Engelsk: Quantum Key Expansion, a.k.a. QKE.
Også kjent som Quantum Key Distribution, eller QKD, men dette er en misnomer da kanalene virkelig trenger å være autentiserte *først*. Hvis man ønsker informasjonsteoretisk sikkerhet, må man da bruke unconditionally-secure [[Message Authentication Codes]] til å autentisere kanalen, noe som så klart krever at man utveksler autentiseringsnøkler *først*. Hence, nøkkelut*videlse*.
### BB84
Den opprinnelige protokollen, publisert av Charles Bennett og Gilles Brassard i 1984 (derav navnet). Protokollen er interaktiv, og krever tre meldinger—én kvantemelding, og to klassiske:
1. Først sender Alice en rekke [[Kvantebit]]er over til Bob, tilfeldig forberedt i én av basistilstandene av enten standardbasen ($\{|0\rangle,|1\rangle\}$) eller Hadamardbasen ($\{|+\rangle,|-\rangle\}$).
2. Deretter måler Bob qubitsene i et tilfeldig valg av base (standard eller Hadamard), og sender Alice en klassisk melding om hvilken base han valgte per kvantebit.
3. Til slutt svarer Alice med en melding som forteller hvilke kvantebiter Bob gjettet rett base på, og hvilke han bommet på—disse forkastes.
Hvis protokollen feiler, det vil si den fullfører som planlagt, men nøkkelen partene ender opp med likevel ikke er delt (oppdaget for eksempel ved at dekryptering feiler), må noen av kvantebitene ha [[Sammenfiltring|sammenfiltret]] med noe—eller noen—på veien ... for eksempel Eva!
### Skepsis
Utdrag fra mail sendt fra meg til Jeroen Danon [[12024-01-11]]:
> I think the consensus among cryptographers can be summarized as: “Neat theoretical protocol to illustrate that entanglement can be used to achieve classically-impossible goals—but steer clear of anyone trying to sell you QKD.” (... to the degree that we view QKD scammers as a real problem. Post quantum cryptography already solves the problem fine, and without the heavy machinery and sketchy real-world security claims.)
### [[Minicrypt]]-relevans
På den annen side, dersom vi lever i [[Algorithmica]]/[[Heuristica]], så *ville* QKE vært nyttig, over kanaler autentisert med informasjonsteoretisk sikre [[Message Authentication Codes]]. Ditto [[Minicrypt]], dog her slipper vi å bruke informasjonsteoretisk kryptering og autentisering. Kanskje man kunne argumentert for at man jobbet med dette ved å si at man vil ha løsningen klar *bare i tilfelle* vi lever i én av disse verdenene? (Ville fortsatt ikke unnskyldt at man prøver å selge dette som millionprosjekter til banker da.)
### Two-message QKE
[EPRINT:MalWal23 - Robust Quantum Public-Key Encryption with Applications to Quantum Key Distribution](https://eprint.iacr.org/2023/500) presenterer en QKE-protokoll som, via et "Quantum PKE"-primitiv (og antatt autentiserte kanaler), etablerer informasjonsteoretisk sikre nøkler mellom Alice og Bob, gitt at quantum-secure one-way functions forblir sikre *under etableringen av nøkkelen*. Med andre ord kan, så vidt jeg forstår, en motstander ikke knekke krypografien *etter* at protokollen har fullført, slik at å reversere énveisfunksjonen på et senere tidspunkt er til liten hjelp.
De gir også en ny konstruksjon av QPKE som (hvis jeg forstår rett) tillater dem å instantiere protokollen.
Resultatet ble presentert på [[QIP'24]].[^1]
To-do: Finn ut hva de mener med [[Kvante-offentlig-nøkkel-kryptering]].
[^1]: Det står på eprint "Published elsewhere - QIP 2024", men jeg trodde ikke QIP var en publiseringsvenue? Har jeg gått glipp av noe? Har de skiftet modell? (Ser ikke sånn ut.)