I en verden, hvor personlige data i stigende grad, bliver sendt på kryds og tværs gennem internettet, er sikker kommunikation en absolut nødvendighed for at beskytte mod identitetstyveri.
Siden Rivest, Shamir og Adleman i 70’erne opfandt deres berømte RSA-algoritme, der tillader kryptering med offentlige nøgler, er den blevet stadigt mere udbredt, primært på grund af dens effektivitet, men også dens tilsyneladende robusthed.
Sikkerheden af RSA kan dog vise sig at være meget mere skrøbelig end hidtil antaget.
Lige fra start stod det klart, at man ikke matematisk kan garantere sikkerheden af algoritmen. Den fungerer, fordi der endnu ikke findes en hurtig algoritme til faktorisering i primtal.
Det medfører, at en eventuel angriber ville skulle bruge flere år på at bryde koden, men hvis en hurtigere algoritme blev tilgængelig, ville sikkerheden bryde sammen øjeblikkeligt, uden at brugerne ville være i stand til at opdage det.
Afhængig af, hvor pessimistisk man er, og hvilke eksperter i kryptering man snakker med, har efterretningstjenester som NSA allerede kapacitet til at bryde visse typer af RSA-kryptering, som ikke bruger tilstrækkeligt store primtal.
Desuden er der i de seneste år kommet stadig større fokus på at konstruere en kvantecomputer, som ville være i stand til at bryde alle typer konventionel kryptering, der er i brug i dag uden problemer.
En kvantemekanisk løsning
En måde at stoppe dette våbenkapløb mellem computeres hastighed og størrelsen af koderne er ved at lave et system, hvor man matematisk kan garantere, at sikkerheden er perfekt.
Her kommer kvantemekanikken ind i billedet. En af grundstenene i kvantemekanikken er Heisenbergs usikkerhedsprincip, som siger, at en måling af for eksempel positionen af en partikel vil forstyrre partiklen og give usikkerhed i en måling af hastigheden af partiklen.
Man siger, at hastighed og position er konjugerede variable. Der findes flere eksempler på sæt af konjugerede variable, hvor en måling af den ene påvirker usikkerheden i målingen af den anden.
Det, at en måling skaber usikkerhed, er også det, der giver sikkerheden, når man kommunikerer via kvantemekaniske tilstande. Hvis der er en potentiel aflytter, der måler på vores tilstand, vil hun skabe en uundgåelig forstyrrelse, som så kan ses, når vi laver vores egen måling.
Kvantekommunikationens fødsel
Et konkret eksempel er den såkaldte BB84-protokol, udviklet af Bennett og Brassard i 1984. Her lægger man informationen i polarisationen af enkelte fotoner.
Vi forestiller os et kommunikationsscenarie, hvor der er en afsender Alice, en modtager Bob og en aflytter Eve.
BB84 giver os nu en opskrift på, hvad vi skal gøre, for at Alice og Bob kan snakke, uden at Eve kan høre dem. Alice kan producere enkelte fotoner med 4 forskellige polarisationer. Horisontal, skrevet H, vertikal, skrevet V , og to diagonale kombinationer, H + V og H − V
Tricket er nu, at kvantemekanikken forhindrer os i at se forskel på alle disse tilstande samtidig. Hvis vi modtager en foton, kan vi lave en måling for at afgøre, om den er H eller V , eller vi kan lave en måling for at afgøre, om fotonen er H + V eller H − V
Så ville den åbenlyse indvending være, at vi da bare først tester, om fotonen er H eller V og derefter tester, om den er H + V eller H − V , men det kan vi ikke! Når vi først har lavet målingen, er fotonen væk, og vi har et udfald, som er enten H, V , H + V eller H − V
Sandsynligheden for det givne udfald afhænger selvfølgelig af den foton, vi måler på, men siden vi kun får én chance for at måle, har vi ikke adgang til denne sandsynlighedsfordeling. For hver foton, Alice sender til Bob, har han altså 50 procent chance for at vælge den rigtige målemetode, men selvfølgelig også 50 procent sandsynlighed for at vælge den forkerte.
Lad os sige, at Alice vælger at sende H, og at Bob vælger at måle med det apparat, der skelner mellem H og V
Så får Bob udfaldet H. Dernæst sender Alice en foton med V , men Bob vælger nu det apparat, der skelner mellem H + V og H − V
Bob kan aldrig få udfaldet V på denne måde, men får derimod H + V eller H − V , helt tilfældigt. Dette fortsætter, indtil Alice og Bob har udveklset nok data til at lave deres hemmelige nøgle.
Når alle fotonerne er udvekslede, ringer Alice til Bob over en helt almindelig telefonlinie. Her er de ikke bekymrede for, om Eve lytter med, så længe de ikke afslører for meget.
Nu fortæller Alice, at Bob skulle have benyttet hans H, V apparat til den første foton. Det gjorde han, så den bliver godkendt. På forhånd er Alice og Bob enige om, at 2 af H svarer til bit-værdien 0 og V svarer til bit-værdien 1.
Så for den første foton noterer Bob bit-værdien 0.
Bob får nu at vide, at han igen skulle have benyttet H, V apparatet til at måle den næste foton. Det gjorde han ikke, så den bliver Alice og Bob enige om at smide ud.
Læg mærke til, at de kan gøre alt dette uden at afsløre den egentlige værdi af fotonerne, så de afslører ikke noget over for Eve. Denne procedure fortsætter så, indtil Alice og Bob er kommet igennem alle fotonerne.
I gennemsnit vil de opleve, at Bob har målt forkert 50 procent af gangene.
Lad os se på, hvad der sker, hvis Eve er til stede og opsnapper nogle af de fotoner, Alice sender til Bob. For hver foton Eve opsnapper, er hun nødt til at lave en kopi, som hun sender til Bob, så han ikke opdager, at der er noget galt.
Men kvantemekanikken garanterer nu, at Eve ikke kan gøre dette perfekt, fordi hun også laver fejl 50 procent af gangene. Det betyder, at Alice og Bob vil se mere end 50 procent fejl, når de snakker sammen over telefonen til sidst, og de vil derfor kunne se, om Eve er til stede.
Partikel-tanken udvikles
Denne ide danner grundlag for det videnskabelige felt kvantekommunikation. Som navnet antyder går det ud på at benytte kvantemekanikken til at forbedre kommunikationsteknologi på forskellige måder, hvoraf den primære er fortrolig kommunikation.
Der er dog sket en stor udvikling siden 1984 for at overkomme de praktiske forhindringer der ligger i at bruge ideen i den virkelige verden.
Først og fremmest er enkelte fotoner besværlige at producere og håndtere og de er i sagens natur meget skrøbelige størrelser. Det betyder at hvis man bruger det fibernetværk der eksisterer i dag ville kvantekryptering have en maksimal rækkevidde på 150 km, fordi de optiske fibre mister lyset undervejs.
Dette er ikke et problem i almindelig fiberkommunikation, til f.eks. hurtigt internet. Her kan man indsætte forstærkere undervejs for at kompensere for tabsproblemet, men en sådan forstærker ville ødelægge alle spor af de enkelte fotoner.
De ville simpelthen drukne i støj. Tidligt i 00’erne fandt man ud af at enkelte fotoner ikke er nødvendige for at garantere sikkerhed. Man kan i stedet bruge samme metoder som kendes fra normal fiberkommunikation, hvor man f.eks. tildeler forskellige lysstyrker hvert deres symbol for at lave en slags alfabet.
Disse systemer tillader dog stadig ikke brugen af forstærkere, men de har den fordel at måleprocessen er simplere, fordi det ikke er nødvendigt at måle de individuelle fotoner. Disse systemer ligger derfor tættere på det nuværende teknologiske niveau i almindelig optisk kommunikation, hvilket vil gøre eventuel kommercialisering nemmere.
En ny løsning på et gammelt problem
I et samarbejde med forskere fra universitetet i York har vi nu lavet et principielt forsøg der viser at det er muligt at udveksle laserlyset på en sådan måde at kvaliteten af lysmålerne ikke har nogen stor betydning.
Faktisk viser det sig at Eve kan have fuld kontrol over lysmålerne uden at hun vil være i stand til at lytte til Alice og Bob.
Denne ide gør det desuden lettere at konstruere sikre netværk. Hvis man forestiller sig et netværk bestående af 3 ærlige personer, Alice, Bob og Charlie, der alle ønsker at kommunikere parvis med hinanden.
BB84 kræver et link mellem Alice og Bob, et link mellem Alice og Charlie, og et link mellem Bob og Charlie, hvor alle hver især skal have måleudstyr og lasere til rådighed.
Det er let at se at dette hurtigt bliver kompliceret hvis der er mange brugere. En simplere og billigere måde at gøre det på er at alt måleudstyret bliver placeret centralt og at alle brugere har et enkelt link til dette relæ.
Udfordringen har indtil nu været at bevise at et sådant relæ er sikkert, men vi har vist at relæet faktisk ikke behøver at være sikkert. Selvom Eve får adgang til alle målingerne relæet foretager hjælper det hende ikke til at opsnappe den hemmelige nøgle Alice og Bob vil udveksle.
Princippet fungerer således at Alice og Bob har hver deres laser som de sender til relæet. Inden de sender lyset tildeler de det en tilfældig lysstyrke. Det er disse værdier som relæet måler.
Mere præcist så måler relæet størrelsen γ = α + β, hvor α er den værdi Alice sendte ind og β er den værdi Bob sendte ind. Efter målingen annoncerer relæet resultatet γ offentligt så alle der lytter kan høre det.
Det er ikke hemmeligt. Når Alice modtager γ kan hun ganske let finde ud af hvad β er fordi β = γ − α og Alice ved hvad α er.
Det samme gælder for Bob når han skal finde α, men kender β. På den måde kan Alice og Bob udveksle en serie af tal som kun de selv kender.
Eve kan ikke bruge tallet γ til noget, fordi hun ikke kender hverken α eller β, så man kunne i princippet sætte Eve til at styre relæet og hun ville stadig ikke kunne bruge informationen til noget. En åbenlys indvending er nu at hvis Eve styrer relæet, så er det hende der bestemmer hvilken værdi for γ hun vil annoncere.
Det viser sig dog at det ikke kan betale sig for Eve at lyve om γ, fordi Alice og Bob kan sammenligne dele af deres hemmelige nøgle.
Hvis Eve lyver om γ vil Alice og Bob opdage at de ikke har den samme nøgle og så ringer alarmklokkerne. Som en bivirkning ser vi også en forbedring i overførselshastigheden af den hemmelige nøgle.
Desværre er der ikke nogen forbedring i de afstande systemet fungerer over, men håbet er at denne teknik kan hjælpe med at løse dette problem en gang for alle, blandt andet ved at vise at opbygningen af større netværk er praktisk muligt.
