Привет, Хабр! Специалисты отдела квантовых технологий и отдела аппаратных решений и мелкосерийного производства ИнфоТеКС немного расскажут о процессе производства квантового оборудования, применяемого в отечественных системах криптографической защиты информации. В этой статье мы остановимся подробно на детекторах одиночных фотонов, процесс калибровки которых является важнейшим этапом при производстве систем квантового распределения ключей. Выбор итоговых значений основных параметров детекторов одиночных фотонов серьезно влияет на функционирование и характеристики квантового оборудования, именно поэтому данному процессу следует уделять особое внимание.
Надеемся, что статья будет интересна инженерам, физикам и специалистам по информационной безопасности.
Общие принципы работы квантового распределения ключей
Квантовое распределение ключей (КРК; англ. quantum key distribution, QKD) – это подход по безопасному в смысле секретности формированию общей случайной последовательности бит, которая может быть использована как секретный ключ для классических криптографических средств защиты информации.
Отправитель (Алиса) передает закодированные специальным образом образом квантовые состояния, а получатель (Боб) измеряет эти квантовые состояния по правилу, которое называется квантовым протоколом. Дополнительной информацией, необходимой для работы квантового протокола, стороны обмениваются по отдельному классическому каналу связи с двухсторонней аутентификацией, называемому служебным (Рис. 1).
Вначале Алиса подготавливает последовательность случайных битов с помощью своего генератора случайных чисел (ГСЧ_А). Одна часть этих битов используется для выбора параметров кодирования (базисов) второй части битов. Например, поляризационный метод позволяет использовать разные углы поляризации для кодирования 0 и 1 второй части битов в зависимости от значения первой части битов. При фазовом методе кодирования используется сдвиг фазы когерентного лазерного излучения. При этом важно, чтобы информация передавалась одиночными индивидуально кодируемыми фотонами или хотя бы в квазиоднофотонном режиме, когда лазерное излучение ослаблено до почти однофотонного уровня. Закодированная порция информации называется квантовым состоянием или квантом.
Боб принимает переданные Алисой фотоны и проводит их измерение исходя из выбранных самостоятельно параметром кодирования. Для их выбора Боб использует собственный генератор случайных чисел ГСЧ_Б, независимый от Алисы. Для измерения обычно используются один или несколько приемников оптического излучения, чувствительных к низкоинтенсивному свету (до уровня одиночного фотона) – детекторов одиночных фотонов.
После отстрела серии квазиоднофотонных импульсов Алиса и Боб обмениваются информацией по служебному каналу. Боб сообщает Алисе базисы, которые были выбраны им для измерений, но сами результаты измерений остаются в секрете. Алиса сообщает, в каких случаях Боб выбрал те же базисы, в которых она кодировала информацию при отправке. Измерения, в которых у Алисы и Боба не было совпадения базисов, отбрасываются, поскольку их результат согласно квантовой теории непредсказуем. Оставшиеся результаты измерения известны Алисе, так как они взяты из второй части битов при генерации импульсов, и известны Бобу, так как он выбрал тот же базис, что и Алиса. Эти результаты называются просеянным ключом.
Затем просеянный ключ подвергается постобработке: исправлению ошибок, усилению секретности и другим операциям для получения квантового ключа и передачи его в шифратор.
В соответствии с теоремой о запрете клонирования невозможно создать идеальную копию неизвестного квантового состояния, поэтому и попытка злоумышленника вмешаться в процесс передачи квантовых состояний в квантовом канале может быть обнаружена через рост одного из важнейших показателей работы системы КРК – частоты квантовых битовых ошибок (англ. Quantum Bit Error Rate, QBER). Правда, стоит отметить, что однозначным признаком атаки уровень QBER не является, а на его уровень влияет и собственный шум системы. Тем не менее обычно делается предположение, что уровень QBER – это всегда та часть передаваемой квантовой информации, которая может оказаться доступной злоумышленнику. Чем больше информации может быть у злоумышленника, тем меньше этой информации у Алисы и Боба. Для каждого квантового протокола существует такой предельный уровень QBER, при котором Алиса и Боб не могут быть уверены в том, что у них вообще есть информация, отсутствующая у злоумышленника. В этом случае невозможно сформировать общий для Алисы и Боба секретный квантовый ключ.
Детекторы одиночных фотонов
Как мы выяснили ранее, следуя квантовому протоколу Боб принимает ослабленное лазерное излучение с фотонами, несущими закодированную информацию, и проводит измерения с помощью однофотонных детекторов. Детектор одиночных фотонов представляет собой один из ключевых узлов системы КРК. Обычно он располагается на приемной стороне квантового канала (на Бобе) после всех элементов оптического тракта и непосредственно обеспечивает преобразование долетевших до него фотонов в электрические сигналы.
Принцип действия, режим работы
В настоящее время наиболее распространенными детекторами для регистрации одиночных фотонов в системах КРК являются лавинные фотодиоды (ЛФД; англ. single-photon avalanche diode, SPAD). Подобные ЛФД имеют малые габариты (до одного дециметра) и не требуют сверхнизких температур и громоздких криогенных установок. Охлаждение до рабочих температур от минус 40 °C до минус 60 °C реализуется применением элементов Пельтье.
Общий принцип детектирования однофотонных квантовых состояний состоит в следующем. ЛФД работает в режиме Гейгера (Geiger Mode). Это значит, что к моменту достижения фотоном фоточувствительной области, на детектор подается импульс напряжения (стробирующий импульс), переводящий его в область выше напряжения пробоя. Таким образом, поглощение даже одного фотона дает отклик в виде самоподдерживающейся лавины электрон-дырочных пар.
К настоящему времени такие ЛФД серийно выпускают компании-производители в Южной Корее и Китае. В других странах промышленное производство либо не налажено, либо находится на стадии изготовления и испытаний лабораторных образцов.
Для ЛФД, имеющего сложную внутреннюю структуру, существует целое множество взаимосвязанных параметров, важных для общей производительности подсистемы регистрации фотонов. Зачастую оптимизация по одному из них требует поиска компромиссов в отношении других, а иногда приводит и к изменению схемотехнических решений.
Параметры и характеристики лавинных фотодиодов
Среди ключевых параметров ЛФД на основе InGaAs/InP, важных для применения в системах КРК, выделяют следующие:
1) Эффективность детектирования (англ. photon detection efficiency, PDE), – это отношение количества зарегистрированных событий к количеству отправленных посылок. Другими словами, эффективность детектирования – это вероятность того, что схема детектирования фотодиода выдаст выходной сигнал в ответ на попадание фотона. Чем ниже температура ЛФД, тем меньше (по модулю) напряжение пробоя и тем выше эффективность детектирования.
2) Скорость темнового счета (англ. dark count rate, DCR), которая используется для оценки шумовых характеристик детектирующей системы. Параметр DCR определяется как скорость счета в отсутствие падающего оптического излучения в единицу времени. Для уменьшения темновых шумов применяются различные способы, такие как понижение температуры ЛФД, уменьшение напряжения смещения или размера чувствительной области лавинного фотодиода.
3) Вероятность послеимпульса (англ. afterpulse probability, afterpulsing, Pap) является еще одним важным параметром ЛФД. Дело в том, что при возникновении лавины электронно-дырочных пар часть носителей захватывается дефектами и примесями в слое умножения (multiplicationregion на Рис. 2). Впоследствии эти носители высвобождаются и могут инициировать новые лавины, не связанные с поглощением фотона, называемые послеимпульсами (Рис. 3). Параметр Papопределяется как вероятность того, что детектор сработает в отсутствии импульса, при условии что в предыдущем импульсе был зарегистрирован фотон (возникла лавина). Для большинства практических применений решающее значение имеет снижение Pap. Уменьшить проявление этого эффекта можно несколькими способами, например, уменьшением паразитной емкости, повышением температуры детектора, а также использованием специальных алгоритмов обработки данных.
Видим, что для оптимизации значений эффективности детектирования и скорости темного счета необходимо понижать температуру лавинного фотодиода, а для уменьшения вероятности послеимпульсов, наоборот, нужно повышать температуру на ЛФД. Поэтому комплексный поиск оптимальных значений параметров ЛФД для обеспечения его качественной работы в составе системы КРК является интересной инженерно-оптической и математической задачей.
4) Максимальная скорость счета (англ. count rate, Cmax )определяется способностью ЛФД в пределе насыщения обнаружения фотонов. Параметр может быть аппроксимирован обратной величиной времени задержки τз. Соотношение максимальной скорости счета Cmax и скорости темного счета DCR определяет динамический диапазон ЛФД. Значение Cmax может варьироваться от единиц до 1000 МГц.
5) Временной джиттер (англ. timing jitter, Δt) обычно определяется как общая временная неопределенность между моментами поглощения падающего фотона и обнаружения электрического сигнала. Этот процесс включает вклад самого ЛФД, а также вклад схемы гашения. Собственный временной джиттер устройства ЛФД сильно зависит от напряжения смещения Uсм. При большой величине Uсм сильное электрическое поле значительно сокращает время нарастания лавины, а также ее временную неопределенность. Временной джиттер может достигать значения менее 100 пс.
Говоря о характеристиках детекторов одиночных фотонов, стоит сказать также про спектральную чувствительность. Важно отметить, что чувствительность каждого полупроводникового материала для каждой длины волны различна, что напрямую сказывается на спектральной чувствительности ЛФД. Так, например, кремниевые ЛФД (Si-APD) используются для регистрации одиночных фотонов в видимом и ближнем ИК диапазоне спектра. Для детектирования одиночных фотонов в телекоммуникационном диапазоне длин волн наиболее распространенным выбором являются ЛФД на основе арсенида индия-галлия (InGaAs) [2] и германия (Ge).
Пример технологической операции при калибровке детектора одиночных фотонов
В качестве примера одной из производственных операций, сопровождающих изготовление программно-аппаратных комплексов квантовой аппаратуры, рассмотрим калибровку ЛФД и, в частности, измерение эффективности детектирования лавинного фотодиода PDE.
Стоит отметить, что для описания непосредственно физических характеристик лавинных фотодиодов применяется понятие квантовой эффективности η. Квантовая эффективность – это параметр, который определяет вероятность того, что попавший на чувствительную площадку InGaAs лавинного фотодиода одиночный фотон будет поглощён. Однако в реальных условиях чувствительная площадка не существует сама по себе. Как правило, ЛФД – это целый модуль регистрации одиночных фотонов на основе InGaAs лавинных фотодиодов, оснащенный системой охлаждения, схемой формирования стробирующих импульсов и схемой детектирования. Такая система характеризуется понятием эффективности детектирования PDE. Фактически эффективность детектирования является функцией от квантовой эффективности: PDE = ƒ(η). Квантовая эффективность всегда больше эффективности детектирования, однако оба эти параметра принимают значения в пределах 10-20 %. Поэтому в инженерной практике мы используем понятия квантовой эффективности η и эффективности детектирования PDE как взаимозаменяющие.
Эффективность детектирования PDE является одной из основных характеристик ЛФД и, совместно с выбором измерительного базиса, играет решающую роль в ожидаемом количестве регистраций событий на Бобе, что определяет режимы работы всей системы КРК.
Для калибровки однофотонных детекторов используется ослабленное лазерное излучение с известным средним числом фотонов в импульсе μ, которое регистрируется тестируемым лавинным фотодиодом. Необходимо собрать калибровочную схему, включающую в себя (Рис. 4):
DFB-лазер непрерывной генерации на длине волны 1550 нм;
аттенюатор с заданным ослаблением;
исследуемый лавинный фотодиод в составе модуля регистрации однофотонных сигналов.
Типичный уровень ослабления лазерного излучения в системах КРК таков, что среднее число фотонов в каждом информационном квантовом состоянии μ составляет несколько десятых (мы берем 0,1 для удобства расчетов). Ослабленное когерентное состояние имеет пуассоновскую статистику по числу фотонов [3]. Пуассоновская статистика по числу фотонов означает, что квантовые состояния, содержащие несколько фотонов, присутствуют с определенной вероятностью, которая убывает с ростом числа фотонов.
Таким образом, при малом значении среднего числа фотонов в импульсе μ и малой эффективности детектирования PDE (μ · PDE ≪ 1)вероятность детектирования события (вероятность клика детектора) Pdetбудет определяться выражением:
Мы используем ЛФД, не способные различать количество фотонов в импульсе, они одинаково реагируют срабатыванием на любое число падающих фотонов, отличное от нуля. Поэтому можно определить вероятность детектирования события (вероятность клика детектора) Pdet вне зависимости от количества фотонов в импульсе:
где Ndet – число срабатываний ЛФД, Nsent – число отправленных лазерных импульсов.
Получается, что набирая статистику срабатываний лавинного фотодиода Ndet при большом числе отправленных импульсов (квантовых состояний), можно определить значение эффективности детектирования для проверяемого ЛФД. Полученное значение PDE мы заносим в конфигурационный файл системы КРК в составе сводной таблицы калибровки ЛФД с зависимостями эффективности детектирования, скорости темнового счета и вероятности послеимпульсов от напряжения смещения и частоты следования синхроимпульсов.
На Рис. 5 показаны характеристики лавинных фотодиодов, используемых нами в системах КРК:
а) зависимость эффективности детектирования PDE от напряжения смещения Uсм;
б) зависимость скорости темного счета DCR от эффективности детектирования PDE.
Как видим, настройка и калибровка ЛФД – это тонкий и трудоёмкий процесс, когда необходимо учитывать противоречивые параметры. Кроме показанных в примере параметров температуры и напряжения смещения, важными параметрами при функционировании ЛФД являются также пороговое напряжение, мертвое время, величина полной задержки фотодетектора и задержки строба, ширина и задержка временного окна.
Заключение
Итак, мы познакомились с принципами квантового распределения ключей, рассмотрели устройство важнейших оптоэлектронных элементов системы КРК – однофотонных детекторов (ЛФД) и их параметры. На примере величины эффективности детектирования PDE показали, что каждая отдельная система КРК и даже каждый конкретный экземпляр ЛФД требует индивидуального поиска оптимального режима работы. Параметр PDE определяет режим работы ЛФД, а также используется в алгоритмах постобработки битовой последовательности, например, для расчета информации (утечки), которая может быть доступна злоумышленнику.
Задавайте вопросы в комментариях, постараемся на них ответить.
Рекомендованная литература
Mark A. Itzler, Xudong Jiang, Mark Entwistle, Krystyna Slomkowski, Alberto Tosi, Fabio Acerbi, Franco Zappa & Sergio Cova. Advances in InGaAsP-based avalanche diode single photon detectors, Journal of Modern Optics, 58:3-4, 174-200, 2011, DOI: 10.1080/09500340.2010.547262.
Y. Q. Fang et al. InGaAs/InP single-photon detectors with 60% detection efficiency at 1550 nm, Rev. Sci. Instrum., 91 (8) (2020), 083102.
Д. Н. Клышко. Фотоны и нелинейная оптика. Наука, 1980.
Комментарии (15)
gnomeby
17.05.2023 10:15А если Ева порвёт канал связи и будет имитировать Боба и Алису для Алисы и Боба, как от этого защититься?
vassabi
17.05.2023 10:15если она порвет все-все-все каналы связи - тогда увы.
Но если будет хоть какой-то открытый канал в обход Евы (интернет, радио волны, почтовые голуби) то можно будет узнать - был ли перехват квантов.
Если был - нужно повторить обмен квантами еще раз. Если не был - то значит можно начинать обмен ключами по классике.
Shkaff
17.05.2023 10:15Не имеет значения, все ли каналы перехватила Ева. Всегда можно узнать, что был перехват, и тогда запускать новый алгоритм.
gnomeby
17.05.2023 10:15Каким образом? Если Ева порвала канал связи и встроилась как пересылающее звено для обеих сторон. В неквантовой криптографии у нас для этого есть корневые сертификаты, а в квантовом мире что?
Shkaff
17.05.2023 10:15Так классический канал вообще открытый. Верификация производится сравнением результатов квантового измерения и совпадения между Алисой и Бобом. Т.к. Алиса не может скопировать квантовое состояние и переслать дальше, это всегда наблюдается как ошибка в измерении. Если процент ошибок выше, чем приемлемо для конкретного алгоритма, ключ выбрасывается и делается новый. Это происходит до передачи данных. Передача зашифрованных данных идет по открытому каналу тоже, т.к. расшифровать их не получится.
gnomeby
17.05.2023 10:15Конечно же подразумевается, что если Ева разрезает квантовый канал и начинает работать в качестве пересыльщика, попутно всё читая, то она может разрезать и классический канал.
Shkaff
17.05.2023 10:15Ева не может пересылать информацию после ее чтения, на этом основана вся квантовая криптография. Есть теорема о запрете клонирования, которая это запрещает.
gnomeby
17.05.2023 10:15Ева не может пересылать тот же фотон, но это ей и не требуется.
Если у Евы есть своя пара приёмопередающих устройств, то Алиса будет общаться с Евой, думая что это Боб. Будет с Евой же согласовывать базисы измерения. Ева же затем будет генерировать новые фотоны и отправлять их Бобу, прикидываясь Алисой. По сути она будет репитером сообщений с их перешифровкой по середине.
Shkaff
17.05.2023 10:15Алисе и Бобу достаточно согласовать схему созвона любыми способами. Ева не сможет обработать и переслать классически данные со скоростью света, особенно если они зашифрованы любым обычным ключом. Любая задержка в передаче будет указывать на наличие Евы.
Но в квантовой криптографии есть гораздо более существенный провал: классическое оборудование для анализа данных у Евы и Боба. Ева и Боб не изолированы от внешнего мира, а значит, их можно атаковать: через сети потребления, акустику, вход-выход кабелей из здания и т.п.
gnomeby
17.05.2023 10:15+1Остаётся надеяться, что оборудование для квантового шифрования меряет задержку запрос-ответа. Но я вот сколько лет тему не читаю, это никто не упоминал.
Shkaff
17.05.2023 10:15Да потому что никто толком этим не пользуется на практике пока, только демонстрации всякие:)
gnomeby
17.05.2023 10:15Ну как же, уже несколько банков заявили, что они используют такое оборудование.
Shkaff
17.05.2023 10:15+3Ну это же пиар. Сейчас нет проблемы в передаче зашифрованных данных. Берете любой постквантовый алгоритм и его никогда (в ближайшем будущем) не взломают, и не надо городить ничего квантового. В квантовой криптографии как она есть сейчас нет смысла, это либо просто proof of principle, либо квантовый хайп ради пиара или грантов. Говорю как человек, который участвует в подобном проекте xD
Shkaff
Странно видеть графики без неопределенностей. Сколько там получается?
А еще, в практических применениях эффективность ЛФД наверняка плывет под действием внешних воздействий (температура, влажность, ток смещения и т.п.). Наверное, оно калибровка должна производиться автоматически перед каждым запуском?
Infotecs_official Автор
Для того чтобы предотвратить изменения характеристик ЛФД, который, действительно, весьма чувствителен, используются соответствующие технические решения:
· ЛФД термостабилизируется специальным узлом
· сам ЛФД и прочие электрические цепи питаются стабилизированным источниками