English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Un nouveau câble sous-marin pour relier le Royaume-Uni à l'Europe continentale
Sep 24, 2023Les câbles de télécommunications sous-marins constituent un superbe réseau sismique
Sep 30, 2023Optique Mossberg 500
Nov 28, 2023Caractérisation de la sensibilité des câbles à fibres optiques aux vibrations acoustiques
Dec 25, 2023AT&T se penche sur la définition de la vitesse du haut débit et s'oppose au haut débit à fibre symétrique en milieu rural
Dec 31, 2023Pratique continue
Nov 24, 2023Nature Communications volume 13, Numéro d'article : 4740 (2022) Citer cet article
4124 accès
14 Citations
4 Altmétrique
Détails des métriques
Un système de distribution de clé quantique (QKD) doit répondre à l'exigence de composabilité universelle pour garantir que toute application cryptographique (utilisant le système QKD) est également sécurisée. De plus, la preuve théorique responsable de l'analyse de sécurité et de la génération de clé devrait répondre au fait que le nombre N d'états quantiques distribués est fini en pratique. Le QKD à variable continue (CV) basé sur des états cohérents, bien qu'il soit un candidat approprié pour l'intégration dans l'infrastructure de télécommunications, n'a jusqu'à présent pas été en mesure de démontrer la composabilité car les preuves existantes nécessitent un N assez grand pour une génération de clé réussie. Nous rapportons ici un système CVQKD à états cohérents à modulation gaussienne qui est capable de surmonter ces défis et peut générer des clés composables sécurisées contre les attaques collectives avec N ≈ 2 × 108 états cohérents. Grâce à cette avancée, rendue possible grâce aux améliorations apportées à la preuve de sécurité et à un fonctionnement système rapide, mais silencieux et très stable, les implémentations CVQKD font un pas significatif vers leurs homologues à variable discrète en termes de praticité, de performances et de sécurité.
La distribution quantique de clés (QKD) est la seule solution cryptographique connue permettant de distribuer des clés secrètes aux utilisateurs via un canal de communication public tout en étant capable de détecter la présence d'un indiscret1,2. Dans un cas idéal, les utilisateurs légitimes de QKD (Alice et Bob) cryptent leurs messages avec les clés secrètes et les échangent avec l'assurance que l'espion (Eve) ne peut pas briser la confidentialité des messages cryptés.
Dans l'une des variantes les plus connues de QKD, l'information quantique est codée en variables continues2,3,4,5, telles que les quadratures d'amplitude et de phase du champ optique, décrites par un opérateur d'annihilation \(\hat{a }\). Alice encode des bits aléatoires, par exemple en modulant le champ du signal optique pour obtenir un état cohérent qui suit la relation \({\hat{a}}_{{{{{{{\rm{sig}}}}}} }}}\left|\alpha \right\rangle={\alpha }_{{{{{{{{\rm{sig}}}}}}}}}\left|\alpha \right\rangle\) , avec la partie réelle [imaginaire] de la valeur complexe αsig égale à la quadrature d'amplitude [phase]. Bob décode ces informations en utilisant une détection cohérente, facilitée par un soi-disant oscillateur local (LO), qui donne une quantité \(\propto {\beta }_{{{{{{{{\rm{LO}}}}} }}}}{\hat{b}}_{{{{{{{\rm{sig}}}}}}}}}^{{{{\dagger}}} }+{\beta }_ {{{{{{{\rm{LO}}}}}}}}^{*}{\hat{b}}_{{{{{{{{\rm{sig}}}}} }}}}\) pour un opérateur de champ entrant \({\hat{b}}_{{{{{{{\rm{sig}}}}}}}}}\) et avec ∣βLO∣2 comme intensité LO.
La figure 1 montre ces étapes de préparation d'état quantique, de transmission (sur un canal quantique) et de mesure, qu'Alice et Bob exécutent au début du protocole à variable continue (CV)QKD. L'étape quantique est suivie d'étapes classiques de traitement de données et d'une analyse de sécurité, effectuée conformément à une preuve mathématique de "sécurité", pour obtenir une clé d'une certaine longueur. Pour cela, Alice et Bob utilisent un canal authentifié sur lequel Eve ne peut pas modifier les messages communiqués mais peut apprendre leur contenu. Une fois l'étape classique terminée, Alice et Bob utilisent leurs clés secrètes pour crypter leurs messages, et les textes chiffrés résultants sont échangés à l'aide d'un canal de communication, par exemple une ligne téléphonique, et décryptés.
Alice et Bob obtiennent des corrélations quantiques sur le canal quantique au moyen de la modulation (MOD) et de la détection homodyne/hétérodyne assistée par oscillateur local (LO) pour préparer et mesurer, respectivement, des états optiquement cohérents. Après avoir parcouru les étapes restantes du protocole qui impliquent le canal authentifié, ils obtiennent respectivement les flux binaires corrélés sA et sB. Certains critères associés à l'exactitude, à la robustesse et au secret du protocole doivent être satisfaits pour que l'application assure une sécurité composable7,10. Par exemple, la ϵ-exactitude implique qu'Alice et Bob possèdent la même clé symétrique s( = sA = sB) sauf avec une probabilité ϵcor qui borne la probabilité qu'ils aient des clés non identiques (Pr[sA ≠ sB]≤ϵcor). Cette clé peut être utilisée pour chiffrer un message et déchiffrer le texte chiffré correspondant sur le canal de communication. Les lignes pointillées avec des flèches indiquent la communication classique à travers le canal et les opérations locales. Eve est supposée contrôler tous les canaux. De plus amples détails sur la mise en œuvre de notre protocole CVQKD sont présentés dans les sections suivantes de cet article.
Parmi les nombreuses considérations physiques incluses dans la preuve de sécurité, les actions d'Eve sur les canaux (notamment son interaction avec les états quantiques transmis) sont classées sous forme d'attaques individuelles, collectives ou générales, par ordre croissant de puissance et de généralité1,2. Par exemple, une preuve de sécurité répondant à une attaque collective permet à Eve de stocker le résultat de ses interactions avec les états quantiques dans une mémoire quantique, puis d'effectuer une mesure collective. De plus, le fait qu'Alice et Bob ne peuvent pas utiliser un nombre infini d'états quantiques dans la pratique affecte négativement la longueur de la clé, mais de telles corrections de taille finie sont essentielles pour l'assurance de la sécurité. Une autre propriété connexe d'une clé secrète est la composabilité6, qui permet de spécifier les exigences de sécurité pour combiner différentes applications cryptographiques de manière unifiée et systématique. Dans le contexte du QKD pratique, la composabilité est de la plus haute importance car les clés secrètes obtenues à partir d'un protocole sont utilisées dans d'autres applications, par exemple le chiffrement de données7. Une clé secrète non composable est donc pratiquement inutile.
La sécurité composable dans CVQKD a d'abord été prouvée8 et démontrée expérimentalement9 en utilisant des états compressés à deux modes, mais la distance de communication réalisable était plutôt limitée car la relation d'incertitude entropique utilisée n'est pas étroite. Les preuves composables pour les systèmes CVQKD utilisant des états cohérents et la détection de double quadrature, proposées pour la première fois en 201510, ont été progressivement améliorées11,12,13,14,15. Certaines de ces preuves offrent même une sécurité contre les attaques générales, mais toutes promettent des clés à des distances beaucoup plus longues que dans la réf. 8 mis à part l'avantage de traiter des états cohérents, beaucoup plus faciles à générer que des états compressés.
Néanmoins, la preuve la plus solide16 que les implémentations réelles de CVQKD à état cohérent, par exemple, refs. 17,18,19,20,21, ont utilisé jusqu'à présent n'inclut malheureusement pas de définitions composables. Une démonstration expérimentale de la composabilité dans CVQKD est donc restée insaisissable, et cela est dû à une combinaison des limites de sécurité strictes (à cause d'une routine complexe d'estimation des paramètres), du grand nombre de transmissions d'états quantiques requises (pour conserver les termes de taille finie suffisamment faible) et les exigences strictes en matière de bruit excessif tolérable.
Dans cet article, nous démontrons une configuration CVQKD de faible complexité capable de générer des clés composables sécurisées contre les attaques collectives. Nous y parvenons en dérivant une méthode pour établir des intervalles de confiance compatibles avec les attaques collectives, ce qui nous permet de travailler sur des tailles de blocs plus petites (et donc plus pratiques) que celles requises à l'origine10. Alice produit des états cohérents en codant des informations gaussiennes dans des bandes de fréquence (latérales) décalées de la porteuse optique22 au moyen d'un seul modulateur électro-optique en phase et en quadrature (IQ). Bob décode ces informations à l'aide d'un véritable hétérodynage radiofréquence (RF) assisté par LO, mis en œuvre avec un seul détecteur équilibré, suivi d'un traitement numérique du signal (DSP)23. En effectuant une analyse minutieuse pour éradiquer ou éviter diverses composantes de bruit parasites, et en mettant en œuvre un cadre d'apprentissage automatique pour la compensation de phase24, nous sommes en mesure de maintenir l'excès de bruit en dessous du seuil de longueur de clé nulle. Après avoir pris en compte les effets de taille finie ainsi que les intervalles de confiance de divers étalonnages du système, nous obtenons une longueur de clé composable positive avec simplement N ≈ 2 × 108 états cohérents (également appelés « symboles quantiques » à partir de maintenant) transmis sur un 20 canal de fibre optique de km de long. Avec N = 109, nous obtenons > 41 Mbits de matériel clé qui est composablement sécurisé contre les attaques collectives, en supposant les intervalles de confiance les plus défavorables.
Une routine DSP à la fin de l'étage quantique produit les symboles quantiques numériques discrétisés avec d bits par quadrature. Ce flux est divisé en M trames pour la réconciliation des informations (IR), après quoi nous effectuons une estimation des paramètres (PE) et une amplification de la confidentialité (PA) ; comme visualisé sur la figure 1. Nous dérivons la clé secrète destinée à la réconciliation inverse, c'est-à-dire qu'Alice corrige ses données en fonction des symboles quantiques de Bob \(\bar{Y}\).
La longueur de clé secrète (composable) sn pour n transmissions d'états cohérents est calculée à l'aide des outils de refs. 10,15 ainsi que les résultats présentés dans ce qui suit. La longueur de la clé est limitée par le lemme de hachage restant en termes d'entropie minimale lisse \({H}_{\min }^{{\epsilon }_{s}}\) de \(\bar{Y}\ ) conditionné sur l'état quantique de l'écoute clandestine E avec ϵs comme paramètre de lissage25. De cela, nous soustrayons la fuite de fuite de réconciliation d'informationsIR(n, ϵIR) et obtenons,
Le paramètre de sécurité ϵh caractérise la fonction de hachage et ϵIR décrit la probabilité d'échec du test de correction après IR.
La probabilité \({p}^{\prime}\) que l'IR réussisse dans une trame est liée au taux d'erreur de trame (FER) par \({p}^{\prime}=1-\)FER. Toutes les trames dans lesquelles IR a échoué sont éliminées du flux de clé brute, et cette étape projette ainsi l'état du produit tensoriel d'origine ρn ≡ ρ⊗n dans un état non iid τn. Pour en tenir compte, on remplace le terme d'entropie minimale lisse dans l'Eq. (1) avec l'expression15 :
où \(n^{\prime}=n{p}^{\prime}\) est le nombre de symboles quantiques restant après correction d'erreur.
La propriété d'équipartition asymptotique (AEP) limite l'entropie minimale conditionnelle de la manière suivante,
où
est une pénalité améliorée (preuve fournie dans la section "Méthodes") par rapport à la réf. 10,15 et l'entropie de von-Neumann conditionnelle \(H{(\bar{Y}|E)}_{\rho }\) de l'Eq. (3) est donné par
Nous estimons l'entropie de Shannon \(H(\bar{Y})\) directement à partir des données (jusqu'à une probabilité ≤ ϵent, plus de détails dans la section "Méthodes"). Le second terme est la limite de Holevo d'Eve par rapport à \(\bar{Y}\) qui satisfait,
où Y est la version continue de \(\bar{Y}\) et \(I{(Y;E)}_{{\rho }_{G}}\) est l'information Holevo obtenue en utilisant la propriété d'extrémalité d'attaques gaussiennes.
Les informations de Holevo sont estimées en évaluant la matrice de covariance à l'aide d'estimations du pire cas pour ses entrées sur la base d'intervalles de confiance. Nous avons amélioré les intervalles de confiance de la réf. 10 en exploitant les propriétés de la distribution Beta. Soient \(\hat{x}\), \(\hat{y}\), \(\hat{z}\) les estimateurs de la variance de l'ensemble d'états cohérents transmis, la variance reçue et la co -variance, respectivement. Les vraies valeurs y et z sont liées par
avec ϵPE désignant la probabilité de défaillance de l'estimation des paramètres, et
étant les intervalles de confiance (dérivés de la note complémentaire 1). Dans les équations ci-dessus,
où "invcdf" est la fonction de distribution cumulative inverse. Comme détaillé dans la section "Discussion", la (longueur de la) clé secrète que nous obtenons finalement dans notre expérience nécessite un ordre de grandeur inférieur N en raison de ces intervalles de confiance.
Enfin, nous remarquons ici une limitation technique résultant de la numérisation des données d'Alice et de Bob. En pratique, il est impossible de mettre en œuvre un véritable protocole gaussien car la distribution gaussienne est à la fois illimitée et continue, alors que les dispositifs réalistes ont une plage et une résolution en bits finies14,26. Dans notre travail, nous considérons une gamme de 7 écarts-types et utilisons d = 6 bits, conduisant à une constellation avec 22d = 4096 états cohérents. Selon des résultats récents27,28, cela devrait suffire à minimiser l'impact de la numérisation sur la sécurité du protocole. Pour garder l'analyse simple, nous supposons cependant une modulation gaussienne parfaite.
La figure 2 montre le schéma de notre configuration, consistant en un émetteur et un récepteur connectés ensemble par une bobine de fibre monomode standard de 20 km de long, qui formait le canal quantique. Nous avons effectué une modulation optique à bande latérale unique avec suppression de porteuse (OSSB-CS) à l'aide d'une source optique (laser Tx) de NKT Photonics et d'un modulateur IQ plus contrôleur de polarisation automatique (IQmod + ABC) d'ixBlue. Un générateur de forme d'onde arbitraire (AWG) a été connecté aux ports RF pour moduler les bandes latérales. Les états cohérents ont été produits dans une bande latérale de fréquence large de B = 100 MHz, décalée de la porteuse optique22,29. Des nombres aléatoires tirés d'une distribution gaussienne obtenue en transformant la distribution uniforme d'un générateur de nombres aléatoires quantiques basé sur les fluctuations du vide (QRNG) avec un paramètre de sécurité ϵqrng = 2 × 10−6 ont formé les amplitudes complexes de ces états cohérents30. A ce signal de « données quantiques » large bande, centré à fu = 200 MHz, nous avons multiplexé en fréquence une « tonalité pilote » à fp = 25 MHz pour partager une référence de phase avec le récepteur23,31,32,33. L'encart de gauche de la Fig. 2 montre les spectres complexes du signal de modulation RF.
L'émetteur (Tx) et le récepteur (Rx) ont été construits à partir de composants de fibre à maintien de polarisation. L'émetteur comprenait un laser à onde continue de 1550 nm (laser Tx), un modulateur électro-optique en phase et en quadrature (IQmod) avec contrôleur de polarisation automatique (ABC) pour la suppression de porteuse et la modulation à bande latérale unique, et un atténuateur variable (VATT) et isolateur de Faraday (FI). Un générateur de formes d'onde arbitraires (AWG) avec une résolution de 16 bits et un taux d'échantillonnage de 1 GSps a fourni les formes d'onde RF1 et RF2 pour piloter IQmod. Un générateur de nombres aléatoires quantiques (QRNG) a délivré des symboles à distribution gaussienne pour une modulation gaussienne discrète d'états cohérents. Le récepteur comprenait un laser (laser Rx; même type que le laser Tx), un contrôleur de polarisation (PC) pour régler la polarisation du champ du signal entrant, un séparateur de faisceau symétrique suivi d'un détecteur équilibré maison pour l'hétérodynage RF. La sortie du détecteur a été échantillonnée par un convertisseur analogique-numérique (ADC) 16 bits à 1 GSps. BS : séparateur de faisceau, PD : photodétecteur. Encadré à gauche : Spectre de puissance de la forme d'onde complexe RF1 + ι RF2 pilotant l'IQmod. Encart à droite : Spectres de puissance du récepteur à partir de 3 mesures différentes décrites dans la section "Mise en œuvre expérimentale". Le pic de bruit à 250 MHz est une impulsion d'entrelacement du CAN.
Après propagation à travers le canal quantique, la polarisation du champ de signal a été réglée manuellement pour correspondre à la polarisation de l'oscillateur local réel (RLO) pour l'hétérodynage31,32,33. Le laser Rx qui a fourni le RLO fonctionnait librement par rapport au laser Tx et était désaccordé en fréquence d'environ 320 MHz, donnant lieu à un signal de battement, comme indiqué dans la trace spectrale rouge solide dans l'encadré droit de la Fig. 2 La bande de données quantiques et la tonalité pilote générées par l'AWG sont également étiquetées. En raison de l'OSSB29 fini, une tonalité pilote supprimée est également visible ; la bande quantique supprimée correspondante était cependant en dehors de la bande passante du récepteur (nous avons utilisé un filtre passe-bas avec une fréquence de coupure autour de 360 MHz en sortie du détecteur hétérodyne maison30). Comme indiqué, le Tx et le Rx avaient leurs horloges synchronisées et le Tx a fourni un déclencheur pour l'acquisition de données dans Rx34,35.
Séparément, nous avons également mesuré le bruit du vide (laser Tx éteint, laser Rx allumé) et le bruit électronique du détecteur (lasers Tx et Rx éteints), représentés respectivement par les traces bleues en pointillés et vertes en pointillés, à droite encart de la Fig. 2. La clairance du bruit du vide sur le bruit électronique est > 15 dB sur toute la bande de données quantiques.
Un choix judicieux des paramètres définissant la tonalité pilote et la bande de données quantiques et leurs emplacements par rapport au signal de battement est crucial pour minimiser l'excès de bruit. Une tonalité pilote forte permet une référence de phase plus précise, mais au prix d'une fuite plus élevée dans la bande quantique et d'un nombre accru de tonalités parasites. Ce dernier peut survenir à la suite d'un mélange de fréquence de la tonalité pilote (désirée) avec, par exemple, le signal de battement ou la tonalité pilote supprimée. Comme on peut l'observer dans l'encadré droit de la Fig. 2, nous avons évité les pics de bruit parasites résultant de la génération de fréquence somme ou différence des divers composants discrets (dans la trace rouge solide) de l'atterrissage à l'intérieur de la large bande de données quantiques.
Dans CVQKD, il est bien connu qu'Alice doit optimiser la force de modulation de l'alphabet d'état cohérent à l'entrée du canal quantique pour maximiser la longueur de la clé secrète. Pour cela, nous avons connecté directement le Tx et le Rx, c'est-à-dire sans le canal quantique, et effectué des mesures hétérodynes pour calibrer le nombre moyen de photons μ de l'ensemble des états cohérents. Le gain électronique AWG et l'atténuateur variable (VATT) ont fourni un bouton à grain fin pour contrôler la force de modulation.
Puisque nous avons mené notre expérience dans le scénario non paranoïaque1,26, c'est-à-dire que nous avons fait confiance à certaines parties de la perte globale et du bruit excessif en supposant qu'elles étaient hors du contrôle d'Eve, certaines mesures et étalonnages supplémentaires pour l'estimation des paramètres de confiance deviennent nécessaires. Plus précisément, nous avons décomposé la transmission totale et le bruit excédentaire en composants respectifs fiables et non fiables. Dans la note complémentaire 4, nous présentons les détails de l'étalonnage de l'efficacité du récepteur (transmittance de confiance) τ = 0,69 et du bruit de confiance du détecteur ξt = 25,71 × 10−3 unité de nombre de photons (PNU). Remarquons ici que dans notre travail, nous exprimons le bruit et d'autres quantités de type variance, par exemple, la force de modulation, en PNU par opposition à l'unité de bruit de grenaille traditionnelle (SNU). Le premier est indépendant des quadratures et facilite la comparaison avec les systèmes QKD à variable discrète (DV)36, mis en évidence à l'aide de μ dans le tableau 1. Un simple facteur de 2 relie ces unités : 1 unité de nombre de photons (PNU) correspond à une variance de 2 prises de vue. unités de bruit (SNU). Enfin, notez que nous avons enregistré un total de 1010 échantillons ADC pour chacune des mesures d'étalonnage, et toutes les données acquises ont été stockées sur un disque dur pour un traitement hors ligne.
Après avoir défini μ = 1,45 PNU, nous avons connecté le Tx et le Rx à l'aide du canal de 20 km, optimisé la polarisation du signal, puis collecté des données hétérodynes en utilisant les mêmes nombres aléatoires distribués gaussiens que ceux mentionnés ci-dessus. Offline DSP24 a fourni les symboles qui ont formé la clé brute. La préparation et la mesure ont été effectuées avec un total de 109 symboles complexes. Après avoir rejeté certains symboles en raison d'un retard de synchronisation, Alice et Bob avaient un total de NIR = 9,88 × 108 symboles corrélés au début de la phase classique du protocole, dont nous décrivons ci-dessous la mise en œuvre. Notez que nous avons supposé l'existence d'un canal authentifié pour ces étapes.
L'IR était basée sur un schéma multidimensionnel37 utilisant des codes de correction d'erreurs de contrôle de parité à faible densité de type multi-arêtes38. Comme le montre la figure 1, Bob a envoyé la cartographie et les syndromes, ainsi que les hachages calculés à l'aide d'une fonction Toeplitz choisie au hasard, à Alice, qui a effectué une confirmation d'exactitude et l'a communiquée à Bob. Nous avons obtenu une efficacité de rapprochement β = 94,3 % et un FER = 12,1 % pour les données expérimentales. Dans la note complémentaire 5, nous fournissons plus de détails sur le régime de fonctionnement et les performances de ces codes. En raison du FER non nul, Alice et Bob avaient NPA = 8,69 × 108 symboles complexes pour distiller la clé secrète via PA.
Pendant PE, Alice a estimé l'entropie des symboles corrigés, et avec les symboles des trames erronées, c'est-à-dire les trames qui n'ont pas pu être réconciliées avec succès (et ont été annoncées publiquement par Bob), Alice a évalué la matrice de covariance. Cela a été suivi par l'évaluation des paramètres du canal à l'aide des données d'étalonnage du récepteur, la réalisation du "test d'estimation des paramètres" (voir le théorème 2 dans la réf. 10) et l'obtention d'une limite sur les informations Holevo d'Eve. En soustrayant ξt du bruit excédentaire total de 30,9 mPNU, on obtient le bruit moyen non fiable ξu = 30,9 − 25,7 = 5,2 mPNU, tandis que la division de la transmission totale de 0,25 par τ nous donne la transmission moyenne non fiable η = 0,25/0,69 = 0,36.
Alice a calculé une longueur de clé secrète l = 41378264 bits dans le pire des cas en remplaçant dans Eq. (1) les paramètres de sécurité ϵh = ϵent = ϵcal = ϵs = ϵPE = 10−10 et ϵIR = 10−12, et n = 2NPA (facteur de 2 dû aux données des quadratures I et Q). Comme le montre la figure 1, cette longueur a été communiquée avec une graine à Bob pour sélectionner une fonction de hachage Toeplitz aléatoire. Alice et Bob ont ensuite utilisé le schéma PA à grande vitesse et à grande échelle39 pour générer la clé secrète finale s( = sA = sB). Notez que le paramètre de sécurité final ϵ(coll) quantifiant la sécurité composable contre les attaques collectives est une sommation linéaire des différents epsilons mentionnés précédemment ; voir la note complémentaire 2 pour une expression exacte.
En utilisant les équations présentées dans la section "Clé composablement sécurisée", nous pouvons calculer la longueur de la clé composablement sécurisée pour un certain nombre n de symboles quantiques. Nous avons partitionné N = 109 en 25 blocs, estimé la longueur de clé en considérant le nombre total Nk de symboles accumulés à partir des k premiers blocs, pour k ∈ {1, 2, …, 25}. En divisant cette longueur par Nk, on obtient la fraction de clé secrète composable (SKF) en bits/symboles. Si l'on néglige le temps d'acquisition des données, DSP, et les étapes classiques du protocole, c'est-à-dire ne considérer que le temps mis pour moduler N = Nk états cohérents à l'émetteur (à une cadence B = 100 MSymbols/s), on peut construire un axe temporel hypothétique pour montrer l'évolution du système CVQKD.
La figure 3a illustre une telle évolution temporelle du SKF après avoir dûment pris en compte les corrections de taille finie dues aux valeurs moyennes et dans le pire des cas (points de données noirs et rouges, respectivement) des paramètres sous-jacents. De même, la figure 3b montre le bruit non fiable mesuré expérimentalement ξu (carrés inférieurs) ainsi que l'estimateur du pire cas (tirets supérieurs) calculé à l'aide de Nk dans l'analyse de sécurité. Pour obtenir une longueur de clé positive, l'estimateur du pire cas doit être inférieur au bruit maximal tolérable - seuil de fraction de clé nulle - indiqué par la ligne en pointillés, et cela se produit à N / B ≈ 2,0 s.
une évolution pseudo-temporelle du SKF composable avec le paramètre temps calculé comme le rapport du nombre cumulé N de symboles complexes disponibles pour les étapes classiques du protocole et le débit B = 100 MHz auquel ces symboles sont modulés. b Variation du bruit non fiable ξu mesuré dans l'expérience (point inférieur) et son estimateur du pire cas (point supérieur), et le seuil de bruit à battre pour obtenir un SKF composable positif. L'écart des traces de simulation en (a) par rapport aux données expérimentales entre 1 et 5 s est dû à la légère augmentation de ξu. c, d Comparaison des intervalles de confiance dérivés de ce manuscrit (bêta ; trace rouge solide et gaussien ; trace pointillée verte) avec ceux dérivés de la preuve de sécurité composable originale (réf. 10 ; trace bleu pointillé) en fonction de N En utilisant les intervalles de confiance de la réf. 10 conduit à aucune génération de clé jusqu'à presque la fin (carré bleu plein dans (a) à N/B ≈ 10).
A noter qu'en réalité, le DSP et l'informatique classique consomment un temps significativement long : En effet, nous stockons les données des étapes de préparation d'état et de mesure sur des disques et effectuons ces étapes hors ligne. Les tracés de la Fig. 3 peuvent donc être compris comme représentant l'évolution temporelle du SKF et du bruit non fiable si l'ensemble du fonctionnement du protocole était en temps réel.
En se référant à la Fig. 3a, les traces en rouge plein et en pointillé noir simulent le SKF dans les scénarios les plus défavorables et moyens, respectivement, tandis que la trace en pointillé orange montre la valeur SKF asymptotique (avec FER pris en compte) pouvant être obtenue avec le paramètres de canal donnés. Selon les projections basées sur la simulation, le SKF composable dans le pire des cas doit être à moins de 5 % de la valeur asymptotique pour N ≈ 1011 symboles complexes.
D'un point de vue théorique, la raison de pouvoir générer une longueur de clé composable positive avec un nombre relativement faible d'états cohérents (N ≈ 2 × 108) peut principalement être attribuée à l'amélioration des intervalles de confiance pendant la PE ; reportez-vous aux éqs. (6) et (7). Les figures 3c et d comparent quantitativement le facteur d'échelle dans le RHS de ces équations, respectivement, en fonction de N pour trois distributions différentes. Les estimateurs \(\hat{x}\), \(\hat{y}\), \(\hat{z}\) à cet effet sont les valeurs réelles obtenues dans notre expérience et nous avons utilisé un ϵPE = 10− dix. La différence entre les intervalles de confiance utilisés dans la réf. 10 (modifié ici de manière appropriée pour une comparaison équitable) avec ceux dérivés ici, basés sur la distribution bêta, est tout à fait évident à des valeurs inférieures de N, comme visualisé en comparant la trace bleue en pointillés avec la trace rouge continue.
Étant donné que le bruit non fiable a une dépendance quadratique sur la covariance contrairement à la variance où la dépendance est linéaire, on peut s'attendre à ce qu'une méthode qui resserre les intervalles de confiance pour la covariance ait un impact important sur le SKF composable final. En fait, si nous avions utilisé les intervalles de confiance de Réf. 10, notre implémentation n'aurait pas produit de clé composable jusqu'à N = 109, auquel cas le pire SKF aurait été de 6,04 × 10−4, c'est-à-dire presque deux ordres de grandeur inférieur à ce que nous avons obtenu ici (données bleues simples point dans le coin inférieur droit de la Fig. 3a).
Sur le plan pratique, un taux de transmission raisonnablement élevé B = 100 MSymbols/s des états cohérents ainsi que l'analyse minutieuse et la réduction du bruit non fiable (voir la section "Analyse et étalonnage du bruit" pour plus de détails) permettent une analyse globale rapide, mais faible -bruit et fonctionnement très stable du système, essentiels pour distribuer rapidement des corrélations brutes de haute qualité et minimiser les corrections de taille finie. Le tableau 1 fournit une comparaison des résultats de notre expérience de preuve de concept avec trois autres expériences CVQKD à modulation gaussienne20,21,33 qui offrent une sécurité contre les attaques collectives mais n'incluent pas de définitions de sécurité composables. Le tableau 1 répertorie également deux40,41 des (multiples) expériences DVQKD qui ont pu prouver la sécurité composable contre les attaques générales dans un régime de taille finie réaliste - le Saint Graal pour tout système QKD. Dans la section "Méthodes", nous discutons des défis de notre implémentation CVQKD pour atteindre ce critère de sécurité.
En conclusion, nos résultats ont démontré la composabilité et la protection contre les attaques collectives tout en assurant la robustesse contre les effets de taille finie dans un protocole CVQKD à états cohérents, fonctionnant dans des conditions de laboratoire, sur un canal quantique de 20 km de long. Avec un ordre de grandeur N supérieur et la moitié de la valeur actuelle de ξu, on s'attend à obtenir une longueur non nulle de la clé composable tout en tolérant des pertes de canal autour de 8 dB, c'est-à-dire des distances jusqu'à ~ 40 km (en supposant un facteur d'atténuation de 0,2 dB/km). Cela devrait être réalisable avec quelques améliorations du matériel ainsi que du traitement numérique du signal. Nous nous attendons donc à ce qu'à l'avenir, les utilisateurs via une liaison point à point puissent utiliser les clés composables de notre implémentation pour activer des applications réelles telles que le cryptage sécurisé des données, inaugurant ainsi une nouvelle ère pour CVQKD.
En réf. 25, la borne d'équipartition asymptotique est démontrée dans le Corollaire 6.5 :
où
et
Dans ce qui suit, nous utilisons le fait que \({H}_{\min }(X|E)\) est non négatif pour notre état quantique classique, dont une preuve est donnée dans la note complémentaire 2.
où d désigne le nombre de bits par quadrature utilisés lors de la discrétisation.
En utilisant les relations ci-dessus dans l'équation. (10) permet de borner v :
Maintenant on vérifie facilement que pour d > 1,
et cela
En mettant tout ensemble on obtient finalement
L'entropie \(H(\bar{Y})\) dans Eq. (5) peut être estimée à partir de la fréquence empirique
où \(n^{\prime} ({y}_{j})\) est le nombre de fois qu'un symbole complexe spécifique \({y}_{j}={q}_{{{{{{{ {\rm{rx}}}}}}}}}^{\;j}+i{p}_{{{{{{{\rm{rx}}}}}}}}}^{\ ;j}\) est obtenu, et \(n^{\prime}\) est le nombre total de symboles quantiques échangés et corrigés. On peut définir un estimateur d'entropie
qui est lié à \(H(\bar{Y})\) par l'inégalité suivante10,42 :
Ceci reste vrai jusqu'à une probabilité inférieure à ϵent.
Pour CVQKD avec des états cohérents, les seules preuves connues fournissant une sécurité composable contre les attaques générales11,15 nécessitent une double détection en quadrature. Cela exclut l'expérience de la réf. 21, car malgré l'enregistrement du plus grand N = 1011 symboles et de la valeur ξu la plus faible parmi tous les travaux CVQKD du tableau 1, il a utilisé l'homodynage. À la hausse, les preuves permettent de supposer que les données de quadrature sous-jacentes suivent une distribution gaussienne, ce qui assouplit quelque peu les exigences sur N. Par exemple, dans le cas des intervalles de confiance, on peut observer les traces vertes en pointillés sur la figure 3c et d afficher les meilleures performances.
Néanmoins, pour obtenir une sécurité composable contre les attaques générales, on a besoin de ϵ(gen) ~ O(N4)ϵ(coll) comme paramètre de sécurité final. Un ϵ(gen) raisonnable de 10−9 en supposant que N ~ 108 nécessite alors ϵ(coll) < 10−41 mais ce n'est pas le cas avec notre configuration actuelle car ϵ(coll) ≳ ϵqrng = 2 × 10−6 en fait. Cette limitation, due à l'erreur de numérisation ADC dans le QRNG, pourrait être améliorée en utilisant des périodes de mesure plus longues30. Un autre problème encore est l'exigence de symétrisation, une procédure dans laquelle Alice et Bob doivent multiplier leurs trains de symboles respectifs par une matrice orthogonale aléatoire identique de taille N × N, ce qui pose un défi de calcul majeur.
De plus amples informations sur la conception de la recherche sont disponibles dans le résumé des rapports de recherche sur la nature lié à cet article.
Les données utilisées pour réaliser certains des tracés de la Fig. 3 de l'article ont été déposées dans la base de données DTU (https://doi.org/10.11583/DTU.20198891.v1). Toutes les autres données sont disponibles auprès des auteurs correspondants sur demande raisonnable.
Scarani, V. et al. La sécurité de la distribution pratique des clés quantiques. Rév. Mod. Phys. 81, 1301–1350 (2009).
Annonces d'article Google Scholar
Pirandola, S. et al. Avancées en cryptographie quantique. Adv. Opter. Photonique 12, 1012 (2020).
Annonces d'article Google Scholar
Ralph, TC Cryptographie quantique variable continue. Phys. Rev. A 61, 010303 (1999).
Article ADS MathSciNet Google Scholar
Diamanti, E. & Leverrier, A. Distribution de clés secrètes à variables continues quantiques : Principe, sécurité et implémentations. Entropie 17, 6072–6092 (2015).
Article ADS MathSciNet MATH Google Scholar
Laudenbach, F. et al. Distribution de clés quantiques à variation continue avec modulation gaussienne - la théorie des implémentations pratiques. Adv. Technologie quantique. 1, 1800011 (2018).
Article Google Scholar
Canetti, R. Sécurité composable universellement : un nouveau paradigme pour les protocoles cryptographiques. Dans Actes du 42e Symposium IEEE sur les fondements de l'informatique, pp. 136-145 (2001).
Müller-Quade, J. & Renner, R. Composabilité en cryptographie quantique. NJ Phys. 11, 085006 (2009).
Furrer, F. et al. Distribution de clé quantique variable continue : analyse à clé finie de la sécurité composable contre des attaques cohérentes. Phys. Rév. Lett. 109, 100502 (2012).
Article ADS CAS PubMed Google Scholar
Gehring, T. et al. Mise en œuvre de la distribution de clés quantiques à variation continue avec une sécurité composable et unilatérale indépendante de l'appareil contre les attaques cohérentes. Nat. Commun. 6, 1–7 (2015).
Article Google Scholar
Leverrier, A. Preuve de sécurité composable pour la distribution de clé quantique variable continue avec états cohérents. Phys. Rev. Lett., 114, 070501 (2015).
Leverrier, A. Sécurité de la distribution de clé quantique variable continue via une réduction gaussienne de finetti. Phys. Rév. Lett. 118, 200501 (2017).
Article ADS PubMed Google Scholar
Lupo, C. et al. Distribution de clés quantiques à variation continue indépendante des dispositifs de mesure : sécurité composable contre les attaques cohérentes. Phys. Rév. A 97, 052327 (2018).
Article ADS CAS Google Scholar
Papanastasiou, P. & Pirandola, S. Cryptographie quantique à variation continue avec alphabets discrets : sécurité composable sous attaques gaussiennes collectives. Phys. Rév. Rés. 3, 013047 (2021).
Article CAS Google Scholar
Matsuura, T. et al. Sécurité de taille finie de la distribution de clé quantique variable continue avec traitement numérique du signal. Nat. Commun. 12, 252 (2021).
Article ADS CAS PubMed PubMed Central Google Scholar
Pirandola, S. Limites et sécurité des communications quantiques en espace libre. Phys. Rév. Rés. 3, 013279 (2021).
Article CAS Google Scholar
Leverrier, A. et al. Analyse de taille finie d'une distribution de clé quantique à variable continue. Phys. Rév. A 81, 1–11 (2010).
Google Scholar
Jouguet, P. et al. Démonstration expérimentale de la distribution de clé quantique variable continue à longue distance. Nat. Photonics 7, 378–381 (2013).
Article ADS CAS Google Scholar
Huang, D. et al. Distribution de clé quantique à variable continue sur de longues distances en contrôlant l'excès de bruit. Sci. Rep. 6, 19201 (2016).
Article ADS CAS PubMed PubMed Central Google Scholar
Wang, T. et al. Distribution de clé quantique variable continue à taux de clé élevé avec un véritable oscillateur local. Opter. Express 26, 2794 (2018).
Article ADS PubMed Google Scholar
Wang, H. et al. Distribution de clé quantique variable continue à modulation gaussienne à grande vitesse avec un oscillateur local basé sur la compensation de phase assistée par la tonalité pilote. Opter. Express 28, 32882 (2020).
Article ADS PubMed Google Scholar
Zhang, Y. et al. Distribution de clé quantique variable continue longue distance sur 202,81 km de fibre. Phys. Rév. Lett. 125, 10502 (2020).
Article ADS CAS Google Scholar
Lance, AM et al. Distribution de clé quantique sans commutation utilisant une lumière cohérente modulée à large bande. Phys. Rév. Lett. 95, 180503 (2005).
Article ADS PubMed Google Scholar
Kleis, S. et al. Distribution de clé quantique variable continue avec un oscillateur local réel utilisant des signaux pilotes simultanés. Opter. Lett. 42, 1588-1591 (2017).
Article ADS PubMed Google Scholar
Chin, H.-M. et coll. L'apprentissage automatique a aidé la récupération des porteurs dans la distribution de clés quantiques à variation continue. npj Quantique Inf. 7, 20 (2021).
Annonces d'article Google Scholar
Tomamichel, M. Un cadre pour la théorie de l'information quantique non asymptotique. Thèse de doctorat, ETH Zurich, (2012).
Jouguet, P. et al. Analyse des imperfections dans la distribution pratique de clé quantique à variable continue. Phys. Rév. A 86, 1–9 (2012).
Article Google Scholar
Lupo, C. Vers la sécurité pratique de la distribution de clés quantiques à variation continue. Phys. Rév. A 102, 1–10 (2020).
Article MathSciNetGoogle Scholar
Denys, A. et al. Taux de clé secrète asymptotique explicite de distribution de clé quantique variable continue avec une modulation arbitraire. Quantique 5, 540 (2021).
Article Google Scholar
Jain, N. et al. Vulnérabilité de fuite de modulation dans la distribution de clé quantique à variable continue. Sci quantique. Technol., 6, 045001 (2021).
Gehring, T. et al. Générateur de nombres aléatoires quantiques basé sur Homodyne à 2,9 Gbps sécurisé contre les informations secondaires quantiques. Nat. Commun. 12, 1–11 (2021).
Article Google Scholar
Qi, B. et al. Génération "locale" de l'oscillateur local dans une distribution de clé quantique variable continue basée sur une détection cohérente. Phys. Rév. X 5, 1–12 (2015).
Annonces Google Scholar
Soh, DBS et al. Protocole de distribution de clé quantique à variable continue auto-référencée. Phys. Rév. X 5, 1–15 (2015).
Google Scholar
Huang, D. et al. Distribution de clé quantique variable continue à grande vitesse sans envoyer d'oscillateur local. Opter. Lett. 40, 3695–8 (2015).
Article ADS CAS PubMed Google Scholar
Chin, H.-M., Jain, N., Andersen, UL, Zibar, D. & Gehring, T. Synchronisation numérique pour la distribution de clés quantiques à variation continue. Sci quantique. Technol. 7, 045006 (2022).
Annonces d'article Google Scholar
Jain, N. et al. qTReX : Un système semi-autonome de distribution de clés quantiques à variable continue. Dans The Optical Fiber Communication Conference (OFC), Optica Technical Digest (Optica Publishing Group), pp. M3Z.2 (2022).
Lasota, M. et al. Robustesse de la distribution de clé quantique avec des variables discrètes et continues pour canaliser le bruit. Phys. Rév. A 95, 1–13 (2017).
Article Google Scholar
Leverrier, A. et al. Réconciliation multidimensionnelle pour une distribution de clé quantique à variable continue. Phys. Rév. A 77, 042325 (2008).
Annonces d'article Google Scholar
Mani, H. et al. Codes de contrôle de parité à faible densité de type multibord pour une distribution de clé quantique à variable continue. Phys. Rév. A 103, 062419 (2021).
Article ADS MathSciNet CAS Google Scholar
Tang, B.-Y. et coll. Schéma d'amplification de confidentialité à grande vitesse et à grande échelle pour la distribution de clés quantiques. Rapports scientifiques, p. 1-8 (2019).
Xu, F. et al. Distribution expérimentale de clé quantique avec défauts de source. Phys. Rév. A 92, 032305 (2015).
Annonces d'article Google Scholar
Islam, NT et al. Distribution de clés quantiques sécurisée et à haut débit avec des qudits à intervalles de temps. Sci. Adv. 3, e1701491 (2017).
Article ADS PubMed PubMed Central Google Scholar
Antos, A. & Kontoyiannis, I. Propriétés de convergence des estimations fonctionnelles pour les distributions discrètes. Structure aléatoire. Algorithmes 19, 163–193 (2001).
Article MathSciNet MATH Google Scholar
Télécharger les références
Nous remercions Marco Tomamichel pour les discussions concernant l'analyse de sécurité. Le travail présenté dans cet article a été soutenu par les programmes de recherche et d'innovation Horizon 2020 de l'Union européenne CiViQ (accord de subvention n° 820466, auteurs concernés : NJ, HMC, HM, DSN, AK, SP, BO, CP, TG et ULA ) et OPENQKD (accord de subvention n° 857156, auteurs concernés : NJ, HMC, HM, BO, CP, TG et ULA). Nous reconnaissons également le soutien du Fonds d'innovation du Danemark (CryptQ, 0175-00018A, auteurs concernés : NJ, HMC, HM, TBP, TG et ULA) et de la Fondation nationale danoise pour la recherche (bigQ, DNRF142, auteurs concernés : NJ, HMC, HM, DSN, TG et ULA). CL et SP reconnaissent le financement de l'EPSRC Quantum Communications Hub, Grant No. P/M013472/1 et EP/T001011/1.
Centre pour les états quantiques macroscopiques (bigQ), Département de physique, Université technique du Danemark, 2800, Kongens Lyngby, Danemark
Nitin Jain, Hou-Man Chin, Hossein Mani, Dino Solar Nikolic, Arne Kordts, Tobias Gehring et Ulrik L. Andersen
Département de photonique, Université technique du Danemark, 2800, Kongens Lyngby, Danemark
Hou-Man Chin
Département de physique et d'astronomie, Université de Sheffield, Sheffield, S3 7RH, Royaume-Uni
Loup cosmos
Département interuniversitaire de physique, Université polytechnique de Bari, 70126, Bari, Italie
Loup cosmos
Département d'informatique, Université de York, York, YO10 5GH, Royaume-Uni
Stéphane Pirandola
Cryptomathic A/S, Aaboulevarden 22, 8000, Aarhus, Danemark
Thomas Brochmann Pedersen
Center for Digital Safety & Security, AIT Austrian Institute of Technology GmbH, 1210, Vienne, Autriche
Matthias Kolb, Bernhard Ömer & Christoph Pacher
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
Vous pouvez également rechercher cet auteur dans PubMed Google Scholar
TG et ULA ont conçu et supervisé l'expérience. NJ a conçu la configuration, mené les expériences et effectué l'analyse finale des données avec l'aide de TG, HMC, AK et DSNHMC pour concevoir le cadre de traitement du signal numérique. HM a mis en œuvre la réconciliation des informations et l'amplification de la confidentialité avec les contributions de BO, CP, TG et TBPCL, MK et SP ont contribué à la preuve de sécurité et fourni un soutien théorique. NJ et TG ont écrit le manuscrit avec les contributions de tous les auteurs.
Correspondance à Nitin Jain, Tobias Gehring ou Ulrik L. Andersen.
Les auteurs ne déclarent aucun intérêt concurrent
Nature Communications remercie le(s) relecteur(s) anonyme(s) pour leur contribution à la relecture par les pairs de ce travail. Les rapports des pairs examinateurs sont disponibles.
Note de l'éditeur Springer Nature reste neutre en ce qui concerne les revendications juridictionnelles dans les cartes publiées et les affiliations institutionnelles.
Libre accès Cet article est sous licence Creative Commons Attribution 4.0 International, qui permet l'utilisation, le partage, l'adaptation, la distribution et la reproduction sur n'importe quel support ou format, à condition que vous accordiez le crédit approprié à l'auteur ou aux auteurs originaux et à la source, fournissez un lien vers la licence Creative Commons et indiquez si des modifications ont été apportées. Les images ou tout autre matériel tiers dans cet article sont inclus dans la licence Creative Commons de l'article, sauf indication contraire dans une ligne de crédit au matériel. Si le matériel n'est pas inclus dans la licence Creative Commons de l'article et que votre utilisation prévue n'est pas autorisée par la réglementation légale ou dépasse l'utilisation autorisée, vous devrez obtenir l'autorisation directement du détenteur des droits d'auteur. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by/4.0/.
Réimpressions et autorisations
Jain, N., Chin, HM., Mani, H. et al. Distribution pratique de clé quantique à variable continue avec sécurité composable. Nat Commun 13, 4740 (2022). https://doi.org/10.1038/s41467-022-32161-y
Télécharger la citation
Reçu : 26 novembre 2021
Accepté : 20 juillet 2022
Publié: 12 août 2022
DOI : https://doi.org/10.1038/s41467-022-32161-y
Toute personne avec qui vous partagez le lien suivant pourra lire ce contenu :
Désolé, aucun lien partageable n'est actuellement disponible pour cet article.
Fourni par l'initiative de partage de contenu Springer Nature SharedIt
Traitement de l'information quantique (2023)
npj Information quantique (2022)
En soumettant un commentaire, vous acceptez de respecter nos conditions d'utilisation et nos directives communautaires. Si vous trouvez quelque chose d'abusif ou qui ne respecte pas nos conditions ou directives, veuillez le signaler comme inapproprié.