양자키 분포

양자 키 분배(QKD)는 양자 역학의 구성 요소를 포함하는 암호화 프로토콜을 구현하는 보안 통신 방법입니다. 이를 통해 두 당사자는 자신에게만 알려진 공유 무작위 비밀 키를 생성한 다음 메시지를 암호화하고 해독하는 데 사용할 수 있습니다. 양자 키 분배 과정은 양자 암호화 작업의 가장 잘 알려진 예이기 때문에 양자 암호화와 혼동해서는 안 됩니다.

양자 키 분포의 중요하고 독특한 특성은 두 통신 사용자가 키에 대한 지식을 얻으려는 제3자의 존재를 감지할 수 있다는 것입니다. 이것은 양자역학의 근본적인 측면에서 비롯됩니다: 일반적으로 양자계를 측정하는 과정은 계를 교란시킵니다. 키를 도청하려는 제3자는 어떤 식으로든 키를 측정해야 하므로 감지 가능한 이상 현상이 발생합니다. 양자 중첩 또는 양자 얽힘을 이용하여 양자 상태로 정보를 전송함으로써 도청을 감지하는 통신 시스템을 구현할 수 있습니다. 도청 수준이 특정 임계값 이하인 경우 안전이 보장되는 키를 생성할 수 있습니다(즉, 도청자는 이에 대한 정보가 없습니다). 그렇지 않으면 보안 키를 사용할 수 없으며 통신이 중단됩니다.

양자키 분포를 이용한 암호화의 보안성은 양자역학의 기초에 의존하며, 기존의 공개키 암호화는 특정 수학적 함수의 계산 난이도에 의존하는 것과 달리, 그리고 사용된 단방향 함수를 뒤집는 실제 복잡성에 대한 수학적 증거를 제공할 수 없습니다. QKD는 정보 이론에 기반한 입증 가능한 보안과 전방 비밀을 가지고 있습니다.

양자 키 분배의 주요 단점은 일반적으로 인증된 고전적인 통신 채널을 갖는 데 의존한다는 것입니다.^{[citation needed]} 현대 암호학에서 인증된 고전 채널이 있다는 것은 충분한 길이의 대칭 키 또는 충분한 보안 수준의 공개 키를 이미 교환했다는 것을 의미합니다. 이러한 정보를 이미 사용할 수 있으므로, 실제로는 고급 암호화 표준의 Galois/Counter Mode를 사용하는 것과 같이 QKD를 사용하지 않고도 인증되고 충분히 안전한 통신을 달성할 수 있습니다. 따라서 QKD는 몇 배의 비용으로 스트림 암호의 작업을 수행합니다.

양자 키 분배는 메시지 데이터를 전송하는 것이 아니라 키만 생성하고 분배하는 데 사용됩니다. 그런 다음 이 키를 선택한 암호화 알고리즘과 함께 사용하여 메시지를 암호화(및 복호화)한 다음 표준 통신 채널을 통해 전송할 수 있습니다. QKD와 가장 일반적으로 연관된 알고리즘은 비밀 랜덤 키와 함께 사용하면 안전하다는 것이 입증되었기 때문에 일회성 패드입니다.^[1] 실제 상황에서는 고급 암호화 표준 알고리즘과 같이 대칭 키 알고리즘을 사용한 암호화와 함께 사용되는 경우가 많습니다.

양자키 교환

양자 통신은 고전적인 통신이 비트를 사용하는 것과 달리 양자 상태, 즉 큐비트로 정보를 부호화하는 것을 포함합니다. 일반적으로 광자는 이러한 양자 상태에 사용됩니다. 양자 키 분배는 이러한 양자 상태의 특정 속성을 활용하여 보안을 보장합니다. 양자 키 분포에는 여러 가지 다른 접근 방식이 있지만, 어떤 특성을 이용하느냐에 따라 크게 두 가지로 나눌 수 있습니다.

프로토콜 작성 및 측정

고전 물리학과 달리 측정 행위는 양자역학에서 필수적인 부분입니다. 일반적으로 알려지지 않은 양자 상태를 측정하면 어떤 식으로든 그 상태가 바뀝니다. 이것은 양자 불확정성의 결과이며 통신에 대한 도청을 감지하고(반드시 측정이 필요함) 더 중요하게는 감청된 정보의 양을 계산하기 위해 이용될 수 있습니다.

얽힘 기반 프로토콜

두 개(또는 그 이상)의 분리된 물체의 양자 상태는 개별 물체가 아닌 결합된 양자 상태에 의해 설명되어야 하는 방식으로 함께 연결될 수 있습니다. 이것은 얽힘이라고 알려져 있으며, 예를 들어 한 물체에 대해 측정을 수행하는 것이 다른 물체에 영향을 미친다는 것을 의미합니다. 두 당사자 사이에 얽힌 개체 쌍이 공유되면, 어느 하나의 개체를 가로채는 사람은 전체 시스템을 변경하여 제3자의 존재(및 그들이 얻은 정보의 양)를 드러냅니다.

이 두 가지 접근 방식은 각각 이산 변수, 연속 변수 및 분산 위상 참조 코딩의 세 가지 프로토콜 패밀리로 더 나눌 수 있습니다. 이산 변수 프로토콜은 최초로 발명되었으며, 현재까지 가장 널리 구현되고 있습니다. 나머지 두 가족은 주로 실험의 현실적 한계를 극복하는 데 관심이 있습니다. 아래에 설명된 두 프로토콜은 모두 이산 변수 코딩을 사용합니다.

BB84 프로토콜: 찰스 H. 베넷과 질 브래사드 (1984)

발명자와 출판 연도를 따라 BB84로 알려진 이 프로토콜은 원래 광자 편광 상태를 사용하여 정보를 전송하는 것으로 설명되었습니다.^[2] 그러나 임의의 두 쌍의 켤레 상태가 프로토콜에 사용될 수 있으며 BB84로 설명된 많은 광섬유 기반 구현은 위상 인코딩 상태를 사용합니다. 송신자(전통적으로 앨리스)와 수신자(Bob)는 양자 상태를 전송할 수 있는 양자 통신 채널에 의해 연결됩니다. 광자의 경우 이 채널은 일반적으로 광섬유 또는 단순히 자유 공간입니다. 또한 방송 라디오나 인터넷과 같은 대중 클래식 채널을 통해 통신합니다. 이 프로토콜은 도청자(Eve라고 함)가 양자 채널에 어떤 방식으로든 간섭할 수 있다는 가정 하에 설계된 반면, 고전 채널은 인증이 필요합니다.^[3][4]

프로토콜의 보안은 정보를 비직교 상태로 인코딩하는 데서 비롯됩니다. 양자 불확정성은 일반적으로 원래 상태를 방해하지 않고는 이러한 상태를 측정할 수 없음을 의미합니다(복제 금지 정리 참조). BB84는 두 쌍의 상태를 사용하며, 각 쌍은 다른 쌍과 공액이고, 두 상태는 서로 직교합니다. 직교 상태의 쌍을 기저라고 합니다. 사용되는 일반적인 편광 상태 쌍은 수직(0°) 및 수평(90°)의 직선 기저, 45° 및 135°의 대각선 기저 또는 좌, 우의 원형 기저입니다. 이들 염기 중 임의의 두 가지는 서로 공액이므로 임의의 두 가지를 프로토콜에 사용할 수 있습니다. 직선 베이스와 대각선 베이스 아래가 사용됩니다.

근거	0	1

BB84의 첫 번째 단계는 양자 전송입니다. Alice는 임의의 비트(0 또는 1)를 만든 다음 두 개의 베이스(이 경우 직선 또는 대각선) 중 하나를 임의로 선택하여 전송합니다. 그런 다음 그녀는 인접한 표와 같이 비트 값과 기저에 따라 광자 편광 상태를 준비합니다. 따라서 예를 들어, 0은 수직 편광 상태로서 직선 기저(+)에 부호화되고, 1은 135° 상태로서 대각 기저(x)에 부호화됩니다. 그런 다음 앨리스는 양자 채널을 사용하여 지정된 상태의 단일 광자를 밥에게 전송합니다. 그런 다음 이 과정은 무작위 비트 단계부터 반복되며 앨리스는 전송된 각 광자의 상태, 기반 및 시간을 기록합니다.

양자역학(특히 양자 불확정성)에 따르면, 네 가지 다른 편광 상태가 모두 직교하지 않기 때문에 가능한 측정은 없습니다. 가능한 유일한 측정은 임의의 두 직교 상태(정규 기준) 사이입니다. 따라서 예를 들어, 직선 기준으로 측정하면 수평 또는 수직의 결과를 얻을 수 있습니다. 광자가 수평 또는 수직(직선 고유 상태)으로 생성된 경우 올바른 상태를 측정하지만 45° 또는 135°(대각형 고유 상태)로 생성된 경우 직선 측정은 대신 수평 또는 수직을 임의로 반환합니다. 또한 이 측정 후 광자는 측정된 상태(수평 또는 수직)에서 편광되며 초기 편광에 대한 모든 정보가 손실됩니다.

밥은 광자가 부호화된 기저를 알지 못하기 때문에, 그가 할 수 있는 일은 직선이든 대각선이든 측정할 기저를 무작위로 선택하는 것뿐입니다. 그는 자신이 받는 각 광자에 대해 시간, 사용된 측정 기준 및 측정 결과를 기록하며 이 작업을 수행합니다. 밥이 모든 광자를 측정한 후, 그는 대중 클래식 채널을 통해 앨리스와 통신합니다. 앨리스는 각각의 광자가 보내진 근거를 방송하고, 밥은 각각의 근거를 측정했습니다. 둘 다 밥이 다른 기준을 사용한 광자 측정치(비트)를 폐기하고, 평균적으로 절반의 비트를 공유 키로 남깁니다.

앨리스의 복불복	0	1	1	0	1	0	0	1
Alice의 임의 송신 기준
앨리스가 보내는 광자 편광
밥의 임의 측정 기준
광자 분극 Bob 측정
기초 공개 토론
공유비밀키	0		1			0		1

도청자가 있는지 확인하기 위해 Alice와 Bob은 이제 나머지 비트 문자열의 미리 정해진 부분 집합을 비교합니다. 제3자(일반적으로 이브라고 함, "이브 드롭퍼"의 경우)가 광자의 편광에 대한 정보를 얻은 경우, 이는 밥의 측정에 오류를 발생시킵니다. 다른 환경 조건도 비슷한 방식으로 오류를 일으킬 수 있습니다. ${\displaystyle$ p$}$ 비트$$ 이상이 다를 경우 키의 보안을 보장할 수 없으므로 키를 중단하고 다른 양자 채널을 사용하여 다시 시도합니다. ${\displaystyle p}$ ${\displaystyle p}$는 Eve에게 알려진 비트 수가 이보다 적을 경우 키 길이를 줄이는 비용으로 Eve의 키에 대한 지식을 임의로 작은 양으로 줄이기 위해 사용될 수 있도록 선택됩니다.

E91 프로토콜: 아르투르 에커트 (1991)

Artur Ekert의 계획은^[5] 얽힌 광자 쌍을 사용합니다. 이것들은 앨리스에 의해, 밥에 의해, 또는 도청자 이브를 포함하여 둘 다와 별개의 소스에 의해 생성될 수 있습니다. 광자는 앨리스와 밥이 각각 한 쌍의 광자로 끝나도록 분배됩니다.

이 계획은 얽힘의 두 가지 속성에 의존합니다. 첫째, 앨리스와 밥이 둘 다 입자가 수직 또는 수평 편광을 갖는지 측정하면 항상 100% 확률로 동일한 답을 얻을 수 있다는 점에서 얽힌 상태는 완벽하게 상관관계가 있습니다. 둘 다 상보적(직교적) 편광의 다른 쌍을 측정하는 경우에도 마찬가지입니다. 이를 위해서는 멀리 떨어져 있는 두 당사자가 정확한 방향성 동기화를 가져야 합니다. 그러나 특정 결과는 완전히 무작위입니다. 앨리스는 (따라서 밥이) 수직 편광을 얻을지 수평 편광을 얻을지 예측할 수 없습니다. 둘째, 이브의 도청 시도는 앨리스와 밥이 탐지할 수 있는 방식으로 이러한 상관관계를 파괴합니다.

BB84와 마찬가지로 이 프로토콜은 이브의 존재를 감지하기 전에 개인 측정 프로토콜을 포함합니다. 측정 단계에는 Alice가 Z ${\displaystyle 0_{}}$ ${\displaystyle {}_{}}$π 8$,$ Z π 4${\displaystyle Z_${0$}, Z_{\frac${\$pi}{8}, Z_{\$frac {\pi}{4}}, Z_{\frac {\pi}{4}}, ${\displaystyle {Bob}_{}}$은${\displaystyle {}_{}}$ ${\displaystyle 0_{}}$, ${\displaystyle {\frac{\mathrm{Z}}{}}_{}}$π 8, Z -$$π$8${\$displaystyle$ Z_{0}, Z_{\frac {\pi}{8${\displaystyle {\}\},}_{}}$$Z_{-{\frac {\pi}{8}}$ 여기서 $Z$$θ$ {\$displaystyle Z_$${\displaystyle \{\backslash }$theta$\}\}$는 ${$$↑⟩$$,$$→⟩$} ${\displaystyle \{\uparrow }\rangle$,\; ${\$rightarrow }\$rangle$ $\}$을(를) $θ$ {\displaystyle \theta}에 의해 회전됩니다. 측정이 완료될 때까지 일련의 기준 선택을 비공개로 유지합니다. 두 그룹의 광자가 만들어집니다. 첫 번째 광자는 앨리스와 밥에 의해 동일한 기반으로 측정된 광자로 구성되고 두 번째 광자는 다른 모든 광자를 포함합니다. 도청을 탐지하기 위해, 그들은 벨 테스트 실험에서 보여진 것과 유사한 앨리스 베이스와 밥 베이스 사이의 상관 계수를 사용하여$$ 테스트 통계 $S{\displaystyle }$ ${\displaystyle S}$를 계산할 수 있습니다. 최대로 얽힌 광자는 ${\displaystyle S}$ = ${\displaystyle 22}$ ${\displaystyle$ S =$2{\sqrt {2}}$가 됩니다$.$ 그렇지 않다면 앨리스와 밥은 이브가 벨의 정리를 위반하여 시스템에 국소 사실성을 도입했다고 결론지을 수 있습니다. 프로토콜이 성공하면 첫 번째 그룹을 사용하여 Alice와 Bob 사이에 광자가 완전히 정렬되지 않기 때문에 키를 생성할 수 있습니다.

장치 독립적인 양자키 분배

전통적인 QKD에서 사용되는 양자 장치는 완벽하게 보정되고 신뢰할 수 있으며 예상대로 정확히 작동해야 합니다.^[6] 예상 측정값과의 편차는 감지하기가 매우 어려워 전체 시스템이 취약할 수 있습니다. 장치 독립 QKD(DIQKD) 또는 측정 장치 독립 QKD(MDIQKD)라는 새로운 프로토콜을 사용하면 특성화되지 않았거나 신뢰할 수 없는 장치를 사용할 수 있으며 예상 측정값과의 편차를 전체 시스템에 포함할 수 있습니다.^[6][7] 이러한 편차는 잘못된 데이터를 초래하는 것이 아니라 탐지될 때 프로토콜이 중단되게 합니다.^[6]

DIQKD는 BB84 프로토콜을 기반으로 메이어스와 야오가 처음 제안했습니다.^[8] 그들은 DIQKD에서 광자원이라고 부르는 양자 장치가 장치가 제대로 작동하는지 "셀프 체크"하기 위해 앨리스와 밥에 의해 실행될 수 있는 테스트와 함께 제공되도록 제조되었다고 제시했습니다. 이러한 테스트는 이브에 의해 가로채질 위험이 있는 정보의 양을 결정하기 위해 고전적인 입력과 출력만 고려하면 됩니다. 자체 검사 또는 "이상적인" 소스는 특성화할 필요가 ^[7][9]없으므로 구현 결함에 취약하지 않습니다.^[7]

최근 연구에서는 벨 테스트를 사용하여 장치가 제대로 작동하는지 확인할 것을 제안했습니다.^[6] 벨의 정리는 어떤 장치가 배타적으로 상관관계가 있는 두 개의 결과를 만들 수 있음을 보장하며, 이는 이브가 해당 장치에 대한 어떤 가정도 하지 않고 결과를 가로챌 수 없다는 것을 의미합니다. 이를 위해서는 고도로 얽힌 상태와 낮은 양자 비트 오류율이 필요합니다.^[7] DIQKD는 이러한 고품질 얽힘 상태에 있는 큐비트를 생성하는 데 어려움이 있으므로 실험적으로 실현하기가 어렵습니다.^[6]

트윈 필드 양자키 분포

트윈 필드 양자 키 분포(TFQKD)는 2018년에 도입되었으며, 전통적인 양자 키 분포의 근본적인 속도-거리 한계를 극복하기 위해 설계된 DIQKD의 버전입니다.^[10] 속도-거리 제한(rate-loss trade off)은 Alice와 Bob 사이의 거리가 증가함에 따라 키 생성 속도가 기하급수적으로 감소하는 방법을 설명합니다.^[11] 전통적인 QKD 프로토콜에서 이러한 붕괴는 물리적으로 확보된 릴레이 노드를 추가하여 제거되었으며, 양자 링크를 따라 배치하여 여러 저손실 구간으로 나눌 수 있습니다. 연구원들은 또한 양자 중계기를 사용할 것을 권고했는데, 중계기 노드에 추가하면 더 이상 물리적으로 고정될 필요가 없게 됩니다.^[11] 그러나 양자 중계기는 만들기 어렵고 아직 유용한 규모로 구현되지 않았습니다.^[10] TFQKD는 양자 중계기나 중계기 노드를 사용하지 않고 속도-거리 제한을 우회하여 관리 가능한 수준의 노이즈와 오늘날의 기존 기술로 훨씬 쉽게 반복할 수 있는 프로세스를 만드는 것을 목표로 합니다.^[10]

TFQKD의 원본 프로토콜은 다음과 같습니다. 앨리스와 밥은 각각 실험실에서 광원과 간섭계에 한 팔을 가지고 있습니다. 광원은 [0, 2 π] 간격에서 임의의 위상 p 또는 p와 인코딩 위상 γ 또는 γ를 갖는 두 개의 딤 광학 펄스를 생성합니다. 펄스는 양자를 따라 악의적일 수도 있고 아닐 수도 있는 제3자인 찰리에게 전송됩니다. Charlie는 빔 스플리터를 사용하여 두 펄스를 중첩하고 측정을 수행합니다. 그는 자신의 연구실에 두 개의 감지기를 가지고 있는데, 그 중 하나는 비트가 같으면 (00) 또는 (11), 다른 하나는 (10, 01)에 불이 켜집니다. 찰리는 앨리스와 밥에게 어떤 감지기에 불이 붙었는지 발표할 것이고, 그 때 그들은 공개적으로 p와 γ 단계를 밝힐 것입니다. 이는 사용된 위상이 전혀 드러나지 않는 기존의 QKD와는 다릅니다.^[12]

정보 조정 및 개인 정보 보호 증폭

위에서 설명한 양자 키 분배 프로토콜은 앨리스와 밥에게 거의 동일한 공유 키와 키 간의 불일치 추정치를 제공합니다. 이러한 차이는 도청뿐만 아니라 전송 라인과 감지기의 불완전성 때문에 발생할 수 있습니다. 이 두 가지 유형의 오류를 구분하는 것이 불가능하기 때문에 보안을 보장하려면 모든 오류가 도청으로 인한 것이라는 가정이 필요합니다. 키 간 오류율이 특정 임계값(2002년^[13] 기준 27.6%)보다 낮으면 먼저 오류 비트를 제거한 다음 Eve의 키 지식을 임의의 작은 값으로 줄이는 두 단계를 수행할 수 있습니다. 이 두 단계는 각각 정보 조정과 프라이버시 증폭으로 알려져 있으며 1992년에 처음 기술되었습니다.^[14]

정보 조정은 Alice와 Bob의 키가 동일한지 확인하기 위해 수행되는 오류 수정의 한 형태입니다. 이는 공개 채널을 통해 수행되므로 이브가 읽을 수 있으므로 각 키에 대해 보내는 정보를 최소화하는 것이 중요합니다. 정보 조정에 사용되는 일반적인 프로토콜은 1994년에 제안된 캐스케이드 프로토콜입니다.^[15] 이것은 여러 라운드로 작동하며, 각 라운드에서 두 키를 블록으로 나누고 해당 블록의 패리티를 비교합니다. 패리티의 차이가 발견되면 이진 검색을 수행하여 오류를 찾고 수정합니다. 패리티가 올바른 이전 라운드의 블록에서 오류가 발견되면 해당 블록에 다른 오류가 포함되어야 합니다. 이 오류는 이전과 같이 발견되고 수정됩니다. 이 프로세스는 캐스케이드 이름의 소스인 재귀적으로 반복됩니다. 모든 블록을 비교한 후 Alice와 Bob은 모두 같은 무작위 방식으로 키를 재정렬하고 새로운 라운드가 시작됩니다. 여러 라운드가 끝나면 Alice와 Bob은 높은 확률로 동일한 키를 갖지만 Eve는 교환된 패리티 정보에서 키에 대한 추가 정보를 갖습니다. 그러나 코딩 이론의 관점에서 정보 조정은 본질적으로 측면 정보를 가진 소스 코딩입니다. 결과적으로 이 문제에 적합한 모든 코딩 방식은 정보 조정에 사용될 수 있습니다. 최근에는 터보코드,^[16] LDPC코드^[17] 및 폴라코드가^[18] 캐스케이드 프로토콜의 효율성을 향상시키기 위해 사용되고 있습니다.

프라이버시 증폭은 감소(및 효과적으로 제거)하기 위한 방법입니다. 앨리스와 밥의 열쇠에 대한 이브의 부분적인 정보. 이 부분 정보는 키 전송 중에 양자 채널을 도청함으로써(따라서 감지 가능한 오류를 도입함), 정보 조정 중에 공개 채널을 도청함으로써(이브가 가능한 모든 패리티 정보를 얻는 것으로 가정함) 획득할 수 있었습니다. 프라이버시 증폭은 앨리스와 밥의 키를 사용하여 이브가 새 키에 대한 정보를 무시할 수 있을 정도로 짧은 새 키를 생성합니다. 이는 공개적으로 알려진 함수 집합에서 무작위로 선택된 범용 해시 함수를 사용하여 수행할 수 있으며, 이 함수는 키와 동일한 길이의 이진 문자열을 입력으로 받고 선택된 더 짧은 길이의 이진 문자열을 출력합니다. 이 새 키가 짧아지는 양은 이브가 새 키에 대한 지식을 얻을 확률을 매우 낮은 값으로 줄이기 위해 이전 키에 대해 얼마나 많은 정보를 얻을 수 있었는지를 기반으로 계산됩니다.

구현

실험적

1991년 맬번과 옥스퍼드 대학의 영국 국방 연구 기관의 연구원인 존 레어리티, 폴 탭스터, 아르투르 에커트는 벨 부등식 위반으로 보호되는 양자 키 분포를 시연했습니다.

2008년, 1 Mbit/s(광섬유 20km 이상) 및 10 kbit/s(섬유 100km 이상)의 보안 키 교환은 미끼 상태 펄스가 있는 BB84 프로토콜을 사용하여 캠브리지 대학과 도시바 간의 공동 작업에 의해 달성되었습니다.^[19]

2007년 로스앨러모스 국립 연구소/NIST는 BB84 프로토콜을 사용하여 148.7km의 광섬유에 걸쳐 양자 키 분배를 달성했습니다.^[20] 중요한 것은 이 거리가 오늘날의 파이버 네트워크에서 볼 수 있는 거의 모든 범위에 충분히 길다는 것입니다. 유럽의 공동 연구는 2006년 얽힌 광자(에커트 체계)를 사용하여 카나리아 제도 두 곳 사이 144km에 걸쳐 자유 공간 QKD를 달성했으며,^[21] 2007년 미끼 상태로^{[22][23][24][25][26]} 강화된 BB84를 사용했습니다.^[27]

2015년^[update] 8월 현재 광섬유의 가장 긴 거리(^[28]307km)는 제네바 대학교와 코닝 주식회사가 달성했습니다. 같은 실험에서 12.7 kbit/s의 비밀키 레이트를 생성하여 100 km 거리에서 가장 높은 비트 레이트 시스템이 되었습니다. 2016년 코닝(Corning)과 중국의 여러 기관의 한 팀이 404km의 거리를 달성했지만, 너무 느린 속도로는 실용적이지 못했습니다.^[29]

2017년 6월, 캐나다 워털루에 있는 양자전산연구소와 워털루 대학의 토마스 제너바인이 이끄는 물리학자들은 지상 송신기에서 움직이는 항공기로의 양자키 분배를 처음으로 시연했습니다. 그들은 3-10 km 사이의 거리를 가진 광 링크를 보고하고 최대 868 킬로바이트 길이의 보안 키를 생성했습니다.^[30]

또한 2017년 6월에는 중국 과학기술대학의 판젠웨이 교수가 이끄는 중국 물리학자들이 우주 규모에서의 양자 실험 프로젝트의 일환으로 두 지상국 사이의 1203km 거리에서 얽힌 광자를 측정하여 향후 대륙간 양자키 분배 실험을 위한 토대를 마련했습니다.^[31] 광자는 한 지상국에서 마이키우스라고 이름 붙인 위성으로 보내졌고, 다시 다른 지상국으로 내려가 "엄격한 아인슈타인 지역 조건에서 2광자 얽힘의 생존과 벨 부등식의 위반을 관찰"했습니다. 여기서 그들은 "1600에서 2400 킬로미터에 이르는 총 길이"를 따라."^[32]그해 말^[32] BB84는 미키우스에서 중국과 오스트리아의 지상국까지의 위성 링크를 통해 성공적으로 구현되었습니다. 키를 결합하고 그 결과를 중국 베이징과 오스트리아 빈 사이에 이미지와 비디오를 전송하는 데 사용했습니다.^[33]

2017년 8월, 상하이 자오퉁 대학의 한 연구팀은 단일 광자의 일반 큐비트와 얽힌 상태를 포함한 편광 양자 상태가 해수를 통과한 후에도 잘 생존할 수 있음을 실험적으로 입증했으며,^[34] 이는 수중 양자 통신을 향한 첫 번째 단계를 나타냅니다.

2019년 5월, 북경 대학교와 북경 우정 통신 대학교의 홍궈(HongGuo)가 이끄는 그룹은 각각 30.02km(12.48dB)와 49.85km(11.62dB)의 거리에 걸쳐 시안(Xian)과 광저우(Gangzu)의 상업용 섬유 네트워크를 통해 연속 가변 QKD 시스템의 현장 테스트를 보고했습니다.^[35]

2020년 12월, 인도 국방 연구 개발 기구는 하이데라바드 시설의 두 실험실 사이에서 QKD를 테스트했습니다. 이 설정은 또한 통신에 대한 지식을 얻으려는 제3자의 탐지 유효성을 입증했습니다. 광섬유 채널을 통해 12km(7.5mi) 이상의 범위와 10dB의 감쇄에서 배포된 시스템에 대해 도청에 대한 양자 기반 보안이 검증되었습니다. 연속파 레이저 소스를 사용하여 탈분극 효과 없이 광자를 생성했으며 설정에 사용된 타이밍 정확도는 피코초 정도였습니다. 단일 광자 애벌런치 검출기(SPAD)는 광자의 도달을 기록했으며 키 레이트는 낮은 양자 비트 에러율로 kbps 범위에서 달성되었습니다.^[36]

2021년 3월, 인도 우주 연구 기구는 300미터 거리의 자유 공간 양자 통신을 시연하기도 했습니다. 자유 공간 QKD는 양자 키 암호화 신호에 의한 화상 회의를 위해 캠퍼스 내 두 개의 가시선 건물 사이에 있는 아흐메다바드의 우주 응용 센터(SAC)에서 시연되었습니다. 실험은 송신기와 수신기 모듈 간의 시간 동기화를 위해 NAVIC 수신기를 사용했습니다. 이후 2022년 1월, 인도 과학자들은 암호화된 메시지와 이미지를 교환할 수 있는 대기 채널을 성공적으로 만들 수 있었습니다. 인도는 두 지상국 간 양자 통신을 시연한 뒤 위성 기반 양자 통신(SBQC) 개발을 계획하고 있습니다.^[37][38]

2022년 7월, 연구원들은 양자 해킹 공격에 대한 내성을 보장하기 위해 양자 얽힘(^[5]Ekert가 제안한 대로)을 사용하는 장치 독립 양자 키 분배(DIQKD) 프로토콜을 실험적으로 구현한 연구를 발표했습니다.^[6] 그들은 다음과 같은 과정을 통해 약 2미터 간격으로 고품질의 얽힘 상태에 있는 두 개의 이온을 만들 수 있었습니다. Alice와 Bob은 각각 내부에 Sr⁺ 큐비트가 있는 이온 트랩 노드를 가지고 있습니다. 처음에는 이온을 전자 상태로 여기시켜 얽힘 상태를 만듭니다. 이 과정은 또한 두 개의 광자를 생성하고, 이 광자는 광섬유를 사용하여 포착 및 운반되며, 이 시점에서 벨 기반 측정이 수행되고 이온은 고도로 얽힌 상태로 투영됩니다. 마지막으로 큐비트는 광학 링크에서 분리된 이온 트랩의 새로운 위치로 반환되어 정보가 유출되지 않습니다. 이는 키 분배가 진행되기 전에 여러 번 반복됩니다.^[6]

2022년 7월에 발표된 별도의 실험은 700m 길이의 광섬유를 사용하여 양자 소자가 작동하는지 확인하기 위해 벨 부등식 테스트를 사용하는 DIQKD의 구현을 보여주었습니다.^[7] 실험을 위한 설정은 위 단락의 설정과 유사하며 몇 가지 주요 차이점이 있습니다. 700m 채널로 연결된 400m 떨어진 별도의 실험실에 있는 두 Rb 원자 사이의 양자 네트워크 링크(QNL)에서 얽힘이 발생했습니다.원자들은 두 개의 광자가 생성되고 수집되는 전자 여기에 의해 얽혀 벨 상태 측정(BSM) 설정으로 전송됩니다. 광자는 ψ 상태에 투영되어 최대 얽힘을 나타냅니다. 사용된 나머지 키 교환 프로토콜은 원래 QKD 프로토콜과 유사하며, 유일한 차이점은 키가 하나가 아닌 두 개의 측정 설정으로 생성된다는 것입니다.^[7]

2018년 트윈 필드 양자 키 분배가 제안된 이후 QKD 시스템에서 거리를 늘리는 것을 목표로 무수히 많은 실험이 수행되었습니다. 그 중 가장 성공적인 것은 833.8km의 거리에 걸쳐 주요 정보를 배포할 수 있었습니다.^[12]

2023년 인도 공과대학(IIT) 델리의 과학자들은 매우 낮은 양자 비트 오류율(QBER)로 표준 통신 섬유에서 최대 380km까지 신뢰할 수 있는 노드 없는 양자 키 분배(QKD)를 달성했습니다.^[39]

상업의

예를 들어, ID Quantique(제네바), MagiQ Technologies, Inc.(뉴욕), QNu Labs(인도 벵갈루루), Quintessence Labs(호주), QRate(러시아), SeQureNet(파리), Quantum Optics Jena(독일) 및 KEQuant(독일)와 같은 전 세계의 많은 회사들이 상업적인 양자 키 배포를 제공합니다. KETS Quantum Security (영국), Toshiba, HP, IBM, Mitsubishi, NEC 및 NTT (직접 연구 링크는 외부 링크 참조)를 포함한 여러 다른 회사들도 활발한 연구 프로그램을 보유하고 있습니다.

2004년 오스트리아 빈에서 세계 최초로 양자키 분배를 이용한 은행이체가 진행되었습니다.^[40] 스위스 기업 Id Quantique가 제공한 양자 암호화 기술은 2007년 10월 21일 실시된 국민 선거에서 투표 결과를 수도로 전송하기 위해 스위스 제네바 주(주)에서 사용되었습니다.^[41] 2013년, Battelle Memorial Institute는 ID Quantique가 오하이오주 콜럼버스에 있는 그들의 주요 캠퍼스와 인근 더블린에 있는 그들의 제조 시설 사이에 구축한 QKD 시스템을 설치했습니다.^[42] Tokyo QKD 네트워크의 현장 테스트는 얼마 전부터 진행 중입니다.^[43]

양자키 분배망

DARPA

DARPA ^[44]퀀텀 네트워크는 미국 매사추세츠주에서 2004년부터 2007년까지 4년간 24시간 연속으로 운영된 10노드 양자키 분배 네트워크였습니다. BBBN Technologies, Harvard University, Boston University가 IBM Research, National Institute of Standards and Technology, QinetiQ의 협업으로 개발했습니다. 양자키 분배로 보호되는 표준 기반의 인터넷 전산망을 지원했습니다.

SECOQC

양자키 분배로 보호되는 세계 최초의 컴퓨터 네트워크는 2008년 10월 비엔나에서 열린 과학 컨퍼런스에서 구현되었습니다. 이 네트워크의 이름은 SECOQC(Secure Communications Based Based Quantum Cryptography)이며 EU는 이 프로젝트에 자금을 지원했습니다. 이 네트워크는 200km의 표준 광섬유 케이블을 사용하여 비엔나 전역의 6개 지점과 서쪽으로 69km 떨어진 세인트 포엘텐 마을을 상호 연결했습니다.^[45]

스위스 퀀텀

Id Quantique는 현장 환경에서 QKD(Quantum Key Distribution) 테스트를 위한 가장 오래 실행된 프로젝트를 성공적으로 완료했습니다. 2009년 3월 제네바 대도시 지역에 설치된 스위스 퀀텀 네트워크 프로젝트의 주요 목표는 현장 환경에서 장기간 지속적인 운영에서 QKD의 신뢰성과 견고성을 검증하는 것이었습니다. 이 양자층은 당초 계획된 테스트 기간 직후인 2011년 1월 프로젝트가 중단될 때까지 거의 2년 동안 작동했습니다.

중국 네트워크

2009년 5월, 중국 우후에서 계층적 양자 네트워크가 시연되었습니다. 계층적 네트워크는 다수의 서브넷을 연결하는 4개의 노드로 구성된 백본 네트워크로 구성되었습니다. 백본 노드는 광 스위칭 양자 라우터를 통해 연결되었습니다. 각 서브넷 내의 노드도 광 스위치를 통해 연결되었으며, 이들은 신뢰할 수 있는 릴레이를 통해 백본 네트워크에 연결되었습니다.^[46]

2016년 8월에 발사된 QUESS 우주 임무는 중국과 오스트리아 빈의 양자광학 및 양자정보연구소 사이에 지상 거리 7,500km(4,700mi)의 국제 QKD 채널을 만들어 최초의 대륙간 보안 양자 영상 통화를 가능하게 했습니다.^[47][48][49] 2017년 10월까지 베이징, 지난, 허페이, 상하이 사이에 2,000km의 섬유 라인이 운영되었습니다.^[50] 그들은 함께 세계 최초의 우주 지상 양자 네트워크를 구성합니다.^[51] 최대 10미시우스/QUESS 위성은 2020년까지 유럽-아시아 양자 암호화 네트워크를, 2030년까지 글로벌 네트워크를 허용할 ^[52]것으로 예상됩니다.^[53][54]

도쿄 QKD 네트워크

도쿄 QKD 네트워크는^[55] UQCC2010 회의 첫날에 출범했습니다. 이 네트워크는 일본의 NEC, Mitsubishi Electric, NTT 및 NICT 등 7개 파트너 간의 국제 협력과 유럽의 Toshiba Research Europe Ltd.(영국), Id Quantique(스위스) 및 All Vienna(오스트리아)의 참여를 포함합니다. "올 비엔나"는 오스트리아 공과대학교(AIT), 양자 광학 및 양자 정보 연구소(IQOQI), 비엔나 대학교의 연구원들이 대표합니다.

로스앨러모스 국립 연구소

2011년부터 로스앨러모스 국립 연구소에서 허브 앤 스포크 네트워크를 운영하고 있습니다. 모든 메시지는 허브를 통해 라우팅됩니다. 이 시스템은 네트워크의 각 노드에 양자 송신기, 즉 레이저를 장착하지만 비싸고 부피가 큰 광자 검출기는 장착하지 않습니다. 허브만 양자 메시지를 받습니다. 통신하기 위해 각 노드는 허브로 일회성 패드를 전송하고, 허브는 이 패드를 사용하여 고전적인 링크를 통해 안전하게 통신합니다. 허브는 두 번째 노드에서 다른 하나의 타임패드를 사용하여 이 메시지를 다른 노드로 라우팅할 수 있습니다. 중앙 허브가 안전해야 전체 네트워크가 안전합니다. 개별 노드는 레이저 이상이 필요하지 않습니다. 프로토타입 노드는 성냥 한 상자 정도의 크기입니다.^[56]

이글-1

ESA는 2024년에 실험적인 우주 기반 양자키 분배 시스템인 위성 이글-1을 발사할 계획입니다.^[57]

공격 및 보안 증명

가로채기 후 재전송

가능한 가장 간단한 유형의 공격은 가로채기-보내기 공격으로, 이브는 앨리스가 보낸 양자 상태(광자)를 측정한 다음, 그녀가 측정한 상태로 준비된 밥에게 대체 상태를 보냅니다. BB84 프로토콜에서 이는 Alice와 Bob의 주요 공유에 오류를 발생시킵니다. 이브는 앨리스가 보낸 상태가 부호화된 기저에 대해 전혀 모르기 때문에 밥과 같은 방식으로 어떤 기저에서 측정해야 할지 추측할 수 있을 뿐입니다. 만약 그녀가 올바르게 선택하면, 그녀는 앨리스가 보낸 올바른 광자 편광 상태를 측정하고, 밥에게 정확한 상태를 다시 보냅니다. 그러나 그녀가 잘못 선택하면 그녀가 측정하는 상태는 무작위이며 밥에게 보낸 상태는 앨리스가 보낸 상태와 같을 수 없습니다. 만약 밥이 앨리스가 보낸 것과 같은 기준으로 이 상태를 측정한다면, 그 역시 (이브가 없는 상태에서 얻을 수 있는 정확한 결과 대신) 잘못된 결과가 나올 확률은 50%입니다. 아래 표는 이러한 유형의 공격 예를 보여줍니다.

앨리스의 복불복	0	1	1	0	1	0	0	1
Alice의 임의 송신 기준
앨리스가 보내는 광자 편광
이브의 임의 측정 기준
편광 이브 측정 및 전송
밥의 임의 측정 기준
광자 분극 Bob 측정
기초 공개 토론
공유비밀키	0		0			0		1
키 오류	✓		✘			✓		✓

이브가 잘못된 기저를 선택할 확률은 50%(앨리스가 무작위로 선택한다고 가정할 때)이며, 밥이 앨리스가 보낸 기저에서 가로채어진 광자를 측정하면 무작위 결과, 즉 50%의 확률로 잘못된 결과가 나옵니다. 가로채어진 광자가 키 문자열에 오류를 발생시킬 확률은 50% × 50% = 25%입니다. Alice와 Bob이 그들의 키 $비트들{\displaystyle }$ 중$$ ${\displaystyle$ n$}$개를 공개적으로 비교한다면(따라서 그들은 더 이상 비밀이 아니기 때문에, 그들을 키 비트들로서 폐기한다) 그들은 불일치를 발견하고 이브의 존재를 식별하는 확률은

${\displaystyle {Pd}_{}}$ = ${\displaystyle 0.9999999999}$ ${\displaystyle P_{d$} = $0.9999999999}$ 확률로 도청자를 탐지하려면 Alice와 Bob이 $n$ = ${\displaystyle 72}$ ${\displaystyle$n = $72}$ 키 비트를 비교해야 합니다.

중간자 공격

양자 키 분포는 알려진 양자역학 원리가 친구와 적을 구별할 수 없기 때문에 어떤 고전 프로토콜과 동일한 정도로 인증 없이 사용될 때 중간자 공격에 취약합니다. 고전적인 경우와 마찬가지로 앨리스와 밥은 서로의 신원을 확인하는 어떤 수단(초기 공유 비밀 등) 없이는 서로를 인증하고 안전한 연결을 구축할 수 없습니다. Alice와 Bob이 초기 공유 비밀을 가지고 있다면 양자 키 분배와 함께 무조건 안전한 인증 체계(예: Carter-Wegman)^[58]를 사용하여 이 키를 기하급수적으로 확장할 수 있으며, 적은 양의 새 키를 사용하여 다음 세션을 인증할 수 있습니다.^[59] 이러한 초기 공유 비밀을 생성하기 위한 여러 방법이 제안되었는데, 예를 들어 제3자^[60] 또는 혼돈 이론을 사용하는 것입니다.^[61] 그럼에도 불구하고 무조건 안전한 인증에는 "거의 강력하게 보편적인" 해시 함수 계열만 사용할 수 있습니다.^[62]

광자 수 분할 공격

BB84 프로토콜에서 앨리스는 단일 광자를 사용하여 양자 상태를 밥에게 보냅니다. 실제로 많은 구현에서는 양자 상태를 전송하기 위해 매우 낮은 수준으로 감쇠된 레이저 펄스를 사용합니다. 이러한 레이저 펄스에는 매우 적은 수의 광자, 예를 들어 펄스당 0.2개의 광자가 포함되어 있으며, 이 광자는 포아송 분포에 따라 분포됩니다. 이는 대부분의 펄스가 실제로 광자를 포함하지 않는다는 것을 의미합니다(펄스는 전송되지 않습니다). 일부 펄스는 1개의 광자를 포함하고(원하는) 일부 펄스는 2개 이상의 광자를 포함합니다. 펄스에 하나 이상의 광자가 포함되어 있으면 이브는 여분의 광자를 분리하여 나머지 단일 광자를 밥에게 전송할 수 있습니다. 이것은 광자 수 분할 공격의 기본이며,^[63] 여기서 이브는 밥이 나머지 단일 광자를 감지하고 앨리스가 인코딩 기반을 밝힐 때까지 이러한 여분의 광자를 양자 메모리에 저장합니다. 그런 다음 이브는 정확한 기준으로 광자를 측정하고 감지 가능한 오류를 일으키지 않고 키에 대한 정보를 얻을 수 있습니다.

PNS 공격 가능성이 있는 경우에도 GLLP 보안 증명과 같이 보안 키를 생성할 수 있습니다.^[64] 보안 키 레이트를 크게 감소시키기 위해서는 훨씬 더 많은 양의 프라이버시 증폭이 필요합니다(단일 광자 소스의$$ $경우{\displaystyle }$ t ${\displaystyle t}$에 비해$$ 레이트는 ${\displaystyle {t\mathrm{}}^{}}$ $2{\displaystyle {}^{}}$ ${\$ t$^{2}$로 확장됩니다). 여기서 $t{\displaystyle }$ ${\displaystyle t}$는 양자 채널의 투과율입니다.

이 문제에 대한 몇 가지 해결책이 있습니다. 가장 확실한 것은 감쇠 레이저 대신 진정한 단일 광자 소스를 사용하는 것입니다. 이러한 소스는 아직 개발 단계에 있지만 QKD는 성공적으로 수행되었습니다.^[65] 그러나 전류 소스가 낮은 효율로 작동하고 주파수 키 속도와 전송 거리가 제한됩니다. 또 다른 해결책은 보안 키 속도가 t ${\displaystyle {3\mathrm{}/2\mathrm{}}^{}}$ ${\$로 확장되는 ^[66]SARG04 프로토콜과 같이 BB84 프로토콜을 수정하는 것입니다$.$ 가장 유망한 해결책은 앨리스가 레이저 펄스 중 일부를 평균 광자 수가 낮은 상태로 무작위로 보내는 미끼 상태입니다^{[22][23][24][25][26]}. 이브는 어떤 펄스가 신호이고 어떤 미끼인지 구별할 방법이 없기 때문에 이러한 미끼 상태를 사용하여 PNS 공격을 탐지할 수 있습니다. 이 아이디어를 사용하면 보안 키 속도가 단일 광자 소스와$$동일하게 ${\displaystyle$ t$}(으$)로 확장됩니다. 이 아이디어는 토론토 대학에서 처음으로 성공적으로 구현되었으며,^[67][68][69] 여러 후속 QKD 실험에서 높은 키 레이트를 통해 알려진 모든 공격에 대해 안전하게 보호할 수 있습니다.

서비스 거부

현재 양자키 분배로 연결된 두 점 사이에 전용 광섬유선(또는 여유 공간에서의 시선선)이 필요하기 때문에, 선을 자르거나 차단하기만 하면 서비스 거부 공격을 탑재할 수 있습니다. 이것은 중단 시 대체 링크를 통해 통신을 라우팅하는 양자 키 분배 네트워크 개발의 동기 중 하나입니다.

트로이 목마 공격

Eve는 밝은 빛을 양자 채널로 보내고 트로이 목마 공격의 역반사를 분석하여 양자 키 분배 시스템을 조사할 수 있습니다. 최근 한 연구에서 이브는 밥의 비밀 기반 선택을 90% 이상의 확률로 식별하여 시스템의 보안을 위반하는 것으로 나타났습니다.^[70]

보안 증명

Eve가 무제한의 자원, 예를 들어 고전 컴퓨팅 능력과 양자 컴퓨팅 능력을 모두 가지고 있다고 가정하면 더 많은 공격이 가능합니다. BB84는 한 번에 단일 광자만 방출하는 이상적인 광자 소스를 사용하여 정보를 보내는 ^[71]것과 때때로 다중 광자 펄스를 방출하는 실용적인 광자 소스를 사용하여 양자 역학이 허용하는 모든 공격에 대해 안전하다는 것이 입증되었습니다.^[64] 이러한 증명은 도청자가 사용할 수 있는 리소스에 아무런 조건이 부과되지 않는다는 점에서 무조건 안전합니다. 그러나 다음과 같은 다른 조건이 필요합니다.

1. Eve는 Alice와 Bob의 인코딩 및 디코딩 장치에 물리적으로 액세스할 수 없습니다.
2. Alice와 Bob이 사용하는 난수 생성기는 신뢰할 수 있고 진정한 난수 생성기(예: Quantum 난수 생성기)여야 합니다.
3. 클래식 통신 채널은 무조건 안전한 인증 방식을 사용하여 인증되어야 합니다.
4. 메시지는 원타임 패드와 같은 방식으로 암호화해야 합니다.

양자 해킹

해킹 공격은 QKD 프로토콜 운영의 취약성이나 QKD 시스템 구축에 사용되는 물리적 장치 구성 요소의 결함을 대상으로 합니다. 양자키 분배에 사용되는 장비를 변조할 수 있다면, 난수 발생기 공격을 이용하여 안전하지 않은 키를 생성하도록 만들 수 있습니다. 또 다른 일반적인 종류의 공격은 엔드포인트에 물리적으로 접근할 필요가 없는 트로이 목마 공격입니다^[72]: 앨리스와 밥의 단일 광자를 읽으려고 시도하는 것이 아니라, 이브는 송신된 광자 사이에 많은 빛의 펄스를 앨리스에게 다시 보냅니다. 앨리스의 장비는 이브의 빛 중 일부를 반사하여 앨리스의 기저 상태(예: 편광판)를 보여줍니다. 이 공격은 예를 들어 고전적인 탐지기를 사용하여 앨리스의 시스템으로 들어오는 합법적이지 않은 신호(즉, 이브의 빛)를 확인함으로써 탐지할 수 있습니다. 또한 대부분의 해킹 공격은 공식적인 증거는 없지만 구현을 수정함으로써 유사하게 물리칠 수 있다고 추측됩니다^{[by whom?]}.

가짜 상태 공격,^[73] 위상 재매핑 공격,^[74] 시간 이동 공격^[75] 등 여러 다른 공격이 현재 알려져 있습니다. 시간 이동 공격은 상용 양자 암호 시스템에서도 입증되었습니다.^[76] 비제품 양자키 분배 시스템에 대한 양자 해킹 시연은 이번이 처음입니다. 이후 위상 재매핑 공격은 특수하게 구성된 연구 지향 개방형 QKD 시스템(스위스 회사 Id Quantique가 그들의 퀀텀 해킹 프로그램에 따라 만들고 제공함)에서도 시연되었습니다.^[77] 이는 상용 QKD 시스템에서 널리 사용되는 QKD 구현 위에 최초의 '간섭 및 재발송' 공격 중 하나입니다. 이 작품은 언론에 널리 보도되었습니다.^{[78][79][80][81]}

흔적을^[82] 남기지 않고 키 전체를 도청할 수 있다고 주장한 최초의 공격은 2010년에 시연되었습니다. 두 개의 상용 장치에서 단일 광자 검출기를 특수 맞춤형 밝은 조명을 사용하여 완전히 원격 제어할 수 있음을 실험적으로 보여주었습니다. 그 후 노르웨이의 노르웨이 과학기술대학교와 독일의 막스 플랑크 빛의 과학 연구소의 공동 연구가 잇따라 출판되었습니다^[83][84][85]. 이제 게이트 모드에서 작동하는 아발란치 포토다이오드(APD)의 약점을 기반으로 상용 QKD 시스템을 성공적으로 도청할 수 있는 몇 가지 방법을 시연했습니다. 이로 인해 통신망 보안에 대한 새로운 접근 방식에 대한 연구가 촉발되었습니다.^[86]

반사실적 양자키 분포

비밀키를 분배하는 작업은 노태곤이 개발한 프로토콜을 사용하여 입자(비밀 정보, 예를 들어 편광이 부호화된)가 양자 채널을 통과하지 않을 때도 달성할 수 있습니다.^[87] 여기서 앨리스는 나중까지 측정을 하지 않음으로써 (a) 경로와 (b) 경로에 동시에 있는 중첩 상태로 존재하는 광자를 생성합니다. 경로 (a)는 Alice의 보안 장치 내부에 있고 경로 (b)는 Bob에게 갑니다. 밥과 앨리스는 밥이 받는 광자를 거부하고 받지 않는 광자만 받아들이면 안전한 채널, 즉 채널을 설정할 수 있습니다. 반사실적 광자를 읽으려는 이브의 시도는 여전히 감지될 것입니다. 이 프로토콜은 양자 현상을 사용하여 광자가 전송되지 않을 때에도 광자가 전송될 수 있는 가능성이 영향을 미칩니다. 소위 상호작용이 없는 측정은 폭탄 테스트 문제와 같이 이 양자 효과를 사용하기도 하는데, 이를 통해 실험자는 반사실적인 의미를 제외하고 어떤 폭탄이 터지지 않고도 멍멍하지 않은지 개념적으로 결정할 수 있습니다.

역사

양자 암호학은 스티븐 비스너가 처음 제안했고, 그 후 1970년대 초에 양자 켤레 코딩의 개념을 도입한 뉴욕의 컬럼비아 대학교에서 제안되었습니다. "Conjugate Coding"이라는 제목의 그의 중요한 논문은 IEEE Information Theory에 의해 거부되었지만 결국 1983년 SIGACT News에 발표되었습니다(15:1 pp. 78–88, 1983). 이 논문에서 그는 두 개의 메시지를 빛의 선형 및 원형 편광과 같은 두 개의 "공액 관측 가능한 것"으로 인코딩하여 두 개의 메시지를 저장하거나 전송하는 방법을 보여주었는데, 이는 둘 중 하나가 아니라 둘 중 하나를 수신하고 디코딩할 수 있습니다. 그는 용서할 수 없는 지폐 디자인으로 자신의 아이디어를 설명했습니다. 10년 후, IBM 토마스 J. 왓슨 연구 센터의 찰스 베넷(Charles H. Bennett)과 몬트리올 대학의 질 브래사드(Gilles Brassard)는 이 연구를 바탕으로 비스너(Wiesner)의 "접합 관측값"을 기반으로 안전한 통신을 위한 방법을 제안했습니다. 1990년 당시 옥스퍼드 대학교 울프슨 칼리지에서 박사과정을 밟고 있던 아르투르 에커트는 양자 얽힘을 기반으로 양자 키 분배에 대한 다른 접근법을 개발했습니다.

미래.

현재 상용 시스템은 보안 요구 사항이 높은 정부 및 기업을 주로 대상으로 합니다. 전통적인 키 분배 체계가 충분한 보장을 제공하지 않는 것으로 여겨지는 이러한 경우에는 일반적으로 택배를 통한 키 분배가 사용됩니다. 이는 본질적으로 거리 제한이 없으며, 긴 이동 시간에도 불구하고 대용량 휴대용 저장 장치의 가용성으로 인해 전송률이 높을 수 있다는 장점이 있습니다. 양자 키 분포의 가장 큰 차이점은 키의 가로채기를 감지하는 능력인 반면, 택배의 경우 키 보안을 입증하거나 테스트할 수 없다는 것입니다. QKD(양자키분배) 시스템도 안전한 인적 택배 네트워크보다 신뢰성이 높고 운영비가 저렴한 자동화의 장점이 있습니다.

Kak의 3단계 프로토콜은 암호 변환이 고전 알고리즘을 사용하는 양자 키 분배와 달리 완전히 양자적인 안전한 통신을 위한 방법으로 제안되었습니다.^[88]

높은 보안 영역 밖에서 양자 키 배포를 광범위하게 채택하지 못하는 요인으로는 장비 비용과 기존 키 교환 프로토콜에 대한 입증된 위협이 없다는 점이 있습니다. 그러나 이미 많은 국가에 광섬유 네트워크가 존재하기 때문에 인프라는 보다 광범위하게 사용될 수 있습니다.

양자 암호학의 표준화 문제를 해결하기 위해 유럽 통신 표준 연구소(ETSI)의 산업 사양 그룹(ISG)이 설립되었습니다.^[89]

유럽 계측 기관은 전용 프로젝트의 맥락에서 ^[90][91]QKD 시스템의 구성 요소를 특성화하는 데 필요한 측정을 개발하고 있습니다.

Toshiba Europe은 권위 있는 Institute of Physics Award for Business Innovation 상을 수상했습니다. 이는 도시바의 선구적인 QKD^[92] 기술을 인정한 것으로, 현재와 미래의 사이버 위협으로부터 통신 인프라를 보호하고 양자 인터넷으로의 길을 열어주는 영국 제조 제품을 상용화했습니다.

도시바는 또한 솔루션 부문에서 세미 그랑프리 상을 수상했습니다. QKD는 일본 최고의 전자 산업 무역 박람회인 CEATEC에서 수여하는 권위 있는 상인 CEATEC AWARD 2021에서 경제 산업 장관상을 수상했습니다.^[93]

정부기관 감가상각

일부 조직에서는 실용적인 사용에서 제기되는 문제점 때문에 "포스트 양자 암호법(또는 양자 저항 암호법)"을 대안으로 사용할 것을 권장했습니다. 예를 들어 미국 국가안보국, 유럽연합 사이버안보국(ENISA), 국가사이버안보센터(영국), 프랑스 국방안보국(ANSSI) 등이 추천하고 있습니다(자세한 내용은 서지를 통해 읽어보세요).^{[94][95][96][97]}

예를 들어, 미국 국가안보국은 다음과 같은 다섯 가지 문제를 다루고 있습니다.^[94]

1. 양자 키 분배는 부분적인 해결책일 뿐입니다. QKD는 기밀성을 제공하는 암호화 알고리즘을 위한 핵심 자료를 생성합니다. 원래의 QKD 전송이 원하는 엔티티(즉, 엔티티 소스 인증)에서 나온다는 암호학적 보증이 있는 경우, 이러한 키 자료는 대칭 키 암호 알고리즘에서도 무결성 및 인증을 제공하기 위해 사용될 수 있습니다. QKD는 QKD 전송 소스를 인증하는 수단을 제공하지 않습니다. 따라서 소스 인증에는 비대칭 암호화 또는 미리 배치된 키를 사용하여 해당 인증을 제공해야 합니다. 또한 QKD가 제공하는 기밀성 서비스는 양자 내성 암호화를 통해 제공될 수 있으며, 이는 일반적으로 더 잘 이해된 위험 프로파일로 비용이 덜 듭니다.
2. 양자 키 분배에는 특수 목적 장비가 필요합니다. QKD는 물리적 속성을 기반으로 하며 보안은 고유한 물리 계층 통신에서 비롯됩니다. 이를 위해서는 사용자가 전용 섬유 연결을 임대하거나 물리적으로 여유 공간 송신기를 관리해야 합니다. 소프트웨어로 구현하거나 네트워크의 서비스로 구현할 수 없으며, 기존 네트워크 장비에 쉽게 통합할 수 없습니다. QKD는 하드웨어 기반이기 때문에 업그레이드나 보안 패치에 대한 유연성도 부족합니다.
3. 양자 키 분배는 인프라 비용과 내부자 위협 위험을 증가시킵니다. QKD 네트워크는 신뢰할 수 있는 릴레이를 사용해야 하는 경우가 많으며, 보안 시설에 대한 추가 비용과 내부자 위협으로 인한 추가 보안 위험을 수반합니다. 이를 통해 많은 사용 사례가 고려 대상에서 제외됩니다.
4. 양자 키 분포를 확보하고 검증하는 것은 중요한 과제입니다. QKD 시스템이 제공하는 실제 보안은 물리 법칙의 이론적인 무조건적인 보안이 아니라 하드웨어 및 엔지니어링 설계로 달성할 수 있는 더 제한된 보안입니다. 그러나 암호화 보안의 오류 허용 오차는 대부분의 물리적 엔지니어링 시나리오보다 몇 배나 작기 때문에 검증이 매우 어렵습니다. QKD를 수행하는 데 사용되는 특정 하드웨어는 취약성을 유발하여 상용 QKD 시스템에 대한 몇 가지 잘 알려진 공격을 초래할 수 있습니다.^[98]
5. 양자키 분배는 서비스 거부의 위험을 증가시킵니다. QKD 보안 청구의 이론적 근거로서 도청자에 대한 민감성은 또한 서비스 거부가 QKD에 대한 중대한 위험임을 보여줍니다.

위의 문제 1에 대응하여, 포스트 양자 암호법(또는 양자 저항 암호법)을 이용하여 인증키를 전달하려는 시도가 세계적으로 제안되었습니다. 반면, 양자 저항 암호학은 계산 보안 등급에 속하는 암호학입니다. 2015년에. "정보이론적으로 안전하지 않은 인증키를 사용할 경우 시스템 전반에 대한 정보이론적 보안을 달성하기 위해 구현에 충분한 주의를 기울여야 한다"는 연구결과는 이미 발표된 바 있습니다(인증키가 정보이론적으로 안전하지 않은 경우). 정보 - theore으로 안전하며 공격자는 이를 파괴하여 모든 고전 및 양자 통신을 통제하고 중계하여 중간자 공격을 시작할 수 있습니다.) 민간기업인 에릭슨도 위와 같은 문제점을 인용하여 지적한 후 최근 네트워크 보안 기술의 추세인 제로 트러스트 보안 모델을 지원하지 못할 수 있다는 보고서를 제시하고 있습니다.^[100]

참고 항목

• 양자키 분배 프로토콜 목록
• 양자 컴퓨팅
• 양자 암호학
• 양자정보과학
• 양자 네트워크

참고문헌

외부 링크

총평 및 평

• 퀀텀 컴퓨팅 101
• Scientific American Magazine (2005년 1월호) 최고의 비밀 양자암호에 관한 비기술적 기사
• Physics World Magazine (2007년 3월호) 양자통신의 현황과 미래에 관한 비기술적 기사
• Scarani, Valerio; Bechmann-Pasquinucci, Helle; Cerf, Nicolas J.; Dušek, Miloslav; Lütkenhaus, Norbert; Peev, Momtchil (2009). "The Security of Practical Quantum Key Distribution". Rev. Mod. Phys. 81 (3): 1301–1350. arXiv:0802.4155. Bibcode:2009RvMP...81.1301S. doi:10.1103/RevModPhys.81.1301. S2CID 15873250.
• Nguyen, Kim-Chi; Gilles Van Assche; Cerf, Nicolas J. (2007). "Quantum Cryptography: From Theory to Practice". arXiv:quant-ph/0702202.
• 대규모 양자암호 네트워크를 구축하기 위한 SECOQC의 양자키 분배 및 암호학 유럽 프로젝트 백서에는 현재 QKD 접근 방식에 대한 논의와 고전 암호학과의 비교가 포함되어 있습니다.
• 암호학의 미래 2003년 5월 토마즈 그라보스키
• ARDA 양자암호 로드맵
• 앙리 푸앵카레 연구소 강의(슬라이드 및 비디오)
• 교육용 단일 광자를 이용한 대화형 양자암호 실증실험

보다 구체적인 정보

• Ekert, Artur (30 April 2005). "Cracking codes, part II plus.maths.org". Pass.maths.org.uk. Retrieved 28 December 2013. Artur Ekert의 얽힘 기반 양자 암호에 대한 설명.
• Xu, Qing (2009). Optical Homodyne Detections and Applications in Quantum Cryptography (PDF) (Thesis). Paris: Télécom ParisTech. Retrieved 14 February 2017.
• "Quantum Cryptography and Privacy Amplification". Ai.sri.com. Retrieved 28 December 2013. 샤론 골드워터의 BB84 프로토콜 및 프라이버시 증폭에 대한 설명입니다.
• Bennett, Charles H.; Brassard, Gilles (2014). "Quantum cryptography: Public key distribution and coin tossing". Theoretical Computer Science. 560: 7–11. arXiv:2003.06557. doi:10.1016/j.tcs.2014.05.025.
• 물리정보학 학술대회 Hot Topics 2013년 11월 11일 Wayback Machine에서 2016년 3월 4일 아카이브된 양자키 분배 보안에 관한 공개토론

추가정보

• Quantiki.org – 퀀텀 정보 포털 및 위키
• 인터랙티브 BB84 시뮬레이션

양자키 분배 시뮬레이션

• Wayback Machine에서 2016년 10월 25일 보관된 양자키 분배를 위한 온라인 시뮬레이션 및 분석 툴킷

양자암호연구단

• 얽힌 광자를 이용한 실험적 양자암호
• NIST 양자정보망
• 자유공간 양자암호
• 실험연속변수 QKD, MPL Erlangen
• 실험적 양자해킹, MPL Erlangen
• 양자 암호 실험실. Pljonkin A.P.

암호화용 양자 소자 판매 회사

• AUREA Technology는 양자 암호화를 위한 광학 구성 요소를 판매합니다.
• id Quantique, 퀀텀키 디스트리뷰션 제품 판매
• MagiQ Technologies, 암호화용 양자 기기 판매
• 연속파 레이저 기반 Qentessence Labs 솔루션
• SequreNet, 연속형 변수를 이용한 퀀텀키 디스트리뷰션 제품 판매

양자암호 연구 프로그램을 보유한 기업

• 도시바
• 휴렛 패커드
• IBM
• 미쓰비시
• 선관위
• NTT