Criptografía Cuántica

Alfonsa García López y Jesús García López Lacalle

Dpto. Matemática Aplicada

Escuela Universitaria de Informática, Universidad Politécnica de Madrid
garcial@eui.upm.es
jglopez@eui.upm.es

1. Introducción
La criptografía cuántica es una de las aplicaciones más importantes (y la pri-
mera con interés comercial) de la computación cuántica.
La computación cuántica se empezó a desarrollar en la década de los ochenta a
raíz de las propuestas de Deutsch y Feymann, que sugirieron independientemente
que la propia evolución de los sistemas cuánticos se podría utilizar como herra-
mienta de cálculo.
En 1994 aparece el primer resultado verdaderamente importante en compu-
tación cuántica. Se trata de los algoritmos polinomiales para la factorización de
números enteros y cálculo de logaritmos discretos propuestos por P. Shor (véase [4]
y [12]), que abren la posibilidad de que los ordenadores cuánticos puedan romper
los criptosistemas de clave pública.
Sabemos que la codificación usando claves privadas aleatorias de un solo uso
(cifrado de Vernam) permite llevar a cabo una comunicación segura. Pero presenta
la dificultad práctica de la distribución segura de las claves. Afortunadamente,
las leyes de la mecánica cuántica proporcionan herramientas para abordar este
problema. La aportación cuántica a la seguridad del proceso de distribución de
claves consiste esencialmente en que un espía no puede extraer información sin
revelar su presencia a los comunicantes, ya que por las leyes de la mecánica cuántica
no es posible copiar estados.
Existen diversos protocolos para la distribución cuántica de claves privadas. El
más sencillo fue propuesto en 1984 por C.H. Bennett y G. Brassard (ver [1]) y se
conoce como BB84. Después se propusieron diversas modificaciones que dan lugar
a otros protocolos esencialmente equivalentes.

1
2. El modelo de computación cuántica
Para estudiar con detalle el modelo de computación cuántica se puede consultar
[4],[10] ó [11]. En lo que sigue presentamos algunas nociones básicas.
En computación cuántica la unidad elemental de información es el qubit o bit
cuántico, que se define a partir de dos estados básicos denotados por |0i y |1i.
Físicamente se representa por un sistema cuántico de dos estados, por ejemplo el
spin de un electrón. En este sistema se puede representar el spin − 21 por el estado |0i
y el spin 12 por el estado |1i. Pero el estado cuántico puede ser una superposición de
los dos estados básicos. Esta es la principal diferencia con el modelo de computación
clásico.
Actualmente en los canales cuánticos de comunicación se utiliza la polarización
de un fotón como soporte físico de un estado cuántico. Un estado de polarización
puede ser modelizado por un vector unidad apuntando en la dirección adecuada
y se puede representar como un vector de norma uno en un espacio de Hilbert
complejo.
Así, en términos matemáticos, un estado cuántico de un qubit es una com-
binación lineal de los dos estados básicos, de la forma |φi = a|0i + b|1i, tal que
|a|2 + |b|2 = 1. Es decir |φi es un vector unitario de un espacio de Hilbert complejo
H, en el que B0 = [|0i, |1i] es una base ortonormal.
Cualquier sistema de medida de estados cuánticos tiene asociada una base orto-
normal, repecto de la cual se realiza la medición. Al medir un estado cuántico, éste
se proyecta sobre uno de los vectores de la base ortonormal considerada. De este
a
modo, al medir el estado |φi, usando la base B0 , se obtendrá |a| |0i con probabilidad
b
|a|2 , o |b| |1i, con probabilidad |b|2 .
Cuando se mide un estado, éste cambia irreversiblemente, salvo los estados de
la propia base respecto de la que se mide (o múltiplos de ellos).
Aparatos o sistemas de medidas diferentes tienen asociadas diferentes bases y
las mediciones correspondientes dan lugar a resultados diferentes. Por ejemplo, en
el espacio H, la base B0 = [|0i, |1i] corresponde a las polarizaciones horizontal y
vertical, pero si se consideran las polarizaciones 45o y -45o se tiene otra base, que
denotaremos por B1 = [|+i, |−i], donde
1 1
|+i = √ (|0i + |1i) |−i = √ (|0i − |1i)
2 2
Para obtener el resultado de la medición de un estado respecto de B1 , basta
conocer las coordenadas del vector respecto de esta base. Dado que se puede escribir
1 1
|0i = √ (|+i + |−i) |1i = √ (|+i − |−i),
2 2
si se mide el estado |0i respecto de la base B1 se obtendrá |+i con probabilidad
1/2, o |−i, con probabilidad 1/2 y análogamente para el estado |1i. Nótese que si
hubiéramos medido uno de estos estados usando B0 se hubiera obtenido el propio
estado con probabilidad 1.

2
 La información que contiene un qubit es evidentemente muy pequeña. Para
poder representar más información es necesario recurrir a estados de n-qubits.
Un estado cuántico de n-qubits es un vector de norma 1 del espacio de Hilbert
(n
complejo Hn = H⊗ · · · ⊗H, de dimensión 2n , cuya base es Bn = [|x0 i, · · · , |x2n −1 i],
donde cada xj ∈ {0, 1}n es la representación binaria del número j ∈ {0, . . . , 2n −1}.
(Los vectores de Bn son todos los productos tensoriales de n vectores de B0 .)
Para entender un poco cómo son los estados cuánticos, veamos un ejemplo
sencillo con n = 2. Un 2-qubit es un vector unitario del espacio vectorial H2 . En
este caso, B = [|00i, |01i, |10i, |11i] es una base ortonormal de H2 , cuyos elementos
son todos los productos tensoriales de los elementos de la base [|0i, |1i] de H.
En H2 hay estados que son producto tensorial de dos estados de H, como por
ejemplo
√ √ Ã √ ! Ã √ !
1 3 3 3 1 3 1 3
|00i − |01i + |10i − |11i = |0i + |1i ⊗ |0i − |1i .
4 4 4 4 2 2 2 2

Pero también hay otros estados ³que no se pueden´poner como producto tensorial
de estados de H. Por ejemplo √12 |00i + √12 |11i . Estos estados se denominan
entrelazados y tienen una importancia vital en criptografía cuántica.
En un 2-qubit se puede medir el primer qubit o el segundo usando una base
ortonormal de H. Por ejemplo, sea |φi = a|00i + b|01i + c|10i + d|11i, con |a|2 +
|b2 | + |c|2 + |d2 | = 1. Si se mide el primer qubit usando la base B0 , el resultado de
la medición puede ser |0i, con probabilidad |a|2 + |b2 |, y el estado resultante tras la
medida será √ 2a 2 |00i + √ 2b 2 |01i, ó bien |1i, con probabilidad |c|2 + |d2 |,
|a| +|b| |a +|b|
c d
y el estado se proyectará en √ |10i +√ |11i.
|c|2 +|d|2 |c2 +|d|2
Veamos
³ qué ocurre si ´se mide el primer qubit de un estado entrelazado, por
ejemplo √12 |00i + √12 |11i . Si el resultado de la medición es |0i, lo que ocurre con
probabilidad 1/2, el estado resultante sería |00i, si el resultado de la medición es
|1i, el estado resultante sería |11i. En cualquier caso, si después se mide el segundo
qubit, se obtendrá con probabilidad 1 el mismo resultado de la primera medición.
Es decir el resultado de la medida del segundo qubit está condicionado por el de
la primera medición. Esta es una característica de los estados entrelazados, que da
lugar a la famosa paradoja de Einstein, Podolsky y Rosen (EPR). Los dos qubits
de un estado cuántico entrelazado pueden estar arbitrariamente lejos y si se mide
el primero de ellos ya se conoce el resultado de la medida del segundo.
La evolución de un estado cuántico se describe mediante transformaciones cuán-
ticas, que son operadores lineales unitarios definidos en el espacio de Hilbert Hn . La
potencia de la computación cuántica se basa en el paralelismo cuántico, derivado
del hecho de que aplicar una transformación a un estado cuántico, superposición
de todos los estados de la base, es como operar simultámeamente con todas las
2n cadenas de n bits. Esto permite un incremento exponencial de la velocidad de
cálculo.

3
3. Protocolo cuántico de distribución de claves
Uno de los problemas de mayor dificultad práctica a la hora de llevar a cabo
una comunicación segura mediante un sistema de clave privada es la distribución
segura de las claves.
Precisamente una de las razones del éxito obtenido por el sistema de clave pú-
blica es que permite prescindir de acordar y distribuir la clave secreta. Sin embargo
la seguridad de este sistema nunca ha sido probada matemáticamente. No se sabe
si factorizar un número entero puede hacerse en tiempo polinomial, simplemente
no se ha encontrado un algoritmo que lo haga. La construcción de un ordenador
cuántico, en el que se implemente el algoritmo de Shor, que permite factorizar en
tiempo polinomial, supondría claramente la fractura del RSA.
Las leyes de la mecánica cuántica permiten abordar el problema de la distribu-
ción segura de claves privadas. Los comunicantes pueden transmitir la clave privada
a través de un canal cuántico. Por ejemplo, un cable de fibra óptica. En este caso,
los estados de polarización de un fotón se pueden usar para diseñar un protocolo
criptográfico cuántico para la distribución de una clave aleatoria de un solo uso.
En un proceso de distribución cuántica de claves, intervienen un emisor (Alicia),
un receptor (Benito), un espía (Eva) y dos canales de comunicación, uno cuántico,
para enviar fotones, y otro clásico para reconciliar y depurar la información. Eva
puede acceder al canal clásico y también puede acceder al canal cuántico y usar
todos los medios que desee, con la única restricción de que sean compatibles con
las leyes de la mecánica cuántica. Los dos comunicantes usan un trozo de su clave
para detectar la presencia de espías y sólo en el caso de que no se detecten o que
la información de éstos sea muy pequeña, dan por válida la clave.
El el espacio de Hilbert H consideraremos las siguientes bases ortogonales:
B0 = [|0i, |1i] y B1 = [|+i, |−i] .
En los protocolos cuánticos de distribución de claves la idea será enviar una
cadena de bits, usando para codificarla fotones polarizados en dirección horizontal
o vertical, cuando se use B0 o en las direcciones ±45o cuando se use B1 .
A grandes rasgos las fases de un protocolo de generación de claves son: ge-
neración y distribución de la clave, análisis y correción de errores y amplificación
de la privacidad. A continuación, se describe cada una de ellas para el BB84.

3.1. Generación y distribución de claves

El protocolo BB84 es uno de los esquemas más sencillos de generación y distri-
bución cuántica de claves y se puede describir del siguiente modo:
Paso 1: Alicia genera una cadena aleatoria de ceros y unos (lo puede hacer por
ejemplo, tirando una moneda al aire, o bien midiendo repetidamente un estado |+i
respecto de B0 ).
Paso 2: Para cada bit de la cadena, Alicia elige aleatoriamente una de las dos
bases B0 o B1 y envía el bit a Benito por un canal cuántico, polarizando el bit de

4
acuerdo con el siguiente alfabeto:
Base B0 : 0 → |0i, 1 → |1i.
Base B1 : 0 → |+i, 1 → |−i.
Paso 3: Cuando Benito recibe cada fotón, no tiene modo de saber con qué
alfabeto ha sido polarizado, así que él mide eligiendo, también aleatoriamente,
para cada uno de ellos la base B0 o B1 .
Aproximadamente la mitad de las veces Benito elegirá el mismo alfabeto que
Alicia y la otra mitad elegirá la base contraria a la utilizada por ella. Por tanto
después de todas las mediciones Benito tendrá su secuencia binaria, que coincidirá
con la de Alicia en un 75 %.
Paso 4: Para localizar y eliminar los bits en que las mediciones se han realizado
en la base inadecuada, se realiza el proceso denominado reconciliación de bases.
Benito comunica a Alicia, por un canal público, qué alfabeto ha usado en cada
medición. Como respuesta, por el mismo canal, Alicia le comunica las posiciones
en las que la medición se ha realizado con el alfabeto correcto.
Paso 5: Alicia y Benito borran de sus cadenas los bits en los que se han usado
alfabetos diferentes y tienen así su palabra clave, que denominaremos clave bruta.
Si no ha habido ruido ni interferencia de espías, Alicia y Benito tienen una
clave aleatoria común.

3.2. Análisis de errores

En un sistema práctico de distribución cuántica de claves pueden aparecer erro-
res, debidos a imperfecciones técnicas del emisor, del receptor o del canal cuántico.
Los errores del canal clásico pueden ser corregidos mediante códigos correctores, por
lo que no los tendremos en cuenta. Pero también pueden aparecer errores debidos
a la actuación de Eva.
En principio, vamos a suponer que Eva ha espíado la comunicación y que hace
lo mismo que Benito. Intercepta el fotón enviado por Alicia, elige aleatoriamente
una de las dos bases, mide el qubit recibido, guarda el resultado de la medición y
envía a Benito el qubit resultante.
Esta estrategia de espionaje se encuadra dentro de las denominadas de ataque
individual ya que Eva ataca independientemente cada qubit.

Proposición 3.1. Si Eva actúa como Benito, su cadena tendrá el 75 % de aciertos,

mientras que la de Benito, tras la reconciliación de bases, sólo coincidirá con la de
Alicia al 75 %.

Demostración. Sea a el bit de Alicia y B la base elegida por ésta. Denominamos

B 0 la base elegida por Eva y a0 el bit resultante trás su medición y por B 00 y a00
los correspondientes de Benito, entonces las probabilidad de coincidencia entre los
bits de Alicia y Eva es:
1 1 3
P (a = a0 ) = P (a = a0 /B = B 0 ) + P (a = a0 /B 6= B 0 ) =
2 2 4

5
 Por otra parte, la probabilidad de coincidencia de los bits de Alicia y Benito
tras la reconciliación de bases es:
P (a = a00 /B = B 00 ) = P (a = a00 /B = B 0 = B 00 )P (B 0 = B/B = B 00 )+
1 1 1 3
+P (a = a00 /B 6= B 0 , B = B 00 )P (B 0 6= B/B = B 00 ) = 1 · + · =
2 2 2 4
Denominamos discrepancia introducida por Eva en la clave de Benito a la pro-
babilidad de no coincidencia entre ésta y la de Alicia tras la reconciliación de bases.
Según la proposición anterior, con la estrategia descrita, la discrepancia introducida
por el espionaje de Eva es de 1/4.
Pero Eva puede usar otras estrategias de espionaje, con el objetivo de aumentar
su probabilidad de acierto y/o disminuir la discrepancia introducida en la clave
de Benito. Por ejemplo, puede medir con una base ortonormal cualquiera, B =
[|ui, |vi], con
p p
|ui = α|0i + 1 − α2 |1i, |vi = − 1 − α2 |0i + α|1i,

donde α ∈ [0, 1].

Si se expresan respecto de B los vectores de las bases B0 y B1 y se calcula la
probabilidad de acierto de Eva se obtiene:
√
α2 1 (α + 1 − α2 )2
p(α) = + ,
2 2 2
mientras que la discrepancia introducida es:
√ √
α2 (α − 1 − α2 )2 (1 − α2 )(α + 1 − α2 )2
d(α) = + ,
2 2
√
α + 1 − α2
La probabilidad p(α) se hace máxima cuando α = √ , lo que ocurre
2
con α = cos(π/8). También en este punto la discrepancia se hace mínima (ver
figura 1).

p(a)

0.8

0.6

0.4

d(a)

0.2

0 0.2 0.4 0.6 0.8 1

cos(1/8*Pi)
a

Figura 1:

6
 Luego, de acuerdo con el plantemiento de espionaje propuesto, la base que debe
elegir Eva es Bi = [|ui, |vi], con

|ui = cos(π/8)|0i + sin(π/8)|1i, |vi = − sin(π/8)|0i + cos(π/8)|1i.

√
Así, la probabilidad de acierto de Eva es p = cos2 (π/8) = 12 + 42 ∼ 00 854, mientras
que la discrepancia introducida es d = 2α2 (1 − α2 ) = 1/4.
Conviene comentar sin embargo que aunque con esta base Eva consigue ma-
yor probabilidad de acierto sin introducir más discrepancia, pierde la información
relativa a las posiciones correctas de su clave.
Dado que cualquier estrategia de espionaje de Eva va a introducir discrepancias
en la clave de Benito, para detectar si ha habido espías Alicia y Benito comparan
sobre la cadena pública determinadas posiciones, aleatoriamente elegidas de sus
claves brutas.
Si quieren una clave de longitud n, llevan a cabo el protocolo con una cadena
de longitud 2n, de los que usan n para estimar la densidad de errores.
Si en este sondeo no hallan discrepancias, pueden suponer que no hay espías
y quedarse con la clave bruta como clave final. Si la discrepancia supera una cota
prefijada, abortan el protocolo y empiezan de nuevo.
La cota de discrepancia admisible debe ser una cota inferior de la discrepancia
introducida por Eva, válida para cualquier estrategia de espionaje. En el caso de
que la única actuación posible de Eva fuera la descrita anteriormente, esta cota
sería del 25 %. Pero en la sección 5 veremos otras posibilidades.

3.3. Corrección de errores y amplificación de privacidad

Una vez que se tiene una clave y se sabe que contiene un número de errores
menor que una cota k establecida de antemano, hay que corregir dichos errores y
posteriormente reducir la información del espía.
Por ejemplo, Alicia y Benito pueden localizar los errores usando técnicas de
control de paridad en bloques o bien usar un código corrector adecuado para depu-
rar la clave. Supongamos que el número máximo de errores por bloque introducidos
por Eva es t, entonces es posible usar un código (clásico o cuántico) con distancia
2t + 1 para obtener una nueva clave sin errores. La idea consiste en que Alicia elige
aleatoriamente una palabra x del código y le envía a Benito la suma de su cadena
con x. Cuando Benito la recibe, primero le suma su cadena y después descodifica
el resultado obteniendo, con alta probabilidad, la palabra x.
A la clave resultante la llaman clave reconciliada. Pero esta clave sólo es par-
cialmente secreta porque no se reduce la información del espía. Por ello es necesario
pasar a la fase conocida como Amplificación de la privacidad.
Un metodo muy sencillo de amplificación de la privacidad es el siguiente:
Alicia elige aleatoriamente pares de bits y anuncia su elección (diciendo sola-
mente las posiciones). Alicia y Benito hacen la suma módulo 2 para cada una de
las parejas y sustituyen los dos bits por el resultado obtenido.

7
 De esta forma acortan su clave, pero disminuyen la información de Eva, ya que
si ésta conoce sólo uno de los bits de la pareja, no puede obtener el valor de la
suma. Por otra parte si la probabilidad de que Eva conozca cada bit es p > 1/2, la
probabilidad de acertar la paridad es p2 + (1 − p)2 que es menor que p. Por ejemplo,
si p = 00 6, se tiene 00 62 + 00 42 = 00 52. Con bloques de mayor longitud disminuye
más la información de Eva, pero la clave se acorta más.

4. Otros protocolos
4.1. Protocolo B92
Una generalización muy simple del protocolo BB84 fue propuesta por Bennet
en 1992 y se conoce como B92. La idea es que Alicia no utilice cuatro sino dos
estados para codificar. El protocolo se puede describir como sigue:
1. Alicia genera una cadena aleatoria de ceros y unos.
2. Para cada bit a de la cadena, Alicia lo codifica usando el siguiente alfabeto
a = 0 → |0i, a = 1 → |+i, y envía a Benito el qubit resultante.
3. Benito genera una cadena aleatoria a0 de ceros y unos.
4. Benito mide cada qubit recibido, usando B0 si en la posición correspondiente
a0 = 0 y B1 cuando a0 = 1.
5. De esta medición Benito obtiene una cadena b de ceros y unos con el siguiente
criterio: Si ha elegido B0 y obtiene |0i pone b = 0, si obtiene |1i entonces
b = 1. Si ha elegido B1 y obtiene |+i pone b = 0, si obtiene |−i entonces
b = 1.
6. Benito publica las posiciones en que b = 1 y, considerando solo esas posicio-
nes, las claves son a para Alicia y 1 − a0 para Benito.
Proposición 4.1. Con la notación anterior, si no hay espías ni ruido se obtienen
claves coincidentes con probabilidad 1.
Demostración. En primer lugar notemos que P (b = 1) = 1/4. En efecto, si a = 0,
Alicia envía |0i y b sólo puede ser 1, con probabilidad 1/2 en el caso de que a0 = 1,
lo que a su vez ocurre con probabilidad 1/2. Por otra parte si a = 1, Alicia envía
|+i y b sólo puede ser 1, con probabilidad 1/2 en el caso de que a0 = 0, lo que a su
vez ocurre con probabilidad 1/2. (Si Benito mide |+i con la base B2 obtiene |+i y
lo descodifica a 0).
Observemos que en cualquiera de los dos casos, cuando se ha obtenido b = 1,
es a = 1 − a0 . Luego P (a = 1 − a0 /b = 1) = 1.
El protocolo B92 tiene la ventaja de que Alicia sólo utiliza dos estados de
polarización para enviar su clave, pero tiene el inconveniente de que la longitud de
la clave reconciliada es la cuarta parte de la longitud de la cadena inicial de Alicia.

8
4.2. Protocolo basado en pares EPR
Esta generalización del BB84 tiene especial interés conceptual, histórico y prác-
tico. Fue propuesta por Ekert en el año 1991 y basa su seguridad en el uso de pares
EPR y en la desigualdad de Bell.
Un par EPR es un estado cuántico de 2 qubits entrelazados, por ejemplo de la
1
forma |ψi = √ (|00i + |11i).
2
Si partimos de la hipótesis de que Alicia y Benito comparten un conjunto de 2n
pares EPR y seleccionan aleatoriamente n de ellos para comprobar si verifican la
desigualdad de Bell o si superan cualquier otro test de fidelidad, tienen garantizado
que los restantes son estados cuánticos entrelazados suficientemente puros y realizan
con ellos el protocolo.
Alicia prepara una cadena aleatoria b de ceros y unos y de acuerdo con ella,
mide su qubit de cada par con las bases B0 o B1 obteniendo una cadena a. Benito
hace lo mismo y obtiene una cadena a0 con una cadena b0 de elección de bases.
Después comunican sus cadenas b y b0 por un canal público y se quedan sólo con
aquellos en los que las bases utilizadas coinciden. Si los pares EPR eran estados
entrelazados puros las claves deben ser coincidentes.
El problema se reduce pues a garantizar que Alicia y Benito puedan compartir
n pares EPR. Para ello, por ejemplo, Alicia prepara los estados entrelazados y envía
el primer qubit de cada uno a Benito. Este proceso puede dar lugar a errores por
varias causas. En primer lugar el canal entre Alicia y Benito puede presentar ruidos.
Segundo el emisor puede se imperfecto. Tercero se pueden producir errores durante
el almacenaje de la información o durante el proceso de medición. Finalmente
también puede haber errores debidos a la actuación de Eva cuando se ha envíado
el qubit de cada par. En este caso el estado de Benito quedaría modificado. Sea ρ
la matriz de densidad del estado resultante, que es impuro a casua de los errores.
Se puede probar (ver [8] y [10]) que la fidelidad de ρ respecto a |ψi⊗n proporciona
una cota superior de la información mutua de Eva respecto de la clave.

5. Seguridad de los protocolos

Se suele decir que un protocolo de distribución cuántica de claves es seguro
si, para cada par de parámetros de seguridad s > 0, l > 0 elegidos por Alicia y
Benito, y para cada estrategia de espionaje de Eva, o bien el esquema aborta o
bien aporta una clave aleatoria con probabilidad al menos 1 − O(2−s ), y garantiza
que la información de Eva sobre la clave final es menor que 2−l , donde esta medida
de la información se refiere a la información mutua entre la clave de Eva y la de
Alicia.
En [8] Lo y Chau proponen una modificación del protocolo basado en pares
EPR y prueban que se verifica la condición anterior, usando la desigualdad de
Holevo para dar una cota de la información mutua de Eva a partir de la fidelidad

9
entre ρ y |ψi⊗n . En [13] se prueba la seguridad del protocolo BB84 introduciendo
una modificación que lo hace esencialmente equivalente al protocolo modificado de
Lo-Chau. En [14] se da una prueba de la seguridad del B92. Estas pruebas son en
general difíciles de entender y ninguna de ellas es totalmente satisfactoria.
Desde un punto de vista práctico la seguridad en los protocolos cuánticos de
distribución de clave no está totalmente demostrada. Los experimentos basados
en pulsos débilmente coherentes han puesto de manifiesto ciertas limitaciones de
seguridad que no aparecen en los esquemas idealizados (ver [3]).
En la sección 3 hemos visto como diferentes estrategias de Eva dan lugar a
valores distintos tanto de la probabilidad de coincidencia entre las claves de Eva y
Alicia (y por tanto de la información mutua correspondiente), como de la discre-
pancia y por tanto de la probabilidad de coincidencia entre las claves de Alicia y
Benito.
Parece razonable considerar como mejor estrategia de Eva aquella que le per-
mita obtener más información introduciendo menos discrepancia.
Si conocemos una cota de la información de Eva en función de las discrepancia
introducida en la clave de Benito, válida para cualquier estrategia de espionaje,
será posible determinar la cota de error admisible.
Vamos a introducir un concepto de estrategia óptima en este sentido:

Definición 5.1. Diremos que una estrategia de espionaje es óptima si maximiza

el valor de p + q donde p denota la probabilidad de acierto en la clave de Eva y q
la correspondiente en la de Benito.
Nótese que q = 1 − d y que por tanto lo que exige la estrategia óptima es que
la información de Eva sea máxima y la discrepancia mínima.
Para determinar la estrategia óptima es importante determinar el conjunto de
estrategias posibles.
Si consideramos las estrategias descritas en la sección 3, el valor
√ máximo de 0p+q
es el que se alcanza para α = cos(π/8). Dicho valor máximo es ( 2 + 5)/4 ∼ 1 603.
Es decir, entre las estrategias de espionaje de este tipo, la óptima es medir en
la base que forma un ángulo de π/8 con B0 .
Pero Eva puede tener llevar a cabo otras estrategias ya que puede hacer con los
qubits interceptados cualquier manipulación que no viole las leyes de la mecánica
cuántica.
Con la hipótesis de ataque individual, podemos establecer, para el protocolo
BB84, una estrategia general en los siguientes términos:
Eva intercepta el qubit |xi emitido por Alicia, le añade un estado cualquiera
|φi ∈ Hn , preparado por ella, obtiene el estado T (|xi⊗|φi) para una transformación
unitaria arbitraria T , envía a Benito el primer qubit de dicho estado y mide el
segundo para su clave. Sin pérdida de generalidad, podemos suponer que Eva utiliza
siempre la base B0 , ya que la medición respecto de otra base se puede expresar
como composición del cambio de base con la medición respecto de B0 y el cambio
de base se puede considerar incluido en la transformación unitaria T .

10
 En [5] se parte de este
√ modelo de estrategia general y se prueba que el valor
máximo de p + q√ es ( 3 + 5)/4 ∼ 10 683. En este caso la discrepancia resulta
d = 1 − q = 41 − 123 , que es menor del 11 %.
En [6] se llega a la misma conclusión sobre la tasa de discrepancia admisible,
probando que las suma de la información mutua por qubit de Alicia y Eva más la
de Alicia y Benito es menor que 1.

6. Comentarios finales
Hemos comentado las pruebas de la seguridad de los protocolos descritos frente
a ataques individuales. Pero no está demostrada la seguridad de los protocolos
cuánticos ante la posibilidad de ataques colectivos, en los que Eva pueda almacenar
y manipular un bloque de qubits transmitidos.
Otra dificultad física es la de emitir un solo fotón cada vez. Aunque en este
momento la tecnología no lo permite, parece razonable pensar en la posibilidad
de que Eva pueda detectar aquellos pulsos en los que se emite más de un fotón.
En este supuesto, Eva podría medir el número de fotones sin perturbar el estado
cuántico en lo que se llama una medida QND. Después podría determinar el bit
con uno de ellos y transmitir otro a Benito.
Un análisis realista de la seguridad que contemple no sólo las posibilidades de
la tecnología actual sino también las de la previsible es tarea pendiente (ver [6]) .
También se trabaja actualmente en el análisis de seguridad en modelos no ideales,
con emisores imperfectos, pérdidas, etc. (ver [9])
Experimentalmente se ha visto ([7]) que la distribución cuántica de clave es
factible sobre una distancia de 48 km. En el experimento se comprobó que el 28 %
de los pulsos láser detectables que salieron del interferómetro de Alicia contebían
dos o más fotones. Pese a esta alta probabilidad de multifotón el sistema era seguro
frente a ataques individuales.
Los inventores de los protocolos cuánticos de distribución de clave los idearon
con el fin exclusivo de obtener claves privadas de un solo uso. Pero actualmen-
te parece que sería más razonable usarlos como apoyo en sistemas simétricos de
seguridad.

Referencias
[1] BENNET, C.H.; BRASSARD, G. (1984): “Quamtum cryptography: public
key distribution and coin tossing”. Proc. of IEEE Int. Conf. on Computers,
Systems and Signal Processing, pp.175-179.

[2] BLANCO, G. MARTÍNEZ, A. (2002): “Criptografía cuántica”. III Jornadas

de Matemática Discreta y Algorítmica (Sevilla).

11
 [3] BRASSARD, G., LÜTKENHAUS,N.; MOR, T. and SANDERS, B.C. (2000):
“Limitations of practical quamtum cryptography”. Phys. Rev. Lettter, 85
pp.1330-1333. (arXiv:quant-ph/9911054).

[4] GARCÍA LÓPEZ, J.(2004): “Factorización polinomial de números enteros”.

La Gaceta de la RSME, 7, n.2, pp.517-537.

[5] GARCÍA LÓPEZ, J.; GARCÍA LÓPEZ,A. (2004): “Optimum eavesdropping

in quantum key distribution”. Preprint.

[6] GISIN, N.; RIBORDY, G.; TITTEL, W. and ZBINDEN, H. (2002): “Quam-
tum cryptography”. Reviews of Modern Physics, vol. 74. pp. 145-195.

[7] HUGHES, R,J.; MORGAN, G.L.; PETERSON, C. (1999): “Quamtum key

distribution over a 48-km optical fiber network”. J. Mod. Opt. 47,533-547.
(arXiv:quant-ph/9904038)

[8] LO, H.K.; CHAU, H.F. (1999): “Unconditional security of quamtum key
distribution over arbitrarily long distances” Science, 283 pp. 2050-2056.
(arXiv:quant-ph/9803006 v5).

[9] KOASHI, M.; PRESKILL, J.(2002):“Secure quantum key distribution with an

uncharacterized source”. Phys. Rev. Letter, 90 (arXiv:quant-ph/0208155 v2).

[10] NIELSEN, M.A.; CHUANG, L.I.(2000): “Quantum Computation and Quan-

tum Information”. Cambridge University Press.

[11] RIEFFEL E.; POLAK, W. (2000): “An introduction to quantum computation

for non physicists”. Los Alamos Phisics Preprint Archive.

[12] SHOR, P. (1994): “Polynomial-time algorithms for prime factorization and

discrete logarithms on a quantum computer”. SIAM J.Comp., 26 (5), pp. 1484-
1509 (arXiv:quant-ph/9508027).

[13] SHOR, P.; PRESKILL, J.(2000): “Simple proof of security of the BB84
quamtum key distribution protocol”. Phys. Rev. Letter, 85, pp. 441-444
(arXiv:quant-ph/0003004 v2).

[14] TAMAKI, K.; KOASHI, M.; IMOTO, N.(2003): “Unconditionally secure quan-
tum key distribution based on two nonorthogonal states”. Phys. Rev. Letter,
90 (arXiv:quant-ph/0212162 v2).

12