Computación Cuántica vs
Criptografía Cuántica: Amenazas y soluciones a la
seguridad de la información actual
Verónica Fernández Mármol Instituto de Tecnologías Físicas y de la Información (ITEFI)
Consejo Superior de Investigaciones Científicas (CSIC)
http://www.itefi.csic.es/
¿Qué tienen de especial los
ordenadores cuánticos?
Superposición de estados. Propiedad de un sistema cuántico de encontrarse
en varios estados simultáneamente
Gato de Schrödinger
hυ 1
0
hυ
hυ
Entrelazamiento cuántico.
Propiedad de
dos (o más)
objetos de ser
descritos
respecto al
otro, aunque
se encuentren
separados
espacialmente
Entrelazamiento cuántico
“Acción fantasmal a distancia”
1( )
2A B A B
Cristal no lineal
λp
A B
D-Wave, 2000Q
ENIAC Universidad de Pensilvania, 1946
Transistor Laboratorios Bell, 1947
¿Transistor cuántico?
Sistema de dos niveles
ó QUBIT
Sistema de dos niveles
ó QUBIT
e- e- e-
0 y 1 0 1
Qubit
Ejemplos: Polarización de fotones (vertical y horizontal), spin
nuclear ó spin atómico (hacia arriba y hacia abajo),unión de
Josephson (corriente a derechas y corriente a izquierdas), etc.
Registro cuántico Registro clásico
000
001
010
011
100
101
110
111
Ej.: Registro de 3 bits
000
001
010
011
100
101
110
111
Almacena 23
estados
simultáneamente 000
Registro cuántico
111
Si aumentamos el número de electrones en superposición
a 250...almacenaría 2250 estados simultáneamente!
(¡Más que átomos en el universo!)
Ej.: Registro de 3 bits
¿Por qué la
computación
cuántica supone
una amenaza?
2
Tipos de criptografía
Criptografía simétrica
o
clave secreta
Una sola clave
Debe mantenerse en
secreto
AES Advanced Encrytpion Standard
ejemplo
paradigmático
¿Es seguro AES?
Longitud
128, 192 y 256 bits
Son muy rápidos
Discos duros
Base de datos
Audio y vídeo
Comunicaciones de red
Cifran cantidades grandes
de información
Diffie y Hellman (1976) Algoritmo de Diffie-Hellman
Criptografía asimétrica
o
de clave pública
RSA (1977)
Rivest, Shamir y Adleman
2
claves: pública y privada
Clave pública
la conoce todo el mundo
Clave privada
sólo la conoce una
persona
Cifrar
Clave
púb
Descifrar Claro Claro Cifrado
Clave
priv
1024
bits de longitud
mínima
Son muy lentos
Cifran cantidades
pequeñas
Claves secretas
Cifrar
Clave
púb
Descifrar
Clave
priv
Ks Ks EKpub(Ks)
¿En qué se basa su
fortaleza?
Problema de la
factorización
¿Factores de 15?
3 x 5
¿Factores de 391?
17 x 23
Retos RSA
512-bit en 1999,
663-bit en 2005,
y 768-bit en 2009
Último reto RSA 768 bits en 6 meses en 80 PCs
¿Es seguro RSA?
Claves:2048 a 4096
¿Cuánto se tarda en
hacer operaciones
matemáticas?
Sumar dos números de
N bits
Tiempo lineal: O(N)
Multiplicar dos
números de N bits
52
Tiempo cuadrático: O(N2)
53
Factorizar un número
de N bits
54
Tiempo exponencial: O(eN)
55
0 2 4 6 8 100
200
400
600
800
1000
1200
lineal
pol
exp
No se ha probado que
factorizar sea “difícil”…
Problema difícil, pero
¿imposible?
¿Ordenadores cuánticos?
¿Podrán resolver en
tiempo polinómico
problemas intratables?
¿Cómo funcionan los
ordenadores?
Puertas lógicas
NOT
AND
OR
XOR
NAND
entrada salida
Suma de dos bits
+ 0 1
0 00 01
1 01 10
Suma = x XOR y 0 0 0
0 1 1
1 0 1
1 1 0
Acarreo = x AND y 0 0 0
0 1 0
1 0 0
1 1 1
x
y suma
acarreo
¿Pueden usarse
estados cuánticos?
Bit 0:
Bit 1:
0
1
Bit 0:
Bit 1:
0
1Qubits
10 ba
Pueden existir como una
superposición de estados
Computación clásica
)(xfy
ordenador
clásico 1011 0101
Computación cuántica
)1()0(10 fbfabaf
La función f se evalúa
para ambos valores a
la vez
0+0
0+1
1+0
1+1
x y
suma
acarreo
+ 0 1
0 00 01
1 01 10
Salida: superposición de
todas las posibles respuestas
Entrada: superposición de
todas las posibles estados
ordenador
cuántico
0000
0001
0010
0011
0100
0101
0110
0111
1000
1001
1010
1011
1100
1101
1110
1111
0100
1111
0010
0011
0001
0101
0110
1101
1000
0111
1010
1011
1100
1001
0000
1110
Capacidad de
computacion en paralelo
de 2N estados
La medida obtendrá un
resultado aleatorio
¿Cómo obtener
resultados útiles?
Las puertas lógicas
anteriores no sirven
con estados cuánticos
AND, OR, XOR son
irreversibles
Pérdida de información
Puertas cuánticas
reversibles
Mismo nº de entradas y
salidas
NOT
CNOT
Control 1 Cambia el blanco
Control 0 No cambia el
blanco
Control 0
Control 1
1011
1110
0101
0000
Cualquier función se
puede realizar a partir de
puertas CNOT y puertas
de qubits individuales
Puertas de qubits
individuales
Puerta Hadamard,
Puerta de desplazamiento
de fase
Problema
búsqueda en la guía
telefónica
N/2 búsquedas en
promedio
¿Puede ayudar la
mecánica cuántica?
Algoritmo de Grover
0 X
1 R
2 P
3 A
contrario casoen ,0)(
Pa ecorrespond si,1)(
xf
xxf
1)2( f
Paso 1: Superposición
de todas las x posibles
11,10,01,00
)10(2
1)10(
2
1
e-
0 y 1
e-
0 y 1
112
110
2
101
2
100
2
1
1/2 1/2 1/2 1/2
|00> |01> |10> |11>
1/2 1/2
-1/2
1/2 m=1/4
1
Inversión sobre
la media l*=m-(l-m)=2m-l
l: longitud diente
Oráculo si f(x)=1, invierte la fase
100%
probabilidad de
encontrar la respuesta
correcta
Lista con 16 elementos…
4 qubits
…|0010>…
1/4
1/4
-1/4
7/32
3/16
11/16
47,2%
probabilidad de
encontrar la respuesta
correcta
3/16
11/16
3/16
-11/16
17/128
5/64
61/64
90,8%
probabilidad de
encontrar la respuesta
correcta
¿Cuántas iteraciones
para 100%?
4
N
0 200 400 600 800 10000
200
400
600
800
1000
lineal
raiz
Guía telefónica con
1 millón de nombres
11
días con algoritmos
clásicos
15
minutos con algoritmo
de Grover
Impacto en criptografía
Búsqueda exhaustiva
de claves
Amenaza a la criptografía
simétrica
¿Qué pasa con la
asimétrica?
Problema de la
factorización
Tiempo exponencial
¿Puede acelerarse
cuánticamente?
Algoritmo de Shor
Transformada de
Fourier
1, 2, 3, 4, 1, 2, 3, 4, 1, 2, 3, 4, …
periodo = 4
71=7,
72=49,
73=343,
74=2401,
75=16807,
76=117649,
77=823453,
…
mod 15
7, 4, 13, 1, 7, 4, 13, …
Exponenciación
modular
ax mod N
Si la periodicidad es
par se pueden calcular
los factores de N
m.c.d (aq/2 + 1, N)
m.c.d (aq/2 – 1, N)
(a<N y no tiene factores comunes con N)
Ejemplo
N=15, a=7 q=4¿factores?
m.c.d (74/2 - 1=40, 15)=3
15 = 3 x 5
m.c.d (aq/2 + 1, N)
m.c.d (74/2 + 1=50, 15)=5
m.c.d (aq/2 - 1, N)
Las puertas lógicas cuánticas
sí son rápidas buscando
periodicidades
QFT
Paso 1 Registro de c > N estados en
superposición
Ej.: Registro con c= 24 =16 estados en
superposición
|00…000> + |00…001> + |00…010> +…+ |11…110> + |11…111>
16 estados en superposición (de 0 a 15)
Paso 2
Registro de c qubits a |0>
000000
Paso 3 Elegir un número a < N al azar y
primo con N (a=7)
ax mod N
|0>|0>+|1>|0>+|2>|0>+|3>|0>+|4>|0>+|5>|0>+|6>|0>+… 1er registro 2º registro
N=15
a=7
|0>|1>+|1>|7>+|2>|4>+|3>|13>+|4>|1>+|5>|7>+|6>|4>+…
Medida en 2º registro
|1>|7>+|5>|7>+|9>|7>+|13>|7>+…
Transformada Fourier
período = 4
x ax mod N
Registro de todos los x está en superposición
Calculo de axmod N se realiza en paralelo
Tiempo polinómico
Tiempo en factorizar
N
¿El fin de la criptografía
clásica?
Cifrado de Vernam
Secreto perfecto
1 0 0 1 1 1 1 0 1 0 0
0 0 1 0 1 1 0 0 0 1 0
1 0 0 1 0 0 1 0 1 1 0
kme
Matemáticamente
100% seguro …
… si se utiliza una sola
vez
… si la clave es 100%
aleatoria
… y la clave es
tan larga como el
mensaje
¿Cómo generar claves
aleatorias de manera
segura?
Distribución cuántica de
claves
Detecta la presencia
de un intruso
Basada en las leyes de la
Física Cuántica
Principio de Incertidumbre de Heisenberg
Heisenberg
2x p
Rectilínea Circular
Alice quiere mandar una secuencia aleatoria a Bob
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Alice utiliza aleatoriamente
las bases:
Rectilínea Circular
Bases
ALICE
Protocolo BB84
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Alice utiliza uno de los cuatro posibles estados de
polarización para codificar sus estados
0 1 0 1
Polarización
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Polarización
Alice manda su secuencia de
fotones aleatoriamente codificados a
Bob BOB
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Polarización
BOB
No todos los fotones que manda Alice
son recibidos por Bob. Algunos se
pierden como consecuencia de la
absorción del canal cuántico
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Polarización
BOB
Bob utiliza la base circular o
rectilinea de forma aleatoria
para medir los fotones
recibidos Rectilínea Circular
Protocolo BB84
ALICE
O divisor por polarización (PBS)
Prisma de Wollaston
0 1 PBS PBS
Detector 0
Detecta ‘0’ con 100% de
probabilidad
Protocolo BB84
De
tec
tor 1
Detecta ‘1’ con 100%
probabilidad
Detector 0
Base rectilínea Base rectilínea
De
tec
tor 1
0 1 PBS
Protocolo BB84
‘0’ o ‘1’ con 50% probabilidad
PBS
Detector 0
De
tec
tor 1
Detector 0
De
tec
tor 1
Base rectilínea Base rectilínea
Incertidumbre 2
x p
0 1 PBS PBS
l/4 l/4
Protocolo BB84
‘0’ con 100% probabilidad ‘1’ with 100% probabilidad
Detector 0
De
tec
tor 1
Detector 0
De
tec
tor 1
Base circular Base circular
0 1 PBS PBS
l/4 l/4
Protocolo BB84
Detector 0
De
tec
tor 1
Detector 0
De
tec
tor 1
‘0’ o ‘1’ con 50% probabilidad
Base circular Base circular
Incertidumbre 2
x p
• 4 tipos de medidas:
+ • 2 deterministas:
+
+ • 2 ambiguas:
+
Protocolo BB84
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Polarización
BOB
Por cada fotón recibido
Bob mide aleatoriamente
con la base rectilínea o
circular Rectilínea Circular
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
Polarización
BOB
Bases
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
BOB
Polarizción
Bases
0 0 0 0 1 1 1 0 1 1 0 0
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
BOB
Bases
0 0 0 0 1 1 1 0 1 1 0 0
Protocolo BB84
ALICE
1 1 0 1 0 0 0 1 1 0 0 1 0 1 1 0 Secuencia
aleatoria
Bases
BOB
Bases
0 0 0 0 1 1 1 0 1 1 0 0
Alice y Bob comparan las bases a través de un
canal público
Protocolo BB84
ALICE
0 0 0 1 1 0 1 0
0 0 0 1 1 0 0 1
0 1
1 1 1 0
1
0 1
0
1 0 Secuencia
aleatoria
BOB
Bases
Alice y Bob desechan los bits que en los
que no han utilizado la misma base
Protocolo BB84
ALICE Bases
0 0 0 1 1 0 1 0
0 0 0 1 1
0 0 1 0 Secuencia
aleatoria
BOB
Bases
Protocolo BB84
ALICE Bases
Y en los que Bob no midió ningún fotón
0 0 0 1 1 0 1 0
0 0 0 1 1 0 1 0
BOB
Bases
Secuencia
aleatoria
Bases
Protocolo BB84
ALICE
0 0 0 1 1 0 1 0
0 0 0 1 1 0 1 0
BOB
0 1 0 1 1 0 0 0
Alice y Bob nunca revelan el valor del bit en su
discusión
Protocolo BB84
ALICE
Dejando una secuencia
común final
Canal cuántico
Canal clásico cuántico
¿Qué pasa si espían el
canal?
Alice (Emisor)
Bob (Receiver)
¿Pueden Alice y Bob detectar la presencia de un intruso
en el canal cuántico?
Sí Un intruso introducirá un error detectable
por Alice y Bob
Eve
Error que introduce el intruso
Alice Eve Bob
No
No
Sí, 1/2
Sí, 1/2
𝑷𝒆𝒓𝒓𝒐𝒓 =𝟏/𝟐+𝟏/𝟐
𝟒=1/4
• Dos partes: Alice (emisor) & Bob (receptor)
• Dos canales de comunicación: cuántico y clásico
• Canal cuántico utiliza fotones individuales
• Canal clásico discusión post procesamiento
• Utiliza bases no ortogonales
• Imposible distinción determinista Principio de Incertidumbre de Heisenberg
Descarta los
siguientes bits ¿Bases?
Canal cuántico
Canal clásico público
Resumen QKD
Fotones individuales
Discusión post procesamiento
Bob (Receptor)
Alice (Emisor)
• Dos partes: Alice (emisor) & Bob (receptor)
• Dos canales de comunicación: cuántico y clásico
• Canal cuántico utiliza fotones individuales
• Canal clásico discusión post procesamiento
• Utiliza bases no ortogonales
• Imposible distinción determinista Principio de Incertidumbre de Heisenberg
• Detección de un espía!
Discard the
following bits ¿Bases?
Canal cuántico
Canal clásico público
Resumen QKD
Fotones individuales
Discusión post procesamiento
Bob (Receptor)
Alice (Emisor)
Canal de transmisión
Fibra óptica
(l ~ 1550 nm) IdQuantique (Suiza)
• NEC (Japón)
• NTT (Japón)
• Toshiba (Reino Unido, Japón)
• SeQureNet (Francia, variables
continuas)
• AIT (Austria, pares entrelazados)
• Quintessence (Australia, variables
continuas)
• Qasky (China)
Además de muchos
laboratorios de desarrollo.
Records:
Distance: 250 km
Secret Key: 1 Mbps at 20 km
Sistemas comerciales y records
mundiales (Fibra óptica)
Las copias no están
permitidas en el mundo
cuántico
hυ
hυ
hυ
Consecuencia de
No cloning
hυ
hυ
hυ
No se pueden utilizar amplificadores ópticos
Repetidores cuánticos
Canal de transmisión
Aire VENTAJAS:
No dispersivo
No birrefringente
Ventanas de transmisión compatibles con
tecnologías de detección comerciales: Silicio e
InGaAs
Comunicaciones globales a través de satélite
DESVENTAJAS:
Dependiente de condiciones meteorológicas
Línea de visión directa
Afecta la turbulencia atmosférica
Comunicación global segura
Alice Bob
Comunicaciones
cuánticas en espacio libre
Alice Bob
Aplicaciones de larga distancia:
Comunicaciones cuánticas por satélite
Aplicaciones de corta distancia Redes metropolitanas. Aumentar BW en
puntos con baja conectividad
Conexiones LAN to LAN
Conexion entre puntos de dificil acceso
Reconexión en caso de desastres
naturales, etc.
Entornos militares
• Ventajas Facilidad de instalación
Portabilidad
Bajo coste (No licencias)
• Inconvenientes x Dependencia meteorología
x Turbulencia
Sistemas de comunicaciones
cuánticas en aire
Emisor: Alice
Receptor: Bob
Instituto de Tecnologías Físicas
y de la Información (ITEFI)
Enlace a 300m
Instituto de Ciencias Agrarias
Alice
Bob
Enlace de 300 metros
Instituto de Ciencias
Agrarias (CSIC)
Instituto de Tecnologías Físicas y de
la Información (CSIC)
Link de QKD en espacio libre 300m
Velocidad de clave segura:
700 kbps (día)
1Mbps (noche)
M. J. García-Martínez, N. Denisenko, D. Soto, D. Arroyo, A. B. Orue y V. Fernandez,
«High-speed free-space quantum key distribution system for urban daylight
applications,» Applied Optics, 52, (14), pp. 3311-3317, (2013)
Limitación: Turbulencia y radiación solar
1 orden de
magnitud
Not corrected beam
Corrected beam
Alberto Carrasco-Casado, Natalia Denisenko and Veronica Fernandez, Optical Engineering, 53 (8), 084112,
(2014)
Efecto radiación ambiental
A.Carrasco-Casado, N. Denisenko, V. Fernandez, Microwave and Optical Technology Letters, 58,(6), 1362-1364, (2016)
Beam wander
Efectos de la atmosfera en
haces ópticos
239
Beam spreading
Beam spreading aumenta tamaño del haz
Beam wander causa deflexiones aleatorias del haz
Scintillation causa signal fading (no afecta QC a corta
distancia pero sí a largas: satélite)
Scintillation
Corrección de efectos de turbulencia atmosférica
240
(Fast Steering Mirror)
(Proportional-Integrative-
Derivative)
(Position Sensitive Detector)
Corrección a 100 m
241
Corrección: reducción de area en 9 veces
90% reducción en QBERbackground
Corrección a 100 m
243 Aumento de la tasa segura de clave ~ hasta en 1 orden de magnitud
Trabajo presente y futuro
Pruebas a 2 km
(enlace MINECO-
CSIC)
246
300m
2 km
ITEFI
MINECO
Integración del sistema de
corrección en el sistema de
comunicaciones cuánticas
Retos QKD • Global QKD:
• Fibra óptica: limitación en distancia y
velocidad
• Desarrollo de repetidores cuánticos
• Mejorar eficiencia de los protocolos, mejores
detectores, etc.
• Futuro Quantum Internet
• Espacio libre: corrección turbulencia
atmosférica, efecto luz solar
• Sistemas de óptica activa (redes metropolitanas)
• Sistemas de óptica adaptativa (satélite)
Últimos avances en
computación cuántica
Algoritmos de Optimización
Aprendizaje de máquinas
Laboratorio de
Inteligencia Artificial basado
en computación cuántica
D-Wave NO es un
ordenador universal
No puede hacer el
algoritmo de Shor
4 MARCH 2016
Factorización 15 con 5 qubits
Sistema escalable
Conclusiones • Computación cuántica grave amenaza
para la seguridad de información a
medio plazo (pero hay que proteger la
información sensible hoy)
• Solución para la distribución segura de
claves: distribución cuántica de claves
• Retos: Aumentar distancia y velocidad • Repetidores cuánticos, satélite, etc.
• Futuro: constelaciones de satélites e Internet
Cuántico…
Gracias
ACKNOWLEDGEMENTS
We would like to thank Ministerio de Economía y Competitividad, project TEC2015-70406-R (MINECO/FEDER, UE) and Fondo Social Europeo
through Programa Operativo de Empleo Juvenil and Iniciativa de Empleo Juvenil awarded by Consejería de Educación, Juventud y Deporte of
the Comunity of Madrid.