潘建偉等撰文討論關於量子保密通信現實安全性

　　來源：墨子沙龍微信公眾號

　　正如潘建偉團隊目前應邀為國際物理學權威綜述期刊《現代物理評論》所撰寫的關於量子通信現實安全性的論文中所指出的那樣，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，資訊理論可證的安全性已經建立起來。王向斌、馬雄峰（清華大學）、徐飛虎、張強和潘建偉（中國科學技術大學）等五位量子保密通信領域的科學家共同撰文，為了公眾渴望了解量子保密通信現實安全性真實情況的需要，對其做如下介紹。

　　關於量子保密通信現實安全性的討論

　　王向斌1 馬雄峰1 徐飛虎2 張強2 潘建偉2

　　（1.清華大學   2.中國科學院量子信息與量子科技創新研究院，中國科學技術大學）

　　近來，某微信公眾號發表了一篇題為「量子加密驚現破綻」的文章，宣稱「現有量子加密技術可能隱藏著極為重大的缺陷」。其實該文章最初來源於美國《麻省理工科技評論》的一篇題為「有一種打破量子加密的新方法」的報道，該報道援引了上海交通大學金賢敏研究組的一篇尚未正式發表的工作。

　　此文在微信號發布後，國內很多關心量子保密通信發展的領導和同事都紛紛轉來此文詢問我們的看法。事實上，我們以往也多次收到量子保密通信安全性的類似詢問，但一直未做出答覆。這是因為學術界有一個通行的原則：只對經過同行評審並公開發表的學術論文進行評價。但鑒於這篇文章流傳較廣，引起了公眾的關注，為了澄清其中的科學問題，特別是為了讓公眾能進一步了解量子通信，我們特撰寫此文，介紹目前量子信息領域關於量子保密通信現實安全性的學界結論和共識。

　　現有實際量子密碼（量子密鑰分發）系統主要採用BB84協議，由Bennett和Brassard於1984年提出[1] 。與經典密碼體制不同，量子密鑰分發的安全性基於量子力學的基本原理。即便竊聽者控制了通道線路，量子密鑰分發技術也能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為「無條件安全」或者「絕對安全」，它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被 Mayers, Lo, Shor-Preskill等人完成[2-4]。

　　後來，量子密鑰分發逐步走向實用化研究，出現了一些威脅安全的攻擊[5, 6]，這並不表示上述安全性證明有問題，而是因為實際量子密鑰分發系統中的器件並不完全符合上述（理想）BB84協議的數學模型。歸納起來，針對器件不完美的攻擊一共有兩大類，即針對發射端--光源的攻擊和針對接收端--探測器的攻擊。

　　「量子機密驚現破綻」一文援引的實驗工作就屬於對光源的木馬攻擊。這類攻擊早在二十年前就已經被提出[5]，而且其解決方案就正如文章作者宣稱的一樣[7]，加入光隔離器這一標準的光通信器件就可以了。該工作的新穎之處在於，找到了此前其他攻擊沒有提到的控制光源頻率的一種新方案，但其對量子密碼的安全性威脅與之前的同類攻擊沒有區別。儘管該工作可以為量子保密通信的現實安全性研究提供一種新的思路，但不會對現有的量子保密通信系統構成任何威脅。其實，自2000年初開始，科研類和商用類量子加密系統都會引入光隔離器這一標準器件。舉例來說，現有的商用誘騙態BB84商用系統中總的隔離度一般為100dB，按照文章中的攻擊方案，需要使用約1000瓦的激光反向注入。如此高能量的激光，無論是經典光通信還是量子通信器件都將被破壞，這就相當於直接用激光武器來摧毀通信系統，已經完全不屬於通信安全的範疇了。

　　而對光源最具威脅而難以克服的攻擊是「光子數分離攻擊」[6]。嚴格執行BB84協議需要理想的單光子源。然而，適用於量子密鑰分發的理想單光子源至今仍不存在，實際應用中是用弱相干態光源來替代。雖然弱相干光源大多數情況下發射的是單光子，但仍然存在一定的概率，每次會發射兩個甚至多個相同量子態的光子。這時竊聽者原理上就可以拿走其中一個光子來獲取密鑰信息而不被察覺。光子數分離攻擊的威脅性在於，不同於木馬攻擊，這種攻擊方法無需竊聽者攻入實驗室內部，原則上可以在實驗室外部通道鏈路的任何地方實施。若不採用新的理論方法，用戶將不得不監控整個通道鏈路以防止攻擊，這將使量子密鑰分發失去其「保障通信鏈路安全」這一最大的優勢。事實上，在這個問題被解決之前，國際上許多知名量子通信實驗小組甚至不開展量子密鑰分發實驗。2002年，韓國學者黃元瑛在理論上提出了以誘騙脈衝克服光子數分離攻擊的方法[8]；2004年，多倫多大學的羅開廣、馬雄峰等對實用誘騙態協議開展了有益的研究，但未解決實用條件下成碼率緊緻的下界[9]；2004年，華人學者王向斌在《物理評論快報》上提出了可以有效工作於實際系統的誘騙態量子密鑰分發協議，解決了現實條件下光子數分離攻擊的問題[10]；在同期的《物理評論快報》上，羅開廣、馬雄峰、陳凱等分析了誘騙態方法並給出嚴格的安全性證明[11]。在這些學者的共同努力下，光子數分離攻擊問題在原理上得以解決，即使利用非理想單光子源，同樣可以獲得與理想單光子源相當的安全性。2006年，中國科技大學潘建偉等組成的聯合團隊以及美國Los-Alamos國家實驗室-NIST聯合實驗組同時利用誘騙態方案，在實驗上將光纖量子通信的安全距離首次突破100 km，解決了光源不完美帶來的安全隱患[12-14]。後來，中國科技大學等單位的科研團隊甚至把距離拓展到200 km以上。

　　第二類可能存在的安全隱患集中在終端上。終端攻擊，本質上並非量子保密通信特有的安全性問題。如同所有經典密碼體制一樣，用戶需要對終端設備進行有效管理和監控。量子密鑰分發中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內部探測器效率。代表性的具體攻擊辦法是，如同Lydersen等[15] 的實驗那樣，輸入強光將探測器「致盲」，即改變探測器的工作狀態，使得探測器只對他想要探測到的狀態有響應，或者完全控制每台探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以採用監控方法防止。因為竊聽者需要改變實驗室內部探測器屬性，用戶在這裡的監控範圍只限於實驗室內部的探測器，而無需監控整個通道鏈路。

　　儘管如此，人們還是會擔心由於探測器缺陷而引發更深層的安全性問題，例如如何完全確保監控成功，如何確保使用進口探測器的安全性等。2012年，羅開廣等[16] 提出了「測量器件無關的（MDI）」量子密鑰分發方案，可以抵禦任何針對探測器的攻擊，徹底解決了探測器攻擊問題。另外，該方法本身也建議結合誘騙態方法，使得量子密鑰分發在既不使用理想單光子源又不使用理想探測器的情況下，其安全性與使用了理想器件相當。2013年，潘建偉團隊首次實現了結合誘騙態方法的MDI量子密鑰分發，後又實現了200 km量子MDI量子密鑰分發[17, 18]。至此，主要任務就變成了如何獲得有實際意義的成碼率。為此，清華大學王向斌小組提出了4強度優化理論方法，大幅提高了MDI方法的實際工作效率[19]。採用此方法，中國科學家聯合團隊將MDI量子密鑰分發的距離突破至404 km [20]，並將成碼率提高兩個數量級，大大推動了MDI量子密鑰分發的實用化。

　　總之，雖然現實中量子通信器件並不嚴格滿足理想條件的要求，但是在理論和實驗科學家的共同努力之下，量子保密通信的現實安全性正在逼近理想系統。目前學術界普遍認為測量器件無關的量子密鑰分發技術，加上自主設計和充分標定的光源可以抵禦所有的現實攻擊[21, 22]。此外，還有一類協議無需標定光源和探測器，只要能夠無漏洞地破壞Bell不等式，即可保證其安全性，這類協議稱作「器件無關量子密鑰分發協議」[23]。由於該協議對實驗系統的要求極為苛刻，目前還沒有完整的實驗驗證，近些年的主要進展集中在理論工作上。由於器件無關量子密鑰分發協議並不能帶來比BB84協議在原理上更優的安全性，加之實現難度更大，在學術界普遍認為這類協議的實用價值不高。

　　綜上所述，正如我們目前應邀為國際物理學權威綜述期刊《現代物理評論》所撰寫的關於量子通信現實安全性的論文中所指出的那樣[24]，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，資訊理論可證的安全性已經建立起來。中國科學家在這一領域取得了巨大成就，在實用化量子保密通信的研究和應用上創造了多個世界記錄，無可爭議地處於國際領先地位[25]。令人遺憾的是，某些自媒體在並不具備相關專業知識的情況下，炒作出一個吸引眼球的題目對公眾帶來誤解，對我國的科學研究和自主創新實在是有百害而無一利。

　　鑒於量子保密通信資訊理論可證的安全性已經成為國際量子信息領域的學界共識，此後，除非出現顛覆性的科學理論，我們將不再對此類問題專門回復和評論。當然，對量子通信感興趣的讀者，可參閱我們撰寫的《量子通信問與答》了解更多的情況[26]。

　　參考文獻：

　　[1].  C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, in Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), pp. 175–179.

　　[2]. H.-K. Lo, H.-F. Chau, Unconditional security of quantum key distribution over arbitrarily long distances, Science 283, 2050(1999).

　　[3]. P. W. Shor, J. Preskill, Simple proof of security of the BB84 quantum key distribution protocol, Physical review letters 85, 441 (2000).

　　[4]. D. Mayers, Unconditional security in quantum cryptography, Journal of the ACM (JACM) 48, 351 (2001).

　　[5]. A. Vakhitov, V. Makarov, D. R. Hjelme, Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography, J. Mod. Opt. 48, 2023 (2001).

　　[6]. G. Brassard etal., Limitations on practical quantum cryptography, Physical Review Letters 85, 1330 (2000).

　　[7].  龐曉玲，金賢敏，[聲明]攻擊是為了讓量子密碼更加安全，墨子沙龍，2019年3月13日.

　　[8]. W.-Y. Hwang, Quantumkey distribution with high loss: toward global secure communication, Physical Review Letters 91, 057901 (2003).

　　[9]. X. Ma, Security of Quantum Key Distribution with Realistic Devices, Master Report, University of Toronto, June (2004).

　　[10]. X.-B. Wang, Beating the photon-number-splitting attack in practical quantum cryptography, Physical Review Letters 94, 230503 (2005).

　　[11]. H.-K. Lo, X. Ma, K. Chen, Decoy state quantum key distribution, Physical Review Letters 94, 230504 (2005).

　　[12]. C.-Z. Peng et al., Experimental long-distancedecoy-state quantum key distribution based on polarization encoding, Physical Review Letters 98, 010505 (2007).

　　[13]. D. Rosenberg, et al., Long-distance decoy-statequantum key distribution in optical fiber, Physical Review Letters 98, 010503 (2007).

　　[14]. T. Schmitt-Manderbach et al., Experimental demonstration of free-space decoy-state quantum key distribution over 144 km, Physical Review Letters 98, 010504 (2007).

　　[15]. L. Lydersen et al., Hacking commercial quantum cryptography systems by tailored bright illumination, Nature Photonics 4, 686 (2010).

　　[16]. H.-K. Lo, M. Curty, B. Qi, Measurement-device-independent quantum key distribution, Physical Review Letters 108, 130503 (2012).

　　[17]. Y. Liu et al.,Experimental measurement-device-independentquantum key distribution, Physical Review Letters 111, 130502 (2013).

　　[18]. Y.-L. Tang et al., Measurement-device-independent quantum key distribution over 200 km. Physical Review Letters 113, 190501 (2014).

　　[19]. Y.-H. Zhou, Z.-W. Yu, X.-B. Wang, Making the decoy-state measurement-device-independent quantum key distribution practically useful, Physical Review A 93, 042324 (2016).

　　[20]. H.-L. Yin, etal., Measurement-device-independent quantum key distribution over a 404 km optical fiber, Physical Review Letters 117, 190501 (2016).

　　[21]. H.-K. Lo, M. Curty, and K. Tamaki, Secure quantum key distribution, Nature Photonics 8, 595 (2014).

　　[22]. Q. Zhang, F. Xu, Y.-A. Chen, C.-Z. Peng, J.-W. Pan, Large scale quantum key distribution: challenges and solutions, Opt.Express 26, 24260 (2018).

　　[23]. D. Mayers, A. C.-C. Yao, Quantum Cryptography with Imperfect Apparatus, in Proceedings of the 39th Annual Symposium on Foundations of Computer Science (FOCS』98), p. 503(1998); A. Acín et al., Device-Independent Security of Quantum Cryptography against Collective Attacks, Physical Review Letters 98,230501 (2007).

　　[24]. F. Xu, X. Ma, Q. Zhang, H.-K. Lo, J.-W. Pan, Quantum cryptography with realistic devices, in preparation for Review of Modern Physics (invited in 2018).

　　[25]. 王向斌，量子通信的前沿、理論與實踐，《中國工程科學》，第20卷第6期，087-092頁 (2018).

　　[26].  量子通信的問與答, 墨子沙龍,2018年11月14日.

　　相關閱讀

　　別慌，找出漏洞會讓量子加密更安全

　　攻擊是為了讓量子密碼更加安全

　　作者|龐曉玲，金賢敏（上海交通大學）

　　日前，網上一篇題為《量子加密驚現破綻》的文章，報道了近期上海交大金賢敏教授團隊關於量子密碼攻防技術方面的研究工作。針對該文章中諸多錯誤之處，金賢敏教授專門撰文加以澄清。金賢敏教授表示，該工作並非否定量子密鑰分發的安全性，恰恰相反，只要在源端增加更高對比度光隔離器就可以解決此漏洞，從而保證量子密鑰分發的安全性。聲明全文如下:

　　我們注意到麻省理工科技評論（MIT Technology Review）對我們近期完成的量子密碼攻防研究工作進行了報道，相關消息的中英文版本都得到了廣泛關注。我們感謝麻省理工科技評論對該項研究的關注，與此同時，也發現報道中有一些不夠準確和深入的部分。為了避免讀者產生誤解，我們在此做簡要澄清。

　　量子密鑰分發（QKD）通過利用量子力學本質的態疊加和不可克隆原理，結合已被Claude Shannon嚴格證明的一次一密加密演算法，理論上可以保證加密通信的絕對安全。然而在實際系統中，由於器件的一些不完美性，系統中仍然有可能存在能夠被攻擊的物理漏洞。實際上，十多年來，針對量子密鑰分發物理漏洞的攻擊方案陸續被提出，而提出漏洞的動機是為了構建更安全的通信系統。這是一個漫長的過程，最終目的是構建無論在原理上還是在實際複雜系統條件下都絕對安全的量子通信系統。

　　量子密鑰分發實際系統的物理漏洞主要來源於源端和探測端。針對探測端物理漏洞的攻擊方案很多，比如時移、時間信息、探測器死時間和探測器控制等。直到近來，測量設備無關的量子密鑰分發協議（MDI-QKD）從原理上關閉了所有探測端漏洞，因此這一協議在實際系統中得到廣泛使用。源端的漏洞主要是弱相干激光不是完美的單光子，單個脈衝中有多個光子的概率不可忽略，而這會導致通過光子數分離攻擊（PNS）方案可以竊取部分信息。值得慶幸的是，之後提出的誘騙態協議通過調製不同強度的光，結合探測端的光子統計檢測，又很好地關閉了這一漏洞。

　　在我們近期這個工作中，我們提出了一種新的源端攻擊方案：用一束強光反向打入量子密鑰分發的光源，通過對光源進行注入鎖定去控制和移動發射光的波長，再通過帶通濾波進行波長選擇，這樣，只有與攻擊者的激光波長一致的信號光可以通過信道，最後攻擊者可以將信號光波長移動回原波長，確保攻擊不被發現。這種激光注入鎖定的現象早在20世紀60年代就已經被觀察到，技術很成熟，所以這一源端漏洞對於實際量子密鑰分發系統具有潛在威脅。然而，正如我們公開在預印本arXiv上文章中已經深入討論了的，我們通過進一步理論分析和實驗設計，證明了針對這一漏洞的竊聽方案可以通過在源端（我們的實驗系統已經內置了30dB隔離度）增加更高對比度光隔離器來解決，從而保證量子密鑰分發的安全性。

　　總而言之，我們的文章理論上提出了一種針對量子密鑰分發實際系統源端物理漏洞的攻擊方案，並通過實驗數據驗證可行。我們的工作提醒並強調，為了更高的安全性，實際量子密鑰分發系統中源端的高對比度的光隔離不僅不可或缺，而且要非常大。目前的實際系統中，有的光源已經採取了高對比度的光隔離，但有的光源還沒有。我們的工作並不否認量子密鑰分發理論上的絕對安全性，相反正因為量子加密提供了理論上的絕對安全，使得人類追尋了幾千年的絕對安全通信幾近最終實現。而我們不斷的針對實際系統的物理安全漏洞問題的研究正是為了這個絕對安全性變得更加可靠。攻擊，是為了讓量子密碼更加安全、無懈可擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！