量子密鑰分配實際安全性思考
摘要:量子密鑰分配的安全性包括協議的安全性和實際系統的安全性,協議理論上的信息論安全性已經得到了完整的證明,然而實際系統由于器件存在著非理想性,會導致產生各種安全性漏洞,如何分析和應對實際系統安全性是量子密鑰分配技術走向應用所面臨的重要課題,總結了量子密鑰分配安全性的進展情況和面臨的難點問題,并對未來的研究方向進行了展望。
內容目錄:
1 理想協議安全性
2 實際系統安全性
3 標準化現狀與建議
3.1 加強量子密碼標準化的建設
3.2 加強 QKD 測評環境的建設
3.3 加強量子密碼新協議的研究
4 結 語
現代通信技術中信息的安全主要依靠密碼技術來實現,密碼技術是信息安全的核心保障。目前的經典密碼體制主要分為私鑰密碼體制和公鑰密碼體制。私鑰密碼體制加密操作和解密操作采用相同的密鑰,或者加密操作和解密操作的密鑰易于相互推導,又被稱為對稱密碼體制;公鑰密碼體制加密操作和解密操作采用不同的密鑰,并且當采用公私鑰對時,利用私鑰可以很容易推導出公鑰,而公鑰推導出私鑰在計算上是不可行的,因此也被稱為非對稱密碼體制。在非對稱密碼體制中,公鑰推導出私鑰的不可行是建立在某些計算困難的數學問題之上,只要其所依賴的問題在計算上是困難的,那么這類算法就具有可證明的安全性。例如,基于大整數的質因子分解困難問題設計的RSA算法、基于橢圓曲線上的離散對數困難問題設計的SM2算法等。
自20世紀80年代以來,Simnon量子算法、Shor量子算法和Grover量子算法的相繼提出,給經典密碼學的安全性帶來了巨大的挑戰,尤其對公鑰密碼體制構成了較大的威脅。為了抵御量子計算對現有密碼體制的攻擊,有學者提出了抗量子計算密碼(Post-Quantum Cryptography,PQC),又被稱為后量子密碼,抗量子計算密碼的目標是開發、設計出一種面對量子計算環境,依然能夠保證密碼安全性的新一代密碼體系,主要關注基于格、基于哈希、基于編碼和基于多變量等新型加密算法。
2016年2月,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)發布了關于后量子密碼的報告(Report on Post-Quantum Cryptography),報告強調了信息安全系統需要部署抗量子計算密碼。與抗量子計算密碼技術不同,Shannon證明了“One-time Pad”密碼體制在理論上可以實現信息論安全,即使在敵手擁有量子計算機的條件下依然可以保證系統的安全性。然而,“One-time Pad”密碼體制要求通信雙方安全共享一個與明文長度相同的、具有真隨機特性的密鑰,并且密鑰只能使用一次,這對經典密碼體制提出了更高的要求,通過現有的經典密碼算法很難解決“One-time Pad”密碼體制中密鑰安全共享的問題。
狹義量子密碼主要指量子密鑰分配(Quantum Key Distribution,QKD),其可為遠程通信雙方提供信息論安全的密鑰協商手段。其安全性基于未知量子態不可克隆、量子態測量塌縮、量子不確定原理和量子糾纏的單配性。量子的安全特點使得QKD的安全性不再依賴第三方竊聽者的計算能力與存儲能力,因而可以達到信息論安全性。QKD技術進一步結合“One-time Pad”密碼體制,達到實現信息論安全的保密通信的目的。自1984年第一個量子QKD協議——BB84協議被提出以來,通過國內外眾多研究機構及專家學者30多年的不懈努力,QKD技術已成為量子信息技術里發展最快、最成熟的技術。目前,國內外的科研院所和商業化公司利用QKD商業化的產品已經成功建設了“東京QKD網絡”“蕪湖量子政務網”“京滬量子干線”和“寧蘇量子網絡”等多個QKD網絡。
QKD技術實現了一種新的、基于物理原理的密鑰共享方法。它可以通過采用信息攜帶載體(即量子態)的內稟物理量及其具備的量子力學屬性對加載的密鑰信息進行保護,不再采用傳統的數學和計算復雜性理論的方式實現密鑰共享保護。因此,QKD具備兩大技術優勢:一是具備理論可證明的信息論安全性;二是可高效實現按需實時的異地密鑰分發保障。基于上述特性,QKD可廣泛應用于國防、政務、能源等領域,提升密碼安全保障能力,因此具有極高的戰略價值和重要意義。此外,量子密鑰分配按需動態實時分發的特性,有利于解決密鑰管理和存儲的問題,這些特點使得量子密鑰分配的研究受到密碼學界的高度重視。QKD的安全性分析包括理想協議的安全性和實際系統的安全性,本文分別給出簡要的介紹。
1 理想協議安全性
與實際系統相對應的QKD是基于態制備-態測量的方案,在安全性證明中需要考慮竊聽者在信道中所有可能的攻擊行為。為了簡化安全性證明,有學者提出了與制備-測量方案等價的糾纏提純方案的安全性證明,在此安全性證明中可以將竊聽者的攻擊行為規約為Pauli信道。
如圖1所示,在基于糾纏提純的安全性分析中,Alice首先制備最大糾纏態
,如果Alice希望制備量子態
,則需要對第二個粒子做單位變換。如果Alice希望制備量子態
,則需要對第二個粒子隨機地做Hadamard操作,然后發送該粒子給接收方Bob。Bob公布其接收到的相應的量子態,如果Bob希望測量量子態
,則需要先對量子態進行Hadamard操作。
圖 1 基于糾纏提純的量子密鑰分配協議
在實際QKD系統中,隨機Hadamard操作等價于隨機選擇不同測量基。在安全性分析中我們考慮最普適的信道是Pauli信道,這是因為Alice制備了二維的量子態,其在信道中的擾動可以由單位矩陣I、比特錯誤矩陣X、相位錯誤矩陣Z 和比特相位錯誤矩陣Y 進行刻畫。相應的,任意量子比特的錯誤可以歸結為比特錯誤、相位錯誤和比特相位錯誤。考慮到竊聽者在Pauli信道中的攻擊,Alice、Bob和Eve的量子態可以描述為:
式中:H 為理想的Hadamard算子,在量子密鑰分配協議中其表征著不同基之間的轉換,若開始制備的是水平垂直基下的態,經過 Hadamard操作后則變為對角基下的態;X 算子為竊聽者Eve 引入的比特誤碼;Z 算子為竊聽者引入的相位誤碼;
為竊聽者引入
算子的概率,其中u v, {0,1}∈;
為 Alice 引入
矩陣,同時Bob 引入
矩陣的概率,其中i , j ∈{0,1}。其中竊聽者的輔助粒子可以控制量子信道中的比特錯誤操作和相位錯誤操作。上述分析中提到Pauli信道中存在比特錯誤和相位錯誤,而量子信道中所有的誤碼均被認為是由竊聽者Eve引入的,經過量子信道后,事先制備的最大糾纏態
可以演變為以下4種Bell態的情況:
因此,最終的比特誤碼
和相位誤碼
為:
式中:
為Alice和Bob的約化密度矩陣。在糾纏提純過程中,合法通信雙方必須明確量子態經過Pauli信道擾動所引入的比特誤碼和相位誤碼,并進一步利用糾錯技術得到一致的密鑰比特,利用保密放大技術壓縮竊聽者的信息量。在一個實際的QKD系統中,可以通過對收發雙方的原始密鑰序列進行誤碼估計得到QKD系統的誤碼率。因此對QKD進行安全性的最大困難是如何估計得到該協議過程中的相位誤碼。根據Pauli信道的特性,相位誤碼的估計可以通過式(5)進行分析:
因此,QKD協議的相位誤碼可以由比特誤碼來精確地估計得到。相應的,最終的安全密鑰率為:
式中:
為二進制香農熵。
QKD協議安全性分析要求量子態制備和測量是理想的,然而在實際QKD系統中,制備的量子態與理想協議存在差異,從而導致調制誤差等非理想特性。但是,在實際系統中的錯誤可能是由多種器件的非理想特性所引入的,因此協議的安全性與實際系統的安全性并不等價,如何分析實際系統的安全性是量子密鑰分配研究的難點問題。
2 實際系統安全性
如果實際QKD系統對兩組基的誤碼擾動可以通過一個幺正變換得到,則可以假定幺正變換是竊聽者在信道中的擾動。然而,大部分的非理想性并不是可以用同一個幺正變換得到,因此,在安全性分析中并不能簡單地認為QKD系統非理想性是由竊聽者Eve引入的。例如,在采用BB84協議的偏振編碼QKD系統中應用的非理想波片可能導致偏振態的編解碼是不完全準確的;在采用BB84協議的相位編碼QKD系統中應用的非理想相位調制器可能導致調相電壓是非精確的等。所有的非理想特性在器件大批量制作時,不可避免地或者在實際應用時存在電路控制的非理想特性。與理想協議的安全性分析相比較,非理想性不能表征為竊聽者在量子信道中實施的酉變換,因此現有的量子密鑰生成率計算公式在非理想的情況下是不適用的。
實際QKD系統安全與理論QKD協議安全之間存在一定的差別,其主要原因是實際QKD系統中采用的光源、調制器和探測器等多個器件存在多種不滿足理論模型要求的非理想特性。這些器件的非理想性有可能導致器件存在編解碼的誤差、側信道的信息泄露,甚至是QKD發送端或接收端的器件被遠程操控,從而使QKD系統的安全性出現漏洞,這些漏洞引入的安全性問題得到了國內外學者的廣泛關注。相應的漏洞在實際QKD系統中會帶來各種安全性風險,信道中的竊聽者利用這些漏洞可以在引入較低的誤碼率或不引入誤碼率的情況下獲取QKD的密鑰信息,因此其攻擊行為很難被合法通信雙方通過誤碼率檢測的方式發現。
理想的BB84協議要求使用理想的單光子源,否則竊聽者可以采取光子數分束(Photon Number Splitting,PNS)攻擊完全獲取多光子信號加載信息。但由于實驗技術的限制,目前尚無真正可以實用化的理想單光子光源。在實際QKD系統中,通常會使用弱相干態光源,而為了抵御弱相干態光源引入的光子數分束攻擊,在實際系統的安全性設計上會采用誘騙態技術解決此問題。同時,實際QKD系統的發送端負責量子態的制備,量子態制備所采用的光源也會存在著光強漲落、非可信光源和多激光器波長空間頻譜可區分性問題等。
實際QKD系統中常用的光學器件主要分為有源光學器件和無源光學器件兩種類型。有源光學器件包括相位調制器(Phase Modulator,PM)、光強調制器(Intensity Modulator,IM)等。其中,相位調制器存在著相位重映射攻擊、不完全隨機化相位攻擊、相位調制器衰減和相位調制器誤差等實際安全性問題。光強調制器存在著調制本底噪聲等實際安全性問題。無源光學器件包括光纖分束器(Beam Splitter,BS)、光纖偏振分束器(Polarization Beam Splitter,PBS)、法拉第鏡(Faraday Mirror,FM)、環行器(Circulator)、波分復用器(Wavelength Division Multiplexer,WDM)等。其中,利用分束器的分束比波長敏感的特性可以實施波長攻擊,從而控制接收端測量基的選擇。
單光子探測器用來探測單光子信號,是實際QKD系統中安全性漏洞最多的器件,也是QKD系統必不可少的一個器件。相應的量子黑客攻擊及解決方案包括:利用探測效率時域不匹配引入的時移攻擊,實際系統可采用單個探測器來抵御多探測器效率不匹配產生的漏洞攻擊;利用探測器的線性工作模式進行強光致盲攻擊,實際系統可通過監控探測器雪崩光電二極管的光電流等技術來抵御強光致盲攻擊;利用探測器具有一定的死時間漏洞引入的死時間攻擊,實際系統可同步不同探測器的死時間等技術來抵御死時間攻擊;利用探測器雪崩過渡區的控制攻擊,實際系統可通過改變門控信號的位置或者光脈沖的到達延時等技術來抵御雪崩過渡區攻擊。
本文對QKD系統中光源、有源光學器件、無源光學器件、單光子探測器的各種非理想特性產生的安全性漏洞進行了初步討論,并對一些補丁式的防御措施進行了簡單介紹。這些防御措施可以對某一種或者某一類特定的漏洞攻擊進行有效防御,但面對新發現的漏洞或者新的攻擊方式時,可能會使得已有的防御措施失效。因此,對防御措施能夠防御某一種或者某一類特定的攻擊方式進行嚴格的安全性證明對實際QKD系統具有重要的意義。另外,由于QKD系統安全性分析需要對各種經典和量子器件進行全面的分析,因此,如何有效地給出QKD系統所有實際器件非理想性的度量方式是考察實際QKD安全性的重要依據,基于器件的非理想特性進一步度量其對安全性的影響是實際QKD系統安全性研究的重要方向。
3 標準化現狀與建議
QKD系統安全性是QKD技術的核心,雖然QKD在理論上可以證明是信息論安全的,但是任何實際器件都存在一定的非完美性,這些非完美性使得實際QKD系統的安全性出現漏洞。多篇國內外文獻針對實際QKD系統的光源、探測器、調制器等實際器件的非理想特性提出了攻擊方案。在這些攻擊方案中,竊聽者可以獲取到部分甚至全部的密鑰信息,因此QKD系統走向實際應用的前提是必須解決實際安全性的問題。
根據QKD安全性的國內外進展情況來看,QKD安全性仍需要在標準化、測評環境和新協議等方面開展更加深入的研究。
3.1 加強量子密碼標準化的建設
歐洲電信標準化協會(European Telecom munications Standards Institute,ETSI)成立ISG-QKD標準組,發布了包括術語定義、組件和內部接口、安全性依據、QKD模塊安全規范、QKD組件特性、QKD應用部署器件和通信信道參數、發射機模塊光輸出接口特性等11項標準文件。國際標準化組織ISO/IEC JTC1/SC27(信息安全、網絡安全和隱私保護分技術委員會)立項了QKD安全需求與測評方法標準項目。國際電信聯盟電信標準化局(Telecommunication Standardization Sector of the International Telecommunications Union,ITU-T)未來網絡研究組(SG13)已開展QKD網絡的基本框架、功能架構、密鑰管理和軟件定義控制等方面的研究項目。加拿大標準協會(Canadian Standards Association,CSA)成立Quantum-Safe Security工作組,發布了量子安全性定義、量子密鑰分配定義、量子安全術語等多項研究報告。中國通信標準化協會(China Communications Standards Association,CCSA)成立量子通信與信息技術特設任務組(ST7),正在開展量子通信和網絡以及量子信息技術關鍵器件的標準立項與研究工作。中國密碼行業標準化技術委員會(Cryptography Standardization Technical Committee,CSTC)在密碼基礎工作組下設量子密碼標準制定工作組,開展了包括QKD技術規范、檢測規范和應用接口等密碼行業標準的研究,目前,CSTC已發布GM/T 0108—2021《誘騙態BB84量子密鑰分配產品技術規范》和GM/T 0114—2021《誘騙態BB84量子密鑰分配產品檢測規范》兩項密碼行業標準,標準覆蓋了誘騙態BB84協議實現要求、產品要求以及對應的檢測內容、檢測要求和合格判定準則。建議下一步依據已發布的標準、規范組織測評工作,對商業化QKD產品開展入網測評、對新建設的QKD網絡方案組織安全性評估工作,形成QKD網絡建設規范、要求。
3.2 加強QKD測評環境的建設
盡可能地尋找到實際QKD系統所采用的各種器件的潛在安全性漏洞,并采取相應的預防措施或者安全性監測方法。針對實際QKD系統的非理想特性,弱隨機性安全分析模型可以度量實際系統的安全性。基于弱隨機性安全分析模型,目前已知的態可區分攻擊、致盲攻擊和波長攻擊均可以理解為態編碼或基矢選擇的隨機性被弱化,從而導致竊聽者獲取密鑰信息。基于弱隨機性安全模型,進一步設計光源、調制器和探測器的安全性測評方法,并搭建相應的安全性測評環境是QKD安全性研究的重點。
3.3 加強量子密碼新協議的研究
基于CHSH不等式、CGLMP不等式等違反量子非局域關聯的度量,設備無關(Device-Independent,DI)QKD協議對QKD系統的量子態制備和測量設備不做細節性的假設,只要觀察到QKD系統的輸入值和輸出值對應的條件概率分布,就可以利用量子非局域性保證QKD系統測量結果的安全性。但是設備無關QKD協議在實驗方面需要解決因探測器有限效率及信道衰減而引起的探測效率漏洞問題,并且對系統的效率要求過高(一般要求系統效率大于83%),目前長距離的實驗實現困難較大,因此設備無關QKD協議的實用性較差。為了在安全性和實用性之間取得平衡,有學者提出了測量設備無關(Measurement-Device-Independent,MDI)QKD協議,該協議是目前最受關注的協議,在安全性分析和實驗實現方面都取得了非常多的進展。與設備無關QKD協議相比較,測量設備無關QKD協議具有以下幾點重要特點。一是測量設備無關QKD可以抵御任何測量裝置引入的側信道攻擊。目前可以實現的致盲攻擊、波長攻擊和時移攻擊等攻擊方案,基本都是針對測量設備的攻擊。而測量設備無關QKD協議的安全性不依賴于測量設備的可靠性,因此該協議免疫了測量設備的非理想性可能的攻擊。同時,在光源端可以增加光強監控等安全性防御措施有效抵御態制備設備端的攻擊。二是測量設備無關QKD協議具有較好的實驗前景,目前已有較多的實驗報道。特別指出的是,有學者基于測量設備無關QKD協議思想提出了雙場QKD協議,該協議在保留了測量設備無關安全性優勢的同時,還進一步延長了QKD的傳輸距離。最近的實驗表明,雙場QKD協議的實驗實現距離已經達到833 km,這表明雙場QKD協議有望在未來長距離廣域QKD網絡中發揮重要作用。近年來,測量設備無關QKD協議在安全性和實用性方面取得了完美的平衡,得到了國內外學者的廣泛關注。如果設備無關QKD協議在未來QKD網絡實驗方面取得進一步的突破,那么實際QKD系統的安全性將進一步得到提升。
4 結 語
QKD系統安全性分析需要從器件、系統、安全防護等多個方面進行考察,并最終形成一系列安全性的標準規范。國內外的學者日益關注QKD系統發送端和接收端的各種器件的非理想性可能引入的攻擊漏洞,并利用這些漏洞提出了一些攻擊方法。從QKD測評的角度來看,需要考察QKD系統存在的各種安全風險,并采取針對性的安全性防御措施。國內外相關組織已經發布了QKD安全性方面的標準,這將對QKD的實用化有重大的促進作用。
針對實際系統安全性問題,有學者提出了安全性更優的設備無關和測量設備無關QKD協議。目前,設備無關和測量設備無關QKD協議還缺少商業化的系統產品,這方面的標準化研究進展較少,該協議安全性優、傳輸距離遠的特點,為QKD的實用化推廣奠定了技術基礎,這將是未來量子密鑰分配研究的一個重點方向。
