正如潘建伟团队目前应邀为国际物理学权威综述期刊《现代物理评论》所撰写的关于量子通信现实安全性的论文中所指出的那样,过去二十年间,国际学术界在现实条件下量子保密通信的安全性上做了大量的研究工作,信息论可证的安全性已经建立起来。王向斌、马雄峰(清华大学)、徐飞虎、张强和潘建伟(中国科学技术大学)等五位量子保密通信领域的科学家共同撰文,为了公众渴望了解量子保密通信现实安全性真实情况的需要,对其做如下介绍。
关于量子保密通信现实安全性的讨论
王向斌1 马雄峰1 徐飞虎2 张强2 潘建伟2
(1.清华大学 2.中国科学院量子信息与量子科技创新研究院,中国科学技术大学)
近来,某微信公众号发表了一篇题为“量子加密惊现破绽”的文章,宣称“现有量子加密技术可能隐藏着极为重大的缺陷”。其实该文章最初来源于美国《麻省理工科技评论》的一篇题为“有一种打破量子加密的新方法”的报道,该报道援引了上海交通大学金贤敏研究组的一篇尚未正式发表的工作。
此文在微信号发布后,国内很多关心量子保密通信发展的领导和同事都纷纷转来此文询问我们的看法。事实上,我们以往也多次收到量子保密通信安全性的类似询问,但一直未做出答复。这是因为学术界有一个通行的原则:只对经过同行评审并公开发表的学术论文进行评价。但鉴于这篇文章流传较广,引起了公众的关注,为了澄清其中的科学问题,特别是为了让公众能进一步了解量子通信,我们特撰写此文,介绍目前量子信息领域关于量子保密通信现实安全性的学界结论和共识。
现有实际量子密码(量子密钥分发)系统主要采用BB84协议,由Bennett和Brassard于1984年提出[1] 。与经典密码体制不同,量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路,量子密钥分发技术也能让空间分离的用户共享安全的密钥。学界将这种安全性称之为“无条件安全”或者“绝对安全”,它指的是有严格数学证明的安全性。20世纪90年代后期至2000年,安全性证明获得突破,BB84协议的严格安全性证明被 Mayers, Lo, Shor-Preskill等人完成[2-4]。
后来,量子密钥分发逐步走向实用化研究,出现了一些威胁安全的攻击[5, 6],这并不表示上述安全性证明有问题,而是因为实际量子密钥分发系统中的器件并不完全符合上述(理想)BB84协议的数学模型。归纳起来,针对器件不完美的攻击一共有两大类,即针对发射端--光源的攻击和针对接收端--探测器的攻击。
“量子机密惊现破绽”一文援引的实验工作就属于对光源的木马攻击。这类攻击早在二十年前就已经被提出[5],而且其解决方案就正如文章作者宣称的一样[7],加入光隔离器这一标准的光通信器件就可以了。该工作的新颖之处在于,找到了此前其他攻击没有提到的控制光源频率的一种新方案,但其对量子密码的安全性威胁与之前的同类攻击没有区别。尽管该工作可以为量子保密通信的现实安全性研究提供一种新的思路,但不会对现有的量子保密通信系统构成任何威胁。其实,自2000年初开始,科研类和商用类量子加密系统都会引入光隔离器这一标准器件。举例来说,现有的商用诱骗态BB84商用系统中总的隔离度一般为100dB,按照文章中的攻击方案,需要使用约1000瓦的激光反向注入。如此高能量的激光,无论是经典光通信还是量子通信器件都将被破坏,这就相当于直接用激光武器来摧毁通信系统,已经完全不属于通信安全的范畴了。
而对光源最具威胁而难以克服的攻击是“光子数分离攻击”[6]。严格执行BB84协议需要理想的单光子源。然而,适用于量子密钥分发的理想单光子源至今仍不存在,实际应用中是用弱相干态光源来替代。虽然弱相干光源大多数情况下发射的是单光子,但仍然存在一定的概率,每次会发射两个甚至多个相同量子态的光子。这时窃听者原理上就可以拿走其中一个光子来获取密钥信息而不被察觉。光子数分离攻击的威胁性在于,不同于木马攻击,这种攻击方法无需窃听者攻入实验室内部,原则上可以在实验室外部通道链路的任何地方实施。若不采用新的理论方法,用户将不得不监控整个通道链路以防止攻击,这将使量子密钥分发失去其“保障通信链路安全”这一最大的优势。事实上,在这个问题被解决之前,国际上许多知名量子通信实验小组甚至不开展量子密钥分发实验。2002年,韩国学者黄元瑛在理论上提出了以诱骗脉冲克服光子数分离攻击的方法[8];2004年,多伦多大学的罗开广、马雄峰等对实用诱骗态协议开展了有益的研究,但未解决实用条件下成码率紧致的下界[9];2004年,华人学者王向斌在《物理评论快报》上提出了可以有效工作于实际系统的诱骗态量子密钥分发协议,解决了现实条件下光子数分离攻击的问题[10];在同期的《物理评论快报》上,罗开广、马雄峰、陈凯等分析了诱骗态方法并给出严格的安全性证明[11]。在这些学者的共同努力下,光子数分离攻击问题在原理上得以解决,即使利用非理想单光子源,同样可以获得与理想单光子源相当的安全性。2006年,中国科技大学潘建伟等组成的联合团队以及美国Los-Alamos国家实验室-NIST联合实验组同时利用诱骗态方案,在实验上将光纤量子通信的安全距离首次突破100 km,解决了光源不完美带来的安全隐患[12-14]。后来,中国科技大学等单位的科研团队甚至把距离拓展到200 km以上。
第二类可能存在的安全隐患集中在终端上。终端攻击,本质上并非量子保密通信特有的安全性问题。如同所有经典密码体制一样,用户需要对终端设备进行有效管理和监控。量子密钥分发中对终端的攻击,主要是指探测器攻击,假定窃听者能控制实验室内部探测器效率。代表性的具体攻击办法是,如同Lydersen等[15] 的实验那样,输入强光将探测器“致盲”,即改变探测器的工作状态,使得探测器只对他想要探测到的状态有响应,或者完全控制每台探测器的瞬时效率,从而完全掌握密钥而不被察觉。当然,针对这个攻击,可以采用监控方法防止。因为窃听者需要改变实验室内部探测器属性,用户在这里的监控范围只限于实验室内部的探测器,而无需监控整个通道链路。
尽管如此,人们还是会担心由于探测器缺陷而引发更深层的安全性问题,例如如何完全确保监控成功,如何确保使用进口探测器的安全性等。2012年,罗开广等[16] 提出了“测量器件无关的(MDI)”量子密钥分发方案,可以抵御任何针对探测器的攻击,彻底解决了探测器攻击问题。另外,该方法本身也建议结合诱骗态方法,使得量子密钥分发在既不使用理想单光子源又不使用理想探测器的情况下,其安全性与使用了理想器件相当。2013年,潘建伟团队首次实现了结合诱骗态方法的MDI量子密钥分发,后又实现了200 km量子MDI量子密钥分发[17, 18]。至此,主要任务就变成了如何获得有实际意义的成码率。为此,清华大学王向斌小组提出了4强度优化理论方法,大幅提高了MDI方法的实际工作效率[19]。采用此方法,中国科学家联合团队将MDI量子密钥分发的距离突破至404 km [20],并将成码率提高两个数量级,大大推动了MDI量子密钥分发的实用化。
总之,虽然现实中量子通信器件并不严格满足理想条件的要求,但是在理论和实验科学家的共同努力之下,量子保密通信的现实安全性正在逼近理想系统。目前学术界普遍认为测量器件无关的量子密钥分发技术,加上自主设计和充分标定的光源可以抵御所有的现实攻击[21, 22]。此外,还有一类协议无需标定光源和探测器,只要能够无漏洞地破坏Bell不等式,即可保证其安全性,这类协议称作“器件无关量子密钥分发协议”[23]。由于该协议对实验系统的要求极为苛刻,目前还没有完整的实验验证,近些年的主要进展集中在理论工作上。由于器件无关量子密钥分发协议并不能带来比BB84协议在原理上更优的安全性,加之实现难度更大,在学术界普遍认为这类协议的实用价值不高。
综上所述,正如我们目前应邀为国际物理学权威综述期刊《现代物理评论》所撰写的关于量子通信现实安全性的论文中所指出的那样[24],过去二十年间,国际学术界在现实条件下量子保密通信的安全性上做了大量的研究工作,信息论可证的安全性已经建立起来。中国科学家在这一领域取得了巨大成就,在实用化量子保密通信的研究和应用上创造了多个世界记录,无可争议地处于国际领先地位[25]。令人遗憾的是,某些自媒体在并不具备相关专业知识的情况下,炒作出一个吸引眼球的题目对公众带来误解,对我国的科学研究和自主创新实在是有百害而无一利。
鉴于量子保密通信信息论可证的安全性已经成为国际量子信息领域的学界共识,此后,除非出现颠覆性的科学理论,我们将不再对此类问题专门回复和评论。当然,对量子通信感兴趣的读者,可参阅我们撰写的《量子通信问与答》了解更多的情况[26]。
参考文献:
[1]. C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, in Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), pp. 175–179.
[2]. H.-K. Lo, H.-F. Chau, Unconditional security of quantum key distribution over arbitrarily long distances, Science 283, 2050(1999).
[3]. P. W. Shor, J. Preskill, Simple proof of security of the BB84 quantum key distribution protocol, Physical review letters 85, 441 (2000).
[4]. D. Mayers, Unconditional security in quantum cryptography, Journal of the ACM (JACM) 48, 351 (2001).
[5]. A. Vakhitov, V. Makarov, D. R. Hjelme, Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography, J. Mod. Opt. 48, 2023 (2001).
[6]. G. Brassard etal., Limitations on practical quantum cryptography, Physical Review Letters 85, 1330 (2000).
[7]. 庞晓玲,金贤敏,[声明]攻击是为了让量子密码更加安全,墨子沙龙,2019年3月13日.
[8]. W.-Y. Hwang, Quantumkey distribution with high loss: toward global secure communication, Physical Review Letters 91, 057901 (2003).
[9]. X. Ma, Security of Quantum Key Distribution with Realistic Devices, Master Report, University of Toronto, June (2004).
[10]. X.-B. Wang, Beating the photon-number-splitting attack in practical quantum cryptography, Physical Review Letters 94, 230503 (2005).
[11]. H.-K. Lo, X. Ma, K. Chen, Decoy state quantum key distribution, Physical Review Letters 94, 230504 (2005).
[12]. C.-Z. Peng et al., Experimental long-distancedecoy-state quantum key distribution based on polarization encoding, Physical Review Letters 98, 010505 (2007).
[13]. D. Rosenberg, et al., Long-distance decoy-statequantum key distribution in optical fiber, Physical Review Letters 98, 010503 (2007).
[14]. T. Schmitt-Manderbach et al., Experimental demonstration of free-space decoy-state quantum key distribution over 144 km, Physical Review Letters 98, 010504 (2007).
[15]. L. Lydersen et al., Hacking commercial quantum cryptography systems by tailored bright illumination, Nature Photonics 4, 686 (2010).
[16]. H.-K. Lo, M. Curty, B. Qi, Measurement-device-independent quantum key distribution, Physical Review Letters 108, 130503 (2012).
[17]. Y. Liu et al.,Experimental measurement-device-independentquantum key distribution, Physical Review Letters 111, 130502 (2013).
[18]. Y.-L. Tang et al., Measurement-device-independent quantum key distribution over 200 km. Physical Review Letters 113, 190501 (2014).
[19]. Y.-H. Zhou, Z.-W. Yu, X.-B. Wang, Making the decoy-state measurement-device-independent quantum key distribution practically useful, Physical Review A 93, 042324 (2016).
[20]. H.-L. Yin, etal., Measurement-device-independent quantum key distribution over a 404 km optical fiber, Physical Review Letters 117, 190501 (2016).
[21]. H.-K. Lo, M. Curty, and K. Tamaki, Secure quantum key distribution, Nature Photonics 8, 595 (2014).
[22]. Q. Zhang, F. Xu, Y.-A. Chen, C.-Z. Peng, J.-W. Pan, Large scale quantum key distribution: challenges and solutions, Opt.Express 26, 24260 (2018).
[23]. D. Mayers, A. C.-C. Yao, Quantum Cryptography with Imperfect Apparatus, in Proceedings of the 39th Annual Symposium on Foundations of Computer Science (FOCS’98), p. 503(1998); A. Acín et al., Device-Independent Security of Quantum Cryptography against Collective Attacks, Physical Review Letters 98,230501 (2007).
[24]. F. Xu, X. Ma, Q. Zhang, H.-K. Lo, J.-W. Pan, Quantum cryptography with realistic devices, in preparation for Review of Modern Physics (invited in 2018).
[25]. 王向斌,量子通信的前沿、理论与实践,《中国工程科学》,第20卷第6期,087-092页 (2018).
[26]. 量子通信的问与答, 墨子沙龙,2018年11月14日.
相关阅读
别慌,找出漏洞会让量子加密更安全
攻击是为了让量子密码更加安全
作者|庞晓玲,金贤敏(上海交通大学)
日前,网上一篇题为《量子加密惊现破绽》的文章,报道了近期上海交大金贤敏教授团队关于量子密码攻防技术方面的研究工作。针对该文章中诸多错误之处,金贤敏教授专门撰文加以澄清。金贤敏教授表示,该工作并非否定量子密钥分发的安全性,恰恰相反,只要在源端增加更高对比度光隔离器就可以解决此漏洞,从而保证量子密钥分发的安全性。声明全文如下:
我们注意到麻省理工科技评论(MIT Technology Review)对我们近期完成的量子密码攻防研究工作进行了报道,相关消息的中英文版本都得到了广泛关注。我们感谢麻省理工科技评论对该项研究的关注,与此同时,也发现报道中有一些不够准确和深入的部分。为了避免读者产生误解,我们在此做简要澄清。
量子密钥分发(QKD)通过利用量子力学本质的态叠加和不可克隆原理,结合已被Claude Shannon严格证明的一次一密加密算法,理论上可以保证加密通信的绝对安全。然而在实际系统中,由于器件的一些不完美性,系统中仍然有可能存在能够被攻击的物理漏洞。实际上,十多年来,针对量子密钥分发物理漏洞的攻击方案陆续被提出,而提出漏洞的动机是为了构建更安全的通信系统。这是一个漫长的过程,最终目的是构建无论在原理上还是在实际复杂系统条件下都绝对安全的量子通信系统。
量子密钥分发实际系统的物理漏洞主要来源于源端和探测端。针对探测端物理漏洞的攻击方案很多,比如时移、时间信息、探测器死时间和探测器控制等。直到近来,测量设备无关的量子密钥分发协议(MDI-QKD)从原理上关闭了所有探测端漏洞,因此这一协议在实际系统中得到广泛使用。源端的漏洞主要是弱相干激光不是完美的单光子,单个脉冲中有多个光子的概率不可忽略,而这会导致通过光子数分离攻击(PNS)方案可以窃取部分信息。值得庆幸的是,之后提出的诱骗态协议通过调制不同强度的光,结合探测端的光子统计检测,又很好地关闭了这一漏洞。
在我们近期这个工作中,我们提出了一种新的源端攻击方案:用一束强光反向打入量子密钥分发的光源,通过对光源进行注入锁定去控制和移动发射光的波长,再通过带通滤波进行波长选择,这样,只有与攻击者的激光波长一致的信号光可以通过信道,最后攻击者可以将信号光波长移动回原波长,确保攻击不被发现。这种激光注入锁定的现象早在20世纪60年代就已经被观察到,技术很成熟,所以这一源端漏洞对于实际量子密钥分发系统具有潜在威胁。然而,正如我们公开在预印本arXiv上文章中已经深入讨论了的,我们通过进一步理论分析和实验设计,证明了针对这一漏洞的窃听方案可以通过在源端(我们的实验系统已经内置了30dB隔离度)增加更高对比度光隔离器来解决,从而保证量子密钥分发的安全性。
总而言之,我们的文章理论上提出了一种针对量子密钥分发实际系统源端物理漏洞的攻击方案,并通过实验数据验证可行。我们的工作提醒并强调,为了更高的安全性,实际量子密钥分发系统中源端的高对比度的光隔离不仅不可或缺,而且要非常大。目前的实际系统中,有的光源已经采取了高对比度的光隔离,但有的光源还没有。我们的工作并不否认量子密钥分发理论上的绝对安全性,相反正因为量子加密提供了理论上的绝对安全,使得人类追寻了几千年的绝对安全通信几近最终实现。而我们不断的针对实际系统的物理安全漏洞问题的研究正是为了这个绝对安全性变得更加可靠。攻击,是为了让量子密码更加安全、无懈可击。