación se interrumpe.
La seguridad del cifrado que utiliza la distribución de claves cuánticas se basa en los fundamentos de la mecánica cuántica, en contraste con la criptografía de clave pública tradicional , que se basa en la dificultad computacional de ciertas funciones matemáticas y no puede proporcionar ninguna prueba matemática en cuanto a la complejidad real de invertir las funciones unidireccionales utilizadas. La QKD tiene una seguridad demostrable basada en la teoría de la información y el secreto hacia adelante .
El principal inconveniente de la distribución de claves cuánticas es que normalmente depende de tener un canal clásico de comunicación autenticado. [ cita requerida ] En la criptografía moderna, tener un canal clásico autenticado significa que uno ya ha intercambiado una clave simétrica de longitud suficiente o claves públicas de nivel de seguridad suficiente. Con dicha información ya disponible, en la práctica se puede lograr una comunicación autenticada y suficientemente segura sin usar QKD, como por ejemplo usando el modo Galois/Counter del Estándar de cifrado avanzado . Por lo tanto, QKD hace el trabajo de un cifrado de flujo a un costo mucho mayor.
La distribución de claves cuánticas se utiliza para producir y distribuir únicamente una clave, no para transmitir ningún dato de mensaje. Esta clave se puede utilizar con cualquier algoritmo de cifrado elegido para cifrar (y descifrar) un mensaje, que luego se puede transmitir a través de un canal de comunicación estándar . El algoritmo más comúnmente asociado con QKD es el block de un solo uso , ya que es demostrablemente seguro cuando se utiliza con una clave secreta y aleatoria. [1] En situaciones del mundo real, a menudo también se utiliza con el cifrado mediante algoritmos de clave simétrica como el algoritmo Advanced Encryption Standard .
La comunicación cuántica implica la codificación de información en estados cuánticos, o qubits , a diferencia del uso de bits en la comunicación clásica . Por lo general, se utilizan fotones para estos estados cuánticos. La distribución de claves cuánticas explota ciertas propiedades de estos estados cuánticos para garantizar su seguridad. Existen varios enfoques diferentes para la distribución de claves cuánticas, pero se pueden dividir en dos categorías principales según la propiedad que exploten.
Estos dos enfoques pueden dividirse a su vez en tres familias de protocolos: codificación de variables discretas, de variables continuas y de referencia de fase distribuida. Los protocolos de variables discretas fueron los primeros en inventarse y siguen siendo los más ampliamente implementados. Las otras dos familias se ocupan principalmente de superar las limitaciones prácticas de los experimentos. Los dos protocolos descritos a continuación utilizan codificación de variables discretas.
Este protocolo, conocido como BB84 en honor a sus inventores y año de publicación, se describió originalmente utilizando estados de polarización de fotones para transmitir la información. [2] Sin embargo, se pueden utilizar dos pares de estados conjugados cualesquiera para el protocolo, y muchas implementaciones basadas en fibra óptica descritas como BB84 utilizan estados codificados en fase. El emisor (tradicionalmente denominado Alice ) y el receptor (Bob) están conectados por un canal de comunicación cuántica que permite transmitir estados cuánticos . En el caso de los fotones, este canal es generalmente una fibra óptica o simplemente espacio libre . Además, se comunican a través de un canal clásico público, por ejemplo, utilizando radiodifusión o Internet. El protocolo está diseñado con el supuesto de que un espía (denominado Eve) puede interferir de cualquier manera con el canal cuántico, mientras que el canal clásico necesita ser autenticado . [3] [4]
La seguridad del protocolo proviene de la codificación de la información en estados no ortogonales . La indeterminación cuántica significa que estos estados no pueden medirse en general sin alterar el estado original (ver el teorema de no clonación ). BB84 utiliza dos pares de estados, cada par conjugado con el otro par y los dos estados dentro de un par ortogonales entre sí. Los pares de estados ortogonales se denominan base . Los pares de estados de polarización habituales utilizados son la base rectilínea de vertical (0°) y horizontal (90°), la base diagonal de 45° y 135° o la base circular de zurdos y diestros. Dos de estas bases son conjugadas entre sí, por lo que se pueden utilizar dos cualesquiera en el protocolo. A continuación se utilizan las bases rectilíneas y diagonales.
El primer paso en BB84 es la transmisión cuántica. Alice crea un bit aleatorio (0 o 1) y luego selecciona aleatoriamente una de sus dos bases (rectilínea o diagonal en este caso) para transmitirlo. Luego prepara un estado de polarización de fotones dependiendo tanto del valor del bit como de la base, como se muestra en la tabla adyacente. Por ejemplo, un 0 se codifica en la base rectilínea (+) como un estado de polarización vertical, y un 1 se codifica en la base diagonal (x) como un estado de 135°. Luego, Alice transmite un solo fotón en el estado especificado a Bob, utilizando el canal cuántico. Este proceso se repite a partir de la etapa de bits aleatorios, y Alice registra el estado, la base y el tiempo de cada fotón enviado.
Según la mecánica cuántica (en particular, la indeterminación cuántica), ninguna medición posible distingue entre los 4 estados de polarización diferentes, ya que no todos son ortogonales. La única medición posible es entre dos estados ortogonales cualesquiera (una base ortonormal). Así, por ejemplo, la medición en la base rectilínea da como resultado horizontal o vertical. Si el fotón se creó como horizontal o vertical (como un estado propio rectilíneo ), entonces se mide el estado correcto, pero si se creó como 45° o 135° (estados propios diagonales), entonces la medición rectilínea devuelve en su lugar horizontal o vertical al azar. Además, después de esta medición, el fotón se polariza en el estado en el que se midió (horizontal o vertical), y se pierde toda la información sobre su polarización inicial.
Como Bob no sabe la base en la que se codificaron los fotones, todo lo que puede hacer es seleccionar una base al azar para medir, ya sea rectilínea o diagonal. Hace esto para cada fotón que recibe, registrando el tiempo, la base de medición utilizada y el resultado de la medición. Después de que Bob ha medido todos los fotones, se comunica con Alice a través del canal clásico público. Alice transmite la base en la que se envió cada fotón y Bob la base en la que se midió cada uno. Ambos descartan las mediciones de fotones (bits) en las que Bob utilizó una base diferente, que es la mitad en promedio, dejando la mitad de los bits como una clave compartida.
Para comprobar la presencia de un espía, Alice y Bob comparan ahora un subconjunto predeterminado de sus cadenas de bits restantes. Si un tercero (normalmente denominado Eve, por "espía") ha obtenido alguna información sobre la polarización de los fotones, esto introduce errores en las mediciones de Bob. Otras condiciones ambientales pueden provocar errores de forma similar. Si difieren más de bits, cancelan la clave y vuelven a intentarlo, posiblemente con un canal cuántico diferente, ya que no se puede garantizar la seguridad de la clave. se elige de forma que si el número de bits que conoce Eve es menor que este, se puede utilizar la amplificación de la privacidad para reducir el conocimiento de Eve de la clave a una cantidad arbitrariamente pequeña a costa de reducir la longitud de la clave.
El esquema de Artur Ekert [5] utiliza pares de fotones entrelazados. Estos pueden ser creados por Alice, por Bob o por alguna fuente separada de ambos, incluida la espía Eve. Los fotones se distribuyen de manera que Alice y Bob terminen con un fotón de cada par.
El esquema se basa en dos propiedades del entrelazamiento. En primer lugar, los estados entrelazados están perfectamente correlacionados en el sentido de que si Alice y Bob miden si sus partículas tienen polarizaciones verticales u horizontales, siempre obtendrán la misma respuesta con una probabilidad del 100%. Lo mismo es cierto si ambos miden cualquier otro par de polarizaciones complementarias (ortogonales). Esto requiere que las dos partes distantes tengan una sincronización de direccionalidad exacta. Sin embargo, los resultados particulares son completamente aleatorios; es imposible para Alice predecir si ella (y por lo tanto Bob) obtendrán polarización vertical u horizontal. En segundo lugar, cualquier intento de espionaje por parte de Eve destruye estas correlaciones de una manera que Alice y Bob pueden detectar.
De manera similar a BB84 , el protocolo implica un protocolo de medición privado antes de detectar la presencia de Eve. La etapa de medición implica que Alice mida cada fotón que recibe usando alguna base del conjunto mientras Bob elige de dónde está la base rotada por . Mantienen su serie de elecciones de base privadas hasta que se completen las mediciones. Se crean dos grupos de fotones: el primero consiste en fotones medidos usando la misma base por Alice y Bob mientras que el segundo contiene todos los demás fotones. Para detectar escuchas clandestinas, pueden calcular la estadística de prueba usando los coeficientes de correlación entre las bases de Alice y Bob similares a los que se muestran en los experimentos de prueba de Bell . Los fotones máximamente entrelazados darían como resultado . Si este no fuera el caso, entonces Alice y Bob pueden concluir que Eve ha introducido realismo local al sistema, violando el teorema de Bell . Si el protocolo tiene éxito, el primer grupo se puede usar para generar claves ya que esos fotones están completamente antialineados entre Alice y Bob.
En la QKD tradicional, los dispositivos cuánticos utilizados deben estar perfectamente calibrados, ser confiables y funcionar exactamente como se espera. [6] Las desviaciones de las mediciones esperadas pueden ser extremadamente difíciles de detectar, lo que deja vulnerable a todo el sistema. Un nuevo protocolo llamado QKD independiente del dispositivo (DIQKD) o QKD independiente del dispositivo de medición (MDIQKD) permite el uso de dispositivos no caracterizados o no confiables, y que las desviaciones de las mediciones esperadas se incluyan en el sistema general. [6] [7] Estas desviaciones harán que el protocolo se cancele cuando se detecten, en lugar de dar como resultado datos incorrectos. [6]
La DIQKD fue propuesta por primera vez por Mayers y Yao [8] , basándose en el protocolo BB84. Propusieron que en la DIQKD, el dispositivo cuántico, al que denominan fuente de fotones, se fabricara para que viniera con pruebas que Alice y Bob pudieran ejecutar para "autocomprobar" si su dispositivo funciona correctamente. Dicha prueba solo necesitaría considerar las entradas y salidas clásicas para determinar cuánta información corre el riesgo de ser interceptada por Eve. Una fuente de autocomprobación o "ideal" no tendría que caracterizarse [7] [9] y, por lo tanto, no sería susceptible a fallas de implementación. [7]
Investigaciones recientes han propuesto utilizar una prueba de Bell para comprobar que un dispositivo funciona correctamente. [6] El teorema de Bell asegura que un dispositivo puede crear dos resultados que están exclusivamente correlacionados, lo que significa que Eve no podría interceptar los resultados sin hacer ninguna suposición sobre dicho dispositivo. Esto requiere estados altamente entrelazados y una baja tasa de error de bits cuánticos. [7] La DIQKD presenta dificultades para crear cúbits que se encuentren en estados entrelazados de tan alta calidad, lo que hace que sea un desafío realizarla experimentalmente. [6]
La distribución de clave cuántica de campos gemelos (TFQKD) se introdujo en 2018 y es una versión de DIQKD diseñada para superar el límite fundamental de velocidad-distancia de la distribución de clave cuántica tradicional. [10] El límite de velocidad-distancia, también conocido como compensación de velocidad-pérdida, describe cómo a medida que aumenta la distancia entre Alice y Bob, la tasa de generación de claves disminuye exponencialmente. [11] En los protocolos QKD tradicionales, esta descomposición se ha eliminado mediante la adición de nodos de retransmisión asegurados físicamente, que se pueden colocar a lo largo del enlace cuántico con la intención de dividirlo en varias secciones de baja pérdida. Los investigadores también han recomendado el uso de repetidores cuánticos, que cuando se agregan a los nodos de retransmisión hacen que ya no sea necesario asegurarlos físicamente. [11] Sin embargo, los repetidores cuánticos son difíciles de crear y aún no se han implementado a una escala útil. [10] TFQKD tiene como objetivo eludir el límite de velocidad-distancia sin el uso de repetidores cuánticos o nodos de retransmisión, creando niveles manejables de ruido y un proceso que se puede repetir mucho más fácilmente con la tecnología existente en la actualidad. [10]
El protocolo original para TFQKD es el siguiente: Alice y Bob tienen cada uno una fuente de luz y un brazo en un interferómetro en sus laboratorios. Las fuentes de luz crean dos pulsos ópticos tenues con una fase aleatoria p a o p b en el intervalo [0, 2π) y una fase de codificación γ a o γ b . Los pulsos se envían a lo largo de un quantum a Charlie, un tercero que puede ser malicioso o no. Charlie usa un divisor de haz para superponer los dos pulsos y realizar una medición. Tiene dos detectores en su propio laboratorio, uno de los cuales se encenderá si los bits son iguales (00) o (11), y el otro cuando sean diferentes (10, 01). Charlie anunciará a Alice y Bob cuál de los detectores se iluminó, momento en el que revelan públicamente las fases p y γ . [10] Esto es diferente de la QKD tradicional, en la que las fases utilizadas nunca se revelan. [12]
Los protocolos de distribución de claves cuánticas descritos anteriormente proporcionan a Alice y Bob claves compartidas casi idénticas, y también una estimación de la discrepancia entre las claves. Estas diferencias pueden ser causadas por escuchas no autorizadas, pero también por imperfecciones en la línea de transmisión y los detectores. Como es imposible distinguir entre estos dos tipos de errores, la seguridad garantizada requiere la suposición de que todos los errores se deben a escuchas no autorizadas. Siempre que la tasa de error entre las claves sea inferior a un cierto umbral (27,6% en 2002 [13] ), se pueden realizar dos pasos para eliminar primero los bits erróneos y luego reducir el conocimiento de la clave por parte de Eve a un valor pequeño arbitrario. Estos dos pasos se conocen como reconciliación de la información y amplificación de la privacidad respectivamente, y se describieron por primera vez en 1988. [14]
La reconciliación de información es una forma de corrección de errores que se lleva a cabo entre las claves de Alice y Bob, para garantizar que ambas claves sean idénticas. Se lleva a cabo a través del canal público y, como tal, es vital minimizar la información enviada sobre cada clave, ya que Eve puede leerla. Un protocolo común utilizado para la reconciliación de información es el protocolo en cascada , propuesto en 1994. [15] Este funciona en varias rondas, con ambas claves divididas en bloques en cada ronda y la paridad de esos bloques comparada. Si se encuentra una diferencia en la paridad, se realiza una búsqueda binaria para encontrar y corregir el error. Si se encuentra un error en un bloque de una ronda anterior que tenía paridad correcta, entonces otro error debe estar contenido en ese bloque; este error se encuentra y se corrige como antes. Este proceso se repite de forma recursiva, que es la fuente del nombre de cascada. Después de que se hayan comparado todos los bloques, Alice y Bob reordenan sus claves de la misma manera aleatoria y comienza una nueva ronda. Al final de varias rondas, Alice y Bob tienen claves idénticas con alta probabilidad; Sin embargo, Eve tiene información adicional sobre la clave a partir de la información de paridad intercambiada. Sin embargo, desde el punto de vista de la teoría de codificación, la conciliación de información es esencialmente codificación de origen con información secundaria. En consecuencia, cualquier esquema de codificación que funcione para este problema se puede utilizar para la conciliación de información. Últimamente, se han utilizado códigos turbo, [16] códigos LDPC [17] y códigos polares [18] para este propósito, mejorando la eficiencia del protocolo en cascada.
La amplificación de la privacidad es un método para reducir (y eliminar de manera efectiva) la información parcial de Eve sobre la clave de Alice y Bob. Esta información parcial podría haberse obtenido tanto escuchando a escondidas en el canal cuántico durante la transmisión de la clave (introduciendo así errores detectables) como en el canal público durante la conciliación de la información (donde se supone que Eve obtiene toda la información de paridad posible). La amplificación de la privacidad utiliza la clave de Alice y Bob para producir una nueva clave más corta, de tal manera que Eve solo tiene información insignificante sobre la nueva clave. Esto se realiza utilizando un extractor de aleatoriedad , por ejemplo, aplicando una función hash universal , elegida al azar de un conjunto conocido públicamente de tales funciones, que toma como entrada una cadena binaria de longitud igual a la clave y genera como salida una cadena binaria de una longitud más corta elegida. La cantidad en la que se acorta esta nueva clave se calcula, en función de la cantidad de información que Eve podría haber obtenido sobre la clave anterior (que se conoce debido a los errores que esto introduciría), para reducir la probabilidad de que Eve tenga algún conocimiento de la nueva clave a un valor muy bajo.
En 1991, John Rarity , Paul Tapster y Artur Ekert , investigadores de la Agencia de Investigación de Defensa del Reino Unido en Malvern y la Universidad de Oxford, demostraron una distribución de claves cuánticas protegida por la violación de las desigualdades de Bell.
En 2008, se logró el intercambio de claves seguras a 1 Mbit/s (más de 20 km de fibra óptica) y 10 kbit/s (más de 100 km de fibra), mediante una colaboración entre la Universidad de Cambridge y Toshiba utilizando el protocolo BB84 con pulsos de estado señuelo . [19]
En 2007, el Laboratorio Nacional de Los Álamos / NIST logró una distribución de claves cuánticas a lo largo de 148,7 km de fibra óptica utilizando el protocolo BB84. [20] Significativamente, esta distancia es lo suficientemente larga para casi todos los tramos que se encuentran en las redes de fibra actuales. Una colaboración europea logró una distribución cuántica de claves en espacio libre a lo largo de 144 km entre dos de las Islas Canarias utilizando fotones entrelazados (el esquema Ekert) en 2006, [21] y utilizando BB84 mejorado con estados señuelo [22] [23] [24] [25] [26] en 2007. [27]
En agosto de 2015, [actualizar]la distancia más larga alcanzada por fibra óptica (307 km) [28] fue lograda por la Universidad de Ginebra y Corning Inc. En el mismo experimento, se generó una tasa de clave secreta de 12,7 kbit/s, lo que lo convierte en el sistema con la tasa de bits más alta en distancias de 100 km. En 2016, un equipo de Corning y varias instituciones en China logró una distancia de 404 km, pero a una tasa de bits demasiado lenta para ser práctica. [29]
En junio de 2017, un grupo de físicos dirigido por Thomas Jennewein en el Instituto de Computación Cuántica y la Universidad de Waterloo en Waterloo, Canadá, logró la primera demostración de distribución de claves cuánticas desde un transmisor terrestre a una aeronave en movimiento. Informaron sobre enlaces ópticos con distancias de entre 3 y 10 km y generaron claves seguras de hasta 868 kilobytes de longitud. [30]
También en junio de 2017, como parte del proyecto Experimentos Cuánticos a Escala Espacial , físicos chinos dirigidos por Pan Jianwei en la Universidad de Ciencia y Tecnología de China midieron fotones entrelazados a una distancia de 1203 km entre dos estaciones terrestres, sentando las bases para futuros experimentos de distribución de claves cuánticas intercontinentales. [31] Los fotones fueron enviados desde una estación terrestre al satélite que habían llamado Micius y de regreso a otra estación terrestre, donde "observaron una supervivencia del entrelazamiento de dos fotones y una violación de la desigualdad de Bell de 2,37 ± 0,09 bajo estrictas condiciones de localidad de Einstein" a lo largo de una "longitud sumada que varía de 1600 a 2400 kilómetros". [32] Más tarde ese año, BB84 se implementó con éxito a través de enlaces satelitales desde Micius a estaciones terrestres en China y Austria. Las claves se combinaron y el resultado se utilizó para transmitir imágenes y video entre Beijing, China, y Viena, Austria. [33]
En agosto de 2017, un grupo de la Universidad Jiaotong de Shanghái demostró experimentalmente que los estados cuánticos de polarización, incluidos los qubits generales de fotón único y los estados entrelazados, pueden sobrevivir bien después de viajar a través del agua de mar, [34] lo que representa el primer paso hacia la comunicación cuántica submarina.
En mayo de 2019, un grupo dirigido por Hong Guo en la Universidad de Pekín y la Universidad de Correos y Telecomunicaciones de Pekín informó sobre pruebas de campo de un sistema QKD variable continuo a través de redes de fibra comerciales en Xi'an y Guangzhou a distancias de 30,02 km (12,48 dB) y 49,85 km (11,62 dB) respectivamente. [35]
En diciembre de 2020, la Organización de Investigación y Desarrollo de Defensa de la India probó un QKD entre dos de sus laboratorios en las instalaciones de Hyderabad. La configuración también demostró la validación de la detección de un tercero que intenta obtener conocimiento de la comunicación. La seguridad basada en la cuántica contra las escuchas clandestinas se validó para el sistema implementado a más de 12 km (7,5 mi) de alcance y 10 dB de atenuación sobre el canal de fibra óptica. Se utilizó una fuente láser de onda continua para generar fotones sin efecto de despolarización y la precisión de tiempo empleada en la configuración fue del orden de picosegundos. El detector de avalancha de fotón único (SPAD) registró la llegada de fotones y la tasa de clave se logró en el rango de kbps con una baja tasa de error de bits cuánticos. [36]
En marzo de 2021, la Organización de Investigación Espacial de la India también demostró una comunicación cuántica en el espacio libre a una distancia de 300 metros. Se demostró una QKD en el espacio libre en el Centro de Aplicaciones Espaciales (SAC) de Ahmedabad, entre dos edificios de línea de visión dentro del campus para realizar videoconferencias mediante señales cifradas con clave cuántica. El experimento utilizó un receptor NAVIC para la sincronización temporal entre los módulos transmisor y receptor. Más tarde, en enero de 2022, los científicos indios pudieron crear con éxito un canal atmosférico para el intercambio de mensajes e imágenes cifrados. Después de demostrar la comunicación cuántica entre dos estaciones terrestres, la India tiene planes de desarrollar la comunicación cuántica basada en satélites (SBQC). [37] [38]
En julio de 2022, los investigadores publicaron su trabajo implementando experimentalmente un protocolo de distribución de clave cuántica independiente del dispositivo (DIQKD) que utiliza el entrelazamiento cuántico (como sugirió Ekert) [5] para asegurar la resistencia a los ataques de piratería cuántica. [6] Pudieron crear dos iones, separados por unos dos metros, que estaban en un estado entrelazado de alta calidad utilizando el siguiente proceso: Alice y Bob tienen cada uno nodos de trampa de iones con un qubit de 88 Sr + en su interior. Inicialmente, excitan los iones a un estado electrónico, lo que crea un estado entrelazado. Este proceso también crea dos fotones, que luego son capturados y transportados mediante una fibra óptica, momento en el que se realiza una medición de base Bell y los iones se proyectan a un estado altamente entrelazado. Finalmente, los qubits se devuelven a nuevas ubicaciones en las trampas de iones desconectadas del enlace óptico para que no se pueda filtrar información. Esto se repite muchas veces antes de que continúe la distribución de claves. [6]
Un experimento independiente publicado en julio de 2022 demostró la implementación de DIQKD que también utiliza una prueba de desigualdad de Bell para garantizar que el dispositivo cuántico esté funcionando, esta vez a una distancia mucho mayor de unos 400 m, utilizando una fibra óptica de 700 m de largo. [7] La configuración del experimento fue similar a la del párrafo anterior, con algunas diferencias clave. El entrelazamiento se generó en un enlace de red cuántica (QNL) entre dos átomos de 87 Rb en laboratorios separados ubicados a 400 m de distancia, conectados por el canal de 700 m. Los átomos se entrelazan mediante excitación electrónica, momento en el que se generan y recogen dos fotones, para enviarlos a la configuración de medición del estado de campana (BSM). Los fotones se proyectan en un estado |ψ + , lo que indica un entrelazamiento máximo. El resto del protocolo de intercambio de claves utilizado es similar al protocolo QKD original, con la única diferencia de que las claves se generan con dos configuraciones de medición en lugar de una. [7]
Desde la propuesta de distribución de claves cuánticas de campos gemelos en 2018, se han realizado una gran cantidad de experimentos con el objetivo de aumentar la distancia en un sistema QKD. El más exitoso de ellos logró distribuir información clave a lo largo de una distancia de 833,8 km. [12]
En 2023, los científicos del Instituto Indio de Tecnología (IIT) de Delhi lograron una distribución de clave cuántica (QKD) confiable y sin nodos hasta 380 km en fibra de telecomunicaciones estándar con una tasa de error de bits cuánticos (QBER) muy baja. [39]
Muchas empresas de todo el mundo ofrecen distribución comercial de claves cuánticas, por ejemplo: ID Quantique (Ginebra), MagiQ Technologies, Inc. (Nueva York), QNu Labs ( Bengaluru , India ), QuintessenceLabs (Australia), QRate (Rusia), SeQureNet (París), Quantum Optics Jena (Alemania) y KEEQuant (Alemania). Varias otras empresas también tienen programas de investigación activos, incluidas KETS Quantum Security (Reino Unido), Toshiba, HP , IBM , Mitsubishi , NEC y NTT (consulte los enlaces externos para obtener enlaces de investigación directa).
En 2004, se llevó a cabo en Viena , Austria , la primera transferencia bancaria del mundo que utilizó distribución de claves cuánticas . [40] La tecnología de cifrado cuántico proporcionada por la empresa suiza Id Quantique se utilizó en el cantón (estado) suizo de Ginebra para transmitir los resultados de las elecciones a la capital en las elecciones nacionales que tuvieron lugar el 21 de octubre de 2007. [41] En 2013, Battelle Memorial Institute instaló un sistema QKD construido por ID Quantique entre su campus principal en Columbus, Ohio y su planta de fabricación en la cercana Dublín. [42] Las pruebas de campo de la red QKD de Tokio han estado en marcha durante algún tiempo. [43]
La red cuántica DARPA [ 44] fue una red de distribución de claves cuánticas de 10 nodos que funcionó de forma continua durante cuatro años, las 24 horas del día, desde 2004 hasta 2007 en Massachusetts, Estados Unidos. Fue desarrollada por BBN Technologies , la Universidad de Harvard , la Universidad de Boston , con la colaboración de IBM Research , el Instituto Nacional de Estándares y Tecnología y QinetiQ . Respaldaba una red informática de Internet basada en estándares protegida por la distribución de claves cuánticas.
La primera red informática del mundo protegida mediante distribución de claves cuánticas se puso en marcha en octubre de 2008, en una conferencia científica celebrada en Viena. El nombre de esta red es SECOQC ( Security Communication Based on Quantum Cryptography ) y la UE financió este proyecto. La red utilizó 200 km de cable de fibra óptica estándar para interconectar seis ubicaciones en Viena y la ciudad de St. Poelten, situada a 69 km al oeste. [45]
Id Quantique ha completado con éxito el proyecto de mayor duración para probar la distribución de claves cuánticas (QKD) en un entorno de campo. El objetivo principal del proyecto de red SwissQuantum instalado en el área metropolitana de Ginebra en marzo de 2009 era validar la fiabilidad y robustez de la QKD en funcionamiento continuo durante un largo período de tiempo en un entorno de campo. La capa cuántica funcionó durante casi dos años hasta que el proyecto se cerró en enero de 2011, poco después de la duración inicialmente prevista de la prueba.
En mayo de 2009, se demostró una red cuántica jerárquica en Wuhu , China . La red jerárquica consistía en una red troncal de cuatro nodos que conectaban varias subredes. Los nodos de la red troncal estaban conectados a través de un enrutador cuántico de conmutación óptica. Los nodos dentro de cada subred también estaban conectados a través de un conmutador óptico, que estaba conectado a la red troncal a través de un relé confiable. [46]
Lanzada en agosto de 2016, la misión espacial QUESS creó un canal QKD internacional entre China y el Instituto de Óptica Cuántica e Información Cuántica en Viena , Austria , una distancia terrestre de 7500 km (4700 mi), lo que permitió la primera videollamada cuántica segura intercontinental. [47] [48] [49] Para octubre de 2017, una línea de fibra de 2000 km estaba operativa entre Beijing , Jinan , Hefei y Shanghai . [50] Juntos constituyen la primera red cuántica espacio-terrestre del mundo. [51] Se esperan hasta 10 satélites Micius/QUESS, [52] lo que permitirá una red encriptada cuántica europea-asiática para 2020, y una red global para 2030. [53] [54]
La red QKD de Tokio [55] se inauguró el primer día de la conferencia UQCC2010. La red implica una colaboración internacional entre 7 socios; NEC , Mitsubishi Electric , NTT y NICT de Japón, y la participación de Europa por parte de Toshiba Research Europe Ltd. (Reino Unido), Id Quantique (Suiza) y All Vienna (Austria). "All Vienna" está representada por investigadores del Instituto Austriaco de Tecnología (AIT), el Instituto de Óptica Cuántica e Información Cuántica (IQOQI) y la Universidad de Viena .
Desde 2011, el Laboratorio Nacional de Los Álamos opera una red de tipo hub-and-spoke. Todos los mensajes se envían a través de un hub. El sistema equipa a cada nodo de la red con transmisores cuánticos (es decir, láseres), pero no con detectores de fotones costosos y voluminosos. Sólo el hub recibe mensajes cuánticos. Para comunicarse, cada nodo envía un bloc de notas de un solo uso al hub, que luego utiliza para comunicarse de forma segura a través de un enlace clásico. El hub puede enviar este mensaje a otro nodo utilizando otro bloc de notas de un solo uso del segundo nodo. La red entera sólo es segura si el hub central es seguro. Los nodos individuales requieren poco más que un láser: los nodos prototipo tienen aproximadamente el tamaño de una caja de cerillas. [56]
La Red Nacional Cuántica Segura Plus (NQSN+) fue lanzada por la IMDA en 2023 y es parte del Plan de Conectividad Digital de Singapur, que describe el próximo paso de la conectividad digital de Singapur hasta 2030. La NQSN+ ayudará a los operadores de red a implementar redes cuánticamente seguras en todo el país, otorgando a las empresas un fácil acceso a soluciones cuánticas seguras que salvaguarden sus datos críticos. La NQSN+ comenzará con dos operadores de red, Singtel y SPTel, junto con SpeQtral. Cada uno construirá una red cuántica segura a nivel nacional e interoperable que pueda servir a todas las empresas. Las empresas pueden trabajar con los operadores de la NQSN+ para integrar soluciones cuánticas seguras como la Distribución de Claves Cuánticas (QKD) y la Criptografía Post-Cuántica (PQC) y estar seguras en la era cuántica. [57]
En 2024, la ESA planea lanzar el satélite Eagle-1, un sistema experimental de distribución de claves cuánticas basado en el espacio. [58]
El tipo más simple de ataque posible es el ataque de intercepción y reenvío, en el que Eve mide los estados cuánticos (fotones) enviados por Alice y luego envía estados de reemplazo a Bob, preparados en el estado que ella mide. En el protocolo BB84, esto produce errores en la clave que comparten Alice y Bob. Como Eve no tiene conocimiento de la base en la que está codificado un estado enviado por Alice, solo puede adivinar en qué base medir, de la misma manera que Bob. Si elige correctamente, mide el estado de polarización de fotones correcto tal como lo envía Alice y reenvía el estado correcto a Bob. Sin embargo, si elige incorrectamente, el estado que mide es aleatorio y el estado enviado a Bob no puede ser el mismo que el estado enviado por Alice. Si Bob mide este estado en la misma base que Alice envió, él también obtiene un resultado aleatorio (ya que Eve le ha enviado un estado en la base opuesta) con un 50% de posibilidades de un resultado erróneo (en lugar del resultado correcto que obtendría sin la presencia de Eve). La siguiente tabla muestra un ejemplo de este tipo de ataque.
La probabilidad de que Eva elija la base incorrecta es del 50% (suponiendo que Alicia elige al azar), y si Bob mide este fotón interceptado en la base que Alicia envió, obtiene un resultado aleatorio, es decir, un resultado incorrecto con una probabilidad del 50%. La probabilidad de que un fotón interceptado genere un error en la cadena de claves es entonces del 50% × 50% = 25%. Si Alicia y Bob comparan públicamente sus bits de clave (descartándolos así como bits de clave, ya que ya no son secretos), la probabilidad de que encuentren un desacuerdo e identifiquen la presencia de Eva es
Entonces, para detectar a un espía con probabilidad, Alice y Bob necesitan comparar bits clave.
La distribución de claves cuánticas es vulnerable a un ataque de intermediario cuando se utiliza sin autenticación en la misma medida que cualquier protocolo clásico, ya que ningún principio conocido de la mecánica cuántica puede distinguir a un amigo de un enemigo. Como en el caso clásico, Alice y Bob no pueden autenticarse entre sí y establecer una conexión segura sin algún medio para verificar las identidades de cada uno (como un secreto compartido inicial). Si Alice y Bob tienen un secreto compartido inicial, entonces pueden utilizar un esquema de autenticación incondicionalmente seguro (como Carter-Wegman, [59] ) junto con la distribución de claves cuánticas para expandir exponencialmente esta clave, utilizando una pequeña cantidad de la nueva clave para autenticar la próxima sesión. [60] Se han propuesto varios métodos para crear este secreto compartido inicial, por ejemplo, utilizando un tercero [61] o la teoría del caos. [62] Sin embargo, solo la familia "casi fuertemente universal" de funciones hash se puede utilizar para la autenticación incondicionalmente segura. [63]
En el protocolo BB84, Alice envía estados cuánticos a Bob usando fotones individuales. En la práctica, muchas implementaciones usan pulsos láser atenuados a un nivel muy bajo para enviar los estados cuánticos. Estos pulsos láser contienen una cantidad muy pequeña de fotones, por ejemplo 0,2 fotones por pulso, que se distribuyen de acuerdo con una distribución de Poisson . Esto significa que la mayoría de los pulsos en realidad no contienen fotones (no se envía ningún pulso), algunos pulsos contienen 1 fotón (lo cual es deseado) y algunos pulsos contienen 2 o más fotones. Si el pulso contiene más de un fotón, entonces Eve puede dividir los fotones adicionales y transmitir el fotón individual restante a Bob. Esta es la base del ataque de división del número de fotones, [64] donde Eve almacena estos fotones adicionales en una memoria cuántica hasta que Bob detecta el fotón individual restante y Alice revela la base de codificación. Eve puede entonces medir sus fotones en la base correcta y obtener información sobre la clave sin introducir errores detectables.
Incluso con la posibilidad de un ataque PNS, todavía se puede generar una clave segura, como se muestra en la prueba de seguridad GLLP; [65] sin embargo, se necesita una cantidad mucho mayor de amplificación de privacidad, lo que reduce significativamente la tasa de clave segura (con PNS, la tasa se escala en comparación con una sola fuente de fotón, donde es la transmitancia del canal cuántico).
Existen varias soluciones a este problema. La más obvia es utilizar una fuente de fotón único real en lugar de un láser atenuado. Si bien dichas fuentes aún se encuentran en una etapa de desarrollo, se ha llevado a cabo QKD con éxito con ellas. [66] Sin embargo, como las fuentes actuales operan a una baja eficiencia y frecuencia, las tasas de clave y las distancias de transmisión son limitadas. Otra solución es modificar el protocolo BB84, como se hace por ejemplo en el protocolo SARG04 , [67] en el que la tasa de clave segura escala como . La solución más prometedora son los estados señuelo [22] [23 ] [24] [25] [26] en los que Alice envía aleatoriamente algunos de sus pulsos láser con un número de fotones promedio más bajo. Estos estados señuelo se pueden usar para detectar un ataque PNS, ya que Eve no tiene forma de saber qué pulsos son señal y cuáles señuelo. Usando esta idea, la tasa de clave segura escala como , lo mismo que para una fuente de fotón único. Esta idea se ha implementado con éxito primero en la Universidad de Toronto, [68] [69] y en varios experimentos QKD de seguimiento, [70] permitiendo altas tasas de clave seguras contra todos los ataques conocidos.
Dado que actualmente se requiere una línea de fibra óptica dedicada (o una línea de visión en el espacio libre) entre los dos puntos conectados por la distribución de claves cuánticas, se puede realizar un ataque de denegación de servicio simplemente cortando o bloqueando la línea. Esta es una de las motivaciones para el desarrollo de redes de distribución de claves cuánticas , que enrutarían la comunicación a través de enlaces alternativos en caso de interrupción.
Un sistema de distribución de claves cuánticas puede ser investigado por Eve enviando luz brillante al canal cuántico y analizando las reflexiones en un ataque de caballo de Troya. En un estudio de investigación reciente se ha demostrado que Eve discierne la elección de base secreta de Bob con una probabilidad superior al 90%, violando la seguridad del sistema. [71]
Si se supone que Eve tiene recursos ilimitados, por ejemplo, tanto potencia de computación clásica como cuántica, existen muchos más ataques posibles. Se ha demostrado que BB84 es seguro contra cualquier ataque permitido por la mecánica cuántica, tanto para enviar información utilizando una fuente de fotones ideal que solo emite un fotón a la vez, [72] como también utilizando fuentes de fotones prácticas que a veces emiten pulsos multifotónicos. [65] Estas pruebas son incondicionalmente seguras en el sentido de que no se imponen condiciones sobre los recursos disponibles para el espía; sin embargo, hay otras condiciones requeridas:
Los ataques de piratería se dirigen a vulnerabilidades en el funcionamiento de un protocolo QKD o deficiencias en los componentes de los dispositivos físicos utilizados en la construcción del sistema QKD. Si el equipo utilizado en la distribución de claves cuánticas puede ser manipulado, se podría hacer que genere claves que no sean seguras utilizando un ataque de generador de números aleatorios . Otra clase común de ataques es el ataque del caballo de Troya [73] que no requiere acceso físico a los puntos finales: en lugar de intentar leer los fotones individuales de Alice y Bob, Eve envía un gran pulso de luz de vuelta a Alice entre los fotones transmitidos. El equipo de Alice refleja parte de la luz de Eve, revelando el estado de la base de Alice (por ejemplo, un polarizador). Este ataque puede detectarse, por ejemplo, utilizando un detector clásico para comprobar las señales no legítimas (es decir, la luz de Eve) que entran en el sistema de Alice. También se conjetura [¿ por quién? ] que la mayoría de los ataques de piratería pueden ser derrotados de manera similar modificando la implementación, aunque no hay una prueba formal.
Actualmente se conocen otros ataques, incluidos ataques de estado falso , [74] ataques de reasignación de fase [75] y ataques de cambio de tiempo [76] . El ataque de cambio de tiempo incluso se ha demostrado en un criptosistema cuántico comercial. [77] Esta es la primera demostración de piratería cuántica contra un sistema de distribución de claves cuánticas no casero. Más tarde, el ataque de reasignación de fase también se demostró en un sistema QKD abierto, especialmente configurado y orientado a la investigación (fabricado y proporcionado por la empresa suiza Id Quantique bajo su programa Quantum Hacking). [78] Es uno de los primeros ataques de "interceptar y reenviar" sobre una implementación de QKD ampliamente utilizada en sistemas QKD comerciales. Este trabajo ha sido ampliamente reportado en los medios. [79] [80] [81] [82]
El primer ataque que pretendía ser capaz de espiar toda la clave [83] sin dejar rastro se demostró en 2010. Se demostró experimentalmente que los detectores de fotón único en dos dispositivos comerciales podían ser totalmente controlados a distancia utilizando una iluminación brillante especialmente diseñada. En una serie de publicaciones [84] [85] [86] posteriores, la colaboración entre la Universidad Noruega de Ciencia y Tecnología en Noruega y el Instituto Max Planck para la Ciencia de la Luz en Alemania, ha demostrado ahora varios métodos para espiar con éxito los sistemas comerciales de QKD basados en las debilidades de los fotodiodos de avalancha (APD) que funcionan en modo cerrado. Esto ha provocado la investigación sobre nuevos enfoques para proteger las redes de comunicaciones. [87]
La tarea de distribuir una clave secreta podría lograrse incluso cuando la partícula (en la que se ha codificado la información secreta, por ejemplo, la polarización) no atraviesa el canal cuántico utilizando un protocolo desarrollado por Tae-Gon Noh. [88] Aquí Alice genera un fotón que, al no tomar una medición hasta más tarde, existe en una superposición de estar en los caminos (a) y (b) simultáneamente. El camino (a) permanece dentro del dispositivo seguro de Alice y el camino (b) va a Bob. Al rechazar los fotones que Bob recibe y solo aceptar los que no recibe, Bob y Alice pueden establecer un canal seguro, es decir, los intentos de Eve de leer los fotones contrafácticos aún se detectarían. Este protocolo utiliza el fenómeno cuántico por el cual la posibilidad de que se pueda enviar un fotón tiene un efecto incluso cuando no se envía. La llamada medición sin interacción también utiliza este efecto cuántico, como por ejemplo en el problema de las pruebas de bombas , mediante el cual un experimentador puede determinar conceptualmente qué bombas no son fallidas sin detonarlas, excepto en un sentido contrafáctico .
La criptografía cuántica fue propuesta por primera vez por Stephen Wiesner , entonces en la Universidad de Columbia en Nueva York, quien, a principios de la década de 1970, introdujo el concepto de codificación conjugada cuántica. Su artículo seminal titulado "Codificación conjugada" fue rechazado por IEEE Information Theory, pero finalmente se publicó en 1983 en SIGACT News (15:1 pp. 78-88, 1983). En este artículo, mostró cómo almacenar o transmitir dos mensajes codificándolos en dos "observables conjugados", como la polarización lineal y circular de la luz, de modo que cualquiera de los dos, pero no ambos, pueda recibirse y decodificarse. Ilustró su idea con un diseño de billetes de banco infalsificables. Una década después, basándose en este trabajo, Charles H. Bennett , del Centro de Investigación Thomas J. Watson de IBM , y Gilles Brassard , de la Universidad de Montreal , propusieron un método para la comunicación segura basado en los "observables conjugados" de Wiesner. [89] En 1990, Artur Ekert, entonces estudiante de doctorado en el Wolfson College de la Universidad de Oxford , desarrolló un enfoque diferente para la distribución de claves cuánticas basado en el entrelazamiento cuántico.
Los sistemas comerciales actuales están orientados principalmente a gobiernos y corporaciones con altos requerimientos de seguridad. La distribución de claves por mensajería se utiliza típicamente en tales casos, donde se cree que los esquemas tradicionales de distribución de claves no ofrecen garantía suficiente. Esto tiene la ventaja de no estar intrínsecamente limitado por la distancia, y a pesar de los largos tiempos de viaje, la tasa de transferencia puede ser alta debido a la disponibilidad de dispositivos de almacenamiento portátiles de gran capacidad. La principal diferencia de la distribución de claves cuántica es la capacidad de detectar cualquier interceptación de la clave, mientras que con la mensajería la seguridad de la clave no puede probarse ni probarse. Los sistemas QKD (distribución de claves cuánticas) también tienen la ventaja de ser automáticos, con mayor confiabilidad y menores costos operativos que una red de mensajería humana segura.
El protocolo de tres etapas de Kak se ha propuesto como un método de comunicación segura que es completamente cuántico, a diferencia de la distribución de claves cuánticas en la que la transformación criptográfica utiliza algoritmos clásicos. [90]
Entre los factores que impiden la adopción generalizada de la distribución de claves cuánticas fuera de las áreas de alta seguridad se incluyen el coste de los equipos y la falta de una amenaza demostrada para los protocolos de intercambio de claves existentes. Sin embargo, las redes de fibra óptica ya presentes en muchos países cuentan con la infraestructura necesaria para un uso más generalizado.
Se ha creado un Grupo de Especificación Industrial (ISG) del Instituto Europeo de Normas de Telecomunicaciones ( ETSI ) para abordar cuestiones de estandarización en criptografía cuántica. [91]
Los Institutos Europeos de Metrología, en el contexto de proyectos específicos, [92] [93] están desarrollando las mediciones necesarias para caracterizar los componentes de los sistemas QKD.
Toshiba Europe ha sido galardonada con el prestigioso premio del Instituto de Física a la Innovación Empresarial. Este galardón reconoce la tecnología QKD [94] pionera de Toshiba , desarrollada a lo largo de dos décadas de investigación, que protege la infraestructura de comunicaciones de las ciberamenazas presentes y futuras y comercializa productos fabricados en el Reino Unido que allanan el camino hacia la Internet cuántica.
Toshiba también se llevó el premio Semi Grand Prix en la categoría de Soluciones por el QKD, que ganó el Premio del Ministro de Economía, Comercio e Industria en el CEATEC AWARD 2021, los prestigiosos premios presentados en CEATEC, la principal feria comercial de la industria electrónica de Japón. [95]
Algunas organizaciones han recomendado el uso de la "criptografía post-cuántica (o criptografía resistente a la cuántica)" como alternativa debido a los problemas que plantea en la práctica. Por ejemplo, la Agencia de Seguridad Nacional de los Estados Unidos , la Agencia de la Unión Europea para la Ciberseguridad de la UE (ENISA), el Centro Nacional de Seguridad Cibernética (Reino Unido) , la Secretaría de Defensa y Seguridad de Francia (ANSSI) y la Oficina Federal Alemana para la Seguridad de la Información (BSI) la recomiendan (lea la bibliografía para obtener más detalles). [96] [97] [98] [99] [100]
Por ejemplo, la Agencia de Seguridad Nacional de Estados Unidos aborda cinco cuestiones: [96]
En respuesta al problema 1 anterior, se han propuesto en todo el mundo intentos de entregar claves de autenticación utilizando criptografía post-cuántica (o criptografía resistente a la cuántica). Por otro lado, la criptografía resistente a la cuántica es criptografía que pertenece a la clase de seguridad computacional. En 2015, ya se publicó un resultado de investigación que decía que "se debe tener suficiente cuidado en la implementación para lograr una seguridad teórica de la información para el sistema en su conjunto cuando se utilizan claves de autenticación que no son seguras desde el punto de vista de la teoría de la información" (si la clave de autenticación no es segura desde el punto de vista de la teoría de la información, un atacante puede romperla para controlar todas las comunicaciones clásicas y cuánticas y retransmitirlas para lanzar un ataque de intermediario ). [102] Ericsson, una empresa privada, también cita y señala los problemas anteriores y luego presenta un informe de que es posible que no pueda respaldar el modelo de seguridad de confianza cero , que es una tendencia reciente en la tecnología de seguridad de redes. [103]