CRIPTOGRAFÍA CUÁNTICA

► CriptografíaClásica.
► Teorema de no clonación
clonación.
► Seguridad en estados no ortogonales.
► Protocolo BB84 de Criptografía Cuántica.
Cuántica.

1
 CRIPTOGRAFÍA CLÁSICA
CRIPTOLOGÍA

CRIPTOGRAFÍA CRIPTOANÁLISIS

¿?

EVA= ESPÍA
Í

ALICIA= EMISOR BLAS RECEPTOR

BLAS=
2
MÉTODOS EN CRIPTOGRAFÍA CLÁSICA

Transposición (ej. Scytale-400BC): Las letras del mensaje se reorganizan

mediante una permutación especial.

INGENIEROS NIEGINRESO
• Sustitución ((ej.j Caesar cipher):
p Las letras del mensaje
) j se reemplazan
p
por otras letras, números o símbolos arbitrarios.

A D
B E
C F, etc
INGENIEROS LQJHQLHURV

3
Problemas de seguridad
La seguridad de un criptograma dependía del secreto en los procedimientos de
encriptación y desencriptación. Los métodos de transposición y substitución NO son
seguros.

La frecuencia con la que aparece una determinada letra en un texto inteligible es

aproximadamente constante.

100 Número de veces

75 (frecuencia) que
50 aparece cada letra
25 en el abecedario
0 inglés (tanto por mil).
a b c d e f g h i j k l m n op q r s t u v w x z

• El desarrollo del criptoanálisis está ligado al de la

computación.
4
CRIPTOGRAFÍA DE CLAVE PRIVADA EVA
(Criptografía Simétrica)

CLAVE

CRIPTOGRAMA

ALICIA BLAS
Mensaje (P) Criptograma (C)
Mensaje
Criptograma C=Ek(P) P=Dk(C)
Clave (k) Clave (k)
1. Los algoritmos de encriptación (E) y desciframiento (D) son de conocimiento público.
• One-time pad (Vernan
(Vernan, 1917)
1917), o cifrado de cuaderno de uso único: Clave tan larga como el mensaje
mensaje, se
usa una sóla vez. Seguro pero muy costoso.
• Data Encryption Standar (DES, 1979); Triple Data Encryption Algorithm (TDES, 1998): Usa tres veces el
DES. Se usan claves privadas pequeñas (64, 128, 256) bits para codificar gran cantidad de información, y
hay que sustituirlas cada 20 minutos.
1. El criptograma puede ser interceptado por un espía.
2. La seguridad depende del secreto de la clave. Dado que la clave debe ser distribuida entre Alice y Bob,
existe un riesgo de que la clave sea interceptada. 5

3. “Siempre es posible, en principio, espiar el sistema de distribución de clave sin que emisor y receptor se
enteren”, dado que la información clásica puede ser copiada sin modificar el mensaje original. Las
alteraciones que sufre el sistema pueden hacerse, en principio, tan pequeñas como permita la tecnología.
CRIPTOGRAFÍA DE CLAVE PÚBLICA (1976)
Vale Alicia,
Blas, quiero mandarte
Blas espera que te
algo. mando la clave
para encriptar

MENSAJE

ALICIA BLAS

MENSAJE Clave pública

Clave privada

CRIPTOGRAMA

6
1. No necesitan estar de acuerdo en la clave antes de enviar el
mensaje.
mensaje
2. Dos claves: Una pública, para encriptar el mensaje, y otra privada,
para descifrarlo.
3 SE BASAN EN EL DIFERENTE GRADO DE DIFICULTAD DE
3.
CIERTAS OPERACIONES MATEMÁTICAS, SEGÚN LA
DIRECCIÓN EN QUE SE REALICEN (FACTORIZACIÓN DE
GRANDES ENTEROS EN SUS FACTORES PRIMOS).
4. Es posible obtener la clave privada de la pública pero es muy difícil.
5. Para factorizar un número entero de N dígitos decimales, el
número de operaciones que debe hacer un ordenador clásico
crece exponencialmente con N. EL NÚMERO MÁS GRANDE
QUE SE
QU S HA CONSEGUIDO
CO S GU O FACTORIZAR
C O TIENE APROX. O 130 30
CIFRAS, Y SE TARDÓ VARIOS MESES.
6. ¡¡¡SON VULNERABLES A ALGORITMOS DE COMPUTACIÓN
CUÁNTICA!!! En este sentido
sentido, los computadores cuánticos
constituirían un enemigo potencial de los métodos criptográficos
actuales.
7 LA CRIPTOGRAFÍA CUÁNTICA RESUELVE EL PROBLEMA
7. PROBLEMA,
AUNQUE EXISTIESEN ORDENADORES CUÁNTICOS. 7
 CRIPTOGRAFIA CUÁNTICA
Alicia y Blas tienen que compartir una CLAVE SECRETA, pero ¿quién nos asegura
que mientras se estaban comunicando dicha clave, un espía no estaba
“pinchando” la comunicación?

CRIPTOGRAFÍA CUÁNTICA
Alicia
(Emisor)
Eva
MEDIR ES PERTURBAR
(Espía)

Esta perturbación puede ser detec-

tada por Alicia y Blas, percatándo-
se de la existencia de un espía y
Blas cortando la comunicación.
(Receptor) 8
 Teorema de no clonación
Es imposible clonar un estado cuántico desconocido

Demostración:
Supongamos
p g que U es una transformación unitaria q
q que clona.

|    | 0    | 1  Estado que se quiere

copiar
i
| mi  Estado inicial de la
máquina
á i d de clonación
l ió

| blank  Estado inicial de la

partícula en la que se
va a copiar el estado
9
 U (|   | blank  | mi )
 ( | 0    | 1 ) ( | 0    | 1 ) | m f |  
Pero la máquina debe ser también capaz de clonar los
estados de la base computacional:
p
U (| 0  | blank  | mi )  | 0  | 0  | m f 0 
U (| 1  | blank  | mi )  | 1  | 1  | m f 1 
Como la transformación debe ser lineal, entonces:
U [( | 0    | 1 ) | blank  | mi 
  U ( | 0  | blank  | mi )   U ( | 1  | blank  | mi )
  | 0  | 0 | m f 0   | 1  | 1 | m f 1 
¡Este estado es distinto al que se debería obtener en la clonación!
10
 Seguridad en estados cuánticos
no ortogonales
E imposible
Es i ibl clonar
l dos
d estados
t d cuánticos
á ti no ortogonales
t l

Demostración:

Sean |a> y |b> dos estados cuánticos, distintos, no ortogonales,

es decir:
d i
<a|b> no es nulo.
Supongamos que existe una máquina de clonación, que
opera de la forma siguiente:
|a>|blank>|máquina>ö |a>|a>|máquina1>
|b>|blank>|máquina>ö |b>|b>|máquina2>

11
 Como el producto escalar debe ser invariante ante
cualquier operación unitaria, entonces:
<a|b>=<a|b><a|b><máquina1|máquina2>

<máquina
q 1||máquina
q 2>=1/<a|b>
|

Sólo puede verificarse si <a|b>=1, y en este caso

ambos estados son indistinguibles,
indistinguibles es decir
decir,
|máquina1>=|máquina2>

Los estados finales de la máquina

q son el mismo,, de modo que
q
cualquier proceso que no cause ninguna perturbación en dos
estados no ortogonales, no aporta ninguna información a la hora de
distinguirlos.

12
Qubits fotónicos X

► Física clásica: la luz es una onda

electromagnética. c
E
► POLARIZACIÓN: Propiedad de la luz
asociada al plano donde vibra el campo
eléctrico.
B
► POLARIZADOR: Aparato que sirve para
cambiar la polarización de la luz. La Z
i t
intensidad
id d d
de lla lluz all pasar por ell Y
polarizador es (ley de MalusMalus))


I  I 0 cos  2

► Mecánica cuántica: la cuantización del

campo electromagnético lleva al concepto
de fotón
fotón,, o cuanto de luz, que conjuga la Eje del polarizador
dualidad onda
onda--partícula en el caso de la luz
luz.

13
ESTADOS DE POLARIZACIÓN DEL FOTÓN

Y
Magnitud: Polarización en la dirección OX
X
Z
Y |V>
Vectores propios

X ||H>

1 0 
Observable correspondiente en la base rectilínea  P̂   
 0  1
 1 0  1   1 
P H  
ˆ    1 
 0  1 0   0 
 1 0  0   0
P V  
ˆ    (1) 
 0  1 1  1 14
MEDIDA DE LA POLARIZACIÓN EN LA BASE {|H>, |V>}

Detector de fotones
El analizador de polarización en la
DH
base rectilínea, está constituido por
el PBS y los detectores DH y DV.
Detector de fotones
Cuando sobre él incide un fotón
DV polarizado horizontalmente
(verticalmente), se produce con
certeza, en una situación ideal en la
Fotones polarizados horizontal que la eficiencia es el 100%, una
o verticalmente
detección en DH (DV)
(DV).
PBS (Polaryzing beam-splitter)
SEPARADOR DE POLARIZACIÓN:
refleja la componente horizontal y

  H  P ( DH )  1 ; P ( DV )  0
transmite la vertical.

FUENTE DE FOTONES
  V  P ( DH )  0 ; P ( DV )  1

|V’> |V>
|
|H’>   {| H , | V } ¿Se puede medir simultáneamente la
polarización en ambas bases?
  {| H ' , | V ' }
  45º 1 1
|H '
 |H  |V 
|H
|H> 2 2
1 1 15
| H '  |H  |V 
2 2
 Detector DH 1 1 1
|   | H '  |H  | V   P ( DH )  P ( DV ) 
2 2 2
Detector

¿? DV

Las polarizaciones en sendas direcciones no pueden tomar valores

con certeza simultáneamente.
SEPARADOR DE
POLARIZACIÓN (H, V)

Fotón polarizado a 45 grados

FUENTE
[ Pˆ , Pˆ ]  0

Es imposible tener, de forma simultánea, valores definidos de la polarización en la base

rectilínea y en la base diagonal.

Cualquier intento de medir la polarización en una base, produce una perturbación en la polarización
asociada a la otra base.

16
PROTOCOLO BB84 de Criptografía Cuántica
(1) Alicia genera una clave aleatoria: 10011000100101011110101011001010……………
CANAL CUÁNTICO
(2) Alicia codifica cada bit en un qubit (fotones polarizados) y se lo envía a Blas. Para generar
cada qub
qubit Alicia
c a usa dos bases incompatibles
co pa b es (dos a alfabetos):
abe os) la
a base rectilínea
ec ea y la
a base
diagonal. 0   {| H ' , | V ' }
0 |V> 1
||H’>
|V’>

1   {| H , | V }
|H>
(3) Para cada fotón que recibe, Blas mide su polarización, aleatoriamente en la base rectilínea
o en la base diagonal.
g Alicia ((Blas)) anota la secuencia de bits q
que envía ((recibe)) y las bases
utilizadas. Resultados de Bob: si su base coincide con la de Alice, sus bits coinciden; si no, la
mitad de las veces coincidirán y la mitad no.


 
1 1
Blas
Alicia 17
 0

 
0
50% de probabilidad de obtener “0”
0 BLAS
ALICIA
50% de probabilidad de obtener “1” 0
Medida
Los resultados están completamente correlacionados (son idénticos) cuando usan
la misma base, y totalmente descorrelacionados cuando usan bases distintas. Por
ello, las secuencias de bits anotadas por Alice y Bob coinciden al 75%.

CANAL CLÁSICO
(4) Blas anuncia públicamente la base que utilizó para cada medir cada fotón. No dice el
resultado obtenido
obtenido.

(5) Alicia anuncia públicamente la base que utilizó para preparar cada fotón.

(6) Ali
Alicia
i y Bl
Blas d
desechan
h llos bit
bits correspondientes
di t a cuandod hhan usado
d b bases di
distintas,
ti t
quedándose con los bits correspondientes al uso de la misma base (la mitad del total). Tienen lo
que se conoce como raw key (clave en bruto).

18
 En la situación ideal, en la que no hubiese ruido (preparación imperfecta del estado, eficiencia de detección limitada,
interacción del qubit transmitido con el ambiente…..), y/o ataques de Eva, las dos secuencias de bits coincidirían.

Si Eva ha medido cada qubit emitido por Alice, en uno de los dos alfabetos de forma aleatoria, y los ha reenviado a Bob
en la misma base
base, entonces
entonces, en la situación en la que no hubiese ruido
ruido, la clave en bruto de Alice y la correspondiente a
Bob discreparían en un 25% de los bits (coincidirían en un 75%). Demostrar esto como ejercicio.

Lo mismo ocurre con la clave en bruto de Eva. Ésta coincide en un 75% con la clave en bruto de Alice y en un 75% con la
de Bob. Si además, Eva ha espiado la discusión pública sobre las bases que han utilizado, ella sabe cuáles son los bits
de su lista que coinciden con los de Alice y Bob, un 50% en la situación en la que no hubiese ruido.

Para pasar de la clave en bruto (raw key), a la clave secreta (secret key), deben realizar una serie de pasos, en los que
primeramente decidan si continúan o no con el proceso (autenticación
autenticación), haciendo una estimación del efecto Eva+ruido a
ttravés
a és de la
a estimación
est ac ó de la a tasa de e
error,
o , (d
(discrepancia)
sc epa c a) y e
en caso de co
continuar,
t ua , realizar
ea a lo o que se co
conoce
oce co
comoo
unificación de clave y amplificación de la privacidad.
privacidad

(6) Autenticación
Autenticación: Alicia y Blas anuncian públicamente una parte aleatoria de la clave en bruto (entre un
5% y un 10%). Estos bits se sacrifican. Se aconseja un umbral de error (R=tasa de error) máximo de un 11%
por encima del cual se aborta el proceso, y por debajo del cual se continúa. En la práctica, se usa un umbral
del 5% para R.

(7) Unificación de clave:

clave Alicia y Blas dividen los bits restantes en subconjuntos de longitud L, tal que
LR<<1. Para cada cadena {b1, b2, …, bL} calculan la paridad P= b1 b2 … descartando cada vez el último bit
LR<<1
de la cadena (para evitar que Eva obtenga información). La paridad se enuncia públicamente. Si coinciden,
entonces guardan la cadena. Si no, entonces localizan y borran el bit erróneo, dividiendo la cadena en dos
partes y repitiendo el proceso cada vez, en aquél subconjunto en el que las paridades salgan distintas. Al final,
con alta probabilidad Alicia y Blas comparten la misma cadena de bits
bits.

(8) Amplificación de la privacidad:

privacidad Se reduce la información de Eva. Ejemplo: se toman dos bits de clave.
Imaginemos que Eva sabe que uno está bien, por ejemplo el primero. Se sustituyen estos dos bits por la
paridad (XOR) de los dos. La información de Eva desaparece porque depende del segundo bit, que ella 19
desconoce. Este proceso reduciría a la mitad el número de bits de la cadena.

De cada 500 bits emitidos por Alice, sólo 1 queda como parte de la clave neta.
 ALICIA BLAS CLAVE
Qubit eviado Valor del Base usada Base usada Resulatado Discusión Autenti- SECRETA
por Alicia bit por Alicia por Blas obtenido pública ficación
por Blas
1 |V> 0   0 NO
2 | H> 1   1 OK 1
3 | H’> 1   1 NO
4 |V> 0   0 OK (0,0) SI
5 | V’ > 0   0 OK 0
6 |H> 1   1 NO
7 |V > 0   0 OK (0,0) SI
8 | V’> 0   0 OK ((0,0)) SI
9 |H > 1   0 NO
100 |V> 0   0 OK
O 0
20
 ALICIA BLAS
Q
Qubit eviado Valor del Base usada Base usada Resultado Discusión Autenti-
por Alicia bit por Alicia por Blas obtenido pública ficación
por Blas
1 |V> 0   0 NO
2 | H> 1   0 OK (1,0) NO
3 | H’> 1   1 NO
4 |V> 0   0 OK (0,0) SI
5 | V’
V > 0   1 OK (0,1) NO
6 |H> 1   1 NO
7 |V > 0   0 OK (0,0)
(0 0) SI
8 | V’> 0   0 OK (0,0) SI
9 |H > 1   0 NO
10 |V> 0   0 OK

21