лу. Когда этот одноразовый ключ будет полностью использован, протокол передачи новой порции случайным образом сгенерированной информации по квантовому каналу повторяется. Иллюстрация протокола, который мы только описании, приведена на рис. 7.1.

Такой протокол обнаружения перехвата фотонов довольно расточителен, поскольку для того, чтобы он был выявлен с большой вероятностью, должна быть пожертвована значительная

Передача по квантовому каналу

1. Случайнг1Я битовг1Я строка Алисы.

2. Бгзисы передачи, выбргшиые Алисой случайным обрг13ом.

3. Посланные Алисой фотоны.

4. Случайные бг1зисы, выбрешные Бобом при приеме.

5. Бятовг1Я строка, полученная Бобом.

Обсуждение по открытому каналу

6. Боб сообщает бг1зисы измерений полученных фотонов.

7. Алиса отмечает, кгисие базисы были угаданы правильно.

8. Информгшда, которую можно использовать совместно (если нарушения не было).

9. Боб указывает некоторые выбранные наугад биты ключа.

10. Алиса подтверждает эти биты.

Результат

11. Оставшиеся совместно секретные биты.

Рис. 7.1. Квантовое открытое распределение ключей

часть битов, даже если этот перехват предпринят Евой только для нескольких фотонов. К тому же вероятность того, что с возникающими в результате строками Алиса и Боб согласятся полностью, не может быть сделана сколь угодно близкой к 1, если не пожертвовать при этом большим числом первоначально переданных битов. Обе такие трудности могут быть решены в соответствии с более тонким протоколом проверки, который принадлежит Чарльзу Беннетту и Жилю Брассару, а также Жан-Марку Роберту [36, 25]. Этот протокол основан на универсальном хешировании Картера и Вегмана [98, 76], которое упоминается в § 5.1. Однако здесь мы его описывать не будем. Отметим только, что в [36] приводится также эффективный для Алисы и Боба способ повышения секретности (см. § 6.5) посредством сокращения количества информации, известной Еве, обтх совместное сйроке.

Как уже было сказано ранее, требование о том, что открытый (не квантовый) канал в схеме квантового распределения не должен подвергаться активной фальсификации, может быть ослаблено, если Алисой и Бобом заранее был сформирован небольшой секретный ключ, который они будут использовать, чтобы создавать для своих сообщений в классическом канале аутентификационные метки Вегмана-Картера [355]. Точнее говоря, аутентификационная схема многократных сообщений Вегмана-Картера может быть использована при выработке из короткого случайного ключа для любого сколь угодно длинного сообщения некоторой зависящей от него метки. Это делается таким способом, что Ева, которая неосведомлена об этом коротком ключе, способна, разве только с пренебрежимо малой вероятностью, сгенерировать любую другую допустимую пару, состоящую из сообщения и соответствующей ему метки. Причем это остается справедливым, даже если у Евы имеются неограниченные вычислительные ресурсы. Таким образом, подобная метка обеспечивает доказательство того, что сообщение является подлинным, и то, что оно не было сгенерировано или изменено Евой. Для того чтобы такую доказательно безусловную защиту системы было невозможно скомпрометировать, биты секретных ключей в схеме Вегмана-Картера должны расходоваться постепенно, и их нельзя использовать по нескольку раз. Несмотря на то, что в представленном применении эти биты могут заменяться новыми случайными битами, которые были успешно переданы по кванто-

вому каналу, Ева может, тем не менее, предотвратить связь между Алисой и Бобом, подавляя передачу сообщений в открытом канале, поскольку она всегда может либо перехватывать, либо чрезмерно возмущать фотоны, которые посылались по квантовому каналу. Однако в этом случае Алиса и Боб могли бы еще раз с высокой вероятностью определить, что их связь подавляется, и не будут введены в заблуждение, полагая, что это не так.

§ 4. Практическая применимость

С одной стороны, квантовая схема распределения открытых ключей, которая была описана в предыдущем параграфе, теоретически очень хороша, но с другой - совершенно непрактична с точки зрения нынешней технологии. В частности, в ней были проигнорированы среди прочих следуюпще две проблемы:

1) Намного проще иметь дело с пучками (или импульсами) фотонов, чем с одиночными фотонами.

2) Даже если никакого нарушения в квантовом канале не произошло, и даже тогда, когда Боб правильно угадывает выбранный Алисой базис, нужно ожидать, что некоторые из фотонов по пути будут переполяризованы, или что в результате ошибок в измеряющем приборе Боб может неправильно их интерпретировать.

Тем не менее, на практике обе эти трудности могут быть успешно решены. Детальное описание предлагающего такие решения криптографического квантового устройства и соответствующих протоколов приведено в техническом отчете, который был йаписан Беннеттом и Брассаром [28]. См. также [25]. Ниже мы упомянем только самые основные его идеи.

Всякий раз когда в идеальном протоколе § 3 должны посылаться одиночные фотоны, первая проблема решается с помощью посылки очень слабых световых импульсов. Если использовать лазер, то легко выработать такой импульс, в котором число фотонов удовлетворяет распределению Пуассона при известных математическом ожидании и дисперсии. Кроме того, использование поляризаторов, удвоителей импульсов и фильтров с нейтральной плотностью позволяет производить световые импульсы заранее