Румянцев К.Е., Голубчиков Д.М. - Квантовая Связь и Криптография

К. Е.
РУМЯНЦЕВ
Д. М. ГОЛУБЧИКОВ
КВАНТОВАЯ СВЯЗЬ И КРИПТОГРАФИЯ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Технологический институт
Федерального государственного образовательного

учреждения высшего профессионального образования
"Южный федеральный университет"
К. Е. РУМЯНЦЕВ
Д. М. ГОЛУБЧИКОВ
КВАНТОВАЯ СВЯЗЬ И КРИПТОГРАФИЯ
Учебное пособие
Таганрог 2009
УДК 621.396.96:621.396.391.26:621.396.624
РЕЦЕНЗЕНТЫ:
проректор по учебной работе Южно-Российского
государственного университета экономики и сервиса, кандидат
физико-математических наук Окорочков А. И.;
проректор по информационным технологиям Ростовского
института сервиса Южно-Российского государственного
университета экономики и сервиса, заслуженный деятель науки РФ,
заведующий кафедрой "Информационные технологии в сервисе",
доктор технических наук Безуглов Д. А.
Р 865 Румянцев К. Е., Голубчиков Д. М.

Квантовая связь и криптография: Учебное пособие. – Таганрог:
Изд-во ТТИ ЮФУ, 2009. – 122 с.
Пособие содержит материал лекций по дисциплине "Квантовая

связь и криптография".
В первой части пособия даются основы классической
криптографии. Во второй части излагаются основные понятия
квантовой физики. В заключительной части раскрываются принципы
квантовой криптографии, описываются протоколы и реальные
системы квантового распределения ключа.
Предназначено для студентов специальности 210601
"Нанотехнологии в электронике".
Ил. 27. Библиогр.: 58 назв.
© Технологический институт ЮФУ, 2009

© К. Е. Румянцев, 2009
© Д. М. Голубчиков, 2009
ПРЕДИСЛОВИЕ
Квантовая криптография – одно из современных направлений
квантовой информатики, которое интенсивно развивается в
последнее время [1, 2]. Привлекательность идеи квантовой
криптографии состоит в том, что предложен новый метод создания
абсолютно случайного секретного ключа между пользователями
квантовой линии связи. Его секретность и невозможность
незаметного прослушивания посторонним лицом основана на законах
квантовой физики, в противоположность используемым сейчас
методам криптографии, которые основаны на математических
закономерностях и, в принципе, поддаются расшифровке.
Квантовые каналы связи и квантовая криптография требуют для
своего описания адекватного языка квантовой механики и квантовой
теории поля. Таким образом, существенный прогресс квантовой
электроники может быть достигнут только благодаря объединению
достижений из таких областей науки и техники, как радиофизика,
электроника, квантовая оптика, квантовая механика, лазерная физика,
спектроскопия и т. п.
Учебное пособие "Квантовая связь и криптография" написано в
соответствии с требованиями Государственного стандарта
специальности 210601 "Нанотехнологии в электронике".
Главы 1-5 написаны Румянцевым К.Е., главы 6 и 7 – совместно
Голубчиковым Д.М. и Румянцевым К.Е.
Авторы выражает благодарность профессору Full Professor Dr.
José Joaquim Sousa Pereira Osório, Department of Applied Mathematics,
University of Porto за предоставленную возможность сбора и
обработки материала по проблеме формирования и передачи
информации в оптическом диапазоне длин волн.
4
СПИСОК СОКРАЩЕНИЙ
DES – Data Encryption Standard
QKD – Quantum Key Distribution, квантовое распределение ключей
RSA – Ривест – Шамир – Адэльман
EPR – Einstein, Podolsky, Rosen
ЭПР – Эйнштейн, Подольский, Розен
ГХЦ – Гринбергера-Хорна-Цайлингера
НСД – несанкционированный доступ
ФЭУ – фотоэлектронный умножитель
ЭВМ – электронная вычислительная машина
ЛФД – лавинный фотодиод
ФОС – фокусирующе-отклоняющая система
ФПМ – фотоприёмный модуль
ТТИ – Таганрогский технологический институт
ЮФУ – Южный федеральный университет
5
ВВЕДЕНИЕ
Самую распространенную операционную систему Microsoft
Windows опережает скромный продукт фирмы RSA Data Security, Inc.
Алгоритм шифрования с открытым ключом RSA назван в честь его
авторов – американских математиков Ривеста, Шамира и Адельмана.
Дело в том, что алгоритм RSA встроен в большинство
продаваемых операционных систем, а также во множество других
приложений, используемых в различных устройствах – от смарткарт
до сотовых телефонов. В частности, имеется он и в Microsoft
Windows, а значит, распространен заведомо шире этой популярной
операционной системы. Ещё один распространённый браузер
Netscape Navigator тоже использует алгоритм RSA. Вообще, трудно
найти известную фирму, работающую в области высоких технологий,
которая не купила бы лицензию на эту программу. На сегодняшний
день фирма RSA Data Security, Inc. продала уже более 450 миллионов
лицензий.
Почему же алгоритм RSA оказался так важен?
Представьте, что необходимо быстро обменяться информацией
с корреспондентом, находящимся далеко. Благодаря развитию
Интернета для такого обмена достаточно только иметь компьютер с
модемом или сетевой картой. Естественно, что, обмениваясь
информацией по сети, необходимо сохранять сообщения в тайне от
посторонних. Однако полностью защитить протяжённую линию
связи от прослушивания невозможно. Значит, при посылке
сообщений их необходимо зашифровать, а при получении (приёме) –
расшифровать. Но для этого корреспондентам необходимо
договориться о ключе. Если послать ключ к шифру по той же линии,
то подслушивающий злоумышленник легко его перехватит. Можно,
конечно, передать ключ по какой-нибудь другой линии связи,
например отправить его телеграммой. Но такой метод обычно
неудобен и к тому же не всегда надёжен: другую линию тоже могут
прослушивать. Хорошо, если корреспонденты заблаговременно
обменялись ключами. А как быть, например, если необходимо
послать конфиденциальное коммерческое предложение возможному
деловому партнеру.
В 1970-х годах для передачи конфиденциальной информации
предложена система шифрования, использующая два вида ключа для
одного и того же сообщения: открытый и закрытый (строго
6
секретный). Открытый ключ служит для шифрования сообщения, а
закрытый – для его дешифровки. Корреспонденту посылается
открытый ключ, которым он шифрует послание. Злоумышленник,
перехватив открытый ключ, может только зашифровать свое письмо
и направить его кому-нибудь. Но расшифровать переписку он не
сумеет. Отправитель же, зная закрытый ключ, который изначально
хранится у него, легко прочтёт адресованное ему сообщение. Для
зашифровки ответных посланий отправитель будет пользоваться
открытым ключом, присланным корреспондентом. Отправитель
оставляет у себя соответствующий закрытый ключ.
Описанная криптографическая схема и применяется в алгоритме
RSA. Причём для создания пары открытого и закрытого ключа
используется следующая важная гипотеза. Если имеется два больших
(требующих более сотни десятичных цифр для своей записи) простых
числа M и K, то найти их произведение N=MK не составит большого
труда. А вот решить обратную задачу, зная большое число N,
разложить его на простые множители M и K (задача факторизации)
практически невозможно. Именно с этой проблемой сталкивается
злоумышленник, решивший "взломать" алгоритм RSA и прочитать
зашифрованную с его помощью информацию: чтобы узнать
закрытый ключ, зная открытый, придётся вычислить числа M или K.
Для проверки справедливости гипотезы о практической
сложности разложения на множители больших чисел проводились и
до сих пор ещё проводятся специальные конкурсы. Рекордом
считается разложение всего лишь 155-значного (512-битного) числа.
Вычисления велись параллельно на многих компьютерах в течение
семи месяцев 1999 года. Если бы эта задача выполнялась на одном
современном персональном компьютере, потребовалось бы примерно
35 лет машинного времени! Расчеты показывают, что с
использованием даже тысячи современных рабочих станций и
лучшего из известных на сегодня вычислительных алгоритмов одно
250-значное число может быть разложено на множители примерно за
800 тысяч лет, а 1000-значное – за 1025 лет. (Для сравнения возраст
Вселенной равен ~1010 лет.)
Поэтому криптографические алгоритмы, подобные RSA,
оперирующие достаточно длинными ключами, считались абсолютно
надежными и использовались во многих приложениях.
Однако используя законы квантовой механики, можно создать
принципиально новый тип вычислительных машин, которые позволят
7
решать некоторые задачи, недоступные даже самым мощным
современным суперкомпьютерам. Резко возрастет скорость многих
сложных вычислений. В частности, для квантовых компьютеров
задача факторизации не составит большого труда. Согласно оценкам,
квантовый компьютер с объёмом памяти всего лишь около 10 тысяч
квантовых битов способен разложить 1000-значное число на простые
множители в течение всего нескольких часов!
Сообщения, посланные по линиям квантовой связи, невозможно
будет ни перехватить, ни скопировать. Сегодня уже созданы реально
функционирующие системы квантовой связи.
В предлагаемом учебном пособии изложен материал,
посвящённый следующим вопросам:
– классическая криптография. Основные понятия, определения
и приложения. Понятие криптографического протокола. Виды
секретности сообщений. Виды шифров. Симметричные и
асимметричные методы шифрования. Распределение ключа.
Основные виды атак;
– вероятность в квантовой физике. Суперпозиция состояний.
Особенности измерительного процесса в квантовой физике. Волновая
функция;
– основные понятия квантовой физики. Квантовая
суперпозиция. Кубиты. Преобразования одного кубита.
Перепутывание. Квантовая неразличимость. Аргумент ЭПР и
неравенство Белла;
– принцип неопределённости Гейзенберга. Соотношения
неопределённостей. Особенности проявления принципа
неопределённости при приёме фотонов;
– квантовая криптография. История, основные направления
развития и протоколы квантовой криптографии. Типовые структуры
систем квантового распределения ключа. Элементная база систем
квантовой криптографии.
8
1. КЛАССИЧЕСКАЯ КРИПТОГРАФИЯ
1.1. Основные понятия и определения криптографии
Исторически криптография (наука о создании секретной
информации) возникла из потребности передачи секретной
информации. Вместе с криптоанализом (наука о взламывании
секретной информации) криптография составляет часть науки
криптологии.
Криптология в настоящее время является частью математики,
кроме того, она имеет ряд важных приложений в информационных
технологиях. Основой криптологии как науки послужила работа
Шеннона “Теория связи в секретных системах” (1949 г.).
Долгое время криптография была связана только с разработкой
специальных методов преобразования информации для
представления её в форме, которая окажется недоступной для
потенциального злоумышленника. В криптографии традиционно
рассматривается некий злоумышленник, который осведомлён об
используемых криптографических приёмах, алгоритмах, протоколах,
владеет современными вычислительными ресурсами и пытается
скомпрометировать их. Под компрометацией понимается
несанкционированное чтение информации, формирование чужой
подписи, изменение результатов голосования, модификации баз
данных и прочее.
Действия злоумышленника называются
криптографической атакой.
Специфика криптографии состоит в том, что она направлена на
разработку приёмов, обеспечивающих стойкость к любым атакам,
хотя ясно, что на момент создания криптосистемы невозможно
предусмотреть новые варианты атак. Отмечу и такую социально-
этическую сторону криптографии как противоречие между желанием
пользователей защитить свою информацию и передачу сообщений и
желанием специальных государственных служб иметь возможность
доступа к информации некоторых организаций и отдельных лиц с
целью пресечения незаконной деятельности.
Классической задачей криптографии является обратимое
преобразование открытого (исходного) текста в кажущуюся
случайной последовательность знаков, называемую криптограммой.
Количество знаков в открытом тексте и в криптограмме может
9
отличаться. При этом криптограмма может содержать как новые
(метод подстановки), так и имеющиеся в открытом сообщении
знаки (метод перестановки). Главным требованием является то, что,
используя некоторые правила, можно однозначно и в полном объёме
восстановить исходный текст.
Секретность алгоритма шифрования не может, в принципе,
обеспечить безусловную стойкость, поскольку злоумышленник, по
определению, обладает бесконечными вычислительными ресурсами.
Поэтому в настоящее время используются открытые алгоритмы.
Стойкость современных криптосистем основывается не на
секретности алгоритма, а на секретности некоторой информации
относительно малого размера, которая называется ключом.
Ключ используется для управления процессом шифрования
и должен быть легко сменяемым элементом криптосистемы.
Ключ может быть заменён пользователями в любой момент
времени. Сам алгоритм является долговременным элементом
криптосистемы, его изменения требует вмешательства специалистов
(разработчиков).
Под криптосистемой, шифром или кодом будем понимать
набор процедур, которые управляются некоторой секретной
информацией небольшого объёма.
Существует правило, сформулированное в конце XIX века
голландским криптографом Керкхгоффом (принцип Керкхгоффа).
Стойкость шифра (кода) обеспечивается тогда, когда
злоумышленнику известен весь механизм шифрования, за
исключением секретного ключа, который управляет процессами
криптографических преобразований.
В более широком смысле:
все долговременные элементы защиты следует считать
известными потенциальному злоумышленнику.
В криптологии всегда злоумышленник оказывается в более
выгодном положении.
1.2. Основные приложения современной криптографии
Сформулируем основные приложения современной
криптографии:
10
– защита от несанкционированного съёма информации (НСИ)
или обеспечение конфиденциальности информации;
– защита от навязываемых ложных сообщений (как
умышленных, так и непреднамеренных);
– идентификация законных пользователей;
– контроль целостности информации;
– аутентификация информации – установление
санкционированным получателем того факта, что полученное
сообщение послано санкционированным отправителем;
– электронная подпись;
– система тайного электронного голосования;
– электронная жеребьёвка;
– защита от отказа факта приёма сообщения;
– одновременное подписание контракта;
– защита документов от подделки.
Одним из приложений современной криптографии является

защита от навязываемых ложных сообщений (имитозащита).
Имитозащита – это способ формирования (в зависимости от
секретного ключа) специальной дополнительной информации,
называемой имитовставкой, которая передаётся вместе с
криптограммой.
Для её вычисления используется алгоритм, задающий
зависимость имитовставки от каждого бита сообщения. Этот метод
широко используется в квантовой криптографии. Чем больше длина
имитовставки, тем больше вероятность обнаружить искажение
криптограммы злоумышленником.
Если используется алгоритм вычисления имитовставки с
хорошими криптографическими свойствами, то вероятность того, что
это не будет обнаружено законным пользователем составляет
P = 2−l ,
где l – длина имитовставки в битах.
Под вычислительно-сложными задачами понимаются задачи,
заведомо имеющие решение, но требующие для его нахождения
выполнения чрезвычайно большого числа операций вычислителя.
Другими словами – такого их числа, что использование
вычислительных устройств, вовлечённых в единый вычислительный
процесс, не позволит найти решение с существенной вероятностью
11
(например, 1 %) за обозримое время – десятилетия, столетия и т. д.
Среднее число операций, которое необходимо для этого выполнить,
принимается за количественную меру сложности NP-задачи.
Рассмотрим другой пример приложений современной
криптографии – "Электронная жеребьёвка". Пусть удаленные
пользователи А и В хотят сыграть по Интернету партию в шахматы.
Для этого они должны разыграть цвет фигур, т. е. обеспечить равную
вероятность выбора белых фигур. Криптография предлагает
реализовать это с помощью следующей схемы. В ней используется
односторонняя функция y = F(x ), т. е. функция, которая легко
вычисляется в одну сторону и трудно вычисляется в другую.
Считается, что пользователь, угадывающий результат опыта с двумя
равновероятными событиями, получает право первого хода.
Пусть на первом этапе пользователь А выбирает случайное
число x A , двоичное представление которого имеет, скажем,
90 разрядов. Он вычисляет значение функции y A = F(x A ) и сообщает
величину y A пользователю В. Пользователь В должен угадать,
является ли число x A чётным или нечётным.
Поскольку используемая функция является однонаправленной,
то пользователь В не может по значению y A определить x A .
Поэтому он вынужден угадывать чётность x A . Предположим,
пользователь В полагает, что число x A – чётное и сообщает ответ
пользователю А.
Пользователь А сообщает пользователю В число x A .
Пользователь В вычисляет значение y = F(x A ) и если y = y A ,
то пользователь В убеждается, что его партнёр действительно
предоставил для проверки первоначально выбранное число.
1.3. Понятие криптографического протокола
В криптографии широко используются два термина – алгоритм
и протокол.
Алгоритм – это набор команд, действий, инструкций,
вычислений, которые необходимо выполнить для того, чтобы из
исходных данных получить некий результат.
Понятие “алгоритм”, в основном, используется в
вычислительной математике и кибернетике. Алгоритм выполняется
субъектом (вычислителем). В результате выполнения алгоритма
12
могут возникать новые данные как результат преобразования
исходных данных.
Протокол – это совокупность действий (инструкций, команд,
вычислений, алгоритмов), выполняемых в заданной
последовательности двумя или более субъектами с целью достижения
некоего результата.
Участвующие в протоколах субъекты (рабочая станция,
программа ЭВМ, оператор, сервер, орган власти и т. д.) действуют по
предписанным алгоритмам.
Алгоритм служит внутренним элементом протокола.
Понятие “протокол” в основном используется в системах связи.
Криптографические протоколы – это такие протоколы,
которые используют криптографические преобразования данных.
Для того, чтобы протокол приводил к желаемой цели,
необходимо, чтобы выполнялись следующие требования:
– корректность протокола. Совокупность действий,
предусмотренных протоколом, должно обеспечить получение
требуемого результата при всех возможных ситуациях;
– полнота и однозначность протокола. Протокол должен
конкретизировать действия каждого участника для всех возможных
ситуаций;
– непротиворечивость. Результаты, полученные различными
участниками протокола, не должны быть противоречивыми;
– осведомленность и согласие участников протокола. Каждый
субъект должен заранее знать протокол и все шаги, которые он
должен выполнить. Все субъекты должны быть согласны выполнять
свои функции.
Стеганографией называется техника скрытой передачи или
скрытого хранения информации.
Целью стеганографии является сокрытие самого факта передачи
сообщений (например, невидимые чернила, микрофотография,
тайники, передача внутри видеокадров).
Принципиальное отличие криптографии от
стеганографии состоит в том, что в ней не скрывается факт
передачи сообщений, а скрывается только его содержание.
Методы стеганографии могут обеспечить высокий уровень
защиты информации только в том случае, если они будут дополнены
предварительным криптографическим преобразованием сообщения.
13
1.4. Виды секретности сообщений (по Клоду Шеннону)
Шеннон рассматривал шифрование (кодирование) как
отображение Fi исходного сообщения (message) M в криптограмму
(coding) С (зашифрованное сообщение). Индекс i при функции Fi
соответствует конкретному используемому ключу.
Процесс шифрования может быть представлен функцией
С = Fi (M ) . (1.1)
Для однозначного декодирования сообщения отображение Fi
должно иметь единственное обратное отображение, такое, что
Fi Fi−1 = I , (1.2)
где I – тождественное отображение. Причём

M = Fi−1 (С ) . (1.3)
Пусть источник ключа является статистическим процессом или

устройством, которое задает отображения F1, F2 , ..., FN с
вероятностями p1, p2 , ..., p N . Число возможных сообщений N 2
конечно, а сообщения M1, M 2 , ..., M N имеют априорные вероятности
q1, q 2 , ..., q N .
Рассмотрим простейший шифр, в котором исходный алфавит
сообщения M = (m1m 2 m3 ...m n ) совпадает с множеством знаков
ключа K = (k1k 2 k 3...k n ) и множеством знаков криптограммы
C = (c1c 2c3...c n ) . Пусть шифрование выполняется путем замены
знаков исходного сообщения m i на знаки криптограммы c i в
зависимости от очередного значения символа ключа k i .
Тогда текущий шаг шифрования выражается следующим
образом:
c i = f (m i , k i ) .
Пусть символ ключа выбирается среди случайной
последовательности цифр от 0 до 39. Тогда сообщение, ключ и
криптограмма представляются в виде последовательности знаков
одного и того же алфавита:
M = (m1m2 m3...mn ), K = (k1k 2 k 3...k n ) , C = (c1c 2c3...c n ) (N 2 = N1 ) .
14
Например, будем использовать простой алфавит заглавных букв
и некоторых знаков препинания из табл. 1.1 исходного алфавита
сообщений.
Таблица 1.1
Исходный алфавит сообщений
А Б В Г Д … .. .. Э Ю Я . , ! ? ;
01 02 03 04 05 31 32 33 34 35 36 37 38 39
Допустим, надо зашифровать сообщение “КОД ВЕРНАМА”, из

11 знаков. Сформируем таблицу из 11 столбцов (по числу знаков
исходного сообщения) и 4-х строк.
К О Д В Е Р Н А М А
11 15 05 34 03 06 17 14 01 13 01
15 04 13 28 11 09 38 30 02 24 05
26 19 18 22 14 15 15 04 03 37 06
Запишем в ячейки верхней строки созданной таблицы знаки

исходного сообщения “КОД ВЕРНАМА. Во второй строке укажем
соответствующие численные символы mi из табл. 1.1,
соответствующие знакам исходного сообщения. В третью строку
поместим случайную выборку из сорока знаков от 00 до 39,
задаваемую очередным значением символа ключа k i . В последней
строке разместим результат суммирования c i символов второй и
третьей строк по модулю 40.
Например, четвертый символ “пробел” в сообщении имеет
числовой код “34”. Соответствующее случайное число, выпавшее на
этот символ, оказалось “28”. Тогда
34 + 28 = 62 = 40 + 22.
Следовательно, остаток при суммировании по модулю “40”
равен 22.
Таким образом, шифрование и дешифрование по
рассмотренному алгоритму можно записать в виде:
M + k (mod 40 ) = C , (1.4)
и
С − k (mod 40 ) = M . (1.5)
15
Этот способ шифрования был изобретен в 1917 году Жильбером
Вернамом.
Клод Шеннон доказал следующую теорему.
Если ключ действительно случайный, если он имеет
такую же длину, как и само сообщение и если он не
используется дважды, то одноразовая передача сообщения
абсолютно защищена.
Примечательно, что результат не зависит от вычислительной
мощности, доступной криптоаналитику. Шифры такого рода
называются безусловно стойкими.
Безусловно стойкими называются шифры, для которых
криптоаналитик (даже если он обладает бесконечными
вычислительными ресурсами) не может улучшить оценку
исходного сообщения М на основе знания криптограммы С по
сравнению с оценкой при неизвестной криптограмме.
Ясно, что это возможно в случае, когда М и С являются
статистически независимыми, т. е. когда выполняется условие:
P(M = M i C = C i ) = P(M = M i ) (1.6)
для всех возможных сообщений М. В нашем примере:
c i = f (m i , k i ) = (m i + k i ) mod (L ) , (1.7)
где L = 40.
Выбранный источник ключа обеспечивает равную вероятность
выбора любого ключа длины n ≤ L = 40 . В этом случае вероятность
выбора данного ключа длины n составляет
P (K = K i ) = L− n . (1.8)
Отсюда следует, что для произвольных М и С выполняется
условие
P(M = M i C = Ci ) = L− n . (1.9)
Условие (1.9) означает, что криптограмме длиной n с

вероятностью L− n может соответствовать любое исходное
сообщение длины n.
Безусловно стойкие шифры существуют, если при
шифровании нового сообщения брать новый ключ.
16
Рассмотренный пример относится к криптосистемам,
использующим равновероятный случайный ключ, имеющий длину,
равную длине сообщения. Они называются одноразовыми
блокнотами или шифрами с лентой однократного использования.
На практике такие системы получили ограниченное применение,
поскольку требуют передачи ключа большого объёма. Для длинных
ключа крайне усложняется процедура их управления: генерация,
передача и хранение.
Другим недостатком кода Вернама является тот факт, что ключ
должен использоваться лишь один раз. Если ключ используется
повторно, то злоумышленник может, записав разрозненные
криптограммы, восстановить как фрагменты открытого текста, так и
сам ключ.
Так, например, если злоумышленник записал два сообщения,
зашифрованных одним ключом в двоичном коде, то можно сложить
криптограммы и получить сумму двух открытых текстов:
s1 ⊕ s 2 = m1 ⊕ k ⊕ m 2 ⊕ k = m1 ⊕ m 2 ⊕ k ⊕ k = m1 ⊕ m 2 .
Здесь использовано обстоятельство, что операция сложения по
модулю два ⊕ (XOR ) коммутативна.
Кроме того, чисто из физических соображений, известно, что
классические состояния физических объектов могут быть измерены
сколь угодно точно и без их возмущения. Поэтому в рамках
классических физических представлений невозможно обеспечить
секретное распределение ключа через открытый канал связи,
поскольку нельзя гарантировать обнаружение попыток
подслушивания (пассивного). Именно поэтому криптограммы с
одноразовыми ключами не получили широкого применения.
Можно представить себе ситуацию, когда по криптограмме
можно, в принципе, расшифровать исходное сообщение. Например, в
случае, когда длина криптограммы превышает некую длину, для
которой существует единственное решение обратной задачи (для
шифра Вернама такая длина стремится к бесконечности). Если
криптоаналитик имеет ограниченные вычислительные ресурсы, то
такие задачи называют условно стойкими.
Встречаются задачи, в которых для решения требуется
настолько большие затраты, что вычисление становится
экономически невыгодным или когда вычисление требует больше
времени, чем время “ценности” сообщения. В этом случае говорят,
17
что решение является вычислительно нереализуемым, а
соответствующие шифры – вычислительно стойкими.
Одним из элементов криптосистемы, на котором
основывается её стойкость, является ключ.
1.5. Виды шифров
Все существующие шифры относятся к одному из трех видов –
шифр замены, шифр перестановки или комбинация этих двух типов.
При использовании шифра замены каждый символ
незакодированного сообщения меняется на соответствующий
символ шифра. При этом взаимное расположение символов
остаётся неизменным.
Может показаться, что чем вычурнее символы, применяемые
для шифрования, тем сложнее расшифровать исходный текст. Однако
в естественном языке каждая буква встречается с частотой, которую
легко подсчитать самостоятельно. Кроме того, существует множество
запрещённых комбинаций букв (например, «оь» или «юъ» в русском
языке). Поэтому достаточно длинный текст, закодированный шифром
простой замены, легко вскрывается квалифицированным
специалистом. Хороший пример – те самые пляшущие человечки, с
которыми блестяще справился Шерлок Холмс.
Другим вариантом шифра замены является шифр Цезаря, когда
каждая буква заменяется на третью справа от неё по алфавиту.
Обобщением такого шифра является шифр замены с
повторяющимся кодовым словом.
При использовании шифра замены с повторяющимся
кодовым словом каждая буква заменяется на букву, отстоящую
от исходной на число, соответствующее очередной букве
такого слова.
Например, если в качестве кодового слова выбрать слово АББА,
то результатом шифрования слова КОМПЬЮТЕР будет
ЛРОРЭАФЖС.
Кодовое слово также называется гаммой шифра, а его длина –
периодом гаммы.
Шифр перестановки по определённому закону меняет
порядок следования букв, оставляя сами буквы без изменения.
18
Примером шифра замены является уже упоминавшаяся
«Сцитала». Другим простым примером может послужить такая
система: исходное сообщение вписывается в прямоугольник
заданных размеров по строкам, а зашифрованный текст считывается
по столбцам. При расшифровке поступают с точностью до наоборот.
Шифры перестановки в общем случае не всегда удаётся
расшифровать однозначно. Например, если зашифрованный
перестановкой текст выглядит как ЕЛОП, то при отсутствии иных
данных нельзя сказать, написано ли тут ПОЛЕ или ПОЕЛ.
Большинство реально используемых систем шифрования
основаны на комбинации шифра замены и шифра перестановки и не
являются абсолютно стойкими, а значит, могут быть вскрыты
противником за то или иное время.
Считается, что шифр является стойким, если его можно
вскрыть только полным перебором всех возможных ключа.
Метод полного перебора известен также как метод грубой силы
(силовых атак) или brute force. Однако никто пока не может дать
окончательного ответа, является ли метод полного перебора
единственным для вскрытия существующих шифров или нет.
1.6. Симметричные методы шифрования
В симметричной криптосистеме отправитель и получатель
сообщения используют один и тот же секретный ключ (рис. 1.1). Этот
ключ должен быть известен всем пользователям и требует
периодического обновления одновременно у отправителя и
получателя.
Рис. 1.1. Структура симметричной криптосистемы

Симметричная криптосистема генерирует общий
секретный ключ и распределяет его между законными
19
пользователями. С помощью этого ключа производится как
шифрование, так и дешифрование сообщения.
Процесс распределения секретных ключа между абонентами
обмена конфиденциальной информации в симметричных
криптосистемах имеет весьма сложный характер. Имеется в виду, что
передача секретного ключа нелегитимному пользователю может
привести к вскрытию всей передаваемой информации. Наиболее
известные симметричные криптосистемы – шифр Цезаря, шифр
Вижинера, американский стандарт шифрования DES, шифр IDEA и
отечественный стандарт шифрования данных ГОСТ 28147– 89.
Одним из методов шифрования является замена символов
исходного текста t на символы криптограммы с. Есть два способа
такой замены: поточный и блочный.
Поточный метод осуществляется в коде Вернама, когда ti
поочередно заменяются на ci по определённому алгоритму. Результат
зависит от секретного ключа.
К блочным методам относится, например, известная система
DES (Decryption – Encryption – Standard), принятая в 1977 г. в США.
В ней используется многократное чередование перемешивающих и
рассеивающих преобразований, не управляемых ключом, а также
простых преобразований, управляемых ключом.
Рассеиванием называется распространение влияния одного
знака открытого текста на много символов криптограммы. Это
приводит к маскировке статистических свойств исходного сообщения
– мощный фактор криптоанализа. Для предотвращения возможности
вычисления ключа по частям также реализуют принцип
распространения влияния одного знака ключа на большое число
знаков криптограммы (принцип рассеивания).
Перемешивание – это шифрующее преобразование, которое
нарушает взаимные связи статистических характеристик входного и
выходного текста.
Алгоритм DES преобразует входную информацию блоками
объёмом 64 бит. Основные процедуры – подстановка и перестановка.
Они реализуются разными блоками (S- и P-блоки).
Например, Р-блоки реализуются с помощью переплетения
проводников. Эти нелинейные операции предопределяют
криптографическое закрытие данных. Долгое время принципы
выбора таблиц перестановок держались в секрете, хотя и алгоритм и
сами таблицы были открыты. В настоящее время компания IBM
20
опубликовала и сами критерии выбора S-блоков. Они выбираются
так, чтобы изменение одного бита на входе приводит к изменению, по
крайней мере, двух битов на выходе (принцип размножения ошибок).
Общая схема алгоритма DES состоит в следующем. Блок на
64 бита открытого текста после начальной перестановки делится на
две части по 32 бит каждая. Левую и правую половины обозначим
соответственно L и R. Затем выполняются 16 раундов шифрующих
операций вида:
L i = R i −1 ,
R i = L i −1 ⊕ F(R i −1 , K i ) .
Здесь K i – 48-битовый подключ, вырабатываемый по простым
процедурам из 56-битового секретного ключа и используемый на i-м
раунде. Сущность алгоритма заложена в преобразованиях, которые
выполняются для получения значения функции F(R i −1 , K i ). Все
детали таких преобразований считаются известными, за исключением
секретного ключа K i .
Наиболее существенным недостатком системы DES является
короткий секретный ключ, длина которого составляет 56 бит. Самым
простым способом нелегального доступа к информации,
зашифрованной с его помощью, считается перебор всех возможных
ключа. Их число составляет 2 56 ≈ 1017 . В настоящее время
проведение такой атаки под силу организациям, имеющим мощные
вычислительные средства.
Шифры, подобные криптосистеме DES, легко реализуются в
виде электронных быстродействующих устройств, однако на уровне
программной реализации применение процедур над отдельными
битами и подблоками малого размера ведет к тому, что шифрующие
программы обладают очень низкой скоростью шифрования.
В Российском стандарте шифрования (ГОСТ СССР 28147– 89)
задействуется 64-битовый шифр, использующий 256-битовый
секретный ключ, представленный в виде восьми 32-битовых
подключа Qj, где j = 0, 1,…7. В этой системе функция F(R , K )
задаётся операцией суммирования по модулю 232 , с помощью
табличных подстановок, выполняемых над 4-битовыми подблоками и
операцией циклического сдвига влево на 11 бит, выполняемой над 32-
битовым подблоком. Таблицы подстановок служат дополнительным
ключом и должны держаться в секрете. Этот долговременный ключ
21
является общим для всех пользователей сети и поставляется в
установленном порядке. Стойкость такой системы критически
зависит от качества используемых таблиц подстановок. При
правильном выборе, даже если таблицы станут известны
злоумышленнику, стандарт обеспечивает высокую стойкость.
Однако критерии выбора таблиц, в отличие от американских, до
сих пор не опубликованы. Заметим, что требование секретности
таблиц подстановок не согласуется с общепринятым принципом
Керкхгоффа, поскольку данные элементы относятся скорее к
алгоритму шифрования, а не к легко сменяемому секретному ключу.
Вообще, секретность алгоритма шифрования существенно затрудняет
определение открытого текста по криптограмме. Однако этот элемент
повышения стойкости криптограммы на практике используется
редко, поскольку крайне трудно обеспечить секретность элементов
криптосистемы, которые используются долгое время и известны
широкому кругу пользователей.
В практических криптосистемах нужно обеспечить
сменяемость алгоритма шифрования.
Для иллюстрации принципа Керкхгоффа рассмотрим вопрос о
безусловной стойкости лучшей криптосистемы с секретным
алгоритмом и с конечным временем шифрования. Будем считать, что
злоумышленник обладает доступом к бесконечным вычислительным
ресурсам (поскольку рассматривается безусловная стойкость) и знает
язык, на котором написано исходное сообщение. Он хочет прочитать
криптограмму, соответствующую исходному тексту с размером,
многократно превышающим размер ключа.
Размер текста, который описывает любой алгоритм с конечным
временем шифрования, является конечным. Следовательно,
злоумышленник может опробовать все возможные алгоритмы путем
перебора текстов. Действительно, для данного уровня развития
технологии вычислений каждый конечный текст можно
интерпретировать как алгоритм, написанный на языке машинных
команд. При этом число вариантов интерпретации произвольной
конечной последовательности битов является конечным.
Следовательно, при наличии бесконечных вычислительных
ресурсов путем проб можно определить как конечный
секретный ключ, так и секретный алгоритм.
22
Таким образом, с точки зрения безусловной стойкости
секретность алгоритма является несущественным фактом.
Только разовый секретный ключ, длина которого равна
(или больше) длине сообщения, позволяет достигнуть
безусловной стойкости.
Сделанное утверждение имеет скорее теоретический смысл, чем
практический. Все возможные атаки в реальных условиях не могут
быть предусмотрены замкнутой теоретической моделью.
Использование длинных ключа порождает проблему безопасного
распределения ключа, что делает безусловно стойкие шифры
практически менее надежными, чем условно стойкие криптосистемы
с ключом размером 512, 256 и даже 128 бит.
Основным недостатком российского стандарта является низкая
скорость при программной реализации (как и для DES), что связано с
использованием большого числа операций над 4-битовыми
подблоками. Кроме того, чтобы изменение одного входного бита
оказало влияние на каждый выходной бит в случае российской
криптосистемы требуется выполнить 8 раундов, а в криптосистеме
DES – только 5.
К достоинствам российского стандарта относят:
– 256-битовый секретный ключ. Это делает бессмысленными
атаки, основанные на переборе секретного ключа не только в
настоящее время, но и в будущем, если говорить о классических
компьютерах;
– простая аппаратная реализация, связанная с хорошим
расписанием использования ключа;
– 32 цикла шифрующих операций, что обеспечивает высокую
стойкость.
Итак, существующие одноключевые криптографические
протоколы обеспечивают хорошую защищённость при условии
решения проблемы распределения ключа.
Однако у этих систем существует две принципиальные
проблемы: распределение ключа по защищённому каналу и
аутентификация секретного ключа (или проблема первого общения).
Под аутентификацией понимается процедура, позволяющая
получателю удостовериться, что секретный ключ принадлежит
законному отправителю. Чтобы пояснить, о чем идет речь,
представим себе, что злоумышленник (Ева) перехватывает все
23
сообщения, посылаемые отправителем (Алисой) и выдает себя как
Алису для получателя (Боба), а для Алисы она представляется Бобом
(атака раздельных миров, атака типа «Троянский конь» или с
человеком посередине). Оказывается, что если у Алисы и Боба уже
имеется секретный ключ (которым они обменялись, например, при
встрече), то аутентификация вспомогательных ключа не представляет
проблем. Однако если секретный ключ не распределён, то
теоретически аутентификация невозможна, хотя и существуют
методы (классические) по её оптимизации.
Что касается проблемы распределения ключа, то есть два
способа её решения. Первый математический способ достигается с
помощью двухключевых протоколов или криптографии с открытым
ключом. Второй физический способ реализуется с помощью
квантовой криптографии.
Использование симметричных протоколов предполагает, что
обе стороны доверяют друг другу. Криптосистемы с открытым
ключом позволяют реализовать протоколы взаимодействия сторон,
которые не доверяют друг другу. Ярким примером такого протокола
является формирование электронной (или цифровой) подписи.
1.7. Асимметричные методы шифрования
Асимметричные криптосистемы (рис. 1.2) предполагают
использование двух ключа – открытого и секретного.
В асимметричных криптосистемах для зашифрования
сообщения используется один ключ, а для расшифрования –
другой.
Рис. 1.2. Структура асимметричной криптосистемы

Асимметричные криптосистемы используют для работы два
ключа. Первый, открытый, доступен любому пользователю, с
24
помощью которого зашифровывается сообщение. Второй, секретный,
должен быть известен только получателю сообщений.
Первый ключ является открытым и может быть опубликован
для использования всеми пользователями системы, которые
зашифровывают данные. Расшифрование сообщения с помощью
открытого ключа невозможно. Для расшифрования данных
получатель зашифрованного сообщения применяет второй ключ,
секретный. Ключ расшифрования не может быть определён из ключа
зашифрования.
Схему асимметрической криптографии в 1976 году предложили
два молодых американских математика У. Диффи и М. Хеллман. В
опубликованной ими статье утверждалось, что возможно построение
практически стойких секретных систем, которые не требуют
передачи секретного ключа. Они ввели понятие односторонней
функции с секретом.
Под односторонней функцией с секретом понимается семейство
обратимых функций f z с параметром z, таких, что для какого-то z
можно найти некие алгоритмы E z и D z , позволяющие просто
вычислить значение f z (x ) для всех x из области определения, а также
f z−1 (y ) для всех y их области значений. Однако практически для
любых значений параметра z и практически для всех значений y из
области значений fz нахождение f z−1 (y ) вычислительно
неосуществимо даже при известном E z (т. е. требуется знание D z ).
В качестве односторонней функции У. Диффи и М. Хеллман
предложили функцию дискретного возведения в степень
f (x ) = α x mod (p ) ,
где x – целое число, 1 ≤ x ≤ p − 1 , а p – к-битовое простое число.
Выбирается такое число α < p , степени которого по модулю р
представляют собой упорядоченное множество чисел
{ }
α1 , α 2 , ..., α p −1 , которое является некоторой перестановкой чисел
{1, 2, ..., p - 1}. Такое число α называется первообразным корнем по
модулю p.
Для очень больших модулей р (например, при к = 1024 бит) для
данного х легко вычислить значение этой функции. Такая процедура
называется дискретным возведением в степень.
25
Обратной к функции дискретного возведения в степень является
функция f −1 (y ) , которая ставит в соответствие заданному значению
y такое значение х, для которого выполняется условие α x = y mod (p ) .
Задача нахождения такого х называется дискретным
логарифмированием. Дискретные логарифмы сложно вычисляются,
когда число p − 1 содержит один большой простой множитель,
например, когда оно представимо в виде p − 1 = 2p ′ , где p ′ – простое
число. Тогда трудоемкость дискретного логарифмирования равна
примерно p умножений по модулю р.
Известные классические вычислительные алгоритмы,
работающие по законам классической физики, имеют
экспоненциальную сложность по размеру входных данных.
Механизм распределения секретных ключа по открытому
каналу состоит в следующем.
Каждый абонент выбирает случайный секретный ключ x и
открытый ключ y, соответствующий выбранному секретному ключу,
в соответствии с формулой
y = α x mod (p ) . (1.10)
Для любого значения x легко вычислить y, однако при размере
числа p, равном 512 бит и выше, вычислительно неосуществимо
выполнение дискретного логарифмирования. Значит, невозможно
определить число x, для которого значение α x mod (p ) равно
заданному значению y.
Все абоненты размещают свои открытые ключи в
общедоступном справочнике. Понятно, что это издание должно быть
защищено от атак раздельных миров, когда злоумышленник
подменяет открытые ключи или навязывает ложные сообщения. Если
два абонента – Алиса и Боб – хотят установить секретную связь, они
делают следующие процедуры.
Алиса берет из справочника открытый ключ Боба и, используя
свой секретный ключ, вычисляет общий секретный ключ, пользуясь
секретом – повторным возведением в степень с другим показателем:
(
Z AB = (y B )x A = α x B mod (p ) )x A
= α x A x B mod (p ) , (1.11)
где y A и y B – открытые ключи для Алисы (А) и Боба (В), а x A и x B
– соответствующие секретные ключи.
26
Общий секретный ключ Z AB не нужно передавать по сети
связи, поскольку Боб по известному из справочника открытому
ключу Алисы аналогичным образом вычисляет его значение:
(
Z AB = (y A )x B = α x A mod(p ) )x B
= α x A x B mod(p ) .
(1.12)
Злоумышленнику известны значения

y B = α x B mod(p ) и y A = α x A mod(p ),
но для того, чтобы вычислить
f s 2 = f v 2 v 2 s = ϕ2 ,
он должен решить трудную задачу дискретного логарифмирования.
Общий секретный ключ может использоваться абонентами для
шифрования вспомогательных (сеансовых) секретных ключа, а они, в
свою очередь – для шифрования сообщений с использованием
симметричных методов.
Итак, решение задачи дискретного логарифмирования
существует, но оно вычислительно неосуществимо. Таким образом,
стойкость метода Диффи-Хеллмана основана на сложности
дискретного логарифмирования.
Наиболее популярные асимметричные схемы в настоящее время
– это системы RSA и Эль-Гамаля. Обе они используются для
формирования электронной подписи, когда владелец секретного
ключа может подписать документ, а его подпись может быть
проверена любым желающим по открытому каналу. Цифровая
подпись представляет собой некоторое число со специфической
структурой, которое допускает проверку (с помощью открытого
ключа) того факта, что оно было выработано для некоторого
сообщения с использованием секретного ключа.
Заметим, что скорость шифрования двухключевым способом на
несколько порядков ниже скорости, которой обладают одноключевые
схемы.
Двухключевые системы являются стойкими при
классической реализации (по законам классической физики), но
перестают быть таковыми в квантовой реализации.
Наиболее известные асимметричные криптосистемы это шифр
RSA и шифр Эль Гамаля.
27
1.8. Распределение ключа
В понятие криптосистемы входит не только совокупность
процедур шифрования и дешифрования, но и управление ключами.
Управление ключами включает в себя:
– генерацию ключа;
– распределение ключа;
– хранение ключа;
– уничтожение ключа.
Сбой во время выполнения любой из этих процедур может
привести к тому, что секретная информация (или её часть) станет
известна злоумышленнику, и ему даже не придётся решать задачу
криптоанализа.
Если злоумышленнику становится известным ключ, то он
получает все привилегии законного пользователя. Принципиальным
при рассмотрении криптосистем является способ раскрытия ключа,
основанный на криптоанализе.
Под раскрытием ключа путем криптоанализа будем
понимать определение ключа (включая его угадывание).
Принципиально все криптосистемы подвержены силовым
атакам, которые состоят в тотальном переборе по всему пространству
ключа.
Для предотвращения раскрытия ключа при силовых
атаках требуется аккуратность в выборе длины ключа и
процедур его генерации.
В настоящее время безопасной считается длина ключа, равная
80 битам (это число содержит около 1020 десятичных знаков).
Основным принципом генерации ключа является
равновероятность выбора по всему ключевому пространству
или множеству возможных ключа.
При генерации ключа используются электронные устройства, в
которых протекает какой-нибудь случайный физический процесс.
Такие устройства называются датчиками шума. Например, число
импульсов фотоэлектронов при засветке фотокатода ФЭУ светом с
постоянной интенсивностью описывается распределением Пуассона –
это один из широко используемых в криптографии шумовых
процессов. Другим примером является случайный процесс
28
прохождения света через светоделитель. Показания датчика
замеряются через определённые интервалы времени и
оцифровываются.
Периодически механизм генерации ключа подвергается
проверке, т. е. тесту на случайность и равномерность шума.
В криптографии используется несколько программных
алгоритмов генерации псевдослучайных процессов. Один из них
задаётся реккурентным соотношением:
g i = (ag i −1 + b ) mod (M ) , (1.13)
где – i-й член порождаемой числовой последовательности; а, b, M и
начальное порождающее число g i – являются ключевыми
параметрами.
Важной задачей при работе с ключами является их
распределение. В настоящее время известны два основных способа
распределения ключа: с участием центра распределения ключа и
прямой обмен ключами между пользователями.
Распределение ключа с участием центра распределения
ключа. При распределении ключа между участниками предстоящего
обмена информацией должна быть гарантирована подлинность сеанса
связи, т. е. все участники должны пройти процедуру аутентификации.
Центр распределения ключа осуществляет взаимодействие с одним
или более участниками сеанса с целью распределения секретных или
открытых ключа.
Прямой обмен ключами между пользователями. При
использовании для обмена конфиденциальными данными
криптосистемы с симметричным секретным ключом два пользователя
должны обладать общим секретным ключом. Они должны
обменяться им по каналу связи безопасным образом.
Распределение ключа является одной из важнейших и
дорогостоящих процедур.
После того как ключ установлен, то обмен сообщений
предполагает наличие некоего канала, подверженного
прослушиванию. Так, публичные объявления через средства
массовой информации служат примером полного пассивного
прослушивания. Однако, чтобы определить ключ, два или несколько
пользователей должны на каком-то этапе общения использовать
очень надежный канал связи. Серьезные проблемы возникают, когда
ключ приходится менять для увеличения стойкости криптосистемы.
29
Обычно ключ меняется от сеанса к сеансу или после передачи
определённого объёма информации.
Для примера рассмотрим распределение ключа в одноключевых
или симметричных протоколах. Здесь необходим защищённый канал
связи, по которому секретный ключ доставляется к приёмнику и
передатчику. Таким каналом может служить доставка через
доверенное лицо (как правило, используется три курьера),
охраняемый канал связи, личная встреча абонентов и прочее.
Одна из схем двусторонней одноключевой связи содержит
источник ключа, отправитель, получатель, защищённый канал связи,
открытый канал связи, шифрующее и дешифрующее устройства.
Если криптографическая схема состоит из N пользователей,
которые должны иметь возможность секретно общаться, то
необходимо генерировать N (N − 2 ) 2 ключа. Это число квадратично
зависит от числа пользователей, поэтому такой метод трудно
реализовать на практике при большом числе пользователей.
Хранение информации в зашифрованном виде предполагает
хранение секретного ключа или нескольких секретных ключа, с
помощью которых данные могут быть расшифрованы. Ключи
должны храниться на защищённых от несанкционированного доступа
(НСД) носителях.
Ключ, на котором информация была зашифрована, подлежит
гарантированному уничтожению. Процедура уничтожения ключа
должна производиться под контролем, поскольку старые ключи
представляют такой же интерес, как и действующие (используя
старые шрифты и копии старых криптограмм можно восстановить
секретную информацию).
1.9. Основные виды атак
В современном криптоанализе рассматриваются следующие
виды атак на основе:
– шифротекста (криптограммы);
– известного открытого текста и соответствующей ему
криптограммы;
– выбранного открытого текста;
– выбранной криптограммы;
– адаптированного открытого текста;
– адаптированной криптограммы;
– аппаратных ошибок.
30
Каждый криптографический алгоритм или протокол должен
быть разработан с учетом наиболее полного перечня действий
потенциального злоумышленника и с учетом всех возможных атак.
Такие атаки состоят в выполнении нарушителем действий, с
помощью которых злоумышленник пытается, в общем случае,
создать условия, при которых корректность использования
алгоритмов и протоколов криптосистемы будет нарушена.
К таким действиям относятся попытки:
– прочитать криптограмму;
– взломать односторонние функции, т. е. вычислить значение
аргумента по значению функции;
– выдать себя за другой субъект;
– навязать ложные сообщения;
– расширить свои полномочия.
Если такие действия возможны, то говорят, что криптосистема
уязвима по отношению к такой-то атаке.
По характеру действий можно выделить два типа
злоумышленника.
Активный злоумышленник пытается навязать ложные
сообщения, перехватить и модифицировать сообщения, получить
доступ к базам данных, расширить свои полномочия, навязать
ложный открытый ключ и прочее.
Пассивный злоумышленник не предпринимает действий по
дезорганизации криптографического протокола. Его целью является
только перехват сообщений, передаваемых в рамках криптосистемы
для ознакомления с их содержанием, вычисления распределяемых
ключа и прочее.
Существуют внутренние и внешние злоумышленники.
Внутренним злоумышленником является лицо, имеющие некоторые
легальные полномочия внутри криптосистемы. Соответственно,
различают внутренние и внешние атаки. И внутренний и внешний
злоумышленники могут быть активными и пассивными. Возможен и
такой вид атак, когда внешние и внутренние злоумышленники
объединяются. Это наиболее опасный вид атак. Сюда также следует
отнести случай, когда злоумышленник (его уместно называть
нарушителем) является разработчиком криптосистемы. Тогда он
может использовать встроенные “потайные ходы” в алгоритмах
формирования ключевых параметров и создания программных
закладок.
31
1.10. Проблемы классической криптографии
Анализ принципов классической криптографии позволяет
сформулировать две проблемы современной криптографии:
аутентификация и распределение ключа.
Проблема аутентификация, похоже, имеет разрешение
(абсолютно защищённое) лишь при личной встрече владельцев
ключа.
Проблема распределения ключа в классической криптографии
решается с помощью криптографии с открытым ключом или
двухключевых (асимметричных) протоколов. Такое её решение
назовем математическим, поскольку используется некий алгоритм,
основанный на специального вида функциях, когда вычисление
функции в одном направлении не представляет трудностей, а
нахождение обратной функции занимает огромное количество
вычислительных ресурсов.
В частности, стойкость криптографических систем RSA и Эль-
Гамаля основывается на том, что факторизация больших чисел
требует экпоненциального по числу знаков факторизуемого числа N
операций. Это значит, что при увеличении разряда числа на один
(прибавление ещё одной цифры к факторизуемому числу) умножает
время, необходимое для факторизации на фиксированный
множитель. При увеличении числа задача быстро становится
вычислительно не решаемой.
Таким образом,
в настоящий момент защищённость двухключевых
криптосистем основывается на медленности технического
прогресса.
Однако в связи с ожидаемым появлением квантовых
компьютеров, для которых уже разработаны алгоритмы быстрой
факторизации, системы с публичным ключом могут потерять свою
эффективность. Поэтому возникла потребность в криптографических
системах, основанных на других принципах.
Перспективный путь решения проблемы распределения ключа,
реализуемый в квантовой криптографии, основан на физических
закономерностях.
Основные аргументы в таком методе криптографии восходят к
двум утверждениям:
– неизвестное квантовое состояние невозможно копировать;
32
– без возмущения невозможно извлечь информацию о
неортогональных квантовых состояниях.
Последнее утверждение можно перефразировать: в общем
случае любое измерение, выполняемое подслушивателем, приведет к
изменению состояния носителя информации.
Для перехода к изучению основных протоколов квантовой
криптографии первоначально необходимо определить основные
понятия квантовой физики.
33
ГЛАВА 2. ПРЕДСТАВЛЕНИЕ ОПТИЧЕСКОГО ИЗЛУЧЕНИЯ
Оптическое излучение необходимо рассматривать как
электромагнитное поле, подчиняющееся квантовым
закономерностям. Однако при обсуждении многих практически
важных вопросов можно ограничиться приближёнными представлениями
и рассматривать оптическое излучение в виде световых лучей (или
пучков), световых (электромагнитных) волн или фотонных
коллективов.
2.1. Световые лучи
Простейшее представление оптического излучения в виде
светового луча (или совокупности световых лучей, образующих
световой пучок) соответствует приближению геометрической оптики.
В этом приближении пренебрегают конечностью длины световой волны
( λ → 0 ) и полагают, что световая энергия распространяется вдоль
определённых кривых, называемых световыми лучами. В однородной
среде световые лучи являются прямыми линиями. Пучки световых лучей
не взаимодействуют друг с другом и после пересечения распространяются
независимо.
Основу геометрической оптики составляет принцип Ферма,
называемый также принципом наикратчайшего оптического пути или
принципом наименьшего времени.
Согласно принципу Ферма оптическая длина пути, по
которому распространяется свет между двумя точками А и В,
короче оптической длины любой другой кривой, соединяющей эти
точки.
Напомним, что оптическая длина пути dLопт равна
произведению показателя преломления n на геометрическую длину
пути dl , так что оптическая длина кривой АВ определяется
интегральным уравнением
∫
L опт = n(l) ⋅ dl .
l
Для однородной среды и при постоянстве показателя
преломления n (l)=n имеем Lопт = nl . Если скорость распространения
света в среде равна с, то приращение геометрической длины пути,
34
c
проходимой за элементарный временной интервал dt равно dl = dt .
n
Тогда ∫ ∫
n dl = c dt . Отсюда видно, что принцип Ферма можно
l l
сформулировать как принцип наименьшего времени.
Из всех возможных путей, соединяющих две точки А и В,
свет выбирает тот путь, который требует наименьшего времени
для его прохождения.
Из принципа Ферма вытекают прямолинейность
распространения света в однородной среде, а также законы преломления
и отражения.
2.2. Электромагнитные волны
Явления дифракции и интерференции не могут быть объяснены в
рамках геометрической оптики и свидетельствуют о волновой
природе света. В приближении классической волновой оптики свет
представляет собой электромагнитные волны (колебания),
распространяющиеся в вакууме с постоянной скоростью
с=299 792±0,5 км/с.
Волновая оптика базируется на уравнениях классической
электродинамики, основу которой составляют уравнения Максвелла.
Теория Максвелла является феноменологической, в которой обобщены
основные законы, описывающие электрические и магнитные явления:
закон Кулона, закон Био-Савара-Лапласа и закон электромагнитной
индукции.
Электрические и магнитные свойства среды учитываются с
помощью трех величин: относительной диэлектрической
проницаемости ε τ , относительной магнитной проницаемости μτ и
удельной электрической проводимости σ. Важно, что при
распространении электромагнитной волны в различных средах её
частота остается неизменной. Величины ε τ , μτ и σ отражают
реакцию среды на внешнее электромагнитное возмущение.
Система уравнений Максвелла в дифференциальной форме
имеет вид
35
r
r ∂B r
rotE = − ; divD = ρ ;
∂t r (2.1)
r r ∂D r
rotH = j + ; divB = 0 .
∂t
Эта система дополняется
r r r r r уравнениями состояния,
связывающими векторы E, D, B, H, j с величинами, описывающими
электрические и магнитные свойства среды (иногда их называют
материальными уравнениями)
r r r r r r
D = ε τ ε 0 E B = μ τ μ 0 H j = σE , (2.2)
где ε 0 = 10 7 4πc 2 Ф/м и μ 0 = 4π10 − 7 Гн/м – электрическая и

магнитная постоянные.
На границе раздела двух сред выполняются граничные условия
для тангенциальных (индекс τ) и нормальных (индекс n)
составляющих:
E τ1 = E τ2 ; D n1 − D n 2 = σ пов ;
(2.3)
H τ1 − H τ2 = jпов ; B n1 = B n 2 .
Здесь σпов – поверхностная плотность свободных зарядов; jпов
– проекция вектора плотности поверхностных токов проводимости.
Система уравнений, включающая в себя уравнения
электромагнитного поля (2.1), уравнения (2.2) и граничные условия
(2.3), называется системой уравнений Максвелла. Эта система
является полной, поскольку из неё можно получить все свойства
электромагнитного поля.
Из системы (2.1) видно, что переменное магнитное поле
порождает переменное электрическое поле, и наоборот. В результате
этого в пространстве распространяется переменное электромагнитное
поле, называемое электромагнитными волнами. Такие волны, в
частности, могут распространяться в вакууме.
Рассмотрим основные свойства электромагнитных волн.
1. Электромагнитные волны распространяются в вакууме со
скоростью ν = 1 ε 0 μ 0 = с ≈ 3 ⋅ 108 м/с. Постоянная с называется
электродинамической постоянной или скоростью света.
2. Электромагнитные волны являются поперечными. Векторы
r r r
ν, E, H взаимно перпендикулярны и образуют правовинтовую
36
r r r
систему: из конца вектора ν вращение от E и H происходит по
кратчайшему расстоянию против часовой стрелки.
3. Энергия электромагнитного поля в единице объема
называется объемной плотностью энергии излучения
ε0E 2 μ0H 2
ρ= + . (2.4)
2 2
Распространение электромагнитной энергии в пространстве
характеризуется вектором Пойнтинга
r r r
[
П = E×H .]
Его направление совпадает с направлением распространения
энергии излучения, а абсолютное значение в единицах измерения
Дж/(м2с)=Вт/м2 равно количеству энергии, переносимой
электромагнитной волной в единицу времени r через единицу
поверхности, перпендикулярную направлению вектора П .
Длина (модуль) вектора Пойнтинга равна
r
П = ρc .
В качестве энергетической характеристики часто пользуются
понятием интенсивности излучения I, под которой понимают
величину
r
I= П.
Линия, в каждой точке которой касательная совпадает с
направлением переноса энергии (с направлением распространения волны
в этой точке), называется световым лучом.
4. Наряду с энергией электромагнитное поле переносит импульс
(количество движения), распределенный в пространстве с объемной
плотностью
[ ]
r r r
r E×H Π
P= = . (2.5)
2 2
c c
Частный случай представляют плоские монохроматические
(гармонические) волны.r Электромагнитная
r волна называется
плоской, если векторы E и H зависят только от времени и одной
декартовой координаты. В плоской волне все лучи параллельны друг
r
другу. Энергия электрического поля световой волны ε 0 E 2 2 равна
37
r2
энергии магнитного поля μ0 H 2 . Электромагнитная волна
r r
называется монохроматической, если компоненты векторов E и H
электромагнитного поля совершают гармонические колебания.
Величина λ=c ν называется длиной волны
монохроматического излучения. Это есть расстояние, на которое
смещается поверхность равной фазы волны за один период колебаний.
Интервал времени Т, за которое совершается одно колебание,
т. е. за которое волна проходит расстояние, равное длине волны, а
фаза гармонического колебания изменяется на 2π , называется периодом
колебаний: T = 1 ν .
r 2π r
Вектор =
k n называется волновым вектором.
λ
Для более точного описания ориентации плоской волны служит
понятие поляризации. Свет, у которого существует упорядоченность
ориентации векторов электрического и магнитного полей, называют
поляризованным.
Линейно поляризованным или плоскополяризованным
r r
называют свет, у которого направления колебаний векторов E и H в
любой точке пространства остаются неизменными во времени.
На рис. 2.1 представлена "мгновенная фотография" плоской
линейно поляризованной монохроматической волны с амплитудой Е0.
Плоскостью поляризации здесь является плоскость, проходящая через
r r
вектор E , и направление r распространения электромагнитной волны.
Для линейно поляризованного света, распространяющегося в
r
направлении r , имеем
[( rr
)]
E = E 0 exp i k r − ωt .
Рис. 2.1. Плоская линейно-поляризованная электромагнитная волна

Свет, у которого векторы электрического и магнитного полей в
любой точке пространства вращаются, а концы этих векторов
38
описывают эллипсы, называется эллиптически поляризованным. Его
частным случаем является свет, поляризованный по кругу, так
называемый циркулярно поляризованный свет.
Эллиптически поляризованную волну можно рассматривать как
наложение двух линейно поляризованных волн. Свет, у которого
векторы электрического и магнитного полей хаотически изменяют
свое направление, называют неполяризованным или естественным.
2.3. Фотоны
Оптическому излучению присущи волновые и корпускулярные
свойства. Квант (элементарная частица) электромагнитного
излучения, испущенный при квантовом переходе между двумя
уровнями, называется фотоном (по Бору).
Сформулируем основные свойства
r фотона.
1. Энергия E фот и импульс Pфот фотона связаны с круговой
r
частотой ω и волновым вектором k эквивалентной плоской
монохроматической волны соотношениями:
E фот = hω = hν , (2.6)
r r h r
Pфот = hk = k, (2.7)
2π
h
где h = 6,626 ⋅ 10 − 34 Дж⋅с и h = = 1,05 ⋅ 10 − 34 Дж⋅с – постоянные
2π
Планка.
В соотношениях (2.7) заложена основная связь между
волновыми и корпускулярными свойствами света.
2. Масса покоя фотона равна нулю. Экспериментально доказано,
что у фотона масса покоя, по крайней мере, меньше 10 − 21 m 0 , где m0
– масса свободного электрона. Скорость фотона равна скорости света
c ≈ 3 ⋅ 108 м/с.
Не существует системы отсчета, в которой фотон
покоится.
3. Фотон является электрически нейтральной частицей и не
имеет электрического заряда.
4. Спин фотона равен единице (в единицах h ).
39
5. Каждый фотон может находиться в некотором состоянии
поляризации. Например, электромагнитное излучение с линейной
поляризацией можно рассматривать состоящим из фотонов, каждый
из которых линейно поляризован в том же направлении.
К фотонам применим так называемый принцип суперпозиции
состояний.
Согласно принципу суперпозиции состояний любое
состояние можно рассматривать как результат наложения
двух или многих состояний.
Для фотона эта процедура аналогична разложению волны на
компоненты Фурье по плоским монохроматическим волнам.
2.4. Фотонный коллектив
С точки зрения квантовых представлений оптическое излучение
можно рассматривать как фотонный коллектив, состоящий из N kα
фотонов в kαr– состояниях, т. е. состоящий из частиц с энергией hω ,
импульсом h k и поляризацией α. Принципиально важным моментом
квантовой теории электромагнитного излучения (света) является то,
что обмен энергией и импульсом между фотоном и атомной системой
(электрон, атом, молекула и т. д.) происходит путем рождения одних и
исчезновения других квантов света. Указанное свойство наиболее
полно отражается в законах сохранения энергии и импульса при
рассмотрении взаимодействия света с какой-либо квантовой
системой.
Если Nkα соответствует числу фотонов, находящихся в единице
объема, то плотность энергии ρ светового поля можно представить в
виде суммы энергий фотонов
2
ρ= ∑∑ hωN kα .
α =1 k
Аналогично полный импульс
r 2 r
P= ∑∑ hkN kα .
α =1 k
40
Сравнение этих соотношений с аналогичными классическими
выражениями (2.4) и (2.5) позволяет перейти от числа фотонов в
kα -состоянии к амплитуде электромагнитной
r волны с
поляризацией α и волновым вектором k .
Квантованием (дискретностью) поля можно пренебречь, если
полная энергия ρ существенно больше энергии кванта hω ,
т. е. если N kα >> 1.
Условие
2
I(x ) = P{s → f } = f s
называется условием классичности.
Условие классичности N kα >> 1 определяет условие
перехода от квантовомеханического описания
электромагнитного поля к классическому.
41
ГЛАВА 3. ВЕРОЯТНЫЕ ЗАКОНОМЕРНОСТИ КВАНТОВОЙ
ФИЗИКИ
Основными носителями информации в квантовых каналах связи
являются фотоны. Однако фотоны, как объекты микромира,
подчиняются специфическим вероятностным закономерностям.
Знание этих закономерностей, доминирующих в микромире,
позволит более глубоко понять физические процессы, происходящие
в системах квантовой связи.
Квантовая физика, как основа для понимания принципов работы
систем квантовой связи, указывает, во-первых, на вероятностный
характер законов природы (примат статистических
закономерностей). Во-вторых, квантовая физика подчеркивает
особые отношения между вероятностями, предполагая не только
сложение вероятностей, но и специфические интерференционные
эффекты. Квантовая физика показывает, что в основе
интерференционной картины отнюдь не обязательно должны лежать
классические волновые процессы. В общем случае интерференция –
это специфическое квантовое явление, связанное со сложением
амплитуд вероятности.
3.1. Интерференция амплитуд вероятности переходов
Амплитуда вероятности перехода. Предположим, что
микрообъект совершает переход из состояния s в состояние f.
Конкретные характеристики этих состояний пока несущественны.
Поскольку переход имеет вероятностный характер, то введём в
рассмотрение вероятность перехода P{s → f }. Наряду с вероятностью
перехода в квантовой физике рассматривают амплитуду
вероятности перехода f | s , которая, в общем случае, представляет
комплексное число. Квадрат модуля амплитуды вероятности
перехода равен вероятности квантового перехода из начального
состояния s в конечное состояние f:
2
P{s → f } = f | s . (3.1)
Заметим, что в записи f s справа указывается начальное
состояние s, а слева – конечное f.
42
Введение понятия амплитуды вероятности перехода оказывается
весьма полезным. Чтобы показать это, обратимся к известной теореме
сложения вероятностей для несовместных событий:
∑
2 2
f |s = f |s i . (3.2)
i
Эта теорема обычно применяется для событий, которые
являются не только несовместными, но и различимыми. Последнее
предположение положено в основу классических теорий, где все
рассматриваемые события всегда в принципе различимы.
Однако в квантовой физике микрообъекты одного и того же
типа абсолютно тождественны. При этом возможны события,
например квантовые переходы, являющиеся принципиально
неразличимыми. Так вот, если существует несколько неразличимых
способов (неразличимых альтернатив) перехода микрообъекта из
состояния s в состояние f, то в этом случае следует суммировать не
вероятности отдельных альтернатив, а амплитуды вероятности.
Иначе говоря, в данном случае вместо сложения вероятностей, надо
применять новое правило сложения амплитуд вероятности (индекс i
фиксирует i-й способ перехода)
f |s = ∑ f | s i. (3.3)
i
Остановимся на этом моменте подробнее.
Пусть переход микрообъекта из начального состояния s в
конечное f (переход s→f) совершается всякий раз через одно из
промежуточных состояний v1 , v 2 , …, v i , …, v N . Существует N
возможных вариантов (N альтернатив) осуществления перехода s→f.
Амплитуду вероятности для i-й альтернативы запишем в виде
f | s i = f vi vi s . (3.4)
Здесь правую часть равенства надо читать справа налево: в
конечное состояние f микрообъект переходит из промежуточного
состояния v i , причём в промежуточное состояние v i микрообъект
переходит из начального состояния s.
Рассмотрим два случая: альтернативы физически различимы и
неразличимы.
43
Физически различимые альтернативы. Здесь известно, через
какое именно промежуточное состояние произошёл тот или иной
конкретный переход. Имеется принципиальная возможность
обнаружить микрообъект в соответствующем промежуточном
состоянии.
В рассматриваемом случае вероятности суммируются, поэтому
результирующая вероятность перехода имеет вид
N
∑
2 2
f |s = f vi vi s . (3.5)
i
Физически неразличимые альтернативы. Здесь неизвестно,
через какое именно промежуточное состояние произошёл
конкретный переход (микрообъект не обнаруживается в том или
ином промежуточном состоянии). Поэтому суммируются амплитуды
вероятности. Результирующая вероятность имеет вид
N 2
f |s
2
= ∑ f vi vi s . (3.6)
i
Раскрыв квадрат модуля в правой части равенства, получим
2
сумму, где наряду со слагаемыми I(x ) = P{s → f } = f s
присутствуют слагаемые перекрестного (интерференционного) типа:
2
P{s → f } = f s(здесь знак "*" означает комплексно сопряженное
число). В связи с этим говорят об интерференции амплитуд
вероятности.
Интерференция амплитуд вероятности имеет место,
когда альтернативы перехода из начального состояния s в
конечное состояние f, описываемые амплитудами вероятности,
оказываются физически неразличимыми.
3.2. Классический опыт по регистрации электрона в
интерферометре
Для раскрытия сущности интерференции амплитуд вероятности
обсудим эксперимент по регистрации электрона в интерферометре.
Необходимые составляющие этого эксперимента (рис. 3.1) включают
источник электронов, диафрагму с двумя щелями 1 и 2, экран-
44
регистратор, на котором наблюдается интерференционная картина
(для простоты используется одномерная ситуация). Источник
электронов равноудалён от центров щелей. Заметим, что источник
может генерировать частицы разных типов: электроны, нейтроны или
атомы.
x
Экран-регистратор
f
Точка регистрации
Ось электронов
интерферометра (конечное состояние f)
Траектории
электронов
Щель 1 Щель 2
(промежуточное (промежуточное
состояние v1) состояние v2)
Диафрагма
v1 v2
Источник электронов s
(начальное состояние s )
Рис. 3.1. Поведение электрона в интерферометре

Пусть электрон, генерируемый источников, регистрируется на
экране вблизи точки с координатой x, отсчитываемой от
перпендикуляра к экрану из точки расположения источника
электронов. При этом регистрируемый электрон проходит через щель
1 или щель 2 в диаграмме.
Следовательно, поведение электрона в интерферометре можно
рассматривать, как переход s→f электрона из начального состояния s
(точка расположения источника электронов) в конечное состояние f
(точки с координатой x на экране). При этом переход s→f
совершается всякий раз через одно из двух промежуточных
состояний I(x ) или v 2 .
45
Электрон регистрируется вблизи точки с координатой х на
экране. При этом электрон проходит через щель 1 или щель 2 в
диаграмме. Таким образом, имеются две альтернативы перехода
электрона из начального состояния s в конечное состояние f.
Для амплитуды вероятности перехода s → v1 → f электрона из
начального состояния s в конечное состояние f через промежуточное
состояние v1 (щель 1) справедливо выражение
f s 1 = f v1 v1 s = ϕ1 . (3.7)
Аналогично для амплитуды вероятности перехода s → v 2 → f
через промежуточное состояние v 2 (щель 2) запишем
f s 2 = f v 2 v 2 s = ϕ2 . (3.8)
Когда обе щели 1 и 2 открыты, рассматриваемые альтернативы
перехода электрона в условиях данного опыта неразличимы. Поэтому
результирующая вероятность перехода s→f согласно (3.6)−(3.8)
принимает вид
2 2 2 2 2
fs = f s 1+ f s 2 = ϕ1 + ϕ 2 = ϕ1 + ϕ 2 + ϕ1ϕ*2 + ϕ1*ϕ 2 .
(3.9)
Регистрируемая на экране кривая I(x ) соответствует
распределению попаданий электронов, которое определяется
2
вероятностью P{s → f } = f s , т.е.
2
I(x ) = P{s → f } = f s .
На рис. 3.2 показана интерференционная картина, которая была
получена в реальных экспериментах на двух щелях с нейтронами.
Интерференционный характер интенсивности I(x ) обусловлен
2
наличием в вероятности f s слагаемых
* *
ϕ1ϕ*2 = f s 1 f s 2 и ϕ1*ϕ 2 = f s 1 f s 2 .
Таким образом, интерференционное распределение попаданий
электронов (фотонов или любых других микрообъектов) на экране,
наблюдаемое при обеих открытых щелях, обязано интерференции
амплитуд двух возможных переходов s → v1 → f и s → v 2 → f
46
электрона из заданного начального состояния s в заданное конечное
состояние f.
Рис. 3.2. Интерференционная картина в плоскости экрана

(наблюдения) интерферометра на двух щелях с нейтронами
В плоскости наблюдения за диафрагмой с двумя щелями
возникает интерференционная картина, даже если
интенсивность источника столь мала, что источником в
каждый момент времени генерируется только одна частица.
Заметим, что интерференционная картина в плоскости экрана
наблюдается лишь тогда, когда рассматриваемые альтернативы,
соответствующие прохождению микрообъектов (электронов,
фотонов, нейтронов) либо через одну щель, либо через другую,
неразличимы. Если же принять какие-то меры к их различению
(например, при закрытии одной из щелей), то интерференционный
член в формуле (3.9) обращается в ноль. При этом
интерференционная картина в плоскости экрана наблюдаться не
будет.
Заметим, что условие
ϕ1ϕ*2 + ϕ1*ϕ 2 = 0
означает ортогональность состояний.
Ортогональные состояния не интерферируют.
Итак, интерференция при прохождении одиночных частиц через
щель, является принципиально квантовым явлением.
3.3. Контроль поведения электрона в интерферометре
Квантовая физика утверждает, что невозможно сказать, через
какую из щелей пролетит частица. Докажем это.
47
Обратимся к схеме эксперимента по регистрации электрона в
интерферометре на рис. 3.3. Как и ранее, необходимыми
составляющими эксперимента являются источник электронов,
диафрагма с двумя щелями 1 и 2, экран-регистратор, на котором
наблюдается интерференционная картина. Источник электронов
равноудалён от центров щелей.
x
Экран-регистратор
f
Точка регистрации
Ось электронов
интерферометра (конечное состояние f)
Фотоприёмник 1 Фотоприёмник 2
Fф2 Fф1
Источник фотонов
Sф Траектории
фотонов
Диафрагма
v1 v2
Щель 1 Щель 2
(промежуточное (промежуточное
состояние v1) состояние v2)
Источник электронов s
Рис. 3.3. Поведение микрообъекта в интерферометре при наблюдении

за микрообъектом
Для контроля поведения электрона в интерферометре в схему
добавлены источник фотонов, а также два фотоприёмника,
фиксирующие фотоны, рассеянные на электронах вблизи первой и
второй щелей. В рассматриваемом случае предполагается, что длина
волны излучения источника фотонов достаточно велика.
Начальное состояние фотона задаётся источником фотонов Sф .
Конечные состояния рассеянных фотонов Fф1 и Fф2 определяются
соответствующими фотоприёмниками. Для фотона промежуточным
48
состоянием v1 является электрон в щели 1, а промежуточным
состоянием v 2 – электрон в щели 2.
Вначале будем полагать, что фотоны, рассеянные вблизи любой
из щелей, могут быть зарегистрированы как первым, так и вторым
фотоприёмниками. Это соответствует применению излучения с
достаточно большой длиной волны. Очевидно, что в этом случае
фотоны не контролируют прохождение электронов через диафрагму с
щелями.
Амплитуда вероятности переходов электронов из начального
состояния s в конечное состояние f определяется формулами (3.7) и
(3.8).
Для амплитуды вероятности перехода Sф → v1 → Fф1 фотона из
начального состояния Sф в конечное состояние Fф1 через
промежуточное состояние v1 (щель 1) справедлива формула
Fф1 Sф = Fф1 v1 v1 Sф = ψ ф1 .
1
Аналогично с учетом симметрии схемы опыта (хорошо видной
на рис. 3.3) находим выражение для расчёта амплитуды вероятности
перехода Sф → v 2 → Fф2 фотона из начального состояния Sф в
конечное состояние Fф2 через промежуточное состояние v 2 (щель 2):
Fф2 Sф = Fф2 v 2 v 2 Sф = ψ ф 2 .
1
Предположим, что электрон совершает переход s → f из
начального состояния s в конечное состояние f. Одновременно фотон,
рассеиваясь на этом электроне, совершает переход Sф → Fф1.
Запишем выражение для расчёта амплитуды вероятности fFф1 sSф
такого парного перехода s → f и Sф → Fф1, которое эквивалентно
вероятности контроля первым фотоприёмником перехода электрона
из состояния s в состояние f.
В рассматриваемом случае возможны две альтернативы парного
перехода.
В первом случае электрон проходит через первую щель и
регистрируется на экране в точке с координатой x (конечное
состояние f). Прохождение электроном первой щели фиксируется на
основании приёма первым фотоприёмником рассеянных на
49
электронах вблизи первой щели фотонов. Для амплитуды
вероятности парного перехода электрона s → v1 → f и фотона
Sф → v1 → Fф1 имеем
fFф1 sSф = ϕ1ψ ф1 .

1
Во втором случае электрон проходит через вторую щель и
регистрируется на экране в точке с координатой x (конечное
состояние f). Прохождение электроном второй щели фиксируется на
основании приёма первым фотоприёмником рассеянных на
электронах вблизи второй щели фотонов.
Для амплитуды вероятности парного перехода электрона
s → v 2 → f и фотона Sф → v 2 → Fф1 находим
fFф1 sSф = ϕ 2 ψ ф2 .
2
Так как обе альтернативы парного перехода неразличимы, то
fFф1 sSф = fFф1 sSф + fFф1 sSф = ϕ1ψ ф1 + ϕ 2 ψ ф2 . (3.10)
1 2
Пусть электрон совершает переход s → f из начального
состояния s в конечное состояние f. Одновременно фотон,
рассеиваясь на этом электроне, совершает переход Sф → Fф2 , т. е.
регистрируется вторым фотоприёмником. Проведя рассуждения,
аналогичные ранее проведённым, получим
fFф 2 sSф = fFф 2 sSф + fFф 2 sSф = ϕ1ψ ф2 + ϕ 2 ψ ф1 . (3.11)
1 2
Вероятность регистрации электрона в состоянии f независимо от
того, где при этом зарегистрирован фотон, имеет вид
2 2 2
fs = fFф1 sSф + fFф 2 sSф . (3.12)
Здесь складываются уже не амплитуды, а сами вероятности,

поскольку альтернативы, соответствующие регистрации фотона
первым и вторым фотоприёмниками, естественно, различимы.
Подставляя (3.10) и (3.11) в (3.12), находим
50
fs
2
(
= ϕ1 + ϕ 2
2
)⎜⎝ ψ
2 ⎛
ф1 + ψ
2 2⎞
ф2 ⎟ +
⎠ (3.13)
( )(
+ ϕ1ϕ*2 + ϕ1*ϕ 2 ψф1ψ*ф2 + ψ*ф1ψф2 . )
Итак, результирующая вероятность электронного парного
перехода электрона s → f из начального состояния s в конечное
состояние f складывается из двух слагаемых.
Первое слагаемое
(ϕ 2
1 + ϕ2 )⋅ ⎜⎝ ψ
2 ⎛
ф1 +
2
ψ
2⎞
ф2 ⎟
⎠
⎛ 2 2⎞
представляет умноженную на ⎜ ψф1 + ψф2 ⎟ сумму вероятностей
⎝ ⎠
переходов через первую и вторую щели, рассматриваемых по
отдельности.
Второе слагаемое
(ϕ1ϕ*2 + ϕ1*ϕ2 )(ψф1ψ*ф2 + ψ*ф1ψф2 )
обусловлено интерференцией амплитуд. Благодаря наличию
последнего слагаемого наблюдается интерференционное
распределение попаданий электронов на регистрирующем экране.
Напомним, что в рассмотренном случае предполагалась
достаточно большая длина волны излучения источника фотонов,
поэтому фотоны не могли контролировать прохождение электронов
через щели.
Будем теперь уменьшать длину волны излучения источника
фотонов. При этом будет уменьшаться вероятность попадания
рассеянного электроном фотона в "чужой" фотоприёмник (например,
вероятность попадания фотона, рассеянного у первой щели, во второй
фотоприёмник). Это означает, что с уменьшением длины волны
излучения должна уменьшаться амплитуда вероятности ψф2 .
Уменьшение же амплитуды вероятности ψф2 понизит, как это видно
из (3.13), относительный вклад интерференционного слагаемого. В
результате наблюдаемая на регистрирующем экране
интерференционная картина начнёт смазываться.
При достаточно малой длине волны излучения возможен
точный контроль за прохождением электронов через щели. В этом
51
предельном случае фотон, рассеянный вблизи той или иной щели,
попадает только в "свой" фотоприёмник. Это означает, что ψф2 =0.
При ψф2 =0 выражение (3.13) преобразуется к виду
fs
2
= ψф1
2
(ϕ 1
2
+ ϕ2
2
). (3.14)
контроль за прохождением электронов через щели в
интерферометре приводит к разрушению интерференции
амплитуд и, как следствие, к исчезновению
интерференционного распределения попаданий электронов на
регистрирующем экране.
Контроль делает различимыми альтернативы, отвечающие за
прохождение электрона через разные щели.
Любая индивидуализация частицы (т.е. её различимость)
приводит к потере интерференции.
Из приведённого примера следует, что наряду с полной
неразличимостью и полной различимостью существует непрерывный
ряд промежуточных ситуаций, соответствующих частичной
различимости.
Результат (3.14) относится к предельному случаю полной
различимости рассматриваемых альтернатив (амплитуда вероятности
ψф2 =0).
Противоположный предельный случай полной неразличимости
альтернатив предполагает, очевидно, одинаковую вероятность
фотону попасть как в "свой", так и в "чужой" фотоприёмник. Это
означает, что амплитуды вероятности ψф = ψф1 = ψф2 .
При равенстве амплитуд вероятности ψф1 и ψф2 выражение
(3.13) преобразуется к виду
2 2 2 (3.15)
fs = 2 ψф ϕ1 + ϕ 2 .
Общее выражение (3.13) для вероятности регистрации электрона

в состоянии f независимо от того, где при этом зарегистрирован
фотон, описывает промежуточные ситуации, отвечающие частичной
различимости рассматриваемых альтернатив. Эти ситуации
отличаются друг от друга величиной интерференционного слагаемого
52
в (3.13). Чем меньше интерференционное слагаемое, тем больше
степень различимости альтернатив.
Заметим, что теорема сложения вероятностей работает, когда
альтернативы полностью различимы. Она не работает в случае
частичной различимости и тем более полной неразличимости. Во
всех этих случаях наблюдается интерференция амплитуд
вероятности.
3.3. Суперпозиция состояний
Принцип суперпозиции состояний. Интерференция амплитуд
вероятности переходов органически связана с принципом
суперпозиции состояний, отражающим специфику
"взаимоотношений" состояний микрообъекта. Как известно,
возможные состояния микрообъекта разбиваются на группы, в
каждой из которых определены значения того или иного полного
набора физических величин. Присвоим разным полным наборам
буквенные обозначения α, β, γ и т. д. Допустим, что микрообъект
находится в одном из состояний, где определены величины α-набора
(в одном из α-состояний). Согласно принципу суперпозиции, между
состояниями микрообъекта, отвечающими разным полным наборам,
существует связь.
Любое состояние из одного набора может быть
представлено в виде суперпозиции состояний другого набора.
Например, данное α-состояние может быть представлено в виде
суперпозиции β-состояний. Условимся использовать для обозначения
состояния микрообъекта символ . Тогда суперпозицию можно
записать в виде
α = ∑ Φ αβ β . (3.16)
β
Это соотношение выглядит как разложение состояния α по
совокупности β-состояний. При этом величины Φ αβ играют роль
коэффициентов разложения и представляют амплитуду вероятности
того, что при измерении величин β-набора в состоянии α будут
получены значения, отвечающие состоянию β . Иными словами Φ αβ
53
– это амплитуда вероятности того, что микрообъект, находящийся в
состоянии α , может быть обнаружен также и в состоянии β .
Обозначим эту амплитуду Φ αβ символом β | α . После этого
выражение (3.16) принимает вид
α = ∑β β|α .
(3.17)
β
Чтобы подчеркнуть, что амплитуды β | α имеют отношения к
процессам переходов в квантовой физике для β | α используется
термин – амплитуда состояния.
Суперпозиция (3.17) означает, что если микрообъект находится
в состоянии, где измеримы величины α-набора, то значения величин
2
β-набора могут быть предсказаны с вероятностью, равной β | α .
Приведем простой пример.
Переход с одного энергетического уровня на другой.
Существует противоречие, связанное с квантовым переходом
электрона с одного уровня энергии на другой. Действительно, чтобы
перейти с уровня E1 на уровень E 2 , электрон должен поглотить
фотон с энергией hν = E 2 − E1 . Если энергия фотона больше или
меньше, чем E 2 − E1 , то такой фотон не будет поглощен электроном.
Значит, находясь на уровне E1 , электрон должен "знать" об уровне
E 2 , чтобы поглотить фотон с нужной энергией. Однако, чтобы
"знать" об уровне E 2 , электрон должен побывать на нём, чего он не
может сделать, не поглотив фотона. Возникает порочный логический
круг.
Противоречие снимается, если воспользоваться принципом
суперпозиции состояний. Обозначим через 1 и 2 состояния
микрообъекта, в которых он имеет энергию E1 или E 2 . Согласно
принципу суперпозиции, наряду с состояниями 1 и 2 возможно
также состояние f , причём
f = 1 1f + 2 2f . (3.18)
Измерение энергии микрообъекта в этом состоянии приводит
либо к результату E1 , либо к результату E 2 , как если бы микрообъект
находился и на уровне E1 , и на уровне E 2 (специфически квантовая
54
ситуация, которую бесполезно пытаться представить буквально,
2
наглядно). Первый результат реализуется с вероятностью 1 | f , а
2
второй – 2 | f . Возможность такой специфически квантовой
ситуации как раз и снимает противоречие квантового перехода с
уровня на уровень. Достаточно предположить, что взаимодействие
микрообъекта с излучением переводит микрообъект в
суперпозиционное состояние типа (3.18).
Базисные состояния. В классической физике все величины в
принципе одновременно измеримы. Следовательно, все они могут
рассматриваться как единый "полный набор". Учитывая, что
отражаемые в (3.17) суперпозиционные связи действуют между
разными полными наборами, можно сделать следующее заключение.
В классическом пределе суперпозиционные связи,
действующие между разными полными наборами измеряемых
величин, отсутствуют и, значит, все формально составленные
амплитуды состояний из одного набора должны быть приняты
равными нулю.
В квантовой физике равенство нулю амплитуд состояний имеет
место лишь в пределах одного и того же полного набора:
α i | α j = 0, если i ≠ j . (3.19)
Амплитуда состояния равна нулю тогда и только тогда, когда
соответствующие два состояния взаимно независимы (если объект
находится в одном из них, он не может быть обнаружен в другом). О
таких состояниях говорят как о взаимно ортогональных. В этом
смысле все состояния классического объекта взаимно ортогональны,
тогда как в квантовой физике ортогональны лишь состояния,
соответствующие одному и тому же полному набору, и
неортогональны состояния, соответствующие разным наборам.
Последнее обстоятельство и отражено в принципе суперпозиции
состояний. Заметим, что представление о взаимно ортогональных
состояниях позволяет указать критерий полной и частичной
различимости состояний.
Если амплитуда вероятности перехода из состояния s1 в
состояние s 2 равна нулю ( s1 | s 2 = 0 ), то состояния s1 и s 2
полностью различимы (между ними нет суперпозиционных
55
связей). Если же амплитуда вероятности s1 | s 2 ≠ 0 , то
рассматриваемые состояния частично различимы.
Критерием полной различимости состояний является их
взаимная ортогональность.
Чтобы данное состояние можно было разложить по
совокупности каких-либо других состояний, последние должны быть
взаимно ортогональными, т. е. должны отвечать одному и тому же
полному набору. Такие состояния принято называть базисными.
Амплитуды базисных состояний удовлетворяют условию
α i | α j = δij , (3.20)
которое является очевидным обобщением соотношения (3.19).
Символ Кронекера δij в формуле (3.20) равен нулю при i≠j и
равен единице при i=j.
Условие (3.20) называют условием ортонормировки базисных
состояний.
Базисные состояния могут быть выбраны различным образом –
в зависимости от рассматриваемого полного набора. Как говорят,
возможны различные представления. Принцип суперпозиции
состояний означает, что любое состояние f микрообъекта может
быть разложено по любой системе базисных состояний:
f = ∑ αi αi | f ;
i
f = ∑ βi βi | f ;
(3.21)
i
f = ∑ γi γ i | f и т.д.
i
3.4. Измерительный процесс в квантовой физике

Пусть микрообъект находится в состоянии α . Согласно
принципу суперпозиции состояний, состояние α можно разложить
по любой системе базисных состояний, например по βi . Тогда
56
α = ∑ βi βi α .
(3.22)
i
В формулу (3.22) входят амплитуды βi α состояний βi или,
точнее, амплитуды вероятности, с какими в состоянии α
представлены различные базисные состояния βi .
Внесем некоторые уточнения. Прежде всего отметим, что та или
иная суперпозиция состояний микрообъекта возникает при его
взаимодействии с внешней средой, например некоторым макротелом.
Макротело, называемое анализатором, может быть искусственного
происхождения или представлять часть естественных внешних
условий. Из соотношения (3.22) следует, что в результате
взаимодействия с определённым анализатором (в данном случае с β-
анализатором) микрообъект, находившийся в состоянии α ,
переходит в суперпозиционное состояние ∑ βi βi α .
i
Принимая во внимание квантовую специфику этого состояния,
можно сказать, что, взаимодействуя с β-анализатором, микрообъект в
каком-то смысле переходит сразу во все состояния βi . При этом
амплитуду βi α надо рассматривать как амплитуду обусловленного
2
указанным взаимодействием перехода α → βi . Величина β i α
есть вероятность обнаружить микрообъект в конечном счете именно
в состоянии βi .
Измерительный процесс в квантовой физике состоит из трех
последовательных этапов.
На первом подготовительном этапе микрообъекты
"приготовляют" в некотором состоянии s , которое далее
рассматривается как начальное.
В процессе второго рабочего этапа происходит взаимодействие
микрообъекта с анализатором, переводящим микрообъект в
суперпозиционное состояние. Например, экран с двумя щелями,
действуя как анализатор, создаёт суперпозицию А А s + Б Б s .
Создавая суперпозицию состояний, анализатор фактически
обеспечивает возникновение неразличимых альтернатив, причём
57
число альтернатив равно числу базисных состояний в данной
суперпозиции.
Наконец на последнем регистрирующем этапе микрообъект
взаимодействует с неким макротелом, способным изменить свое
состояние под воздействием микрообъекта. Такое макротело
называют детектором.
Роль детектора сводится к тому, чтобы выяснить поведение
микрообъекта в той суперпозиции состояний, какую создал
анализатор. Например, через какую именно щель прошел конкретный
электрон? Детектор обнаруживает микрообъект всякий раз в каком-то
одном из состояний, составляющих суперпозицию. Это совершается
ценой разрушения суперпозиции. Учитывая сделанные ранее
замечания, заключаем, что детектор превращает неразличимые
альтернативы в различимые и тем самым разрушает интерференцию
амплитуд переходов. На этапе регистрации происходит обнаружение
микрообъекта в том или ином из базисных состояний, образующих
суперпозицию.
Абстрактная "схема" второго и третьего этапов измерительного
процесса может быть представлена условно в следующем виде:
s ⎯
⎯→
1 ∑ βi βi s ⎯
⎯→ β j .
2 (3.23)
i
Стрелка 1 отвечает рабочему, а стрелка 2 – регистрирующему
этапу.
Выделим из "схемы" (3.23) регистрирующий этап, на котором
микрообъект взаимодействует с детектором
∑ βi β i s ⎯⎯→ β j .
2 (3.24)
i
Часто говорят, что выражение (3.24) описывает "стягивание"
суперпозиции ∑ βi βi s к состоянию β j . Этот процесс известен
i
также как "редукция волнового пакета".
Итак, если анализатор создаёт определённую суперпозицию
состояний, то детектор её разрушает, "стягивая" к одному из
состояний. Очевидно, что если "схема" (3.23) испытана на одном
микрообъекте, то о получении какой-либо полезной информации
говорить трудно. Надо повторить измерительный акт для достаточно
большого числа микрообъектов. В этом случае наблюдатель может
58
выяснить, во-первых, какие значения величин β-набора реализуются
на практике, и, во-вторых, как часто микрообъект обнаруживается в
том или ином β-состоянии. Это позволяет экспериментально
определить, во-первых, спектр значений величин β-набора и, во-
2
вторых, вероятности < βi s > .
Таким образом, можно сделать вывод, что процесс измерения
радикально воздействует на микрообъект.
В квантовой физике нельзя пренебречь взаимодействием
микрообъекта с окружающей его обстановкой.
3.4. Волновая функция
Волновая функция и амплитуда вероятности – это одна и
та же сущность.
Представление об амплитуде вероятности более удобно при
рассмотрении физики микрообъектов. Волновую функцию чаще
используют, переходя к математическому аппарату квантовой теории.
Волновая функция как амплитуда вероятности состояния.
Пусть f – состояние микрообъекта, отвечающее локализации его в
точке с координатой х (для простоты используется одномерная
ситуация). Тогда f s может рассматриваться как амплитуда
вероятности того, что микрообъект, находящийся в состоянии s ,
имеет координату х. Сделаем уточнение, состоящее в том, что надо
учитывать непрерывность изменения пространственной координаты.
Поэтому вместо вероятности найти микрообъект точно в точке х надо
рассматривать вероятность найти его в интервале от x до x + dx . Эта
вероятность может быть представлена в виде
2
dω s ( x ) = f s dx . (3.25)
Следовательно, функция f s , строго говоря, представляет не
амплитуду вероятности, а амплитуду плотности вероятности.
Величину f s часто называют волновой функцией и
обозначают, например, как Ψs (x ) . Итак,
Ψs (x ) = f s . (3.26)
С учетом (3.26) перепишем (3.25) в виде
59
2
dωs ( x ) = Ψs (x ) dx . (3.27)
2
Из (3.27) видно, что Ψs ( x ) представляет плотность
вероятности обнаружить в точке х микрообъект, который находится в
состоянии s .
С математической точки зрения волновая функция Ψs (x )
является параметрической функцией. Роль параметра играют
значения тех величин, которые точно определены в состоянии s .
Учитывая сделанные ранее замечания о структуре амплитуд
состояний, можно сказать, что аргументом волновой функции служат
величины одного полного набора, а её параметром – величины
другого набора.
Принято говорить, что Ψs (x ) есть собственная функция
величин s-набора, заданная в представлении, определяемом
величинами x-набора (или проще: в x-представлении).
60
4. ОСНОВНЫЕ ПОНЯТИЯ КВАНТОВОЙ ФИЗИКИ
Остановимся на основных понятиях квантовой физики: кубиты,
преобразования одного кубита, перепутывание, квантовая
неразличимость и неравенство Белла.
4.1. Кубит
Для выполнения классических вычислений необходима
физическая система, имеющая два устойчивых состояния. Между
этими состояниями должен быть достаточно большой энергетический
барьер, чтобы система не могла спонтанно переходить из одного
состояния в другое. Например, в транзисторно-транзисторной логике
(TTL) уровню логического “0” (низкий уровень) соответствуют
сигналы, принадлежащие диапазону напряжений −0,36<U0<0,5 В, а
уровню логической “1” – 2,4<U1<5,5 В. В булевой алгебре им
соответствуют понятия “ЛОЖЬ” (“FALSE”) и “ИСТИНА” (“TRUE”).
В радиоэлектронике два устойчивых состояния имеет триггер.
Битом называется система, которая может принимать два
значения: «0» и «1».
В классической реализации бит, который можно себе
представить просто механическим переключателем, есть система,
имеющая два четко различимых состояния. Между ними должен
быть достаточно большой энергетический барьер, чтобы система не
могла спонтанно переходить из одного состояния в другое, что было
бы, пагубным эффектом.
Квантовый аналог бита или сокращённо кубит должен,
следовательно, также быть системой из двух базовых состояний: 0 и
1 .
Кубитом (qubit, Quantum Bit или q-бит) может являться
практически любая квантовая система, имеющая, по меньшей
мере, два состояния.
Двум значениям кубита могут соответствовать, например,
основное и возбужденное состояния атома, направления вверх и вниз
спина атомного ядра, направление тока в сверхпроводящем кольце,
два возможных положения электрона в полупроводнике,
горизонтальная или вертикальная поляризации фотона и т. п.
61
Единичный кубит представляет собой состояние
двухуровневой системы.
Необходимая черта квантовых состояний, используемых в
качестве кубитов, – это свойства когерентности и суперпозиции. При
этом произвольное состояние кубита выражается как
Q = α 0 +β1 , (4.1)
где α и β – комплексные коэффициенты (амплитуды состояний),
которые удовлетворяют условию нормировки
2 2
α + β = 1.
Кубит – это когерентная суперпозиция двух различимых
квантовых состояний.
Соотношение (4.1) означает не то, что значение кубита лежит
где-то посередине между состояниями 0 и 1 , а то, что кубит
находится в когерентной суперпозиции двух базовых состояний.
Если измерить значение кубита, то найдём, что кубит с
2
вероятностью α находится в состоянии 0 , и с
2 2
вероятностью β = 1 − α – в состоянии 1 .
С учётом сделанных замечаний найдём, что вероятности
нахождения кубита в состояниях 0 или 1 определяются
формулами:
P( 0 ) = α 2 ;
(4.2)
P( 1 ) = β = 1 − α .
2 2
Несмотря на то, что по определению кубита, его свойства

кажутся неопределёнными, следует понимать, что выражение (4.1)
описывает когерентную суперпозицию квантовых состояний 0 и 1 .
Важное отличие когерентной суперпозиции от
некогерентной смеси состоит в том, что для когерентной
суперпозиции всегда существует базис, в котором значение
кубита строго определено, тогда как некогерентная смесь – это
смесь, каким бы образом её не описывали.
62
Для простоты рассмотрим конкретное состояние кубита
1
Qк = ( 0 + 1 ). (4.3)
2
Выражения (4.2) и (4.3) показывают, что с вероятностью 0,5
кубит будет найден в состоянии либо 0 , либо 1 .
Интересно, что в базисе, повернутом в гильбертовом
π
пространстве на = 45o , значение кубита строго определено.
4
Действительно, пусть в качестве базисных состояний выбраны
π
состояния + =
1
( 0 + 1 ) и − π = 1 ( 0 − 1 ). Утверждение об
4 2 4 2
определённости значения кубита в новом базисе доказывается
следующим образом.
Применим к кубиту (4.3) преобразование вида
1
H0 = ( 0 + 1 ); H 1 = 1 ( 0 − 1 ). (4.4)
2 2
Тогда H Q к = 0 . Следовательно, значение кубита строго
определено и не флуктуирует при измерениях. Новые базисные
π π
состояния + и − являются ортогональными, поскольку
4 4
π π
+ − = 0.
4 4
Прямой аналогией рассмотренным преобразованиям являются
преобразования поляризации в оптике. Если оптическое излучение
имеет эллиптическую поляризацию, то всегда можно с помощью
фазовой пластинки λ/2 привести это состояние к линейной
поляризации (H или V). Этого, очевидно, нельзя сделать с
неполяризованным светом. Преобразования (4.4) переводят
горизонтальную поляризацию в +450, а вертикальную – в −450.
4.2. Преобразование Адамара
Одно из основных преобразований в науке о квантовой
информации – это так называемое преобразование Адамара, которое
действует на кубит следующим образом:
63
1
H0 → ( 0 + 1 ),
2
(4.5)
1
H1 → ( 0 − 1 ).
2
Применим преобразование Адамара (4.5) к кубиту (4.3)
⎛ 1
H Q к = H⎜ ( 0 + 1 )⎞⎟ = 1 (H 0 + H 1 ) =
⎝ 2 ⎠ 2
1 ⎛ 1
= ⎜ ( 0 + 1 ) + 1 ( 0 2 − 1 )⎞⎟ = 1 ( 0 + 1 + 0 − 1 ) = 0 .
2⎝ 2 2 ⎠ 2
Следовательно,
H Qк → 0 . (4.6)
Формула (4.6) указывает на строго определённое значение
кубита. Это было бы невозможно сделать с некогерентной смесью.
4.3. Преобразования одного кубита
Базовыми экспериментальными операциями в квантовой
криптографии являются преобразования одного кубита
(однокубитовые преобразования), осуществляемые с помощью
логических элементов (англоязычный термин "gate"): направленного
ответвителя, фазовращателя, квантового элемента НЕ.
Остановимся подробнее на принципе действия квантовых
логических элементов на волоконно-оптических структурах.
4.3.1. Волоконный ответвитель X-типа
Одним из наиболее важных пассивных компонентов ВОЛС
являются волоконные ответвители (ВО), которые относятся к
устройствам, выполняющим пространственное разделение
оптического сигнала по нескольким каналам или объединение
сигналов различных каналов в один канал.
Среди волоконных ответвителей особое место занимает
четырёхпортовый ответвитель X-типа, имеющий два входных (1 и 2)
и два выходных (3 и 4) порта (рис. 4.1). Входные и выходные порты в
ответвителе могут меняться местами.
Волоконные ответвители конструктивно представляют собой
два оптических волокна (ОВ), имеющих участок соприкосновения
64
сердцевин. За счёт этого удаётся осуществить ответвление части
оптической энергии из одного входного порта ответвителя в каждый
из двух выходных портов ответвителя.
PВО1 Возможные PВО3
1 траектории распространения 3
|0〉вх фотонов с порта 1 |0〉вых
PВО2 PВО4
2 4
|1〉вх Возможные |1〉вых
Входные порты траектории распространения Выходные порты
ответвителя фотонов с порта 2 ответвителя
Рис. 4.1. Волоконный ответвитель X-типа

Если на входной порт 1 ответвителя X-типа (рис. 4.1) подать
оптический сигнал с мощностью PВО1 , то на его выходных портах 3 и
4 будут действовать оптические сигналы с мощностями:
− 0,1γ ВО [ дБ ]
PВО3 = K ВО13 PВО1 ⋅ 10 ;
(4.7)
− 0,1γ ВО [ дБ ]
PВО4 = K ВО14 PВО1 ⋅ 10 .
Здесь коэффициенты ответвления K ВОab определяют, какая часть
мощности излучения поступает с входного порта a в выходной порт b
в случае идеального ВО. Коэффициенты ответвления ВО X-типа
удовлетворяют условию KВО13 = 1 − KВО14.
В реальных ответвителях всегда присутствуют потери энергии
оптического излучения, которые выражаются в том, что суммарная
мощность излучения на выходных портах 3 и 4 ВО не совпадает с
мощностью входного излучения. Указанные потери учитываются в
формулах (3) параметром γ ВО .
Аналогично, если на входной порт 2 ответвителя X-типа
(рис. 4.1) подать оптический сигнал с мощностью PВО 2 , то на его
выходных портах 3 и 4 будут действовать оптические сигналы с
мощностями:
− 0,1γ ВО [ дБ ]
PВО3 = K ВО 23 PВО2 ⋅ 10 ;
(4.8)
− 0,1γ ВО [ дБ ]
PВО4 = K ВО 24 PВО2 ⋅ 10 .
65
При одновременной подаче на 1-й и 2-й входные порты
ответвителя Х-типа оптических сигналов с мощностями PВО1 и PВО 2
(рис. 4.1) на его выходных портах 3 и 4 появляются оптические
излучения с мощностями:
− 0,1γ ВО [ дБ ]
PВО3 = [K ВО13 PВО1 + K ВО 23 PВО2 ] ⋅ 10 ;
(4.9)
− 0,1γ ВО [ дБ ]
PВО4 = [K ВО14 PВО1 + K ВО 24 PВО2 ] ⋅ 10 .
Коэффициенты ответвления ВО X-типа всегда удовлетворяют
условию
K ВО13 = 1 − K ВО14 и K ВО23 = 1 − K ВО24 .
Для идеального четырёхпортового волоконного ответвителя X-
типа принимаем равенство всех коэффициентов ответвления
K ВО13 = K ВО14 = K ВО23 = K ВО24 = 0,5 .
Следовательно, для идеального четырёхпортового волоконного
ответвителя X-типа при одновременной подаче на 1-й и 2-й входные
порты ответвителя Х-типа оптических сигналов с мощностями PВО1
и PВО 2 на его выходных портах 3 и 4 появляются оптические
излучения с мощностями:
− 0 ,1γ ВО [ дБ ]
PВО3 = PВО4 = 0,5[PВО1 + PВО2 ] ⋅ 10 . (4.10)
Из формулы (4.10) следует, что идеальный волоконный
ответвитель X-типа перераспределяет поровну между двумя
выходными портами 3 и 4 оптическое излучение, поступающее на
любой из двух входных портов 1 и 2 устройства.
Исследуем, как работает четырёхпортовый волоконный
ответвитель X-типа с равными коэффициентами ответвления
K ВО13 = KВО14 = KВО23 = KВО24 = 0,5 при приёме отдельных
фотонов. Условие равенства коэффициентов ответвления указывает
на то, что если фотон поступает на входной порт 1 или 2 ответвителя,
то он может появиться на выходном порте 3 или 4 с одной и той же
вероятностью 0,5.
Будем полагать, что в ответвителе отсутствуют внутренние
потери энергии оптического излучения, т. е. γ ВО = 0 дБ. Это говорит
о том, что фотоны не поглощаются внутри анализируемого
ответвителя.
66
Пусть состояние 0 вх соответствует появлению фотона на
входном порте 1, а состояние 1 вх – на входном порте 2. Аналогично
состояние 0 вых соответствует появлению фотона на выходном
порте 3, а состояние 1 вых – на выходном порте 4.
Снова предположим, что состояния на входных портах 1 и 2 –
это произвольный кубит
Q вх = α 0 вх + β 1 вх . (4.7)
Для случая одного фотона это означает, что α – это амплитуда
вероятности появления фотона на входном порте 1, а β – амплитуда
вероятности появления фотона на входном порте 2 ответвителя.
Работа волоконного ответвителя X-типа может быть описана
преобразованием Адамара (4.5).
Тогда состояния фотонов на выходе ответвителя могут
описываться кубитом Q вых = H Q вх . Осуществив преобразование
( )
Q вых = H Q вх = H α 0 вх + β 1 вх = αH 0 вх + βH 1 вх =
= αH 0 вх + βH 1 вх =
α
2
(
0 вых + 1 вых +
β
)
2
( )
0 вых − 1 вых ,
находим
Q вых = H Q вх =
1
2
( )
(α + β) 0 вых + (α − β) 1 вых . (4.8)
Из формулы (4.8) следует, что амплитуда вероятности

обнаружить фотон на верхнем выходном порте 3 (состояние 0 вых )
равна теперь (α + β ) , а амплитуда вероятности обнаружить фотон на
нижнем выходном порте 4 (состояние 1 вых ) равна (α − β ) .
На рис. 4.2 дано условное обозначение четырёхпортового
волоконного ответвителя X-типа как устройства, осуществляющего
преобразование Адамара.
|Q〉вх |Q〉вых
H
Рис. 4.2. Условное обозначение устройства преобразования Адамара

67
Исследуем, как работает четырёхпортовый волоконный
ответвитель X-типа с равными коэффициентами ответвления
K ВО13 = KВО14 = KВО23 = KВО24 = 0,5 при приёме отдельных
фотонов. Условие равенства коэффициентов ответвления указывает
на то, что если фотон поступает на входной порт 1 или 2 ответвителя,
то он может появиться на выходном порте 3 или 4 с одной и той же
вероятностью 0,5.
В частном случае α = β фотон будет обязательно обнаружен на
верхнем выходном порте 3 (состояние 0 вых ) и никогда не будет
обнаружен на нижнем выходном порте 4 (состояние 1 вых ).
4.3.2. Разделительный волоконный ответвитель Y-типа

Частным случаем четырёхпортового волоконного ответвителя
X-типа является разделительный волоконный ответвитель Y-типа
(рис. 4.3) с тремя портами. Ответвитель имеет один входной (1) и два
выходных (2 и 3) порта.
В ответвителе удаётся осуществить ответвление части
оптической энергии из входного порта в каждый из двух выходных
портов ответвителя.
PВО2
Возможные траектории 2
PВО1 |0〉вых
1 распространения фотона
|0〉вх PВО3
3
Входной порт |1〉вых
ответвителя
Выходные порты
ответвителя
Рис. 4.3. Разделительный волоконный ответвитель Y-типа
Если на входной порт 1 разделительного ответвителя Y-типа
(рис. 4.3) подать оптический сигнал с мощностью PВО1 , то на его
выходных портах 2 и 3 будут действовать оптические сигналы с
мощностями:
− 0,1γ ВО [ дБ ]
PВО2 = K ВО12 PВО1 ⋅ 10 ;
(4.9)
− 0,1γ ВО [ дБ ]
PВО3 = K ВО13 PВО1 ⋅ 10 .
Здесь коэффициенты ответвления K ВО1b определяют, какая часть
мощности излучения поступает с входного порта 1 в выходной порт b
68
в случае идеального ВО. Коэффициенты ответвления ВО Y-типа
удовлетворяют условию KВО12 = 1 − KВО13.
Для идеального трёхпортового волоконного ответвителя Y-типа
принимаем равенство коэффициентов ответвления
KВО12 = KВО13 = 0,5 . В этом случае из формулы (4.9) следует, что
идеальный волоконный ответвитель X-типа перераспределяет
поровну между двумя выходными портами 2 и 3 оптическое
излучение, поступающее на входной порт 1 устройства.
Исследуем работу разделительного волоконного ответвителя Y-
типа при приёме отдельных фотонов. Условие равенства
коэффициентов ответвления указывает на то, что если фотон
поступает на входной порт 1 ответвителя, то он может появиться на
выходном порте 2 или 3 с одной и той же вероятностью 0,5, как и
ранее будем полагать, что фотоны не поглощаются внутри
ответвителя.
Пусть состояние 0 вх соответствует появлению фотона на
входном порте 1. Состояние 0 вых соответствует появлению фотона
на выходном порте 2, а состояние 1 вых – на выходном порте 3.
Снова предположим, что состояния на входном порте 1 – это
произвольный кубит (4.7) при условии, что α = 1 и β = 0 .
Из формулы (4.8) при α = 1 и β = 0 находим, что
Q вых =
1
2
(
0 вх + 1 вых .) (4.10)
Фотон с равной вероятностью 0,5 можно обнаружить на любом

из двух выходных портов 2 или 3.
Разделительный волоконный ответвитель Y-типа
интересен тем, что моделирует ситуацию
несанкционированного съёма информации с квантового канала.
Из формулы (4.10) следует, что только половину всех фотонов
может перехватить злоумышленник. При этом законный
пользователь, контролируя частоту приёма фотонов, может
обнаруживать факт несанкционированного съёма информации
с квантового канала.
69
4.3.3. Последовательное соединение двух волоконных
ответвителей X-типа
Следующим важным элементом квантового канала связи
являются интерферометры Маха-Цандера с фиксированной фазовой
задержкой между двумя плечами, которые построены на основе
последовательного соединения двух одинаковых четырёхпортовых
ответвителей X-типа (рис. 4.4).
PВО1 PВО3 PВО5 PВО7
1 ВО1 3 5 ВО2 7
|0〉вх |0〉вых
2 4 6 8
Входные Выходные
порты порты
Рис. 4.4. Последовательное соединение двух ответвителей X-типа
Интерферометр Маха-Цандера реализует два последовательных
преобразований Адамара (рис. 4.5), действующих на произвольный
кубит на входе (4.7).
|Q〉вх |Q〉пром |Q〉вых
H H
Рис. 4.5. Последовательность из двух преобразований Адамара

Применив двойное преобразование Адамара к входному кубиту
(4.7), находим
⎛α+β α −β ⎞
Q вых = HH Q вх = H⎜ 0 пром + 1 пром ⎟ = Q вх .
⎝ 2 2 ⎠
Следовательно,
Q вых = Q вх . (4.11)
Формула показывает, что интерферометр Маха-Цандера, в
котором последовательно осуществляется двойное преобразование
Адамара, на выходе воспроизводит то состояние, которое он имеет на
входе.
Двойное применение преобразования Адамара есть
тождественная операция.
Рассмотрим частный случай, когда на входе имеется только
одно состояние (α=1, β=0). Тогда, согласно (4.11), фотон будет
70
обнаружен на верхнем порте выходного ответвителя. Хотя внутри
интерферометра фотон имеет одинаковые вероятности появиться на
любом выходном порте 3 или 4 первого ответвителя (см. рис. 4.4).
Дело в том, что выходные амплитуды вероятности определяются
относительной фазой, набегающей в интерферометре.
В теории квантовой информации рассмотренный эффект
формулируется так.
Кубит на выходе интерферометра Маха-Цандера имеет
определённое значение, если и только если кубит на входе
также имеет определённое значение.
Это свойство проявляется только потому, что в промежутке
между двумя преобразованиями Адамара значение кубита было
максимально неопределённо.
4.3.4. Интерферометр Маха-Цандера с фазовращателем
Ещё одним важным квантовым логическим элементом, помимо
элемента Адамара, является фазовращатель.
На рис. 4.6 фазовращатель дополнительно введён в
интерферометр Маха-Цандера. Его функция состоит в том, чтобы
просто совершить сдвиг фазы Φ фотона с одного из выходных портов
первого волоконного ответвителя X-типа.
1 ВО1 3 ФВ 5 ВО2 7
2 4 6 8
Входные Выходные
порты порты
Рис. 4.6. Интерферометр Маха-Цандера с фазовращателем

На рисунке сдвиг фазы фотона производится с верхнего порта
входного волоконного ответвителя X-типа, поскольку важна только
относительная фаза.
Интерферометр Маха-Цандера с фазовращателем реализует
последовательное первое преобразование Адамара, сдвиг фазы,
второе преобразование Адамара (рис. 4.7), действующих на
произвольный кубит на входе (4.7).
71
|Q〉вх |Q〉пром |Q〉ФВ |Q〉вых
H Ф H
Рис. 4.7. Последовательность из первого преобразования Адамара,

сдвига фазы и второго преобразования Адамара
Согласно рис.4.6, действие фазовращателя можно описать
преобразованием
Φ 0 = exp( jΦ ) 0 ;
(4.12)
Φ1 = 1 .
Следовательно, кубит на выходе интерферометра Маха-Цандера
с фазовращателем можно вычислить, последовательно применяя три
логических операции к входному кубиту (4.7):
Q вых = HΦ H Q вх . (4.13)
Рассмотрим частный случай, когда только на один входной порт
интерферометра воздействует фотон.
Пусть фотон поступает на верхний порт входного волоконного
ответвителя X-типа. Это позволяет в формуле для описания входного
кубита (4.7) полагать, что α = 1 и β = 0 . Следовательно, входной
кубит Q вх = 0 вх тождественен состоянию 0 вх .
Тогда конечное состояние становится
exp( jΦ ) + 1 exp( jΦ ) − 1
Q вых = HΦH 0 = 0 + 1. (4.14)
2 2
Из выражения (4.14) видно, что если сдвиг фаз Φ = 0 , то
значение кубита определено Q вых = 0 вых .
В другом частном случае, когда сдвиг фаз Φ = π , значение
кубита также определено Q вых = 1 вых и соответствует состоянию
1 вы х .
изменяя сдвиг фаз с помощью фазовращателя в
интерферометре Маха-Цандера, можно переключать
состояние выходного кубита между двумя значениями.
72
В общем случае, вероятность того, что выходной кубит Q вых
Φ
имеет значение 0 вых , равна Pr{ 0 } = cos 2 , а вероятность того, что
2
Φ
он имеет значение 1 вых , равна Pr{1 } = sin 2 .
2
4.4. Преобразования двух кубитов
Рассмотрим источник, который испускает пару фотонов так, что
один из них летит налево, а другой – направо (источник S на рис. 4.8).
|0〉1 |0〉2
3 ВО1 1 ФВ ФВ 1 ВО2 3
|0〉вых1 |0〉вых2
Ψ |1〉1 |1〉2 Ф
4 2 S 2 4
|1〉вых1 |1〉вых2
Выходные Выходные
порты 1 порты 2
Рис. 4.8. Принцип перепутывания

Источник таков, что фотоны испускаются с противоположными
импульсами. Если фотон, летящий налево (назовем его фотоном 1),
обнаружен на верхнем порте, то фотон 2, летящий направо, будет
обязательно обнаружен на нижнем порте. И наоборот, если фотон
1 найден на нижнем порте, то фотон 2 будет обязательно найден на
верхнем порте. Можно говорить, что в анализируемом случае два
фотона несут противоположные значения битов. Если фотон 1 несет
«0», то фотон 2 – «1», и наоборот. В квантовой механике говорят в
этом случае о двуфотонном состоянии вида
Ψ12 =
1
(
0 1 + 11 0 2 .
2 1 2
) (4.15)
Уравнение (4.15) описывает то, что называют перепутанным

состоянием. Оно интересно тем, что ни один из двух кубитов не несёт
определённого значения, но, как следует из вида квантового
состояния, как только один из двух кубитов будет подвергнут
измерению (результат которого будет совершенно случайным), то
сразу окажется, что другой несет определённое значение.
Говорят, что в этом проявляется загадка квантовой
нелокальности, так как во время измерения два кубита могут быть
удалены друг от друга на произвольно большое расстояние.
73
Чтобы понять природу перепутывания и способы его создания,
надо осознать, что состояния общего вида (4.15) представляют
суперпозиции произведений независимых состояний. Вспомним
обсуждение явления дифракции на двух щелях, где суперпозиция
означала, что не существует способа сказать, какая из двух
возможностей, формирующих эту суперпозицию, имеет место на
самом деле.
Это же правило надо применить, чтобы понять квантовое
перепутывание. Например, для состояния (4.15) нет способа сказать,
несёт ли кубит 1 значение «0» или «1», и, аналогично, несёт ли кубит
2 значение «0» или «1». Но, если измерить один кубит, второй
немедленно примет четко определённое квантовое состояние.
Эти наблюдения приводят нас прямо к условиям того, как
создавать и наблюдать перепутанные квантовые состояния.
Во-первых, можно создать такой источник, что, в силу его
физического устройства, появляющиеся квантовые состояния уже
будут иметь свойство неразличимости. Это реализуется, например,
распадом частицы со спином 0 на две частицы со спином 1/2 с
сохранением внутреннего момента импульса. В этом случае спины
возникающих частиц должны быть противоположными, и, если нет
дальнейших механизмов, позволяющих различить возможности
прямо у источника, появляющееся квантовое состояние есть
Ψ12 =
1
2
(
↑ ↓ +↓ ↑ .
1 2 1 2
) (4.16)
Здесь, например, ↑ обозначает частицу 1 со спином вверх.

1
Состояние (4.16) обладает замечательным свойством
вращательной инвариантности: два спина антипараллельны
относительно какого бы направления их ни измеряли.
Вторая возможность создания и наблюдения перепутанных
квантовых состояний состоит в том, что источник может на самом
деле создавать состояния в виде индивидуальных компонент в
суперпозиции (4.15), но состояния могут быть всё равно каким-то
образом различимы. Это происходит, например, при
параметрическом рассеянии, где состояния фотонов вдоль
определённого выбранного направления равны
H 1 V 2 и V 1 H 2. (4.17)
74
Это означает, что либо фотон 1 поляризован горизонтально, а
фотон 2 – вертикально, либо фотон 1 поляризован вертикально, а
фотон 2 – горизонтально. Тем не менее из-за разной скорости света
внутри параметрического кристалла преобразователя для
горизонтально и вертикально поляризованных фотонов временная
корреляция между двумя фотонами в этих двух случаях разная.
Следовательно, с помощью измерений во времени можно различить
два члена в (4.17). Из-за потенциальной возможности различить эти
два случая не возникает перепутанного состояния.
Однако даже и в такой ситуации можно создать перепутывание,
смещая два созданных фотонных волновых пакета друг относительно
друга таким образом, чтобы они перестали быть различимыми
благодаря своему положению во времени. Фактически это означает
применение техники квантового стирания, в которой маркер – в
данном случае, относительный порядок во времени – стирается, так
что получается состояние с квантовой неразличимостью, которое
является перепутанным
Ψ12 =
1
2
( )
H 1 V 2 + exp( jχ ) V 1 H 2 . (4.18)
Третье средство получить перепутанные состояния – это

спроектировать неперепутанное состояние на перепутанное.
Отметим, что перепутанное состояние никогда не ортогонально ни
одной из своих компонент. Например, рассмотрим источник,
создающий неперепутанное состояние
0 1 1 2. (4.19)
Предположим, что это состояние теперь проходит через фильтр,
описываемый оператором проецирования
P = Ψ 12 Ψ 12 , (4.20)
где Ψ 12 – это состояние (4.15).
Тогда появляется следующее состояние:
1
2
( )( ) 1
( )
0 11 2 + 11 0 2 0 11 2 + 11 0 2 0 11 2 = 0 11 2 + 11 0 2 .
2
(4.21)
Это состояние более не нормировано на единицу, так как
действие оператора проецирования приводит к потере кубитов.
75
Каждый из рассмотренных методов может быть в принципе
использован для создания перепутанных состояний. Возможно также
создавать перепутывание путем наблюдения состояния.
76
5. ПРИНЦИП НЕОПРЕДЕЛЁННОСТИ
5.1. Принцип неопределённости Гейзенберга
Максимально достижимая точность измерений ограничена
принципом неопределённости, сформулированным Вернером
Гайзенбергом в 1927 г.
В квантовой физике принципом неопределённости
Гейзенберга называют закон, который устанавливает ограничение на
точность одновременного измерения переменных состояния.
Принцип неопределённости точно определяет меру
неопределённости, давая нижний (ненулевой) предел для
произведения дисперсий измерений.
5.2. Соотношения неопределённостей
Количественные соотношения, выражающие этот принцип в
конкретных случаях, называют соотношениями
неопределённостей.
Наиболее распространенная формулировка принципа
неопределённости заключается в том, что невозможно одновременно
точно измерить координату х и соответствующую проекцию
импульса p x частицы.
Рассмотрим следующий эксперимент. Пусть частица находится
в определённом состоянии. Экспериментатор выполняет два
последовательных измерения. Первое измерение определяет
положение частицы по оси 0х, а второе – проекцию импульса p x
частицы на эту ось импульс. Предположим также, что процесс
измерения (применения оператора) таков, что в каждом испытании
первое измерение даёт то же самое значение с очень маленьким
среднеквадратичным отклонением Δх от среднего значения x. Тогда
второе измерение даёт распределение значений px ,
среднеквадратичное отклонение которого Δp x будет обратно
пропорциональна Δх .
Неопределённости Δp x и Δх связаны соотношением
h h
ΔxΔp х ≥ = . (5.1)
4π 2
77
Величина h является постоянной Планка h = 6,628 ⋅ 10 − 34 Дж/с,
делённой на 2π.
Заметим, что в соотношении неопределённостей (5.1) под Δp x и
Δх должны пониматься среднеквадратичные отклонения от средних
значений.
В терминах квантовой механики процедура измерения привела
частицу в смешанное состояние с определённой координатой. Любое
измерение импульса частицы обязательно приведёт к дисперсии
значений при повторных измерениях. Кроме того, если после
измерения импульса измерить координату, то тоже получим
дисперсию значений.
Неопределённость (5.1) можно интерпретировать как результат
воздействия процесса измерения на измеряемый физический объект.
Акт обследования воздействует на исследуемую систему.
Первое соотношение неопределённостей ограничивает
точности одновременного измерения координат и
соответствующих проекций импульса частицы.
Соотношение (5.1) утверждает, что если положение частицы,
например, по оси 0x известно с неопределённостью Δх , то в тот же
момент проекцию импульса частицы на эту же ось можно измерить
только с неопределённостью
h
Δp х ≥ .
4πΔx
Заметим, что эти ограничения не касаются одновременного
измерения координаты частицы по одной оси и проекции импульса –
по другой. Следовательно, величины x и Δp y или y и Δp z могут
иметь одновременно точные значения.
Отметим, что неравенство (5.1) даёт несколько возможностей.
Состояние может быть таким, что координата x может быть измерена
с высокой точностью, но тогда p x будет известен только
приблизительно. Или наоборот, проекция импульса p x может быть
определена точно, в то время как положение частицы x – нет.
Во всех же других состояниях положение частицы x и проекция
импульса p x могут быть измерены с «разумной» (но не произвольно
высокой) точностью.
78
В общем случае принцип неопределённости может быть
сформулирован и для других пар физических величин, например для
энергии системы и времени, в течение которого система находится в
состоянии с этой энергией:
h h
ΔEΔt ≥ = . (5.2)
4π 2
Второе соотношение неопределённостей устанавливает
неопределённость измерения энергии за данный промежуток
времени.
5.3. Особенности проявления принципа неопределённости
при приёме фотонов
Процессы приёма фотонов являются частными случаями
измерений. Действительно, для извлечения информации,
содержащейся в сигнале, необходимо выполнить измерение
(определить напряжение, ток, мощность, частоту или какой-нибудь
другой параметр системы).
Так как энергия E = hfоптn и фаза Φ = 2πf опт t сигнала, то,
используя равенства ΔE = hΔf оптΔn и ΔΦ = 2πΔf оптΔt , находим
1
ΔnΔΦ ≥ . (5.3)
2
Выражение (5.3) определяет степень точности измерения числа
фотонов n и их фазы Φ в некотором состоянии.
Принцип неопределённости может быть применён для
нахождения минимально возможного уровня шума
фотоэмиссионных детекторов (ФЭУ, диссектор). Действительно,
информация о фазе сигнала в фотоэмиссионных детекторах теряется
сразу же после детектирования. Несмотря на это имеется
ограничение на точность времени измерения
h h
Δt изм ≥ = . (5.4)
4πΔE 2ΔE
Можно считать, что неопределённость значения энергии ΔE
равна hΔfоптΔn , где Δfопт – ширина полосы источника и Δn –
неопределённость в числе принимаемых фотонов.
79
Известно, что если Δfопт – ширина полосы источника, то
время, необходимое для разрешения сигнала, составляет
1
Δt разр ≥ . (5.5)
2πΔf опт
Используя соотношение (5.4) и (5.5), получим
h Δt разр
Δt изм ≥ ≥ . (5.6)
4πΔf опт Δn 2 Δn
В оптимальном случае
Δt разр
Δt изм = . (5.7)
2 Δn
Вследствие дискретности фотонов минимально возможное
значение неопределённости в числе принимаемых фотонов равно
Δn = 1. Из формулы (5.7) находим
Δt разр
Δt изм = .
2
Это свидетельствует о том, что ограничения, обусловленные
принципом неопределённости, могут возникнуть в приёмных
системах с минимально возможным уровнем сигнала. Если число
фотонов велико, то из формулы (5.7) следует, что точность времени
измерения Δt изм принимает меньшие значения.
5.4. Особенности проявления принципа неопределённости

при размножении фотонов
Оптический усилитель, поскольку на него также
распространяется действие принципа неопределённости, обладает
шумом.
Пусть эффективная ширина полосы передаваемого сообщения
равна Π с .
В соответствии с принципом неопределённости мощность шума
на выходе идеального оптического усилителя с коэффициентом
усиления Gопт можно записать в виде
N = (G опт − 1)hfоптΠ с . (5.8)
80
Эффективная шумовая температура оптического усилителя
Tэф.ОУ может быть получена из сравнения этой мощности N с
мощностью излучения черного тела при температуре Tэф.ОУ :
hf опт Π с ⎛ 1 ⎞
= ⎜⎜1 − ⎟⎟hf опт Π с .
⎛ hf опт ⎞ ⎝ G опт ⎠ (5.9)
exp⎜ ⎟ −1
⎜ kTэф.ОУ ⎟
⎝ ⎠
Решив это уравнение относительно Tэф.ОУ , получим
hf опт 1
Tэф.ОУ = .
kБ ⎛ 1 ⎞
⎜2− ⎟
G опт (5.10)
ln⎜ ⎟
⎜ 1 ⎟
⎜ 1 − ⎟
⎝ G опт ⎠
Если G опт >> 1, то
hf опт
Tэф.ОУ = . (5.11)
k Б ln 2
Неопределённость в числе фотонов n вых на выходе оптического
усилителя, связанная с оптическим усилителем, равна
2
Δn вых = (G опт − 1)n вых . (5.12)
Выражение (5.12) для среднего квадрата флуктуации фазы на
выходе оптического усилителя имеет вид
2 G −1
ΔΦ вых = опт . (5.13)
4n вых
Вычисляя флуктуации числа фотонов n вх и фазы Φ вх на входе
оптического усилителя, получим
2 ⎛ 1 ⎞
Δn вх = ⎜⎜1 − ⎟⎟n вх (5.14)
⎝ G опт ⎠
и
81
1
1−
2 G опт (5.15)
ΔΦ вх = .
4n вых
При выводе формул (5.14) и (5.15) использованы соотношения
2
2 Δn вых
n вых = G оптn вх и Δn вх = .
2
G опт
В случае большого коэффициента усиления из равенств (5.14) и
(5.15) следует, что неопределённости в числе фотонов и фазе связаны
соотношением
G
ΔΦ вых Δn вых = опт (5.16)
2
и
1
ΔΦ вх Δn вх = . (5.17)
2
Величины, определяемые равенствами (5.16) и (5.17), относятся к
самому оптическому усилителю и являются минимально возможными с
точки зрения принципа неопределённости. Они указывают на то, что
уровень шума в малошумящем оптическом усилителе
таков, что можно использовать неидеальный фотодетектор.
82
6. КВАНТОВАЯ КРИПТОГРАФИЯ
6.1. История квантовой криптографии
Стивен Визнер (Stephen Wiesner), являясь студентом
Колумбийского университета, в 1970 году подал статью по теории
кодирования в журнал «IEEE Information Theory», которая не была
опубликована, так как изложенные в ней предположения казались
фантастическими, а не научными. В [2] описана идея возможности
использования квантовых состояний для защиты денежных банкнот.
Визнер предложил в каждую банкноту вмонтировать 20 так
называемых световых ловушек, и помещать в каждую из них по
одному фотону, поляризованному в строго определённом состоянии.
Каждая банкнота маркировалась специальным серийным номером,
который заключал информацию о положении поляризационного
фотонного фильтра. В результате этого при применении отличного от
заданного фильтра комбинация поляризованных фотонов стиралась.
Но на тот момент развитие технологии не позволяло даже рассуждать
о таких возможностях. Однако в 1983 году работа С. Визнера
«Сопряжённое кодирование» была опубликована в журнале «SIGACT
News» и получила высокую оценку в научных кругах.
Впоследствии на основе принципов работы С.Визнера учёные
Чарльз Беннет (Charles Bennett) из фирмы IBM и Жиль Брассард
(Gilles Brassard) из Монреальского университета разработали способ
кодирования и передачи сообщений. Ими был сделан доклад на тему
«Квантовая криптография: распределение ключа и подбрасывание
монет» на конференции «IEEE International Conference on Computers,
Systems, and Signal Processing» [3]. Описанный здесь протокол
впоследствии признан первым и базовым протоколом квантовой
криптографии и был назван в честь его создателей BB84. Для
кодирования информации протокол использует четыре квантовых
состояния микросистемы, формируя два сопряжённых базиса.
В это же время Артур Экерт (Artur Ekert) работал над
протоколом квантовой криптографии, основанном на спутанных
состояниях [4]. Опубликование результатов его работ состоялось в
1991 году. В основу положены принципы парадокса Эйнштейна–
Подольского– Розенберга, в частности принцип нелокальности
спутанных квантовых объектов.
На протяжении двадцати пяти лет квантовая криптография
прошла путь от теоретических исследований и доказательства
83
основных теорий до коммерческих систем, использующих
оптическое волокно для передачи на расстояние в десятки
километров.
В первой экспериментальной демонстрации установки
квантового распределения ключа, проведённой в 1989 году в
лабораторных условиях [5], передача осуществлялась через открытое
пространство на расстояние тридцати сантиметров. Далее эти
эксперименты были проведены в Женеве с использованием
оптического волокна в качестве среды распространения длиной
1,1 км [6, 7]. В 1995 году дальность передачи была увеличена до
23 км через оптическое волокно, проложенное под водой [8, 9].
Приблизительно в то же время фирмой British Telecom
продемонстрирована передача на 30 км [10]. Позднее, продолжив
тестирование систем с использованием различных конфигураций
оптических сетей [11, 12], дальность передачи была увеличена до
50 км [13]. Эксперименты по передаче на это же расстояние были
позднее повторены в Лос-Аламосе [14].
В 2001 г. в Великобритании осуществлена передача на
расстояние 80 км [15]. В 2004-2005 гг. две группы в Японии и одна в
Великобритании сообщили об осуществлении экспериментов по
квантовому распределению ключа и интерференции одиночных
фотонов на расстояние свыше 100 км [16, 17, 18]. Первые
эксперименты по передаче на расстояние 122 км проводились
учёными из Toshiba в Кембридже с использованием лавинных
фотодиодов [17]. Рекорд по дальности передачи информации
принадлежит объединению учёных Лос-Аламоса и Национального
института стандартов и технологий и составляет 184 км [19]. В
эксперименте использовались однофотонные фотоприёмники,
охлаждаемые до температур, близких к нулю по Кельвину.
Первая презентация коммерческой системы квантовой
криптографии прошла на выставке CeBIT-2002, где швейцарские
инженеры компании GAP-Optique (www.gap-optique.unige.ch) из
Женевского университета представили первую систему квантового
распределения ключа (QKD – Quantum Key Distribution). Учёным
удалось создать достаточно компактную и надежную систему,
которая располагалась в двух 19-дюймовых блоках и могла работать
без настройки сразу после подключения к персональному
компьютеру. С его помощью установлена двухсторонняя наземная и
воздушная волоконно-оптическая связь между городами Женева и
84
Лузанна, расстояние между которыми составляет 67 км [20].
Источником фотонов служил инфракрасный лазер с длиной волны
1550 нм. Скорость передачи данных была невысока, поскольку для
передачи ключа длиной от 27,9 до 117,6 кбит большая скорость не
требуется.
В последующие годы к проектированию и изготовлению систем
квантовой криптографии подключились такие коммерческие гиганты,
как Toshiba, NEC, IBM, Hewlett Packard, Mitsubishi и NTT. Но наряду
с ними стали появляться на рынке и небольшие, но
высокотехнологичные компании: MagiQ (www.magiqtech.com), Id
Quantique (www.idquantique.com), Smart Quantum
(www.smartquantum.com). В июле 2005 года в гонке за увеличение
дальности передачи ключа вперёд вышли инженеры компании
Toshiba, представив на рынке систему, способную передавать ключ
на 122 км. Однако, как и у конкурентов, скорость генерации ключа в
1,9 кбит/с оставляла желать лучшего.
Производители в настоящее время стремятся к разработке
интегрированных систем. Например, новинкой от компании
Id Quantique является система Vectis, использующая квантовое
распределение ключа для создания VPN-туннелей, шифрующая
данные на канальном уровне с помощью шифра AES. Ключ может
иметь длину 128, 196 или 256 битов и меняться с частотой до 100 Гц.
Максимальная дальность передачи для данной системы составляет
100 км. Все вышеперечисленные компании производят системы,
кодирующие информацию о битах ключа в фазовых состояниях
фотонов.
Со времени первых реализаций схемы построения систем
квантового распределения ключа значительно усложнились.
Британские физики из коммерческого подразделения QinetiQ
Британской оборонной исследовательской лаборатории и немецкие
физики из Мюнхенского университета Людвига-Максимиллиана
впервые осуществили передачу ключа на расстояние 23,4 км
непосредственно через воздушное пространство без использования
оптического волокна [21]. В эксперименте для кодирования
криптографической информации использовалась поляризация
фотонов – одна для передачи значения бита «0» и ортогональная для
значения бита «1». Эксперимент проводился в горах Южной
Германии. Слабый импульсный сигнал посылался ночью с одной
85
горной вершины (2 950 м) на другую (2 244 м), где находился счётчик
фотонов.
Руководитель проекта Джон Рэрити (John Rarity) из QinetiQ
полагал [22], что уже к 2009 году будут проведены эксперименты с
посылкой криптографического ключа на низкоорбитальный
искусственный спутник земли и передачей секретных данных в
любую точку планеты. Отмечалось, что для этого придётся
преодолеть ряд технических препятствий. Во-первых, необходимо
улучшить устойчивость системы к неизбежной потере фотонов при
их посылке на расстояния в тысячи километров. Во-вторых,
существующие спутники не оснащены соответствующим
оборудованием для пересылки криптографических данных по
квантовому протоколу, так что потребуется конструирование и
запуск совершенно новых спутников [23].
Исследователи из Северо-западного университета (Эванстон,
штат Иллинойс, США) продемонстрировали технологию,
позволяющую передавать на небольшое расстояние шифрованное
сообщение со скоростью 250 Мбит/с [24]. Учёные предложили метод
квантового кодирования сообщений, а не только ключа. В этой
модели учитывается угол поляризации каждого переданного фотона.
Поэтому любая попытка декодировать сообщение приводит к такой
зашумленности канала, что всякая расшифровка становится
невозможной. Исследователи обещают, что уже модель следующего
поколения сможет работать практически на магистральной скорости
Интернета порядка 2,5 Гбит/с. По словам одного из разработчиков,
профессора Према Кумара (Prem Kumar), "ещё никому не удавалось
выполнять квантовое шифрование на таких скоростях". Учёные уже
получили несколько патентов на свои разработки и сейчас работают
вместе со своими промышленными партнерами Telcordia
Technologies и BBN Technologies над дальнейшим
усовершенствованием системы. Первоначально рассчитанный на пять
лет проект был поддержан грантом DARPA (Defense Advanced
Research Projects Agency) в 4,7 миллиона долларов. Результатом
данного проекта стала система квантового кодирования AlphaEta [25].
Группа Ричарда Хьюгса (Richard Hughes) из Лос-Аламоса
занимается разработками спутниковых оптических линий связи. Для
реализации преимуществ квантовой криптографии фотоны должны
проходить через атмосферу без поглощения и изменения
поляризации. Для предотвращения поглощения исследователи
86
выбрали длину волны в 770 нм, соответствующую минимальному
поглощению излучения молекулами атмосферы. Сигнал с большей
длиной волны также слабо поглощается, но более подвержен
турбулентности, которая вызывает изменение локального показателя
преломления воздушной среды и, ввиду этого, изменение
поляризации фотонов.
Учёным приходится решать и побочные задачи. Спутник,
наряду с фотонами, несущими сообщение, может принять и фотоны
фонового излучения, исходящего как от Солнца, так и отражённого
Землей или Луной. Поэтому применяется сверхузконаправленный
приёмник, а также фильтр для отбора фотонов определённой длины
волны. Кроме того, фотоприёмник чувствителен к приёму фотонов в
течение 5 нс периодически с интервалом в 1 мкс. С этой целью работа
фотоприёмника должна согласовываться с передатчиком для
ослабления влияния турбулентности.
Даже при сохранении поляризации, вследствие турбулентности,
может измениться скорость передачи фотонов, приводя к фазовому
дрожанию. С целью компенсации фазового дрожания впереди
каждого фотона высылается световой импульс. Этот
синхронизирующий импульс, подвергается такому же, как
следующий за ним фотон, влиянию атмосферы. Поэтому независимо
от момента получения импульса приёмник искусственного спутника
Земли знает, что через 100 нс нужно быть готовым к приёму
информационного фотона. Изменение показателя преломления
вследствие турбулентности вызывает уход луча от оптической
антенны. Поэтому для направления потока фотонов передающая
система отслеживает слабое отражение синхроимпульсов.
Группой учёных под руководством Р. Хьюгса осуществлена
передача сообщения по квантовому криптографическому каналу
через воздушную среду на расстояние в 500 м на телескоп диаметром
3,5 дюйма [26]. Принимаемый фотон попадал на распределитель,
который направлял его на тот или иной фильтр. Ключ
контролировался на наличие ошибок.
Даже при отсутствии несанкционированного съёма
информации, уровень ошибок достигал 1,6 % из-за наличия шума,
фоновых фотонов и рассогласования приёмно-передающей
аппаратуры. Такой уровень ошибок допустим, поскольку при
несанкционированном съёме информации уровень ошибок обычно
превышает 25 %.
87
Позднее группой Р. Хьюгса передано сообщение по квантовому
каналу через воздушную среду на расстояние 2 км [27, 28]. При
испытаниях сигналы передавались горизонтально, вблизи
поверхности Земли, где плотность воздуха и флуктуации мощности
максимальны. Поэтому расстояние в 2 км вблизи поверхности Земли
эквивалентны 300 км между низкоорбитальным искусственным
спутником Земли и наземным центром.
В мире существует всего три компании, которым удалось выйти
на рынок с коммерческими системами квантового распределения
ключа.
Одной из первых свою систему Id 3000 Clavis начала предлагать
швейцарская компания Id Quantique. Позднее ею была выпущена
усовершенствованная система квантовой криптографии Id 5000
Vectis.
Американская компания MagiQ Technologies предлагает на
рынке систему QPN 5505 и ее более новые реализации QPN 7505 и
QPN 8505.
Французская компания Smart Quantum предлагает линейку
систем квантового распределения ключа. Отдельная система для
распределения ключа через квантовый канал носит название SQKey
Generator. Интегрированные системы носят название SQBox Defender
и SQBox FibreShield (последняя предназначена исключительно для
военного применения).
Таким образом, менее чем за 25 лет квантовая криптография
прошла путь от идеи до воплощения в коммерческую систему
квантового распределения ключа. Действующая аппаратура
позволяет распределять ключи через квантовый канал на расстояние,
превышающие 100 км (рекорд 184 км), со скоростями достаточными
для передачи ключа шифрования, но не достаточными для поточного
шифрования магистральных каналов с помощью шифра Вернама.
Основными потребителями систем квантовой криптографии в
первую очередь выступают министерство обороны, министерство
иностранных дел и крупные коммерческие объединения.
На настоящий момент высокая стоимость систем квантового
распределения ключа ограничивает их массовое применение для
организации конфиденциальной связи между небольшими и
средними фирмами и частными лицами.
88
6.2. Основные направления развития квантовой
криптографии
В квантовой криптографии выделились два основных
направления развития систем распределения ключа.
Первое направление основано на кодировании квантового
состояния одиночной частицы и базируется на принципе
невозможности различить абсолютно надёжно два
неортогональных квантовых состояния.
Произвольное состояние любой двухуровневой квантово-
механической системы можно представить в виде линейной
суперпозиции
| Ψ〉 = α | 0〉 + β | 1〉
её собственных состояний | 0 〉 и | 1〉 с комплексными
коэффициентами α и β , причём
|α|2 + |β|2 = 1 .
Законы квантовой механики не позволяют абсолютно надёжно
различить два квантовых состояния
| Ψ1 〉 = α1 | 0〉 + β1 | 1〉 и | Ψ 2 〉 = α 2 | 0〉 + β 2 | 1〉 ,
если не выполнено условие Ψ1 Ψ2 = 0 , т.е. когда состояния
ортогональны.
Защищённость первого направления основывается на теореме
о запрете клонирования неизвестного квантового состояния.
Благодаря унитарности и линейности квантовой механики,
невозможно создать точную копию неизвестного квантового
состояния без воздействия на исходное состояние.
Пусть, например, отправитель (назовём его Алиса) и получатель
(Боб) используют для передачи информации двухуровневые
квантовые системы, кодируя состояния этих систем. Если
злоумышленник (Ева) перехватывает носитель информации,
посланный Алисой, измеряет его состояние и пересылает далее Бобу,
то состояние этого носителя будет иным, чем до измерения. Таким
образом, подслушивание квантового канала приводит к ошибкам
передачи, которые могут быть обнаружены легальными
пользователями.
89
Основным протоколом квантовой криптографии на
одночастичных состояниях является протокол BB84 [3].
Второе направление развития квантовых систем распределения
ключа основано на эффекте квантового перепутывания
(запутывания) фотонов. Две квантово-механические системы (в том
числе и разделённые в пространстве) могут находиться в состоянии
корреляции, так что измерение выбранной величины,
осуществляемое над одной из систем, определит результат измерения
этой величины на другой. При этом ни одна из запутанных систем не
находится в определённом состоянии. Поэтому запутанное состояние
не может быть записано как прямое произведение состояний систем.
Состояние двух частиц со спином 1/2 может служить примером
запутанного состояния:
1
| Ψ0 〉 = ⋅ (| 01〉− | 10〉 ) .
2
Измерение, проведённое на одной из двух подсистем, даёт с
равной вероятностью состояния | 0 〉 или | 1〉 . Состояние же другой
подсистемы будет противоположным, т.е. состояние | 0 〉 , если
результат измерения на первой системе был | 1〉 , и наоборот.
Базовым протоколом квантового распределения ключа на
основе эффекта квантового запутывания является протокол EPR
(Einstein-Podolsky-Rosen), второе название которого протокол E91
[4].
Базовые принципы этих двух направлений легли в основу
разработки всех протоколов квантового распределения ключа.
6.3. Протоколы квантовой криптографии
Существует множество протоколов квантовой криптографии,
основанных на передаче информации посредством кодирования в
состояниях одиночных фотонов, например: BB84 [3], B92 [29], ВВ84
(4+2) [30], с шестью состояниями [31], Гольденберга-Вайдмана [32],
Коаши-Имото [33] и их модификации.
Единственным протоколом, разработанным для кодирования
информации в спутанных состояниях, является протокол E91.
Рассмотрим более подробно существующие протоколы
квантового распределения ключа.
90
6.3.1. Протокол ВВ84
В протоколе BB84 используются 4 квантовых состояния
фотонов, например, направление вектора поляризации, одно из
которых Алиса выбирает в зависимости от передаваемого бита: 90°
или 135° для бита «1», 45° или 0° для бита «0». Одна пара квантовых
состояний соответствует 0( 0(+ ) ) и 1( 1(+ ) ) и принадлежит базису
«+». Другая пара квантовых состояний соответствует 0( 0(×) ) и
1( 1(×) ) и принадлежит базису « × ». Внутри обоих базисов состояния
ортогональны, но состояния из разных базисов являются попарно
неортогональными (неортогональность необходима для обнаружения
попыток несанкционированного съёма информации).
Квантовые состояния системы можно описать следующим
образом:
1
0× = ( 0 + + 1+ ), 1× = 1 ( 0 + − 1+ ).
2 2
Здесь состояния 0 + и 1+ кодируют значения битов «0» и «1»
в базисе «+», а состояния 0 × и 1× кодируют те же значения битов в
базисе « × ». Базисы повернуты друг относительно друга на 45°.
Процесс формирования ключа может быть разбит на следующие
пять этапов.
Этап 1. Отправитель Алиса случайным образом выбирает один
из двух базисов. Затем внутри базиса случайно выбирается одно из
двух возможных состояний фотона, соответствующих битам «0» или
«1». Генерируется фотон.
Пусть в качестве примера излучено 9 фотонов с различной
поляризацией, показанной на рис. 6.1.
Рис. 6.1. Фотоны с различной поляризацией, излучённые

отправителем Алиса
Этап 2. Получатель Боб случайно и независимо от Алисы
выбирает для каждого поступающего фотона прямолинейный (+) или
диагональный ( × ) базис (рис. 6.2).
Рис. 6.2. Выбранный получателем Бобом базис измерений

91
Получатель Боб фиксирует состояния поляризации, сохраняя
результаты измерений (рис. 6.3).
Рис. 6.3. Результаты измерений получателем Бобом состояний

поляризации фотонов
Этап 3. Получатель Боб по открытому каналу связи сообщает
отправителю Алисе, какой тип измерений был использован для
каждого фотона. При этом получатель сообщает только выбранный
базис, сохраняя в секрете результаты измерений.
Этап 4. Отправитель Алиса сообщает получателю Бобу по
открытому каналу связи, какие измерения были выбраны в
соответствии с исходным базисом Алисы (рис. 6.4).
Рис. 6.4. Случаи правильных замеров

Этап 5. Наконец пользователи Алиса и Боб оставляют только те
случаи, в которых выбранные базисы совпали. Эти случаи переводят
в биты «0» и «1», завершая тем самым формирование ключа
(рис. 6.5).
Рис. 6.5. Получение ключевой последовательности по результатам

правильных замеров
Число случаев, в которых выбранные базисы совпали, будет
составлять, в среднем, половину длины исходной
последовательности.
Пример определения количества фотонов, принятых
получателем Бобом, показан в табл. 6.1.
Таким образом, в результате передачи ключа получателем
Бобом, в случае отсутствия помех и искажений, будут правильно
зарегистрированы в среднем 50 % фотонов.
Поскольку идеальных каналов связи не существует, то для
формирования секретного ключа необходимо провести
дополнительные процедуры поиска ошибок и усиления секретности.
С этой целью для части последовательности бит пользователей, в
92
которых базисы совпали, через открытый канал связи случайным
образом раскрываются и сравниваются значения бит. При этом
раскрытые биты отбрасываются. В идеальном квантовом канале (без
шума) достаточно выявить несоответствие в одной раскрытой
позиции для обнаружения злоумышленника.
Таблица 6.1
Формирование ключа по протоколу ВВ84
Бит отправителя Алиса 0 1 0 1
Поляризационный код
отправителя Алиса
Базис измерения получателя Боб
Бит получателя Боб 0 1 ? ?
В реальной ситуации невозможно различить ошибки,
произошедшие из-за шума или воздействия злоумышленника.
Известно, что если процент ошибок (QBER) не превышает 11 %, то
пользователи из нераскрытой последовательности, после коррекции
ошибок через открытый канал связи и усиления секретности могут
извлечь секретный ключ, который будет у них одинаковым и не будет
известен Еве. Ключ, полученный до дополнительных операций с
последовательностью, называется "сырым" ключом.
При коррекции ошибок эффективным способом для
согласования последовательностей Алисы и Боба является их
«перемешивание» для более равномерного распределения ошибок и
разбиение на блоки размером k, при котором вероятность появления
блоков с более чем одной ошибкой пренебрежимо мала. Для каждого
такого блока стороны производят проверку чётности. Блоки с
совпадающей чётностью признаются правильными, а оставшиеся
делятся на несколько более мелких блоков, здесь проверка чётности
производится над каждым сформированным таким образом блоком,
до тех пор, пока ошибка не будет найдена и исправлена. Процедура
может быть повторена с блоками более подходящего размера.
Наиболее мелкие блоки отбрасываются при наличии в них ошибки.
Когда в каком-либо блоке количество ошибок окажется чётным,
то даже с оптимальным размером блока некоторые из них могут быть
не выявлены. Для их исключения производят перемешивание
последовательности бит, разбиение её на блоки. Сравнение чётности
блоков производится ещё несколько раз, каждый раз с уменьшением
размера блоков, до тех пор пока пользователи Алиса и Боб не придут
93
к выводу, что вероятность ошибки в полученной последовательности
пренебрежимо мала.
В результате всех этих действий Алиса и Боб получают
идентичные последовательности бит. Эти биты и являются ключом, с
помощью которого пользователи получают возможность кодировать
и декодировать секретную информацию и обмениваться ею по
незащищённому от съёма информации каналу связи.
6.3.2. Протокол В92
В протоколе B92 используются фотоны, поляризованные в
двух различных направлениях для представления нулей и единиц
( ϕ0 и ϕ1 , ϕ 0 ϕ1 ≠ 0 ). Фотоны, поляризованные вдоль
направления +450, несут информацию о единичном бите,
фотоны, поляризованные вдоль направления 0о – о нулевом
бите.
Дадим описание алгоритма работы протокола В92 (рис. 6.6).
Бит отправителя Алиса 1 0 1 0 1 0

отправителя Алиса
Ориентация фильтра
получателя Боб
Бит получателя Боб 0 0 1 1 1 0
Результат, полученный Бобом N N Y N Y N
Рис. 6.6. Формирование ключа по протоколу В92
Станция Алиса посылает фотоны, поляризованные в
направлениях 00 и +450, которые соответствуют битам «0» и «1».
Причём последовательность фотонов, посылаемая станцией Алиса,
случайно ориентирована. Станция Боб принимает фотоны через
фильтры, ориентированные под углом 900 и 1350(-450). Если фотон,
переданный станцией Алиса, будет анализирован станцией Боб при
помощи фильтра, ориентированного под углом 900 по отношению к
94
передаваемому фотону, то фотон не пройдёт через фильтр. Если же
ориентация угла фильтра составит 450, то фотон пройдёт через
фильтр с вероятностью 0,5.
Для определения поляризации станция Боб анализирует
принимаемые ей фотоны, используя выбранный случайным образом
один из двух неортогональных базисов «+» или « × ». Если станция
Боб анализирует посланный фотон фильтром с ортогональным
направлением поляризации, то он не может точно определить, какое
значение бита данный фотон представляет: «1», соответствующее
фотону, который не проходит, или «0», соответствующее фотону,
который не проходит с вероятностью 0,5. Если же направления
поляризации между посланным фотоном и фильтром
неортогональны, то станция Боб может определить, что принят фотон
соответствующий значению бита «0». Если фотон был принят
удачно, то очередной бит ключа кодируется «0» (если фотон был
принят фильтром, ориентированным под углом 1350), либо «1» (если
фотон был принят фильтром, ориентированным по направлению 900)
(табл. 6.2)
Таблица 6.2
Формирование квантового ключа по протоколу В92
Бит отправителя Алиса 1 0 1 0
Поляризационный код отправителя
Алиса
Ориентация фильтра получателя Боб
Бит получателя Боб 0 0 1 1
Результат, полученный Бобом - - + -
В первой и четвертой колонке поляризации при передаче и
приёме ортогональны и результат детектирования будет
отсутствовать. Во второй и третьей колонках коды двоичных
разрядов совпадают и поляризации не ортогональны. По этой
причине результат может быть положительным в любом из этих
случаев (и даже в обоих).
В табл. 6.2 предполагается, что успешная регистрация фотона
происходит для случая, представленного в третьей колонке. Именно
этот бит становится первым битом общего секретного ключа
передатчика и приёмника. Следовательно, в результате передачи
ключа в соответствии с протоколом B92 около 25 % фотонов будут
правильно приняты станцией Боб.
95
После этого по открытому каналу связи станция Боб может
передать станции Алиса, какие 25 фотонов из каждых 100 были
получены. Данная информация и будет служить ключом к новому
сообщению. При этом чтобы злоумышленник не узнал информацию о
ключе, по открытому каналу связи можно передать информацию
только о том, какие по порядку фотоны были приняты, не называя
состояния фильтров и полученные значения поляризации. После
этого станция Алиса может передавать сообщения Бобу,
зашифрованные этим ключом.
Для обнаружения факта съёма информации в протоколе B92
используют контроль ошибок, аналогичный контролю ошибок в
протоколе ВВ84: пользователи Алиса и Боб сверяют случайно
выбранные биты ключа. Если обнаруживаются несовпадения, то
можно говорить о несанкционированном съёме информации.
Рассмотренные протоколы являются основными. Однако
существует ряд производных протоколов. Дадим краткое описание
некоторых из них.
6.3.3. Протокол с шестью состояниями
Протокол с шестью состояниями представляет протокол BB84,
но ещё с одним базисом, а именно:
1
0C = ( 0 + i 1 ),
2
1
1C = ( 0 − i 1 ).
2
В протоколе с шестью состояниями существует ещё два
возможных направления поляризации для переданного фотона:
правоциркулярное и левоциркулярное.
Из табл. 6.3 видно, что при использовании протокола с шестью
состояниями будет принято около 33 % фотонов, посылаемых
станцией Алиса.
Таким образом, можно посчитать количество фотонов, которые
будут приняты станцией Боб.
96
Таблица 6.3
Формирование квантового ключа по протоколу с шестью
состояниями
Значение бита станции Алиса 1 0 1 0 1 0
станции Алиса
Базис, выбранный станцией
Боб
Значение бита станции Боб ? 0 1 ? ? ?
6.3.4. Квантовый протокол ВВ84 (4+2)
Протокол является промежуточным между протоколами ВВ84 и
В92.
В протоколе ВВ84 (4+2) используются четыре квантовых
состояния для кодирования битов «0» и «1» в двух базисах.
Состояния в каждом базисе выбираются неортогональными,
состояния в разных базисах также попарно неортогональны.
Процесс формирования ключа реализуется следующим образом.
Станция Алиса случайным образом выбирает один из базисов.
Внутри базиса также случайным образом выбираются состояния
соответствующие значениям бита «0» или «1», затем они
направляются в квантовый канал связи. Станция Боб независимо
выбирает измерения двух типов (в разных базисах). Затем, после
передачи достаточно длинной последовательности пользователи
через открытый канал связи сообщают, какой базис был использован
в каждой посылке. Посылки, в которых базисы не совпадали,
отбрасываются. Для оставшихся посылок станция Боб публично
открывает номера тех посылок, где у него были неопределённые
исходы (такие посылки также отбрасываются). Из оставшихся
посылок (с определённым исходом) извлекается секретный ключ
путем процедуры коррекции ошибок через открытый канал и
усиления секретности. Формирование квантового ключа по
протоколу BB84 (4+2) поясняется данными табл. 6.4.
Таким образом, в результате передачи ключа станцией Боб
будут получены 50 % фотонов.
97
Таблица 6.4
Формирование квантового ключа по протоколу ВВ84 (4+2)
Двоичный сигнал
0 1 0 1 0 1 0 1
станции Алиса
Поляризационный
код станции Алиса
Детектирование
станцией Боб
Двоичный сигнал
0 ? ? 1 0 ? ? 1
станции Боб
6.3.5. Протокол Гольденберга-Вайдмана
В протоколе Гольденберга-Вайдмана пользователи Алиса и Боб
используют для сообщения два ортогональных состояния
1
ψ0 = ( a + b ),
2
1
ψ1 = ( a − b ),
2
кодирующие соответственно биты «0» и «1».
В протоколе Гольденберга-Вайдмана каждое из двух
состояний ψ0 и ψ1 является суперпозицией двух
локализованных нормализованных волновых пакетов a и b ,
которые отправитель Алиса посылает получателю Бобу по
двум каналам различной длины. В результате этого волновые
пакеты оказываются у Боба в разные моменты времени.
Волновой пакет b покидает отправителя Алиса только после
того, как волновой пакет a уже достиг получателя Боба. Для этого
можно использовать интерферометр с разной длиной плеч.
Получатель Боб задерживает своё измерение до того момента, как оба
волновых пакета достигнут его.
Если время посылки пакета a известно злоумышленнику Еве,
то он способен перехватить информацию, послав Бобу в
соответствующий момент времени пакет, идентичный с пакетом a ,
измерив затем посланное Алисой суперпозиционное состояние и
98
далее послав Бобу волновой пакет b с фазой, настроенной согласно
результату её измерений. Чтобы предупредить эту атаку,
используются случайные времена посылки.
6.3.6. Протокол Коаши-Имото
Протокол Коаши-Имото является модификацией предыдущего
протокола Гольденберга-Вайдмана.
Протокол Коаши-Имото позволяет отказаться от
случайных времён передачи путём разбиения света в неравной
пропорции между коротким и длинным плечами
интерферометра (применение интерферометра с асимметрией
плеч). Кроме того, разность фаз между двумя плечами
интерферометра составляет π.
Таким образом, в протоколе Коаши-Имото два состояния
ψ 0 = −i R a + T b и ψ1 = R a − i T b ,
кодирующие биты «0» и «1», определяются способностями входного
разделителя лучей отражать R и пропускать T фотоны.
В случае асимметрии плеч амплитуда вероятности нахождения
фотона в том или ином плече интерферометра зависит от значения
передаваемого бита. Следовательно, компенсация за счёт фазы не
срабатывает полностью.
Поэтому при применении злоумышленником Евой
вышеописанной тактики существует ненулевая вероятность ошибки
регистрации.
Проведя сравнительный анализ приведённых выше протоколов,
исходя из количества принятых фотонов, можно судить о том, что
наиболее эффективным является протокол ВВ84. Более поздние его
модификации направлены на уменьшение процента ошибок и
количества полезной информации, которую теоретически может
получить злоумышленник. Альтернативой в развитии протокола
ВВ84 является протокол В92. Преимуществом протокола В92 перед
ВВ84 является использование фотонов с двумя типами поляризации
(вместо четырех), что позволяет упростить схему реализации. Однако
протокол В92 обеспечивает меньшую эффективность (уменьшается
количество принятых фотонов), гарантируя секретность ключа только
на расстояние до 20 км, тогда как протокол ВВ84 – до 50 км. В
99
настоящее время в коммерческих системах распределения ключа
применяется протокол ВВ84.
6.3.7. Протокол E91
Протокол E91 предложен А. Экертом в 1991 г. Второе название
протокола – EPR, так как он основан на парадоксе Эйнштейна-
Подольски-Розенберга. В протоколе предлагается использовать,
например, пары фотонов, рождающихся в антисимметричных
поляризационных состояниях. Перехват одного из фотонов пары не
приносит Еве никакой информации, но является для Алисы и Боба
сигналом о том, что их разговор подслушивается.
Эффект EPR возникает, когда сферически симметричный атом
излучает два фотона в противоположных направлениях в сторону
двух наблюдателей. Фотоны излучаются с неопределённой
поляризацией, но в силу симметрии их поляризации всегда
противоположны. Важной особенностью этого эффекта является то,
что поляризация фотонов становится известной только после
измерения. На основе эффекта EPR А. Экерт и предложил протокол
E91, который гарантирует безопасность пересылки и хранения ключа.
Отправитель генерирует некоторое количество запутанных пар
фотонов. Один фотон из каждой пары он оставляет для себя, второй
посылает своему партнеру.
Пусть эффективность регистрации близка к единице. Тогда при
получении отправителем значения поляризации, соответствующей
биту «1», то его партнер зарегистрирует значение бита «0» и
наоборот. Ясно, что таким образом партнеры всякий раз, когда
требуется, могут получить идентичные случайные кодовые
последовательности.
Пусть вначале создаётся N максимально запутанных EPR-пар
фотонов. Затем один фотон из каждой пары посылается Алисе, а
другой - Бобу. При этом возможны три квантовых состояния для этих
EPR-пар:
1 ⎛⎜ 3π 3π ⎞
| ψ1 〉 = ⎜ | 0〉 A − | 0〉 B ⎟⎟ ,
2⎝ 6 B 6 A ⎠
1 ⎛⎜ π 4π 4π π ⎞⎟
| ψ2 〉 = ⎜ − ⎟ ,
2⎝ A6 6 B 6 A 6 B⎠
100
1 ⎛⎜ 2π 5π 5π 2π ⎞⎟
| ψ3 〉 = ⎜ − ⎟ .
2⎝ 6 A 6 B 6 A 6 B⎠
Это может быть записано в общем виде как
1
| ψi 〉 = (| 0i 〉 A | 1i 〉 B − | 1i 〉 A | 0i 〉 B ).
2
Последняя формула явно показывает, что каждое из этих трёх
состояний кодирует биты «0» и «1» в уникальном базисе.
На следующем шаге пользователи Алиса и Боб осуществляют
измерения на своих фотонах из EPR-пар, применяя соответствующие
проекторы
π π 3π 3π
P1 =| 0〉〈 0 | , P2 = , P3 = .
6 6 6 6
Алиса записывает измеренные биты, а Боб записывает их
дополнения до 1. Результаты измерений, в которых пользователи
выбрали одинаковые базисы, формируют сырой ключ. Для остальных
результатов Алиса и Боб проводят проверку выполнения неравенства
Белла как тест на присутствие Евы.
Эксперименты по реализации данного протокола начались
недавно. Их проведение стало возможным после получения
источников спутанных пар с высокой степенью корреляции и
продолжительным временем жизни.
101
7. ТИПОВЫЕ СТРУКТУРЫ КВАНТОВЫХ СИСТЕМ
РАСПРЕДЕЛЕНИЯ КЛЮЧА
В системах квантовой криптографии в настоящее время
применяют три вида кодирования квантовых состояний:
поляризационное и фазовое кодирование, а также кодирование
временными сдвигами. Ниже более подробно рассмотрим типовые
структуры квантовых систем распределения ключа, реализующие
каждый из видов кодирования.
7.1. Структура системы с поляризационным кодированием
Исторически первой реализацией системы квантового
распределения ключа была поляризационная схема кодирования,
работающая по протоколу BB84.
Схема квантовой криптографической установки с
поляризационным кодированием по протоколу BB84 с четырьмя
состояниями показана на рис. 7.1.
Рис. 7.1. Схема квантовой криптографической установки с

поляризационным кодированием
Станция Алиса, состоит из четырёх лазерных диодов, которые
излучают короткие импульсы света длительностью 1 нс. Поляризации
фотонов составляет -45o, 0o, +45o и 90o. Для передачи одного бита
активизируется один из лазерных диодов. Затем импульсы
ослабляются аттенюатором для обеспечения условия
однофотонности, т. е. среднее количество фотонов в импульсе
выбирается менее одного. После этого фотон излучается по
направлению к станции Боб. Важным условием правильной
102
регистрации информации станцией Боб является сохранение
поляризации фотонов в волокне.
Импульсы, достигая станции Боб, проходят через систему
волновых пластинок, используемых для восстановления исходных
поляризационных состояний путём компенсации изменений,
внесённых волокном. Затем импульсы достигают светоделителя,
осуществляющего направление фотона к анализаторам линейного
или диагонального состояний поляризации. Переданные фотоны
анализируются в линейном базисе при помощи поляризационной
светоделительной призмы и двух лавинных фотодиодов (ЛФД).
Поляризация фотонов, прошедших через полуволновую пластину,
поворачивается на 45o (с -45o до 0o) и анализируются второй системой
«поляризационная светоделительная призма - ЛФД» в диагональном
базисе.
Пусть имеется фотон, поляризованный под углом +45o. После
того, как он покидает станцию Алиса, его поляризация случайным
образом преобразуется в оптическом волокне. В станции Боб система
из волновых пластинок должна быть установлена таким образом,
чтобы компенсировать изменение поляризации.
Если фотон достигнет выхода светоделителя, соответствующего
линейному базису поляризации, то у него будут равные вероятности
быть зарегистрированным в одном из фотодетекторов. С другой
стороны, если будет выбран диагональный базис, то его поляризация
будет повёрнута на 45o. Тогда светоделитель отразит его с
вероятностью равной 1 на вход конкретного фотодетектора.
Вместо использования четырёх лазеров станцией Алиса и двух
поляризационных светоделительных призм станцией Боб, возможно
также применение активных поляризационных модуляторов, таких
как ячейки Поккельса. Для каждого оптического импульса модулятор
случайным образом изменяет поляризацию фотона, переводя её в
одно из четырёх состояний. В Это время принимающая сторона в
случайным образом изменяет поляризацию половины принимаемых
импульсов на 45o. Схема установки приведена на рис. 7.2.
Заметим, что поляризационная модовая дисперсия может
привести к изменению поляризации фотонов, при условии, что время
задержки между поляризационными модами больше времени
когерентности. Это вносит ограничение на типы лазеров,
используемых станцией Алиса.
103
Рис. 7.2. Схема квантовой криптографической установки с

поляризационным кодированием на ячейках Поккельса
Антон Мюллер и его коллеги из Женевского университета
использовали подобную систему для проведения экспериментов в
области квантовой криптографии [6]. Они передавали ключ на
расстояние 1100 м, используя фотоны с длиной волны 800 нм. Для
увеличения максимальной дистанции передачи они повторили
эксперимент с фотонами на длине волны излучения 1300 нм [7] и
передавали ключ на 23 км. Особенностью данного эксперимента
было использование в качестве квантового канала, связывающего
станцию Алиса со станцией Боб, стандартного оптического кабеля,
который использовался компанией Swisscom для проведения
телефонных переговоров.
Результаты этих экспериментов показали, что изменения
поляризации, вносимые оптическим волокном, нестабильны во
времени. Несмотря на то, что они стабилизировались на некоторое
время (порядка нескольких минут), в случайный момент поляризация
резко менялась. Это означает, что реальная квантовая
криптографическая система требует создания механизма активной
компенсации поляризационных изменений. Несмотря на наличие
принципиальной возможности создания такого механизма, очевидно,
что его практическая реализация весьма затруднена.
Джеймс Френсон разработал систему автоматической
подстройки поляризации, но не стал заниматься её дальнейшим
совершенствованием [34]. Существуют и другие способы
автоматического контроля поляризации, разработанные для
когерентных волоконно-оптических систем связи. Интересно то, что
замена стандартного волокна на волокно, сохраняющее поляризацию,
не решает проблему, так как такие волокна сохраняют только два
ортогональных состояния поляризации, а в системах квантовой
криптографии используются четыре попарно неортогональных
состояния.
104
По этим причинам поляризационное кодирование не является
оптимальным методом кодирования при построении волоконно-
оптических систем квантовой криптографии.
7.2. Структура системы с фазовым кодированием
Нестабильность поляризации в системах с поляризационным
кодированием сильно затрудняет (хотя и не делает невозможным) их
создание. В связи с этим разработан другой тип квантовых
криптографических систем. Идея кодирования бит фазой фотонов
была впервые упомянута Беннеттом, когда он описывал протокол с
использованием двух состояний [29]. Получение квантовых
состояний и последующий их анализ производятся
интерферометрами, которые могут быть реализованы на
одномодовых элементах волоконной оптики.
На рис. 7.3 показана волоконно-оптическая реализация
интерферометра Маха-Цендера.
Рис. 7.3. Интерферометр Маха-Цендера

Интерферометр выполнен из двух волоконно-оптических
разветвителей, соединённых между собой, и двух фазовых
модуляторов – по одному в каждом плече. В такую систему можно
ввести оптическое излучение, используя классический непрерывный
источник, и наблюдать мощность оптического излучения на выходах.
В случае, если длина когерентности излучения лазера больше
разности длин плеч интерферометра, можно получить
интерференционную картину. Принимая во внимание фазовый сдвиг
105
π/2, происходящий на разветвителе, действия фазовых модуляторов
(φΑ и φ Β) и разность длин плеч (ΔL), мощность оптического
излучения на входе первого счётчика фотонов, регистрирующего
фотоны с нулевым значением бит, определяется следующей
формулой
⎛ ϕ − ϕ B + kΔL ⎞
P0 = P ⋅ cos 2 ⎜ A ⎟,
⎝ 2 ⎠
где k – волновое число, а P – мощность источника излучения.
Если разность фаз составляет π/2 + n π, где n – целое число, то
на выходе «0» образуется деструктивная интерференция. Поэтому
мощность оптического излучения, регистрируемого на входе второго
счётчика фотонов, достигает минимума, и всё оптическое излучение
регистрируется на входе первого счётчика фотонов.
Когда разность фаз составляет nπ, ситуация обратная. На входе
первого счётчика фотонов наблюдается конструктивная
интерференция, в то время как мощность на входе второго счётчика
достигает минимума. В случае появления ошибки оптическое
излучение может быть зарегистрировано на входах обоих счётчиков
фотонов.
Интерферометр Маха-Цендера работает как оптический
переключатель. Необходимо отметить, что крайне важным является
сохранение постоянной и малой разности длин плеч для получения
устойчивой интерференции.
Описанное выше поведение интерферометра справедливо для
классического оптического излучения. Тем не менее, интерферометр
работает аналогично для случая одиночных фотонов. Вероятность
зарегистрировать фотон на одном из выходов будет изменяться с
изменением фазы. Несмотря на то, что фотон ведёт себя как частица
при регистрации, он распространяется через интерферометр как
волна.
Интерферометр Маха-Цендера – это волоконно-оптический
вариант эксперимента Юнга со щелями, в котором плечи
интерферометра аналогичны апертурам. Такой интерферометр вместе
с однофотонным источником и с ЛФД может быть использован в
квантовой криптографии. Станция Алиса в таком случае будет
содержать источник, первый разветвитель и первый фазовый
модулятор, а станция Боб будет состоять из второго модулятора,
разветвителя и ЛФД.
106
Рассмотрим применение к такой схеме протокола BB84 с
четырьмя состояниями. Станция Алиса может осуществлять один из
четырёх фазовых сдвигов (0, π/2, π , 3π /2). Она сопоставляет
значению бита «0» – фазовый сдвиг 0о и π/2, а значению бита «1» -
сдвиг π и 3π/2. В свою очередь, станция Боб производит выбор
базиса, в случайном порядке сдвигая фазу на 0о или π/2, и
присваивает фотону, пришедшему на первый счётчик фотонов
значение бита «0», а фотону, пришедшему на второй счётчик
значение бита «1».
Когда разности фаз равны 0о или π, то в станциях Алиса и Боб
используются совместимые базисы и получаются вполне
определённые результаты. В таких случаях станция Алиса может
определить, в какой из фотодетекторов станции Боб попадёт фотон,
и, следовательно, она может определить значение бита. Со своей
стороны станция Боб может определить, какая фаза была выбрана
станцией Алиса при передаче каждого фотона. В случае, когда
разность фаз принимает значения π/2 или 3π/2, стороны используют
несовместимые базисы, и фотон случайным образом попадает на
один из фотодетекторов станции Боб.
Все возможные комбинации фазовых состояний протокола
BB84 с четырьмя состояниями приведены в табл. 7.1.
Таблица 7.1
Иллюстрация протокола BB84 с четырьмя состояниями для фазового
кодирования
Станция Алиса Станция Боб
Значение бита Фазовый Фазовый ϕΑ−ϕΒ Значение бита
сдвиг ϕΑ сдвиг ϕΒ
0 0 0 0 0
0 0 π/2 3π/2 ?
1 π 0 π 1
1 π π/2 π/2 ?
0 π/2 0 π/2 ?
0 π/2 π/2 0 0
1 3π/2 0 3π/2 ?
1 3π/2 π/2 π 1
Заметим, что для системы крайне важно сохранять стабильной
разность длин плеч интерферометра в течение сеанса передачи
ключа. Эта разность не должна изменяться более чем на долю длины
107
волны оптического излучения. Изменения длины одного из плеч
приведёт к дрейфу фазы и выразится в ошибках в передаваемом
ключе. Несмотря на то, что данная схема прекрасно работает в
лабораторных условиях, на практике не представляется возможным
сохранение длин плеч в случае, когда пользователи отделены друг от
друга более чем на несколько метров.
Беннетт показал, как обойти эту проблему [29]. Он предложил
использовать два несбалансированных интерферометра Маха-
Цендера, соединённых последовательно оптическим волокном.
Однако в коммерческих реализациях систем квантового
распределения ключа применяется ещё более сложная и совершенная
схема кодирования фазовых состояний. Данная схема представляет
собой распределенный интерферометр с автоматической
компенсацией поляризационных искажений [35, 36].
Типовая структура реализации коммерческих систем
представлена на рис. 7.4 и рис. 7.5.
Рис. 7.4. Схема приёмопередающего модуля системы Id 3000 Clavis
Рис. 7.5. Схема кодирующего модуля системы Id 3000 Clavis

Заметим, что в одном блоке совмещены функции передатчика и
приёмника. Однако функция кодирования квантового состояния фазы
фотона возложена на фазовый модулятор во втором блоке. Таким
образом, схема, изображенная на рис. 7.5, является схемой устройства
Алиса в классической интерпретации протокола BB84.
108
По аналогичной схеме построено оборудование QPN,
производимое компанией MagiQ Technologies. Различие состоит
только в реализации подсистемы синхронизации.
7.3. Структура системы с временным кодированием
Принципы построения систем квантовой криптографии,
использующих неортогональность временных интервалов, предложил
Сергей Молотков из института физики твердого тела РАН [37]. Для
кодирования битов «0» и «1» используется состояние лишь с одной
пространственно-временной формой, но сдвинутой на различные
временные интервалы в каждой посылке. За счёт этого и достигается
неортогональность.
Данная идея позволяет упростить волоконно-оптическую часть
системы квантовой криптографии и полностью отказаться от
применения интерферометров (рис. 7.6). Предложенная схема
позволяет реализовать большинство известных протоколов квантовой
криптографии [38].
Информационный
Информационный
выход
вход
Амплитудный
Линия Генератор дискриминатор
задержки синхроимпульсов
ВОЛС
Детектор
Время-
Лазер 1310 нм
амплитудный
1310 нм
преобразователь
Лазер Фотодетектор
Аттенюатор
1550 нм
Волновой Волновой
мультиплексор демультиплексор
Рис. 7.6. Схема оптоволоконной системы квантовой криптографии на

временных сдвигах без интерферометров
В качестве однофотонного состояния используется состояние,
сдвинутое относительно синхроимпульса в каждой посылке на
определённую величину. Синхроимпульсом является короткий
оптический импульс, излучаемый лазером с длиной волны 1310 нм. В
реализации используются два базиса {+(1), ×(1)} и {+(2), ×(2)}.
Внутри первого базиса в каждом подбазисе {+(1) и ×(1)} состояние
|01(+)〉 для бита «0» и состояние |11(+)〉 для бита «1», соответственно,
состояние |01(×)〉 для бита «0» и |11(×)〉 для бита «1» - ортогональны.
Между подбазисами +(1) и ×(1) состояния попарно неортогональны,
109
что достигается соответствующими временными сдвигами.
Аналогично и для базиса {+(2), ×(2)}.
Состояния в базисах отражены на рис. 7.7. Данная реализация
эквивалентна протоколу BB84.
Рис. 7.7. Квантовые состояния для схемы на временных сдвигах при

реализации протокола BB84
При работе по протоколу BB84 сначала случайно выбирается
один из двух базисов первый {+(1), ×(1)} или второй {+(2), ×(2)},
затем также случайно внутри выбранного базиса выбирается один из
подбазисов «+» или «×». На следующем шаге выбирается
непосредственно значение бита «1» или «0». Соответственно для
передачи бита «0» в первом базисе существует три варианта
последовательности временных сдвигов. Во втором базисе
аналогичная картина при передаче бита «1». На приёмном конце
производится измерение состояний в случайно выбранные интервалы
времени Δ1…Δ5. Интервалы отсчитываются от момента проявления
синхроимпульса. После серии измерений получатель сообщает через
открытый канал номера посылок, где были зарегистрированы факты
срабатывания фотодетектора. Пользователь на передающем конце
сообщает какой базис и подбазис были выбраны.
В отличие от стандартного протокола BB84 для согласования
базиса требуется пересылка двух бит классической информации
вместо одного.
Система с временным кодированием позволяет реализовать
обмен ключами по протоколу B92 без изменения структурной схемы
110
оборудования. Изменения касаются только управляющей
подсистемы, выполненной в виде программного обеспечения.
7.4. Элементная база систем квантовой криптографии
Элементная база, применяемая в системах квантового
распределения ключа, представляет собой набор
высокотехнологичных оптоэлектронных модулей. К применяемым
лазерам предъявляются высокие требования по точности установки
мощности, чистоте спектральных составляющих и длительности
генерируемых импульсов. Для систем квантовой криптографии
разрабатываются специальные однофотонные источники излучения
на квантовых точках [39]. Мощность излучения на длине волны
1550 нм при частоте следования импульсов 5 МГц и среднем
количестве фотонов на импульс равном 1 составляет минус 101 дБм.
Для регистрации столь слабого излучения фотодетекторы
должны обладать сверхвысокой чувствительностью. На сегодняшний
день для регистрации одиночных фотонов применяют лавинные
фотодиоды. Однако их квантовая эффективность в инфракрасной
области невелика и составляет порядка 10 %. У лучших моделей
квантовая эффективность достигает 30…70 %, однако последние
требуют охлаждения до температуры жидкого азота, что не позволяет
применять их вне лабораторий.
Для кодирования поляризационных состояний применяют
ячейки Поккельса и Керра, работающие на основе одноименных
электрооптических эффектов. Для кодирования фазовых состояний
используют оптические фазовые модуляторы на основе ниобата
лития. К оборудованию, управляющему электрооптическими
устройствами, предъявляются высокие требования по скорости
воздействия. Высокая инерционность оптических аттенюаторов не
позволяет достаточно точно контролировать уровень среднего
количества фотонов в каждом импульсе.
Несовершенство технологического процесса изготовления
электрооптических компонентов на сегодняшний день не позволяет
вывести скоростные показатели квантово-криптографических систем
на качественно новый уровень.
111
ЗАКЛЮЧЕНИЕ. ТЕНДЕНЦИИ РАЗВИТИЯ КВАНТОВОЙ
КРИПТОГРАФИИ
Проведенный анализ показал, что квантовая криптография уже
заняла достойное место среди систем, обеспечивающих
конфиденциальную передачу информации. От обсуждения
достоинств и недостатков различных протоколов распределения
ключа научный мир перешёл к поиску наиболее удачных
структурных и схемотехнических решений, обеспечивающих
увеличение дальности связи, повышение скорости формирования
ключа и снижение влияния дестабилизирующих факторов. Одной из
тенденций развития является совершенствование элементной базы
систем квантовой криптографии, предусматривающее преодоление
технологических сложностей изготовления компонентов.
В литературе отсутствует описание влияния параметров
функциональных узлов на эффективность систем квантовой
криптографии [40]. Тесным образом с этой проблемой связано
отсутствие общепризнанных методик исследования (измерения)
параметров систем квантового распределения ключа в целом, а также
всех функциональных узлов, входящих в состав систем [41]. Слабо
изучено влияние неидеальности характеристик компонентов на
условия несанкционированного съёма информации [42, 43].
Для исключения возможности несанкционированного доступа в
системах, работающих на одночастичных состояниях, требуется
разработать промышленные образцы однофотонных источников
излучения [44]. Для реализации систем, работающих на спутанных
состояниях, необходимо создание источников оптического излучения
нового класса, позволяющих формировать спутанные фотонные
пары.
Известно, что к однофотонным детекторам могут быть отнесены
только приборы с коэффициентом усиления больше 104. Это
указывает на необходимость разработки однофотонных лавинных
фотодиодов с большим коэффициентом умножения и меньшим
уровнем собственных шумов.
При кодировании информации в фазовых состояниях фотонов
должна быть решена проблема сохранения идентичности плеч
интерферометров в условии изменения температур, вибрации и
других внешних воздействующих факторов. Необходимо повысить
стабильность модуляционных характеристик фазовых и
112
поляризационных модуляторов наряду со снижением их
инерционности.
Отдельной задачей является исследование влияния параметров
подсистемы синхронизации на качественные характеристики систем
квантового распределения ключа.
113
ТЕРМИНОЛОГИЧЕСКИЙ СЛОВАРЬ
Квантовая теория света – Quantum theory of light.
Квантовая эффективность – Effective quantum efficiency.
Квантовый усилитель – Quantum amplifier.
Кубит – Quantum Bit, qubit или q-бит.
Лавинный фотодиод – Avalanche photodiode.
Однофотонная накачка – One-photon pumping.
Одноэлектронный импульс – One-electron impulse, single-electron
impulse.
Спектр излучения – Radiation spectrum.
Спектральная чувствительность – Spectral sensitivity.
Стимулированный квант – Stimulated quantum.
Темновой ток – Dark current.
Фотодетектор – Photodetector, photoreceiver, photosensor.
Фотодиод – Photodiode.
Фотоприёмник – Photoreceiver, photosensor.
Фотоэлектронный умножитель – Secondary emission photocell,
photomultiplier tube.
Частотная характеристика – Frequency characteristic.
Частотный модулятор – Frequency modulator.
114
ГЛОССАРИЙ
Алиса – условное обозначение отправителя.
Аутентификация – процедура, которая позволяет получателю
удостовериться, что секретный ключ принадлежит законному
отправителю.
Боб – условное обозначение получателя.
Волна электромагнитная – переменное электромагнитное
поле, которое распространяется в пространстве.
Волна электромагнитная монохроматическая –
электромагнитная волна, в которой компоненты электрического и
магнитного векторов электромагнитного поля совершают
гармонические колебания.
Длина пути оптическая – произведение показателя
преломления на геометрическую длину пути.
Ева – условное обозначение злоумышленника.
Задача факторизации – разложение числа на простые
множители.
Злоумышленник активный – злоумышленник, который
пытается навязать ложные сообщения, перехватить и
модифицировать сообщения, получить доступ к базам данных,
расширить свои полномочия, навязать ложный открытый ключ и
прочее.
Злоумышленник пассивный – злоумышленник, который не
предпринимает действий по дезорганизации криптографического
протокола.
Злоумышленник внутренний – лицо, имеющие некоторые
легальные полномочия внутри криптосистемы.
Имитовставка – специальная дополнительная информация,
которая передаётся вместе с криптограммой.
Имитозащита – способ формирования (в зависимости от
секретного ключа) специальной дополнительной информации.
Компрометация – несанкционированное чтение информации,
формирование чужой подписи, изменение результатов голосования,
модификации баз данных и проч.
Криптоанализ – наука о взламывании секретной информации.
Криптограмма – обратимое преобразование открытого
(исходного) текста в кажущуюся случайной последовательность
знаков.
115
Криптография – наука о создании секретной информации.
Криптология – совместный криптоанализ и криптография.
Криптосистема, шифр или код – набор процедур для
управления секретной информацией небольшого объёма.
Кубит – когерентная суперпозиция двух различимых квантовых
состояний.
Луч световой – кривая, по которой распространяется световая
энергия.
Перемешивание – шифрующее преобразование, которое
нарушает взаимные связи статистических характеристик входного и
выходного текста.
Примат статистических закономерностей – вероятностный
характер законов природы.
Протокол – совокупность действий (инструкций, команд,
вычислений, алгоритмов), выполняемых в заданной
последовательности двумя или более субъектами с целью достижения
некоего результата.
Протокол криптографический – это такие протоколы, которые
используют криптографические преобразования данных.
Рассеивание – распространение влияния одного знака
открытого текста на символы криптограммы.
Связь квантовая – связь, при которой перенос информации
осуществляется с помощью кубитов.
Стеганография – техника скрытой передачи или скрытого
хранения информации.
Свет поляризованным – свет с упорядоченной ориентацией
векторов электрического и магнитного полей.
Свет линейно-поляризованный – свет, у которого направления
колебаний электрического и магнитного векторов в любой точке
пространства остаются неизменными во времени.
Свет плоскополяризованный – см. Свет линейно-
поляризованный.
Свет эллиптически-поляризованный – свет, у которого векторы
электрического и магнитного полей в любой точке пространства
вращаются, а концы этих векторов описывают эллипсы.
Свет циркулярнополяризованный – см. Свет эллиптически-
поляризованный.
116
Свет неполяризованный – свет, у которого векторы
электрического и магнитного полей хаотически изменяют свое
направление.
Свет естественный – см. Свет неполяризованный.
Шифр безусловно стойкий – результат не зависит от
вычислительной мощности, доступной криптоаналитику.
Фотон – квант (элементарная частица) электромагнитного
излучения.
117
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Д. Боумейстер, А. Экерт, А. Цайлингер. Физика квантовой
информации. М.: Постмаркет, 2002. – 376 с.
2. Wiesner S. Conjugate coding // Sigact News. 1983. – №15. –
P. 78-88.
3. Bennett C., Brassard G. Quantum cryptography: Public key
distribution and coin tossing // Proceedings of IEEE International
Conference on Computers, Systems and Signal Processing (Institute of
Electrical and Electronics Engineers, New York, 1984). – P. 175-179.
4. Ekert A. Quantum cryptography based on Bell's theorem // Phys.
Rev. Lett. 1991. №67. – P. 661-663.
5. Bennett C., Bessette F., Brassard G., Salvail L., Smolin J.
Experimental quantum cryptography // J. Cryptology. 1992. – №5. – P. 3-
28.
6. Muller A., Breguet J., Gisin N. Experimental demonstration of
quantum cryptography using polarized photons in optical fiber over more
than 1 km // Europhysics Lett. 1993. – №23. – P. 383-388.
7. Breguet J., Muller A., Gisin N. Quantum cryptography with
polarized photons in optical fibers: experimental and practical limits // J.
Mod. Opt. 1994. – №41. – P. 2405-2412.
8. Muller A., Zbinden H., Gisin N. Underwater quantum coding //
Nature. 1995. №378. – P. 449-449.
9. Muller A., Zbinden H., Gisin N. Quantum cryptography over 23
km in installed under-lake telecom fiber // Europhysics Lett. 1996. – №33.
– P. 335-339.
10. Marand C., Townsend P. Quantum key distribution over distances
as long as 30 km // Opt. Lett. 1995. – №20. – P. 1695-1697.
11. Townsend P. Simultaneous quantum cryptographic key
distribution and conventional data transmission over installed fiber using
wavelength-division multiplexing // Electronics Lett. 1997. – №33. –
P. 188-190.
12. Townsend P. Quantum cryptography on multiuser optical fibre
networks // Nature. 1997. – №385. – P. 47-49.
13. Townsend P. Quantum cryptography on optical fiber networks //
Opt. Fiber Tech. 1998. – №4. – P. 345-370.
14. Hughes R., Morgan G., Peterson C. Practical quantum key
distribution over a 48-km optical fiber network // J. Mod. Opt. 2000. –
№47. – P. 533-547.
118
15. Hiskett P., Bonfrate G., Buller G., Townsend P. Eighty kilometer
transmission experiment using an InGaAs/InP SPAD-based quantum
cryptography receiver operating at 1.55 μm // J. Mod. Opt. 2001. – №48. –
P. 1957-1966.
16. Kimura T., Nambu Y., Hatanaka T., Tomita A., Kosaka H.,
Nakamura K. Single-photon interference over 150km transmission using
silica-based integrated optic interferometers for quantum cryptography //
Jpn. J. Appl. Phys. 2004. – №43. – P. L1217-L1219.
17. Gobby C., Yuan Z., Shields A. Quantum key distribution over
122 km of standard telecom fiber // Appl. Phys. Lett. 2004. – №84. –
P. 3762-3764.
18. Takesue H., Diamanti E., Honjo T., Langrock C., Fejer M., Inoue
K., Yamamoto Y. Differential phase shift quantum key distribution
experiment over 105km fiber // New J. Phys. 2005. – №7. – P. 232.
19. Hiskett P., Rosenberg D., Peterson C., Hughes R., Nam S., Lita
A., Miller A., Nordholt J. Long-distance quantum key distribution in
optical fiber // New J. Phys. 2006. – №8. – P. 193.
20. Stucki D., Gisin N., Guinnard O., Ribordy G., Zbinden H.
Quantum key distribution over 67 km with a plug&play system // New
Journal of Physics. 2002. – №4. – P. 41.1– 41.8.
21. Kurtsiefer C., Zarda P., Halder M., Weinfurter H., Gorman P.,
Tapster P., Rarity J. Quantum cryptography: A step towards global key
distribution // Nature. 2002. – №.419. – P. 450.
22. Kurtsiefer C., Zarda P., Halder M., Weinfurter H., Gorman P.M.,
Tapster P., Rarity J. A step towards global key distribution // Nature. 2002.
– №419. – P. 450-450.
23. Rarity J., Tapster P., Gorman P., Knight P. Ground to satellite
secure key exchange using quantum cryptography // New J. Phys. 2002. –
№4. – P. 82.
24. Barbosa G., Corndorf E., Kumar P., Yuen H. Secure
communication using mesoscopic coherent states // Physical Review
Letters. 2003. – №90. – P. 27901.
25. Corndorf E., Liang C., Kanter G., Kumar P., Yuen H. Quantum-
noise randomized data-encryption for WDM fiber-optic networks //
Physical Review A. 2005.
26. Buttler W., Hughes R., Kwiat P., Lamoreaux S., Luther G.,
Morgan G., Nordholt J., Peterson C., Simmons C. Practical free-space
quantum key distribution over 1 km // Phys. Rev. Lett. 1998. – №81. –
P. 3283-3286.
119
27. Buttler W., Hughes R., Lamoreaux S., Morgan G., Nordholt J.,
Peterson C. Daylight quantum key distribution over 1.6 km // Phys. Rev.
Lett. 2000. – №84. – P. 5652-5655.
28. Hughes R., Buttler W., Kwiat P., Lamoreaux S., Morgan G.,
Nordholt J., Peterson C. Free-space quantum key distribution in day light //
J. Mod. Opt. 2000. – №47. – P. 549-562.
29. Bennett C. Quantum cryptography using any two non-orthogonal
states // Phys. Rev. Lett. 1992. – №68. – P. 3121-3124.
30. Huttner B., Imoto N., Gisin N., Mor T. Quantum Cryptography
with Coherent States // Phys. Rev. A. 1995. – № 51. – P. 1863-1869.
31. Bruss D. Optimal Eavesdropping in Quantum Cryptography with
Six States // Phys. Rev. Lett. 1998. – № 81. – P. 3018.
32. Goldenberg L., Vaidman L. Quantum Cryptography Based On
Orthogonal States // Phys. Rev. Lett. 1995. – №75. – P. 1239.
33. Koashi M., Imoto N. Quantum Cryptography Based on Split
Transmission of One-Bit Information in Two Steps // Phys. Rev. Lett.
1997. – №79. – P. 2383.
34. Jakobs B., Franson J. Quantum cryptography in free space // Opt.
Lett. 1996. – №21. – P. 1854-1856.
35. Martinelli M. A universal compensator for polarization changes
induced by birefringence on a retracting beam // Opt. Commun. 1989. –
№72. – P. 341-344.
36. Martinelli M. Time reversal for the polarization state in optical
systems // J. Mod. Opt. 1992. – №39. – P. 451-455.
37. Молотков С.Н. Об интегрировании квантовых систем
засекреченной связи (квантовой криптографии) в оптоволоконные
телекоммуникационные системы // Письма в ЖЭТФ. 2004. Т. 79. –
№11.
38. Молотков С.Н. Мультиплексная квантовая криптография с
временным кодированием без интерферометров // Письма в ЖЭТФ.
2004. Т. 79. – №9.
39. Alchalabi K., Zimin D., Kostorz G., Zogg H. Self-assembled
semiconductor quantum dots with nearly uniform sizes // Phys. Rev. Lett.
2003. – №90.
40. Румянцев К.Е., Хайров И.Е. Эффективность волоконно-
оптической системы передачи информации // Научно-практический
журнал «Информационное противодействие угрозам терроризма».
2004. – №2. – С. 50-52.
120
41. Голубчиков Д.М. Применение квантовых усилителей для
съёма информации с квантовых каналов распределения ключа //
Известия ТТИ ЮФУ, 2008. – №1(78). – С.119.
42. Голубчиков Д.М. Анализ способов съёма информации с
квантового канала распределения ключа и методы их обнаружения //
Современные информационные технологии – 2007: материалы
докладов Всероссийской НТК с международным участием, 2007.
43. Голубчиков Д.М. Анализ возможности использования
квантового усилителя для съёма информации с квантового канала
распределения ключа и методы его обнаружения // Информационные
системы и технологии 2007: материалы Всероссийской научно-
технической конференции студентов, аспирантов и молодых
специалистов. – Обнинск, 2007. – С. 52-53.
44. Румянцев К.Е., Хайров И.Е., Новиков В.В. Анализ
возможности несанкционированного доступа в квантово-
криптографическом канале // Материалы международной научной
конференции «Анализ и синтез как методы научного познания».
2004. Часть 3. – C. 55-57.
45. Румянцев К. Е., Шкондина Т. Д. Обнаружение
несанкционированного доступа к волоконным световодам в линиях
связи. Радиоэлектронные технологии информационной безопасности
// Сб. научных статей. – Таганрог: Изд-во ТРТУ, 2002. – С.103-116.
46. Румянцев К. Е., Шкондина Т. Д. Структура обнаружителя
несанкционированного доступа к волоконно-оптическим линиям //
Известия ТРТУ. – Таганрог: Изд-во ТРТУ, 2002. – № 2(12). – С.158.
47. Румянцев К. Е., Хайров И. Е., Новиков В. В. Доступ к
информации, передаваемой по квантово-криптографическому каналу
// Успех современного естествознания, 2004. – № 4. – С. 47-48.
48. Румянцев К. Е., Хайров И. Е., Новиков В. В. Распределения
секретного ключа в оптических сетях с кольцевой топологией
методами квантовой криптографии // Известия ТРТУ. Специальный
выпуск "Материалы 50-й научной конференции", 2004. – № 8. –
С.133-136. Таганрог: Изд-во ТРТУ, 2004.
49. Румянцев К. Е., Хайров И. Е., Новиков В. В. Анализ возмож-
ности несанкционированного доступа в квантово-криптографическом
канале // Материалы Международной научной конференции "Анализ
и синтез как методы научного познания". Часть 3. – Таганрог: Изд-во
ТРТУ, 2004. – С.55-57.
121
50. Румянцев К. Е., Хайров И. Е., Новиков В. В. Съём
информации в квантово-криптографическом канале // Материалы VI
Международной НПК "Информационная безопасность-2004". –
Таганрог, 2004. – С.302-305.
51. Румянцев К. Е., Хайров И. Е., Новиков В. В., Троцюк
Е. В. Способ формирования секретного ключа методами квантовой
криптографии // Материалы VI Международной НПК
"Информационная безопасность-2004". – Таганрог, 2004. – С.305-307.
52. Румянцев К. Е., Хайров И. Е., Новиков В. В. Доступ к
информации, передаваемой по квантово-криптографическому каналу
// Материалы заочной электронной конференции Российской
Академии Естествознания "Приоритетные направления развития
науки, технологий и техники". www. rae. ru. М., 2004.
53. Румянцев К. Е., Хайров И. Е., Новиков В. В., Хайрова
Е. Е. Измерение неизвестного поляризационного состояния фотона
при известном его типе поляризации // Материалы IХ Всероссийской
НТК "Методы и средства измерений физических величин". –
Н. Новгород, 2004. – С.6.
54. Румянцев К. Е., Хайров И. Е. Защита информации,
передаваемой по световодным линиям связи // Научно-практический
журнал "Информационное противодействие угрозам терроризма".
2004. – № 2. – С.27-32.
55. Румянцев К. Е., Хайров И. Е. Троцюк Е. В. Исследование
квантово-криптографического метода формирования секретного
ключа // Научно-практ. журнал "Информационное противодействие
угрозам терроризма". 2004. – № 2. – С.24-26.
56. Румянцев К. Е., Хайров И. Е., Новиков В. В., Троцюк
Е. В. Исследование физических принципов осуществления
несанкционированного доступа к квантовым каналам связи //
Информационное противодействие угрозам терроризма: Эл. науч.–
практ. журн., 2005. – № 6.
57. Rumyantsev K. E., Hayrov I. E., Novikov V. V., Trotsjuk
E. V. Research of physical principles of realization of the non-authorized
access to quantum communication channels // Scientific-practical
magazine «Information counteraction of the terrorism threats», 2005. –
№6.
58. Rumyantsev K. E., Hayrov I. E., Novikov V. V., Trotsjuk E. V.
DE velopment of the photorecEP tion module for atmospheric quantum
122
system of communication // Scientific-practical magazine “Information
counteraction of the terrorism threats”, 2005. – № 6.
Румянцев Константин Евгеньевич
Голубчиков Дмитрий Михайлович
Квантовая связь и криптография
Учебное пособие
Ответственный за выпуск Румянцев К.Е.

Редактор Лунёва Н.И.
Корректор Селезнева Н.И.
Оформление графического материала Румянцев К.Е.
ЛР №020565 от 23.06.1997 г. Подписано к печати

Бумага офсетная. Печать офсетная. Формат 60×84 1/16.
Усл.п.л. – 6,25. Уч.-изд.л. – 6,0.
Заказ № Тираж 100 экз.
"С"
___________________________________________________________
Издательство Технологического института
Южного федерального университета
ГСП 17 А, Таганрог, 28, Некрасовский, 44
Типография Технологического института
Южного федерального университета
ГСП 17 А, Таганрог, 28, Энгельса, 1

Румянцев К.Е., Голубчиков Д.М. - Квантовая Связь и Криптография

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Румянцев К.Е., Голубчиков Д.М. - Квантовая Связь и Криптография

Загружено:

Авторское право:

Доступные форматы

К. Е.

КВАНТОВАЯ СВЯЗЬ И КРИПТОГРАФИЯ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Федерального государственного образовательного

КВАНТОВАЯ СВЯЗЬ И КРИПТОГРАФИЯ

Р 865 Румянцев К. Е., Голубчиков Д. М.

Пособие содержит материал лекций по дисциплине "Квантовая

Ил. 27. Библиогр.: 58 назв.

© Технологический институт ЮФУ, 2009

Одним из приложений современной криптографии является

где I – тождественное отображение. Причём

Пусть источник ключа является статистическим процессом или

Допустим, надо зашифровать сообщение “КОД ВЕРНАМА”, из

Запишем в ячейки верхней строки созданной таблицы знаки

Условие (1.9) означает, что криптограмме длиной n с

Рис. 1.1. Структура симметричной криптосистемы

Рис. 1.2. Структура асимметричной криптосистемы

Злоумышленнику известны значения

где ε 0 = 10 7 4πc 2 Ф/м и μ 0 = 4π10 − 7 Гн/м – электрическая и

Рис. 2.1. Плоская линейно-поляризованная электромагнитная волна

Рис. 3.1. Поведение электрона в интерферометре

Рис. 3.2. Интерференционная картина в плоскости экрана

Рис. 3.3. Поведение микрообъекта в интерферометре при наблюдении

fFф1 sSф = ϕ1ψ ф1 .

Здесь складываются уже не амплитуды, а сами вероятности,

Общее выражение (3.13) для вероятности регистрации электрона

3.4. Измерительный процесс в квантовой физике

Несмотря на то, что по определению кубита, его свойства

Рис. 4.1. Волоконный ответвитель X-типа

Из формулы (4.8) следует, что амплитуда вероятности

Рис. 4.2. Условное обозначение устройства преобразования Адамара

4.3.2. Разделительный волоконный ответвитель Y-типа

Фотон с равной вероятностью 0,5 можно обнаружить на любом

Рис. 4.5. Последовательность из двух преобразований Адамара

Рис. 4.6. Интерферометр Маха-Цандера с фазовращателем

Рис. 4.7. Последовательность из первого преобразования Адамара,

Рис. 4.8. Принцип перепутывания

Уравнение (4.15) описывает то, что называют перепутанным

Здесь, например, ↑ обозначает частицу 1 со спином вверх.

Третье средство получить перепутанные состояния – это

5.4. Особенности проявления принципа неопределённости

Рис. 6.1. Фотоны с различной поляризацией, излучённые

Рис. 6.2. Выбранный получателем Бобом базис измерений

Рис. 6.3. Результаты измерений получателем Бобом состояний

Рис. 6.4. Случаи правильных замеров

Рис. 6.5. Получение ключевой последовательности по результатам

Бит отправителя Алиса 1 0 1 0 1 0

Рис. 7.1. Схема квантовой криптографической установки с

Рис. 7.2. Схема квантовой криптографической установки с

Рис. 7.3. Интерферометр Маха-Цендера

Рис. 7.4. Схема приёмопередающего модуля системы Id 3000 Clavis

Рис. 7.5. Схема кодирующего модуля системы Id 3000 Clavis

Рис. 7.6. Схема оптоволоконной системы квантовой криптографии на

Рис. 7.7. Квантовые состояния для схемы на временных сдвигах при

Квантовая связь и криптография

Ответственный за выпуск Румянцев К.Е.

ЛР №020565 от 23.06.1997 г. Подписано к печати

Похожие интересы

Вам также может понравиться