Dystrybucja zasobów kwantowych, takich jak splątanie kwantowe i kubity, przez długodystansowe sieci światłowodowe stanowi ogromne wyzwanie. Dostępne na rynku już od ponad 17 lat komercyjne systemy kryptografii kwantowej do przesyłania fotonów stosują światłowody. Wadą takiego rozwiązania jest jednak wykładnicze tłumienie natężenia światła w funkcji przebytego przez światło dystansu.

Jeśli chcielibyśmy wysłać pojedyncze fotony na odległość 1000 km, nawet z szybkością 10 GHz, to na wykrycie choćby jednego musielibyśmy czekać setki lat, ze względu na straty w światłowodzie. Nowoczesna telekomunikacja pokonuje ten problem za pomocą wzmacniaczy, które intensyfikują sygnał po drodze. Jednak w systemach QKD zniszczyłyby one kwantowe cechy fotonów, takie jak splątanie. Z uwagi na twierdzenie o zakazie klonowania (ramka Zakaz klonowania i zasada nieoznaczoności) oraz na fakt posługiwania się w kwantowej dystrybucji klucza pojedynczymi fotonami nie jest możliwe stosowanie klasycznych wzmacniaczy sygnału. Dlaczego zatem w QKD używane są fotony, skoro ich kwantowe cechy są tak kruche?

> Dlaczego fotony

Światło, które odbieramy, składa się z fal elektromagnetycznych zazwyczaj oscylujących jednakowo we wszystkich kierunkach prostopadłych do osi propagacji światła. Czy to naturalne, czy sztuczne – dociera do nas niespolaryzowane. Aby dokonać jego polaryzacji i selekcji fal elektromagnetycznych, których wektor natężenia pola oscyluje w wybranym przez nas kierunku, należy przepuścić je przez polaryzator liniowy. Umieszczenie za nim kolejnego podobnego polaryzatora z osią polaryzacji ustawioną prostopadle względem poprzednika poskutkowałoby całkowitym wygaszeniem światła.

Ustawienie na osi optycznej wiązki światła niespolaryzowanego zestawu płytek przepuszczalnych tłumiących światło może doprowadzić do sytuacji, w której przez płytki przedostawać się będą jedynie pojedyncze fotony. Foton, który napotka polaryzator, z równym prawdopodobieństwem może przez niego przejść lub zostać zatrzymany. Wynika to z kwantowej natury fotonu będącego superpozycją dwóch stanów bazowych, które odpowiadają dwóm prostopadłym względem siebie polaryzacjom – pionowej (ang. vertical, V) i poziomej (ang. horizontal, H). Z kolei ta własność pozwala na wykorzystanie fotonu jako nośnika kubitu – najmniejszej porcji informacji kwantowej – a stan polaryzacji fotonu można utożsamiać ze stanami bazowymi kubitu (H=0, V=1). Opisują one stany polaryzacji pod kątami 0° (będące logicznym zerem) i 90° (będące logiczną jedynką). Do przeprowadzenia QKD w ramach protokołu BB84 potrzebne są jeszcze bazy ukośne opisujące polaryzacje liniowe pod kątami 45° i -45° (lub 135°). Za pomocą tych czterech polaryzacji nadawca może zakodować klucz. Dokładny opis procesu generowania tajnego klucza można znaleźć w „IT Professional” 4/22, s. 42.

Każdy z wprowadzonych stanów bazowych można wytworzyć, przepuszczając foton przez polaryzator liniowy ustawiony pod jednym z czterech kątów. Dobór baz nie jest przypadkowy, a wynika z tego, że wykluczają się one w sposób maksymalny, uniemożliwiając jednoczesne wykonywanie pomiarów na kubicie w obydwu bazach, czyli są przykładem tzw. baz wzajemnie nieobciążonych (ang. mutually unbiased bases). Próba przeanalizowania stanu fotonu we wzajemnie obciążonej bazie wprowadza więc maksymalną niepewność co do stanu początkowego. Własność ta znajduje bezpośrednie zastosowanie w protokole BB84.

> Ograniczenia

Przepustowość linii transmisyjnej spada wraz z jej długością. Na bardzo krótkich dystansach osiągnięto w 2018 r. wartości około 10 Mb/s (o czym za chwilę). Przy odległościach rzędu 50 km wartość ta spada już do około 1 Mb/s. Natomiast zanik eksponencjalny sprawia, że na dystansach powyżej 400 km QKD można przeprowadzać z prędkością jedynie około 1 bitu na sekundę, co jest wielkością niepraktyczną. Dlatego też kwantową dystrybucję klucza za pośrednictwem światłowodów ogranicza dziś odległość ok. 400 km. Możliwym rozwiązaniem dla powyższych trudności jest stosowanie powielaczy kwantowych (ramka Quantum repeater), których działanie oparte jest na pamięci kwantowej oraz protokole teleportacji kwantowej. Są to jednakże bardzo złożone systemy będące wciąż w fazie badań. Dużo bardziej obiecującym rozwiązaniem jest wykorzystanie znacznie słabszego niż w ciele stałym tłumienia fotonów w gazach oraz faktu, że w próżni światło emitowane przez źródło słabnie odwrotnie proporcjonalnie do kwadratu przebytej odległości. Fakt ten wiąże się z wykorzystaniem przestrzeni kosmicznej do przeprowadzenia kwantowej dystrybucji klucza. Możliwość taka została pomyślnie potwierdzona eksperymentalnie na skalach międzykontynentalnych w 2017 r. z wykorzystaniem protokołu BB84, o czym szczegółowo pisaliśmy w „IT Professional” 10/2022, s. 72.

> Transmisja danych w systemie QKD

Zespół naukowców z Pekińskiej Akademii Nauk o Informacji Kwantowej (BAQIS), któremu przewodził Zhiliang Yuan, w 2018 r. zaprezentował pierwsze systemy kwantowej dystrybucji kluczy zdolne do dostarczania trwałych, bezpiecznych kluczy w czasie rzeczywistym w sposób ciągły z szybkością przekraczającą 10 Mb/s. Aby osiągnąć taki wynik, opracowali oni szybkie moduły post-processingu, osiągając maksymalną przepustowość danych 60 MC/s (dla modułów przesiewania), 55 Mb/s (korekcji błędów) i 108 Mb/s (dla wzmacniania prywatności) dla samodzielnego działania.

Przepływ danych pomiędzy różnymi warstwami w systemie QKD zaczyna się od najniższej, fotonicznej warstwy zajmującej się przygotowaniem, transmisją i wykrywaniem sygnałów optycznych. Po niej następują warstwy przetwarzania danych, w tym przesiewanie (ang. sifting), korekcja błędu (ang. error correction, EC) i wzmacnianie prywatności (ang. privacy amplification, PA), ułatwione przez uwierzytelniony kanał transmisji danych. Pomiędzy EC i PA znajduje się moduł określający wielkość wzmocnienia prywatności wymaganego w celu usunięcia wszelkich informacji, które mogą być znane podsłuchującemu (zwanemu zwyczajowo Ewą), na podstawie dowodu bezpieczeństwa zaimplementowanego protokołu QKD. Ponieważ są one wykonywane sekwencyjnie, ostateczna SKR (ang. secure key rate) będzie określana przez najwolniejszą warstwę.

SKR, czyli bezpieczna szybkość klucza, to jedna z dwóch (obok dystansu komunikacyjnego) kluczowych wartości określających wydajność technologii kwantowej dystrybucji klucza. Do niedawna to warstwa fotoniczna ograniczała SKR. Wraz z ostatnimi postępami w technologiach detektorów jednofotonowych wąskie gardło przesunęło się w górę, do warstw postprocesowych, a trwała bezpieczna szybkość wzrosła systematycznie z kilku kB/s do ówcześnie rekordowego poziomu 1,9 Mb/s. Wyższa szybkość klucza nie była możliwa ze względu na ograniczenie prędkości narzucone przez warstwy przetwarzania danych. EC i PA zostały zaimplementowane w oprogramowaniu działającym na procesorach ogólnego przeznaczenia w systemie state-of-the-art. Akceleracja sprzętowa została uznana za klucz do poprawy przepustowości postprocesów. Jednak każda warstwa wymaga innych zasobów, co zwiększa złożoność implementacji sprzętowej.

Przesiewanie wymaga dużej szerokości pasma komunikacyjnego, jak również jego efektywnego wykorzystania, aby poradzić sobie z wymianą komunikatów uzgadniających z odpowiednio dużą szybkością. Natomiast operacja obliczeniowa tej warstwy jest prosta i polega głównie na przeszukiwaniu pamięci i porównywaniu bitów binarnych. W przeciwieństwie do nich EC i PA są intensywne obliczeniowo, przy czym ta ostatnia wymaga znacznych zasobów pamięci do przetwarzania zbiorów danych o bardzo dużym rozmiarze (108 bitów) w celu złagodzenia efektów statystycznego rozmiaru skończonego.

Uzyskanie pierwszych systemów QKD zdolnych do dostarczenia trwałych bezpiecznych kluczy z szybkością przekraczającą 10 Mb/s było możliwe dzięki rozwojowi elektroniki przesiewającej i elektroniki sterującej, tablicy bramek programowalnych (FPGA) opartej na kontroli parzystości o niskiej gęstości (LPDC) EC i współprocesorowych modułów PA opartych na koprocesorze. Wraz z szybką warstwą fotoniczną, te nowe rozwiązania umożliwiły osiągnięcie trwałego, działającego w czasie rzeczywistym SKR na poziomie 13,72 ± 0,74 Mb/s przy stratach kanałowych 2 dB, co odpowiada 10 km światłowodu. W kanale o natężeniu 2 dB osiągnięto rekordową SKR wynoszącą 11,53 Mb/s uśrednioną dla miesiąca pracy. Był to wzrost szybkości bezpiecznej dystrybucji kluczy o prawie rząd wielkości, z poprzedniego wyniku 1,9 Mb/s. Solidność i długoterminowa stabilność systemu na prawdziwym włóknie została potwierdzona na drugim systemie QKD pracującym nieprzerwanie przez miesiąc bez żadnej interwencji użytkownika.

> Protokół T12

Wczesne dowody bezpieczeństwa QKD były opracowywane w tak zwanym scenariuszu asymptotycznym, który zakłada, że nieskończony zbiór danych dostępny jest eksperymentatorom, którzy mogą w ten sposób określić parametry QKD z nieskończoną precyzją. Jest to oczywiście nierealne. W rzeczywistej sytuacji zbiór danych jest zawsze skończony, a precyzja pomiaru jest zatem ograniczona przez fluktuacje statystyczne w próbce. Aby to skorygować, w 2012 r. do analizy bezpieczeństwa zaimplementowano protokół T12 – wydajny wariant protokołu decoy-state BB84 – który charakteryzuje się kompozytowym zabezpieczeniem przed atakami kolektywnymi w scenariuszu skończonego rozmiaru i zapewnia wysoką szybkość dystrybucji kluczy. W protokole T12 nadawca (zwany zwyczajowo Alicją) przygotowuje losowo jeden z czterech stanów kwantowych oznaczonych jako |0〉Z, |1〉Z  (większość i baza danych Z) oraz |0〉x, |1〉x (mniejszość i baza testowa X), podobnie jak w znanym protokole BB84. Bazy wybierane są z prawdopodobieństwem pZ ≥ 1/2 i pX = 1-pZ, a bezpieczna szybkość klucza protokołu dana jest przez sumę szybkości wydestylowanych osobno w obu bazach. Dzięki temu możliwa jest optymalizacja parametru pX w celu uzyskania jak największej szybkości klucza. Dla każdego stanu losowo wybierany jest jeden z trzech strumieni fotonów, u (sygnał), v (wabik) lub w (próżnia), odpowiednio z prawdopodobieństwami pu, pv i pw, aby umożliwić realizację techniki decoy-state.

[...]

Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.