Квантовый прыжок в будущее

На протяжении двух тысячелетий создатели шифров прикладывали все усилия, чтобы сохранить секреты, дешифровальщики же старались сделать все возможное, чтобы их раскрыть. Между ними всегда шло острое соперничество: дешифровальщики отступали, когда шифровальщики чувствовали себя хозяевами положения, а создатели шифров, в свою очередь, придумывали новые, более стойкие виды шифрования, когда предыдущие оказывались скомпрометированными. Открытие криптографии с открытым ключом и политические споры, ведущиеся вокруг использования стойкой криптографии, приводят нас к сегодняшнему дню, и не вызывает сомнений, что в информационной войне побеждают криптографы. По словам Фила Циммермана, мы живем в «золотом веке» криптографии: «Сейчас в современной криптографии можно создать такие шифры, которые будут совершенно недоступны всем известным видам криптоанализа. И я полагаю, что так будет и впредь». Точку зрения Циммермана разделяет Уильям Кроуэлл, заместитель директора Агентства национальной безопасности: «Если все персональные компьютеры мира, а их примерно 260 миллионов, заставить работать над единственным сообщением, зашифрованным PGP, то для его дешифрования потребовалось бы в среднем время в 12 миллионов раз превышающее возраст Вселенной».

Впрочем, из прежнего опыта нам известно, что рано или поздно, но любой так называемый «нераскрываемый» шифр не смог устоять перед криптоанализом. Шифр Виженера назывался «нераскрываемым шифром», но Бэббидж взломал его; «Энигма» считалась неуязвимой до тех пор, пока поляки не выявили ее слабости. Так что же, криптоаналитики стоят на пороге нового открытия, или же прав Циммерман? Предсказывать будущее развитие любой технологии всегда рискованно, но когда дело касается шифров, это рискованно особенно. Мало того что мы должны предугадать, какие открытия состоятся в будущем, мы также должны постараться отгадать, какие открытия заключены в настоящем. Повествование о Джеймсе Эллисе и ШКПС дает нам понять, что уже и сейчас могут существовать поразительные достижения, скрытые за завесой правительственной секретности.

Эта заключительная глава посвящена рассмотрению нескольких футуристических идей, которые могут повысить или погубить конфиденциальность в двадцать первом столетии. В следующем разделе обсуждается будущее криптоанализа и, в частности, одна из идей, которая смогла бы дать возможность криптоаналитикам раскрыть все сегодняшние шифры. В последнем разделе данной книги, напротив, рассказывается о самой волнующей надежде криптографии — о системе, которая может гарантировать абсолютную секретность.

Криптоанализ завтрашнего дня

Несмотря на исключительную стойкость RSA и других современных шифров, роль криптоаналитиков в сборе разведывательной информации все так же важна. Доказательством успешности их деятельности служит тот факт, что сейчас спрос на криптоаналитиков выше, чем когда бы то ни было раньше, и АНБ по-прежнему является крупнейшим в мире работодателем для математиков.

Лишь незначительное количество передаваемой по всему миру информации надежно зашифровано; остальная же ее часть либо зашифрована плохо, либо не зашифрована вовсе. Причина этого заключается в быстро растущем числе пользователей Интернета, и пока что лишь немногие из них предпринимают адекватные меры предосторожности в том, что касается обеспечения секретности. А это, в свою очередь, означает, что организации, отвечающие за национальную безопасность, сотрудники правоприменяющих органов и вообще любой любопытствующий могут заполучить в свои руки больше информации, чем допустимо.

Даже если пользователи надлежащим образом применяют шифр RSA, у дешифровальщиков по-прежнему есть масса возможностей добыть информацию из перехваченного сообщения. Дешифровальщики продолжают пользоваться старыми, добрыми методами, как, например, анализ трафика; если им и не удастся понять содержание сообщения, то они сумеют как минимум определить, кто является его отправителем и кому оно направлено, что само по себе может сказать о многом. Более современной разработкой является так называемая темпест-атака, цель которой — обнаружение электромагнитных сигналов, излучаемых электронными схемами в дисплее компьютера. Если Ева припаркует фургон на улице неподалеку от дома Алисы, она сможет воспользоваться чувствительной темпест-аппаратурой и распознать любые нажатия на клавиши, которые выполняет Алиса на своем компьютере. Это позволит Еве перехватить сообщение в тот момент, когда оно вводится в компьютер, еще до того, как оно будет зашифровано. Чтобы защититься от темпест-атак, компании производят и поставляют экранирующие материалы, которые могут использоваться для облицовки стен комнаты в целях предотвращения прохождения электромагнитных сигналов. В Америке, прежде чем купить такой экранирующий материал, следует получить разрешение у правительства, что наводит на мысль, что такие организации, как ФБР, регулярно проводят слежку и наблюдение с применением темпест-аппаратуры.

Другие виды атак заключаются в использовании вирусов и «троянских коней»[33]. Ева могла бы создать вирус, который заразит программу PGP и тайно сядет в компьютере Алисы. В тот момент, когда Алиса воспользуется своим секретным ключом для дешифррвания сообщения, вирус «проснется» и запишет этот ключ. Когда Алиса в следующий раз подключится к Интернету, вирус тайно отправит этот секретный ключ Еве, позволив ей тем самым дешифровать все сообщения, посылаемые после этого Алисе. «Троянский конь» — еще одна составленная Евой каверзная компьютерная программа, которая, на первый взгляд, действует как настоящая программа шифрования, но на самом деле обманывает пользователя. Например, Алиса считает, что переписывает подлинную копию PGP, в то время как в действительности она загружает одну из версий «троянского коня». Эта модифицированная версия выглядит точно так же, как и настоящая программа PGP, но содержит инструкции пересылать Еве копии всей расшифрованной корреспонденции Алисы. Как высказался Фил Циммерман: «Любой может модифицировать исходный код и создать имитацию программы PGP, представляющую собой лоботомированного зомби, которая хоть и выглядит как настоящая, но выполняет приказы своего дьявольского хозяина. Впоследствии эта версия PGP с «троянским конем» может получить широкое хождение, поскольку утверждается, что она якобы исходит от меня. Какое коварство! Вам следует приложить все усилия, чтобы получить свою копию PGP из надежного источника, чего бы вам этого ни стоило».

Одним из вариантов «троянского коня» является принципиально новый фрагмент программного обеспечения для шифрования, который выглядит вполне надежно, но в действительности содержит «черный ход», который иногда позволяет его разработчикам дешифровывать сообщения всех и каждого. В 1998 году в отчете Уэйна Мэдсена было обнародовано, что швейцарская криптографическая компания Крипто АГ установила «черные ходы» в некоторых из своих программных продуктов и предоставила правительству США подробные сведения о том, как пользоваться этими «черными ходами». В результате Америка оказалась способна прочесть сообщения некоторых стран. В 1991 году убийц Шахпура Бахтияра, бывшего премьер-министра Ирана, жившего в изгнании, задержали благодаря тому, что были перехвачены и дешифрованы с помощью «черного хода» иранские сообщения, зашифрованные с помощью оборудования Крипто АГ.

Несмотря на то что и анализ трафика, и темпест-атаки, и вирусы, и «троянские кони» до сих пор представляют собой полезные способы сбора разведывательной информации, криптоаналитики понимают, что их подлинной целью является поиск способа взлома шифра RSA — краеугольного камня современного шифрования. Шифр RSA используется для защиты самых важных военных, дипломатических, коммерческих и криминальных сообщений — то есть как раз тех сообщений, дешифрование которых и представляет интерес для организаций, занятых сбором разведывательной информации. Криптоаналитикам, чтобы бросить вызов стойкому шифрованию RSA, потребуется совершить крупное теоретическое открытие или значительный технологический прорыв.

Теоретическое открытие станет принципиально новым способом поиска секретного ключа Алисы. Секретный ключ Алисы состоит из чисел р и q, и они находятся путем разложения на множители открытого ключа N. Стандартный подход — поочередно проверять все простые числа, чтобы посмотреть, делится ли N на них, или нет, правда, как мы знаем, на это потребуется неоправданно много времени. Криптоаналитики пробовали отыскать способ быстрого разложения на множители — способ, который бы значительно сократил число шагов, необходимых для нахождения р и q, но до сих пор все их попытки выработать рецепт быстрого разложения на множители заканчивались неудачей. Веками математики изучали разложение на множители, но и сегодня способы разложения на множители ненамного лучше, чем античные методы. Более того, вполне может оказаться так, что существование существенного упрощения операции разложения на множители запрещается самими законами математики.

В отсутствии надежды на теоретическое открытие, криптоаналитики были вынуждены искать какое-нибудь техническое новшество. Если явного способа сократить количество действий, требующихся для разложения на множители, нет, то тогда криптоаналитикам необходим способ, с помощью которого эти действия будут выполняться гораздо быстрее. С годами кремниевые чипы будут работать все быстрее и быстрее, удваивая свою скорость примерно каждые восемнадцать месяцев, но для того, чтобы хоть как-то повлиять на скорость разложения на множители, этого недостаточно; криптоаналитикам требуются устройства, которые были бы в миллионы раз быстрее современных компьютеров. Так что криптоаналитики рассчитывают на принципиально новый вид компьютера — квантовый компьютер. Если бы ученые смогли создать квантовый компьютер, это позволило бы выполнять вычисления с такой скоростью, что современный суперкомпьютер выглядел бы по сравнению с ним сломанными счетами.

Далее в этом разделе будет обсуждаться концепция квантового компьютера, и поэтому здесь вводятся некоторые принципы квантовой физики, называемой иногда квантовой механикой. Прежде чем двигаться дальше, обратите, пожалуйста, внимание на предупреждение, которое поначалу дал Нильс Бор, один из «отцов» квантовой механики: «Тот, кто способен размышлять о квантовой механике, не испытывая при этом головокружения, не понял ее». Другими словами, приготовьтесь к встрече с несколькими довольно причудливыми идеями.

Чтобы объяснить принципы квантовых вычислений, полезно вернуться в конец восемнадцатого века к работе Томаса Юнга, английского энциклопедиста, сделавшего первый шаг в дешифровании египетской иероглифики. Юнг, член совета колледжа Эммануэль в Кембридже, частенько проводил послеобеденное время, отдыхая около пруда для уток рядом с колледжем. Как-то раз, как гласит предание, он обратил внимание на двух безмятежно плывущих бок о бок уток. Он заметил, что каждая из уток оставляла за собой на воде след в виде двух расходящихся веером волн, которые взаимодействовали друг с другом и создавали своеобразную картину, состоящую из участков, покрытых рябью, и участков со спокойной гладью воды. Когда гребень волны, идущей от одной из уток, встречался со впадиной между волнами, идущими от другой утки, в результате образовывался небольшой участок спокойной глади воды — гребень волны и впадина между волнами взаимно уничтожали друг друга. И наоборот, если в каком-то месте одновременно встречались две волны, то в результате образовывалась еще более высокая волна, если же в каком-то месте одновременно встречались две впадины, то образовывалась еще более глубокая впадина. Его это крайне заинтересовало, потому что утки напомнили ему об эксперименте, связанном с изучением природы света, который он провел в 1799 году.

В том эксперименте, как показано на рисунке 71 (а), Юнг освещал светом перегородку, в которой были две узкие вертикальные щели. На экране, расположенном на некотором расстоянии позади щелей, Юнг ожидал увидеть две светлые полоски — проекции щелей. Вместо этого он заметил, что свет от обеих щелей расходился веером, создавая на экране рисунок из нескольких светлых и темных полос. Такой рисунок в виде полос на экране озадачил его, но теперь он был уверен, что вполне смог бы дать ему объяснение, исходя из того, что он увидел на пруду для уток.

Юнг начал с предположения, что свет представляет собой волну. Но если свет, выходящий из двух щелей, ведет себя как волна, тогда эти волны ведут себя почти так же, как и волновые следы позади обеих уток. Более того, причиной появления светлых и темных полос на экране было то же самое взаимодействие, которое приводило к образованию высоких волн, глубоких впадин между волнами и участков со спокойной гладью воды. Юнг представил себе точки на экране, где встретились пик волны и впадина между волнами, что привело к их взаимному уничтожению и образованию темной полосы, и точки на экране, где встретились две волны (или две впадины), что вызвало их усиление и образование светлой полосы, как показано на рисунке 71 (b). Утки позволили Юнгу лучше понять природу света, в результате чего он опубликовал «Волновую теорию света» — нестареющий классический труд по физике.

_{Рис. 71 Эксперимент Юнга со щелями (вид сверху). На рисунке (а) видны световые волны, расходящиеся веером из двух щелей в перегородке, которые взаимодействуют между собой и образуют на экране рисунок в виде полос. На рисунке (b) показывается, как взаимодействуют между собой отдельные волны. Если на экране встречаются впадина между волнами и волна, то в результате образуется темная полоса. Если на экране встречаются две впадины между волнами (или две волны), то в результате образуется светлая полоса.}

Сейчас нам известно, что свет действительно ведет себя как волна, но мы также знаем, что он ведет себя и как частица. То, как мы воспринимаем свет — в качестве волны или же частицы, — зависит от конкретной ситуации, и такая двойственность в поведении света называется корпускулярно-волновым дуализмом. Мы не будем далее обсуждать этот дуализм, просто укажем, что в современной физике световой пучок считается состоящим из бесчисленного множества отдельных частиц, называемых фотонами, которые и проявляют волновые свойства. При таком подходе мы можем трактовать эксперимент Юнга, как вылетающие из щели, а затем взаимодействующие с обратной стороны перегородки фотоны.

Вроде бы ничего особенно странного в эксперименте Юнга нет. Однако современная технология позволяет физикам повторить эксперимент Юнга, используя для этого нить накаливания, которая настолько тусклая, что испускает одиночные световые фотоны с частотой, скажем, раз в минуту, и каждый фотон в одиночку движется к перегородке. Время от времени фотон пролетает через одну из двух щелей и попадает на экран. Хотя наши глаза недостаточно чувствительны, чтобы видеть отдельные фотоны, за ними можно наблюдать с помощью специального датчика, и по прошествии нескольких часов мы сможем получить полную картину попадания фотонов на экран. Если в любой момент времени через щели пролетает только один фотон, то рассчитывать, что мы увидим полосы, которые наблюдал Юнг, мы не можем, потому что они образуются, похоже, только в том случае, когда два фотона одновременно пролетят через разные щели и затем провзаимодействуют друг с другом. Вместо них мы могли бы ожидать появления только двух светлых полосок — проекций щелей в перегородке. Однако по какой-то непонятной причине даже при одиночных фотонах на экране по-прежнему образуется точно такой же рисунок из светлых и темных полос, как если бы фотоны взаимодействовали друг с другом.

Этот поразительный результат противоречит здравому смыслу. С точки зрения законов классической физики, то есть таких законов, которые были созданы для описания того, как ведут себя обычные предметы, объяснить это явление невозможно. Классическая физика может объяснить орбиты планет или траекторию пушечного ядра, но совершенно не способна дать описание микромира, например, траектории фотона. Для объяснения таких фотонных процессов физики прибегают к квантовой теории, объясняющей поведение объектов на микроскопическом уровне. Однако даже теоретики квантовой физики не могут прийти к согласию относительно объяснения результата этого эксперимента. Они раскололись на два лагеря, каждый из которых интерпретирует результат по-своему.

Первым лагерем постулируется концепция, известная как суперпозиция. Сторонники суперпозиции начинают с того, что заявляют, что доподлинно нам известны о фотоне только две вещи: он вылетает из нити накаливания и он попадает на экран. Все остальное — полнейшая загадка, в том числе, полетит ли фотон через левую или через правую щель. Так как точный путь фотона неизвестен, сторонники суперпозиции считают, что фотон каким-то образом пролетает одновременно через обе щели, что позволяет ему затем проинтерферировать самому с собой и создать рисунок в виде полос, который и наблюдается на экране. Но разве способен одиночный фотон пролететь через обе щели?

Аргументация сторонников суперпозиции на этот счет следующая. Если мы не знаем, как ведет себя частица, то значит, могут одновременно реализовываться все вероятности. В случае фотона нам не известно, пролетит ли он через левую или же через правую щель, поэтому мы предполагаем, что он пролетает через обе щели одновременно. Каждая вероятность называется состоянием, а поскольку в данном случае с фотоном реализуются обе вероятности, то говорят, что он находится в суперпозиции состояний. Мы знаем, что один фотон испускается нитью накаливания, и мы знаем, что один фотон попадает на экран за перегородкой, но между этими событиями он каким-то образом разделяется на два «фотона-призрака», которые пролетают через обе щели. Суперпозиция может звучать и глупо, но она хотя бы дает объяснение появлению рисунка в виде полос, получающегося в эксперименте Юнга с отдельными фотонами. Сравните, классическое представление, состоящее в том, что фотон должен пролететь через одну из двух щелей — мы просто не знаем, через какую именно, — кажется более здравым, чем квантовое, но, к сожалению, оно не способно объяснить получающийся результат.

Эрвин Шредингер, получивший Нобелевскую премию по физике в 1933 году, придумал мысленный эксперимент, известный под названием «кошка Шредингера», который часто используется для объяснения концепции суперпозиции. Представьте себе кошку, находящуюся в ящике. Для этой кошки существуют два возможных состояния: мертвая или живая. Вначале мы достоверно знаем, что кошка находится в одном определенном состоянии, поскольку можем видеть, что она живая. В этот момент кошка не находится в суперпозиции состояний. Затем положим в ящик рядом с кошкой ампулу с цианидом и закроем крышку. Теперь для нас наступил период неведения, потому что не можем видеть кошку или определить ее состояние. Жива ли она, или же наступила на ампулу с цианидом и умерла? В обычной жизни мы бы сказали, что кошка либо мертва, либо жива, — мы только не знаем, что именно. Квантовая теория, однако, говорит, что кошка находится в суперпозиции из двух состояний: она и мертва, и жива, то есть она находится во всех возможных состояниях. Суперпозиция возникает только тогда, когда объект пропадает у нас из виду и является способом описания объекта в период неопределенности. Когда, в конечном итоге, мы откроем ящик, мы сможем увидеть, жива ли кошка или мертва. Это действие — мы смотрим на кошку — вынуждает ее перейти в одно из определенных состояний, и тут же суперпозиция исчезает.

Для тех читателей, кому не нравится суперпозиция, есть второй квантовый лагерь, выступающий за иную интерпретацию эксперимента Юнга. К сожалению, эта альтернативная точка зрения столь же причудлива. В многомировой интерпретации объявляется, что после того, как фотон вылетел из нити накаливания, у него есть две возможности: он пролетит либо через левую, либо через правую щель — в этот момент мир разделяется на два мира, и в одном мире фотон пролетает через левую щель, а в другом мире фотон пролетает через правую щель. Оба эти мира как-то взаимодействуют друг с другом, чем и объясняется появление рисунка в виде полос. Сторонники многомировой интерпретации считают, что всякий раз, как у объекта появляется возможность перейти в одно из нескольких вероятных состояний, мир разделяется на множество миров с тем, чтобы каждая вероятность реализовывалась в отличающемся мире. Такое множественное число миров именуется мультимиром.

Неважно, выбираем ли мы суперпозицию или многомировую интерпретацию, квантовая теория является сложной философской доктриной. Но несмотря на свою сложность, она показала себя самой успешной и практичной научной теорией, которая когда-либо появлялась. Квантовая теория помимо того, что способна объяснить результат, полученный в эксперименте Юнга, успешно объясняет и множество других явлений. Только квантовая теория дает возможность физикам рассчитать последствия ядерных реакций в атомных электростанциях; только квантовая теория может дать объяснение чудесам ДНК; только квантовая теория объясняет, почему светит Солнце; только квантовая теория может применяться при разработке лазера для считывания компакт-дисков в вашей стереосистеме. Так что нравится нам это или нет, но мы живем в квантовом мире.

Из всех следствий квантовой теории самым технически важным является, по-видимому, квантовый компьютер, который помимо того, что разрушит стойкость всех современных шифров, возвестит приход новой эры вычислительных возможностей. Одним из пионеров квантовых вычислений был Дэвид Дойч, британский физик, начавший трудиться над этим принципом в 1984 году после участия в конференции по теории вычислений. Слушая на конференции одно из выступлений, Дойч обнаружил нечто такое, на что ранее не обращали внимания. Неявно предполагалось, что все компьютеры действовали по законам классической физики, но Дойч был убежден, что на самом деле компьютеры должны подчиняться законам квантовой физики, так как квантовые законы являются более фундаментальными.

Обычные компьютеры действуют на относительно макроскопическом уровне, а на этом уровне в законах квантовой и классической физики почти нет отличий. Поэтому не имело значения, что ученые, как правило, рассматривали обычные компьютеры с точки зрения классической физики. Однако на микроскопическом уровне возникают различия в этих двух совокупностях законов, и на этом уровне применимы только законы квантовой физики. На микроскопическом уровне квантовые законы демонстрируют свою истинную фантастичность, и компьютер, созданный на основе этих законов, станет вести себя совершенно по-иному. После конференции Дойч вернулся домой и принялся за переработку теории компьютеров в свете квантовой физики. В статье, опубликованной в 1985 году, он дал свое видение квантового компьютера, действующего по законам квантовой физики. В частности, он объяснил, чем его квантовый компьютер отличается от обычного компьютера.

_{Рис. 72 Дэвид Дойч}

Представьте, что у вас есть два варианта вопроса. Чтобы ответить на оба с помощью обычного компьютера, вам нужно будет ввести первый вариант и дождаться ответа, а затем ввести второй вариант и снова ждать ответ. Другими словами, обычный компьютер может в каждый момент времени работать только с одним вопросом, а если есть несколько вопросов, то работать с ними придется последовательно. Однако при использовании квантового компьютера оба варианта могут быть объединены в виде суперпозиции двух состояний и заданы одновременно, а машина сама после этого введет суперпозицию обоих состояний, по одному на каждый вариант. Или, в соответствии с многомировой интерпретацией, машина введет два различных мира и даст ответ по каждому варианту вопроса в различных мирах. Но безотносительно к интерпретации, квантовый компьютер может в одно и то же время обрабатывать два варианта, используя законы квантовой физики.

Чтобы получить представление о возможностях квантового компьютера, мы можем сравнить его эффективность с эффективностью работы обычного компьютера, посмотрев, что происходит, когда каждый из них используется для решения конкретной задачи. К примеру, компьютеры обоих типов могут решать задачу нахождения такого числа, в квадрате и кубе которого будут присутствовать, но ни разу не повторяться, все цифры от 0 до 9. Если мы проверим число 19, то получим, что 19² = 361, а 19³ = 6859. Это число не удовлетворяет нашему требованию, поскольку в его квадрате и кубе используются только цифры 1, 3, 5, 6, 6, 8 и 9, то есть цифр 0, 2, 4 и 7 нет, а цифра 6 повторяется дважды.

Для решения этой задачи с помощью обычного компьютера оператор должен применить следующий подход. Оператор вводит число 1 и дает возможность компьютеру проверить его. После того как компьютер выполнит необходимые вычисления, он сообщает, удовлетворяет ли данное число критерию или нет. Число 1 критерию не удовлетворяет, поэтому оператор вводит число 2 и дает возможность компьютеру выполнить очередную проверку и так далее, пока не будет в конце концов найдено соответствующее число. Оказывается, что это будет число 69, поскольку 69² = 4761, а 69³ = 328509, и в эти числах действительно по одному разу используется каждая из десяти цифр. На самом же деле 69 является единственным числом, удовлетворяющим нашему требованию. Ясно, что такой процесс занимает много времени, так как обычный компьютер может в каждый момент времени проверять только одно число. Если на проверку каждого числа компьютер затрачивает одну секунду, то, чтобы найти ответ, ему понадобится 69 секунд. Квантовому же компьютеру для нахождения ответа потребуется всего лишь 1 секунда.

Оператор начинает с того, что представляет числа особым образом с тем, чтобы воспользоваться мощью квантового компьютера. Один из способов заключается в представлении чисел посредством вращающихся частиц: многие элементарные частицы обладают собственным спином, и они могут вращаться либо с запада на восток, либо с востока на запад[34], подобно баскетбольному мячу, крутящемуся на кончике пальца. Когда частица вращается с запада на восток, она обозначает 1, а когда вращается с востока на запад, то 0. Поэтому последовательность вращающихся частиц представляет собой последовательность единиц и нулей, или двоичное число. К примеру, семь частиц, вращающихся соответственно на восток, восток, запад, восток, запад, запад, запад, сообща образуют двоичное число 1101000, которое соответствует десятичному числу 104. Комбинация из семи частиц, с учетом спинов, может представлять собой любое число между 0 и 127.

При использовании обычного компьютера оператор вводит одну конкретную последовательность спинов, например, на запад, запад, запад, запад, запад, запад, восток, которая соответствует числу 0000001, или просто десятичному числу 1. Далее оператор ждет, пока компьютер проверит это число, чтобы выяснить, удовлетворяет ли оно указанному выше критерию. После этого оператор вводит 0000010, что соответствует последовательности вращающихся частиц, обозначающих 2, и так далее. Как и раньше, числа должны будут вводиться каждый раз по одному, что, как мы знаем, потребует много времени. Однако если мы имеем дело с квантовым компьютером, у оператора имеется альтернативный, гораздо более быстрый способ ввода чисел. Поскольку каждая частица является элементарной, она подчиняется законам квантовой физики. Поэтому когда частица не наблюдаема, она может задать суперпозицию состояний, которая означает, что она вращается одновременно в обоих направлениях и тем самым представляет одновременно и 0, и 1. Или же мы можем представить себе частицу, которая попадает в два разных мира; в одном мире она вращается с запада на восток и представляет собой 1, в то время как в другом она вращается с востока на запад и представляет собой 0.

Суперпозиция достигается следующим образом. Представьте, что мы можем наблюдать за одной из частиц — она вращается с востока на запад. Чтобы изменить ее спин, мы выстрелим мощным импульсом энергии, достаточным, чтобы частица стала вращаться с запада на восток. Если бы мы выстрелили более слабым импульсом, то иногда нам бы посчастливилось и частица изменила бы спин, а иногда нас бы постигла неудача и частица сохранила бы свое вращение с востока на запад. Вплоть до этого момента частица была все время на виду и мы могли проследить за ее движением. Однако если мы поместим вращающуюся с востока на запад частицу в ящик, где не сможем наблюдать за ней, и выстрелим в нее слабым импульсом энергии, то мы не будем иметь понятия, изменился ли ее спин. Частица перейдет в суперпозицию спинов с вращением с запада на восток и с востока на запад, аналогично тому, как кошка попадает в суперпозицию мертвая-живая. Если взять семь вращающихся с востока на запад частиц, поместить их в ящик и выстрелить в них семью слабыми импульсами, то все семь частиц перейдут в суперпозицию.

Когда все семь частиц находятся в суперпозиции, они фактически представляют все возможные сочетания спинов с вращением с запада на восток и с востока на запад. Эти семь частиц одновременно представляют собой 128 различных состояний, или 128 различных чисел. Оператор вводит семь частиц, когда они находятся в суперпозиции состояний, в квантовый компьютер, который после этого выполняет вычисления таким образом, как если бы он проверял все 128 чисел одновременно. Через 1 секунду компьютер выдаст число, 69, которое отвечает требуемому критерию. Оператор получает 128 вычислений «по цене одного».

Концепция квантового компьютера противоречит здравому смыслу. Если на минутку отвлечься от деталей, то квантовый компьютер можно представить себе двумя различными способами, в зависимости от того, какую квантовую трактовку вы предпочитаете. Некоторые физики считают квантовый компьютер единичным объектом, который выполняет вычисления одновременно со 128 числами. Другие рассматривают его как 128 объектов, каждый в своем отдельном мире, выполняющих только одно вычисление. Квантовые вычисления являются технологией в области неопределенности.

Когда обычные компьютеры оперируют с 1 и 0, эти 1 и 0 называются двоичными цифрами, или, для краткости, битами. Поскольку квантовый компьютер имеет дело с 1 и 0, представляющими собой квантовую суперпозицию, они называются квантовыми битами, или кубитами. Достоинства кубитов станут еще более заметными, если мы будем рассматривать большее количество частиц. С помощью 250 вращающихся частиц, или 250 кубитов, можно образовать примерно 10⁷⁵ комбинаций, что больше всего количества атомов во Вселенной. Если бы можно было достичь соответствующей суперпозиции с 250 частицами, то квантовый компьютер смог бы одновременно выполнять 10⁷⁵ вычислений и все их закончить в течение всего лишь одной секунды.

Использование квантовых эффектов смогло бы дать квантовым компьютерам невообразимую мощь. К сожалению, когда Дойч создавал свою концепцию квантового компьютера в середине 80-х, никто не мог в полной мере представить себе, каким образом создать на практике работоспособную машину. К примеру, ученые не могли ничего построить, что могло бы выполнять вычисления со спиновыми частицами, находящимися в суперпозиционном состоянии. Одна из самых значительных трудностей заключалась в сохранении суперпозиции состояний во время вычислений. Суперпозиция существует, только когда она ненаблюдаема, но в самом общем смысле наблюдение состоит в любом взаимодействии с чем-то, что находится вне суперпозиции. Какой-нибудь одиночный случайный атом, провзаимодействовав с одной из вращающихся частиц, вызовет нарушение суперпозиции, которая выродится в базисное состояние, и в результате квантовые вычисления выполнить не удастся.

Еще одна проблема была вызвана тем, что ученые не знали, как запрограммировать квантовый компьютер, и поэтому не были уверены, какого рода вычисления он способен производить. Однако в 1994 году Питеру Шору из AT&T Bell Laboratories штата Нью-Джерси удалось составить пригодный для квантового компьютера алгоритм. Замечательной новостью для криптоаналитиков было то, что алгоритм Шора описывал ряд шагов, которые могли бы быть использованы квантовым компьютером для разложения на множители гигантского числа, то есть как раз то, что требовалось для взлома шифра RSA. Когда Мартин Гарднер опубликовал задачу по RSA в «Сайентифик Америкен», потребовалась работа шести сотен компьютеров в течение нескольких месяцев, чтобы разложить на множители число, состоящее из 129 цифр. Для сравнения, с помощью алгоритма Шора можно было разложить на множители число, в миллион раз большее, за время, в миллион раз меньшее. К сожалению, он не мог продемонстрировать свой алгоритм для разложения на множители, поскольку по-прежнему не было такого инструмента, как квантовый компьютер.

В 1996 году Лов Гровер, также из Bell Laboratories, разработал еще один мощный алгоритм. Алгоритм Гровера — это способ осуществления поиска в списке[35]с невероятно высокой скоростью, что может казаться не особенно интересным, пока вы не поймете, что это именно то, что требуется для взлома шифра DES. Чтобы взломать шифр DES, необходимо выполнить поиск списка всех возможных ключей, чтобы найти правильный. Если обычный компьютер может проверять миллион ключей в секунду, то для раскрытия шифра DES ему потребуется свыше тысячи лет, в то время как квантовый компьютер с помощью алгоритма Гровера смог бы найти ключ менее, чем за четыре минуты.

Чисто случайно оба этих первых разработанных алгоритма для квантовых компьютеров оказались именно теми, которые криптоаналитики ставили на первое место в своих списках пожеланий. Хотя алгоритмы Шора и Гровера породили колоссальный оптимизм среди дешифровальщиков, но возникло также и чувство огромного разочарования, так как все еще не существовало такой вещи, как действующий квантовый компьютер, на. котором можно было бы реализовать эти алгоритмы. Не удивительно, что возможности самого грозного оружия в дешифровании разожгли аппетит таких организаций, как американское Управление перспективных оборонных исследований (DARPA) и Лос-Аламосская национальная лаборатория, которые отчаянно пытались создать устройства, которые смогли бы обращаться с кубитами точно так же, как кремниевые чипы оперируют с битами.

Справедливости ради следует отметить, что, хотя ряд новейших достижений укрепил дух исследователей, технология остается в высшей степени примитивной. В 1998 году Серж Харош из университета «Paris VI»[36]показал подоплеку шумихи вокруг этих достижений, развеяв заверения, что до реально существующего квантового компьютера всего лишь несколько лет. Он заявил, что это напоминает бахвальство после кропотливой сборки первого слоя карточного домика, что следующие 15 000 слоев будут простой формальностью.

Только время покажет, будет ли и если будет, то когда, разрешена проблема создания квантового компьютера. А тем временем мы можем только строить предположения относительно того, какое влияние он окажет на мир криптографии. После 70-х годов благодаря таким шифрам, как DES и RSA, шифровальщики явно лидируют в состязании с дешифровальщиками. Эти виды шифров — ресурс огромной ценности, поскольку мы полагаемся на них, чтобы зашифровать свои электронные письма и защитить свое право на частную жизнь. Аналогичным образом, поскольку мы вступили в двадцать первое столетие, коммерческая деятельность будет все больше и больше проводиться через Интернет, а электронный рынок будет рассчитывать на стойкие шифры для защиты и контроля финансовых сделок. А поскольку информация становится самым ценным товаром в мире, участь государств в сфере экономики, политики и вооруженных сил будет зависеть от стойкости шифров.

Поэтому создание полностью работоспособного квантового компьютера создаст угрозу неприкосновенности нашей личной жизни, разрушит электронную коммерцию и уничтожит понятие национальной безопасности. Квантовый компьютер поставит под удар стабильность мира. Какая бы страна ни стала первой, она получит возможность отслеживать средства связи своих граждан, читать о намерениях своих конкурентов в коммерции, прослушивать планы своих противников. И несмотря на то, что квантовые вычисления находятся еще в. процессе зарождения, они представляют потенциальную опасность для личности, международного бизнеса и глобальной безопасности.

Квантовая криптография

В то время как криптоаналитики ожидают появления квантовых компьютеров, криптографы вовсю трудятся над своим собственным технологическим чудом — системой шифрования, которая вновь позволит обрести конфиденциальность, даже в противостоянии с мощью квантового компьютера.

Этот новый вид шифрования в корне отличен от тех, с которыми мы прежде сталкивались, то есть дает надежду на совершенную стойкость. Другими словами, у этой системы не будет изъянов и слабых мест, и она сможет навечно гарантировать абсолютную секретность. Более того, она основывается на квантовой теории — той самой теории, которая положена в основу квантовых компьютеров. Так что квантовая теория, с одной стороны, используется в компьютере, который сможет раскрыть все нынешние шифры, с другой же — это основа нового нераскрываемого шифра, названного квантовая криптография.

История квантовой криптографии начинается с любопытной идеи, высказанной в конце 60-х Стивеном Виснером, в то время еще аспирантом Колумбийского университета. Достойно сожаления, что идея Виснера значительно опередила свое время и никто ее не воспринял всерьез. Он до сих пор вспоминает реакцию своих наставников: «Я не получил никакой поддержки от своего научного руководителя — он вообще не проявил к ней интереса. Я показал ее еще нескольким людям — у них делались странные лица, и они возвращались к своим занятиям». Виснер предлагал поразительную концепцию квантовых денег, огромное преимущество которых заключалось в том, что подделать их было невозможно.

Квантовые деньги Виснера основывались главным образом на физике фотонов. Как показано на рисунке 73 (а), фотон во время своего движения производит колебания. Все четыре фотона летят в одном направлении, но в каждом случае угол колебаний различен. Угол колебаний называется поляризацией фотона, и лампочкой накаливания создаются фотоны всех поляризаций, что означает, что у части фотонов колебания будут происходить вверх-вниз, у части фотонов — влево-вправо, а у остальных колебания будут происходить при любых углах между этими направлениями. Для простоты предположим, что фотоны обладают только четырьмя возможными поляризациями, которые мы обозначим

Если на пути фотонов установить фильтр, называющийся поляризационным, то выходящий пучок света будет состоять из фотонов, которые колеблются в одном определенном направлении; другими словами, все фотоны будут иметь одну и ту же поляризацию. Мы можем рассматривать поляризационный фильтр как в некотором роде сито, а фотоны — как спички, беспорядочно рассыпанные по ситу. Спички проскользнут сквозь сито только в том случае, если они располагаются под нужным углом. Любой фотон, поляризованный в том же направлении, что и поляризация поляризационного фильтра, заведомо пройдет через него без изменений, а фотоны, поляризованные в направлении, перпендикулярном фильтру, будут задержаны.

К сожалению, аналогия со спичками не срабатывает, когда мы рассматриваем диагонально поляризованные фотоны, попадающие на поляризационный фильтр с вертикальной поляризацией. Хотя диагонально расположенные спички будут задержаны вертикальным ситом, совсем не обязательно, что это же самое произойдет с диагонально поляризованными фотонами, попадающими на поляризационный фильтр с вертикальной поляризацией. На самом деле, когда диагонально поляризованные фотоны встретятся с поляризационным фильтром с вертикальной поляризацией, то половина из них будет задержана, а половина пройдет через фильтр, причем те, которые пройдут, приобретут вертикальную поляризацию. На рисунке 73 (b) показаны восемь фотонов, попадающих на поляризационный фильтр с вертикальной поляризацией, а на рисунке 73 (с) показано, что через фильтр благополучно прошли только четыре из восьми фотонов. Прошли все вертикально поляризованные фотоны и половина диагонально поляризованных фотонов, а все горизонтально поляризованные фотоны задержаны.

_{Рис. 73 (а) Хотя колебания фотонов происходят во всех направлениях, мы, для простоты рассмотрения, предполагаем, что имеется только четыре различных направления, как показано на данном рисунке. (b) Лампочка испустила восемь фотонов, которые колеблются в различных направлениях. Говорят, что каждый фотон имеет поляризацию. Фотоны летят к поляризационному фильтру с вертикальной поляризацией, (с) По другую сторону фильтра уцелела только половина фотонов. Вертикально поляризованные фотоны прошли, а горизонтально поляризованные фотоны нет. Прошла половина диагонально поляризованных фотонов, после чего они стали вертикально поляризованными.}

Именно такая способность задерживать определенные фотоны и объясняет, каким образом действуют поляроидные солнцезащитные очки. По сути, вы можете рассмотреть влияние поляризационных фильтров, экспериментируя с линзами от поляроидных солнцезащитных очков. Сначала вытащите одну линзу и зажмурьте или прикройте чем-нибудь один глаз, а вторым глазом смотрите через оставшуюся линзу. Не удивительно, что мир выглядит таким темным, ведь линза задерживает множество фотонов, которые иначе попали бы в ваш глаз. В этот момент все фотоны, попавшие в ваш глаз, имеют одну и ту же поляризацию. Затем держите вторую линзу перед линзой, через которую вы смотрите, и медленно вращайте ее. В определенный момент при вращении снятая линза не будет оказывать никакого влияния на количество света, который попадает в ваш глаз, потому что ее ориентация такая же, что и у закрепленной линзы — все фотоны, которые прошли через снятую линзу, пройдут также и через закрепленную линзу. Если теперь вы повернете снятую линзу на 90°, все станет совершенно черным. При таком расположении поляризация снятой линзы перпендикулярна поляризации закрепленной линзы, так что все фотоны, прошедшие через снятую линзу, задерживаются закрепленной линзой. Теперь, если вы повернете снятую линзу на 45°, то окажетесь в промежуточном положении, когда половина фотонов, прошедших через снятую линзу, сумеют пройти и через закрепленную линзу.

Виснер планировал воспользоваться поляризацией фотонов в качестве способа создания долларовых банкнот, которые никогда нельзя будет подделать. Его идея заключалась в том, чтобы в каждой долларовой банкноте было 20 ловушек для фотонов — крошечных устройств, способных захватить и удержать фотон. Он предположил, что банки могли бы использовать четыре поляризационных фильтра, ориентированных четырьмя различными способами (

), чтобы заполнить 20 ловушек 20 поляризованными фотонами; причем для каждой банкноты использовалась бы отличная от других последовательность поляризованных фотонов. К примеру, на рисунке 74 показана банкнота со следующей поляризационной последовательностью (

). Хотя на рисунке 74 эти поляризации показаны в явном виде, но в действительности они будут скрыты от взора. На каждой банкноте отпечатан также обычный номер серии — В2801695Е для долларовой банкноты, показанной на рисунке. Банк-эмитент может идентифицировать каждую долларовую банкноту в соответствии с ее поляризационной последовательностью и отпечатанным номером серии и составить список номеров серий и соответствующих поляризационных последовательностей.

Теперь фальшивомонетчик сталкивается с проблемой: он не может просто подделать долларовую банкноту с произвольным номером серии и случайной поляризационной последовательностью в ловушках для фотонов, поскольку такой пары в банковском списке нет, и банк обнаружит, что эта долларовая банкнота является фальшивой. Чтобы подделка была качественной, фальшивомонетчик должен в качестве образца использовать подлинную банкноту, каким-то образом измерить его 20 поляризаций, а затем сделать копию долларовой банкноты, взяв за образец номер серии и соответствующим образом заполнив ловушки для фотонов. Однако измерение поляризации фотонов является исключительно сложной задачей, и если фальшивомонетчик не сможет точно измерить их в подлинной банкноте-образце, то он не смеет надеяться сделать копию.

Чтобы понять всю сложность измерения поляризации фотонов, нам необходимо выяснить, как мы собираемся его выполнять. Единственный способ выяснить что-либо о поляризации фотона — это воспользоваться поляризационным фильтром. Чтобы измерить поляризацию фотона в определенной ловушке для фотонов, фальшивомонетчик выбирает поляризационный фильтр и ориентирует его в определенном направлении, скажем, вертикально,

. Если фотон, вылетающий из ловушки для фотонов, окажется вертикально поляризованным, он пройдет через поляризационный фильтр с вертикальной поляризацией, и фальшивомонетчик вполне справедливо предположит, что это вертикально поляризованный фотон.

Если же вылетающий фотон является горизонтально поляризованным, то через поляризационный фильтр с вертикальной поляризацией он не пройдет, и фальшивомонетчик вполне справедливо предположит, что это горизонтально поляризованный фотон. Однако может случиться так, что вылетающий фотон окажется диагонально поляризованным (

или

), и тогда он может как пройти через фильтр, так и не пройти через него; в любом случае фальшивомонетчик не сумеет определить его истинную природу. Фотон с поляризацией

может пройти через поляризационный фильтр с вертикальной поляризацией, и в этом случае фальшивомонетчик ошибочно предположит, что это вертикально поляризованный фотон. Но этот же самый фотон может не пройти через фильтр, и в этом случае фальшивомонетчик ошибочно предположит, что это горизонтально поляризованный фотон. С другой стороны, если фальшивомонетчик собирается измерить фотон в другой ловушке для фотонов, ориентируя фильтр диагонально, допустим,

, то этим он правильно определит природу диагонально поляризованного фотона, но безошибочно идентифицировать вертикально или горизонтально поляризованный фотон не сумеет.

Проблема для фальшивомонетчика состоит в том, что для определения поляризации фотона он должен правильно сориентировать поляризационный фильтр, но он не знает, какую ориентацию использовать, так как не знает поляризацию фотона. Такая парадоксальная ситуация свойственна физике фотонов. Представим себе, что фальшивомонетчик выбирает

фильтр для измерения фотона, вылетающего из второй ловушки для фотонов, а фотон не проходит через фильтр. Фальшивомонетчик может быть уверен, что этот фотон не был

поляризован, поскольку такой фотон прошел бы через фильтр. Однако фальшивомонетчик не может сказать, был ли этот фотон таким, который заведомо не прошел бы через фильтр, то есть

поляризован, или же его поляризация была такова, что в половине случаев он будет задержан, то есть он был

или

поляризован.

_{Рис. 74 Квантовые деньги Стивена Виснера. Каждая банкнота является уникальной благодаря своему номеру серии, который можно легко видеть, и 20 ловушкам для фотонов, чье содержимое является загадкой. В ловушках для фотонов находятся фотоны с различными поляризациями. Банк знает поляризационные последовательности, соответствующие каждому номеру серии, фальшивомонетчик же — нет.}

Сложность при измерении фотонов является одним из положений принципа неопределенности, открытым в 20-е годы немецким физиком Вернером Гейзенбергом. Он сформулировал свое в высшей степени специальное положение в виде простого утверждения: «Мы в принципе не можем знать настоящее во всех его подробностях». Это не означает, что мы не знаем всего, потому что у нас нет достаточно средств измерения или потому что наше оборудование плохо сконструировано. Напротив, Гейзенберг утверждал, что логически невозможно измерить все характеристики определенного объекта с абсолютной точностью. В нашем конкретном случае мы не можем с абсолютной точностью измерить все характеристики находящихся в ловушках фотонов. Принцип неопределенности — это еще одно причудливое следствие квантовой теории.

Квантовые деньги Виснера учитывают тот факт, что подделка денег является двухступенчатым процессом: во-первых, фальшивомонетчику необходимо провести измерение оригинальной банкноты с высокой точностью, а затем он должен сделать ее копию. За счет использования фотонов, долларовую банкноту теперь измерить точно стало невозможно, и поэтому на пути подделки денег возник барьер.

Наивный фальшивомонетчик полагает, что если он не может измерить поляризации фотонов в ловушках, то этого не сможет сделать и банк. Он может попробовать изготовить долларовые банкноты, заполняя ловушки для фотонов произвольной поляризационной последовательностью. Банк, однако, способен проверить подлинность банкнот. Он сверяет номер серии со своим тайным списком, чтобы выяснить, какие фотоны должны находиться в ловушках для фотонов. Поскольку банк знает, какие поляризации следует ожидать в каждой из ловушек, он может правильным образом сориентировать поляризационный фильтр для каждой ловушки и выполнить точное измерение. Если банкнота фальшивая, то есть когда фальшивомонетчик заполнил ловушки произвольной поляризационной последовательностью, это приведет к неправильным результатам измерений и банкнота будет признана подделкой. Например, если банк применяет

фильтр для измерения фотона, который должен иметь

поляризацию, но оказывается, что фотон задерживается фильтром, это означает, что фальшивомонетчик заполнил ловушку неправильным фотоном. Если же банкнота окажется подлинной, то банк повторно заполнит ловушки для фотонов соответствующими фотонами и вновь запустит ее в обращение.

Короче говоря, фальшивомонетчик не может измерить поляризации в подлинной банкноте, поскольку он не имеет представления, какого вида фотоны находятся в каждой из ловушек для фотонов, и не может поэтому знать, как сориентировать поляризационный фильтр, чтобы точно его измерить. С другой стороны, банк способен проверить поляризации в подлинной банкноте, потому что он сам изначально задал поляризацию, и поэтому знает, как сориентировать поляризационный фильтр для каждой из ловушек.

Квантовые деньги — это блестящая идея. И к тому же совершенно неосуществимая. Начать с того, что инженеры пока что не разработали способ улавливать в ловушки фотоны с заданными поляризованными состояниями на достаточно долгое время. Даже если такой способ и существует, реализовать его окажется слишком дорого. Защита каждой долларовой банкноты может стоить где-то около 1 млн долларов. Но несмотря на всю их нереализуемость, квантовая теория в квантовых деньгах применяется весьма любопытным способом, так что невзирая на отсутствие интереса и поддержки со стороны своего научного руководителя Виснер направил статью в научный журнал. Ее отвергли. Он направил статью в три других журнала; ее отвергли еще три раза. Виснер заявил, что они просто не разбираются в физике.

Казалось, что только один человек разделял заинтересованность Виснера концепцией квантовых денег. Это был его старый друг по имени Чарльз Беннет, который несколькими годами ранее окончил вместе с ним университет Брандейса. Беннета отличало любопытство, проявляемое им в различных областях науки. Он говорил, что уже в три года знал, что хочет быть ученым, и даже мать не смогла притушить его детское увлечение ею. Однажды она вернулась домой и обнаружила на плите кипящую кастрюлю с каким-то странным тушеным мясом. По счастью, она не соблазнилась попробовать его; как потом выяснилось, это были останки черепахи, которую юный Беннет кипятил в щелочи, чтобы отделить мясо от костей и получить великолепный образец ее скелета. В юношеском возрасте интересы Беннета простирались от биологии до биохимии, а к тому времени, как поступить в Брандейс, он решил посвятить себя химии. В аспирантуре Беннет вплотную занялся физической химией, а затем переключился на исследования в физике, математике, логике и, вдобавок, программировании.

Зная широту интересов Беннета, Виснер надеялся, что тот в полной мере оценит концепцию квантовых денег, и передал ему копию своей отвергнутой статьи. Беннет сразу же увлекся этой идеей, посчитав ее одной из самых прекрасных, с которыми он когда-либо сталкивался. В следующие десять лет он время от времени перечитывал статью, задаваясь вопросом, существует ли способ реализовать каким-либо образом эту гениальную идею. Даже став в начале 80-х научным сотрудником исследовательской лаборатории Томаса Дж. Уотсона компании IВМ, Беннет не перестал размышлять об идее Виснера. Журналы, может, и не хотели публиковать ее, но Беннета она увлекла.

_{Рис. 75 Чарльз Беннет.}

Как-то раз Беннет рас казал об идее квантовых денег Жилю Брассарду, программисту из Монреальского университета. Беннет и Брассард, сотрудничавшие в различных исследовательских проектах, снова и снова обращались к статье Виснера, обсуждая ее сложности. Мало-помалу они начали осознавать, что идея Виснера смогла бы найти применение в криптографии. Для того чтобы Ева сумела дешифровать зашифрованное сообщение между Алисой и Бобом, она вначале должна перехватить его, что означает, что она должна каким-то образом точно определить содержимое передаваемого сообщения. Квантовые деньги Виснера были надежными, поскольку точно определить поляризацию фотонов, находящихся в ловушках в долларовой банкноте, было невозможно. Беннет и Брассард задались вопросом, что произойдет, если зашифрованное сообщение будет представлено, а затем передано с помощью поляризованных фотонов. Вроде бы, теоретически, Ева не сможет безошибочно прочесть зашифрованное сообщение, а раз не сможет прочесть зашифрованное сообщение, то не сможет и дешифровать его.

Беннет и Брассард стали придумывать систему, которая работала бы по следующему принципу. Представьте себе, что Алиса хочет отправить Бобу зашифрованное сообщение, которое состоит из последовательности 1 и 0. Вместо этих 1 и 0 она посылает фотоны с определенными поляризациями. У Алисы есть две возможных схемы, с помощью которых она может связать поляризации фотонов с 1 или 0. В первой схеме, называемой ортогональной [37] или +-схемой, для представления 1 она посылает

, а для представления 0 —

. Во второй схеме, называемой диагональной или Х-схемой, для представления 1 она посылает

, а для представления 0 —

При отправке сообщения, представленного в двоичном виде, она постоянно переключается с одной схемы на другую совершенно непредсказуемым образом. Так что двоичное сообщение 1101101001 может быть передано следующим образом:

Алиса передает первую 1 с использованием +-схемы, а вторую 1 — с использованием Х-схемы. Так что в обоих случаях передается 1, но всякий раз она представляется различным образом поляризованными фотонами.

Если Ева захочет перехватить это сообщение, ей потребуется определить поляризацию каждого фотона, точно так же как и фальшивомонетчику необходимо определить поляризацию каждого фотона в ловушках для фотонов долларовой банкноты. Чтобы измерить поляризацию каждого фотона, Ева должна решить, каким образом сориентировать свой поляризационный фильтр по мере прихода каждого фотона. Она не может знать наверняка, какой схемой воспользовалась Алиса для каждого из фотонов, поэтому наугад выбирает ориентацию поляризационного фильтра, которая окажется неверной в половине случаев. А следовательно, она не сможет точно определить содержимое передаваемого сообщения.

Чтобы было проще представить себе затруднительность положения Евы, предположим, что в ее распоряжении имеются два типа детекторов для определения поляризации. +-детектор способен с абсолютной точностью измерять горизонтально и вертикально поляризованные фотоны, на не может достоверно измерить диагонально поляризованные фотоны и просто ошибочно считает их вертикально или горизонтально поляризованными фотонами. С другой стороны, Х-детектор может с абсолютной точностью измерять диагонально поляризованные фотоны но не способен надежно измерить горизонтально и вертикально поляризованные фотоны, ошибочно считая их диагонально поляризованными фотонами. Так, если для измерения первого фотона, имеющего

поляризацию, Ева использует Х-детектор, то она ошибочно посчитает его фотоном с поляризациями

или

. Если Ева ошибочно посчитала его

фотоном, то проблемы у нее не возникнет, потому что он также представляет собой 1, но вот если она ошибочно посчитала его

фотоном, то это станет для нее бедой, ибо этот фотон представляет собой 0. Что еще хуже, так это то, что у Евы есть только один шанс точно измерить фотон. Фотон неделим, и поэтому она не может разделить его на два фотона и измерить их с помощью обеих схем.

Похоже, что у данной системы есть ряд славных свойств. Ева не может быть уверенной в точном перехвате зашифрованного сообщения, так что у нее нет никакой надежды и дешифровать его. Правда, данной системе присуща серьезная и, видимо, неразрешимая проблема: Боб находится в том же положении, что и Ева, так как у него также нет возможности узнать, какой поляризационной схемой воспользовалась Алиса для каждого из фотонов, и поэтому он тоже будет ошибаться при приеме сообщения. Очевидное решение проблемы — это согласование Алисой и Бобом, какую поляризационную схему они будут применять для каждого фотона. Для вышеприведенного примера Алиса и Боб должны иметь список, или ключ, с помощью которого будет прочитано + х + х х х + + х х. Однако мы теперь вновь вернулись к той же старой проблеме распределения ключей: каким образом Алиса должна безопасно передать список поляризационных схем Бобу?

Разумеется, Алиса могла бы зашифровать список поляризационных схем с помощью шифра с общим ключом, например, RSA, а затем отправить его Бобу. Представьте, однако, что мы живем в то время, когда RSA взломан, возможно, в результате создания мощных квантовых компьютеров. Система Беннета и Брассарда должна быть независимой и не опираться на RSA. В течение долгих месяцев Беннет и Брассард пытались придумать способ обойти проблему распределения ключей. В 1984 году оба они стояли на платформе станции Кротон-Хармон неподалеку от исследовательской лаборатории Томаса Дж. Уотсона компании IBM. Они ожидали поезд, который доставил бы Брассарда обратно в Монреаль, и проводили время в непринужденной беседе о злоключениях и бедствиях Алисы, Боба и Евы. Приди поезд на несколько минут раньше, они бы помахали друг другу рукой на прощание, а проблема распределения ключей так и осталась бы нерешенной. Но вместо этого — эврика! — они создали квантовую криптографию — самый стойкий вид криптографии, который был когда-либо придуман.

По их способу для квантовой, криптографии требуется три подготовительных этапа. Хотя эти этапы не включают в себя отправку зашифрованного сообщения, с их помощью осуществляется безопасный обмен ключом, с помощью которого позднее можно будет зашифровать сообщение.

Этап 1. Алиса начинает передавать случайную последовательность из 1 и 0 (биты), используя для этого случайным образом выбираемые ортогональные (горизонтальная и вертикальная поляризации) и диагональные поляризационные схемы. На рисунке 76 показана такая последовательность фотонов, движущихся к Бобу.

Этап 2. Боб должен измерить поляризацию этих фотонов. Поскольку он не имеет представления, какой поляризационной схемой Алиса пользовалась для каждого из фотонов, то в произвольном порядке выбирает +-детектор и Х — детектор. Иногда Боб выбирает правильный детектор, иногда — нет. Если Боб воспользуется не тем детектором, то он вполне может неправильно распознать фотон Алисы. В таблице 27 указаны все возможные случаи. К примеру, в верхней строке для посылки 1 Алиса использует ортогональную схему и поэтому передает

; далее Боб использует правильный детектор, определяет

и выписывает 1 в качестве первого бита последовательности. В следующей строке действия Алисы те же самые, но Боб теперь использует неверный детектор, и поэтому он может определить

или

, что означает, что либо он верно выпишет 1, либо неверно — 0.

Этап 3. К этому моменту Алиса уже отправила последовательность 1 и 0, а Боб уже определил их; какие-то правильно, какие-то — нет. После этого Алиса звонит Бобу по обычной незащищенной линии и сообщает ему, какую поляризационную схему она использовала для каждого фотона, но не как она поляризовала каждый из фотонов. Так, она может сказать, что первый фотон был послан с использованием ортогональной схемы, но не скажет, какой это был фотон:

или

. Боб сообщает Алисе, в каких случаях он угадал с правильной поляризационной схемой. В этих случаях он, несомненно, измерил правильную поляризацию и верно выписал 1 или 0. В конечном итоге Алиса и Боб игнорируют все те фотоны, для которых Боб пользовался неверной схемой, и используют только те из них, для которых он угадал с правильной схемой. В действительности они создали новую, более короткую последовательность битов, состоящих только из правильных измерений Боба. Весь этот этап изображен в виде таблицы в нижней части рисунка 76.

Благодаря этим трем этапам, Алисе и Бобу удалось образовать общую согласованную последовательность цифр, 11001001, которая показана на рисунке 76. Ключевым для этой последовательности является то, что она случайна, поскольку получена из исходной последовательности Алисы, которая сама была случайной. Более того, события, когда Боб использует правильный детектор, сами являются случайными. Поэтому данная согласованная последовательность может использоваться в качестве случайного ключа. И вот теперь-то можно начать процесс зашифровывания.

_{Рис. 76 Алиса передает последовательность из 1 и 0 Бобу. Каждая 1 и каждый О представлены поляризованным фотоном в соответствии либо с ортогональной (горизонтальная и вертикальная поляризации), либо с диагональной поляризационной схемой. Боб измеряет каждый фотон с помощью либо своего ортогонального, либо диагонального детектора. Он выбирает правильный детектор для самого первого фотона и верно определяет его как 1. Однако для следующего фотона его выбор детектора неверен. По случайности он правильно определил его как 0, но позднее этот бит будет тем не менее отброшен, поскольку Боб не может быть уверен, что он измерил его правильно.}

_{Таблица 27 Все возможные случаи на втором этапе при обмене фотонами между Алисой и Бобом.}

Эта согласованная случайная последовательность может использоваться в качестве ключа для шифра одноразового шифрблокнота. В главе 3 описывается, каким образом случайный набор букв или цифр — одноразовый шифрблокнот — может создать нераскрываемый шифр — не практически, а абсолютно нераскрываемый. Ранее говорилось, что единственная проблема с одноразовым шифрблокнотом — это сложность его безопасной доставки, но способ Беннета и Брассарда решает эту проблему. Алиса и Боб достигли договоренности об одноразовом шифрблокноте, а законы квантовой физики фактически не позволяют Еве успешно его перехватить. Теперь самое время стать на место Евы, после чего мы увидим, почему она не сумеет перехватить ключ.

Во время передачи Алисой поляризованных фотонов Ева пытается измерить их, но она не знает, использовать ли +-детектор или, может быть, Х — детектор. В половине случаев выбор детектора будет неверным. Это та же самая ситуация, в которой находится и Боб, поскольку он тоже в половине случаев выбирает неправильный детектор. Однако после этой передачи Алиса сообщает Бобу, какой схемой он должен был воспользоваться для каждого из фотонов, и они договариваются использовать только те фотоны, которые были измерены при использовании Бобом правильного детектора. Это, впрочем, ничем не поможет Еве, поскольку половину из этих фотонов она измерит не тем детектором, который был нужен, и поэтому неверно определит некоторые фотоны, которые составляют окончательный ключ.

Можно также рассматривать квантовую крипто