Kvanttisalauksen menetelmillä eri osapuolet voivat muun muassa viestiä keskenään ulkopuolisen teoriassa pystymättä selvittämään viestien sisältöä. Menetelmien teoreettinen murtamattomuus perustuu joko kvanttimekaniikan Heisenbergin epätarkkuusperiaatteeseen tai lomittumiseen,[1] eivätkä välttämättä mihinkään salausalgoritmien suorittaman salauksen käyttöön toisin kuin termi antaa ymmärtää.
Esim. internetin HTTPS-yhteyksien kohdalla liikenteen salaukseen käytetyt symmetriset salausavaimet vaihdetaan turvallisesti asymmetrisen salauksen avulla (esim. ECC ja RSA), joiden turvallisuus perustuu asymmetrisessä salauksessa käytettyjen algoritmien antamien tulosten "takaperin laskemisen" matemaattiseen vaikeuteen, joka ei kuitenkaan teoriassa ole mahdotonta.[2] Kvanttisalauksen turvallisuus puolestaan perustuu kvanttimekaniikkaan kuuluviin fysiikan lakeihin. Oikein toteutettuna kvanttisalausjärjestelmän kautta vaihdettujen salausavainten eli kvanttisalausavainten selvittäminen vaatii mahdotonta fysiikan lakien rikkomista. Tämä tekee ihannetilanteessa kvanttisalausavaimia käyttävän järjestelmän salauksesta mahdottoman murtaa. Useissa järjestelmissä erityispiirre on myös se, että ulkopuolisen tahon vakoiluyritykset saada kvanttisalausavain haltuunsa voidaan salausavainneuvottelun aikana havaita,[3] toisin kuin vaikkapa HTTPS-viestinnässä.
Jotta kaksi osapuolta voivat kommunikoida salatusti, tulee heidän sopia yhteisesti salausavaimesta tai avaimista. Yhteen kvanttisalauksen osa-alueista kuuluvat tällaisten salausavainten vaihdon (eng. quantum key distribution, QKD) menetelmät. Ideaalisti näissä menetelmissä koodataan binäärinen bitti yksittäiseen fotoniin tai muuhun kyllin pieneen kvanttimekaniikan sääntöjä tarkasti noudattavaan hiukkaseen. Hiukkasten avulla viestimällä neuvotellaan käytettävä salausavain tai -avaimet esim. valokaapelin tai vapaan tilan optisen tiedonsiirron kautta. Yksittäisiä bitin koodaavia hiukkasia kutsutaan kubiteiksi.[3] Käytännössä viestinnässä kuitenkin usein joudutaan käyttämään useita hiukkasia koodaamaan yhtä bittiä.[3][4] Salausavaimia voidaan sitten käyttää perinteisissä salausmenetelmissä esim. symmetrisen salauksen avaimina (esim. AES) tai matemaattisesti murtovarmoina OTP-tyyppisinä symmetrisinä kertakäyttösalasanoina, joissa salausavain on vähintään yhtä pitkä kuin salattava tieto.[4]
Avainten vaihtomenetelmästä riippuen voi niitä käyttävissä järjestelmissä olla fyysisesti erilliset valokaapelit tai muut viestintäkanavat kvanttisalausavainneuvotteluille ja toisenlaiset kaapelit varsinaiselle tiedonsiirrolle, joka on salattu neuvotelluilla kvanttiavaimilla. Joissakin menetelmissä tavallisia kanavia voidaan myös kuitenkin tarvita kvanttiavainneuvotteluun.[1]
BB84-menetelmän julkaisivat Charles Bennett ja Gilles Brassard vuonna 1984 ja se oli maailman ensimmäinen kvanttisalausavainten vaihdon menetelmä. Menetelmän turvallisuus perustuu Heisenbergin epätarkkuusperiaatteeseen[1] ja menetelmässä viestitään yksittäisten kubittien eli kvanttibittien välityksellä.[3]
Menetelmässä kvanttikanavaa (esim. valokaapelia) pitkin lähetetään yksittäisiä fotoneita, joita kutsutaan myös kubiteiksi. Kubitteja vastaavat bittiarvot määräytyvät fotonien polarisaatiokulman mukaan. Esim. kulmiin 0° ja 45° polarisoidut fotonit voivat sovitusti vastata bittiä 0 ja niitä voidaan merkitä vaikkapa symbolein (0°) ja (45°). Bittiä 1 voivat vastata 90° ja 135° kulmaan polarisoidut fotonit, joita voidaan merkitä symbolein (90°) ja (135°). Kullekin polarisaatiokulmalle on vastaavanlainen polarisaatiosuodin. Menetelmässä käytetään myös polarisaatiosuotimia ja . päästää lävitseen vain ja fotonit. päästää lävitseen vain ja fotonit.[1]
Menetelmänä BB84 on kaksivaiheinen. Ensimmäisessä vaiheessa "Liisa" ja "Roope" viestivät keskenään kvanttikanavaa pitkin. Liisa valitsee satunnaisen jonon bittejä (esim. 01010111) ja lähettää kvanttikanavaa pitkin bitit yksitellen fotonien polarisaatiokulmiin koodattuina (, , , , , , ja ). Liisa merkitsee myös muistiin lähettämiinsä fotoneihin käytetyt neljä erityyppistä suodinta. Roope ei tiedä saapuvien fotonien polarisaatioita etukäteen ja valitsee siksi satunnaisesti polarisaatiosuotimen kullekin fotonille kahdesta suodintyypistä (, , , , , , ja ). Sopiva suodin päästää lävitse fotonin, joka päätyy fotonin havaitsimeen. Roope päättelee käyttämänsä suotimen perusteella fotonin koodaavan joko bitin 0 tai 1. Jos Roopen käyttämä suodin on kuitenkin väärä, ei fotoni pääse siitä lävitse, eikä Roope havaitse fotonia. Roope havaitsee ja tulkitsee biteiksi noin puolet Liisan lähettämistä fotoneista (0011).[1]
Toisessa vaiheessa ei käytetä kvanttikanavaa vaan salaamatonta klassista kanavaa. Tätä pitkin Roope kertoo järjestyksessä kaikki suotimet, joita hän käytti kunkin havaitsemansa ja havaitsematta jättämänsä fotonin kohdalla. Liisa tarkastaa suotimet vertailemalla niitä omiinsa ja kertoo samaa kanavaa pitkin Roopelle, mitkä Roopen kahdesta suodintyypistä olivat oikein, eli vastasivat jotain Liisan neljästä suodintyypistä, ja mitkä olivat väärin. Oikein olevat suotimet vastaavat Liisan suotimia, jos kvanttikanava on täysin häiriötön ja sitä ei salaa tarkkailla. Päättelemällä omien tietojen ja toisen kertomien tulosten pohjalta molemmat päätyvät esim. salausavaimeen 0011, jos häiriötä ja/tai kvanttikanavan salakuuntelua ei ole.[1]
Klassinen kanava voi olla täysin avoin ja siksi sitä voidaan salaa tarkkailla. Sen kautta ei kuitenkaan välitetä itse salausavaimen bittien arvoja, vain Liisan antamat oikein/väärin vastaukset ja Roopen kertomat ja suotimet, joista kumpikin voi vastata kumpaa bittiä vain, bittejä 0 tai 1. Klassisen kanavan salakuuntelusta ei ole siksi hyötyä eikä sen salakuuntelu välttämättä häiritse salausavainten vaihtoa.[1]
Kvanttikanava on myös salaamaton ja salausavaimen siirron aikana ulkopuolisen halutessa täysin tämän nähtävissä. Jos oletetaan että "Eeva" pääsee käsiksi Liisan lähettämiin fotoneihin, voi hän mitata niiden bittiarvot. Fotonit tuhoutuvat osuessaan väärään suotimeen tai päästessään oikean suotimen lävitse, tuhoutuvat ne mittalaitteella. Jos Eevan valitsema suodin on oikea, havaitsee hän fotonin ja voi lähettää fotonin kopion edelleen Roopelle, toivoen ettei hänen läsnäoloaan huomata. Eevan on kuitenkin valittava mittaussuotimet satunnaisesti. Valinta tulee 50 prosentin todennäköisyydellä olemaan erilainen kuin Liisalla ja Roopella.[1]
Ne fotonit, joiden kohdalla Liisa ja Roope valitsivat saman suotimen, mutta Eeva eri suotimen, paljastavat vakoilun. Näissä tapauksissa fotoni tuhoutuu Eevan väärään suotimeen eikä Eeva voi tietää fotonin polarisaatiota epätarkkuusperiaatteen vuoksi ja sai siksi 50 prosentin todennäköisyydellä bitin 0 ja 50 prosentin todennäköisyydellä bitin 1. Eeva joutuu siksi arvaamaan valon polarisaation, jolloin 50 prosentin oikein arvaamisen todennäköisyys puolittuu edelleen ja Eeva välittää vääränlaisen fotonin Roopelle 25 prosentin todennäköisyydellä per fotoni. Liisa havaitsee eroja tarkastaessaan omiaan ja Roopen toisessa vaiheessa kertomia suotimia: Liisan luoma oikea salausavain on 0011, mutta Roope ilmoittaakin Liisalle avaimeksi 0101 Eevan vakoiluyrityksen vuoksi. Todennäköisyys että Eevan vakoiluyritykset jäävät huomaamatta pienenee salausavaimen pituuden n kasvaessa yhtälön (3/4)n mukaisesti. 4 bitin salausavaimen kohdalla Eeva jää (3/4)4 ≈ 32 prosentin todennäköisyydellä huomaamatta.[1]
Jos vakoiluun viittaavia muutoksia esiintyy, järjestelmä voi päättää salausavainten vaihdon olevan turvatonta ja ilmoittaa tästä käyttäjilleen. Käytännössä siirrossa tapahtuu aina jonkin verran luonnollista fotonien polarisaation muutoksia ja katoamisia. Järjestelmää valvovat algoritmit eivät saa olla siksi liian herkkiä ja niiden pitää sallia tietty määrä Roopen väärin mittaamia polarisaatioita.[1] Liian pitkällä matkalla luonnollinen häiriö on liian suuri ja avainneuvottelu estyy.
Monet kaupallisista kvanttisalausjärjestelmistä löydetyt heikkoudet johtuvat mahdottomuudesta rakentaa järjestelmien laitteita fyysisiltä ominaisuuksiltaan täydellisiksi sekä epätäydellisyydestä johtuvista suunnittelun kompromisseista.[5] Myös perinteisiinkin tietoverkkoihin vaikuttavat vakoiluohjelmat, ohjelmistohaavoittuvuudet ja muut vastaavat ongelmat eivät ratkea yksin kvanttisalauksen avulla. Joitakin järjestelmissä mahdollisesti esiintyviä heikkouksia on lueteltu alla.
Pitkällä matkalla luonnollinen fotonien muuntuminen ja kato kasvaa liian suureksi ja avainneuvottelu estyy. Fotonisignaaleja ei voida suoraan vahvistaa niiden epätarkkuusperiaatteesta johtuvan tuhoutumisen vuoksi.[1] Ilman solmuja viestintä voi erityislaatuisten laitteiden avulla hyviä valokaapeleita pitkin tapahtua toistaiseksi ainakin 240 km:n etäisyydelle. Tätä pitemmän matkan viestinnässä kvanttiverkossa täytyy olla luotettavia ulkopuolisia koneita eli solmukohtia, jotka toimivat verkossa sen liikennettä monistavina välikäsinä.[6] Solmut ovat kuitenkin heikkoja kohtia verkossa: niihin voidaan murtautua tai niihin ei voi luottaa alun perinkään. Solmujen turvallisuutta voidaan parantaa satelliittien avulla ja/tai käyttää mm. MDI-QKD- ja DI-QKD-menetelmiä.[7]
BB84-menetelmässä liian lyhyttä salausavainta käytettäessä vakoilija voi jäädä huomaamatta.[1]
Kvanttisalausjärjestelmiä ilman varmenteita voidaan vakoilla väliintulohyökkäyksen avulla.[1]
Monenlaisia kvanttiverkkoja (esim. BB84) vastaan voidaan tehdä palvelunestohyökkäys mikäli vaihtoehtoisia kvanttikanavia ei ole kyllin monta kvanttiverkossa. Estohyökkäys on teoriassa helppo toteuttaa koska yleensä kvanttiverkkoa tarkkaileva järjestelmä sulkee kanavan välillisesti salausavaimien vaihdon turvaamiseksi jo suhteellisen pienestäkin häiriöstä, joka voi johtua vakoilusta tai tarkoituksenmukaisesta häirinnästä.[8] Tavallisen kanavan estohyökkäys taas vaatii usein tuhansien koneiden bottiverkon.
Käytännössä esim. BB84-menetelmässä kutakin bittiä koodataan useana fotonina yksittäisten fotonien sijaan niiden luomisen vaikeuden vuoksi, mutta fotonien lukumäärä pyritään pitämään mahdollisimman pienenä. Vakoilija voi kuitenkin mitata fotoneista vain osan ja antaa muiden edetä viestikanavan toiseen päähän. Hyökkäystä kutsutaan fotoniluvun jaoksi (eng. photon number splitting, PNS). Tällöin vakoiluyritystä ei välttämättä huomata,[1][3] mutta yritykseltä voidaan suojautua käyttämällä valekubittejä tietyn protokollan mukaisesti.[9]
Kanadassa Toronton yliopistollisessa tutkimuslaitoksessa onnistuttiin murtamaan kaupallisen järjestelmän kvanttisalaus vaiheen uudelleenkartoitus -hyökkäykseksi (eng. phase-remapping attack) kutsutulla menetelmällä. Tutkijat ohjasivat laitteiden valoantureihin voimakasta valoa. Se sotki antureiden toimintaa niin, että tietoa voitiin salaa tarkkailla.[10][5]
Kaupallisia kvanttiasalausavainten vaihtoon kykeneviä järjestelmiä myyvät kirjoittamishetkellä (2018) ainakin yritykset ID Quantique (Geneve), MagiQ Technologies, Inc. (New York), QuintessenceLabs (Australia) ja SeQureNet (Pariisi).
Pitkäkestoisia toiminnassa olleita tai yhä toimivia kvanttiverkkoja, joita on esim. käytetty tutkimukseen, ovat mm. DARPA Quantum Network (2004, Yhdysvallat),[11] SECOQC (2003-2008, Itävalta),[12] Hierarchical network (2009–?, Kiina),[13] SwissQuantum (2009–2011, Sveitsi)[14] ja Tokyo QKD network (2010–?, Japani).[15]
Yleiset | |||||||||
---|---|---|---|---|---|---|---|---|---|
Kvanttiviestintä | |||||||||
Kvanttialgoritmit | |||||||||
Kvanttilaskennan monimutkaisuusteoria | |||||||||
Kvanttilaskennan mallit | |||||||||
Kvanttisuorittimien suorituskykyindikaattorit | |||||||||
Dekoherenssin ennaltaehkäisy | |||||||||
Fyysiset toteutustavat |
|