Nauka

Tajny kod Wszechświata

Zagadki kryptografii kwantowej

Gwałtowny rozwój cywilizacji technicznej jest w dużej mierze efektem niebywałego rozkwitu kryptografii. Gwałtowny rozwój cywilizacji technicznej jest w dużej mierze efektem niebywałego rozkwitu kryptografii. Volker Steger/SPL / EAST NEWS
Kryptografia klasyczna i kwantowa to bardzo osobliwe siostry. Ta pierwsza od tysięcy lat służy do ukrywania największych sekretów ludzkości, ta druga – odkrywa tajemnice rzeczywistości.
Idea kryptografii kwantowej początkowo została przyjęta nieufnie, wkrótce jednak okrzyknięto ją mianem doskonałej.Polityka Idea kryptografii kwantowej początkowo została przyjęta nieufnie, wkrótce jednak okrzyknięto ją mianem doskonałej.
Układ kwantowy składający się ze 128 qubitów, stworzony w D-Wave Systems Inc.D-Wave Systems Inc. Układ kwantowy składający się ze 128 qubitów, stworzony w D-Wave Systems Inc.
W 1991 r. Artur Ekert wpadł na pomysł zastosowania szyfrów, w których główną rolę odgrywają tzw. splątane fotony.Gosladar/Wikipedia W 1991 r. Artur Ekert wpadł na pomysł zastosowania szyfrów, w których główną rolę odgrywają tzw. splątane fotony.

Żyjemy w zaszyfrowanej rzeczywistości. Gwałtowny rozwój cywilizacji technicznej jest w dużej mierze efektem niebywałego rozkwitu kryptografii. To ona zapewnia bezpieczeństwo przesyłania not dyplomatycznych i zwykłych maili. To ona gwarantuje sekretność transakcji finansowych. Dzięki niej (rozumne) korzystanie z bankomatów, terminali i urządzeń mobilnych nie grozi utratą płynności finansowej czy danych osobowych. Nowoczesne metody kryptograficzne potwierdzają autentyczność dokumentów i podpisów krążących w Internecie. Nasza obecność w sieci, czyli w dużej mierze to, jak manifestujemy się we współczesnym świecie, podlega nieustannym aktom kodowania i odkodowywania ciągów zer oraz jedynek.

Po paru tysiącleciach ewolucji kryptografia dojrzała do formy wyrafinowanej aktywności intelektualnej, osobnej dziedziny techniki, a także – dyscypliny naukowej. Dotyczy to zwłaszcza kryptografii kwantowej. Ta ostatnia służy jednak nie tylko do utajniania, ale i do odkrywania największych, najbardziej fundamentalnych sekretów rzeczywistości.

Kryptokatastrofa

Aż do lat 70. XX w. kryptografia sprowadzała się do (stosunkowo) prostej recepty. Zarówno do szyfrowania, jak i odszyfrowywania informacji potrzebny był ten sam klucz – jednakowy dla nadawcy i odbiorcy. Ciąg znaków poddany działaniu określonego algorytmu zamykał i otwierał utajnioną wiadomość, podobnie jak klucz zamek.

Matematyk amerykański Claude Shannon określił dokładnie, jakie warunki powinna spełniać idealna kryptografia tego typu: klucz musi być tajny, jednorazowy, mieć tę samą długość co wiadomość, a ciąg tworzących go znaków musi być całkowicie przypadkowy. Taka metoda kryptograficzna (tzw. symetryczna) ma tylko jedną, ale kolosalną wadę – obejmuje ją słynny paragraf 22. Bo jak w całkowicie bezpieczny sposób przekazać ów klucz? Oczywiście – w tajny. Ale do tego potrzebny jest, no cóż, klucz. W praktyce tę logiczną niemożność obchodzi się, rozsyłając kurierów z przypiętymi do przegubów dłoni neseserami, zawierającymi klucze. To jednak sposób wielce niepraktyczny. 

Prawdziwą rewolucją okazało się wynalezienie tzw. asymetrycznej metody kryptograficznej. Była na tyle nieintuicyjna, że kiedy Ralph Merkle, student Stanford University dostrzegł jej niewyraźną jeszcze ideę, początkowo nikt nie dał mu wiary. W 1976 r. pomysł został jednak podchwycony przez Whitfielda Diffiego i Martina Hellmana, naukowców z tego samego uniwersytetu (20 lat później okazało się, że w tajnym brytyjskim ośrodku Government Communications Headquarters w Cheltenham metodę tę opracowano znacznie wcześniej, ale to inna historia).

Kryptografia asymetryczna zakłada użycie dwóch kluczy – prywatnego, który pozostaje zawsze w rękach nadawcy wiadomości, oraz publicznego, który może być udostępniany wszem i wobec. Nie wchodząc w nieoczywiste detale – wiadomość szyfruje się przy użyciu klucza publicznego, ale odczytać ją można tylko dysponując sekretnym kluczem prywatnym. Jest to możliwe dzięki subtelnemu związkowi łączącemu oba klucze, gwarantowanemu przez bardzo nietrywialne, jednokierunkowe operacje matematyczne: łatwo je przeprowadzić w jedną stronę, a niezwykle trudno w przeciwną.

Nie oznacza to, niestety, że systemy kryptograficzne oparte na kluczu publicznym są stuprocentowo bezpieczne, odporne choćby na brutalne, komputerowe metody łamania. Jednak w przypadku większości z nich Słońce zgaśnie wcześniej, niż zakończą się takie łamiące obliczenia. Ograniczenie to niekoniecznie dotyczy jednak tzw. komputerów kwantowych. Te zaproponowane na początku lat 80. przez Richarda Feynmana, Paula Benioffa (University of Chicago), a obmyślone dokładniej przez Davida Deutscha (Oxford University) maszyny obliczeniowe nieporównanie lepiej niż najwspanialsze nawet superkomputery miałyby radzić sobie z łamaniem szyfrów. Nie ma wprawdzie pewności, kiedy uda się je skonstruować, ale perspektywa jest całkiem realna.

Żyjemy więc w cieniu destabilizacji o skutkach nieporównanie bardziej dramatycznych niż depresje znane z historii, mawia Nicolas Gisin (fizyk z Université de Genève). Jeśli nowe komputery wejdą do gry, cywilizacja oparta na wymianie informacji stanie na skraju zapaści. Cała nadzieja – paradoksalnie – w nauce, która je zrodziła.

Klucz nieistniejący

Jeszcze będąc studentem nowojorskiego Columbia University, nieco ekscentryczny (dziś mieszka na izraelskiej pustyni Negew) Stephen Wiesner opracował ideę kwantowych pieniędzy. Pod koniec lat 60. przedstawił ją swojemu promotorowi, jego kolegom i własnym przyjaciołom – nie spotykając się z reakcją zwrotną. Było to dziwne, bo choć banknoty pomysłu Wiesnera trudno wyprodukować (astronomiczne koszty, absurdalnie wielkie rozmiary), to były naprawdę wyjątkowe – niepodrabialne w sposób doskonały. Na straży ich autentyczności stały fundamentalne prawa fizyki.

Każdy z banknotów miałby zawierać maleńkie pułapki na fotony. Każdy z nich ustawiony (spolaryzowany) byłby przez bank w inny sposób. Ich unikatowa konfiguracja stanowiłaby numer identyfikacyjny banknotu. Rzecz w tym, że – na mocy praw mechaniki kwantowej – nie sposób zmierzyć bezbłędnie ustawienia fotonów, nie zaburzając choćby niektórych z nich. Jeśli miernik ustawimy trafnie, antycypując ustawienie fotonu, odczyt będzie zgodny z jego pierwotnym ustawieniem. Jeśli jednak, zgadując, ustawimy go inaczej, pomiar nieodwracalnie zmieni początkowe ustawienie fotonu. Nieodpowiednio potraktowana cząsteczka światła „zapomni”, w jakim stanie znajdowała się przed pomiarem. Prawdopodobieństwo, że fałszerz trafnie odgadnie pierwotne ustawienia wszystkich fotonów, a dzięki temu podrobi banknot, jest bliskie zeru.

Tylko jedna osoba poznała się na myślowym wynalazku Wiesnera – jego kolega z akademika, genialny fizyk Charles Bennett (Thomas J. Watson Research Center pod Nowym Jorkiem). Ten z kolei tak długo nękał Kanadyjczyka Gillesa Brassarda (Université de Montréal), że przezwyciężył jego początkową nieufność (jak dziś opowiada, Brassard nie zdążył uciec na czas). Wkrótce potem, w 1984 r., wspólnie zaproponowali sposób dystrybucji klucza kryptograficznego, który nie miał precedensu w historii. Okazało się, że dzięki znajomości fizyki kwantowej można wygenerować klucz w ogóle go nie przesyłając. Ba – można to uczynić bez wymiany jakichkolwiek istotnych, wartych podsłuchiwania informacji.

Fotony, które u Wiesnera miały zostać zamknięte w pułapkach, w protokole Bennetta i Brassarda są przesyłane np. światłowodem. Ustawieniu każdego z fotonów odpowiada zero lub jedynka. Odbiorca próbuje je odczytać – ale nie zawsze udaje mu się odgadnąć intencje (ustawienia fotonów) nadawcy. Po skończeniu transmisji obaj kontaktują się choćby i przez telefon. Dowiadują się, kiedy zastosowali identyczne ustawienia nadajnika i odbiornika. Przekazując sobie te bezwartościowe z punktu widzenia szpiega dane, są w stanie ustalić, które z fotonów zmierzyli prawidłowo. Odpowiadające im zera i jedynki, ułożone w ciąg, staną się kluczem szyfrującym, którego użyją potem w tajnej już komunikacji. Co fascynujące – podsłuchiwacz nie może ukryć swojej obecności. Próbując zmierzyć fotony, w nieunikniony sposób zaburzy niektóre z nich, wprowadzając dodatkową porcję błędnych odczytów, którą łatwo zauważyć.

Protokół Ekerta

W 1991 r., niezależnie od Bennetta i Brassarda, kolejny nieskażony konwenansami student (tym razem doktorant z Oxford University) wpadł na pomysł, który wydawał się początkowo nawet bardziej zwariowany niż Wiesnera. Artur Ekert, Polak z korzeniami rodzinnymi w połowie krajów europejskich, szef Centre for Quantum Technologies w Singapurze, wiedziony jakimś metafizycznym instynktem, sięgnął po jedną z najbardziej zakurzonych prac Einsteina.

Pół wieku wcześniej Niemiec napisał w niej (wraz z Borisem Podolskim i Nathanem Rosenem) o cząstkach pozostających w niewytłumaczalnym zdroworozsądkowo związku – tzw. splątaniu kwantowym (patrz POLITYKA 32/12). Niezależnie od dzielącej je odległości cząstki takie (choćby fotony) zachowują się jak jakaś mistyczna całość. Ponadto, aż do chwili pomiaru trwają w stanie bliżej nieokreślonym (superpozycji) – czyli w wielu stanach jednocześnie. Dopiero pomiar jednej z cząstek natychmiast, bez względu na dystans, jednoznacznie ustala stan drugiej.

Protokół Ekerta zakłada użycie ciągów par splątanych fotonów, które są rozsyłane do użytkowników (po jednym z każdej kolejnej pary). Nadawca i odbiorca dokonują niezależnych pomiarów, przy każdym fotonie konfigurując aparaturę w całkowicie przypadkowy sposób. Następnie informują się o tym, jakie wyniki otrzymali przy – uwaga – różnych ustawieniach swoich urządzeń. Posługując się prostym rachunkiem matematycznym, liczą, jaki jest stopień współzależności (skorelowania) tych wyników. Jeśli nikt nie manipulował przy ich fotonach, będzie on zdumiewająco wysoki – nie do osiągnięcia przy użyciu zwykłych, niesplątanych cząstek. Wtedy z pozostałych odczytów (zer i jedynek) mogą spokojnie ułożyć klucz kryptograficzny. Jeśli jednak ów stopień współzależności jest niski, użytkownicy muszą się mieć na baczności. Oznacza to, że ktoś usiłował odczytać ustawienia ich fotonów i straciły one swoją idealną, ponadprzestrzenną łączność. Ingerencja podsłuchiwacza niszczy jakość splątania.

Poza tym – i tak nie ma czego słuchać. Zabrzmi to osobliwie, ale realna informacja pojawia się dopiero w chwili, gdy nadawca i odbiorca nie tylko dokonają pomiarów, ale i wyjaśnią sobie, wyniki których z nich powinni brać po uwagę. W przeciwieństwie do kryptografii klasycznej, w której ochroną obejmować trzeba obiektywnie istniejący klucz, w kryptografii kwantowej on wcześniej w ogóle nie istnieje. Ten mały wycinek rzeczywistości rodzi się z jakiejś bezczasowej pustki.

Pomysł Ekerta ma jeszcze dodatkowe, niezwykłe zalety. Po pierwsze, splątane fotony można przechowywać w stanie niezmierzonym dowolnie długo (powstają pierwsze, zbudowane ze specjalnych kryształów, służące do tego pamięci) i wygenerować klucz w dowolnej późniejszej chwili. Po drugie, prostota protokołu sprawiła, że znajduje on zastosowanie w badaniach nad komputerami (obliczeniami) kwantowymi. O trzeciej zalecie – za chwilę.

Łamanie kwantów

Idea kryptografii kwantowej początkowo została przyjęta nieufnie. Nie tylko laikom, ale i ówczesnym fizykom wydawało się, że należy raczej do domeny science fiction niż nauki. Ale wkrótce opór ustąpił. Nową kryptografię okrzyknięto mianem potencjalnie doskonałej. Tym bardziej że już po paru latach od opublikowania prac teoretycznych pojawiły się pierwsze działające urządzenia, w tym pionierska trumna cioci Marty Brassarda i Bennetta (nazwa inspirowana jest kształtem urządzenia). Początkowo systemy takie pozwalały na dystrybucję klucza na odległość 30 cm, ale wkrótce potem na dystans całych kilometrów – dziś nawet ponad stu, czy to w atmosferze, czy w kablu światłowodowym.

Myśl powędrowała także ku górze, gdzie powietrze jest rozrzedzone i nie niszczy subtelnych stanów kwantowych. Anton Zeilinger (Universität Wien) wraz z Europejską Agencją Kosmiczną planuje wyniesienie nadajnika splątanych fotonów na Międzynarodową Stację Kosmiczną i uruchomienie globalnego systemu kryptografii kwantowej. Zbliżony plan ma Thomas Jennewein (University of Waterloo w Kanadzie). Alexander Ling z Singapuru już prowadzi pierwsze testy z balonami stratosferycznymi.

Niemal każdy z gigantów elektroniki (IBM, Fujitsu) rozwija kryptograficzne technologie kwantowe. Toshiba szkicuje projekt tzw. inteligentnych miast (Smart Cities), w których kwantowe systemy kryptograficzne stać będą na straży danych osobowych i medycznych. Co najmniej kilka firm oferuje już systemy typu plug and play. Podczas wyborów w 2007 r. Szwajcarzy przekazali wyniki lokalnego głosowania do stolicy, używając właśnie jednego z nich. Banki szyfrują kwantowo swoje transfery. Zresztą najpewniej nie tylko one – tego, co dzieje się w tajnych rządowych laboratoriach kryptograficznych można się tylko domyślać, mając jednak pewność, że wyprzedzają one oficjalnie istniejącą rzeczywistość o kilka, kilkanaście lat.

Ale entuzjazm był przedwczesny. Sami fizycy przyznają, że popełnili grzech pychy. Parę lat temu okazało się, że nawet kryptografia kwantowa ma słabe strony. Wprawdzie praw natury złamać nie można, ale sprzęt – owszem. Symboliczny kres naiwności przypadł na lata 2010–11, kiedy to kilka działających niezależnie grup przejrzało systemy dostępne na rynku. Jedni hakerzy „oślepiali” nadajniki fotonów, podpatrując przy tej okazji ich wewnętrzne ustawienia. Inni wykorzystywali fakt, że systemy kwantowe nie działają w warunkach idealnych, że muszą tolerować istnienie błędów generowanych przez sprzęt oraz ośrodek – i w szumie właśnie ukrywali swoją obecność. Pozostając niezauważeni, przechwytywali długie na kilkaset znaków klucze kryptograficzne.

Jednym z efektów tego otrzeźwienia był jeszcze gwałtowniejszy rozwój kryptografii. Fizycy skupili się na badaniu sposobów radzenia sobie z nieuniknionym szumem (jest wśród nich bardzo ceniona w kręgach naukowych rodzina Horodeckich z Gdańska, ojciec Ryszard oraz synowie Paweł, Michał i Karol). Rozważa się też systemy hybrydowe, łączące zalety kryptografii kwantowej i klasycznej.

Kilka lat temu (to wciąż bardzo młoda dziedzina wiedzy) o kryptografii kwantowej zaczęto też dyskutować w jeszcze jednym, nieco futurystycznym kontekście – bezpieczeństwa obliczeń i transakcji kwantowych. Bada się, na przykład, możliwość prowadzenia tzw. ślepych obliczeń kwantowych (blind quantum computing), które umożliwiają użytkownikowi korzystanie z komputera kwantowego bez wyjawiania własnych sekretów (algorytmu, danych i wyników), a właścicielowi komputera – zachowanie tajemnicy jego konstrukcji. Mówi się też o kryptografii kwantowej jak o dyscyplinie, która może ruszyć z posad nasz dotychczasowy światopogląd.

Szyfry rzeczywistości

Ojcowie założyciele kryptografii kwantowej, czyli Wiesner, Bennett, Brassard, Ekert, przyczynili się do powstania zupełnie nowej, intensywnie badanej dziedziny – teorii informacji kwantowej. Zupełnie niespodziewanie wyprowadzili nas poza znany, bezpieczny obszar obsługiwany przez codzienną intuicję, a zawiedli na teren opisywany przez koany Zen, gdzie informacja – czyli na przykład klucze kryptograficzne – wyłania się z niebytu tylko za sprawą wzajemnych zależności i przy udziale wolnej woli.

Zwykliśmy myśleć o informacji jak o czymś obiektywnie istniejącym, niezależnym od obserwatora, innymi słowy – od pomiaru. Miała ona status podrzędny w stosunku do rzeczywistości. Nowa nauka podsuwa myśl, że te dwa elementy są sprzężone w niewyjaśniony jeszcze, subtelniejszy sposób. Być może, jak sugeruje Zeilinger, należy wręcz myśleć o inforealności (analogicznie do czasoprzestrzeni).

Valerio Scarani (National University of Singapore), Antonio Acin (Institut de Ciències Fotòniques w Barcelonie) i kilku innych ich kolegów zauważyło kilka lat temu, że protokół Ekerta ma znacznie poważniejsze konsekwencje, niż on sam początkowo sądził. Wygląda na to, że splątanie kwantowe to tylko szczególny przypadek, zaledwie przykład całej klasy podobnych zjawisk – jeszcze niepoznanych, wymagających zresetowania naszych wyobrażeń o czasie i przestrzeni. Oznaczałoby to, że nasza dzisiejsza wiedza o przyrodzie jest jak maleńka wyspa na wielkim oceanie niewiedzy.

Brassard, Christopher Fuchs (Perimeter Institute w Kanadzie) wraz z kolegami idą dalej. Pytają, czy nie warto spróbować zbudować całej fizyki kwantowej na nowych fundamentach, wynikających właśnie z teorii kwantowej informacji. Jeffrey Bub (University of Maryland), nieżyjący już Rob Clifton i Hans Halvorson (Princeton University) nawet spróbowali – z niejakim powodzeniem. Z prostych, matematycznych aksjomatów wygenerowali kilka zasad dobrze znanych z obserwacji doświadczalnych. Mówiąc inaczej – panowie odtworzyli spory kawałek realnego świata, wychodząc z czysto abstrakcyjnych założeń o zerach i jedynkach. Być może zaszyfrowany jest nie tylko świat komputerów i bankomatów. Niewykluczone, że zakodowany jest cały Wszechświat.

Więcej na ten temat
Reklama

Czytaj także

Społeczeństwo

A gdyby internet przestał działać...

Z internetu korzysta już prawie połowa ludzkości. Co by się stało, gdyby pewnego dnia przestał działać?

Edwin Bendyk, Piotr Rutkowski
16.04.2019
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną