La criptografía de clave pública requiere dos claves: la clave pública y la privada, que forman un par de

claves. El destinatario genera dos claves, hace pública la clave pública y mantiene su clave privada en
un lugar secreto para garantizar su posesión privada. El algoritmo está diseñado de tal manera que
cualquier persona puede encriptar un mensaje usando la clave pública, sin embargo, solo el destinatario
legítimo puede descifrar el mensaje usando su clave privada.

La seguridad de la criptografía de clave pública se basa en varios problemas de cómputo, que se cree
que son intratables. Los algoritmos de cifrado y descifrado utilizan las llamadas funciones de un solo
sentido. Las funciones unidireccionales son funciones matemáticas que son fáciles de calcular en una
dirección, pero su inversión es muy difícil (por "difícil" se entiende que el número de operaciones
elementales requeridas aumenta exponencialmente con la longitud del número de entrada).

Es, por ejemplo, muy fácil multiplicar dos números primos, pero factorizar el producto de dos primos
grandes ya es una tarea difícil. Sin embargo, es importante señalar que no se ha demostrado que
ninguna "función unidireccional" sea unidireccional; simplemente se cree que lo son.

La criptografía de clave pública no puede proporcionar seguridad incondicional. Hablamos de

seguridad computacional.
En la actualidad, el sistema de clave pública más utilizado es el criptosistema RSA. RSA fue inventado
en 1977 por Ronald Rivest, Adi Shamir y Leonard Adleman (Rives et al. [1978]), cuyos nombres
forman el acrónimo. RSA explota la dificultad de factorizar grandes números. El receptor selecciona
dos primos grandes p y q y hace que su producto sea público. Además, elige dos grandes números
naturales d y e [tales que (de - 1) es divisible por (p - 1) (q – 1). El producto pq junto con el número e
constituye la clave pública. Usando esta clave, cualquiera puede encriptar un mensaje P (P <pq)
empleando un algoritmo simple: C = P^e mod pq, donde C es el texto de cifrado resultante. El texto
de cifrado se puede descifrar fácilmente si se conoce la clave privada d: P = C^d mod pq. Sin
embargo, para invertir el algoritmo sin conocer la clave privada d, es necesario encontrar los factores
primos del módulo. Aunque hay varias otras maneras de atacar el sistema RSA, el más prometedor
parece ser intentar factorizar el módulo.

El primer desafío para romper una clave RSA de 425 bits (equivalente a 129 dígitos decimales) se
publicó en Scientific American en 1977 (Gardner [1977]). Ronald Rivest calculó que factorizar un
número de 125 dígitos, el producto de dos números primos de 63 dígitos, tomaría al menos 40 × 1015
años (aproximadamente un millón de veces la edad del universo) con los mejores algoritmos de
factorización conocidos hasta entonces. Sin embargo, 17 años después, en 1994, se descubrieron
nuevos algoritmos de factoraje y el poder de la computadora había avanzado a tal nivel que se
necesitaron 1600 computadoras (¡y dos máquinas de fax!) Interconectadas a través de Internet solo
durante 8 meses. Hoy, una sola PC basada en Pentium podría hacer el mismo trabajo.

Un número de 512 bits fue factorizado en agosto de 1999 por 292 máquinas. Eso significa que ninguna
de las claves de 512 bits proporciona suficiente seguridad para nada más que necesidades de seguridad
a muy corto plazo. Todos estos desafíos han servido para estimar la cantidad de trabajo y el costo de
romper una llave de cierto tamaño por esfuerzos públicos.

En 1999, Adi Shamir propuso el dispositivo TWINKLE (Shamir [1999]) - un dispositivo de

factorización optoelectrónico masivamente paralelo, que es aproximadamente tres órdenes de magnitud
más rápido que una PC rápida convencional y puede facilitar la factorización de claves de 512 y 768
bits. Hoy ya se recomienda pasar a longitudes de clave más largas y usar tamaños de clave de 2048 bits
para uso corporativo y 4096 bits para claves valiosas.
 El descifrado usando una computadora cuántica sería casi al mismo tiempo que el cifrado, haciendo
que la criptografía de clave pública carezca de valor.Ya se han desarrollado algoritmos capaces de
hacerlo (Shor [1994]) y primeros experimentos con computadoras cuánticas de pequeña escala con
éxito (Vandersypen et al., [2001]).

SYMMETRICAL CIPHERS (SECRET-KEY CRYPTOGRAPHY)

En la criptografía de clave secreta, los usuarios deben compartir una clave secreta de antemano. La
clave común se utiliza para cifrado y descifrado. La distribución de clave segura es el principal
inconveniente de los criptosistemas de clave secreta.

La distribución de clave segura es el principal inconveniente de los criptosistemas de clave secreta. La

seguridad de las comunicaciones se reduce a la seguridad de la distribución de claves secretas. Para
evitar la necesidad de un servicio secreto, la clave de la clave secreta, algunos usuarios utilizan la clave
secreta de la criptografía para distribuir la clave, que luego se utiliza en un sistema criptográfico de
clave secreta. En tal caso, incluso si el cifrado simétrico fuera incondicionalmente seguro, la seguridad
del sistema se degradaría a seguridad computacional.Estos denominados sistemas híbridos se han
generalizado, porque combinan la velocidad de los sistemas de clave secreta con el rendimiento de la
gestión de claves de los sistemas de clave pública.

El criptosistema de clave secreta más difundido es el Estándar de encriptación de datos (DES) y sus
variaciones. Debido a su uso frecuente en los sistemas híbridos, es el criptosistema que se usa con más
frecuencia. Fue desarrollado por IBM y el gobierno de EE. UU. En 1975 y fue adoptado como estándar
dos años más tarde. Es un ejemplo de un cifrado de bloque: un algoritmo que toma una cadena de texto
plano de longitud fija y la transforma a través de una serie de operaciones en otro texto cifrado de la
misma longitud. En el caso de DES, el tamaño del bloque es de 64 bits. La transformación depende de
la clave. El algoritmo consiste en la cascada de 16 iteraciones de sustituciones y transposiciones y se
puede implementar en hardware, donde puede alcanzar velocidades de cifrado muy altas.

En 1997, RSA Data Security, Inc. publicó su primer desafío para descifrar un mensaje de texto claro
codificado por DES. En enero de 1998, se ofreció un nuevo premio. El ganador del concurso utilizó el
tiempo de inactividad de las computadoras conectadas a Internet. Más de 50,000 CPUs fueron
conectadas entre sí. La clave se encontró después de 41 días (DES Cracker 1). Otro grupo de
descifradores tiene un enfoque diferente. Construyeron una sola máquina, que reveló el mensaje cifrado
"Es hora de las teclas de 128, 192 y 256 bits" después de solo 56 horas, buscando una tasa de 88 mil
millones de teclas por segundo (DES Cracker 2).

Los criptógrafos intentaron mejorar la seguridad de DES. Triple DES, DESX y otras modificaciones
han sido desarrolladas. En octubre de 2000, un esfuerzo de cuatro años para reemplazar el
envejecimiento culminó con el anuncio de un nuevo estándar, el Advanced Encryption Standard (AES).
Utiliza bloques de 128 bits y tamaños de clave de 128, 192 y 256 bits. Esta norma se aprobó en
diciembre de 2001 y entró en vigencia en mayo de 2002.

Otro problema común de la criptografía convencional es el llamado criptoanálisis de canal lateral (Rosa
[2001]). Los canales laterales son formas indeseables en las que puede filtrarse la información
relacionada con la actividad del dispositivo criptográfico. Los ataques basados en información de canal
lateral no afectan la estructura matemática de los criptosistemas, sino sus implementaciones
particulares. Es posible obtener información midiendo el consumo de energía, la radiación de calor o la
emanación electromagnética.
VERNAM CIPHER, PROBLEMA DE DISTRIBUCIÓN CLAVE

La criptografía clásica puede proporcionar un cifrado irrompible, que resiste a los adversarios con
poder y poder de cómputo ilimitados: el cifrado de Vernam. El cifrador de Vernam fue inventado en
1917 por el ingeniero de AT & T Gilbert S. Vernam (Vernam [1926]).

El cifrado de Vernam pertenece a los cifrados de clave secreta simétrica, es decir, la misma clave se
utiliza para cifrado y descifrado. El principio del cifrado es la clave de un mensaje, los bits de la cadena
resultante de información e información. Si utilizamos la lógica binaria, a diferencia de Vernam, que
trabajó con un alfabeto de 26 letras, el algoritmo de encriptación E puede escribirse como:

donde M = (M1, M2, ...,

Mn) es el mensaje a encriptar y K = (K1, K2, ..., Kn) es la introducción de bits aleatorios. El mensaje y
la clave se agregan a nivel de bits módulo 2, o exclusivo O sin acarreos. El descifrado de Ciphertext C
= EK (M) es idéntico al cifrado, porque el doble de módulo 2 es la identidad, por lo tanto:

Para que este sistema sea incondicionalmente seguro, se requiere lo siguiente: (1) La clave debe ser tan
larga como el mensaje; (2) debe ser puramente aleatorio; (3) Se puede usar solo una vez.
Hasta 1949, cuando se publicó su artículo, el cifrado de Vernam se consideraba irrompible, pero no se
demostró matemáticamente. Si alguno de estos requisitos no se cumple, la seguridad del sistema se
pone en peligro. Un buen ejemplo es la revelación de los espías atómicos de la Segunda Guerra
Mundial debido al uso repetitivo de la clave incorrectamente preparada por la KGB (publicaciones de
la NSA).

El principal inconveniente del cifrado de Vernam es la necesidad de distribuir una clave secreta siempre
que el mensaje impida un uso más amplio. El cifrado hasta ahora ha encontrado aplicaciones
principalmente en los servicios militares y diplomáticos. Es aquí donde la mecánica cuántica es útil y
ofrece una solución. La mecánica cuántica nos da la capacidad de detectar el espionaje.

Distribución de claves cuánticas

EL PRINCIPIO, EAVESDROPPING PUEDE SER DETECTADO

El principio de la criptografía cuántica consiste en el uso de estados cuánticos no ortogonales. Su

seguridad está garantizada por el principio de incertidumbre de Heisenberg, que no nos permiten
discriminar los estados no ortogonales con certeza y sin perturbar el sistema medido. Todas las señales
clásicas pueden ser monitoreadas pasivamente. En las comunicaciones clásicas, un bit de información
se codifica en dos estados distinguibles de billones de fotones, electrones o átomos u otros portadores.
Siempre es posible escuchar pasivamente dividiendo la señal y realizando una medición en ella.

En criptosistemas cuánticos, la inviolabilidad del canal se prueba constantemente mediante estados

cuánticos no ortogonales como portadores de información. Debido a que la información está codificada
con una superposición distinta de cero, no se puede leer, copiar ni dividir sin perturbaciones detectables
visibles. Cabe señalar que la mecánica cuántica no advierte escuchas; solo nos permite detectar la
presencia de un espía. Como solo se transmite la clave criptográfica, Cuando se encuentran
discrepancias, la clave simplemente se descarta y los usuarios repiten el procedimiento para generar
una nueva clave.
 MEDICIÓN CUÁNTICA
La medición en la física cuántica difiere sustancialmente de la medición en la física clásica. De acuerdo
con la teoría cuántica, solo es posible distinguir ciertos vectores de estados ortogonales (es decir, con la
llamada base de medición). Los estados no ortogonales no se pueden distinguir perfectamente. Además,
la medición cuántica perturba el sistema en general. Si el sistema está superpuesto, entonces este es el
caso de una superposición lineal.

El estado original se "olvida" durante el proceso de medición y se cambia aleatoriamente. Esta es la

característica clave del mundo cuántico que ayuda a detectar el espionaje. Si se usan estados no
ortogonales en la transmisión, el espionaje debe perturbar algunos de ellos, es decir, inducir errores

LOS ESTADOS CUÁNTICOS NO PUEDEN SER CLONADOS

La linealidad de la mecánica cuántica prohíbe la clonación arbitraria de estados cuánticos desconocidos

(Wooters y Zurek [1982]). Un dispositivo destinado a hacer una copia de, por ejemplo, un fotón con
polarización horizontal "| H>",necesita realizar la siguiente operación:

PROTOCOLO BB84
Bennett y Brassard presentaron un protocolo que permite a los usuarios establecer una secuencia de bits
idéntica y puramente aleatoria en dos lugares diferentes, al tiempo que les permite revelar su escucha
con una probabilidad muy alta.

El punto crucial del protocolo BB84 es el uso de dos bases conjugadas. El emisor del mensaje codifica
estados lógicos y ortogonales de un sistema cuántico. Pero para cada bit cambia aleatoriamente este par
de estados, es decir, elige una de las dos bases. Cada vector de estado de una base tiene proyecciones de
igual longitud en todos los vectores de la otra base. Es decir, si se mide sobre la base del otro, y su
resultado es completamente aleatorio y el sistema "pierde toda la memoria" de su estado anterior. De
hecho, los estados de señal no ortogonales se usan para probar el canal de transmisión, verificándolo
libre de espías.

Una base puede consistir, por ejemplo, en estados de polarización horizontal y vertical de fotones, | H $
y | V $, resp.; vamos a llamar a esta base rectilínea. La otra base, diagonal, consistiría en estados de
polarizaciones lineales a 45◦ (anti-diagonal), | A $ y 135◦ (diagonal), | D $, tal que:

EAVESDROPPING, INTERCEPT-RESEND ATTACK

Si Eve está presente y quiere espiar el canal, no puede monitorear pasivamente las transmisiones (el
único quantum no se puede dividir y su estado no se puede copiar sin perturbaciones detectables, como
se discutió anteriormente). Lo que Eve puede hacer es interceptar los fotones enviados por Alice, para
medir la señal del fotón, es decir, para interactuar con el sistema cuántico que transporta información,
guárdalo y mídelo más tarde. Para comprender el efecto de las escuchas, consideraremos primero solo
el ataque de intercepción y reenvío. Como Alicia alterna sus bases de codificación al azar, Eve no
conoce las bases para realizar una medición. Ella debe elegir su medida al azar. La mitad del tiempo
ella acerta y vuelve a enviar fotones correctamente polarizados.

Sin embargo, en el 50% de los casos, mide incorrectamente, lo que produce errores. Por ejemplo,
supongamos que Alice envía un "1" en forma rectilínea, es decir, indica | V $, Eve mide en diagonal y
Bob mide en forma rectilínea (de lo contrario, el bit se descartaría). Ahora, no importa si Eve detecta y
reenvía | A $ o | D $, Bob tiene un 50% de probabilidad de obtener | H $, es decir, un "0" binario, en
lugar de | V $.
Si sus cadenas son idénticas, la clave se considera segura y secreta, y se puede utilizar para el cifrado
Vernam mencionado anteriormente para encriptar las comunicaciones. Como los bits se han usado para
probar, siempre deben desecharse y solo los bits restantes constituyen la clave. Un ataque de
intercepción y reenvío no es la estrategia óptima para escuchar a escondidas. Sin embargo, cualquier
interacción con los portadores de datos puede proporcionar información sobre la transmisión.

Para dejar intactos los estados originales, puede interactuar con el proveedor de información:

Debe mencionarse que ningún aparato físico es perfecto y silencioso. Alice y Bob siempre encontrarán
discrepancias, incluso en ausencia de Eva. No pueden malinterpretarse debido a su comportamiento, se
atribuyen de forma conservadora a los errores en las transmisiones a Eva. A partir de la cantidad de
errores, se puede estimar la cantidad de información que se pudo haber filtrado a Eve. Después, Alice y
Bob reconcilian sus cadenas de bits utilizando una técnica de corrección de errores para llegar a una
secuencia idéntica de bits. Esta secuencia no es completamente secreta. Eva podría tener un
conocimiento parcial al respecto. Para eliminar este conocimiento, ejecutan un procedimiento llamado
amplificación de privacidad.

Algunos otros protocolos discretos para QKD

Además de BB84, se diseñaron otros protocolos. En 1992, C. H. Bennett demostró (Bennett [1992b])
que dos estados no ortogonales ya son suficientes para implementar QKD segura. Deje que Alice elija
dos estados no ortogonales y se los envíe a Bob en orden aleatorio. Cuando Bob juega proyecciones en
subespacios ortogonales a los estados de señal, a veces aprende con un cierto resultado no concluyente.
Después de la transmisión, Bob le dice a Alice cuando detectó un poco. En este caso, no anuncia la
base utilizada, porque detectó un fotón, identificado de manera única la parte que Alice había enviado.
Este protocolo generalmente se llama B92.

B92 PROTOCOL WITH A STRONG REFERENCE PULSE(PROTOCOLO B92 CON UN

PULSO DE REFERENCIA FUERTE)

Una posibilidad para contrarrestar la estrategia de escuchas mencionada anteriormente contra el

protocolo B92 es codificar bits en una diferencia de fase entre un pulso (con menos de un fotón en
promedio) y un pulso de referencia fuerte clásico (Bennett [1992b]). Significa que el pulso láser se
divide en partes fuertes y débiles de un divisor de haz altamente desequilibrado. Tanto Alice como Bob
pueden introducir un cambio de fase entre estos pulsos. Estos dos se combinan de nuevo en un divisor
de haz desequilibrado donde interfieren. Bob también puede monitorear la presencia de todos los
pulsos fuertes.
Ahora, cuando Eve obtiene un resultado no concluyente, no puede reprimir el pulso fuerte, porque Bob
debe recibirlos a todos. Sin embargo, cuando solo bloquea el pulso oscuro, la interferencia del pulso
brillante con el vacío (en lugar del pulso) dará lugar a errores. De manera similar, si Eve intenta
fabricar su propio pulso brillante o dorado (o ambos) y enviárselo (a ellos) a Bob, inevitablemente
causará errores detectables. Aunque el protocolo B92 puede ser incondicionalmente seguro si se
implementa correctamente, puede usarse en el protocolo BB84 (Fuchs et al., [1997]).
PROTOCOLO DE SEIS ESTADOS

La probabilidad de que Alice y Bob elijan la misma base es 1/3 ahora.7 Pero esta desventaja contra
BB84 es mayor que el hecho de que las escuchas provocan una mayor tasa de error. Por ejemplo, un
ataque de reenvío-reenvío continuo induce en promedio el 33% de los errores en comparación con el
25% en la caja del protocolo BB84. En general, la información mutua máxima entre Eve y Alice es
menor que el escenario BB84. Además, la simetría de los estados de señal simplifica el análisis de
seguridad.

PROTOCOLO SARG
El protocolo SARG se propuso para el ataque de división del número de fotones (PNS) 8 en QKD
basado en pulsos láser débiles. Se refiere a estados no ortogonales (Scarani et al., [2004], Branciard et
al., [2005]). En contraste con BB84, dos valores de una clase están codificados en estados no
ortogonales. Sin embargo, para implementar el protocolo SARG uno puede mantener el mismo
hardware que para BB84 y modificar solo la comunicación clásica entre Alice y Bob. Alice prepara
cuatro estados cuánticos y Bob hace las mediciones exactamente como en el protocolo BB84. Pero
Alicia no revela la base de estados de señal no ortogonales, de modo que uno de estos estados es el que
ella siente. Bob adivina el ortogonal a uno de dos estados no ortogonales (para detalles, ver Scarani et
al. [2004]). En comparación con el protocolo BB84, SARG permite aumentar el radio de QKD cuando
la fuente no es una fuente de fotón único.

PROTOCOLOS DECOY-STATE
BB84 es linealmente dependiente de la transmitancia solo en el caso de una fuente de fotón único, con
puntos láser débiles es proporcional al cuadrado de la transmitancia.
La idea se basa en la observación de que al agregar algunos estados señuelo, uno puede estimar el
comportamiento de los estados de vacío, fotón único y fotofotón individualmente. Por lo tanto, Alice
envía un estado adicional, señuelo, con una intensidad diferente a los estados usados para la
transmisión de la clave (pero con la misma longitud de onda, sincronización, etc.).
Estos estados de señuelo son solo para probar la presencia de Eva. Eve no sabe cuándo Alice envía los
señuelos y no puede identificarlos. Los cambios que el ataque del PNS de Eve produce en estos
señuelos permiten que Alice y Bob detecten el espionaje del PNS.photon-number splitting attack (PNS)
La esencia del método señuelo-estado consiste en el siguiente hecho: la probabilidad condicional de
que Bob detecte una señal, siempre que la fuente de Alice haya emitido un estado n-fotón, debe ser la
misma tanto para los estados de señal como de señuelo. Cuando no está presente el espía, debe ser igual
al siguiente valor dado por los parámetros del aparato:

PROTOCOLOS BASADOS EN EL ENLACE

Enredo, las desigualdades de Bell:
Dos o más sistemas cuánticos están en proceso de cuantificación. El enredo genera muchos efectos
interesantes en física. Es responsable de la teleportación cuántica (Bennett et al., [1993]) y es
responsable de la efectividad de la computación cuántica (Nielsen y Chuang [2000]). Asher Peres dijo
que "es un truco que los magos cuánticos usan para producir fenómenos que no pueden ser imitados
por los magos clásicos" (Bruss [2002]).

ALGUNOS OTROS PROTOCOLOS DISCRETOS PARA QKD

Sin embargo, en 1964 John Bell (Bell [1964]) ha demostrado que no hay una teoría realista local que dé
las mismas predicciones que la mecánica cuántica.
Denotemos las variables aleatorias A (n1) y B (n2), obteniendo valores discretos ± 1, correspondientes
a los resultados de medición en dos partículas separadas pero de alguna manera correlacionadas, donde
los ajustes de los dispositivos de medición respectivos están representados por n1 y n2 (nota que A
depende solo de n1 y B solo en n2, esto refleja la condición de localidad). La aleatoriedad de A y B se
presume que solo es posible en algunas partes del mundo y para lo que no sabemos (la premisa de la
realidad). La desigualdad de Bell, en la forma derivada por Clauser et al. [1969], declara que:

where C(n1, n2) is the correlation function:

Ahora, tratemos de describir tal situación por el lenguaje cuántico, asumiendo dos partículas de spin un
medio en el siguiente estado enredado:

donde los vectores de estado | n, ± $ corresponden a dos proyecciones ortogonales de giro hacia la
dirección n. Entonces la predicción cuántica para la función de correlación dice:

donde σ1, σ2 son vectores de

matrices de Pauli. Si elegimos la configuración del aparato de medición con n2 con n1, n1 con n $ 2 y n
$ 1 con n2 incluye el ángulo 45◦, mientras que n $ 1 con n $ 2 incluye el ángulo 135◦, encontramos
rápidamente que

Protocolo original de Ekert y su forma simplificada

Por simplicidad, suponemos que usan solo direcciones que se encuentran en el plano perpendicular a la
trayectoria de las partículas. Las bases de Alice hacen con respecto a los 0◦, 45◦, 90◦ verticales, y las
bases de Bob están haciendo 45◦, 90◦, 135◦. Hay nueve combinaciones posibles.
Después de la transmisión cuántica, en la que Alicia y Bob establecen aleatoria e independientemente
sus bases de medición, los ajustes son. Cuando se han utilizado bases idénticas, los resultados de sus
mediciones se correlacionan y se convierten en la clave criptográfica. La probabilidad de que Alice y
Bob usen la misma base es 2/9. Los resultados de las mediciones en las otras bases se utilizan para
verificar la violación de la desigualdad Clauser-Horne-Shimony-Holt (3.5). Un espía que intenta
correlacionar su sonda (3.7), lo que daría como resultado una mayor violación de la desigualdad o
ninguna violación en absoluto.
Un año después, Bennett et al. [1992d] propuso simplificar el protocolo basado en enredo sin invocar el
teorema de Bell. Aquí, tanto Alice como Bob examinan dos enfoques muy diferentes del protocolo
BB84. De hecho, la única diferencia de BB84 es que Alice no envía partículas en un estado de giro (o
polarización), sino una de dos bases conjugadas. Ella debe seleccionar bases al azar e
independientemente de Bob. El resto es lo mismo en BB84: después de la transmisión, Alice y Bob
comparan sus conceptos básicos y los mantienen en la misma medida cuando utilizan las mismas bases.
Configuración pasiva:
El sistema para QKD basado en enredos puede concebirse incluso de tal manera que se pueda usar
enteramente en un pasivo, impulsado externamente (por ejemplo, rotadores de polarización o
moduladores de fase, Rarity et al [1994]). Cada partícula del par entrelazado "puede decidir
libremente" que uno tiene un divisor de haz en cuya base se medirá. Significa que tanto la clave
aleatoria como la medida aleatoria se eligen directamente por la aleatoriedad aleatoria de la naturaleza.

QKD CON PULSOS LÁSER DÉBILES

Los láseres atenuados a menudo se usan en dispositivos QKD. Si el ancho espectral del láser pulsado es
mucho más pequeño que su frecuencia media, el estado de la luz se aproxima mediante un estado
coherente monocromático. Las estadísticas de la población de Poisson. Los pulsos de fotones múltiples
pueden causar problemas debido al ataque de PNS.
Codificación de polarización
El primer experimento QKD que tuvo lugar en 1989 (Bennett et al., [1989], Bennett et al., [1992a]) se
basó en la codificación de polarización para el protocolo BB84. Para la descripción del protocolo,
remitimos al lector a la Sección 2. Un diodo emisor de luz (LED) generó pulsos de luz que
posteriormente fueron atenuados por un filtro de interferencia y polarizados por un polarizador (ver
Fig. 1).

Los qubits estaban codificados en la polarización de fotones por medio de células Pockels. El canal
cuántico tenía 32 cm de aire libre. Bob analizó los estados de polarización usando un prisma Wollaston,
que fue precedido por otra celda de Pockels para elegir su base de polarización. La salida del prisma
fue monitoreada por fotomultiplicadores.

Cuatro años más tarde, el grupo de Gisin de la Universidad de Ginebra, vía óptica ópticamente clara,
fibra óptica de 1 km (Mullull et al., 1993, Br eguet et al., 1994). Se utilizó un semiconductor láser a 800
nm para generar pulsos de luz que se detectaron mediante fotodiodos de avalancha de silicio. Dado que
la fibra óptica deforma el estado de polarización de la luz, se ha empleado un controlador de
polarización ajustable manualmente para compensar los cambios temporales de polarización.

Los bires y los giros de la fibra óptica inducen la birrefringencia, lo que da lugar a diferentes
velocidades de los componentes de polarización ortogonal de la luz que dan como resultado el cambio
del estado de polarización. Dado que el grado de polarización disminuye lentamente en las fibras, se
puede usar la misma birrefringencia inducida por el esfuerzo para compensar esta deformación.
Un carrete de fibra de un diámetro adecuado puede actuar como una placa de onda fraccional.

El uso de fibra óptica no es la única forma de implementar QKD a distancia. Otro enfoque es tratar de
comunicarse directamente a través del espacio libre. A diferencia de las fibras, la atmósfera no es
birrefringente, por lo que la codificación de polarización es muy adecuada. Jacobs y Franson (1996)
demostraron la viabilidad de la QKD en espacio libre, que logró comunicarse a través de un corredor
iluminado con tubos fluorescentes y más de 75 metros al aire libre a la luz del día.

Codificación de fase
En este método, las diferentes polarizaciones (usadas en la codificación de polarización) son
reemplazadas por diferentes cambios de fase entre dos brazos del interferómetro Mach-Zehnder. Alice
controla el cambio de fase en un brazo del interferómetro, Bob controla el desplazamiento de fase en el
otro brazo. Si los cambios de fase de Alice y Bob son los mismos, entonces el comportamiento del
fotón en el divisor de haz de Bob es determinista debido a la interferencia constructiva en una de las
salidas y la interferencia destructiva en la otra. Si el desplazamiento de fase total es diferente de un
múltiplo entero de 180, los fotones se detectan aleatoriamente en ambos detectores.
en el caso del protocolo BB84, Alice codifica estados cuánticos no ortogonales. Envía impulsos de luz
débil al interferómetro y establece aleatoriamente la fase φA a 0◦, 90◦, 180◦ o 270◦. Bobs establece al
azar (e independientemente de Alicia) la fase φB a 0◦ o 90◦. Estos dos valores corresponden a la
medición en bases "rectilíneas" y "diagonales", respectivamente:

Sin embargo, es imposible mantener la misma fase estable en dos brazos diferentes del interferómetro
Mach-Zehnder a largas distancias.
Bennett [1992b]. Se pueden usar dos piezas de comunicación para interconectar sus dispositivos (vea la
Fig. 2). Ahora se usan dos interferómetros Mach-Zehnder desequilibrados. La longitud del camino
entre el brazo más corto y el más largo del interferómetro es mayor que el ancho del pulso del láser.

Esta ruta indistinguible da como resultado la interferencia en el último divisor de haz.

Por lo tanto, para el "pico central" (ver el lado derecho de la Fig. 2), el sistema se comporta
exactamente de la misma manera que un interferómetro Mach-Zehnder balanceado.
El primer sistema basado en la codificación de fase fue construido por Townsend et al. [1993a] (ver
también Townsend et al [1993b]). La señal se envió a través de 10 km de fibra en un carrete.
Más tarde, el sistema se modificó de modo que la polarización en los brazos largos se giró 90 ° en
ambos interferómetros y el múltiplex de tiempo se complementó con un múltiplex de polarización.
Al final, la polarización vertical enviada vuelve como horizontal y viceversa. En el lado de Bob, el
primer pulso pasa un brazo más largo de un interferómetro Mach-Zehnder desequilibrado mientras el
segundo pulso pasa su brazo más corto (los pulsos están separados por un divisor de haz de
polarización y luego sus polarizaciones están hechas de la misma manera). En uno de los brazos, Bob
ahora aplica su cambio de fase. Debido a que el retraso original entre los pulsos fue creado por el
mismo interferómetro desequilibrado, no es necesaria la estabilización de este interferómetro. Dado que
no es necesario un ajuste óptico especial para operar esta configuración, generalmente se llama sistema
"plug & play".

Gisin et al. [2004] propuso una nueva técnica para QKD práctica, basada en un protocolo específico y
adaptada para una implementación con pulsos láser débiles. La clave se obtiene mediante una simple
medición de los tiempos de llegada de los pulsos entrantes a Bob. La presencia de un espía es revisada
por un interferómetro construido en una línea de monitoreo adicional. Cada bit lógico está codificado
en una secuencia de dos pulsos: uno vacío y otro no vacío o viceversa. Hay una coherencia de fase
entre dos pulsos no vacíos porque se usa un láser de modo bloqueado como fuente. Algunos pulsos se
reflejan en el divisor de haz de Bobs y van al interferómetro Mach-Zehnder desequilibrado (línea de
monitoreo). Aquí es donde la coherencia cuántica juega un papel. Si la coherencia no se rompe, solo el
detector en la salida particular del interferómetro puede disparar en ciertos instantes. Esto permite
detectar un espionaje. La primera realización experimental de este protocolo fue realizada por Stucki et
al. [2005].

PROTOCOLOS BASADOS EN EL ENLACE

Además de QKD, la distribución de enredos entre usuarios distantes puede ser beneficiosa también
para otras tareas como la teleportación cuántica, la codificación densa cuántica, el intercambio de
secretos cuánticos, etc. Sin embargo, existe un problema de acoplamiento entre la propiedad utilizada
para codificar los qubits y el otro propiedades del campo electromagnético portador, que se eleva
durante la propagación en un medio dispersivo. Esta forma de decoherencia destruye gradualmente las
correlaciones cuánticas entre los fotones.10 Por ejemplo, la dispersión del modo de polarización hace
que dos valores del qubit codificado por polarización también se distingan en el dominio temporal y
elimina así las correlaciones cuánticas entre las polarizaciones. Del mismo modo, la dispersión
cromática degrada el enredo de la energía y el tiempo.

Enredo de polarización
En este caso, Alice y Bob son provistos por un fotón de un par enredado de una de estas formas:

donde | V $, | H $ denota estados de fotón único con polarizaciones lineales verticales y horizontales,
respectivamente. Los pares se preparan mediante un proceso paramétrico de conversión descendente en
cristales ópticos no lineales. El enredo de polarización se crea mediante un cristal utilizando el
emparejamiento de fase de tipo II (en un diseño geométrico adecuado) o mediante dos cristales con
coincidencia de fase de tipo I que se colocan estrechamente uno a uno pero con ejes ópticos orientados
perpendicularmente entre sí. Alice y Bob están equipados con analizadores de polarización que pueden
cambiar rápidamente las bases de polarización de medición, por ejemplo, moduladores de polarización
electro-ópticos seguidos por divisores de haz polarizadores (con contadores de fotones detrás de ellos).

Enredo tiempo-energía, codificación de fase

Ahora los estados enredados de dos fotones empleados tienen la forma aproximada:
donde | ω $ denota un estado de fotón único a la frecuencia ω, ω0 es una frecuencia óptica del láser de
bombeo, y ξ (ω) expresa la distribución de componentes de frecuencia individuales. Los pares se
producen nuevamente mediante conversión paramétrica en cristales ópticos no lineales. Fotones en
estados cercanos a los dados por Eq. (4.2) - se descuidan las contribuciones de vacío y multi-par - se
generan cuando el cristal es bombeado por un láser con un gran tiempo de coherencia.
Alice y Bob obtienen un fotón cada uno y los dejan pasar a través de interferómetros Mach-Zehnder
desequilibrados (un interferómetro al costado de Bob, uno al lado de Alicia). La diferencia de longitud
de camino entre el brazo más largo y el más corto de cada interferómetro debe ser mayor que la
longitud de coherencia de los fotones generados, pero más corta que la longitud de coherencia del láser
del pulso.

Enredo time-bin, codificación fase-tiempo

Este método es similar a la codificación de fase descrita anteriormente. Pero ahora hay un
interferómetro Mach-Zehnder más desequilibrado colocado en el haz de la bomba y se usa una fuente
pulsada para bombear el cristal. El esquema del aparato se muestra en la figura 3. El par generado se
puede describir por el siguiente estado:

con S y L que indican las contribuciones de los pulsos de la bomba que pasan por un brazo más corto y
más largo del interferómetro, respectivamente. Las diferencias de ruta de los tres interferómetros
deberían ser las mismas. Ahora, Alicia puede detectar un fotón en tres ventanas de tiempo diferentes
(después de cada pulso láser): la primera corresponde a la situación en la que tanto el pulso de la
bomba como el fotón de Alicia pasaron por los brazos más cortos (SS), el el segundo corresponde a la
combinación del brazo más corto y el más corto o viceversa (SL o LS), y el tercero corresponde a la
situación cuando tanto el pulso de la bomba como el fotón de Alice pasaron por los brazos más largos
(LL). Lo mismo vale para las detecciones de Bob. Para establecer la clave secreta, Alice y Bob
acuerdan públicamente los eventos cuando ambos detectaron un fotón (no importa en qué detector) ya
sea en la primera o en la tercera ventana de tiempo, pero no revelan en cuál, y en el eventos cuando
ambos registraron clics del detector en la ventana de la segunda vez, sin revelar en qué detector. En el
primer caso, asignan diferentes valores de bit a la primera y tercera ventana de tiempo (Alice y Bob
deben tener tiempos de detección correlacionados). El segundo caso (ambos fotones detectados en la
segunda ventana de tiempo) es formalmente equivalente al método de codificación de fase descrito
anteriormente.

Tecnología
Láseres atenuados
En los sistemas QKD prácticos, los láseres atenuados siguen siendo las únicas fuentes de luz
razonables (excepto los sistemas que usan pares entrelazados). La radiación de un láser puede
describirse normalmente por un estado coherente de modo único que muestra la distribución del
número de fotones de Poisson (donde μ es un número medio de fotones):

El número medio óptimo de fotones es tal que maximiza la tasa de seguridad para las condiciones
dadas. Resulta de la compensación entre el valor de la tasa de detección y el acortamiento de la clave
debido a la amplificación de la privacidad (debido a las contribuciones de fotones múltiples, la
amplificación de la privacidad).

Fuentes de fotón único: Parametric down conversion

Otra forma de cómo preparar estados de fotones cuasi individuales es usar pares de fotones generados
por conversión paramétrica espontánea (SPDC) (Hong y Mandel [1986]). Aquí el punto crucial es una
estrecha correlación temporal entre los fotones en el par. En el caso ideal, si uno coloca un detector de
número de fotones en la trayectoria de un miembro del par (por ejemplo, en el rayo intermedio) y
detecta un fotón en el mismo momento (es decir, en una ventana de tiempo muy corto del orden de
cientos de femtosegundos) debe haber un fotón también en el otro - haz de señal.
En realidad, debido a pérdidas en el haz de señal, causadas principalmente por un acoplamiento
ineficiente en la fibra, y en parte también debido a conteos oscuros del detector de activación, puede no
haber fotones en el haz de señal incluso si el detector de activación ha hecho clic. Sin embargo, la
probabilidad de este evento es relativamente baja, hoy típicamente es de alrededor del 30%. Casi todos
los detectores aplicables en la práctica no pueden distinguir el número de fotones y su eficiencia
cuántica es sustancialmente inferior al 100%. Por lo tanto, también existe una probabilidad distinta de
cero que tiene más de un fotón en el haz de señal después de la detección del activador.
La importante ventaja de una fuente de fotones cuasi individuales de SPDC en comparación con un
láser atenuado es una reducción sustancial de la porción de contribuciones de vacío, es decir, señales
vacías.
Desde el punto de vista tecnológico, estas fuentes parecen factibles. Las fuentes de SPDC bombeadas
con láser de diodo que emiten en la región del infrarrojo cercano se pueden hacer compactas y robustas
(Volz et al., [2001]).

Fuentes de fotón único: centros de color

Una dirección progresiva en la búsqueda de fuentes de fotón único está representada por centros de
color en diamante. Los centros de color son defectos en una red cristalina debido a impurezas y
vacantes. Los cristales con tales defectos pueden prepararse con relativa facilidad y son estables. La
ventaja clave de las fuentes basadas en centros de color es que funcionan a temperatura ambiente.

Fuentes de fotón único: puntos cuánticos

Los puntos cuánticos son nanoestructuras semiconductoras ("átomos artificiales")
a emisión de fotones proviene de la recombinación de un par electrón-agujero. Los pares de electrodos
pueden crearse mediante bombeo óptico mediante un láser pulsado o de onda continua o mediante una
corriente eléctrica (Yuan et al., [2002]).
La longitud de onda de la luz emitida se determina principalmente por el material utilizado. Las fuentes
que operan a longitudes de onda de telecomunicaciones son posibles (Takemoto et al. [2004]).
El principal inconveniente práctico de las fuentes de fotones de puntos cuánticos es la necesidad de
refrigeración a la temperatura de helio líquido.
La primera demostración de QKD usando un arma de fotón único de punto cuántico fue
hecho por Waks et al. [2002]. Funcionó en el espacio libre a una distancia simbólica de un metro.

Fuentes de fotón único: átomos individuales y moléculas

Otra alternativa para generar estados de un solo fotón es hacer uso de transiciones radiativas entre
niveles electrónicos de un solo átomo (ion) o molécula. Los iones individuales atrapados en una trampa
y colocados dentro (o enviados a) una cavidad óptica donde interactúan tanto con el rayo láser de
excitación y el campo de vacío de la cavidad (Kuhn et al. [2002], Keller et al. [2004]) podría
representar fuentes de un solo fotón con buenas propiedades (con, por ejemplo, un espectro estrecho y
una alta eficiencia de recolección debido a la presencia de la cavidad). Pero la factibilidad práctica de
tales fuentes sigue siendo baja debido a su complejidad tecnológica (entre otras, se necesita un alto
vacío).

Fuente de enredo: conversión hacia abajo paramétrica espontánea

Mediante la conversión paramétrica espontánea (SPDC) uno puede preparar fotones enredados en
energías (longitudes de onda), momentos (direcciones) y / o polarizaciones. Cualquiera de estas
características se puede utilizar para fines de QKD según los protocolos de tipo Ekert (consulte la
Sección 3.6).
En el proceso de SPDC, un fotón de un láser de bombeo se convierte, con una cierta probabilidad
(pequeña), en dos fotones de subfrecuencia. La energía total y el ímpetu se conservan en este momento.
Como no se prefieren dos frecuencias posibles y vectores de onda de dos fotones generados, el estado
cuántico resultante se da como una superposición de todos los casos permitidos: es un estado enredado.
SPDC ocurre en medios ópticos no lineales. Por ejemplo, en los cristales KNbO3, LiIO3, LiNbO3, β-
BaB2O4, etc. Las fuentes de SPDC de muy perspectiva son materiales no lineales poled
periódicamente, es decir guías de ondas en niobato de litio poled periódicamente (Tanzilli et al.
[2001]).

DETECTORES
Fotodiodos de avalancha
Los detectores más utilizados en los sistemas QKD con variables discretas son, sin duda, los fotodiodos
de avalancha (APD). En APD, un fotoelectrón único generado por un fotón incidente se multiplica por
una ionización por colisión. Esto se debe a que los detectores de fotón único APD funcionan en el
llamado modo Geiger: en la unión se aplica un voltaje inverso que excede el voltaje de ruptura. Por lo
tanto, el fotón incidente provoca una avalancha de miles de portadores. Para reiniciar el detector, la
avalancha debe ser apagada. Se podría hacer de forma pasiva o activa. En el enfriamiento pasivo, se
coloca una resistencia grande en el circuito del detector. Causa la disminución del voltaje en APD
después de que comienza la avalancha. en el caso del enfriamiento activo, el voltaje de polarización se
reduce mediante un circuito de control activo. Esta solución es más rápida, por lo que se pueden
alcanzar mayores tasas de repetición (hasta 10 MHz). Otra posibilidad es trabajar en un llamado modo
cerrado cuando la tensión de polarización se incrementa por encima del voltaje de ruptura solo durante
un período corto y bien definido.
Para detectar fotones en longitudes de onda específicas, se necesitan diferentes materiales de chips
detectores. Para la región infrarroja visible y cercana (hasta 1.1 μm), se puede usar la APD de silicio.
Hoy en día están bien elaborados. Los módulos de conteo compactos con enfriamiento Peltier integrado
y enfriamiento activo están disponibles comercialmente que ofrecen bajas tasas de conteo oscuro
(menos de 50 por segundo) altas eficiencias cuánticas (hasta aproximadamente 70%) y tasas máximas
de conteo que alcanzan los 10MHz. Es necesario enfriar a temperaturas de alrededor de -20 ° C para
mantener el número de recuentos oscuros inducidos por el ruido térmico en un rango razonable. Tenga
en cuenta que los recuentos de oscuridad, es decir, los eventos cuando el detector envía un impulso
incluso si ningún fotón ha entrado en él, representan un factor importante que limita el rango de
operación de QKD (consulte la Sección 6).
Resulta que la tasa de recuento oscuro aumenta al aumentar la eficiencia de detección. Siempre es
necesario encontrar una compensación entre estas cantidades. A medida que el número de recuentos
oscuros aumenta con la temperatura, se puede lograr un mejor rendimiento general a temperaturas más
bajas. Además, el aumento de la frecuencia de repetición de la señal conduce al crecimiento del número
de recuentos oscuros debido a la creciente probabilidad de los pulsos posteriores.14 Mencionemos
también otro efecto que puede jugar un papel negativo en la criptografía cuántica. Cuando se apaga la
avalancha, todos los portadores de carga se recombinan. Vuelve a poner el diodo en un estado aislante,
finaliza un ciclo completo de fotodetección y el diodo está listo para el próximo evento. Sin embargo,
algunas recombinaciones son radiativas, esto se traduce en los llamados reventones.
Una posibilidad interesante para mejorar el rendimiento de QKD con detectores APD en longitudes de
onda de telecomunicaciones podría ser la combinación de conversión paramétrica de frecuencia con
APD de silicio eficientes, en lugar de uso directo de APD InGaAs. La conversión ascendente en
niobato de litio poled periódicamente puede ser bastante eficiente, mientras que solo introduce un ruido
relativamente bajo. La eficiencia cuántica global en combinación con un detector APD de silicio podría
ser comparable con la eficiencia de detección de una APD InGaAs mientras que la tasa de
oscurecimiento sería menor (Diamanti et al. [2005]).

Detectores de puntos cuánticos

Un diodo de túnel resonante de puntos cuánticos es un dispositivo semiconductor con una capa de
puntos cuánticos dentro de una estructura de diodo de túnel resonante (Blakesley et al.
[2005]). En el diodo, dos capas GaAs n dopadas están separadas por una capa aislante AlGaAs de doble
barrera y seguidas por una capa de puntos cuánticos autoensamblada InAs. La corriente del túnel
resonante a través de esta estructura de doble barrera es sensible a la captura de un agujero excitado por
el fotón por uno de los puntos cuánticos en la capa de puntos adyacente. La captura de un agujero por
el punto puede cambiar la magnitud de la corriente que fluye a través del dispositivo.
Tenga en cuenta que el detector fabricado a partir de GaAs no se puede utilizar en la región de las
longitudes de onda de telecomunicaciones. Los detectores para estas longitudes de onda deben
construirse a partir de otros materiales como InP.

Contadores de fotones de luz visible

Los Contadores de fotones de luz visible (VLPC) son detectores semiconductores que constan de dos
capas principales, una capa de silicio intrínseca y una capa de ganancia de arsénico ligeramente dopada
(Waks et al. [2003], Kim et al. [1999]). Cuando se absorbe un solo fotón, se crea un único par electrón-
agujero. Debido a una pequeña tensión de polarización aplicada a través del dispositivo, el electrón se
acelera hacia el contacto transparente en un lado mientras el orificio se acelera hacia la región de
ganancia en el lado opuesto. Los electrones donantes en esta región están efectivamente congelados en
los estados de impureza porque el dispositivo se enfría a una temperatura de funcionamiento de
aproximadamente 6 K. Sin embargo, cuando un orificio se acelera en la región de ganancia, fácilmente
patea los electrones donantes en la banda de conducción por ionización de impacto . Los electrones
dispersos pueden crear sucesos de ionización de impacto que resultan en la multiplicación de la
avalancha.
Cuando se detecta un fotón, se forma una mancha muerta de varias micras de diámetro en la superficie
del detector, dejando el resto del detector disponible para sucesos de detección posteriores. Si más de
un fotón incide en el detector, podrá detectar todos los fotones siempre que la probabilidad de que
múltiples fotones aterricen en la misma ubicación sea pequeña. Por lo tanto, estos detectores podrían
realizar una detección eficiente del estado del número de fotones (número de fotones). Sin embargo, en
la práctica, solo pueden discriminar entre cero, uno o más fotones debido al ruido de multiplicación.

Detectores superconductores
Para detectar fotones individuales, también se pueden emplear procesos físicos en superconductores. Se
han propuesto algunos principios diferentes que ahora se prueban experimentalmente. Todos estos
detectores requieren un ambiente criogénico. El primer tipo de detector, generalmente llamado detector
de fotón único superconductor, consiste en tiras finas de material superconductor, como nitrato de
niobio, interconectadas para formar un "alambre" en forma de meandro (Verevkin et al., [2002]). En
este "cable" se mantiene la polarización de corriente por debajo de la corriente crítica del material. Un
fotón incidente rompe un par de Cooper y genera un punto de acceso que forma un potencial de
resistencia. El ancho de las tiras está diseñado de tal manera que la corriente forzada alrededor del
punto de acceso excede la corriente crítica. Esto da como resultado el aumento de la resistencia y una
señal de voltaje que indica la detección de fotones. Las mediciones recientes muestran que a 1300-1550
nm las muestras tienen una eficiencia cuántica de hasta el 10%, una tasa de recuento oscuro de
aproximadamente 0,01 s-1 y una velocidad de conteo superior a 2 GHz (Verevkin et al., [2004]). Las
mediciones se realizaron a una temperatura de 2,5 K (helio líquido).
Otro tipo de detector superconductor es un sensor de borde de transición (Miller et al. [2003]). Estos
sensores consisten en películas delgadas superconductoras polarizadas eléctricamente en la transición
resistiva. Su sensibilidad es el resultado de la fuerte dependencia de la resistencia a la temperatura en la
transición y el bajo calor específico y la conductividad térmica de los materiales a temperaturas de
funcionamiento típicas de cerca de 100 mK. El dispositivo produce una señal eléctrica proporcional al
calor producido por la absorción de un fotón. Estos detectores pueden incluso determinar el número de
fotones incidentes, es decir, pueden realizar un recuento de fotones.
La siguiente posibilidad es un detector de unión de túnel superconductor (Fraser et al. [2003]). Consiste
en dos electrodos superconductores separados por una capa aislante que forma juntos una unión
Josephson. Para suprimir la corriente de efecto túnel a través de la unión, se aplica un campo magnético
paralelo a los electrodos (paralelo a la barrera del túnel). Los fotones de incidentes rompen los pares de
Cooper. Cambia la tasa de tunelización según la energía absorbida. La temperatura de funcionamiento
es del orden de cientos de milikelvins. Estos detectores pueden registrar fotones desde la región
infrarroja a la ultravioleta.

CANALES CUÁNTICOS
Fibras
Los canales más prometedores para QKD terrestre son indudablemente fibras ópticas monomodo.
Las atenuaciones más bajas de las fibras de telecomunicaciones estándar son a 1300 nm
(aproximadamente 0,35 dB / km) y a 1550 nm (aproximadamente 0,2 dB / km). Desafortunadamente,
para estas longitudes de onda no se pueden usar fotodetectores de semiconductores basados en silicio
estándar. En principio, es posible usar fibras especiales y trabajar alrededor de 800 nm, donde los
detectores eficientes están disponibles. Pero la atenuación de las fibras en estas longitudes de onda es
relativamente alta, aproximadamente 2 dB / km, y tales fibras no se utilizan en una infraestructura
existente. Por lo tanto, se presta atención a las fibras de telecomunicaciones estándar y existe un
esfuerzo para desarrollar detectores de bajo ruido y eficientes para longitudes de onda de 1300 nm y
1550 nm.
La distorsión de la polarización es un obstáculo crucial para el uso de cualquier tipo de polarización
que codifica la información. Por lo tanto, en los sistemas QKD basados en fibra se emplean
generalmente esquemas de codificación de fase. Sin embargo, incluso en tal caso, el estado de
polarización de salida debe estar bajo control. Afortunadamente, si la fibra es fija, las propiedades de
polarización son relativamente estables.

Espacio libre
La distribución cuántica de claves también se puede lograr a través del espacio libre. La ventaja de este
enfoque es que la atmósfera tiene una absorción muy baja alrededor de las longitudes de onda de 770
nm y 860 nm donde se pueden usar detectores de semiconductores de silicio relativamente eficientes y
de bajo ruido. Además, no se deben instalar cables ópticos. Además, la atmósfera no es birrefringente
en estas longitudes de onda y solo es débilmente dispersiva. La desventaja es que la comunicación en
espacio libre se puede usar solo en las distancias de línea de vista, ningún obstáculo puede ser entre las
partes que se comunican. También hay otros inconvenientes: el rendimiento depende en gran medida
del clima, la contaminación y otras condiciones atmosféricas. Existen grandes diferencias en la
atenuación para diferentes tipos de clima. Por ejemplo, para longitudes de onda cercanas a 860 nm, la
atenuación del aire limpio puede ser inferior a 0,2 dB / km, en el caso de lluvia moderada es de
aproximadamente 2 - 10 dB / km, y en niebla intensa puede exceder los 20 dB / km. Además, hasta
altitudes de aproximadamente 15-20 km hay considerables turbulencias atmosféricas. El problema
también es una influencia espuria de la luz de fondo, especialmente la luz del día. Otro problema es la
divergencia del haz. Debido a la difracción, el diámetro del haz se puede agrandar considerablemente
en grandes distancias. Este efecto puede causar pérdidas adicionales si solo una parte del haz es
capturada por el receptor.

Limitations
Existen dos obstáculos tecnológicos principales que inhiben la amplia distribución de la distribución de
claves cuánticas: el rango operativo limitado y las bajas velocidades de transmisión.
VELOCIDAD DE TRANSMISION
El factor clave que limita la velocidad de la clave bruta es el tiempo muerto del detector (es decir, el
tiempo de recuperación del detector). en el caso de los fotodiodos de avalancha (APD) inmediatamente
después del evento de detección, el detector no está listo para otra detección. En primer lugar, la
avalancha de portadores de carga debe apagarse. Sin embargo, también existe un problema con los
llamados postpulsos: clics del detector causados por transiciones espontáneas de trampas de vida larga
(niveles en una banda prohibida) pobladas por la avalancha anterior. Es necesario esperar hasta que los
portadores salgan de la región de detección (agotada). El tiempo muerto típico de APD es de
aproximadamente cien nanosegundos a un microsegundo.

LÍMITE EN LA DISTANCIA
La distancia máxima sobre la cual se puede establecer una QKD segura disminuye al aumentar las
pérdidas y aumentar el ruido del detector. La frecuencia de conteo oscuro del detector es constante
(para un detector y configuración determinados). Pero la tasa de tecla disminuye con el aumento de la
distancia debido a las pérdidas acumuladas. Por lo tanto, la cantidad relativa de bits erróneos provocada
por recuentos oscuros aumenta siempre que sea tan alta que no sea posible la QKD segura. Los
amplificadores estándar no se pueden usar ya que afectarían los estados de los fotones de una manera
similar a la escucha. La tecnología actual permite un funcionamiento seguro de hasta 100 km.

REPETIDORES CUÁNTICOS
El uso de pares enredados para QKD (ver Sección 3.6) ofrece una ventaja importante.
Permite extender el radio de comunicación segura a una distancia prácticamente arbitraria (al menos en
teoría). Esto puede ser alcanzado por los repetidores cuánticos (Dürur et al. [1999]). Pueden hacer
"corrección de errores distribuidos" sin revelar ninguna información sobre la clave. El canal de
comunicación está dividido en segmentos más cortos que contienen una fuente de pares enredados. En
los extremos de cada segmento se lleva a cabo una destilación del enredo (Bennett et al., [1996a]).
Produce un número menor de pares "muy reparados" altamente enredados de un número originalmente
mayor de pares dañados durante la transmisión. Los segmentos individuales están "conectados" por
medio de un método de intercambio de enredos (Bennett et al. [1993], Zukowski y otros [1993]).
Entonces, finalmente, Alice y Bob poseen pares muy enredados.

PROCEDIMIENTOS DE APOYO
ESTIMACIÓN DE FUGA DE INFORMACIÓN
Los dispositivos reales como polarizadores, fibras, detectores, etc. nunca son perfectos y silenciosos.
Por lo tanto, siempre tenemos que tolerar una cierta cantidad de errores. Sin embargo, no podemos
estar seguros de que estos errores no se deriven de la actividad de Eva (Eva podría, por ejemplo,
reemplazar alguna parte ruidosa del sistema por una mejor, menos ruidosa), así que debemos atribuir
todos los errores a Eva. Afortunadamente, a partir de la tasa de error observada, es posible estimar la
información filtrada a Eve y luego "acortar" la clave establecida de tal forma que la información de Eve
sobre la nueva clave más corta es arbitrariamente pequeña. Primero, Alice y Bob eligieron
aleatoriamente una cierta cantidad de bits transmitidos y los compararon públicamente para estimar la
tasa de error. Cuanto mayor es el número de bits comparados, mayor es la probabilidad de que la
probabilidad de error real no exceda el valor estimado. Suponiendo que el ataque más general
permitido por las leyes de la física cuántica uno puede encontrar el límite de la cantidad de
información, Eve podría obtener la clave, en función de la tasa de error causada por el ataque. Para el
ataque más simple de intercepción y reenvío descrito anteriormente (asumiendo escuchas no continuas)
Eve obtiene una información promedio por bit I = 21, donde 1 es la tasa de error de bit. Por supuesto,
este ataque no es óptimo. Los valores límite ("peores") de I (1) dependen tanto del protocolo como de
la implementación
CORRECCIÓN DE ERRORES PARA BIT STRINGS CLASICOS
Aquí describimos un procedimiento simple de corrección de errores propuesto por Bennett et al.
[1992a]. Alice y Bob primero acordaron una permutación aleatoria de las posiciones de los bits en sus
cadenas para aleatorizar la ubicación de los errores. A continuación, dividen las cadenas permutadas en
bloques de tamaño k, de modo que es poco probable que los bloques individuales contengan más de un
error (el tamaño de bloque es una función del índice de error de bit esperado). Para cada bloque, Alice
y Bob comparan la paridad del bloque. Los bloques con paridades coincidentes se aceptan
tentativamente como correctos. Si las paridades no concuerdan, el bloque se somete a una búsqueda
bisectiva, revelando paridades adicionales de subbloques, hasta que se encuentre y se corrija el error.

Seguridad
El objetivo de QKD es entregar claves secretas a los usuarios. Difiere de los esquemas clásicos de
distribución de claves, ya que en QKD realmente podemos probar la seguridad de la clave final bajo un
número muy limitado de suposiciones naturales. Estos incluyen, por ejemplo, que un espía no puede
tener acceso a los datos dentro de los dispositivos de Alice y Bob.
En una implementación experimental no se puede demostrar directamente la distribución segura de
claves cuánticas: la seguridad no se puede medir como tal. La seguridad es una declaración teórica y se
refiere a protocolos específicos para generar una clave secreta a partir de los datos que obtenemos en
un experimento. Estos protocolos dependen de parámetros observables, como la tasa de error, el
número medio de fotones de la fuente y la tasa de pérdida de las señales. Por lo tanto, en un
experimento, uno verifica los supuestos del modelo del análisis de seguridad teórico y demuestra que
uno puede operar el dispositivo de forma tal que los parámetros observados permitan la generación de
una clave secreta siguiendo el protocolo. Es importante que la conciencia de este punto aumente.
Todos los dispositivos que estamos utilizando serán imperfectos hasta cierto punto. Además, todos los
canales cuánticos muestran imperfecciones, por ejemplo en forma de una dispersión en modo de
polarización, desfase en los esquemas interferométricos y, predominantemente, pérdida (Gisin et al.
[2002]). Los protocolos básicos QKD prueban la presencia de un espía al buscar cambios en las señales
mecánicas cuánticas. Como resultado de las imperfecciones tenemos que enfrentar la situación de que
Alice y Bob terminan con datos que se desvían de los ideales. Por lo tanto, tendrían que cancelar QKD
en un protocolo simple idealizado que solo prueba la presencia de un espía: tenemos que asumir el peor
escenario de que la degradación de los datos no se deba a las imperfecciones del canal, sino que podría
provenir de un escuchador activo El espía podría correlacionarse con los datos de Alice y Bob, por lo
que podría tener cierta información sobre ellos. Además, en general, Alice y Bob ni siquiera comparten
una cadena de bits libre de errores.
Resulta que hay formas de crear una clave secreta a pesar de estas imperfecciones. Para esto, Alice y
Bob aplican algunos procedimientos de posprocesamiento comunicándose públicamente a través de un
canal autenticado clásico. Típicamente, estos procedimientos incluyen la corrección de errores y la
amplificación de la privacidad (ver la Sección 7).

ATAQUES EN PROTOCOLOS IDEALES

A partir de la teoría de las mediciones de la mecánica cuántica, sabemos que cualquier escucha se
puede considerar como una interacción entre una sonda y las señales. Eve puede medir la sonda para
obtener información sobre las señales. Distinguimos tres tipos principales de ataques de espionaje:
Ataque individual: en el ataque individual, Eve permite que cada señal interactúe con una sonda
separada. Eve realiza luego una medición en cada sonda por separado después de la interacción. Este
tipo de ataque es fácil de analizar ya que no introduce correlaciones entre las señales.
Ataque colectivo: el ataque colectivo comienza como el ataque individual, ya que cada señal
interactúa con su propia sonda independiente. En la etapa de medición, sin embargo, Eve puede realizar
mediciones que actúan en todas las sondas de forma coherente. Sabemos por la teoría de la estimación
cuántica que tal medición en algunos casos puede dar más información sobre las señales que la
medición individual. Para el análisis, es conveniente que también este ataque no introduzca
correlaciones entre las señales.
Ataque coherente: este es el ataque más general que un espía puede lanzar sobre las señales cuánticas
intercambiadas entre Alice y Bob. En realidad, uno puede asumir el peor de los casos que Eve tenga
acceso a todas las señales al mismo tiempo. Luego, la secuencia de señales se describe mediante un
estado cuántico de alta dimensión, en el cual Eva puede realizar una medición a través de una única
sonda. Este tipo de interacción puede introducir cualquier tipo de correlación, también entre señales
posteriores, como lo ven Alice y Bob.
Tenga en cuenta que Eve no necesariamente tiene que medir la sonda para extraer información sobre la
clave. La clave secreta se usará para encriptar un secreto, o se usará en una aplicación criptográfica
diferente, que también podría usar herramientas cuánticas. Así que Eve podría usar sus sondas del
protocolo QKD para atacar la aplicación criptográfica posterior. El problema de si podemos separar el
análisis de seguridad de los diferentes pasos se conoce como compibilidad. Esto ha sido abordado
recientemente por Ben-Or et al. [2004] que muestra que también en el caso cuántico la generación de
clave secreta a través de QKD puede separarse del uso de esta clave más adelante. Esto es
especialmente importante ya que parte de esta clave secreta se utilizará para autenticar el canal público
de intercambios posteriores de QKD.
En una imagen paranoica, asumimos que Eva puede explotar incluso estas imperfecciones. Ella podría
reducir o eliminar los recuentos oscuros mediante una secuencia de pulso adecuada insertada en la fibra
óptica que conduce a los detectores de Bob. Por un cambio de longitud de onda, ella podría aumentar la
eficiencia de detección. Claramente, se puede tomar una precaución contra cada intento individual
conocido, aunque será casi imposible enumerar exhaustivamente todos los posibles ataques. En una
imagen paranoica, estamos en un lado seguro incluso si Eva realmente pudiera hacer todas esas cosas.
En realidad, resulta que esta imagen paranoica es extremadamente útil para proporcionar pruebas de
seguridad reales. Por otro lado, podemos esperar protegernos contra las actividades de espionaje que
manipulan los detectores de Bob. En ese caso, la tasa de clave segura aumentará claramente. Sin
embargo, resulta que es técnicamente más difícil proporcionar pruebas de seguridad incondicionales en
este escenario.

SECURE KEY RATES FROM CLASSICAL THREE-PARTY CORRELATIONSSECURE KEY

RATES FROM CLASSICAL THREE-PARTY CORRELATIONS
Un protocolo práctico y típico de QKD consta de dos fases:

Fase I: una configuración física genera señales mecánicas cuánticas. Estos se distribuyen y luego se
miden. Como resultado, Alice y Bob tienen datos clásicos que describen su conocimiento sobre las
señales preparadas y los resultados de medición obtenidos.
Fase II: Alice y Bob usan su canal clásico autenticado para hablar sobre sus datos, por ejemplo, al
cribar sus datos, realizar la corrección de errores y la amplificación de la privacidad.

También en la teoría clásica de la información se está discutiendo la seguridad incondicional. Allí el

punto de partida son variables aleatorias distribuidas de forma idéntica e independiente con una
distribución de probabilidad para los datos de Alicia, Bob y Eva, P (A, B, E). Una vez que uno asume
correlaciones de un tipo dado, descrito por P (A, B, E), uno puede investigar si los protocolos públicos
de discusión pueden convertir estos datos en una clave secreta. Hay dos resultados principales en este
contexto. El primero se trata de un límite inferior en la tasa alcanzable. Esto ha sido dado por Csisz ar y
K ̈orner
Luego, la información mutua de Shannon entre dos partes que contienen las variables aleatorias A y B,
respectivamente, con una distribución de probabilidad conjunta p (a, b) viene dada por:
I(A; B) = H(A) + H(B) − H(A, B) .
Luego se da el límite inferior para la tasa máxima de seguridad, R
R ≥ max (I(A; B) − I(A; E), I(A; B) − I(B; E)) .

Sorprendentemente, encontramos que este límite inferior clásico también se cita y usa en un escenario
QKD, donde se realiza una optimización sobre ataques individuales para dar límites a la información de
Eve sobre los datos de Alice o Bob. Tenga en cuenta que el uso de la fórmula de Csisz ar y K ̈orner está
restringido al caso clásico de variables aleatorias distribuidas de forma independiente e idéntica. Esto
solo se puede justificar si restringimos a Eve a ataques individuales, que no son necesariamente
óptimos en comparación con ataques coherentes o colectivos. Además, debemos suponer que Eve ataca
todas las señales exactamente de la misma manera, y que ella mide las sondas de cada señal de
inmediato.
El segundo resultado importante en la situación tripartita clásica se debe a Maurer
(Maurer [1993], Maurer y Wolf [1999]). Este resultado da un límite superior en el
tasa de clave secreta extraíble para P (A, B, E). Se puede expresar en términos de
la información mutua condicional I (A; B | E), que se define como19
I(A; B|E) = H(A|E) + H(B|E) − H(A, B|E) .
La información intrínseca mide cuánto aprende Bob sobre los datos de Alice al ver sus propios datos
después de que Eve anunció sus datos (o una función de sus datos). El límite está dado por
R ≤ I(A; B ↓ E) .
Al evaluar los límites inferior y superior, se encuentra una gran brecha entre ellos. En realidad, no hay
protocolos conocidos para alcanzar la tasa del límite superior. El método de destilación de ventaja (ver
Sección 7.4) se conecta a la brecha (Maurer [1993]). Hay casos donde el límite inferior es inicialmente
cero, pero después de la aplicación de un paso de destilación de ventaja, el límite inferior para las
correlaciones nuevas, condicionales, es positivo.
NÚMEROS DE DISTRIBUCIÓN CUÁNTICA CLAVE
Hasta ahora hemos estado hablando sobre el escenario clásico. Allí tuvimos que asumir una forma
específica de la distribución de probabilidad conjunta P (A, B, E). En la mecánica cuántica podemos
deducir de las observaciones del lado de Alicia y Bob algo sobre las formas en que Eva podría estar
correlacionada con sus datos, por lo que estamos en una posición más sólida. Al mismo tiempo,
tenemos algunas complicaciones adicionales: Eve es libre de mantener sus sondas en un estado de
mecánica cuántica. No podemos obligarla a medir su sonda, reduciendo así su sonda a datos clásicos.
Entonces no podemos usar directamente la mecánica cuántica para considerar la clase de distribuciones
de probabilidad conjuntas P (A, B, E) que son compatibles con las observaciones para aplicar el
resultado de Csisz ar-K ̈orner. Aquí tenemos que encontrar nuevas líneas de argumentación para
proporcionar las declaraciones de seguridad, incluidos nuevos límites inferiores. Sin embargo, en un
punto los enunciados clásicos se pueden aplicar directamente: el resultado de Maurer en los límites
superiores de las tasas clave es válido para QKD.

PRUEBAS DE SEGURIDAD
Es hora de mostrar ideas sobre cómo construir protocolos en la Fase II que conviertan los datos
correlacionados observados en claves secretas. El requisito clave en la distribución de claves cuánticas
es que, al final de dicho protocolo, el sistema cuántico en la mano de Eva no esté correlacionado con la
salida del protocolo: la clave secreta.
El truco consiste en utilizar códigos clásicos de corrección de errores que codifican el mensaje original
como las denominadas palabras clave. El mensaje codificado se envía a través del canal ruidoso. El
efecto del ruido en las palabras de código se puede detectar y los errores se pueden corregir. Este
mecanismo funciona asintóticamente perfecto. Algo similar se puede hacer mediante el uso de códigos
de corrección de errores cuánticos (QECC); Calderbank y Shor [1996], Steane [1996]. De nuevo, la
idea básica es tomar los estados de las señales no ortogonales de la fuente, codificarlos en una
secuencia más larga de señales que se transmiten a través del canal, y luego decodificar los estados
originales de forma asintótica sin errores.
Basándose en esta idea, y utilizando los resultados anteriores de Mayers (Mayers [1996], Mayers
[2001]), Shor y Preskill [2000] mostraron que se puede adaptar la idea básica de los códigos de
corrección de errores cuánticos para que el protocolo cuántico se convierta en equivalente a el
protocolo estándar BB84 en el que Alice envía una secuencia aleatoria de señales y Bob las mide de
forma aleatoria. En ese caso, la operación de descodificación de la QECC se convierte en la clásica
corrección de errores y la amplificación de la privacidad y no se requieren capacidades de
manipulación cuántica.
Echemos un vistazo a este método con más detalle. Un QECC puede corregir los errores que introduce
el canal. La prueba de seguridad de Shor y Presal se basa en el QECC de Calderbank-Shor-Steane
(Calderbank y Shor [1996], Steane [1996]) que divide los errores en errores de bit y fase. Es decir, sin
pérdida de generalidad, el canal aplica a cada señal qubit ya sea un operador de error, el σx o el σz, o
aplica el operador de identidad. Uno codifica los qubits de señal en palabras de código cuánticas, p. en
un mayor número de qubits, que luego se envían a través del canal. Siempre que el número de qubits
afectados por los operadores de error sea suficientemente bajo, la acción del canal puede revertirse,
gracias a la estructura adicional proporcionada por las palabras de código. La reversión de σx
corresponde a la corrección de error de bit clásico. Los errores provenientes de σz no serán corregidos,
ya que solo estamos interesados en los valores de bit de las señales cuánticas originales. En cambio,
uno elige la estructura de QECC de modo que, en principio, uno podría haber corregido los errores en
el dominio cuántico. Esto ocurre al incluir redundancia en las señales. Sacar esta redundancia es
exactamente lo que sucede en el procedimiento de amplificación de privacidad.
Observamos que un paso esencial es estimar el número de errores de fase y de bit, ya que la seguridad
depende del hecho de que uno podría, en principio, corregir estos errores. Por lo tanto, de hecho, es una
tarea esencial estimar el número de errores a partir de los datos observables.
Pasemos al siguiente principio para las pruebas de seguridad. El principio que explota el método QECC
utiliza de manera efectiva solo la comunicación unidireccional. Esta idea se puede extender a la
comunicación bidireccional, que resulta tolerar niveles de ruido más altos en el canal. Hasta ahora,
hemos estado usando la idea de que es suficiente crear un canal perfecto efectivo entre Alice y Bob
para garantizar que Eva se desacople de Alice y Bob. Otra forma de lograr este objetivo es establecer
estados entrelazados al máximo entre Alice y Bob. Una vez que Alice y Bob verifiquen esta propiedad,
pueden estar seguros de que Eve está desacoplada de sus estados bipartitas.
En la QKD práctica es importante encontrar los protocolos de destilación de enredos que se pueden
traducir de nuevo en el post-procesamiento clásico de datos. Un ejemplo de esto es el protocolo y la
prueba de seguridad basados en el protocolo BB84 de Gottesman y Lo [2003] y Chau [2002].

ATAQUES ESPECÍFICOS
Entendemos que bajo el ataque de intercepción y reenvío cualquier ataque en el que Eve realice una
medición completa de las señales que envía Alice.
Ataque de discriminación de estado inequívoco
Pasemos a un ataque que es un caso especial de un ataque de intercepción y reenvío. Se aplica siempre
que los estados de señal enviados por Alicia sean linealmente independientes. En este caso, Eve puede
medir las señales con una medición inequívoca de discriminación de estado (USD) para que con cierta
probabilidad aprenda, sin error, la señal exacta, mientras que en los casos restantes se queda sin
información sobre los estados de señal (Dusek et al. [2000]). Ella ahora puede continuar selectivamente
su ataque. Por ejemplo, podría enviar una nueva señal a Bob solo en los casos en que conozca la señal
con certeza, mientras que ella podría enviar ninguna señal en absoluto (lo que corresponde al envío del
estado de vacío) en los casos restantes. Con esta estrategia, ella es capaz de imitar un canal con
pérdidas. Como resultado, los datos obtenidos por Alice y Bob no muestran ningún rastro obvio de
escuchas cuando Bob obtiene una señal. A pesar de esta ausencia de perturbación visible del grado de
libertad de la señal, no se puede crear ninguna clave segura. Un protocolo típico para el que surge este
problema es la variación del protocolo B92 (Bennett [1992b]) que utiliza fotones individuales en
estados de polarización no ortogonales junto con detecciones de fotones individuales (véase la Sección
3.1). Este protocolo se vuelve inseguro una vez que la transmisividad del canal desciende por debajo de
un umbral que depende de la no ortogonalidad de los estados de la señal. El umbral se define como la
transmisividad donde la probabilidad de éxito de la medición USD es igual a la probabilidad de
detección de Bob a través del canal con pérdida. En nuestro ejemplo, la probabilidad de éxito de la
medición en USD se da como Psucc USD = 1 - | & φ0 | $1 $ | y Bob obtiene la fracción η de señales,
donde η es la transmisividad del canal. Luego, encontramos para el umbral de la transmisividad la
expresión (Tamaki et al. [2003a])

En el límite, usan básicamente solo una base y prueban solo una pequeña cantidad de señales en la otra
base. Aunque esto requiere un tamaño de muestra más grande, no obstante, podemos deshacernos del
factor 1/2 en las fórmulas de velocidad.
Este resultado se sostiene contra el ataque más general de Eva, el ataque coherente donde Eva puede
retrasar sus mediciones. Además, permite dar tasas de claves secretas razonables en la imagen
paranoica donde todas las imperfecciones de detección de Bob (recuentos oscuros, eficacia de
detección) se atribuyen a Eve.