Criptografia Quântica

Gustavo Pfeiffer, Rodrigo Paim, Vinicius Motta

• Início
• Criptografia
  • O que é criptografia
  • Criptografia Simétrica
  • Criptografia Assimétrica
  • Função Resumo
• Computação Quântica
  • Fundamentos da Mecânica Quântica
  • Q-Bits e o Computador Quântico
  • Algoritmo de Shor e Critpoanálise
  • Presente e Futuro
• Criptografia Quântica
  • Quantum Key Distribution
  • "Cara ou Coroa" quântico
  • Transferência Inconsciente
  • Presente e Futuro
• Criptografia Pós-Quântica
  • Novas Velhas Soluções
  • Criptografia baseada em Hash
  • Criptografia baseada em Código
• Conclusão
• Perguntas
• Referências

3  Criptografia Quântica

Criptografia quântica refere-se a técnicas de criptografia cuja segurança se deve a fenômenos quânticos. A sua maior aplicação é em Distribuição de Chaves Quânticas (Quantum Key Distribution), mas há outras, como “cara ou coroa” quântico (Quantum Key Tossing) e Transferência Inconsciente (Oblivious Transfer), que abordaremos nessa seção.

3.1  Distribuição de Chaves Quânticas

A Distribuição de Chaves Quânticas (Quantum Key Distribution, QKD) tem o objetivo de gerar e transmitir com segurança uma chave secreta, normalmente para o uso de apenas duas pessoas. Parte da comunicação durante o processo de criação da chave é feita em um canal quântico, e parte em um clássico, sendo que as mensagens quânticas tomam vantagem do fato de ser impossível de medir integralmente ou copiar (clonar) uma função de onda. Dessa forma, enquanto a criptografia clássica preconiza que sempre é possível interceptar uma mensagem sem ser percebido, a criptografia quântica permite protocolos em que isto é impossível. [16]

Como veremos a seguir, normalmente trocam-se mensagens quânticas codificando bits em fótons que assumem polarizações não necessariamente ortogonais, de forma que a base escolhida para a leitura do fóton introduz aleatoriedade na medida [13]. Utilizando-se dessa propriedade, muitos protocolos impossibilitam a interceptação dos fótons em troca de uma eficiência menor.

Atualmente, há vários protocolos de QKD disponíveis para uso, tais como o BB84, o E91 e o B92.

3.1.1  Protocolo BB84

Considere que duas pessoas A e B desejam criar uma senha secreta conforme o protocolo BB84. Para isso, A e B precisam fazer parte de sua comunicação via um canal quântico, utilizando a polarização do fóton para codificar o bit, seja na base retilínea de polarização (horizontal ou vertical) ou na base diagonal (diagonal +45º ou diagonal -45º). Para medir a polarização do fóton precisamente (100% de acurácia, pelo menos teoricamente), o detector deve utilizar a mesma base, caso contrário, há apenas 50% de probabilidade de acerto.

Neste protocolo, A gera uma sequência aleatória de bits (0 ou 1) e uma sequência aleatória de bases (retilínea ou diagonal), e envia fótons para B contendo estes bits em suas respectivas bases. No entanto, B não sabe em qual base os fótons foram enviados, então gera uma sequência de bases aleatória para o detector. Após a comunicação, A e B anunciam as bases utilizadas e são mantidos apenas os bits que utilizaram a mesma base para enviar e detectar. Logo, há uma eficiência de 50%. [19]

---

Figura 3: Ilustração do protocolo BB84. Col. 1: A envia fótons codificando bits em suas respectivas bases; col. 2: B escolhe bases para o detector e detecta os bits, com 100% de acurácia onde as bases são iguais e 50% onde foram diferentes; col. 3 e 4: A e B anunciam as bases geradas; col. 5: chave formada pelos bits das posições que utilizaram a mesma base.

---

É justamente a baixa eficiência que torna o algoritmo seguro. Se A e B utilizassem sempre a mesma base, a sequência poderia ser interceptada e replicada corretamente. No entanto, como há 4 polarizações diferentes para um fóton (horizontal, vertical, diagonal +45º e diagonal -45º), é impossível medir em qual das quatro polarizações o fóton está, mas sim optar por duas polarizações ortogonais (horizontal e vertical, ou diagonal +45º e diagonal -45º) e efetuar a medida, gerando um resultado aleatório se o fóton estiver em uma das outras duas.

Um ataque possível a esse protocolo, e também à maioria dos outros protocolos de QKD, é o “ataque do homem do meio”. Se não houver autenticação na comunicação, um terceiro pode se passar por A na comunicação com B e vice-versa, formando assim duas chaves secretas de comunicação com cada um.

3.1.2  Protocolo B92

O protocolo B92 é muito semelhante ao anterior. A e B geram sequências aleatórias de bits cada um. A codifica os bits 0 e 1, respectivamente, nas polarizações vertical e diagonal +45º. B decodifica, respectivamente, em diagonal -45º e horizontal. A envia os fótons para B e B prepara o decodificador conforme a sua sequência aleatória de bits. Observe, primeiramente, que se A e B gerarem bits diferentes, as polarizações são ortogonais, de forma que há 0% de probabilidade de B detectar o bit. No entanto, se os bits forem iguais, a probabilidade de acerto é de 50%. Isso gera uma eficiência total de 25%. No final da comunicação, B anuncia as posições dos bits que ele detectou, que passarão a formar a chave. [11]

---

Figura 4: Ilustração do protocolo B92. Col. 1 e 2: Sequências aleatórias geradas por A e B; col. 3: Polarização dos fótons enviados por A; col. 4: Polarização que B prepara-se para medir; col. 5: Polarizações ortogonais ao detector têm 0% de probabilidade de detecção, enquanto as que formam 45º têm 50%; col. 6: Chave formada pelos bits das posições em que o fóton foi detectado.

---

Novamente, é isto o que garante a segurança do protocolo. Como a codificação escolhida por A não é ortogonal, é impossível medir simultaneamente se o fóton está polarizado verticalmente ou em diagonal +45º. Na física clássica, se incidimos uma luz polarizada em diagonal +45º em um polarizador vertical, há um corte de 50% da intensidade da luz; no entanto, na física quântica, o resultado é booleano (quantizado) e probabilístico: há 50% de probabilidade de o fóton ser detectado, e a medida perturba o estado do fóton.

3.2  “Cara ou Coroa” quântico

Este protocolo simula uma situação em que duas pessoas jogam cara ou coroa à distância e decidem quem ganhou sem a necessidade de um terceiro observando para evitar trapaças. Classicamente, esse problema seria insolúvel, pois sempre seria possível trapacear.

Na verdade, mesmo na criptografia quântica, esse problema também seria suscetível a trapaças, através do efeito Einstein-Podolsky-Rosen(EPR). Este fenômeno quântico ocorre em certos átomos e moléculas que quando decaem emitem dois fótons emaranhados com polarizações opostas. [13] No entanto, ainda não temos tecnologia para utilizar tal fenômeno.

O protocolo quântico desenvolvido resolve o problema da seguinte forma: Considere que duas pessoas, A e B, querem jogar cara ou cora à distância. A escolhe, aleatoriamente, uma base de polarização (retilínea ou diagonal) e uma sequência de bits, e envia para B fótons codificando esses bits na base escolhida. B, por sua vez, escolhe aleatoriamente para cada fóton recebido de A uma base para fazer a leitura, e ao final da comunicação opina qual base A escolheu. A então responde se ele acertou ou não, e, para confirmar que não houve nenhuma trapaça por sua parte, envia, por um canal clássico, a sequência de bits escolhida. B verifica se os bits lidos na base escolhida por A foram iguais aos enviados no canal clássico para garantir que a sequência de bits enviada não foi alterada [13].

É dito impossível trapacear, pois para B fazer isso ele teria que opinar qual base A usa com uma chance maior que 50%, o que é impossível. A também, para trapacear, poderia mentir ao responder a base utilizada, mas isso não daria certo, pois falharia quando B verificasse as duas sequências, além de que A não tem como saber quais bits B leu na outra base, pois são aleatórios. A poderia ainda enviar cada bit em uma base aleatória, no entanto, não teria como responder para B uma base e uma sequência de bits tal que todos os bits detectados por B no canal quântico nessa base sejam iguais aos bits enviados no canal clássico.

Para trapacear utilizando o efeito EPR, A deve gerar um par emaranhado de fótons para cada bit. A envia para B um desses fótons, e mantém o outro para si. Quando B mede o fóton em uma base e envia a opinião de qual polarização foi usada; se B acertar, A mede os fótons guardados na outra base. Pelo efeito EPR, o par do fóton medido terá a polarização oposta. Com isso, A saberia qual o valor lido por B na outra base e obteria um valor aleatório na base escolhida inicialmente, dessa forma forçando sua vitória a B.

As aplicações para esse protocolo são em certificação de cartas e e-mails, e na solução do “pôquer mental” (o problema metafórico de usar criptografia para jogar pôquer à distância sem a necessidade de um terceiro para garantir que ninguém esteja trapaceando [35]) [5]

3.3 Transferência Inconsciente

A idéia de transferência inconsciente (em inglês, Oblivious Transfer, OT) é uma troca de mensagens entre 2 pessoas que não confiam uma na outra: A, que envias as mensagens, e B, que recebe. Nesta troca, A envia duas mensagens iguais, e tem uma chance de 50% de conseguir enviar cada uma. Caso uma delas consiga ser enviada com sucesso, somente B saberá se ela foi enviada com sucesso ou não [3]. Isto foi desenvolvido para que essas duas pessoas possam resolver algum problema que eles tenham em comum, sem revelar informações desnecessárias para a resolução do mesmo e sem a necessidade de um terceiro mediador.

Há vários protocolos de transferência inconsciente na computação clássica, que utilizam criptografia assimétrica; no entanto, estes só conseguem garantir a segurança contra ataques externos ou trapaças a um dos participantes desta comunicação [17]. Já os protocolos quânticos de OT são capazes de garantir um alto grau de confiabilidade para os dois participantes da comunicação; mostramos um destes protocolos a seguir.

Neste protocolo, A codifica um bit no produto do spin de duas particulas. A envia essas duas partículas para B, e B escolhe medir sua polarização no eixo x ou no eixo y. Então ele diz a A se as medidas foram feitas com sucesso. Caso a resposta seja não, A reenvia as duas particulas e B repete o processo de medição; caso contrário, A conta qual base foi escolhida para o spin das partículas usadas para codificar o bit. [2].

Este protocolo tem um alto grau de segurança, pois caso B tente de alguma forma trapacear medindo uma partícula em um eixo e a segunda em outro eixo, a probabilidade de ele ser bem sucedido é ínfima. Também não é possível, para B, trapacear armazendo os fotons antes do ultimo passo, pois não é possível fazer isso. Pode-se considerar, também, a utilização de EPR, que é efetivo, mas não é implementável com a tecnologia atual.

3.4  Presente e Futuro

Atualmente, a criptografia quântica não é mais somente teoria. Ela já foi implementada em diversos laboratórios e em algumas redes de teste feitas por empresas. As implementações existentes seguem o modelo de ter LEDs ou lasers como fontes de luz, utilização de filtros e polarizadores de luz para garantir o fluxo de alguns poucos fótons, e detectores no receptor. Já em relação ao canal quântico, há dois modos diferentes em funcionamento: a transmissão de fótons pelo ar [16] e por fibra ótica [41].

Algumas empresas já vendem essas formas de implementação de criptografia quântica. A idQuantique [23] e a MagiQ Tecnhologies [26] já oferecem o serviço com transmissão de fótons pela fibra ótica, enquanto a QinetiQ [34] oferece com a transmissão de fótons pelo ar.

No entanto, apesar de já ser possível utilizar a criptografia quântica, a tecnologia disponível não consegue fornecer canais quânticos com comprimentos o suficiente para fazer qualquer tipo de conexão (o máximo que se atinge são algumas centenas de quilômetros). A solução encontrada seria conseguir fazer algum tipo de “retransmissor quântico”, que retransmitiria o sinal em intervalos de distâncias pré-definidos. No entanto não se conseguiu fazer isso ainda.[41]

Para fazer esse “retransmissor quântico” os cientistas estão se baseando num fenômeno chamado emaranhamento [19]. A idéia consiste em emaranhar dois fótons de dois cabos de fibra ótica diferentes para que eles possam transmitir a informação de um terceiro fóton entre os dois cabos. Já houve alguns experimentos bem sucedidos [41], então podemos esperar que futuramente essa idéia possa ser implementada comercialmente.