Autenticao quntica de mensagens clssicas

Embora a distribuio de chaves ser sem dvida o contexto mais estudado

no qual aplicar criptografia quntica com tcnicas de autenticao de
mensagem , ou seja, que comprove a identidade do autor da mensagem e a
integridade da mensagem enviada, tambm podem beneficiar da utilizao
dos recursos qunticos. Classicamente, a autenticao de mensagens pode
ser realizada atravs de tcnicas baseadas em funes hash. No entanto, a
segurana dos protocolos resultantes depende na seleo de funes hash
adequadas, e na utilizao de chaves de autenticao longas. Neste artigo,
ns vamos propor um procedimento de autenticao quntica, fazendo uso
de apenas um qubit como a chave de autenticao, permitindo a
autenticao de mensagens binrias clssicas de uma maneira segura.
I. INTRODUO
Com as redes de computadores
espalhados pelo mundo com os
usurios acessando-as atravs de
milhes de terminais diferentes,
informaes de proteo tornamse mais e mais relevante. Este
desafio de oferecer proteo de
informaes
adequadas
est
intimamente relacionado com as
tarefas bsicas de criptografia,
autenticao
e
sigilo
[1,2].
Durante a ltima dcada, tem sido
demonstrado que a informao
tem
uma
fsica,
no
s
matemtica, dimenso e, como
tal, podem ser estudados fazendo
uso de teoria quntica. Isso deu
origem ao campo de pesquisa
conhecido
como
teoria
da
informao quntica (QIT). A
criptografia
quntica
[QC],
introduzida por Wiesner e Bennett
e colegas de trabalho, , com a
computao quntica, uma das
aplicaes mais notveis da QIT. A
segurana
da
informao
fornecida por QC baseada em
propriedades fundamentais da
mecnica quntica, em vez de um
no comprovado o pressuposto
sobre
a
complexidade
computacional
de
alguns
algoritmos (como o caso da
maior
parte
da
criptografia
clssica), e, portanto, traz uma
nova dimenso segurana nas

comunicaes. Ao longo dos

ltimos anos, existem vrias
demonstraes experimentais da
viabilidade de QC [8-15] que
parecem
indicar
que
as
perspectivas para seu uso regular
futuro so boas.
QC envolve vrios tpicos, e
apesar
da
chave
quntica
distribuio (QKD) [16 -18] ser
sem dvida o mais estudado, a
necessidade de se combinar com
os protocolos da QKD com
mtodos de autenticao clssica
tem
motivado
investigaes
recentes sobre a realizao de
verificao da chave [19,20] e
autenticao do usurio [21-26] de
uma
forma
mecnica-quntica
segura. Verificao da chave
consiste em assegurar que as
partes de um sistema de chave de
distribuio so os legtimos, e que
a
repartio
estabelecida

autntica. A autenticao do
usurio
(tambm
chamado
identificao do usurio) permite
que um comunicador possa provar
sua identidade, muitas vezes
como o primeiro passo para entrar
em um sistema. Um potencial de
insegurana de autenticao do
usurio consiste em assumir que
uma vez que o processo de log-in
concluiu, a transmisso continua a
ser autntica, para o resto da
comunicao.
Esta
suposio

depende fortemente do grau de

segurana fornecida pelo canal
utilizado. A criptografia clssica
resolve essa fraqueza empregando
cdigos
de
autenticao
de
mensagens (MACs), que permitem
que as partes que possuem uma
chave secreta compartilhada para
atingir a integridade dos dados.
MAC, tambm conhecido como um
cdigo de autenticao de dados,
, essencialmente, um esquema
especificado por dois algoritmos
de codificao, ou um algoritmo de
codificao
(possivelmente
estocstico), e um algoritmo de
decodificao ou de verificao.
Quando o remetente (Alice) quer
enviar uma mensagem certificada
para um destinatrio (Bob), ela
calcula, utilizando o algoritmo de
codificao, uma marcao (como
uma funo da mensagem e uma
chave
secreta
partilhada
anteriormente) e acrescenta
mensagem. Do lado da recepo,
Bob verifica a autenticidade da
marca por meio de o procedimento
de decodificao especificada, que
depende
da
mensagem,
marcao,
e
uma
chave
partilhada. Este algoritmo retorna
um bit indicando quando Bob deve
considerar a mensagem como
autntica e aceit-la como vindo
de Alice, e quando ele deve
descart-la. Wegman e Carter
[27,28] descreveram um esquema
de autenticao de mensagens,
cuja segurana uma informao
terica, e no com base em
pressupostos computacionais. Sua
tcnica utiliza uma funo hash,
selecionada a partir de um
universal hash de famlia, para
comprimir a mensagem a ser
certificada em uma sequncia
menor de bits. Em seguida, esta
cadeia

criptografada
para
produzir a MAC.

Recentemente,
Barnum
[29]
abordou
o
problema
de
autenticao
de
mensagens
quntica. Em seus protocolos a
chave de autenticao usada
para selecionar um cdigo de
deteco de erros quntico (QEDC)
a partir de um determinado
conjunto. Um estado quntico
codificado em um destes cdigos,
e o estado rejeitado como
inautntico se um erro detectado
pelo receptor. A geometria do
conjunto de QEDCs escolhida de
modo
a
assegurar
que
a
probabilidade de falsificao no
detectada menor do que o limite
clssica (inverso a raiz quadrada
do nmero de chaves).
Neste artigo ns vamos estudar
como o uso de recursos qunticos
podem melhorar a autenticao de
mensagens
clssicas.
Especificamente,
ns
apresentaremos uma ampla classe
esquemas
de
autenticao
quntica que, ao contrrio de
MACs clssicos, que precisam de
pelo menos dois pedaos secretos
para conseguir uma probabilidade
de menos de 1 falsificao,
fornece integridade de dados
seguro quando a chave apenas um
qubit

repartida
entre
os
parceiros de comunicao.
II. Cdigos qunticos de
autenticao de mensagens
Suponha que Alice precisa enviar
uma
mensagem
clssica
certificada para Bob. O objetivo
fazer com que Bob confie na
autenticidade da mensagem do
remetente. Os protocolos descritos
nesta seo requerem um canal
quntico, ento a primeira tarefa
consiste na atribuio de um
estado
quntico
para
cada
possvel mensagem clssica. Esta
deciso no precisa de sigilo e

podem ser feitas abertamente.

Vamos discutir o caso simples de
mensagens binrias (um bit de
comprimento).
Assim,
existem
apenas duas mensagens possveis,
'' 0 '' e '' 1 '', para o qual vamos
atribuir os estados qunticos puros

resultado desta operao de

codificao pode ser visto como
executar [segundo mandato em
Eq. (2.1)] ou no [primeiro termo
na Eq. (2.1)], dependendo do
estado
do
qubit
da
chave
partilhada de Alice, uma operao

, respectivamente. A
fim de garantir a extrao perfeita
das informaes de Bob a partir
desses estados e para tornar
possvel a autenticao, eles no
podem
ser
selecionados
arbitrariamente, mas devem ser
ortogonais,

unitria,

e deve
conter, como em qualquer mtodo
de
autenticao,
algumas
informaes
MAC
para
ser
verificadas por Bob. Vamos supor
que eles pertencem a um espao
de estado de dois qubits (um
Hilbert quadridimensional espao)

Depois de realizar esta operao

de marcao, o estado do sistema
global (Alice + Bob + mensagem)

. Isto pode ser visto como se o

primeiro
qubit
levasse
as
informaes da mensagem, e o
segundo qubit carregasse a MAC.
Quanto chave de autenticao
secreta, vamos supor que Alice e
Bob compartilham um de dois
qubits
estando
maximamente
emaranhados. Cada um possui um
qubit de um estado nico de
conhecimento
pblico
.
O
procedimento de autenticao
como se segue. quando Alice quer
enviar um bit certificado, ela
prepara dois qubits no estado
e realiza a seguinte operao de
codificao em sua parte
na mensagem

sobre

estado

quntico
. Isto tambm pode
ser conseguido com um bit
clssico anteriormente partilhado
agindo como uma chave. O
singleto pode ser visto como uma
superposio de todos os possveis
estados-chave clssicos.

Usando o formalismo densidade do

operador, o estado da mensagem
autenticada que Alice envia para
Bob pode ser obtido a partir da Eq.
(2.2) realizando o trao parcial
sobre a Alice e Variveis de Bob.
Em termos de densidade de
operadores, este estado dado
por

Do
lado
da
recepo,
Bob
decodifica
as
informaes enviadas por Alice
executando
a
operao
de
decodificao

Onde
alguma operao
quntica
unitria
conhecida
publicamente . Basicamente, o

Na sua parte da
e a
mensagem recebida. Finalmente,
Bob realiza uma medida ortogonal
no espao
Uma vez que este
espao possui quatro dimenses, e
que
impusemos
os
estados

para ser ortonormal,

podemos realizar medidas sobre o
conjunto
ortonormal
so dois estados ortonormais
extras. Se o resultado de uma
medio um dos dois primeiros
elementos do conjunto, Bob deve
assumir que nenhuma falsificao
tomou o lugar, e, portanto, obter a
mensagem clssica enviada para
ele. Se este no for o caso, ele
rejeita a mensagem recebida.

III. Anlise de Segurana

A classe de protocolos qunticos
da seo anterior fornece uma
decodificao
determinista
perfeita, ou seja, a chave quntica
e o texto criptografado
quntico
determinam
unicamente a mensagem clssica
enviada, . Isto significa que estes
protocolos falhariam apenas se
Bob
aceitasse
como
uma
mensagem de um autenticado,
quando um que no o caso
(devido despercebida ao de
Eva). Ao lidar com as estratgias
de falsificao devemos considerar
dois tipos principais de ataques, o
ataque no-mensagem e o ataque
mensagem. O primeiro o mais
simples. Antes De Alice enviar
qualquer mensagem a Bob, Eva
tenta preparar um estado quntico
que
passa
o
algoritmo
de
decodificao.
O
ataque
mensagem mais sutil e grave.
Eva poderia acessar as mensagens
autnticas transmissveis, e tentar
produzir uma mensagem forjada
com base na informao obtida. O
objetivo desta seo analisar as
duas famlias de ataques, e obter a
classe de operaes unitrias

que os torna sem xito. Na

discusso
a
seguir,
vamos
considerar o cenrio ideal de um
canal quntico livre de erros.

A. No-mensagem ataque
Suponha Eva prepara um estado
quntico puro normalizado
e
envia para Bob tentando se passar
por Alice. No caso mais geral, esta
mensagem
quntica
pura
inautntica pode ser descrita como
.Quando Bob recebe
esta mensagem quntica ele no
pode saber que se trata de um
falsificador, ento ele segue o
procedimento explicado na seo
anterior. Ele realiza uma operao
de decodificao e, em seguida,
uma medida ortogonal sobre o
conjunto
. Antes
que esta medida se realize, o
estado da mensagem pode ser
descrito pela
onde
=
. Como vimos,
Bob rejeita a mensagem se a
resultado da sua medida um dos
dois ltimos elementos da base;
por conseguinte, a probabilidade
para Eva enganar Bob

Essa quantidade depende tanto da

estratgia de Eva e quanto do
funcionamento quntico
normalizao da

. A

e a unicidade

da
faz os dois termos no lado
direito da Eq. (3.1) serem menor
ou igual a 0,5. O primeiro termo
depende inteiramente da deciso
de Eva, e, para ser 0,5;
devem ser zero. Vamos assumir

que Eva seleciona

com esta
condio satisfeita. Olhando para
o segundo termo da equao,
Primeiro, vamos
escrever a representao matricial
da

sob a forma de blocos

Note que, em ambos os casos,

Alice e Bob podem escolher
de
tal modo que a sua matriz de

Onde cada M i uma matriz

complexa 2x2. Com essa notao,
o segundo termo da equao 3.1
pode ser escrito

bloco

faz

independente do
Eva.

<1
escolhido por

Finalmente,
nesta
subseo,
assumimos que Eva preparou um
estado puro
. No entanto, ela
podia ter preparado um estado
misto
geral

onde i representa a linha

e j a coluna de
,
o
ngulo que depende inteiramente
da escolha de Eva em seu estado.
O objetivo de Eva fazer
to
grande quanto o possvel de modo
que o pior caso para Alice e Bob
ocorre
quando
Eva
escolhe
sendo
nmero inteiro
para uma dada
Podemos
casos:

qualquer

.
Pelo o que temos mostrado
nesta subseo, fcil ver que, se
for

selecionado

um

que

satisfaa as condies acima,

ser menor que 1. Neste caso,
podemos mostrar ainda que, com
a seleo apropriada de
,
pode ter um valor de no mximo
1/2. De acordo com a equao
(3.1)

pode ser escrito como

que maximiza
.

distinguir

entre

dois

1.
estritamente menor que
0,5
quando
2.
estritamente menos que 0,5
quando

. Usando
operador

as

propriedades do
de
trao,

um
operador positivo conhecido para
Eva, e com o mximo autovalor
. Portanto, o mximo
um autovetor correspondente a
,
e
Finalmente,

assim
fcil

ver

que

.
a

Considerando que Alice enviou

para Bob uma mensagem

escolha do
de tal modo que
com o seu complemento ortogonal
assume

quntica
Eva realiza um map TPCP
arbitrrio,
, nele. O novo
estado do canal

(e portanto, como o previsto).

B. Ataque mensagem
Como vimos, esta uma classe
mais sutil e grave de ataques. Em
vez de forjar uma mensagem
quntica e envi-la diretamente
para Bob, Eva podia esperar pelas
mensagens originais de Alice e
tentar manipul-los. Assim, o
objetivo de Eva converter
mensagens autnticas em outras
passando pelo teste de Bob. No
caso simples que estamos lidando
com mensagens binrias, isto
implica
a
converso
A fim de simplificar a anlise, e
sem perda de generalidade, se
far distino entre dois tipos de
ataques
de
mensagens.
Na
primeira delas, Eva, com base no
conhecimento
de
todos
os
aspectos comuns do esquema de
autenticao quntica utilizado,
determina-se
uma
operao
quntica e aplica-a a qualquer
mensagem enviada por Alice. Esta
operao
quntica
pode
ser
descrita como preservao-trao
completamente positiva (tracepreserving
completely
positive,TPCP). Na segunda classe
de ataques, Eva tambm tenta
extrair informaes, por meio da
medio apropriada da mensagem
no canal, que lhe permite preparar
uma mensagem diferente que Bob
considera como autntico.
1. TPCP map

,e

Eva escolhe
tal que o
processo de descodificao
executado por Bob no estado
de ligao resultante para o
estado
.
Devido o carter puro dos
estados
, isso s
pode ser feito com toda certeza
se
for uma operao
unitria, que vamos escrever
como
. Para este tipo de
operao, a probabilidade,
, de Eva alcanar seu
objetivo
, onde
, estado decodificado de Bob,

Se Alice preparar o estado

com
probabilidade
,
a
probabilidade global, empregando
um
TPCP,
substituindo
uma
mensagem autntica por uma
diferente que passa o teste de Bob

probabilidade 1 se

Essa
satisfaz,

at alguns fatores de fase globais

arbitrrios, os dois pares seguintes
de condies

Para todo i,j pertencentes a {0,1}

com
i
diferente
de
j.
A
ortogonalidade entre
e
permite Eva sempre cumprir um
dos dois pares de condies,
independentemente
da
particular utilizado por Alice e Bob.
Vamos supor que Eva selecione
tal que a Eq. (3.8) satisfeita.
Esta seleo faz

de ter, na base

ortonormal
a
seguinte
matricial:

, com
representao

a norma da matriz de Pauli, e

a operao de mudana de
fase, cuja representao matricial

de tal forma que todos estes

requisitos no so verificados,
ento a probabilidade de sucesso
da adulterao ser estritamente
menor
do
que
1,
independentemente
do
mapa
TPCP de Eva.
2. Medio
Vamos supor agora que, em vez de
executar uma operao quntica
pr-determinada na mensagem
enviada por Alice, Eva faz uma
medio sobre ela tentando obter
informaes sobre a chave. Se ela
fosse capaz de recolher o estado
da chave em um estado puro
conhecido no emaranhado, ela
poderia jogar fora a mensagem de
Alice e preparar e enviar a Bob
uma nova mensagem inautntica
que iria passar no seu teste com
certeza. Desde que Eva saiba
como funciona o protocolo, ela iria
conseguir isso se ela pudesse
distinguir perfeitamente entre os
dois termos do lado direito da Eq.
(2.3).
Para evitar este ataque, Alice e
Bob devem escolher um
de tal
forma que o conjunto de estados

Agora, se exigirmos ainda mais o

cumprimento da equao (3.9), os
elementos da matriz de
e
devem
obedecer

introduzida na equao(3.10) isto

implica que

ortogonal.

no seja
Devido

ortogonalidade de
,
este requisito pode ser escrito
como
, para pelo
menos um i e j pertencentes a
{0,1}. Com a notao de bloco
introduzida na seo anterior, a
condio pode ser expressa como
. Embora no
seja necessrio segredo para uma

autenticao segura, observe que

se
, com i diferente
de j, o esquema de autenticao
quntica fornece tambm, em
certo sentido, criptografia de
dados, uma vez que h uma
probabilidade maior que zero de
Eva no determinar a mensagem
enviada por Alice.

3. Discusso
MACs so usados para detectar
qualquer tentativa de modificar os
dados transmitidos por um terceiro
indesejado. Nesta seo, nos
concentramos em vrios tipos de
ataques que, acreditamos, so os
mais exigentes. Ns mostramos
que, a fim de evitar as estratgias
de falsificao estudadas, Alice e
Bob devem concordar em escolher
de modo a que as seguintes
condies sejam satisfeitas:

Destas quatro condies, fcil de

ver, no entanto, que a ltima,
obtida de modo a evitar o
estabelecimento da tabela de
medio, redundante, uma vez
que a realizao da terceira
condio conduz quarta.
Depois de examinar as trs
condies
restantes,
duas
questes se colocam: (i) Pode uma
operao
unitria
cumprir
simultaneamente
essas
trs
restries? e, (ii) Se a resposta for
sim, o que a
ideal? Talvez a
maneira mais fcil de responder
primeira pergunta com um
exemplo trivial. Se, por exemplo,
,

simples de se construir uma

operao unitria com o seu
primeiro bloco igual a
. Alm
disso, evidente que todas as
condies acima esto satisfeitas
por esta matriz. Quanto segunda
questo,

uma
importante
questo
em
aberto
que
pretendemos abordar no futuro.
Em
primeiro
lugar
deve-se
estabelecer
algum
critrio
adequado de acordo com o que se
obter com uma
ideal. Quando
analisamos
os
ataques
nomensagem, mostramos que, ao
selecionar uma
adequada,
podem
ser
feitas
meia
independentemente da estratgia
de Eva. No entanto, fcil de ver
que
esta
operao
quantum
unitria particular faz
um,
tornando
assim,
o
protocolo
vulnervel. Portanto, parece que a
optimizao deve resultar de um
equilbrio
das
diferentes
estratgias
de
falsificao
consideradas.
Finalmente,
uma
propriedade
interessante desta classe de
protocolos
de
autenticao
quntica que ele oferece a
possibilidade de reutilizar as
chaves de autenticao. Se no
houver nenhuma falsificao aps
a
codificao
de
Alice
e
decodificao de Bob processa, o
estado da chave permanece
intacto. Assim, se o procedimento
de autenticao for bem sucedida,
em princpio, Alice e Bob poderia
reter a chave emaranhado e
reutiliz-lo na prxima execuo
do protocolo. A presena de Eva,
no
entanto,
no
pode
ser
desprezado. Ela poderia tentar
complicar um sistema com a
chave de autenticao quntica

gerando
forma

um

estado

global

da

Eve
sempre
poderia
forjar
mensagens quando a chave
reutilizado, apenas reproduzindo
processo de codificao de Alice,
mas empregando sua ancilla como
o controle da operao quntica.
Se assumirmos que Eva tem
acesso apenas ao canal quntico
entre Alice e Bob, o que
acreditamos ser uma suposio
razovel, depois Eva poderia
tentar obter Eq. (3.12) de duas
maneiras diferentes. Ela podia
preparar uma mensagem quntica
e envi-lo para Bob, ou ela poderia
manipular a mensagem enviada
por Alice. A primeira possibilidade
pode ser negligenciada, uma vez
que, se
satisfaz as condies
acima enumeradas, Eva no
possvel saber quando uma srie
em do protocolo tem sido bem
sucedida. Quanto segunda
possibilidade,
no
deve
ser
confundido com o que j foi
anteriormente analisado quando
se lida com mapas TPCP. Agora
Eva
no
precisa
converter
poderia

Da forma

.
Ela
preparar

No so ortogonais para pelo

menos um valor de i. Por
conseguinte, e uma vez que o
produto interno de estados
preservada por qualquer operao
unitria, estas condies so
impossveis
de
cumprir.
Isto
significa que a Eq. (3.12) no pode
ser conseguida com segurana.
No
entanto,
e
apesar
de
reciclagem chave ser um princpio
possvel, deve-se notar que a
segurana dos protocolos de
autenticao apresentados pode
ser reduzido drasticamente. Como
sugerido em [31], a segurana no
depende
do
uso
do
entrelaamento,
mas
com
a
possibilidade
de
detectar
a
presena de Eva no texto cifrado
quntico. Como vimos, estes
esquemas de autenticao podem
detectar Eva com uma certa
probabilidade, mas tambm h
uma chance de que Eva continua a
no ser detectada.

IV. CONCLUSO
Ns apresentamos uma ampla
classe
de
protocolos
de
autenticao
quntica
que,
fazendo uso de apenas um qubit
como a chave de autenticao,
permite
a
autenticao
de
mensagens clssicas binrias com
uma probabilidade de falsificao
de sucesso menor que 1. Todas as
partes, incluindo o falsificador,
podem ter completo conhecimento

sobre todos os aspectos do

protocolo. No entanto, requer a
partilha de um segredo anterior
(sob
a forma de um par
emaranhado de partculas, ou um
bit clssico), e um canal quntico
ideal entre os parceiros. Ns
descrevemos vrios tipos de
possveis ataques e mostraram
que a seleo cuidadosa da
transformao quntica realizada
pelas partes em comunicao faz
com que o protocolo de segurana

v contra esses ataques. No

entanto, um ainda mais extensa
anlise
de
segurana
numa
situao mais realista (um canal
imperfeito), bem como a derivao
do
ptimo
em
tais
circunstncias,

necessria.
Finalmente,
tambm
tm
demonstrado que as chaves de
autenticao protocolo pode ser
reutilizadas. No entanto, isto reduz
a segurana do protocolo.