Resumos
Apresentamos de maneira detalhada os quatro protocolos de distribuição de chaves que fundaram a importante área da criptografia quântica, numa linguagem acessível a alunos de graduação em Física. Começamos pelo protocolo BB84, o qual se utiliza de estados de polarização de fótons para transmitir chaves criptográficas. Em seguida, apresentamos o protocolo E91, que faz uso de singletos para gerar uma seqüência de números aleatórios. Finalizamos este artigo apresentando o protocolo BBM92 e o B92, os quais podem ser vistos como simplificações dos dois primeiros protocolos.
criptografia quântica; teoria quântica da informação; emaranhamento
We show in details the four quantum key distribution protocols which initiated the important field of quantum cryptography, using an accessible language for undergraduate students. We begin presenting the BB84 protocol, which uses polarization states of photons in order to transmit cryptographic keys. Thereupon we show the E91 protocol, whose security is based on the use of singlet states to generate a random sequence of bits. We end the paper with the BBM92 and the B92 protocol. These last two protocols can be seen as simplified versions of the first two.
quantum cryptography; quantum information theory; entanglement
ARTIGOS GERAIS
Introdução à criptografia quântica
Introduction to quantum cryptography
Gustavo Rigolin1 1 E-mail: rigolin@ifi.unicamp.br. ; Andrés Anibal Rieznik
Instituto de Física Gleb Wataghin, Universidade Estadual de Campinas, Campinas, SP, Brasil
RESUMO
Apresentamos de maneira detalhada os quatro protocolos de distribuição de chaves que fundaram a importante área da criptografia quântica, numa linguagem acessível a alunos de graduação em Física. Começamos pelo protocolo BB84, o qual se utiliza de estados de polarização de fótons para transmitir chaves criptográficas. Em seguida, apresentamos o protocolo E91, que faz uso de singletos para gerar uma seqüência de números aleatórios. Finalizamos este artigo apresentando o protocolo BBM92 e o B92, os quais podem ser vistos como simplificações dos dois primeiros protocolos.
Palavras-chave: criptografia quântica, teoria quântica da informação, emaranhamento.
ABSTRACT
We show in details the four quantum key distribution protocols which initiated the important field of quantum cryptography, using an accessible language for undergraduate students. We begin presenting the BB84 protocol, which uses polarization states of photons in order to transmit cryptographic keys. Thereupon we show the E91 protocol, whose security is based on the use of singlet states to generate a random sequence of bits. We end the paper with the BBM92 and the B92 protocol. These last two protocols can be seen as simplified versions of the first two.
Keywords: quantum cryptography, quantum information theory, entanglement.
1. Introdução
Desde os primórdios da civilização o homem sempre se deparou com o problema de transmitir secretamente informações importantes. A ciência que estuda essa arte de se comunicar confidencialmente, tendo a certeza de que somente as partes interessadas terão acesso à informação, recebe o nome de criptografia.
Muitos dos modernos protocolos de criptografia anunciam publicamente o algoritmo utilizado para encriptar e decriptar a mensagem. Ao anunciar publicamente este procedimento, permitimos a todos, inclusive quem desejamos que não tenha acesso à mensagem, conhecer o modo de deixá-la secreta. A segurança desses protocolos se baseia apenas em uma longa seqüência de números aleatórios que o emissor (Alice) e o receptor (Bob) da mensagem devem compartilhar em segredo. Ninguém mais pode conhecer esses números. Ou seja, o sucesso desses protocolos depende exclusivamente da capacidade de os envolvidos na comunicação serem capazes de compartilhar essa seqüência de números aleatórios, também conhecida como chave criptográfica, certificando-se de que ninguém mais consiga ter acesso a ela.
Para compartilhar essa chave, Alice e Bob usam um canal clássico de comunicação. Por mais seguro que ele seja, em princípio ele pode ser monitorado por algum agente externo (Eva) sem que Alice e Bob percebam. Eva pode obter a chave, sem Alice e Bob notarem, pois qualquer informação clássica pode ser clonada. Eva pode, por exemplo, interceptar a chave enviada por Alice a Bob e, em seguida, reenviá-la a ele. Hoje em dia, no entanto, para contornar este problema utilizamos os, assim chamados, protocolos de chave pública (amplamente utilizados nas transações financeiras via internet). Sua segurança, porém, não é matematicamente provada e desabaria perante o aparecimento de computadores quânticos. Na seção seguinte nos detemos um pouco mais neste aspecto.
Agora, se Alice e Bob usarem um canal quântico de comunicação, eles terão certeza de que a transmissão da chave foi realizada com segurança total, ou de que ela foi interceptada por Eva. Essa segurança é baseada nas leis da mecânica quântica e, desde que aceitemos que ela é uma teoria completa no sentido de Bohr [1, 2], não há meio de se burlar essa segurança.
O primeiro protocolo de criptografia quântica, ou mais corretamente, protocolo de distribuição de chaves quânticas, foi proposto por Bennett e Brassard, no ano de 1984 [3]. Ele também é conhecido como protocolo BB84. É usual, entre os criptólogos, nomear um protocolo de criptografia usando-se as iniciais dos nomes dos autores que o criaram mais o ano de sua invenção. A transmissão da chave é feita enviando-se fótons que podem ser preparados em quatro estados de polarização. Os fótons, neste protocolo, não estão emaranhados. Entretanto, Artur K. Ekert criou um protocolo (E91) [4] que faz uso do estado de Bell |Y-ñ = (1/)(|01ñ- |10ñ) para transmitir chaves quânticas. Sua segurança está baseada na impossibilidade de violação da desigualdade de Clauser-Horne-Shimony-Holt (CHSH) [5]. Em 1992, Bennett, Brassard e Mermin [6] simplificaram o protocolo E91 criando o protocolo BBM92 e provaram de um modo muito simples e profundo a impossibilidade de as chaves serem conhecidas por outra pessoa sem Alice e Bob perceberem. Também em 1992, Bennett [7] criou o protocolo B92, no qual apenas dois estados de polarização de fótons são utilizados para se transmitir seguramente uma chave criptográfica.
Neste artigo discutimos em detalhes os quatro protocolos de transmissão de chaves quânticas acima mencionados. Pretendemos apresentá-los do modo mais simples e intuitivo possível, pois acreditamos que alguns deles já podem e devem ser ensinados durante um curso de graduação em Física. Alunos que já tenham ou estejam estudando mecânica quântica (MQ) conseguem, sem muito esforço, entendê-los. Acreditamos também que estes protocolos possam vir a ser ferramentas muito úteis até para se ensinar MQ, pois eles representam aplicações práticas e importantes de conceitos inerentes ao mundo quântico.
2. BB84
Uma das particularidades da criptografia quântica (CQ) está no fato de que a melhor forma de se começar a entendê-la e estudá-la consiste na leitura do primeiro artigo dedicado a esse assunto [3]. Em ciência isto é um fato raro. Não é comum recomendar a um aluno iniciando-se em alguma área do conhecimento a leitura dos artigos que a fundaram. Geralmente, após a aparição desses artigos, outros mais simples e pedagógicos são publicados, os quais são mais adequados para um aprendiz. Felizmente isso não ocorre com a CQ. De fato, a simplicidade da Ref. [3] a torna não somente ampla e unanimente reconhecida como a fundadora da CQ, como também, a nosso ver, a melhor introdução a essa área. Ela tem quatro páginas e está escrita numa linguagem tão clara, precisa e direta que qualquer aluno que tenha feito um curso introdutório de mecânica quântica pode entendê-la sem muito esforço. A Ref. [3] se enquadra na honrosa categoria de trabalhos científicos que podem ser lidos ao sofá, em 15 min, desfrutando-se de um bom café. No restante desta seção vamos fazer um resumo deste artigo, enfatizando aspectos que serão fundamentais para o entendimento dos outros protocolos de CQ apresentados nas seções seguintes. Para os leitores mais interessados, recomendamos com entusiasmo a leitura do trabalho original de Bennett e Brassard, o qual pode ser gratuitamente copiado a partir da página pessoal de Charles H. Bennett: www.research.ibm.com/people/b/bennetc/chbbib.htm.
Antes de iniciar a exposição do protocolo BB84, vale a pena dizer que este protocolo é usado em todos os sistemas bem-sucedidos de CQ instalados até hoje e, mais ainda, ele é o único oferecido por duas companhias especializadas em segurança de transmissão de dados. Assim, mesmo sendo o primeiro protocolo proposto na literatura, ele ainda é, apesar das muitas alternativas de CQ apresentadas a posteriori, aquele de maior importância prática e comercial.
A Ref. [3] apresenta, pela primeira vez, a idéia de que a mecânica quântica (MQ) pode ser utilizada para alcançar uma das principais metas da criptografia, i.e., a distribuição segura de uma chave criptográfica (seqüência de números aleatórios) entre duas partes (Alice e Bob) que inicialmente não compartilham nenhuma informação secreta. Para isso, Alice e Bob devem dispor não só de um canal quântico, mas também de algum canal clássico de comunicação. Este último pode ser monitorado passiva mas não ativamente por um agente externo (Eva). Por meio dessa chave, Alice e Bob podem com absoluta certeza se comunicar com segurança. A garantia da distribuição segura de chaves por meio da CQ se sustenta na validade da MQ tal qual a conhecemos. Em contraste, a criptografia de chave pública é considerada segura devido a um suposto grau de complexidade matemática inerente ao algoritmo de decodificação necessário para recuperar a mensagem criptografada se não conhecemos a chave privada. No entanto, esse resultado nunca foi matematicamente provado e não há nada que impeça a criação de um algoritmo (quem sabe ele já não esteja nas mãos de alguma agência de inteligência governamental) que possa facilmente decodificar, por meio de computadores convencionais, mensagens secretas oriundas de protocolos de chaves públicas. Pior ainda, a segurança da criptografia de chave pública tradicional desabaria perante o aparecimento de computadores quânticos, o que não aconteceria com sistemas de distribuição de chaves por CQ.
Na Introdução da Ref. [3], após uma breve digressão sobre sistemas criptográficos tradicionais, os autores explicitam claramente as novidades que serão apresentadas no artigo: como utilizar a MQ para (1) criar protocolos de transmissão segura de chaves criptográficas e (2) ''jogar cara-ou-coroa" sem possibilidade de enganar o oponente. Após a seção 2, onde os autores apresentam o formalismo a ser utilizado, na seção 3 discute-se o protocolo para distribuição de chaves e na seção 4 o protocolo para jogar cara-ou-coroa sem trapacear. Aqui expomos apenas o protocolo de transmissão de chave criptográfica, i.e., o famoso protocolo BB84.
Este protocolo utiliza-se de sistemas quânticos de dois níveis. Assim, os estados |0ñ e |1ñ representam fótons linearmente polarizados em direções ortogonais. Por exemplo, os estados |0ñ e |1ñ podem representar fótons que se propagam na direção z com campos elétricos oscilando no plano xy. As direções de polarização são representadas por vetores unitários. Usando coordenadas esféricas, de acordo com a notação definida na Fig. 1, precisamos de dois parâmetros (ângulos) para especificar uma direção de polarização.
Alice e Bob devem primeiramente escolher duas bases que serão utilizadas para a transmissão e recepção dos fótons. Cada base é composta por dois estados ortogonais de polarização. Eles podem escolher, por exemplo, polarizações contidas no plano xy (q = p/2). Tomando f = 0 e f = p/2 definimos as direções de polarização de uma das bases (base A). Usando f = p/4 e f = 3p/4 obtemos a outra (base B). Veja Fig. 2.
O estado de polarização de qualquer fóton pode ser representado como uma combinação linear de dois estados ortogonais de polarização. Dessa forma, por meio dos estados que formam a base A ou a base B, podemos representar qualquer estado de polarização de um fóton.
Alice e Bob também devem combinar previamente quais estados ortogonais de cada uma das bases representam o bit 0 e o bit 1. Isso pode ser feito via um canal tradicional (clássico) de comunicação. No nosso exemplo, utilizamos os fótons polarizados na direção f = 0 ou f = p/4 para representar o bit 0 (|0ñA e |0ñB) e aqueles com polarização na direção f = p/2 ou f = 3p/4 representando o bit 1 (|1ñA e |1ñB). Nesta notação, o subíndice em cada ket indica se temos fótons polarizados nos autoestados da base A ou B. Note que |0ñB = (1/)(|0ñA + |1ñA) e |1ñB = (1/)(|0ñA - |1ñA).
Alice, para transmitir a chave, procede da seguinte forma. Primeiro ela escolhe qual seqüência aleatória de bits enviará a Bob (vamos usar, por exemplo, 001111...). Depois, qual a base utilizada para transmitir cada bit. Ela pode transmitir os dois primeiros bits utilizando-se da Base A, os três bits seguintes utilizando-se da Base B, o bit seguinte utilizando-se novamente da Base A, e assim por diante. Dessa forma, ela estaria enviando a Bob uma seqüência de fótons representados pelos seguintes kets: |0ñA, |0ñA, |1ñB, |1ñB, |1ñB, |1ñA, etc. Bob, por sua vez, deve escolher apenas qual base ele irá utilizar para detectar cada fóton. Ele oscila entre as bases A e B aleatoriamente.
Após a transmissão e detecção dos fótons, Alice e Bob revelam publicamente quais bases utilizaram para enviar e detectar cada fóton, respectivamente. Mas Alice não revela se enviou 0s ou 1s e Bob não revela o resultado de suas medidas. Apenas as bases utilizadas (base A ou base B) são publicamente reveladas. A seguir, eles consideram apenas os resultados nos quais ambos utilizaram a mesma base, descartando todos os demais. Agora eles revelam publicamente uma parte destes resultados (metade, ou um terço, por exemplo). Se Eva não monitorou a transmissão, os resultados revelados por Bob e Alice devem coincidir; mas se ela a monitorou, a probabilidade de que todos os dados públicos coincidam é praticamente nula (provamos isso um pouco mais à frente). Se os dados revelados publicamente coincidirem, isso será uma prova de que Eva não monitorou a transmissão e eles podem usar o restante dos dados como a chave. (Por restante dos dados entendemos aqueles nos quais ambos usaram a mesma base para enviar e medir os fótons.) E aqui termina o protocolo.
Se Eva monitorou os dados, a parte da informação revelada publicamente por Alice e Bob não irá coincidir ou, mais rigorosamente, a probabilidade de que elas coincidam é praticamente nula. A prova deste fato é como segue. Para simplificar a demonstração e sem perda de generalidade, supomos que Alice, Bob e Eva utilizam metade das vezes a Base A e metade das vezes a Base B, Alice para transmitir e Eva e Bob para detectar os fótons. Se Alice e Bob utilizam a mesma base, a probabilidade de Eva usar a mesma base vale 0.5 (se Alice e Bob utilizaram a Base A, por exemplo, a probabilidade de Eva também ter utilizado essa base é 0.5). Agora, se Eva utiliza para monitorar os fótons a outra base, a probabilidade de Bob medir corretamente o valor do bit transmitido é de apenas 0.5 e não 1, como deveria ser se não tivéssemos um espião ou se Eva tivesse optado pela base correta. Formalmente, suponhamos que Alice enviou o fóton representando o bit 1, na Base A (|1ñA ) e Bob corretamente mediu na base A, porém Eva mediu o fóton, antes de ele chegar a Bob, na base B. Procedendo dessa forma, Eva terá colapsado o estado de polarização dos fótons em um dos autovetores da base por ela utilizada, i.e., |0ñB = (1/)(|0ñA + |1ñA) ou |1ñB = (1/)(|0ñA - |1ñA). Assim, quando Bob realizar sua medida, a chance de ele medir, |1ñA é de apenas (1/)2 = 0.5, independente do resultado obtido por Eva. O fato de Eva escolher a base errada implica, para um evento, uma probabilidade igual a 0.5 de Bob detectar o valor correto para o bit transmitido por Alice. Para uma chave muito grande, a probabilidade de Bob detectar todos os bits corretamente, com Eva interferindo, tende a zero ou, mais rigorosamente, a (0.5)N, onde N é o número de vezes que Eva usou a base errada.
Vale a pena lembrar que estados quânticos arbitrários não podem ser clonados. Isso foi demonstrado independentemente por Wootters e Zureck [8] e por Dieks [9]. Isso garante que Eva não pode simplesmente duplicar o estado quântico dos fótons enviados por Alice, medir um deles e enviar a Bob o outro. Isso possibilitaria a Eva detectar a polarização correta dos fótons transmitidos por Alice sem ser descoberta, tornando o protocolo BB84 inseguro.
Para melhor entender todas as etapas do protocolo, a Tab. 1 simula um exemplo de transmissão de chave quântica. Consideramos uma situação bem geral, na qual alguns fótons podem se perder durante a transmissão, de forma que Bob não os recebe.
Finalizamos esta seção contando dois fatos relacionados ao nascimento desta primeira proposta de CQ. Acreditamos que estas duas histórias são de interesse para estudantes de graduação em Física. Ambas foram extraídas do livro The Code Book, de Simon Singh []. Elas revelam bastante bem as angústias e momentos de tensão pelas quais muitos Físicos passam durante alguns (para não dizer vários) momentos de suas vidas profissionais.
A primeira delas trata-se de uma pessoa que estava à frente de seu tempo: Stephen Wiesner, quem, em 1960, teve a idéia de utilizar a MQ de forma parecida a utilizada hoje em CQ. Ele demonstrou a possibilidade teórica de se fazer ''dinheiro quântico", impossível de ser falsificado graças a um sistema de armazenamento quântico de bits. Longe de prática, a idéia era, porém, revolucionária. Anos mais tarde Bennett e Brassard inspiraram-se nessa idéia de ''dinheiro quântico" para criar o protocolo BB84. Contudo, o mais interessante dessa história consiste em a idéia de Wiesner ter sido absolutamente ignorada no seu tempo. O seu orientador pediu-lhe que abandonasse a idéia e voltasse ao ''trabalho", mostrando total desinteresse por ela. Conta Wiesner: ''Não obtive nenhum apoio do meu orientador de tese - ele não mostrou o mínimo interesse pela minha idéia. Mostrei-a para outras várias pessoas e todas fizeram uma cara de estranheza e voltaram ao que já estavam fazendo naquela hora". Apesar disso, Wiesner submeteu a sua idéia para ser publicada numa revista científica. O artigo foi recusado. Submeteu-o a outras três revistas, e outras três vezes ele foi recusado. Desiludido, e consciente do grande interesse de Bennett por assuntos mais amplos, Wiesner enviou o seu rejeitado artigo a ele. Bennett ficou imediatamente fascinado pela idéia, mostrando-a para Brassard. Alguns anos depois, os dois juntos, inspirados na idéia de utilizar a MQ como proposto por Wiesner, inventaram o hoje em dia reconhecido e aclamado campo da CQ.
A segunda história pitoresca refere-se ao exato momento no qual Bennett e Brassard inventaram o protocolo BB84. Em 1984 fazia já algum tempo que ambos vinham tentando achar uma solução para o problema da distribuição de chaves, num cenário futurístico onde a computação quântica inviabilizara os atuais métodos de criptografia de chave pública. Um dia, quando estavam esperando o trem que levaria Brassard a seu lar, em Montreal, desde os laboratórios Thomas. J. Watson, da IBM, onde Bennett trabalhava, a solução para o problema surgiu. Esperando o trem na estação Croton-Harmon, conversando descontraída e informalmente, num momento de eureka, eles tiveram a brilhante idéia que levou ao protocolo BB84. Como afirma Simon Singh em The Code Book, se o trem tivesse chegado apenas alguns minutos antes eles teriam se despedido sem fazer nenhum progresso no problema da distribuição de chaves.
3. E91
Alice e Bob dispõem, agora, de um canal quântico que emite singletos: |Y-ñ = (1/)(|01ñ-|10ñ)2 2 Vale a pena observar que o estado |Y -ñ é um estado emaranhado e não-local. Ele não pode ser escrito como um produto tensorial de um único estado pertencente a Alice e de um outro pertencente a Bob. . Alice recebe um dos constituintes do singleto enquanto Bob recebe o outro. Vamos supor, sem perder em generalidade, que as partículas viajam até Alice e Bob ao longo da direção z. Ao receberem-nas, Alice e Bob medem o spin de suas partículas ao longo da direção ai e bj, respectivamente. O vetor ai (bj) é unitário e caracterizado pelos ângulos polar () e azimutal (). Veja a Fig. 2. Tanto Alice quanto Bob orientam, aleatoriamente para cada medida de spin, seus detectores ao longo de três vetores contidos no plano xy, i.e. = = p/2. Os ângulos azimutais que caracterizam estes vetores são: = 0, = p/4 e = p/2 para Alice, e = p/4, = p/2 e = 3p/4 para Bob.
A partir destes vetores, podemos definir o coeficiente de correlação de medidas de spin (polarização) ao longo das direções ai e bj como sendo
Aqui P00(ai,bj),P11(ai,bj), P01(ai,bj) e P10(ai,bj) representam a probabilidade de obtermos os resultados (+1,+1), (-1,-1), (+1,-1) e (-1,+1) ao longo das direções ai e bj, respectivamente. Atribuímos o valor 1 para uma medida do estado |0ñ e valor -1 para uma medida do estado |1ñ. Assim, o coeficiente de correlação nada mais é do que a probabilidade de Alice e Bob medirem o mesmo valor de spin menos a probabilidade de obterem valores diferentes.
Para um estado puro, a Eq. (1) pode ser escrita da seguinte forma,
onde = ai ·sª e = bj ·sB, sª = e sB = e o ponto representa o produto escalar. Para vermos isso basta lembrar que qualquer estado puro de dois qbits pode ser escrito como |Y-ñ = , com a,b,c e d complexos, autovetor de e img18 autovetor de . Substituindo essa expansão de |Y-ñ na Eq. (2) obtemos
Agora, como |a|2 = P00(ai,bj), |d|2 = P11(ai,bj), |b|2 = P01(ai,bj) e |c|2 = P10(ai,bj), recuperamos a Eq. (1) a partir de (2).
Sendo as componentes cartesianas dos vetores ai = (ax,ay,az) e bj = (bx,by,bz) temos que
Já que Ä é um observável (sua média tem que ser real) e sy|0ñ = i|0ñ e sy|1ñ = - i|1ñ, somente termos com um número par de sy's na Eq. (4) são relevantes no cálculo de E(ai, bj). Além disso, como as aplicações de sx e sy em |0(1)ñ produzem estados ortogonais e a aplicação de sz produz apenas uma fase global no estado em que ele atua, termos que possuem um número ímpar de sz's se anulam. Dessa forma, os únicos termos da Eq. (4) contribuindo no cálculo de E(ai, bj) são:
Como era de se esperar, se Alice e Bob medem seus qbits na mesma direção, ai = bj, obtemos E(ai, ai) = -1. Isto expressa, para este caso em particular, o fato de que o novo estado descrevendo o par de qbits sempre será |01ñ ou |10ñ, não importando a orientação do vetor ai.
Precisamos definir só mais uma quantidade [5] antes de apresentarmos o protocolo de transmissão de chave quântica [4]:
Como o ângulo formado por todos os pares de vetores que aparecem acima vale p/4, exceto para o par a1 e b3, o qual é de 3p/4, temos que E(a1, b1) = - E(a1, b3) = E(a3, b1) = E(a3, b3) = -/2. Portanto,
Voltando ao protocolo, após Alice e Bob finalizarem as medidas nos vários pares de qbits oriundos de singletos, eles anunciam publicamente as orientações escolhidas para cada medida e se detectaram ou não seus qbits. Eles descartam todas as medidas em que pelo menos um deles não detectou nenhum qbit. Isso ocorre pois o detector não tem eficiência um. Em seguida eles separam todas as suas medidas em dois grupos: 1) grupo de todas as medidas nas quais Alice e Bob usaram orientações diferentes em seus detectores; 2) grupo onde ambos usaram a mesma orientação ({a2, b1} e {a3,b2}). Feita essa triagem, Alice e Bob anunciam publicamente os resultados obtidos para todas as medidas do grupo 1. A partir destes dados eles calculam S, cujo resultado deve ser igual ao fornecido pela Eq. (7). Se esse resultado se verificar, eles podem utilizar os dados do grupo 2, os quais estão anti-correlacionados, como chave criptográfica. Caso o valor de S não seja aquele dado pela Eq. (7), Alice e Bob descartam todos os seus dados e recomeçam o protocolo.
A fim de provar a segurança desse protocolo, devemos calcular o valor de S supondo que um terceiro sujeito, diga-se Eva, interfira na transmissão dos qbits. Suponhamos que Eva meça os qbits de Alice e Bob numa direção na e nb, respectivamente. Dessa forma, ao medir o singleto Eva obtém uma das quatro possibilidades abaixo representadas:
onde são os autoestados dos operadores e .
Vamos definir as funções |a(na,nb)|2, |b(na,nb)|2, |g(na,nb)|2 e |d(na,nb)|2 para representar as probabilidades de detecção de cada uma das respectivas quatro possibilidades acima expostas. Explicitamos a dependência das probabilidades em termos das orientações na e nb para realçar que elas dependem da estratégia de medida utilizada por Eva. Sendo assim, o estado misto que chega a Alice e Bob após Eva realizar suas medidas é:
Para um estado misto qualquer, a Eq. (1) pode ser escrita como:
Novamente podemos ver isso expandindo z na base , no qual n,m,k,l = 0,1. Temos no total 16 vetores. No entanto, ao tomarmos o traço, apenas os elementos da diagonal serão diferentes de zero. Estes, por sua vez, são dados por P00(ai,bj), P11(ai,bj), - P01(ai,bj) e - P10(ai,bj), mostrando que a Eq. (10) é equivalente a Eq. (1).
Para simplificar as contas, e sem perder em generalidade, podemos expandir o vetor ai num sistema de referência x'y'z', onde z' é paralelo a na e o vetor bj num sistema x''y''z'' onde z'' é paralelo a nb. Fizemos esta escolha de tal forma que as relações abaixo sejam satisfeitas:
Nestes sistemas de coordenadas,
onde x',y', z' e x'',y'',z'' são os versores que expandem, respectivamente, os sistemas de referência x'y'z' e x''y''z''.
Usando as expansões anteriores podemos escrever os operadores e da seguinte forma:
Por meio das Eqs. (23) e (24) vemos que:
Retornando ao cálculo do coeficiente de correlação, vemos que substituindo a Eq. (9) em (10) temos:
onde S = Ä .
Observando as Eqs. (11-16), os únicos termos de Ä que contribuem no cálculo de E(ai, bj) são:
Na expressão anterior Sz = e f(na,nb) = |a(na,nb)|2 - |b(na,nb)|2 - |g(na,nb)|2 + |d(na,nb)|2. Como a soma do módulo quadrado dos coeficientes da expansão de z vale 1, então |f(na,nb)|< 1.
Por meio das Eqs. (19-22) obtemos
Assim, a Eq. (25) é reescrita como:
onde tomamos o módulo de f(na,nb) para enfatizar que sempre podemos tê-lo positivo, simplesmente redefinindo os eixos na e nb.
Além disso, Eva pode mudar sua estratégia de medida para cada par interceptado, bastando para isso alterar a orientação de na e nb. A função de correlação final se torna, pois,
onde (na,nb) é probabilidade de cada estratégia3 3 Se ( n a, n b) = | f( n a, n b)|d( n a - n' a)d( n b - n' b) recuperamos a Eq. (28). Ou seja, Eva fixou uma estratégia e a manteve para todas as medidas. utilizada por Eva, i.e., ò dnadnb(na,nb) = 1.
Finalmente, usando a Eq. (29) a função S pode ser assim escrita:
Agora, como todos os vetores que aparecem na Eq. (30) são unitários, todos os produtos escalares têm módulo menor ou igual a 1. Assim,
Analisando o termo entre chaves na Eq. (31) vemos que ele é da forma |x - y| + |x + y|, onde x = b1 ·nb e y = b3 ·nb. Mas |x - y| + |x + y| < |x| - |y| + |x| + |y| = 2|x|, se |x| > |y| ou |x - y| + |x + y| < |y| - |x| + |x| + |y| = 2|y|, se |x| < |y|. Portanto, |x - y| + |x + y| < max{2|x|,2|y|}. E como |x| < 1 e |y| < 1 então |x - y| + |x + y| < 2. Usando este último resultado na Eq. (31) e lembrando que (na,nb) está normalizada,
A Eq. (32) claramente mostra que qualquer interferência feita por Eva nos pares de qbits que se dirigem até Alice e Bob pode ser detectada por eles, pois nunca Eva conseguirá ao mesmo tempo extrair alguma informação e reproduzir o valor S = -2. Eva, no máximo4 4 Se tivéssemos utilizado explicitamente as orientações de a 1, a 3, b 1 e b 3, teríamos obtido um limite superior ainda menor: | S| < . , fará com que os estados que cheguem a Alice e Bob alcancem S = -2 , não importando a engenhosidade de sua estratégia. É neste sentido que devemos considerar como garantido pelas leis da física o segredo da chave criptográfica transmitida.
4. BBM92
Podemos simplificar ainda mais o protocolo anterior [6]. Agora, ao invés de Alice e Bob orientarem seus detectores aleatoriamente em três direções, eles necessitam apenas de duas direções. Eles orientam seus polarizadores ou na direção x ou na direção y. Note que ambas as direções formam um ângulo de 90º.
Novamente, Alice e Bob anunciam publicamente a orientação de cada polarizador em cada medida. No entanto, eles não informam os resultados. Em seguida, eles descartam todas as medidas nas quais foram utilizadas orientações diferentes. São mantidos apenas os eventos cujos polarizadores foram orientados numa mesma direção. Se Eva não interferiu, toda medida onde ambos utilizaram uma mesma direção para seus polarizadores deve estar anticorrelacionada. Dessa forma, a grandeza
se Eva não interfere. Isso ocorre pois para o singleto E(x,x) = E(y,y) = -1. Agora, se Eva interfere, mostramos na seção anterior que:
Portanto,
A última desigualdade vem do fato de que na e nb são unitários. Observando a Eq. (35) vemos que não há meios de Eva atingir o valor de S dado pela Eq. (33). Assim, usando uma parte dos resultados válidos, Alice e Bob podem calcular S. Se seu valor for dado pela Eq. (33), eles utilizam a outra parte dos resultados como chave. Caso o valor de S seja diferente, eles descartam todas as medidas e recomeçam o protocolo.
Na verdade, este protocolo é equivalente ao BB84. Para ver isso, basta notar que as medidas de fótons com os polarizadores orientados na direção x (y) são equivalentes, no protocolo BB84, aos fótons preparados por Alice na base A (B) e medidos por Bob também nessa mesma base. A única diferença entre os dois protocolos está na escolha dos números aleatórios a serem transmitidos. No BB84 essa escolha é feita por Alice ao escolher em qual base ela prepara seu fóton. Por outro lado, no BBM92 Alice não tem mais essa liberdade. Nesse protocolo a seqüência é gerada no momento em que Alice mede os seus fótons de cada singleto.
Para mostrar a segurança destes protocolos, precisamos provar que toda medida que não perturbe estados não-ortogonais não fornece nenhuma informação sobre eles. Sejam |uñ e |vñ estes estados, i.e., áu|vñ ¹ 0. Vamos representar pela transformação unitária U a interação entre os estados de Eva, nossa espiã, com os estados transmitidos por Alice. O estado inicial de Eva é |añ. Este estado é bem geral. Eva pode usar quantos fótons julgar necessário. Assim, para que Alice e Bob não percebam que Eva interferiu na transmissão,
Aqui, |a'ñ e |a''ñ são outros dois estados possíveis de Eva. Usando o fato de que U é uma transformação unitária,
A última igualdade decorre de |uñ e |vñ não serem ortogonais. Mas a Eq. (38) nos diz que |a'ñ e |a''ñ são idênticos (estamos assumindo sempre estados normalizados). Dessa forma, qualquer medida que não perturbe os estados não-ortogonais não fornece nenhuma informação que permita a Eva distinguir entre eles. Provamos, assim, e de maneira bem geral, a segurança de qualquer protocolo que se utilize de estados não-ortogonais.
5. B92
Neste artigo [7] é demonstrada a possibilidade de se realizar CQ utilizando apenas dois estado quânticos não-ortogonais (no protocolo BB84 [3] tínhamos quatro estados). Sua importância é mais conceitual do que prática, pois esta proposta é difícil de ser implementada com as tecnologias atuais. A motivação que levou Bennett a propor este protocolo é declarada no início de seu artigo: ''Na Ref. [6] a segurança dos sistemas de distribuição de chaves que não se utilizam de emaranhamento (BB84 é um exemplo) advém do fato de que qualquer medida que não perturbe nenhum dos dois estados não-ortogonais também não fornece nenhuma informação que permita distinguir entre esses dois estados. Isto naturalmente sugere a possibilidade de que a distribuição de chaves possa ser realizada utilizando apenas dois estados não-ortogonais...'' (tradução e ênfase nossas).
A demonstração de que apenas dois estados não-ortogonais são suficientes é como se segue. Sejam |Añ e |Bñ dois estados não-ortogonais (áA|Bñ ¹ 0) e sejam PA = - |BñáB| e PB = - |AñáA|, onde é o operador identidade. PA e PB são operadores de projeção em espaços ortogonais a |Bñ e a |Añ, respectivamente (note os índices trocados). Dessa forma, PA aniquila |Bñ (PA|Bñ = 0), mas fornece um resultado positivo com probabilidade Tr[PA|AñáA|] = 1-|áA|Bñ|2 quando é aplicado em |Añ. Resultado semelhante obtemos para PB. Alice e Bob devem combinar de antemão quais serão os estados |Añ e |Bñ utilizados e qual corresponderá ao bit 0 e qual ao bit 1. |Añ pode representar um fóton com polarização linear na direção dada por q = p/2 e f = 0 e |Bñ um fóton com orientação de polarização dada por q = p/2 e f = p/4. Veja Figs. 1 e 2. Para começar a distribuição de chaves, Alice deve primeiramente escolher uma seqüência de bits e enviá-la a Bob codificando-a usando os estados |Añ (bit 0) e |Bñ (bit 1). Bob, por sua vez, escolhe aleatoriamente para cada estado recebido de Alice qual medida realizará: PA ou PB. Terminada a transmissão, Bob anuncia publicamente para quais bits ele obteve resultados positivos sem, no entanto, informar o tipo de medida feita (se PA ou PB). São estes bits que serão utilizados por Alice e Bob para obter a chave criptográfica. Como nos outros esquemas de CQ, alguns destes bits devem ser sacrificados para checar se Eva monitorou a comunicação. Assim, Bob publicamente informa que base utilizou para medir alguns de seus fótons. Se Eva não interferiu, todas as medidas nas quais Bob obteve um resultado positivo devem corresponder a duas únicas possíveis situações: 1) Alice enviou um estado |Añ e Bob mediu PA ou 2) Alice enviou |Bñ e Bob mediu PB. Caso ocorra um evento positivo para uma outra situação, Alice e Bob descartam seus bits pois Eva interferiu na transmissão. Se apenas estes dois eventos positivos ocorreram, eles têm certeza da segurança da chave, a qual é constituída pelos bits restantes.
Mostramos, agora, uma maneira de se implementar o protocolo B92. Como dito no parágrafo anterior, supomos que |Añ e |Bñ representam estados de polarização linear de fótons. As direções de polarização de ambos os fótons diferem de 45º. Em coordenadas esféricas, para |Añ temos f = 0 e para |Bñ temos f = p/4. Assim, a medida PA pode ser feita utilizando um polarizador orientado na direção dada por f = 3p/4 (um polarizador transmite fótons com probabilidade cos2a, onde a é o ângulo entre as direções de polarização do fóton e do polarizador). A medida de PB é realizada por um polarizador orientado na direção f = p/2. Veja Figs. 1 e 2. Dessa forma, quando Alice enviar um fóton representado pelo estado |Añ (|Bñ) ele não será detectado por Bob quando ele fizer uma medida PB (PA), pois PB|Añ = 0 (PA|Bñ = 0). Este resultado já era esperado pois temos, para estes casos, direções de polarização dos fótons ortogonais às direções dos polarizadores. No entanto, quando Alice enviar o estado |Añ (|Bñ) e Bob medir PA (PB), ele terá 50% de chance de detectar um fóton (resultado positivo). Isso ocorre pois o ângulo entre as direções de polarização dos fótons e dos polarizadores é de 45º. Neste esquema, se Alice enviou metade das vezes fótons descritos por |Añ e metade das vezes fótons descritos por |Bñ e supondo que Bob mediu metade das vezes PA e metade das vezes PB, em apenas 25% das vezes Bob obterá um resultado positivo. Em outras palavras, metade das vezes ele não detectará nada porque o eixo do seu polarizador será colocado numa direção perpendicular à direção de oscilação dos fótons e, para a outra metade, somente a metade fornecerá um resultado positivo, devido ao eixo do polarizador estar a 45º em relação ao eixo de polarização dos fótons. E mais, se eles ainda sacrificarem metade dos bits para testar a não interferência de Eva, eles obterão, no final, como chave, uma seqüência aleatória de bits de tamanho igual a 1/8 do tamanho da seqüência original enviada por Alice.
Reiteramos que o protocolo B92 é conceitualmente importante pois mostra a possibilidade de se fazer CQ utilizando apenas dois estados não-ortogonais. Isso pode ajudar numa compreensão mais intuitiva da CQ. Além disso, a nosso ver, é fácil imaginar uma montagem experimental utilizando apenas polarizadores para detectar os fótons, como feito no parágrafo anterior. Essa simplicidade da montagem via polarizadores, o uso de apenas dois estados e mais o fato de que a maioria dos estudantes tem uma boa intuição física do que acontece quando um fóton passa por um polarizador fazem do B92 um protocolo muito útil para se apresentar a iniciantes no assunto.
6. Discussão e Conclusão
Neste artigo apresentamos de maneira acessível a estudantes de graduação em Física os quatro protocolos de distribuição de chaves quânticas que fundaram a área da criptografia quântica (CQ).
O primeiro deles, o protocolo BB84, é recomendado também como texto introdutório a esse assunto. Devido a sua clareza e concisão, ainda hoje consideramos a Ref. [3] uma ótima opção para se introduzir CQ a estudantes de Física.
O protocolo E91 requer um pouco mais de conhecimento do estudante. Contudo, com um pouco de esforço e uma introdução às desigualdades de Clauser, Horne, Shimony e Holt [5] ele também pode ser ensinado durante um curso de graduação em Física.
Os outros dois protocolos, por se tratarem de extensões e simplificações dos protocolos anteriores, são facilmente entendidos por estudantes que já dominaram o assunto dos primeiros dois protocolos.
Enfim, acreditamos na viabilidade de se ensinar CQ durante um curso de graduação em Física. E mais, ensinar CQ pode ser também extremamente vantajoso para convencer um público mais amplo da importância da mecânica quântica.
Recebido em 16/6/2005; Aceito em 6/10/2005
- [1] N. Bohr, Phys. Rev. 48, 696 (1935).
- [2] A. Einstein, B. Podolsky and N. Rosen, Phys. Rev. 47, 777 (1935).
- [3] C.H. Bennett and G. Brassard, in Proceedings of IEEE International Conference on Computers Systems and Signal Processing (Bangalore, Índia, 1984), p. 175.
- [4] A.K. Ekert, Phys. Rev. Lett. 67, 661 (1991).
- [5] J.F. Clauser, M.A. Horne, A. Shimony and R.A. Holt, Phys. Rev. Lett. 23, 880 (1969).
- [6] C.H. Bennett, G. Brassard and N.D. Mermin, Phys. Rev. Lett. 68, 557 (1992).
- [7] C.H. Bennett, Phys. Rev. Lett. 68, 3121 (1992).
- [8] W.K. Wootters and W.H. Zurek, Nature 299, 802 (1982).
- [9] D. Dieks, Phys. Lett. A 92, 271 (1982).
- [10] S. Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography (First Anchor Books Edition, New York, 2000).
Datas de Publicação
-
Publicação nesta coleção
28 Mar 2006 -
Data do Fascículo
Dez 2005
Histórico
-
Aceito
06 Out 2005 -
Recebido
16 Jun 2005