Доводы в пользу квантового распределения ключей

[скандалы, интриги, расследования]
/comment46842:

device-independent QRNG is so device-independent

И тут ВНЕЗАПНО: quant-ph/1201.4407.
Cудя по тому, с кем были совместные публикации у этих авторов, народ серьёзный. В интернетах уже смакуют: раз и два.
В народе ползут слухи, что Gisin... расстроен и собирает подписи¹.
Мораль: device-independent QKD trojan is really device-independent :)

¹Заручиться поддержкой сообщества в плане консенсуса, что всё на самом деле не так плохо?
[/скандалы, интриги, расследования]

Не понимаю из-за чего собственно шум. Что раньше считалось, что можно было доказать непротрояненность QKD-железа только на уровне изучения его параметров входа-выхода (как чёрного ящика)? И что в квантовом канале невозможно с троянского оборудования создать никакого побочного канала для злонамеренной утечки? И можно было проверять недоверяемое (и даже закрытое) железо, которое после тестирования пользователем могло бы быть определено в степени своей доверяемости? А теперь выяснилось, что это не так?

Если так, то просто одной разрекламированной фичей меньше, которая была бы полезна, но непринципиальна.

Более интересны были бы фундаментальные успехи в слабых измерениях. Как я понимаю — это приведёт к необходимости патчить все квантовые протоколы и непонятно, насколько практично вообще будет их после этого использовать?

раньше считалось, что можно было доказать непротрояненность QKD-железа только на уровне изучения его параметров входа-выхода (как чёрного ящика)? И что в квантовом канале невозможно с троянского оборудования создать никакого побочного канала для злонамеренной утечки? И можно было проверять недоверяемое (и даже закрытое) железо, которое после тестирования пользователем могло бы быть определено в степени своей доверяемости?

Про QKD не поручусь, всё-таки это сложная вещь, но про QRNG так считается. Суть в том, что если у вас есть 2 абсолютно чёрных ящика, которые никак не могут общаться между собой, и вы сравниваете результаты этих ящиков между собой, вычисляя корреляции, то можете доказать, что выдаваемый ими рандом истиный. Ящики выдают такие корреляции за счёт того, что между ними расшарена запутанная пара частиц. Без предрасшаренной такой пары нарушения Белла не получится. Если, допустим, атакующий (внутри чёрного ящика) будет лишь слегка возмущать выдаваемый чёрным ящиком правильный результат, то не знаю, что получится². Доказывается вроде примерно подобно доказательству ненарушаемости неравенств Белла в классических системах, но последнее я не очень понимаю. Это примерно то, что стало понятно из обсуждений с теми, кто имеет отношение к QRNG, но моё личное понимание тут обрывочно и почти всюду всюду плотно хромает.

В QKD запутанность используется, и потому, видимо, что-то device independent сделать можно (хотя, возможно, и не до такой степени как в QRNG или с большими ограничениями).

Более интересны были бы фундаментальные успехи в слабых измерениях.

Это нечто подобное (или даже частный случай) POVM-измерений, которые все и без того учитывают.

Как я понимаю — это приведёт к необходимости патчить все квантовые протоколы и непонятно, насколько практично вообще будет их после этого использовать?

Не думаю. Доказательство безопасности QKD-протоколов очень суровое. Там учитываются все возможные, так называемые, индивидуальные, коллективные и когерентные атаки. Считается, что Ева взаимодействует с пересылаемыми состояниями посредством своего состояния, которое нефакторизовано по использованиям³. Кроме того, измерение Ева проводит тогда, когда уже всё послано (все использования канала прошли) и провзаимодействовано. Для конкретных QKD-протоколов теоретически доказывается, посредством верхней границы, чтобы эта самая лучшая атака, и что Ева ничего не может сделать лучше в принципе (на самом деле это далеко за границами практических возможностей, т.к. именно так оперировать с состояниями ещё пока не умеют). Там довольно серьёзная работа, и доказательство безопасности очень сложное, далеко не сразу оно появилось. Вначале были доказательства против очень слабых атак, начиная с "intersept & resend" (она одна из возможных индивидуальных), и только потом доказали против самых сложных — когерентных, которые эффективнее всего (и это доказывается). Подавляющаю часть по доказательству сделал Renato Renner (говорят, вообще зверь, очень серьёзный). Наш коллектив тоже вложился в доказательство (это всё относительно давно было, ещё до меня). Так что информация почти из первых третьих рук. Для дискретных переменных там как-то оригинально сделали, а с непрерывными не получилось, но как-то хитро непрерывные свели к дискретным⁴. Какие-то вопросы по безопасности открытыми остались⁵, но они явно за пределами "тривиальных" или практических атак. В итоге считается, что большая часть теоретических задач по QKD уже решена, а те, что не решены — очень уж сложные.

Во время сравнения результатов Алисы и Боба, они выясняют уровень шума (ошибок) в канале, и на основе этого отбирают биты. Если же помехи атакующего выше некоторого уровня, исполнить протокол невозможно (согласно теории, нет гарантий, что критически большая часть ключа не утекла к атакующему).

Что-то подобное есть при клонировании состояний. В идеале неизвестное заранее состояние, конечно, не клонируется. Тем не менее можно сделать следующее:

Собственно, претензия Gisin'а⁶/сообщества в том, что, как я понял, та шумная статья

1. Слишком шумный заголовок
2. Статья "слабая" (это дословно): нет ничего кардинально нового, что и так не было известно специалистам (хотя может широко не афишировалось?). Они озвучили тривиальные вещи и ничего не сделали существенно нового.
3. Атаки полунадуманные
4. Набегут журналисты, оболванят баранов, те будут на каждом углу кричать что QKD не безопасно, а у кого-то коммерческие заказчики и spin-off'ы — им продавать вообще-то надо (недобросовестная антиреклама получается)

Дисклеймер: Я извиняюсь за терминологию. Пост писал урывками, подробно объяснять времени нет. Когда время есть, пишу ответ на предыдущий вопрос, но уже подробно, вдумчиво и попорядку, а потому очень медленно :( Короче, ничего не забыто, работа над документами движется. Потом можно будет вернуться к пофиксу статьи про хранение ключа в сети и к дополнениям в FAQ по анонимности. Больше на мне вроде бы никаких документов на сайте (пока) не висит.

²На днях появятся те, кто разрабатывает это непосредственно — обязательно спрошу. По-видимому, степень безопасности рандома — функция степени нарушаемости Белла(?).
³Реально там entanglement cloner: одна часть запутанной пары у Евы, а другая взаимодействует с пересылаемым состоянием, потом Ева свою часть мерит.
⁴Доказательство без использования дискретный переменных для непрерывных — до сих пор открытый вопрос.
⁵Типа доказать безопасность не для бесконечного числа посылов информации, а для конечного.
⁶Собственно, он и стоит за фирмой id quantique. Это spin-off от их научного коллектива.

Интересно. И понятно, что так просто ничего не может быть понятно.
Если даже такие развёрнутые и ответственные объяснения закономерно начинаются со слов:

Просто безо всякого понимания даже базовых понятий наткнулся на некую презенташку, к которой даже нет полноценной работы и удивился цитате:

The main aspect of security in quantum cryptography is the complete collapse of the quantum state if it is intercepted. Weak measurements could possibly be used to gain information about a system without collapsing the quantum state.
Caveat: weak measurement and reversal would introduce a slight delay that could be detected

В вики в статье про QKD как-то вскользь упомянуто, что протоколы с измерением задержек появились сравнительно недавно (2008). Возможно, что в аппаратуре Квантика их нет?

Основная мысль в том, что потребители QKD — это пока те, которым неважно сколько это стоит (в достижимых пределах) и неважно насколько это неудобно в практическом применении (при больших масштабах может быть выгодно построить свою инфраструктуру).

Т.е. там, где важна долговременная секретность данных, передаваемых в канале связи от всех возможных последующих теоретических атак. Например, когда перспектива, что ныне передаваемый трафик мог бы быть расшифрован спустя 50 лет из-за успехов в криптоанализе и развитии выч.техники является абсолютно неприемлемой.

А здесь как-бы оказывается, что теоретическая часть QKD вроде бы и сильна, но не совсем до конца проработана и может потребовать изменений на уровне протоколов. Вот это скорее и будет тревожить потребителей и даже специалистов, смутно представляющих себе тонкости квантовой физики: столько денег потратить, столько неудобств терпеть и даже в идеализированном безопасном окружении протокол возможно оказывается неидеальным.

И понятно, что так просто ничего не может быть понятно.

Да оно как бы и "да" и "нет" одновременно. С одной стороны, ничего сложного там нет, если найти время ознакомиться с основополагающими статьями по теме. С другой стороны, таких тем очень много, т.к. вся область квантовой информатики — слишком быстрорастущая, и ознакомление с каждой из тем требует общего знакомства с теоретическими основами квантмеха. Со знанием последних магическое автопонимание всех частных вопросов⁷ ничуть не появляется точно так же, как знакомство с матанализом не приводит к пониманию физики, криптографии или матэкономики. Это только со стороны кажется, что причастность к квантовой теории информации подразумевает какое-то понимание всех её тем, на практике же реализуется такой абсурд, что даже при реальной необходимости узнать ответ на какой-то вопрос по своей же теме (но тот, которым сам не занимался непосредственно), проще его спросить через личную переписку, чем понять из статьи. И вот так постепенно привыкаешь к тому, что есть такие частные вопросы, ответ на которые знают лишь несколько человек в мире, которые и посвятили их исследованию несколько лет. Соответственно, при их изложении используется стиль "покороче и посолидней", потому за вечер такое через себя не пропустишь, а если нужно понимание деталей, то и месяца может не хватить. Вспомнилось: Перельман опубликовал свои результаты где-то в трёх ёмких статьях, каждая из которых, кажется, даже не превышала стандартный лимит (40 страниц), а самые компетентные в мире лица их перепроверяли несколько лет, при этом итоговое развёрнутое изложение после переписывания представляло из себя толстую книгу.

Про неравенства Белла

Возвращаясь к теме неравенств Белла: при их использовании в QRNG у нас есть две потенциальных "дырки/уязвимости" (loophole): возможность коммуникации между частицами (т.е. между чёрными ящиками) и злонамеренные ошибки дететктора (detection efficiency loophole). Все текущие эксперименты по проверке неравенств Белла затыкали либо одну дырку, либо другую, но пока не удалось поставить эксперимент, закрывающий их обе одновременно. Это позволяет формально держать открытым вопрос о том, нарушаются ли неравенства Белла в физике на самом деле, или же это следствие несовершенства эксперимента. Теперь немного подробнее об этих дырах:

1. Ошибки дететктора: было показано, что если детектор иногда просто не срабатывает (делает вид, будто сигнал не был получен), то можно получить нарушение неравенств Белла, даже если их нет. И если в чистых экспериментах на проверку неравенств мы не подозреваем природу в специальной злонамеренности по отношению к эксперименту, то при обсуждении атак со стороны Евы, потенциально имеющей возможность блокировать сигнал, это необходимо принимать во внимание. Грубо говоря, нам нужны очень эффективные, точные, доверяемые и надёжные детекторы.
2. Возможность коммуникаций: чёрные ящики (частицы, или Алиса и Боб) не должны иметь возможность общаться между собой, иначе они могут симулировать нарушение неравенств Белла вполне классическими методами.

Теперь, если взять классические опыты со светом/фотонами, то мы надёжно затыкаем 2ую дырку (детекторы далеки друг от друга), но оставляем открытой первую. Если взять 2 частицы в магнитной ловушке, то затыкается 1ая дырка (там можно сделать очень надёжное детектирование), но откупоривается вторая. Резюмируя, у нас есть 2 уровня проблемы:

1. Вдруг неравенства Белла на самом деле не нарушаются, а их детектируемое нарушение — лишь следствие примитивности используемой физики микрочастиц, которая на самом деле — приближённая теория к какой-то нам неизвестной настоящей, какой-нибудь теории со скрытыми параметрами?
2. Пусть ответ на пункт A отрицательный, и неравенства Белла на самом деле могут нарушаться в квантовомеханических системах. Как тогда нам экспериментально соорудить прибор, в котором нарушаемость не сможет быть симулирована атакующим QRNG?

По ссылке на обсуждение экспериментов говорится

However, the experiment still suffered from the locality loophole because the qubits were only separated by a few millimeters.

В общем, несколько миллиметров — не большое расстояние между Алисой и Бобом, хотя не надо забывать, что первое QKD было всего на 1 метр. Там же:

Experimenters have repeatedly stated that loophole-free tests can be expected in the near future (Garcia-Patron, 2004). On the other hand, some researchers point out that it is a logical possibility that quantum physics itself prevents a loophole-free test from ever being implemented (Gill, 2003; Santos, 2006).

Лол :) Читаю английскую википедию, и мало того, что узнаю что-то новое, так ещё и то, что этим, оказывается, занимаются мои коллеги :) Что ж вы, unknown, раньше тему не подняли? Я б у Garcia-Patron лично выспросил как там с прогнозами. А теперь он в другой институт уехал. Даже не подозревал, что он и этой темой занимался.

[осторожно, это может быть бред]

Доказывается вроде примерно подобно доказательству ненарушаемости неравенств Белла в классических системах, но последнее я не очень понимаю.

Произносится примерно такой магический набор слов: состояния, нарушающие неравенства Белла, обязаны быть запутанными (entangled). По определению запутанное состояние двух систем — то, которое не представимо в виде выпуклой суммы прямых произведений состояний подсистем. В случае изолированных систем это вроде бы сводится к просто нефакторизованному состоянию (если факторизованно, то незапутанно (сепарабельно), иначе — запутанно). Соответственно, непредставимость в виде произведения независимых частей (или выпуклой суммы таких произведений) говорит о том, что у нас есть некоторая скрытая переменная, внутренне присущая обеим системам сразу, которая и не позволяет нам их факторизовать. Поскольку в классической механике/статистике таких переменных нет (удалённые невзаимодействующие между собой системы никакими переменными не связаны между собой), то утверждается, что и запутанными их состояния быть не могут, а, следовательно, и нарушать неравенства Белла.
[/осторожно, это может быть бред]

По-видимому, степень безопасности рандома — функция степени нарушаемости Белла(?).

Предварительно подтверждается. Как в QKD уменьшается длина доверенного ключа с ростом шума, так и в QRNG уменьшается количество доверенно случайных бит при уменьшении нарушенности неравенств Белла. В пределе получаем ненарушающее неравенство состояние, при котором доверенно безопасных случайных бит нагенерить (в этой модели) нельзя вообще.

Хотя рабочие научные массы и не забивают себе голову такими вещами, как оправданность отказа от теорий скрытых параметров, от ненарушаемости неравенств Белла, от детерминизма... да и в учебниках острые углы скруглены, а про многие такие вещи стараются даже не упоминать, но на самом деле жизнь теплится, и кто-то потихоньку копает эти темы. Например, параллельно с общепринятой квантовой механикой существует маргинальная (по количеству вовлечённых, но не из-за лженаучности) деятельность по развитию бомовской квантовой механики, где якобы удаётся не отказываться от детерминизма. А есть нобелевский лауреат Hooft, который считает, что скрытые переменные можно "спасти":

He believes that there should be a deterministic theory underlying quantum mechanics. Using a toy model he has shown how such a theory could avoid the usual Bell inequality arguments that disallow such a hidden variable theory

Так что с глобальной точки зрения всё сложно: везде есть своё болото :(

Про device-independent QRNG

Теперь, что касается собственно device-independent QRNG в вышеозначенном смысле (проверка неравенства Белла): этим занимается Stefano Pironio. Насколько я понял, успехи следующие: 2 частицы в ловушке, расстояние между ними микрометры (соответственно, detector efficiency затыкают, а communication — очень слабо), истино рандомных чисел удалось негенерить совсем мало, так что пока не технологично, но и это — большой успех по сравнению с чисто теоретической статьёй. О коммерциализации пока речь вообще не идёт, т.к. частицы в ловушке... ну вы понимаете: низкие температуры, вакуум, отдельное помещение... Теорию можно почитать по ссылкам arXiv:1111.6056 и arXiv:0909.3171.

На днях появятся те, кто разрабатывает это непосредственно — обязательно спрошу.

Конечно, то, что пытается коммерциализоваться⁸ у нас (как и у всех остальных) — не имеет никакого отношения к device independent (т.е. обычная оцифровка), но народ бдит за прогрессом в теме.

Про device-independent QKD

Что раньше считалось, что можно было доказать непротрояненность QKD-железа только на уровне изучения его параметров входа-выхода (как чёрного ящика)? И что в квантовом канале невозможно с троянского оборудования создать никакого побочного канала для злонамеренной утечки? И можно было проверять недоверяемое (и даже закрытое) железо, которое после тестирования пользователем могло бы быть определено в степени своей доверяемости?

Ссылки на работы с архива по крайней мере говорят о том, что цель такая ставится, и работа над такими протоколами активно ведётся:

1. Device-independent security of quantum cryptography against collective attacks (15 Feb 2007).
2. Secure device-independent quantum key distribution with causally independent measurement devices (8 Sep 2010).
3. Fully Distrustful Quantum Cryptography (26 Jan 2011):

   In the distrustful quantum cryptography model the different parties have conflicting interests and do not trust one another. Nevertheless, they trust the quantum devices in their labs. The aim of the device-independent approach to cryptography is to do away with the necessity of making this assumption, and, consequently, significantly increase security. In this paper we enquire whether the scope of the device-independent approach can be extended to the distrustful cryptography model, thereby rendering it `fully' distrustful. We answer this question in the affirmative by presenting a device-independent (imperfect) bit-commitment protocol, which we then use to construct a device-independent coin flipping protocol.

В общем, тема очень перспективная, интересная, при удачном развитии — очень технологически востребованная, потому упомянутая выше ссылка на "Prisoners of their own device: Trojan attacks on device-independent quantum cryptography" пришлась народу совсем не по вкусу :)

Резюме:

⁷Неравенства Белла, ЭПР, запутанность, QKD, QRNG, GMPS, квантовые схемы, квантовые алгоритмы, клонирование запутанности, квантовое исправление ошибок, квантовая логика, квантовая томография, сверхплотное кодирование, когерентная информация и тысячи, тысячи других... с той или иной степенью, важностью и влиянием на всю квантовую науку в целом. На quantiki общественный разум пытается коллективно написать Handbook of Quantum Information, где были бы освещены актуальные на текущий день своего рода "квантовые примитивы" (по аналогии с криптопримитивами).
⁸См. это и это, уже упоминавшиеся в /comment46775.

Доказательство безопасности QKD-протоколов очень суровое. Там учитываются все возможные, так называемые, индивидуальные, коллективные и когерентные атаки.

В отличие от доказательства стойкости одноразового блокнота

Квантовые хакеры про безопасность QKD

Поидее все возможные атаки в продаваемой аппаратуре должны учитываться. Во всяком случае, говорят, что вот это:

The most promising solution is the decoy state idea,[26] in which Alice randomly sends some of her laser pulses with a lower average photon number. These decoy states can be used to detect a PNS attack, as Eve has no way to tell which pulses are signal and which decoy. Using this idea the secure key rate scales as t, the same as for a single photon source. This idea has been implemented successfully first at University of Toronto,[27][28] and in several follow-up QKD experiments,[29] allowing for high key rates secure against all known attacks.

(decoy state) и time-bin'ы (упоминалось в /comment41205) реализованы в том, что продаёт Квантик. По поводу остального — не в курсе.

Как гласит ссылка из википедии, требуется одновременное выполнение следующих условий:

1. Eve cannot access Alice and Bob's encoding and decoding devices.
2. The random number generators used by Alice and Bob must be trusted and truly random (for example a Quantum random number generator).
3. The classical communication channel must be authenticated using an unconditionally secure authentication scheme.
4. The message must be sent encrypted by correctly used one-time pad (unconditionally secure encryption) scheme.

По-видимому, все атаки на имплементацию (описанные там в секции Hacking attacks) относятся к нарушению каких-то из вышеприведённых 4х пунктов. Если это так, то нет ничего удивительного в том, что и тривиальный intersept & resend сработает. Безопасность протокола доказывается в рамках допущений, по сути это просто математическая теорема. Если же атакующий может выйти за рамки предполагаемой модели и получить ключ, это не говорит о том, что теорема вдруг стала неверна⁹. К слову сказать, 2ой пункт — существенный: если нет истиного рандома для бутстрэпа, то не получится безопасных ни QRNG с Белл-тестом, ни QKD.

Ранее здесь уже упоминался сайт самых известных суровых норвежцев "квантовых хакеров": там висит видео со взломом квантовой криптосистемы. С первых же слов они явно говорят, что коммерчески производимые приборы не соответствуют той модели взаимодействия Алиса, Бобы и Евы, для которой доказана безопасность QKD. В частности, там же они рекламируют статью-главу по QKD, ими написанную для одной книжки по безопасности коммуникаций для широкой аудитории. Как говорится, кому доверять больше, чем тем, кто сам своими руками QKD ломает. Общий тренд я вроде угадал, и там освещается именно тот вопрос который задал unknown (см. § 5.5 Practical Quantum Cryptography на стр.6, § 5.5.2 Security Proofs на стр.8, § 5.6 Technology на стр.9, и § 5.7 на стр. 12)¹⁰. Некоторые цитаты со статьи:

The intuition as to why quantum key distribution provides perfectly secret key is quite straightforward. However, the details of the proofs are very involved [15]. If one assumes that Eve can only interact with one qubit at a time¹⁴ and that Alice and Bob are using a perfect implementation of the protocol, it has been proven that Eve will never know as much as Bob provided that the quantum bit error rate is less than 14.65%. If Eve has unlimited power and can coherently attack an unlimited number of qubits,¹⁵ i.e., she can do everything allowed by the known laws of physics, it has been proven that a quantum bit error rate less than 11% is required for secure communication. As long as the error rate is below this threshold, the security proof provides an equation that can be used to compute the required amount of privacy amplication (Figure 5.5).

The security has been proven strictly for certain idealized models of equipment. However, most of the current discussion is whether imperfections in real hardware (not yet accounted by the proofs) may leave loopholes, and how to close these loopholes [5].

Although quantum cryptography is quite technologically mature, and commercially it currently enjoys a tiny niche market, perspectives of wider adoption are unclear. On the one hand, classical cryptographic systems based on assumptions on computational complexity are very good and convenient: welldeveloped, cheap, can work at high bitrates over unlimited distance. As we have discussed in the Introduction of this chapter, their security is not guaranteed against future advances in cryptanalysis (and strictly speaking not even guaranteed today), but their convenience is almost unbeatable. Should any of them fall, this would not be the first historical example when the ease of use was preferred over stricter security [18].

On the other hand, a quantum key distribution link is limited by distance and bitrate, and is currently relatively expensive to set up. In fact, sending a person (trusted courier) carrying a hard disk lled with random numbers would provide a larger key supply than most quantum key distribution links could deliver over their operation lifetime. Note that the quantum key distribution link also needs a short key for the initial authentication, so the trusted courier is involved anyway. However, the ability to grow key limitlessly from the short authentication key makes quantum cryptography scale well in a network of many users, while in the hard disk distribution scenario the required storage capacity would quickly become unrealistic [11].

The untrusted-node network can use optical switches at the nodes to create an uninterrupted optical channel between end users. This is realistic with today's technology, but the optical switches do not increase transmission distance and can thus only be used in a geographically compact network. An alternative idea is to use so-called quantum repeaters at the untrusted nodes, which in theory can increase the distance far beyond the 250 km limit. However, quantum repeaters remain a future technology. The untrusted-node network conguration can realize the full potential of quantum cryptography, and perhaps provide a decisive advantage over using trusted couriers and other key distribution methods. For example, each user can get and store only initial authentication keys for every other network user, then grow more key material with any user as needed.

The feasibility of quantum cryptography has now been demonstrated over distances up to 250 km, and in key distribution networks. Although the systems still suer from low key transmission rates, they do provide means for secure communication if the public-key systems used today are not trusted. But foremost, today quantum cryptography is developed with an eye towards a future in which cracking classical public-key ciphers might become practically feasible. For example, a quantum computer might one day be able to crack today's codes. Quantum cryptography is also an excellent example of the intimate interplay between fundamental and applied research.

На той же странице, чёрным по белому:

Quantum cryptography is secure in principle; the hardware problem this demo exploits is patchable. But developers should be beware of undiscovered implementation loopholes! We hope this work will focus their attention on implementation security and make the next generation of quantum cryptography systems stronger.

In a nutshell, the quantum cryptography is not broken (it’s secure in principle), but its commercial implementations as of early 2010 are shown to contain a nasty technological loophole. It’s patchable of course... just a question of time.

Our task is to make sure eavesdropping also gets caught in practice. In our daily work, we scrutinize implementations of quantum cryptography. First, we play the role of the eavesdropper and try to hack quantum cryptosystems by taking advantage of non-ideal behavior of the present-day quantum cryptographic hardware. Naturally, we often do find security problems. Then, we suggest countermeasures, either practically by modifying the setups, or theoretically by modifying the way of communicating. This is an iterative process. It should eventually make quantum cryptosystems harder to crack, ultimately approaching the goal of absolute security.

Нда, во всём есть доля истины, даже в этом :) Там же:

How can we make a system secure when there are imperfections? With the rules of quantum mechanics, we can prove security even in the presence of non-ideal equipment. We try to incorporate different kinds of imperfections into the security proofs. Our ultimate goal is a completely secure system, where all imperfections that cannot be eliminated are taken into account.

Т.е. если в итоге окажется, что никак не уйти от несовершенства приборов и не заставить их работать в рамках той простой модели, для которой доказана абсолютная безопасность QKD, ничего не останется, кроме как усложнять модели и доказывать для них безопасность заново¹¹. Конечно, другие модели влекут за собой другие скорости передачи ключа, это может влиять на коммерческую резонность... Всё сложно.

Красноречивее всего уже сказано выше цитатой из статьи от квантовых хакеров:

Should any of them fall, this would not be the first historical example when the ease of use was preferred over stricter security

Но главное — даже не это. Помимо трафика есть места хранилища контента: их-то чем шифровать? Ситуация достаточно искуственная: канал недоверен полностью, а о местах хранилища информации можно не беспокоиться? Или для них и классического крипто "хватит"?

Кстати, квантовый хакинг — это ещё и весело... умеют себя люди подать.

Разное

После такой статьи уже можно короче и по существу, т.к. в целом всё стало ясно.

Там видно, что автор рассказывал про слабые измерения, а QKD был упомянут лишь чтобы подчеркнуть важность применения этих самых слабых измерений в народном хозяйстве. Автор не обязан быть специалистом по QKD... В общем-то, им сказанное формально верно, если не вдаваться в детали.

"Приземлённое" обсуждение было выше. Что же касается совсем теоретических проблем, то они всегда были, есть и будут, но люди работают над их устранением. В физике вообще нет понятия доказанности (а по-хорошему — даже в математике). Просто обобщается экспериментальный материал, все наблюдаемые факты преподносятся как следствие какой-то теории. Из кучи теорий выбирают ту, которая проще остальных при том же уровне согласия с экспериментом. При уточнении теории описывают рамки её применимости и экспериментальной верифицированности. Всегда остаётся элемент вероятности, что найдётся какое-то новое явление/эксперимент, которые заставят существенно пересмотреть всю картину физики (как это было с теорией относительности¹² или квантовой механикой).

Пример:

В силу вышесказанного ответ должен быть ясен. В рамках модели QKD доказуемо безопасно. Когда эту модель мы реализуем в виде конкретных несовершенных приборов, у нас часто не получается. Один из выходов — менять (усложнять) модель, и заново доказывать безопасность. Другой выход — затыкать возможности атакующему выйти за рамки нашей модели. Как выше видно по публикациям, делают и это, и то, хотя изменение модели — явно не мейнстримное направление.

Безопасность QKD в рамках модели и строго оговоренных допущений доказана строго, а какая-то модель и хотя бы какие-то допущения в ИБ будут всегда.

При компетентном подходе нужно заслушать специалистов по ИБ на крупном корпоративном рынке, которые в курсе решаемых задач и могли бы ответить, нужно ли такое вообще где-то (с учётом всех вышеприведённых оговорок) или нет. Лично мне кажется, что QKD пало жертвой собственного же успеха: раньше по системе еврогрантов оно относилось к future technologies, и его активно финансировали, а теперь оно уже в разряде стартапов, т.е. должно выйти на рынок и начать конкурировать с другими решениями по безопасности и животноводством. Но в текущем виде оно никому (в здравом уме) не нужно (разве что PR'а ради, если он экономически себя оправдает), а на доводку до интересных коммерции решений (экономичных, практичных, безопасных) уйдут ещё минимум годы. Говорят, когда в Вене был SEQOQC (wiki), все посмотрели и денег им под это дело больше не дали. White paper для этого SECOQC можно почитать тут (много букв, но это как раз документ для бизнесменов, которые должны прочитать, понять и бегом побежать инвестировать в QKD).

Последние новости

Тем временем жизнь потихоньку идёт. В зоопарке QKD-протоколов неконец-то озаботились вопросами стандартизации. Появились новые обзоры по QKD, где много внимания уделено и непрерывным переменным¹³. По поводу /comment40664:

Теперь помимо коммерческих стартапов с дискретными переменными¹⁴ появились и с непрерывными: SeQureNet ("Readily available for 32-bit and 64-bit linux" — а винды нет что ли?). Занимается spin-off'ом Romain Alleaume и Philippe Grangier (вот страница научного коллектива, стоящего за spin-off'ом). Кстати, никто не хочет сделать головокружительную карьеру в QKD на непрерывных переменных? Вакансии имеются. Вроде как они будут реализовывать протокол, безопасность которого доказывали у нас¹⁵.

⁹Представьте себе ситуацию: НИСТ, конкурсы, алгоритмы, криптопримитивы... а потом прибегают люди, которые методом паяльника, холодной перезагрузки, через ieee 1394 или методом live forensics (перезагрузка с моментальным подцеплением содрежимого оперативной памяти) извлекают ключ из памяти и кричат о том, что криптография взломана. Главное, это громко и убедительно, а в качестве скормной попытки привлечь внимание широкого сообщества и грантодавцев — даже позволительно. Действительно, с точки зрения ИБ, это взлом. Только вот это не имеет никакого отношения к взлому криптоалгоритма. Здесь параллель с QKD, ИМХО, вполне уместна.
¹⁰unknown'у и всем остальным: эта статья, на мой взгляд, — то, что стоило бы перевести на русский и добавить к нам на сайт: материал свежий (пол года назад было), написан более чем компетентно, всё в общих чертах и по сути, но без углубления в математику — для нашей аудитории самое то. Не возьмётесь? Пользуясь административным национальным ресурсом, можно сначала поинтересоваться, нет ли уже переведённого варианта, дабы не делать двойную работу.
¹¹Напоминает историю с лазерами. Обычно их объясняют на двухуровневой модели, где создаётся инверсия заселённости квантовых уровней, и при релаксации на нижний уровень как раз и возникает свет. Всё хорошо, модель отличная, её до сих пор используют для объяснения общих принципов, только вот в реальности на двух уровнях работать не будет :) [объяснение уже не помню].
¹²И, заметьте, это не какие-то там себе абстракции: координаты GPS расчитываются с учётом эффектов даже общей(!), а не только специальной теории относительности. Не будь учёта этих поправок — точность была б вообще никакой, даже для животноводства.
¹³Параграфы V. Continuous-variable protocols (A. Status of security proofs) и VIII. Perspectives не очень обнадёживают :(
¹⁴Id quantique жив, но живёт преимущественно за счёт продажи счётчиков фотонов, а QKD-бизнес — просто "добавка сверху"; MagicQ жив; SmartQuantum переехал на другой домен и я теперь не могу найти упоминаний про QKD; на рынке появились австралитяне + кое-какие крупные компании ведут исследования, судя по википедии.
¹⁵Судя по статье, ничего сверхестественного нет: всё равно же доказывается не с нуля, а сводится к тому, что уже получено/доказано/найдено ранее. Во всяком случае то, чем мы занимаемся сейчас, намного труднее таких доказательств.

< Просто, кроме вас здесь никто такой реферат составить не смог бы. Для этого нужно хотя бы, чтобы
< базовые основы в этой теме были не пустым звуком.

Сей котяра цельнотянут из ссылки unknown'а про RNG. Очень мне напоминает, не знаю почему, фото SATtva'ы, некогда бывшее на его сайте.
Капча "котята" символизирует.

< базовые основы в этой теме были не пустым звуком по сравнению с теми, для кого
< уравнение Шрёдингера — просто набор символов.

< область квантовой информатики — слишком быстрорастущая ... 
< ... тысячи, тысячи других... с той или иной степенью, важностью и влиянием на всю квантовую науку в целом.

P.S.: Давеча unknown обсуждал работы Киш'а. Публика говорит, что мало того, что его работы/умозаключения ни чем не обоснованы, так ещё добавляют, что они в принципе недоказауемы (т.е. это не временное состояние дел, а принципиальное), в отличие от квантовой криптографии.

¹⁶Введено Сударшаном (дословно — что-то типа "хорошо/ясно видящий" на малайаламе) в 1961ом году. Позже оно было использовано в книге Крауса "States, Effects and Operations: Fundamental Notions of Quantum Theory" 1983го года, после чего все начали цитировать эту книгу и называть "разложением Крауса". В статьях пишут, что Сударшан это ввёл только для открытых (т.е. неизолированных) систем, а Краус позже показал важность вполне положительности (completely positive) и наоборот отказался от необходимости открытости. Не знаю, насколько такие объяснения правомочны, чтобы назвать исключительно в честь Крауса.

Ранее с Сударншаном уже была неприятная история: несмотря на равный вклад в становление квантовой оптики как науки вместе с Глаубером, нобелевскую дали только Глауберу (2005ый год). Одни учёные это объясняют bias'ом и белокожестью, другие — тем, что у Глаубера всё то же было написано понятней, чем у Сударшана, хотя формально было у обоих. Во всяком случае, принято считать, что Сударшана обошли премией объективно незаслужено. Будучи заклятыми друзьями, они параллельно работали над одним и тем же, идя параллельно голова-в-голову, потому неизбежно одни и те же вещи появлялись первыми то у одного в статьях, то у другого. При этом каждый из них считал, что другой ворует его результаты. После вручения премии Глауберу Сударшан был недоволен и писал письма, в том числе в NY Times. Одна из претензий сводилась к тому, что им введённый объект называют либо P-function, либо Glauber P-fucntion, либо, уж в крайнем случае, Glauber-Sudarshan P-function, ставя Глаубера на первое место. Видимо, с годами справедливость попыталась-таки восторжествовать: заходим на страницу Sudarshan'а и видим "Sudarshan-Glauber representation". Так же называется и линк на саму страницу про представления, только вот заголовок там как был "Glauber–Sudarshan P-representation, так и остался :-) Ржал до слёз. В научной литературе пока не встречал простановку Сударшана на первое место.

Работа Макарова и соавторов действительно хорошо написана для понимания вопроса в общем виде.
Кстати, не по теме, но раз стали вспоминать другие виды криптографии на физических принципах, один из известных авторов фигурирует в новой работе по шумовой криптографии. Смысл в улучшении доказательств безопасности и лучшем соединении криптографических методов с "шумовыми". Это "нормальная" шумовая криптография, связанная с Винером, а не с Кишем.

< Теперь, что касается собственно device-independent QRNG в вышеозначенном смысле
< (проверка неравенства Белла): этим занимается Stefano Pironio. Насколько я понял, успехи
< следующие: 2 частицы в ловушке, расстояние между ними микрометры (соответственно, detector
< efficiency затыкают, а communication — очень слабо), истино рандомных чисел удалось негенерить
< совсем мало, так что пока не технологично, но и это — большой успех по сравнению с чисто
< теоретической статьёй. О коммерциализации пока речь вообще не идёт

A1) Квантовая механика верна

я ... в тонких свойствах материи и квантовыми технологиями пока ещё уже не до конца разобрался :-(

им введённый объект называют либо P-function, либо Glauber P-fucntion