Способ передачи криптографического ключа

(51) МПК (2009) НАЦИОНАЛЬНЫЙ ЦЕНТР ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ СПОСОБ ПЕРЕДАЧИ КРИПТОГРАФИЧЕСКОГО КЛЮЧА(71) Заявитель Белорусский национальный технический университет(72) Авторы Голиков Владимир Федорович Скобля Сергей Геннадьевич(73) Патентообладатель Белорусский национальный технический университет(57) Способ передачи криптографического ключа, при котором формируют на передающей станции последовательность битов, образующую исходный ключ, генерируют передающей станцией однофотонные импульсы, кодируют биты ключевой последовательности поляризационными состояниями упомянутых импульсов в двух альтернативных базисах,не ортогональных друг другу, со случайным выбором базиса для каждого упомянутого импульса, передают кодированные однофотонные импульсы по оптоволоконному или атмосферному каналу принимающей станции, на которой осуществляют декодирование принятых однофотонных импульсов в двух альтернативных базисах, не ортогональных друг другу, со случайным выбором базиса для каждого принятого однофотонного импульса, отличающийся тем, что при кодировании и декодировании соответственно на передающей и приемной станциях осуществляют случайный выбор базисов в соответствии с заранее согласованной одинаковой последовательностью, за исключением базисов, случайно выбираемых в упомянутой последовательности передающей и принимающей станциями независимо друг от друга, количество которых достаточно для обнаружения факта прослушивания с требуемой точностью, причем номера этих базисов и значения битов ключевой последовательности, переданных и полученных в этих базисах,стороны оглашают после декодирования всей ключевой последовательности. 14139 1 2011.02.28 Изобретение относится к области квантовой криптографии, а более конкретно к способам и устройствам кодирования и передачи криптографических ключей по квантовому каналу, и может быть использовано для защиты информации в телекоммуникациях. Известен способ кодирования и передачи случайных двоичных последовательностей 1 на основе их кодирования поляризационными либо фазовыми состояниями единичных фотонов в двух альтернативных базисах, не ортогональных друг другу, с последующей передачей кодированных фотонов по оптоволоконному или атмосферному каналу и декодированием их на принимающей станции. Недостатком известного способа является использование только половины переданной двоичной последовательности. Наиболее близким к предлагаемому способу является способ кодирования и передачи криптографических ключей 2, включающий формирование на передающей станции последовательности битов, образующей исходный ключ, генерацию передающей станцией однофотонных импульсов, кодирование битов ключа поляризационными либо фазовыми состояниями этих импульсов в двух альтернативных базисах, не ортогональных друг другу,со случайным выбором базиса для каждого фотона, передачу кодированных фотонов по оптоволоконному или атмосферному каналу принимающей станции, на которой производится декодирование принятых импульсов в двух альтернативных базисах, не ортогональных друг другу, со случайным выбором базиса для каждого фотона, причем выбор базисов передающей и принимающей станций независим друг от друга. Одним из существенных недостатков указанного способа является потеря примерно пятидесяти процентов битов исходной ключевой последовательности из-за того, что на принимающей станции базис, в котором принимается очередной квантовый импульс, выбирается случайным образом и, в общем случае, совпадает с базисом, в котором был передан данный импульс, только в 50 случаев, что, наряду с другими причинами, ограничивает скорость формирования секретной ключевой последовательности. Независимый порядок переключений базисов передающей и принимающей станций используется для обнаружения факта прослушивания канала связи третьей стороной и принципиально необходим в данном способе для обеспечения конфиденциальности передаваемого ключа. Задача, решаемая изобретением, заключается в повышении количества правильно декодируемых принимающей станцией битов ключевой последовательности, кодируемых передающей станцией при сохранении требуемого уровня конфиденциальности формируемого ключа. Решение поставленной задачи достигается тем, что в способе передачи криптографического ключа, при котором формируют на передающей станции последовательность битов,образующую исходный ключ, генерируют передающей станцией однофотонные импульсы,кодируют биты ключевой последовательности поляризационными состояниями упомянутых импульсов в двух альтернативных базисах, не ортогональных друг другу, со случайным выбором базиса для каждого упомянутого импульса, передают кодированные однофотонные импульсы по оптоволоконному или атмосферному каналу принимающей станции, на которой осуществляют декодирование принятых однофотонных импульсов в двух альтернативных базисах, не ортогональных друг другу, со случайным выбором базиса для каждого принятого однофотонного импульса, при кодировании и декодировании соответственно на передающей и приемной станциях осуществляют случайный выбор базисов в соответствии с заранее согласованной одинаковой последовательностью, за исключением базисов, случайно выбираемых в упомянутой последовательности передающей и принимающей станциями независимо друг от друга, количество которых достаточно для обнаружения факта прослушивания с требуемой точностью, причем номера этих базисов и значения битов ключевой последовательности, переданных и полученных в этих базисах,стороны оглашают после декодирования всей ключевой последовательности. 2 14139 1 2011.02.28 Эти биты, названные индикаторными, в дальнейшем используют только для обнаружения прослушивания и исключают из общего ключа. Таким образом, за счет согласования передающих и приемных базисов для подавляющего числа битов порождающей последовательности формируется общий ключ с нулевым количеством ошибок (кроме шумовых ошибок), а факт прослушивания устанавливается по относительно небольшому количеству индикаторных битов. Если прослушивание обнаруживается, то текущий сеанс формирования общего ключа отменяется. При осуществлении заявляемого способа увеличивается количество правильно декодируемых принимающей станцией битов ключевой последовательности в 1,5-4 раза при сохранении требуемого уровня конфиденциальности формируемого ключа. Сущность изобретения поясняется чертежом, где приведена блок-схема для осуществления способа, которая содержит источник единичных фотонов 1, кодирующий модуль 2,осуществляющий кодирование последовательности битов будущего ключа (например, задавая поляризацию фотонов) в одном из возможных базисов, устройство 3 управления,осуществляющее управление источниками фотонов, кодирующими модулями, выполняющее функции связи по каналу обсуждения, функции коррекции ошибок в ключевой последовательности и пр., которое может быть реализовано в виде ЭВМ, квантовый канал 4,канал 5 для обсуждения, который может быть реализован в виде любого канала связи в зависимости от конкретной реализации установки, декодирующий модуль 6 приемной станции, служащий для регистрации фотонов и декодирования ключевой последовательности, устройство 7 управления принимающей станции. При использовании двухбазисного поляризационного кодирования формирование секретного квантового ключа заявленным способом может осуществляться следующим образом. На передающей станции устройством 3 управления формируют порождающую последовательность битов , где 1, 2, , . Эту последовательность по каналу 5 передают на устройство 7 управления принимающей станции. Устройство 3 управления фор мирует случайную последовательность чисел 1,, где 1, 2, ,/2. Все дальнейшем эту последовательность обозначают. Устройство 7 управления формирует случайную последовательность чисел 1,,где 1, 2, ,/2. Все биты последовательности , номера которых, заменя ют на противоположные. В дальнейшем эту последовательность обозначают. На передающей станции устройством 3 управления формируют ключевую последовательность битов , где 1,2. Каждый бит ключевой последовательности кодируют в однофотонном квантовом импульсе, генерируемом источником 1. Базис, используемый для кодирования бита кодирующим модулем 1, задают устройством управления в соответствии слибо прямоугольным , либо диагональным . Квантовые импульсы регистрируют и декодируют на принимающей станции. Базисы,используемые декодирующим модулем 6 принимающей станции, выбирают устройством 7 управления принимающей станции в соответствии с. Далее с передающей станции сообщают через канал обсуждения 5 на принимающую производят сравнениес. Для всех совпадающих номеров базис передающей станции совпадает с базисом приемной стороны, поэтому биты , принятые в согласованных 14139 1 2011.02.28 базисах, должны совпадать с переданными. Это совпадение свидетельствует об отсутствии прослушивания, поэтому эти биты названы индикаторнымиИ . Далее из принятой по следовательностиисключают биты с номерами, равнымии, поскольку они были оглашены. В случае если злоумышленник подключился к каналам 4, 5, то ему известна порождающая последовательность битов , поэтому он использует ее для прослушивания канала 4. При этом все биты ключевой последовательностипринимают в согласованных бази сах, кроме базисов, соответствующих номерам. Поскольку прием битов с этими номерами злоумышленником происходит в рассогласованных базисах, то с вероятностью 0,5 каждый индикаторный бит на приемной станции не совпадает с переданным. При некотором числе индикаторных битов можно обеспечить требуемую вероятность обнаружения прослушивания. Ниже приведены расчетные соотношения, подтверждающие реализуемость метода. Обозначим черезслучайную величину - число индикаторных битов. Вероятность того,что при выбранных значенияхиобразуетсяиндикаторных битов, равна( ) - число сочетаний изпо . Вероятность того, что количество индикаторных битовокажется не менее , равна Минимальное количество индикаторных битов, необходимых для надежного обнаружения прослушивания, можно найти, задавшись вероятностью необнаружения прослуши 1 1 вания необн. Откуда-2 Рнеобн. Например, для необн 0,004 получаем 256 28. Зная , из (1) можно найтидля некоторого , задав достаточно большое значение этой вероятности( )( ). Расчеты показывают, что для получения 8 при 500 с вероятностью 0,97 необходимо 80. С учетом того, что все биты , используемые для обнаружения прослушивания, удаляются из ключевой последовательности, окончательная длина сформированного ключа 0 окажется несколько меньше, чем ,так как минимальное количество удаляемых битов равно(полное совпадение последова тельностейи), а максимальное 2 (полное несовпадение за вычетомсовпавших)-0-(2-). В рассматриваемом примере 4200348. Способ, предложенный в 1, дает 1250 . Выигрыш в длине ключа составляет 0 1,71,4 . 1 0 Расчеты показывают, что выигрыш возрастает с ростом величины . Так, при 10003,543,11. В таблице приведен пример формирования общего ключа в соответствии с заявляемым способом. Индикаторн. биты при наличии прослуш. Индикаторн. биты при отсутствии прослуш. Примечание- прямоугольный базис- диагональный базис 1 и 0 - значения 0 битов- бит принимает значение либо 1, либо 0 с равной вероятностью 1 итоговый ключ, сформированный у А и В. В приведенном примере выбрано 5. Передающая сторона А рассогласовала базисы с номерами 4, 9, 15, 18, 22. Приемная сторона В рассогласовала базисы с номерами 2, 4,11, 15, 20. Индикаторные биты образовались в базисах с номерами 4, 15. Длина сформированного ключа равна 14 бит. Источники информации Национальный центр интеллектуальной собственности. 220034, г. Минск, ул. Козлова, 20.