Ква́нтовая криптогра́фия, объединяет методы защиты данных, в которых используются законы квантовой механики. Центральной задачей квантовой криптографии является распределение секретных ключей между удалёнными, т. н. легитимными пользователями – передающей и принимающей секретные данные сторонами.

В квантовой криптографии противник (перехватчик, целью которого является несанкционированный доступ к передаваемым данным) ставится перед задачей получения информации из квантовых состояний, которая не может быть полностью решена из-за фундаментальных ограничений квантовой механики, таких как запрет на клонирование состояний и граница Холево информации, извлекаемой из квантовых состояний при измерении (см. Квантовая теория информации). Таким образом, в квантовой криптографии секретность ключа в общем случае не сводится к предположениям о вычислительных или технологических возможностях противника, а гарантируется фундаментальными законами природы.

Один из фундаментальных запретов квантовой механики выражается через принцип неопределённости Гейзенберга, который утверждает, что нельзя достоверно измерить координату и импульс произвольной элементарной частицы. Этот принцип справедлив не только для пары «координата – импульс», но и для других пар наблюдаемых величин: «энергия – время», «фаза – интенсивность», различных компонентов спина или поляризации частицы.

В первом и наиболее известном протоколе квантовой криптографии BB84, предложенном Ч. Беннеттом и Ж. Брассаром в 1984 г., этот запрет используется так: пусть отправитель кодирует бит либо с помощью вертикально-горизонтальной, либо с помощью диагональной поляризации, выбирая один из этих двух способов кодировки случайным образом. В этом случае противник, не знающий способ кодировки, не может получить полную информацию о передаваемом сигнале ни при каком измерении. А любое взаимодействие противника с состоянием приводит к возмущению состояния, и попытка перехвата детектируется легитимными пользователями по ошибкам на принимающей стороне. В то же время легитимный получатель сообщения может случайным образом выбирать измерение, соответствующее двум способам кодирования, и приблизительно в половине посылок получать верный результат. После этого путём переговоров по открытому каналу легитимные пользователи отбрасывают часть посылок, где их кодировки не совпали, затем они оценивают ошибку и решают, следует ли им продолжать выполнение протокола. Замечательно, однако, то, что даже при наличии ошибки в канале бывает возможно извлечение полностью секретного ключа после процедуры коррекции ошибок и усиления секретности. Последняя означает, что легитимные пользователи сжимают свой ключ, чтобы информация противника о финальном ключе была сколь угодно малой.

Таким образом, квантовая криптография требует наличия между легитимными пользователями квантового канала, способного передавать квантовые состояния с удовлетворительным возмущением, и классического аутентичного канала, который используется для общения легитимных пользователей. Для обеспечения аутентичности используется предраспределённый секретный ключ, необходимый для аутентификации. Современные протоколы квантовой криптографии ставят своей целью распределение секретных ключей с учётом практических ограничений легитимных пользователей: линии связи с затуханием, использования ослабленного лазерного излучения вместо строго однофотонных посылок, несовершенства аппаратуры, а кроме того, в ряде случаев, целенаправленного урона, наносимого противником аппаратуре, или ситуации, когда противник является поставщиком оборудования. Целью разработки протоколов является наиболее высокая скорость генерации секретного ключа при данной длине линии связи. При этом выбор протокола и его параметров может существенно зависеть от целевого расстояния между легитимными пользователями.

Отдельного внимания заслуживает несовершенство аппаратуры. В зависимости от модели, легитимные пользователи могут доверять или не доверять тем или иным устройствам. Замечательно, что даже при недоверии пользователей к оборудованию возможно распределение секретного ключа. В зависимости от уровня доверия к оборудованию выделяют классы независимой от аппаратуры квантовой криптографии (DI-QKD), независимой от измерительного оборудования (MDI-QKD) и традиционной квантовой криптографии, в которой подразумевается доверие ко всему оборудованию, находящемуся на стороне легитимных пользователей (DD-QKD).

См. также Криптография, B92, 4+2, DPS, EPR, Ло-Чу.