Práctico continuo

Nov 24, 2023

Nature Communications volumen 13, Número de artículo: 4740 (2022) Citar este artículo

4124 Accesos

14 citas

4 Altmetric

Detalles de métricas

Un sistema de distribución de claves cuánticas (QKD) debe cumplir con el requisito de compatibilidad universal para garantizar que cualquier aplicación criptográfica (que utilice el sistema QKD) también sea segura. Además, la prueba teórica responsable del análisis de seguridad y la generación de claves debe tener en cuenta que el número N de estados cuánticos distribuidos es finito en la práctica. QKD de variable continua (CV) basado en estados coherentes, a pesar de ser un candidato adecuado para la integración en la infraestructura de telecomunicaciones, hasta ahora no ha podido demostrar la componibilidad ya que las pruebas existentes requieren una N bastante grande para la generación exitosa de claves. Aquí informamos sobre un sistema CVQKD de estado coherente con modulación gaussiana que puede superar estos desafíos y puede generar claves componibles seguras contra ataques colectivos con N ≈ 2 × 108 estados coherentes. Con este avance, posible gracias a las mejoras en la prueba de seguridad y una operación del sistema altamente estable, rápida y silenciosa, las implementaciones de CVQKD dan un paso significativo hacia sus contrapartes de variable discreta en practicidad, rendimiento y seguridad.

La distribución de claves cuánticas (QKD) es la única solución criptográfica conocida para distribuir claves secretas a los usuarios a través de un canal de comunicación público mientras se puede detectar la presencia de un espía1,2. En un caso ideal, los usuarios legítimos de QKD (Alice y Bob) encriptan sus mensajes con las claves secretas y los intercambian con la seguridad de que el intruso (Eve) no puede romper la confidencialidad de los mensajes encriptados.

En uno de los sabores más conocidos de QKD, la información cuántica se codifica en variables continuas2,3,4,5, como las cuadraturas de amplitud y fase del campo óptico, descritas por un operador de aniquilación \(\hat{a }\). Alice codifica bits aleatorios, por ejemplo, modulando el campo de la señal óptica para obtener un estado coherente que sigue la relación \({\hat{a}}_{{{{{{{\rm{sig}}}}}} }}}\left|\alpha \right\rangle={\alpha }_{{{{{{{\rm{sig}}}}}}}}}\left|\alpha \right\rangle\) , con la parte real [imaginaria] del valor complejo αsig igual a la cuadratura de amplitud [fase]. Bob decodifica esta información usando una detección coherente, facilitada por el llamado oscilador local (LO), que produce una cantidad \(\propto {\beta }_{{{{{{{{\rm{LO}}}}} }}}}{\hat{b}}_{{{{{{{{\rm{sig}}}}}}}}}^{{{{\dagger}}} }+{\beta }_ {{{{{{{{\rm{LO}}}}}}}}}^{*}{\hat{b}}_{{{{{{{{\rm{sig}}}}} }}}}\) para un operador de campo entrante \({\hat{b}}_{{{{{{{\rm{sig}}}}}}}}}\) y con ∣βLO∣2 como la intensidad LO.

La Figura 1 muestra estos pasos de preparación, transmisión (en un canal cuántico) y medición del estado cuántico, que Alice y Bob realizan al comienzo del protocolo QKD de variable continua (CV). A la etapa cuántica le siguen los pasos clásicos de procesamiento de datos y un análisis de seguridad, realizado de acuerdo con una prueba matemática de "seguridad", para obtener una clave de cierta longitud. Para ello, Alice y Bob utilizan un canal autenticado en el que Eve no puede modificar los mensajes comunicados pero sí conocer su contenido. Una vez que concluye la etapa clásica, Alice y Bob usan sus claves secretas para cifrar sus mensajes, y los textos cifrados resultantes se intercambian mediante un canal de comunicación, por ejemplo, una línea telefónica, y se descifran.

Alice y Bob obtienen correlaciones cuánticas sobre el canal cuántico por medio de modulación (MOD) y detección homodina/heterodina (HD) asistida por oscilador local (LO) para preparar y medir, respectivamente, estados ópticos coherentes. Después de pasar por los pasos restantes del protocolo que involucran el canal autenticado, obtienen flujos de bits correlacionados sA y sB, respectivamente. Ciertos criterios asociados con la corrección, robustez y secreto del protocolo deben cumplirse para que la aplicación asegure la seguridad componible7,10. Por ejemplo, la corrección ϵ implica que Alice y Bob poseen la misma clave simétrica s( = sA = sB) excepto con una probabilidad ϵcor que limita la probabilidad de que tengan claves no idénticas (Pr[sA ≠ sB]≤ϵcor). Esta clave se puede utilizar para cifrar un mensaje y descifrar el texto cifrado correspondiente a través del canal de comunicación. Las líneas discontinuas con flechas indican comunicación clásica a través del canal y operaciones locales. Se supone que Eve controla todos los canales. Más detalles de nuestra implementación del protocolo CVQKD se presentan en secciones posteriores de este artículo.

Entre las muchas consideraciones físicas incluidas en la prueba de seguridad, las acciones de Eve en los canales (particularmente su interacción con los estados cuánticos transmitidos) se clasifican en forma de ataques individuales, colectivos o generales, en orden creciente de poder y generalidad1,2. Por ejemplo, una prueba de seguridad que atiende a un ataque colectivo le permite a Eve almacenar el resultado de sus interacciones con los estados cuánticos en una memoria cuántica y luego realizar una medición colectiva. Además, el hecho de que Alice y Bob no puedan disponer de un número infinito de estados cuánticos en la práctica afecta negativamente a la longitud de la clave, pero tales correcciones de tamaño finito son esenciales para garantizar la seguridad. Otra propiedad relacionada de una clave secreta es la componibilidad6, que permite especificar los requisitos de seguridad para combinar diferentes aplicaciones criptográficas de forma unificada y sistemática. En el contexto de QKD práctico, la componibilidad es de suma importancia porque las claves secretas obtenidas de un protocolo se utilizan en otras aplicaciones, por ejemplo, el cifrado de datos7. Una clave secreta que no ha demostrado ser componible es prácticamente inútil.

La seguridad componible en CVQKD se probó por primera vez8 y se demostró experimentalmente9 usando estados comprimidos de dos modos, pero la distancia de comunicación alcanzable era bastante limitada ya que la relación de incertidumbre entrópica empleada no es estricta. Las pruebas componibles para sistemas CVQKD que utilizan estados coherentes y detección de cuadratura dual, propuestas por primera vez en 201510, se han mejorado progresivamente11,12,13,14,15. Algunas de estas pruebas incluso brindan seguridad contra ataques generales, pero todas prometen claves a distancias mucho más largas que en la ref. 8 además de la ventaja de tratar con estados coherentes, que son mucho más fáciles de generar que los estados comprimidos.

No obstante, la prueba más fuerte16 de que las implementaciones reales de CVQKD de estado coherente, por ejemplo, refs. 17, 18, 19, 20, 21, que se han usado hasta ahora lamentablemente no incluye definiciones componibles. Una demostración experimental de componibilidad en CVQKD sigue siendo difícil de alcanzar, y esto se debe a una combinación de límites de seguridad estrictos (debido a una rutina de estimación de parámetros compleja), la gran cantidad de transmisiones de estado cuántico requeridas (para mantener los términos de tamaño finito). suficientemente bajo), y los estrictos requisitos sobre el exceso de ruido tolerable.

En este artículo, demostramos una configuración CVQKD de baja complejidad que es capaz de generar claves componibles seguras contra ataques colectivos. Logramos esto derivando un método para establecer intervalos de confianza compatibles con ataques colectivos, lo que nos permite trabajar en tamaños de bloque más pequeños (y por lo tanto más prácticos) que los requeridos originalmente10. Alice produce estados coherentes mediante la codificación de información gaussiana en bandas de frecuencia (laterales) alejadas de la portadora óptica22 por medio de un único modulador electroóptico en fase y en cuadratura (IQ). Bob decodifica esta información utilizando heterodino de radiofrecuencia (RF) real asistida por LO, implementado con un solo detector balanceado, seguido de procesamiento de señal digital (DSP)23. Al realizar un análisis cuidadoso para erradicar o evitar varios componentes de ruido espurio y al implementar un marco de aprendizaje automático para la compensación de fase24, podemos mantener el exceso de ruido por debajo del umbral de longitud de clave nula. Después de tener en cuenta los efectos de tamaño finito, así como los intervalos de confianza de varias calibraciones del sistema, logramos una longitud de clave componible positiva con solo N ≈ 2 × 108 estados coherentes (también denominados "símbolos cuánticos" de aquí en adelante) transmitidos a través de 20 canal de fibra óptica de km de longitud. Con N = 109, obtenemos > 41 Mbits de material clave que es componiblemente seguro contra ataques colectivos, suponiendo intervalos de confianza en el peor de los casos.

Una rutina DSP al final de la etapa cuántica produce los símbolos cuánticos digitales discretizados con d bits por cuadratura. Este flujo se divide en marcos M para la reconciliación de la información (IR), después de lo cual realizamos la estimación de parámetros (PE) y la amplificación de privacidad (PA); como se visualiza en la Fig. 1. Obtenemos la clave secreta ligada a la reconciliación inversa, es decir, Alice corrige sus datos de acuerdo con los símbolos cuánticos de Bob \(\bar{Y}\).

La longitud de la clave secreta (componible) sn para n transmisiones de estado coherente se calcula utilizando herramientas de refs. 10,15 así como los resultados presentados a continuación. La longitud de la clave está limitada por el lema hash sobrante en términos de la mínima entropía suave \({H}_{\min }^{{\epsilon }_{s}}\) de \(\bar{Y}\ ) condicionado al estado cuántico del espía E con ϵs como parámetro de suavizado25. De esto restamos la fuga de reconciliación de información fugaIR(n, ϵIR) y obtenemos,

El parámetro de seguridad ϵh caracteriza la función hash y ϵIR describe la probabilidad de falla de la prueba de corrección después de IR.

La probabilidad \({p}^{\prime}\) de que IR tenga éxito en una trama está relacionada con la tasa de error de trama (FER) por \({p}^{\prime}=1-\)FER. Todos los fotogramas en los que falló IR se descartan del flujo de clave sin procesar y, por lo tanto, este paso proyecta el estado del producto tensorial original ρn ≡ ρ⊗n en un estado no iid τn. Para tener esto en cuenta, se reemplaza el término de min-entropía uniforme en la ecuación. (1) con la expresión15:

donde \(n^{\prime}=n{p}^{\prime}\) es el número de símbolos cuánticos restantes después de la corrección del error.

La propiedad de equipartición asintótica (AEP) limita la min-entropía condicional de la siguiente manera,

dónde

es una penalización mejorada (prueba provista en la sección "Métodos") en comparación con la ref. 10,15 y la entropía condicional de von-Neumann \(H{(\bar{Y}|E)}_{\rho }\) de la ecuación. (3) está dada por

Estimamos la entropía de Shannon \(H(\bar{Y})\) directamente a partir de los datos (hasta una probabilidad ≤ ϵent, más detalles en la sección "Métodos"). El segundo término es el Holevo de Eve atado con respecto a \(\bar{Y}\) que satisface,

donde Y es la versión continua de \(\bar{Y}\) y \(I{(Y;E)}_{{\rho }_{G}}\) es la información de Holevo obtenida usando la propiedad de extremalidad de ataques gaussianos.

La información de Holevo se estima evaluando la matriz de covarianza utilizando estimaciones del peor de los casos para sus entradas en función de los intervalos de confianza. Mejoramos los intervalos de confianza de la ref. 10 explotando las propiedades de la distribución Beta. Sean \(\hat{x}\), \(\hat{y}\), \(\hat{z}\) los estimadores de la varianza del conjunto transmitido de estados coherentes, la varianza recibida y el co -varianza, respectivamente. Los valores verdaderos y y z están limitados por

donde ϵPE denota la probabilidad de falla de la estimación de parámetros, y

siendo los intervalos de confianza (derivados en la Nota complementaria 1). En las ecuaciones anteriores,

donde "invcdf" es la función de distribución acumulativa inversa. Como se detalla en la sección "Discusión", la (longitud de la) clave secreta que finalmente obtenemos en nuestro experimento requiere un orden de magnitud menor N debido a estos intervalos de confianza.

Finalmente, destacamos aquí una limitación técnica que surge debido a la digitalización de los datos de Alice y Bob. En la práctica, es imposible implementar un verdadero protocolo gaussiano porque la distribución gaussiana es ilimitada y continua, mientras que los dispositivos realistas tienen un rango finito y una resolución de bits14,26. En nuestro trabajo, consideramos un rango de 7 desviaciones estándar y usamos d = 6 bits, lo que lleva a una constelación con 22d = 4096 estados coherentes. Según resultados recientes27,28, esto debería ser suficiente para minimizar el impacto de la digitalización en la seguridad del protocolo. Sin embargo, para simplificar el análisis, asumimos una modulación gaussiana perfecta.

La Figura 2 muestra el esquema de nuestra configuración, que consiste en un transmisor y un receptor conectados entre sí por un carrete de fibra monomodo estándar de 20 km de largo, que formó el canal cuántico. Realizamos modulación óptica de banda lateral única con supresión de portadora (OSSB-CS) utilizando una fuente óptica (láser Tx) de NKT Photonics y un modulador IQ más controlador automático de polarización (IQmod+ABC) de ixBlue. Se conectó un generador de forma de onda arbitraria (AWG) a los puertos de RF para modular las bandas laterales. Los estados coherentes se produjeron en una banda lateral de frecuencia ancha de B = 100 MHz, alejada de la portadora óptica22,29. Los números aleatorios extraídos de una distribución gaussiana obtenidos mediante la transformación de la distribución uniforme de un generador de números aleatorios cuánticos (QRNG) basado en fluctuaciones de vacío con un parámetro de seguridad ϵqrng = 2 × 10−6 formaron las amplitudes complejas de estos estados coherentes30. A esta señal de 'datos cuánticos' de banda ancha, centrada en fu = 200 MHz, multiplexamos en frecuencia un 'tono piloto' en fp = 25 MHz para compartir una referencia de fase con el receptor23,31,32,33. El recuadro izquierdo de la Fig. 2 muestra los espectros complejos de la señal de modulación de RF.

El transmisor (Tx) y el receptor (Rx) se construyeron a partir de componentes de fibra que mantienen la polarización. El transmisor constaba de un láser de onda continua de 1550 nm (láser Tx), un modulador electroóptico en cuadratura y en fase (IQmod) con controlador automático de polarización (ABC) para supresión de portadora y modulación de banda lateral única, y un atenuador variable (VATT) y aislador de Faraday (FI). Un generador de forma de onda arbitraria (AWG) con resolución de 16 bits y frecuencia de muestreo de 1 GSps proporcionó formas de onda RF1 y RF2 para controlar IQmod. Un generador de números aleatorios cuánticos (QRNG) entregó símbolos distribuidos por Gauss para la modulación gaussiana discreta de estados coherentes. El receptor constaba de un láser (láser Rx; del mismo tipo que el láser Tx), un controlador de polarización (PC) para sintonizar la polarización del campo de la señal entrante, un divisor de haz simétrico seguido de un detector balanceado casero para heterodino de RF. La salida del detector fue muestreada por un convertidor de analógico a digital (ADC) de 16 bits a 1 GSps. BS: divisor de haz, PD: fotodetector. Recuadro izquierdo: Espectro de potencia de la forma de onda compleja RF1 + ι RF2 que impulsa el IQmod. Recuadro derecho: Espectros de potencia del receptor de 3 medidas diferentes descritas en la sección "Implementación experimental". El pico de ruido a 250 MHz es un estímulo intercalado del ADC.

Después de propagarse a través del canal cuántico, la polarización del campo de la señal se ajustó manualmente para que coincidiera con la polarización del oscilador local real (RLO) para la heterodinación31,32,33. El láser Rx que suministró el RLO funcionaba libremente con respecto al láser Tx y desafinaba la frecuencia en ~ 320 MHz, lo que generaba una señal de pulsación, como se indica en la traza espectral de color rojo sólido en el recuadro derecho de la Fig. 2 La banda de datos cuánticos y el tono piloto generado por el AWG también están etiquetados. Debido al OSSB29 finito, también es visible un tono piloto suprimido; sin embargo, la banda cuántica suprimida correspondiente estaba fuera del ancho de banda del receptor (usamos un filtro de paso bajo con una frecuencia de corte de alrededor de 360 ​​MHz a la salida del detector heterodino casero30). Como se muestra, el Tx y el Rx tenían sus relojes sincronizados, y el Tx proporcionó un disparador para la adquisición de datos en Rx34,35.

Por separado, también medimos el ruido de vacío (láser Tx apagado, láser Rx encendido) y el ruido electrónico del detector (láseres Tx y Rx apagados), representados por los trazos punteados en azul y verde, respectivamente, a la derecha. recuadro de la Fig. 2. La separación del ruido del vacío sobre el ruido electrónico es > 15 dB en toda la banda de datos cuánticos.

Una elección cuidadosa de los parámetros que definen el tono piloto y la banda de datos cuánticos y sus ubicaciones con respecto a la señal de batido es crucial para minimizar el exceso de ruido. Un tono piloto fuerte permite una referencia de fase más precisa, pero a expensas de una mayor fuga en la banda cuántica y un mayor número de tonos espurios. Esto último puede surgir como resultado de la mezcla de frecuencias del tono piloto (deseado) con, por ejemplo, la señal de pulsación o el tono piloto suprimido. Como se puede observar en el recuadro derecho de la Fig. 2, evitamos que los picos de ruido falso resultantes de la generación de frecuencias de suma o diferencia de los diversos componentes discretos (en el trazo rojo sólido) caigan dentro de la amplia banda de datos cuánticos.

En CVQKD, es bien sabido que Alice necesita optimizar la fuerza de modulación del alfabeto de estado coherente en la entrada del canal cuántico para maximizar la longitud de la clave secreta. Para ello, conectamos Tx y Rx directamente, es decir, sin el canal cuántico, y realizamos medidas heterodinas para calibrar el número medio de fotones μ del conjunto de estados coherentes. La ganancia electrónica AWG y el atenuador variable (VATT) proporcionaron una perilla de grano fino para controlar la fuerza de la modulación.

Dado que realizamos nuestro experimento en el escenario no paranoico1,26, es decir, confiamos en algunas partes de la pérdida general y el exceso de ruido asumiendo que estaban fuera del control de Eve, se hacen necesarias algunas mediciones y calibraciones adicionales para la estimación de parámetros confiables. Más específicamente, descomponemos la transmitancia total y el exceso de ruido en sus respectivos componentes confiables y no confiables. En la Nota complementaria 4, presentamos los detalles de la calibración de la eficiencia del receptor (transmitancia confiable) τ = 0.69 y el ruido confiable del detector ξt = 25.71 × 10−3 unidad de número de fotones (PNU). Señalemos aquí que en nuestro trabajo, expresamos el ruido y otras cantidades similares a la varianza, por ejemplo, la fuerza de la modulación, en PNU a diferencia de la unidad tradicional de ruido de disparo (SNU). El primero es independiente de las cuadraturas y facilita una comparación con los sistemas QKD de variable discreta (DV)36, resaltados usando μ en la Tabla 1. Un factor simple de 2 relaciona estas unidades: 1 unidad de número de fotones (PNU) corresponde a una varianza de 2 disparos unidades de ruido (SNU). Finalmente, tenga en cuenta que registramos un total de 1010 muestras de ADC para cada una de las mediciones de calibración, y todos los datos adquiridos se almacenaron en un disco duro para su procesamiento fuera de línea.

Después de configurar μ = 1.45 PNU, conectamos Tx y Rx usando el canal de 20 km, optimizamos la polarización de la señal y luego recopilamos datos heterodinos usando los mismos números aleatorios distribuidos gaussianos que se mencionaron anteriormente. Offline DSP24 proporcionó los símbolos que formaron la clave sin procesar. La preparación y medición se realizó con un total de 109 símbolos complejos. Después de descartar algunos símbolos debido a un retraso en la sincronización, Alice y Bob tenían un total de NIR = 9.88 × 108 símbolos correlacionados al comienzo de la fase clásica del protocolo, cuya implementación describimos a continuación. Tenga en cuenta que asumimos la existencia de un canal autenticado para estos pasos.

IR se basó en un esquema multidimensional37 que utiliza códigos de corrección de errores de verificación de paridad de baja densidad de tipo multiborde38. Como se muestra en la Fig. 1, Bob envió el mapeo y los síndromes, junto con los hash calculados usando una función Toeplitz elegida al azar, a Alice, quien realizó la confirmación de corrección y se lo comunicó a Bob. Obtuvimos una eficiencia de reconciliación β = 94,3% y FER = 12,1% para los datos experimentales. En la Nota Complementaria 5, brindamos mayores detalles sobre el régimen de operación y el funcionamiento de estos códigos. Debido al FER distinto de cero, Alice y Bob tenían NPA = 8,69 × 108 símbolos complejos para destilar la clave secreta a través de PA.

Durante PE, Alice estimó la entropía de los símbolos corregidos y, junto con los símbolos de los marcos erróneos, es decir, los marcos que no se pudieron conciliar con éxito (y que Bob anunció públicamente), Alice evaluó la matriz de covarianza. A esto le siguió la evaluación de los parámetros del canal usando los datos de calibración del receptor, realizando la 'prueba de estimación de parámetros' (consulte el Teorema 2 en la referencia 10) y obteniendo un límite en la información de Eve's Holevo. Al restar ξt del exceso de ruido total de 30,9 mPNU, se obtiene el ruido no confiable medio ξu = 30,9 − 25,7 = 5,2 mPNU, mientras que al dividir la transmitancia total de 0,25 por τ se obtiene la transmitancia no confiable media η = 0,25/0,69 = 0,36.

Alice calculó una longitud de clave secreta l = 41378264 bits en el peor de los casos al sustituir en la ecuación. (1) los parámetros de seguridad ϵh = ϵent = ϵcal = ϵs = ϵPE = 10−10 y ϵIR = 10−12, y n = 2NPA (factor de 2 debido a los datos de las cuadraturas I y Q). Como se muestra en la Fig. 1, esta longitud se comunicó junto con una semilla a Bob para seleccionar una función hash Toeplitz aleatoria. Alice y Bob luego emplearon el esquema PA de alta velocidad y gran escala39 para generar la clave secreta final s( = sA = sB). Tenga en cuenta que el parámetro de seguridad final ϵ(coll) que cuantifica la seguridad componible contra ataques colectivos es una suma lineal de los diversos épsilons mencionados anteriormente; consulte la Nota complementaria 2 para obtener una expresión exacta.

Usando las ecuaciones presentadas en la sección "Clave segura componible", podemos calcular la longitud de la clave segura componible para un cierto número n de los símbolos cuánticos. Particionamos N = 109 en 25 bloques, estimamos la longitud de la clave considerando el número total Nk de símbolos acumulados de los primeros k bloques, para k ∈ {1, 2, …, 25}. Al dividir esta longitud por Nk se obtiene la fracción de clave secreta componible (SKF) en bits/símbolos. Si despreciamos el tiempo que toma la adquisición de datos, DSP y los pasos clásicos del protocolo, es decir, solo consideramos el tiempo que toma modular N = Nk estados coherentes en el transmisor (a una velocidad B = 100 MSímbolos/s), tenemos puede construir un eje de tiempo hipotético para mostrar la evolución del sistema CVQKD.

La Figura 3a muestra una evolución temporal de este tipo del SKF después de considerar adecuadamente las correcciones de tamaño finito debidas a los valores promedio y del peor de los casos (puntos de datos negros y rojos, respectivamente) de los parámetros subyacentes. De manera similar, la Fig. 3b muestra el ruido no confiable medido experimentalmente ξu (cuadrados inferiores) junto con el estimador del peor de los casos (guiones superiores) calculado usando Nk en el análisis de seguridad. Para obtener una longitud de clave positiva, el estimador del peor de los casos debe estar por debajo del ruido máximo tolerable (umbral de fracción de clave nula) que se muestra con la línea discontinua, y esto ocurre en N/B ≈ 2,0 s.

una evolución pseudotemporal del SKF componible con el parámetro de tiempo calculado como la relación entre el número acumulativo N de símbolos complejos disponibles para los pasos clásicos del protocolo y la velocidad B = 100 MHz a la que se modulan estos símbolos. b Variación del ruido no confiable ξu medido en el experimento (punto inferior) y su peor estimador (punto superior), y el umbral de ruido a vencer para obtener un SKF componible positivo. La desviación de las trazas de simulación en (a) de los datos experimentales entre 1 y 5 s se debe al ligero aumento en ξu. c, d Comparación de los intervalos de confianza derivados en este manuscrito (Beta; trazo rojo continuo y gaussiano; trazo punteado verde) con los derivados en la prueba de seguridad componible original (ref. 10; trazo azul punteado) en función de N Utilizando los intervalos de confianza de la ref. 10 no genera ninguna clave hasta casi el final (cuadrado azul relleno en (a) en N/B ≈ 10).

Tenga en cuenta que, en realidad, el DSP y el procesamiento de datos clásico consumen mucho tiempo: de hecho, almacenamos los datos de las etapas de preparación y medición del estado en discos y realizamos estos pasos fuera de línea. Por lo tanto, se puede entender que los gráficos de la Fig. 3 representan la evolución temporal del SKF y el ruido no confiable si toda la operación del protocolo se realizó en tiempo real.

Con referencia a la Fig. 3a, los trazos de color rojo sólido y negro discontinuo simulan el SKF en el peor de los casos y los escenarios promedio, respectivamente, mientras que el trazo de puntos naranja muestra el valor asintótico de SKF (teniendo en cuenta el FER) que se puede obtener con el parámetros de canal dados. Según las proyecciones basadas en la simulación, el SKF componible del peor caso debe estar dentro del 5 % del valor asintótico para N ≈ 1011 símbolos complejos.

Desde una perspectiva teórica, la razón para poder generar una longitud de clave componible positiva con un número relativamente pequeño de estados coherentes (N ≈ 2 × 108) se puede atribuir principalmente a la mejora en los intervalos de confianza durante PE; consulte las ecuaciones. (6) y (7). Las Figuras 3c y d comparan cuantitativamente el factor de escala en el RHS de estas ecuaciones, respectivamente, en función de N para tres distribuciones diferentes. Los estimadores \(\hat{x}\), \(\hat{y}\), \(\hat{z}\) para este propósito son los valores reales obtenidos en nuestro experimento y usamos un ϵPE = 10− 10 La diferencia entre los intervalos de confianza utilizados en la ref. 10 (adecuadamente modificado aquí para una comparación justa) con los derivados aquí, basados ​​en la distribución Beta, es bastante evidente en valores más bajos de N, como se visualiza al comparar el trazo azul discontinuo con el rojo sólido.

Dado que el ruido no confiable tiene una dependencia cuadrática de la covarianza en contraste con la varianza donde la dependencia es lineal, se puede esperar que un método que ajuste los intervalos de confianza para la covarianza tenga un gran impacto en el SKF componible final. De hecho, si hubiéramos utilizado los intervalos de confianza de la Ref. 10, nuestra implementación no habría producido ninguna clave componible hasta N = 109, en el que el SKF en el peor de los casos habría sido 6,04 × 10−4, es decir, casi dos órdenes de magnitud por debajo de lo que hemos logrado aquí (datos azules únicos punto en la esquina inferior derecha de la Fig. 3a).

En el frente práctico, una velocidad de transmisión razonablemente grande B = 100 MSymbols/s de los estados coherentes junto con el análisis cuidadoso y la reducción del ruido no confiable (consulte la sección "Análisis y calibración de ruido" para obtener más detalles) permite una velocidad general rápida, aunque baja. -ruido y operación del sistema altamente estable, fundamental para distribuir rápidamente correlaciones sin procesar de alta calidad y mantener al mínimo las correcciones de tamaño finito. La Tabla 1 proporciona una comparación de los resultados de nuestro experimento de prueba de concepto con otros tres experimentos CVQKD con modulación gaussiana20,21,33 que brindan seguridad contra ataques colectivos pero no incluyen definiciones de seguridad componible. La Tabla 1 también enumera dos40,41 de (múltiples) experimentos DVQKD que han podido probar la seguridad componible contra ataques generales en un régimen realista de tamaño finito: el santo grial para cualquier sistema QKD. En la sección "Métodos", discutimos los desafíos para nuestra implementación de CVQKD para lograr este criterio de seguridad.

En conclusión, nuestros resultados han demostrado componibilidad y protección contra ataques colectivos al tiempo que garantizan robustez contra efectos de tamaño finito en un protocolo CVQKD de estado coherente, que opera en condiciones de laboratorio, en un canal cuántico de 20 km de largo. Con un orden de magnitud mayor N y la mitad del valor actual de ξu, esperamos obtener una longitud distinta de cero de la clave componible mientras se toleran pérdidas de canal de alrededor de 8 dB, es decir, distancias de hasta ~ 40 km (suponiendo un factor de atenuación de 0,2dB/km). Esto debería lograrse con algunas mejoras en el hardware, así como en el procesamiento de señales digitales. Por lo tanto, esperamos que en el futuro, los usuarios a través de un enlace punto a punto puedan usar las claves componibles de nuestra implementación para habilitar aplicaciones reales como el cifrado seguro de datos, marcando así el comienzo de una nueva era para CVQKD.

en ref. 25, el límite de la propiedad de equipartición asintótica se demuestra en el Corolario 6.5:

dónde

y

A continuación, usamos el hecho de que \({H}_{\min }(X|E)\) no es negativo para nuestro estado cuántico clásico, cuya prueba se proporciona en la Nota complementaria 2.

donde d denota el número de bits por cuadratura utilizados durante la discretización.

Usando las relaciones anteriores en la Ec. (10) nos permite acotar v:

Ahora podemos comprobar fácilmente que para d > 1,

y eso

Poniendo todo junto finalmente obtenemos

La entropía \(H(\bar{Y})\) en la Ec. (5) se puede estimar a partir de la frecuencia empírica

donde \(n^{\prime} ({y}_{j})\) es el número de veces que un símbolo complejo específico \({y}_{j}={q}_{{{{{{{ {\rm{rx}}}}}}}}}^{\;j}+i{p}_{{{{{{{{\rm{rx}}}}}}}}^{\ Se obtiene ;j}\), y \(n^{\prime}\) es el número total de símbolos cuánticos intercambiados y corregidos. Se puede definir un estimador de entropía

que está ligado a \(H(\bar{Y})\) por la siguiente desigualdad10,42:

Esto es válido hasta una probabilidad menor que ϵent.

Para CVQKD con estados coherentes, las únicas pruebas conocidas que brindan seguridad componible contra ataques generales11,15 requieren detección de cuadratura dual. Esto descarta el experimento en la ref. 21, ya que a pesar de registrar los símbolos N = 1011 más grandes y el valor ξu más bajo entre todos los trabajos CVQKD en la Tabla 1, utilizó homodining. Por el lado positivo, las pruebas permiten suponer que los datos de cuadratura subyacentes siguen una distribución gaussiana, lo que relaja un poco los requisitos de N. Por ejemplo, en el caso de los intervalos de confianza, se pueden observar las trazas de puntos verdes en la figura 3c y d mostrar el mejor rendimiento.

Sin embargo, para lograr seguridad componible contra ataques generales, se necesita ϵ(gen) ~ O(N4)ϵ(coll) como parámetro de seguridad final. Un ϵ(gen) razonable de 10−9 suponiendo que N ~ 108 requiere ϵ(coll) < 10−41 pero este no es el caso con nuestra configuración actual ya que ϵ(coll) ≳ ϵqrng = 2 × 10−6 en realidad. Esta limitación, debida al error de digitalización del ADC en el QRNG, podría mejorarse utilizando periodos de medida más largos30. Otro problema más es el requisito de simetrización, un procedimiento en el que Alice y Bob necesitan multiplicar sus respectivos trenes de símbolos por una matriz ortogonal aleatoria idéntica de tamaño N × N, lo que plantea un gran desafío computacional.

Más información sobre el diseño de la investigación está disponible en el Resumen de informes de investigación de Nature vinculado a este artículo.

Los datos utilizados para realizar algunos de los gráficos de la Fig. 3 del artículo se han depositado en la base de datos de la DTU (https://doi.org/10.11583/DTU.20198891.v1). Todos los demás datos están disponibles a través de los autores correspondientes previa solicitud razonable.

Scarani, V. et al. La seguridad de la distribución práctica de claves cuánticas. Rev.Mod. física 81, 1301–1350 (2009).

Artículo ANUNCIOS Google Académico

Pirandola, S. et al. Avances en criptografía cuántica. Adv. Optar. Fotónica 12, 1012 (2020).

Artículo ANUNCIOS Google Académico

Ralph, TC Criptografía cuántica variable continua. física Rev. A 61, 010303 (1999).

Artículo ADS MathSciNet Google Scholar

Diamanti, E. & Leverrier, A. Distribución de claves secretas con variables continuas cuánticas: Principio, seguridad e implementaciones. Entropía 17, 6072–6092 (2015).

Artículo ADS MathSciNet MATH Google Scholar

Laudenbach, F. et al. Distribución de clave cuántica de variable continua con modulación gaussiana: la teoría de las implementaciones prácticas. Adv. Tecnología Cuántica. 1, 1800011 (2018).

Artículo Google Académico

Canetti, R. Seguridad componible universalmente: un nuevo paradigma para los protocolos criptográficos. En Proceedings 42nd IEEE Symposium on Foundations of Computer Science, págs. 136-145 (2001).

Müller-Quade, J. & Renner, R. Componibilidad en criptografía cuántica. Físico de NJ. 11, 085006 (2009).

Furrer, F. et al. Distribución de clave cuántica variable continua: análisis de clave finita de seguridad componible contra ataques coherentes. física Rev. Lett. 109, 100502 (2012).

Artículo ADS CAS PubMed Google Scholar

Gehring, T. et al. Implementación de distribución de claves cuánticas de variable continua con seguridad componible e independiente del dispositivo de un solo lado contra ataques coherentes. Nat. común 6, 1–7 (2015).

Artículo Google Académico

Leverrier, A. Prueba de seguridad componible para la distribución de clave cuántica variable continua con estados coherentes. física Rev. Lett., 114, 070501 (2015).

Leverrier, A. Seguridad de la distribución de claves cuánticas de variable continua a través de una reducción gaussiana de finetti. física Rev. Lett. 118, 200501 (2017).

Artículo ADS PubMed Google Scholar

Lupo, C. et al. Distribución de clave cuántica independiente del dispositivo de medición de variable continua: seguridad componible contra ataques coherentes. física Rev. A 97, 052327 (2018).

Artículo ADS CAS Google Académico

Papanastasiou, P. & Pirandola, S. Criptografía cuántica variable continua con alfabetos discretos: seguridad componible bajo ataques gaussianos colectivos. física Res. Rev. 3, 013047 (2021).

Artículo CAS Google Académico

Matsuura, T. et al. Seguridad de tamaño finito de distribución de clave cuántica de variable continua con procesamiento de señal digital. Nat. común 12, 252 (2021).

Artículo ADS CAS PubMed PubMed Central Google Scholar

Pirandola, S. Límites y seguridad de las comunicaciones cuánticas en el espacio libre. física Res. Rev. 3, 013279 (2021).

Artículo CAS Google Académico

Leverrier, A. et al. Análisis de tamaño finito de una distribución de clave cuántica de variable continua. física Rev. A 81, 1–11 (2010).

Google Académico

Jouguet, P. et al. Demostración experimental de la distribución de claves cuánticas de variable continua a larga distancia. Nat. Fotónica 7, 378–381 (2013).

Artículo ADS CAS Google Académico

Huang, D. et al. Distribución de claves cuánticas de variable continua a larga distancia mediante el control del exceso de ruido. ciencia Rep. 6, 19201 (2016).

Artículo ADS CAS PubMed PubMed Central Google Scholar

Wang, T. et al. Distribución de clave cuántica variable continua de alta tasa de clave con un oscilador local real. Optar. Expreso 26, 2794 (2018).

Artículo ADS PubMed Google Scholar

Wang, H. et al. Distribución de clave cuántica variable continua con modulación gaussiana de alta velocidad con un oscilador local basado en compensación de fase asistida por tono piloto. Optar. Expreso 28, 32882 (2020).

Artículo ADS PubMed Google Scholar

Zhang, Y. et al. Distribución de clave cuántica variable continua de larga distancia sobre 202,81 km de fibra. física Rev. Lett. 125, 10502 (2020).

Artículo ADS CAS Google Académico

Lance, AM et al. Distribución de clave cuántica sin conmutación utilizando luz coherente modulada de banda ancha. física Rev. Lett. 95, 180503 (2005).

Artículo ADS PubMed Google Scholar

Kleis, S. et al. Distribución de clave cuántica variable continua con un oscilador local real utilizando señales piloto simultáneas. Optar. Letón. 42, 1588–1591 (2017).

Artículo ADS PubMed Google Scholar

Chin, H.-M. et al. El aprendizaje automático ayudó a la recuperación de portadores en la distribución de claves cuánticas de variable continua. npj Información cuántica 7, 20 (2021).

Artículo ANUNCIOS Google Académico

Tomamichel, M. Un marco para la teoría de la información cuántica no asintótica. Tesis doctoral, ETH Zurich, (2012).

Jouguet, P. et al. Análisis de imperfecciones en distribución práctica de claves cuánticas de variable continua. física Rev.A 86, 1–9 (2012).

Artículo Google Académico

Lupo, C. Hacia la seguridad práctica de la distribución de claves cuánticas de variable continua. física Rev. A 102, 1–10 (2020).

Artículo MathSciNet Google Académico

Denys, A. et al. Tasa de clave secreta asintótica explícita de distribución de clave cuántica de variable continua con una modulación arbitraria. Cuántica 5, 540 (2021).

Artículo Google Académico

Jain, N. et al. Vulnerabilidad de fuga de modulación en la distribución de claves cuánticas de variable continua. Ciencia Cuántica. Tecnología, 6, 045001 (2021).

Gehring, T. et al. Generador de números aleatorios cuánticos basado en homodino a 2,9 Gbps seguro contra información lateral cuántica. Nat. común 12, 1–11 (2021).

Artículo Google Académico

Qi, B. et al. Generar el oscilador local "localmente" en distribución de clave cuántica de variable continua basada en detección coherente. física Rev. X 5, 1–12 (2015).

ANUNCIOS Google Académico

Entonces, DBS et al. Protocolo de distribución de claves cuánticas de variable continua autorreferenciado. física Rev. X 5, 1–15 (2015).

Google Académico

Huang, D. et al. Distribución de clave cuántica variable continua de alta velocidad sin enviar un oscilador local. Optar. Letón. 40, 3695–8 (2015).

Artículo ADS CAS PubMed Google Scholar

Chin, H.-M., Jain, N., Andersen, UL, Zibar, D. y Gehring, T. Sincronización digital para la distribución de claves cuánticas de variable continua. Ciencia Cuántica. Tecnología 7, 045006 (2022).

Artículo ANUNCIOS Google Académico

Jain, N. et al. qTReX: un sistema semiautónomo de distribución de claves cuánticas de variable continua. En The Optical Fiber Communication Conference (OFC), Optica Technical Digest (Optica Publishing Group), pp. M3Z.2 (2022).

Lasota, M. et al. Robustez de la distribución de clave cuántica con variables discretas y continuas para canalizar el ruido. física Rev. A 95, 1–13 (2017).

Artículo Google Académico

Leverrier, A. et al. Reconciliación multidimensional para una distribución de clave cuántica de variable continua. física Rev. A 77, 042325 (2008).

Artículo ANUNCIOS Google Académico

Mani, H. et al. Códigos de verificación de paridad de baja densidad de tipo multiborde para la distribución de claves cuánticas de variable continua. física Rev. A 103, 062419 (2021).

Artículo ADS MathSciNet CAS Google Scholar

Tang, B.-Y. et al. Esquema de amplificación de privacidad de alta velocidad y gran escala para la distribución de claves cuánticas. Informes científicos, págs. 1-8 (2019).

Xu, F. et al. Distribución de clave cuántica experimental con defectos de origen. física Rev. A 92, 032305 (2015).

Artículo ANUNCIOS Google Académico

Islam, NT et al. Distribución de clave cuántica demostrablemente segura y de alta tasa con qudits de intervalo de tiempo. ciencia Adv. 3, e1701491 (2017).

Artículo ADS PubMed PubMed Central Google Scholar

Antos, A. & Kontoyiannis, I. Propiedades de convergencia de estimaciones funcionales para distribuciones discretas. Estructura aleatoria. Algoritmos 19, 163–193 (2001).

Artículo MathSciNet MATEMÁTICAS Google Académico

Descargar referencias

Agradecemos a Marco Tomamichel por las discusiones sobre el análisis de seguridad. El trabajo presentado en este documento ha sido financiado por los programas de investigación e innovación CiViQ de Horizonte 2020 de la Unión Europea (acuerdo de subvención n.º 820466, autores interesados: NJ, HMC, HM, DSN, AK, SP, BO, CP, TG y ULA ) y OPENQKD (acuerdo de subvención n.º 857156, autores interesados: NJ, HMC, HM, BO, CP, TG y ULA). También reconocemos el apoyo del Fondo de Innovación de Dinamarca (CryptQ, 0175-00018A, autores interesados: NJ, HMC, HM, TBP, TG y ULA) y la Fundación Nacional de Investigación Danesa (bigQ, DNRF142, autores interesados: NJ, HMC, HM, DSN, TG y ULA). CL y SP reconocen la financiación de EPSRC Quantum Communications Hub, Grant No. P/M013472/1 y EP/T001011/1.

Centro de Estados Cuánticos Macroscópicos (bigQ), Departamento de Física, Universidad Técnica de Dinamarca, 2800, Kongens Lyngby, Dinamarca

Nitin Jain, Hou-Man Chin, Hossein Mani, Dino Solar Nikolic, Arne Kordts, Tobias Gehring y Ulrik L. Andersen

Departamento de Fotónica, Universidad Técnica de Dinamarca, 2800, Kongens Lyngby, Dinamarca

Mentón Hou-Man

Departamento de Física y Astronomía, Universidad de Sheffield, Sheffield, S3 7RH, Reino Unido

lobo cosmos

Departamento Interuniversitario de Física, Universidad Politécnica de Bari, 70126, Bari, Italia

lobo cosmos

Departamento de Ciencias de la Computación, Universidad de York, York, YO10 5GH, Reino Unido

Esteban Pirandola

Cryptomathic A/S, Aaboulevarden 22, 8000, Aarhus, Dinamarca

Thomas Brochmann Pedersen

Centro de Seguridad y Protección Digital, AIT Austrian Institute of Technology GmbH, 1210, Viena, Austria

Matthias Kolb, Bernhard Ömer y Christoph Pacher

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

También puede buscar este autor en PubMed Google Scholar

TG y ULA concibieron y supervisaron el experimento. NJ diseñó la configuración, realizó los experimentos y realizó el análisis de datos final con la ayuda de TG, HMC, AK y DSNHMC diseñó el marco de procesamiento de señales digitales. HM implementó la reconciliación de la información y la amplificación de la privacidad con aportes de BO, CP, TG y TBPCL, MK y SP contribuyeron a la prueba de seguridad y brindaron apoyo teórico. NJ y TG escribieron el manuscrito con contribuciones de todos los autores.

Correspondencia a Nitin Jain, Tobias Gehring o Ulrik L. Andersen.

Los autores declaran no tener conflictos de intereses

Nature Communications agradece a los revisores anónimos por su contribución a la revisión por pares de este trabajo. Los informes de los revisores están disponibles.

Nota del editor Springer Nature se mantiene neutral con respecto a los reclamos jurisdiccionales en mapas publicados y afiliaciones institucionales.

Acceso abierto Este artículo tiene una licencia internacional Creative Commons Attribution 4.0, que permite el uso, el intercambio, la adaptación, la distribución y la reproducción en cualquier medio o formato, siempre que se otorgue el crédito correspondiente al autor o autores originales y a la fuente. proporcionar un enlace a la licencia Creative Commons e indicar si se realizaron cambios. Las imágenes u otro material de terceros en este artículo están incluidos en la licencia Creative Commons del artículo, a menos que se indique lo contrario en una línea de crédito al material. Si el material no está incluido en la licencia Creative Commons del artículo y su uso previsto no está permitido por la regulación legal o excede el uso permitido, deberá obtener el permiso directamente del titular de los derechos de autor. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by/4.0/.

Reimpresiones y permisos

Jain, N., Chin, HM., Mani, H. et al. Práctica distribución de claves cuánticas de variable continua con seguridad componible. Nat Comun 13, 4740 (2022). https://doi.org/10.1038/s41467-022-32161-y

Descargar cita

Recibido: 26 noviembre 2021

Aceptado: 20 de julio de 2022

Publicado: 12 agosto 2022

DOI: https://doi.org/10.1038/s41467-022-32161-y

Cualquier persona con la que compartas el siguiente enlace podrá leer este contenido:

Lo sentimos, un enlace para compartir no está disponible actualmente para este artículo.

Proporcionado por la iniciativa de intercambio de contenido Springer Nature SharedIt

Procesamiento de información cuántica (2023)

Información cuántica de npj (2022)

Al enviar un comentario, acepta cumplir con nuestros Términos y Pautas de la comunidad. Si encuentra algo abusivo o que no cumple con nuestros términos o pautas, márquelo como inapropiado.