Towards secure and practical quantum key distribution

Resumo

En una época en la que la mayoría de comunicaciones y transacciones se hacen a distancia por medios electrónicos, las técnicas de criptografía se han convertido más que nunca en parte esencial de nuestras vidas. Actualmente, la mayoría de los algoritmos criptográficos condicionan su seguridad a que se cumplan ciertos límites en el poder computacional de los potenciales atacantes. Por ejemplo, la seguridad del más que conocido algoritmo criptográfico de clave pública RSA radica en la dificultad computacional que entraña factorizar grandes números enteros, no habiéndose encontrado a día de hoy ningún algoritmo clásico capaz de resolver de forma eficiente esta tarea. Sí ha sido demostrado, sin embargo, que un ordenador cuántico podría resolver de forma eficiente este problema, convirtiendo en potencialmente inseguro al tan usado método RSA en un momento en el que los ordenadores cuánticos se están convirtiendo, poco a poco, en una realidad. Ante este importante problema, se han propuesto principalmente dos soluciones. La primera consiste en diseñar nuevos sistemas de cifrado similares a los ya existentes pero resistentes a todos los algoritmos cuánticos conocidos hasta la fecha. Estos algoritmos están enmarcados dentro de lo que se conoce como criptografía postcuántica, y tienen la importante ventaja de no requerir de nuevas infraestructuras de comunicaciones para su implementación. Este enfoque tiene, sin embargo, una desventaja fundamental, ya que deja abierta la puerta a que en cualquier momento se encuentre un nuevo ataque capaz de romper la seguridad de los nuevos algoritmos utilizados. Además, si algo así llegase a suceder, no solo comprometería todos los datos encriptados en el momento de su descubrimiento, sino también los que hubiesen sido encriptados en un pasado o lo estén siendo a día de hoy. Nótese que nada impide a un atacante guardar en un disco duro una copia de ciertas comunicaciones encriptadas utilizando estos métodos con la esperanza de poder sacar partido de las mismas en un futuro en el que existan algoritmos capaces de romper estos sistemas o sencillamente cuando la tecnología haya avanzado lo suficiente como para que las mencionadas limitaciones computacionales dejen de ser realistas. El segundo enfoque, en el cual nos centraremos a lo largo de esta tesis, se centra en sacar partido de las propiedades cuánticas que exhiben los sistemas físicos a escalas muy pequeñas para proporcionar comunicaciones completamente seguras, independientemente del poder computacional de los potenciales atacantes. El campo encargado el estudio de estos criptosistemas se conoce como Criptografía cuántica. En concreto, los sistemas cuánticos de distribución de clave (SCDC) permiten a dos usuarios distantes, típicamente llamados Alice y Bob, generar dos cadenas de bits idénticas, o claves, que además son, en teoría, completamente secretas. Estas claves pueden ser usadas posteriormente para encriptar cualquier mensaje mediante el algoritmo conocido como Libreta de un solo uso (OTP por sus siglas en inglés). Éste sencillo algoritmo, inventado ya a principios del siglo pasado, permite comunicaciones completamente seguras siempre que la clave secreta utilizada para encriptar el mensaje tenga la misma longitud que éste. Es decir, la seguridad de los mensajes encriptados mediante el OTP no está condicionada a suposiciones sobre el poder computacional de los atacantes, sino únicamente a la seguridad de la propia clave. Dado que la seguridad de las claves generadas mediante SCDC tampoco se basa en suposiciones computacionales, la combinación de éstos dos métodos es considerada en su conjunto como un criptosistema completamente seguro. Sin embargo, pese a todas las ventajas proporcionadas por los SCDC, éstos poseen también sus propios puntos débiles. En concreto, la seguridad de estos sistemas se deduce utilizando modelos matemáticos de los dispositivos utilizados. Dichos modelos no siempre son una representación fidedigna de la realidad, debido a las inevitables imperfecciones que adolecen los dispositivos utilizados en las implementaciones reales. Por otro lado, a diferencia de los métodos de criptografía clásicos, los SCDC requieren de largos canales de comunicación punto a punto, típicamente de fibra óptica de bajas pérdidas, para poder generar clave secreta a una velocidad razonable, pese a lo cual proporcionan, en general, comunicaciones más lentas que la criptografía clásica convencional. Estas limitaciones, sin embargo, están desapareciendo poco a poco con el avance de la tecnología y la evolución de los propios SCDC. Concretamente, desde que en los años 80 los investigadores Charles Bennett y Gilles Brassard propusieron su conocido protocolo BB84, numerosas han sido las propuestas de protocolos cuánticos realizadas por grupos de investigación independientes a lo largo del mundo. Entre estos, cabe destacar el protocolo cuántico independiente de los dispositivos de medida, conocido por sus siglas en inglés MDI-QKD (measurement-device-independent quantum key distribution), sobre el cual haremos hincapié más de una vez a lo largo de esta tesis. Hasta la aparición de este protocolo era habitual considerar principalmente esquemas en los que Alice ejercía el rol de transmisor y Bob el de receptor ---o ambos el de receptor---. En su lugar, MDI-QKD propone un nuevo tipo de esquema en el que ambos usuarios ejercen el rol de transmisores, mientras que un nodo central realiza las medidas y anuncia públicamente los resultados de las mismas. Sorprendentemente, dicho nodo puede estar controlado incluso por un atacante, sin que ello comprometa en ningún caso la seguridad del protocolo. Lo más destacable de este esquema tipo MDI es que permite eliminar la necesidad de caracterizar y modelar los dispositivos de medida para probar la seguridad del protocolo, siendo estos la parte más vulnerable, con diferencia, de los SCDC. Otro caso destacable es el de los SCDC independientes de los dispositivos, más conocidos por sus siglas en ingles DI-QKD (device-independent quantum key distribution). Este tipo de protocolos permiten, en teoría, generar una clave secreta entre Alice y Bob sin necesidad de caracterizar ninguno de los dispositivos utilizados. Para ello Alice y Bob realizan de forma independiente una serie de medidas cuánticas sobre pares de fotones entrelazados generados por un nodo central que podría no ser necesariamente honesto. Sin embargo, los protocolos DI-QKD tienen dos desventajas importantes. En primer lugar, los requisitos tecnológicos para llevar a cabo una implementación real y práctica de DI-QKD parecen estar aún muy lejos de ser viables a medio y corto plazo. En segundo lugar ---y más importante si cabe--- una de las premisas clave en las que se fundamenta la seguridad de DI-QKD es que los dispositivos controlados por Alice y Bob no filtran ningún tipo de información sobre los resultados de las medidas realizadas. Desafortunadamente, esta premisa no es realista en la práctica, ya que como comentamos anteriormente los dispositivos de medida son una de las partes más vulnerables de los SCDC, y resulta extremadamente optimista descartar la existencia de canales ocultos en los aparatos de medida por los que se pudiese filtrar información al exterior. Estos canales ocultos incluyen desde cualquier tipo de radiación electromagnética de los dispositivos hasta pequeños pulsos luminosos que escapen de los mismos. De hecho, se sabe que ciertos tipos de detectores pueden llegar a emitir pequeños pulsos de luz tras una detección, pudiendo éstos viajar hacia atrás por el canal cuántico llevando consigo información sobre el resultado de la medida realizada. En esta tesis se abordan distintas cuestiones acerca de los SCDC. La primera de ellas está relacionada con las estrategias destinadas a romper la seguridad estos sistemas, lo que se conoce como hacking cuántico. A lo largo de las últimas décadas se han propuesto numerosos ataques que explotan las vulnerabilidades de los SCDC y que aparecen como consecuencia de la ya mencionada discrepancia entre los modelos teóricos y las implementaciones reales. Normalmente estos ataques no son desarrollados con propósitos maliciosos, sino que lo que se busca es de poner a prueba los SCDC y fomentar así la aparición de nuevos protocolos mejorados que incluyan las contramedidas pertinentes contra los nuevos ataques. Este juego del gato y el ratón ha sido habitual en el campo de la criptografía cuántica prácticamente desde sus inicios, y ha ayudado a una rápida evolución del mismo. Una de las contramedidas más utilizadas en SCDC es la técnica de estados señuelo. Esta técnica nace como consecuencia a la imposibilidad de emitir fotones individuales con alta fidelidad debido a limitaciones tecnológicas. Esto es así porque una gran parte de los SCDC requieren el uso de fotones individuales para su correcto funcionamiento, y la imposibilidad de generar estos estados de forma perfecta significaría dejar la seguridad de la clave a merced de los atacantes. La técnica de estados señuelo permite reestablecer la seguridad de la mayoría de estos protocolos permitiendo sustituir las fuentes de fotones individuales por una combinación de otros tipos de fuentes fotónicas más accesibles tecnológicamente ---como, por ejemplo, diodos láser---. Concretamente, ésta técnica permite estimar a posteriori las probabilidades de determinadas medidas cuánticas sobre sistemas de $n$ fotones a partir de los resultados de dichas medidas efectuadas sobre pulsos luminosos cuyos números de fotones son desconocidos y aleatorios. Sin embargo, pese a ser una técnica utilizada en numerosos SCDC, también entraña sus propios riesgos. En particular, en esta tesis mostramos un posible ataque cuántico que vulneraría la seguridad de muchas de las implementaciones de SCDC que utilizan ésta técnica. Concretamente, esta vulnerabilidad es consecuencia de una imperfección presente en varios tipos de láseres, debido a la cual la intensidad media de los pulsos emitidos varía si se introduce luz en el mismo. Esto deja una puerta abierta a un atacante, que podría modificar a voluntad, dentro de ciertos límites, la intensidad de los pulsos emitidos por los usuarios, convirtiendo el protocolo en inseguro. Otro de los objetivos principales de esta tesis es encontrar soluciones que permitan mejorar las prestaciones que ofrecen los SCDC actuales. La figura de mérito típicamente utilizada para comparar el rendimiento de distintos SCDC es la tasa de clave ---o ratio de bits de clave por señal cuántica transmitida---. Debido a las pérdidas presentes en los canales cuánticos, esta tasa de clave decrece rápidamente al aumentar la distancia entre los usuarios. En concreto, para comunicaciones punto a punto, se ha demostrado que la tasa de clave escala, en el mejor de los casos, de forma proporcional a la transmitancia del canal, decreciendo ésta última típicamente de forma exponencial con la distancia entre los usuarios. Aunque este límite parece insalvable, sigue abierta la posibilidad de mejorar las prestaciones de los SCDC mediante la colocación de nodos intermedios en distintos puntos del canal cuántico. En esta línea, se ha demostrado que el límite teórico para conexiones punto a punto se puede superar mediante la colocación de nodos intermedios conocidos como repetidores cuánticos, o mediante configuraciones MDI que exploten el uso de memorias cuánticas. Por desgracia, ambas soluciones son inviables a día de hoy debido a sus altísimos requisitos tecnológicos. Otra solución ---también del tipo MDI--- que es tecnológicamente más accesible y que permite sobrepasar el límite teórico de comunicaciones punto a punto, es el protocolo de campos gemelos propuesto recientemente por Lucamarini et al. Ésta solución, más conocida por sus siglas en inglés TF-QKD (twin field quantum key distribution), permite conseguir tasas de clave que escalan con la raíz cuadrada de la transmitancia del canal mediante la colocación de un único nodo intermedio ---el cual podría ser deshonesto, como en cualquier esquema del tipo MDI---. Tras su propuesta, muchos han sido los grupos de investigación a lo largo del mundo que han propuesto sus propias versiones alternativas de TF-QKD. En esta tesis nos centraremos en una de las variantes de TF-QKD, la propuesta recientemente por Curty et al, e investigaremos cómo mejorar tanto sus prestaciones como su seguridad. En concreto, este protocolo utiliza la ya mencionada técnica de los estados señuelo para estimar la cantidad de información que un atacante podría estar extrayendo de las señales transmitidas. Dado que este protocolo sigue un esquema de nodo central tipo MDI, ambos usuarios Alice y Bob ejercen el rol de transmisores, y por tanto ambos deben seleccionar distintas intensidades en sus pulsos para utilizar la técnica de los estados señuelo. Es bastante común asumir, por simplicidad, que ambos usuarios utilizan el mismo conjunto de intensidades, siendo además ésta la estrategia óptima en casos en los que los canales que conectan a ambos usuarios con el nodo intermedio son aproximadamente simétricos. Sin embargo, no siempre se da tal simetría en las implementaciones reales, ya sea porque los usuarios se encuentran a distancias distintas del nodo central o porque el tipo de canal físico utilizado para cada uno de ellos es distinto. En esos casos, las prestaciones del protocolo pueden llegar a disminuir bastante si ambos usuarios se restringen a usar el mismo conjunto de intensidades. En esta tesis proponemos una generalización de los métodos de estimación para el caso en el que ambos usuarios pueden usar conjuntos de intensidades independientes en este protocolo TF-QKD, e investigamos cómo este cambio afecta al rendimiento del mismo. En concreto, veremos que en ciertos escenarios en los que existe una fuerte asimetría entre los dos canales cuánticos, la reducción en la tasa de clave que experimentarían Alice y Bob si se restringen a usar el mismo conjunto de intensidades puede llegar a ser notable. Por otro lado, en el momento en el que fue inicialmente propuesto, la seguridad esta variante de TF-QKD fue probada únicamente para el caso simplificado e irreal en el cual Alice y Bob transmiten un número infinito de señales ---es decir, para el caso en el que el protocolo consta de un número infinito de rondas de transmisión---. Este escenario simplificado se conoce como régimen de clave asintótica, y es un punto de partida bastante habitual a la hora de presentar un nuevo tipo de SCDC, ya que permite probar su seguridad de una forma más sencilla. Sin embargo, este tipo de situación no es realista, ya que obviamente en la práctica el número de rondas de transmisión estará siempre acotado. Esto hace que sea imprescindible derivar una nueva prueba de seguridad del protocolo para el caso realista en el que el número de rondas de transmisión es finito ---esto es, para el régimen de clave finita---. En esta tesis proponemos una solución a este problema y analizamos cómo la consideración de efectos finitos afectan el rendimiento del protocolo. Pese a que los protocolos cuánticos del tipo MDI consiguen eliminar toda potencial vulnerabilidad en los sistemas de medida, generalmente sus transmisores siguen requiriendo ser caracterizados de forma precisa y libre de errores. Esto significa que, en general, cualquier imperfección en los sistemas de transmisión podría abrir una puerta trasera que un adversario podría utilizar para realizar un ataque sin ser detectado, comprometiendo así la seguridad de este tipo de SCDC. A lo largo de las últimas décadas se han desarrollado diversas técnicas para disminuir las vulnerabilidades propias de los transmisores usados en protocolos cuánticos. Un ejemplo de esto es el protocolo resistente a pérdidas, o más conocido por sus siglas en inglés LT-QKD (loss-tolerant quantum key distribution), el cual permite a Alice y Bob establecer una clave secreta aun cuando los estados transmitidos contienen imperfecciones, haciendo esto posible sin apenas ver reducida su tasa de clave secreta. Una desventaja de este protocolo es que, debido al tipo de estados transmitidos, resulta difícil probar su seguridad en el régimen finito utilizando desigualdades de concentración para sumas de variables aleatorias independientes. Debido a esto, es común en este tipo de casos que se acaben utilizando otro tipo de desigualdades que son válidas para el caso en el que las variables aleatorias involucradas son dependientes. El problema de estas últimas es que en general consiguen peores estimaciones que las primeras, afectando drásticamente las prestaciones del protocolo. En este contexto, en uno de los trabajos incluidos como parte de esta tesis se introduce un nuevo tipo de análisis que permite probar la seguridad del protocolo LT-QKD (así como variantes del mismo) en el régimen finito mediante el uso de desigualdades de concentración para sumas de variables aleatorias independientes. Como veremos, esto permitirá mejorar de forma importante las prestaciones de este tipo de protocolos con respecto a las técnicas utilizadas con anterioridad en la literatura científica. Por otro lado, aun con todas sus ventajas, los protocolos del tipo LT-QKD siguen siendo vulnerables a algunos tipos muy concretos de errores en los transmisores. En concreto, pese a permitir que los estados transmitidos cada ronda contengan errores de preparación, es indispensable que no exista ningún canal oculto por el que se esté filtrando información sobre el estado preparado cada ronda. La existencia de cualquier canal oculto de este tipo supondría que el protocolo dejaría de ser seguro automáticamente. Por suerte, el campo de la criptografía cuántica sigue avanzando y en los últimos años se han ido proponiendo distintas técnicas que permiten incorporar la existencia de ciertos tipos de canales ocultos en las pruebas de seguridad de protocolos cuánticos. Esto es enorme importancia, ya que la existencia de dichos canales ocultos no se puede ser ignorada cuando el objetivo final de los SCDC es precisamente conseguir seguridad incondicional en implementaciones reales, y no solo en los modelos teóricos. Siguiendo esta línea, en esta tesis proponemos un nuevo protocolo cuántico del tipo MDI para el cual probamos su seguridad en presencia de cualquier tipo de canal oculto en los transmisores. Nótese que siendo éste un protocolo del tipo MDI, su seguridad en presencia de cualquier tipo de ataque o canal oculto relacionado con los aparatos de medida está automáticamente garantizada. En este sentido, este protocolo consigue algo de tremenda importancia: proporcionar seguridad frente a cualquier tipo de imperfección posible tanto en los dispositivos de transmisión como de recepción (esto es, cualquiera de los dispositivos utilizados para la comunicación cuántica) a única condición de caracterizar experimentalmente unos pocos parámetros. Por último, es algo habitual en en ámbito científico que técnicas que han sido utilizadas en campos muy concretos durante décadas consiguen, de un día para otro, ganarse nuevos espacios en otros campos del conocimiento completamente distintos en los que, sorpresivamente, se les consigue sacar mucho partido. En este sentido, un problema habitual a la hora de caracterizar ciertos tipos de circuitos fotónicos es que con la tecnología actual resulta extremadamente difícil generar pulsos de luz con un número de fotones concreto, viéndose esta dificultad incrementada rápidamente a medida que dicho número de fotones aumenta. Esta limitación tecnológica imposibilita la caracterización de este tipo de circuitos ópticos mediante técnicas estadísticas directas. En este contexto, en el último trabajo incluido en esta tesis proponemos un método novedoso para caracterizar la interferencia multifotónica en circuitos ópticos pasivos basado en técnicas propias del campo de la criptografía cuántica. En concreto la ya mencionada técnica de los estados señuelo, en combinación con una variante de la misma, se puede utilizar para estimar una serie de probabilidades condicionadas que relacionan el número de fotones en las distintas salidas de un circuito óptico con el número de fotones en sus distintas entradas. Lo más remarcable de este método es su sencillez de implementación, ya que únicamente requiere de dispositivos fácilmente accesibles tales como láseres pulsados, moduladores ópticos de intensidad y detectores APD.