1. Р V | (I,V,s(I,V)) | V проверяет подпись.
Повторять t раз.
Если для некоторого z известны e0, у0, е1, y1 такие, что d=e1 – e0 0 и z=gy0 ve0=gy1ve1 в Zp*, то можно найти t=у0-y1 такое, что gt=vd. Поскольку q — простое, можно найти c Zq такое, что cd=l в Zq. Тогда tc —дискретный логарифм v.
Таким образом, если Р
может дать правильный ответ у хотя бы
для двух различных значений е,
то он знает закрытый
ключ. Без знания закрытого ключа можно
только угадать е на
всех раундах протокола и выбрать
вероятность этого не
превосходит k-t.
Ограничение на величину е добавлено Шнорром в свете изменившихся взглядов на доказательства с нулевым раскрытием.
В процессе проверки Р должен произвести одно умножение и одно сложение, набор значений z можно подготовить заранее.[1]
-------------------------------------------------ЧАСТЬ2--------------------------------------------------------
Вопрос 19. Квантовая криптография. Распределение ключей по оптическому квантовому каналу связи.
Гильбертово пространство для одиночного поляризованного фотона является 2-мерным. Таким образом, состояние фотона может быть полностью описано в виде линейной комбинации, к примеру, двух единичных векторов r1=(1,0) и r2=(0,1), представляющих соответственно горизонтальную и вертикальную поляризации. В частности фотон, поляризованный под углом к горизонтали, описывается вектором состояния (cos, sin). В том случае, когда такой фотон подвергается измерению на предмет горизонтальности или вертикальности своей поляризации, то в действительности он как бы выбирает, стать ли ему горизонтально" поляризованным с вероятностью cos2 и вертикально поляризованным с вероятностью sin2. Два ортогональных вектора r1 и r2, таким образом, служат примером разложения 2-мерного гильбертова пространства на 2 ортогональных одномерных подпространства. С этого момента мы будем говорить, что пара векторов (r1, r2) составляют прямоугольный базис рассматриваемого гильбертова пространства.
Другой возможный базис того же гильбертова пространства задается двумя диагональными векторами
d1=
(1,1)
и d2=
(1,-1).
В этом диагональном базисе d1 представляет фотон, поляризованный под углом 45°, а d2 — фотон с поляризацией под углом 135°.
Два базиса называются сопряженными, если каждый вектор одного базиса имеет проекции одинаковой длины на все векторы другого базиса. Таковыми, очевидно, являются прямоугольный и диагональный базисы.
Цель квантового распределения открытых ключей заключается в том, чтобы, используя квантовый канал, обеспечить передачу последовательности случайных битов между двумя пользователями, которые до этого не имели никакой совместно используемой и секретной для других информации. Достигается это таким способом, что легитимные пользователи, обмениваясь информацией по обычному, не квантовому, каналу связи (допускающему прослушивание без каких бы то ни было ограничений) могут с большой вероятностью определить, была ли нарушена такая первоначальная квантовая передача информации во время ее перехвата в канале. (Подобное достоинство, которое присуще исключительно квантовому каналу, фактически вынуждает сводить любой тип прослушивания к активной фальсификации.)
Если квантовая передача не нарушалась, то пользователи могут с уверенностью применять эту совместную секретную последовательность в качестве исходного секретного ключа в любой традиционной криптосистеме (наподобие одноразового шифра) для того, чтобы скрыть содержание всей последующей связи.
С другой стороны, если обнаружится, что передача была нарушена, то пользователи могут не принимать во внимание только что полученную двоичную последовательность и должны попытаться произвести квантовую передачу еще раз. Поэтому для обеспечения намеченной цели они вынуждены будут задерживать некую важную связь до тех пор, пока не осуществят успешную передачу достаточного количества случайных битов через квантовый канал. Поэтому, несмотря на то, что нарушитель, перекрывая квантовый канал передачи информации, может препятствовать связи между пользователями, он окажется неспособным ввести их в заблуждение до такой степени, чтобы они были уверены, что передача прошла успешно, когда на самом деле это было не так.
Рассмотрим более подробно, каким образом Алиса и Боб могут осуществить открытое распределение ключей с использованием квантового канала.
В качестве первого шага с выхода датчиков случайных чисел Алиса выбирает произвольную битовую строку
=
и произвольную последовательность поляризационных базисов (прямоугольных и диагональных), формально задаваемых строкой
B
=
,
+ - прямоугольный базис, - диагональный базис.
Затем она посылает Бобу ряд поляризованных фотонов
=
,
где угол поляризации фотона определяется как значением битовой строки, так и "значением" базиса:
,
,
,
.
С одной стороны, хорошо, что, если Ева захочет измерить поляризацию (некоторых из) тех фотонов, которые Алиса посылает Бобу, то она не будет знать, в каких базисах это необходимо делать. С другой стороны, плохо то, что Боб также не знает, какие базисы нужно использовать.
Несмотря
на это, Боб в каждом такте квантовой
передачи решает
абсолютно случайным для каждого
фотона образом и совершенно независимо
от Алисы измерить, какую поляризацию
имеют все фотоны, прямоугольную или
диагональную.
Для этого он выбирает случайным и
равновероятным образом угол
оптической
оси призмы – 00
или 450
и получает, формально обозначая, два
возможных исхода:
=1
– регистрация фотона в прямом луче,
=2 – регистрация фотона в ортогональном
луче.
(Выбор
=
00
соответствует измерению в прямоугольном
базисе,
=
450
соответствует измерению в диагональном
базисе.)
Нетрудно видеть, что если
,
=00
и
=00,
то вероятность P(
=1)=1,
,
=900
и
=00,
то вероятность P(
=2)=1,
,
=450
и
=450,
то вероятность P(
=1)=1,
,
=1350
и
=450,
то вероятность P(
=2)=1.
Во всех
остальных случаях вероятность
P(
=1)=P(
=2)=1/2.
Таким
образом, если базисы у Алисы и Боба
совпадают (+(
=00),
(
=450)),
то измерения поляризации фотона на
приемном конце приобретают детерминированный
характер. Боб полагает значение бита
=0,
если
=1
и
=1,
если
=2.
При условии совпадения базисов
P(i=
/совп.
баз.)=1,
и при условии несовпадения базисов
P(i=
/несовп.
баз.)=1/2.
После приема поляризованных фотонов Боб сообщает Алисе свою последовательность базисов, в которых он производил измерения, после чего они сообща вычеркивают те номера тактов, где базисы не совпадают. Оставшаяся часть - последовательность составляет общую секретную информацию Алисы и Боба. Ясно при этом, что информация о базисе, доступная злоумышленнику Еве, не несет никакой информации о значениях - последовательности.
Таким образом, в итоге Боб получает содержащие информацию данные только от приблизительно половины фотонов, которые он проверяет (от тех, для которых он угадал базис поляризации), хотя сам пока даже не знает, от каких. Кроме того, на практике количество этой информации, полученной Бобом может быть еще меньше в связи с тем, что некоторые из фотонов могут быть потеряны при передаче или невосприняты обнаруживающими фотоны детекторами Боба из-за их несовершенства.
Из-за того, что прямоугольно и диагонально поляризованные фотоны чередуются в квантовой передаче случайным образом, любой нарушитель рискует при перехвате изменить передачу таким способом, что это породит расхождение между Алисой и Бобом в некоторых из тех битов, о правильности которых, как они думают, между ними должно быть достигнуто согласие. Какова доля таких ошибок в общей для Алисы и Боба - последовательности при наличии подслушивания? Можно показать, что для двух наиболее естественных стратегий подслушивания эта доля не может быть сделана меньше ¼.
Теперь остается только выяснить, как Алиса и Боб смогут определить, являются ли их получившиеся в результате битовые строки идентичными (показывая с высокой вероятностью, что в квантовом канале никакого нарушения не произошло, или, также, что это нарушение было на очень малом числе фотонов) или они различны (показывая, таким образом, что квантовый канал был подвергнут серьезному прослушиванию).
Простое решение заключается в том, чтобы Алиса и Боб открыто сравнили некоторые из битов, относительно которых, как они думают, они должны прийти к соглашению. Позиции таких «особо проверяемых» битов должны быть выбраны случайно уже после того, как квантовая передача будет завершена, чтобы лишить Еву информации о том, какие фотоны она может измерять без опаски. Конечно, подобный процесс приносит в жертву секретность этих битов. Если совокупность позиций битов, используемых при этом сравнении, является произвольным подмножеством (скажем, одной трети) всех правильно полученных битов, то перехват, допустим, более десятка фотонов, позволяющий избежать обнаружения, маловероятен. Если все сравнения подтверждаются, то Алиса и Боб могут заключить, что квантовая передача прошла без существенного перехвата. Следовательно, большинство оставшихся битов, которые были посланы и получены в одном и том же базисе, могут спокойно использоваться в качестве одноразового ключа для последующей связи по открытому каналу. Когда этот одноразовый ключ будет полностью использован, протокол передачи новой порции случайным образом сгенерированной информации по квантовому каналу повторяется. Иллюстрация протокола, который мы только описали, приведена на следующем рисунке.
|
1 |
0 |
1 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
|
2 |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
|
|
+ |
|
|
|
+ |
|
3 |
450 |
900 |
1350 |
00 |
900 |
900 |
00 |
00 |
1350 |
1350 |
900 |
1350 |
450 |
450 |
450 |
|
4 |
00 |
450 |
450 |
00 |
00 |
450 |
450 |
00 |
450 |
00 |
450 |
450 |
450 |
450 |
00 |
|
5 |
1 |
|
1 |
|
1 |
0 |
0 |
0 |
|
1 |
1 |
1 |
|
0 |
1 |
|
6 |
+ |
|
|
|
+ |
|
|
+ |
|
+ |
|
|
|
|
+ |
|
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
|
|
1 |
|
1 |
|
|
0 |
|
|
|
1 |
|
0 |
1 |
|
9 |
|
|
|
|
1 |
|
|
|
|
|
|
|
|
0 |
|
|
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
11 |
|
|
1 |
|
|
|
|
0 |
|
|
|
1 |
|
|
1 |
Передача по квантовому каналу (строки 1-5).
Случайная битовая строка Алисы ().
Базисы передачи, выбранные Алисой случайным образом (B).
Поляризация фотонов Алисой ().
Случайные базисы, выбранные Бобом при приеме ().
Битовая строка, полученная Бобом ().
Обсуждение по открытому каналу (строки 6-10).
Боб сообщает базисы измерений полученных фотонов.
Алиса отмечает, какие базисы были угаданы правильно.
Битовая строка, которую можно использовать совместно.
Боб указывает некоторые наугад выбранные биты ключа.
Алиса подтверждает эти биты.
Результат (строка 11).
11. Оставшиеся общие секретные биты.
Такой протокол обнаружения перехвата фотонов довольно расточителен, поскольку для того, чтобы он был выявлен с большой вероятностью, должна быть пожертвована значительная часть битов, даже если этот перехват предпринят Евой только для нескольких фотонов. К тому же вероятность того, что с возникающими в результате строками Алиса, и Боб согласятся полностью; не может быть сделана сколь угодно близкой к 1, если не пожертвовать при этом большим числом первоначально переданных битов.