Foton jako důvěryhodný kurýr

Autoři článku vyslovují domněnku, že po překonání bariér (vysokých nákladů, nízké rychlosti spojení, velkých rozměrů zařízení, krátkého obsahu) nastane rozmach kvantové kryptografie, hovoří dokonce o malé revoluci v bezpečném přenosu informací.

Na rozdíl od autorů článku se domnívám, že i kdyby se kvantová kryptografie rozšířila, neznamenalo by to zásadní přínos, a už vůbec ne revoluci. Oproti současnému stavu nepřináší kvantová kryptografie žádné zásadní výhody, naopak je s ní spojena jistá nevýhoda.

Hlavní myšlenka kvantové kryptografie spočívá ve speciální metodě přenosu tajného klíče, který by potom měl být použit k zašifrování vlastní zprávy Vernamovou šifrou. Pro tento přenos se používají jednotlivé částice – nejlépe fotony, jejichž polarizace určuje, zda má bit klíče hodnotu 0, nebo 1. Rozhodující je pak skutečnost, že příjemce takto doručeného klíče (Bob) je schopen rozpoznat, zda přenos klíče na trase mezi ním a odesílatelem (Alicí) byl, či nebyl odposloucháván. Pokud se zjistí, že byl, klíč se k zakódování zprávy nepoužije. Přitom klíč má být stejně dlouhý jako zpráva, k jejímuž zašifrování bude použit, má být tvořen náhodnou posloupností bitů, a pokud se jeho přenos podaří bez odposlechu, je díky vlastnostem Vernamovy šifry zajištěna absolutní nerozluštitelnost jím šifrované zprávy.

Popišme si nyní, jakým způsobem je možné utajovat přenos dat pomocí Vernamovy šifry běžně již dnes. Nejprve se spolu setkají Alice a Bob, a oba si odnesou datový nosič obsluhující unikátní náhodný soubor bitů, který budou při svém šifrovém styku používat jako klíč. Data na obou nosičích jsou shodná a více kopií se nevyskytuje. Nosičů může být na počátku samozřejmě více párů. Potom je při přenosu každé zprávy použita coby klíč tak dlouhá část obsahu datového nosiče, jak je dlouhá přenášená zpráva, přičemž je zajištěno, že tato sekvence již nebude použita příště. Když se kapacita náhodných bitů na daném nosiči vyčerpá, nosič se zničí a použije se další. K výhodám popsané metody patří zejména to, že je laciná, a navíc úplně odolná odposlechu (je tedy možné používat kupříkladu internet). Bob s Alicí se sice musí osobně setkat, datové nosiče však mohou již dnes dosahovat úctyhodných kapacit, jež by měly vystačit na dlouhou dobu i hodně aktivním uživatelům (kapacita DVD disku je několik gigabajtů). Jistá nevýhoda této metody spočívá v tom, že datové nosiče s klíči je třeba na straně Alice i Boba po delší dobu uschovávat před nepřáteli (vnějšími i vnitřními). To je však organizační záležitost dvou protagonistů, a zabezpečit tyto nosiče je zřejmě jednodušší než uchránit vlastní utajované informace.

Kvantová kryptografie je naproti tomu v současné době nepoužitelná. Je však možné, že se jednou sníží náklady nutné pro její použití tak výrazně, že bude zavedena do běžného provozu (otázkou ovšem je, kolik stovek gigabajtů se v té době vejde na jediný datový nosič podobný dnešnímu DVD). Potom se ovšem Alice s Bobem budou opět muset na začátku komunikace osobně setkat, aby si sdělili autentizační kód. Ten pak budou mezi jednotlivými přenosy uchovávat za stejných bezpečnostních opatření jako nosiče s daty pro tvorbu klíče při předchozí metodě. Oproti ní je však kvantová kryptografie spojena s poměrně významnou nevýhodou. Pokud totiž Bob zjistí, že někdo přenášený klíč odposlouchával, budou muset uživatelé kvantové kryptografie pracně zjišťovat, kde a jak se to stalo (pokud by tak neučinili, mohlo by se to opakovat). Samozřejmě budou muset buď použít náhradní přenosový kanál, nebo se utajeného přenosu zprávy vzdát.

Na základě výše uvedeného se domnívám, že zavedení kvantové kryptografie do běžného provozu by nebylo v utajování přenosů zpráv žádným převratem. Krom toho je třeba si uvědomit, že tato diskuse je do značné míry pouze teoretická, neboť mnohé vlády jsou možností běžného používání vysoce odolných šifer silně znepokojeny a omezují takové aktivity zákonnými prostředky.

Autorova odpověď: Já i oba spoluautoři článku jsme fyzici a přitahují nás tedy – víc než celé utajování – fyzikální aspekty kvantové kryptografie. A ty jsou opravdu zajímavé. Připouštím, že kdybych teď snad pocítil potřebu něco někomu utajeně sdělovat, zvolil bych asi právě tu metodu, kterou jste popsal ve svém dopise. Věta o „revoluci v oblasti bezpečného přenosu informaci“ je tedy možná pouze určitou nadsázkou v závěru článku. Na druhou stranu myslím, že je docela těžké být dnes v těchto věcech prorokem. Kvantová kryptografie je jediná známá metoda, která principiálně umožňuje odhalit odposlech. Tato její vlastnost je důsledkem zákonů kvantové fyziky a žádná klasická (nekvantová) metoda něco takového obecně prostě dokázat nemůže.

Ačkoli i kvantová kryptografie potřebuje na počátku výměnu (a později uchovávání) hesla pro autentizaci (tedy výměnu určité tajné informace), může fungovat jako „násobič“ tajné informace. Stačí, aby se Alice a Bob sešli jen jednou, a pak už mohou velikost sdíleného tajného náhodného „klíče“ bez omezení zvětšovat. Jistěže z praktického hlediska je to výhoda dnes spíše nepodstatná, ale je to přecejen výhoda principiální. Ovšem je možné, že zarputilá Eva přinutí nepřetržitým odposlechem Alici a Boba „vyplýtvat“ všechny autentizační sekvence, které mají v zásobě, a znemožní tak bezpečnou komunikaci. Podstatné však je, že samotný odposlech (s cílem získat tajné informace) nemá v kvantové kryptografii žádný smysl. Naopak znemožnit komunikaci lze mnoha daleko snazšími způsoby typu „přestřižení drátu“.

Vedle kvantové kryptografie se dnes diskutuje o několika dalších kvantových „technologiích“ pro přenos a zpracování informace. (Jsou to např. teleportace kvantového stavu, „husté“ kvantové kódování, kvantové počítání, „purifikace“ a kvantové opravné kódy.) Snad s výjimkou kvantových počítačů jde zatím spíše o fyzikální kuriozity. Přesto si myslím, že využití kvantových jevů může hrát v budoucnu v informatice podstatnou úlohu.

Vaše poznámka týkající se legislativního omezení se mi zdá irelevantní, neboť – jak se zdá – právě ti, kteří podobná omezení vymyslí, se o možnosti kvantové kryptografie zajímají nejvíce.