3 Computação e informação quântica
4.1 Criptografia quântica
4.1.3 Ataques contra o protocolo BB
Apesar dos conceitos apresentados anteriormente indicarem que o protocolo BB84 é seguro em seu fundamento teórico, imperfeições que ocorrem invariavelmente na imple- mentação do protocolo permitem que alguns ataques possam ser efetuados explorando certas vulnerabilidades. As principais técnicas de ataques conhecidos são discutidas a seguir.
4.1.3.1 Ataque man-in-the-middle
O protocolo BB84 se torna totalmente vulnerável quando considerado o problema da autenticação do canal clássico. Em um cenário prático, onde o protocolo deve ser executado através de longas distâncias, é necessário um mecanismo que permita a Alice e Bob se certificarem de estarem se comunicando com quem esperam. A falta de tal mecanismo permite a Eva agir entre as partes da comunicação se fazendo passar por Bob para Alice e se passando por Alice para Bob. Ou seja, nesse caso Eva estabeleceria as chaves da comunicação com cada uma das partes sem que ela fosse notada.
4.1 Criptografia quântica 95
Uma das formas de contornar essa vulnerabilidade é a utilização de alguma técnica de autenticação das partes da comunicação, impedindo com isso que Eva se passe ou por Alice ou por Bob. Na proposta original de Charles Bennett (BENNETT; BRASSARD,
1984) é apresentado como sugestão para o problema da autenticação a técnica desen- volvida por Wegman e Carter (NAOR; YUNG, 1989), que se baseia na utilização de uma
função da classe das funções de Hash. Contudo, este método exige que uma pequena informação secreta seja estabelecida previamente por Alice e Bob para a escolha da função de Hash a ser utilizada. Pela natureza das funções Hash, a probabilidade de se deduzir a correspondência para a função sem conhecer essa informação prévia é extre- mamente baixa mesmo para capacidade computacional ilimitada, incluindo computação quântica.
A solução proposta no trabalho original mantém a segurança do protocolo, contudo implica no fato que o protocolo BB84 se comportaria como um mecanismo seguro de expansão de chaves a partir de um segredo prévio. Em alguns cenários, esta é uma utili- zação bastante útil, uma vez que em certos casos é possível as entidades da comunicação estabelecerem um segredo prévio por meio do encontro físico, mantendo comunicação remota segura indefinidamente após isso por meio da expansão desse segredo original utilizando o protocolo BB84.
Há casos, entretanto, que o estabelecimento de uma informação prévia é inviável, sendo este um dos principais motivadores para o desenvolvimento das técnicas de crip- tografia de chave pública apresentadas na seção 2.3. Uma alternativa para o problema de autenticação no protocolo BB84 poderia ser a utilização de algum dos métodos de au- tenticação discutidos no capítulo 2. Contudo, essa alternativa tornaria o protocolo BB84 tão vulnerável quanto os protocolos clássicos, uma vez que uma falha de autenticação no protocolo o torna totalmente vulnerável pelos motivos discutidos anteriormente.
Não há ainda uma solução definitiva para este problema. Contudo, diversas aborda- gens utilizando propriedades quânticas na obtenção de um método de autenticação mais seguro têm sido feitas, sendo que algumas propostas utilizando sistemas capazes de pro- cessar informação quântica são conceitualmente eficientes nessa tarefa, como aquelas apresentadas em (ZENG; KEITEL, 2002;WANG; ZHANG; TANG, 2006). Essas abordagens
o que torna a utilização da técnica mais difícil em um prazo próximo.
Neste trabalho é apresentada uma proposta adicional para a realização da autenti- cação do canal clássico no protocolo BB84, representada por um mecanismo de auten- ticação baseado em propriedades quânticas e compatível com o protocolo BB84. Este não necessita de processamento de informação quântica, mas tal como outros métodos clássicos necessita do compartilhamento de um pequeno segredo prévio. Esse método de autenticação será apresentado em detalhes sna seção 4.1.6.
4.1.3.2 Interceptação-reenvio
Essa é a estratégia de ataque mais acessível a Eva para tentar corromper o protocolo BB84. Nesse ataque Eva recebe os qubits provindos de Alice e realiza uma medição em uma das duas bases de medida do protocolo BB84, tal como faria Bob. Ela então prepara um qubit no estado igual ao medido por ela e então envia este a Bob. Eva tem uma chance de 50% de realizar a medição correta para o qubit enviada por Alice. Neste caso ela também enviará o estado correto a Bob, não sendo assim detectada. Contudo, para ≈ 50% da informação Eva vai causar uma descorrelação entre os resultados de Alice e Bob, o que ajudará Alice e Bob a detectar sua presença. Isso permite a Eva capturar ≈ 50% da informação referente a chave trocada por Alice e Bob, produzindo um aumento na taxa de erros de ≈ 25%. Contudo, para não ser detectada e tentar confundir os erros causados por sua presença com o erro intrínseco ao canal quântico, Eva aplica o ataque a apenas uma fração dos qubits enviados por Alice, por exemplo 20%, gerando uma taxa de erro de somente ≈ 5%, e obtendo cerca de 10% da informação acerca da chave trocada.
Por meio da estimativa da informação que Eva captura por meio desse ataque e dos demais ataques conhecidos é possível realizar o procedimento de amplificação de privacidade apresentado anteriormente de forma que a informação obtida por Eva seja tão pequena quanto desejado. A informação obtida pela técnica de interceptação/reenvio pode ser obtida da forma: se há t erros produzidos pelo canal quântico, então Alice e Bob podem estimar de forma conservadora que não mais que 4t + 5√12t dos seus bits foram submetidos a uma ação de interceptação/reenvio, sendo o segundo termo da expressão referente um desvio-padrão igual a 5 considerado devido a possíveis erros estatísticos.
4.1 Criptografia quântica 97
Com isso, Alice e Bob podem estimar que no pior caso que não mais que ξ bits, tal que:
ξ =(4/√2)t + 5 q
(4 + 2√2)t, (4.2)
foram capturados por Eva por meio desse tipo de ataque, estimativa baseada nos argu- mentos apresentados na referência (BENNETT et al., 1991). Considerando que erros na prática podem ser gerados por diversas fontes, a estimativa anterior é bastante conser- vadora uma vez que considera que todos os erros são devidos a uma ação de intercepta- ção/reenvio. Isso torna a estimativa mais segura.
4.1.3.3 Ataque beam-splitting
Outra fonte de obtenção de informação consiste em um ataque que utiliza a im- perfeição das implementações físicas do canal quântico para tentar extrair informação acerca da chave trocada por meio do protocolo. Frequentemente, os geradores de pulso de laser utilizados nas implementações do protocolo BB84 não produzem apenas um fóton por pulso, ocorrendo ocasionalmente a produção de mais de um fóton em cada pulso. Esse fóton em excesso pode ser utilizado por Eva por meio de uma técnica de divisão de feixe, o que permite que ela possa realizar uma medição sobre um dos fótons deixando inalterado o outro que é então enviado a Bob. A presença de Eva nesse caso é difícil de ser detectada uma vez que ela não altera o estado dos qubits que chega a Bob. Contudo, nas fontes de fótons atuais, a produção de mais de um fótons por pulso é marginal, tendo uma distribuição de probabilidade tipicamente equivalente a distribui- ção de Poisson (ver apêndice B.4.1). Isso permite que a informação marginal adquirida por Eva por meio de um ataque de beam-splitting possa ser adequamente tratada no processo de amplificação de privacidade. A informação obtida por Eva por meio desse ataque pode ser estimada da forma: considerado uma probabilidade µ de ocorrência de fótons por pulso, então a informação adquirida por Eva por meio deste ataque para N pulsos recebidos corretamente por Bob, i.e., medidos na base correta, pode ser de forma conservadora dada por σ bits, tal que:
O segundo termo da equação (4.3) refere-se a permissão de um desvio-padrão igual a 5, relacionado a consideração do pior caso, quando Eva tem mais sorte que a média na execução de divisões de feixe.
4.1.3.4 Ataques recentes
Recentemente foi proposta uma nova técnica de ataque ao protocolo BB84. Esta utiliza um circuito quântico determinístico que opera sobre dois qubits presentes em um único fóton. A proposta utiliza a característica de emanharamento e algumas das previ- sões teóricas do que se conhece como informação de Rényi para capturar informação da chave trocada por Alice e Bob a partir da existência de erros no canal quântico. Um am- biente de simulação para a técnica foi apresentado em (KIM et al., 2007), demonstrando que a técnica é válida e permite atacar o protocolo BB84.
Apesar da grande atenção que este trabalho atraiu, indicando que a criptografia quântica poderiam ser corrompida, a técnica se aplica somente em um caso bastante específico. Não cabe aqui a realização de uma descrição detalhada do procedimento. Contudo, uma consideração importante feita no ambiente de simulação proposto em (KIM et al., 2007) deve ser considerada. A aplicação da técnica se baseia no fato que Eva
tenha acesso físico ao módulo receptor de fótons de Bob. Esta é uma condição que não se aplica a um caso prático, uma vez que possibilidade que Eva tenha acesso físico ao aparato de Bob cria uma vulnerabilidade que vai além das propriedades da mecânica quântica.
Assim, a técnica de ataque proposta contribui na investigação dos limites fundamen- tais da segurança no protocolo BB84 na presença de espionagem e erros físicos realistas. Adicionalmente, cria uma situação adicional que deve ser considerada no desenvolvi- mento de técnicas para os procedimentos de reconciliação de informação e amplificação de privacidade. Dessa forma, este resultado não inviabiliza o protocolo BB84 tal como as técnicas desenvolvidas anteriormente.
4.1 Criptografia quântica 99