Verdensrekord fra Niels Bohr Institutet til DTU: Første kvantesikre fiberforbindelse


Man fornemmer en vis nervøsitet og spænding i det tætpakkede laboratorium, hvor alles øjne er stift rettet på en sort skærm.
Det er tirsdag middag, og vi er på DTU Electro i Lyngby, hvor kvanteforskere fra DTU og Københavns Universitet om et kort øjeblik tænder for den første kvantekrypterede kommunikationsforbindelse over en enkelt-foton- lyskilde.
Videoforbindelsen skal sendes over en 18 kilometer lang eksisterende fiberoptisk forbindelse mellem DTU og Københavns Universitet.
- emailE-mail
- linkKopier link

Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Hvis transmissionen afbrydes straks ved aflytning, så er kryptering af beskeden overflødig
Det du beskrive, svarer næsten til synkron kryptering. Og hvis den symetriske kryptering er god, så er den så godt som kvantesikker. En god AES kryptering, betragtes så godt som kvantesikker. Det bedste er, hvis der ikke findes en måde til at verificere at det dekrypterede er korrekt. En kvantecomputer, kan kun bryde koden, hvis den er i stand til at i teorien kunne gennemløbe alle muligheder, og har en mulighed for at verficere, at det fundne svar er det korrekte.Gammeldags telefonlinje
Som princippet i denne sikre nøgletransmission er beskrevet, kan jeg ikke se hvorfor den ikke kunne foregå over en almindelig transmissionslinie.</p>
<p>Du sender en hel masse bit med tilfældig modulation og din modtager veksler mellem tilfældige modulationsdetektorer. Du sender så tilbage at det passede sammen på bestemte tider: Nøglen er sendt/oprettet. Egentlig er det blot en sammenligning af to tilfældigheds generatorer, hvor du finder ud af hvor de passede sammen.</p>
<p>Støj mener jeg vil gøre det noget usikkert som det altid gør. Ligner lidt GSM telefoner hvor "læresekvensen" bruges til at indstille modtageren til optimal dekodning af det modtagne signal.</p>
<p>En tredjepart kan ikke vide hvornår den tilsigtede modtager passer til det afsendte, heller ikke selvom tredjeparten dekoder hele det sendte. Det kræver at beskeden, tilbage om hvornår det passede, også opsnappes, samt viden om hvordan denne pasning bruges.</p>
<p>Er der noget jeg har overset?
Måske ikke, men modulationen og dekodningen af 8 positioner på en enhedscirkel giver de første 8dB, eller bliver det kun 5dB, hvis man kun kigger på retningen lodret, vandret +-45?Svend, dæmpningen sker ikke ved at de enkelte fotoner ændrer sig i kablet.
Kommunikation med fotoner er vel ikke anderledes end kommunikation med andre "diskrete" signaler, der karakteriseres ved energi/bit sammenholdt med støjen/bit, som ideelt er kT, korrigeret for akser/positioner på enhedcirklen.
Som princippet i denne sikre nøgletransmission er beskrevet, kan jeg ikke se hvorfor den ikke kunne foregå over en almindelig transmissionslinie.
Du sender en hel masse bit med tilfældig modulation og din modtager veksler mellem tilfældige modulationsdetektorer. Du sender så tilbage at det passede sammen på bestemte tider: Nøglen er sendt/oprettet. Egentlig er det blot en sammenligning af to tilfældigheds generatorer, hvor du finder ud af hvor de passede sammen.
Støj mener jeg vil gøre det noget usikkert som det altid gør. Ligner lidt GSM telefoner hvor "læresekvensen" bruges til at indstille modtageren til optimal dekodning af det modtagne signal.
En tredjepart kan ikke vide hvornår den tilsigtede modtager passer til det afsendte, heller ikke selvom tredjeparten dekoder hele det sendte. Det kræver at beskeden, tilbage om hvornår det passede, også opsnappes, samt viden om hvordan denne pasning bruges.
Er der noget jeg har overset?
Og, er de forsvundet. Eller, er de nuppet af nogen. Kan man se forskel?Hvor mange forsvinder så undervejs?</p>
<p>Jeg kunne også spørge om hvor mange fotoner/s støjen svarer til.
Hvor mange forsvinder så undervejs?Svend, dæmpningen sker ikke ved at de enkelte fotoner ændrer sig i kablet.</p>
<p>Dæmpningen sker ved at ikke alle fotoner kommer igennem (og nogen bliver absorberet og (måske) erstattet af nye funktioner).
Jeg kunne også spørge om hvor mange fotoner/s støjen svarer til.
Carsten, du bør læse op på hvilke krypteringer der er "i fare" for at lide nød når kvantecomputere får magt
Det er da fuldstændig ligegyldigt i denne sammenhæng, hvis det er rigtigt, som Jens Ramskov skriver, at selve datatransmissionen foregår fuldstændig som nu.
Når først nøglen er genereret over kvanteforbindelsen, og man har sikret, at denne nøgle ikke er opsnappet af andre (se figuren i artiklen), <strong>så foregår kommunikationen på helt klassisk vis over internettet.</strong>
Dermed er selve kommunikationen nøjagtig lige så let eller svær at dekode, som nu. Den eneste fordel, man har opnået af alt sit bøvl med ekstremt lave signal/støj-forhold og nedkøling til nær det absolutte nulpunkt, er en sikker udveksling af nøgler.
Svend, dæmpningen sker ikke ved at de enkelte fotoner ændrer sig i kablet.
Dæmpningen sker ved at ikke alle fotoner kommer igennem (og nogen bliver absorberet og (måske) erstattet af nye funktioner).
Carsten, du bør læse op på hvilke krypteringer der er "i fare" for at lide nød når kvantecomputere får magt
Hvad menes der med dette: Undervejs er der et tab på 9,6 dB på grund af støj.Der er altid støj ved detektoren, og bliver signalet svagere, så bliver signal/støjforholdet mindre. Mere støj per signalenhed. Eller mindre signal per støjenhed.
Hvis det er decideret tab af signal på grund af dæmpning, alt andet lige, så kan der næppe transmitteres nogle enkeltfotoner. De skal jo pr. definition have samme energi hele tiden.
Åbenbart er jeg den eneste der hæftede mig ved følgende: »Det er den første demonstration på verdensplan, hvor vi bruger en deterministisk enkelt-foton-kilde med tilpas kvalitet og stabilitet til det bærende element af nøglen. Fordelen ved at bruge en enkelt lyspartikel er, at den ikke kan deles, uden at det er synligt for alle parter,« forklarer Leif Katsuo Oxenløwe, professor og leder af grundforskningscenteret SPOC på DTU Electro.
Det der kaldes tab siges at være støj, men hvorfra kommer der støj i et fiberkabel?
Der er nok andre kilder, men som minimum har du black body radiation, da kablet ikke opbevares ved 0 grader Kelvin. Derfor er der en grænse for hvor svage signaler der teoretisk kan forstærkes op igen.
Rigtigt; men min pointe er, at det, du i dine to artikler kaldes kvantekryptering, tilsyneladende ikke er det, men blot er en sikker udveksling af nøgler og derfor i stedet burde hedde kvantenøgleudveksling; men det tiltrækker måske ikke så mange investorer :-)
Rigtigt, Casten K. Nu har jeg ikke skrevet denne artikel, men jeg har nok også nogle gange brugt det løse og lidt upræcise ord 'kvantekryptering' for det, som retteligt hedder QKD på engelsk - quantum key distribution eller kvanteudveksling af nøgler. QKD er, som jeg skrev tidligere en metode, som nok kan finde visse anvendelser til beskyttelse ved dataoverførsel, men som ikke vil være generel brugbar til alle krypteringsformål.
Der er altid støj ved detektoren, og bliver signalet svagere, så bliver signal/støjforholdet mindre. Mere støj per signalenhed. Eller mindre signal per støjenhed.Det der kaldes tab siges at være støj, men hvorfra kommer der støj i et fiberkabel?
Jeg vil snarere sige at nøgleudvekslingen sikres med en avanceret form for redundans. Det er sværere at se om det skulle have noget at gøre med kvanter og fotoner.Rigtigt; men min pointe er, at det, du i dine to artikler kaldes kvantekryptering, tilsyneladende ikke er det, men blot er en sikker udveksling af nøgler og derfor i stedet burde hedde kvantenøgleudveksling; men det tiltrækker måske ikke så mange investorer :-)
Det mere kvantemæssige ligger åbenbart i at du ikke kan dekode modulationen, fordi du kun kan se om den sendte modulation på et eller andet tidspunkt passer med filteret.
Det der kaldes tab siges at være støj, men hvorfra kommer der støj i et fiberkabel?
Det er helt rigtigt, at nøglerne lige så godt kunne sendes pr. brev. Det er bare hurtigere at generere dem over fiberforbindelserne.
Rigtigt; men min pointe er, at det, du i dine to artikler kaldes kvantekryptering, tilsyneladende ikke er det, men blot er en sikker udveksling af nøgler og derfor i stedet burde hedde kvantenøgleudveksling; men det tiltrækker måske ikke så mange investorer :-)
Hvis du ikke har nøglen, kan du ikke dekryptere.
Jo, det kan jeg, hvis jeg har en kvantecomputer, der kan gøre det - ialtfald hvis kommunikationen, som du skriver, foregår på helt traditionel vis. Derfor er det, som Jens D. Madsen nævner, nødvendigt at bruge en kvantesikker kryptering, og så kan den vel også bruges til at udveksle nøgler?
Et brev med en nøgle kan opsnappes undervejs, hvis du prøver at opsnappe nøglen over kvanteforbindelsen, sikrer kvantefysikken, at det opdages. Så bruger du ikke nøglen, men laver en ny. Du bliver ved til, at du er sikker på, at ingen kender den nøgle, du vil benytte.
Netop sådan er det da også med et brev. Modtager du intet brev eller en brudt konvolut, må du bede om en ny nøgle.
Jeg synes, at der ofte er alt for meget fokus på automatisk nøgleudveksling med de meget store problemer, det uundgåeligt medfører. Hvis man f.eks. vil beskytte et industrianlæg, en elforsyning eller et smart-house system mod hackerangreb, kan man da bare lægge nøglerne ind under idriftsættelsen, så de aldrig transmitteres over nettet. Laver man så en to-lags kryptering, hvor internetforbindelsen lukkes helt ned i f.eks. 5 minutter, hvis en hacker gætter forkert på nøglen til 2. lag, lever han selv med en simpel 56-bit DES ikke længe nok til at kommer igennem, men kan samtidig ikke lægge systemet permanent ned, da det kræver, at han kender 1. lags nøgle; men den kan han ikke brute-force sig frem til, da han ikke kan se, om han afvises i 1. eller 2. lag.
Princippet er helt forskelligt fra RSA kryptering, der benyttes i dag. Denne form for kryptering er baseret på, at faktorisering af store tal er svært - i praksis umuligt - for klassiske computere. Det er derimod let på store kvantecomputere, den dag nogen har en sådan.
Nej, for kommunikationen foregår jo netop som sædvanligt; men nøglerne er bare sikre.
Hvis du vil beskytte indholdet på en harddisk mod, at nogen i fremtiden kan læse det, handler det ikke om nøgleudveksling, men om kvantesikker kryptering. Dekrypteringsnøglen kan man jo have gemt i et pengeskab, og når man alligevel har en kvantesikker kryptering, kan man da lige så godt også bruge den til kommunikation i stedet for at fedte rundt med ekstremt lave signal/støj-forhold og nedkøling til nær det absolutte nulpunkt.
Det er helt rigtigt, at nøglerne lige så godt kunne sendes pr. brev. Det er bare hurtigere at generere dem over fiberforbindelserne. Hvis du ikke har nøglen, kan du ikke dekryptere. Et brev med en nøgle kan opsnappes undervejs, hvis du prøver at opsnappe nøglen over kvanteforbindelsen, sikrer kvantefysikken, at det opdages. Så bruger du ikke nøglen, men laver en ny. Du bliver ved til, at du er sikker på, at ingen kender den nøgle, du vil benytte. Princippet er helt forskelligt fra RSA kryptering, der benyttes i dag. Denne form for kryptering er baseret på, at faktorisering af store tal er svært - i praksis umuligt - for klassiske computere. Det er derimod let på store kvantecomputere, den dag nogen har en sådan.
Når først nøglen er genereret over kvanteforbindelsen, og man har sikret, at denne nøgle ikke er opsnappet af andre (se figuren i artiklen), så foregår kommunikationen på helt klassisk vis over internettet.
Og hvorfor kan den kryptering så ikke brydes med fremtidens kvantecomputere?
I din tidligere artikel skrev du følgende:
For godt et år siden udsendte National Security Agency (NSA) i USA en advarsel. Organisationen meddelte som beskrvet i en tidligere artikel på version2.dk, at det var ved at være på høje tid at forberede sig på den situation, <strong>at der inden for en overskuelig fremtid vil findes kvantecomputere, der så let som ingenting kan knække de nuværende og meget anvendte krypteringsteknikker.</strong>
Altså at problemet er, at dagens kryptering vil kunne dekrypteres hurtigt og derfor ikke er sikker i fremtiden; men det problem er da ikke løst, hvis kommunikationen foregår på helt klassisk vis over internettet, som du nu skriver. Så har man bare fået en helt sikker måde at udveksle krypteringsnøgler på; men det kan også klares helt lavpraktisk pr. brev, for konvolutten kan sagtens laves, så den ikke kan brydes, uden at det kan ses. Hvor er det ubrydelige i selve den krypterede meddelelse?
Carsten: QKD og BB84 er allerede i brug i kommercielle produkter. Når først nøglen er genereret over kvanteforbindelsen, og man har sikret, at denne nøgle ikke er opsnappet af andre (se figuren i artiklen), så foregår kommunikationen på helt klassisk vis over internettet. Metoden fungerer, men de største problemer er nok, som andre også har anført, at det er symmetrisk og ikke asymmetrisk kryptering, og det ikke uden videre fungerer over meget lange afstande. Det er ikke en smart metode til alle anvendelser, men nok til nogle.
Du kan læse mere herom i min seks år gamle artikel <a href="https://ing.dk/artikel/krypteringsfolket-f..">https://ing.dk/artikel/kr…;.
Ja, men metoden halter bare, hvilket formodentlig gør den ubrugelig i praksis.
Hvis vi nummerere bittene i den grå boks med 0, 1, 2 ... startende fra venstren (0 = første bit), burde bit 3 være blevet detekteret af Bob, da polarisationsfiltrene her står ens. Det blev den bare ikke, hvilket formodentlig kun kan betyde, at der hverken detekteres spin-up eller spin-down - altså at den såkaldte foton ikke kom frem, men forsvandt undervejs. Det giver så et problem med bit 0, 5, 6, 9 og 10 for kombinationen af R og D filtre burde også betyde, at "fotonen" ikke kommer igennem. I modsat fald vil der formodentlig altid komme enten 0 eller 1 ud på samtlige bit, da der formodentlig kun kan detekteres spin-up eller spin-down og ingen mellemvej. Ellers må du lige forklare, hvordan Bob detekterer fejl.
Hvis bit 3 kan fejle, kan bit 4, hvor polarisationsfiltrene også står ens, det også, så næste gang er der måske fejl på en godkendt bitposition (4). Det betyder, at der med næsten 100 % sandsynlighed kommer fejl på en evt. CRC-check, så hele telegrammet må kasseres.
Sandsynligheden for fejl på et telegram afhænger voldsomt as signal/støj forholdet. Hvis f.eks. det reduceres til 1/3, opløfter man fejlhyppigheden i potensen 1/3. Hvis f.eks. fejlhyppigheden er 10^-7, hvilket ofte er acceptabelt, vil fejlhyppigheden blive reduceret til ca. 0,46 %, hvilket vil være uacceptabelt, og her snakker man om at reducere signalet til "enkeltfotonniveau".
Beklager, man jeg har stadig meget svært ved at se, at læsebeskyttelsen selv efter denne forbedring er bedre end ganske almindelig kryptering. Det eneste, man har opnået, er at kunne detektere, om Eva lytter med, men det er bare en "tyverialarm". Kan Eva dekode krypteringen, er skaden sket; men hvorfor skulle Eva egentlig gøre det så kompliceret? Kan hun lytte med, kan hun også bryde linjen, og så kan Alice og Bob ikke benytte "kvantekanalen", men må ty til internettet, og så har de intet opnået, og Eva vil - hvis kvantecomputere kan bryde kryptering - hurtigt kunne dekryptere signalet. Er Eva lidt mere sofistikeret, kan hun nøjes med at indsætte nok støj til at spolere én eller flere af de godkendte bit engang imellem, men ikke nok til at det opfattes som sabotage.
Udmærket artikel, og udmærkede kommentarer - også dengang.Du kan læse mere herom i min seks år gamle artikel <a href="https://ing.dk/artikel/krypteringsfolket-f..">https://ing.dk/artikel/kr…;.
Kvantekryptering kan så vidt jeg ved ikke løse samme opgave som asymetrisk kryptering, og kan bedst sammenlignes med symetrisk kryptering. Som jeg ser det, så kan kvantesikker kryptering gøre det ligeså godt - måske endda bedre. Og til en langt lavere pris, og over uendelige afstande. Kvantesikker kryptering, kan også bruges ved opbevaring af data, og sikre at harddiske ikke kan dekrypteres med en kvantecomputer. Kvantekryptering giver ikke nær samme muligheder.
For at gøre kvantekryptering muligt i praksis, så er nødvendigt, at det fungerer med lidt tab. Dette gør, at man naturligvis kan forstyre det lidt, og dette vil blive opfattet som tab. Det gør, at det ikke er sikker. Jeg vil ikke anbefale kvantekryptering, uden i det mindste at kombinere det med kvantesikker kryptering. Og hvis kvantesikker kryptering er nok - så kan det godt diskuteres, om vi så skal ofre det, som det koster at bruge kvantekryptering.
Kvantesikker kryptering kommer vi ikke udenom. Men det har intet med kvantekryptering at gøre.
Du kan læse mere herom i min seks år gamle artikel https://ing.dk/artikel/krypteringsfolket-frygter-kvantecomputeren-189825
Ikke, hvis de medfører, at du kan bryde kvantekryptering.Hvad bliver der af en foton der dæmpes 9 dB? Foton-fortalerne skylder nogle forklaringer.
Hvordan pokker vil man detektere polarisationen af en foton? Du må jo dele den i forskellige filtre, og den kan ikke deles.Krypteringsnøglerne kodes i fotonens polarisation, hvor den kan vende lodret(1) eller vandret(0) og diagonalt i enten +45 grader(1) eller -45 grader(0).
Du kan godt blandt en masse fotoner med forskellig polarisation finde nogle med en bestemt polarisation, men er der kun een, har du kun een chance.
Hvad bliver der af en foton der dæmpes 9 dB? Foton-fortalerne skylder nogle forklaringer.
Så vidt jeg ved, så er det lykkedes at bryde kvantekryptering. Jeg husker ikke hvordan, men det skyldes vist, at kvanteforbindelsen ikke kan laves helt ideel, og blandt andet har et mindre tab.
Kvantemekanik er en spændende teknologi, men det giver næppe mening at anvende kvantekryptering. Der findes kvantesikre krypteringer, som sandsynligvis er langt sikrer end kvantekryptering. Og det er intet problem, at sende millioner af kilometer. Alene afstanden gør, at kvantekryptering er en gyser.
Forskningen i kvantekryptering, kan måske føre andet med sig, der reelt kan bruges til noget, og det er fint, at nogle vil sponsorere kvantekryptering. Men, som kryptering, har det ikke fremtid.
»Kvantekryptering kan beviseligt modstå alle angreb, fordi ethvert forsøg på aflytning vil blive afsløret,«
Tja. Målet med at kryptere et signal er vel at sikre, at det ikke kan læses af andre; men det kan det, så vidt jeg kan se, godt her. Det kan i teorien bare detekteres, at en anden har lyttet med; men det har ikke forhindret, at et telegram, som absolut ikke måtte kunne læses af andre, alligevel er blevet det!
Så vidt jeg kan se, kan man "bare" koble sig ind på linjen og læse beskeden og så samtidig med en retningskobler introducere nok støj på linjen videre frem til, at den retmæssige modtager ikke kan læse telegrammet og dermed heller ikke kan afgøre, om det er læst af andre. Med de ekstremt svage signalniveauer, som anvendes, må signal/støj-forholdet jo være så dårligt, at fejlbehæftede telegrammer vil forekomme ganske hyppigt, og i den situation kan man ikke blot retransmittere, som man normalt ville gøre, for hvis andre så ikke lytter med på retransmissionen, bliver den godkendt, og så har både en anden og den retmæssige modtager modtaget og læst samme besked, som blot er sendt 2 gange. En sådan "kryptering" er i mine øjne intet værd.
Krypteringsnøglerne kodes i fotonens polarisation, hvor den kan vende lodret(1) eller vandret(0) og diagonalt i enten +45 grader(1) eller -45 grader(0).
Hvordan bærer en foton sig rent fysik ad med at have egenskaberne polarisation og frekvens?
Hvis svaret er rotation - hvorfor er energien så kun proportional med frekvensen i 1. potens (E = h·f), når energien i et roterende emne er proportional med vinkelhastigheden i 2. potens (E = ½I·ω^2)?
Fotoner kan jo ikke deles, så hvordan kan man sende en foton med 9dB tab og stadig detektere den?