УСТОЙЧИВЫЙ К АТАКАМ КВАНТОВЫЙ ГЕНЕРАТОР СЛУЧАЙНЫХ ЧИСЕЛ НА ИНТЕРФЕРЕНЦИИ ЛАЗЕРНЫХ ИМПУЛЬСОВ СО СЛУЧАЙНОЙ ФАЗОЙ И СПОСОБ ЕГО ПРИМЕНЕНИЯ Российский патент 2020 года по МПК G06F7/58 G01B9/02 

ОБЛАСТЬ ТЕХНИКИ

Настоящее изобретение относится к области генераторов случайных чисел (ГСЧ), в частности к квантовому ГСЧ, основанному на интерференции лазерных импульсов со случайной фазой.

ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИ

Случайные числа являются важной частью всех современных криптографических систем и их повседневных приложений, таких как мобильная связь, безналичные платежи, электронная почта, интернет-банкинг, криптовалюта, сети блокчейн и т.д. В подавляющем большинстве случаев для этих приложений используются компьютерные алгоритмы генерации случайных чисел. Поскольку такие алгоритмы по своей природе являются детерминированными, результирующие битовые последовательности не являются действительно случайными и поэтому потенциально уязвимы для различных атак. Появление квантовых компьютеров может сделать криптографические системы, основанные на псевдослучайности, совершенно беззащитными; поэтому сегодня большое внимание уделяется системам квантового распределения ключа (КРК) или «квантовой криптографии», где истинно-случайные числа занимают особое место.

Для получения истинно случайных чисел вместо компьютерного алгоритма используют некоторый физический источник энтропии. Физические генераторы случайных чисел (ГСЧ) можно разделить на две большие группы: 1) ГСЧ, использующие классический шум в качестве источника энтропии, и 2) ГСЧ, основанные на измерении некоторой квантовой величины. В первом случае непредсказуемость физической величины связана с огромным количеством параметров физической системы и их сложной зависимостью от внешних условий. В случае квантовых ГСЧ непредсказуемость физической величины основана на вероятностной природе квантовых явлений. Таким образом, разница между классическими и квантовыми ГСЧ заключается в том, что первые являются принципиально детерминированными (задание достаточного количества начальных условий и знание достаточно полной физической модели процесса позволит предсказать – по крайней мере в принципе – поведение системы), тогда как вторые являются принципиально недетерминированными в силу законов квантовой механики.

За последние десятилетия были предложены многочисленные схемы квантовых ГСЧ, основанные на различных квантовых эффектах [1]; однако большинство современных квантовые ГСЧ используют различные методы квантовой оптики. Действительно, излучение полупроводниковых лазерных диодов является очень удобным источником квантовой случайности. Кроме того, оптические ГСЧ могут обеспечивать очень высокие скорости генерации случайных битов. Фактически, в настоящее время значительные исследовательские усилия сосредоточены на увеличении скорости генерации случайных бит путем улучшения существующих оптических схем и/или создания новых алгоритмов постобработки.

В ряде оптических ГСЧ в качестве источника энтропии используется фазовый шум лазерного излучения. Такие квантовые ГСЧ можно разделить на две группы, характеризующиеся непрерывным [2-4] и импульсным [5, 6] режимами работы лазера. Схемы, использующие непрерывное лазерное излучение, демонстрируют более медленную генерацию случайных чисел, чем квантовые ГСЧ, использующие интерференцию импульсов, поэтому последние, по мнению изобретателей, являются более перспективными, в особенности для приложений, где требуется высокая скорость передачи данных, в частности для КРК.

Схема оптического ГСЧ, использующая интерференцию лазерных импульсов была впервые предложена M. Jofre et al. [5]. Непрерывная последовательность импульсов заводилась в интерферометр Маха-Цендера, плечи в котором были подобраны таким образом, чтобы время задержки в длинном плече было кратно периоду следования импульсов, так что на выходе из интерферометра первый лазерный импульс последовательности встречался, например, с третьим, второй – с четвертым и т.д. Важное условие работы такой схемы состоит в том, что инжекционный ток должен переходить при модуляции через порог генерации, т.е. после каждого импульса лазер должен переводиться в режим усиления спонтанного излучения (УСИ). Поскольку в режиме УСИ переходы в подавляющем большинстве являются спонтанными, любые корреляции фазы электромагнитного поля очень быстро разрушаются. В результате каждый новый лазерный импульс появляется со случайной фазой. C. Abellán. показал, что даже при частоте повторения импульсов более 5 ГГц фазы последующих лазерных импульсов от лазера с распределенной обратной связью (РОС) действительно случайны. Такая высокая частота повторения импульсов позволила достичь скорости передачи до 42 Гбит / с [6].

Большинство предлагаемых реализаций, известных изобретателям, требуют дорогостоящих волоконно-оптических компонентов с сохранением поляризации (англ. polarization maintaining – PM) и быстрых аналого-цифровых преобразователей (АЦП). Кроме того, «сырые» случайные последовательности подвергаются сложным процедурам извлечения случайности, которые также требуют довольно дорогих компонентов, таких как программируемые логические интегральные схемы (ПЛИС) и/или программируемые пользователем вентильные матрицы (ППВМ). Поэтому представляется существенным при проектировании квантового ГСЧ учитывать экономический фактор. В этом контексте имеется несколько способов снизить цену конечного продукта: 1) модифицировать оптическую схему, чтобы избавиться от дорогих компонентов, 2) исключить использование дорогостоящего АЦП, 3) упростить постобработку «сырых» случайных последовательностей.

Однако гораздо более важное требование, которое имеет решающее значение для криптографических приложений, заключается в том, что квантовый ГСЧ должен быть устойчивым к различным атакам противника. Под атакой здесь подразумевается не криптоаналитический алгоритм (по определению, любой квантовый ГСЧ неуязвим для такого рода атак), а некоторое физическое воздействие, которое может незаметно для пользователя перевести ГСЧ в такой режим работы, при котором выходные последовательности бит не являются в действительности случайными. Таким образом, квантовый ГСЧ должен быть не только быстрым и недорогим, но и устойчивым к атакам.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Технический результат заключается в создании высокоскоростного, устойчивого к атакам квантового генератора случайных чисел, который, по существу, устраняет недостатки, присущие аналогам существующего уровня техники.

Система генерации случайных чисел включает в себя драйвер лазерных импульсов; лазерный диод, излучающий лазерные импульсы; интерферометр Майкельсона, образованный волоконно-оптическим разветвителем, соединенным с первым зеркалом Фарадея через одномодовое волокно длины и со вторым зеркалом Фарадея через одномодовое волокно длины ; циркулятор или оптический изолятор, который используется для предотвращения нежелательной обратной связи в резонатор лазера; фотоприемник, который детектирует лазерные импульсы на выходе из интерферометра; цифровой преобразователь, который оцифровывает выходные данные с фотоприемника; блок контроля статистики (КС), который используется для вычисления плотности вероятности сигнала с фотоприемника; и вычислительный блок, который принимает оцифрованный выходной сигнал от цифрового преобразователя и выводит случайную битовую последовательность (см. Фиг. 1).

Блок КС может включать в себя, например, компаратор или аналого-цифровой преобразователь, объединенный со схемой выборки и хранения. Длина линии задержки интерферометра выбирается таким образом, чтобы соответствующая временная задержка была кратна частоте повторения импульсов лазерного диода (здесь – это показатель преломления оптического волокна и – скорость света в вакууме).

Способ генерации случайных чисел в сочетании с процедурой, обеспечивающей устойчивость к атакам, включает в себя управление лазерным диодом для излучения лазерных импульсов; преобразование фазового шума лазерного излучения в амплитудную модуляцию с помощью интерферометра; детектирование лазерных импульсов, выходящих из интерферометра с использованием фотоприемника; оцифровка выходного сигнала с фотоприемника с использованием цифрового преобразователя; вычисление плотности вероятности сигнала с фотоприемника; определение параметра , который связан с отношением классического шума к квантовому шуму и который позволяет оценить корректность работы устройства и обеспечить устойчивость системы к атакам; и обработку сигналов от цифрового преобразователя и блока КС для выполнения самонастройки квантового ГСЧ и для обеспечения устойчивости к атакам.

Дополнительные особенности и преимущества изобретения будут изложены в последующем описании и частично будут очевидны или могут быть изучены при практическом использовании изобретения. Преимущества изобретения будут реализованы и достигнуты устройством изобретения, изложенном в письменном описании и формуле изобретения, а также на прилагаемых чертежах.

Следует понимать, что как предшествующее общее описание, так и последующее подробное описание являются примерными и пояснительными и предназначены для обеспечения дальнейшего объяснения заявленного изобретения.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Прилагаемые чертежи, которые включены в данное описание для обеспечения дополнительного понимания изобретения и составляют его часть, иллюстрируют варианты реализации изобретения и вместе с описанием служат для пояснения принципов изобретения.

На чертежах:

Цифровые обозначения: 1 – драйвер импульсов; 2 – лазерный диод; 3 – оптический циркулятор; 4 – оптический разветвитель; 5 – зеркала Фарадея; 6 –фотоприемник; 7 – цифровой преобразователь; 8 – блок контроля статистики; 9 – вычислительный блок; 10 – аналоговый вход, 11 – сигнал управления, 12 – аналоговый выход, 13 – АЦП.

На Фиг. 1 показана принципиальная схема квантового ГСЧ. обозначает длину линии задержки. Цифры, выделенные курсивом, нумеруют входы и выходы оптического разветвителя.

На Фиг. 2 показана схема волоконного интерферометра Маха-Цендера (а) и Майкельсона (б). обозначает длину линии задержки. Цифры, выделенные курсивом, нумеруют входы и выходы оптических разветвителей.

На Фиг. 3 показаны результаты моделирования методом Монте-Карло распределений плотности сигнала, соответствующих интерференции лазерных импульсов со случайной фазой.

На Фиг. 4 показан вариант осуществления блока контроля статистики на основе низкоскоростного АЦП, включающего в себя схему быстрой выборки и хранения.

На Фиг. 5 показана блок-схема, объясняющая алгоритм работы квантового генератора случайных чисел.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

Теперь будет сделано подробное описание предпочтительных вариантов реализации настоящего изобретения, примеры которых проиллюстрированы на прилагаемых чертежах.

Изобретение реализует извлечение случайных бит из фазы лазерных импульсов и позволяет «на лету» проверять сигнал на наличие возможного вмешательства противника. Квантовый ГСЧ разработан таким образом, чтобы быть простым и недорогим, и представляет собой оптимальное решение для коммерческого производства. Ниже, в первом подразделе, мы подробно рассмотрим оптическую схему с уравнениями, объясняющими наш выбор типа интерферометра. Во втором подразделе мы рассмотрим вопрос, связанный с плотностью распределения случайного сигнала, измерение которой позволяет реализовать эффективную защиту от возможных физических атак. Наконец, в последнем подразделе мы опишем процедуру, которая делает квантовый ГСЧ устойчивым к атакам и обеспечивает его самонастройку.

Оптическая схема

Принципиальная схема предлагаемого квантового ГСЧ показана на Фиг. 1. Источником энтропии квантового ГСЧ является случайная фаза излучения полупроводникового лазера, которая преобразуется в амплитудную модуляцию посредством интерференции лазерных импульсов в интерферометре. Лазер модулируется драйвером импульсов через порог генерации, и непрерывная последовательность импульсов приходит на интерферометр Майкельсона, где время задержки длинного плеча выбирается кратным периоду повторения импульсов. Затем фотодиод детектирует интерференцию двух импульсов, излучаемых лазером в разные моменты времени и, таким образом, имеющих случайные фазы.

Интерференция двух лазерных импульсов может быть представлена как интерференция двух коротких пучков, имеющих колоколообразный временной профиль. Для простоты предположим, что вблизи входа фотоприемника амплитуда электромагнитного поля одиночного импульса определяется гауссовой функцией времени:

(1)

где - пиковая амплитуда и ширина (ширина на половине высоты) импульса, то есть его эффективная длительность. Отметим, что полуширина импульса определяется экспериментально по интенсивности оптического сигнала, , а не по амплитуде электрического поля, и соответственно в раз меньше полуширины функции . (Скобки означают усреднение по времени , которое выбрано так, что , но при этом , т.е. амплитуда поля не успевает существенно измениться за время .) Наконец, будем считать, что время когерентности лазера значительно больше ширины импульса, т.е. фаза остается неизменной в течение времени , и можно, соответственно, говорить о фазе импульса. Кроме того, будем пока считать, что излучение в импульсе остается плоско поляризованным на всем пути распространения пучка. Тогда интенсивность сигнала, полученного в результате интерференции двух независимых импульсов, можно записать в виде:

(2)

где – электрические поля интерферирующих лазерных пучков на входе в фотодетектор, есть разность фаз импульсов: , – «расстояние» (на временной шкале) между максимумами интерферирующих импульсов, – коэффициент пропускания (по мощности) между входом и выходом (см. Фиг. 2). Уравнение (2) написано в виде, независимом от интерференционной схемы: для интерферометра Маха-Цендера , а для интерферометра Майкельсона (см. Фиг. 2). Наконец – нормированная автокорреляционная функция, определяющая зависимость видности интерференционной схемы от спектральной плотности излучения лазера:

(3)

Здесь – автокорреляционная функция электрического поля в интерферирующих пучках (угловые скобки обозначают усреднение по времени ).

Следует отметить, что фаза отдельного импульса в месте схождения интерферирующих пучков может быть записана как , где – начальная фаза импульса на выходе из лазера, а – набег фазы за время прохождения импульса от источника до фотодетектора ( – центральная частота спектра лазерного излучения, – длина пути импульса, – показатель преломления). Таким образом,

(4)

где – разность фаз, обусловленная разностью длин плеч интерферометра, и .

Интегральный сигнал, вызванный попаданием импульса на фотоприемник, определим следующим образом:

(5)

где произведена нормировка сигнала на импульс единичной амплитуды. Подставляя (2) в (5), получим:

(6)

где , , а коэффициент

(7)

определяет видность интерферометра, причем . Так, если плечи интерферометра подобраны не вполне корректно, т. е. интерферирующие импульсы перекрываются не точно по максимумам (), то и видность ухудшается.

До этого момента считалось, что интерферирующие пучки являются плоскополяризованными, причем плоскость поляризации сохраняется на всем пути распространения импульса по оптоволокну. Такое предположение оправдано лишь в том случае, если в системе используется оптоволокно с сохранением поляризации. Если же используется стандартное одномодовое волокно, то следует учитывать поляризационную модовую дисперсию (ПМД), т.е. принимать во внимание наведенное двулучепреломление. Последнее приводит к тому, что излучение импульса при распространении по волокну перестает быть линейно поляризованным, а приобретает эллиптическую поляризацию.

Рассмотрим кратко интерференцию двух монохроматических пучков с произвольной поляризацией. Пусть имеются две монохроматические волны, распространяющиеся вдоль оси , векторы электрического поля в которых изменяются со временем следующим образом:

(8)

где и – единичные орты, задающие направления осей и , – фаза -компоненты -й волны, – фаза -компоненты -й волны, – амплитуда -й волны. Из (8) видно, что интерференция двух монохроматических волн с произвольной поляризацией сводится к интерференции двух пар монохроматических волн, поляризованных вдоль и , т.е.

(9)

Отсюда следует, что амплитуда результирующей волны равна

(10)

Если и поляризованы в одной и той же плоскости, т.е. , где – целое, то , и из (10) видно, что волны будут интерферировать обычным образом. Если же волны поляризованы в перпендикулярных плоскостях, т. е. , то , и интерференции не будет.

Покажем теперь, как будет влиять ПМД на интерференцию лазерных импульсов. Будем считать, что на выходе из лазера все импульсы поляризованы одинаково, в одной и той же плоскости, и отличаются только фазой начальных колебаний, т.е. для двух различных импульсов:

(11)

Дальнейшее рассмотрение будет зависеть от типа интерференционной схемы. Рассмотрим сначала интерферометр Маха-Цендера. Наведенное двулучепреломление приводит к тому, что и -компоненты поля распространяются в волокне с разными скоростями, т.е. следует ввести эффективные показатели преломления и . Кроме того, следует учесть тот факт, что разные плечи интерферометра могут быть подвержены различным внешним факторам, другими словами, следует вести две пары эффективных коэффициентов преломления: и – для короткого и длинного плеч интерферометра, соответственно. Тогда время прохождения поляризационных компонент по короткому плечу интерферометра равно , а по длинному – , где – разница длин плеч интерферометра, а – скорость света в вакууме. Для фаз поляризационных компонент имеем:

(12)

Подставляя (12) в (10), получаем для суммы косинусов:

(13)

где

(14)

и где был введен коэффициент

(15)

определяющий видность интерферометра, связанную с несовпадением поляризаций интерферирующих импульсов (назовем эту величину поляризационной видностью). Если эффект наведенного двулучепреломления в обоих плечах интерферометра примерно одинаков, т. е. можно положить , то

(16)

а коэффициент можно записать в следующем виде:

(17)

где – коэффициент ПМД для короткого волокна. Коэффициент можно оценить, используя известные значения коэффициента ПМД для длинного волокна, который для современных оптоволоконных линий составляет . Считая, что тот же порядок величины сохраняется и для короткого волокна, запишем:  пс/м. Полагая  м, а  Гц, получим

(18)

т. е. . Таким образом, набег фазы, вызванный поляризационной модовой дисперсией, вполне может «развернуть» поляризацию лазерных импульсов так, что они перестанут интерферировать. В силу сказанного, в (6) следует заменить на . Это означает, что видность интерференции может существенно отличаться от 1, даже если , т. е. когда интерферирующие импульсы перекрываются очень точно.

Аналогичный результат получается и для интерферометра Майкельсона с обычными зеркалами. Однако, при использовании зеркал Фарадея вектора обоих поляризационных компонент, и , после отражения поворачиваются на , т.е. меняются местами. В результате компонента, которая распространялась медленнее, после отражения станет, наоборот, «быстрой», так что набеги фаз для обоих компонент после выхода из интерферометра будут одинаковыми. Это ясно из уравнений, определяющих фазы поляризационных компонент в случае интерферометра Майкельсона с фарадеевскими зеркалами:

(19)

Действительно, из (19) видно, что , следовательно сумма косинусов в (10) примет простой вид: , где

(20)

Можно сделать вывод, что использование оптоволокна без сохранения поляризации в случае с интерферометром Маха-Цендера является нежелательным из-за значительного влияния эффекта ПМД. Поэтому, чтобы избежать использования дорогого волокна с сохранением поляризации, следует использовать интерферометр Майкельсона с зеркалами Фарадея.

Плотность вероятности случайного сигнала

С экспериментальной точки зрения, источником энтропии в рассматриваемом квантовом ГСЧ является случайный сигнал (уравнение (6)). Случайность сигнала обусловлена случайностью разности фаз , распределение плотности которой можно считать равномерной в диапазоне [6]. Принимая во внимание, что пиковая мощность лазерных импульсов также может флуктуировать, т.е. величины и также являются случайными, функция распределения сигнала может быть определена следующим образом:

(21)

где значения случайных величин , и обозначены через , и , соответственно, – значение случайной величины , а область интегрирования определяется неравенством:

(22)

Плотность распределения равна производной функции : .

Форма для различных значений видности показана на Фиг. 3. Кривые были получены путем моделирования методом Монте-Карло в предположении, что и имеют гауссово распределение со стандартными отклонениями и средними значениями , соответственно. Распределение вероятностей , в свою очередь, предполагалось равномерным на полуинтервале .

Пунктирные линии на Фиг. 3 соответствуют функции

(23)

которая представляет собой распределение плотности сигнала в предположении, чтои не флуктуируют и где

(24)

Разность между асимптотами функции

(25)

и далее будем для простоты считать эту величину шириной распределения.

Так как изменение вызвано квантовыми флуктуациями фазы лазерного излучения, и поскольку уравнение (23) основано на предположении, что единственной случайной величиной в уравнении (6) является, то можно рассматривать функцию как плотность распределения квантового шума. Следовательно, любое отклонение фактической (экспериментальной) плотности распределения сигнала от функции будет рассматриваться как влияние классического шума. Более того, в реальном эксперименте плотность распределения оказывается дополнительно «уширенной» из-за шумов самого фотодетектора. Поэтому сигнал от фотоприемника должен быть записан как:

(26)

где классический гауссовский шум. При этом следует отметить, что плотность вероятности сигнала может быть также сдвинута за счет «засветки», возникающей из-за отражений в оптических элементах интерференционной схемы, что эффективно можно учесть введя ненулевое среднее значение функции .

Устойчивость к атакам

Как отмечалось выше, источник случайности является совершенно непредсказуемым, только если он имеет квантовую природу. Классический шум, в свою очередь, является не только принципиально детерминированным, но, что более важно, может подвергаться внешнему воздействию со стороны противника. Таким образом, при строгом подходе для получения истинно-случайной последовательности бит следует использовать лишь квантовую составляющую сигнала. Однако разделить классические и квантовые шумы невозможно, поскольку генерация электрических импульсов, а также детектирование оптического сигнала осуществляется с использованием классических устройств. Поэтому следует каким-то образом оценить соотношение квантовых и классических шумов. Если это отношение достаточно высокое, и при этом оцифровка сигнала не вносит неравномерности в случайную последовательность бит, то можно пренебречь вкладом классических флуктуаций и использовать необработанную случайную последовательность.

При этом, если классическими флуктуациями нельзя пренебречь, то следует учитывать возможное влияние противника, который потенциально имеет доступ к классическому шуму и, таким образом, может поставить под угрозу квантовый ГСЧ, введя корреляции в его выходные данные. Соотношение может рассматриваться как мера таких корреляций. Таким образом, можно предположить, что, избавляясь от этих корреляций с помощью различных экстракторов случайности (например, используя экстрактор фон Неймана или криптографическую хэш-функцию), можно избавиться от вклада классических флуктуаций.

Отношение квантового шума к классическому шуму было оценено рядом авторов для различных квантовых ГСЧ [4, 7-9]. В их работах предполагалось, что шумовой сигнал от фотоприемника содержит классический и квантовый вклады в мультипликативной форме. При таком предположении значение может быть определено через отношение дисперсий классического и квантового шумов, как это было сделано в [4], или путем вычисления разницы между энтропиями Шеннона квантового и классического сигналов, как было предложено в [7]. К сожалению, для заявленной конструкции квантового ГСЧ мультипликативная модель шума не подходит, и шумы должны рассматриваться аддитивно, как в уравнении (26). Как следствие, оценка в заявленном решении вряд ли представляется возможной; поэтому предлагается другой подход, основанный на оценке так называемого эффективного коэффициента сжатия, связанного с коэффициентом сжатия, обычно используемым в процедурах извлечения случайности.

Процедуру извлечения случайности можно рассматривать как сжатие необработанной -битной последовательности (которая обычно является неоднородной) к однородной -битной последовательности:

(27)

где можно ввести (обычный) коэффициент сжатия как:

(28)

Коэффициент обычно оценивается по минимальной энтропии необработанной последовательности. Таким образом, из последовательности с , в которой каждое является словом в n-бит, можно извлечь равномерно распределенных бит, то есть необработанная битовая последовательность длины должна быть сжата в раз. Min-энтропия, в свою очередь, определяется следующим образом:

(29)

где - максимальная вероятность угадывания элемента из последовательности .

Коэффициент сжатия зависит от того, как оцифровывается сигнал с фотоприемника. При использовании АЦП следует учитывать, что сигнал будет с большей вероятностью попадать в ячейки, соответствующие большей вероятности, то есть оцифровка сигнала с неравномерным распределением плотности автоматически приводит к неоднородной случайной последовательности. Напротив, при оцифровке сигнала с помощью компаратора следует просто подобрать такое пороговое напряжение, чтобы число нулей и единиц в выходной последовательности было одинаковым. Действительно, принимая во внимание истинную случайность фазы , мы можем считать результирующую последовательность бит на выходе из компаратора действительно случайной.

Следует отметить, что при такой реализации только один бит извлекается на одну выборку, то есть частота генерации случайных бит ограничена частотой повторения лазерных импульсов. Несмотря на это ограничение, использование компаратора представляется очень выгодным, так как 1) он позволяет избежать дорогостоящих АЦП и 2) позволяет извлекать случайные биты без необходимости их обработки и, следовательно, без уменьшения потерь (при условии, что классический шум мал).

Коэффициент сжатия для схемы квантового ГСЧ с компаратором () можно определить просто как . Однако это определение не позволяет учесть наличие классического шума в сигнале фотоприемника. Чтобы учесть классические флуктуации, был введен эффективный коэффициент сжатия , используя следующий метод. Во-первых, предполагается, что пороговое напряжение компаратора соответствует центру распределения сигнала, т. е. области под кривой слева и справа равны. Согласно (23), следует, что: , где и задаются уравнениями (24) и уравнением (25) соответственно. Затем определяется квантовая min-энтропия следующим образом:

(30)

Далее необходимо отметить, что распределение плотности сигнала (уравнение (26)) становится более широким при увеличении вклада классического шума . Вследствие этого вероятность того, что напряжение с фотоприемника попадает в «бин» от до , меньше для реального сигнала, чем для идеального квантового сигнала. Будем считать, что если вклады от классического и квантового шумов одинаковы, то ГСЧ перестает быть квантовым, а эффективный фактор сжатия должен быть равен бесконечности: . Напротив, если классические флуктуации пренебрежимо малы, то можно использовать необработанную последовательность, т. е. . Используя это предположение, можно определить эффективный коэффициент сжатия следующим образом:

(31)

где

(32)

и где- экспериментальное распределение плотности сигнала от фотоприемника. Очевидно, что если нет классического шума, то и . Если, однако, классическая мин-энтропия равна квантовой мин-энтропии , то тогда .

Этот подход может быть легко распространен на случай использования АЦП. Для этого отметим сначала, что распределение плотности (Фиг. 3) имеет ярко выраженный абсолютный максимум при , так что всегда будет соответствовать вероятности соответствующего «бина». Поэтому мы можем написать для эффективного коэффициента сжатия:

(33)

где – разрешение АЦП в битах, и:

(34)

с размером ячейки , где – динамический диапазон АЦП.

Поскольку значение эффективного коэффициента сжатия отражает вклад от классических флуктуаций, знание делает квантовый ГСЧ устойчивым к атаке, которая подделывает классический шум. Другими словами, сопротивление атаке на генерируемый сигнал сводится к вычислению «на лету» , что, в свою очередь, требует вычисления min-энтропии, определенной уравнением (32). Поскольку интеграл в формуле (32) содержит экспериментальное распределение плотности , основное назначение блока КС на Фиг. 1 состоит в определении функции . В данном случае может быть предложено как минимум два варианта реализации такого блока.

В первом варианте осуществления изобретения блок КС представляет собой просто высокоскоростной компаратор. В этом случае профиль распределения плотности восстанавливается с использованием развертки порогового напряжения. Для каждого значения мы записываем битовую последовательность заданной длины и вычисляем соотношение единиц и нулей в последовательности: .

Далее в тексте описания во избежание путаницы, верхний регистр будет использоваться для обозначения порогового напряжения основного компаратора - , и нижний регистр для обозначения порогового напряжения КС-компаратора - . Обозначим для двух соседних значений порогового напряжения и соответствующие соотношения единиц и нулей равны и , соответственно, тогда значение распределения плотности при можно рассчитать следующим образом:

(35)

где шаг развертки напряжения.

Во втором варианте осуществления можно использовать схему выборки и хранения в комбинации с относительно низкоскоростным АЦП (см. Фиг. 4), скорость работы которого ограничена несколькими миллионами сэмплов в секунду, то есть намного ниже, чем частота повторения импульсов. Отметим, что поскольку мы сознательно избегаем использования высокоскоростного АЦП, заменяя его компаратором и снижая тем самым цену конечного продукта, применение сверхскоростного (и дорогого) АЦП в данном случае представляется нецелесообразным. Роль схемы выборки и хранения на Фиг. 4 сводится к регулярной выборке одного импульса из длинной последовательности импульсов. Для этого управляющий сигнал на Фиг. 4 открывает конденсатор в момент времени, соответствующий приходу импульса, и затем быстро закрывает его на длительное время, устраняя, таким образом, дальнейшие изменения во входном сигнале. Такое «разрежение» позволяет накапливать статистику быстро меняющегося сигнала с фотодетектора медленным АЦП, т. е. позволяет находить. Очевидно, что этот вариант осуществления является более сложным, чем первая реализация, поэтому в некоторых случаях контроль статистики, выполняемый с помощью компаратора, может быть предпочтительнее.

Наконец, рассмотрим осуществление защиты от внешних атак на целостность/достоверность формируемой случайной последовательности. В зависимости от того, как это будет выполнено, может быть предложено два подхода для реализации защиты от атак и, следовательно, два варианта реализации цифрового преобразователя.

Первый вариант предполагает использование одного высокоскоростного компаратора, пороговое напряжение для которого рассчитывается с использованием ранее найденного экспериментального распределения плотности . Необработанная битовая последовательность из компаратора подвергается затем процедуре извлечения случайности (например, хешированию), выполняемой в блоке обработки, который использует ранее вычисленное значение в качестве коэффициента сжатия.

Во втором варианте осуществления можно использовать пару компараторов, пороговые напряжения которых установлены и , соответственно, где определяются следующим уравнением:

(36)

Затем сигналы от двух компараторов и складываются по модулю 2, и, если, тогда блок обработки буферизует или (или один из них, так как они одинаковы в этом случае). Если, однако, , то в буфер ничего не записывается. Фактически, если выходной сигнал с фотодетектора находится вблизи центра распределения его плотности, то существует высокая вероятность того, что выходной сигнал от одного компаратора контролируется злоумышленником, который может изменять уровень сигнала в диапазоне, определяемом шириной классических шумов. Поэтому, чтобы избежать влияния злоумышленника, следует отбросить сигналы, соответствующие некоторой области рядом с . Ширина такой области должна быть гарантированно больше ширины классических флуктуаций. Согласно определению , такое требование выполняется, если ширина этой области равна .

Следует отметить, что вариант осуществления схемы с двумя компараторами концептуально аналогичен случаю, когда ненадежные биты отбрасываются посредством процедуры извлечения случайности. Фактически, отбрасывая сигнал, попадающий в диапазон от до , мы «сжимаем» необработанную битовую последовательность (т.е. как бы применяем экстрактор случайности) аппаратным образом. Однако такая реализация должна работать быстрее, чем хеширование, поэтому в некоторых случаях это может быть предпочтительнее.

Суммируя вышеизложенное, на Фиг. 5 представлен с помощью упрощенной блок-схемы рабочий цикл квантового ГСЧ. В указанной на Фиг. 5 схеме блок КС реализован с помощью компаратора с разверткой порогового напряжения, а цифровой преобразователь реализован в виде пары компараторов. Сначала мы предполагаем, что лазер непрерывно генерирует короткие импульсы с заданной частотой повторения. Алгоритм работы квантового ГСЧ начинается с расчета с использованием уравнения (35) (верхний блок на диаграмме). Для этого следует указать шаг развертки порогового напряжения и количество битов, которые будут использоваться для нахождения соотношения единиц и нулей при каждом значении . Рассчитанное распределение плотности затем сохраняется в виде одномерного массива в памяти блока обработки. Следующий элемент блок-схемы соответствует вычислению напряжения , которое определяется так, чтобы области под слева и справа от были равны. Затем эффективный коэффициент сжатия рассчитывается по формулам (31) и (32). Зная и система рассчитывает и устанавливает пороговые напряжения для пары компараторов, составляющих цифровой преобразователь. Параллельно система снова начинает вычисление , и , осуществляя таким образом непрерывное управление работой квантового ГСЧ. После этого блок обработки начинает буферизацию случайных битов, проверяя на каждом шаге результат операции XOR цифровых сигналов от компараторов и отбрасывая сигналы, для которых .

Таким образом, после описания предпочтительного варианта реализации схемы специалистам в данной области должно быть очевидно, что были достигнуты определенные преимущества описанного способа и устройства.

Следует также понимать, что различные модификации, адаптации и их альтернативные варианты осуществления могут быть выполнены в пределах объема и сущности настоящего изобретения. Изобретение определяется формулой изобретения.

Источники информации

[1] M. Herrero-Collantes and J. C. Garcia-Escartin, “Quantum random number generators,” Rev. Mod. Phys., vol. 89, p. 015004, 2017.

[2] H. Guo, W. Tang, Y. Liu, and W. Wei, “Truly random number generation based on measurement of phase noise of a laser,” Phys. Rev. E, vol. 81, p. 051137, 2010.

[3] B. Qi, Y.-M. Chi, H.-K. Lo, and L. Qian, “High-speed quantum random number generation by measuring phase noise of a single-mode laser,” Opt. Lett., vol. 35, pp. 312-314, 2010.

[4] F. Xu, B. Qi, X. Ma, H. Xu, H. Zheng, and H.-K. Lo, “Ultrafast quantum random number generation based on quantum phase fluctuations,” Opt. Express, vol. 20, pp. 12366-12377, 2012.

[5] M. Jofre, M. Curty, F. Steinlechner, G. Anzolin, J. P. Torres, M. W. Mitchell, and V. Pruneri, “True random numbers from amplified quantum vacuum,” Opt. Express, vol. 19, pp. 20665-20672, 2011.

[6] C. Abellán, W. Amaya, M. Jofre, M. Curty, A. Acín, J. Capmany, V. Pruneri, and M. W. Mitchell, “Ultra-fast quantum randomness generation by accelerated phase diffusion in a pulsed laser diode,” Opt. Express, vol. 22, pp. 1645-1654, 2014.

[7] C. Gabriel, C. Wittmann, D. Sych, R. Dong, W. Mauerer, U. L. Andersen, C. Marquardt, and G. Leuchs, “A generator for unique quantum random numbers based on vacuum states,” Nat. Photonics, vol. 4, p. 711, 2010.

[8] X. Ma, F. Xu, H. Xu, X. Tan, B. Qi, and H.-K. Lo, “Postprocessing for quantum random-number generators: Entropy evaluation and randomness extraction,” Phys. Rev. A, vol. 87, p. 062327, 2013.

[9] F. Raffaelli, P. Sibson, J. E. Kennard, D. H. Mahler, M. G. Thompson, and J. C. F. Matthews, “Generation of random numbers by measuring phase fluctuations from a laser diode with a silicon-on-insulator chip,” Opt. Express, vol. 26, pp. 19730-19741, 2018.

Система генерации случайных чисел включает в себя драйвер импульсов; лазерный диод, излучающий лазерные импульсы; волоконно-оптический несбалансированный интерферометр, преобразующий фазовый шум лазерного излучения в амплитудную модуляцию; оптический циркулятор или изолятор, использующийся для предотвращения нежелательной обратной связи в резонатор лазера; фотоприемник, детектирующий лазерные импульсы на выходе из интерферометра; цифровой преобразователь, оцифровывающий выходные данные с фотоприемника; блок контроля статистики, использующийся для расчета плотности вероятности выходного сигнала фотодетектора и определения параметра Г, связанный с отношением классического шума к квантовому и позволяющий оценить квантовую составляющую случайных изменений сигнала и обеспечивать устойчивость системы к атакам; и вычислительный блок, принимающий оцифрованный сигнал с цифрового преобразователя и выводящий истинно-случайную последовательность бит. Технический результат – упрощение конструкции с сохранением защиты от атак. 2 н. и 13 з.п. ф-лы, 5 ил.

1. Квантовый генератор случайных чисел (ГСЧ), включающий в себя:

лазерный диод, приводимый в действие драйвером импульсов;

волоконно-оптический несбалансированный интерферометр, преобразующий фазовый шум лазерного излучения в амплитудную модуляцию;

фотоприемник, выполняющий детектирование лазерных импульсов на выходе из интерферометра;

цифровой преобразователь, выполняющий оцифровку выходных данных с фотоприемника;

блок контроля статистики, осуществляющий вычисление плотности вероятности сигнала с фотоприемника;

и

вычислительный блок, обеспечивающий получение оцифрованного выходного сигнала от цифрового преобразователя и выдачи истинной случайной битовой последовательности.

2. Генератор по п.1, отличающийся тем, что блок контроля статистики включает в себя компаратор.

3. Генератор по п.1, отличающийся тем, что блок контроля статистики включает в себя аналого-цифровой преобразователь, объединенный со схемой выборки и хранения.

4. Генератор по п.1, отличающийся тем, что цифровой преобразователь включает в себя один высокоскоростной компаратор.

5. Генератор по п.1, отличающийся тем, что цифровой преобразователь включает в себя пару высокоскоростных компараторов.

6. Генератор по п.1, отличающийся тем, что волоконно-оптический интерферометр представляет собой интерферометр Майкельсона, построенный из волоконно-оптических компонентов, не поддерживающих поляризацию.

7. Генератор по п.1, отличающийся тем, что линия задержки интерферометра выбрана таким образом, чтобы соответствующая временная задержка была кратна частоте повторения импульсов лазерного диода, где  – показатель преломления волокна, а – скорость света в вакууме.

8. Генератор по п.1, отличающийся тем, что дополнительно содержит циркулятор, предотвращающий обратную связь с лазерным диодом.

9. Способ генерации истинно случайных чисел с помощью квантового ГСЧ по любому из пп. 1-8, включающий в себя:

управление лазерным диодом для излучения лазерных импульсов;

преобразование фазового шума лазерного излучения в амплитудную модуляцию с использованием интерферометра;

детектирование лазерных импульсов на выходе из интерферометра с использованием фотоприемника;

оцифровку выходного сигнала фотоприемника с использованием цифрового преобразователя;

вычисление плотности вероятности сигнала фотоприемника;

определение параметра, который связан с отношением классического шума к квантовому шуму, для оценки квантовой составляющей случайных изменений сигнала;

и

обработку выходных данных от цифрового преобразователя и блока контроля статистики для выполнения самонастройки генератора случайных чисел и обнаружения физических атак.

10. Способ по п.10, отличающийся тем, что блок контроля статистики, предназначенный для вычисления плотности вероятности сигнала фотоприемника, включает в себя компаратор.

11. Способ по п.10, отличающийся тем, что блок контроля статистики, предназначенный для вычисления плотности вероятности сигнала фотоприемника, включает в себя аналого-цифровой преобразователь, объединенный со схемой выборки и хранения.

12. Способ по п.10, отличающийся тем, что цифровой преобразователь включает в себя один высокоскоростной компаратор.

13. Способ по п.10, отличающийся тем, что цифровой преобразователь включает в себя пару высокоскоростных компараторов.

14. Способ по п.10, отличающийся тем, что волоконно-оптический интерферометр представляет собой интерферометр Майкельсона, построенный из волоконно-оптических компонентов, не поддерживающих поляризацию.

15. Способ по п.10, отличающийся тем, что линия задержки интерферометра выбрана таким образом, чтобы соответствующая временная задержка была кратна частоте повторения импульсов лазерного диода, где  – показатель преломления волокна, а – скорость света в вакууме.