Está en la página 1de 142

Transmisión Segura de

Información Cuántica

II Convocatoria de Proyectos de Investigación de la Cátedra Telefónica Movistar-


ETSIT-UPM

Grupo de trabajo:

Investigador principal: Pedro Jesús Salas Peralta


Colaboradores:
Vicente Martín Ayuso
Francisco José López Hernández
Ángel Luis Sanz Sáenz

Becarios:
Jesús Martínez Mateo
Daniel Lancho Lancho

15 de diciembre 2007
Índice
1. Criptografía convencional....................................................................................... 5
1.1. Concepto............................................................................................................. 5
1.2. Primeros métodos criptográficos ..................................................................... 5
1.3. Criptografía contemporánea ............................................................................ 6
1.4. Criptografía clásica ........................................................................................... 7
1.4.1. Ataque clásico de Eva ......................................................................................................8
1.4.2. Cifrados perfectos ............................................................................................................8
1.5. Criptosistemas de clave pública ..................................................................... 10
2. Criptografía cuántica: protocolos ......................................................................... 12
2.1. Un poco de historia .......................................................................................... 13
2.2. Conceptos fundamentales ............................................................................... 15
2.2.1. Representación de la información cuántica: qubit..........................................................15
Qubits de polarización....................................................................................................16
Qubits de modos espaciales............................................................................................16
Qubits en distintos tiempos discretos .............................................................................16
2.2.2. Teorema de no-clonación ...............................................................................................17
2.2.3. Ganancia de información ⇒ perturbación......................................................................17
2.2.4. Estados enredados ..........................................................................................................18
2.3. Protocolos cuánticos ........................................................................................ 19
2.3.1. Protocolo BB84 ..............................................................................................................21
a) Caso ideal: sin ruido ni escuchas................................................................................22
b) Caso ideal (sin ruido) con escuchas ...........................................................................23
Montaje experimental típico...........................................................................................24
Seguridad del protocolo BB84 frente a una escucha opaca............................................25
2.3.2. Protocolo con dos estados: B92......................................................................................25
2.3.3. Protocolo con 4+2 estados..............................................................................................27
2.3.4. Protocolo con 6 estados..................................................................................................27
2.3.5. Protocolo de Goldenberg-Vaidman................................................................................28
2.3.6. Protocolos robustos frente a la división del número de fotones .....................................28
Estados trampa ...............................................................................................................29
SARG04 .........................................................................................................................29
Protocolo DPSK .............................................................................................................30
2.3.7. Protocolos basados en ebits............................................................................................31
Protocolo E91.................................................................................................................31
Protocolo BBM92 ..........................................................................................................33
2.4. Grupos de investigación en criptografía cuántica ........................................ 33
2.4.1. Grupos internacionales ...................................................................................................34
2.4.2. Otros grupos ...................................................................................................................35
2.4.3. Grupos Españoles...........................................................................................................36
3. Estados enredados ................................................................................................. 38
3.1. Breve introducción histórica........................................................................... 38
3.2. Estados enredados ........................................................................................... 39
3.3. Desigualdades para Teorías Realistas Locales.............................................. 40
3.3.1. Desigualdades de Bell ....................................................................................................40
3.3.2. Desigualdad de Clauser-Horne-Shimony-Holt...............................................................41
3.3.3. Otras desigualdades........................................................................................................42
3.3.4. Visibilidad ......................................................................................................................42
3.4. Tipos de estados enredados............................................................................. 42
3.4.1. Polarización....................................................................................................................42
3.4.2. Momento ........................................................................................................................43
3.4.3. Energía-tiempo ...............................................................................................................43
3.5. Experimentos para comprobar las desigualdades de Bell ........................... 43
4. Dispositivos experimentales .................................................................................. 46
4.1. Óptica cuántica ................................................................................................ 48
4.2. Fuentes de fotones............................................................................................ 50
4.2.1. Luz coherente atenuada ..................................................................................................50
4.2.2. Fuentes monofotónicas: centros de color .......................................................................50
4.2.3. Fuentes monofotónicas: puntos cuánticos ......................................................................52
4.2.4. Fuentes monofotónicas: Átomos o moléculas individuales............................................52
4.2.5. Fuentes de fotones en estados enredados .......................................................................53
Cascadas atómicas..........................................................................................................53
Conversión paramétrica espontánea a la baja.................................................................53
Tratamiento cuántico de la PDC.....................................................................................57
Estados enredados de polarización mediante PDC.........................................................58
Estados enredados de momento......................................................................................60
Estados enredados de energía-tiempo ............................................................................61
Estados enredados de energía-tiempo discreto ...............................................................61
Fuentes de fotones individuales a partir de pares enredados ..........................................63
Fuentes de fotones deterministas....................................................................................64
4.3. Canales cuánticos............................................................................................. 65
Fibras ópticas..................................................................................................................65
Transmisiones a través de la atmósfera. .........................................................................67
Empleo de repetidores cuánticos ....................................................................................67
4.4. Detección de fotones ........................................................................................ 68
4.4.1. Fotodiodos de avalancha ................................................................................................68
Detectores para λ < 1100 nm: Fotodiodos de Silicio .....................................................71
Detectores para λ > 1100nm: Fotodiodos de Germanio y InGaAs.................................71
4.4.2. Fotomultiplicadores de estado sólido y VLPC ...............................................................74
4.4.3. Detectores superconductores..........................................................................................74
Detectores superconductores de efecto túnel (STJ)........................................................75
Sensores de transición en el borde superconductor-estado normal (TES)......................75
Detectores monofotónicos superconductores (SSPD) ....................................................76
Detectores de conversión a la alta ..................................................................................77
4.4.4. Resumen.........................................................................................................................78
5. Análisis de seguridad............................................................................................. 80
5.1. Fuentes de información ................................................................................... 81
5.2. Tasa de error.................................................................................................... 82
5.3. Demostraciones generales de seguridad ........................................................ 84
5.4. Tipos de ataques .............................................................................................. 85
5.5. Ataques específicos .......................................................................................... 85
5.5.1. Interceptar y reenviar......................................................................................................86
5.5.2. División del número de fotones......................................................................................87
5.5.3. Ataques al protocolo E91 ...............................................................................................89
5.5.4. Estrategias de reducción de riesgo .................................................................................89
5.6. Información obtenida por el espía ................................................................. 90
5.6.1. Cotas de información máxima del espía.........................................................................90
Información máxima obtenida por el espía ....................................................................91

3
5.6.2. Función y frontera de defensa ........................................................................................92
Ataque con éxito.............................................................................................................93
Función de defensa a priori ............................................................................................94
Frontera de defensa ........................................................................................................95
5.7. Estrategias adicionales relacionadas con el incremento de la seguridad.... 96
5.7.1. Estimación de la tasa de error.........................................................................................96
5.7.2. Corrección de errores .....................................................................................................96
5.7.3. Amplificación de la privacidad ......................................................................................96
Eliminación de la información del espía ........................................................................97
Hash universal ................................................................................................................98
5.7.4. Autenticación de la discusión pública ............................................................................98
5.8. Tasa de transmisión......................................................................................... 99
6. Distribución experimental de claves ................................................................... 102
6.1. Uso de fuentes de baja intensidad ................................................................ 102
6.1.1. Codificación mediante polarización .............................................................................102
6.1.2. Codificación mediante fase ..........................................................................................105
6.1.3. Montajes de dirección única: “one-way”......................................................................106
6.1.4. Montajes “plug and play”.............................................................................................109
6.1.5. Uso de otras fuentes monofotónicas.............................................................................110
6.2. Criptografía basada en pares EPR .............................................................. 110
6.2.1. Codificación en estados enredados de polarización .....................................................111
6.2.2. Codificación en fase .....................................................................................................116
6.2.3. Codificación en fase-tiempo.........................................................................................119
7. Diseño de un experimento de distribución cuántica de claves .......................... 122
7.1. Objetivos......................................................................................................... 122
7.2. Elección de condiciones generales ................................................................ 122
7.3. Diseño y presupuesto económico .................................................................. 124
7.3.1. Diseño ..........................................................................................................................124
7.3.2. Fuente de bombeo (F): .................................................................................................124
7.3.3. Fuente monofotónica....................................................................................................124
7.3.4. Óptica del canal............................................................................................................125
7.3.5. Detectores (D) ..............................................................................................................126
7.3.6. Sistema de alineamiento...............................................................................................126
7.3.7. Electrónica....................................................................................................................127
7.3.8. Medición de tiempo (UT).............................................................................................127
7.3.9. Recursos informáticos ..................................................................................................127
7.3.10. Estimación del presupuesto total ..................................................................................127
7.3.11. Recursos complementarios...........................................................................................128
7.3.12. Recursos humanos........................................................................................................128
7.4. Experimentos a realizar ................................................................................ 128
7.5. Fabricantes..................................................................................................... 128
8. Perspectivas de futuro: enredo en el espacio...................................................... 130
9. Bibliografía .......................................................................................................... 134

4
1. Criptografía convencional ♣

1.1. Concepto............................................................................................................. 5
1.2. Primeros métodos criptográficos ..................................................................... 5
1.3. Criptografía contemporánea ............................................................................ 6
1.4. Criptografía clásica ........................................................................................... 7
1.4.1. Ataque clásico de Eva ......................................................................................................8
1.4.2. Cifrados perfectos ............................................................................................................8
1.5. Criptosistemas de clave pública ..................................................................... 10

1.1. Concepto
La criptografía (del griego kryptos = ocultar, y graphos = escritura) es la ciencia
de ocultar la información escrita mediante técnicas matemáticas más o menos complejas
aplicadas a un texto. Su objetivo es el de conseguir que tan solo los receptores legítimos
de un mensaje sean capaces de acceder a su contenido.

1.2. Primeros métodos criptográficos


La necesidad de la humanidad por enviar mensajes secretos, es tan vieja como la
propia escritura. En un primer momento, esta privacidad estaba razonablemente
asegurada por el hecho de que sólo un selecto grupo de personas tenían la capacidad
para comprender la palabra escrita, por lo que su protección era mucho mas sencilla. El
primer texto cifrado es una pequeña tabla cuneiforme procedente de Babilonia, datada

Scytale usado por espartanos para codificar mensajes

hacia el año 1500 aC, y describe un método secreto para preparar un barniz usado en
alfarería. Algunos tipos de cifrados son ya históricos, como el utilizado por los
espartanos alrededor del 400 aC. Usaban dos bastones (Scytale) de grosor irregular; en
el primero (que estaba en poder del emisor del mensaje) se arrollaba una cinta de
pergamino o una tira de piel, y se escribía sobre la tira a lo largo del bastón, en sentido
longitudinal, situando una letra en cada revolución. Al desenrollar la tira, sólo quedaba
una secuencia de letras ininteligible. La tira se enviaba al receptor, que poseía un
segundo bastón igual al primero, y al enrollar la tira le permitía recuperar el mensaje.
Criptografía convencional0F

Julio César usaba un cifrado de sustitución simple. Dado un mensaje, sustituía


cada letra por cualquier otra que estuviera desplazada en el alfabeto un número concreto
de posiciones. Por ejemplo para cifrar la palabra guerra, podemos sustituir la g por la
letra que le sigue en el alfabeto desplazada dos posiciones, es decir la i. Sustituimos la u
por la w, la e por g, la r por t y la a por c. Finalmente tenemos iwgttc.
Independientemente del número de desplazamientos usados en la sustitución, este
método se denomina cifrado de César.
Evidentemente, este método se puede complicar más, haciendo que la cantidad
que se desplazan las letras no sea fija. Los métodos de este tipo se encuadran dentro de
los llamados de sustitución. Dentro de este tipo podemos encontrar los que, como el
anterior, a cada letra de entrada se le asigna siempre una misma salida, o unos más
modernos, surgidos en el renacimiento, en los que para una misma entrada, la salida
varía dependiendo de la posición dentro del mensaje. Los primeros son conocidos como
métodos de sustitución monoalfabética y los últimos como métodos de sustitución
polialfabética. El método Vigenere, surgido en el siglo XVI, es el más conocido de
éstos.
Estos dos esquemas plantean ya los métodos generales de cifrado: la
transformación (en el caso del usado por los espartanos, transformando el mensaje
mediante algún tipo de reorganización de los símbolos) y el de sustitución (usado en el
cifrado de César, en el que se sustituye el texto por otras letras, números u otros
símbolos). En realidad ambos pueden usarse conjuntamente.
Tal como se plantea en el cifrado de los espartanos, los interlocutores deben
ponerse en contacto previamente a la distribución de los mensajes cifrados para
distribuirse los bastones que permitan descifrar los mensajes. Si por alguna causa, en el
proceso en el que un mensajero transporta uno de los bastones del emisor al receptor,
fuera interceptado por un espía, éste podría copiar el bastón (sin que el emisor o el
receptor se percataran de tal hecho). Si ahora interceptara uno de los mensajes, el espía
podría descifrarlo sin ser detectado.

1.3. Criptografía contemporánea


El siglo XX bien podría conocerse como el siglo de la información y la
criptografía, no sólo por la evolución tan importante que tuvo sino también por el papel
que jugó en la historia, en concreto en las dos grandes guerras. Durante este siglo, la
información, por fin, dio el gran salto para adentrarse en el terreno de las matemáticas.
En la primera mitad del siglo se puede destacar un gran hito en la evolución de
los sistemas de cifrado polialfabético: la creación de
las primeras máquinas automáticas de cifrado. En
concreto, es muy conocida la historia de Enigma, la
máquina de cifrado alemana durante la Segunda
Guerra Mundial. La ruptura de los códigos requirió
un esfuerzo enorme por parte del bando de los
aliados. Científicos de renombre, como el
matemático Alan Turing, comenzaron su vida
investigadora en este contexto.
En la actualidad, la necesidad de enviar
información entre dos interlocutores, sin que pueda
ser conocida por terceras partes, es una necesidad
indiscutible. Los bancos, agencias de información,
Enigma
ejércitos, internet, tarjetas de crédito,.. etc., hacen
uso, de una forma u otra, de métodos de encriptado,

6
Transmisión segura

hasta ahora, completamente clásicos.

1.4. Criptografía clásica a


A lo largo de la historia se han ido planteando las bases clásicas de lo que se
conoce como criptología (del griego kryptos = ocultar y logos = palabra). La criptología
comprende la criptografía o arte de cifrar mensajes (codificar con intención de ocultar la
información) y el criptoanálisis, o arte de romper esos cifrados. Entre ambas tareas
siempre ha existido una gran competencia, unos por crear cifrados que fueran seguros, y
los otros por romper esos cifrados, demostrando su vulnerabilidad.
En criptología un emisor (denominado habitualmente Alicia) desea enviar un
mensaje a un receptor (llamado genéricamente Bob) ocultando su contenido a todos
aquellos potenciales receptores o espías no autorizados (llamados genéricamente Eva).
Para conseguirlo, Alicia introduce algún tipo de información adicional en el mensaje, la
clave, que permite transformar (cifrar o encriptar) el mensaje en un mensaje cifrado o
criptograma, que enviará a Bob. El receptor, mediante la clave (que comparte con
Alicia) descifrará el criptograma para obtener, de nuevo, el mensaje original. Se asume
la hipótesis de Kerckhoff, según la cual el secreto está completamente contenido en la
clave y no en el método de encriptado: “un criptosistema debe ser seguro incluso si todo
lo relacionado con el funcionamiento del sistema, excepto la clave, es de conocimiento
público". Es decir, que un algoritmo no debe basar su seguridad en que no se conozca
por completo su funcionamiento, sino que la seguridad debe residir estrictamente en un
secreto compartido en forma de clave entre emisor y receptor.
La explicación de este principio es sencilla: es difícil mantener secreto un
sistema criptográfico usado extensamente. Además, en caso de ser descubierto no se
puede cambiar, tal y como se haría con una clave. Por ello, mantener secreta la clave es
el punto fundamental en la seguridad del método de encriptado.

Clave, K Clave, K
Línea de
comunicación
Mensaje Criptograma Criptograma Mensaje
M M

Cifrado Descifrado
Emisor Receptor
Alicia Roberto

Criptosistema (o cifrado) = {M, K, C}

Sistema convencional de transmisión de claves

A la terna {M,K,C} formada por un conjunto de mensajes posibles (M), una (o


varias) clave(s) (K) y el conjunto cripotogramas (C), se denomina criptosistema o
cifrado. El mensaje (M) junto con la clave (K1), se introduce en el método o algoritmo
de cifrado (E), obteniéndose el criptograma (C):

a
El adjetivo “clasico” se refiere al empleo de la física clásica para representar la información.

7
Criptografía convencional0F

E(M, K1) = C

Por otra parte, el receptor, usando la clave (K2), puede descifrar el mensaje con el
proceso inverso al cifrado:

E-1(C, K2) = M

Desde el punto de vista de la clave, los criptosistemas se pueden clasificar en


simétricos, si Alicia y Bob usan la misma clave (K1 = K2), y asimétricos si usan una
clave distinta (K1 ≠ K2, en este caso ambas claves están directamente relacionadas). Sin
la clave, el descifrado es prácticamente imposible, en un tiempo razonable. Se considera
que Eva puede tener acceso al criptograma e incluso al método de cifrado pero no
dispone de la clave, lo que no le permite (en principio) descifrar el criptograma. Una
posible estrategia de ataque de Eva, es probar con todas las claves posibles hasta
encontrar una que descifre el mensaje. Sin embargo, este método de búsqueda
exhaustiva, es muy poco eficiente.
En el caso del cifrado de César (o cifrado de sustitución), si se parte de un
alfabeto convenido, por ejemplo (en español) con 27 letras (u otros símbolos), la clave
consiste en saber el número de posiciones que tenemos que desplazar cada letra en la
codificación. En este caso, para descifrar el código, Eva debería probar con 26 posibles
claves, con lo que el descifrado es muy simple. En general, en los cifrados de
sustitución, la clave consiste en una cierta permutación π de las 27 letras. En este caso,
el número de claves es mucho mayor, 27!-1 ∼ 1028. Este tipo de cifrados
monoalfabéticos son fáciles de romper usando un análisis de frecuencias de las letras (o
grupos de ellas, diagramas, triagramas, etc.) del idioma elegido en la transmisión. Se
puede mejorar la situación usando cifrados polialfabéticos, en los que el cifrado de una
determinada letra cambia a lo largo del criptograma o también si en lugar de sustituir
letras aisladas, se sustituyen grupos de ellas, por ejemplo dos. Ahora el número de
posibles claves será (272)! ∼ 101800, lo que hace que una simple búsqueda exhaustiva no
permita obtener la clave.

1.4.1. Ataque clásico de Eva


En el ataque clásico de Eva se pueden hacer algunas suposiciones lógicas.
Consiste en la “escucha” de los mensajes que intercambian Alicia y Bob pero no le
permitimos modificarlos. Este un método pasivo de intercepción (y reenvío) mediante el
que Eva adquiere conocimiento del criptograma. Para descifrar el criptograma, en el
peor de los casos, a Eva se le permite disponer de todo tipo de recursos técnicos al
alcance de la tecnología del momento. Por otra parte, si admitimos la existencia de
algún método de autenticación entre Alicia y Bob, a Eva no le está permitido suplantar a
ninguno de los dos, lo que evita la ruptura completa del código.

1.4.2. Cifrados perfectos


Los cifrados del tipo de César, que usan una sustitución simple no son muy
seguros, ya que se pueden romper usando las propiedades estadísticas del lenguaje.
Conociendo las frecuencias estadísticas con las que aparecen los distintos símbolos en
una lengua, es posible descifrar una cierta cantidad de ellos y el resto se pueden inducir.
Para conseguir cifrados seguros en necesario hacer algo más. Esto es lo que
consiguieron Gilbert S. Vernam (de la compañía American Telephone and Telegraph) y
el comandante Joseph O. Mauborgne (del Cuerpo de Señaleros del Ejército

8
Transmisión segura

estadounidense) en 1917, planteando el primer cifrado invulnerable, hoy conocido como


cifrado de Vernam.
El cifrado de Vernam (también llamado “one-time-pad” o cuaderno de un solo
uso, ya que las claves eran colecciones de números aleatorios escritos en un cuaderno,
que después de usarlos una vez se destruían)
consiste en convertir las letras del mensaje
en algún conjunto de números, y después
sumarle (con aritmética modular) una clave
secreta y aleatoria de igual longitud que el
mensaje, obteniéndose el criptograma final.
Para descifrar el mensaje, el receptor, que
conoce la clave, realizaría el proceso inverso
(sustracción en aritmética modular)
fácilmente. En la actualidad este tipo de
Gilbert S. Vernam J. O. Mauborgne criptosistema usa la aritmética binaria.
Primero transforma el mensaje a una
representación binaria, que se suma módulo 2 (análogo a una operación XOR entre
mensaje y clave) a una clave (también binaria y aleatoria) de igual longitud (por lo
menos) que el mensaje, para generar el criptograma. Puesto que la clave es aleatoria,
también lo es el criptograma, y de esta forma se borran las huellas de las frecuencias
relativas de los distintos símbolos de un lenguaje. El receptor suma la clave módulo 2 al
criptograma y recupera el texto en representación binaria.

Cifrado: C = (M ⊕ K) mod 2

Descifrado: M = (C ⊕ K) mod 2

Si el alfabeto contiene dos símbolos 0 y 1, para descifrar un mensaje de L


símbolos, necesitaríamos probar con 2L claves distintas. Si L=100, 2100 ≈ 1030, lo que
hace que el cifrado sea completamente seguro frente a una búsqueda exhaustiva,
además, la posibilidad de descifrados espurios, impedirá a Eva distinguir el mensaje
correcto de entre todos los posibles.
A pesar de que este cifrado se propuso hacia 1917, no fue hasta 1949 cuando
Claude Shannon (Bell Laboratories en New Jersey) demostró que existen cifrados 1
como el de Vernam que son invulnerables, llamados cifrados de secreto perfecto. De
forma más precisa, un cifrado es de secreto perfecto si al detectar Eva un criptograma,
no puede obtener ninguna información acerca del mensaje. Para ello el criptograma
debe ser estadísticamente independiente del mensaje.
El cifrado de Vernam es invulnerable en el sentido de que es de secreto perfecto,
si la clave es aleatoria, tan larga como el mensaje y nunca se vuelve a usar. Esta era una
codificación costosa y no fue muy usada. Si estas condiciones no se cumplen, el cifrado
es vulnerable. Supongamos que disponemos de dos criptogramas C1 y C2 cifrados con la
misma clave K, si los sumamos mod 2 (y dada su conmutatividad):

C1 ⊕ C2 = (M1 ⊕ K) ⊕ (M2 ⊕ K) = (M1 ⊕ M2) ⊕ (K ⊕ K) = M1 ⊕ M2

Lo que equivale a cifrar uno de los mensajes usando como clave el otro, desapareciendo
la influencia de la clave secreta, lo que hace su descifrado mucho más simple.
Los cifrados del tipo “one-time-pad” (Vernam) presentan varios problemas.

9
Criptografía convencional0F

1) En primer lugar es difícil generar una secuencia de verdaderos números aleatorios,


en general son pseudoaleatorios, lo que no garantiza la seguridad perfecta. La
secuencia aleatoria debe estar basada en el comportamiento de algún fenómeno
físico, cuyo comportamiento sea tal.

2) En segundo lugar, ambos interlocutores deben intercambiar previamente a la


comunicación segura, una clave secreta, sólo así el cifrado se puede considerar como
de secreto perfecto. Si el espía intercepta la clave sin que se percaten ni el emisor ni
el receptor, podrá descifrar los mensajes sin ser descubierto. Pero si disponemos de
un canal completamente secreto como para enviar la clave, ¿para qué necesitamos un
cifrado?, y si no disponemos de tal canal, no será posible enviar la clave secreta con
seguridad. Este es el problema de la distribución de la clave.

Este cifrado fue ampliamente usado durante los años de la guerra fría, sobre todo
por el espionaje soviético. Lo utilizó el Che Guevara para comunicarse con Fidel
Castro, así como en las comunicaciones entre la Casa Blanca y el Kremlin.
En la práctica, es posible usar claves menos costosas que el cifrado de Vernam,
pero menos seguras. Si se cambia la clave frecuentemente, se minimiza la probabilidad
de que los mensajes sean descifrados por un espía, el descifrado se produce cuando la
información cifrada ha perdido su valor, por ser ya pública. A este grupo de cifrados no
perfectos pertenece el DES (Data Encryption Standard, publicada por el US National
Bureau of Standards en 1975) que usa una clave con 56 bits, existiendo 256 ∼ 7 1016
claves distintas.
Una posible solución al problema de distribución de la clave, es usar carteros
completamente fiables, o bien una solución matemática clásica, llamada criptosistemas
de clave pública. En ambos casos, los métodos presentan problemas. Un correo siempre
puede ser capturado, mientras que la seguridad de los criptosistemas de clave pública
está basada en cierto tipo de conjeturas matemáticas, (a veces) no demostradas.
Existe una solución física, a este problema que surgió a través de la criptografía
cuántica, o más exactamente la distribución cuántica de claves que será tratada más
adelante. La criptografía cuántica aporta la gran ventaja respecto a la clásica:
proporciona cotas de la cantidad de información que adquiere el espía (aunque no
impide su presencia) acerca de la clave, así como mecanismos que permiten identificar
su presencia. Ningún criptosistema clásico tiene tal capacidad. En realidad, más que de
criptografía cuántica debería hablarse de distribución cuántica de la clave.

1.5. Criptosistemas de clave pública


En los cifrados anteriores, se usa una función para cifrar el mensaje que consiste
en sumar una secuencia aleatoria de números, que oculta la información a los escuchas
no autorizados. Romper el código, implica invertir la anterior función y es muy difícil
salvo si se conoce la clave. Podemos generalizar la existencia de tales tipos de funciones
que son fáciles de calcular en un sentido pero muy difíciles de invertir, sin el uso de la
clave, son las funciones trampa. En criptografía, necesitamos funciones trampa que
permitan al emisor cifrar un mensaje de forma eficiente (es decir rápida) y al receptor
descifrarlo (aplicando la función inversa por medio de la clave) también rápidamente,
pero que sea difícil de invertir (o sea que implique enormes recursos de memoria o
tiempo de cálculo), para un escucha no autorizado (sin la clave). Como funciones
trampa se podrían usar funciones cuyo cálculo sea un problema de complejidad P o
polinómica, mientras que sus inversas sean problemas de complejidad NP o no
polinómica. Romper el cifrado sería equivalente a encontrar un algoritmo eficiente para

10
Transmisión segura

resolver un problema NP. Entre estas funciones destacan la factorización de enteros, el


cálculo de logaritmos discretos en cuerpos finitos y sobre curvas elípticas.
Hacia 1976, Whitfield Diffie, Martin E. Hellman y Ralph C. Merkle de la
Universidad de Stanford, planteron una respuesta al problema de la distribución de la
clave; descubrieron el principio de criptosistema de clave pública (CSCP). En este
método, los algoritmos de cifrado y descifrado son públicos, y permiten el envío de
mensajes secretos sin que las partes convengan previamente ninguna clave secreta. Los
CSCP consisten en el uso de una función trampa pública, juntamente con dos claves,
una pública y otra privada (sólo conocida por el receptor) b. Supongamos que el emisor
(Alicia) quiere enviar un mensaje al receptor (Bob). Bob crea dos claves: una pública
(conocida por cualquiera) y otra privada (sólo conocida por Bob). Alicia cifra el
mensaje usando la clave pública, y lo envía a Bob, que, usando su clave privada, es el
único que puede descifrar el mensaje. El truco está en la relación que existe entre la
clave pública y la privada. Sin la clave privada, el mensaje en muy difícil de descifrar
para un espía no autorizado (Eva). En cierto sentido estos criptosistemas son como un
buzón en el que cualquiera puede introducir una carta, pero sólo su destinatario puede
leerla a través de la clave privada.
En 1978 Ronald L. Rivest, Adi Shamir y Leonard M. Adleman del MIT,
plantearon un procedimiento para poner en práctica este CSCP c: el esquema RSA 2
(Rivest-Shamir-Adleman). Este método es un caso concreto de CSCP que consiste en el
uso de una función trampa pública, concretamente la factorización de enteros. Se
pueden disponer de otros criptosistemas, sin más que elegir adecuadamente los pares de
claves.
El punto débil de este
criptosistema reside en que su seguridad
radica en que no se conoce (por el
momento) ningún algoritmo que
factorice enteros de forma eficiente, lo
que no implica que no exista. Más
generalmente, las funciones trampa
completamente seguras no existen, ya
que las que lo son actualmente, puede
que dejen de serlo en el futuro, de lo que R. L. Rivest, A. Shamir y L. M. Adleman
se deduce la inseguridad de los CSCP.

b
Este método que usa dos claves distintas para cifrar y descifrar es un ejemplo de criptosistema
asimétrico.
c
En realidad este tipo de encriptar información se conocía algo antes en el entorno de los servicios
secretos británicos.

11
2. Criptografía cuántica: protocolos

2.1. Un poco de historia .......................................................................................... 13


2.2. Conceptos fundamentales ............................................................................... 15
2.2.1. Representación de la información cuántica: qubit..........................................................15
Qubits de polarización....................................................................................................16
Qubits de modos espaciales............................................................................................16
Qubits en distintos tiempos discretos .............................................................................16
2.2.2. Teorema de no-clonación ...............................................................................................17
2.2.3. Ganancia de información ⇒ perturbación......................................................................17
2.2.4. Estados enredados ..........................................................................................................18
2.3. Protocolos cuánticos ........................................................................................ 19
2.3.1. Protocolo BB84 ..............................................................................................................21
a) Caso ideal: sin ruido ni escuchas................................................................................22
b) Caso ideal (sin ruido) con escuchas ...........................................................................23
Montaje experimental típico...........................................................................................24
Seguridad del protocolo BB84 frente a una escucha opaca............................................25
2.3.2. Protocolo con dos estados: B92......................................................................................25
2.3.3. Protocolo con 4+2 estados..............................................................................................27
2.3.4. Protocolo con 6 estados..................................................................................................27
2.3.5. Protocolo de Goldenberg-Vaidman................................................................................28
2.3.6. Protocolos robustos frente a la división del número de fotones .....................................28
Estados trampa ...............................................................................................................29
SARG04 .........................................................................................................................29
Protocolo DPSK .............................................................................................................30
2.3.7. Protocolos basados en ebits............................................................................................31
Protocolo E91.................................................................................................................31
Protocolo BBM92 ..........................................................................................................33
2.4. Grupos de investigación en criptografía cuántica ........................................ 33
2.4.1. Grupos internacionales ...................................................................................................34
2.4.2. Otros grupos ...................................................................................................................35
2.4.3. Grupos Españoles...........................................................................................................36

Como se comentó en el capítulo anterior, el cifrado Vernam es de secreto


perfecto para cifrar una comunicación entre dos interlocutores. Su uso presenta ciertos
problemas relativos a la gestión de las claves, que deben ser aleatorias y del mismo
tamaño que el mensaje a transmitir. Por otra parte, las bajas tasas de bits por segundo de
clave que se consiguen actualmente, limitan demasiado el ancho de banda. Aún así,
estos bits pueden utilizarse como clave en algoritmos simétricos robustos y
suficientemente probados (AES, DES...). Como consecuencia este protocolo es poco
práctico, ya que emisor y receptor deben generar una secuencia de bits aleatoria y luego
transportarla de manera segura hasta cada interlocutor y continuar con un alto nivel de
seguridad hasta el momento de su uso.
Criptografía cuántica: protocolos

Por otra parte los protocolos de encriptado del tipo


RSA están basados en aspectos matemáticos no
demostrados; por ejemplo en la ausencia de algoritmos de
factorización dentro de la clase de complejidad P. Su
existencia es un problema abierto de las matemáticas.
Pero, aunque no se encontrasen, Peter Shor 3 ya ha
propuesto tal algoritmo dentro del paradigma de la
computación cuántica 4. Por tanto, podemos afirmar que la
criptografía de clave pública tiene los días contados hasta
el momento en el que alguien construya un ordenador
cuántico y pueda descifrar todos los mensajes encriptados
de esta manera.
Peter Shor
En este contexto es donde la criptografía cuántica
puede jugar un papel importante, permitiendo sustituir al
algoritmo de distribución de claves para construir un sistema criptográfico
demostrablemente seguro en su totalidad. La criptografía cuántica nos proporciona, por
tanto, una manera de obtener claves privadas para ambos interlocutores, apoyándose tan
solo en los principios de la Mecánica Cuántica (MC), una teoría bien demostrada y
probada. Esto nos permite acotar los niveles de seguridad de las claves que estamos
utilizando, cosa que no ocurría hasta este momento.

2.1. Un poco de historia


La teoría clásica de la información y computación, habitualmente no hace
referencia a la física del dispositivo, y como resultado se supone que los fundamentos
de tal teoría son independientes de la realización física de los mismos. Aunque a
principios de los 60 Landauer 5 ya indicó la naturaleza física de la información, hubieron
de pasar 20 años antes de que Feynman 6, Deutsch 7 y otros pusieran de manifiesto esta
conexión entre las leyes de la física y la información. A partir de aquí se produjo una de
tantas uniones entre ideas distintas que han aparecido en la física: información y teoría
cuántica. De esta unión nació la Teoría Cuántica de la Información, a la que pertenece la
Criptografía Cuántica.
El origen de la criptografía cuántica puede establecerse hacia a finales de los
años sesenta y comienzos de los setenta. Es entonces cuando un estudiante de grado de
la universidad de Columbia , Stephen Wiesner, intenta publicar una idea a la que llamó
dinero cuántico. Su idea era revolucionaria y nunca fue tomada en serio por la
comunidad científica. Permaneció en el anonimato durante algo más de una década,
hasta que finalmente fue publicada 8 en el año 1983, 13 años después de su concepción.
Antes había conseguido captar el interés de un amigo y antiguo estudiante de su misma
universidad, Charles H. Bennett, quién la adaptaría para desarrollar el primer protocolo
de distribución cuántica de claves.
La idea de Wiesner describe un mecanismo para crear dinero imposible de
falsificar. Incorporando un total de 20 trampas de luz en los billetes de un dólar, y
codificando en cada una de ellas uno de dos posibles valores con un fotón polarizado.
Wiesner pretendía obtener una huella de identificación para cada billete. La seguridad
de dicha huella residía en el hecho de que el fotón contenido en cada trampa de luz está
polarizado con respecto a una base, y sólo con el conocimiento de esa base se puede
recuperar su estado de polarización sin ninguna posibilidad de error. De lo contrario, es
decir, de no conocer la base utilizada, el resultado obtenido de un proceso de lectura es
completamente aleatorio, produciendo con igual probabilidad un resultado correcto
como incorrecto. De esta forma, sólo la entidad que codificara cada billete podría saber

13
Transmisión segura

cual es el número correcto. El punto fundamental de la idea radicaba en disponer de


estados cuánticos no-ortogonales.
Un año después de la publicación de Wiesner, en 1984, Charles H. Bennett (del
centro de investigación Thomas J. Watson de IBM) y Gilles Brassard (de la Universidad
de Montreal, en Canadá), definen el que será el primer protocolo de distribución
cuántica de claves BB84, basado en los principios de la mecánica cuántica. Dicho
protocolo constituye el primer diseño
práctico de un protocolo criptográfico
cuántico de distribución de claves (en lo
sucesivo referido por sus iniciales
inglesas: QKD, Quantum Key
Distribution), y por esta razón, suele
arrebatar el puesto que debería ocupar en
la historia la idea de S. Wiesner. Aunque
estos dos científicos pasarán a la historia
por la descripción del primer protocolo
cuántico, al que aportan su nombre,
muchas veces es ignorada la importancia
Gilles Brassard Charles H. Bennett
del enorme esfuerzo que dedicaron en
sus trabajos posteriores a completar el
desarrollo de un sistema que implemente este protocolo.
En este trabajo se establecen los dos primeros niveles de un sistema de QKD: el
intercambio de clave en bruto y la reconciliación de bases, que en un sistema ideal,
libre de errores, son suficientes para realizar el intercambio de una clave. En la práctica,
su realización experimental se ve afectada por imprecisiones, ruido, una actuación
malintencionada, etc. Por ello, continúan con la definición formal de los siguientes
niveles de desarrollo: la corrección de errores 9 y la amplificación de la privacidad 10;
completando así los cuatro primeros niveles de la arquitectura que se utiliza actualmente
en los sistemas de QKD.
Es habitual ligar la criptografía cuántica a los ordenadores cuánticos. Esto es así
debido al enorme impacto que tuvo el descubrimiento del algoritmo de Shor3, que
cambia a P la clase de complejidad de la factorización de números enteros, eliminando
de un golpe la seguridad teórica de métodos criptográficos convencionales como el
RSA. Una cronología de los hechos más importantes, tanto en criptografía como en
computación cuántica, se muestra a continuación:

1970 S. Wiesner propone el “dinero cuántico”. Este concepto no es publicado


hasta 1983, pero en algún instante desconocido de ese lapso de tiempo, Wiesner
comparte su idea con Bennett, que adaptará la misma en la elaboración del
primer protocolo de QKD.
1982 R. Feynman demuestra que una máquina de Turing cuántica puede realizar
tareas no clásicas.
1983 S. Wiesner consigue publicar su idea de “dinero cuántico”.
1984 C. H. Bennett y G. Brassard proponen el primer protocolo para la QKD,
que se conocerá con el nombre de BB84.
1988 Bennett y Brassard utilizan la amplificación de la privacidad en los
sistemas de criptografía cuántica, con el objetivo de reducir la información de la
clave intercambiada que puede poseer un hipotético espía.
1989 Bennett y J. Smolin construyen, en los laboratorios del centro de
investigación T.J. Watson de IBM, el primer prototipo que implementa un

14
Criptografía cuántica: protocolos

protocolo de QKD. Esta prueba de concepto dispara un interés generalizado


sobre QKD.
1991 A. Ekert propone un nuevo protocolo (E91) para la distribución de claves,
basado en pares de partículas entrelazadas (pares EPR).
1992 Aparece la primera descripción del algoritmo de Shor. Sus implicaciones
constituyen un riesgo importante para los sistemas de cifrado asimétricos,
basados en la criptografía de clave pública convencional.
1994 Brassard y Salvail completan un nuevo mecanismo para la corrección de
errores, y proponen una realización práctica: Cascade 11.
1998 Se construye el primer ordenador cuántico de 2 qubits en la universidad de
California.

Como vemos en el cronograma mostrado, Bennett y Brassard completan la


arquitectura básica de un sistema de QKD prácticamente antes de que Shor defina el
algoritmo que recibe su nombre. Luego debemos ver QKD como un mecanismo de
distribución de claves sencillo, que surge a partir de una idea brillante, que resulta
físicamente factible y posee una enorme seguridad intrínseca. Sólo posteriormente se
presenta como alternativa frente a los riesgos potenciales que introduce la computación
cuántica.

2.2. Conceptos fundamentales


Antes de meternos de lleno en la descripción de los protocolos de QKD,
debemos repasar algunos de los fundamentos de la Mecánica Cuántica que constituyen
la base para el desarrollo de estos sistemas. Es el momento de abandonar la intuición y
aceptar unas nuevas reglas de juego.

2.2.1. Representación de la información cuántica: qubit


La información clásica se representa mediante secuencias de bits. Un bit es la
unidad básica de información consistente en la información de cualquier sistema que
tenga dos posiciones mutuamente excluyentes, por ejemplo 0 y 1. La característica de
ser valores excluyentes significa que los posibles valores son 0 ó 1.
Sin embargo, si la información es cuántica, y los bits clásicos {0, 1} se
representan a través de, por ejemplo, dos estados de un sistema microscópico {|0> y
|1>}, además también son posibles estados del sistema que sean una combinación lineal
de estos 0s y 1s. En este caso tendremos una superposición coherente de dos estados.
Ello implicaría que, por ejemplo, un átomo descrito por este estado, estaría en “ambos
estados a la vez”. Este estado no sería ni un 0 ni un 1 clásicos. La existencia de estos
estados nos indica que tenemos que poder procesar estos estados: generarlos y trabajar
con ellos. De forma general, un sistema cuántico con dos estados, lo llamaremos bit
cuántico o simplemente qubit 12, y estará representado por el estado general:

q =a0 +b1

donde ⎢0> y ⎢1> son los dos estados base del espacio de Hilbert (H(2)) de dimensión 2
en los que puede estar el sistema y los coeficientes a y b son, en general, números
complejos, y si el qubit está normalizado se cumplirá |a|2+|b|2= 1. Notemos que, debido
a que no existen restricciones acerca de los posibles valores de estos coeficientes (salvo
quizás la condición de normalización del vector de estado), un solo qubit contiene, en
realidad “infinita información”. Esto no representa un problema conceptual, pues para
extraerla, necesitaríamos medir sobre el estado, lo cual implicaría su colapso (Postulado

15
Transmisión segura

de Proyección) en uno de los dos bits clásicos ⏐0> o ⏐1>, y no sería posible extraer esa
infinita información del qubit. De esta medida sólo podríamos extraer un bit clásico de
información.
Los coeficientes del qubit tienen el significado habitual, su cuadrado nos da la
probabilidad de que al medir sobre el sistema, obtengamos el autovalor correspondiente
al autoestado. Su evolución temporal no es clásica y está gobernada por el hamiltoniano
del sistema a través de la ecuación de Schrödinger dependiente del tiempo.
Para la realización de un qubit puede utilizarse cualquier propiedad cuántica que
tenga dos estados. Las partículas más utilizadas son los fotones. De ahí las distintas
representaciones “prácticas”. A continuación indicamos algunas.

Qubits de polarización
Involucran la combinación lineal de dos estados ortogonales de polarización,
tanto lineal como circular. Los estados se pueden obtener mediante dispositivos ópticos
habituales como polarizadores, láminas de onda de distintos tipos, etc.

Qubits de modos espaciales


Implican la superposición de distintos estados espaciales como los que aparecen
en un interferómetro de brazos desiguales. El estado concreto se puede controlar
mediante un acoplador variable (A) y un modulador de fase .φ

Un fotón hν entrando en una rama de un interferómetro, produce


una superposición de estados espaciales
Estos qubits no son muy robustos ya que la fase relativa entre los estados de la
base, se pierde fácilmente debido a las interacciones con los diferentes entornos de los
modos.

Qubits en distintos tiempos discretos


Una realización más robusta de los qubits, son obtenidos como superposición de
amplitudes en dos tiempos distintos. Proporciona una representación más robusta ya que
el entorno afecta a ambos estados por igual. Se pueden obtener mediante un
interferómetro del tipo mostrado en la figura.

El fotón hν sigue “ambos” caminos del interferómetro. Si


la longitud de coherencia es menor que la diferencia de
caminos, a la salida obtenemos un estado como
superposición de dos amplitudes a distintos tiempos.

16
Criptografía cuántica: protocolos

2.2.2. Teorema de no-clonación


Clásicamente no existe impedimento para copiar la información. Es bien
conocido el proceso al enviar un fax, mediante el cual, el emisor retiene una copia al
tiempo que envía la copia de la información al receptor. La situación es completamente
distinta en el caso de la información cuántica, que está representada por cualquier
secuencia o registro de estados cuánticos.
Teniendo en cuenta la linealidad de la Mecánica Cuántica, existe un teorema que
impide el copiado de la información: el teorema de no-clonación de estados cuánticos
desconocidos. Su demostración se debe a Wootters y Zurek 13 en 1982.
Una demostración por reducción al absurdo es la siguiente. Supongamos que
existe una máquina que puede copiar la información cuántica desconocida representada
por un estado |q> = a|0> + b|1> (qubit). La evolución conjunta del sistema compuesto
por el estado inicial a copiar (|q>) y el registro (estado) al que hay que copiarlo
(|banco>), está representada por un operador de evolución unitario y lineal U. Si |q> ∈
H(2), cuya base ortonormal es {|0>, |1>}, U debe ser independiente del estado a copiar,
luego debe cumplirse:

U { 0 blanco } = 0 0
U { 1 blanco } = 1 1

Si aplicamos U al estado inicial |q>, debido a la linealidad de la MC, se cumple:

U { q blanco } = aU ( 0 blanco ) + bU ( 1 blanco ) =


= a0 0 +b1 1

Pero este resultado es distinto del que debería obtenerse:

U { q blanco } = q q

si U describiera la evolución de una máquina de clonar estados. Concluimos que U no


existe y un estado desconocido |q>, no puede copiarse o clonarse.

2.2.3. Ganancia de información ⇒ perturbación


Supongamos que disponemos de dos estados distintos |0> y |q>, y que tenemos
un sistema que está en uno de esos dos estados pero no sabemos en cuál de ellos. La
pregunta es, si sólo podemos realizar una medida, ¿qué medida podemos realizar sobre
el sistema para averiguar su estado cuántico? Quizás podríamos usar un filtro que dejara
pasar sólo estados |0> (P0 =|0><0|), y si la medida diera un resultado positivo sabríamos
que el estado era el |0> ¿Realmente podríamos asegurar que el estado inicial del sistema
era el |0>? La respuesta es no, ya que el estado inicial podría ser |q> = a|0> + b|1> y
haberse producido un colapso sobre el estado |0>. Pero lo más desconcertante de la
respuesta del experimento, es que no sólo podemos obtener un estado distinto al inicial,
sino que no podríamos percatarnos del error cometido. Por tanto, dado un solo sistema
cuántico, no existe ninguna medida o secuencia de medidas que me permita averiguar el
estado del sistema, excepto si los dos estados involucrados en la medida son
ortogonales.

17
Transmisión segura

Cualquier intento de distinguir entre dos estados no-ortogonales implica una


ganancia de información a expensas de introducir una perturbación en el estado. La
demostración es similar a la del caso anterior. Supongamos que disponemos de una
partícula en uno de los estados no ortogonales |φ> o |ψ>, y deseamos averiguar de qué
estado se trata. Para ello disponemos de un sistema auxiliar cuyo estado inicial es |u>, y
buscamos un operador evolución U para el sistema completo tal que cumpla:

U{ φ u }= φ v
U { ψ u } = ψ v'

La transformación U deja al sistema invariante, mientras que la información acerca del


estado es transferida al estado del sistema auxiliar cuyos estados finales son |v> y |v’>.
Ya que U conserva el producto escalar, tomando el producto escalar entre los primeros
y segundos miembros de la evolución anterior, obtenemos:

v v' = 1

asumiendo que <u|u> = 1 y <φ|ψ> ≠ 0 (ya que no son ortogonales). La conclusión es


que |v> = |v’>. En otras palabras, cualquier proceso que no produzca una perturbación
sobre dos estados no-ortogonales, no proporciona ninguna información cuando trata de
distinguirlos. La ganancia de información se produce a expensas de una perturbación.
Este comportamiento también puede relacionarse con la no conmutatividad de
los operadores de polarización según direcciones no ortogonales. La complementa-
riedad de tales operadores implica que no compartan una base de autofunciones común
y la existencia de in principio de incertidumbre.

2.2.4. Estados enredados d


Otra característica de los sistemas cuánticos es el enredo. El enredo es una
propiedad de ciertos estados de partículas cuánticas de no ser separables, es decir, que
no se pueden factorizar en vectores de estado, uno para cada una de las partículas. Estos
estados fueron utilizados por A. Einstein, B. Podolsky y N. Rosen (por lo que también
se denominan genéricamente estados EPR), en un famoso artículo de 1935 en un intento
de demostrar la incompletitud de la MC y, en actualidad, son “el” ingrediente
fundamental de la Teoría Cuántica de la Información.
El espacio de Hilbert de los vectores de estado de un qubit H(2) es dimensión dos
y su base se puede representar como {|0>,|1>}. En el caso de dos qubits, su espacio de
estados es el producto tensorial H(2)⊗H(2), su dimensión cuatro y su base es {|0>,
|1>}⊗{|0>, |1>} e. Los estados de la base se expresan como un producto (tensorial) de
dos estados que afectan sólo a una partícula, siendo separables. Sin embargo H(2)⊗H(2)
es un espacio de estados y son posibles superposiciones, por ejemplo del tipo:

ψ ( 1,2 ) =
1
(0 0 +11 )
2

d
Por el momento no existe un acuerdo completo a la hora de cómo traducir el concepto de “entangled
state”. En la literatura castellana se emplean diversas traducciones como estado enredado, entrelazado o
incluso enmarañado. Nosotros hemos usado “enredado” por simple convenio.
e
En general no usaremos explícitamente el símbolo ⊗ de producto tensorial, con el objeto de simplificar
la notación y supondremos que, por ejemplo, |0>⊗|1> ≡ |0>|1>.

18
Criptografía cuántica: protocolos

Este es un ejemplo típico de estado enredado que no se puede factorizar (o separar).


Pares de partículas descritas por estos estados enredados, presentan correlaciones que no
están de acuerdo con ninguna teoría clásica. Las partículas en estos estados tienen
ciertas propiedades indefinidas; únicamente se hacen patentes después del proceso de
medida. Si medimos sobre estas partículas (desaparece el enredo entre las partículas),
podemos colapsar el estado en el |0>|0> o en el |1>|1> con una probabilidad de 0.5 en
cada caso. Esto implica que si el estado de una partícula es |0>, el de la otra es también
|0> y si es |1> el de la otra es también |1>. Esta correlación (positiva) no parece implicar
ningún tipo de intercambio energético o de algún otro tipo ni parece que dependa de la
distancia, propiedades extrañas desde el punto de vista de la física clásica.
Dada la importancia de los estados enredos en el envío de información cuántica
y en el proceso de distribución de claves por métodos cuánticos, serán estudiados en un
capítulo independiente.

2.3. Protocolos cuánticos


Podemos imaginar la forma en que clásicamente se distribuiría la clave de un
código criptográfico. Si Alicia y Bob quieren comunicarse, primero deben enviarse una
clave formada por una secuencia aleatoria de 0s y 1s. Alicia crea la secuencia de
longitud mayor que la necesaria para la clave misma, y se la envía a Bob usando algún
tipo de señal clásica (pulsos luminosos, tics de telégrafo…). Mientras, Bob hace lo
propio y crea una secuencia de 0s y 1s aleatoria. Luego compara ambas secuencias y
Bob le dice a Alicia (a través de un canal público) cuales son las posiciones en las que
concuerdan ambas secuencias, pero ¡sin indicar si la coincidencia es un 0 o un 1! El
proceso destila una secuencia de 0s y 1s coincidente entre ambos, que constituirá la
clave. El problema del método es que si un enemigo (Eva) intercepta la secuencia que
Alicia envía a Bob, realiza una medición y se la envía de nuevo a Bob, éste último no se
percatará de que la secuencia ha sido interceptada. El hecho de que Bob le comunique
públicamente a Alicia las posiciones de coincidencia de la clave, le permitirá a Eva
conocer la clave compartida y descifrar cualquier mensaje cifrado. La posibilidad de
que Eva se entere de la clave, pasa por que lo que envía Alicia a Bob sea algún tipo de
sistema clásico, cuya medida se puede realizar sin perturbación.
La información cuántica presenta ciertas propiedades distintas a las de la clásica,
ya que ganancia de información implica la introducción de una perturbación, es posible
usar tal comportamiento con fines criptográficos.
La comunicación de la clave se podría realizar de forma completamente segura
usando dos propiedades típicamente cuánticas: la complementariedad y la no-
separabilidad. En el primer caso, si en lugar de que Alicia envíe la secuencia aleatoria
mediante algún sistema clásico de comunicación, usa un sistema cuántico descrito por
un vector de estado concreto, si Eva intenta medir esta secuencia, producirá una
perturbación a través de un colapso irreversible del estado del sistema cuántico,
perdiéndose irremediablemente parte de la información. Esta pérdida imposibilita que
Eva reconstruya la secuencia y la reenvíe a Bob. Eva introduce un error que podría ser
detectado por Bob, advirtiendo la presencia de Eva. El segundo caso implica el empleo
de estados enredados. El ataque de Eva también produciría la pérdida del enredo de los
estados con la consiguiente detección de la escucha a través del cumplimiento de las
desigualdades de Bell (véase el capítulo 3).
Los protocolos basados en la complementariedad emplean una transmisión de
qubits independientes y los que usan estados enredados (EPR) de qubits, necesitan dos

19
Transmisión segura

unidades receptoras conectadas a una misma fuente de emisión de estados EPR. Dentro
de estas dos grandes estrategias generales existen diversas variaciones.

Izquierda: Esquema general de transmisión de claves mediante un protocolo de


pares EPR. Derecha: Esquema de un protocolo de qubits independientes.

Habitualmente los interlocutores, se denominan con los nombres de Alicia al


emisor y Bob al receptor. Ambos están conectados a través de dos canales de
comunicación, uno cuántico o privado, y otro público o convencional (autenticado). A
partir de este momento se asumirá que el canal convencional está autenticado ya que sin
esta característica los protocolos de QKD pierden su seguridad. También
introduciremos la actuación de un supuesto espía no autorizado, al que denominaremos
Eva. Su objetivo será el de obtener la máxima información posible acerca de la clave
intercambiada entre Alicia y Bob. En la actuación de Eva aceptaremos siguientes
supuestos:

1. Tiene acceso total al canal cuántico, teniendo la capacidad de efectuar cualquier


acción que no esté prohibida por las reglas de la MC, y por lo tanto le fuerzan a:
2. No poder copiar o duplicar la información transmitida a través del canal:
teorema de no-clonación.
3. Durante el proceso de medida de cualquier estado provocará la modificación del
mismo: ganancia de información ⇒ perturbación.
4. El espía o atacante podrá leer toda la información transmitida a través del canal
convencional, pero nunca podrá modificarla, ya que este se encuentra
autenticado.
Hardware Generador
cuántico de fotones

Fibra óptica

Alicia
Fotones en
diferentes
polarizaciones

Eva Bob

Esquema general de un sistema para la distribución cuántica de claves

20
Criptografía cuántica: protocolos

A continuación pasamos a revisar los principales protocolos y algunas de sus


variaciones.
BB84
B92
4+2 estados
Transmisión de Sin superposición 6 estados
qubits indepen-
dientes Estados trampa
Robustos
frente a PNS SARG04
Protocolos DPS-QKD
Cuánticos de
distribución Con superposición Goldenberg-Vaidman
de claves

E91
Empleo de
estados EPR BBM92

Principales protocolos criptográficos cuánticos

2.3.1. Protocolo BB84


El protocolo BB84 es, como comentamos en el capítulo de introducción, el
primer protocolo de distribución cuántica de claves. Fue propuesto por Bennett y
Brassard en la International Conference on Computers, Systems and Signal Processing
celebrada en Los Álamos, California, durante el año 1984 14. En la propuesta original la
propiedad en la que se codificaba la información que transportaba el fotón era la
polarización. Esta propiedad describe el plano de vibración del campo electromagnético.
El comportamiento de un fotón al atravesar un polarizador es bien conocido. Si
hacemos pasar un fotón con una polarización α (con respecto a una dirección de
referencia) a través de un filtro polarizador con una orientación β, el fotón lo atravesará
con probabilidad cos2(α-β) (cambiando, el fotón, su dirección de polarización a β), o
será absorbido con la probabilidad complementaria, sin2(α-β). Si las diferencia α-β es
exactamente 90º el fotón nunca pasa, y si es 0º pasa siempre sin ver afectada su
polarización. Si la diferencia es de 45º, la mitad de las veces pasa, adquiriendo una
polarización β, y la otra mitad de veces es absorbido.
La clave consiste en un conjunto de 0s y 1s aleatorios que deben compartir los
interlocutores Alicia y Bob. La primera idea es codificar los 0s y 1s como estados
cuánticos de un sistema de dos estados, por ejemplo, los de polarización lineal de los
fotones: horizontal |h> ≡ 1 y vertical |v> ≡ 0, base que podemos llamar ⊕. Alicia
codificaría su clave con los fotones polarizados, que enviaría a Bob, el cual usando un
polarizador del tipo ⊕, podría leer sin problema. Sin embargo, el enemigo, Eva, podría
realizar un ataque sencillo (escucha llamada interceptar y reenviar o bien escucha
opaca) que consistiría en interceptar los fotones, medir la polarización usando un
polarizador del mismo tipo ⊕, y reenviar los fotones a Bob sin que este último se
percatara. Este problema se puede eliminar si Alicia usa dos conjuntos de base no
ortogonales (o alfabetos) para representar los bits que envía. Por ejemplo, dos bases
linealmente polarizadas no ortogonales o una lineal y otra circular. Aquí se usará la
primera opción.
El protocolo necesita dos canales de comunicación, uno clásico o convencional y
otro cuántico, que estudiaremos de forma separada. Consiste en enviar una secuencia de

21
Transmisión segura

bits a través de un canal cuántico, codificados aleatoriamente en dos bases no-


ortogonales y un posterior proceso de destilación de la clave, mediante una
comunicación pública.
En el presente planteamiento elegimos las bases de codificación vertical-
horizontal cuyos estados son {|h> = |0>, |v> = |90>} y diagonal siendo sus estados
{|45>, |135>}, donde se ha utilizado la notación del ángulo respecto al eje-x. Asignamos
un fotón polarizado vertical (representado por un estado |0>) con un bit 0 y a uno
polarizado horizontal (estado |h>) como un bit 1. Análogamente hacemos en la base
diagonal.
Si preparamos un fotón en el un estado horizontal |h> (representando un bit 0 y
lo medimos con un polarizador que detecta estados en la base diagonal, la mitad de las
veces obtenemos el estado |1> ≡ 1 y la otra mitad el |0> ≡ 0. Lo mismo ocurre con un
fotón en el estado |45> si es medido en la base ⊕, la mitad de las veces se obtiene un 0 y
la otra mitad un 1. La única manera de obtener con certeza cual es el estado original, es
conocer en qué base fue preparado y hacer la medición en la misma. Este
comportamiento es una consecuencia de la ausencia de ortogonalidad entre ambas
bases.
Plantearemos el protocolo en el caso ideal sin errores ni espías a la escucha;
posteriormente introduciremos un espía y, más adelante, en el capítulo de seguridad,
consideraremos el efecto del ruido del canal. En un paso previo al comienzo del
protocolo, los interlocutores deben acordar la longitud de la clave inicial. El protocolo
comprende los siguientes pasos:

a) Caso ideal: sin ruido ni escuchas

1.- Codificación y transmisión. Alicia dispone de dos alfabetos binarios cuánticos


constituidos por los estados de polarización de los fotones en dos bases no-
ortogonales: la base ⊕ usa estados polarizados vertical y horizontal, mientras que la
base ⊗ está formada por polarizaciones que forman ángulos de 45º y 135º. Las
funciones de cada base son ortogonales entre sí, lo que permite diferenciarlas, pero
las de una base con las de la otra son no ortogonales.
Supongamos que Alicia genera un conjunto de bits (ceros y unos de la línea 1 de la
tabla adjunta), y los codifica de la siguiente forma: para cada bit elige aleatoriamente
una de las dos bases (o alfabetos cuánticos, línea 2) la ⊕ o la ⊗, y los asigna de
acuerdo con (línea 3):

⎧0 por v ≡ ↑ ⎧0 por 45 o ≡ /
⎪⎪ ⎪⎪
base ⊕ ⎨ base ⊗ ⎨
⎪1 h ≡ → ⎪
⎪⎩ por 135 o ≡ \
⎩⎪
1 por

Asignación de las bases de codificación en el protocolo BB84.

2.- Detección. De la misma forma, Bob genera una secuencia aleatoria de 0s y 1s, de
acuerdo con la cual elige para cada uno de los fotones enviados por Alicia (a través
del canal cuántico), una de las bases para detectarlo (línea 4). Como consecuencia
de sus medidas, Bob determina la secuencia de polarizaciones de los fotones (línea

22
Criptografía cuántica: protocolos

5), que corresponde a una secuencia de bits (mostrada en la línea 6). Notemos que
cuando las bases usadas no coinciden, y dado que éstas no son ortogonales entre sí,
dado un estado del tipo |1>, si se mide en la base ⊗, habrá una probabilidad 0.5 de
detectarlo como | > y 0.5 como |>. El bit obtenido puede o no coincidir con el
correcto, pero en cualquier caso se habrá producido un colapso irreversible del
estado del fotón.
Puesto que las secuencias de bases elegidas por Alicia y Bob son aleatorias, la
probabilidad de que coincidan es del 50%, por lo que tan sólo la mitad de los
estados codificados por Alicia habrán sido interpretados correctamente por Bob. En
el resto de los casos, aunque la base utilizada no haya sido la adecuada, la
probabilidad de acierto será también del 50%. La clave que dispone Bob contiene
un 25% de errores.

3.- Reconciliación. Ahora Alicia y Bob se comunican las bases usadas a través de un
canal público clásico. Bob le comunica a Alicia la base que ha usado para medir la
polarización de los distintos fotones y Alicia le responde si ha usado o no la misma
base, pero ¡sin comunicar el valor del bit concreto 0 ó 1, obtenido en la medida!
Como consecuencia, para aquellos fotones cuyas bases coincidan, los bits de Alicia
coincidirán con los de Bob. Los fotones cuyas bases coinciden, constituyen la clave
destilada común (línea 7): 1110100

Número de bit 1 2 3 4 5 6 7 8 9 10 11 12 13 14
(1) Clave inicial 1 1 1 1 1 0 0 1 0 1 0 0 0 0
de Alicia
(2) Base de
Alicia
⊗ ⊕ ⊗ ⊗ ⊗ ⊗ ⊗ ⊕ ⊗ ⊗ ⊕ ⊕ ⊕ ⊕
(3) Codificación
de Alicia
          
(4) Base de Bob
⊕ ⊕ ⊗ ⊕ ⊗ ⊗ ⊕ ⊗ ⊕ ⊗ ⊕ ⊕ ⊗ ⊗
(5) Medidas de
Bob
          
(6) Bit de Bob 0 1 1 1 1 0 0 0 1 1 0 0 0 1
(7) Clave final 1 1 1 0 1 0 0
destilada (*)

(*) Las bases no coincidentes aparecen en rojo

Después del proceso de reconciliación, las claves de Alicia y Bob coinciden


completamente. Resaltemos que la clave no existía previamente a la comunicación, sino
que se va destilando como consecuencia de la comunicación entre los interlocutores. La
secuencia inicial que Alicia envía a Bob carece de importancia, lo que importa es que
sólo ellos conocen la secuencia final.

b) Caso ideal (sin ruido) con escuchas


Supongamos que la transmisión se produce en presencia de una escucha no
autorizada, Eva. Admitimos que:

1) Tiene acceso al canal cuántico: Eva usa una escucha opaca. Eva intercepta los
fotones enviados por Alicia; elige una base y realiza la medida de la polarización,
luego reenvía un fotón con la polarización detectada a Bob, intentando borrar las
huellas de su actuación.
2) Eva puede escuchar la información que se intercambian los interlocutores por el
canal público, pero no puede modificarla (el canal está autenticado) y

23
Transmisión segura

3) Todo el proceso se produce en ausencia de ruido. En este caso se produce el mismo


comportamiento de error para Eva que para Bob, y dado que las elecciones de las
bases de medida por parte de Eva y Bob son aleatorias e independientes, se puede
detectar la presencia de Eva.

En el esquema anterior se muestra el efecto de la presencia de Eva en la


transmisión de los bits. El 50% de los casos se desprecian, ya que las bases de Alicia y
Bob no coinciden. Para el 50% restante (casos útiles), las bases de Alicia y Bob
coinciden y sus resultados también lo harían, en ausencia de Eva. En presencia de Eva,
la situación cambia. Si Eva usa exactamente la misma base que Alicia y Bob (50% de
los casos útiles) éstos no detectan la presencia de Eva. Sin embargo en el otro 50% de
los casos útiles, en los que, a pesar de que las bases de Alicia y Bob coinciden, sus
resultados puede que no hagan, debido a la presencia de Eva. En estos casos, Eva puede
producir un error con un 50% de probabilidad, según sea el estado producido en el
colapso. Al final, Eva induce un 25% de errores entre los bits útiles (para los que Alicia
y Bob usan bases coincidentes), mientras que el 75% restante están libres de error. Este
porcentaje de error puede disminuir si Eva no mide sobre todos los qubits, sino sólo en
un cierto subconjunto. Si la probabilidad de que Eva realice una escucha es 0 ≤ λ ≤ 1 (1-
λ es la probabilidad de no escuchar), la probabilidad de que aparezca un error por qubit
útil (bases coincidentes) es λ/4.



Base ⊗
⊕ ⊕
0.5 ⊗ Presencia
⊗ de Eva No
⊕ detectada

Base ⊗
Error
⊗ ⊕ producido
0.5 ⊗ por Eva

Alicia Eva
Bob

Detección de la presencia de Eva en el protocolo BB84. La mitad


de las medidas de Alicia y Bob se descartan ( ). En la mitad de
los restantes ( ), la base de Eva coincide y cuando eso ocurre, la
mitad puede proporcionar un resultado erróneo y detectable por
Alicia y Bob.

Montaje experimental típico


La codificación de la clave en estados de fotones con polarización definida, es la
solución más natural. Realmente, el primer experimento de QKD se realizó usando tales
estados. Un típico montaje experimental del protocolo BB84 usando cuatro estados
involucra cuatro fuentes (LD1-4), por ejemplo láseres de diodo que emiten pulsos cortos
(∼1ns) y polarizados a (0o, 90o) y (45o, 135o) que son posteriormente atenuados. Alicia
usa un conjunto de tres desdobladotes de haz (BS) para realizar una elección pasiva del
fotón que envía a Bob (a través del filtro F). La elección pasiva no emplea un generador
externo de secuencias aleatorias de bits, sino que es el propio dispositivo el que hace la
elección. El fotón puede viajar a través de una fibra óptica y antes de ser detectado, se

24
Criptografía cuántica: protocolos

emplea un conjunto de láminas de onda que compensan la posible pérdida de


polarización. Bob dirige el fotón hacia un primer desdoblador (BS). Si es transmitido,
hace una medida en la base vertical-horizontal (mediante un desdoblador de haz-
polarizador, PBS), mientras que si es reflejado, se rota 45o con una lámina de media
onda (λ/2) y se desdobla con un PBS antes de detectarlos en la base diagonal.
En lugar de que Alicia use cuatro fuentes láser y Bob dos divisores de haz-
polarizadores, es posible emplear un montaje con dispositivos de polarización activos
como las células de Pockels. En
la emisión, se activa la célula
aleatoriamente para cada pulso,
produciendo una de las cuatro
posibles polarizaciones y, de
forma similar, para el
dispositivo de detección de
Bob. Finalmente Bob detecta
los fotones individuales
mediante fotodiodos de
Montaje criptográfico típico para distribución de claves avalancha (APD, que se
usando fotones en estados polarizados. describirán más adelante).

Seguridad del protocolo BB84 frente a una escucha opaca


El protocolo de detección de la presencia de Eva, implica la comprobación de un
cierto subconjunto de L bits por parte de Alicia y Bob, para detectar la presencia de
errores.
La probabilidad de que Eva introduzca un error en los bits útiles es λ/4, y la de
que Bob no detecte ningún error es (1-λ/4). Si λ=1 (todos los fotones son escuchados
por Eva), la probabilidad de que Bob no detecte ningún error es 3/4 (Eva presente y no
detectada) por cada bit comparado. Luego la probabilidad de que Eva no sea detectado
cuando se comparan, por ejemplo L = 200 bits es (3/4)200 ∼ ¡10-25! Después de la
comparación de un subconjunto de bits, si Alicia y Bob están de acuerdo, en la ausencia
de escuchas durante la transmisión, descartan los bits comparados y retienen los no
comunicados para los que han usado la misma base, como clave secreta. La
probabilidad de detección de Eva puede hacerse tan grande como se desee, además, Eva
nunca puede estar segura de que las medidas realizadas sobre los fotones enviados por
Alicia, sean correctas (teorema de no clonación).

2.3.2. Protocolo con dos estados: B92


El protocolo BB84 requiere la utilización de 4 estados, sin embargo es
demasiado caro y es posible usar sólo dos estados no ortogonales. Este protocolo con
dos estados fue introducido por Bennett 15, y se denomina B92. Si los estados usados no
son ortogonales, una sola medida (o secuencia de ellas) no permite, en general,
distinguirlos sin ambigüedad. Sólo en ciertos casos, los resultados de algunas medidas
permitan tal distinción. En esta posibilidad está basado el protocolo B92.
Supongamos que elegimos dos estados no ortogonales de un sistema, es decir
trabajamos en un espacio de Hilbert de dimensión 2 con una base no ortogonal {|α> y |-
α>}, con |<α|-α>|2 = cos2(2α). Esta base puede representar dos estados de polarización
de los fotones según direcciones que forman con eje x, ángulos de α y -α (con 0 < |α| <
π/4). Usaremos esta base como alfabeto y codificamos los bits como 0 → |α> y 1 → |-
α>. Para la transmisión de la clave, Alicia y Bob emplean de un canal cuántico privado

25
Transmisión segura

y un canal de información público. Disponen de dispositivos (polarizadores) que


realizan las preparaciones (Alicia) o medidas (Bob) de los operadores de proyección:

Pα = 1 - |α><α| y P-α = 1 - |-α><-α|

Estos operadores tienen la propiedad de proyectar en las direcciones ortogonales a α y a


-α, respectivamente:

Pα|α> = 0 Pα|α⊥>=|α⊥> y P-α|-α>


|α⊥> = 0 P-α|-α⊥>=|-α⊥>

Podemos pensar en las funciones del alfabeto


|α> ≡ |0> como formando parte de dos bases
ortogonales {|α>, |α⊥>} propia de Pα y {|-
α>, |-α⊥>} propia de P-α.
|-α> ≡ |1>
Para la comunicación, Alicia envía
|-α⊥> una secuencia de fotones (o sistemas
cuánticos caracterizados por estos estados)
Estados usados en el protocolo B92 que están preparados aleatoriamente en |α> o
|-α> y Bob usa, para la medida de la
polarización, uno de los operadores Pα o P-α, también aleatoriamente. Puesto que los
estados iniciales no son ortogonales, no existe ningún experimento que diferencie sin
ambigüedad ambos estados.
Supongamos que Alicia envía un bit 0 codificado como |α>, Bob tiene dos
posibilidades (elegidas con probabilidad 0.5), si usa un polarizador Pα para medir, no
obtendrá ninguna detección, pues medirá la polarización del fotón en una dirección
ortogonal a α. Si hubiera elegido medir P-α (dirección perpendicular a -α), tendría cierta
probabilidad de detección. Para calcular la probabilidad de detección del fotón,
debemos representar el estado |α> en la base propia de P-α:

|α> = |-α><-α|α> + |-α⊥><-α⊥|α>

y dado que el polarizador P-α deja pasar los estados |-α⊥>, la probabilidad de detección
es:

|<-α⊥|α>| 2 = 1 - |<-α|α>| 2

pero ya que Bob elige este polarizador con una probabilidad 0.5, la probabilidad final de
que Bob detecte el fotón es:

Probabilidad de detección del fotón =


= (1 - |<-α|α>| 2)/2

Por tanto, si Alicia envía un 0 codificado en un |α>, Bob tendrá una probabilidad
(1 - |<-α|α>|2)/2 de detectar el fotón y una probabilidad:

(1 + |<-α|α>| 2)/2

26
Criptografía cuántica: protocolos

de no detectarlo. Como consecuencia, si Alicia


envía un 0 codificado como |α>, Bob sólo obtendrá 0.5
una medida sin ambigüedad cuando, usando un
polarizador P-α detecte un fotón. La ausencia de

Probabilidad de detección
0.4

detección por parte de Bob no permite concluir

Probabilidad de deteccion
0.3
nada. Alicia puede enviar un 0 y Bob no detectar
nada ya que, ha usado un polarizador Pα (que 0.2

proyecta sobre |α >), o bien haber usado P-α, y 0.1
proyectar sobre |α⊥>.
En el protocolo, Alicia envía una secuencia 0
0 1 2 3
2α 4
de bits codificados en fotones y descritos por
ángulo

estados cuánticos, y Bob realiza sus medidas Probabilidad de detección del


fotón en términos del ángulo
eligiendo los polarizadores aleatoriamente. Ahora
relativo 2α.
Bob comunica a Alicia en qué instantes ha
detectado fotones, pero no la medida realizada. Si Bob, usando un polarizador P-α,
detecta el fotón, es que Alicia envió un estado |α>, es decir un 0, si por el contrario Bob,
usando un polarizador Pα detecta un fotón, es que Alicia envió un estado |-α>, es decir
un 1. De esta forma se destila la clave. Después del proceso de reconciliación, Alicia y
Bob disponen de la misma clave.
Dado que 0< |α| <π/4, la probabilidad de detección (que son las útiles para
destilar la clave) será menor del 50%. Ekert 16 propone realizar una medida más eficiente
para Bob, a través de una POVM (positive operator valued measure) 17 basada en los tres
operadores siguientes:

Pα P−α
Aα = A−α = A? = 1 − Aα − A−α
1+ α −α 1+ α −α

con la que se obtiene una probabilidad de no detección (proceso no concluyente,


representado por A?) de |<α|-α>| = cos(2α).
Si Eva usa un aparato similar al usado por Bob, cada vez que no detecte un fotón
podría destruirlo. Este malicioso comportamiento de Eva se podría detectar si Alicia y
Bob pueden comprobar que la proporción de 0s aparece con una probabilidad (1 - |<-
α|α>|2)/2.

2.3.3. Protocolo con 4+2 estados


Una modificación de los protocolos BB84 y B92 es el llamado 4+2 18, en el que
se reconoce la posibilidad de usar cuatro estados distribuidos en dos bases, de forma que
en cada una, los estados no sean ortogonales. La ventaja consiste en que Eva no puede
conocer de forma determinista ningún qubit.

2.3.4. Protocolo con 6 estados


Si en lugar de usar dos bases para la codificación se usan tres, tenemos un
protocolo con 6 estados 19. Ahora, la probabilidad de elegir cada una de las bases es 1/3
y la probabilidad de que Eva introduzca un error en un ataque de intercepción y reenvío,
es de un 33.3% en lugar del 25% obtenido en el protocolo BB84. Con ello mejora la
seguridad.

27
Transmisión segura

2.3.5. Protocolo de Goldenberg-Vaidman


La codificación en criptografía cuántica está basada en estados no-ortogonales,
ya que no pueden ser clonados por un espía. Incluso una clonación imperfecta introduce
errores en la transmisión, siendo detectable. En general, cualquier par de estados no-
ortogonales puede ser usado. Por otra parte, los estados ortogonales pueden distinguirse
y copiarse fielmente por Eva, sin que los interlocutores puedan percatarse. Por estas
razones, durante cierto tiempo se pensó que la utilización de estados no ortogonales era
el elemento crucial en criptografía cuántica. Sin embargo, tal como demostraron
Goldenberg y Vaidman 20, eso no es así. Propusieron un protocolo que usaba la
superposición de estados que llegaban a Bob en diferentes instantes. Los dos estados
ortogonales usados para codificar un 0 y un 1 son:

ψ0 =
1
{a +b } y ψ1 =
1
{a −b }
2 2

donde |a> y |b> son paquetes de onda localizados, enviados desde Alicia a Bob a lo
largo de dos canales con distinta longitud, de forma que el paquete |b> está retrasado un
tiempo suficiente para, que el |a> alcance a Bob. Esto se puede conseguir mediante un
interferómetro del tipo mostrado en la figura.
Alicia envía un bit 0 ó
1, enviando un fotón
desde la fuente S0 o S1,
|a> a través de un
desdoblador de haz
(BS1). El estado de la
partícula emitida por
|b> S0 evoluciona a |ψ0> y
la emitida por S1 a
|ψ1>. El paquete |b> se
Interferómetro usado en el protocolo de Goldenberg y Vaidman. demora en la fibra SR1
hasta que el paquete
|a> alcanza a Bob. Finalmente llegan al desdoblador BS2 al mismo tiempo e interfieren.
Los fotones emitidos por S0 se detectan en D0, mientras que los emitidos por S1 lo hacen
en D1.
Para conseguir que el protocolo sea robusto frente a la acción de un espía, los
instantes en los que Alicia envía |a> deben ser aleatorios. Esta última condición es
eliminada por Koashi-Imoto 21, usando desdobladores de haz asimétricos (cuyo
coeficiente de transmisión es distinto que el de reflexión).

2.3.6. Protocolos robustos frente a la división del número de fotones


Estas modificaciones surgen de la necesidad de incrementar la seguridad de un
sistema QKD frente a un tipo especial de ataques, los ataques por división del número
de fotones, PNS f, que serán tratados explícitamente en el capítulo de seguridad. Los
ataques PNS se basan en la imprecisión de las fuentes para emitir pulsos de luz
conteniendo fotones individuales. Para la realización de una fuente de fotones
individuales se pueden emplear fuentes de luz láser atenuadas. Sin embargo, los estados
coherentes generados presentan una distribución de fotones poissoniana, en la que cada
pulso atenuado podrá contener más de un fotón (los estados coherentes no son propios
f
Photon Number Splitting.

28
Criptografía cuántica: protocolos

del operador número de fotones). En esta situación, la seguridad de nuestro sistema se


ve afectada por la posibilidad de que un espía acceda a la información transportada por
los fotones sobrantes.

Estados trampa g
En realidad la utilización de estados trampa 22 no es un protocolo propiamente
dicho, sino más bien un mecanismo para incrementar la seguridad de la distribución
cuántica de claves.
En un ataque del tipo de intercepción-reenvío, Eva mide el número de fotones de
cada pulso generado por Alicia. Si encuentra un solo fotón, lo elimina, en caso contrario
realiza una división del pulso, desviando algunos fotones para hacer una medida, y
envía los restantes hacia Bob. Como consecuencia, en el detector de Bob, la
probabilidad (o rendimiento) de detección de pulsos multifotónicos es mayor que la de
los pulsos monofotónicos emitidos por la fuente de Alicia. Supongamos que Alicia
intencionadamente remplaza, de forma aleatoria, pulsos de su fuente por pulsos
multifotónicos (estados trampa) de mayor intensidad. Eva no puede distinguir los pulsos
auténticos de la fuente de Alicia de los pulsos trampa. Si Alicia y Bob son capaces de
detectar desviaciones en el rendimiento de detección de los pulsos multifotónicos,
podrán detectar la presencia de Eva.
Con esta modificación se consigue aumentar la distancia en la que la clave puede
distribuirse de forma segura.

SARG04
Valerio Scarani, Antonio Acín, Grégoire Ribordy y Nicolas Gisin (SARG),
proponen en 2004 una alternativa al protocolo BB84 23 que pretende incrementar la
seguridad de un sistema QKD, frente a ataques por división del número de fotones,
PNS. El nuevo protocolo utiliza cuatro estados {0z, 1z, 0x, 1x}, agrupados en dos bases
la Bx y Bz habitual, con un funcionamiento a nivel cuántico idéntico al del protocolo
BB84. La diferencia entre ambos protocolos radica, entonces, en el procedimiento de
reconciliación de bases realizado a través del canal público.
El funcionamiento del protocolo es
similar al BB84. La idea se basa en que, para
0z cada fotón, Alicia publique una de las cuatro
0x bases {0z, 0x}, {0z, 1x}, {1z,0x} o {1z, 1x}
1x
con la condición de que el estado que ha
enviado pertenezca a la base citada. Notemos
que dentro de cada una de las cuatro bases,
1z los estados son no ortogonales. Si Bob ha
hecho una buena elección de su base de
Representación de las cuatro funciones medida, su resultado será un estado
de base ortogonal al de la base publicada por Alicia,
pudiendo identificar el bit sin imprecisión.
El protocolo es el siguiente:

a) Alicia envía uno de los cuatro estados {0z, 1z, 0x, 1x} aleatoriamente.
b) Bob mide aleatoriamente en las bases Bz o Bx.
c) En la discusión por el canal público, Alicia publica una de las dos bases no
ortogonales que contienen el estado enviado a Bob

g
Decoy states

29
Transmisión segura

d) Si la medida de Bob ha proporcionado un estado ortogonal a una de las


funciones de base publicada por Alicia, la identificación del bit es inmediata. En
caso contrario, Bob descarta el bit.

Veamos un ejemplo de funcionamiento. Supongamos que Alicia envía un estado


1x y que es anunciado a través del canal público con la base {1z, 1x}. Si Bob mide en la
base Bx, obtendrá con seguridad el resultado 1x que no es ortogonal a ninguno de los de
la base publicada, luego debe descartarse el resultado. Si Bob hubiera medido en la base
Bz, habría podido obtener el resultado 0x (ya que <1x|0z> ≠ 0). Puesto que <0z|1z>, la
única posibilidad es que Alicia haya enviado el otro estado de la base publicada, es decir
1x .
Una vez enviado cada qubit, Alicia puede elegir entre dos bases no ortogonales
que contienen el estado enviado y Bob puede elegir entre las bases Bx o Bz, ambos
interlocutores obtienen una clave reconciliada que contiene ¼ de los bits iniciales. La
seguridad del protocolo descansa en que los estados de las cuatro bases posibles son no
ortogonales.

Protocolo DPSK h
Otro protocolo especialmente robusto frente a ataques por división del número
de fotones, es el basado en el desplazamiento diferencial de la fase 24. El montaje
aparece en la siguiente figura, donde se muestra cómo Alicia envía una secuencia de
pulsos atenuados y aleatorios (cuyo promedio de fotones por pulso es inferior a 1) y
modulados en fase (0, π). El fotón de Alicia se divide en tres caminos (a, b y c) y son
recombinados en desdobladotes de haz (BS). La diferencia de caminos entre los brazos
del interferómetro de Alicia, es el mismo, T. Todos los desdobladores son 50:50.

Alicia
c
c b a
b BS
M d1
T
a
Fuente (0,π)

Bob d0

Montaje DPS para la distribución de claves

Después de la recombinación, se introduce una fase aleatoria de 0 ó π, y se envía el


fotón hacia Bob, que dispone de un interferómetro asimétrico (con un camino corto S y
otro largo L), tal que la diferencia de caminos es T. Después de la recombinación hay
dos detectores (d0,1). Según el montaje, Bob detecta fotones en cuatro instantes distintos,
dependiendo del camino completo seguido: (1) el fotón pasa por el camino (a) en Alicia
y por S en Bob, (2) por (a) en Alicia y L en Bob o bien por (b) en Alicia y S en Bob, (3)
por (b) y L o bien por (c) y S y, finalmente (4) por (c) en Alicia y L en Bob. En las
situaciones (2) y (3), existen dos caminos indistinguibles, lo que implica la existencia de
una interferencia. Los detectores medirán la presencia de un fotón de acuerdo con la
fase relativa. Si la fase relativa es 0, detectará d1, y si es ±π, lo hará d2.
h
Differential Phase Shift Keying.

30
Criptografía cuántica: protocolos

Cuando Bob detecta en los intervalos temporales segundo o tercero, anota cual
de los detectores ha realizado la medición, y el instante temporal. Bob le comunica a
Alicia los instantes de detección. Con esta información y los datos de modulación,
Alicia deduce el detector de Bob que ha realizado la medida. Asignando un 0 al detector
d0 y un 1 a d1, los interlocutores pueden intercambiar una clave.
La seguridad del protocolo frente a un ataque de intercepción-reenvío, proviene
de la destrucción de la fase relativa después de la medida de Eva. Por lo tanto, introduce
errores en la clave compartida. Brassard et al 25 han realizado un estudio de la seguridad
de este montaje.

2.3.7. Protocolos basados en ebits


Son protocolos basados en la utilización de pares de partículas en estados
enredados. El protocolo fundamental es el E91, aunque existen diversas modalidades
dependiendo del tipo de estados enredados utilizados (polarización, energía-tiempo,
etc.), que serán tratados explícitamente en la sección destinada a los montajes
experimentales.

Protocolo E91
La correlación de partículas en estados EPR no permite enviar información entre
dos interlocutores, debido a la aleatoriedad de los resultados de sus medidas. Sin
embargo, en 1991, Ekert 26 introdujo un protocolo criptográfico (E91) basado en la
utilización de pares de partículas correlacionadas EPR (ebits), para enviar una clave. La
transmisión de la clave se realiza a través de la correlación de resultados que aparece en
las medidas realizadas sobre pares de partículas EPR. La seguridad del protocolo se
asienta en la completitud de la MC. Un observador que midiera sobre alguna de las
partículas del par EPR, crearía elementos de realidad que implicarían el cumplimiento
de las desigualdades de Bell u otras similares. Por lo tanto, mientras la MC no sea
refutada, el protocolo es completamente seguro, en condiciones ideales.
El protocolo E91 usa pares de partículas (por ejemplo con spin ½) que pueden
estar en dos estados. Usaremos la notación |a> para los estados que forman parte de una
base de un espacio de Hilbert de dimensión dos, indicando que están polarizados según
una dirección caracterizada por el ángulo a, por ejemplo, respecto al eje x (|0> = |h> y
|90> = |v>). Si el protocolo E91 emplea los estados singlete:

ψS =
1
( hv − vh )
2

Cuando Alicia y Bob usan el mismo analizador, obtendrán resultados


anticorrelacionados. Alicia dispone de tres analizadores que forman un ángulo con el eje
de referencia elegido (eje x, recorriendo las partículas el eje z) de ai = 0, 45º y 90º,
mientras que Bob dispone de tres analizadores cuya orientación es bi = 45º, 90º y 135º.
Dadas estas orientaciones, Alicia y Bob convienen en que las medidas en la dirección
del analizador (que llamaremos “+”) corresponderán a un 1, mientras que las
detecciones en la dirección perpendicular (que llamaremos “-”), las considerarán como
un 0.
De igual forma que en los anteriores protocolos, se dispone de dos canales, uno
privado (cuántico) y otro público (clásico). Entre Alicia y Bob existe una fuente de
pares EPR que genera, por ejemplo singletes, enviando una de las partículas a Alicia y
la otra a Bob. Ambos eligen realizar una medida aleatoria de uno de los operadores de
proyección, usando el analizador adecuado Pij = |ai, bj><ai, bj|. Alicia y Bob apuntan los

31
Transmisión segura

resultados de las medidas y se comunican, a través del canal público, sobre qué
partículas han usado los mismos analizadores, pero no sus resultados concretos. En este
caso los resultados de ambos están anticorrelacionados, así Bob sabe que si mide una
polarización (o spin) hacia arriba (+), o sea un 1, debe cambiarlo por su
complementario, es decir un 0, para que coincida con el medido por Alicia.
Comparando las orientaciones usadas de los analizadores, Alicia y Bob (después
de eliminar las detecciones en las que uno sólo de los interlocutores ha detectado una
partícula) separan los resultados en dos conjuntos, el primero contiene los resultados
obtenidos cuando han empleado las mismas orientaciones y el segundo contiene los
resultados cuando las orientaciones no coinciden. La función de correlación se define
como:

E(ai, bj) = P(ai+, bj+) + P(ai-, bj-) - P(ai+, bj-) - P(ai+, bj-)

donde P(ai+, bj-) corresponde a la probabilidad de una medida en la que Alicia con un
polarizador según la orientación ai y Bob según bj, detecten a las partículas en la
dirección del polarizador (+) y en la dirección perpendicular (-), simultáneamente; el
resto se interpretan de la misma forma. La MC predice que E(ai, bj) = - ai bj, de forma
que si se usan los mismos analizadores E(a2,b1) = E(a3,b2) = -1 y la anticorrelación es
total.

a(0o)
a(45o) ψ S ( 1,2 ) =
1
{ hv − vh }
2 b(45o)
b(135o)
a(90o)
b(90o)

Alicia Bob

Montaje EPR para distribución de claves. En cada polarizador, sólo se muestra una de las
direcciones de detección y no las perpendiculares.

Para aquellas medidas que hayan usado distinta orientación del polarizador,
Alicia y Bob se comunican, además de las direcciones, los resultados de las medidas, lo
que permite detectar la presencia de alguna escucha no autorizada (Eva), simplemente
comprobando si se cumple o no la desigualdad de Bell. Con las orientaciones relativas
de |a1-b1| = 45o de los polarizadores, puede expresarse como:

SB = E(a1,b1) – E(a1,b3) + E(a3,b1) + E(a3,b3)

|SB| ≤ 2 (para cualquier teoría realista local)

En condiciones ideales de ausencia de ruido, la seguridad del protocolo se


establece en base a la completitud de la MC, a través de la violación o no de la
desigualdad de Bell, u otra similar. Si existe una escucha, la desigualdad se cumple, si
por el contrario ésta se viola (siendo su valor de máxima violación |SB| = 2 21/2, tal como
predice la MC), no existen enemigos escuchando. En este segundo caso, la secuencia
(no comunicada por el canal público) de los resultados del primer conjunto, es

32
Criptografía cuántica: protocolos

absolutamente privada y sólo es compartida por Alicia y Bob, constituyendo la clave.


Realmente Eva no puede obtener ninguna información de la observación de las
partículas correlacionadas, ya que no hay ninguna información codificada en ellas. Eva,
al realizar medidas sobre una de las partículas, colapsaría el estado introduciendo
elementos de realidad en el estado de las partículas, con lo que la desigualdad de Bell se
cumpliría. La clave realmente no existe hasta que Alicia y Bob han realizado sus
medidas y correlacionado sus bases por el canal público. La intervención de Eva es
equivalente a introducir elementos de realidad asociados a la polarización de las
partículas, que no existían en un estado enredado. La situación no ideal en la que los
dispositivos presentan ruido, será abordada en el capítulo de seguridad.

Protocolo BBM92 i
Además del protocolo E91 que usa dos partículas para establecer la
comunicación, es posible usar un canal cuántico que emplea una sola partícula 27,. La
violación de la desigualdad de Bell no impone ninguna condición acerca de quién mide
primero, Alicia o Bob. Además esta violación no exige que los procesos de medida
estén espacialmente separados. La fuente de pares correlacionados puede estar situada
dentro del propio laboratorio de Alicia, donde realiza su medida, enviando la otra
partícula hacia Bob, que elegirá su medida de forma aleatoria e independiente de la de
Alicia. Afinando más aún, desde el punto de vista de Bob, sólo recibe una secuencia de
partículas con una cierta polarización desconocida (aunque conocida para Alicia). Sólo
de sus medidas, Bob no puede reconocer si Alicia le ha enviado una partícula de un par
EPR, o simplemente una partícula con una polarización aleatoria, elegida entre los tres
valores acordados de antemano. Esto permite a Alicia preparar una secuencia de
partículas con polarizaciones aleatorias según distintos ángulos, elegidas entre {45º, 90º
y 135º}, anotando Alicia un 0 si le envía a Bob un estado |45º->, ya que si Bob usa este
polarizador, detectará una polarización (-) (es decir un 1), que interpretará como que
Alicia ha detectado (enviado) un 0.
Este esquema EPR, usando una sola partícula es equivalente al protocolo BB84.
Para verlo, notemos que sólo los resultados que impliquen la elección de bases iguales
por Alicia y Bob, serán considerados. En el esquema EPR, Alicia elige entre los estados
con spin (+) o bien (-), cuya dirección de polarización es de 45º ó 90º (protocolo con
cuatro funciones). Por otra parte Bob elige medir en una de las dos bases, simplemente
eligiendo el ángulo del analizador entre 45º ó 90º, aleatoriamente. La utilización de las
detecciones a 45º y 90º para el intercambio de la clave, reduce la tasa de transmisión
hasta 2/9 de la clave inicial. La única diferencia entre los protocolos EPR y BB84, es
que en el primero, la elección aleatoria de Alicia se realiza a través de una medida
cuántica, mientras que en el segundo se establece externamente. Esta equivalencia hace
que la seguridad del protocolo BBM92 también esté relacionada con la imposibilidad de
distinguir entre estados no ortogonales realizando una sola medida.

2.4. Grupos de investigación en criptografía cuántica


Para finalizar este capítulo de introducción a los protocolos cuánticos de
distribución de claves, procedemos a proporcionar una perspectiva acerca de los
principales grupos de investigación en este campo.

i
Las siglas corresponden a Bennett-Brassard-Mermin

33
Transmisión segura

2.4.1. Grupos internacionales


Hoy en día existen innumerables grupos de investigación, tanto teóricos como
experimentales, por todo el mundo, dedicados a la información y comunicación
cuántica. A continuación enumeramos algunos de los más importantes:

SecoQC 28
SecoQC es el nombre del proyecto europeo que engloba a muchos grupos de
investigación en información cuántica y que, desde abril de 2004, ha construido las
bases para la realización de una infraestructura de distribución cuántica de claves. Con
sede en Viena, dirigido por Quantum Technologies, es allí donde se ha realizado el
primer prototipo de red cuántica en Europa.
El desarrollo de dispositivos de criptografía cuántica ha tenido un gran peso en
el proyecto, trabajando principalmente con la compañía suiza IdQuantique. En el futuro
esperan construir un prototipo de red de servicios de criptografía cuántica comercial, y
así salir del campo experimental.

DARPA 29
Es un proyecto militar financiado por el gobierno de los Estados Unidos. En el
último informe publicado se puede ver que la red consta de 10 nodos que intercambian
claves utilizando distintas tecnologías.
La fabricación de los nodos corre a cargo de BBN Technologies 30, QuinetiQ y el
NIST . El primer modelo proporcionado por BBN impliocan 4 nodos de un sistema de
j

pulsos atenuados en fibra con modulación en fase. Además, BBN proporciona otro
sistema basado en pares entrelazados a través de fibra, con modulación en la
polarización. Tanto QuinetiQ como el NIST contribuyen con sistemas de pulsos
atenuados a través del aire, con codificación en la polarización de los fotones. Los
prototipos se encuentran distribuidos en tres localizaciones distintas: los laboratorios de
BBN, la Universidad de Harvard y la universidad de Boston. En cuanto a los protocolos
utilizados, se usan tanto BB84 como SARG.

GAP 31
En Suiza, concretamente en la Universidad de Ginebra, se encuentra un grupo
muy activo en criptografía cuántica. Es el grupo de física aplicada (Group of Applied
Physics, GAP), dirigido por Nicolas Gisin. La empresa suiza IdQuantique, que vende
dispositivos comerciales de criptografía cuántica, surgió a partir de este grupo y tienen
una participación importante en SecoQC.

Quantum Technologies
Grupos “Quantum Technologies” en Smart Systems (una división del Austrian
Research Centers GmbH, ARC) y “Quantum Experiments and the Foundations of
Physics” de la Universidad de Viena.

IQOQI 32
El Instituto de Óptica Cuántica e Información Cuántica k de la Universidad de
Viena, es un grupo muy conocido y activo. El director de la sede de Viena: Anton
Zeilinger 33, es un investigador con amplia experiencia en el campo.

j
National Institute of Standards and Technology.
k
IQOQI: Institute of Quantum Optics and Quantum Information.

34
Criptografía cuántica: protocolos

Smart systems 34
Es una división de las organizaciones austriaca de investigación, ARC 35. Tienen
el peso organizativo de SecoQC.

IQC 36
El Instituto para la Computación Cuántica de Canadá, es muy activo en el campo
de la criptografía cuántica, principalmente a través de la participación de Norbert
Lutkenhaus (que participa en el proyecto europeo SecoQC).

ENST
La Escuela Nacional Superior de Telecomunicaciones de París tiene un grupo de
información cuántica dirigido por Romain Alléaume 37 que también está involucrado en
el desarrollo del proyecto europeo SecoQC.

2.4.2. Otros grupos


Sin la pretensión de ser exhaustivo, a continuación se recogen algunos grupos
relacionados con la criptografía cuántica.

Responsable Institución País


Betuna, D. IBM, Almadén S
Bouwmeester UC US
DeMartini U. Roma Italia
Dowling U. Louisiana State US
Elliott, C. BBN, Boston US
Ekert, A. U. Oxford UK
Franson U. Johns Hopkins US
P. Grangier Inst. D’Optique, CNRS Francia
Howel U. Rochester US
Hughes, R.J. Los Alamos NL US
Imamoglu UC US
Karlsson, A. KTH Suecia
Migdall, A. NIST US
Milburn & Ralph U. Queensland Australia
Nakamura NEC, Tskuba Japón
Nielsen, M. U. Aarhus Dinamarca
Rarity, J. U. Bristol UK
Sergienko U. Boston US
Shih U. Maryland US
Steinberg U. Toronto Canadá
Shields, A. Toshiba UK
Takeuchi U. Hokkaido Japón
Townsend, P.D. University Col, Cork Irlanda
Walmsley, I. U. Oxford UK
Weinfurter U. Munich Alemania
White U. Queensland Australia
Yamamoto U. Stanford US
Yoshizawa, A. AIST Japón
Zeng, H. East China NU China

35
Transmisión segura

Una dirección de interés es la que proporciona una compilación de los grupos de


investigación relacionados con la computación cuántica en el mundo 38.

Situación de los grupos de investigación europeos en Teoría Cuántica de


la Información y la Comunicación. Cada punto representa un grupo
registrado en la página de ERA-Pilot, http://qist.etc.it/

2.4.3. Grupos Españoles

UPM
En la Universidad Politécnica de Madrid se encuadra el Grupo de Información y
Computación Cuántica. Sus trabajos se desarrollan tanto en el campo teórico como en el
experimental, con una orientación hacia la integración de la distribución cuántica de
claves dentro de infraestructura de las redes de comunicación comerciales.

ICFO 39
El Instituto de Ciencias Fotónicas de Cataluña tiene una larga tradición en la
información cuántica, con destacables trabajos, principalmente teóricos. Uno de sus
miembros, Antonio Acín, participó en el desarrollo del protocolo SARG.

GICC 40

36
Criptografía cuántica: protocolos

Dentro de la Universidad Complutense de Madrid se encuentra el Grupo de


Información y Computación Cuántica, dirigido por el profesor Miguel Ángel Martín-
Delgado.

UAB
En la Universidad Autónoma de Barcelona nos encontramos con el Grupo de
Información Cuántica 41. Su área de conocimiento se centra en la parte teórica de la
información cuántica.

37
3. Estados enredados

3.1. Breve introducción histórica........................................................................... 38


3.2. Estados enredados ........................................................................................... 39
3.3. Desigualdades para Teorías Realistas Locales.............................................. 40
3.3.1. Desigualdades de Bell ....................................................................................................40
3.3.2. Desigualdad de Clauser-Horne-Shimony-Holt...............................................................41
3.3.3. Otras desigualdades........................................................................................................42
3.3.4. Visibilidad ......................................................................................................................42
3.4. Tipos de estados enredados............................................................................. 42
3.4.1. Polarización....................................................................................................................42
3.4.2. Momento ........................................................................................................................43
3.4.3. Energía-tiempo ...............................................................................................................43
3.5. Experimentos para comprobar las desigualdades de Bell ........................... 43

3.1. Breve introducción histórica


El interés por este tipo de estados puede situarse en el año 1935, en el fueron
introducidos por E. Schrödinger 42, en un intento de resaltar ciertos problemas
relacionados con la teoría cuántica de la medida. Utilizó el término alemán
“Verschränkung” que se tradujo al inglés como “entanglement”. La versión española no
está, todavía consensuada, así que usaremos el término “enredado”.
Estos estados fueron utilizados, el mismo año 1935, en un famoso artículo
publicado por A. Einstein, B. Podolsky y N. Rosen 43 (que proporcionaría el nombre de
EPR a los estados enredados). En este artículo, los autores analizan los resultados de
medir sobre un estado de dos partículas, que no pueden considerarse independientes,
incluso si aumentamos indefinidamente la distancia que las separa. Basándose en la
condición de localidad, es decir, que la elección del tipo de medida realizada sobre una
de las partículas no puede influenciar a las propiedades de la otra, intentan demostrar
que la descripción de la realidad proporcionada por la función de onda (o vector de
estado), no es completa.
La correlación qua aparece en las medidas realizadas sobre dos partículas
cuando están descritas por un estado enredado, se denominan no-locales. A partir de
esta época, la cuestión de la existencia de estados enredados se convirtió en un
problema fundamental. El descubrimiento de las desigualdades de Bell 44, en 1964, y su
puesta en práctica por Clauser et al entre 1969-1974, transformaron un problema
puramente filosófico en uno tecnológico. Desde el primer experimento de las
desigualdades de Bell, realizado en 1972 45, el número de comprobaciones ha ido
creciendo, tanto en número como en refinamiento. Además, han ido surgiendo toda una
pléyade de nuevas desigualdades similares. Aunque el tipo de partículas usadas para
crear estados enredados carece de importancia, la mayoría de los experimentos han
empleado fotones. En la actualidad, aunque no se han resuelto todos los problemas (en
Estados enredados

un mismo experimento), parece que la no-localidad de la naturaleza es verdaderamente


real. A pesar de todo, existe cierto interés en seguir realizando experimentos en los que
se comprueba la violación de las desigualdades de Bell. Uno de esos aspectos está
relacionado con la teoría cuántica de la información.
El reciente descubrimiento de que la potencia del procesado de la información
cuántica, está directamente relacionado con la existencia de estados enredados, ha
abierto nuevas perspectivas. Concretamente, la existencia de estados enredados ha
proporcionado una nueva forma de transmisión segura de la información.

3.2. Estados enredados


Los estados enredados son una consecuencia del principio de superposición
aplicado a un sistema compuesto por dos o más subsistemas.
La ecuación de Schrödinger dependiente del tiempo, es una ecuación diferencial
lineal. Una propiedad importante es que dadas dos soluciones de la misma, |0> y |1>,
sus combinaciones lineales complejas del tipo a|0> + b|1>, con a, b ∈ C, también lo son.
Supongamos un sistema S formado por dos subsistemas consistentes en dos
partículas y que cada una de ellas sólo puede encontrarse en uno de los dos estados |0>
o |1> (pueden referirse por ejemplo a valores de spin ±1/2, a dos posibles
polarizaciones, a posiciones espaciales diferentes, etc.…). Cuando el sistema total se
encuentra en el estado (denominado estado producto) |0>|1>, la partícula 1 se encuentra
en el estado |0> y la 2 en el |1>. Análogamente, si el sistema total se encuentra en el
estado producto |1>|0>, la partícula 1 se encuentra en el estado |1> y la 2 en el |0>.
Puesto que ambas son soluciones posibles, el principio de superposición permite
al sistema total encontrarse en un estado combinación lineal de los dos anteriores

Ψ =
1
[0 1
12+110 2
]
2

Este estado del sistema total se denomina estado enredado, y su característica distintiva
es que no puede expresarse como el producto de ningún estado de la partícula 1 y la
partícula 2, es decir, no es factorizable.
Los estados producto otorgan propiedades definidas a las partículas 1 y 2.
Podríamos pensar que la interpretación del estado |ψ>, implica una falta de
conocimiento acerca del estado del sistema total: el sistema total estaría en alguno de
los estados producto |0>|1> o |1>|0> (quizás con igual probabilidad), pero no sabríamos
en cuál de ellos. Sin embargo, tal interpretación no es correcta, pues ello implicaría que
el estado |ψ> no describe totalmente al sistema total, al no aparecer en |ψ> la
información de en qué estado está realmente. La consecuencia es que la Mecánica
Cuántica, sería una teoría incompleta. A las variables que habría que añadir a la MC
para definir completamente el estado del sistema, se denominan variables ocultas. Sin
embargo, y de acuerdo con los resultados experimentales de las desigualdades de Bell,
el estado |ψ> representa a un sistema que no tiene definidas las propiedades de las
partículas individuales, lo que es equivalente a la no existencia de variables ocultas
locales, acordes con la MC.
Según las reglas de la MC, los estados del tipo anterior presentan curiosas
correlaciones cuando se miden propiedades de las partículas individuales. En el proceso
de medida sobre |ψ>, se producirá un colapso sobre uno de los dos estados producto
|0>|1> o bien |1>|0>, con igual probabilidad. Si al medir la partícula 1 encontramos que
su estado es el |0>, sabemos (incluso sin medir sobre ella) que el estado de la partícula 2

39
Transmisión segura

es |1> y viceversa. Estas correlaciones, parecen ser instantáneas, aunque no violan la


Teoría de la Relatividad Especial. Si bien no pueden usarse para enviar información
entre dos interlocutores, sí se podrán aprovechar para el envío de claves criptográficas.
Notemos, finalmente, que el estado |ψ> anterior es un estado enredado de dos
partículas. Concepto que se puede generalizar a cualquier número de ellas 46.

3.3. Desigualdades para Teorías Realistas Locales


3.3.1. Desigualdades de Bell
Anteriormente se ha mencionado el problema de interpretación del estado |ψ>.
La interpretación podría consistir en considerar que representa una situación en la que el
sistema está en alguno de los estados producto, sólo que nosotros no sabemos en cuál.
En realidad el sistema está en alguno de ellos, y como tal información no es mostrada en
|ψ>, concluimos que la MC es incompleta. Este es el resumen del artículo EPR de 1935.
Y, si no es completa, hay espacio en la teoría para incluir unas variables que lo hagan:
las variables ocultas.
Este debate dio un paso de gigante en 1964, cuando Bell44 planteó una forma
cuantitativa para distinguir entre ambas posibilidades. Partiendo de unos supuestos de
tipo clásico, que debían cumplir lo que se denominaron Teorías Realista Locales l,
deduce una desigualdad que se debía cumplir en experimentos de correlación de
propiedades de sistemas. Sorprendentemente, las correlaciones que aparecen en pares de
partículas en estados enredados, violan (en teoría) las desigualdades de Bell. La
consecuencia es que la MC contradice cualquier Teoría Realista Local.
Existen diversas formas de estas desigualdades; una de las más usadas es la que
se establece a continuación. Supongamos que existen cuatro situaciones experimentales,
caracterizadas como (a, b, a’, b’), y que podemos medir la correlación de ciertas
propiedades en pares de situaciones. Bell demuestra que todas las Teorías Realista
Locales deben cumplir:

SB(a,b,a’,b’) = E(a,b)-E(a,b’)+E(a’,b’)+E(a’,b) ≤ 2

Donde E(a,b) es el coeficiente de correlación del experimento (a,b). La situación se


puede poner en práctica cuando elegimos una determinada situación experimental y
unas medidas concretas.
Consideremos un experimento de correlación realizado con pares de partículas
en un estado enredado, tal como se muestra en la figura.

Una fuente, situada en el centro del experimento, genera pares de fotones en un


estado enredado de polarización del tipo singlete:

ψ− =
1
(h v −v h )
2

Las propiedades que se miden son las polarizaciones de los fotones según cuatro
direcciones distintas: las del analizador 1, en las direcciones (a, a’) y las del 2 según (b,

l
Las TRL, asumen la existencia de una realidad independiente del observador (al estilo de que el sistema
descrito por |ψ>, en realidad está en uno de los estados producto pero no sabemos en cuál de ellos) y la
localidad (cualquier tipo de correlación que envíe información de un punto a otro del espacio-tiempo, no
lo puede hacer a mayor velocidad que la de la luz).

40
Estados enredados

b’). Los valores E(a,b) son los valores promedio de detecciones en las que la partícula 1
es detectada según la dirección a y la 2 según la dirección b, de forma simultánea m.
Eligiendo las direcciones apropiadas, la desigualdad de Bell se viola,
obteniéndose un valor máximos de SB = 2 2 > 2. Por lo tanto concluimos que un
sistema gobernado por cualquier Teoría Realista Local, no puede reproducir el
comportamiento de las correlaciones cuánticas obtenidas con estados enredados.

Dispositivo experimental para la comprobación de las


desigualdades de Bell. La fuente, que genera pares
enredados en polarización, se sitúa en el origen de
coordenadas. Cada uno de los fotones del par es analizado,
en coincidencia, en la dirección que indica el analizador y,
finalmente detectado.

3.3.2. Desigualdad de Clauser-Horne-Shimony-Holt


Justo después de la publicación de las desigualdades de Bell, se hicieron patentes
algunos problemas para su aplicación a situaciones experimentales. Las desigualdades
de Bell suponían una correlación entre todas las partículas, pero experimentalmente sólo
se podía detectar un cierto subconjunto de ellas, debido a problemas tecnológicos. Este
tipo de limitaciones experimentales, que, supuestamente, permitirían violar las
desigualdades de Bell pero sin eliminar completamente la posibilidad de de las TRL, se
denominaron “escapatorias” n,81. Para su aplicación experimental, había que añadir
ciertas hipótesis a las desigualdades de Bell que permitieran calcular los coeficientes de
correlación. En 1969, Clauser, Horne, Shimony y Holt (CHSH) 47 dedujeron una
desigualdad que sólo relacionaba las partículas detectadas:

− 1 ≤ S CHSH ≤ 0
con S CHSH = p12 ( a ,b ) − p12 ( a ,b' ) + p12 ( a' ,b ) + p12 ( a' ,b' ) − p1 ( a' ) − p 2 ( b )

Las p12(a,b) describen las probabilidades de detección conjunta de partículas, cuando las
direcciones de detección son (a, b) (análoga interpretación para el resto) y p1(a’) es la
probabilidad de detección, cuando la dirección es a’ (análogamente para p2(b)). En la

m
La simultaneidad en este tipo de experimento, implica la apertura de una ventana de detección
simultánea. Si ambos detectores detectan una partícula en ese intervalo, se considera como una
coincidencia válida.
n
“loopholes”

41
Transmisión segura

actualidad, parece que estos problemas (“escapatorias”) han sido eliminados, aunque no
todos en el mismo experimento.

3.3.3. Otras desigualdades


Existen diversas formas de rescribir las desigualdades anteriores, o incluso de
obtener otras nuevas a partir de ellas. Freedman 48 simplifica, aún más, esta desigualdad
para adecuarla a los resultados experimentales en la situación de máxima violación,
obteniendo SF ≤ 0.25. Por otra parte, Wigner deduce una desigualdad involucrando tan
solo tres direcciones de medición:

p12(a,b) + p12(b,c) - p12(a,c) ≥ 0

3.3.4. Visibilidad
Una forma alternativa de comprobar la violación de las desigualdades de Bell en
dispositivos con fotones, es a través del cálculo de una cota para la visibilidad.
Suponiendo un estado enredado para dos partículas del tipo:

ψ+ =
1
( 01 + 10 )
2

Si la situación experimental tiene la simetría apropiada, el valor del coeficiente de


correlación sólo depende de la diferencia entre las direcciones de detección, y E(δ) = V
cosδ, siendo V la visibilidad. Eligiendo los ángulos como δ = |a-b| = |a’-b| = |a’-b’| =
(1/3) |a-b’|, se obtiene:

SB = |3E(δ) – E(3δ)| ≤ 2

Si δ = 45o, SB = 4V/ 2 ≤ 2. Por lo tanto si un experimento se observa una visibilidad:

1
V≥ ≈ 0.71
2

podemos concluir que las desigualdades de Bell se violan.

3.4. Tipos de estados enredados


Dependiendo del tipo de variables involucradas, existen diversos tipos de
estados enredados de fotones:

3.4.1. Polarización
Involucran la superposición de estados de polarización. La detección de la
polarización de uno de los fotones, fija la del fotón correlacionado. Eligiendo
polarizaciones lineales, vertical ≡ |v> y horizontal |h>, podemos tener:

Ψ ±
=
1
2
(
hv ± e iφ vh )
Φ± =
1
2
(
hh ± e iφ vv )

42
Estados enredados

Si φ=0, constituyen la llamada base de estados de Bell. Todos los estados son
simétricos, excepto el |Ψ-> que es antisimétrico.
Desde el punto de vista experimental son los más fáciles de obtener (tal como
veremos más adelante), mediante procesos de conversión paramétrica a la baja.

3.4.2. Momento
Si es posible establecer una ley de conservación del momento lineal total en el
proceso que produce el par de fotones, la detección de un fotón en una posición
determina respecto a la fuente, fija el momento y la trayectoria del correlacionado.
También se denominan estados enredados espaciales. Se pueden obtener partiendo de
una conversión paramétrica a la baja, con un proceso de postselección.

3.4.3. Energía-tiempo
Son análogos a los de polarización, únicamente que no tienen definida su energía
individual, únicamente la total (conservación de la energía), ni el instante en que han
sido producidos. Para estos estados se pueden distinguir dos situaciones, dependiendo
del tipo de superposición creada. Si la producción del estado enredado involucra una
superposición continua (con cierta anchura), se habla de estados enredados energía-
tiempo. En caso de estados con sólo dos términos en la combinación lineal se habla de
estados enredados energía-tiempo discretos (time-bin entanglement).

3.5. Experimentos para comprobar las desigualdades de Bell


En 1964 Bell publica sus desigualdades, pero no es hasta 1972 cuando Freedman
y Clauser realizan el primer experimento. Desde entonces, se han realizado multitud de
comprobaciones acordes con los resultados cuánticos y en contra de las TRL.
Puesto que las correlaciones de los estados enredados son independientes del tipo
de sistema cuántico, se han empleado diversos sistemas:

a) Medidas de correlaciones de spin en pares de protones en un estado singlete 49. El


resultado, acorde con la MC no es definitivo por necesitar hipótesis adicionales y
extrapolaciones muy fuertes.
b) De la aniquilación de positrones 50, con resultados no definitivos por las fuertes
hipótesis sobre los polarizadores y análisis de datos.
c) Experimentos con partículas fundamentales 51, como los sistemas del tipo kaón-
antikaón: K 0 − K 0 .

Quizás los sistemas más usados y en los que estamos más interesados, sean los
fotones, con diversos montajes o fuentes:

d) Fotones correlacionados en polarización creados por emisión en cascadas


atómicas con fuentes de mercurio 52,53.
e) Fotones correlacionados en polarización creados por emisión en cascadas
atómicas con fuentes de calcio.

A continuación pasamos a revisar, brevemente, algunos de los experimentos más


representativos:

Freedman y Clauser 54 realizaron su experimento con una señal luminosa muy


débil, que emitía numerosas cascadas de fotones no correlacionados. Los detectores
tenían eficiencias muy bajas. De cada millón de pares, sólo uno se detectaba en

43
Transmisión segura

coincidencia. Por ello el experimento duró unas 200 horas. Esta baja tasa de detección
plantea un problema: ¿puede la limitada eficacia afectar a la validez de las
conclusiones? El resultado era totalmente acorde con la MC, en realidad, el primer
resultado fiable. Estos primeros experimentos con pares enredados utilizaban
polarizadores de un solo canal, por lo que el único resultado accesible era el valor +1, si
era detectado. Ni las fuentes ni los detectores tenían eficiencia suficiente, por lo que los
resultados favorables a la MC no fueron muy fiables, al estar las condiciones
experimentales muy alejadas de las ideales.

La siguiente generación de experimentos tuvo lugar en los años 80, gracias a


fuentes muy eficientes de pares de fotones correlacionados, conseguidas mediante
excitación no lineal de un láser y posterior cascada atómica. Los experimentos fueron
realizados por el grupo francés de Alain Aspect 55,56, en Orsay.
La importancia de los experimentos realizados por A. Aspect, radica en la
utilización de dispositivos experimentales de una eficiencia mayor que cualquiera de los
usados en su época. Los resultados de los dos primeros experimentos, muestran la más
clara violación de las desigualdades de Bell.
El último experimento de Aspect tiene el interés particular de que la dirección de
detección de la polarización de los fotones, se elige después de que estos hayan salido
de la fuente. Al elegir la orientación aleatoriamente y con retardo, el experimento evita
que el fotón (o el analizador) pueda enviar un mensaje al otro fotón o al otro analizador,
informando al segundo componente del par enredado de la orientación (considerado
como una posible “escapatoria”). En el experimento real, Aspect 57 utilizó una señal
cuasi-periódica y no completamente aleatoria, pero enviada una vez que los fotones
están en vuelo. La distancia entre los dos polarizadores era de 13 metros. La
conmutación se realizaba cada 43 nanosegundos para evitar la posible comunicación
entre detectores a la velocidad de la luz. Los resultados obtenidos violaban la
desigualdad de Clauser y Horne (la parte SCHSH ≤ 0) en cinco veces la desviación
estándar, concordando con el cálculo cuántico. También se comprobó la violación
desigualdad de Freedman.

A partir de mediados de los años 80, y quizás espoleados por posibles


aplicaciones relacionadas la transmisión cuántica de la información, se renovó el interés
por este tipo de experimentos. Pierre, Duncan, Beyer y Kleinpoppen 58 detectaron, por
primera vez, una correlación en polarización en fotones emitidos simultáneamente por
deuterio metaestable, en un proceso de desexcitación de segundo orden.
En esta época, se utiliza un método que hoy en día es la técnica preferida por los
experimentales para producir fotones enredados: la conversión paramétrica espontánea a
la baja. Un cristal no-lineal (se suelen usar yodato de litio o borato de bario) es
iluminado con un láser ultravioleta. Cada fotón produce dos fotones de frecuencias
menores (de ahí la expresión conversión a la baja) pero cuya suma es igual que la
frecuencia del fotón incidente. Estos dos fotones están enredados en polarización. Los
primeros experimentos en los que se obtuvieron pares enredados mediante conversión a
la baja, fueron realizados por L. Mandel 59. Shih 60 comprueba nuevamente las
desigualdades de Bell con estos fotones, encontrando violación de hasta centenares de
desviaciones estándar.

A continuación citamos algunos trabajos importantes en esta línea:

44
Estados enredados

a) 1990 Rarity y Tapster92 observan la violación de las desigualdades de Bell


usando estados enredados de momento.
b) 1992 Brendel et al94 ponen en práctica la idea de Franson de una prueba basada
en estados enredados energía-tiempo. Aunque la fuente no producía
directamente tales estados, se podían obtener mediante cierto tipo de post-
selección.
c) 1993 Kiess et al 61 usan una conversión paramétrica espontánea a la baja para
producir fotones en estados enredados de polarización.
d) 1997 Tittel et al198 demuestran la conservación de la correlaciones en estados
enredados energía-tiempo, para distancias mayores de 10 km.
e) 1998 Weihs et al 62 realizan un experimento con polarizadores móviles
aleatorios, cerrando la “escapatoria” de la localidad. Usaban estados
enredados de polarización.
f) 1999 P.G. Kwiat et al91 desarrollan una nueva fuente, con mayor brillo, para
estados enredados de polarización, basada en dos cristales de tipo I
cruzados.
Bouwmeester 63 obtiene el primer estado enredado con tres fotones: el
estado GHZ.
g) 2000 Pan et al 64 produce un estado enredado de cuatro fotones.
h) 2001 Rowe et al 65 realizan el primero experimento de lo que se llama la
desigualdad de Bell “fuerte”, con hipótesis adicionales mínimas. En el
experimento usan estados enredados de iones.

Transcurridos cuarenta y tres años desde que Bell publicara su trabajo, los
experimentos realizados para comprobar experimentalmente las desigualdades de Bell
se van acercando paulatinamente al esquema ideal de EPR.
Como se puede apreciar, se han
obtenido experimentalmente varios tipos 160.0
de estados enredados, con correlaciones
no locales que violan las desigualdades
de Bell (o similares). Se dispone de 120.0

fuentes de pares de fotones enredados


Distancia

como las de conversión paramétrica, 80.0


que permiten una manipulación fácil de
los estados. Las visibilidades obtenidas
son del orden del 99.5%, manteniendo 40.0
un número cuentas razonable. Uno de
los aspectos más interesante para la
0.0
distribución cuántica de claves usando 1998 2000 2002 2004 2006 2008
Año
estados enredados, es la distancia a la
que se pueden conseguir las Evolución temporal de la distancia a la que se han
correlaciones no locales. La siguiente obtenido correlaciones no locales. Los datos
corresponden a estados enredados de fotones.
gráfica recoge los resultados de la
evolución en los últimos años.

45
4. Dispositivos experimentales

4.1. Óptica cuántica ................................................................................................ 48


4.2. Fuentes de fotones............................................................................................ 50
4.2.1. Luz coherente atenuada ..................................................................................................50
4.2.2. Fuentes monofotónicas: centros de color .......................................................................50
4.2.3. Fuentes monofotónicas: puntos cuánticos ......................................................................52
4.2.4. Fuentes monofotónicas: Átomos o moléculas individuales............................................52
4.2.5. Fuentes de fotones en estados enredados .......................................................................53
Cascadas atómicas..........................................................................................................53
Conversión paramétrica espontánea a la baja.................................................................53
Tratamiento cuántico de la PDC.....................................................................................57
Estados enredados de polarización mediante PDC.........................................................58
Estados enredados de momento......................................................................................60
Estados enredados de energía-tiempo ............................................................................61
Estados enredados de energía-tiempo discreto ...............................................................61
Fuentes de fotones individuales a partir de pares enredados ..........................................63
Fuentes de fotones deterministas....................................................................................64
4.3. Canales cuánticos............................................................................................. 65
Fibras ópticas..................................................................................................................65
Transmisiones a través de la atmósfera. .........................................................................67
Empleo de repetidores cuánticos ....................................................................................67
4.4. Detección de fotones ........................................................................................ 68
4.4.1. Fotodiodos de avalancha ................................................................................................68
Detectores para λ < 1100 nm: Fotodiodos de Silicio .....................................................71
Detectores para λ > 1100nm: Fotodiodos de Germanio y InGaAs.................................71
4.4.2. Fotomultiplicadores de estado sólido y VLPC ...............................................................74
4.4.3. Detectores superconductores..........................................................................................74
Detectores superconductores de efecto túnel (STJ)........................................................75
Sensores de transición en el borde superconductor-estado normal (TES)......................75
Detectores monofotónicos superconductores (SSPD) ....................................................76
Detectores de conversión a la alta ..................................................................................77
4.4.4. Resumen.........................................................................................................................78

Desde una perspectiva general, todos los dispositivos del montaje van a
depender del tipo de sistemas físicos que transporten los estados cuánticos. Cualquier
tipo de partícula elemental podría ser válida: átomos, moléculas, electrones, etc. Sin
embargo, desde un punto de vista experimental, los únicos (quizás por el momento)
sistemas físicos para los que se dispone de fuentes y detectores apropiados, son los
fotones. Por el momento, no existen dispositivos experimentales de distribución de
claves que no empleen fotones. Las razones de ello pueden buscarse en que: a)
interaccionan poco con el ambiente (mantienen la coherencia) y b) se benefician de toda
la tecnología que ya existe para su transmisión, manejo y detección.
Vistos los distintos protocolos para la distribución cuántica de claves, se
distinguen tres elementos fundamentales que son necesarios:
Dispositivos experimentales

y Fuente o emisor de sistemas en determinados estados cuánticos


℡ Canal de comunicación
2 Detectores

Todos ellos son elementos imperfectos, presentando una cierta cantidad de ruido.
Los factores de error de un sistema QKD, se pueden desglosar en dos grandes grupos:

• La principal fuente de error proviene del ruido de los componentes utilizados, lo


que causa errores en la clave intercambiada. En nuestro caso: la fuente de
emisión de fotones, los detectores de fotones o la sincronización del canal de
comunicación (bien sea la fibra óptica o un medio aéreo), son algunas de las
fuentes de imprecisión y error más importantes que abordaremos a continuación.

• La existencia del ataque de un espía, nos introduce una nueva fuente de error.

De todas las fuentes de error descritas, la causada por la actuación de un espía es


la que más nos preocupa y se tratará en el capítulo de seguridad.
Quizás, los primeros indicios que van a marcar los requisitos que debe cumplir
un dispositivo experimental, es el medio a usar y la distancia de separación entre los
interlocutores.
Si nos fijamos en el protocolo BB84, su puesta en práctica puede conllevar
ciertos problemas tecnológicos:

a) Si Alicia no usa realmente estados de un solo fotón, y es posible que Eva pueda
obtener algún tipo de información de pulsos multifotónicos. El uso de fuentes de
intensidad pequeña solventa algo el problema. En la actualidad se empieza a
disponer de la tecnología suficiente para preparar y manejar fuentes monofotónicas.
b) Los detectores tienen eficiencias pequeñas (a veces no superior del 10%-20%). Esto
significa que la mayoría de los fotones que le llegan a Bob, no serán detectados. En
realidad, este no es un problema grave por sí solo, ya que la clave se establece a
través de detecciones realizadas. Sin embargo, este hecho junto con la posibilidad de
la existencia de espías no autorizados, sí representa un gran problema.
c) Por otra parte los propios detectores presentan cuentas oscuras o fantasma, es decir
que no provienen de ningún fotón enviado por Alicia, sino del ruido. Este problema
se puede reducir si la detección se realiza solo durante ciertos intervalos de tiempo
en los que se espera la llegada de algún fotón de Alicia, el resto del tiempo el
detector está “dormido”.
d) Finalmente, el canal de transmisión también presenta pérdidas, lo que introduce
errores, además de disminuir la tasa de transmisión.

Estas limitaciones técnicas inducen unas tasas de error del orden de varios
porcentajes, mientras las transmisiones clásicas tienen unos errores del 10-9%.
A la hora de poner en práctica la distribución cuántica de claves, hay varios
parámetros importantes a tener en cuenta, entre ellos: la velocidad o tasa de transmisión
de la clave (reconciliada) y la distancia a la que se transmite. La primera depende en
gran medida de la velocidad en que los errores infectan a la información, ya que la
velocidad de transmisión efectiva (de los qubits que realmente comparten Alicia y Bob)
dependerá del proceso de corrección de errores. Además existe un factor cambiante, que
es la tecnología disponible en cada momento.

47
Transmisión segura

Realmente, si se desea comercializar aparatos que realicen una distribución


cuántica de claves, debemos tener en cuenta varios aspectos: Cómo producir estados
monofotónicos, cómo transmitirlos y detectarlos con eficiencia.

4.1. Óptica cuántica


A continuación pasamos a revisar brevemente algunos aspectos fundamentales
del comportamiento de la luz, en cuanto a su constitución por fotones.
Un modo del campo electromagnético (con vector de onda k, frecuencia ωk y
polarización e) en una cavidad de volumen L3, se puede cuantizar utilizando el
formalismo de un oscilador armónico cuántico. El proceso transforma el campo
eléctrico E(r) clásico en un operador, que en la representación de Heisenberg tiene el
aspecto:

ˆ (r, t ) = E
E ˆ ( − ) (r, t ) + E
ˆ ( + ) (r, t ) =
= ∑ ek E ˆ a + e − i ( k ⋅r − ω k t ) + ∑ e E
k k k
ˆ a e i ( k ⋅r − ω k t )
k k
k k

siendo a k y a k+ los operadores de aniquilación y creación de fotones con vector de onda


k y Ek = (hωk/2ε0L3)1/2.
Las características estadísticas de la luz se pueden expresar a través de varias
funciones. Sin tener en cuenta los aspectos de coherencia espacial, tenemos:

(a) Intensidad instantánea I(t) = 2ε0c <Ê(-)(t) Ê(+)(t)>


(b) Función de coherencia (temporal) de primer orden:

Ê ( − ) ( t + τ )Ê ( + ) ( t )
g (1)
(τ ) =
Ê ( − ) ( t )Ê ( + ) ( t )

(c) Función de coherencia (temporal) de segundo orden:

Ê ( − ) ( t )Ê ( − ) ( t + τ )Ê ( + ) ( t + τ )Ê ( + ) ( t )


g (2)
(τ ) = 2
Ê ( − ) ( t )Ê ( + ) ( t )

La función de coherencia de primer orden, proporciona una idea acerca de la


coherencia de la radiación en cuanto a la producción de bandas de interferencia y su
valor cumple 0 ≤ |g(1)(τ)| ≤ 1. Si |g(1)(τ)| = 1 la luz es coherente en primer orden, si
|g(1)(τ)| = 0 es incoherente y si |g(1)(τ)| ≠ 0,1, es parcialmente coherente. El grado de
coherencia de segundo orden proporciona las propiedades de coherencia de la
intensidad y cumple 0 ≤ |g(2)(τ)| ≤ ∞. La relación entre g(2)(τ) y g(2)(0) proporciona
distintos tipos de luz con distintas distribuciones de los fotones. Si g(1)(τ) = g(2)(τ) = 1
tenemos luz coherente clásica o estados coherentes cuánticos y los fotones presentan
una distribución de Poisson (aleatoria) cuando son detectados. Si se cumple g(2)(τ) <
g(2)(0) los fotones exhiben un exceso de correlación respecto a una distribución de
Poisson. Se denomina luz bunching y los fotones tienden a distribuirse preferentemente
en grupos siendo la distribución de fotones más estrecha que la de Poisson, por lo que se
denomina sub-poissoniana. Un ejemplo de luz bunching es la luz térmica producida por

48
Dispositivos experimentales

una fuente a cierta temperatura. Una tercera posibilidad (no clásica) surge si se cumple
g(2)(τ) > g(2)(0), en cuyo caso se observa el fenómeno opuesto a la luz bunching y los
fotones se encuentran más separados que en una distribución de Poisson. Se trata de luz
antibunching que presenta una distribución super-poissionana, más ancha que la de
Poisson.

P(n)

P(n)
Térmica Coherente monofotónica
P(n)

n n n
Probabilidad (P(n)) de la distribución del número de fotones (n) para tres fuentes con un
promedio μ=1. Izquierda: térmica, con grandes fluctuaciones debido a la estadística Bose-
Einstein. Centro: coherente, con una distribución de Poisson (P(n,μ) = μne-μ/n!), más estrecha
que la térmica. Derecha: monofotónica ideal.

Puesto que estamos buscando una luz formada por fotones individuales y lo
menos correlacionados posible, buscaremos fuentes de luz antibunching (g(2)(0) → 0)
que no son clásicas. Una de
las formas de medir g(2)(τ) es
mediante experimentos de
coincidencia de fotones en
montajes del tipo Hanbury-
Brown y Twiss 66, en los que
se mide el número de
detecciones de fotones en
Dos formas de poner en evidencia el antibunching. Izquierda: coincidencia, cuando hay un
función de correlación g(2)(τ). Derecha: coincidencias en
términos del retraso temporal τ. Cuando τ = 0, no existen
retraso de τ entre ellos n(τ):
(2)
coincidencias. g (τ) = <n(τ) n(0)>/<n>2.
Los estados coherentes
cuánticos que describen correctamente la luz emitida por una fuente láser son del tipo:

∞ n/ 2
α = exp(− n / 2 ) ∑
n
n
n=0 n!

donde <n> = μ es el promedio del número de fotones del estado. Pero no pueden usarse
directamente como fuentes monofotónicas, ya que g(2)(τ) = g(2)(0) = 1. En realidad
buscamos estados propios (estados de Fock) del operador número de fotones ( a +k a k ) del
tipo |n> (describiendo n fotones en el mismo estado), que tienen:

⎧ 1
⎪1 - para n ≥ 2
g (1)
(τ ) = 1 y g (τ ) = ⎨ n
(2)

⎪⎩0 para n = 0, 1

Lo que significa que para n=1 corresponden a verdaderos estados monofotónicos


antibunching, con una distribución sub-poissoniana.

49
Transmisión segura

4.2. Fuentes de fotones 67


La criptografía cuántica necesita estados cuánticos de un solo fotón, es decir
estados de Fock, propios del operador número de fotones. Sería beneficioso disponer de
verdaderas fuentes monofotónicas, que produjeran fotones apretando algún botón. Sin
embargo, todavía no se dispone de ninguna que cumpla todos los requerimientos. La
elección de la fuente monofotónica dependerá de sus aplicaciones concretas: eficiencia,
facilidad de manejo, condiciones de funcionamiento, etc.
En general las fuentes monofotónicas corresponden a dos grandes categorías:
sistemas emisores aislados y emisores de pares de fotones. Hay varios tipos de fuentes
propuestas, que a continuación pasamos a revisar.

4.2.1. Luz coherente atenuada


Una solución aproximada es usar estados coherentes |α> producidos por un
láser. La probabilidad de encontrar n fotones en un estado coherente con un promedio
de fotones de μ = <n>, corresponde a una distribución de Poisson: P(n,μ) = μne-μ/n! Una
forma de aproximar el estado de un fotón, es atenuando un estado coherente |α> hasta
obtener μ < 1. La atenuación no cambia la distribución y la probabilidad de que un
pulso no vacío contenga más de un fotón es:

1 − P( 0 , μ ) − P( 1, μ ) 1 − e − μ ( 1 + μ )
P( n > 1 n > 0 , μ ) = = =
1 − P( 0 , μ ) 1 − e −μ

1 − ( 1 − μ + μ 2 / 2 )( 1 + μ )
= ≈μ/2
1 − e −μ

que puede hacerse tan pequeño como se desee. La ecuación proviene de aplicar la regla
de Bayes P(n>1|n>0,μ) = P(n>0,μ|n>1) P(n>1)/P(n>0) y siendo P(n>0,μ|n>1) = 1. Si
estos estados son de muy baja intensidad, se aproximan a estados de Fock, aunque
tienen el problema de que muchos pulsos no contienen, en realidad, ningún fotón
(P(0,μ) = e-μ ∼ 1-μ con μ∼0) y dan lugar a una disminución de la relación señal/ruido en
los detectores ya que el ruido es constante (cuentas oscuras). Este hecho impide la
utilización de fuentes con un μ demasiado pequeño, aunque se puede optimizar su valor
dependiendo de las pérdidas por transmisión 68. El valor óptimo de μ es aquel que
maximiza la tasa de transmisión segura de la clave. Se puede hacer una estimación
simple, maximizando la diferencia entre el número de pulsos monofotónicos producidos
por Alicia y que son detectados por Bob y los multifotónicos que produce Alicia:

μ e-μ η -(1-e-μ-μe-μ)

El máximo de la anterior expresión proporciona μ = η/(1+η) ∼ η si η << 1. Esta


condición nos indica que para mantener la seguridad, el valor del μ de la fuente debe
disminuir como η. En muchos de los actuales experimentos, μ = 0.1, lo que significa
que alrededor de un 5% de los pulsos no vacíos contienen más de un fotón.

4.2.2. Fuentes monofotónicas: centros de color


Se han propuesto diversas fuentes monofotónicas con la intención de eliminar
los problemas de la presencia de pulsos multifotónicos.

50
Dispositivos experimentales

Una dirección activa de investigación la representa los centros de color en el


diamante 69. Su preparación es fácil y son estables a temperatura ambiente, lo cual
representa una clara ventaja.

g(2)(0)
(a) Centro de color NV. (b) Representación de los Función de autocorrelación de un centro
niveles de energía del centro NV donde aparece el NV.
nivel fundamental 3A y excitado 3E (ambos tripletes),
así como los vibracionales asociados a cada uno de
ellos (región gris). El tercer nivel corresponde a un
estado singlete 1A que actúa como un estado oscuro
que se puede poblar por cruce entre sistemas.

Uno de los sistemas más estudiados, son las impurezas sustitucionales de


nitrógeno en nanodiamantes artificiales (40 nm) que tienen una vacante (defectos NV)
en una posición adyacente del retículo 707172. La sustitución de un átomo de carbono por
uno de nitrógeno aporta un electrón adicional no apareado, pudiéndose localizar en la
vacante, lo que proporciona un sistema NV-. La carga negativa hace que se comporte
como un defecto paramgnético. Sus niveles fundamental y excitado están fuertemente
acoplados por una transición bipolar eléctrica cuya emisión ZPL (línea de cero fonones,
que conecta los estados fundamentales vibracionales del fundamental y primer
electrónico) corresponde a 637.7 nm. Esta fluorescencia consiste en una radiación
fuertemente anti-bunching centrada en 690 nm. El problema que presentan es que el
espectro de emisión tiene una anchura considerable, de unos 100 nm. Las propiedades
ópticas del medio de transmisión, como el índice de refracción pueden variar
notablemente a lo largo de esa anchura.

Estructura de un átomo de Ni Función de correlación para defectos NE8


rodeado por cuatro de N

Recientemente se han estudiado otros sistemas emisores basados en impurezas


de iones níquel rodeados por 4 átomos de nitrógeno en un sustrato de diamantes
naturales. Estos defectos (NE8) se encuentran en los diamantes naturales en pequeña
concentración y también se pueden crear por implantación. Forman estructuras73 del

51
Transmisión segura

tipo NiC2N4+. Producen una emisión ZPL a 802 nm con una anchura espectral de 1.2
nm. El factor de Debye-Waller (relación entre la intensidad de la emisión ZPL y la total)
de esta emisión ZPL, es de 0.7. Su estudio 74 como fuentes monofotónicas proporciona
un claro comportamiento anti-bunching de la función de correlación de segundo orden
g(2)(τ) (véase figura). La función g(2)(τ) muestra un valor cercano a cero para τ ∼ 0,
mientras que para valores fuera del entorno τ = 0, g(2)(τ) > 1 y estos centros muestran un
comportamiento bunching.
El problema principal de este tipo de fuentes es que su eficiencia es sólo del
orden del 1-2%. Una forma de incrementarla es introducir los cristales en cavidades
ópticas que suprimen la emisión en modos no deseados, permitiendo sólo en los
apropiados.

4.2.3. Fuentes monofotónicas: puntos cuánticos


Los puntos cuánticos son nanoestructuras semiconductoras que permiten la
presencia de dos o más niveles electrónicos. Los materiales habituales son GaAs,
GaAlAs o InP. La emisión de fotones surge de procesos de recombinación electrón-
hueco (correspondiente al nivel excitónico de
menor energía), que han podido ser creados
mediante el bombeo con un láser pulsado o
continuo o mediante pulsos eléctricos. La
longitud de onda de emisión está determinada
por el material usado habiéndose conseguido 75
emisiones alrededor de 1.3 μm con puntos de
InAs/InP.
Este tipo de fuentes adolece de varios
problemas. A temperatura ambiente, su
emisión tiene una anchura considerable, Función de correlación para un punto
reduciéndose a la temperatura del helio cuántico embebido en una cavidad115. El
líquido. Otro problema es su baja eficiencia histograma, obtenido en un experimento
(10-3-10-4) que puede aumentarse hasta 0.1 tipo Hanbury-Brown y Twiss, muestra la
del pico central (a τ=0),
situando el punto cuántico en una desaparición significando una gran supresión de pulsos
76
microcavidad . bifotónicos (un 2% de la obtenida en una
La primera demostración de distribución de Poisson).
distribución de claves usando una fuente de
puntos cuánticos, se debe Waks et al183 en 2002, operando a través de un metro de
atmósfera. Intallura et al 77 usan puntos cuánticos de InAs emitiendo a 1300 nm, como
fuente de fotones individuales con g(2)(0) = 0.102±0.004. Realizan una distribución de
claves con un montaje one-way a lo largo de 35 km de fibra. Consiguen transmitir a 7
kbs-1 (clave reconciliada) con una tasa de error del 5.9%.

4.2.4. Fuentes monofotónicas: Átomos o moléculas individuales


Otra alternativa, es usar transiciones radiativas entre niveles electrónicos de
átomos, iones o moléculas aisladas.
Los iones se pueden atrapar en trampas magneto-ópticas 78, desde donde se
envían a cavidades en las que interaccionan con un láser externo y los modos de vacío.
La transición deseada se produce con mayor probabilidad si la cavidad es resonante con
ella. Idealmente no emiten pares de fotones (con la misma longitud de onda) de forma
simultánea, produciendo una luz con un fuerte antibunching. Presentan ventajas como
su pequeña anchura de emisión y buena eficiencia. Sin embargo, necesitan montajes

52
Dispositivos experimentales

complicados que implican sofisticados sistemas de aislamiento, manipulación y de alto


vacío, lo que hace que su tecnología todavía presente ciertos problemas.
Los experimentos con moléculas orgánicas 79 son más simples ya que se manejan
en matrices poliméricas, en disolución o en estado sólido 80 y se puede operar a
temperatura ambiente, aunque es a bajas temperaturas cuando se obtienen las emisiones
con menor anchura. Su principal problema es la limitada estabilidad de las moléculas
usadas.

4.2.5. Fuentes de fotones en estados enredados 81


Otro tipo de fuentes fotónicas consisten en la creación de pares de fotones en
estados enredados. Teóricamente, y hasta donde los experimentos han podido
comprobar, la correlación entre sus partículas es independiente de la distancia de
separación y está basada en leyes de conservación de la energía o el momento (véase
capítulo 3). Se emplean en algunos de los protocolos criptográficos, o simulando
fuentes monofotónicas, en protocolos como el BBM92.

Cascadas atómicas
La primera fuente de estados monofotónicos estaba basada en el la creación de
estados enredados de fotones polarizados. Los pares se producían a través de
transiciones en casada entre estados electrónicos atómicos. En 1974 Clauser 82 y Aspect
et al 83 en 1981, usaron una
cascada entre estados de átomos
Ca(4p2), Nivel
excitado de calcio: 1S0 (4p2) → 1P1(4s4p)
→ 1S0(4s2), produciendo dos
λ1=551.3 nm fotones correlacionados en
581 nm
polarización circular, con λ1 =
Ca(4s4p)
Excitación 551 nm y λ2 = 423 nm con una
406 nm
Desexcitación tasa de producción de ∼ 5 107 s-1.
λ2=422.7 nm Grangier et al 84 (1986)
Ca(4s2), Nivel observaron el comportamiento
fundamental antibunching de esta radiación en
un típico experimento de
Hanbury-Braun y Twiss.
El problema de estas
Primeros niveles electrónicos del Ca. La fuentes es la complejidad de su
excitación se consigue mediante una absorción montaje experimental además, la
bifotónica y la posterior desexcitación en cascada
produce un par de fotones enredados. dirección en la se emiten los
pares es indeterminada lo que da
lugar a una baja eficiencia.

Conversión paramétrica espontánea a la baja


Las anteriores fuentes de estados enredados se diseñaron para ser utilizadas en
experimentos que comprobaban las correlaciones EPR. Eran fuentes que usaban
procesos de desexcitación en cascada en átomos82. Aunque eran adecuadas para los
propósitos iniciales, padecían de algunos problemas a la hora se ser utilizadas en otros
cometidos. Por ejemplo, la aleatoriedad en la dirección de emisión de los fotones,
implicaba una baja eficiencia, ya que los polarizadores utilizaban una colimación
previa, por otra parte, la espontaneidad del proceso de emisión, proporcionaba una
fuente probabilista de estados enredados.

53
Transmisión segura

En 1970 Burnham y Weinberg 85 descubren la producción de pares de fotones en


un proceso llamado conversión paramétrica espontánea a la baja (PDC o). El desarrollo
de procesos de óptica no lineal durante el último cuarto de siglo XX, ha proporcionado
fuentes prácticas y de mayor eficiencia. En la actualidad es posible preparar estados
enredados con cierta facilidad, mediante procesos no lineales.
La conversión paramétrica a la baja es un proceso óptico dentro del contexto de
la óptica no-lineal, en la que intensos campos electromagnéticos sufren dispersiones
inelásticas en medios materiales. En el dominio óptico, el concepto inelástico significa
que la radiación incidente no sólo cambia de dirección sino también de frecuencia.
La respuesta de la aplicación de un campo eléctrico externo a un material, se
puede describir a través de su vector polarización P, cuyas componentes se expresan
como un desarrollo en serie de potencias del campo eléctrico E:

Pi = χ ij( 1 ) E j + χ ijk
(2)
E j E k + χ ijkl
(3)
E j E k El + L

La respuesta habitual es la lineal, mientras que las de orden superior proporcionan


comportamientos no-lineales. El término cuadrático da lugar a diversas consecuencias,
entre ellas, la mezcla de tres ondas, en la que una radiación incidente de frecuencia ω se
puede transformar en dos de frecuencia ω/2 o bien en ω1 y ω2 cumpliendo la relación ω
= ω1 ± ω2.
Desde un punto de vista cuántico, no sólo es posible una emisión estimulada
como las del tipo anterior, sino una
emisión espontánea producida por
Eje óptico
ωs las fluctuaciones del campo de vacío.
El proceso se denomina conversión
ωp paramétrica espontánea a la baja.
Un fotón incidente ωp sobre un
cristal no-lineal, se convierte en un
par de fotones de menor frecuencia
Cristal
no lineal ωi (ωs, ωi), llamados señal y
compañero. El término paramétrico
hace referencia al hecho de no
Conversión paramétrica a la baja
cambiar el estado del cristal, lo que
implica una conservación de la
energía de los fotones dentro del medio:

ωp = ωs + ωi

El proceso se denomina degenerado, si los fotones producidos tienen igual frecuencia


(ωs = ωi = ωp/2) y no degenerado en el resto de casos. Además debe cumplirse una
condición de coincidencia de fases o conservación del momento lineal dentro del
medio:

kp = ks + ki

Teniendo en cuenta que k = ω n/c, para una situación colineal en la que el haz incidente
y los producidos tienen la misma dirección, la condición kp = ks + ki, es decir npωp =

o
Parametric Down Conversion

54
Dispositivos experimentales

nsωs + niωi (además de la relación de conservación de la energía), no puede cumplirse.


Por ejemplo, para el caso de un proceso degenerado se requiere que np(ωp) = np(ωp/2)
que no puede cumplirse cuando la función np(ω) es monótona creciente,
correspondiendo a la dispersión normal.
Es posible el cumplimiento de la coincidencia de fases teniendo en cuenta una
dispersión anómala, es decir, el decrecimiento del índice de refracción al aumentar la
frecuencia (lo que ocurre cerca de una frecuencia de absorción). Sin embargo la forma
más habitual de conseguirlo, es el empleo de cristales anisótropos birrefringentes, cuyos
índices de refracción dependen de la dirección de observación. Los cristales anisótropos
son los que no pertenecen al sistema cúbico y pueden ser tanto uniáxicos (tetragonal,
hexagonal y trigonal) como biáxicos (ortorrómbico, monoclínico y triclínico). Los
cristales uniáxicos son los que presentan una indicatriz óptica que es un elipsoide de
revolución. Todas las secciones perpendiculares a su eje óptico (z) son circulares y
tienen dos índices de refracción distintos: uno ordinario (ω) y otro extraordinario (ε). En
los cristales biáxicos, existen dos secciones circulares y dos ejes ópticos, presentando
tres índices de refracción distintos. Su indicatriz óptica es un elipsoide, pero en la
mayoría de situaciones de importancia, se puede trabajar con ellos en alguna de las dos
secciones circulares, lo que hace que su comportamiento sea eminentemente uniáxico.
Los términos no lineales en χ(2) sólo
Cristales uniáxicos aparecen en cristales con cierta asimetría, en
concreto en los no-centrosimétricos, que no
pertenecen al sistema cúbico. Para ellos, sólo
los tensores susceptibilidad eléctrica de orden
par son distintos de cero. En general los
fotones se propagan en direcciones no
colineales con respecto al haz incidente,
Indicarices ópticas de los cristales aunque en ciertas circunstancias es posible la
uniáxicos positivos y negativos emisión colineal. Los cristales usados más
habituales son KDP (KH2PO4), BBO (BaB2O4)
y LiNbO3, uniaxiales y el LBO (LiB3O5)
biaxial cuyas características aparecen en la tabla.

Material nx ny nz λ (nm)
KDP 1.4938 1.4938 1.4599 1064
BBO 1.67493 1.67493 1.54254 1064
LBO 1.565 1.590 1.605 1064

El cumplimiento de la coincidencia de fases, requiere que los cristales cumplan


ciertas condiciones, y sólo se cumple para un determinado intervalo de longitudes de
onda 86. Tanto para cristales uniáxicos como biáxicos, para cada dirección (o longitud de
onda) existen dos índices de refracción distintos, lo que permite dos esquemas distintos
de coincidencia de fases. Llamando a los índices de refracción “rápido” (nr) y “lento”
(nl) y nr < nl, en el tipo I se cumple:

kp(rápido) = ks(lento) + ki(lento)

con k(rápido, lento) = ω nr,l/c. Los fotones se producen en conos concéntricos con
vértice en el haz incidente, y ambos fotones tienen polarizaciones paralelas entre sí y
perpendicular a la del haz incidente. Los fotones correlacionados están en posiciones

55
Transmisión segura

opuestas respecto al haz incidente; en el mismo cono, en el caso degenerado o en conos


distintos, si es no degenerado.
En el tipo II se cumple alguna de las condiciones:

kp(rápido) = ks(rápido) + ki(lento)


kp(rápido) = ks(lento) + ki(rápido)

Aunque es teóricamente posible que el haz incidente corresponda al “lento”, en muchos


materiales no da lugar a una coincidencia de fases. Los fotones se producen en dos
conos (a veces denominados ordinario y extraordinario) cuyo vértice se sitúa en el haz
incidente y tienen polarizaciones perpendiculares entre sí.
La posición relativa de los dos conos, depende del ángulo entre la dirección del
eje óptico (perpendicular a la sección circular de la indicatriz óptica) y la de la dirección
incidente. En la situación colineal, ambos conos son tangentes a lo largo de la dirección
incidente. Si el ángulo (eje óptico-dirección incidente) aumenta, ambos conos se
inclinan hacia la dirección incidente y aparece una intersección de sus secciones.

Polarización

Cristal de BBO excitado con


CPB de tipo I no colineal
λ = 400 nm

Polarización

CPB de tipo II no colineal

La eficiencia de formación de pares de fotones a partir del inicial, depende del


módulo de la susceptibilidad eléctrica χ(2), pero en general es bastante baja. Una tasa
típica de generación de pares cuando el láser incidente tiene una potencia de 1 mW, es
del orden de 106 pares/s y la probabilidad de producirse dos pares de fotones en el
mismo intervalo temporal, es del orden del 1%.

56
Dispositivos experimentales

Tratamiento cuántico de la PDC


En el proceso de conversión paramétrica a la baja de tipo II, las no linealidades
acoplan tres modos del campo electromagnético por medio del típico hamiltoniano (en
la representación de interacción):

iω p
H I = ihχ ( 2 ) V e (ŝ x+ î y+ + ŝ +y î x+ ) + c.h.

donde los modos s e i se tratan cuánticamente a través de los operadores de creación


correspondientes, y el modo de bombeo (ωp) se considera un campo clásico (c.h. =
término complejo hermítico). La notación x e y se refiere a los modos polarizados según
los ejes correspondientes. Después de la interacción no lineal con el cristal, el estado es:

⎛1T ⎞ tanh χ ( ŝ x+î y+ + ŝ +y îx+ )


ψ = U ( T ,0 ) 0 = exp⎜ H I ( t )dt ⎟ 0 =
1
⎜ ih
⎝ 0
∫ ⎟
⎠ cosh 2
( χ )
e 0

donde U(T,0) es el operador evolución y |0> es el estado del vacío, χ depende (entre
otros parámetros) de χ(2). En el límite de χ pequeño, el desarrollo de la exponencial
anterior se puede truncar en primer orden:

(
ψ ≈ 1 − 2 χ 2 0 + χ 2 1sx 1iy + 1sy 1ix )
El estado obtenido es una aproximación, conteniendo únicamente un par de fotones,
además del estado vacío. El resultado anterior nos indica que el proceso de PDC no crea
pares de fotones puros, sino que existe una pequeña probabilidad de que se emitan dos o
más pares de fotones simultáneamente. La probabilidad de emisión de n pares de
fotones es:

( n + 1 )λn
P( n ) = siendo λ = senh 2 χ
( 1 + λ )n+ 2

Para más de dos pares de fotones, esta probabilidad es despreciable.


La PDC se puede producir usando fuentes de bombeo tanto continuas como
pulsadas. Este último caso se emplea cuando es necesario conocer el intervalo temporal
de creación del par y tiene el problema de la dependencia de la eficiencia del proceso
con la anchura de la radiación incidente. Si la radiación incidente tiene una cierta
anchura, no despreciable, el estado aproximado creado en la conversión paramétrica es
del tipo:

∫ ∫
ψ ≈ 00 + η dk1 dω1 dk 2 dω 2Φ ( k1 ,k 2 ;ω1 ,ω 2 ) â1+ ( k1 ,ω1 ) â 2+ ( k 2 ,ω 2 ) 00

Donde |00> es el estado de vacío que describe la situación en la que no hay conversión
paramétrica y Φ(k1, k2; ω1, ω2) describe la distribución de energía-momento. El
parámetro η es la eficiencia del proceso.

57
Transmisión segura

Estados enredados de polarización mediante PDC


Aunque los estados enredados de cualquier tipo son igualmente útiles para crear
correlaciones que permitan distribuir claves, los de polarización han sido especialmente
estudiados. Ello se debe a que se dispone de dispositivos manejables de gran eficiencia
en este campo.
Las primeras fuentes de conversión
paramétrica 87 usadas en experimentos con
pares de fotones eran de tipo I, y producían
estados producto. Para obtener los estados
enredados se usada un proceso de post-
selección mediante dispositivos ópticos
apropiados.
De procesos del tipo I se pueden
obtener estados enredados de polarización si
uno de los fotones se rota 90o antes (con una
lámina de media onda, λ/2) de superponerlo
en un desdoblador de haz 88. Post-
seleccionando los casos en los que los
fotones emergen en diferentes modos
Fuente de pares de fotones (1310 nm) espaciales, por medio de medidas de
enredados usada por Tittel (1998) en el coincidencia, se obtienen estados enredados
primer experimento de comprobación de las del tipo:
desigualdades de Bell a larga distancia (más
de 10 Km). Las dimensiones de la caja son
40×45×15 cm3. ψ =
1
2
(h
1 v2 + e iϕ v1 h2 )
donde los estados |h> y |v> son estados de polarización vertical y horizontal.
Esquemas de tipo II también permiten obtener estados enredados de polarización
con montajes similares, que implican pares en disposición colineal y una post-selección
por coincidencia 89.
También son posibles esquemas sin post-selección. En procesos de tipo II no
colineal y degenerado, los fotones se emiten en distintos conos con polarizaciones ya
perpendiculares. La primera
utilización de esta fuente la
λ/2 realizó Kwiat et al 90, utilizando
Cristal
no lineal un cristal de BBO de 3 mm de
h
espesor sobre el que incidía
Haz incidente radiación de 351.1 nm (150 mW)
BS
de un láser se argón. El cristal
v estaba tallado de forma que el
ángulo entre el haz incidente y el
eje óptico era de 49.2o y ambos
Producción de estados enredados de polarización conos de emisión (702 nm)
mediante una conversión paramétrica de tipo I y post- solapaban. Un problema adicional
selección. es el efecto de desplazamiento
que la birrefringencia del cristal
causa en los rayos ordinario y extraordinario. Aparece un desplazamiento transversal
entre ambos rayos, además de un desplazamiento (longitudinal) temporal relativo. La
magnitud de los desplazamientos, depende de la localización donde se ha creado el par
de fotones. Esta posición es completamente aleatoria.

58
Dispositivos experimentales

Los fotones se pueden distinguir a través del tiempo de llegada a los detectores,
si la diferencia temporal entre ellos cumple δT > τC (tiempo de coherencia de los pares).
El efecto es eliminar la posibilidad de distinguir a los fotones y, por lo tanto, el enredo.
Análogamente si el desplazamiento transversal es mayor que la longitud de coherencia,
es posible distinguir a los fotones.

Izquierda: Diagrama espacio-tiempo mostrando el desplazamiento de los rayos ordinario y


extraordinario al atravesar un cristal birrefringente, debido a sus diferentes velocidades. Derecha:
Montaje para producir estados enredados mediante un proceso de PDC de tipo II.

Para eliminar estos desplazamientos se pueden usar algunos trucos. Por ejemplo,
para borrar el desplazamiento longitudinal (distinguibilidad), Kwiat introduce, justo
después del cristal de BBO una lámina de media onda (HWP0) que intercambia la
polarización de los fotones y dos cristales (C1 y C2) de BBO, igualmente orientados y
con un espesor reducido a la mitad. En este experimento se alcanza una visibilidad del
97.8±1.%, reflejando la gran calidad de la fuente usada, que detecta 1500
coincidencias/s, usando una radiación incidente de 150 mW (10 s-1 mW-1).
Kwiat et al 91 han
introducido un nuevo montaje
|h1>|h2> de 1 para obtener directamente
estados enredados de
polarización usando un
esquema de tipo I. La fuente
emplea dos láminas delgadas
de cristal de tipo I tallados de
|v1>|v2> de 2 forma que sus ejes ópticos
forman un ángulo de 90o. Si
el haz incidente está
Generación de estados enredados de polarización mediante verticalmente polarizado, la
el apilamiento de dos cristales no-lineales que producen
PDC de tipo I y con sus ejes ópticos perpendiculares.
conversión paramétrica sólo
ocurre en la primera lámina
ya que debe cumplirse la
relación de fases y en el esquema de tipo I, los fotones emergentes deben tener
polarizaciones perpendiculares a la del haz incidente. Análogamente si el haz incidente
tiene una polarización horizontal, la conversión se producirá únicamente en la segunda
lámina. Cuando el estado de polarización del haz incidente es de 45o, la conversión se
producirá en cualquiera de las dos láminas. Si las láminas son suficientemente delgadas,
no es posible distinguir en cuál de ellas se ha originado el par y ambos procesos son
indistinguibles, dando lugar a un estado enredado del tipo:

59
Transmisión segura

ψ =
1
2
(
h1 h2 + e iϕ v1 v2 )
La fase φ depende de los detalles del montaje y es ajustable. En este experimento se
alcanza una visibilidad del 99.6 ± 0.3 % (eliminando la coincidencias accidentales). La
tasa de coincidencias es de 10000 s-1 (166 s-1 mW-1, usando cristales de BBO de 3 mm
de espesor y un láser con 60 mW). En la siguiente figura se recogen algunos datos
acerca de la evolución de la tasa de detección de las fuentes de PDC.
Tasa (s-1)

Evolución de la tasa de detección de pares enredados en polarización


(obtenidos por PDC) en función del año. La representación
proporciona una especie de “Ley de Moore” para el enredo115: cada 5
años la tasa de detección se multiplica por 100.

Estados enredados de momento


Otro tipo de estados enredados se presenta en procesos de conversión
paramétrica a la baja, debido al cumplimiento de la conservación de fase que gobierna
la emisión de fotones a diferentes longitudes de onda y en distintas direcciones.
Estos estados fueron creados por primera vez por Rarity y Tapster en 1990 92 y
son del tipo:

ψ = ∑ δ(ω
a ,b = s ,i
a + ωb − ω p ) δ (ka + kb − k p ) k a kb

El dispositivo que crea estados enredados de momento consta de un cristal no lineal de


KDP (deuterado) que produce pares de fotones del tipo I. Mediante dos sistemas de
doble rendija (A) se seleccionan dos modos distintos a y b caracterizados por dos
longitudes de onda, λa,b y momentos (o direcciones), que pertenecen a dos conos
distintos. De esta forma se eligen dos pares de estados |a1>|b2> y |b1>|a2> utilizando dos
dobles rendijas A.
El estado de los fotones es perfectamente distinguible desde un punto de vista
espacial, luego no están en un estado enredado. Para conseguir un estado enredado de
los modos a y b, se emplean dos desdobladotes de haz (BS) que “borran” la información
acerca de la trayectoria seguida por los fotones. El estado tras los desdobladotes es del
tipo:

ψ = A a4 b3 + B a3 b4 + C a4 b4 + D a3 b3

60
Dispositivos experimentales

En el que aparecen todas las combinaciones de los detectores, excepto |a3>|a4> y


|b3>|b4>, que no corresponden a la situación física de la emisión por conversión
paramétrica. Los coeficientes A, B, C y D dependen de las fases introducidas por las
placas Pa y Pb, y que controlan la aparición de coincidencias en los detectores. Según la
desigualdad de Bell |SB| ≤ 2, lo que corresponde a una visibilidad del 71%. En el
experimento de Rarity se obtenía una visibilidad del 82%, mayor que el máximo
predicho por cualquier TRL, mientras que el valor de SB = 2.21 ± 0.022.

a1 b2

b1 a2

a1
b1

b2
a2

Izquierda: montaje experimental para la preparación de estados enredados de momento. Los


pares correlacionados (a1, b2) y (b1, a2), se eligen mediante dos rendijas dobles. Derecha:
detalle de la elección de los pares de fotones correlacionados, generados por un proceso de
PDC tipo I. Los fotones se extraen colimando a través de ◊ y .

Estados enredados de energía-tiempo


La idea de este tipo de estados parte de Franson 93 en 1989 para comprobar las
desigualdades de Bell. Los estados enredados energía-tiempo son análogos a los de
polarización, únicamente que no tienen definida su energía ni el instante en que han sido
producidos. Franson propone como fuente de pares de fotones enredados energía-
tiempo, los pares de fotones producidos durante una desexcitación atómica en cascada
desde un estado |ψ1> de gran vida media τ1, pasando por un estado |ψ2> de corta vida
media τ2 << τ1, hasta alcanzar el estado fundamental |ψ3>. Los dos fotones se emiten al
mismo tiempo, salvo una incertidumbre del orden de ∼τ2. Por otra parte, el instante en el
que se produce la emisión de cualquiera de los fotones tiene una indeterminación mucho
mayor ya que τ1 >> τ2. Como consecuencia el par de fotones se describe como paquetes
de onda en los que su instante de emisión y energía son indeterminados. En el momento
de detectar uno de los fotones, se determina el instante de emisión del par, así como su
energía. El proceso implica una correlación no local. Ninguna teoría de variables ocultas
local puede determinar el tiempo de emisión de los fotones.
El primero en realizar y emplear una fuente de estados enredados energía-tiempo
fue Brendel et al 94 en 1992 y casi simultáneamente Kwiat et al 95, aunque no usando la
propuesta de Franson, sino empleando fuentes de PDC.

Estados enredados de energía-tiempo discreto p


Brendel et al 96 (1999) han propuesto una nueva fuente de estados enredados de
Bell correspondiente a la versión discreta de energía-tiempo. Ahora el instante de la
emisión del par de fotones enredados no implica una superposición continua y acotada
por la longitud de coherencia del láser de bombeo, sino que contiene sólo dos términos

p
Time-bin entanglement

61
Transmisión segura

(time-bin), determinados por el tiempo de llegada del pulso de láser al cristal no lineal
que produce el par de fotones correlacionados. Su mayor problema respecto a los
esquemas que usan estados enredados de
polarización, es la mayor complejidad de
los montajes para producir los estados y la
realización de medidas ya que involucra
interferómetros que deben ser estables.
El montaje es el siguiente. Un láser
envía pulsos monofotónicos a través de un
Mach-Zehnder asimétrico (con un brazo
largo y otro corto), antes de incidir sobre
un cristal no-lineal, que produce una Niveles de energía de una fuente de estados
conversión paramétrica a la baja. La enredados energía-tiempo.
longitud de coherencia del láser
(femtosegundos) es menor que la diferencia de caminos del interferómetro. Puesto que
los pulsos son cortos, no se observa interferencia monofotónica en el Mach-Zehnder, y
el estado a la salida es una superposición de estados:

a S i +b L i

donde los estados |S>i y |L>i describen un fotón incidente sobre el cristal no lineal,
recorriendo los brazos corto y largo del interferómetro, respectivamente. Los
coeficientes se pueden controlar mediante los desdobladores de haz, luego podemos
describir el estado de cualquier qubit. El fotón en este estado incide sobre el cristal no
lineal y crea un par de fotones (señal-compañero) en el estado:

aS s
S i +b L s
L i

Es un estado enredado en el que el par de fotones se ha podido producir cuando el pulso


del láser ha seguido el camino corto o bien el largo. El instante en el que se produce el
par de fotones producidos por conversión paramétrica, está indefinido, pudiendo tomar
dos valores discretos (time-bin). También lo está la energía de cada uno de los fotones,
aunque existe una relación de conservación que los liga. Ahora la longitud de
coherencia del láser de bombeo carece de importancia y puede usarse cualquier láser de
diodo.

Láser |L> |S>

aS s S i +bL s L i

Cristal
no lineal

Fuente de estados enredados de energía-tiempo discreto

62
Dispositivos experimentales

Fuentes de fotones individuales a partir de pares enredados


Mediante los estados enredados se pueden obtener, de forma elegante, estados
monofotónicos. Uno de los fotones correlacionados se emplea como “avisador”
(heralded) de la presencia de su compañero. Los detectores abren una ventana de
detección, únicamente cuando el fotón “avisador” ha sido detectado, a diferencia de la
estrategia usada con el resto de fuentes. Este esquema solventa (en gran parte) el
problema de los pulsos vacíos. Estos estados no solo se pueden usar como fuentes
monofotónicas, sino también como pares enredados para protocolos del tipo E91.

Fibra óptica

Cuentas por segundo

coincidencias
fotones

Circuito
Fuente Cristal d eléctrico
no lineal
Conexión
“avisador” eléctrica
Potencia del láser (mW)

Fuente monofotónica usando pares de Dependencia104 del número de cuentas por segundo
fotones enredados (izquierda) y coincidencias (derecha), con la potencia
del láser de diodo.

La idea de usar pares de fotones enredados para simular fuentes monofotónicas


fue sugerido por Klyshko 97 en 1977 y Mandel 98, y puesto en práctica por Rarity et al 99.
En sentido estricto estas fuentes con “avisador” no son fuentes monofotónicas
auténticas, ya que existe una cierta probabilidad de tener más de un fotón durante el
tiempo que dura la ventana de detección. Sin embargo, son capaces de conseguir valores
de g(2)(0) tan pequeños como requiera la situación experimental sin incrementar la
probabilidad de pulsos vacíos (P(0)), que puede ser del orden de 10-6. En la siguiente
tabla se comparan algunos resultados acerca de las probabilidad de pulsos vacíos P(0),
las probabilidad de pulsos monofotónicos P(1) y bifotónicos para varios sistemas. El
valor107 de g(2)(0) ∼ 2P(2)/P(1)2:

Fuente P(0) P(1) P(2) g(2)(0)


Fuente láser 0.905 0.09 4.5 10-3 1
débil
PDC 100 0.744 0.247 9. 10-3 0.28
Moléculas 101 0.953 0.047 5. 10-5 0.046
Centros de 0.978 0.022 2. 10-5 0.07
color NV 102
EE q+avisador106 0.617 0.376 6.3 10-3 0.089
EE+avisador 103 0.8096 0.1871 2.4 10-3 0.14
EE+avisador107 0.39 0.61 2.5 10-4 0.0013

Comparando losdatos, podemos ver que para los resultados de Alibart et al106 y
Fasel et al107, la P(1) es 0.38, que es cuatro y siete veces superior, respectivamente, a la
de un láser débil. En este último caso, el valor de g(2)(0) es considerablemente menor
que 1, mostrando un acentuado carácter antibunching.
q
Estados enredados + fotón “avisador”

63
Transmisión segura

Evidentemente estas probabilidades, así como la tasa de coincidencias, dependen


de la potencia del láser incidente, tal como muestran los resultados de Trojek et al 104
(véase figura).
Un cierto número de grupos en el mundo han realizado avances hacia la
construcción de una fuente monofotónica usando pares enredados. Un dispositivo típico
aparece en la figura. Consta de una fuente láser que genera pares de fotones en un
estado enredado. Uno de los fotones (“avisador”) se dirige hacia un detector d
conectado a un circuito que genera un pulso eléctrico, indicando la presencia de un
fotón compañero. Este fotón (línea superior de la figura), se retrasa lo suficiente
(mediante un arrollamiento de fibra óptica) hasta que el pulso generado por el
“avisador” alcanza al interlocutor apropiado, a través de la conexión eléctrica. Si la
fuente es un haz láser continuo, el montaje es asíncrono, a diferencia de la situación en
la que el láser es pulsado, en la que existe una sincronización entre el láser y la emisión
de fotones.
Una característica importante de las fuentes con “avisador” es la eficiencia de
aviso definida como la probabilidad de que el fotón compañero se esté moviendo en la
fibra cando se ha detectado el “avisador”. En la tabla se recogen algunas de las
características de fuentes con “avisador”.

Proceso no lineal Eficiencia Anchura Datos


532 nm→ 810+1550nm 60% 0.44 nm Montaje asíncrono, Pp < 1. mW s
PPKTP r,105 Temperatura ambiente
710 nm→ 1310+1550nm 38% - Asíncrono, Pp < 1. mW
PPLN 106 Temperatura ambiente
532 nm→ 810+1550nm 60% 6.9 nm Asíncrono, Pp ∼ decenas de mW
KNbO3 107 Temperatura ambiente
532 nm→ 808+1559nm 12.8 1.26 nm Asíncrono, Pp ∼ 1.-2. mW
PPLN 108 142oC
400 nm→ 800+800nm 85% 50 nm Pulsado, Pp < 1. mW
PPKTP 109
390 nm→ 780+780nm 83% 9 nm Pulsado, Pp ∼ 80. mW
BBO 110

Fuentes de fotones deterministas


La fuente de fotones ideal consiste en un dispositivo que produzca exactamente
un fotón a presionar un botón. Por el momento no se dispone de tales fuentes, aunque
existen varias líneas de investigación que pueden proporcionar resultados interesantes
en esta dirección. Algunas de ellas están relacionadas con fuentes ya citadas como:
sistemas atómicos o moleculares aislados; emisión en heterouniones p-n mesoscópicas o
puntos cuánticos semiconductores.
Otra posibilidad para obtener fuentes deterministas, es utilizar pares de fotones
generados por PDC. El problema que presentan es que el proceso de generación es muy
poco eficiente y aleatorio. Se pueden conseguir fuentes deterministas mediante sistemas
de multiplexado (espacial 111 o temporal) o almacenamiento. En ambos casos, los pares
de fotones se crean con una baja eficiencia. Cuando se detecta un fotón avisador, el
compañero se “almacena” para ser emitido posteriormente y cuando sea requerido por el
dispositivo.

r
Periodically polled KTP
s
Potencia de bombeo de la fuente

64
Dispositivos experimentales

Cristales no
lineales Fotones
individuales

Circuito
eléctrico de
selección
Láser de
bombeo

Sistema multiplexado con fuentes PDC. Un conjunto de


cristales no lineales son iluminados simultáneamente para
producir pares de fotones enredados. Cuando se detecta un
fotón “avisador”, su compañero se envía al canal de salida

4.3. Canales cuánticos.


La información cuántica se codifica mediante algún tipo de sistema cuántico de
dos niveles, que se envía desde Alicia hasta Bob, a través de algún soporte físico o canal
cuántico. A continuación revisamos algunos de ellos.

Fibras ópticas
Una fibra óptica está constituida por un medio óptico transparente (tal como un
vidrio), configurado en una parte interna o “core” y una parte externa. Ambas tienen
distinto índice de refracción con el objetivo de confinar a luz en su interior por medio de
una reflexión total.
La luz es guiada a través de una fibra óptica por medio de un índice de
difracción n(x,y) (la dirección z es la de propagación a lo largo de la fibra). La ecuación
de evolución es análoga a la de Schrödinger con V(x,y) = -n(x,y), que actúa como pozo
de potencial (o corazón de la fibra). Si este potencial es profundo, son posibles muchos
estados o modos ligados, dando lugar a una fibra multimodo, con un diámetro del
corazón de unos 50 μm. Los distintos modos se acoplan entre sí actuando como un
entorno respecto al qubit, no siendo apropiadas para su uso. Si el corazón es pequeño
(para λ=1.3-1.5 μm es de unos 8 μm de diámetro), la fibra sólo permite un modo (son
fibras monomodo), apropiadas para ser empleadas como canales cuánticos. Además de
estos dos tipos generales, existen fibras que preservan la polarización.
Un de las principales características de la fibras ópticas es su atenuación. La
atenuación en las fibras ópticas se produce a través de varios mecanismos: absorción,
dispersión y deformaciones de la fibra. Se puede definir una atenuación por unidad de
longitud (L), en términos de la potencia incidente Pi y la potencia a la salida de la fibra
PS como:

10 ⎛P ⎞
Atenuación = − log 10 ⎜⎜ i ⎟⎟
L ⎝ PS ⎠

Si la longitud (L) se expresa en km, la unidad de atenuación es el decibelio/km (dB/km).

65
Transmisión segura

La absorción se define como la porción de la atenuación debida a la conversión


de la potencia incidente en otro tipo de energía, tal como el calor. Se puede producir
debido a impurezas o a la estructura intrínseca de la fibra. En la figura se muestra la
atenuación para las fibras ópticas de silicio. Aparecen dos regiones de absorción
intrínseca claramente diferenciadas: la ultravioleta y la infrarroja. La primera se debe a
transiciones interbanda, mientras que la segunda se debe a absorciones por el retículo
cristalino, concretamente a la vibración de los enlaces Si-O. Las trazas de diversos
metales como hierro, níquel o cromo, proporcionan una atenuación por absorción de las
impurezas. La presencia de agua en la fibra introduce enlaces Si-OH- que, aunque
absorbe a 2700 nm, sus
armónicos surgen en la región
de operación de la fibra.
Aparecen dos picos, uno a
1383 nm y otro a 1250 nm.
Las pérdidas por
dispersión, se deben a la
interacción de la fibra con las
fluctuaciones de densidad de
la fibra. Si el tamaño de la
región en la que varía la Pérdidas para una fibra óptica de SiO2 en
densidad es menor que λ/10, función de λ
la dispersión se llama de
Rayleigh y sus pérdidas se comportan como 1/λ4. El comportamiento de la atenuación
define tres regiones: la primera ventana de telecomunicación (∼800 nm), llamada así por
la existencia de buenas fuentes y detectores. La segunda ventana (∼1300 nm) con
pérdidas del orden 0.35 dB/km y la tercera que corresponde al mínimo de la atenuación
(0.2 dB/km).
En las fibras multimodo, su diferente propagación produce procesos de pérdida
de la polarización. Por otra parte las fibras que preservan la polarización, no permiten la
transmisión eficiente de un qubit en cualquier estado de polarización. Un posible canal
cuántico para fotones son, pues, las fibras ópticas monomodo. Los fotones transmitidos
deben de ser eficazmente detectados y las características de las fibras ópticas deben
estar en consonancia con las de los detectores usados. Hay dos posibilidades: o bien se
eligen fuentes de fotones con longitudes de onda entre 600 - 800 nm, para los que
existen buenos detectores, o bien se eligen fuentes compatibles con las fibras ópticas
usadas en telecomunicaciones, que transmiten entre 1300 - 1550 nm y que tienen una
baja atenuación. En el primer
caso se requieren fibras ópticas
especiales, ya que las existentes
presentan una atenuación
importante (2-3 dB/km), mientras
que en el segundo (cuyas
pérdidas son menores, 0.35
dB/km para 1300nm y 0.2 dB/km
Controlador de la polarización “bat-ears”. La paleta para 1550) se requieren
izquierda y la derecha contienen un lazo de fibra y detectores con una mayor
actúan como láminas de cuarto de onda. La paleta
central contiene dos lazos y actúa como una lámina de
eficiencia. Sin descartar ninguna
media onda. La rotación de las tres paletas permite de ellas, parece que esta última
describir la esfera de Poincaré completa. posibilidad es la que goza de
mejores perspectivas para

66
Dispositivos experimentales

comunicaciones a largas distancias, en un futuro.


Una de las formas más habituales de QKD, emplea la codificación de qubits en
estados de polarización enviados a través de fibras ópticas monomodo. Por ello además
de las pérdidas por atenuación, se deben controlar los efectos nocivos relacionados con
la pérdida de polarización. Uno de los efectos más importantes que causan pérdidas de
polarización es la birrefringencia, o dependencia de la velocidad de transmisión con el
estado de polarización. Su origen puede ser diverso: tensiones mecánicas en la fibra o
variaciones térmicas. En ciertos casos, estas transformaciones son unitarias y pueden
compensarse mediante compensadores de la polarización que introducen birrefringencia
controlada. Existen tres tipos principales de controladores: “las orejas de murciélago” t,
que consisten en varios lazos de la propia fibra; láminas de onda ajustables mediante un
tornillo, que inducen una birrefringencia variable y un conjunto de piezo-actuadores en
varios ejes.
Otros efectos que causan la pérdida de polarización son la dispersión de los
modos de polarización, consistente en la birrefringencia debida al diferente
comportamiento de segmentos de la fibra situados aleatoriamente. Por otra, parte la
dispersión cromática está relacionada con la diferente velocidad de propagación de las
componentes de una radiación de cierta anchura.
En la actualidad, la criptografía cuántica con qubits codificados en estados de
polarización y enviados a través de fibras, está restringida a varias decenas de km,
debido a la combinación de su atenuación y a la eficiencia de los detectores.

Transmisiones a través de la atmósfera.


Las fibras ópticas no siempre están disponibles, por lo que se están haciendo
esfuerzos para desarrollar comunicaciones cuánticas a través del aire. Estas
transmisiones presentan la ventaja, frente a las fibras ópticas, de tener una alta
transmisión a 770 nm y 800 nm, región en la que existen detectores con alta eficiencia
de detección (APDs de silicio). Además la atmósfera es poco dispersiva y prácticamente
no birrefringente, a estas longitudes de onda. Por lo tanto es posible usar una
codificación de los qubits en estados de polarización. Existen, sin embargo, ciertos
inconvenientes relacionados con las pérdidas de energía debidas a las condiciones
variables de la atmósfera. Otro problema es el aumento de la sección de llegada del haz
de fotones debido al ensanchamiento
por difracción. La contribución de la
radiación ambiente a los errores puede
mantenerse en un nivel razonable
mediante la combinación de una
discriminación temporal (usando
ventanas de detección de algunos ns),
un filtrado espectral, con filtros de
interferencia y mediante un filtrado
espacial, a través de un acoplamiento
en fibras ópticas.
Pérdidas por transmisión a través de la
atmósfera en Los Álamos. Nótese la ventana de Empleo de repetidores cuánticos
transmisión alrededor de 770 nm que coincide Las fibras ópticas parecen estar
con una alta eficiencia de los detectores de limitadas a transmisiones de unas
avalancha de Si. decenas de km. Estas distancias se

t
Bat-ears

67
Transmisión segura

pueden incrementar con el empleo de estados enredados que permiten la transmisión de


información mediante un intercambio de enredo en repetidores cuánticos. La
consecuencia es que para pequeñas distancias no presentan ventajas debido a las
pequeñas eficiencias de los detectores, sin embargo aumentan las distancias máximas de
transmisión. En presencia de decoherencia en el canal, es posible realizar una
purificación del enredo para eliminar errores. De momento la tecnología de los
repetidores presenta importantes problemas, aunque hay líneas de investigación muy
activas en este campo.

4.4. Detección de fotones


Una vez elegida una fuente adecuada de fotones y un canal de comunicación
cuántico, debemos disponer de detectores fotónicos 112,113,114,115 adecuados. En
criptografía cuántica las características de los detectores determinan parámetros de vital
importancia como la máxima distancia de transmisión o la tasa de transmisión de la
clave. Requerimos detectores que funcionen en las tres ventanas típicas de detección:
primera alrededor de 800 nm (para transmisiones a través de la atmósfera), segunda ∼
1300 y tercera ventana de detección a ∼ 1550 nm (para transmisiones a través de fibra
óptica).

Existen diversos parámetros para caracterizar a los detectores. A continuación se


indican los más representativos para nuestros objetivos.

1. Eficiencia cuántica: da una medida de la probabilidad de obtener una respuesta


de la detección de un fotón.
2. Corriente de oscuridad: corriente de salida del detector en ausencia de radiación
incidente. Da cuenta de la probabilidad de una detección falsa.
3. Probabilidad de los pulsos subsiguientes (afterpulsing): probabilidad de obtener
una detección falsa, justo después de una verdadera.
4. Tiempo de recuperación del detector: tiempo en el que detector no está activo
después de cada detección.
5. Tiempo de fluctuación (timing jitter): desviación promedio del tiempo
transcurrido entre la detección de un fotón y la generación de una señal eléctrica.
Con el fin de tener una buena resolución temporal, este tiempo de fluctuación
debe ser pequeño.

Un buen detector debería tener una alta eficiencia en un intervalo espectral lo más
amplio posible, baja probabilidad de detecciones falsas y de pulsos subsiguientes;
pequeño tiempo de recuperación y de fluctuación. Además es necesario que los
detectores sean compactos y manejables. Desafortunadamente, es difícil, cuando no
imposible, que un detector cumpla todos los requisitos. A continuación revisamos las
características de algunos detectores que proporcionan buenas prestaciones.

4.4.1. Fotodiodos de avalancha


Una de las mejores elecciones son los fotodiodos de avalancha (APD u). Son
dispositivos basados en heterouniones de semiconductores, siendo los más habituales de
silicio, germanio y arseniuro de indio y galio, dependiendo de la región de detección.

u
Avalanche Photodiode

68
Dispositivos experimentales

En un APD los fotones son absorbidos (transiciones interbanda) creando pares


electrón-hueco (1) que son acelerados (2), produciendo una ionización en avalancha (3),
creando una corriente que puede medirse.

Tipo n Tipo p
Ganancia Modo Geiger
finita

Campo eléctrico

Regiones de una APD Proceso de avalancha en un

El APD puede operar con un factor de multiplicación M v finito cuando el voltaje


V inverso es menor que el de ruptura (VB) o puede operar en el modo Geiger si V > VB.
En el modo finito se produce una avalancha de acuerdo con el valor M, proporcionando
una fotocorriente mayor que en ausencia de avalancha. Si el ruido es suficientemente
pequeño, el APD se puede usar para la detección de fotones individuales, aunque es
bastante difícil. En el modo Geiger (habitualmente usado), la heterounión se polariza
por encima de VB sin paso de corriente (punto B), un portador de carga puede producir
una avalancha que proporcione una corriente de algunos mA (punto C), que puede
detectarse fácilmente. El siguiente paso es preparar el detector para la siguiente
detección y hay que eliminar la avalancha producida, dejando al dispositivo en el punto
inicial B. Existen tres métodos principales para eliminar la avalancha:

a) Extinción pasiva.
Se conecta una gran resistencia (50-500 kΩ) en serie con el APD, lo que causa
un decrecimiento del voltaje del APD tan pronto como empieza la avalancha.
Cuando el voltaje disminuye por debajo del de ruptura, la avalancha se detiene y el
APD se recarga. En esta situación, la tasa máxima de detecciones varía entre
algunos cientos de kHz hasta algunos MHz.

b) Extinción activa
Una vez se ha producida la avalancha, un circuito externo la detecta y disminuye
el voltaje del APD por debajo de VB mediante algún tipo de control activo. Este
mecanismo proporciona tasas de detección mayores que en el caso de una
eliminación pasiva, llegándose a alcanzar decenas de MHz. Sin embargo, los
circuitos externos de control son más complejos.

c) Extinción mediante una “compuerta” temporal


Si se conoce aproximadamente el instante de llegada de un fotón, el voltaje
puede aumentarse por encima de VB (una cantidad VE) justo antes de este instante y
disminuirlo después, lo que corresponde a una compuerta temporal de detección de
anchura tgate. El resto del tiempo, el voltaje se mantiene por debajo de VB. Si se
v
Se denomina factor de multiplicación M de un APD, al número promedio de pares electrón-hueco
producidos cuando se inyecta un hueco en la región de avalancha.

69
Transmisión segura

detecta una avalancha durante el tiempo de la compuerta temporal, se puede


registrar y extinguir mediante un circuito externo. Con este método se alcanzan tasas
de detección análogas a las obtenidas con una extinción activa pero los circuitos
externos son más simples.

Método de extinción de compuerta temporal de


anchura tgate.

La eficiencia cuántica (QE) de un APD es el producto de dos factores: la


probabilidad de que un fotón sea absorbido en la región activa y la probabilidad de que
el par electrón-hueco genere una avalancha cuya fotocorriente generada sea detectada
por el circuito externo. Ambos factores son ampliamente independientes. La
probabilidad de absorción depende la longitud de onda del fotón y de la construcción
del APD, mientras que la probabilidad del inicio de la avalancha aumenta al hacerlo la
diferencia V-VB.
Existen diversos procesos no deseables que ocurren en los APD:

a) Cuentas oscuras
Son avalanchas que aparecen sin la absorción de fotón alguno. Su origen es diverso:

• Generación térmica. Debida a procesos de generación-recombinación de cargas en


niveles de impureza situados en la banda prohibida. Se pueden eliminar
disminuyendo la temperatura de funcionamiento o mejorando la tecnología de los
semiconductores.
• Efecto túnel banda-banda. Bajo el efecto de grandes campos eléctricos son
posibles transiciones banda-banda por efecto túnel. Este efecto prácticamente es
independiente de la temperatura.
• Pulsos subsiguientes (afterpulses). Los portadores son atrapados en niveles
profundos durante la avalancha y subsiguientemente emitidos de forma aleatoria.
La vida media de estos niveles se incrementa al disminuir la temperatura. Aunque
la densidad de tales niveles puede disminuirse mediante una mejor tecnología de
semiconductores, sigue siendo uno de los mayores problemas en muchas
aplicaciones. Ya que el número de niveles ocupados disminuye exponencialmente
con el tiempo, estos pulsos pueden limitarse alargando el tiempo de recuperación
lo que establece una fuerte relación entre los pulsos subsiguientes y la tasa de
detección.

b) Extinción espontánea de avalanchas


La aparición y desaparición de las avalanchas son procesos estadísticos. Es posible
que un portador de carga falle a la hora de crear una avalancha o que una avalancha

70
Dispositivos experimentales

comenzada se extinga antes de alcanzar un nivel detectable. Por ejemplo, la


probabilidad de extinción para una corriente menor que 100 μA, es significativa.

El distinto comportamiento de las cuentas oscuras por generación térmica y los


pulsos subsiguientes frente a la temperatura, plantea un problema de optimización. Por
otra parte, el incremento del voltaje externo aumenta la eficiencia pero a costa de
incrementar el número de cuentas oscuras. En general no hay una elección
completamente satisfactoria a la hora de elegir un detector y dependerá del aspecto que
queramos potenciar.
Existen diversos materiales que se han usado para la construcción de APDs: Si,
Ge y heteroestructuras de InGaAs/InP.

Detectores para λ < 1100 nm: Fotodiodos de Silicio


Los fotodiodos de Si ofrecen una solución casi perfecta para detecciones en el
intervalo entre 400 nm y 1100 nm (visible e IR cercano). A longitudes de onda menores
los fotones se absorben en la superficie, mientras que a mayores longitudes de onda
necesitan una profunda región de absorción. Pueden incorporar todos los métodos de

Izquierda: comportamiento típico de


la eficiencia cuántica de un APD de
Si (CS30902S/CS30921SS)119.
Derecha: estructura de un fotodiodo
de silicio

extinción y presentan baja tasa de cuentas oscuras y pulsos subsiguientes. Tienen


buenas características tal como se recoge en tabla comparativa general (al final).

Detectores para λ > 1100nm: Fotodiodos de Germanio y InGaAs


Para la segunda y tercera ventanas de detección existen los APDs de germanio
(∼1300 nm) o InGaAs/InP, mientras que para la tercera (∼1550 nm) sólo las de
InGaAs/InP tienen buenas prestaciones.
Las APD de Ge empezaron a utilizarse en el campo de la comunicación cuántica
con la necesidad de transmitir fotones a grandes distancias a través de fibra óptica y por
tanto a longitudes de onda de la telecomunicación. En 1993 Townsend et al 116 Pusieron
en práctica un montaje de criptografía cuántica a lo largo de una distancia de 10 km,
siendo los primeros en usar APDs de Ge trabajando en modo de extinción pasiva y
enfriando a 77 K (temperatura del nitrógeno líquido). El enfriamiento es necesario para
disminuir el número de cuentas oscuras, que es varios órdenes de magnitud mayor que
en el caso de APDs de Si. También los pulsos subsiguientes son mayores que en los
APDs de Si. A temperaturas de 77 K, la eficiencia típica es del 15%, con una tasa de
cuentas oscuras de 25 kHz y tiempos de fluctuación de 200-300 ps, aunque se han
obtenido valores menores de 85 ps 117.

71
Transmisión segura

En la actualidad los APDs de Ge están siendo sustituidos por APDs de


InGaAs/InP. En estos dispositivos, los fotones son absorbidos en el InGaAs, mientras
que la avalancha se produce en la capa de InP.
En la figura aparece un
esquema de un APD de p+InP InGaAsP n+InP
InGaAs/InP, donde se aprecia una
región de avalancha y una de Avalancha Absorción Sustrato
absorción con una interfase
p+InP/n-InP. La aplicación de una V
polarización inversa (V) hace que -
n InP InGaAs
la región de vaciamiento aumenta
hacia el interior de la región de n-
InP hasta alcanzar la región de Esquema de un APD de InGaAs/InP
absorción. En este instante, aparece
un campo eléctrico no nulo en la región de absorción, lo que permite a las cargas libres,
desplazarse hasta la región de avalancha. Al alcanzar esta región, las cargas se aceleran
produciendo una multiplicación por ionización (o avalancha), lo que permite la
detección de la señal óptica inicial. En el dispositivo se introduce una capa intermedia
de InGaP que sirve de unión entre el InP (Eg = 1.35 eV a 300 K) y el InGaAs (Eg = 0.73
eV a 300 K), con el fin de favorecer la captura de huecos en la región avalancha. Si el
fotón se absorbe directamente en la región de avalancha, ésta se produce
inmediatamente. La multiplicación obtenida en el APD, depende mucho de la
polarización inversa aplicada. En función de la estructura concreta del dispositivo, los
voltajes de trabajo varían entre 10 y 500 V.
Las cuentas oscuras y, en concreto, las cuentas subsiguientes representan una
clara limitación de estos fotodiodos. Aquellas cuyo origen es térmico se pueden
eliminar por enfriamiento. En la figura se observa la disminución de la probabilidad de
las cuentas oscuras al disminuir la temperatura. Un aumento del voltaje del APD
aumenta la eficiencia pero también las cuentas oscuras, tal como muestra la figura.

Izquierda: eficiencia120 de un APD de InGaAs/InP. Derecha: probabilidad de cuentas oscuras en


función de la eficiencia cuántica, cuyo aumento se obtiene al hacerlo el voltaje externo.

Sin embargo, a bajas temperaturas la vida media de los portadores atrapados es larga, lo
que afecta a la tasa de detección. Trabajan bien en el modo de compuerta temporal o
con una extinción activa. Ribordy et al 118, para 1300 nm, obtienen una eficiencia del
16% a 173 K, con una probabilidad de cuentas oscuras de 10-5 ns-1 y un tiempo de
fluctuación menor de 200 ps.

72
Dispositivos experimentales

La sensibilidad de los fotodiodos se puede caracterizar mediante la potencia de


ruido equivalente (NEP w), definida como
la potencia óptica que genera una
fotocorriente igual a la corriente del
ruido:


NEP = 2 RCO
η

donde η es la eficiencia y RCO las


cuentas oscuras por unidad de tiempo. La NEP en función de la longitud de onda para
unidades del NEP son W(Hz)-1/2 fotodiodos de Si, Ge y InGaAs/InP
correspondiendo sus valores pequeños a
altas sensibilidades del detector.

Tasa de Rendimiento Tiempo de Cuentas


Detector T(K) detección cuántico (%) fluctuación oscuras x λ(nm)

APD, Si Perkin- 295 15 MHz 65 25 Hz 650


Elmer SPCM-AQR 119 (22oC )
APD, Si ambiente 20 MHz 4-35 40 ps < 1 Hz 350-
Id 900
Quantique/id100 120
APD, CMOS-Si ambiente 22-28 MHz 4-35 60 ps 15-300 Hz 350-
Id 900
Quantique/id101120
APD-Ge 121 77 10-20 < 200 ps 7 10-6-2.10-5 1300
-4
APD, InGaAs/InP ambiente 10-25 300-800 ps <1.2 10 900-
Id ns-1 1700
Quantique/id201120
APD, InGaAs/InP 173 5 MHz 16 < 200 ps 10-5 ns-1 1300
Ribordy et al118
id 77 5 kHz 52 10-5 ns-1 1300
id 173 7 10-5 ns-1 1550
APD, InGaAs/InP 175 10 200 ps 10-5 ns-1 1550
Buller et al 122
Epitaxx-APD, 213 MHz 10 450 ps 10-5 ns-1 1550
InGaAs/InP
Stucki et al 123
Detector visible 6.9 MHz 88.2±5 2 10-5 ns-1 694
Takeuchi et al126
STJ 0.32 5 kHz > 60 5 μs 310-
Bruijne et al127 720
TES 200 kHz 88 5 μs 1550
Rosenberg et al130
SSPD 1.8 57 41 ps 1550
Rosfjord et al133
SSPD 4.2 10 GHz 5 35 ps 10-10 ns-1 1300
Sobolewski et al134
SSPD 4.2 2 GHz 20 ∼ 18 ps 10-11 ns-1 400,
Verevkin et al132 10 1300,
5 1550

w
Noise Equivalent Power

73
Transmisión segura

Estos detectores se han usado en protocolos de distribución de claves. Kosaka et


al 124 han obtenido interferencia monofotónica con una visibilidad del 83%. Usan un
dispositivo interferométrico con un protocolo de codificación en fase y un montaje
“plug and play” conectado a través de 100 km de fibra óptica con 0.25 dB/km de
pérdidas. El sistema opera a 1550 nm y la luz es atenuada hasta alcanzar μ = 0.1
fotones/pulso. Usan APDs de InGaAs (con balance a la salida 125) enfriada a -106.5 oC
(166.5 K), con una probabilidad para las cuentas oscuras de 2 10-7 por pulso lo que
proporciona una eficiencia del 10%.

4.4.2. Fotomultiplicadores de estado sólido y VLPC y


Ambos dispositivos están relacionados por el mecanismo de detección y por la
tecnología de fabricación, diferenciándose en la forma en que las capas de materiales
están dispuestas. Estos dispositivos usan la ionización de impurezas como mecanismo
de detección de los fotones, a diferencia de los APDs, que usan transiciones banda de
valencia-conducción. Por ejemplo, los niveles de As cuando dopa a un semiconductor
de Si se sitúan 54 meV por debajo de la banda de conducción, con lo que su ionización
requiere campos eléctricos mucho más pequeños que los necesarios en los APDs. Como
contrapartida, para evitar la excitación térmica de los electrones de la impureza a la
banda de conducción, se debe enfriar por debajo de 7 K.
En los detectores de fotones de luz visible, los fotones se absorben en la región
intrínseca de Si, generando un par electrón-hueco. Los huecos migran hacia la región de
ganancia (Si dopado con As) donde excita a los electrones de la impureza hasta la banda
de conducción, siendo acelerados y causando un proceso de avalancha. Los huecos de la
impureza tienen mucha menos movilidad y no producen ningún proceso de avalancha.
Cuando se detecta un fotón aparece un punto de algunos μm de diámetro, dejando el
resto de su superficie activa para posteriores detecciones. Ello posibilita la detección de
fotones individuales así como de varios fotones simultáneamente ya que la probabilidad
de incidencia en la misma región es extremadamente pequeña. Estos dispositivos
proporcionan eficiencias altas 126, mayores del 80%.

Región Región de Región de Región de


Antirreflectant Contacto intrínseca ganancia migración contacto

Fotones visibles
0.4μm-1 μm

Esquema de un detector de fotones de luz visible (VLPC)

4.4.3. Detectores superconductores


Los detectores de fotones de luz visible pueden detectar fotones individuales,
pero trabajando en condiciones de máxima eficiencia introducen cuentas oscuras del
orden de 10 kHz, además estos sólo son sensibles en la región visible. Los detectores

x
En aquellos casos en los que la detección emplea un método de compuerta temporal, las cuentas oscuras
se proporcionan en ns-1.
y
Visible Light Photon Counter (detectores de fotones en el visible).

74
Dispositivos experimentales

basados en un comportamiento superconductor pueden conseguir parámetros de


detección especiales: cuentas oscuras extremadamente pequeñas (casi nulas) o una
sensibilidad casi independiente de la longitud de onda en su intervalo de detección,
además de la posibilidad de detectar fotones individuales así como su energía. La
eficiencia puede aproximarse, en teoría, al 100%.
En todos estos dispositivos, el proceso inicial de amplificación se basa en que la
energía de un fotón IR es varios órdenes de magnitud mayor que la banda de energía
prohibida (2Δ) entre los pares de Cooper y los electrones libres. El primer paso en la
absorción, es la ruptura de pares de Cooper por parte de los fotones incidentes-

Detectores superconductores de efecto túnel (STJ) z


Consisten en dos electrodos metálicos (formados por una capa de Al y Nb)
separados por una lámina de aislante, formando una unión Josephson. El dispositivo se
enfría por debajo de la temperatura crítica de ambos electrodos. Los fotones son
absorbidos por la capa de Nb a través de una ruptura de pares de Cooper, creando una
gran cantidad de electrones libres que migran hacia la capa de Al. Un campo magnético
aplicado paralelamente a la capa de aislante, elimina el efecto túnel de los pares de
Cooper, y cuando la diferencia de potencial externo aplicado es menor que 2Δ/e (siendo
e la carga del electrón y 2Δ la banda prohibida del superconductor) el único efecto túnel
se debe a los electrones, que crean una corriente detectable.
Estos detectores son eficientes en el IR, visible y UV y operan a temperaturas de
los mK y campos magnéticos de mT y proporcionan eficiencias mayores del 50% 127.

Sensores de transición en el borde superconductor-estado normal (TES) aa


Estos sensores se comportan como microcalorímetros y consisten en una lámina
superconductora, por ejemplo de W, enfriada por debajo de su temperatura crítica (100
mK). La lámina se mantiene en la región de transición desde el estado normal al
superconductor mediante un calentamiento Joule, producido por una corriente
mantenida por una diferencia de potencial externo. En esta región de transición la
resistencia cambia rápidamente con la temperatura. La absorción de un fotón produce

Fotón Termómetro R

Absorbente
Conexión
térmica

Depósito térmico Región de T


transición

Izquierda: esquema general de un TES. La lámina superconductora hace de


colector de fotones y termómetro y está conectada a través de una conexión
térmica a un depósito que detecta variaciones de calor. Derecha: variación de la
resistencia en función de la temperatura en la región de transición estado
normal- superconductor.

un incremento en la temperatura del sensor, que da lugar a una variación de resistencia.


El cambio en la corriente (ΔI) debida al voltaje externo (Ve) permite detectar la
absorción del fotón. La energía absorbida por el detector es E = ∫ ΔPjoule dt = Ve ∫ ΔI dt,

z
Superconducting Tunel Junctions
aa
Transition Edge Sensors

75
Transmisión segura

que (sin parámetros adicionales) representa la energía del fotón. El sensor realiza una
discriminación de fotones individuales.
A 125 mK, se han observado 128 eficiencias del 20% con unas cuentas oscuras de
0.001 Hz. La eficiencia de un sensor con una lámina de W de 20 nm de espesor es del
15-20%, en la región visible e IR y está limitada por la reflexión en la superficie y la
transmisión a través de ella. Es posible aumentar la eficiencia embebiendo el sensor en
una cavidad óptica apropiada 129 que aumente la absorción. Con esta técnica, Rosenberg
et al 130, han obtenido eficiencias del 88.6 %, enfriando a 110 mK para 1550 nm. Sin
embargo el tiempo de decaimiento de la corriente después de la detección es de 5 μs
(apreciablemente largo); lo que sólo proporciona tasas de detección de 200 kHz.
Simulaciones de estos dispositivos indican la posibilidad de incrementar su eficiencia
por encima del 99%.
La primera demostración experimental del empleo de los TES en la distribución
cuántica de claves se debe a Rosenberg et al 131. Realizan una transmisión a través de 50
km de fibra óptica usando fotones (μ=0.1) de 1550 nm. Los detectores tienen una
eficiencia del ∼89%, un tiempo de recuperación después de cada detección de 4μs y
unas cuentas oscuras despreciables.

Detectores monofotónicos superconductores (SSPD) bb


Consisten en una fina cinta de superconductor a la que se aplica una diferencia
de potencial tal que la corriente que fluye es menor que la crítica. Cuando un fotón es
absorbido en la cinta, se crea una pequeña región caliente y no-superconductora ((b) de
la figura). La corriente se desplaza a través de una sección menor (c), con lo que la
densidad de corriente supera a la crítica y se crea una barrera de estado no
superconductor en la cinta (d). Después de algunos ps, la barrera desaparece debido a
que los electrones se han enfriado a través de la dispersión electrón-fonón,
recuperándose el estado superconductor. La formación transitoria de esta barrera
produce un pulso de voltaje (del orden de 30 ps y 200 mV) detectable. La rapidez del
proceso permite tasas de cuentas que exceden los GHz. Sin embargo, no parece posible
la formación de varias berreras simultáneas en la cinta con lo que estos detectores no
pueden utilizarse como contadores de fotones idividuales. Su posible resolución en
energía todavía no ha sido demostrada.

Generación de una barrera no superconductora al Cinta de NbN superconductor de


incidir un fotón en un SSPD 130 nm de anchura.

Verevkin et al 132 han desarrollado un SSPD de nitruro de niobio (NNb).


Proporciona una eficiencia por encima del 20% en la región visible y del 10% en 1300-

bb
Superconducting Single Photon Detectors

76
Dispositivos experimentales

1550 nm, con un tiempo de fluctuación de 18 ps, enfriando a 2.5 K (helio líquido). La
tasa de cuentas oscuras es de 0.01 Hz y la de de detección de 2 GHz. Rosfjord et al 133
han obtenido eficiencias del 57% para 1550 nm (1.8 K) y del 67% a 1064 nm (a 4.2 K).
Sobolewski et al 134 han diseñado un detector de NbN ultra-rápido en el visible e
IR. Obtienen una eficiencia mayor del 10% para luz visible, un 5% para 1300 nm y un
3% para 1550 nm, con tiempos de fluctuación del orden de 100 ps y cuentas oscuras
menores de 0.01 s-1. Por otra parte Collins et al 135 han desarrollado un SSPD para 850
nm que funciona a 3.3 GHz y con un bajo tiempo de fluctuación, del orden de 68 ps. A
pesar de su menor eficiencia (∼5%) con respecto a los APDs de Si, su bajo tiempo de
fluctuación proporcionan menores tasas de error.

Detectores de conversión a la alta


Aunque quizás puedan no considerarse detectores en sí mismos, la posibilidad
de transformar la longitud de onda de los
fotones incidentes en otras más cortas,
puede mejorar el proceso de detección. Es
posible convertir (con gran eficiencia) luz
IR en visible mediante procesos de suma
paramétrica de frecuencias en medios no
lineales como el LiNbO3. El proceso es el
inverso al de conversión paramétrica a la
baja. La radiación a detectar de frecuencia
ωi se convierte en ωf > ωi a través de un
proceso de suma de frecuencias con otra
Eficiencia cuántica de la conversión a la radiación de gran potencia ωp, tal que ωf =
alta de en función de la potencia de ωp
para una radiación incidente de 1550 nm.
ωi + ωp. Si la radiación con ωp tiene una
La radiación resultante tiene 800 nm. potencia suficiente, el proceso de
conversión puede alcanzar una alta
eficiencia. La luz resultante se puede detectar con una buena eficiencia mediante un
APD de Si. La eficiencia del proceso completo (conversión de frecuencias + detección)
es similar a la obtenida con un APD de Ingaes, pero con una menor tasa de cuentas
oscuras.
Es posible relajar el requerimiento usar una radiación potente para ωp usando
guías de onda de niovato de litio (PPLN) cc. En la detección de radiación de 1.55 μm y
1.32 μm, se han obtenido eficiencias (conversión + detección) del 46% y 40% con unas
tasas de detección de 800 kHz y 15 kHz, respectivamente 136,137.
Estos detectores se han usado en la distribución cuántica de claves a larga
distancia a través de fibras ópticas, por Honjo et al 138. Emplean fotones enredados en
energía tiempo discretos de 1550 nm, enviados a lo largo de 100 km de fibra, generados
por conversión paramétrica a la baja en una estructura de PPLN. Los detectores, que
funcionan sin “compuerta temporal”, presentan tasas de detección de 1 GHz. La
radiación de bombeo tiene 980 nm, que combinada con la de 1550 nm proporciona
fotones en el visible que se detectan con un APD de Si, cuyo tiempo de fluctuación es lo
suficientemente bajo como para discriminar pulsos a 1 GHz. Cuando la potencia del
bombeo es de 30 mW, la eficiencia neta es del 3.3% para fotones de 1547 nm. El
experimento proporciona correlaciones con una visibilidad del 86% (sin eliminar las
coincidencias accidentales), violando la desigualdad de Bell.

cc
Periodically Polled Lithium Niobate

77
Transmisión segura

4.4.4. Resumen
En la recopilación anterior de detectores nos hemos ceñido a la región IR y
visible (principalmente). La lista no es completa y existen otros tipos de detectores
menos compactos o aún en desarrollo como son los basados en puntos cuánticos 139, en
el efecto termoeléctrico 140 o en la interacción con gases de alcalinos a baja
temperatura 141.
La elección del detector más apropiado dependerá de la longitud de onda de
trabajo y de los requerimientos que deseemos alcanzar. Los detectores más comúnmente
utilizados son los APDs y los fotomultiplicadores, por su buena eficiencia y su fácil
manejo. En la región visible, los APDs de Si se pueden usar con buenas prestaciones:
altas eficiencias y baja tasa de cuentas oscuras aunque no pueden resolver fotones
individuales. Sin embargo, la sensibilidad está limitada por el tamaño de su banda
prohibida, por lo que no pueden usarse directamente en montajes que funcionen en el IR
cercano para comunicaciones por fibra óptica. La versión de fotomultiplicadores de
estado sólido permite una detección monofotónica (funcionan como contadores de
fotones individuales) alcanzando una alta eficiencia, aunque presentan tasas de cuentas
oscuras del orden de los kHz.

Resumen de las características de los principales detectores radiación


Tasa de QE Tiempo de Cuentas λ(nm)
T detección (eficiencia%) fluctuación oscuras
Detector (Hz)
APD-Si Ambiente,- MHz > 65 100 ps 50 (a - 300-
22oC 20oC) 1100
100 100-300 25000 800-
APD-Ge 77 K kHz- 10-20 ps (a - 1600
1MHz 77K)
APD- -60oC, 0.1-1 10-30 100 ps 1000 900-
InGaAs/InP -100oC MHz 1700
Detectores 6-7 K MHz 90 < 100 ps 20000 400-
en visible 1000
STJ 0.3 K 5 kHz 75 ∼ μs 0.1 200-
2000
TES 125 mK 10-250 20-90 ∼ μs < 0.001 200-
kHz 1700
SSPD 2.5 K 1-2 GHz 50 50 ps ∼ 0.01 200-
1700

En la segunda ventana de detección (∼ 1300 nm) se pueden usar tanto APDs de


Ge como de InGaAs, aunque en la actualidad las segundas están remplazando a las
primeras. Las APDs de InGaAs sufren el inconveniente de una considerable tasa de
cuentas subsiguientes (afterpulses) causados por la presencia de portadores de carga
atrapados, aumentando la tasa de cuentas oscuras. Para paliar en lo posible las cuentas
oscuras se trabaja en modo de compuerta temporal, lo que limita considerablemente sus
prestaciones. El proceso de extinción de la avalancha debe permitir la eliminación de las
impurezas atrapadas que tienen una vida media del orden de los μs, proporcionando
tasas de detecciones no mayores de varios MHz, limitando la tasa de transmisión de
claves en una distribución cuántica. Una forma de disminuir el número de cuentas
oscuras, manteniendo la eficiencia, es usando una conversión a la alta por suma de
frecuencias, conjuntamente con una APD de Si.

78
Dispositivos experimentales

Finalmente tenemos un conjunto de dispositivos superconductores que pueden


actuar como contadores de fotones (incluso tienen resolución en energía como los TES
o los STJ). Sus altas tasas de detección (> 1 GHz) y extremadamente pequeñas tasas de
cuentas oscuras, les hacen unos buenos candidatos a ser utilizados en las futuras
tecnologías de QKD. Sin embargo, su disponibilidad actual es limitada y son manejados
con cierta dificultad debido a los sistemas de enfriamiento necesarios.

79
5. Análisis de seguridad

5.1. Fuentes de información ................................................................................... 81


5.2. Tasa de error.................................................................................................... 82
5.3. Demostraciones generales de seguridad ........................................................ 84
5.4. Tipos de ataques .............................................................................................. 85
5.5. Ataques específicos .......................................................................................... 85
5.5.1. Interceptar y reenviar......................................................................................................86
5.5.2. División del número de fotones......................................................................................87
5.5.3. Ataques al protocolo E91 ...............................................................................................89
5.5.4. Estrategias de reducción de riesgo .................................................................................89
5.6. Información obtenida por el espía ................................................................. 90
5.6.1. Cotas de información máxima del espía.........................................................................90
Información máxima obtenida por el espía ....................................................................91
5.6.2. Función y frontera de defensa ........................................................................................92
Ataque con éxito.............................................................................................................93
Función de defensa a priori ............................................................................................94
Frontera de defensa ........................................................................................................95
5.7. Estrategias adicionales relacionadas con el incremento de la seguridad.... 96
5.7.1. Estimación de la tasa de error.........................................................................................96
5.7.2. Corrección de errores .....................................................................................................96
5.7.3. Amplificación de la privacidad ......................................................................................96
Eliminación de la información del espía ........................................................................97
Hash universal ................................................................................................................98
5.7.4. Autenticación de la discusión pública ............................................................................98
5.8. Tasa de transmisión......................................................................................... 99

El objetivo primordial de la criptografía (cuántica) es la de compartir una clave


segura. Una vez intercambiados los qubits y realizado el proceso de reconciliación, los
interlocutores deberían disponer de claves idénticas y sin errores. Evidentemente la
situación real es algo distinta, debido a que la presencia de ruido causa errores.
Los protocolos cuánticos tratan de detectar la presencia de un espía a través de
la observación del deterioro de las señales cuánticas intercambiadas. En un entorno
bajo condiciones ideales (sin ruido), un espía no tiene donde camuflarse, puesto que no
hay ruido y sólo la fortuna de acertar con todas las medidas eludirá la detección del
ataque. Esa fortuna es equivalente a la de acertar la clave sin realizar medida alguna. Sin
embargo, como consecuencia del uso de una tecnología imperfecta, también los propios
dispositivos introducen errores en la información intercambiada, como consecuencia:
asumimos la peor situación, en la cual la degradación de la información proviene
completamente de la presencia de un espía.
La demostración de la seguridad de la criptografía cuántica en condiciones
ideales, en las que los aparatos y el canal de distribución funcionan sin ruido, es
Análisis de seguridad

sencilla. La situación cambia si consideramos situaciones reales, en las que la presencia


de ruido es imposible de eliminar completamente.
Desde el punto de vista de Alicia y Bob, para detectar la presencia de escuchas
no autorizadas, deben estimar la tasa de error del sistema criptográfico, que depende de
varios factores:

1) la tecnología disponible para Alicia y Bob


2) del protocolo criptográfico usado
3) de la fidelidad de los modelos teóricos disponibles
4) de los tipos de ataques de Eva y
5) de la tecnología que disponga Eva.

Durante el proceso de estimación del error, Alicia y Bob eligen un cierto número
de bits entre los intercambiados y los comparan abiertamente a través del canal público.
En los protocolos cuánticos hemos permitido que Eva realizara un ataque basado
en medir (sin errores tecnológicos) y reenviar el resultado a Bob: escucha opaca o
interceptar y reenviar, pero no es la única posibilidad. Los errores no sólo provienen de
la presencia de Eva, sino de aspectos tecnológicos del montaje experimental. Alicia y
Bob podrían estar tentados de realizar una estimación empírica del error (suponiendo
que no hay escuchas) y estimar la cantidad de información adquirida por Eva, como la
diferencia entre el error estimado y observado. Sin embargo este método no es seguro,
ya que subestima las capacidades de Eva. Por ejemplo, si la información de que los
errores se debieran a una mala alineación de los polarizadores horizontales, estuviera en
conocimiento de Eva, ésta podría rotar la señal intercambiada por Alicia y Bob para
mejorar la tasa de error. Ahora Eva podría interceptar la conexión y realizar tantas
medidas como para introducir el mismo error que ha eliminado por la corrección del
alineamiento. El método de escucha no sería detectado. Por ello Alicia y Bob deben
siempre ponerse en el peor de los casos, en que todos los errores surgen de la presencia
de Eva. Eva dispone de una tecnología perfecta y de cualquier método físico únicamente
limitado por las leyes de la MC. Por otra parte, supondremos que la tecnología de Alicia
y Bob no es ideal, sino la actual de cada momento.
A pesar de los errores introducidos por los dispositivos imperfectos y la posible
presencia de un espía, podemos mejorar la calidad de la clave intercambiada mediante
determinados procesos aplicados posteriormente al proceso de intercambio: corrección
de errores y amplificación de la privacidad.
El objetivo general de un análisis de seguridad es obtener demostraciones de
seguridad. Estas pueden ser generales, si afectan a un conjunto determinado de ataques
o prácticas, si Eva usa la tecnología actual. Resaltemos que, aunque en condiciones
ideales la criptografía cuántica es completamente segura, la presencia de ruido cambia
la situación en dos aspectos fundamentales: deja cierto espacio para el ataque de Eva y
las demostraciones de seguridad, además de los principios de la MC, exigen la
consideración de aspectos tecnológicos (véanse los ataques del tipo caballo de Troya).

5.1. Fuentes de información


Dado un sistema para la distribución de claves, nos queda por estudiar qué
cantidad de información ha podido obtener un posible espía, así como la manera de
proceder a eliminarla. Este es el trabajo que realizaremos en el presente capítulo, pero
antes debemos conocer cuales son las fuentes de información (del atacante), entre las
que destacamos:

81
Transmisión segura

• Medidas sobre el canal cuántico. Por ejemplo, en un protocolo BB84, el atacante


puede utilizar las mismas bases en las que se codifica cada posible estado
intercambiado, obteniendo así un resultado determinista en cada medida realizada
con la base correcta.

• Otra fuente de información para el espía, que procede también del canal cuántico,
se obtiene como consecuencia de una tecnología no ideal usada por Alicia y Bob.
Por ejemplo, si los pulsos de luz no son monofotónicos, Eva puede extraer
información de ellos, sin que los interlocutores se percaten.

• Acceso a la información del canal público siguiendo las reglas del juego, es decir,
sin la posibilidad de modificar el contenido de un canal autenticado. De esta
fuente de información el espía extraerá: en primer lugar las bases
correspondientes a los valores de la clave final, pero también podrá obtener
información de la clave final a partir de la información intercambiada durante el
proceso de corrección de errores. Por lo general, la información obtenida por el
espía del proceso de corrección de errores no tiene carácter determinista, puesto
que proviene de las paridades intercambiadas sobre distintos bloques de la clave.

Todas estas fuentes de información son aditivas y, por lo tanto, la información


final de un atacante corresponde con la suma de todas y cada una de ellas. Todas estas
fuentes de información implican la introducción de nuevas componentes en la tasa de
error.

5.2. Tasa de error


En un sistema de distribución cuántica de claves, utilizamos el término QBER
(Quantum Bit Error Rate) cuando hacemos referencia a la tasa de errores del sistema,
que definimos a través del número de bits correctos y erróneos, como:

N erróneos N erroneos
QBER = =
N totales N correctos + N erróneos

Donde del número de bits totales, N totales , corresponde al número de bits obtenidos tras
la reconciliación de bases del protocolo utilizado. Es decir, es el número de bits de clave
obtenido antes de la corrección de errores y la amplificación de la privacidad.
Ahora bien, para el estudio de esta tasa de errores, la separamos en tres
componentes: la componente óptica, la de detección y la de correlación, que explicamos
a continuación.

QBER = QBERopt + QBERdet + QBERc

La primera contribución, el QBERopt (óptico), obedece de forma exclusiva a la “calidad


óptica” de los componentes utilizados en el sistema y de su configuración, y es
independiente de la distancia. Debido a esta dependencia estructural, el QBER óptico se
ve afectado por los mecanismos de codificación utilizados: la polarización o la fase;
dependiendo del contraste de polarización o la visibilidad del sistema, para uno y otro
caso.
La segunda de las contribuciones, el QBERdet (de detección), proviene de las
cuantas oscuras (o dark counts) en los detectores, que se mantienen constantes para

82
Análisis de seguridad

cualquier longitud del canal de comunicación utilizado. El QBERdet involucra la


relación entre la probabilidad de cuentas oscuras (pdark, constante con la distancia) y la
probabilidad de detección de los fotones (pf), que disminuye al aumentar la distancia del
canal de transmisión. Como consecuencia la componente QBERdet aumenta al hacerlo la
distancia.
El tercer término, QBERc, sólo aparece en aquellos montajes que emplean pares
de fotones enredados. Depende de la probabilidad de que la fuente produzca dos (o más)
pares de fotones en el intervalo temporal de detección, que es independiente de la
distancia.

pdark
QBER ≈ popt + + QBERc
pf ( L )

Para un dispositivo típico de distribución cuántica de claves a través de una fibra


óptica de longitud L y atenuación α(dB/km), las pérdidas están representadas por la
eficiencia de transmisión ηt:

ηt = 10 −αL / 10

Esta eficiencia contribuye a disminución de pf(L) con el aumento de la distancia.


A modo de ejemplo podemos fijar un valor para la probabilidad de las cuentas
oscuras de un 10 −5 % para los sistemas de detección de fotones utilizados en la
actualidad (los fotodiodos de avalancha, o APD). En la siguiente gráfica se muestra un
ejemplo de evolución de la tasa de errores, QBER, en función de la distancia (en
kilómetros). Ha sido obtenida de forma práctica con un sistema de envío de fotones a
través de un canal de fibra óptica, y utilizando fotodiodos de avalancha, APD, con una
eficiencia del 10%. La simulación de las distintas longitudes del canal de comunicación,
se ha realizado de forma teórica, reduciendo las probabilidades de detección a partir de
la intensidad de los pulsos emitidos.

Izquierda: evolución de la tasa de error en función de la distancia. El crecimiento se debe a las


pérdidas del canal. Derecha: dispositivo “plug and play” del Grupo de Investigación en Información y
Computación Cuántica de la UPM, Facultad de Informática.

83
Transmisión segura

5.3. Demostraciones generales de seguridad


En la presente situación asumimos que los dispositivos son ideales, mientras que
no hacemos ninguna hipótesis acerca del canal. La cuestión que nos proponemos
responder es ¿hasta qué tasa de error (QBER) Alicia y Bob pueden aplicar los
protocolos de corrección de errores y amplificación de la privacidad? Debemos ser
capaces de deducir cotas de error tolerables sin comprometer la privacidad.
El canal no está controlado por los interlocutores, luego Eva puede obtener
información de:

(a) Alguna acción (medida o interacción) sobre los sistemas cuánticos intercambiados.
(b) La discusión pública a través del canal clásico sobre el que Eva no puede actuar pues
suponemos que está autenticado. Esta información obtenida está relacionada con las
bases usadas por Alicia y Bob y con el propio proceso de corrección de errores.

Esta fuentes de información son aditivas y, por lo tanto, la información final


obtenida por Eva será la suma de todas ellas.
Las primeras ideas acerca de la seguridad fueron planteadas por Dominic
Mayers 142 en 1996. En los años siguientes aparecen varios artículos fundamentales de
Mayers 143, Lo y Chau 144 y Shor y Preskill 145 en los que se plantean las condiciones de
seguridad de los protocolos cuánticos.
A continuación se hace un planteamiento algo distinto, pero más intuitivo, para
obtener una cota de seguridad para el protocolo BB84. Consideremos I(A,B), I(A,E) y
I(B,E) las informaciones mutuas compartidas entre Alicia y Bob, Alicia y Eva y entre
Bob y Eva, respectivamente, obtenida al intercambiar la clave. Para mantener el carácter
secreto de la clave se debe cumplir:

I(A,B) ≥ min {I(A,E), I(B,E)}

La información mutua se puede expresar a través de la entropía de Alicia (H(A)) y de la


entropía condiciona de Alicia, conocidos los resultados de Bob (H(A|B)), o bien a través
de la tasa de error (QBER) ε, como:

I(A,B) = H(A) - H(A|B) = n(1-εlog2 ε - (1-ε) log2 (1-ε))

Siendo n el tamaño de la clave reconciliada.


Admitimos sin demostración (aunque es
intuitivo) que la suma de las informaciones
mutuas de Alicia con Bob y Eva no puede ser
superior a la información proporcionada por
Alicia (Bob y Eva no pueden recibir más
información que la enviada por Alicia):

I(A,B) + I(A,E) ≤ n

Para el caso de un único qubit, n = 1. De las


ecuaciones I(A,B) + I(A,E) ≤ 1 y I(A,B) ≥ min
Información mutua entre Alicia y {I(A,E), I(B,E)}, deducimos que I(A,B) ≥ 1/2,
Bob en función de la tasa de error. es decir:

I(A,B) = 1-εlog2 ε - (1-ε) log2 (1-ε) ≥ 1/2

84
Análisis de seguridad

Condición que se cumple si ε ≤ 0.11. La conclusión es que Alicia y Bob pueden


compartir una clave sin comprometer la seguridad, siempre que la tasa de error sea ε ≤
11%.
La anterior demostración es estrictamente válida si la clave intercambiada es
mucho mayor que el número de bits que Eva ataca, sin embargo, la demostración de
Mayers proporciona la misma cota bajo presupuestos más generales.
Señalemos finalmente que la anterior cota de error permitida se aplica también al
protocolo de 6 estados 146.

5.4. Tipos de ataques


Las estrategias de ataque de Eva implican algún tipo de interacción (que puede
realizarse a través de algún sistema auxiliar) con los sistemas cuánticos enviados por
Alicia. Posteriormente, Eva realiza algún tipo de acción para extraer información. Se
pueden clasificar en varios tipos generales:

• Ataques incoherentes o individuales


En los ataques incoherentes, Eva usa algún tipo de acción (enredo, medida, etc)
con cada uno de los qubits que envía Alicia, de forma independiente y consecutiva.
También podría usar algún tipo de sistema auxiliar con el que hacer interaccionar a los
sistemas cuánticos de Alicia, guardarlos y realizar medidas, uno a uno, después de que
Alicia y Bob hayan terminado la fase de reconciliación. Este tipo de ataques tiene la
ventajosa característica de poderse analizar en términos de información clásica.

• Ataques colectivos
Eva empieza de igual forma que en los ataques individuales, actuando de forma
independiente sobre cada uno de los qubits. Sin embargo, durante el proceso de medida,
Eva puede realizar una medida colectiva y coherente.

• Ataques coherentes
Eva puede usar algún tipo de sistema auxiliar y crear un estado enredado con el
conjunto de sistemas cuánticos enviados por Alicia. Se considera a los qubits como un
conjunto indivisible, cuyo estado final es un estado enredado con el sistema de Eva. El
sistema auxiliar se guarda y se realizan las medidas oportunas cuando Eva lo crea
conveniente (generalmente después de finalizado todo el proceso de reconciliación,
corrección de errores y amplificación de la privacidad). Este es el tipo más general de
ataque.

Actualmente se desconoce si los ataques coherentes son más eficientes que los
individuales. Sobre la base de estos ataques se pueden introducir diversas variaciones.
Notemos que Eva no necesariamente debe realizar una medida durante el proceso de
ataque. Puede simplemente guardar los sistemas auxiliares para ser usados más adelante
durante el protocolo de ataque.

5.5. Ataques específicos


Las hipótesis generales de actuación de Eva ya han sido mencionadas
anteriormente. Puede acceder a las informaciones del canal cuántico y a las del clásico,
aunque sin modificarla.
A continuación se tratan algunos ataques específicos que están directamente
relacionados con ciertas estrategias prácticas.

85
Transmisión segura

5.5.1. Interceptar y reenviar


El ataque incoherente más simple es el llamado interceptar y reenviar. Eva
intercepta la señal que envía Alicia, realiza una medida completa sobre ella, prepara otra
de acuerdo con el resultado obtenido y la reenvía a Bob.
El primer obstáculo que ha de superar el espía es la sincronización. La
comunicación deber ser interrumpida por el atacante para poder interpretar la
información transmitida, lo que provoca un lapso de tiempo detectable (el tiempo
necesario para la intercepción), y por lo tanto, dicha interrupción puede ser medida por
el receptor.
A pesar de que las limitaciones en la sincronización pueden ser lo
suficientemente importantes como para considerar el ataque como impracticable,
debemos aferrarnos al hecho de que el atacante dispone de tecnología ilimitada. Y
dentro de esa tecnología cabe la posibilidad de que el atacante disponga de un canal
alternativo que optimice el tiempo necesario para que los pulsos lleguen hasta el
receptor, camuflando así el tiempo empleado por el espía para interceptar y reenviar la
información. Debemos considerar, por lo tanto, este tipo de ataques como factibles.
En el caso de un protocolo BB84 o E91 (con dos bases no ortogonales), Eva
adquiere una información de 0.5 bits por bit interceptado, ya que en la mitad de los
casos obtiene una información determinista (con probabilidad la unidad) y en la otra
mitad tiene una probabilidad 0.5 de usar la base de medida adecuada. Además introduce
un 25% de error entre los bits útiles, para los que Alicia y Bob usan la misma base.
Notemos que si el promedio de fotones por pulso es μ < 1, Eva debe usar una fuente de
fotones con μ’ ligeramente superior a la unidad, con el fin de que Bob no detecte una
tasa de fotones inferior a la esperada.
La información que Eva obtiene acerca de los estados de los fotones enviados
por Alicia, depende de las medidas realizadas. En el caso anterior, Eva obtenía una
información determinista de 0.5 bits por bit medido. Sin embargo, Eva podría usar una
estrategia de medida basada en el empleo de una base de proyección distinta de la usada
por Alicia y Bob, por ejemplo la base de Breidbart:

|B0> = cos(π/8) |0> + sen(π/8) |1> |B1> = - sen(π/8) |0> + cos(π/8) |1>

Donde el estado |B0> codifica el 0 y el |B1> el 1. Ahora la probabilidad de que Eva


obtenga un resultado correcto, es independiente de la base elegida por Alicia y vale
p=cos2(π/8) para la base ⊕ y [cos(π/8)+sen(π/8)]2/2 para la base ⊗, cuyo valor (en
ambos casos) es 0.8535. Es decir, que Eva tiene una probabilidad del 85 % de obtener
un resultado correcto, que corresponde a la probabilidad máxima. Sin embargo, la
información de Shannon que Eva obtiene por cada bit enviado por Alicia es I(A,E) =
IAlicia - IEva = 1+p log2p + (1-p) log2(1-p) = 0.399, que es menor de 0.5. Esta aparente
paradoja se debe a que en el caso anterior, la mitad de las veces se obtiene una
información determinista, es decir con probabilidad uno, lo que no aporta ninguna
información, siendo su incremento mayor. Las medidas usando la base de Breidbart,
inducen una tasa de error que se puede calcular fácilmente. Supongamos que Alicia
envía un 0 codificado, entonces:

P⊕ = Probabilidad de errores inducidos en Bob si Alicia usa la base ⊕ =

(Prob. de que |0> colapse en |B0>) × prob. de que Bob mida |1> +

86
Análisis de seguridad

+ (prob. de que |0> colapse en |B1>) × prob. de que Bob mida |1> =

= |<0|B0>| 2 sen2(π/8) + |<0|B1>| 2 cos2(π/8) = 2 cos2(π/8) sen2(π/8)

análogamente:

P⊗ = Probabilidad de errores inducidos en Bob si Alicia usa la base ⊗ =

(1/2) × [cos2(π/8) - sen2(π/8)]2

Finalmente obtenemos

Probabilidad de error = (1/2) P⊕ + (1/2) P⊗ = 0.25

Este cálculo refleja el hecho de que cuando Eva realiza una medida, Bob no detecta un
estado puro sino un estado mezcla, caracterizado por una matriz densidad.
Un caso especial del ataque de interceptar-reenviar aparece cuando las señales
enviadas por Alicia son linealmente independientes, como es el caso del protocolo B92.
Eva puede hacer un ataque basado en una medida con discriminación completa 147. Si
Alicia envía una secuencia de los bits 0 y 1 codificados en la base |±α>, Eva puede
realizar medidas de acuerdo con los proyectores {Pα, P-α}, que proyectan sobre |α⊥> y |-
α⊥>, respectivamente. En el caso de obtener un resultado no ambiguo, Eva prepara un
sistema similar y lo envía a Bob, en caso contrario, Eva no reenvía ninguna señal a Bob.
Alicia y Bob no tienen ninguna traza de la presencia de Eva, sólo podrían detectarla a
través del incremento del ruido del canal, debido a que Eva elimina los pulsos cuyas
medidas son incorrectas.
Desde el punto de vista del espía, el principal inconveniente de este ataque es el
alto porcentaje de error introducido en la comunicación. Independientemente de la
estrategia de medida elegida para el ataque, la tasa de error para un protocolo BB84 es
del 25%, una tasa de error demasiado elevada para pasar desapercibida, no pudiendo ser
eliminada por las estrategias de corrección de errores utilizadas. Ahora bien, el atacante
puede ajustar la cantidad de pulsos a interceptar, con el objetivo de reducir la tasa de
error a un margen aceptable. Así, por ejemplo, si un atacante desea que la tasa de error
introducida sea inferior al 8%, tan solo debe reducir el número de pulsos interceptados a
1/3 del total, que sigue siendo un porcentaje elevado de la transmisión. Como
consecuencia, estamos siempre obligados a aplicar algún mecanismo de amplificación
de la privacidad que tenga en cuenta este tipo de ataques, que pueden estar camuflados
en la tasa de error, o QBER obtenido.
También es posible un ataque de este tipo en protocolos BBM92, sin embargo se
podrían detectar por medio de los errores introducidos cuando Eva no utilice la misma
base que Alicia y Bob. Un ataque de esta tipo al E91, haría que las medidas de Eva
colapsaran los estados enredados dando lugar a la violación de las desigualdades de
Bell, tal como se mostrará más adelante.

5.5.2. División del número de fotones


Es difícil obtener pulsos de luz que contengan exactamente un solo fotón. Como
aproximación se usan pulsos de luz láser de baja intensidad. Sin embargo esta luz está
formada por pulsos coherentes, que son una superposición de estados contiendo un
número variable de fotones, pesados por una distribución de Poisson:

87
Transmisión segura

|α> = e-μ/2 {|0> + μ1/2 |1> + (μ/21/2) |2> +…}

siendo μ el número promedio de fotones del pulso. Si el pulso es de baja intensidad


(μ<1), la probabilidad de que el pulso transporte dos fotones es del orden de μ2/2.
En la siguiente tabla mostramos los valores de las probabilidades según esta
distribución, para un número promedio de fotones inferior a 1, concretamente para
μ = 0.5 y μ = 0.1 . En el primero de los casos, μ = 0.5 , podemos ver como la
probabilidad de enviar más de un fotón es superior al 9%, lo que debemos considerar
como un riesgo límite o excesivo, puesto que, el espía puede obtener una parte
considerable de la clave a partir de la medición de los fotones adicionales en cada pulso,
sin que los interlocutores tengan modo alguno de detectarlo.

μ p1 p2 p3 p4 p5 p6
0.5 60.65 % 30.33 % 7.58 % 1.26 % 0.16 % 0.02 %
0.1 90.48 % 9.05 % 0.45 % 0.01 %

Este tipo de ataques se conocen bajo los nombres de beamsplitting o photon number
splitting, PNS; y, aunque tecnológicamente se encuentran lejos de poder ser
implementados, debemos tenerlos en cuenta a la hora de implementar cualquier
mecanismo de amplificación de la privacidad (siempre y cuando utilicemos fuentes de
fotones con este riesgo estructural).
Este ataque aprovecha que los pulsos de luz de baja intensidad tienen una
probabilidad de transportar más de un fotón. Eva puede mejorar este método, realizando
una detección consistente en desviar toda la intensidad que corresponde a la cola del
pulso, por ejemplo durante los 5 μs últimos del pulso. Estas colas no son detectadas por
Bob, ya que su ventana de detección no debe ser muy grande para evitar las cuentas
oscuras.
La situación podría mejorar para Eva, si pudiera mantener los fotones desviados
por el desdoblador del haz, de forma que estuvieran aislados de su entorno. En tal caso,
Eva podría no realizar ninguna medida hasta que el proceso de reconciliación hubiera
terminado, y pudiera conocer las bases usadas por Alicia y Bob (intercambiadas por el
canal público). Si Alicia y Bob sospechan que Eva ha guardado los fotones en espera de
que los interlocutores comparen sus bases, simplemente pueden esperar un tiempo
razonablemente largo (para que la decoherencia afecte a los fotones que Eva ha
guardado) antes de la reconciliación.
Otra posibilidad consistiría en que Eva dispusiera de varios fotones de cada
pulso como para determinar completamente el estado de polarización. En tal caso,
podría suplir la disminución de intensidad, con nuevos fotones con la polarización
correcta y Bob no detectaría la presencia de Eva. Afortunadamente, tal ataque es poco
probable ya que los pulsos con más de dos fotones aparecen con una probabilidad μ3/6.
Un ataque más radical permitiría a Eva realizar una medida de no-demolición
del número total de fotones de cada pulso. Cuando encontrara un pulso multifotónico,
podría extraer un fotón y dejar seguir los restantes hasta alcanzar a Bob. Cuando detecte
un pulso monofotónico, puede tomar varias acciones, puede bloquearlo, hacer una
medida aleatoria o incluso no hacer nada. Los errores detectados por Alicia y Bob sólo
aparecen cuando Eva decide hacer una medida sobre un pulso con un solo fotón.

88
Análisis de seguridad

5.5.3. Ataques al protocolo E91


La seguridad del protocolo se establece en base a la completitud de la MC, a
través de la violación o no de la desigualdad de Bell. Si existe una escucha no
autorizada, la desigualdad se cumple, si por el contrario ésta se viola no existen
enemigos escuchando. Sabemos que definiendo la SB como:

SB = E(a1,b1) - E(a1,b3) + E(a3,b1) + E(a3,b3)

Cualquier teoría realista local debe cumplir:

|SB| ≤ 2

Para canales sin ruido, la violación máxima que proporciona la MC corresponde a


|SBmax| = 2 21/2. Si el canal presenta ruido (QBER = ε) debido a la tecnología imperfecta
o, peor aún, debido a la presencia de un espía, la correlación detectada E(a,b|ε) es
menor:

E(a,b|ε) = (1-2ε) E(a,b)

Donde la función E(a,b) representa las funciones de correlación para el canal sin ruido.
Ahora tenemos:

SBmax(ε) = (1-2ε) 2 2

La condición para la observación de la violación de la desigualdad de Bell es:

1−(1/ 2 )
B
S max ( ε ) > 2 ⇒ ε < ε0 = = 0.15
2

Este resultado establece una cota superior al error permitido del 15% para que el
intercambio de claves se pueda considerar seguro dentro del protocolo E91.
La cuestión de si este protocolo cuántico (o incluso todos los restantes)
sobrevivirán a los límites de validez de la MC, no está resuelta. Se puede argumentar
que, análogamente a lo que ocurre con la Mecánica Clásica, la Cuántica es
perfectamente apropiada para la descripción de los sistemas (fotones) en los límites en
los que se mueve actualmente la física, y los protocolos criptográficos cuánticos
mantendrán su vigencia.

5.5.4. Estrategias de reducción de riesgo


Para intentar reducir el riesgo de este tipo de ataques podemos adoptar varias
estrategias:

• La estrategia más sencilla que podemos emplear es la reducción del número


promedio de fotones a la salida de la fuente (del atenuador), con el objetivo de
reducir, al mismo tiempo, el número de pulsos que contienen más de un fotón.
El inconveniente de aplicar esta solución es que reducimos drásticamente la
eficiencia del sistema, puesto que se reduce de forma exponencial el número de
fotones que alcanzan a Bob. Pearson y Elliot 148 realizan un estudio del promedio
del número de fotones óptimo para un sistema QKD.

89
Transmisión segura

• Otra forma de paliar los efectos de los ataques PNS, es utilizar un protocolo
específico, como el SARG0423, que reduce la cantidad de información que
puede obtener un espía de los pulsos con más de un fotón. El inconveniente
asociado a este protocolo, reside en el hecho de que el porcentaje de bits
reconciliados es tan sólo del 25% sobre el tamaño de la clave en bruto (número
de bits detectados).

• Seguramente la estrategia más apropiada para incrementar la seguridad, es la que


utiliza los estados trampa o decoy states. En realidad los estados trampa no son
un protocolo propiamente dicho, sino más bien un mecanismo para incrementar
la seguridad de un protocolo de distribución cuántica de claves, y por lo tanto,
un estado trampa debe formar parte de un protocolo QKD. El mecanismo
propuesto por Hwang22, se basa en la utilización de un número promedio de
fotones variable en el emisor. Promedio que debe cumplirse en la detección de
cada pulso, y que no conoce de antemano un hipotético espía. La ventaja
principal que aporta esta estrategia, es la capacidad para detectar la presencia de
un intruso sin reducir la eficiencia del sistema.

Finalmente, mencionar la existencia de otras estrategias de ataque más


generales, no sólo las estudiadas en este apartado, aunque con un fundamento similar:
aprovechan las imperfecciones de otros componentes utilizados, distintos de la fuente,
en un sistema QKD. Su estudio no se ha completado en la actualidad.

5.6. Información obtenida por el espía


Existen diversos trabajos que abordan el cálculo de la información que ha
podido extraer un posible espía de la clave final intercambiada, a continuación nos
centraremos en tan sólo dos de ellos, los trabajos realizados por Bennett y Slutsky. El
primero, y más antiguo, se basa en un estudio de la información máxima disponible por
un espía a partir de la tasa de error, QBER (Quantum Bit Error Rate), y la probabilidad
de acierto de cada medida realizada. El segundo aplica los conceptos de función y
frontera de defensa al estudio de la seguridad de los sistemas de distribución cuántica
de claves.

5.6.1. Cotas de información máxima del espía


En 1992, C. H. Bennett, F. Bessette, G. Brassard, L. Salvail y J. Smolin153,
presentan la primera estimación práctica de la información que puede obtener un espía,
en función de la estrategia de ataque utilizada, centrándose en dos ataques incoherentes:
intercepción y reenvío y división del haz (beamsplitting).

Intercepción y reenvío
Para la estrategia de intercepción y reenvío, la estimación de la información que
puede obtener un espía se centra en la tasa de error, QBER, a través de la cual los
interlocutores de una comunicación, Alice y Bob, pueden valorar la actuación realizada
por un hipotético atacante. Si e es el número de errores detectados, Bennett establece
una cota máxima para información obtenida por el espía:

4e + 5 12e

90
Análisis de seguridad

Donde 5 12e implica un factor de 5 sobre la desviación estándar del error.


Sin embargo, teniendo en cuenta que en el mejor de los casos, es decir,
utilizando la base de Breidbart, la información obtenida por el espía, es siempre inferior
a 1 / 2 , podemos obtener otra cota dd, ahora de la información estadísticamente
disponible (no determinista) por el atacante:

4e
+ 5 ( 4 + 2 2 )e
2

División del haz


Existen varias versiones de este ataque, nosotros consideramos que el atacante
aprovecha la información adicional proporcionada por los pulsos que contienen más de
un fotón. En tal caso, podemos obtener una estimación de la información obtenida por
el espía como:

Nμ + 5 Nμ ( 1 − μ )

Donde N es el número de bits reconciliados, o tamaño de la clave reconciliada, y μ es


el número promedio de fotones a la salida de Alice. Si analizamos con detalle la
expresión, reconoceremos la primera parte de la misma como el número de pulsos con
más de un fotón ee y la segunda, una vez más, la desviación estándar de la información
comprometida.

Cota superior de la información del espía


Los resultados obtenidos para ambas estrategias de ataque, nos permiten obtener
la siguiente expresión que nos da una cota superior del número de bits de la clave, l ,
conocidos por un hipotético espía:

4
ρ=μ+ ε
2

(
l = Nρ + 5 N μ( 1 − μ ) + ( 4 + 2 2 )ε )
Donde ε es la tasa de error, o QBER ff.

Información máxima obtenida por el espía

dd
La información obtenida por el espía a través de una medida realizada con la base de Breidbart, no es
determinista. A pesar de esto, utilizamos la cota máxima de la información estadísticamente acertada
por esa medida como límite de seguridad.
ee
En condiciones ideales (por ejemplo, justo a la salida de Alice) el número de bits de clave en bruto
coincide con el número promedio de fotones esperado, μ . Por lo que para un protocolo como el BB84
o el E91, donde el número de coincidencias esperadas en la utilización de las bases es del 50%, el
número de bits de clave obtenidos tras la reconciliación de bases será: N = μ / 2 . Luego tenemos que:
Nμ = μ 2 / 2 , que corresponde con la aproximación del número de pulsos esperados con más de un
fotón.
ff
El cálculo de las desviaciones estándar incluidas en cada expresión aparece documentado en el apéndice
del artículo original de los autores.

91
Transmisión segura

Cualquier transmisión cuántica de claves introduce una tasa de error o QBER.


En el peor de los casos, debemos asumir
que esa tasa proviene de la presencia de un
Violación de las
desigualdades espía. Por lo tanto, existe una relación
de Bell entre la tasa de error y la máxima
información (entropía) que un espía ha
podido obtener (IEmax), dependiendo del
tipo de protocolo y del método de ataque
de Eva. La gráfica siguiente muestra 149 el
comportamiento típico para distintos
protocolos: BB84 150, B92 151 y 6-estados19.
Notemos la correlación existente entre la
ganancia de información por parte de Eva
Máxima información mutua de Shanon y la perturbación obtenida, representada
obtenida por el espía, en función de la tasa por la tasa de error. Para una tasa de error
de error. IAB es la información mutua entre razonablemente pequeña, IEmax es menor
Alicia y Bob. para el protocolo con 6-estados debido a
que usa el mayor número de estados de
base. En la misma gráfica se muestra el límite de error (15%) para la violación de las
desigualdades de Bell.
La conclusión más importante es que incluso para una tasa de error pequeña, la
información adquirida por Eva no es despreciable, pudiendo comprometer la seguridad
de protocolo. Por ejemplo si la tasa de error es del 1%, Eva puede haber obtenido una
información de 0.024 bits/bit de clave, en el caso del protocolo con 6-estados.

5.6.2. Función y frontera de defensa


Con el objetivo de definir, desde el punto de vista de la teoría de la información
clásica, la cantidad de información que puede obtener un espía sobre cada bit de una
clave intercambiada mediante QKD, Slutsky et al 152 definen los conceptos de
información compartida en función de la tasa de error, QBER. Para ello, consideran un
primer conjunto C de bits para los cuales el resultado es concluyente, es decir, el
conjunto de bits reconciliados por Alicia y Bob; y un segundo conjunto E, de tal forma
que para todo elemento de C, i ∈ C , tenemos Ei = 0 si Bob recibe el bit correcto
enviado desde Alice, y Ei = 1 si Bob recibe un error. Este supuesto nos permite obtener
una expresión del número total de errores como:

ET = ∑ E i
i∈C

Ahora, introducen la información del espía como: para cada bit, podemos definir la
información obtenida por el espía en función de las entropías de Rényi y Shannon como:

I iR = 1 + log 2 [ Pi 2 + (1 − Pi ) 2 ]
I iH = 1 + Pi log 2 Pi + (1 − Pi ) log 2 (1 − Pi )

Donde Pi es la probabilidad, desde el punto de vista del espía, de obtener una medida
correcta, en aquellos bits donde no se produjo un error y que, por lo tanto, no fueron
descartados de la clave. Además, puesto que el valor de la información del espía sobre

92
Análisis de seguridad

cada bit es independiente del resto, podemos calcular la información total obtenida por
un ataque al canal cuántico, como la suma de las informaciones individuales:

I TR = ∑ (1 − Ei ) I iR
i∈C

I H
T = ∑ (1 − Ei ) I iH
i∈C

Conocido esto, el objetivo de Alice y Bob es encontrar una función de defensa, t (n, eT ) ,
que sirva como límite superior de la información del espía, I TR . Desafortunadamente,
I TR es una variable aleatoria cuyo único límite superior de forma determinista es la
longitud completa de la clave, n − eT ; estimación inaceptable para Alicia y Bob, puesto
que le exigiría descartar toda la transmisión. En consecuencia, buscamos un límite
estadístico, tal que sólo ocurra con una pequeña probabilidad (aunque no cero), que la
información del espía se encuentre por encima de nuestra función de defensa:
I TR > t (n − eT ) .
Este límite debe combinarse con los límites del resto de fuentes de pérdida de
información, puesto que sólo estamos estudiando la seguridad de la clave intercambiada
a partir de la tasa de error obtenida, QBER.

Ataque con éxito


Decimos que realizamos un ataque con éxito, cuando introduce un número de
errores eT en la clave reconciliada de n bits, y la información obtenida por el espía es
mayor que la función de defensa utilizada: I TR > t (n, eT ) . Siguiendo esta definición, el
objetivo de Alicia y Bob es construir una función de defensa, t (n, eT ) , que minimice el
logro de un ataque con éxito.
Una vez definido el concepto de ataque con éxito, debemos proceder a su
análisis en función de la probabilidad de acierto. Para lo cual, llamamos S al evento que
representa un ataque con éxito, y estudiamos su minimización desde tres
interpretaciones matemáticas:

1. En términos de probabilidad a priori, Pr(S ) .

2. En términos de probabilidad condicional, a posteriori, Pr( S | N = n, ET = eT ) ,


sobre una distribución cuántica de claves que resulta en n bits reconciliados con
eT errores.

3. En términos de probabilidad intermedia, Pr( S | N = n) , sobre una distribución


cuántica de claves que resulta en n bits reconciliados.

En los casos (1) y (3) se puede construir una función de defensa tal que la
probabilidad de que la información del espía sea superior, no exceda de un valor α
pequeño, α > 0 . Sin embargo, en el segundo de los casos (2), es decir, con la
probabilidad a posteriori, no podemos obtener una función de defensa, puesto que la
probabilidad no puede ser reducida tanto como queramos.

93
Transmisión segura

Función de defensa a priori


Los criterios de los que parte Slutsky para la búsqueda de una función de
defensa son los descritos a continuación. En primer lugar, la función de defensa de
Alicia y Bob dada por t = t1 (n, eT ) , debe ser monótonamente creciente en función de
eT , para un n fijo. Definiendo el suceso S correspondiente a un ataque con éxito según
se ha hecho anteriormente, las expresiones para los valores ponderados del error y la
información del espía son:

E =ˆ E[ Ei | i ∈ C ] = ∑ Pi Ei
i∈C

I R =ˆ E[ I iR | i ∈ C , Ei = 0] = ∑ Pi I iR
i∈C

Ahora es posible demostrar que para cualquier x, x > 0 , tal que x < nE y
t1 (n, x) /( n − x) > I R ,

1⎛ ⎡ x ⎤⎞ 1 ⎛ ⎡ ⎛ t (n, x) R ⎞⎤

Pr( S | N = n) ≤ ⎜1 − erf ⎢ 2n ⎛⎜ E − ⎞⎟⎥ ⎟ + ⎜1 − erf ⎢ 2(n − x) ⎜ 1 − I ⎟ ⎥ ⎟
2 ⎜⎝ ⎣ ⎝ n ⎠⎦ ⎟⎠ 2 ⎜⎝ ⎣ ⎝ n − x ⎠ ⎦⎠

z
Donde la función de error estándar es: erf ( z ) = (2 / π ) ∫ exp(−ζ 2 )dζ .
0

Esta expresión nos permite definir una primera función de defensa, según la cual: para
cualquier estrategia de ataque dada, Alicia y Bob pueden reducir el éxito del espía en el
sentido de probabilidad “intermedia”, Pr( S | N = n) , a un nivel α tan bajo como
deseemos, utilizando la función de defensa:

⎧0 eT / n < E − ξ
t1 (n, eT ) = n⎨
⎩(1 − ( E − ξ )) I + ξ 1 − ( E − ξ ) eT / n ≥ E − ξ
R

Donde: ξ = (1 / 2n )erf −1
(1 − α ) , y los valores de E e I R son los descritos
anteriormente.

Función y frontera de defensa

Esta misma función de defensa también sirve para limitar la probabilidad “a


priori”, Pr(S ) , a partir de la desigualdad:

94
Análisis de seguridad

Pr( S ) ≤ max{Pr( S | N = n)} < α


n

Lo que proporciona la primera herramienta para definir un límite de seguridad en


nuestro intercambio a partir de los errores detectados en el mismo.

Frontera de defensa
En la sección anterior asumimos que el espía tenía a su disposición tan sólo una
estrategia de ataque, caracterizada por las medias condicionales E e I R . Eliminemos
esa limitación. Entonces, Alicia y Bob deben calcular las cantidades de E e I R para
obtener la función de defensa de cada estrategia posible, de tal forma que podemos
construir una frontera de defensa, t F (n, eT ) , a partir de todas las funciones de defensa
individuales que describimos con: t1 (n, eT ) .
Es intuitivo comprobar que a partir de la ecuación de la función de defensa,
t1 (n, eT ) , dos estrategias distintas con idénticos valores de E se ordenan según el valor
de I R , es decir, el valor de la función de defensa será mayor para aquella estrategia que
tenga el mayor valor de I R . Luego la frontera de defensa se caracterizará por los
valores de I R máximos para cada valor de E , que denotaremos por I R max ( E ) .
A partir de la ecuación de la función de defensa también podemos ver que las
esquinas de la función de defensa vienen dadas por las ecuaciones:

eT
= E −ξ
n

t
= (1 − ( E − ξ )) I R max ( E ) + ξ 1 − ( E − ξ )
n

De las que deducimos:

⎛e ⎞
t = (n − eT ) I R max ⎜ T + ξ ⎟ + ξ n(n − eT )
⎝ n ⎠

Expresión con la que podemos calcular la frontera de defensa que nos permitirá
asegurar los intercambios de claves de nuestro sistema QKD:

⎧ ⎛e ⎞ ⎫
t F (n, eT ) = max ⎨(n − e) I R max ⎜ T + ξ ⎟ + ξ n(n − e) ⎬
e ≤ eT
⎩ ⎝ n ⎠ ⎭

Necesitamos una expresión adicional para calcular la información máxima obtenida por
el espía sobre los datos corregidos. Esta expresión ha sido calculada por para distintos
protocolos, como el BB84, donde el resultado es:

⎡ 1 ⎛ 1 − 3E ⎞ 2 ⎤
I max ( E ) = 1 + log 2 ⎢1 − ⎜⎜
R
⎟⎟ ⎥
⎢⎣ 2 ⎝ 1 − E ⎠ ⎥⎦

95
Transmisión segura

5.7. Estrategias adicionales relacionadas con el incremento de la


seguridad
Después de la creación de la clave reconciliada, la secuencia que Alicia y Bob
comparten no coincide totalmente, debido a errores tecnológicos o a escuchas no
autorizadas. Las tasas de error habituales son del orden de varios %, lo que contrasta
con los valores extremadamente pequeños de la tasa de error en las comunicaciones
clásicas actuales.

5.7.1. Estimación de la tasa de error


Alicia y Bob eligen una secuencia aleatoria de bits, y comparan sus valores
concretos, estimando la tasa de error. Si esta tasa es mayor que una cierta cota Q
preestablecida (por ejemplo el 11%), la transmisión se da por terminada y se comienza
de nuevo. El valor umbral Q se establece de forma que si los errores se debieran
completamente a Eva, ésta no disponga de información suficiente como para
comprometer la seguridad. Los bits usados en la determinación de la tasa de error se
desprecian. Si la tasa de error detectada es menor que Q, la secuencia es admitida y se
pone en marcha un protocolo de corrección de errores.

5.7.2. Corrección de errores


El proceso de reconciliación planteado por Bennett 153, aunque no es el más
eficiente da una idea de la metodología.
El primer paso es aumentar la aleatoriedad de la secuencia de errores que
comparten Alicia y Bob. Se realiza a través de alguna permutación aleatoria compartida
previamente por los interlocutores a través del canal público. El propósito es eliminar la
posibilidad de que los errores aparezcan en grupos, por ejemplo debido a que Eva haya
medido sólo en determinados momentos. A continuación, la cadena de 0s y 1s se
secciona en bloques de longitud L (dependiendo de la tasa de error estimada), de forma
que en cada bloque aparezca un solo error por término medio. Alicia y Bob comparan
públicamente la paridad de cada uno de los bloques. Cuando encuentran un bloque
cuyas paridades no coinciden, seccionan el bloque varias veces y comparan las
paridades de los sub-bloques, hasta que aíslan la posición errónea y la borran. Cada vez
que dividen un bloque y comparan la paridad del mismo, Alicia y Bob eliminan el
último bit del bloque comparado. Esta eliminación impide que Eva obtenga demasiada
información acerca de la clave, observando las paridades comunicadas entre Alicia y
Bob por el canal público.
Con este método, se detectan sólo los errores que consisten en un número impar
por bloque, pero no los pares. Para eliminar estos últimos, se puede realizar otra
permutación aleatoria de los bits y se comienza de nuevo la comparación de paridades.
Podría incluso aumentarse la longitud de los bloques comparados. Finalmente, podría
hacerse una comparación eligiendo conjuntos de bits aleatorios siguiendo el mismo
procedimiento y descartando algún bit convenido previamente. Después de varios
procesos de este tipo, se considera que la secuencia compartida por Alicia y Bob
coincide y está libre de errores, finalizando la fase de corrección de la clave.

5.7.3. Amplificación de la privacidad


A pesar de que Alicia y Bob disponen de una clave corregida, es sólo
parcialmente secreta, ya que Eva puede disponer de cierta cantidad de información.
Poco antes de realizar la primera implementación física de un sistema QKD, C.
H. Bennett, G. Brassard y J.-M. Robert, adaptaron el concepto de ampliación de la
privacidad a los sistemas de distribución cuántica de claves154, mediante el cual se

96
Análisis de seguridad

puede destilar una clave de mayor privacidad pero de menor tamaño. Ese estudio, que
data del año 1988, sigue siendo la principal referencia en el incremento de seguridad de
un protocolo QKD, complementado con distintas estrategias para el cálculo de la
información obtenida por el espía.
El estudio que realizan Bennett et al, se divide en el análisis de la información
que el espía obtiene a través de dos fuentes de información: el ataque al canal privado
(cuántico) y la escucha del canal público (intercambio de paridades). Pero de esa
división llega a una misma conclusión, donde la información obtenida por el espía se
procesa de la misma forma, en valores absolutos, independientemente de si la
información obtenida es determinista o no. De esta forma, la información obtenida por
el espía a partir de una paridad intercambiada entre los extremos de la comunicación, o
por medio de una medida exitosa, es considerada idéntica a efectos de seguridad (y
como veremos a continuación, ambas informaciones son eliminadas de la clave final).
Este tratamiento análogo de todas las fuentes de información, nos permite aplicar el
mismo modelo a cualquier tipo de información obtenida por el atacante.

Eliminación de la información del espía


Partimos del supuesto por el que Alicia y Bob ya comparten una clave de n bits,
que podemos interpretar como una variable aleatoria W. Al mismo tiempo sabemos que
un espía, Eva, puede conocer hasta t bits de información (determinista o no) de esa
clave (t < n), que interpretamos con otra variable aleatoria V. En este momento,
podemos afirmar que la incertidumbre que el espía tiene de la clave, a partir de la
información recopilada por el mismo, es como mínimo el número de bits desconocidos
para el espía: H(W|V) ≥ n - t.
El objetivo a partir de lo visto, es reducir la información del espía, en la medida
de lo posible, sobre la clave final compartida. Para ello, lo que hacemos es utilizar una
función de compresión g : {0; 1}n → {0; 1}r, con la que generar una nueva clave, K =
g(W), de tamaño inferior a la original, r < n, pero que proporcione la mínima cantidad
de información posible a un hipotético atacante. Como se demuestran Bennett et
al 154,155, la función de compresión más adecuada para el objetivo deseado, podemos
obtenerla de la familia de funciones hash universal. El tamaño de la clave final
comprimida, r, dependerá de la cantidad de información conocida por el espía.
Continuando bajo el supuesto inicial de que un espía conoce t bis de información de la
clave original, podemos calcular el tamaño de la clave final como: r = n-t-s, donde s es
un parámetro de seguridad elegido de tal forma que s < n - t, es decir, de manera que
siempre nos queden bits de clave disponibles, una vez descontada la información
obtenida por el espía y el parámetro de seguridad. La conclusión a la que llegan acerca
de la incertidumbre de la clave final es:

2− s
H ( K G ,V ) ≥ r −
ln 2

O lo que es lo mismo, la información conocida por el espía (bits de la clave) es


inferior a 2-s/ln 2, siendo G el conjunto universal de funciones hash. Luego en función
de la elección de s, y del conocimiento o estimación de la información comprometida, t,
podemos reducir de forma exponencial, y tanto como queramos, la información del
espía sobre la clave final compartida.

97
Transmisión segura

Protocolo de amplificación de la privacidad:

1.- Partimos del supuesto de que Alicia y Bob comparten una clave idéntica
K0 de tamaño n

2.- Uno de los interlocutores, Alicia o Bob, estima la cantidad de


información disponible por Eva, t, en función de los parámetros de riesgo,
como pueden ser la tasa de error o el promedio del número de fotones por
pulso.

3.- Alicia o Bob selecciona un parámetro de seguridad s, calcula el tamaño


de la clave final r ) n-t-s y elige una función de compresión dentro de la
familia de funciones hash universales, g: {0, 1}n → {0, 1}r. Comunica al
otro interlocutor, a través del canal público, la función seleccionada.

4.- Alicia y Bob calculan la clave final secreta Kf, usando la función g.

Hash universal
Una función hash, o función resumen, asigna a cada elemento de un conjunto de
entrada un único elemento de un conjunto de salida mucho más pequeño. Típicamente,
en informática, tenemos que asignar valores de {0, 1}m a valores del subconjunto {0,
1}n, donde m >> n. Esto hace que ese valor de salida o resumen, por ejemplo, se pueda
utilizar como representante de la entrada para su almacenamiento en una tabla o similar,
algo muy utilizado en estructuras de datos. En criptografía, el uso de estas funciones es
más específico, ya que se busca que sean funciones de un solo sentido. Es decir, que a
partir de una entrada sea fácil encontrar la salida pero que se dificulte lo más posible el
camino inverso. Esto nos permite poder hacer un firmado digital de textos reduciendo el
consumo computacional, ya que se puede realizar directamente sobre el valor resumen.
Ejemplos de funciones hash utilizadas en informática son los algoritmos SHA o MD5.
La seguridad de estas funciones reside en lo que se conoce como colisiones. Una
colisión se produce cuando dos valores distintos de entrada producen un mismo valor de
salida. Evidentemente, si el conjunto de entrada es mucho mayor que el de salida esto
debe producirse en algún momento. Evitar y minimizar estas colisiones (que equivale a
distribuirlas uniformemente en todo el conjunto de salida) es una característica muy
apreciada en las funciones hash. Estas son las que se conocen como funciones hash
universales de un solo sentido (UOWHF, Universal One-Way Hash Function).
Un ejemplo típico y práctico de una función hash universal son aquellas que se
realizan utilizando campos de Galois de orden 2n (GF(2n)), y son las que se suelen
utilizar en amplificación de la privacidad (DARPA utiliza este tipo defunciones, por
ejemplo 156).

5.7.4. Autenticación de la discusión pública


En la práctica, incluso la información intercambiada a través del canal clásico
puede ser interceptada por Eva y suplantar a Bob. La necesidad de comprobar que la
comunicación se establece entre los verdaderos interlocutores, obliga a que dispongan
de una pequeña clave inicial, que puede estar encriptada, mediante un algoritmo de
secreto perfecto. Esta clave puede formar parte del mensaje y se cambia después de

98
Análisis de seguridad

cada transmisión. En realidad un sistema QKD trabaja más bien “expandiendo” la


pequeña clave secreta inicial compartida.

5.8. Tasa de transmisión


Conocida la evolución del QBER y la información obtenida por el espía, nos
interesa conocer evolución de la clave tras el proceso de reconciliación de bases (clave
reconciliada), corrección de errores y amplificación de la privacidad. El factor principal
que influye sobre el tamaño de la clave intercambiada es la distancia de transmisión. La
siguiente gráfica nos muestra la evolución de la clave reconciliada en función de la
distancia (en kilómetros), que depende exclusivamente de la probabilidad de detección y
las pérdidas del canal de comunicación utilizado.
Sin embargo, la distancia no es la única causa por la que se reduce el tamaño de
la clave. Los protocolos de corrección de errores y amplificación de la privacidad
afectan directamente. La reconciliación, por ejemplo en un protocolo BB84, elimina un
50% de la clave. La corrección de errores necesita intercambiar un 25% de la clave en
paridades, que debe ser eliminado. La amplificación de la privacidad eliminará 1/3 de la
clave corregida. Finalmente, si autenticamos, el canal público utilizará una parte de la
clave final.

Izquierda: evolución de la longitud de la clave reconciliada frente a la distancia para dos


valores del promedio del número de fotones por pulso, μ. Derecha: evolución de longitud
neta de la clave después de la amplificación de la privacidad. Es notable la existencia de
una distancia máxima del orden de las decenas de km.

A partir de esta información, y utilizando tan solo el QBER como parámetro de


referencia para el cálculo de la información obtenida por un hipotético espía (Imax(A,E)),
podemos representar la evolución de la clave final destilada Rneta (una vez aplicada la
corrección de errores y la amplificación de la privacidad):

Rneta = Rreconciliada {I(A,B) - Imax(A,E)}

Donde I(A,B) es la información mutua entre Alicia y Bob, mientras que Imax(A,E) es la
máxima información mutua entre Alicia y el posible espía, Eva.

99
Transmisión segura

Evolución del tamaño de la clave, debido a los distintos procesos implicados


en su transmisión segura

Waks et al 157 hacen un estudio comparativo de la evolución de la clave neta


usando los protocolos BB84 y E91, tanto usando fuentes monofotónicas ideales o
reales. Para calcular Imax(A,E) asumen un ataque incoherente. Se estudian tanto una
transmisión a través de fibra óptica (con fotones de 1.5 μm), como de la atmósfera (con
fotones visibles).
Para la transmisión a través de fibra óptica (figura (a)), escogen los siguientes
parámetros: eficiencia de los detectores 0.18, probabilidad de cuentas oscuras durante la
ventana de detección 5. 10-5, atenuación de la fibra 0.2 dB/km, promedio de fotones por
pulso μ = 0.01. La fuente de fotones enredados se sitúa en el punto medio. Para el
protocolo BB84 se consideran dos fuentes: una fuente láser atenuada con una
distribución de Poisson y otra consistente en una fuente ideal monofotónica. Mientras
que para el protocolo E91 se considera: una fuente ideal y otra que produce pares por
conversión paramétrica a la baja.

Comparación de la tasa de transmisión para los protocolos BB84 y E91


cuando los fotones de 1.5 μm viajan a través de una fibra óptica. En el
E91 la fuente está situada entre los interlocutores y la distancia es la
existente entre ellos.

Los resultados de la figura (b), corresponden a una transmisión a través de la


atmósfera. En este caso consideran detectores con una probabilidad de cuentas oscuras
de 5. 10-8. En el caso del protocolo E91, sitúan la fuente entre los interlocutores.
Para el caso de la fuente láser, el número promedio de fotones por pulso se
considera un parámetro ajustable, mientras que para la fuente de PDC, el parámetro
ajustable es la susceptibilidad eléctrica de segundo orden. Los resultados obtenidos se
han calculado optimizando la tasa de transmisión respecto a estos parámetros.

100
Análisis de seguridad

Las figuras siguientes representan la tasa de transmisión (en bits por pulso)
frente a la distancia, en el caso la comunicación a través de fibra óptica y frente a las
pérdidas, en la caso de la atmósfera. En todos casos, las curvas presentan un
decrecimiento acusado a largas distancia (o grandes pérdidas) debido, principalmente, a
las cuentas oscuras. Los resultados del protocolo E91 proporcionan mayores distancias
y menores pérdidas, debido, en parte, a la ausencia de ataques por medio del desdoblado
del número de fotones (que no afectan al cálculo de Imax(A,E)). Si comparamos los
resultados para un protocolo BB84 ideal, en el que no existe ataque por desdoblado del
número de fotones, también el E91 proporciona mejores resultados. Este hecho se debe
a que las cuentas oscuras afectan menos al protocolo E91 que al BB84.

Comparación de la tasa de transmisión para los protocolos BB84 y E91


cuando los fotones visibles viajan a través de la atmósfera. En el E91 la
fuente está situada entre los interlocutores.

101
6. Distribución experimental de claves

6.1. Uso de fuentes de baja intensidad ................................................................ 102


6.1.1. Codificación mediante polarización .............................................................................102
6.1.2. Codificación mediante fase ..........................................................................................105
6.1.3. Montajes de dirección única: “one-way”......................................................................106
6.1.4. Montajes “plug and play”.............................................................................................109
6.1.5. Uso de otras fuentes monofotónicas.............................................................................110
6.2. Criptografía basada en pares EPR .............................................................. 110
6.2.1. Codificación en estados enredados de polarización .....................................................111
6.2.2. Codificación en fase .....................................................................................................116
6.2.3. Codificación en fase-tiempo.........................................................................................119

La primera demostración experimental de la posibilidad de distribuir


cuánticamente claves, se realizó en 1989 (aunque no se publicó hasta 1992). Desde
entonces, se han realizado muchos experimentos con otros dispositivos o esquemas de
codificación que alcanzan un mejor rendimiento y mayor distancia de transmisión. Las
características de tales comunicaciones son la tasa de error (QBER o quantum bit error
rate) y la distancia de transmisión. Más interesante, aunque más difícil de estimar, es la
tasa neta de generación de la clave, después de un proceso de corrección de errores y
amplificación de privacidad.
A la hora de organizar o clasificar los experimentos de criptografía cuántica,
debemos notar que en muchos casos los montajes usados no son “puros” sino más bien
híbridos, mezclando diversas técnicas.

6.1. Uso de fuentes de baja intensidad


Los primeros experimentos de distribución se claves se realizaron usando
fuentes débiles, obtenidas atenuando haces láser.

6.1.1. Codificación mediante polarización


Los primeros esquemas de criptografía cuántica, desarrollados hacia 1982-84, se
llevaron a cabo experimentalmente en octubre de 1989, por Charles H. Bennett y John
A. Smolin en el centro de investigación T.J. Watson de IBM gg, con la colaboración
externa de Gilles Brassard y dos investigadores de la universidad de Montreal, François
Bessette y Louis Salvail, aunque los resultados no se publicaron hasta 1992 158. Este
prototipo permitía enviar una clave usando fotones polarizados (dentro del protocolo
BB84) a través de 32 cm en el aire. A pesar de que las prestaciones de tal montaje eran
pequeñas, el experimento tuvo una enorme importancia ya que evidenciaba la
posibilidad de la criptografía cuántica experimental.

gg
IBM T.J. Watson Research Center. http://www.watson.ibm.com/
Distribución experimental de claves

En este experimento Alicia usa pulsos de luz verde (de 5μs de duración y a una
frecuencia de repetición de
algunos kHz) de pequeña
intensidad generada por un
LED. El haz se colima,
CP no conectada CP conectada
filtra y se polariza, de
forma que la intensidad CP
media es de 0.12 fotones o
45 , 90 o CP, 45 o

por pulso (de cada diez


intervalos temporales sólo
Fuente Analizador
uno transporta un fotón), y Generador Generador
la fuente se asemeja a una aleatorio aleatorio
30 cm
fuente monofotónica. La Alicia Roberto
probabilidad de que un Reloj
pulso contenga más de un
fotón es 0.06. Después el
Dispositivo experimental usado por Bennett et al158 para la
haz atraviesa dos células de
transmisión de claves.
Pockels (CP) que, al ser
conectadas, pueden rotar el
plano de polarización 45º la primera y otros 90º la segunda. Estas células están
controladas por un voltaje aleatorio e independiente que permite una polarización
aleatoria del fotón que Alicia envía a Bob. Alicia puede codificar cada fotón según
cuatro polarizaciones distintas: 0º, 45º, 90º y 135º. Bob, así mismo, dispone de otra
célula de Pockels con funcionamiento aleatorio (que gira el plano de polarización 45º),
que permite elegir una de las bases para la medida de la polarización. A continuación el
haz atraviesa un prisma de calcita (Wollaston) que desdobla el haz incidente y envía al
fotón a dos detectores distintos, según su polarización vertical u horizontal. Si el fotón
que envía Alicia está en la base ⊕, y si la célula de Pockels de Bob no está conectada, el
prisma de calcita analiza correctamente la polarización del fotón. Si Alicia lo manda en
la base ⊗ y la CP de Bob está conectada, la medida es también correcta. En los otros
dos casos, las bases no coinciden y las detecciones de Bob tienen un 50% de ser
correctas.

Dispositivo experimental de Bennett llamado “tía Martha” (1984, 1992). Izquierda: Alicia.
Derecha: Bob

Notemos que Alicia y Bob disponen de generadores aleatorios independientes,


pero comparten un reloj, a través de una frecuencia precisa de envío de los fotones. En
el experimento se estableció una comunicación durante 10 minutos. Después de una
fase de reconciliación, Alicia y Bob comparten 2000 bits en los que las bases coinciden,
con una tasa de error del 3.95%. La corrección de errores reduce a 105 los bits, que

103
Transmisión segura

representan una tasa neta de transmisión de 0.03 bits/s. El dispositivo experimental


usado por Bennett se llamaba “tía Martha”.
Posteriormente se han realizado otras implementaciones de este protocolo.
Muller et al 159 (1993) en Ginebra, usan un láser de diodo que crea pulsos atenuados
(hasta 0.12 fotones/pulso) de fotones de 810 nm que transmiten a través de una fibra
óptica de 1.1 km. Los detectores son fotodiodos de avalancha de Si con un 40% de
eficiencia. El protocolo presenta una tasa de
error del 0.54%. J. Bréguet et al 160 (1994)
Muller et al en 1995-96 161 realizan el primer
experimento de criptografía cuántica fuera del
laboratorio, poniendo de manifiesto los
inconvenientes que presentaba la fibra óptica
para mantener estable la polarización.
Problema que parece limitar la aplicación de
las fibras ópticas en criptografía cuántica. Usan
Lago Ginebra, por debajo del cual parte de una fibra óptica de Swisscom para
transcurre la fibra óptica de 22.7 km, conversaciones telefónicas y conecta Ginebra y
usada por Muller para la distribución Nyon bajo el lago Ginebra. Envían fotones de
cuántica de una clave criptográfica. 1300 nm usando una fuente de baja intensidad
a través de una fibra de 22.7 km, con una
atenuación de 8.2 dB, obteniendo un QBER del 3.4% antes de la corrección.

Experimentos con fuentes de baja intensidad codificando con polarización


Año/autor Medio Codificación Protocol λ (nm) / Distancia Tasa de QBER (%)
o fotones por transmisión
pulso (bits/s)
1992/Bennett158 Aire Polarización BB84 550/0.1 32 cm 0.03 (neta) ∼0
1993/Muller159 Fibra Polarización BB84 810/0.12 0.3 y 1.1 km - 0.35 y 0.54
(Ginebra)
1995/Franson Fibra Polarización BB84 -/0.08 1 km - 0.4 (sin
162
corrección)
1995/Muller Fibra Polarización BB84 1300/0.12 22.7 km - 3.4 (sin
(Nyon- corrección)
Ginebra)
1997/Townsend Fibra Polarización BB84 1300/0.18 5.4 km (3 1000 3
163
receptores)
1998/Townsend Fibra Polarización BB84 830/0.1- 1.1 km - <4
164
0.0001
1998/Buttler 165 Aire Polarización B92 772/<0.1 ∼1 km - ∼1.5 (sin
corrección)
1998/Buttler 166 Aire Polarización B92 772/0.7 205 m - 6 (sin
corrección)
2000/Hughes 167 Aire Polarización B92 768/ 0.5 km - 1.6 (sin
corrección)
2000/Buttler 168 Aire Polarización B92 768/0.2-0.5 1.6 km 5400-17000 7.8-4.1 (sin
(sin corrección)
corrección)
2001/Rarity 169 Aire Polarización BB84 635/0.081- 1.9 km 71-685 (neta) ∼0
0.39
2002/Hughes 170 Aire Polarización BB84 772/0.1-0.8 9.81 km ∼300 (neta) ∼0
2002/Beveratos Aire Polarización BB84 ∼690 50 m 9500 (neta) 4.6
102
(NV en
diamante
2002/Waks183 Aire Polarización BB84 1m 25000 (neta) 2.5 (sin
(puntos corrección)
cuánticos)
2004/Alléaume Aire Polarización BB84 ∼690 30 m 16000 (neta) 1.65
171
(NV en (mínimo)
diamante
2006/Diamanti Fibra Fase-DPS BB84 1550/0.2 100 km 166 3.4
172

2006/Weier 173 Aire Polarización BB84 850 480 m ∼50000 4-5


2007/Peng 174 Fibra Polarización BB84+ 1550 75-102 km 8000-11000 3.2-3.6
decoy

104
Distribución experimental de claves

6.1.2. Codificación mediante fase


La distribución de claves mediante estados polarizados transmitidos a través de
fibras ópticas es la opción más evidente para un experimento de distribución de claves.
Debido a los problemas, ya mencionados, que presentan las fibras en transmisiones a
largas distancias, se hace necesario buscar alternativas de codificación más robustas.
La codificación en fase ya fue mencionada por Bennett15 en su artículo de 1992.
Es posible usar la interferencia constructiva y destructiva de un interferómetro Mach-
Zehnder, basada en la variación de la fase relativa, para enviar una clave. El
interferómetro (con transmisión a través de fibra óptica) está formado por dos
acopladores (cuya acción es similar a un desdoblador de haz) conectados mediante
fibras ópticas. En cada uno de los brazos hay un modulador de fase. Introduciendo luz
mediante algún dispositivo como un láser (LD), si su longitud de coherencia es mayor
que la diferencia de caminos, los detectores detectan bandas de interferencia de acuerdo
con la diferencia de fases (φA-φB). La intensidad obtenida en el detector “0” (que
llamamos d0) viene dada por:

⎛ φ − φ + kΔL ⎞
I 0 = I cos 2 ⎜ A B ⎟
⎝ 2 ⎠

siendo k el número de onda y ΔL la diferencia de caminos de los brazos del


interferómetro. Los fotones se pueden detectar en d0 o d1, mediante algún tipo de
dispositivo APD.
Se puede implementar el protocolo BB84 usando una codificación basada en
este montaje. Alicia y Bob controlan cada uno una mitad del interferómetro, y usando la
introducción de las fases φA y φB en el aparato, hacen variar la salida por uno u otro
detector, dependiendo del valor de su diferencia.

Interferómetro Mach-Zehnder de fibra óptica, para la distribución


de claves.

El funcionamiento es el siguiente. Suponemos un interferómetro de brazos


iguales (ΔL=0), Alicia envía un fotón, y elige entre dos tipos de alfabeto (o bases en el
caso de la polarización anterior) el A y el B, usando de forma aleatoria el
funcionamiento de su modulador de fase φA según los valores:

⎧⎪0 o → 0 ⎧⎪90 o → 0
Alfabeto A : φ A ⎨ Alfabeto B : φ A ⎨
⎪⎩180 o → 1 ⎪⎩270 o → 1

105
Transmisión segura

Por su parte Bob hace funcionar su modulador (de forma aleatoria), introduciendo fases
de φB = 0o, 90º (lo que es equivalente a elegir una de las dos bases usadas por Alicia) y
mide en cuál de los dos detectores, d0 o d1, detecta el fotón. Esta detección dependerá de
la fase φ = |φA - φ2| hh. Si φ = 0o, sólo se detectará (con probabilidad 1) en d0, si φ = 180º,
se detecta sólo (con probabilidad 1) en d1, y si φ = 90º, 270o, habrá una probabilidad de
0.5 de detectarse en cualquiera de los dos detectores. Por ejemplo, si Alicia ha enviado
fotones con φA = 0o, que habrá anotado como un 0, y Bob ha elegido φB = 90º, podrá
detectar el fotón tanto en d0 como en d1, no pudiendo concluir nada. Pero si Bob hubiera
usado una φB = 0o, habría detectado el fotón en d0, concluyendo un 0. El conjunto de
posibilidades se recogen la siguiente tabla:

Bit de Alicia φA φB φ/2 Detección de Bit de Bob


Bob (prob)
0 0 0 0 d0(1) 0
1 180 0 90 d1(1) 1
0 90 0 45 d0(0.5) o d1(0.5) 0 ó 1 (¿?)
1 270 0 135 d0(0.5) o d1(0.5) 0 ó 1 (¿?)
0 0 90 45 d0(0.5) o d1(0.5) 0 ó 1 (¿?)
1 180 90 45 d0(0.5) o d1(0.5) 0 ó 1 (¿?)
0 90 90 0 d0(1) 0
1 270 90 90 d1(1) 1

El funcionamiento del protocolo es análogo al planteado con la polarización. La


codificación usando la fase en un interferómetro, es isomorfo a la codificación usando la
polarización. Sin embargo, aunque este montaje es perfectamente realizable sobre una
mesa de un laboratorio, no es posible usarlo en la práctica, debido a que es imposible
mantener la longitud de los caminos de interferómetro lo suficientemente estables. Los
dos caminos seguidos por los fotones no deben diferir en más de alguna fracción de
longitud de onda. La solución pasa por usar dos estrategias distintas: sistemas “one-
way” y “plug and play”.

6.1.3. Montajes de dirección única: “one-way”


En su artículo de 1992, Bennett15 ya proponía la forma de solventar el problema
de la estabilidad de los interferómetros, en lo que se llamaría un montaje “one-way”. El
montaje usaba dos interferómetros Mach-Zehnder asimétricos (con brazos distintos, uno
corto SA,B y otro largo, LA,B, para Alicia y Bob) y unidos por un solo canal de
comunicación. Con ello se consigue que las “dos mitades” del fotón viajen por el mismo
camino, experimentando el mismo ruido, asumiendo que sus fluctuaciones son más
lentas que el tiempo de la travesía. Esta última condición es menos restrictiva que la de
mantener invariable la longitud de los caminos. Sin embargo la diferencia de caminos
debe mantenerse igual para ambos interferómetros durante la transmisión de la clave, lo
que obliga a un buen aislamiento de los mismos en la posición de los interlocutores.
Alicia envía fotones individuales (emitidos por la fuente LD) que se desdoblan
en el interferómetro de Alicia. Uno de los pulsos sigue el camino corto (SA) y el otro el
largo (LA). Los pulsos largos (LA) viajan detrás de los cortos (SA) a través del canal de
conexión entre Alicia y Bob. Al entrar en el interferómetro de Bob, siguen un camino
hh
La posibilidad de que el fotón incidente emerja según uno de los dos detectores, es un ejemplo más de
sistema de dos niveles, análogo a los estados de polarización vertical y horizontal.

106
Distribución experimental de claves

corto (SB) y otro largo (LB). Antes de los detectores d0,1, se obtienen tres picos en
función del tiempo de llegada. El primer pico corresponde a los fotones que llegan antes
y que siguen el camino SASB. El último corresponde al LALB. En ambos casos no hay
interferencia. El pico central surge de la interferencia de los pulsos que siguen los
caminos indistinguibles SALB y LBSA. Puesto que los fotones de este pico siguen
caminos iguales, su diferencia de fase depende de la introducida en los moduladores de
fase φA,B. Dependiendo de |φA-φB|, los fotones del pico central se detectan d0 o d1, lo que
proporciona la clave al igual que en el caso anterior.

SALB+ LASB

SASB LALB
LA d0
LB

SB d1
SA

Montaje “one-way” con dos Mach-Zehnder

Paul Tapster, John Rarity y Paul Townsend de la BT, fueron los primeros (1993)
en poner en práctica este montaje, usando una fibra óptica de 10 Km. En 1995
extendieron el método hasta una distancia de 30 Km 175. El prototipo implementaba el
protocolo BB84.
El dispositivo (véase figura) consiste en dos interferómetros Mach-Zehnder
conectados por una fibra óptica. Formalmente este montaje es idéntico al de un solo
interferómetro con moduladores de fase en cada camino. En este caso se envían los dos
pulsos separados temporalmente a lo largo de la misma fibra óptica, de forma que
sufren las mismas perturbaciones debidas al entorno. Alicia usa una fuente de luz de
baja intensidad (0.1 fotones por par de pulsos que se transmiten a lo largo de la fibra
óptica) constituida por un láser semiconductor de 1.3 μm, que genera pulsos de 80 ps de
duración a una frecuencia de 1 MHz. Cada pulso atraviesa un acoplador óptico que lo
desdobla en dos. Uno de ellos atraviesa un modulador de fase de niobato de litio que le
introduce una fase aleatoria de φA = 0º, 90º, 180º ó 270º. El otro pulso atraviesa un
controlador de polarización que introduce un retardo temporal respecto al anterior pulso,
así como le cambia la polarización a una ortogonal a la del primer pulso (actúa como
una lámina de media onda). Estos dos pulsos (separados algunos ns y con
polarizaciones ortogonales) se envían a través de la fibra óptica hacia Bob (separado 30
km). Bob debe recoger estos pulsos y hacerlos interferir. Para ello usa un separador de
polarizaciones que dirige cada uno de los pulsos por caminos distintos. El segundo
pulso (que no sufrió ningún desfase en el dispositivo de Alicia) se hace pasar por el
modulador de Bob, que le introduce una fase aleatoria de φB = 0º ó 90º. El pulso
perpendicular (rojo) de Alicia sufre un cambio de polarización, de nuevo a paralela
(azul), y se le introduce un retardo igual al introducido en el dispositivo de Alicia.
Finalmente, ambos pulsos se recombinan en un acoplador óptico (50:50), produciéndose
una interferencia, ya que ambos pulsos coinciden temporalmente y con igual
polarización. Se podrían detectar fotones en uno de los dos detectores situados en la
salida del acoplador, dependiendo de la fase relativa de los pulsos, sin embargo en lugar

107
Transmisión segura

de dos detectores se usa uno sólo. Después del acoplador óptico, uno de los caminos es
más largo, lo que incluye un retardo de la señal que pase por él. Así, si se detecta este
retardo (de unos 6 ns) respecto al instante previsto, corresponde a un 1, en caso
contrario se trata de un 0. En la detección se usa un detector de avalancha de germanio
enfriado con nitrógeno líquido.

Atenuador Alicia

Láser

φA
Acoplador
óptico

0
φB
Bob
Separador de
polarizaciones

Montaje para distribuir claves mediante codificación de fase. Los pulsos de


Alicia con distinta polarización (paralela, azul y perpendicular, rojo) se
envían a través de la misma fibra óptica. Bob los hace interferir de nuevo,
interpretando un 0 si se detecta en el instante esperado o un 1 si se hace con
retardo.

En un experimento realizado por este grupo de la BT, se obtuvieron los


siguientes resultados cuando se partía de una secuencia de 2000 bits compartidos por
Alicia y Bob:

Distancia Fotones/par % error Bits/seg Total de bits en la


(Km) pulsos clave final
10.8 0.1 1.5 700 1210
10.8 0.2 1.2 1400 1070
21.8 0.1 4. 350 690
21.8 0.2 2.8 700 640
30 0.2 4. 260 480

En este caso el QBER es como máximo del 4%, lo que permite una corrección y
amplificación de privacidad. Nótese que al aumentar el número de fotones por par
enviado de 0.1 a 0.2 (para la misma distancia), el error disminuye, ya que la relación
señal ruido aumenta. La velocidad de transmisión de datos está limitada por las pérdidas
de los dispositivos: 5 dB para los moduladores de fase, 0.38 dB/Km para la fibra óptica;
y también por la baja eficiencia de los detectores de germanio (11-13 %).
Otro montaje similar al anterior que usa la codificación mediante la fase, se debe

108
Distribución experimental de claves

a Richard Hughes y su grupo del Laboratorio Nacional de los Alamos (Nuevo México).
Alicia usa pulsos láser de 1.3 μm que, con un montaje parecido al anterior, envía a Bob
a través de una fibra óptica subterránea de 48 km. El pulso central contiene 0.63 fotones
en promedio, lo que constituye un valor anormalmente elevado con una tasa de error del
∼9.3%.
Otros experimentos que usan este montaje se indican en la tabla:
Año/autor Medio Codifica Protocolo λ (nm) / fotones Distancia Tasa de QBER
ción por pulso transmisión (%)
(bits/s)
2004/Gobby Fibra Fase BB84 1550/0.1 122 km 1900 8.9
176

2007/Yuan 177 Fibra Fase BB84+decoy 1550/0.425 25.3 km 5510 1.72


2007/Dynes 178 Fibra Fase BB84+decoy 1550/0.55 20 km 10000 -

6.1.4. Montajes “plug and play”


En el montaje anterior los pulsos recorren caminos distintos dentro de Alicia y
Bob, por lo que ambos interferómetros deben ser iguales si se quiere una buena
interferencia. Además, algunos dispositivos ópticos como los moduladores de fase
dependen de la polarización, que debe ser controlada. Los montajes “plug and play” 179
no necesitan ningún control de la longitud de los caminos recorridos, de ahí su nombre.
La idea consiste en situar un solo emisor en Bob, mientras que Alicia
únicamente refleja la radiación incidente. Bob lanza una radiación intensa hacia un
interferómetro asimétrico, que puede seguir un camino corto y otro largo. Alicia
modifica la fase de uno de los pulsos y aplica una atenuación suficiente como para
alcanzar un nivel cuántico. Los caminos que interfieren aparecen en la figura. Al igual
que en el montaje de dirección única, la clave se envía controlando las fases φA,B.

Izquierda: montaje “plug and play”, incluyendo un espejo de Faraday (FM), un modulador de fase
(φA) y un atenuador (VOA).

Este montaje presenta la ventaja de asegurar que la distancia recorrida por


ambos pulsos es la misma, lo que asegura su estabilidad. Además, el dispositivo de
Alicia es más simple, haciendo el montaje más económico. Sin embargo estos
dispositivos no se benefician de los avances en la consecución de fuentes
monofotónicas.
El primer experimento se realizó en 1997 por Zbinden et al 180, distribuyendo la
clave a lo largo de 23 km (la misma fibra que la usada por Muller bajo el lago Ginebra),
alcanzando una visibilidad del 99.8%.
Otros experimentos que usan este montaje se indican en la tabla:
Año/autor Medio Codifica Protocolo λ (nm) / fotones Distancia Tasa de QBER
ción por pulso transmisión (%)
(bits/s)
1998/Ribordy 181 Fibra Fase BB84-plug 1310/0.1 23 km 325 2.9
and play
2002/Stucki 182 Fibra Fase BB84-plug 1550 67 50 2-5.6
and play

109
Transmisión segura

6.1.5. Uso de otras fuentes monofotónicas


Las fuentes monofotónicas más usadas son láseres atenuados, sin embargo
existen otras mediante las que se han realizado experimentos de transmisión de claves.
Beveratos et al102 usan fuentes de nanocristales de diamante dopados con
nitrógeno y vacantes (a temperatura ambiente) para implementar el protocolo BB84
mediante estados polarizados a lo largo de 50 m a través del aire. Las impurezas de
Nitrógeno-vacante son bombeadas con un láser de 532 nm, cuya florescencia
proporciona una emisión centrada entorno a los 693 nm y con una anchura de unos 100
nm. El promedio de fotones por pulso es de 0.014. Los APDs usados en la detección
proporcionan una eficiencia del 1.3%. El montaje presenta una tasa de error del 4.6% y
una tasa de transmisión de 9500 bits/s, incluyendo corrección de errores y amplificación
de la privacidad).
La primera demostración de transmisión criptográfica usando puntos cuánticos
como fuentes monofotónicas fue realizada por Waks et al 183 en 2002. El dispositivo
proporciona fotones con g(2) = 0.14 con los que se codifican estados de polarización
lineal y circular. Implementan el protocolo BB84, enviando los fotones a través de 1m
de aire. La tasa de error es del 2.5%, que después de corregirlos, proporcionan una clave
neta con una tasa de transmisión de 25 kbits/s.

6.2. Criptografía basada en pares EPR


La posibilidad de usar estados enredados en la transmisión de claves, fue
propuesta por Ekert en 199126. En 1992 Ekert et al 184, plantearon un esquema
experimental para realizar el protocolo. Sin embargo no fue hasta 1999 cuando tres
grupos 185,186,187 distintos demostraron su realización experimental usando fotones. Hasta
el presente, parece que únicamente los fotones enredados son sistemas apropiados para
la distribución de claves, debido a su relativamente baja decoherencia.
Generalmente hay varias ventajas de este tipo de protocolos respecto a los que
emplean fuentes débiles de fotones:
☺ Se establece una verdadera aleatoriedad de la clave (ya que está basada en medidas
cuánticas).
☺ Los pulsos vacíos se pueden eliminar fácilmente ya que la detección de un fotón
revela la presencia del compañero (fotón “avisador”). Tal posibilidad contrasta con el
problema de las cuentas oscuras en los detectores actuales.
☺ Desde el punto de vista de la seguridad de los protocolos, aunque Eva detecte algún
fotón del par, no obtendrá ningún tipo de información.
☺ Las cuentas oscuras afectan en menor proporción. Para que produzcan un error deben
producirse en ambos detectores simultáneamente; situación muy poco probable.

También tienen algunas desventajas:


Existe cierta dificultad para detectar ambos fotones simultáneamente.
Los dispositivos experimentales son más complejos.

Y algunas características son similares a los montajes con fuentes débiles:


La probabilidad de emisiones de dos pares de fotones es similar a la obtenida con
fuentes débiles, aunque se puede disminuir usando fuentes con “avisador”

Dependiendo del tipo de propiedad usada en los estados enredados, tenemos


varios tipos de montajes.

110
Distribución experimental de claves

6.2.1. Codificación en estados enredados de polarización


En la primavera del año 2000, dos grupos publicaron resultados experimentales
usando estados enredados de polarización: el grupo de Los Alamos (Kwiat) y el grupo
de la Universidad de Innsbruck (Zeilinger). La principal ventaja de usar estados
enredados de polarización es que los analizadores son simples y eficientes aunque la
realización de experimentos a largas distancias tiene el inconveniente de la escasa
robustez de la polarización en fibras ópticas.
En el experimento de Los Alamos, el grupo de Paul Kwiat186 usaba estados
enredados de polarización (|h>) horizontal y vertical (|v>) del tipo:

φ+ =
1
( h1h2 + v1v2 )
2

Alicia y Bob realizan medidas de la polarización con ángulos ai = 45o, 90o, 135o y 180o
y a bi = 0o, 45o, 90o y 135o, respectivamente. El dispositivo experimental usa un láser de
argón (351.1 nm) para crear un par de fotones (702 nm) por conversión paramétrica a la
baja al incidir sobre dos láminas de cristal de BBO (β-borato de bario, β-BaB2O4). La
primera lámina produce dos fotones horizontales, mientras que la segunda dos fotones
verticales. Debido a la coherencia del proceso, el estado final es |φ+>. Un dispositivo de
cristal líquido introduce (aleatoriamente) uno de los ángulos ai y bi dirigiendo los
fotones polarizados hacia los
detectores (1, 1’) y (2, 2’)
dependiendo de su polarización.
Los datos de transmisión de la
clave realizada durante 40
minutos a través de algunos
metros en la atmósfera,
proporcionan 24252 bits iniciales
lo que corresponde a una tasa de
comunicación de 10.1 bits/s.
Montaje experimental usado en el experimento de Naik et Considerando una tasa de error
al186. (QBER) del 3.4% (además de un
0.7% de los posibles pares dobles
producidos por el dispositivo), Eva puede conocer unos 2500 bits (el 10.3%). Después
de una corrección de errores, la clave se reduce a 17452 bits y finalmente, una
amplificación de la privacidad proporciona 12215 bits (con una tasa neta de 5.1 bits/s) y
una información residual de Eva muy inferior a un bit. La desigualdad de Bell
suministra valores de SB de -2.665±0.019 y -2.644±0.019, aportando resultados
experimentales (reducción de la violación de las desigualdades de Bell) del efecto de
Eva sobre el protocolo.
En el experimento de Innsbruck187 se usaron fotones con polarización enredada
en estado singlete:

Ψ− =
1
( h1v2 − v1h2 )
2

Se realizó una transmisión usando una fibra óptica monomodo que une a Alicia y Bob,
separados 360 m. Usaban dos fotones (de 702 nm) en un estado enredado de
polarización, producidos por conversión paramétrica a la baja al hacer incidir radiación

111
Transmisión segura

de un láser de argón (351 nm y 350 mW) sobre un cristal no lineal tipo II de β-borato de
bario (BBO). Los fotones enredados se dirigen hacia dos moduladores rápidos que rotan
la polarización de los fotones, después atraviesan desdobladores de haz polarizadores
(de Wollaston) y son detectados mediante fotodetectores de avalancha de silicio.

Tasa neta 530 bits/s

360 m (conectados por medio


de una fibra óptica de 500 m)

Montaje del experimentote Innsbruck. Los moduladores electro-ópticos cambian la


orientación (< 15 ns) de los analizadores entre dos direcciones elegidas mediante un
generador de números aleatorio.

Alicia elige realizar medidas de polarización según ángulos de χ y φ respecto a


una dirección convenida, obteniendo resultados +1 si la polarización es a lo largo del
eje, o -1 si es ortogonal. Análogamente, Bob realiza medidas según los ángulos φ y ω.
Con este esquema es posible deducir una desigualdad análoga a la de Bell, llamada
desigualdad de Wigner, según la cual si las polarizaciones de los fotones están
predeterminadas por variables ocultas, debe cumplirse:

P(χ+, φ+) + P(φ+,ω+) – P(χ+,ω+) ≥ 0

La predicción cuántica para estas probabilidades es P(α+,β+) = {sen2(α-β)}/2. La


máxima violación de la desigualdad se produce para χ=-30o, φ=0o y ω=30o, para los que
el primer miembro vale -1/8. Si Alicia elige sus ángulos -30o y 0o y Bob 0o y 30o, hay
cuatro posibilidades de orientación, tres de las cuales sirven para comprobar la
desigualdad de Wigner y la cuarta, correspondiente a la coincidencia de ángulos a 0o,
permite la generación de la clave (recordando que debido a la anticorrelación total, los
bits de Alicia o los de Bob deben ser invertidos). Notemos, que este montaje
experimental es más económico que el protocolo propuesto por Ekert, ya que éste usaba
tres orientaciones para los polarizadores de Alicia y Bob ii. La violación de la
desigualdad asegura que el canal cuántico es seguro, y la clave es secreta. En este
experimento se encontró un valor del primer miembro de -0.112±0.14, estableciendo
una clave de 2162 bits a una velocidad de 420 bits/s y una tasa de error del 3.4%,
realizando una corrección de errores posterior a la transmisión.
Además de implementar el protocolo de Ekert, usando este montaje también se
implementó una variante del protocolo del BB84 usando fotones enredados. Alicia y
Bob variaban la dirección de sus polarizadores entre 0o y 45o. Cuando éstas coincidían

ii
En el protocolo de Ekert, se disponía de nueve orientaciones posibles: cuatro se usaban para comprobar
la desigualdad de Bell, dos para construir la clave y tres se descartaban completamente.

112
Distribución experimental de claves

(lo que ocurría en la mitad de los casos) se obtenía una anticorrelación total,
permitiendo obtener la clave. Así se estableció una clave de 80000 bits transmitidos a
850 bits/s con una tasa de error del 2.5%. La corrección de errores se realizó usando el
método de comparación de paridades de bloques de bits. Se conservan los bloques en
los que la paridad coincide, desechando un bit por bloque, obteniendo, finalmente, una
clave con 49984 bits con una tasa de error del 0.4%. Por último, Alicia envió una
imagen (Venus de Willendorf, encontrada en 1908 en Willendorf y datada de 24000-
22000 años aC) de 43200 bits codificada realizando una operación CNOT con la clave.
Bob realiza, de nuevo una operación CNOT con la clave, obteniendo la imagen
decodificada. La figura incluía un encabezado y una tabla de colores, lo que
proporciona un fichero final de 51840 bits. Cada píxel de la imagen es un número de 8
bits indicando un color de entre 256.
Después de estos dos
experimentos iniciales se
realizaron otros, tanto a
través de fibra óptica como
a través del aire (atmósfera).
A continuación pasamos a
revisar algunos de ellos.
43200 bits
En relación a los
experimentos que utilizan la
atmósfera como canal de
comunicación, en 2002 el
grupo de Kwiat 188 realizó
por primera vez en el
laboratorio el protocolo con
6 estados usando fotones
Cifrado y descifrado de una imagen de la Venus de
Willendorf
enredados. La fuente de
fotones de Alicia es la
misma que la usada en el
+
montaje con 4 estados produciendo un estado |φ >. Bob realiza medidas es las bases {h,
v}, {±45o} y {L, R}. Consiguen transmitir claves con un QBER del 1.7%. Además
realizan un estudio del efecto de varios tipos de ataques, obteniendo un error del
34.0±1.4% en la estrategia de interceptar y reenviar, en total acuerdo con el valor
predicho del 33.3%.
Aspelmeyer et al 189 (2003) realizan una distribución de enredo a lo largo de 600
m que conectan a dos interlocutores situados en la parte superior de dos edificios de
Viena, a ambos lados del Danubio. La conexión se realiza durante la noche con una
temperatura de unos 0oC y viento de hasta 50 km/h. Verifican la desigualdad de Bell,
obteniendo un valor de SB = 2.41 ± 0.10, significado una violación en más de 4
desviaciones estándar. Aunque no realizan una distribución de clave criptográfica,
estiman que la tasa de transmisión sería de unas decenas de bits por segundo con una
tasa de error (QBER) entorno al 8.4 %.
En 2004, el grupo de Zeilinger 190 (en colaboración con el ARCS, Austrian
Research Centres Seibersdorf) consiguen la transmisión de claves entre Alicia, situada
en la central del Banco de Austria y Bob situado en el ayuntamiento de Viena. La
conexión se realiza mediante una fibra óptica monomodo de 1.45 km (3.2 dB/km) entre
dos edificios separados 650 m. Un láser violeta (16 mW) crea un par de fotones por
conversión paramétrica a la baja (810 nm) en el estado enredado |ψ->. Todo el proceso
incluye la generación de la clave, reconciliación, estimación del error, corrección de

113
Transmisión segura

errores mediante el algoritmo Cascade y amplificación de la privacidad. Uno de los


experimentos tenía una duración de 18 minutos en los que se genera una clave
reconciliada con 244765 bits, que se convierte en 79426, después de la amplificación de
privacidad, proporcionando una tasa de transmisión de 76 bits/seg. La tasa de error
después de la reconciliación es del
6.44%.
Peng 191 (2005) usa estados
enredados de polarización para hacer la
primera distribución de una clave
criptográfica a lo largo de 13 km. El
emisor está situado en la cima del
monte Dashu (281 m) en Hefei
(China), mientras que Alicia y Bob
están situados al oeste del campus de la
universidad (en Feixei),
respectivamente. La distancia entre
Alicia y Bob es de 10.5 km, mientras
que las que separan el emisor de Alicia Trayecto de la fibra óptica que conecta el
es 7.7 km y la del emisor y Bob es 5.3 ayuntamiento de Viena (Bob) y la central del
km. Ya que el espesor de la aerosfera Banco de Austria (Alicia) en el experimento de
(capa de aire que rodea la tierra) tiene Zeilinger.
un espesor entre 5 y 10 km, este
experimento abre la posibilidad de distribuir claves usando satélites. El parámetro de
Bell obtenido es SB = 2.45 ± 0.09, que viola la desigualdad en 5 desviaciones estándar.
Resch et al 192 (2005) distribuyen fotones enredados a través de 7.8 km de
atmósfera que conectan el observatorio de Kuffner Sternwarte (Alicia) y la planta 46 del
Millennium Tower. Usan pares de fotones enredados (810 nm) en polarización,
producidos por conversión paramétrica a la baja sobre un cristal de BBO. Obtienen un
valor de SB = 2.27±0.019, violando la desigualdad de Bell en 19 desviaciones estándar,
con un QBER del 9.9%.
Marcikic et al 193 en 2006 realizan una distribución de claves basada en el
protocolo BB84, usando estados enredados de polarización. Uno de los fotones es
enviado a Bob, mientras que su par se usa para alertar (fotón “avisador”) a Bob de su
detección. En el experimento, Alicia y Bob están situados en los tejados de dos edificios
del campus de la Universidad Nacional de Singapur, separados por 1.5 km de
atmósfera. Un láser de diodo (404 nm) incide sobre un cristal no lineal de BBO para
producir un par de fotones en el estado |ψ-> = |hA>|vB>-|vA>|hB>. El de Alicia (805.2
nm) sirve para preparar la detección del fotón de Bob (810.7 nm), que se conduce desde
la fuente EPR hasta un telescopio (ST) por medio de una fibra óptica (SMF). Bob
dispone de un sistema de detección de fotones polarizados (PA) según cuatro estados
±45 y HV que emplea cuatro APDs de silicio enfriadas a -15oC (con unas cuentas
oscuras de 1000 s-1). En el experimento se comprueba la calidad del enredo midiendo la
visibilidad, obteniendo un 92±2.2 % para la base ±45 y un 98±2.6% para la HV. La
transmisión se realiza durante unas 10h nocturnas, proporcionando una tasa de
transmisión de 630 bits/s (después de una corrección de errores y amplificación de la
privacidad) y un promedio de la tasa de error del 5.75%. Los resultados a lo largo del
experimento se muestran en la figura.

114
Distribución experimental de claves

Izquierda: montaje experimental. Derecha: resultados. Arriba la tasa de coincidencias totales


(azul), después de la reconciliación de bases (verde) y después de la corrección de errores (roja).
Abajo la tasa de error (QBER). Su aumento final se debe a la presencia de radiación solar
incidente sobre los detectores.

Fotografía del Montaje de Marcikic

En 2007, Liang et al 194 demuestran la posibilidad de correlaciones del tipo EPR


usando estados enredados en polarización a través de 100 km de fibra óptica,
obteniendo una visibilidad mayor del 90%. Hübel et al 195 en 2007, obtienen una
correlación EPR a 101 km de distancia, usando pares de fotones enredados en
polarización. La fuente consiste en dos cristales de KTiOPO4 sobre los que incide un
láser para crear un par de fotones a 810 y 1550 nm por conversión paramétrica a la baja
asimétrica. El estado final producido es |h810>|v1550> + eiφ |v810>|h1550>. A 101 km
obtienen una visibilidad del 88.6%. De los resultados de la visibilidad estiman un
QBER del 5.7% y una tasa de transmisión (después de una corrección y amplificación
de la privacidad) de 35 s-1. Sus estimaciones permiten concluir que, mediante el
dispositivo usado, se pueden obtener correlaciones hasta distancias de 200 km.
Utilizando el mismo dispositivo que el usado para comprobar la violación
desigualdad de Bell, en el experimento de Ursin 196 (2007) se distribuyen pares de
fotones (710 nm) enredados (|ψ-> = |h1v2>-|v1h2>) entre La Palma y Tenerife,
demostrándose la transmisión de claves criptográficas a través de la atmósfera. Alicia
genera el par de fotones (por conversión paramétrica a la baja haciendo incidir un láser

115
Transmisión segura

de Nd:vanadato con 150 mW y 355 nm, sobre un cristal de β-borato de bario) y está
situada en el Roque de los Muchachos (2392 sobre el nivel del mar), en la isla de La
Palma. Bob está situado en la Estación Óptica Terrestre de la Agencia Espacial Europea
de Tenerife (2410 m sobre el nivel del mar), separados ambos por 144 km. Empezando
con una cadena de 789 coincidencias en 75 s, se obtiene una clave de 417 bits, después
de una corrección de errores y amplificación de privacidad, la clave se reduce a 178
bits. La tasa de transmisión es de 2.4 s-1. Se comprobó la desigualdad de CHSH
obteniendo un valor de SCH = 2.503±0.037 ≤ 2 2 = 2.83.

Montaje del experimento de Ursin para la distribución cuántica de claves a lo


largo de 144 km de atmósfera.

6.2.2. Codificación en fase


Ekert184 usa un montaje similar al de Franson (1989) para distribuir claves
criptográficas. Usa como fuente un cristal no-lineal que produce un par de fotones
correlacionados por conversión paramétrica a la baja. Un láser con gran tiempo de
coherencia bombea el cristal produciendo dos fotones que se dirigen hacia dos
interferómetros Mach-Zehnder con brazos muy asimétricos, presentando un recorrido
corto y otro largo. Con el fin de impedir la interferencia monofotónica, la longitud de
coherencia de los fotones producidos debe ser menor que la diferencia de caminos entre
el corto y el largo de cada interferómetro. El par de fotones se crea en el mismo instante
aunque indeterminado, y su estado es:

ψ = ∫ dω c( ω ) ω A
⊗ ω0 − ω B

donde ω0 es la frecuencia del láser y c(ω) expresa la distribución inicial de frecuencias.


El estado desprecia las contribuciones de los estados de vacío y los multifotónicos. Este
estado es enredado en frecuencias (relacionada con la energía de los fotones) y en el
tiempo, pues no sabemos en qué instante (a lo largo del pulso inicial) se ha producido.
Por ello se trata de un estado enredado energía-tiempo. Ambos fotones se dirigen uno
hacia Alicia y el otro hacia Bob, que disponen de dos interferómetros iguales y muy
asimétricos (con brazos desiguales) con un modulador de fase en uno de los brazos (el

116
Distribución experimental de claves

largo). Localmente, si Alicia o Bob varían la fase en su interferómetro, no detectan


ningún efecto en la tasa de detección. Sin embargo, si miden la diferencia entre el
tiempo de detección de Alicia y el de Bob (tA-tB), son posibles tres resultados para cada
combinación de detectores. Cuando las diferencias de camino correspondientes a (tA-tB)
en los interferómetros, son sólo una fracción de la longitud de coherencia de los fotones,
los caminos corto-corto y largo-largo tienen una demora prácticamente nula (tA-tB ∼ 0) y
corresponden a las cuentas del pico central. Los picos laterales corresponden a las
combinaciones de caminos corto de Alicia - largo de Bob y viceversa. Restringiéndonos
a las detecciones del pico central, los pares de fotones son indistinguibles (siempre que
la longitud de coherencia del fotón del láser inicial sea mayor que la diferencia de
camino entre los recorridos corto y largo de cada interferómetro) y se observa la
interferencia de dos fotones, dependiendo de las fases relativas elegidas en los
interferómetros de Alicia y Bob (φA y φB). Las probabilidades de detección en
coincidencia entre Alicia y Bob vienen dadas por:

p( A0 , B0 ) = p( A1, B1 ) =
1
[1 + cos( φ A + φB )]
2
p( A1, B0 ) = p( A0 , B1 ) = [1 − cos( φ A + φB )]
1
2

φA φB

DA0 DB0

DA1 Alicia Bob DB1


Láser

SASB, LALB
Detecciones

tA-tB

SALB LASB

Montaje típico para la distribución de claves usando fotones en estados enredados energía tiempo.

Si φA + φB = 0, existe una perfecta correlación en las detecciones y ambos fotones


inciden en los detectores correspondientes: A0 y B0 o bien en A1 y B1. Los
interlocutores pueden ajustar inicialmente sus fases relativas para que los fotones
emerjan (correlacionados) por los detectores deseados. Durante el proceso de
transmisión de la clave, Alicia y Bob eligen sus fases, aleatoriamente, entre los valores
φA = 0, π/2 y φB = 0, -π/2. Cuando se cumpla la condición φA + φB = 0, se obtendrá
correlación determinista entre los detectores de Alicia y Bob (p(A0,B0) = p(A1,B1) = 1

117
Transmisión segura

y p(A0,B1) = p(A1,B0) = 0). Si φA + φB = ± π/2, se produce una ausencia de


correlación: p(A0,B0) = p(A1,B1) = 1/2 y p(A0,B1) = p(A1,B0) = 1/2. Después de la
transmisión se comparan los valores de las fases, pero sin indicar el detector que ha
registrado el fotón. Si las fases no coinciden o sólo se detecta un fotón (debido a las
pérdidas), los resultados se desechan. También se desechan los fotones de los picos
laterales SALB y LASB. La transmisión de la clave implica una elección activa de las
fases adecuadas mediante algún método aleatorio, por ello se califica como un método
activo de elección de bases.
La transmisión de los bits se basa en una correlación total de los fotones que
llegan al pico central. Los interlocutores pueden comprobar la presencia de Eva (una
escucha no autorizada) demostrando abiertamente la correlación de un subconjunto de
sus resultados. La presencia de errores de correlación, puede indicar la presencia de
Eva.
Se puede eliminar la necesidad de depender de un generador de elecciones
aleatorias externo, si se usan dos interferómetros Mach-Zehnder para cada interlocutor.
Ahora se pueden ajustar las fases relativas de los interferómetros para obtener
correlación entre los mismos detectores del par, por ejemplo entre DA0 y DB0.
En este tipo de montajes es esencial disponer de una fuente láser que produzca
fotones con una longitud de coherencia mayor que la diferencia de caminos de los
interferómetros. Además su longitud de onda debe ser estable durante el intercambio de
la clave. Estos requerimientos hacen que la fuente deba ser algo más elaborada que en el
caso de usar estados enredados de polarización.

DA0 DB0

DA1 DB1

D’A1 D’B1

D’A0 D’B0
Montaje para la distribución de claves usando pares de fotones en estados
enredados energía-tiempo.

Esta estrategia ha sido realizada, por primera vez, en el 2000 por Ribordy et al 197
utilizando un montaje asimétrico. Cuando se transmiten fotones a grandes distancias a
través de fibras ópticas, se debe elegir una λ ∼ 1550 nm para minimizar las pérdidas.
Además debe usarse un proceso de detección cuidadoso para mantener una baja tasa de
cuentas oscuras. Si se usan fotones con λ ∼ 800 nm, la detección es más eficiente pero
las pérdidas en la fibra pueden aumentar. Una solución es un montaje asimétrico en el
que la fuente de fotones enredados (de conversión paramétrica a la baja) se sitúa cerca
de Alicia que recibe fotones con λ = 810 nm y baja atenuación, mientras que Bob recibe
el fotón del par con λ ∼ 1550 nm. La fuente de fotones enredados consiste en un láser de
Nd-YAG que incide sobre un cristal no lineal de NbO3K. Alicia usa un detector de
silicio mientras que Bob usa uno de InGaAs. El montaje implementa el protocolo BB84,
pero no usa un dispositivo con cuatro interferómetros, en su lugar emplea un truco
basado en la multiplexación de la polarización. En un primer experimento, Alicia y Bob
están separados 20 m. En un periodo de 63 minutos intercambian una clave de 1704118
bits con una tasa mínima de error (después de la reconciliación y antes del aumento de
privacidad) del 4.7±0.3%, con una tasa de transmisión de 450 bits/s. En un segundo

118
Distribución experimental de claves

experimento, aumentan la distancia hasta 8.45 km. Los resultados del funcionamiento
son: en 51 minutos intercambian una clave con 407930 bits (tasa 133 bits/s), con un
QBER mínimo de 6.6±0.6%

6.2.3. Codificación en fase-tiempo


Si Alicia y Bob disponen de dos interferómetros asimétricos iguales (e igual al
usado para crear el estado inicial), el estado del par enredado energía-tiempo es:

1
(S A
S R
+ e iφ L A
L R
)
2

Cada uno de los interlocutores tiene dos detectores. Alicia y Bob realizan medidas para
los tiempos de llegada de los fotones con referencia al instante de emisión del láser t0.
Pueden detectar los fotones en tres instantes distintos. El esquema de detección es
análogo para Alicia y Bob. Para Alicia, el primer pico de detección corresponde a la
situación en la que el fotón recorre el camino corto en el interferómetro inicial (|S>p) y
en el de Alicia (|S>p, |S>A). El segundo pico corresponde los caminos |S>p, |L>A (corto-

Láser
t0

DA0 DB0

Cristal
no lineal

Alicia Bob
DA1 DB1
Detecciones de BR

SpLA, LpSA SpLB, SBLp


Detecciones de A

t0-tA t0-tB

SpSA LpLA SpSB LpLB

Montaje para la distribución de claves usando pares de fotones en estados enredados energía-
tiempo y codificación en fase-tiempo.

largo) y |L>p, |S>A (largo-corto) y el tercero a |L>p, |L>A (largo-largo). Lo mismo le


sucede a Bob, detectando tres picos correspondientes a las posibilidades (|S>p, |S>B),
{(|S>p, |L>B), (|L>p, |S>B)} y (|L>p, |L>B). Llamamos picos laterales al 1 y al 3 mientras
que el 2 es el central.

119
Transmisión segura

En la distribución de la clave, Alicia y Bob comparan públicamente sus


detecciones. Para cada fotón se comunican si la detección se ha producido en alguno de
los picos laterales (independientemente del detector) o bien en el pico central. En el
primer caso, no se comunican en cuál de los dos picos laterales se ha hecho la detección.
Asignando los valores 0 y 1 cada uno de ellos, permite enviar el bit correspondiente. Por
ejemplo, supongamos que Bob ha detectado un fotón en el pico lateral 1. Representa el
proceso SpSA, en el que el fotón inicial ha seguido el camino corto (Sp) en el
interferómetro inicial y camino corto (SA) en el de Alicia. Según el estado enredado, el
camino corto SA sólo es compatible con un camino corto (SB) para el fotón que detecta
Bob, luego Bob debe detectar su fotón del par también en el pico 1. Las detecciones en
picos laterales de Alicia y Bob presentan una correlación total. Asignando un 0 al pico 1
y un 1 al pico 3, pueden identificar los bits. En el caso de que ambos detecten en el pico
central (segunda base), corresponde al caso de codificación en fase. El 0 y el 1 están
asignados a determinados detectores entre los que Alicia y Bob detectan en correlación,
ya que han ajustado previamente sus fases. Este montaje es pasivo y no precisa de un
generador aleatorio, ya que se emplea la información de los picos laterales.
La codificación en fase-tiempo se ha realizado por Tittel et al185 en 2000. Usan
un láser de diodo (655 nm) emitiendo pulsos de 600 ps (longitud de coherencia 0.2 mm)
con una frecuencia de 80 MHz, incidiendo sobre un cristal no lineal de KNbO3,
produciendo pares enredados de 1310 nm. Los interferómetros tienen una diferencia de
camino de 1.2 ns y usan detectores de avalancha de germanio enfriados a 77 K, con
unas cuentas oscuras de 30 kHz. La transmisión se realiza con un QBER entorno al 4%.
La utilización de este montaje para transmitir claves a grandes distancias está basada en
los experimentos de correlación para la
verificación de las desigualdades de Bell
realizado por Tittel et al 198. Los fotones, en
un estado enredado energía-tiempo, se
envían a través de dos fibras ópticas de
longitudes 8.1 y y 9.3 km, partiendo de
una fuente situada en Ginebra. Los dos
interlocutores están situados en Bellevue y
Bernex, separados entre sí una distancia de
10.9 km. En todos los casos los resultados
están dentro de las predicciones cuánticas.
Teniendo en cuenta la relación entre el
QBER y la visibilidad V, QBER = (1-V)/2,
para garantizar una seguridad en el proceso
de transmisión debe tener una visibilidad Experimento de Tittel.
V ≥ 0.71 (lo que proporciona QBER ≤
15%). En los experimentos se alcanza hasta una V ∼ 85.2%. Este resultado permite
concluir que el dispositivo es adecuado para la transmisión segura de claves. Utilizando
fibras ópticas enfriadas a 77 K con nitrógeno líquido, Takesue 199 extiende las
correlaciones hasta 60 km, obteniendo una V = 75.8. Usa fotones de 1.5 μm y
detectores de InGaAs.
Este tipo de montajes tienen ciertas ventajas (además de las propias de usar pares
enredados). La longitud de coherencia del láser no es una característica crítica, además
los estados enredados tiempo-energía son considerablemente robustos a lo largo de
grandes distancias.
Fasel et al 200 en 2004, utilizan estados enredados energía-tiempo discretos para
transmitir claves a través de 31 km de fibra óptica estándar. En esta situación aparecen

120
Distribución experimental de claves

problemas de dispersión cromática y de polarización, que solventan usando una fibra


compensadora de la dispersión y una reducción de la anchura espectral de los fotones
detectados por Alicia. El montaje implementa el protocolo BB84 en la versión que usa
pares enredados con fotón “avisador”. Un sistema electrónico se encarga de abrir los
detectores de Bob cuando Alicia detecta un fotón. La fuente consta de un láser continuo
(532 nm) que al incidir sobre un cristal no lineal de KNbO3 produce un par de fotones
por CPB-I. El fotón de 810 nm se envía a Alicia a través de una fibra óptica, mientras
que el fotón de 1550 nm se envía a Bob a través de una fibra óptica de 31 km (8.3 dB de
pérdidas). El experimento se realiza mediante dos montajes: usando una fibra
compensadora de la dispersión en el canal de Bob o bien usando un filtro (de 2 nm) en
el dispositivo de Alicia, para reducir la anchura de los fotones de 810 nm. Los
resultados proporcionan unas tasas netas de transmisión de 23 y 12 bits/s con unas tasas
de error del 10.5% y 7.2%, respectivamente.

Experimentos con pares de fotones en estados enredados


Medio Codificación Protocolo Longitud Distancia Tasa de QBE
Año/autor de onda transmisión R
(nm) (bits/s) (%)
2000/Kwiat (Los Aire Polarización E91 702 Varios 5.1 (con 3.4
Alamos)185 (CPB) metros corrección)
2000/Jennewein Fibra Polarización E91 702 360 m (1 420 3.4
(Innsbruck)186 (CPB-II) km)
2000/Jennewein Fibra Polarización E91 702 360 m (1 530 (con 0.4
(Innsbruck)186 (CPB-II) km) corrección)
2000/Tittel Fibra Energía- E91 1310 ∼ 33 ∼4
(Ginebra)185 tiempo (time-
bin)
2001/Ribordy Fibra Energía- E91 810 y 8.45 km 133 6.6
(Ginebra)197 asimétrica tiempo (cod 1550
.en fase)
2002/Kwiat188 (Los Aire Polarización EPR-Seis 702 Varios 10 1.7
Álamos) (CPB-II) estados metros
2003/Aspelmeyer189 Aire Polarización EPR 810 0.6 km No se realiza -
(CPB)
2004/Fasel Fibra Energía- E91-BB84 810 y 31 km 12-23 7.2-
(Ginebra)200 tiempo (time- 1550 10.5
bin)
2004/Marcikic 201 Fibra Energía- E91 1300 y 50 km 5-6 11.5
(Ginebra) tiempo (time- 1550
bin)
2004/Poppe190 Fibra Polarización BB84 810 1.45 km 76 (con 6.44
(Viena) (CPB-II) corrección y
amplificación)
2005/Peng191 Aire Polarización BB84/E91 702 13 km 10 (después de 1.46
(China) (CPB) corregir
errores)
2005/Resch192 Aire Polarización E91 810 7.8 ∼25 9.9
(Viena) (CPB-II)
2006/Marcikic193 Aire Polarización E91-BB84 805.2 y 1.5 km 630 (neta) 5.75
(CPB) 810.7
2007/Hübel195 Fibra Polarización E91 810-1550 101 35 (estimación) 5.7
CPB-asim. (estim
ación)
2007/Ursin196 (La Aire Polarización E91 710 144 km 2.4 (con -
Palma) (CPB-II) corrección y
amplificación)

121
7. Diseño de un experimento de distribución cuántica de claves

7.1. Objetivos......................................................................................................... 122


7.2. Elección de condiciones generales ................................................................ 122
7.3. Diseño y presupuesto económico .................................................................. 124
7.3.1. Diseño ..........................................................................................................................124
7.3.2. Fuente de bombeo (F): .................................................................................................124
7.3.3. Fuente monofotónica....................................................................................................124
7.3.4. Óptica del canal............................................................................................................125
7.3.5. Detectores (D) ..............................................................................................................126
7.3.6. Sistema de alineamiento...............................................................................................126
7.3.7. Electrónica....................................................................................................................127
7.3.8. Medición de tiempo (UT).............................................................................................127
7.3.9. Recursos informáticos ..................................................................................................127
7.3.10. Estimación del presupuesto total ..................................................................................127
7.3.11. Recursos complementarios...........................................................................................128
7.3.12. Recursos humanos........................................................................................................128
7.4. Experimentos a realizar ................................................................................ 128
7.5. Fabricantes..................................................................................................... 128

Una vez revisados los principios fundamentales del funcionamiento de la


distribución cuántica de claves, las ventajes e inconvenientes de los distintos montajes y
la evolución experimental hasta la actualidad, pasamos a plantear el diseño de un
posible experimento para la distribución cuántica de claves.

7.1. Objetivos
Los objetivos fundamentales son:

1. Diseñar un montaje experimental de distribución cuántica de claves usando


estados enredados.
2. Enumeración de los elementos fundamentales que son necesarios.
3. Elección de dispositivos: fuentes de emisión, detectores y canal de transmisión,
con la condición de una mínima inversión.
4. Posible localización
5. Presupuesto económico
6. Recursos humanos necesarios
7. Posibles experimentos a realizar.

7.2. Elección de condiciones generales y diseño


La tecnología actual (casi) únicamente emplea fotones para la transmisión de
claves, según se ha visto previamente. En este aspecto no podemos, en la actualidad,
hacer ninguna otra elección.
Transmisión segura

El montaje de distribución cuántica de claves que proponemos, emplea pares de


fotones enredados en polarización, ya que los dispositivos para su producción y
detección son los más desarrollados. Los estados de polarización presentan importantes
pérdidas al ser transmitidos a través de fibras ópticas, debidas principalmente a la
birrefringencia. Por esta razón, planteamos realizar la transmisión a través de la

LD APD
FO T T

al PC CP
Col
FO
PDC
F

L
C CO Col

D PBS
PBS
BS BS

D L L

D D
D
D

D Rb D Rb

UT
UT

PC PC

Alicia Bob

Diseño de un montaje para distribución cuántica de claves usando pares de fotones enredados
producidos por conversión paramétrica espontánea a la baja.

atmósfera, ya que birrefringencia es despreciable. Esta elección es, quizás, menos


versátil que el empleo de fibras ópticas, debido a que, estas últimas, no necesitan que
los interlocutores estén conectados por una línea visual. Sin embargo, el empleo de una
fuente de pares enredados también permite cierta flexibilidad, eligiendo una situación
intermedia, de forma que los interlocutores no necesiten una línea visual de conexión.
La elección de la atmósfera como canal de transmisión, implica que debemos
usar fotones que presentan una baja absorción. Situación que corresponde a la primera
ventana de telecomunicación, alrededor de 810 nm, para la cual existen buenos
detectores. La estrategia más usada y simple para generar estos pares de fotones, es usar
un cristal de conversión paramétrica espontánea a la baja de tipo II, como el β-BBO,
bombeado con un láser de diodo que emita a unos 405 nm, con una potencia de unos 50

123
Diseño de un experimento de distribución cuántica de claves

mW y un ancho de banda pequeño (0.5 nm), para evitar en lo posible los problemas de
compensación de desplazamientos de los haces a la salida del cristal.
Para fotones con longitud de onda del orden de 810 nm, los detectores más
desarrollados son los fotodiodos de avalancha de silicio, que pueden alcanzar eficiencias
cuánticas del orden del 80% con unas cuentas oscuras de menos de 25 s-1.
Ya que el presente proyecto radia en la ETSI de Telecomunicación, una posible
localización podría involucrar una conexión entre dos edificios de nuestra Escuela.
Finalmente, pretendemos que el dispositivo tenga una vida de unos 5 años, cómo
mínimo.

7.3. Diseño y presupuesto económico

7.3.1. Diseño
El diseño del montaje aparece en la figura anterior, de acuerdo con las
directrices indicadas en el apartado anterior.

7.3.2. Fuente de bombeo (F):


a) Láser de diodo de 405 nm
Buscamos un láser de diodo centrado en 405 nm. Podemos
usar el láser de diodo violeta NDHV220APA, proporcionado
por NICHIA. A temperatura ambiente y con una corriente
directa entre 100 - 150 mA, se puede conseguir una potencia
de unos 50 mW con una anchura entre 0.5 – 1. nm.
Debido a que la vida media de uno de estos láseres es
Láser de diodo limitada, y en previsión de su deterioro, solicitamos 5
unidades a un precio por unidad de 2000 $.

Precio……………………………………10000 $

b) Dispositivos ópticos de apoyo para el láser: lentes, monturas


Se pueden conseguir en THORLABS

Precio…………………………………….1500 $

c)- Controladores para el láser: de corriente y temperatura (C).


Controlador de corriente para el LED de la serie ITC8000,
proporcionado por THORLABS

Precio……………………….………….1600 $

Controlador
ITC8000

7.3.3. Fuente monofotónica


a) Cristal no-lineal de β-BBO (β-B2O4Ba) (PDC).
Un cristal de 0.5 a 1 mm de espesor de puede conseguir en CASIX o en
UNITED CRYSTALS.

124
Transmisión segura

Intervalo de transmisión: 196nm ~


2200nm
Intervalo de coincidencia de fase:
189nm ~ 1750nm
Índice de refracción:
a 1064nm 1.6551(no), 1.5425(ne)
a 532nm 1.6749(no), 1.5555(ne)
a 266nm 1.75711(no), 1.6146 (ne)

Cristal de β-BBO de 10 × 10
× 0.5 mm.

Precio.........................................................600 $

b) Óptica de compensación (CO)


Se necesitan dos cristales adicionales de β-BBO de la mitad de espesor que el
anterior para compensar los desplazamientos relativos de los rayos ordinarios y
extraordinarios.

Precio……………………………………600 $

c) Óptica de control de bombeo: lentes, espejos, monturas


Se necesitan lentes con recubrimientos antirreflectantes a 405 nm; especjo
reflectantes a 405 nm, además de las monturas correspondientes. Se pueden conseguir
en THORLABS o en RPO (Rochester Precision Optics).

Precio.......................................................300 $

7.3.4. Óptica del canal


Se puede conseguir en THORLABS.
a) Dispositivos ópticos
Espejos reflectantes a 810 nm
Lentes antirreflectantes a 810 nm de conexión con la fibra óptica
Compensadores de polarización (CP)
Láminas de media onda (L), desdobladores de haz (BS), desdobladores de haz
polarizadores (PBS) y monturas.

Precio…………………………………2000 $

b) Colimadores para fibra (lente, conector y microtrasladores) (Col)

Precio.…………………………………1200 $

c) Fibras ópticas (FO)


10 m de fibra óptica y conectores, para la óptica interna de Alicia y Bob.

Precio…………………………………..300 $

125
Diseño de un experimento de distribución cuántica de claves

d) Telescopios (T)
Se precisan dos telescopios, para el canal cuántico de transmisión de la
clave y para el sistema de alineamiento. Cada telescopio usa dos colimadores y
dos lentes especiales, una de 1 cm y otra de 30 cm de diámetro, junto con
trasladores y monturas. El material se puede adquirir en RPO (Rochester
Precision Optics). Estimamos 3000 $ por telescopio.

Precio………………………………12000 $

e) Fibras ópticas multimodo


Se emplean en la conexión entre el telescopio y el detector (APD) del receptor.
Se pueden adquirir el Perkin Elmer.

Precio………………………………...200 $

7.3.5. Detectores (D)


Los fotones que transportan la clave a lo largo del
canal cuántico son de 810 nm. La mejor elección para los
detectores son APDs de Si. Se pueden adquirir en
PerkinElmer, por ejemplo el fotodiodo SPCM-AQR-16-FC
Necesitamos que tengan alta eficiencia para longitudes de
onda alrededor de 800 nm y una pequeña probabilidad de
cuentas oscuras. En concreto, el número de cuentas oscuras
es menor de 25 s-1. El montaje emplea 8 APDs, ya que
APD de Si PerkinElmer
cada interlocutor debe discriminar entre dos bases distintas
con dos estados de polarización cada una de ellas. El
precio de cada APD es de 12000 $.

Izquierda: Eficiencia del APD SPCM-AQR-16-FC de PerkinElmer. Derecha: probabilidad de los


pulsos subsiguientes.

Precio………………………………..96000 $

7.3.6. Sistema de alineamiento


a) Láser de diodo IR a ∼800 nm. (LD).
Se puede adquirir un láser de la serie TEC con λ 780-850 nm, divergencia < 1
mrad, potencia 100-200 mW de WSTech (World Star Tech)

b) Un detector APD de Si (APD).

126
Transmisión segura

Asumiendo que situamos la fuente de fotones enredados en Alicia, necesitamos


un APD de Si para detectar los fotones de alineamiento a 800 nm. El APD está
conectada al PC que, dependiendo de las detecciones controla el alineamiento de los
telescopios.

c) Motores y controladores de para el alineamiento del telescopio.


Controlados por los PCs.

Precio………………………………….30000 $

7.3.7. Electrónica
a) Electrónica de coincidencia
Para la medición de la tasa de coincidencias, necesitamos la circuitería apropiada
una tarjeta contadora. Se pueden adquirir en NATIONAL INSTRUMENTS.

Precio…………………………………..2000 $

7.3.8. Medición de tiempo (UT).


a) Unidad de tiempo: dos tarjetas de alta precisión
contadoras (100 mHz) de ciclos de reloj. Se pueden
adquirir en NATIONAL INSTRUMENSTS.

Precio………………………………….8000 $

b) Relojes de Rubidio (Rb)


Dos relojes de rubidio, PerkinElmer o en
Serie M - tarjetas de adquisición
de datos de alta velocidad de Denver Metrología Electrónica S.L.
Nacional Instruments.
Precio……………………….…………6000.$

7.3.9. Recursos informáticos


a) Dos ordenadores portátiles.
b) Software apropiado (no incluido en el precio) para el funcionamiento del montaje:
control de telescopios, tratamiento del conteo de datos, procesos de reconciliación
de bases, corrección de errores y amplificación de la privacidad.

Precio………………………………..3500 $

7.3.10. Estimación del presupuesto total


Sin tener en cuenta que es necesaria una infraestructura mínima en cuanto a
acceso a material básico de laboratorio y espacio para el montaje, así como a los
recursos humanos mencionados a continuación, difíciles de traducir en el presupuesto,
los gastos totales se estiman en

Presupuesto total……………175800 $
Además de los anteriores recursos se necesitarían los siguientes:

127
Diseño de un experimento de distribución cuántica de claves

7.3.11. Recursos complementarios


Dispositivos habituales en un laboratorio de electrónica y óptica: osciloscopios,
muñequeras aislantes, mesas ópticas, etc.

7.3.12. Recursos humanos


El montaje del dispositivo y su puesta en funcionamiento puede requerir unos
tres años de trabajo de dos estudiantes predoctorales, un estudiante postdoctoral, un
ingeniero y el apoyo de un maestro de laboratorio.

7.4. Experimentos a realizar


Una vez el montaje esté dispuesto para su uso, se pueden hacer diversas pruebas
dentro del contexto de la transmisión cuántica de claves.

a) Estimación de la tasa de error de la línea. Con una apropiada desviación


del haz entre Alicia y Bob, se podría determinar la dependencia de la tasa
de error con la distancia. Esto permitiría evaluar la máxima distancia de
transmisión del montaje.
b) Cálculo de la visibilidad
c) Determinación de la violación de las desigualdades de Bell.
d) Envío de claves criptográficas y estudio del efecto del ruido del canal en
la longitud final de la misma.
e) Simulación del efecto del ataque de un espía por medio de un método de
intercepción y reenvío.
f) Determinación experimental de las cotas de seguridad del montaje.
g) Estudio del efecto de diversas desigualdades en la seguridad del
protocolo.
h) Con ligeras modificaciones del dispositivo, construcción de una fuente
de fotones con “avisador” y estudio de su efecto en la seguridad del
dispositivo.

7.5. Fabricantes
Actualmente hay un buen número de empresas tecnológicas que se han
introducido en el mercado de la criptografía cuántica (Toshiba, Siemens, HP,…).
Muchas de estas tienen tan solo programas de desarrollo y aún no tienen ningún
producto final. Aquí incluimos las empresas que actualmente disponen de dispositivos
QKD comerciales.
Un dato a tener en cuenta en cuanto a los fabricantes es que, debido a la novedad
del mercado, las estrategias comerciales les llevan a dar muy poca información sobre los
sistemas que venden.

IdQuantique120
Esta empresa suiza afincada en Ginebra surgió a partir del GAP, con Gegoire
Ribordy y el propio Nicolas Gisin como miembros fundadores. Actualmente ofrecen
tres dispositivos de criptografía cuántica, uno para desarrollo, llamado Clavis, otro más
acabado y con mayor autonomía, llamado Vectis y un tercero mas moderno, Cerberis,
que puede cifrar y gestionar grandes cantidades de datos a gran velocidad. Todos ellos
están basados en los esquemas “plug & play” de pulsos atenuados. Además, ofrecen
generadores de números aleatorios conocidos como Quantis.

128
Transmisión segura

QuinetiQ 202
Esta compañía, con sede en Londres, es proveedora de los enlaces cuánticos a
través del aire de la red DARPA.

BBN Technologies30
Compañía estadounidense que participa muy activamente en el desarrollo de la
red de enlaces cuánticos de DARPA, proporcionando además los dispositivos a través
de fibra basados en pulsos atenuados y en pares entrelazados. El propio Chip Elliott
pertenece a esta compañía.

MagiQTech 203
Esta compañía de EEUU apuesta por los productos basados en información
cuántica. Actualmente ofrece dispositivos de criptografía cuántica pero sus previsiones
de futuro son ambiciosas, llegando incluso a hablar de la construcción de órdenadores
cuánticos. Su producto estrella es una pasarela de datos con cifrado punto a punto,
similar al Vectis de IdQuantique.

129
8. Perspectivas de futuro: enredo en el espacio

A lo largo de la presente memoria se ha podido comprobar la importancia básica


del enredo en sistemas cuánticos de comunicaciones. Los motivos para llevar
dispositivos capaces de generar pares de fotones enredados al espacio y distribuirlos a
localizaciones precisas, ya sea en tierra o en el espacio son diversos 204:

• Redes globales. Dada la atenuación de las fibras ópticas, los problemas


evidentes de la distribución cuántica de claves en la atmósfera
(atenuación debida a aerosoles atmosféricos o fenómenos
meteorológicos, necesidad de mantener una línea visual) y la inexistencia
de repetidores cuánticos (al menos, el menos en la actualidad), parece
indicar que la única manera de construir una red global de distribución
cuántica de claves, es la utilización de satélites. Si, además, en los
satélites se utilizan fuentes de pares entrelazados, estos no necesitan ser
nodos confiables dentro de la red.
• Codificación densa y comunicación convencional mejorada con
entrelazamiento. La posibilidad de duplicar el ancho de banda en
aplicaciones especiales con comunicaciones difíciles, no pude ser
despreciada. La transmisión de estados entrelazados para comunicación
clásica, permite también disponer de un canal de comunicaciones mucho
más resistente.
• Teleportación de estados. Este es un paso previo para la construcción de
un repetidor cuántico. La existencia de repetidores cuánticos compactos
y baratos revolucionaría las infraestructuras de comunicaciones,
haciendo posible la distribución ilimitada de claves cuánticas. Hay que
observar, que no estamos pensando sólo en aplicaciones de máxima
seguridad, sino también en la conveniencia que supone disponer de
claves certificadas en cualquier momento y en cualquier punto de la red
de comunicaciones. Introduciendo esto en el diseño de nuevos protocolos
de comunicaciones, se podrían paliar, en gran medida, muchos ataques
que en la actualidad son muy difíciles de controlar.
• Experimentos de física fundamental. Se podrían abordar diversos
aspectos importantes como ¿disminuyen las correlaciones cuánticas con
la distancia? Nuevos protocolos de sincronización temporal que
permitiesen estudiar procesos fundamentales ¿Evolución de la constante
de estructura fina? Observación de efectos relativistas y cuánticos, ondas
gravitacionales...

Desde el punto de vista de las comunicaciones, la posibilidad más evidente es el


uso de fotones individuales emitidos por una fuente láser atenuada. Esto permite
establecer una clave con un satélite que después sería descargada a otra estación en
tierra, pasando, si fuese necesario, por un satélite intermedio, y abre la posibilidad de
una red global de distribución cuántica de claves, pero con nodos confiables. El satélite,
dada la dificultad de su manipulación se consideraría, por sí mismo, un sitio seguro. Un
Perspectivas de futuro: enredo en el espacio

paso más allá, sería situar la fuente de fotones entrelazados en el satélite. Con esto se
lograría prescindir del requisito de confiabilidad del satélite, pudiéndose comunicar, de

Resumen de las posibles conexiones con una fuente de pares


enredados en tierra204. Cada conexión tiene unas atenuaciones que
están reflejadas en la tabla adjunta.

forma totalmente segura, dos estaciones en tierra independientemente de quién controle


el satélite, que, en el peor de los casos, podría cortar la comunicación pero no
comprometer su seguridad.

Atenuaciones de las diversas conexiones dibujadas en la figura


anterior para dos longitudes de onda (recuadradas las relativas a 1550
nm). Las atenuaciones han sido calculadas con parámetros razonables
(telescopio de 30 cm en el espacio y de 100 cm en tierra). Distancias
de 500 km para tierra-LEO, 36.000 km tierra-GEO, 2.000 km LEO-
LEO. 40.000 km GEO-GEO y 35.500 LEO-GEO. Obsérvese que para
superar estas atenuaciones, el nivel tecnológico necesario es muy
importante. Como comparación, la atenuación de 100 km de fibra
óptica es de 20 dB para 1550 nm y de 200 dB para 800 nm.

131
Bibliografía

Otras posibilidades más sofisticadas involucran dos emisores de fotones


entrelazados en dos satélites o la situación de un emisor en tierra y reflectores en
satélite. El último caso permitiría, de nuevo, una comunicación secreta a larga distancia
entre las estaciones terrestres de los extremos, alcanzando directamente puntos
inaccesibles en la configuración de un sólo satélite. Otro caso más sofisticado es cuando
la estación intermedia no hace una medida proyectiva, sino que enreda entre sí los
fotones que le llegan de los satélites, esto permite que se pueda crear una clave
conocida, de manera exclusiva, por las estaciones terrestres de los extremos, de nuevo
independientemente de lo maliciosa que pudiera ser la estación intermedia.
Los estudios para poner en órbita tanto una fuente de pares de fotones enredados
como una fuente de fotones individuales basada en un haz láser atenuado están bastante
avanzados. El primer requisito es, evidentemente, ser capaz de enviar y recibir fotones
individuales, enredados o no, en tierra. La tradición de transmisiones al aire en enlaces
basados en pulsos atenuados, es ya larga166, habiéndose probado (hace ya tiempo)
enlaces a más de 10 Km de distancia y a la luz del día167. Su disponibilidad comercial
está próxima, en particular la empresa británica Qinetiq tiene un dispositivo casi en
estado de comercialización. Su aplicación es, no obstante, limitada siendo útil en
entornos donde la instalación de fibra óptica es inviable. Un sistema de esta empresa ha
sido instalado en la red de criptografía cuántica del DARPA en Boston. Usando pares
enredados, la tecnología no está tan madura, aunque se han hecho transmisiones en el
rango de los pocos km en áreas metropolitanas193. A este respecto es muy notable la
transmisión entre las islas de la Palma y Tenerife, con una distancia de 144 km196. Esta
transmisión se hizo específicamente para demostrar la viabilidad tecnológica de poner
una fuente de fotones enredados en el espacio y fue, de hecho sugerido por un informe
generado como consecuencia de un contrato con la ESA 205. En este informe, se
recomendaba la prueba de un sistema al aire libre basado en pulsos atenuados que
salvase una distancia de 150 Km. Dada la mayor versatilidad, tanto desde el punto de
vista de la criptografía como de otros experimentos tecnológicos y de física
fundamental, que se obtendrían si en lugar de pulsos débiles se usasen pares de fotones
enredados, en el mismo informe se sugería que la transmisión de 150 km con fotones
enredados podría estar al alcance en pocos años. El experimento así lo demostró, y
consiguió otros objetivos necesarios para su puesta en el espacio como son los
requisitos de tamaño, eficiencia y potencia consumida para su operación. Los únicos
requisitos que faltan, pero para los que se tienen resultados de otros proyectos, son los
de apuntar y seguir el desplazamiento del satélite con precisión suficiente.
La marcha de estos experimentos hizo que la ESA encargase un tercer
informe 206 en el que ya participaban empresas especializadas en el diseño de satélites.
En las especificaciones para el transceptor figuran todas las características necesarias
para que funcione como un nodo de prueba de una red de distribución cuántica de
claves: generación de fotones vía haz atenuado, generación de pares enredados,
transmisión de los fotones a uno, o los dos telescopios incluidos y que pueden ser
apuntados independientemente. Análisis de la polarización y detección de fotones.
Control de polarización, marcas de tiempo y comunicaciones necesarias para la
ejecución de protocolos. El diseño del transceptor está hecho para ser montado en el
módulo europeo (Columbus) de la Estación Espacia Internacional (ISS).
Algunos de los parámetros clave en el diseño del transceptor, vienen dados
directamente por el tiempo en el que la ISS estaría simultáneamente visible en el cielo
desde las dos estaciones terrestres y el tiempo mínimo para una transmisión de clave
con la tecnología actual. En esto hay que tener en cuenta, además, el tiempo consumido

132
Perspectivas de futuro: enredo en el espacio

en la adquisición del blanco. Dependiendo de la situación de las estaciones terrestres,


los promedios de tiempo de acceso están entre 1.5 y 3 min, con un intervalo entre
accesos de entre 16 y 24 horas. El diseño soporta pérdidas en el canal de hasta 60dB y
tiene una precisión temporal de 1 ns. El ancho de banda del canal clásico debe ser de al
menos 2.4 Mbits/seg. La previsión de tiempo para su construcción es de 6 años. Sus
dimensiones son 139x117 cm, su peso de 91.1 kg y el consumo pico de potencia es de
220 W.
A pesar de lo avanzado del estudio, no está garantizada su puesta en órbita. El
proyecto cuenta con apoyo internacional adicional debido al interés de la agencia
espacial japonesa JAXA. Un grupo notable de científicos e ingenieros europeos apoyan
el proyecto, pero aún así debe competir con otros por un presupuesto limitado. Si
recibiese el visto bueno del consejo de ministros, donde se tomará la decisión de qué
misiones serán las que finalmente vuelen (lo que está previsto para antes de mediados
de 2008), podría haber en el espacio un sistema muy versátil de QKD en el que, además,
podría utilizarse para estudios de física fundamental. Si todo fuese bien, el lanzamiento
podría esperarse para el 2014 ó 2015.

133
9. Bibliografía

General:
• S.L. Lomonaco, Jr., “A quick glance at quantum cryptography”, quant-ph/9811056.
• W. Tittel, G. Ribordy & N. Gisin; “Quantum cryptography”, Physics World, p41 marzo 1998.
• S. J. D. Phoenix & P. D. Townsend; “Quantum cryptography: how to beat the code breakers using
quantum mechanics”, Contemp. Phys. 36, 165 (1995).
• R. J. Hughes, D. M. Alde, P. Dyer, G. G. Luther, G. L. Morgan & M Schauer; Contemp. Phys. 36, 149
(1995).
• D. Bouwmeester, A. Ekert & A. Zeilinger (Eds); The physics of quantum information, Springer (2000)
• C. P. Williams& S. H. Clearwater; Quantum Computing, Springer (1997).
• N. Gisin, G. Ribordy, W. Tittel, H. Zbinden, “Quantum cryptography”, Rev. Mod. Phys. 74, 145 (2001),
arXiv:quant-ph/0101098.
• I.V. Volovich y Y.I. Volovich, “On classical and quantum cryptography”, Lectures at the Volterra-
CIRM International School “Quantum computer and quantum information”, Trento, Italia (2001),
arXiv:quant-ph/0108133.
• D. Bruβ, G. Erdélyi, T. Meyer, T. Riege y J. Rothe, “Quantum cryptography: A survey”, Electronic
Colloquium on Computational Complexity, Repord No 146, (2005).
• M. Dušek, N. Lütkenhaus, M. Hendrych, “Quantum cryptography”, arXiv:quant-ph/0601207 (2006).
• G. Van Assche, Quantum cryptography and Secret-Key Distillation, Cambridge University Press, 2006.
• M.A. Nielsen and L.I. Chuang, Quantum Computation and Quantum Information, Cambridge
University Press, 2000.
• A. Galindo y M.A. Martín-Delgado, “Information and Computation: Classical and Quantum Aspects”,
Rev. Mod. Phys. 74, 347 (2002).

Específica
1
C. Shannon, “Communication Theory of Secrecy Systems”, Bell System Technical Journal 28, 656
(1949).
2
R. Rivest, A. Shamir, L. Adleman. “A Method for Obtaining Digital Signatures and Public-Key
Cryptosystems”, Communications of the ACM 21 120 (1978).
3
Peter W. Shor, “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a
Quantum Computer”, arXiv:quant-ph/9508027v2, (1997).
4
P.J. Salas, A.L. Sanz, “Computación Cuántica: una revolución en el tratamiento de la información”, Rev.
Española de Física 15 20 (2001).
A. Steane, “Quantum Computing”, Rept. Prog. Phys. 61, 117 (1998).
5
R. Landauer, “Irreversibility and heat generation in the computing process”, IBM J. Res. Dev. 5, 183
(1961).
6
R. Feynman, “Quantum mechanical computers”, Found. Phys. 16, 507 (1986).
7
D. Deutsch, “Quantum theory, the Church-Turing principle and the universal quantum computer”, Proc.
R. Soc. London, A400 97 (1985).
8
S. Wiesner, “Conjugate coding”, Sigact News, 15 78 (1983).
9
Shengli Liu, Henk C. A. Van Tilborg, Marten Van Dijk, “A Practical Protocol for Advantage
Distillation and Information Reconciliation”, Designs, Codes and Cryptography 30, 39 (2003).
10
C. H. Bennett, G. Brassard, J.-M. Robert, “How to Reduce your Enemy's Information (extended
abstract)”, Lecture Notes in Computer Science 218, 468 (1985).
C. H. Bennett, G. Brassard, J.-M. Robert, “Privacy amplification by public discussion”, SIAM J.
Comput. 17, 210 (1988).
C. H. Bennett, G. Brassard, C. Crépeau, U. M. Maurer, “Generalized Privacy Amplification”, IEEE
Transactions on Information Theory 41, 1915 (1995).
C. A. Fuchs, N. Gisin, R. B. Griffiths, C.-S. Niu, A. Peres, “Optimal eavesdropping in quantum
cryptography. I. Information bound and optimal strategy”, Phys. Rev. A 56, 1163 (1997), arXiv:quant-
ph/9701039.
C. Branciard, N. Gisin, B. Kraus, V. Scarani, “Security of two quantum cryptography protocols using
the same four qubit states”, Phys. Rev. A 72, 032301 (2005), arXiv:quant-ph/0505035.
Bibliografía

11
G. Brassard, L. Salvail, “Secret-key reconciliation by public discussion”, Lecture Notes in Computer
Science 765, 411 (1993).
K. Yamazaki, T. Sugimoto, “A Study on Secret Key Reconciliation Protocol 'Cascade'”, IEICE
Transactions on Fundamentals of Electronics, Communications and Computer Sciences E83-A, 1987
(2000).
W. T. Buttler, S. K. Lamoreaux, J. R. Torgerson, G. H. Nickel, C. H. Donahue, C. G. Peterson, “Fast,
efficient error reconciliation for quantum cryptography”, Phys. Rev. A 67, 052303 (2003), arXiv:quant-
ph/0203096.
A. Nakassis, J. C. Bienfang, C. J. Williams, “Expeditious reconciliation for practical quantum key
distribution”, Proceedings of the SPIE 5436, 28 (2004).
12
B. Schumacher, “Quantum coding”, Phys. Rev. A 51, 2738 (1995)
13
W.K. Wootters, W.H. Zurek, “A Single Quantum Cannot be Cloned”, Nature 299, 802 (1982).
14
C. H. Bennett, G. Brassard, “Quantum cryptography: public key distribution and coin tossing”, Proc. of
IEEE International Conference on Computers, Systems and Signal Processing p175-179 (1984).
15
C. H. Bennett, “Quantum cryptography using any two nonorthogonal states”, Phys. Rev. Lett. 68, 3121
(1992).
16
A.K. Ekert, H. Bruno, G. Massimo Palma, A. Peres, “Eavesdropping on quantum-cryptographycal
systems”, Phys. Rev. A 50, 1047 (1994).
17
A. Peres, Quantum Theory: Concepts and Methods (Kluwer, Dordrecht, 1993).
18
B. Huttner, N. Imoto, N. Gisin, T. Mor, “Quantum cryptography with coherent states”, Phys. Rev. A 51,
1863 (1995).
19
D. Bruβ, “Optimal eavesdropping in quantum cryptography with six states”, Phys. Rev. Lett., 81, 3018
(1998).
20
L. Goldenberg, L. Vaidman, “Quantum Cryptography Based on Orthogonal Status”, Phys. Rev. Lett.,
75, 1239 (1995)
21
M. Koashi, N. Imoto, “Quantum cryptography based on split transmission of one-bit information in
two steps”, Phys. Rev. Lett. 79, 2383 (1997).
22
W.-Y. Hwang, “Quantum Key Distribution with High Loss: Toward Global Secure Communication”,
Phys. Rev. Lett. 91, 057901 (2003).
23
V. Scarani, A. Acín, G. Ribordy, N. Gisin, “Quantum cryptography protocols robust against photon
number splitting attacks for weak laser pulse implementations”, Phys. Rev. Lett. 92, 057901 (2004).
24
K Inoue, E. Waks, Y. Yamamoto, “Differential phase shift quantum key distribution”, Phys. Rev. Lett.,
89, 037902 (2002).
25
G. Brassard, N. Lütkenhaus, T. Mor, B. Sanders, “Limitations on Practical Quantum Cryptography”,
Phys. Rev. Lett. 85, 1330 (2000).
26
A.K. Ekert, “Quantum cryptography based on Bell’s theorem”, Phys. Rev. Lett. 67, 661 (1991).
27
C. H. Bennett, G. Brassard, N. D. Mermin; “Quantum cryptography without Bell’s theorem”, Phys.
Rev. Lett. 68, 557 (1992).
28
http://www.secoqc.net/
Romain Alléaume, François Roueff, Oliver Maurhart, Norbert Lütkenhaus, “Topology, architecture and
protocols for a Quantum Key Distribution network”, Workshop on classical and quantum information
security (Secoqc), (2005).
M. Dianati, R. Alléaume, “Architecture of the Secoqc Quantum Key Distribution network”, First
International Conference on Quantum, Nano, and Micro Technologies (ICQNM'07), arXiv:quant-
ph/0610202, (2006).
R. Alleaume, J. Bouda, C. Branciard, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier,
T. Langer, A. Leverrier, N. Lutkenhaus, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R.
Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter, A. Zeilinger, “SECOQC White
Paper on Quantum Key Distribution and Cryptography”, arXiv:quant-ph/0701168, (2007).
29
http://www.darpa.mil/
C. Elliott, “Building the quantum network”, New J. Phys. 4, 46 (2002).
C. Elliott, D. Pearson, G. Troxel, “Quantum Cryptography in Practice”, SIGCOMM (2003),
arXiv:quant-ph/0307049, 2003.
C. Elliott, “The DARPA Quantum Network”, BBN Technologies, arXiv:quant-ph/0412029, (2004).
D. Pearson, “Building a QKD Network out of Theories and Devices”, Building the DARPA Quantum
Network, BBN Technologies, 2005.
30
http://www.bbn.com/solutions_and_technologies/information_security/quantum_cryptography
31
http://www.gap-optique.unige.ch/
32
http://www.quantum.at/

135
Bibliografía

33
Página personal de Anton Zeilinger: http://www.quantum.at/zeilinger/
34
http://www.smart-systems.at/
35
Austrian Research Centers, url: http://www.arcs.ac.at/
36
http://www.iqc.ca/
37
Página personal de Romain Alléume: http://www.perso.enst.fr/~alleaume
38
Research in Quantum Computing and Information,
http://www.vcpc.univie.ac.at/~ian/hotlist/qc/research.shtml
39
http://www.icfo.es/
40
http://www.ucm.es/info/giccucm/index.html
41
http://giq.ifae.es/
42
E. Schrödinger, “Discussion of probability relations between separated systems”, Proc. Cambridge
Phil. Soc. 31,555 (1935).
43
A. Einstein, B. Podolsky, N. Rosen, “Can quantum-mechanical description of physical reality be
considered complete?”, Phys. Rev. 47, 777 (1935).
44
J. Bell, “On the Einstein-Poldolsky-Rosen paradox”, Physics 1, 195 (1964).
45
S. J. Freedman, J. F. Clauser, “Experimental Test of Local Hidden-Variable Theories”, Phys. Rev. Lett.
28, 938 (1972).
46
D. Bouwmeester Jian-Wei Pan, Matthew Daniell, Harald Weinfurter, Anton Zeilinger, “Observation of
Three-Photon Greenberger-Horne-Zeilinger Entanglement ”, Phys. Rev. Lett. 82, 1345 (1999).
47
J. S. Bell, Speakable and Unspeakable in Quantum Mechanics (Cambridge UP, Cambridge, 1987).
J. F. Clauser, M. A. Horne, “Experimental consequences of objective local theories”, Phys. Rev. D 10,
526 (1974).
48
Stuart J. Freedman, John F. Clauser, “Experimental Test of Local Hidden-Variable Theories”, Phys.
Rev. Lett. 28, 938 (1972).
49
M. Lamehi-Rachti, W. Mitting, “Quantum mechanics and hidden variables: A test of Bell's inequality
by the measurement of the spin correlation in low-energy proton-proton scattering”, Phys Rev. D, 14,
2543 (1976).
50
L.R. Kasday, J.D. Ullman, C.S. Wu, “The EPR argument: positron annihilation experiment”, Bull. Am.
Phys. Soc. 15, 586 (1970).
51
D. Yi-Bing, L. Jun-Li, Q. Cong-Feng, “Bell inequalities in high energy physiscs”, High Energy Physics
and Nuclear Physics 31, 1086 (2007).
52
R.A. Holt, F.M. Pipkin, “Quantum Mechanics vs. Hidden Variables: Polarization Correlation
Measurement on an Atomic Mercury Cascade”, Preprint Harvard Univ. (1973). El único que dio
resultados no acordes con la Mecánica Cuántica. Debido a sus numerosos errores sistemáticos sus
autores invitaron a otros a repetir la experiencia y no publicaron los resultados. El experimento duró
150 horas por la gran cantidad de fotones perdidos.
53
J.F. Clauser, “Experimental Investigation of a Polarization Correlation Anomaly”, Phys. Rev. Lett. 36,
1223 (1976).
E.S. Fry, R.C. Thompson, “Experimental Test of Local Hidden-Variable Theories”, Phys. Rev. Lett. 37,
465 (1976).
54
S.J. Freedman, J.F. Clauser, “Experimental Test of Local Hidden-Variable Theories”, Phys. Rev. Lett.
28, 938 (1972).
J.F. Clauser, A. Shimony, “Bell's theorem. Experimental tests and implications”, Rep. Progr. Phys. 41,
1881 (1978).
55
A. Aspect, Trois tests expérimentaux des inégalités de Bell par mesure de correlation de polarization
de photons. Tesis, Université de Paris-Sud. Orsay (1983).
56
A. Aspect, P. Grangier, G. Roger, “Experimental Tests of Realistic Local Theories via Bell's Theorem”,
Phys. Rev. Lett. 47, 460 (1981).
A. Aspect, P. Grangier, G. Roger, “Experimental Realization of Einstein-Podolsky-Rosen-Bohm
Gedankenexperiment: A New Violation of Bell's Inequalities”, Phys. Rev. Lett. 49, 91 (1982).
A. Aspect, J. Dalibard, G. Roger, “Experimental Test of Bell's Inequalities Using Time-Varying
Analyzers”, Phys. Rev. Lett. 49, 1804 (1982).
57
A. Aspect, “Bell's inequality test: more ideal than ever”, Nature 398, 189 (1999).
58
W. Pierre, A.J. Duncan, H.J. Beyer, H. Kleinpoppen, “Polarization Correlation of the Two Photons
Emitted by Metastable Atomic Deuterium: A Test of Bell's Inequality”, Phys. Rev. Lett. 54, 1790
(1985).
59
R.Gosh, L. Mandel, “Observation of nonclassical effects in the interference of two photons”, Phys. Rev.
Lett. 59, 1903 (1987).

136
Bibliografía

60
Y.H. Shih, C.O.Alley, “New Type of Einstein-Podolsky-Rosen-Bohm Experiment Using Pairs of Light
Quanta Produced by Optical Parametric Down Conversion”, Phys. Rev. Lett. 61, 2921 (1988).
Z. Y. Ou, L. Mandel, “Violation of Bell's Inequality and Classical Probability in a Two-Photon
Correlation Experiment”, Phys. Rev. Lett. 61, 50 (1988).
61
T. Kiess, Y. Shih, A. Sergienko, C. Alley, “Einstein-Podolsky-Rosen-Bohm experiment using pairs of
light quanta produced by type-II parametric down-conversion”, Phys. Rev. Lett. 71, 3893 (1993).
62
Gregor Weihs, Thomas Jennewein, Christoph Simon, Harald Weinfurter y Anton Zeilinger, “ Violation
of Bell's Inequality under Strict Einstein Locality Conditions”, Phys. Rev. Lett. 81, 5039 (1998).
63
Dik Bouwmeester, Jian-Wei Pan, Matthew Daniell, Harald Weinfurter, Anton Zeilinger, “Observation
of Three-Photon Greenberger-Horne-Zeilinger Entanglement”, Phys. Rev. Lett. 82, 1345 (1999).
64
J.-W. Pan, M. Daniell, S. Gasparoni, G. Weihs, A. Zeilinger, “Experimental Four-photon Entanglement
and High-fidelity Teleportation”, Phys. Rev. Lett. 86, 4435 (2001).
65
M.A. Rowe, D. Kielpinski, V. Meyer, C.A. Sackett, W.M. Itano, C. Monroe, D.J. Wineland,
“Experimental violation of a Bell's inequality with efficient detection ”, Nature 409, 791 (2001).
66
H. Hanbury-Brown y R. Q. Twiss, “Correlation between photons in two coherent beams of ligtht”,
Nature 177, 27 (1956).
67
B. Lounis, M. Orrit, “Single-photon sources”, Rep. Prog. Phys. 68, 1129 (2005).
68
N. Lütkenhaus, “Security against individual attacks for realistic quantum key distribution”, Phys. Rev.
A 61 052304 (2000).
69
Jörg Wrachtrup, Fedor Jelezko, “Processing quantum information in diamond”, J. Phys. Condens.
Matter 18, S807 (2006).
70
Christian Kurtsiefer, Sonja Mayer, Patrick Zarda, Harald Weinfurter; “Stable Solid-State Source of
Single Photons”, Phys. Rev. Lett. 85, 290 (2000).
71
Brouri, Rosa; Beveratos, Alexios; Poizat, Jean-Philippe, Grangier, Philippe, “Photon antibunching in
the fluorescence of individual color centers in diamond”, Opt. Lett. 25, 1294 (2000).
72
Alexios Beveratos, Rosa Brouri, Thierry Gacoin, Jean-Philippe Poizat, Philippe Grangier,
“Nonclassical radiation from diamond nanocrystals”, Phys. Rev. A 64, 061802 (2001).
73
V A Nadolinny, A P Yelisseyev, J M Baker, M E Newton, D J Twitchen, S C Lawson, O P Yuryeva, B
N Feigelson; “A study of 13C hyperfine structure in the EPR of nickel-nitrogen-containing centres in
diamond and correlation with their optical properties”, J. Phys. Condens. Matter 11, 7357 (1999).
74
T Gaebel, I Popa, A Gruber, M Domhan, F Jelezko, J Wrachtrup; “Stable single-photon source in the
near infrared”, New J. Phys. 6, 98 (2004).
75
Kazuya Takemoto, Yoshiki Sakuma, Shinichi Hirose, Tatsuya Usuki, Naoki Yokoyama, Toshiyuki
Miyazawa, Motomu Takatsu, Yasuhiko Arakawa, “Non-classical Photon Emission from a Single
InAs/InP Quantum Dot in the 1.3-µm Optical-Fiber Band”, Japanese Journal of Applied Physics 43,
L993 (2004).
76
J. M. Gérard, B. Sermage, B. Gayral, B. Legrand, E. Costard, V. Thierry-Mieg, “Enhanced
Spontaneous Emission by Quantum Boxes in a Monolithic Optical Microcavity”, Phys. Rev. Lett. 81,
1110 (1998).
77
P. M. Intallura, M. B. Ward, O. Z. Karimov, Z. L. Yuan, P. See, A. J. Shields, P. Atkinson, D. A.
Ritchie, “Quantum key distribution using a triggered quantum dot source emitting near 1.3 microns”,
Appl. Phys. Lett. 91, 161103 (2007).
78
A. Kuhn, M. Hennrich, G. Rempe, “Deterministic Single-Photon Source for Distributed Quantum
Networking”, Phys. Rev. Lett. 89, 7901 (2002).
79
S.C. Kitson, P. Jonsson, J. G. Rarity, P. R. Tapster, “Intensity fluctuation spectroscopy of small
numbers of dye molecules in a microcavity”, Phys. Rev. A 58, 620 (1998).
80
Brunel, Ch., B. Lounis, Ph. Tamarat, M. Orrit; “Triggered source of single photons based on controlled
single molecule fluorescence”, Phys. Rev. Lett. 83, 2722 (1999).
81
W. Tittel, G. Weihs, “Photonic entanglement for fundamental tests and quantum communcation”,
Quant. Inf. and comp. 1, 3 (2001).
82
J.F. Clauser, “Experimental distinction between the quantum and classical field-theoretic predictions
for photoelectric effect”, Phys. Rev. D 9, 853 (1974).
83
A. Aspect, P. Grangier, G. Roger, “Experimental tests of realistic local theories via Bell’s theorem”,
Phys. Rev. Lett. 47, 460 (1981).
84
P. Grangier, G. Roger y A. Aspect, “Experimental evidence for a photon anticorrelation effect on a
beam splitter: a new light on single-photon interferences”, Europhys. Lett. 1, 173 (1986).
85
D.C. Burnham, D.L. Weinberg, “Observation of Simultaneity in Parametric Production of Optical
Photon Pairs”, Phys. Rev. Lett. 25, 84 (1970).

137
Bibliografía

86
N. Boeuf, D. Branning, I. Chaperot, E. Dauler, S. Guérin, G. Jaeger, A. Muller, A. Migdall,
“Calculating characteristics of noncollinear phase matching in uniaxial and biaxial crystals”, Opt. Eng.
39, 1016 (2000).
87
C. K. Hong, Z. Y. Ou, L. Mandel, “Measurement of subpicosecond time intervals between two photons
by interferente”, Phys. Rev. Lett. 59, 2044 (1987).
88
Z. Y. Ou, L. Mandel, “Violation of Bell's Inequality and Classical Probability in a Two-Photon
Correlation Experiment”, Phys. Rev. Lett. 61, 50 (1988)
89
T. E. Kiess, Y. H. Shih, A. V. Sergienko, C. O. Alley, “Einstein-Podolsky-Rosen-Bohm experiment
using pairs of light quanta produced by type-II parametric down-conversion”, Phys. Rev. Lett. 71, 3893
(1993).
90
Paul G. Kwiat, Klaus Mattle, Harald Weinfurter, Anton Zeilinger, Alexander V. Sergienko, Yanhua
Shih, “ New High-Intensity Source of Polarization-Entangled Photon Pairs”, Phys. Rev. Lett. 75, 4337
(1995).
91
Paul G. Kwiat, Edo Waks, Andrew G. White, Ian Appelbaum, Philippe H. Eberhard, “Ultrabright
source of polarization-entangled photons”, Phys. Rev. A 60, R773 (1999).
92
J. G. Rarity, P. R. Tapster, “Experimental violation of Bell’s inequality based on phase and
momentum”, Phys. Rev. Lett. 64, 2495 (1990)
93
J. D. Franson; “Bell inequality for position and time”, Phys. Rev. Lett. 62, 2205 (1989).
94
J. Brendel, E. Mohler, W. Martienssen, “Experimental Test of Bell's Inequality for Energy and Time”,
Europhys. Lett 20, 575 (1992).
95
P.G. Kwiat, A.M. Steinberg, R.Y. Chiao, “High-visibility interference in a Bell-inequality experiment
for energy and time”, Phys. Rev. A 47, 2472 (1993).
96
J. Brendel, N. Gisin, W. Tittel, H. Zbinden; “Pulsed energy-time entangled twin-photon source for
quantum communication”, Phys. Rev. Lett. 82, 2594 (1999).
97
D.N. Klyshko, “Utilization of vacuum fluctuations as an optical brightness standard”, Sov. J. Quantum
Electron. 7, 591 (1977).
98
C.K. Hong, L. Mandel, “Experimental realization of a localized one-photon state”, Phys. Rev. Lett. 56,
58 (1986).
99
J.G. Rarity, P.Tapster, E.Jakeman, “Observation of sub-poissonian light in parametric
downconversion”, Opt. Commun. 62, 201 (1987).
100
S. Takeuchi, R. Okamoto, K. Sasaki, “A single photon source using parametric down conversion”,
Quantum Electronics Conference, 2003. EQEC '03. European (2003).
101
F. Treussart, R. Alléaume, V.L. Floc’h, L. Xiao, J.-M. Courty, J.-F. Roch, “Direct Measurement of the
Photon Statistics of a Triggered Single Photon Source”, Phys. Rev. Lett. 89, 093601 (2002).
102
Alexios Beveratos, Rosa Brouri, Thierry Gacoin, André Villing, Jean-Philippe Poizat, Philippe
Grangier, “Single Photon Quantum Cryptography”, Phys. Rev. Lett. 89, 187901 (2002).
103
A. Soujaeff, S. Takeuchi, K. Sasaki, T. Hasegawa y M. Matsui, “Heralded single photon source at
1550 nm from pulsed parametric down conversion”, J. of Mod. Opt. 54 2 (2007).
104
P. Trojek, Ch. Schmid, M. Bourennane, H. Weinfurter, “Compact source of polarization-entangled
photon pairs”, Opt. Express 12, 276 (2004).
105
A. Zavriyev, A. Trifonov, P. Battle, D. Mohatt, E. Noonan, T. Roberts, “Practical single photon source
for quantum communications”, Quant. Inf. and Comp. III, Orlando, FL:SPIE (2005).
106
O. Alibart, D.B. Ostrowsky, P. Baldi, S. Tanzilli, “High performance heralded single photon source”,
arXiv:quant-ph/0405075 (2006).
107
S. Fasel, O. Alibart, S. Tanzilli, P. Balde, A. Beveratos, N. Gisin, H. Zbinden, “High-quality
asynchronous heralded single-photon source at telecom wavelength”, New J. of Phys. 6, 163 (2004).
108
Elliott J. Mason, Marius A. Albota, Friedrich Koenig, Franco N.C. Wong, , “Efficient generation of
tunable photon pairs at 0.8 and 1.6 micrometer”, arXiv:quantum-phys/0207156v1 (2002).
109
Alfred B. U'Ren, Christine Silberhorn, Konrad Banaszek, Ian A. Walmsley, , “Conditional preparation
of single photons for scalable quantum-optical networking”, Phys. Rev. Lett. 93, 093601 (2004),
arXiv:quant-phys/0312118v1 (2003).
110
T.B. Pittman, B.C. Jacobs, J.D. Franson, “Heralding single photons from pulsed parametric down-
conversion”, Opt. Commun. 246, 545 (2005).
111
A.L. Migdall, D. Branning, S. Castelletto, “Tailoring single-photon and multiphoton probabilities of a
single-photon on-demand source”, Phys. Rev. A 66, 053805 (2002).
112
I. Prochazka, K. Hamal, B. Sopko, “Recent achievements in single photons detetors and their
applications”, J. of Mod. Phys. 51, 1289 (2004).
113
Y. Yamamoto, C. Santori, G. Solomon, J. Vuckovic, D. Fatal, E. Waks, E. Diamante, “Single photons
for quantum information systems”, Prog. In Informatics 1, 5 (2005).

138
Bibliografía

114
P.Kwiat, J. Altepeter, J. Barreiro, D. Branning, E. Jeffrey, N. Peters, A. VanDevender, “Optical
thechnologies for quantum information science”, Proc. SPIE 5161 87 (2004).
115
P. Kumar, P. Kwiat, A. Migdall, S.W. Nam, J. Vuckovic y F.N.C. Wong, “Photonic technologies for
quantum information processing”, Quant. Inf. Process. 3, 215 (2004).
116
P. Townsend, J. Rarity, P. Tapster; “Single photon interference in a 10 km long optical fiber
interferometer”, Electron. Lett. 29, 634 (1993).
117
A. Lacacita, .A. Francese, F. Zappa, S. Cova, “Single-photon detection beyond 1 μm: performance of
commercially available germanium photodiodes”, Appl. Opt. 33, 6902 (1994).
118
G. Ribordy, J.D. Gautier, H. Zbinden, N. Gisin, “Performance of InGaAs/InP avalanche photodiodes
as gated-mode photon counters”, Appl. Opt. 37, 2272 (1998).
119
http://www.optoelectronics.perkinelmer.com.
120
http://www.idquantique.com.
121
NEC NDL5131
122
G. S. Buller, S. Pellegrini, R.E. Warburton, J.S. Ng, L. J. Tan, A. Krysa, J.P.R. David, S. Cova,
“Semiconductor avalanche diode detectors for quantum cryptography”, IEEE LEOS Newsletter p20
octubre 2006.
123
D. Stucki, G. Ribordy, A. Stefanov, H. Zbinden, J.G. Rarity, T. Wall, “Photon counting for quantum
key distribution with Peltier cooled InGaAs/InP APS’s”, J. Mod. Opt. 48, 1967 (2001).
124
H. Kosaka, A. Tomita, Y. Nambu, T. Kimura, K. Nakamura, “Single-photon interferente experiment
over 100 km for quantum cryptography system using balanced gated-mode photon detector”, Elec.
Lett. 39, 1199 (2003).
125
A. Tomita, K. Nakamura, “Balanced gated-mode photon detector for qubit discrimination in 1550
nm”, Opt. Lett. 27, 1827 (2002).
126
S. Takeuchi, J. Kim, Y. Yamamoto, H.H. Hogue, “Development of high-quantum-efficiency single-
photon counting system”, Appl. Phys. Lett. 74, 1063 (1999).
127
J.H.J. de Bruijne, A.P. Reynolds, M.A.C. Perryman, F. Favata, A. Peacock, “Analysis of astronomical
data from optical superconducting tunnel junctions”, Opt. Eng. 41, 1158 (2002).
128
A.J. Miller, S.W. Nam, J.M. Martinis, A.V. Sergienko, “Demonstration of a low-noise near-infrared
photon counter with multiphoton discrimination”, Appl. Phys. Lett. 83, 791 (2003).
129
D. Rosenberg, A.E. Lita, A.J. Miller, S. Nam, R.E. Schwall, “Performance of photon-number
resolving transition-edge sensors with integrated 1550 nm resonant cavities”, IEEE Trans. on Appl.
Supercon. 15, 575 (2005).
130
D. Rosenberg, A.E. Lita, A.J. Miller, S.W. Nam, “Noise-free high-efficiency photon-number-resolving
detectors”, Phys. Rev. A 71, 0618031R (2005).
131
D. Rosenberg, S.W. Nam, P.A. Hiskett, Ch.G. Peterson, R.J. Hughes, J.E. Nordholt, A.E. Lita, A.J.
Miller, “Quantum key distribution at telecom wavelengths with noise-free detectors”, Appl. Phys. Lett.
88, 021108 (2006).
132
A. Verevkin, A. Pearlman, W. Slysz, J. Zhang, M. Currie, A. Korneev, G. Chulkova, O. Okunev, P.
Kouminov, K. Smirnov, B. Voronov, G.M. Gol’tsman, R. Sobolewski, “Ultrafast superconducting
single-photon detectors for near-infrared-wavelength quantum communications”, J. of Mod. Opt. 51,
1447 (2004).
133
K.M. Rosfjord, J.K.W. Yang, E.A. Dauler, A.J. Kerman, V. Anant, B.M. Voronov, G.N. Gol´tsman,
K.K. Berggren, “Nanowire single-photon detector with an integrated optical cavity and anti-reflection
coating”, Opt. Express 14, 527 (2006)
134
R. Sobolewski, A. Verevkin, G.N. Gol’tsman, A. Lipatov, K. Wilsher, “Ultrafast superconducting
single-photon optical detectors and their applications”, IEEE Trans. on Appl. Supercon. 13, 1151
(2003).
135
R.J. Collins, R.H. Hadfield, V. Fernández, S.W. Nam, G.S. Buller, “Low timing jitter for gigahertz
quantum key distribution”, Electr. Lett. 43, 180 (2007).
136
C. Langrock, E. Diamanti, R.V. Roussev, Y. Yamamoto, M.M. Fejer, H. Takesue, “Hidhly efficient
single-photon detection at communication wavelengths by use of upconversion in reverse-proton-
exchanged periodically poled LiNbO3 waveguides”, Opt. Lett. 30, 1725 (2005).
137
E. Diamanti, H. Takesue, T. Honjo, K. Inoue, Y. Yamamoto, “Performance of various quantum key
distribution systems using 1.55 μm up-conversion single-photon detectors”, Phys. Rev. A 72, 052311
(2005), arXiv:quant-ph/0506036.
138
T. Honjo; H. Takesue, H. Kamada, Y. Nishida, O. Tadanaga,M. Asobe, K. Inoue, “Long-distance
distribution of time-bin entangled photon pairs over 100 km using frequency up-conversion detectors”,
Optics Express 15, 13957 (2007).
139
Phys. Rev. Lett. 94 067401 (2005).

139
Bibliografía

140
A. Gulian, K. Wood, D. Van Vechten, G. Fritz, ,“Cryogenic thermoelectric (QVD) detectors:
Emerging technique for fast single-photon counting and non-dispersive energy characterization”, J. of
Mod. Opt. 51, 1467 (2004).
141
D.F.V. James, P.G. Kwiat, “Atomic vapor-based high efficiency optical detectors with photon number
resolution”, Phys. Rev. Lett. 89, 183601 (2002).
142
D. Mayers, “Quantum Key Distribution and String Oblivious Transfer in Noisy Channels”, Adv. In
Cryptology Proc. Of Crypto ’96, Springer-Verlag p343-357 (1996).
143
D. Mayers, “Unconditional security in quantum cryptography”, Journal of the Association of
Computing Machinery (JACM) 47, 351 (2001).
144
H-K Lo, H.F. Chau, “Unconditional Security Of Quantum Key Distribution Over Arbitrarily Long
Distances”, Science 283, 2050 (1999).
145
P. W. Shor, J. Preskill, “Simple Proof of Security of the BB84 Quantum Key Distribution Protocol”,
Phys. Rev. Lett. 85, 441 (2000).
146
H. Bechmann-Pasquinucci, N. Gisin, “Incoherent and coherent eavesdropping in the six-state protocol
of quantum cryptography”, Phys. Rev. A 59, 4238 (1999).
147
Miloslav Dušek, Mika Jahma, Norbert Lütkenhaus, “Unambiguous state discrimination in quantum
cryptography with weak coherent status”, Phys. Rev. A 62, 022306 (2000).
148
D. Pearson, C. Elliott, “On the Optimal Mean Photon Number for Quantum Cryptography”,
arXiv:quant-ph/0403065, (2005).
149
D. Bruβ, N. Lütkenhaus, “Quantum key distribution: from principles to practicalities”, arXiv:quant-
ph/9901061 (2006).
150
C.A. Fuchs, N. Gisin, R.B. Griffiths, C.-S. Niu, A. Peres, “Optimal eavesdropping in quantum
cryptography I”, Phys. Rev. A 56, 1047 (1994).
151
C.A. Fuchs, A. Peres, “Quantum state disturbance vs. information gain: Uncertainty relations for
quantum information”, Phys. Rev. A 53, 2038 (1996).
152
B. A. Slutsky, R. Rao, P.-C. Sun, L. Tancevski, S. Fainman, “Defense frontier analysis of quantum
cryptographic systems”, Appl. Opt. 37, 2869 (1998).
153
C.H. Bennett, F. Bessette, G. Brassard, L. Salvail, J. Smolin; “Experimental quantum cryptography”,
J. Crypt. 5, 3 (1992)
154
Charles H. Bennett, Gilles Brassard, Jean-Marc Robert, “Privacy Amplification by Public discusión”,
SIAM Journal on Computing 17, 210 (1988).
155
C. H. Bennett, G. Brassard, C. Crépeau, U. M. Maurer, “Generalized Privacy Amplification”, IEEE
Transactions on Information Theory 41, 1915 (1995).
156
C. Elliot, A. Colvin, D. Pearson, O. Pikalo, J. Schlafer, H. Yeh, “Current status of the DARPA
Quantum Network”, BBN Technologies, arXiv:quant-ph/0503058 (2005.).
157
E. Waks, A. Zeevi, Y. Yamamoto, “Security of quantum key distribution with entangled photons
against individual attacks”, arXiv:quant-ph/0012078v1 (2007).
158
Bennett Ch. H., F. Bessette, G. Brassard, L. Salvail, J. Smolin; “Experimental quantum cryptography”,
J. of Cryptology 5, 3 (1992).
159
A. Muller, J. Breguet, N. Gisin; “Experimental demonstration of quantum cryptography using
polarized photons in optical fiber over more than 1 km”, Europhys. Lett. 23, 383 (1993)
160
J. Breguet, A. Muller, N. Gisin, “Quantum cryptography with polarized photons in optical fibers:
experimental and practical limits”, J. Mod. Opt. 41, 2405 (1994).
161
A. Muller, H. Zbinden, N. Gisin; “Underwater quantum coding”, Nature 378, 449 (1995).
A. Muller, H. Zbinden, N. Gisin, “Quantum cryptography over 23 km in installed under-lake telecom
fibre“, Euphys. Lett. 33, 335 (1996).
162
J.D. Franson, B.C. Jacobs, “Operational system for quantum cryptography”, Electronic Lett. 31, 232
(1995).
163
P. Townsend, “Quantum cryptography on multiuser optical fibre networks”, Nature 385, 47 (1997).
164
P.D. Townsend, “Experimental investigation of the performance limits for first telecommunications-
window quantum cryptography systems”, IEEE Phot. Tech. Lett. 10, 1048 (1998).
165
W. T. Buttler, R. J. Hughes, P. G. Kwiat, S. K. Lamoreaux, G. G. Luther, G. L. Morgan, J. E.
Nordholt, C. G. Peterson, C. M. Simmons, “Practical free-space quantum key distribution over 1 km”,
Phys. Rev. Lett. 81, 3283 (1998).
W.T. Buttler, R.J. Hughes, P.G. Kwiat, S.K. Lamoreaux, G.L. Morgan, J.E. Nordholt, C.G. Peterson,
“Point-to-point free-space quantum cryptography over ½ km”, Quantum Electronics and Laser
Science Conference p112, Baltimore (USA) (1999)..
166
W. T. Buttler, R. J. Hughes, P. G. Kwiat, G. G. Luther, G. L. Morgan, J. E. Nordholt, C. G. Peterson,
C. M. Simmons, “Free-space quantum-key distribution”, Phys. Rev. A 57, 2379 (1998).

140
Bibliografía

167
Hughes, R. J., W. T. Buttler, P. G. Kwiat, S. K. Lamoreaux, G. L. Morgan, J. E. Nordholt, C. G.
Peterson, “Free-Space Quantum Key Distribution in Daylight”, J. Mod. Opt. 47, 549 (2000).
168
W. T. Buttler, R. J. Hughes, S. K. Lamoreaux, G. L. Morgan, J. E. Nordholt, C. G. Peterson, “Daylight
quantum key distribution over 1.6 km”, Phys. Rev. Lett. 84, 5652 (2000).
169
J.G. Rarity, P.M. Gorman, P.R. Tapster, “Secure key exchange over 1.9 km free-space range using
quantum cryptography”, Electronic Lett. 37, 512 (2001).
170
R.J. Hughes, J.E. Nordholt, D. Derkacs, Ch.G. Peterson, “Practical free-space quantum key
distribution over 10 km in daylight and at night”, New Journal of Physics 4, 43 (2002).
171
R. Alleaume, F. Treussart, G. Messin, Y. Dumeige, J.-F. Roch, A. Beveratos, R. Brouri-Tualle, J.-P.
Poizat, P. Grangier, “Experimental open air quantum key distribution with a single photon source”,
New Journal of Physics 6, 92 (2004).
172
E. Diamanti, H. Takesue, C. Langrock, M. M. Fejer, Y. Yamamoto, “100 km differential phase shift
quantum key distribution experiment with low jitter up-conversion detectors”, Opt. Express 14, 13073
(2006).
173
Henning Weier, Tobias Schmitt-Manderbach, Nadja Regner, Christian Kurtsiefer, Harald Weinfurter,
“Free Space Quantum Key Distribution: Towards a Real Life Application”, Fortschr. Phys. 54, 840
(2006).
174
Cheng-Zhi Peng, Jun Zhang, Dong Yang, Wei-Bo Gao, Huai-Xin Ma, Hao Yin, He-Ping Zeng, Tao
Yang, Xiang-Bin Wang, Jian-Wei Pan, “Experimental Long-Distance Decoy-State Quantum Key
Distribution Based On Polarization Encoding”, Phys. Rev. Lett. 98, 010505 (2007).
175
Ch. Marand, P. Townsend; “Quantum key distribution over distances as long as 30 km”, Opt. Lett. 20,
1695-1697 (1995).
176
C. Gobby, Z.L. Yuan, A.J. Shields, “Quantum key distribution over 122 km of Standard telecom
fiber”, Appl. Phys. Lett. 84, 3762 (2004).
177
Z.L. Yuan, A.W. Sharpe, A.J. Shields, “Unconditionally secure one-way quantum key distribution
using decoy pulses”, Appl. Phys. Lett. 90, 011118 (2007).
178
J. F. Dynes, Z. L. Yuan, A. W. Sharpe, A. J. Shields, “Practical quantum key distribution over 60
hours at an optical fiber distance of 20km using weak and vacuum decoy pulses for enhanced
security”, Optics Express 15, 8465 (2007).
179
A. Muller, T. Herzog, B. Huttner, W. Tittel, H. Zbinden, N. Gisin, “‘Plug and play’ systems for
quantum cryptography”, App. Phys. Lett. 70, 793 (1997).
180
H. Zbinden, J.-D. Gautier, N. Gisin, B. Huttner, A. Muller, W. Tittel, “Interferometry with Faraday
mirrors for quantum cryptography”, Electron. Lett. 33, 586 (1997).
181
G. Ribordy, J.-D. Gautier, N. Gisin, O. Guinnard, H. Zbinden, “Automated ‘plug&play’ quantum key
distribution”, Electron. Lett. 34, 2116 (1998).
182
D Stucki, N Gisin, O Guinnard, G Ribordy, H Zbinden, “Quantum key distribution over 67 km with a
plug&play system”, New J. Phys. 4, 41 (2002).
183
Edo Waks, Kyo Inoue, Charles Santori, David Fattal, Jelena Vuckovic, Glenn S. Solomon, Yoshihisa
Yamamoto, “Secure communication: Quantum cryptography with a photon turnstile”, Nature 420,
762 (19 December 2002).
184
A. K. Ekert, J. G. Rarity, P. Tapster, G. M. Palma; “Practical cryptography based on two-photon
interferometry”, Phys. Rev. Lett. 69, 1293 (1992).
185
W. Tittel, J. Brendel, H. Zbinden, N. Gisin; “Quantum cryptography using entangled photons in
energy-time Bell states”, Phys. Rev. Lett. 84, 4737 (2000).
186
D.S. Naik, C.G. Peterson, A.G. White, A.J. Berglund, P.G. Kwiat, “Entangled State Quantum
Cryptography: Eavesdropping on the Ekert Protocol”, Phys. Rev. Lett. 84, 4733 (2000).
187
T. Jennewein, C. Simon; G. Weihs, H. Weinfurter, A. Zeilinger, “Quantum Cryptography with
Entangled Photons”, Phys. Rev. Lett. 84, 4729 (2000).
188
Daphna G. Enzer, Phillip G. Hadley, Richard J. Hughes, Charles G. Peterson, Paul G, Kwiat,
“Entangled-photon six-state quantum cryptography”, New J. of Phys. 4, 45 (2002).
189
Markus Aspelmeyer, Hannes R. Böhm, Tsewang Gyatso, Thomas Jennewein, Rainer Kaltenbaek,
Michael Lindenthal, Gabriel Molina-Terriza, Andreas Poppe, Kevin Resch, Michael Taraba, Rupert
Ursin, Philip Walther, Anton Zeilinger; “Long-Distance free-space distribution of quantum
entanglement”, Science 301, 621 (2003).
190
A. Poppe, A. Fedrizzi, T. Loruenser, O. Maurhardt, R. Ursin, H. R. Boehm, M. Peev, M. Suda, C.
Kurtsiefer, H. Weinfurter, T. Jennewein, A. Zeilinger, “Practical quantum key distribution with
polarization entangled photons”, Opt. Express 12, 3865 (2004).
191
Cheng-Zhi Peng, Tao Yang, Xiao-Hui Bao, Jun Zhang, Xian-Min Jin, Fa-Yong Feng, Bin Yang, Jian
Yang, Juan Yin, Qiang Zhang, Nan Li, Bao-Li Tian, Jian-Wei Pan, “Experimental free-space

141
Bibliografía

distribution of entangled photon pairs over a noisy ground atmosphere of 13 km”, Phys. Rev. Lett. 94,
150501 (2005).
192
K. J. Resch, M. Lindenthal, B. Blauensteiner, H. R. Boehm, A. Fedrizzi, C. Kurtsiefer, A. Poppe, T.
Schmitt-Manderbach, M. Taraba, R. Ursin, P. Walther, H. Weier, H. Weinfurter, A. Zeilinger,
“Distributing entanglement and single photons through an intra-city, free-space quantum channel”,
Opt. Express 13, 202 (2005).
193
Ivan Marcikic, Antia Lamas-Linares, Christian Kurtsiefer; “Free-space quantum key distribution with
entangled photons”, Appl. Phys. Lett. 89, 101122 (2006).
194
Ch. Liang, K.F. Lee, J. Chen, P. Kumar; “Distribution of fiber-generated polarization entangled
photon-pairs over 100 km of standard fiber in OC-192 WDM environment”, Optical Fiber
Communication Conference, 2006 and The 2006 National Fiber Optic Engineers Conference. OFC
2006, Anaheim Convention Centre. Anaheim, California.
195
Hannes Hübel; Michael R. Vanner; Thomas Lederer; Bibiane Blauensteiner; Thomas Lorünser;
Andreas Poppe, Anton Zeilinger, “High-fidelity Transmission of Polarization Encoded Qubits from
an Entangled Source over 100 Km of Fiber”, Optics Express 15, 7853 (2007).
196
R. Ursin, F. Tiefenbacher, T. Schmitt-Manderbach, H. Weier, T. Scheidl, M. Lindenthal, B.
Blauensteiner, T. Jennewein, J. Perdigues, P. Trojek, B. Ömer, M. Fürst, M. Meyenburg, J. Rarity, Z.
Sodnik, C. Barbieri, H. Weinfurter, A. Zeilinger; “Entanglement-based quantum communication over
144 km”, Nature Physics 3, 481 (2007).
197
Gregoire Ribordy, Juergen Brendel, Jean-Daniel Gautier, Nicolas Gisin, Hugo Zbinden, “Long
distance entanglement based quantum key distribution”, Phys. Rev. A 63, 012309 (2001).
198
W. Tittel, J. Brendel, N. Gisin, H. Zbinden; “Long-distance Bell-type tests using energy-time
entangled photons”, Phys. Rev. A 59, 4150 (1999).
199
H. Takesue, “Long-distance distribution of time-bin entanglement generated in a cooled fiber”, Opt.
Express 14, 3453 (2006).
200
S. Fasel, N. Gisin, G. Ribordy, H. Zbinden, “Quantum key distribution over 30 km of standard fiber
using energy-time entangled photon pairs: a comparison of two chromatic dispersion reduction
methods”, Eur. Phys. J. D 30, 143 (2004).
201
Marcikic I, de Riedmatten H, Tittel W, Zbinden H, Legré M, Gisin N, “Distribution of time-bin
entangled qubits over 50 km of optical fiber”, Phys. Rev. Lett. 93, 180502 (2004).
202
http://www.quinetiq.com/
203
http://www.magiqtech.com
204
Aspelmeyer et al. “Qspace: Quantum Communications in Space”, Informe del
contrato para la European Space Agency: ESTEC/Contract No. 16358/02/NL/Sfe.
205
Quantum Communications in Space. ESA Contract 16441/02/NL/Sfe. Informe de Junio de 2003.
206
Accommodation of a quantum transceiver in an optical terminal, Contrato 177666/03/NL/PM.

142

También podría gustarte