Criptografia Cuantica
Criptografia Cuantica
Criptografia Cuantica
1. Introducción
La criptografía cuántica es una de las aplicaciones más importantes (y la pri-
mera con interés comercial) de la computación cuántica.
La computación cuántica se empezó a desarrollar en la década de los ochenta a
raíz de las propuestas de Deutsch y Feymann, que sugirieron independientemente
que la propia evolución de los sistemas cuánticos se podría utilizar como herra-
mienta de cálculo.
En 1994 aparece el primer resultado verdaderamente importante en compu-
tación cuántica. Se trata de los algoritmos polinomiales para la factorización de
números enteros y cálculo de logaritmos discretos propuestos por P. Shor (véase [4]
y [12]), que abren la posibilidad de que los ordenadores cuánticos puedan romper
los criptosistemas de clave pública.
Sabemos que la codificación usando claves privadas aleatorias de un solo uso
(cifrado de Vernam) permite llevar a cabo una comunicación segura. Pero presenta
la dificultad práctica de la distribución segura de las claves. Afortunadamente,
las leyes de la mecánica cuántica proporcionan herramientas para abordar este
problema. La aportación cuántica a la seguridad del proceso de distribución de
claves consiste esencialmente en que un espía no puede extraer información sin
revelar su presencia a los comunicantes, ya que por las leyes de la mecánica cuántica
no es posible copiar estados.
Existen diversos protocolos para la distribución cuántica de claves privadas. El
más sencillo fue propuesto en 1984 por C.H. Bennett y G. Brassard (ver [1]) y se
conoce como BB84. Después se propusieron diversas modificaciones que dan lugar
a otros protocolos esencialmente equivalentes.
1
2. El modelo de computación cuántica
Para estudiar con detalle el modelo de computación cuántica se puede consultar
[4],[10] ó [11]. En lo que sigue presentamos algunas nociones básicas.
En computación cuántica la unidad elemental de información es el qubit o bit
cuántico, que se define a partir de dos estados básicos denotados por |0i y |1i.
Físicamente se representa por un sistema cuántico de dos estados, por ejemplo el
spin de un electrón. En este sistema se puede representar el spin − 21 por el estado |0i
y el spin 12 por el estado |1i. Pero el estado cuántico puede ser una superposición de
los dos estados básicos. Esta es la principal diferencia con el modelo de computación
clásico.
Actualmente en los canales cuánticos de comunicación se utiliza la polarización
de un fotón como soporte físico de un estado cuántico. Un estado de polarización
puede ser modelizado por un vector unidad apuntando en la dirección adecuada
y se puede representar como un vector de norma uno en un espacio de Hilbert
complejo.
Así, en términos matemáticos, un estado cuántico de un qubit es una com-
binación lineal de los dos estados básicos, de la forma |φi = a|0i + b|1i, tal que
|a|2 + |b|2 = 1. Es decir |φi es un vector unitario de un espacio de Hilbert complejo
H, en el que B0 = [|0i, |1i] es una base ortonormal.
Cualquier sistema de medida de estados cuánticos tiene asociada una base orto-
normal, repecto de la cual se realiza la medición. Al medir un estado cuántico, éste
se proyecta sobre uno de los vectores de la base ortonormal considerada. De este
a
modo, al medir el estado |φi, usando la base B0 , se obtendrá |a| |0i con probabilidad
b
|a|2 , o |b| |1i, con probabilidad |b|2 .
Cuando se mide un estado, éste cambia irreversiblemente, salvo los estados de
la propia base respecto de la que se mide (o múltiplos de ellos).
Aparatos o sistemas de medidas diferentes tienen asociadas diferentes bases y
las mediciones correspondientes dan lugar a resultados diferentes. Por ejemplo, en
el espacio H, la base B0 = [|0i, |1i] corresponde a las polarizaciones horizontal y
vertical, pero si se consideran las polarizaciones 45o y -45o se tiene otra base, que
denotaremos por B1 = [|+i, |−i], donde
1 1
|+i = √ (|0i + |1i) |−i = √ (|0i − |1i)
2 2
Para obtener el resultado de la medición de un estado respecto de B1 , basta
conocer las coordenadas del vector respecto de esta base. Dado que se puede escribir
1 1
|0i = √ (|+i + |−i) |1i = √ (|+i − |−i),
2 2
si se mide el estado |0i respecto de la base B1 se obtendrá |+i con probabilidad
1/2, o |−i, con probabilidad 1/2 y análogamente para el estado |1i. Nótese que si
hubiéramos medido uno de estos estados usando B0 se hubiera obtenido el propio
estado con probabilidad 1.
2
La información que contiene un qubit es evidentemente muy pequeña. Para
poder representar más información es necesario recurrir a estados de n-qubits.
Un estado cuántico de n-qubits es un vector de norma 1 del espacio de Hilbert
(n
complejo Hn = H⊗ · · · ⊗H, de dimensión 2n , cuya base es Bn = [|x0 i, · · · , |x2n −1 i],
donde cada xj ∈ {0, 1}n es la representación binaria del número j ∈ {0, . . . , 2n −1}.
(Los vectores de Bn son todos los productos tensoriales de n vectores de B0 .)
Para entender un poco cómo son los estados cuánticos, veamos un ejemplo
sencillo con n = 2. Un 2-qubit es un vector unitario del espacio vectorial H2 . En
este caso, B = [|00i, |01i, |10i, |11i] es una base ortonormal de H2 , cuyos elementos
son todos los productos tensoriales de los elementos de la base [|0i, |1i] de H.
En H2 hay estados que son producto tensorial de dos estados de H, como por
ejemplo
√ √ Ã √ ! Ã √ !
1 3 3 3 1 3 1 3
|00i − |01i + |10i − |11i = |0i + |1i ⊗ |0i − |1i .
4 4 4 4 2 2 2 2
Pero también hay otros estados ³que no se pueden´poner como producto tensorial
de estados de H. Por ejemplo √12 |00i + √12 |11i . Estos estados se denominan
entrelazados y tienen una importancia vital en criptografía cuántica.
En un 2-qubit se puede medir el primer qubit o el segundo usando una base
ortonormal de H. Por ejemplo, sea |φi = a|00i + b|01i + c|10i + d|11i, con |a|2 +
|b2 | + |c|2 + |d2 | = 1. Si se mide el primer qubit usando la base B0 , el resultado de
la medición puede ser |0i, con probabilidad |a|2 + |b2 |, y el estado resultante tras la
medida será √ 2a 2 |00i + √ 2b 2 |01i, ó bien |1i, con probabilidad |c|2 + |d2 |,
|a| +|b| |a +|b|
c d
y el estado se proyectará en √ |10i +√ |11i.
|c|2 +|d|2 |c2 +|d|2
Veamos
³ qué ocurre si ´se mide el primer qubit de un estado entrelazado, por
ejemplo √12 |00i + √12 |11i . Si el resultado de la medición es |0i, lo que ocurre con
probabilidad 1/2, el estado resultante sería |00i, si el resultado de la medición es
|1i, el estado resultante sería |11i. En cualquier caso, si después se mide el segundo
qubit, se obtendrá con probabilidad 1 el mismo resultado de la primera medición.
Es decir el resultado de la medida del segundo qubit está condicionado por el de
la primera medición. Esta es una característica de los estados entrelazados, que da
lugar a la famosa paradoja de Einstein, Podolsky y Rosen (EPR). Los dos qubits
de un estado cuántico entrelazado pueden estar arbitrariamente lejos y si se mide
el primero de ellos ya se conoce el resultado de la medida del segundo.
La evolución de un estado cuántico se describe mediante transformaciones cuán-
ticas, que son operadores lineales unitarios definidos en el espacio de Hilbert Hn . La
potencia de la computación cuántica se basa en el paralelismo cuántico, derivado
del hecho de que aplicar una transformación a un estado cuántico, superposición
de todos los estados de la base, es como operar simultámeamente con todas las
2n cadenas de n bits. Esto permite un incremento exponencial de la velocidad de
cálculo.
3
3. Protocolo cuántico de distribución de claves
Uno de los problemas de mayor dificultad práctica a la hora de llevar a cabo
una comunicación segura mediante un sistema de clave privada es la distribución
segura de las claves.
Precisamente una de las razones del éxito obtenido por el sistema de clave pú-
blica es que permite prescindir de acordar y distribuir la clave secreta. Sin embargo
la seguridad de este sistema nunca ha sido probada matemáticamente. No se sabe
si factorizar un número entero puede hacerse en tiempo polinomial, simplemente
no se ha encontrado un algoritmo que lo haga. La construcción de un ordenador
cuántico, en el que se implemente el algoritmo de Shor, que permite factorizar en
tiempo polinomial, supondría claramente la fractura del RSA.
Las leyes de la mecánica cuántica permiten abordar el problema de la distribu-
ción segura de claves privadas. Los comunicantes pueden transmitir la clave privada
a través de un canal cuántico. Por ejemplo, un cable de fibra óptica. En este caso,
los estados de polarización de un fotón se pueden usar para diseñar un protocolo
criptográfico cuántico para la distribución de una clave aleatoria de un solo uso.
En un proceso de distribución cuántica de claves, intervienen un emisor (Alicia),
un receptor (Benito), un espía (Eva) y dos canales de comunicación, uno cuántico,
para enviar fotones, y otro clásico para reconciliar y depurar la información. Eva
puede acceder al canal clásico y también puede acceder al canal cuántico y usar
todos los medios que desee, con la única restricción de que sean compatibles con
las leyes de la mecánica cuántica. Los dos comunicantes usan un trozo de su clave
para detectar la presencia de espías y sólo en el caso de que no se detecten o que
la información de éstos sea muy pequeña, dan por válida la clave.
El el espacio de Hilbert H consideraremos las siguientes bases ortogonales:
B0 = [|0i, |1i] y B1 = [|+i, |−i] .
En los protocolos cuánticos de distribución de claves la idea será enviar una
cadena de bits, usando para codificarla fotones polarizados en dirección horizontal
o vertical, cuando se use B0 o en las direcciones ±45o cuando se use B1 .
A grandes rasgos las fases de un protocolo de generación de claves son: ge-
neración y distribución de la clave, análisis y correción de errores y amplificación
de la privacidad. A continuación, se describe cada una de ellas para el BB84.
4
acuerdo con el siguiente alfabeto:
Base B0 : 0 → |0i, 1 → |1i.
Base B1 : 0 → |+i, 1 → |−i.
Paso 3: Cuando Benito recibe cada fotón, no tiene modo de saber con qué
alfabeto ha sido polarizado, así que él mide eligiendo, también aleatoriamente,
para cada uno de ellos la base B0 o B1 .
Aproximadamente la mitad de las veces Benito elegirá el mismo alfabeto que
Alicia y la otra mitad elegirá la base contraria a la utilizada por ella. Por tanto
después de todas las mediciones Benito tendrá su secuencia binaria, que coincidirá
con la de Alicia en un 75 %.
Paso 4: Para localizar y eliminar los bits en que las mediciones se han realizado
en la base inadecuada, se realiza el proceso denominado reconciliación de bases.
Benito comunica a Alicia, por un canal público, qué alfabeto ha usado en cada
medición. Como respuesta, por el mismo canal, Alicia le comunica las posiciones
en las que la medición se ha realizado con el alfabeto correcto.
Paso 5: Alicia y Benito borran de sus cadenas los bits en los que se han usado
alfabetos diferentes y tienen así su palabra clave, que denominaremos clave bruta.
Si no ha habido ruido ni interferencia de espías, Alicia y Benito tienen una
clave aleatoria común.
5
Por otra parte, la probabilidad de coincidencia de los bits de Alicia y Benito
tras la reconciliación de bases es:
P (a = a00 /B = B 00 ) = P (a = a00 /B = B 0 = B 00 )P (B 0 = B/B = B 00 )+
1 1 1 3
+P (a = a00 /B 6= B 0 , B = B 00 )P (B 0 6= B/B = B 00 ) = 1 · + · =
2 2 2 4
Denominamos discrepancia introducida por Eva en la clave de Benito a la pro-
babilidad de no coincidencia entre ésta y la de Alicia tras la reconciliación de bases.
Según la proposición anterior, con la estrategia descrita, la discrepancia introducida
por el espionaje de Eva es de 1/4.
Pero Eva puede usar otras estrategias de espionaje, con el objetivo de aumentar
su probabilidad de acierto y/o disminuir la discrepancia introducida en la clave
de Benito. Por ejemplo, puede medir con una base ortonormal cualquiera, B =
[|ui, |vi], con
p p
|ui = α|0i + 1 − α2 |1i, |vi = − 1 − α2 |0i + α|1i,
p(a)
0.8
0.6
0.4
d(a)
0.2
Figura 1:
6
Luego, de acuerdo con el plantemiento de espionaje propuesto, la base que debe
elegir Eva es Bi = [|ui, |vi], con
7
De esta forma acortan su clave, pero disminuyen la información de Eva, ya que
si ésta conoce sólo uno de los bits de la pareja, no puede obtener el valor de la
suma. Por otra parte si la probabilidad de que Eva conozca cada bit es p > 1/2, la
probabilidad de acertar la paridad es p2 + (1 − p)2 que es menor que p. Por ejemplo,
si p = 00 6, se tiene 00 62 + 00 42 = 00 52. Con bloques de mayor longitud disminuye
más la información de Eva, pero la clave se acorta más.
4. Otros protocolos
4.1. Protocolo B92
Una generalización muy simple del protocolo BB84 fue propuesta por Bennet
en 1992 y se conoce como B92. La idea es que Alicia no utilice cuatro sino dos
estados para codificar. El protocolo se puede describir como sigue:
1. Alicia genera una cadena aleatoria de ceros y unos.
2. Para cada bit a de la cadena, Alicia lo codifica usando el siguiente alfabeto
a = 0 → |0i, a = 1 → |+i, y envía a Benito el qubit resultante.
3. Benito genera una cadena aleatoria a0 de ceros y unos.
4. Benito mide cada qubit recibido, usando B0 si en la posición correspondiente
a0 = 0 y B1 cuando a0 = 1.
5. De esta medición Benito obtiene una cadena b de ceros y unos con el siguiente
criterio: Si ha elegido B0 y obtiene |0i pone b = 0, si obtiene |1i entonces
b = 1. Si ha elegido B1 y obtiene |+i pone b = 0, si obtiene |−i entonces
b = 1.
6. Benito publica las posiciones en que b = 1 y, considerando solo esas posicio-
nes, las claves son a para Alicia y 1 − a0 para Benito.
Proposición 4.1. Con la notación anterior, si no hay espías ni ruido se obtienen
claves coincidentes con probabilidad 1.
Demostración. En primer lugar notemos que P (b = 1) = 1/4. En efecto, si a = 0,
Alicia envía |0i y b sólo puede ser 1, con probabilidad 1/2 en el caso de que a0 = 1,
lo que a su vez ocurre con probabilidad 1/2. Por otra parte si a = 1, Alicia envía
|+i y b sólo puede ser 1, con probabilidad 1/2 en el caso de que a0 = 0, lo que a su
vez ocurre con probabilidad 1/2. (Si Benito mide |+i con la base B2 obtiene |+i y
lo descodifica a 0).
Observemos que en cualquiera de los dos casos, cuando se ha obtenido b = 1,
es a = 1 − a0 . Luego P (a = 1 − a0 /b = 1) = 1.
El protocolo B92 tiene la ventaja de que Alicia sólo utiliza dos estados de
polarización para enviar su clave, pero tiene el inconveniente de que la longitud de
la clave reconciliada es la cuarta parte de la longitud de la cadena inicial de Alicia.
8
4.2. Protocolo basado en pares EPR
Esta generalización del BB84 tiene especial interés conceptual, histórico y prác-
tico. Fue propuesta por Ekert en el año 1991 y basa su seguridad en el uso de pares
EPR y en la desigualdad de Bell.
Un par EPR es un estado cuántico de 2 qubits entrelazados, por ejemplo de la
1
forma |ψi = √ (|00i + |11i).
2
Si partimos de la hipótesis de que Alicia y Benito comparten un conjunto de 2n
pares EPR y seleccionan aleatoriamente n de ellos para comprobar si verifican la
desigualdad de Bell o si superan cualquier otro test de fidelidad, tienen garantizado
que los restantes son estados cuánticos entrelazados suficientemente puros y realizan
con ellos el protocolo.
Alicia prepara una cadena aleatoria b de ceros y unos y de acuerdo con ella,
mide su qubit de cada par con las bases B0 o B1 obteniendo una cadena a. Benito
hace lo mismo y obtiene una cadena a0 con una cadena b0 de elección de bases.
Después comunican sus cadenas b y b0 por un canal público y se quedan sólo con
aquellos en los que las bases utilizadas coinciden. Si los pares EPR eran estados
entrelazados puros las claves deben ser coincidentes.
El problema se reduce pues a garantizar que Alicia y Benito puedan compartir
n pares EPR. Para ello, por ejemplo, Alicia prepara los estados entrelazados y envía
el primer qubit de cada uno a Benito. Este proceso puede dar lugar a errores por
varias causas. En primer lugar el canal entre Alicia y Benito puede presentar ruidos.
Segundo el emisor puede se imperfecto. Tercero se pueden producir errores durante
el almacenaje de la información o durante el proceso de medición. Finalmente
también puede haber errores debidos a la actuación de Eva cuando se ha envíado
el qubit de cada par. En este caso el estado de Benito quedaría modificado. Sea ρ
la matriz de densidad del estado resultante, que es impuro a casua de los errores.
Se puede probar (ver [8] y [10]) que la fidelidad de ρ respecto a |ψi⊗n proporciona
una cota superior de la información mutua de Eva respecto de la clave.
9
entre ρ y |ψi⊗n . En [13] se prueba la seguridad del protocolo BB84 introduciendo
una modificación que lo hace esencialmente equivalente al protocolo modificado de
Lo-Chau. En [14] se da una prueba de la seguridad del B92. Estas pruebas son en
general difíciles de entender y ninguna de ellas es totalmente satisfactoria.
Desde un punto de vista práctico la seguridad en los protocolos cuánticos de
distribución de clave no está totalmente demostrada. Los experimentos basados
en pulsos débilmente coherentes han puesto de manifiesto ciertas limitaciones de
seguridad que no aparecen en los esquemas idealizados (ver [3]).
En la sección 3 hemos visto como diferentes estrategias de Eva dan lugar a
valores distintos tanto de la probabilidad de coincidencia entre las claves de Eva y
Alicia (y por tanto de la información mutua correspondiente), como de la discre-
pancia y por tanto de la probabilidad de coincidencia entre las claves de Alicia y
Benito.
Parece razonable considerar como mejor estrategia de Eva aquella que le per-
mita obtener más información introduciendo menos discrepancia.
Si conocemos una cota de la información de Eva en función de las discrepancia
introducida en la clave de Benito, válida para cualquier estrategia de espionaje,
será posible determinar la cota de error admisible.
Vamos a introducir un concepto de estrategia óptima en este sentido:
10
En [5] se parte de este
√ modelo de estrategia general y se prueba que el valor
máximo de p + q√ es ( 3 + 5)/4 ∼ 10 683. En este caso la discrepancia resulta
d = 1 − q = 41 − 123 , que es menor del 11 %.
En [6] se llega a la misma conclusión sobre la tasa de discrepancia admisible,
probando que las suma de la información mutua por qubit de Alicia y Eva más la
de Alicia y Benito es menor que 1.
6. Comentarios finales
Hemos comentado las pruebas de la seguridad de los protocolos descritos frente
a ataques individuales. Pero no está demostrada la seguridad de los protocolos
cuánticos ante la posibilidad de ataques colectivos, en los que Eva pueda almacenar
y manipular un bloque de qubits transmitidos.
Otra dificultad física es la de emitir un solo fotón cada vez. Aunque en este
momento la tecnología no lo permite, parece razonable pensar en la posibilidad
de que Eva pueda detectar aquellos pulsos en los que se emite más de un fotón.
En este supuesto, Eva podría medir el número de fotones sin perturbar el estado
cuántico en lo que se llama una medida QND. Después podría determinar el bit
con uno de ellos y transmitir otro a Benito.
Un análisis realista de la seguridad que contemple no sólo las posibilidades de
la tecnología actual sino también las de la previsible es tarea pendiente (ver [6]) .
También se trabaja actualmente en el análisis de seguridad en modelos no ideales,
con emisores imperfectos, pérdidas, etc. (ver [9])
Experimentalmente se ha visto ([7]) que la distribución cuántica de clave es
factible sobre una distancia de 48 km. En el experimento se comprobó que el 28 %
de los pulsos láser detectables que salieron del interferómetro de Alicia contebían
dos o más fotones. Pese a esta alta probabilidad de multifotón el sistema era seguro
frente a ataques individuales.
Los inventores de los protocolos cuánticos de distribución de clave los idearon
con el fin exclusivo de obtener claves privadas de un solo uso. Pero actualmen-
te parece que sería más razonable usarlos como apoyo en sistemas simétricos de
seguridad.
Referencias
[1] BENNET, C.H.; BRASSARD, G. (1984): “Quamtum cryptography: public
key distribution and coin tossing”. Proc. of IEEE Int. Conf. on Computers,
Systems and Signal Processing, pp.175-179.
11
[3] BRASSARD, G., LÜTKENHAUS,N.; MOR, T. and SANDERS, B.C. (2000):
“Limitations of practical quamtum cryptography”. Phys. Rev. Lettter, 85
pp.1330-1333. (arXiv:quant-ph/9911054).
[6] GISIN, N.; RIBORDY, G.; TITTEL, W. and ZBINDEN, H. (2002): “Quam-
tum cryptography”. Reviews of Modern Physics, vol. 74. pp. 145-195.
[8] LO, H.K.; CHAU, H.F. (1999): “Unconditional security of quamtum key
distribution over arbitrarily long distances” Science, 283 pp. 2050-2056.
(arXiv:quant-ph/9803006 v5).
[13] SHOR, P.; PRESKILL, J.(2000): “Simple proof of security of the BB84
quamtum key distribution protocol”. Phys. Rev. Letter, 85, pp. 441-444
(arXiv:quant-ph/0003004 v2).
[14] TAMAKI, K.; KOASHI, M.; IMOTO, N.(2003): “Unconditionally secure quan-
tum key distribution based on two nonorthogonal states”. Phys. Rev. Letter,
90 (arXiv:quant-ph/0212162 v2).
12