La criptografía cuántica relativista es un subcampo de la criptografía cuántica , en el que, además de explotar los principios de la física cuántica , también se explota el principio de señalización no superluminal de la teoría de la relatividad, que establece que la información no puede viajar más rápido que la luz. Técnicamente hablando, la criptografía cuántica relativista es un subcampo de la criptografía relativista, en la que los protocolos criptográficos explotan el principio de señalización no superluminal, independientemente de si se utilizan o no propiedades cuánticas. Sin embargo, en la práctica, el término criptografía cuántica relativista también se usa para criptografía relativista.
En 1997 y 1998, se demostró que algunas tareas importantes de la criptografía desconfiada eran imposibles de realizar con seguridad incondicional. Mayers [1] y Lo y Chau [2] demostraron que el compromiso de bits cuánticos incondicionalmente seguro era imposible. Lo demostró que la transferencia inconsciente y una amplia clase de cálculos seguros también eran imposibles de lograr con seguridad incondicional en la criptografía cuántica. [3] Además, Lo y Chau demostraron que también era imposible lanzar una moneda cuántica ideal incondicionalmente segura. [4] En este contexto, Kent proporcionó en 1999 los primeros protocolos criptográficos relativistas, de compromiso de bit y lanzamiento de moneda ideal, que superan los supuestos hechos por Mayers, Lo y Chau, y logran una seguridad incondicional.[5] [6] Desde entonces, Kent y otros han encontrado otros protocolos relativistas incondicionalmente seguros para el compromiso de bits, [7] [8] [9] [10] [11] y se han investigado otras tareas criptográficas en el entorno de la criptografía cuántica relativista. [12] [13] [14] [15] [16] [17] [18]
El principio de no señalización de la teoría cuántica establece que la información no se puede comunicar entre dos ubicaciones distintas L 0 y L 1 sin la transmisión de ningún sistema físico, a pesar de cualquier entrelazamiento cuántico compartido entre L 0 y L 1 . Esto implica, en particular, que sin la transmisión de ningún sistema físico entre L 0 y L 1 , la correlación cuántica entre L 0 y L 1 no se puede utilizar para transmitir información entre L0 y L 1 , incluso si no son causales localmente y violan las desigualdades de Bell . Según la teoría de la relatividad , los sistemas físicos no pueden viajar más rápido que la velocidad de la luz . Por lo tanto, del principio de no señalización se deduce que la información no puede viajar más rápido que la velocidad de la luz . Esto se denomina principio de señalización no superluminal.
El principio de señalización no superlumínica es el principio físico clave explotado en la criptografía relativista. Garantiza que el resultado x de una variable aleatoria X obtenida en algún punto espaciotemporal P no puede influir en la probabilidad de que una variable aleatoria Y tome algún valor y en un punto espaciotemporal Q separado como un espacio . Así, por ejemplo, si dos partes Alice y Bob tienen cada uno dos agentes, con el primer agente de Bob enviando un mensaje secreto x a un primer agente de Alice en el punto espacio-temporal P , y con el segundo agente de Alice enviando un mensaje secreto yal segundo agente de Bob en el punto Q del espacio-tiempo , con P y Q separados en forma de espacio, entonces Bob puede estar seguro de que el mensaje y recibido de Alice fue elegido independientemente del mensaje x que le dio a Alice, y viceversa. Esta es una propiedad matemática útil que se explota para probar la seguridad de los protocolos criptográficos en la criptografía relativista.
Es un requisito fundamental en la criptografía relativista que las partes que implementan la tarea criptográfica tengan una buena descripción del espacio-tiempo , al menos dentro de la región del espacio-tiempo donde se implementa la tarea. Por ejemplo, en los protocolos implementados cerca de la superficie de la Tierra, se puede suponer que el espacio-tiempo está cerca de Minkowski . Es importante destacar que esto significa que, cerca de la superficie de la Tierra, los sistemas físicos y la información no pueden viajar más rápido que la velocidad de la luz a través del vacío , que es de aproximadamente 300.000 km / s. En principio, la criptografía relativista se puede aplicar con espaciotiempos más generales , siempre que las partes puedan garantizar que no existen mecanismos que permitan la comunicación instantánea, comoagujeros de gusano . Otro requisito es que las partes tengan acceso a un marco de referencia común , de modo que puedan garantizar que algunos eventos de comunicación estén separados como espacios. [5]
En criptografía relativista, se asume que cada parte que participa en la tarea criptográfica tiene varios agentes de confianza que colaboran para implementar la tarea. Los agentes implementan el protocolo realizando diferentes acciones en varios puntos del espacio-tiempo . Los agentes de la misma parte pueden comunicarse a través de canales autenticados y seguros , que se pueden implementar con claves seguras previamente compartidas , por ejemplo, usando almohadillas de un solo uso . [5] [18]
Varias tareas investigadas por la criptografía relativista consisten en tareas de criptografía desconfiada, en las que dos o más partes desconfiadas deben colaborar para implementar una tarea criptográfica y al mismo tiempo se garantiza que otras partes no hagan trampa. Ejemplos de tareas en criptografía desconfiada son compromiso de bits , lanzamiento de monedas , transferencia inconsciente y cálculos seguros . Distribución de clavesno pertenece a la criptografía desconfiada, porque en este caso las partes que distribuyen la clave confían entre sí. En la criptografía relativista, cada parte participante tiene varios agentes de confianza, que colaboran entre sí realizando diferentes acciones en varios puntos del espacio-tiempo. Por ejemplo, Alice y Bob pueden ser dos empresas con oficinas y laboratorios en varios lugares de la Tierra. Las oficinas y los laboratorios de Alice trabajan en colaboración y confían entre sí. Del mismo modo, las oficinas y los laboratorios de Bob trabajan en colaboración y confían entre sí. Pero Alice y Bob no confían el uno en el otro. [5] [18]
El compromiso de bits es una tarea criptográfica importante que se ha investigado ampliamente en la criptografía relativista. En el compromiso de bits, Alice se compromete con un bit b en algún momento t , y en algún momento posterior t '> t Alice le revela su bit b comprometido a Bob. Un compromiso poco se dice que es "escondite" si Bob no puede saber b antes desvela Alice. Se dice que es "vinculante" si después del tiempo de compromiso t , Alice no puede elegir el valor de by revelar b con éxito a Bob. Un protocolo de compromiso de bits es "seguro" si es oculto y vinculante. El teorema de Mayers-Lo-Chau no go establece que la seguridad incondicionalel compromiso de bits es imposible basándose únicamente en las leyes de la física cuántica. [1] [2] Kent demostró que el teorema de Mayers-Lo-Chau no es lo suficientemente general porque excluye los protocolos que explotan el principio de señalización no superluminal. [5] Kent proporcionó el primer protocolo de compromiso de bits incondicionalmente seguro en el ámbito de la criptografía relativista. [5] Kent y otros han ideado varios protocolos para el compromiso de bits. [7] [8] [9] [10] [11] Se han implementado demostraciones experimentales de compromiso de bits relativista. [19] [20] [10] [21]
Al lanzar una moneda fuerte, Alice y Bob están en diferentes ubicaciones y desean lanzar una moneda de tal manera que Alice tenga la garantía de que Bob no puede sesgar el resultado, y Bob tiene la garantía de que Alice tampoco puede sesgar el resultado. Lo y Chau demostraron que el lanzamiento de una moneda fuerte ideal es imposible de lograr con una seguridad incondicional basada únicamente en las leyes de la física cuántica. [4] Sin embargo, Kent superó este teorema de no ir al proporcionar un protocolo relativista para el lanzamiento de monedas fuertes que es incondicionalmente seguro. [6] Este protocolo es conceptualmente muy simple y se ilustra aquí como un ejemplo de un protocolo en criptografía relativista.
En el protocolo de lanzamiento de monedas de Kent, Alice tiene dos agentes A 0 y A 1 , y Bob tiene dos agentes B 0 y B 1 . A i y B i están en la ubicación L i , para . Let L 0 y L 1 tiene una separación distante D . Supongamos que el espacio-tiempo es Minkowski. Por lo tanto, el tiempo mínimo que tarda la luz en viajar entre L 0 y L 1 es t = D / c , donde ces la velocidad de la luz a través del vacío. A 0 genera un bit aleatorio en un laboratorio seguro y se lo da a B 0 en un tiempo t 0 . B 1 genera un bit b aleatorio en un laboratorio seguro y se lo da a A 1 a la vez t 1 . B 0 y B 1 se comunican y b a través de un canal seguro y autenticado. Del mismo modo, A 0 y A 1 se comunican y ba través de un canal seguro y autenticado. Alice y Bob están de acuerdo en que la salida del sorteo d es la xor de los bits y b , . Alice y Bob acuerdan avanzar en los valores de t 0 y t 1 en un marco de referencia común, de tal manera que | t 0 - t 1 | <t . Así, según el principio de no señalización superlumínica, al recibir de A 0 , B 0 no puede enviar ninguna señal que llegue a B 1 antes de que B 1 dé ba A 1 . Por lo tanto, Alice tiene la garantía de que Bob elige el bit b independientemente del bit elegido por ella. Dado que Alice elige aleatoriamente, y dado que b es independiente de , Alice tiene la garantía de que el bit es aleatorio. Con argumentos similares, a Bob también se le garantiza que el bit d es aleatorio.
Las variaciones del lanzamiento de monedas han sido investigadas en criptografía relativista por Colbeck y Kent. [12] [14]
Lo demostró que la transferencia inconsciente y otros cálculos seguros no se pueden lograr con una seguridad incondicional basada únicamente en las leyes de la física cuántica. [3] Este resultado de imposibilidad de Lo se extiende a la configuración más general de la criptografía cuántica relativista. [12] [13] Colbeck demostró que varios cálculos seguros son imposibles de lograr con seguridad incondicional en la criptografía cuántica relativista. [13] [14]
La criptografía cuántica basada en la posición consiste en tareas criptográficas cuya seguridad explota la ubicación de una parte, el principio de señalización no superluminal y las leyes de la física cuántica. [16] [15] Por ejemplo, en el problema de la autenticación de la ubicación cuántica, un probador quiere demostrar su ubicación L a un conjunto de verificadores que utilizan sistemas cuánticos. Un protocolo para la autenticación de la ubicación cuántica funciona de la siguiente manera. Un conjunto de verificadores en varios lugares que rodean la ubicación L enviar mensajes clásicos y estados cuánticos hacia el lugar L . Si el probador está en la ubicación Lluego puede recibir las señales en momentos específicos y responder a los verificadores con mensajes clásicos solicitados y / o estados cuánticos, que deben ser recibidos por los verificadores en momentos específicos. [16] [15]
La autenticación de la ubicación cuántica fue investigada por primera vez por Kent en 2002, a la que llamó "etiquetado cuántico", lo que resultó en una patente estadounidense presentada por Kent et al. en 2007, [22] y una publicación en la literatura académica en 2010, [15] después de que Buhrman et al. publicaran un artículo sobre criptografía cuántica basada en posiciones. [16] Existe un teorema de no ir para la autenticación de la ubicación cuántica probado por Buhrman et al. afirmando que es imposible para un conjunto de verificadores autenticar la ubicación de un probador con seguridad incondicional. [16] Esto se debe a que para cualquier protocolo de autenticación de ubicación cuántica, un conjunto de probadores deshonestos que comparten una cantidad suficiente de entrelazamiento y se colocan entre los verificadores y la ubicación Lpuede interceptar todas las comunicaciones de los verificadores, incluidos todos los estados cuánticos transmitidos, y luego aplicar una operación cuántica no local que les permita responder correctamente y en los momentos correctos a los verificadores. Dado que los probadores deshonestos no necesitan estar en la ubicación L para hacer esto, el protocolo de autenticación de ubicación cuántica es inseguro. Este teorema de no ir asume que la ubicación L del probador honesto es su única credencial. Kent demostró que si el probador comparte claves secretas con los verificadores, la autenticación de la ubicación se puede implementar de forma segura. [23]