從“量子加密驚現破綻”看量子保密
一前 言
曾幾何時,一篇“量子加密也不安全了,中國科學家發現重大隱患”、“現有量子加密技術可能隱藏著極為重大的缺陷”的文章在網上迅速傳播開來,一石激起千重浪,一直以來我們認為量子加密技術是絕對安全的加密技術,該文的報道徹底顛覆了大眾的認知,到底量子保密還安全嗎?
二 事件回顧
1、報道情況
2019年3月12日,一篇在預印本arXiv上發表的文章顯示,上海交通大學研究團隊近來在經過不斷地實驗與嘗試之后,發現了現有量子加密技術可能隱藏著極為重大的缺陷,這個研究將可能導致量子加密從原本印象中的堅不可破轉而變成脆弱不堪。因為,以上海交通大學團隊所發表的研究來看,上海交通大學的研究人員們成功發現目前被廣泛應用在量子通信中的QKD(Quantum Key Distribution,量子密鑰分發)方法并不完美,研究團隊通過將具有不同種子頻率的光子注入激光腔 ( lasing cavity) 來改變激光頻率的方法,進而觀察注入光子的半導體激光器的動態,最終居然獲得高達 60%的信息盜取成功率。
根據《麻省理工科技評論》的報道,研究團隊之所以會進行攻破量子通信加密技術的研究,正是因為希望提醒在量子通信持續快速發展的現在,許多公司甚至已經開始嘗試提供商業化服務,但必須注意的是,這其中仍存有許多的物理漏洞缺陷,進而成為黑客攻擊的可趁之機,畢竟,在網絡安全重要性已然從個人隱私、企業機密、上升到國家安全之際,量子加密技術曾經被高度期望能夠解決一切問題,但在此新興前沿技術真正開始為解決世界安全問題之前,勢必需要經歷過最嚴苛最激烈的攻擊,這不只是安全性的驗證測試。在此過程中,科學研究的創新也在一步步地向前推進,貓捉老鼠游戲的持續升級破關,在某種程度上正是這個領域的研究中最為迷人的地方所在吧。
研究人員也指出,他們想為業界帶來一個重要的信息,那就是量子加密還不如理想中的可靠,它是有缺陷、能被攻破的技術,而攻破這個最強的加密之盾的工具,卻不是什么神兵利器,而是盾本身就存在物理缺陷。
事情果真如此嗎?值得我們一探究竟。
2、業界反應
針對這一爆炸性新聞的報道,業界各方面迅速發表了各自觀點,量子加密的安全性迅速成為各方論戰的焦點,歸結起來分為支持量子加密的正方和質疑量子加密安全的反對方。正方為我國量子通信的首席科學家潘建偉院士團隊,反方代表較為分散,如率先報道消息的深科技等媒體、我國知名密碼學家楊義先等等,雙方的主要觀點大致總結如下:
(1)正方
來源于美國《麻省理工科技評論》的一篇題為“有一種打破量子加密的新方法”的報道(該報道援引了上海交通大學金賢敏研究組的一篇尚未正式發表的工作)后,國內很多關心量子保密通信發展的人都紛紛發此文并詢問潘院士團隊看法,潘院士團隊認為:
1)不想回應,因為學術界有一個通行的原則:只對經過同行評審并公開發表的學術論文進行評價。這篇文章只是發表在預印本上,什么叫預印本?預印本就是沒有經過同行評審的文章稿件。學術期刊上的論文,都是要經過同行評審后才能發表的,這是期刊公信力的根本。越著名的期刊,評審的標準越高,過審越不容易,所以大家聽到一篇文章發在像《自然》(Nature)、《科學》(Science)這樣的頂級期刊上,才會覺得真正高大上。鑒于這篇文章流傳較廣,引起了公眾的關注,為了澄清其中的科學問題,特別是為了讓公眾能進一步了解量子通信,因此撰文介紹目前量子信息領域關于量子保密通信現實安全性的學界結論和共識。
2)現有實際量子密碼(量子密鑰分發)系統主要采用由 Bennett 和 Brassard 于1984年提出的BB84 協議,與經典密碼體制不同,量子密鑰分發的安全性基于量子力學的基本原理。即便竊聽者控制了通道線路,量子密鑰分發技術也能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為“無條件安全”或者“絕對安全”,它指的是有嚴格數學證明的安全性。20世紀90年代后期至2000年,安全性證明獲得突破,BB84協議的嚴格安全性證明被Mayers, Lo, Shor-Preskill 等人完成。
3)量子密鑰分發逐步走向實用化研究后,出現了一些威脅安全的攻擊,這并不表示上述安全性證明有問題,而是因為實際量子密鑰分發系統中的器件并不完全符合理想BB84 協議的數學模型。由此誕生了針對發射端--光源的攻擊和針對接收端--探測器的攻擊,它們都是針對器件不完美的攻擊,本次“量子加密驚現破綻”一文援引的實驗工作就屬于對光源的木馬攻擊。該攻擊的新穎之處在于,找到了此前其他攻擊沒有提到的控制光源頻率的一種新方案,盡管該工作可以為量子保密通信的現實安全性研究提供一種新的思路,但不會對現有的量子保密通信系統構成任何威脅。
4)雖然現實中量子通信器件并不能嚴格地滿足理想條件的要求,但是在理論和實驗科學家的共同努力之下,量子保密通信的現實安全性正在逼近理想系統。目前學術界普遍認為測量器件無關的量子密鑰分發技術,加上自主設計和充分標定的光源可以抵御所有的現實攻擊。
5)鑒于量子保密通信信息論可證的安全性已經成為國際量子信息領域的學界共識,此后,除非出現顛覆性的科學理論,將不再對此類問題專門回復和評論。
(2)反方
北京郵電大學信息安全中心主任楊義先教授早在本次報道之前就撰文《量子的安全笑話》,以一個密碼學家的觀點來闡述了對量子加密的安全性的質疑。他的主要觀點如下:
1)量子通信系統絕對(無條件)安全嗎?從哲學角度看,顯然是不可能的,不要說量子通信不可能絕對安全;就算百年后、千年后出現的更加先進的“牛X通信”,也不可能絕對安全!因為任何時候“安全”都只是相對的,“不安全”才是絕對的!更可能的情況是:網絡世界會越來越不安全,量子通信普及后,安全問題將更多。因為,幾千年來的歷史經驗已經反復證明,任何先進的技術都會帶來新的安全威脅。
2)從系統學角度看,一個“測不準原理”就包打天下、就天衣無縫、就不與其它設備或系統銜接、就不供人使用了?別以為攻擊者都是吃素的!更別以為黑客非要“測得準”才能攻得下,他們絕不會笨到按你的意愿出牌。光纖專家們剛經歷的難堪,也許可用來教訓一下驕傲的量子專家:僅在幾年前,光纖專家還叫板說“光纖通信就是安全,因為光纖很難插接……”;結果話音未落,自己就被打臉了!所以量子專家們別想太多,先安安心心地把量子通信系統做出來再說。至于它們到底是不是“絕對安全”,甚至到底是不是安全,這個問題物理學家們說了不算,還是交給安全專家,以事實來回答吧。歷史上從來就沒有過“黑客攻不破的系統”,但愿量子專家能夠改變歷史。
3)從邏輯上看,“量子通信絕對安全”這個結論也下得很唐突。在咬定“量子通信”如何如何安全之前,至少要先把“量子通信”做出來,因此,該結論的大前提顯然不成立。就算“量子通信”已經小規模實用了,那么它到底是不是絕對安全,也應該拿事實說話,因為安全只相信實證,不相信猜測,更不相信眼淚;況且歷史上根本就沒有“絕對安全”的東西出現過。所以,此結論的小前提也不成立。一個結論,既無大前提,又缺小前提,誰信呢?!沒人相信的結論,何必浪費時間和精力去傳播它呢!
4)從理論上說,信息論之父香農博士于1948年在其著名論文《保密系統的通信理論》中,確實證明過:如果密鑰流序列是絕對隨機的,那么,“1次1密”的密碼系統是理論上不可破。這也是人類至今知道的唯一“絕對安全”的密碼系統。但是,香農“絕對安全”的前提是“密鑰流絕對隨機”而且“密鑰流的長度與待加密信息的長度相等”。換句話說,包括香農本人在內,全球安全界的所有專家都清楚:香農的所謂“絕對安全”在實際中是絕對不可用的!所以,過去近70年來,人們只好用“算法產生的偽隨機序列”去代替“絕對隨機的密鑰流序列”,其代價就是“不再絕對安全”。當然,必須承認,用量子來產生“絕對隨機的密鑰流序列”是一個很好的手段,而且已經成功,商用產品也已面市。但這只能算是技術上的成就,并非理論上的突破,更不能將其提升為實現了“絕對安全”的密碼系統,因為,密碼學家們,一直就在用電噪音等手段來產生“絕對隨機的密鑰流序列”,而且幾乎每臺密碼機上,都已標配有這樣的成熟設備。
5)從技術上說,量子通信系統由兩個信道組成:傳遞糾纏狀態的量子信道和傳遞測量結果的經典信道。單獨控制這兩個信道中的任何一個,確實都不可能獲得被傳消息的任何內容,并且那個量子信道還是“摸不得的老虎屁股”。但從古至今,包括恐怖分子、地下黨、間諜等在內的許多人,其實經常都在采用這種“分離法”來信息傳遞,但從未沒聽他們夸下過什么“絕對安全”的海口,而事實上他們也頻繁失手!量子通信的兩信道分離,也僅僅是技術手段的突破,而非理論上的顛覆。雖然確實是重大技術進步,但遠未達到“絕對安全”的程度。當然,如果量子專家非要限定破譯者,按其指定的方法去破譯量子保密系統,那么,任何系統都可宣稱自己“絕對安全”。
總之,量子保密通信系統雖然還沒有最終完成,但是,敢肯定它一定會像過去幾千年來古典密碼促進機械密碼、機械密碼促進電子密碼那樣,經歷一個漸變過程,而不是突然橫空出世,為我獨尊。
此外,世界上還有諸多專家學者指出“量子加密未必是信息安全的萬靈丹”,比如英國薩里大學計算系客座教授艾倫·伍德沃德指出:在嘈雜混亂的宇宙中那居高不下的錯誤率--不可靠性,還有產生QKD所需單個光量子的技術困難。另外,基于光纖的QKD只能傳輸非常有限的距離,于是還需要中繼器--“弱點”來延長傳輸距離….。蘇格蘭愛丁堡龍比亞大學計算機學院教授比爾·布坎南指出:量子通信端到端都需要寬帶光纖,而我們距離端到端全光纖系統還有很長一段路要走,因為通信信道的最后一公里往往還是銅纜。同時,我們是混合通信系統互連的,因而我們無法在端到端連接中保護物理通信信道安全。英國國家安全中心最近一份報告甚至把QKD批得體無完膚,它指出量子密鑰分發技術有著嚴重的實際局限,解決不了大部分安全問題,對潛在攻擊知之甚少…。
國內外社交媒體針對量子加密的質疑主要有:
1、十多年來,針對量子密鑰分發物理漏洞的攻擊方案陸續被提出,量子通信被破解屬于正常的研究,毫不意外。真正的問題是,此前量子通信在宣傳上被故意誤導和一再夸大了。
2、量子通信其實既“很不量子”,也“很不通信”。量子通信只是以硬件方式為“熟人”之間提供一個共享的密鑰,除此之外它啥也干不了。
· 無法替代公鑰密碼為互聯網億萬“非熟人”之間分發密鑰
· 沒有公鑰、私鑰的協同配合難以實施互聯網上的身份認證、數字簽名等等服務
· 隨著用戶數增長,難以管理收發方之間建立和保存的海量初始密鑰
· 組網時必須依賴專用網絡設備,而這些設備的可信度又回到了傳統的安全問題
· 單光子在光纖中最大傳播距離有極限,依賴“可信中繼站”是難以克服的安全隱患
因此,量子通信在現實中缺乏適用性,也永遠無法做到理論上的“無條件安全”,反復拿理論上的“無條件安全”來說事,本身就是一種誤導。
三啟示與建議
既然量子加密的安全論戰已經如火如荼,作為從事信息安全的行業一員,不可能置身事外,更不能人云亦云,反而此時更應該保持清醒的頭腦,用科學的思維方式,發現其中的問題并努力尋求新的發展機會。
1、關于“絕對安全”的認識
一直以來,關于量子加密通信的安全性在密碼學家和物理學家就存在爭議,互相不認同,尤其在所謂“絕對安全”的構成因素方面。
密碼學家們認為:量子加密技術太過前沿,還沒有經過充分的嚴格測試與實地驗證,要說“絕對安全”,現有對稱密碼早就在理論上是無條件安全的了。
因為早在1949年香農就在他發表的“保密系統的通信理論”一文中證明了異或方式的對稱加密算法在滿足:密鑰長度不小于明文、密鑰生成充分隨機、一次一密這三個條件下,攻擊方完全無法破解密文—“絕對安全”。
對稱密碼主要用在“熟人”之間,為各類企業、政府機構和軍隊內部提供通信的安全保障,量子通信其實就是利用對稱密碼來加密解密,那么量子通信自己到底做了什么呢?只是用硬件方式分發了共享密鑰,僅此而已。
而物理學家們認為:量子密碼是利用量子力學中的量子疊加原理和量子測量可能導致狀態突變的原理。量子密碼不像傳統經典密碼學完全依賴數學計算,傳統密碼的破解指的是用數學方法破解,量子密碼是不可能用數學方法破解的,因此它的數學抗性是100%!
量子密鑰分發(QKD)技術可以建立一個理論上不可破解的關鍵交換系統,該技術中的密鑰的每一位都是依靠單個光子傳送的,而單個光子的量子行為使得竊密者企圖截獲并復制光子的狀態而不被察覺成為不可能。
量子密碼可以讓你的被加密信息除了指定接受者外無人可讀,量子密碼被定義成“利用量子力學屬性執行加密任務的科學”,“量子加密采用光量子并依靠量子物理定律,而不依賴‘超大數’,這是一種非常先進的技術,可以保證私密性,甚至擁有無限計算能力的竊聽者都無法窺探”。
量子密碼面臨的威脅只來自物理,傳統密碼面臨的威脅來自數學加物理,因此量子密碼比傳統密碼更安全。
2、關于本次爆炸性報道的價值評判
本次報道將量子密碼安全問題從行業內的紛爭引入了普通大眾視野,并成為關注的焦點,這對推動傳統的信息安全和新興的量子加密無疑都起到了積極的作用,因為事實是越辯越明、道理越講越清,這種開放的公開討論本身就是推動科學技術的進步的重要手段。
量子密碼就是用量子力學的物理方法在通信雙方產生了一次性密鑰。最為重要的一點是--雙方同時獲得了密鑰,沒有第三者信使在中間傳輸!這確實是非常巧妙的思想,量子力學創造的奇跡。量子密碼的技術含量就在這里。量子密鑰的產生過程,同時就是分發過程。量子密碼真實的做法是:用量子信道產生密鑰并分發密鑰,用傳統信道傳送密文。
這次報道出的是一種對量子密碼設備新的物理攻擊手段,叫做“注入鎖定”(injection locking)。原始論文簡單說來就是:搭了一個原型的量子密碼光路,然后用注入鎖定偷到了信息。什么是“注入鎖定”呢?就是兩個振子如果耦合在一起,而且最初頻率相差不遠,那么它們的頻率就會逐漸變得相同。這個現象最初是荷蘭物理學家、擺鐘的發明者、光學的創始人之惠更斯(Christiaan Huygens,1629 - 1695)發現的,他注意到掛在同一塊板上的兩個擺會逐漸變得同步。
金賢敏研究組提出,用一束激光注入到量子密鑰分發的光源中,試探它在什么時候發生了注入鎖定,就可以知道光源在發送什么狀態的光子,最終就可以竊密。在搭建的原型量子密鑰分發體系模型中,用注入鎖定的方法以60.0%的成功率偷到了密鑰。
這說明,盡管量子密碼的數學抗性是100%,但物理抗性還沒有達到100%。金賢敏等人的研究成果是把量子密碼的物理抗性進一步提升,但它并不是顛覆了整個量子密碼的理論基礎。
目前量子密碼的前沿研究包括:如何在敵人成功地進行了若干種物理攻擊的前提下,仍然能夠保證信息不泄露。例如,甚至可以把測量儀器都交給對方,隨你怎么去搗鬼,但我仍然有辦法發現你在搗鬼,因此及時地中止生成密鑰,信息也就不會泄露。這叫做“測量儀器無關的量子密鑰分發”(MDI-QKD,是measurement device independent quantum key distribution的縮寫)。此外,研究者們還在發展“儀器無關的量子密鑰分發”(DI-QKD,是device independent quantum key distribution的縮寫),跟前面那個MDI-QKD相比,少了一個M,測量。意思是把所有儀器都交給對方,隨你搗鬼,我居然都不怕。
目前的發展狀況是,MDI-QKD的實驗已經成功了,下一步是提高成碼率的問題。DI-QKD還沒有完整的實驗驗證,因為難度非常大。
3、關于爭論背后的思考
(1)重點發展后量子(抗量子計算)密碼技術
盡管量子加密在我國當前異常火熱,國家也投入了巨資促進其發展,但互聯網億萬“非熟人”之間通信,目前看來是離不開公鑰密碼(非對稱密碼)的。提升公鑰密碼的算法安全性,建立后量子公鑰密碼技術,是當前國際主流的方向。
去年由美國國家科學院組建的一個專家委員會向公眾發布的長達205頁的報告《量子計算:進展和前景》中,談到密碼學部分只談PQC(后量子密碼技術),一字未提QKD(量子密鑰分發或“量子通信”)。因為他們得出的結論是:量子通信的最大問題在于其應用價值根本微不足道。
那么什么才是重要的?報告認為:保證信息從A傳輸到B之間有充分的安全,密碼學已經很成熟了,也不需要量子通信參與,即使量子通信參與也只能做一件微不足道的密鑰分發。信息安全之所以還有隱患,問題出在信源的安全上,也就是大家用的手機、電腦中的微處理器可能有漏洞或者后門。
目前英國情報部門的白皮書、美國空軍的一份調研報告和日本科學家的一篇綜述性論文,都不認同量子通信的戰略價值。
當然,各國并未放棄對量子通信的實驗和研究,而是把量子通信作為一項基礎前沿研究來對待,基礎研究的特點就是一個試錯的過程,即使最后證明了一條路走不通,但這也是把錢變成了知識和人才。
(2)融合
目前公認的一個非常好的主意是:將量子通信與現有的密碼相結合,用量子通信來傳遞(很短的)種子密鑰,然后,利用該種子密鑰來控制現行密碼算法,以達到信息加密、解密之目的。這樣一來,量子與密碼就優勢互補。
中電科三十所正好具備這種得天獨厚的條件,不僅在傳統密碼相關領域基礎扎實、積累深厚,而且在量子密碼(QKD、量子隨機數)等方面取得了較大突破,在融合量子通信和傳統密碼方面具備了基礎設施、技術、人才的基礎,相比中科大等純物理學家組成的團隊而言,我們更具備做好融合的條件。
