ством такого канала достигается одно из основных преимуществ криптографии с открытым ключом: он позволяет осуществить безопасное распределение ключей между Алисой и Бобом, которые первоначально не обладали никакой совместно используемой секретной информацией, при условии, что они имеют доступ, кроме квантового, еще и к обычному каналу, который допускает не только пассивное прослушивание, но и активную фальсификацию. (Более того, распределение секретных ключей можно выполнить даже при наличии активного фальсификатора, если Алиса и Боб при этом с самого начала используют некоторую совместную секретную информацию, но при условии, что фальсификация не настолько активна, чтобы полностью подавить всю связь.) Возникающий в результате соответствующих действий сторон квантовый канал является вероятностно секретным даже для противника с более передовой компьютерной технологией и имеющего неограниченные вычислительные ресурсы (и даже если, все-таки, V = AfV!), при единственном условии, что в этом процессе не нарушаются коренным образом общепризнанные физические законы.

В традиционной теории информации и криптографии считается не требуюищм доказательств то, что цифровая связь может всегда пассивно просматриваться или копироваться даже лицом, которое не осведомлено об информации, которая передается. Это может быть полезно, например, тому, кто надеется быть способным вычислить (или разузнать) секретный ключ в дальнейшем по прошествии какого-то времени, возможно, после того, как будет накоплен достаточный объем шифртекста. В противоположность этому, когда информация закодирована в неортогональных квантовых состояниях, например, в одиночных фотонах с направлениями поляризации О", 45", 90° и 135°, то получается такой канал связи, что почта в нем даже в принципе не может с достоверностью ни читаться, ни копироваться нарушителем, не знающим некую информации о ключе, которая используется при формировании пересылаемого сообщения. Нарушитель не может извлечь никакой частичной информации об этой пересылке, позволяющей отличить ее от случайной, и таким способом, который не поддавался бы контролю и который не смогли бы обнаружить законные пользователи канала.

Недостаток подобного подхода на практике заключается в

том, что квантовая передача информации является, безусловно, очень слабой и не может усиливаться при прохождении. Более того, квантовая криптография вообще не в состоянии обеспечить цифровую подпись (см. § 5.2) и связанные с ней характерные возможности, наподобие почты с удостоверением (см. § 6.5) или способности улаживать споры до суда. (Однако можно доказать, что эти ограничения присущи любой схеме, сохраняющей свою секретность при атаке противника, обладающего неограниченными вычислительными ресурсами.) Тем не менее, Эрнест Брикелл и Эндрю Одлыжко заканчивают свой oienb обстоятельный обзор новейших достижений в криптоанализе такими словами: «Если подобные системы [квантовой криптографии] станут практически реализуемыми, то все рассмотренные нами [в этой статье] криптографические методы окажутся попросту бесполезными.» [93].

Впервые квантовое шифрование было предложено Стефеном Уиснером [357] наряду с двумя его применениями: созданием денег, которые в принципе невозможно подделать, и мультиплексной передачей двух или трех сообщений таким образом, что при чтении одного из них остальные разрушаются, что очень похоже на протокол экстремального раскрытия по принципу «все-или-ничего» (all-or-nothing), который был предложен Майклом Рабином [299] и упомянут в § 6.5 (см. также [83, 84]).

Более чем десятилетие спустя Чарльз Беннетт, Жиль Брассар и Сет Брейдбард совместно со Стефеном Уиснером [31] показали, как использовать это квантовое шифрование вместе с методами из криптографии с открытым ключом для построения нескольких схем неподделываемых жетонов в метро. Позже Беннетт и Брассар [27] изобрели описанный выше квантовый канал, а также квантовое подбрасывание жребия (для обсуждения обычного подбрасывания жребия см. § 6.1). Естественно, что квантовый протокол подбрасывания жребия порождает и понятие квантовых блобов, которые принимаются в качестве квантовых битовых обязательств [25, 34] (сравните с обычными битовыми обязательствами, рассмотренными в § 6.2). См. также [81, 33, 232, 129, 130, 233].

В настоящей главе описывается использование основного -квантового канала только для открытого распределения ключей. Подробное обсуждение вопросов квантовой криптографии пред-

ставлено в научных работах [25, 34, 371], а также в популярных статьях [204, 354, 154, 286, 163, 340]. См. также [30, 26, 28, 29].

§ 2. Основные свойства поляризованных фотонов

Поляризованный свет можно получить, пропуская обычный световой луч через какое-нибудь поляризующее устройство, вроде поляроидного фильтра или кристалла кальцита. Ось поляризации луча определяется ориентацией поляризующего устройства, через которое проходит луч. Вообще говоря, можно порождать и одиночные поляризованные фотоны, выделяя их из поляризованного светового луча, хотя чисто технологически это может быть неосуществимо. В следующем параграфе мы принимаем для простоты, что такие одиночные фотоны с определенньими направлениями поляризации уже имеются, но затем в § 4 показываем, как можно избавиться от этого предположения.

Несмотря на то, что направление поляризации является величиной непрерывной, принцип неопределенности Гейзенберга не допускает такого измерения состояния любого одиночного фотона, которое раскрывало бы более одного бита информации (в вероятностном смысле) об угле его поляризации. Например, если луч света с осью поляризации, направленной под углом а, попадает в фильтр, ориентированный под углом /?, то все отдельно взятые фотоны ведут себя дихотомическим и соверщенно непредсказуемым образом, проходя через такой фильтр с вероятностью cos(a -/?) и поглощаясь, соответственно, с вероятностью sin(a - /?). Детерминировано все фотоны ведут себя только тогда, когда обе направляющих либо параллельны друг другу (тогда все фотоны проходят через фильтр), либо перпендикулярны (в этом случае все фотоны поглощаются). (Любая другая элементарная квантовая система с двумя состояниями, наподобие атома со спином 1/2, ведет себя точно таким же дихотомическим вероятностным образом.)

Если оси не перпендикулярны друг другу, то некоторые фотоны должны проходить через фильтр, и это позволяет надеяться на то, что можно было бы выяснить дополнительную информацию об а, проведя для них после прохождения повторные измерения при помощи какого-нибудь поляризатора, который будет