BB84, исторически первый протокол квантовой криптографии, предложен в 1984 г. Ч. Беннеттом и Ж. Брассаром [Bennett. 1984]. Кодирование передаваемой информации осуществляется при помощи четырёх состояний кубитной системы, разделённых на два ортогональных и сопряжённых друг другу базиса. Для данного протокола известно несколько доказательств секретности [A Proof of the Security of Quantum Key Distribution. 2006 ; Mayers. 2001 ; Bennett. 1984]. Предельная величина ошибки при передаче сигналов, при которой возможно получение секретного ключа, равна 11 % [Bennett. 1984].

Передаваемые состояния $\ket{\psi_{bk}}$ задаются двумя параметрами – $b$ и $k,$ где $b$ обозначает номер базиса, а $k$ – номер базисного элемента в базисе. При этом

$$\ket{\psi_{00}} = \ket{0},\qquad\ket{\psi_{01}} = \ket{1},$$$$\ket{\psi_{10}} = \ket{+} = \frac{1}{\sqrt2}\left(\ket{0}+\ket{1}\right),\qquad\ket{\psi_{11}} = \ket{-}=\frac{1}{\sqrt2}\left(\ket{0}-\ket{1}\right).$$Работа протокола делится на этап передачи сигналов между легитимными пользователями, называемыми Алисой и Бобом, и этап согласования результатов.

На этапе передачи сигналов Алиса отсылает случайным образом выбранные состояния $\ket{\psi_{bk}}$ Бобу. Боб же на своей стороне производит измерение приходящих сигналов в случайно выбранном базисе. Таким образом, при посылке каждого сигнала осуществляются следующие действия:

Алиса случайным образом генерирует 2 числа $b,\ k\ \in\{0,\ 1\}$ и отсылает Бобу состояние $\ket{\psi_{bk}}.$

Боб случайным образом генерирует число $b'\in\{0,\ 1\}.$ Затем производит измерение полученного состояния $\ket{\psi_{bk}}:$

• в базисе $\{\ket{0},\ \ket{1}\},$ если $b'=0,$

• в базисе $\{\ket{+},\ \ket{-}\},$ если $b'=1.$

На этапе согласования Алиса по открытому каналу объявляет весь набор базисов $b,$ используемых ею при посылке. Боб сравнивает полученные значения $b$ со значениями $b'$ и также по открытому каналу сообщает Алисе все посылки, для которых $b'=b.$ Соответствующие значения $k$ формируют ключ.

Шум в канале связи между Алисой и Бобом, а также действия Евы (перехватчика), вообще говоря, приводят к ошибкам в генерации ключа, т. е. полученные в результате работы протокола строки Алисы и Боба будут отличаться в некотором количестве позиций.

Для того чтобы Алиса и Боб получили идентичные битовые строки, они должны воспользоваться классическими кодами и процедурой исправления ошибок. Пусть в результате измерений Алиса получила строку $x,$ а Боб – строку $x+\varepsilon.$ При этом они используют код $C$. Алиса случайным образом выбирает из него строку $w$ и сообщает Бобу значение $x+w$ (здесь подразумевается побитовая сумма). Боб складывает эту строку со своей $x+\varepsilon$ и получает – $w-\varepsilon.$ Процедура коррекции в случае, если $|\varepsilon|$ меньше определённого порога, даст ему строку $w.$ В итоге протокол обеспечивает генерацию у Алисы и Боба идентичных случайных строк.

Для того чтобы оценить величину ошибки, Алиса и Боб могут использовать часть посылок в качестве контрольных. При этом легитимные пользователи полагают, что вся ошибка вызвана деятельностью перехватчика. Это позволяет оценить верхнюю границу величины доступной Еве информации о ключе. Если эта величина оказывается меньшей, чем величина взаимной информации между Алисой и Бобом, то возможно успешно провести процедуру усиления секретности, при которой путём уменьшения длины финального ключа (с помощью хеш-функций из универсального семейства), достигается абсолютная неопределённость Евы относительно финального ключа.

Таким образом, работа протокола, кроме этапов передачи и согласования, будет в себя также включать этапы исправления ошибок и усиления секретности. Пороговая величина ошибки $q,$ при которой возможна работа протокола, определяется неравенством $$1 - 2h(q)\geq 0,$$ где $h(q)=-q\log_2(q)-(1-q)\log_2(1-q).$ Решение этого неравенства есть $q=11\,\%.$ При этом, $1-h(q)$ есть величина взаимной информации Алисы и Боба, а $h(q)$ – взаимная информация Алисы и Евы.