Estudo Introdut rio do Protocolo Qu ntico BB84 para Troca o a Segura de Chaves

e F.L. Marquezino , J.A. Helay l-Neto (Orientador) Centro Brasileiro de Pesquisas Fsicas CCP - Coordenacao de Campos e Partculas Av. Dr. Xavier Sigaud 150 22.290-180 Rio de Janeiro (RJ)
franklin@serraon.com.br,helayel@cbpf.br

Abstract. This article presents a review on the BB84 quantum protocol, used for secure key distribution. The BB84 protocol uses Quantum Mechanics properties and is unbreakeable. A brief explanation on Classical Cryptography and the Vernam cipher is presented, as well as the mechanism of BB84 protocol. Some Cryptoanalysis techniques are described. The present situation of experimental Quantum Cryptography is also briey commented. The article aims at a better comprehension of Quantum Cryptography amongst brasilian students of Computer Science. Ideal conditions shall be considered, with perfect equipments and noiseless channels. However, further references shall be given, so that the reader may understand the general case. Resumo. Este artigo apresenta um estudo do protocolo quantico BB84 para troca segura de chaves criptogr cas. O protocolo BB84 utiliza propriedades a da Mec nica Qu ntica, o que o torna inviol vel. Uma breve explicacao sobre a a a a Criptograa Cl ssica e sobre o cifrador de Vernam e apresentada, assim como o a funcionamento do protocolo BB84. Algumas estrat gias de espionagem s o dese a critas. Tamb m e feito um breve coment rio da situacao experimental da Cripe a tograa Qu ntica atualmente. O artigo visa a uma maior divulgacao da Cripa tograa Qu ntica entre os estudantes brasileiros de Ci ncia da Computacao. a e Ser o consideradas condicoes ideais, com equipamentos perfeitos e canais sem a rudo. No entanto, dar-se- o refer ncias sucientes para que o leitor possa se a e aprofundar no caso mais geral.

1. Introducao
O protocolo BB84 foi criado por Charles Bennett e Gilles Brassard em 1984 [6], da o seu nome. Trata-se de utilizar propriedades da Mec nica Qu ntica para fazer uma Criptoa a graa completamente segura. Enquanto na Criptograa Cl ssica 1 a seguranca e baseada a
Bolsista PIBIC-CNPq no CBPF/MCT. Estudante do curso de Bacharelado em Ci ncia da Computacao e da Universidade Cat lica de Petr polis (http://www.inf.ucp.br). Membro do Grupo de Fsica Te rica Jos o o o e Leite Lopes. 1 Entender-se- Criptograa Cl ssica por Criptograa N o-Qu ntica, ou seja, sujeita as leis da a a a a ` Mec nica Newtoniana. Da mesma forma, por Computacao Cl ssica, entender-se- toda forma de a a a computacao que n o utiliza propriedades da Mec nica Qu ntica. a a a

em problemas computacionais que n o possuem solucao eciente hoje, mas que um dia a poder o ter, na Criptograa Qu ntica a seguranca e baseada nas leis da Fsica Qu ntica. a a a Apesar de o nome Criptograa Qu ntica j ter se tornado comum entre os pesa a quisadores da area, o protocolo BB84, na realidade, serve para troca segura de chaves. Este protocolo permite que duas partes (Alice e Beto) gerem uma chave secreta comum, sem a necessidade de um canal secreto previamente estabelecido. Ap s ser aplicado o o protocolo qu ntico, deve-se utilizar algum algoritmo cl ssico para troca da mensagem a a propriamente dita. Entretanto, neste caso, poder-se-ia utilizar o algoritmo de Vernam [13] (tamb m chamado de one-time pad), impossvel de ser violado, segundo Claude Shane non [3, 4], desde que a chave tenha o mesmo tamanho da mensagem e seja utilizada somente uma vez. Neste artigo ser explicado o funcionamento do protocolo em condicoes ideais, a em que o emissor consegue emitir f tons isolados em cada pulso, com polarizacao exatao mente conforme previsto pelo protocolo, sendo medido na base exata pelo receptor e, n o a menos importante, em canais sem rudo. A an lise do protocolo em canais com rudo e a com equipamentos imperfeitos n o e trivial, e n o ser relevante para os prop sitos deste a a a o artigo. Breves coment rios ser o feitos neste sentido, mas a leitura de [16] pode ser util a a para maiores detalhes. Na secao 2 estuda-se a Criptograa Cl ssica e sua seguranca [1]. Tamb m a e apresenta-se o algoritmo de Vernam. Na secao 3 s o explicados os postulados da a Mec nica Qu ntica e e feita uma breve demonstracao do no-cloning theorem. Na secao 4, a a apresenta-se o protocolo BB84. Na secao 5 s o tratados alguns casos simples de espio a nagem. Na secao 6, e feito um breve coment rio sobre a parte pr tica e experimental da a a Criptograa Qu ntica. a

2. Criptograa Cl ssica a
A Criptologia e uma ci ncia que aqui ser dividida em duas outras areas: a Cripto e a graa e a Criptoan lise. A Criptograa e a ci ncia que estuda formas de ocultar uma a e informacao, codicando-a para que s possa ser compreendida por pessoas autorizadas. o Por outro lado, algu m pode estar interessado em decodicar essa informacao mesmo e sem autorizacao. A area da Criptologia que estuda os m todos utilizados para alcancar e esse objetivo chama-se Criptoan lise. a Nos problemas estudados pela Criptograa existem dois personagens que desejam comunicar-se atrav s de um canal inseguro. Toda a comunicacao, entretanto, pode ser e 2 interceptada por um terceiro personagem (chamada Eve , neste artigo), que n o deveria a tomar conhecimento da informacao trocada. Para cifrar uma mensagem precisa-se de um algoritmo, e uma certa informacao adicional (chamada chave), al m, e claro, da pr pria e o mensagem. Para um sistema de Criptograa ser seguro ele deve ser tal que seja impossvel decifrar a mensagem cifrada (criptograma) sem a posse da chave. O criptograma pode at e ser lido, mas n o pode, em hip tese alguma, ter revelado seu conte do original. Na a o u pr tica, como esse requisito e muito difcil de ser alcancado, aceita-se que o sistema seja a
Em ingl s existe a palavra eavesdropper, que signica algo como bisbilhoteiro, e cuja pron ncia e u lembra o nome da vil Eve. a
2

muito difcil de ser quebrado, permitindo que a mensagem permaneca oculta pelo menos enquanto aquela informacao for importante. Os algoritmos criptogr cos podem ser divididos em duas categorias: os a sim tricos (ou de chave secreta) e os assim tricos (ou de chave p blica). Os primeiros e e u s o aqueles nos quais Alice e Beto compartilham a mesma chave. Possuem por m o ina e conveniente de ser necess rio um mensageiro de conanca para que Alice e Beto troquem a a chave. Os algoritmos assim tricos s o aqueles nos quais Alice publica uma chave que e a serve para cifrar as mensagens a ela enviadas, mas ao mesmo tempo possui uma chave privada, somente com a qual ela pode decodicar as mensagens recebidas. Estes, funcionam como uma caixa postal, onde qualquer pessoa pode colocar um envelope, mas somente o dono da caixa pode abri-la para ler a carta. O unico algoritmo perfeitamente seguro conhecido at hoje e o Cifrador de Ver e nam. Deve-se a Claude Shannon a prova da inviolabilidade deste procedimento, al m do e pr prio conceito de seguranca perfeita [3]. o 2.1. Cifrador de Vernam e a Tem-se uma mensagem , representada por uma sequ ncia de dgitos bin rios. A chave utilizada, , e do mesmo tamanho que a mensagem, e e tamb m representada por dgitos e bin rios, por m estes devem ser aleat rios. A mensagem cifrada, , e dada por: a e o

(1)

o onde representa soma m dulo 2. Isto e equivalente a fazer um XOR (OU-exclusivo) bit a bit entre a mensagem e a chave. Assim, como a chave e aleat ria, a mensagem cifrada tamb m o ser . As unicas o e a restricoes ao algoritmo s o, em primeiro lugar, usar uma chave do mesmo tamanho que a a mensagem a ser cifrada, e em segundo lugar, utilizar a chave somente um vez, trocando de chave a cada vez que uma nova mensagem for transmitida. Se a chave for utilizada mais de uma vez, Eve pode armazenar v rias mensagens e obter informacoes delas. Sejam , e a as mensagens cifradas, mensagens abertas (n o-codicadas) e a chave, respectivamente. a
    )#( '&%$#" !    

onde foi utilizada a propriedade comutativa de , bem como a propriedade do elemento neutro, , e a identidade . E importante observar que, utilizando duas mensagens cifradas com a mesma chave, Eve conseguiu obter informacao sobre as mensagens que n o depende da chave, por a tanto, n o e aleat ria. a o As restricoes tornam o cifrador de Vernam impratic vel para boa parte das a aplicacoes realsticas, j que para cada mensagem trocada e necess ria uma nova cha a a ve (que pode ser bastante grande), e para trocar essa chave e necess rio um mensageiro a con vel. N o adianta utilizar um algoritmo de chave assim trica para trocar a chave, a a e j que este n o seria infalvel, e quebrando-se este algoritmo, o Cifrador de Vernam j a a a estaria condenado.
 287650 0  0 4310 2

  

(2)

Entretanto, o protocolo BB84 permite a troca segura de chaves criptogr cas a quaisquer, e combinando-se isso com o algoritmo de Vernam, obt m-se uma Criptograa e absolutamente livre de espionagem. Classicamente isto n o e possvel, j que, apesar de a a existirem m todos cl ssicos para distribuicao de chaves em canais inseguros, nenhum dese a tes pode impedir a c pia da chave transmitida publicamente em um canal de comunicacao. o O funcionamento do protocolo BB84 ser exposto na secao 4. a 2.2. Seguranca Perfeita e a Inviolabilidade do Cifrador de Vernam Nesta secao ser o mostrados elementos que permitir o ao leitor provar a inviolabilida a a de do Cifrador de Vernam. Em primeiro lugar, deve-se denir o conceito de sistema criptogr co. a Denicao 1 Um sistema criptogr co e um quintupleto ( , , , , ) que satisfaca: i) a e o espaco das mensagens, ou seja, o conjunto nito de todas as mensagens possveis; ii) e o espaco dos criptogramas, ou seja, o conjunto nito de todos os criptogramas possveis; iii) e o espaco das chaves, ou seja, o conjunto nito de todas as chaves as possveis; iv) para cada existe uma regra de cifragem e uma regra de decifragem correspondente , tal que , e . Claude Shannon deniu o conceito de seguranca perfeita baseado na probabili dade de ocorr ncia dos elementos nos conjuntos , e . Com isso a Criptologia, que e antes era considerada pura arte, pode hoje ser considerada uma ci ncia. e Denicao 2 Para um sistema criptogr co possuir seguranca perfeita e necess rio que a a (3) .
g v Uuf% @ t 0 9c @yhq(xSSq( h0f`wHu0f` D v  9 D 0 g c g v t c A @ 9 5ihfYedYQ g g 0c G F c G bVa`UYQ 9 @ T G B PDIHF G C B A @ 9 @ XW9$UF V T G C8SGRQ D A ED8 A 9 D 0 q  sSrp0 @ 9

Ou seja, um sistema criptogr co possui seguranca perfeita se a probabilidade a a posteriori de uma mensagem (quando observado seu criptograma ) e igual a probabi ` lidade a priori de . Teorema 1 Um sistema criptogr co possui seguranca perfeita se e somente se a (4)
@ D v q yh9sSU g`h0)s` D 0 q vc g t vc v 0 0

onde seja, para todo e , deve ser independente de x. Prova Pelo teorema de Bayes e pela denicao de seguranca perfeita, tem-se que
gc`h)sc`hf` v g 0 t v g 0c g 0 t vc h)x g 0c g 0 hf`fh)ts` vc @yv D 9 D sS0

e 9 fydy!y7A @

Teorema 2 O sistema criptogr co ( , , , , ), onde a perfeitamente seguro se e somente se cada chave e utilizada com probabilidade .
g C B A @ 9

2v` g c

desde que

. e

gtuf` v 0c

g 0 9c hf% v` g c

ghf` 0c

onde

e denido por

e denido por

(5)

3. Alguns Flashes de Mec nica Qu ntica a a

Nesta secao ser o mencionados os postulados da Mec nica Qu ntica, fazendo ao nal a a a uma simples demonstracao do no-cloning theorem. O primeiro postulado, sobre o espaco de estados, ou espaco das conguracoes, diz que um sistema fsico isolado tem associado um espaco de Hilbert. O sistema fsico e totalmente descrito por um vetor de estado unit rio nesse espaco de Hilbert. Esses vetores a normalmente s o representados na notacao de Dirac, onde um vetor do tipo e escrito a como (sem a seta), ou simplesmente, (utilizando apenas o ndice, subentendendo se o nome). Estes s o chamados kets. O vetor transposto conjugado, por sua vez, e a representado por . D -se o nome a estes, de bras. O produto escalar entre vetores, a que equivale a multiplicar o transposto conjugado de um vetor por outro vetor, pode ser escrito , ou de forma mais simples, . Assim, para um estado qu ntico de dois nveis (os chamados qubits), onde pode-se a considerar a base computacional , os vetores de estado podem ser representados por , onde , e s o chamados de amplitudes. O quadrado a do m dulo da amplitude corresponde a probabilidade de um resultado quando for feita o . No exemplo anterior, existe uma uma medicao. Fica claro ent o que, a probabilidade de obter o resultado na medicao. O terceiro postulado ir falar a sobre medicoes, formalizando estes conceitos. A interpretacao e que enquanto um bit cl ssico s pode estar em um estado de a o cada vez, um bit qu ntico pode estar em uma superposicao de estados, como se valesse a zero e um ao mesmo tempo, com suas probabilidades relativas. O segundo postulado, sobre a evolucao temporal, diz que a evolucao de um sistema qu ntico fechado e descrita por uma transformacao unit ria. Se em o estado e a a e em e , ent o existe U unit rio tal que a a . depende apenas de e . Assim s o representadas as portas l gicas em Computacao Qu ntica. Por exemplo, o operador a o a unit rio equivalente a porta NOT cl ssica e a matriz de Pauli , pois a a e . Em um estado gen rico, e
H|UY2 t# u lt u u!~ t  r u t u lt  g u lt Y2 H|wH|cRrY2 ecRuH|Y2 eR g u t  g lt u t c  u t !~ &a~ t u u t Y2 H| u lt u ~ t r  l  u Y2 t } H|xY2 #{ u lt  u t   x D a  u lt u t  H|wY2 f4u!~ t   x s t u x trjw y u vn t t xnew u t y x tzrjw u  t t

e m n f1om"l

gc`Wue#kfc`WIfYj` v g 0 t v g c

 0

Fixando um constante, pode-se denir probabilidade de ocorr ncia da chave , que transforma a mensagem e . Como e constante, tamb m tem que ser constante, para e forma, .
d  g c dj` g v rfp p q gj`  c v v

onde (6)

(7). , como a no criptograma . Dessa

@ D yv

9 D s$#0 

g  c g 0 t e#0f`f#Hv` c

g  0 g 0 t v e#fc`f#Hc`

gc` v

gc` v

gifc v   0

Bs%F D G

wvH#f` g t  0c

#f` g 0c

g  0c G e#fd)F81v

@ !h7A

Prova Como chave , tal que

, para cada par , onde e , existe apenas uma , onde . Aplicando (3) e o teorema de Bayes, tem-se: (6) (7)

(8)

Em [8, 12] h estudos introdut rios sobre portas l gicas qu nticas e circuitos a o o a qu nticos. Em [9, 15] encontram-se explicacoes sobre a Equac ao de Schr dinger, utia o lizada para descrever a evolucao de um sistema qu ntico em tempo contnuo. a
P u h t

Uma medicao se caracteriza por um observ vel a a decomposicao espectral de .

, tal que

. Logo, existe

(9) s o seus autoa

Al m destes postulados, e importante conhecer o no-cloning theorem, para uma e boa compreens o dos protocolos qu nticos para Criptograa. Este teorema foi publicado a a por W.K.Wooters e W.H.Zurek, em um artigo da revista Nature de 1982 [17]. Aqui ser a mostrada apenas a impossibilidade de clonagem de estados qu nticos gen ricos. Para a e uma an lise completa do caso, recomenda-se a leitura do artigo da Nature. Inicia-se a a prova supondo que seja possvel criar uma m quina que receba dois qubits, nomeados A a , e o qubit B inicialmente e B. O qubit A, recebe um estado qu ntico desconhecido, a est em um estado puro padr o, a a (como se fosse uma folha em branco em uma m quina a de c pia xerogr ca). Deseja-se copiar esse estado o a para o qubit B. O estado inicial da m quina e ent o a a
u!~ t !~ t u uH t

O c lculo o produto tensorial n o ser abordado em detalhes, aqui. Basta, por a a a enquanto, saber que um registrador qu ntico e o produto tensorial entre dois ou mais a 3 qubits . Para a c pia ser possvel, segundo o segundo postulado da Mec nica Qu ntica, o a a deve haver um operador unit rio U que satisfaca: a . Mas para a m quina ser gen rica, ela deve servir para outro estado . Ou seja, a e . Fazendo o produto interno entre essas duas equacoes surge o importante resultado:
u t h hH h d5 g u t u t c !~ `!~ H E`!~ d5 u t u t g u t u t c  u h t

a E f cil perceber que as unicas solucoes para essa equacao s o a e , ou seja, quando , ou quando e s o ortogonais. A primeira solucao e a trivial. Logo, foi provado que uma m quina de clonagem qu ntica s e capaz de clonar a a o estados ortogonais. O protocolo BB84 utiliza f tons polarizados em bases n o ortogonais, o a portanto eles n o podem ser clonados. a
H registradores qu nticos que n o podem ser escritos como produto tensorial de seus qubits. Diz-se a a a que estes qubits est o emaranhados, pois est o de tal forma correlacionados, que n o podem ser descritos a a a individualmente.
3

wh t%ew u ~

lPh %ew u t ~

g u t ~ w c h %eiwh %ew u t ~

u!~ t

u h t

!~ h t u t u

onde

representa produto tensorial.

u !~ t

H u!~ t u t

t%e` ~ w g c

valores

O terceiro postulado diz que os valores possveis da medicao de , com a probabilidade .

7 2

(10)

(11)

4. Protocolo BB84
E bastante obvia a id ia de que a informacao cl ssica pode ser copiada facilmente. Basta e a que se pense em c pias de CDs e tas K7, bastante comuns hoje em dia. Por m uma o e das propriedades mais importantes da Mec nica Qu ntica e a impossibilidade de c pia a a o da informacao qu ntica, segundo o no-cloning theorem (vide secao 3). N ao se pode a nem mesmo obter informacao de um estado qu ntico gen rico, do qual n o se tenha co a e a nhecimento a priori, sem que se perturbe o sistema. Pode-se citar, ainda, o Princpio da Incerteza de Heisenberg, segundo o qual nao e possvel medir, com precis o inni a ta, certas grandezas complementares, como momento e posicao. Qualquer estudante de Mec nica Qu ntica necessariamente se depara com uma s rie de propriedades impondo a a e restricoes a forma de observar ou manipular a natureza. A id ia da Criptograa Qu ntica ` e a est justamente na utilizacao desta propriedades. a Para simplicar, o protocolo BB84 ser dividido em v rias etapas. Na primeira a a etapa, Alice ir enviar uma sequ ncia de bits4 aleat rios para Beto. Esse bits ser o ena e o a viados atrav s de f tons, que poder o estar em duas polarizacoes diferentes: retilnea (+) e o a o ou diagonal ( ). Na base retilnea, os f tons podem ser polarizados em 0 ou 90 graus. J na base diagonal, os f tons s o polarizados em 45 ou 135 graus. Associam-se valores a o a l gicos aos f tons polarizados. Por exemplo, zero para f tons polarizados em 0 ou 45 o o o graus, e um para f tons polarizados em 90 ou 135 graus. Para medir o f ton, Beto escolhe o o uma base aleatoriamente, sendo que ele s vai obter a informacao correta na medicao se o escolher a base certa (a mesma em que Alice polarizou o f ton). Se ele utilizar a base o errada, o resultado obtido ser aleat rio. Essa sequ ncia de bits obtidos por Bob, da mesa o e ma forma que a sequ ncia de bits enviados por Alice, e chamada freq entemente de raw e u key 5 . Naturalmente, a chave inicial de Alice e diferente da chave inicial de Bob, devi do as medicoes incorretas. De fato, a discrep ncia, sem espionagem, e de 25% de bits ` a incorretos. A segunda etapa do protocolo, chamada de reconciliacao de bases, e uma comunicacao p blica. Beto divulga as bases escolhidas por ele, sem revelar o resulta u do de sua medicao. Alice, ent o, informa para Beto qual polarizador ela utilizou em cada a f ton, mas n o qual o qubit que ela enviou. Alice e Beto mant m os bits cujas bases o a e corresponderam, e formam uma chave com eles (normalmente chamada de sifted key, ou chave ltrada). Esta etapa reduz a chave inicial pela metade. Apesar de 75% da chave inicial estar correta, somente 50% representa informacao, pois o restante corresponde a resultados aleat rios de quando Beto usou bases erradas para medir. Isso ainda car mais claro at o a e o nal do artigo, especialmente depois da secao sobre t cnicas de espionagem. e Finalmente, deve-se aplicar algoritmos cl ssicos para detectar a presenca de Eve, a e para corrigir possveis erros. Assim sendo, existe uma terceira etapa, para vericar se houve interceptacao da comunicacao por Eve, quando eles divulgam um subconjunto aleat rio da chave e comparam, vericando a taxa de erro. Essa taxa de erro e chamada o QBER (quantum bit error rate). Qualquer tentativa de captura da informacao, por parte de Eve, implica em mudancas nesta informacao, segundo a Teoria da Medida. Se for
4 5

Ou melhor, qubits, do ingl s: quantum bits, bits qu nticos e a Literalmente, chave crua. Neste artigo, ser chamada de chave inicial a

constatado que algu m tentou espionar a chave de Alice e Beto, eles podem voltar ao e incio do protocolo e fazer uma nova tentativa. Se n o for constatada espionagem, eles a descartam os bits utilizados na vericacao, e continuam o protocolo. Neste artigo, para simplicar, e dada enfase ao protocolo sob condicoes ideais. No entanto, em situacoes pr ticas o canal poderia ter rudo, ou os equipamentos utilizados a poderiam ter pequenos defeitos, de forma que o qubit chegasse a Beto um pouco diferente do qubit pretendido por Alice, introduzindo uma pequena taxa de erro. Para corrigir isso, dever-se-ia utilizar algum algoritmo de correcao de erros no nal. Esta seria a quarta etapa. Al m disso, Eve poderia aplicar alguma estrat gia de espionagem apenas em parte e e da comunicacao, obtendo uma pequena quantidade de informacao sobre a chave, mas induzindo uma taxa de erro menor ainda. Possivelmente, a chave iria passar pela terceira etapa, confundindo-se a espionagem maligna de Eve com o inocente rudo da natureza. Na quinta etapa, essa pequena informacao obtida por Eve deve ser reduzida a zero em um processo chamado amplicacao de privacidade (privacy amplication). Assim como na terceira etapa, a quarta e a quinta tamb m implicam reducao da e chave. Ent o e evidente que o n mero de f tons emitidos por Alice deve ser bem maior a u o que o tamanho da chave desejada. Claro que n o e obrigat ria a utilizacao do cifrador de a o Vernam. Existem outros cifradores bastante ecientes que poderiam ser utilizadas, sendo que, neste caso, a criptograa deixaria de ser infalvel. Com o exemplo a seguir, o funcionamento do protocolo car mais claro. a
Bits enviados Base Alice Base Beto Chave 1 + x 0 + + 0 0 x x 0 1 x x 1 0 + x 1 x + 1 + + 1 1 x x 1 0 x + 0 x x 0 1 + + 1 0 + x 1 + x 0 x + 1 + + 1

Tabela 1: Exemplo de distribuicao de chaves

Na tabela acima, pode-se ver na primeira linha a sequ ncia de bits aleat rios que e o Alice resolveu enviar para Beto. Na segunda linha, est o as polarizacoes que ela decidiu a usar. Na terceira linha, as polarizacoes com as quais Beto mediu cada f ton recebido. o Ap s Beto comunicar em um canal p blico as bases utilizadas para medicao, e Alice o u conrmar em quais casos ela utilizou a mesma base para polarizar o f ton, eles podem o montar uma chave somente com as medicoes corretas. No caso da tabela 1, ela ser a 00111011. Alguns bits, no entanto, s o perdidos nas pr ximas etapas, de correcao de a o erros e amplicacao de privacidade (quando se consideram canais com rudo). Natural mente, em situacoes pr ticas, a quantidade de f tons enviados seria muito maior que a do a o exemplo. Se Eve tentar interceptar os f tons enviados por Alice e medi-los, ir perturbar o o a importante lembrar que Eve n o pode sistema, e reenviar qubits danicados para Beto. E a a fazer c pias dos f tons antes de medir, e ao fazer uma medicao escolhendo a base errada, o o ela n o ir obter informacao. Eve tamb m n o pode adivinhar que polarizador ser usado a a e a a por Alice, pois estas escolhas s o totalmente aleat rias. a o No nal do protocolo, quando Alice e Beto compararem um subconjunto de sua sifted key, eles ir o perceber que alguns bits est o errados, mesmo Beto tendo medido a a na mesma base que Alice usou para polarizar o f ton. Isso signica que algu m intero e

ceptou o qubit, mediu na base errada, e reenviou para Beto. Alice e Beto podem ent o a descartar a chave e repetir o protocolo, at que consigam uma chave segura. Uma vez que e tenham conseguido trocar uma chave segura, eles podem utilizar o algoritmo de Vernam, e a mensagem estar infalivelmente cifrada. A vantagem e que percebe-se a presenca de a intrusos antes que alguma mensagem valiosa seja trocada. Ali s, e por isso que o protoa colo BB84 serve apenas para distribuir chaves, e n o para trocar mensagens: a vericacao a de seguranca s pode ser feita no nal do protocolo. o 4.1. Coment rios adicionais sobre o protocolo a Todo sistema de distribuicao de chaves precisa ter autenticacao. Caso contr rio, Eve a poderia mentir para Alice, passando-se por Beto, e da mesma forma, mentir para Beto, passando-se por Alice6 . O protocolo qu ntico qu ntico tamb m requer certos cuidados. a a e Uma possvel solucao, para evitar ataques man-in-the-middle no protocolo BB84, seria admitir que Alice e Beto compartilham um pequeno segredo inicialmente (uma pequena sequ ncia de zeros e uns). Esse segredo e usado para autenticacao no incio do protocolo, e quando ent o uma grade chave e gerada. Uma pequena parte dessa chave e guardada para a a pr xima secao. Sob este ponto de vista, o protocolo qu ntico de distribuicao de chaves o a funciona como um aumentador de segredo. Algumas outras estrat gias de espionagem e ser o comentadas mais adiante. a E interessante, ainda, citar uma aplicacao interessante para o one-time pad: o teletransporte cl ssico. Supondo que Alice possua um sistema cl ssico qualquer, desejaa a se transport -lo para Beto atrav s de um canal inseguro, sem que Eve tome conhecimento a e de seu estado. Se Alice e Beto inicialmente compartilharem uma chave arbitrariamente grande, isso seria possvel. Alice pode medir o sistema com precis o arbitr ria, e enviar o a a resultado dessa medicao atrav s do one-time pad. Beto, a partir dessa informacao, poderia e reconstruir o sistema. O teleporte qu ntico [7], descoberto em 1993, e uma t cnica que permite mover a e um estado qu ntico mesmo na aus ncia de um canal de comunicacao qu ntico. Assim a e a como no par grafo anterior foi feita uma comparacao entre o cifrador de Vernam e um tea letransporte cl ssico, pode-se tamb m fazer uma analogia entre o teletransporte qu ntico a e a e uma esp cie de Cifrador de Vernam Qu ntico. e a Inicialmente, Alice e Beto devem compartilhar uma quantidade arbitrariamente grande de qubits emaranhados. Esses qubits s o an logos a chave do cifrador de Vera a ` nam cl ssico. Sup e-se que Alice tenha uma sequ ncia de qubits representando uma a o e informacao, a qual deve ser enviada para Beto de forma segura. Ela n o pode medir o a sistema para extrair informacao cl ssica, pois fazendo isso os qubits sofreriam um co a lapso (vide secao 3). No entanto, Alice pode teletransportar esses estados para Beto, de forma que Eve n o tenha acesso. Beto, ao receber esses estados pode medi-los e obter a a informacao, ou talvez realizar alguma operacao no sistema antes.

5. Estrat gias B sicas de Espionagem e a

Este artigo e um estudo, voltado para estudantes de Ci ncia da Computacao, do protocolo e criado em 1984 no Canad . Mesmo assim, conv m mencionar algumas t cnicas de espia e e
6

Na literatura em ingl s este tipo de ataque e conhecido como man-in-the-middle attack [14]. e

onagem, para que se tenha uma nocao da seguranca real do protocolo. Para ser seguro o protocolo deve, em qualquer situacao, gerar uma chave segura ou informar a exist ncia e de espionagem aos usu rios, antes da troca da mensagem. a As t cnicas estudadas ser o a Interceptar-Reenviar e a de medicao na base intere a medi ria. a 5.1. Interceptar-Reenviar Nesta estrat gia, Eve intercepta todos os qubits vindos de Alice e os mede, escolhendo e uma base aleat ria. Depois disso, ela reenvia o qubit para Beto. Isto est representado no o a diagrama da (Fig. 1), na p gina 10. a

Figura 1: Casos possveis no BB84 sem espionagem

Nele est representado o caso trivial, onde n o h espionagem. Na reconciliacao a a a de bases, Alice e Beto ir o concordar somente nos casos (i) e (iv), onde ambos usam a a mesma base. Em (ii) e (iii) metade dos bits estar o corretos, mas mesmo assim ser o a a descartados, pois a informacao e aleat ria. o A sifted key, ent o, ter a metade do tamanho da chave inicial, e ao medir a taxa a a de erros, obter-se- zero ( a ). A partir da (Fig. 2) pode-se analisar as possibilidades quando existe espionagem.
8a4 2

Figura 2: Casos possveis no BB84 com espionagem

Na reconcilizacao de bases, Alice e Beto concordam em (i), (iii), (vi) e (viii). Os outros bits s o todos descartados. Os bits restantes correspondem a tabela 2. a `

Base utilizada por Alice Base utilizada por Eve Base utilizada por Bob Situacao correspondente Ocorr ncia na sifted key e

+ + + i 25%

+ x + iii 25%

x + x vi 25%

x x x viii 25%

Tabela 2: Composicao da sifted key em uma situacao de espionagem Interceptar Reenviar

Portanto, nesta estrat gia, Eve obt m 50% de informacao (para cada 2 bits da e e sifted key ela consegue 1 bit de informacao), correspondendo a primeira e a quarta coluna ` ` da tabela. Enquanto isso, introduz uma taxa de erros de 25% ( ), que corresponde as metades da segunda e terceira coluna da tabela. ` Claro que Eve poderia aplicar a estrat gia Interceptar-Reenviar em apenas alguns e f tons. Nesse caso, ela obteria menos informacao, mas introduziria uma pertubacao ainda o menor, podendo at ser confundida com o rudo do canal. Para evitar esse tipo de proe blema, Alice e Beto utilizam algum processo de amplicacao de privacidade, conforme mencionado anteriormente. 5.2. Medicao na Base Intermedi ria a Nesta estrat gia, em vez de Eve escolher as bases aleatoriamente, ela mede sempre em e uma mesma base, que n o e nenhuma das mencionadas anteriormentes, mas sim uma base a intermedi ria (Fig. 3). Para simplicar, as bases est o representadas gracamente, levandoa a se em conta apenas valores reais. Por m no caso mais gen rico, em que as amplitudes dos e e estados podem assumir valores complexos o m todo funciona da mesma forma 7 . Al m e e disso, e importante ressaltar a convencao feita aqui, segundo a qual representa o zero l gico da base intermedi ria e o a , o um l gico. o
u t $ t u d| 2 4

Mostrar-se- que essa t cnica n o apresenta vantagem para Eve, em comparacao a e a com o m todo Interceptar-Reenviar. Mesmo assim, e muito interessante teoricamente. e
} $ x #{ u t  u t

Reescrevendo as quatro bases tradicionais do BB84 na nova base na (Fig. 3), tem-se:
7

Mesmo no caso geral, em que as amplitudes do qubit s o n meros complexos, pode-se represent -lo a u a gracamente atrav s da esfera de Bloch. No entanto, esta representacao n o e utilizada aqui por quest es e a o did ticas. a

i v )

Figura 3: Base intermediaria

, vista

(12) (13) (14) (15)

Conclui-se que a probabilidade de Eve acertar o valor enviado por Alice, utilizando a base intermedi ria para medir seria: a
x

Calculando a probabilidade de Beto obter um resultado errado mesmo usando a base supostamente correta (a mesma usada por Alice), encontra-se o QBER produzido por Eve ao utilizar essa estrat gia de espionagem. N o e difcil perceber que e a . At aqui pode parecer que esta estrat gia e mais eciente (sob o ponto de vista e e de Eve). Anal, o QBER produzido e o mesmo, e Eve tem uma probabilidade maior de acertar a medicao (cerca de 85% contra 75% do Interceptar-Reenviar). Por m a an lise e a do ganho de informacao por bit da sifted key revela que:
h4 d| 2 g 8wSr` l c

onde H e a funcao de entropia. Esta, e denida como uma funcao de uma distribuicao de probabilidades, , da forma:
 Ydzp (Pg g j    #j ' c g j  )#j 

A entropia de Shannon e um conceito importantssimo para a Teoria da Informacao, e serve para medir a incerteza acerca de um determinado sistema fsico, ou, equivalentemente, a quantidade de informacao ganha ao medir este sistema. Ent o, este m todo n o traz vantagens para Eve, j que ela ganharia 0.399 bit a e a a de informacao por bit da sifted key, contra 0.5 do m todo Interceptar-Reenviar. H uma e a diferenca sutil entre acertar a medicao e obter informacao. Deve-se notar que se Eve utiliza o m todo Interceptar-Reenviar, em 50% dos casos e n o h informacao (os resultados s o aleat rios). Entretanto, nos outros casos (50% da a a a o sifted key) a informacao e determinstica. Por outro lado, ao medir na base intermedi ria a o resultado e sempre probabilstico.

287dzk#x5zz 0 0

2 2 adzw2

convencionando-se que

u$ zi t d2 t t u u

. Pode-se notar que

dd

g c l '

a priori

a posteriori

u$ t

u$ t du t u$ du t t 2

zi'$ t drd2 t u u ` dHy u l ziS|t u l zi)|t 8

(16)

(17) (18)

(19) .

6. Quest es Tecnol gicas o o

A primeira experi ncia em Criptograa Qu ntica foi realizada em um laborat rio da IBM, e a o em 1990, com os resultados sendo publicados somente em 1992 [5]. A dist ncia era de a apenas 30cm, mas ainda assim o resultado foi muito importante. Na pr tica, o que se procura s o dist ncias muito maiores (da ordem de km), a a a ou muito menores que 30cm. Esta ultima situacao n o e muito obvia, por m o artigo a e [2] mostra aplicacoes para Criptograa Qu ntica onde Alice e Beto devem estar muito a pr ximos, como e o caso de um cart o de cr dito e a m quina ATM, por exemplo. o a e a Os experimentos em Criptograa qu ntica podem ser realizados com espaco livre a ou bras oticas, sendo as ultimas o caso mais comum atualmente. Tendo escolhido o canal qu ntico, deve-se escolher o comprimento de onda dos f tons que ser o utilizados, a o a para haver compatibilidade entre os emissores e os detectores. Existem duas opcoes: f tons com 800nm, ou f tons na faixa de 1300 at 1500nm. o o e Os primeiros apresentam a vantagem de serem compatveis com contadores de f tons o ecientes j disponveis no mercado, mas t m a desvantagem de precisarem de bras a e especiais ou espaco livre, j que n o s o compatveis com as bras oticas mais co a a a muns. Os ultimos t m compatibilidade com as bras oticas utilizadas atualmente em e telecomunicacoes, mas precisam que sejam desenvolvidos contadores de f tons mais e o cientes. Tamb m t m a vantagem de possurem uma atenuacao bem menor. Enquanto os e e , f tons com comprimento de onda na faixa dos 800nm t m sofrem atenuacao de 2 o e os f tons com cerca de 1300nm sofrem atenuacao de 0.20 at 0.35 o e . Caso desejese utilizar espaco livre, o melhor comprimento de onda e 800nm, que neste caso coincide com uma baixa atenuacao. Atualmente a distribuicao qu ntica de chaves atinge dist ncias consider veis. Na a a a Suca foi realizado um experimento sob o lago de Genebra, trocando chaves entre os 23km que separam as cidades de Nyon e Genebra. Para isso foi utilizada bra otica da empresa de telecomunicacoes Swisscom, do mesmo tipo usado em telefonia convencio nal. Recentemente, tamb m na Suca, foi realizado um experimento ligando dois pontos e separados por 67km [11]. Algumas empresas, como a suca Id Quantique e a americana MagiQ Technologies, j est o at mesmo comecando a explorar a Criptograa Qu ntica a a e a comercialmente.
Rd5Q Rd5Q

7. Conclus es o
Neste artigo, o protocolo BB84 foi apresentado de forma resumida e voltada para estudantes de Ci ncia da Computacao. Mostrou-se como o protocolo pode ser usado por duas e partes, Alice e Beto, para derivar uma chave secreta comum, sem a necessidade de estabelecer um canal secreto a priori. Claramente, o protocolo BB84 funciona com absoluta seguranca sob condicoes ideais, onde Beto e Alice possuem equipamentos perfeitos e se comunicam em um canal sem nenhum rudo. Al m disso, o emissor deve ser capaz de en e viar um unico f ton por pulso. Se ele enviar um feixe com pelo menos dois f tons, existe o o a possibilidade de que Eve possua uma tecnologia mais avancada, que permita dividir o feixe, medindo um qubit e enviando outro inalterado para Beto. Estas restricoes s o muito difceis de serem satisfeitas na pr tica. Por isso, a a

procura-se entender o comportamento do protocolo mesmo em condicoes n o ideais, es a tudando v rias formas de criptoan lise. Para cada forma de criptoan lise que se descobre, a a a tenta-se solucionar o caso adicionando processos extras ao protocolo, como c digos de o correcao de erro e amplicacao de privacidade, por exemplo. Mesmo com estas difulda des t cnicas, decorrentes do desao inerente a manipulacao de sistemas qu nticos, podee ` a se constatar que a Criptograa Qu ntica tem tido grades avancos nos ultimos anos, cada a vez mais deixando os laborat rios para, efetivamente, servir a sociedade. o ` An lises mais profundas da Criptograa Qu ntica em canais com rudo, ou com a a equipamentos imperfeitos, fogem do escopo deste texto. O artigo [16] pode ser de grande utilidade para quem pensa em se aprofundar nessa area, e o artigo [10] pode ser igual mente interessante, por mostrar t cnicas para se provar seguranca incondicional em Cripe tograa Qu ntica. a

Agradecimentos
Este trabalho teve o suporte nanceiro do Conselho Nacional de Desenvolvimento Cientco e Tecnol gico (CNPq), atrav s de uma bolsa de Iniciacao Cientca no Centro o e Brasileiro de Pesquisas Fsicas (CBPF). O autor agradece ao Prof. J.A. Helay l-Neto e ao e Dr. J.L. Acebal pelo trabalho de orientacao e pelas discuss es. Especiais agradecimentos o tamb m s o feitos ao Prof. R. Portugal (LNCC) pelos cursos, pelas discuss es e pelo e a o incentivo.

Refer ncias e
[1] A. Menezes, P. van Oorschot and S. Vanstone, Handbook of Applied Cryptography. CRC Press, Inc (1996). Disponvel em <http://cacr.math.uwaterloo. ca/hac>. [2] B. Huttner, N. Imoto and S.M. Barnett, Short distance applications of quantum cryptography, J. Nonlinear Opt. Phys. Mater. 5, (1996) pp.823-832. [3] C.E. Shannon, A Mathematical Theory of Communication, Bell System Technical Journal, July (1948) p.379; October (1948) p.623. [4] C.E. Shannon, Communication Theory of Secrecy Systems. Bell System Technical Journal, vol.28-4, (1949) pp.656-715. [5] C.H. Bennett, F. Bessette, et al., Experimental quantum cryptography. J. Cryptology, 5 (1992) 3-28. [6] C.H. Bennett and G. Brassard, in Proceedings of the IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India. (1984) pp.175-179. [7] C.H. Bennett, G. Brassard, C. Cr peau, R. Jozsa, A. Peres and W.K. Wooters, Telee porting an unknown quantum state via dual classical and Einsteins-Poldosky-Rosen channels, Phys. Rev. Lett. 70 (1993) pp.1895-1899. [8] C. Lavor, L.R.U. Manssur and R. Portugal, Grovers Algorithm: Quantum Database Search. (2003) Disponvel em <http://www.arxiv.org/quant-ph/ 0301079>.

[9] C.P. Williams and S.H. Clearwater, Explorations in Quantum Computing, The Electronic Library of Science, California (1997). [10] D. Mayers, Unconditional Security in Quantum Cryptography, Journal of the Association for Computing Machinery. Vol.48, No.3, (2001) pp.351-406. [11] D. Stucki, et al., Quantum Key Distribution over 67km with a plug&play system. New Journaul of Physics, No.4, (2002) p.41. [12] F.L. Marquezino and R.R. Mello Junior, An Introduction to Logical Operations on Classical and Quantum Bits. (2004) Disponvel em <http://www.arxiv.org/ physics/0404134>. [13] G.S. Vernam, Cipher Printing Telegraph Systems for Secret Wire and Radio Telegraphic Communications, Journal American Institute of Electrical Engineers, v.XLV, (1926) pp.109-115. [14] K.G. Paterson, F. Piper and R. Schack, Why Quantum Cryptography?. (2004) Disponvel em <http://www.arxiv.org/quant-ph/0406147>. [15] M.A. Nielsen and I.L. Chuang, Quantum Computation e Quantum Information, Cambridge University Press (2000). [16] N. Gisin, G.Ribordy, W. Tittel and H.Zbinden, Quantum Cryptography, Reviews of Modern Physics, 74, (2002) pp.145-195. [17] W.K. Wooters and W.H. Zurek, A single quantum cannot be cloned, Nature, 299, (1982) pp.802-803.