La criptografía cuántica relativista es un subcampo de la criptografía cuántica , en el que además de explotar los principios de la física cuántica , también se explota el principio de señalización no superluminal de la teoría de la relatividad que establece que la información no puede viajar más rápido que la luz. Técnicamente hablando, la criptografía cuántica relativista es un subcampo de la criptografía relativista, en el que los protocolos criptográficos explotan el principio de señalización no superluminal, independientemente de si se utilizan propiedades cuánticas o no. Sin embargo, en la práctica, el término criptografía cuántica relativista también se utiliza para la criptografía relativista.
En 1997 y 1998, se demostró que algunas tareas importantes en criptografía desconfiada eran imposibles de lograr con seguridad incondicional. Mayers [1] y Lo y Chau [2] demostraron que el compromiso incondicionalmente seguro de bits cuánticos era imposible. Lo demostró que la transferencia ajena y una amplia clase de cálculos seguros también eran imposibles de lograr con seguridad incondicional en la criptografía cuántica. [3] Además, Lo y Chau demostraron que el lanzamiento incondicionalmente seguro de una moneda cuántica ideal también era imposible. [4] En este contexto, Kent proporcionó en 1999 los primeros protocolos criptográficos relativistas, para el compromiso de bits y el lanzamiento ideal de monedas, que superan las suposiciones hechas por Mayers, Lo y Chau, y logran una seguridad incondicional. [5] [6] Desde entonces, Kent y otros han encontrado otros protocolos relativistas incondicionalmente seguros para el compromiso de bits, [7] [8] [9] [10] [11] y se han investigado otras tareas criptográficas en el entorno. de la criptografía cuántica relativista. [12] [13] [14] [15] [16] [17] [18]
El principio de no señalización de la teoría cuántica establece que la información no se puede comunicar entre dos ubicaciones distintas L 0 y L 1 sin la transmisión de ningún sistema físico, a pesar de cualquier entrelazamiento cuántico compartido entre L 0 y L 1 . Esto implica, en particular, que sin la transmisión de ningún sistema físico entre L 0 y L 1 , la correlación cuántica entre L 0 y L 1 no puede usarse para transmitir información entre L 0 y L 1 , incluso si no son causales localmente. y violar las desigualdades de Bell . Según la teoría de la relatividad , los sistemas físicos no pueden viajar más rápido que la velocidad de la luz . Así, del principio de no señalización se deduce que la información no puede viajar más rápido que la velocidad de la luz . A esto se le llama principio de señalización no superluminal.
El principio de señalización no superluminal es el principio físico clave explotado en la criptografía relativista. Garantiza que el resultado x de una variable aleatoria X obtenido en algún punto del espacio-tiempo P no puede influir en la probabilidad de que una variable aleatoria Y tome algún valor y en un punto espacio-temporal separado Q. Así, por ejemplo, si dos partes, Alice y Bob, tienen dos agentes cada una, el primer agente de Bob envía un mensaje secreto x a un primer agente de Alice en el punto del espacio-tiempo P , y el segundo agente de Alice envía un mensaje secreto. y al segundo agente de Bob en el punto espacio-temporal Q , con P y Q separados espacialmente, entonces se puede garantizar a Bob que el mensaje y recibido de Alice fue elegido independientemente del mensaje x que le dio a Alice, y viceversa. Ésta es una propiedad matemática útil que se aprovecha para demostrar la seguridad de los protocolos criptográficos en criptografía relativista.
Es un requisito fundamental en criptografía relativista que las partes que implementan la tarea criptográfica tengan una buena descripción del espacio-tiempo , al menos dentro de la región del espacio-tiempo donde se implementa la tarea. Por ejemplo, en protocolos implementados cerca de la superficie de la Tierra, se puede suponer que el espacio-tiempo está cerca de Minkowski . Es importante destacar que esto significa que, cerca de la superficie de la Tierra, los sistemas físicos y la información no pueden viajar más rápido que la velocidad de la luz a través del vacío , que es de aproximadamente 300.000 km/s. En principio, la criptografía relativista se puede aplicar con espacios-tiempos más generales , siempre que las partes puedan garantizar que no existen mecanismos que permitan la comunicación instantánea, como los agujeros de gusano . Otro requisito es que las partes tengan acceso a un marco de referencia común , de modo que puedan garantizar que algunos eventos de comunicación estén separados como un espacio. [5]
En criptografía relativista, se supone que cada parte que participa en la tarea criptográfica tiene varios agentes de confianza que colaboran para implementar la tarea. Los agentes implementan el protocolo realizando diferentes acciones en varios puntos del espacio-tiempo . Los agentes de una misma parte pueden comunicarse a través de canales autenticados y seguros , que pueden implementarse con claves seguras previamente compartidas , por ejemplo usando teclados de un solo uso . [5] [18]
Varias tareas investigadas por la criptografía relativista consisten en tareas de criptografía desconfiada, en las que dos o más partes desconfiadas deben colaborar para implementar una tarea criptográfica y al mismo tiempo se garantiza que otras partes no hagan trampa. Ejemplos de tareas en criptografía desconfiada son el compromiso de bits , el lanzamiento de monedas , la transferencia inconsciente y los cálculos seguros . La distribución de claves no pertenece a la criptografía desconfiada, porque en este caso las partes que distribuyen la clave confían entre sí. En la criptografía relativista, cada parte participante tiene varios agentes de confianza, que colaboran entre sí realizando diferentes acciones en varios puntos del espacio-tiempo. Por ejemplo, Alice y Bob pueden ser dos empresas con oficinas y laboratorios en varios lugares de la Tierra. Las oficinas y laboratorios de Alice trabajan en colaboración y confían entre sí. De manera similar, las oficinas y laboratorios de Bob trabajan en colaboración y confían entre sí. Pero Alice y Bob no confían el uno en el otro. [5] [18]
El compromiso de bits es una tarea criptográfica importante que ha sido ampliamente investigada en criptografía relativista. En el compromiso de bit, Alice se compromete con un bit b en algún momento t , y en algún momento posterior t' > t Alice revela su bit b comprometido a Bob. Se dice que un poco de compromiso está "oculto" si Bob no puede saber b antes de que Alice lo revele. Se dice que es "vinculante" si después del tiempo de compromiso t , Alice no puede elegir el valor de b y revelar b con éxito a Bob. Un protocolo de compromiso de bits es "seguro" si es oculto y vinculante. El teorema de no ir de Mayers-Lo-Chau establece que el compromiso de bits incondicionalmente seguro es imposible basándose únicamente en las leyes de la física cuántica. [1] [2] Kent demostró que el teorema de Mayers-Lo-Chau no es lo suficientemente general porque excluye protocolos que explotan el principio de señalización no superluminal. [5] Kent proporcionó el primer protocolo de compromiso de bits incondicionalmente seguro en el contexto de la criptografía relativista. [5] Kent y otros han ideado varios protocolos para el compromiso de bits. [7] [8] [9] [10] [11] Se han implementado demostraciones experimentales de compromiso de bits relativista. [19] [20] [10] [21]
En el lanzamiento fuerte de una moneda, Alice y Bob están en lugares diferentes y desean lanzar una moneda de tal manera que a Alice se le garantice que Bob no puede sesgar el resultado, y a Bob se le garantiza que Alice tampoco puede sesgar el resultado. Lo y Chau demostraron que el lanzamiento de moneda fuerte ideal es imposible de lograr con una seguridad incondicional basada únicamente en las leyes de la física cuántica. [4] Sin embargo, Kent superó este teorema de no ir proporcionando un protocolo relativista para el lanzamiento fuerte de monedas que es incondicionalmente seguro. [6] Este protocolo es conceptualmente muy simple y se ilustra aquí como un ejemplo de un protocolo en criptografía relativista.
En el protocolo de lanzamiento de moneda de Kent, Alice tiene dos agentes A 0 y A 1 , y Bob tiene dos agentes B 0 y B 1 . A i y B i están en la ubicación Li , para . Sean L 0 y L 1 una separación distante D . Supongamos que el espacio-tiempo es Minkowski. Por tanto, el tiempo mínimo que tarda la luz en viajar entre L 0 y L 1 es t = D/c , donde c es la velocidad de la luz a través del vacío. A 0 genera un bit aleatorio en un laboratorio seguro y se lo entrega a B 0 en un momento t 0 . B 1 genera un bit aleatorio b en un laboratorio seguro y se lo entrega a A 1 en un momento t 1 . B 0 y B 1 se comunican y b a través de un canal seguro y autenticado. De manera similar, A 0 y A 1 se comunican yb a través de un canal seguro y autenticado. Alice y Bob están de acuerdo en que el resultado del lanzamiento d es el xor de los bits yb ,. Alice y Bob acuerdan avanzar sobre los valores de t 0 y t 1 en un sistema de referencia común, de tal manera que |t 0 - t 1 | <t . Por lo tanto, según el principio de no señalización superluminal, al recibir de A 0 , B 0 no puede enviar ninguna señal que llegue a B 1 antes de que B 1 le dé b a A 1 . Por lo tanto, se garantiza a Alice que Bob elige el bit b independientemente del bit elegido por ella. Dado que Alice elige aleatoriamente y que b es independiente de , se garantiza que el bit es aleatorio. Con argumentos similares, a Bob también se le garantiza que el bit d es aleatorio.
Colbeck y Kent han investigado variaciones del lanzamiento de monedas en criptografía relativista. [12] [14]
Lo demostró que la transferencia ajena y otros cálculos seguros no se pueden lograr con una seguridad incondicional basada únicamente en las leyes de la física cuántica. [3] Este resultado de imposibilidad de Lo se extiende al entorno más general de la criptografía cuántica relativista. [12] [13] Colbeck demostró que varios cálculos seguros son imposibles de lograr con seguridad incondicional en criptografía cuántica relativista. [13] [14]
La criptografía cuántica basada en la posición consiste en tareas criptográficas cuya seguridad aprovecha la ubicación de una parte, el principio de señalización no superluminal y las leyes de la física cuántica. [16] [15] Por ejemplo, en el problema de la autenticación de ubicación cuántica, un probador quiere demostrar su ubicación L a un conjunto de verificadores que utilizan sistemas cuánticos. Un protocolo para la autenticación de ubicación cuántica funciona de la siguiente manera. Un conjunto de verificadores en varias ubicaciones que rodean la ubicación L envían mensajes clásicos y estados cuánticos hacia la ubicación L. Si el probador está en la ubicación L, entonces puede recibir las señales en momentos específicos y responder a los verificadores con mensajes clásicos solicitados y/o estados cuánticos, que deben ser recibidos por los verificadores en momentos específicos. [16] [15]
La autenticación de ubicación cuántica fue investigada por primera vez por Kent en 2002, a lo que llamó "etiquetado cuántico", lo que dio lugar a una patente estadounidense presentada por Kent et al. en 2007, [22] y una publicación en la literatura académica en 2010, [15] después de que Buhrman et al publicaran un artículo sobre criptografía cuántica basada en posiciones. [16] Existe un teorema prohibido para la autenticación de ubicación cuántica demostrado por Buhrman et al. afirmando que es imposible que un conjunto de verificadores autentifiquen la ubicación de un probador con seguridad incondicional. [16] Esto se debe a que para cualquier protocolo de autenticación de ubicación cuántica, un conjunto de probadores deshonestos que comparten una cantidad suficiente de entrelazamiento y se ubican entre los verificadores y la ubicación L pueden interceptar todas las comunicaciones de los verificadores, incluidos todos los estados cuánticos transmitidos, y luego aplicar una operación cuántica no local que les permite responder correctamente y en el momento correcto a los verificadores. Dado que los probadores deshonestos no necesitan estar en la ubicación L para hacer esto, el protocolo de autenticación de ubicación cuántica es inseguro. Este teorema de no ir supone que la ubicación L del probador honesto es su única credencial. Kent demostró que si el probador comparte claves secretas con los verificadores, entonces la autenticación de ubicación se puede implementar de forma segura. [23]