После этого она отправляет фотон Бобу.

4. Боб случайно выбирает базис измерения — канонический или диагональный.

5. Боб измеряет полученный фотон в выбранном базисе:

• если он выбирает тот же базис, что и Алиса, то в результате измерения он получит то самое значение бита, которое отправила Алиса;

• если он выбирает другой базис, то получит случайное значение бита.

Эта процедура повторяется много раз. Конечно, и Алиса, и Боб должны тщательно все записывать: какие базисы использовали, какие состояния отправили или измерили, а также точное время, в которое фотоны были отправлены или получены. После того как окажутся собраны многие тысячи таких записей, Алиса и Боб сообщают друг другу (по классическому незащищенному каналу), какие базисы были выбраны для каждого фотона, но не конкретные значения отправленных или измеренных ими битов. Боб также сообщает Алисе о тех случаях, когда фотон ему измерить не удалось — если, например, тот был поглощен где-то в линии передачи (для этого нужно, конечно, чтобы время передач Алисы было точно известно Бобу, но эту информацию засекречивать не нужно). После обмена информацией Алиса и Боб отбрасывают данные по тем событиям, где были использованы разные базисы или фотон был потерян.

Теперь у Алисы и Боба имеется строка идентичных битов, которые они могут использовать как одноразовый блокнот в классическом протоколе. Чтобы понять, почему эта строка будет гарантированно секретной, предположим, что «шпион» (eavesdropper, Ева) перерезает линию передачи, перехватывает фотоны Алисы, измеряет их поляризацию и затем отправляет Бобу то, что измерила (рис. 1.4). Сможет ли она получить копию секретного ключа?

Ответ отрицательный. Проблема Евы в том, что согласно постулату об измерениях она должна измерять в конкретном базисе и не знает, какой базис выбрать. Какой бы базис она ни выбирала, все равно будут такие случаи, что Алиса и Боб работают в одном базисе, а Ева — в другом. Но в этом случае измерение Евы изменит состояние фотона и Боб, возможно, получит значение бита, не равное тому, которое отправила ему Алиса. Секретные ключи, записанные Алисой и Бобом, в конечном итоге окажутся разными, и это станет для них свидетельством возможного перехвата.

Предположим, например, что и Алиса, и Боб работают в каноническом базисе, а Ева — в диагональном. Алиса отправляет горизонтально поляризованный фотон, в котором зашифрован бит 0. Но Ева пользуется диагональным базисом, поэтому она увидит |+⟩ или |—⟩ с равной вероятностью. Если после перехвата она отошлет Бобу фотон в том состоянии, которое она задетектировала, Боб (измеряющий в каноническом базисе) с равной вероятностью увидит |H⟩ или |V⟩. Если это окажется |V⟩, Боб запишет значение бита, отличное от того, которое отправила ему Алиса.

Чтобы проверить, не следит ли кто-нибудь за их перепиской, Алисе и Бобу нужно будет обменяться по незащищенному каналу частью секретной битовой строки, полученной ими обоими. Если ошибок в ней нет (или очень мало), они могут использовать остальную часть строки в качестве одноразового блокнота.

Упражнение 1.18. Предположим, Ева перехватывает фотоны Алисы и измеряет их либо в каноническом, либо в диагональном базисе (базис она выбирает случайным образом). Затем она кодирует измеренный бит в том же базисе и посылает его Бобу. Какова средняя доля битов создаваемого ими секретного ключа, которая получится разной?

Ответ: 25 %.

Это упражнение показывает, что если Алиса и Боб видят в получаемом ими секретном ключе определенную долю неидентичных битов, то они не могут больше быть уверены, что их сообщения не перехватываются. Однако значение доли ошибок, полученное в упр. 1.18, относится только к случаю одной конкретной стратегии перехвата (атаки) со стороны Евы. Выбрав более хитроумную атаку, Ева может получить копию секретного ключа, оставив при этом в записях Алисы и Боба даже более низкую долю ошибок.

Так насколько низкой должна быть доля ошибок у Алисы и Боба, чтобы они могли уверенно полагаться на безопасность своей связи? Доказано[26], что граница проходит примерно по 11 %. Какую бы стратегию ни выбрала Ева, если частота ошибок ниже этой величины, Алиса и Боб смогут, воспользовавшись процедурой усиления секретности (privacy amplification), «отфильтровать» для себя совершенно надежный и полностью идентичный секретный ключ из частично несовпадающей битовой строки, полученной посредством квантового протокола.