Procedimiento cuántico para distribuir claves criptográficas sin descartar datos.

El invento es un procedimiento para distribuir claves criptográficas entre dos usuarios distantes que usa una propiedad de la mecánica cuántica. La novedad de la invención reside en que el número de datos útiles para generar la clave, por cada dato transmitido, es mayor que en cualquier otro procedimiento cuántico de distribución de claves criptográficas previo. En los procedimientos cuánticos tradicionales, para garantizar la privacidad de la clave es necesario que ambos usuarios elijan aleatoriamente e independientemente entre hacer dos posibles experimentos sobre cada dato transmitido. Sólo cuando estas elecciones aleatorias coinciden se genera un dato útil para la clave criptográfica. Si no coinciden, el dato transmitido se desecha. Esta forma de proceder garantiza la privacidad de la clave gracias a una propiedad de la mecánica cuántica según la cual es imposible copiar de manera fidedigna un estado cuántico desconocido.

El invento se basa en otra propiedad de la mecánica cuántica: la creación de "enredo" a distancia. En él ambos usuarios siempre hacen el mismo experimento, y el número de datos útiles para la clave (por cada dato transmitido) duplica el del conocido procedimiento propuesto por Bennett y Brassard en 1984 ("BB84"), e incluso mejora los resultados del procedimiento propuesto por Lo y Chau en 1998 ("Quantum cryptographic system with reduced data loss", patente US5732139). Otra ventaja del invento es que simplifica el proceso de comprobación de que la clave no ha sido espiada. En todos los procedimientos cuánticos previos, cualquier intento de espionaje se traduce inevitablemente en que las claves que reciben ambos usuarios dejan de ser iguales. Para averiguar si se ha producido espionaje los usuarios deben comparar públicamente un mismo fragmento de sus respectivas claves. En el procedimiento "BB84" la acción de un espía altera el 25 % de la clave. En el invento la acción del espía altera el 75 % de la clave, lo que facilita su detección. Se detalla un modo de realizar la invención con tecnología disponible hoy en día con pares de fotones "enredados" en polarización.

Estado previo de la técnica

Los dos objetivos principales de la criptografía son: (1º) Lograr que dos usuarios distantes, a los que tradicionalmente se llama "Alicia" y "Bob", se comuniquen de una manera ininteligible para un usuario no autorizado, al que tradicionalmente se llama "Eva". (2º) Garantizar que el mensaje no ha sufrido alteración durante el proceso de transmisión. En 1949, Shannon [C. E. Shannon, Bell Syst. Tech. J. 28, 657 (1949)] demostró que ambos objetivos pueden alcanzarse usando el procedimiento cifrador (o encriptador) de Vernam [G. S. Vernam, J. AIEE 45, 109 (1926)], también conocido como "one-time pad". Tal procedimiento requiere que Alicia y Bob posean una misma secuencia aleatoria de bits (i.e., de ceros o unos) que sólo ellos conocen, que es lo que se llama una "clave criptográfica". El procedimiento funciona de la siguiente manera: Alicia escribe el mensaje secreto que quiere transmitir a Bob como secuencia de bits, y le suma, bit a bit, la clave, módulo 2 (es decir, teniendo en cuenta que 0+0=0, 0+1=1, 1+1=0). El resultado es un mensaje cifrado. Este se transmite por una canal público (es decir, un canal en el que puede haber espías). Para descifrar (es decir, recuperar) el mensaje original a partir del mensaje cifrado, Bob sólo tiene que sumarle (módulo 2) la clave. Este procedimiento impone dos exigencias a la clave: (1^a) La clave tiene que ser al menos tan larga como el mensaje enviado. (2^a) La misma clave no puede emplearse dos veces. Si se usa la misma clave para encriptar un segundo mensaje, sumando módulo 2 los dos mensajes cifrados se obtiene la suma módulo 2 de los dos mensajes originales. Se puede demostrar que esta información es suficiente para que un espía descifre ambos mensajes (si en ellos se ha empleado un vocabulario finito). Más adelante se señalará una 3^a razón por la cuál es importante disponer de procedimientos para distribuir con la mayor rapidez claves criptográficas de longitud arbitraria.

Por tanto, el problema fundamental de la criptografía moderna es el "problema de la distribución segura de claves", es decir, cómo conseguir que Alicia y Bob, que no comparten inicialmente información secreta, lleguen a tener la misma clave, garantizando además que esta clave es sólo conocida por ellos. Como las claves (como cualquier otro tipo de información) se codifican en propiedades medibles de algún sistema físico portador, las leyes de la Física clásica siempre dejan abierta la posibilidad de un espionaje "pasivo": Un espía puede intervenir el canal de comunicación y hacer simples copias (clones) de la información, averiguando cuál es la clave a partir de esas copias, sin con ello alterar de una manera detectable el estado físico del portador, de forma que cuando el espía restituye el portador al canal, su intervención pasa inadvertida a los usuarios legítimos. En ese sentido, el problema de la distribución segura de claves criptográficas no tiene solución con las leyes de la Física clásica. Sin embargo, sí es resoluble usando dos propiedades de la Mecánica Cuántica: (a) El teorema de imposibilidad de clonaje [W. K. Wootters y W. H. Zurek, Nature 299, 802 (1982)], que establece que un estado cuántico desconocido de un sistema individual no pueden ser clonado de forma fidedigna. (b) El principio de incertidumbre de Heisenberg, según el cual ciertas magnitudes físicas son complementarias entre sí en el sentido de que al medir una de ellas, otra u otras se ven inevitablemente alteradas. Ambas propiedades no sólo se refieren a limitaciones atribuibles a una tecnología particular, sino que indican limitaciones inherentes a la naturaleza. Por tanto, si el portador de la clave criptográfica es un sistema cuántico (usualmente un fotón, pero también un electrón, un átomo, una molécula, etc.) y la información sobre la clave se ha codificado preparando ese sistema en un estado cuántico desconocido (tanto para el receptor como para los potenciales espías, pero no para el emisor), cualquier intento de averiguar cuál es el estado cuántico del sistema haciendo copias de él es, en general, inútil (por el teorema de imposibilidad de clonaje), y además perturba inevitablemente y de una manera detectable para los usuarios autorizados el estado del portador (por el principio de incertidumbre).

El primer procedimiento cuántico de distribución de claves fue propuesto por Bennett y Brassard en 1984 ("BB84") [C. H. Bennett y G. Brassard, "Quantum key distribution and coin tossing", en Proceedings of IEEE International Conference on Computers, Systems, and Signal Processing, Bangalore, India (IEEE, New York, 1984), p. 175; C. H. Bennett, IBM Technical Disclosure Bulletin, enero 1984, p. 4363, y diciembre 1985. p. 3153], y ha sido posteriormente modificado e implementado de diversas formas [C. H. Bennett, F. Bessette, G. Brassard, L. Salvail y J. Smolin, "Experimental quantum cryptography", J. Cryptology 5, 3 (1992); C. H. Bennett, "Interferometric quantum cryptographic key distribution system", patente US5307410 (1994)]. Este procedimiento funciona de la siguiente manera:

Posteriormente se han propuesto otros procedimientos de distribución de claves criptográficas que también usan la mecánica cuántica de forma similar al procedimiento "BB84" ["E91": A. K. Ekert, Phys. Rev. Lett. 67, 661 (1991); "B92": C. H. Bennett, Phys. Rev. Lett. 68, 3121 (1992); "GV95": L. Goldenberg y L. Vaidman, Phys. Rev. Lett. 75, 1239 (1995); "LC98": M. Ardehali, G. Brassard, H. F. Chau y H.-K. Lo, Los Alamos preprint archive, quant-ph/9803007; H.-K. Lo y H. F. Chau, patente US5732139 (1998)], así como múltiples formas de implementar estos procedimientos de distribución de claves [las referencias que figuran a continuación han sido agrupadas por entidades solicitantes de las patentes: (a) IBM: C. H. Bennett, F. Bessette, G. Brassard, L. Salvail y J. Smolin, J. Cryptology 5, 3 (1992); C. H. Bennett, patente US5307410 (1994); Bennett y S. J. Wiesner, patente US5515438 (1996). (b) UNIVERSIDAD JOHN HOPKINS, BALTIMORE: J. D. Franson, patente US5243649 (1993); J. D. Franson y H. Ilves, J. Mod. Opt. 41, 2391 (1994); J. D. Franson y B. C. Jacobs, Electron. Lett. 31, 232 (1995); B. C. Jacobs y J. D. Franson. Opt. Lett. 21, 1854 (1996). (c) BRITISH TELECOMMUNICATIONS: A. K. Ekert, J. G. Rarity, P. R. Tapster y G. M. Palma, Phys. Rev. Lett. 69, 1293 (1992); P. D. Townsend, J. G. Rarity y P. R. Tapster, Electron. Lett. 29, 634 (1993); Electron. Lett. 29, 1291 (1993); P. D. Townsend, Electron. Lett. 30, 809 (1994); P. D. Townsend, ?. Thompson, J. Mod. Opt. 41, 2425 (1994); K. J. Blow, patente EP717897B1 (1994); J. G. Rarity, P. C. M. Owens y P. R. Tapster, J. Mod Opt. 41, 2435 (1994); J. G. Rarity y P. R. Tapster, patente US5418905H (1995); C. Marand y P. D. Townsend, Opt. Lett. 20, 1695 (1995); P. D. Townsend, Nature 385, 47 (1997); patente EP776558A1G (1997); patente WO9744936A1 (1997); patente US5675648 (1997); K. J. Blow, patente US5757912 (1998); P. D. Townsend y D. W. Smith, patente US5768378 (1998); patente EP717895B1 (1998); P. D. Townsend y K. J. Blow, patente US5850441 (1998); patente EP717896B1 (1999); P. D. Townsend, patente US5953421 (1999); patente EP972373A1 (2000); S. J. D. Phoenix y S. M. Barnett, patente US5764765 (1998). (d) SWISSCOM AG y TELECOM PTT: A. Muller, J. Breguet y N. Gisin, Europhys. Lett. 23, 383 (1993); A. Muller, H. Zbinden y N. Gisin, Nature 378, 449 (1995); Europhys. Lett. 33, 335 (1996); G. Ribordy, J-D. Gautier, N. Gisin, O. Guinnard y H. Zbinden, Electron. Lett. 34, 2116 (1998); Los Alamos preprint archive, quant-ph/9905056; N. Gisin et al., patente W9810560A1 (1998); patente EP923828A1 (1999). (e) UNIVERSIDAD DE CALIFORNIA y LABORATORIO DE LOS ALAMOS: T. Buttler et al., Phys. Rev. Lett. 81, 3283 (1998); Phys. Rev. A 57, 2379 (1998); patente US5966224 (1999); Los Alamos preprint archive, quant-ph/0001088 (2000). (f) CALIFORNIA INSTITUTE OF TECHNOLOGY: H. J. Kimble, Z. Y. Ou y S. E. Pereira, patente US5339182C (1994). (g) NIPPON TELEGRAPH & TELEPHONE: K. Masato y I. Nobuyuki, patente JP10322329A (1998). (h) FRANCE TELECOM: Y. Mazourenko, J.-M. Merolla y J.-P. Goedgebuer, patente EP877508A1 (1998)]. Un resumen de los primeros desarrollos en criptografía cuántica puede encontrarse en C. H. Bennett, G. Brassard y A. K. Ekert, "Criptografía cuántica", Investigación y Ciencia nº 195, p. 14 (1992), reimpreso en A. Cabello, "Misterios de la física cuántica", Temas de Investigación y Ciencia nº 10, Prensa Científica, Barcelona, 1997, p. 75.

En todos los procedimientos cuánticos de distribución de claves previos, los usuarios legítimos deben elegir entre experimentos alternativos y posteriormente descartar una parte de los datos transmitidos. Especial atención merece el sistema patentado por Lo y Chau ("Quantum cryptographic system with reduced data loss", patente US5732139) que es una variante de "BB84" en la cual la cantidad de datos descartados se reduce notoriamente. Este procedimiento "LC98" asigna diferentes probabilidades a los observables "A" y "B" (en el procedimiento "BB84" ambas probabilidades eran 1/2) tanto durante la transmisión como durante la recepción, y usa un análisis refinado sobre los datos aceptados para reducir la fracción de datos descartados.

Descripción de la invención

El invento es un sistema cuántico de distribución de claves criptográficas que utiliza un efecto cuántico conocido como creación de "enredo" a distancia, descrito por primera vez en 1993 [C. H. Bennett, G. Brassard, C. Crépeau, R. Jozsa, A. Peres y W. K. Wootters, Phys. Rev. Lett. 70, 1895 (1993); M. Zukowski, A. Zeilinger, M. A. Horne y A. K. Ekert, Phys. Rev. Lett. 71, 4287 (1993); S. Bose, V. Vedral y P. L. Knight, Phys. Rev. A 57, 822 (1998)]. Es un efecto que se produce entre cuatro fotones, y que se provoca haciendo un determinado experimento sobre dos de ellos. Ese experimento consiste en medir el "observable de Bell" [S. L. Braunstein, A. Mann y M. Revzen, Phys. Rev. Lett. 68, 3259 (1992)]. La medida del observable de Bell sobre dos fotones hace que tras la misma estos dos fotones se encuentren necesariamente en uno de los cuatro "estados de Bell". Estos estados son lo que se llama en mecánica cuántica estados "enredados" (un estado de dos fotones es enredado si no se puede describir a partir de los estados de cada uno de los fotones). Para nuestro propósito será suficiente con denotarlos por 00, 01, 10 y 11, y describir cómo se comportan en el efecto de creación de enredo a distancia. La creación de enredo a distancia funciona de la manera siguiente: Consideremos cuatro fotones, i, j, k y l. Los dos primeros (i y j) han sido preparados en uno de los estados de Bell, por ejemplo en el estado 11; los otros dos (k y l) han sido preparados en otro estado de Bell, por ejemplo, en el 01. Al medir el observable de Bell sobre i y k, los cuatro resultados posibles "00", "01", "10" y "1" van a ocurrir con idéntica probabilidad (1/4), puesto que la mecánica cuántica asegura que el resultado de esa medida es completamente aleatorio. Supongamos, por ejemplo, que se obtiene el resultado "00". Tal resultado indica además que el estado de los fotones i y k tras el experimento es el 00. Ese experimento sobre los fotones i y k hace que los otros dos fotones, j y l, pasen a estar en un estado de Bell determinado, el 10 (en nuestro ejemplo). Y todo esto sin que haya habido una interacción directa sobre estos últimos fotones. Este efecto ha sido comprobado experimentalmente [D. Bouwmeester, J. Pan, K. Mattle, M. Eibl, H. Weinfurter y A. Zeilinger, Nature 390, 575 (1997); D. Boschi, S. Branca, F. De Martini, L. Hardy y S. Popescu, Phys. Rev. Lett. 80, 1121 (1998); J-W. Pan, D. Bouwmeester, H. Weinfurter y A. Zeilinger, Phys. Rev. Lett. 80, 3891 (1998)].

Si los estados iniciales de i y j, y k y l fueran otros estados de Bell diferentes a los que hemos considerado en el ejemplo anterior, o/y si el resultado del experimento (sobre i y k) para medir el observable de Bell fuese diferente, entonces también cambiaría el estado final de j y l. La mecánica cuántica permite calcular cuál sería el estado final en cada caso. La siguiente tabla recoge todas las posibilidades.

La tabla debe usarse de la manera siguiente. Si, por ejemplo, el estado inicial de i y j fuese 11, y el de k y l fuese 01, deberíamos buscar el "1101" en la parte izquierda de la tabla. En nuestro caso aparece en la cuarta columna, en la tercera fila. Esa misma fila pero en la parte de la derecha nos indica en qué cuatro estados pueden quedar i y k, y j y l, después de medir el observable de Bell sobre i y k. Así, si conocemos el estado en que quedan i y k, la tabla nos permite averiguar el estado en que han quedado j y l. Por ejemplo, si i y k han quedado en el estado 00, habrá que buscar en la parte derecha de la tercera fila la secuencia que empiece por "00". Esa es "0010", la que está en la quinta columna. Ello indicará que el estado de j y l es 10. En resumen: conocidos los estados iniciales, si uno conoce uno de los estados finales, con ayuda de la tabla puede determinar el otro.

El procedimiento inventado para la distribución de claves criptográficas se ilustra esquemáticamente en la Figura 1 y se describe a continuación.

El invento tiene dos características novedosas frente a todos los procedimientos previos de distribución de claves que usan la mecánica cuántica (los únicos 100 % seguros):

En el invento descrito, la creación de "enredo" a distancia clave no está codificada directamente en los fotones que se transmiten, éstos sólo contienen información sobre qué correlación existe entre los experimentos que permiten a Alicia y a Bob generar la clave. Por ello, interceptar y copiar los fotones transmitidos no sirven para que Eva adquiera información sobre la clave. De hecho, el estado cuántico de los fotones transmitidos es de conocimiento público. Sin embargo, ello no quiere decir que es imposible que Eva obtenga información sobre la clave. Existe una posible estrategia de espionaje basada en el efecto de creación de enredo a distancia. Esta estrategia se ilustra en la Figura 2 y se describe a continuación. Ello no compromete la seguridad de la clave ya que, como veremos, esta forma de espionaje es inmediatamente detectable.

Sin embargo, y esto es lo importante desde el punto de vista de la seguridad del procedimiento, esta intervención de Eva ha cambiado inevitablemente la correlación que Alicia y Bob esperaban encontrar entre sus resultados secretos, o equivalentemente hace que las claves de Alicia y Bob dejen de ser iguales. En nuestro ejemplo, Bob usando su resultado secreto y el resultado hecho público por Alicia, llega a la conclusión de que el resultado de Alicia (y por tanto, los dos primeros bits de la clave) es "10". Como en los métodos cuánticos tradicionales cualquier espionaje queda en evidencia cuando Alicia y Bob hacen públicos algunos fragmentos de la clave. La ventaja de nuestro invento en esta faceta es que en el invento la intervención de Eva cambia 3 de cada 4 pares de bits de la clave, mientras que en los procedimientos anteriores sólo cambia uno de cada dos bits.

Descripción de las figuras

Modo de realizar la invención

El invento es un "procedimiento" de generación de claves, no un mecanismo concreto. Con la tecnología y conocimientos actuales se puede implementar de cuatro formas, que en orden de dificultad experimental creciente son: (a) Con modos de un campo electromagnético. (b) Con pares de fotones "enredados" sólo en polarización. (c) Con pares de fotones enredados en polarización y en energía. (d) Con pares de fotones enredados en polarización y en momento. Cabe de esperar que en un futuro inmediato este procedimiento también pueda implementarse con pares de iones atrapados en cavidades electromagnéticas.

La preparación de modos de un campo electromagnético o de pares de fotones en un estado de Bell (en polarización, etc.) concreto no presenta problema tecnológico alguno. La descripción de "fuentes" apropiadas abunda en la literatura. Es oportuno señalar que, en el caso de los fotones enredados en polarización, hasta con disponer de una fuente que prepare los pares en uno de los cuatro estados de Bell, ya que los otros tres estados de Bell pueden obtenerse a partir de aquél sin más que efectuar una simple rotación de la polarización en uno de los dos fotones.

La transmisión de los fotones entre los usuarios distantes puede hacerse mediante fibras ópticas. Actualmente esta tecnología limita la distancia de los usuarios a unos 26 km [A. Muller, J. Breguet y N. Gisin, Europhys. Lett. 23, 383 (1993); A. Muller, H. Zbinden y N. Gisin, Nature 378, 449 (1995); Europhys. Lett. 33, 335 (1996); G. Ribordy, J-D. Gautier, N. Gisin, O. Guinnard y H. Zbinden, Electron. Lett. 34, 2116 (1998)].

Alternativamente, si en lugar de pares de fotones se emplean pares de pulsos electromagnéticos, la transmisión puede hacerse por el aire. Con este tipo de tecnología se pueden transmitir las señales a satélites en órbitas bajas [T. Buttler et al., Phys. Rey. Lett. 81, 3283 (1998); Phys. Rev. A 57, 2379 (1998); patente US5966224 (1999); Los Alamos preprint archive, quant-ph/0001088 (2000)].

La medida del observable de Bell requiere una tecnología específica, inhabitual en la literatura sobre criptografía. Es por ello que le prestaremos especial atención. Para medir el observable de Bell en los contextos descritos antes existen varios métodos. En primer lugar los desarrollados para hacer "codificación cuántica de doble densidad" [C. H. Bennett y J. Wiesner, Phys. Rev. Lett. 69, 2881 (1992)] y "teletransporte" de estados cuánticos [C. H. Bennett, G. Brassard, C. Crépeau, R. Jozsa, A. Peres y W. K. Wootters, Phys. Rev. Lett. 70, 1895 (1993)]. Para lograr ambos efectos se requieren experimentos para medir el operador de Bell. Ambos efectos se han demostrado experimentalmente en diferentes laboratorios [Experimentos de codificación densa con fotones: K. Mattle, H. Weinfurter, P. G. Kwiat y A. Zeilinger, Phys. Rev. Lett. 76, 4656 (1996). Experimentos de teletransporte con fotones: D. Bouwmeester, J. Pan, K. Mattle, M. Eibl, H. Weinfurter y A. Zeilinger, Nature 390. 575 (1997); D. Boschi, S. Branca, F. De Martini, L. Hardy y S. Popescu, Phys. Rev, Lett. 80, 1121 (1998); J-W. Pan, D. Bouwmeester, H. Weinfurter y A. Zeilinger, Phys. Rev. Lett. 80, 3891 (1998). Experimentos de teletransporte con modos de campos electromagnéticos: A. Furusawa, J. Sorenson, S. L. Braunstein, C. A. Fuchs, H. J. Kimble y E. S. Polzik, Science 282, 706 (1998)]. La técnica descrita en el trabajo de Furusawa et al. serviría para implementar el invento en el contexto (a). Las técnicas descritas en los trabajos con fotones también podrían servir para nuestro propósito. Sin embargo, existen otros métodos que son más adecuados en nuestro caso (porque distinguen entre los cuatro estados de Bell, y no sólo entre dos de ellos y una combinación lineal de los otros dos, como ocurre en las referencias citadas). Son los de Kwiat y Weinfurter [P. G. Kwiat y H. Weinfurter, Phys. Rev. A 58, R2623 (1998)] para los contextos (c) y (d), y el de Scully, Englert y Bednar [M. O. Scully. B.-G. Englert y C. J. Bednar, Phys. Rev. Lett. 83, 4433 (1999)] para el contexto (b). Los detalles deben consultarse en las referencias citadas.

Procedimiento cuántico para distribuir claves criptográficas sin descartar datos.

El invento es un procedimiento para distribuir claves criptográficas entre dos usuarios distantes que usa una propiedad de la mecánica cuántica. La novedad de la invención reside en que el número de datos útiles para generar la clave, por cada dato transmitido, es mayor que en cualquier otro procedimiento cuántico de distribución de claves criptográficas previo. En los procedimientos cuánticos tradicionales, para garantizar la privacidad de la clave es necesario que ambos usuarios elijan aleatoriamente e independientemente entre hacer dos posibles experimentos sobre cada dato transmitido. Sólo cuando estas elecciones aleatorias coinciden se genera un dato útil para la clave criptográfica. Si no coinciden, el dato transmitido se desecha. Esta forma de proceder garantiza la privacidad de la clave gracias a una propiedad de la mecánica cuántica según la cual es imposible copiar de manera fidedigna un estado cuántico desconocido.

El invento se basa en otra propiedad de la mecánica cuántica: la creación de "enredo" a distancia. En él ambos usuarios siempre hacen el mismo experimento, y el número de datos útiles para la clave (por cada dato transmitido) duplica el del conocido procedimiento propuesto por Bennett y Brassard en 1984 ("BB84"), e incluso mejora los resultados del procedimiento propuesto por Lo y Chau en 1998 ("Quantum cryptographic system with reduced data loss", patente US5732139). Otra ventaja del invento es que simplifica el proceso de comprobación de que la clave no ha sido espiada. En todos los procedimientos cuánticos previos, cualquier intento de espionaje se traduce inevitablemente en que las claves que reciben ambos usuarios dejan de ser iguales. Para averiguar si se ha producido espionaje los usuarios deben comparar públicamente un mismo fragmento de sus respectivas claves. En el procedimiento "BB84" la acción de un espía altera el 25 % de la clave. En el invento la acción del espía altera el 75 % de la clave, lo que facilita su detección. Se detalla un modo de realizar la invención con tecnología disponible hoy en día con pares de fotones "enredados" en polarización.

Estado previo de la técnica

Los dos objetivos principales de la criptografía son: (1º) Lograr que dos usuarios distantes, a los que tradicionalmente se llama "Alicia" y "Bob", se comuniquen de una manera ininteligible para un usuario no autorizado, al que tradicionalmente se llama "Eva". (2º) Garantizar que el mensaje no ha sufrido alteración durante el proceso de transmisión. En 1949, Shannon [C. E. Shannon, Bell Syst. Tech. J. 28, 657 (1949)] demostró que ambos objetivos pueden alcanzarse usando el procedimiento cifrador (o encriptador) de Vernam [G. S. Vernam, J. AIEE 45, 109 (1926)], también conocido como "one-time pad". Tal procedimiento requiere que Alicia y Bob posean una misma secuencia aleatoria de bits (i.e., de ceros o unos) que sólo ellos conocen, que es lo que se llama una "clave criptográfica". El procedimiento funciona de la siguiente manera: Alicia escribe el mensaje secreto que quiere transmitir a Bob como secuencia de bits, y le suma, bit a bit, la clave, módulo 2 (es decir, teniendo en cuenta que 0+0=0, 0+1=1, 1+1=0). El resultado es un mensaje cifrado. Este se transmite por una canal público (es decir, un canal en el que puede haber espías). Para descifrar (es decir, recuperar) el mensaje original a partir del mensaje cifrado, Bob sólo tiene que sumarle (módulo 2) la clave. Este procedimiento impone dos exigencias a la clave: (1^a) La clave tiene que ser al menos tan larga como el mensaje enviado. (2^a) La misma clave no puede emplearse dos veces. Si se usa la misma clave para encriptar un segundo mensaje, sumando módulo 2 los dos mensajes cifrados se obtiene la suma módulo 2 de los dos mensajes originales. Se puede demostrar que esta información es suficiente para que un espía descifre ambos mensajes (si en ellos se ha empleado un vocabulario finito). Más adelante se señalará una 3^a razón por la cuál es importante disponer de procedimientos para distribuir con la mayor rapidez claves criptográficas de longitud arbitraria.

Por tanto, el problema fundamental de la criptografía moderna es el "problema de la distribución segura de claves", es decir, cómo conseguir que Alicia y Bob, que no comparten inicialmente información secreta, lleguen a tener la misma clave, garantizando además que esta clave es sólo conocida por ellos. Como las claves (como cualquier otro tipo de información) se codifican en propiedades medibles de algún sistema físico portador, las leyes de la Física clásica siempre dejan abierta la posibilidad de un espionaje "pasivo": Un espía puede intervenir el canal de comunicación y hacer simples copias (clones) de la información, averiguando cuál es la clave a partir de esas copias, sin con ello alterar de una manera detectable el estado físico del portador, de forma que cuando el espía restituye el portador al canal, su intervención pasa inadvertida a los usuarios legítimos. En ese sentido, el problema de la distribución segura de claves criptográficas no tiene solución con las leyes de la Física clásica. Sin embargo, sí es resoluble usando dos propiedades de la Mecánica Cuántica: (a) El teorema de imposibilidad de clonaje [W. K. Wootters y W. H. Zurek, Nature 299, 802 (1982)], que establece que un estado cuántico desconocido de un sistema individual no pueden ser clonado de forma fidedigna. (b) El principio de incertidumbre de Heisenberg, según el cual ciertas magnitudes físicas son complementarias entre sí en el sentido de que al medir una de ellas, otra u otras se ven inevitablemente alteradas. Ambas propiedades no sólo se refieren a limitaciones atribuibles a una tecnología particular, sino que indican limitaciones inherentes a la naturaleza. Por tanto, si el portador de la clave criptográfica es un sistema cuántico (usualmente un fotón, pero también un electrón, un átomo, una molécula, etc.) y la información sobre la clave se ha codificado preparando ese sistema en un estado cuántico desconocido (tanto para el receptor como para los potenciales espías, pero no para el emisor), cualquier intento de averiguar cuál es el estado cuántico del sistema haciendo copias de él es, en general, inútil (por el teorema de imposibilidad de clonaje), y además perturba inevitablemente y de una manera detectable para los usuarios autorizados el estado del portador (por el principio de incertidumbre).

El primer procedimiento cuántico de distribución de claves fue propuesto por Bennett y Brassard en 1984 ("BB84") [C. H. Bennett y G. Brassard, "Quantum key distribution and coin tossing", en Proceedings of IEEE International Conference on Computers, Systems, and Signal Processing, Bangalore, India (IEEE, New York, 1984), p. 175; C. H. Bennett, IBM Technical Disclosure Bulletin, enero 1984, p. 4363, y diciembre 1985. p. 3153], y ha sido posteriormente modificado e implementado de diversas formas [C. H. Bennett, F. Bessette, G. Brassard, L. Salvail y J. Smolin, "Experimental quantum cryptography", J. Cryptology 5, 3 (1992); C. H. Bennett, "Interferometric quantum cryptographic key distribution system", patente US5307410 (1994)]. Este procedimiento funciona de la siguiente manera:

Posteriormente se han propuesto otros procedimientos de distribución de claves criptográficas que también usan la mecánica cuántica de forma similar al procedimiento "BB84" ["E91": A. K. Ekert, Phys. Rev. Lett. 67, 661 (1991); "B92": C. H. Bennett, Phys. Rev. Lett. 68, 3121 (1992); "GV95": L. Goldenberg y L. Vaidman, Phys. Rev. Lett. 75, 1239 (1995); "LC98": M. Ardehali, G. Brassard, H. F. Chau y H.-K. Lo, Los Alamos preprint archive, quant-ph/9803007; H.-K. Lo y H. F. Chau, patente US5732139 (1998)], así como múltiples formas de implementar estos procedimientos de distribución de claves [las referencias que figuran a continuación han sido agrupadas por entidades solicitantes de las patentes: (a) IBM: C. H. Bennett, F. Bessette, G. Brassard, L. Salvail y J. Smolin, J. Cryptology 5, 3 (1992); C. H. Bennett, patente US5307410 (1994); Bennett y S. J. Wiesner, patente US5515438 (1996). (b) UNIVERSIDAD JOHN HOPKINS, BALTIMORE: J. D. Franson, patente US5243649 (1993); J. D. Franson y H. Ilves, J. Mod. Opt. 41, 2391 (1994); J. D. Franson y B. C. Jacobs, Electron. Lett. 31, 232 (1995); B. C. Jacobs y J. D. Franson. Opt. Lett. 21, 1854 (1996). (c) BRITISH TELECOMMUNICATIONS: A. K. Ekert, J. G. Rarity, P. R. Tapster y G. M. Palma, Phys. Rev. Lett. 69, 1293 (1992); P. D. Townsend, J. G. Rarity y P. R. Tapster, Electron. Lett. 29, 634 (1993); Electron. Lett. 29, 1291 (1993); P. D. Townsend, Electron. Lett. 30, 809 (1994); P. D. Townsend, ?. Thompson, J. Mod. Opt. 41, 2425 (1994); K. J. Blow, patente EP717897B1 (1994); J. G. Rarity, P. C. M. Owens y P. R. Tapster, J. Mod Opt. 41, 2435 (1994); J. G. Rarity y P. R. Tapster, patente US5418905H (1995); C. Marand y P. D. Townsend, Opt. Lett. 20, 1695 (1995); P. D. Townsend, Nature 385, 47 (1997); patente EP776558A1G (1997); patente WO9744936A1 (1997); patente US5675648 (1997); K. J. Blow, patente US5757912 (1998); P. D. Townsend y D. W. Smith, patente US5768378 (1998); patente EP717895B1 (1998); P. D. Townsend y K. J. Blow, patente US5850441 (1998); patente EP717896B1 (1999); P. D. Townsend, patente US5953421 (1999); patente EP972373A1 (2000); S. J. D. Phoenix y S. M. Barnett, patente US5764765 (1998). (d) SWISSCOM AG y TELECOM PTT: A. Muller, J. Breguet y N. Gisin, Europhys. Lett. 23, 383 (1993); A. Muller, H. Zbinden y N. Gisin, Nature 378, 449 (1995); Europhys. Lett. 33, 335 (1996); G. Ribordy, J-D. Gautier, N. Gisin, O. Guinnard y H. Zbinden, Electron. Lett. 34, 2116 (1998); Los Alamos preprint archive, quant-ph/9905056; N. Gisin et al., patente W9810560A1 (1998); patente EP923828A1 (1999). (e) UNIVERSIDAD DE CALIFORNIA y LABORATORIO DE LOS ALAMOS: T. Buttler et al., Phys. Rev. Lett. 81, 3283 (1998); Phys. Rev. A 57, 2379 (1998); patente US5966224 (1999); Los Alamos preprint archive, quant-ph/0001088 (2000). (f) CALIFORNIA INSTITUTE OF TECHNOLOGY: H. J. Kimble, Z. Y. Ou y S. E. Pereira, patente US5339182C (1994). (g) NIPPON TELEGRAPH & TELEPHONE: K. Masato y I. Nobuyuki, patente JP10322329A (1998). (h) FRANCE TELECOM: Y. Mazourenko, J.-M. Merolla y J.-P. Goedgebuer, patente EP877508A1 (1998)]. Un resumen de los primeros desarrollos en criptografía cuántica puede encontrarse en C. H. Bennett, G. Brassard y A. K. Ekert, "Criptografía cuántica", Investigación y Ciencia nº 195, p. 14 (1992), reimpreso en A. Cabello, "Misterios de la física cuántica", Temas de Investigación y Ciencia nº 10, Prensa Científica, Barcelona, 1997, p. 75.

En todos los procedimientos cuánticos de distribución de claves previos, los usuarios legítimos deben elegir entre experimentos alternativos y posteriormente descartar una parte de los datos transmitidos. Especial atención merece el sistema patentado por Lo y Chau ("Quantum cryptographic system with reduced data loss", patente US5732139) que es una variante de "BB84" en la cual la cantidad de datos descartados se reduce notoriamente. Este procedimiento "LC98" asigna diferentes probabilidades a los observables "A" y "B" (en el procedimiento "BB84" ambas probabilidades eran 1/2) tanto durante la transmisión como durante la recepción, y usa un análisis refinado sobre los datos aceptados para reducir la fracción de datos descartados.

Descripción de la invención

El invento es un sistema cuántico de distribución de claves criptográficas que utiliza un efecto cuántico conocido como creación de "enredo" a distancia, descrito por primera vez en 1993 [C. H. Bennett, G. Brassard, C. Crépeau, R. Jozsa, A. Peres y W. K. Wootters, Phys. Rev. Lett. 70, 1895 (1993); M. Zukowski, A. Zeilinger, M. A. Horne y A. K. Ekert, Phys. Rev. Lett. 71, 4287 (1993); S. Bose, V. Vedral y P. L. Knight, Phys. Rev. A 57, 822 (1998)]. Es un efecto que se produce entre cuatro fotones, y que se provoca haciendo un determinado experimento sobre dos de ellos. Ese experimento consiste en medir el "observable de Bell" [S. L. Braunstein, A. Mann y M. Revzen, Phys. Rev. Lett. 68, 3259 (1992)]. La medida del observable de Bell sobre dos fotones hace que tras la misma estos dos fotones se encuentren necesariamente en uno de los cuatro "estados de Bell". Estos estados son lo que se llama en mecánica cuántica estados "enredados" (un estado de dos fotones es enredado si no se puede describir a partir de los estados de cada uno de los fotones). Para nuestro propósito será suficiente con denotarlos por 00, 01, 10 y 11, y describir cómo se comportan en el efecto de creación de enredo a distancia. La creación de enredo a distancia funciona de la manera siguiente: Consideremos cuatro fotones, i, j, k y l. Los dos primeros (i y j) han sido preparados en uno de los estados de Bell, por ejemplo en el estado 11; los otros dos (k y l) han sido preparados en otro estado de Bell, por ejemplo, en el 01. Al medir el observable de Bell sobre i y k, los cuatro resultados posibles "00", "01", "10" y "1" van a ocurrir con idéntica probabilidad (1/4), puesto que la mecánica cuántica asegura que el resultado de esa medida es completamente aleatorio. Supongamos, por ejemplo, que se obtiene el resultado "00". Tal resultado indica además que el estado de los fotones i y k tras el experimento es el 00. Ese experimento sobre los fotones i y k hace que los otros dos fotones, j y l, pasen a estar en un estado de Bell determinado, el 10 (en nuestro ejemplo). Y todo esto sin que haya habido una interacción directa sobre estos últimos fotones. Este efecto ha sido comprobado experimentalmente [D. Bouwmeester, J. Pan, K. Mattle, M. Eibl, H. Weinfurter y A. Zeilinger, Nature 390, 575 (1997); D. Boschi, S. Branca, F. De Martini, L. Hardy y S. Popescu, Phys. Rev. Lett. 80, 1121 (1998); J-W. Pan, D. Bouwmeester, H. Weinfurter y A. Zeilinger, Phys. Rev. Lett. 80, 3891 (1998)].

Si los estados iniciales de i y j, y k y l fueran otros estados de Bell diferentes a los que hemos considerado en el ejemplo anterior, o/y si el resultado del experimento (sobre i y k) para medir el observable de Bell fuese diferente, entonces también cambiaría el estado final de j y l. La mecánica cuántica permite calcular cuál sería el estado final en cada caso. La siguiente tabla recoge todas las posibilidades.

La tabla debe usarse de la manera siguiente. Si, por ejemplo, el estado inicial de i y j fuese 11, y el de k y l fuese 01, deberíamos buscar el "1101" en la parte izquierda de la tabla. En nuestro caso aparece en la cuarta columna, en la tercera fila. Esa misma fila pero en la parte de la derecha nos indica en qué cuatro estados pueden quedar i y k, y j y l, después de medir el observable de Bell sobre i y k. Así, si conocemos el estado en que quedan i y k, la tabla nos permite averiguar el estado en que han quedado j y l. Por ejemplo, si i y k han quedado en el estado 00, habrá que buscar en la parte derecha de la tercera fila la secuencia que empiece por "00". Esa es "0010", la que está en la quinta columna. Ello indicará que el estado de j y l es 10. En resumen: conocidos los estados iniciales, si uno conoce uno de los estados finales, con ayuda de la tabla puede determinar el otro.

El procedimiento inventado para la distribución de claves criptográficas se ilustra esquemáticamente en la Figura 1 y se describe a continuación.

El invento tiene dos características novedosas frente a todos los procedimientos previos de distribución de claves que usan la mecánica cuántica (los únicos 100 % seguros):

En el invento descrito, la creación de "enredo" a distancia clave no está codificada directamente en los fotones que se transmiten, éstos sólo contienen información sobre qué correlación existe entre los experimentos que permiten a Alicia y a Bob generar la clave. Por ello, interceptar y copiar los fotones transmitidos no sirven para que Eva adquiera información sobre la clave. De hecho, el estado cuántico de los fotones transmitidos es de conocimiento público. Sin embargo, ello no quiere decir que es imposible que Eva obtenga información sobre la clave. Existe una posible estrategia de espionaje basada en el efecto de creación de enredo a distancia. Esta estrategia se ilustra en la Figura 2 y se describe a continuación. Ello no compromete la seguridad de la clave ya que, como veremos, esta forma de espionaje es inmediatamente detectable.

Sin embargo, y esto es lo importante desde el punto de vista de la seguridad del procedimiento, esta intervención de Eva ha cambiado inevitablemente la correlación que Alicia y Bob esperaban encontrar entre sus resultados secretos, o equivalentemente hace que las claves de Alicia y Bob dejen de ser iguales. En nuestro ejemplo, Bob usando su resultado secreto y el resultado hecho público por Alicia, llega a la conclusión de que el resultado de Alicia (y por tanto, los dos primeros bits de la clave) es "10". Como en los métodos cuánticos tradicionales cualquier espionaje queda en evidencia cuando Alicia y Bob hacen públicos algunos fragmentos de la clave. La ventaja de nuestro invento en esta faceta es que en el invento la intervención de Eva cambia 3 de cada 4 pares de bits de la clave, mientras que en los procedimientos anteriores sólo cambia uno de cada dos bits.

Descripción de las figuras

Modo de realizar la invención

El invento es un "procedimiento" de generación de claves, no un mecanismo concreto. Con la tecnología y conocimientos actuales se puede implementar de cuatro formas, que en orden de dificultad experimental creciente son: (a) Con modos de un campo electromagnético. (b) Con pares de fotones "enredados" sólo en polarización. (c) Con pares de fotones enredados en polarización y en energía. (d) Con pares de fotones enredados en polarización y en momento. Cabe de esperar que en un futuro inmediato este procedimiento también pueda implementarse con pares de iones atrapados en cavidades electromagnéticas.

La preparación de modos de un campo electromagnético o de pares de fotones en un estado de Bell (en polarización, etc.) concreto no presenta problema tecnológico alguno. La descripción de "fuentes" apropiadas abunda en la literatura. Es oportuno señalar que, en el caso de los fotones enredados en polarización, hasta con disponer de una fuente que prepare los pares en uno de los cuatro estados de Bell, ya que los otros tres estados de Bell pueden obtenerse a partir de aquél sin más que efectuar una simple rotación de la polarización en uno de los dos fotones.

La transmisión de los fotones entre los usuarios distantes puede hacerse mediante fibras ópticas. Actualmente esta tecnología limita la distancia de los usuarios a unos 26 km [A. Muller, J. Breguet y N. Gisin, Europhys. Lett. 23, 383 (1993); A. Muller, H. Zbinden y N. Gisin, Nature 378, 449 (1995); Europhys. Lett. 33, 335 (1996); G. Ribordy, J-D. Gautier, N. Gisin, O. Guinnard y H. Zbinden, Electron. Lett. 34, 2116 (1998)].

Alternativamente, si en lugar de pares de fotones se emplean pares de pulsos electromagnéticos, la transmisión puede hacerse por el aire. Con este tipo de tecnología se pueden transmitir las señales a satélites en órbitas bajas [T. Buttler et al., Phys. Rey. Lett. 81, 3283 (1998); Phys. Rev. A 57, 2379 (1998); patente US5966224 (1999); Los Alamos preprint archive, quant-ph/0001088 (2000)].

La medida del observable de Bell requiere una tecnología específica, inhabitual en la literatura sobre criptografía. Es por ello que le prestaremos especial atención. Para medir el observable de Bell en los contextos descritos antes existen varios métodos. En primer lugar los desarrollados para hacer "codificación cuántica de doble densidad" [C. H. Bennett y J. Wiesner, Phys. Rev. Lett. 69, 2881 (1992)] y "teletransporte" de estados cuánticos [C. H. Bennett, G. Brassard, C. Crépeau, R. Jozsa, A. Peres y W. K. Wootters, Phys. Rev. Lett. 70, 1895 (1993)]. Para lograr ambos efectos se requieren experimentos para medir el operador de Bell. Ambos efectos se han demostrado experimentalmente en diferentes laboratorios [Experimentos de codificación densa con fotones: K. Mattle, H. Weinfurter, P. G. Kwiat y A. Zeilinger, Phys. Rev. Lett. 76, 4656 (1996). Experimentos de teletransporte con fotones: D. Bouwmeester, J. Pan, K. Mattle, M. Eibl, H. Weinfurter y A. Zeilinger, Nature 390. 575 (1997); D. Boschi, S. Branca, F. De Martini, L. Hardy y S. Popescu, Phys. Rev, Lett. 80, 1121 (1998); J-W. Pan, D. Bouwmeester, H. Weinfurter y A. Zeilinger, Phys. Rev. Lett. 80, 3891 (1998). Experimentos de teletransporte con modos de campos electromagnéticos: A. Furusawa, J. Sorenson, S. L. Braunstein, C. A. Fuchs, H. J. Kimble y E. S. Polzik, Science 282, 706 (1998)]. La técnica descrita en el trabajo de Furusawa et al. serviría para implementar el invento en el contexto (a). Las técnicas descritas en los trabajos con fotones también podrían servir para nuestro propósito. Sin embargo, existen otros métodos que son más adecuados en nuestro caso (porque distinguen entre los cuatro estados de Bell, y no sólo entre dos de ellos y una combinación lineal de los otros dos, como ocurre en las referencias citadas). Son los de Kwiat y Weinfurter [P. G. Kwiat y H. Weinfurter, Phys. Rev. A 58, R2623 (1998)] para los contextos (c) y (d), y el de Scully, Englert y Bednar [M. O. Scully. B.-G. Englert y C. J. Bednar, Phys. Rev. Lett. 83, 4433 (1999)] para el contexto (b). Los detalles deben consultarse en las referencias citadas.

1. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, caracterizado porque consta de los siguientes pasos:

2. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicación 1, caracterizado porque todas las señales cuánticas se utilizan para generar la clave (ninguna ha de ser desechada).

3. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 2, caracterizado porque, el número de bits útiles de clave, antes de la verificación, es igual al de señales cuánticas transmitidas.

4. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 3, caracterizado porque cualquier intervención no autorizada en el canal de transmisión altera de manera detectable por los usuarios autorizados el 75 % de la clave distribuida a B.

5. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 4, caracterizado porque requiere que A y B comparen un fragmento de clave menor que en cualquier otro procedimiento cuántico previo de distribución de claves criptográficas.

1. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, caracterizado porque consta de los siguientes pasos:

2. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicación 1, caracterizado porque todas las señales cuánticas se utilizan para generar la clave (ninguna ha de ser desechada).

3. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 2, caracterizado porque, el número de bits útiles de clave, antes de la verificación, es igual al de señales cuánticas transmitidas.

4. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 3, caracterizado porque cualquier intervención no autorizada en el canal de transmisión altera de manera detectable por los usuarios autorizados el 75 % de la clave distribuida a B.

5. Un procedimiento cuántico para distribuir de manera segura una clave criptográfica entre dos usuarios autorizados, A y B, según reivindicaciones 1 a 4, caracterizado porque requiere que A y B comparen un fragmento de clave menor que en cualquier otro procedimiento cuántico previo de distribución de claves criptográficas.