一波未平一波又起 量子通信被黑何时了?

2019年12月,国际著名物理期刊(Physical Review Applied)发表了一篇论文《破解量子密钥分发的激光注入式攻击》,量子通信的安全问题再度亮起红灯!

该论文的作者们都是量子通信领域的专家,他们分别来自中国、加拿大、俄罗斯和西班牙,论文的第一作者就是中国国防科技大学的学者。论文的内容可以概括为以下三点。

  • 实验显示,黑客可以把微弱的激光注入进量子密钥分发(QKD)的发射光源,从而导致QKD信号强度增加;
  • 理论证明,QKD的信号强度的意外增加会严重影响QKD的安全性;
  • 以上的理论证明不仅适用于QKD的诱骗态BB84协议和MDI-QKD协议,而且也适用于以诱骗态为基础的其它量子密码协议。

对实验设置和理论分析细节感兴趣的读者,请阅读本文后面的附件。

请注意,量子保密通信京沪干线、武合干线、京汉干线使用的都是诱骗态BB84协议。这篇论文给我的感觉有点像为中国量子通信工程量身定制的,它以严谨的科学方法对这些工程项目的安全问题作出了批评和质疑。

这些年来,中国量子通信工程推动者总是摆出一付祖师爷的派头,对于公众的批评只有一句话回应,“请拿高挡期刊的论文出来说事,否则请闭嘴。”嘿嘿,说什么就来什么,话音未落针对着他们的论文来了一篇又一篇。

先是去年初,上海交通大学研究团队成功破解“量子通信”的论文在互联网上曾激起了一片浪花。接着就是去年年底的这篇国际团队的论文《破解量子密钥分发的激光注入式攻击》,对量子通信安全性的质疑一波未平一波又起。

这两篇重磅论文都把攻击的矛头对准了量子通信的发射光源,量子通信光源系统存在多种严重的安全隐患,详见下图。

图片说明:黑客对量子通信(QKD)的发射源端(Alice)的攻击可以分成两个方面:利用安全漏洞(Security Breach)和阻断服务攻击(Deny Of Service)。利用安全漏洞又可细分为三类:1)特洛伊木马攻击;2)激光致盲攻击;3)激光注入攻击。

上海交大的论文可归于“特洛伊木马攻击”,而这篇新的国际合作论文就是“激光注入攻击。”它们攻击的目标虽然都是指向量子通信的光源,但是攻击的手法各有千秋不同。例如“激光致盲攻击”就属于“很黄很暴力”!但“激光注入攻击”则更像“悄悄的进村、打枪的不要 。”发起攻击的激光功率仅在100nW级别,就神不知鬼不觉地给量子通信挖了个深坑。

当时上海交大的论文在网上arXiv预收录文库发表后,中科大的某院士专门撰文作了回应,他的原话是:“这类攻击早在二十年前就已经被提出,而且其解决方案就正如文章作者宣称的一样,加入光隔离器这一标准的光通信器件就可以了。”听上去他只要动动手指头就能轻松化解,该论文应该只能在网上挂挂而己没多大价值。但是出乎意料,今年三月上海交大的论文也在高挡期刊(Physical Review Applied)正式发表了。我想科学总归是科学,谁也不能一手遮天吧。

事实上在这篇新的国际合作论文中,对于量子通信光源的反黑客措施有详细的分析。论文明确指出依靠光衰减器是无法有效防范激光注入式攻击的,当衰减器为60db,激光输入功率也仅需100mW,这对攻击者来说易如反掌。更严重的问题是,他们的研究证明,通过强激光致盲攻击可以永久性地降低光衰减器的衰减系数。所以在实战环境中,黑客可以釆用多种手段发动攻击,可以先使用激光致盲攻击,降低量子通信光源的衰减器的衰减功能,然后交替使用激光注入式攻击、特洛伊木马攻击等方式,最后彻底击垮量子通信的安全防线。由此可见,量子通信所谓的无条件安全性更像是一个笑话。

上述所有的攻击都是针对QKD的光源,但这并不表示QKD其它部位就是安全的,其实QKD的检测端有更多的安全问题。但是自从提出了MDI-QKD协议后,应对QKD检测端的安全问题有了物理实验方案,所以关于QKD检测端安全的研究暂告一段落。但是如果MDI-QKD进入工程化的话,还是会有各种新的问题产生,新的质疑一定会“春风吹又生。”

需要指出的是MDI-QKD还未进入实用阶段,所有已建和在建的量子通信工程项目中不仅光源存在许多安全隐患,其实检测端安全问题更多更严重,只不过专家学者对此都已经不愿再化功夫搭理而已。这好比在如今Windows 10的年代,很难再看到关于Windows 95安全隐患的研究报告了。但是如果你非要说运行在Windows 95很安全,那是脑子进水了。不过话又说回来,运行Windows 95系统可能真的也没有什么不安全,因为破解这种老古董系统的技术含量太低,而且这些系统本身就是个摆设也干不了什么实事,稍有点身份的黑客都赖得攻击它们,怕掉价!这其实就是目前量子保密通信京沪干线、武合干线等工程项目看似岁月静好的原因。

行笔至此,可能会有读者觉得学术界对量子通信安全问题的质疑是否有点吹毛求疵,甚至对量子通信催生出一丝同情心。其实把“适可而止”、“宽大为怀”这套待人之道代入学术研究是非常要不得的,“一丝不苟”、“精益求精”才是推动科技进步的动力。学术界对传统密码安全性的研究之严格和苛刻从来如此,几乎到了精神分裂的地步,只是不为常人所知而己。相比之下,量子通信的安全性研究仍处于初级阶段,推进量子通信工程工程化产业化的时机远未成熟。

“量子通信理论上是绝对安全的”不是一种正确的科学表述方式。量子通信的理论安全性是有条件的,只有当QKD的通信距离和成码率符合一定要求时才能保证理论上的安全性。这篇论文指出,当QKD光源受到激光注入攻击后,系统的理论安全的条件被大幅压缩,变得更为苛刻。但是系统很难觉察到这种变化,用户依然在原来自以为安全的条件下交换分发密钥。但是在这种情况下:保证系统的理论安全的条件已经不能满足,因此系统实质上运行在不安全区域。换言之,这时候通过QKD分发的密钥很有可能被黑客部分或全部窃取,而QKD的用户完全被蒙在了鼓里。“量子通信理论上是绝对安全的”就成了一句空话。

相比传统的数字化密码技术,量子通信是效率极低、价格贼贵、使用特难,真可谓一无可取之处,这就是为什么量子通信总把绝对安全放在嘴上天天讲、月月讲、年年讲的道理,因为没有了这个所谓的绝对安全量子通信就什么也不是。但是一系列最新科学研究的结果却抽走了量子通信的赖以生存的最后一根救命稻草。这有点像名牌大学招新生,招进了一个数理化门门挂科的特长生,最后却发觉他的特长竟然是子虚乌有,这让招生办情何以堪?这可能就是今日量子通信工程的真实写照。

总之,目前的量子通信工程的现状是:1)它的源头有严重疾病必须尽快加以治疗;2)它的检测端已经千疮百孔已经无法救治,必须全部切除,但目前器官移植的条件又不具备。整个量子通信工程还有什么是安全的呢?量子通信被黑何时了,漏洞知多少?

附件

实验装置见下图左。黑客(Eve)使用可调激光器(C.W.)通过单模光纤将激光注入QKD的发射光源(LD)。通过调节激光的波长,将适当波长的光子注入激光二极管(LD),当注入的光子的能量与激光器的激发态和基态之间的能级差相匹配时,导致受激发射。为了最大程度地提高注入效率,黑客使用偏振控制器(PC)调整注入激光的偏振,使其与QKD的偏振状态相匹配。为了将注入激光与QKD的信号分开,实验使用了光学环形器(Circulator)。攻击的激光进入环形器的端口1,然后由端口2输出(红线),而QKD的信号从环形器的端口2进入由端口3输出(兰色虚线),最后送入高速脉冲同步示波器作观察和纪录。

实验结果见上图右:图中兰色实线是未受黑客攻击时QKD的脉冲信号,受黑客攻击后QKD脉冲信号的幅度和波形发生变化,橙、黃、和紫色虚线分别代表在不同强度的注入激光攻击下的变化情况。理论证明,QKD的信号强度的意外增加会严重影响QKD的安全性。

使用诱骗态BB84协议的理论安全分析模型,对QKD脉冲信号的幅度发生变化后的安全性作计算机数值模拟,得到下图。图中的曲线给出了为符合安全要求QKD的通信距离和成码率必须遵循的约束条件。图中的兰色虚线是正常情况下的安全下限曲线RL,曲线RL表明为了确保QKD的理论安全,系统的通信距离和成码率必须约束在该曲线的下方。在遭受黑客激光注入攻击后,RL曲线明显下移至红色点划线,这表明QKD的通信距离和成码率的安全空间被进一步压缩。图中的红色虚线是受攻击后系统的安全上限曲线RU,处于曲线RU上方的所有通信距离和成码率的组合全都不符合理论安全的要求。

图中的红色实线是量子通信双方之间自己以为安全的下限曲线。在这时候量子通信的实际安全性已经远远高出安全下限曲线RL(红色点划线),这表明量子通信在这种状态下是得不到理论安全性保证的。不仅如此,量子通信的实际安全性在大多数情况下甚至高出安全上限曲线RU,这表明量子通信在这种状态下实际上是不安全的。

对于以上的分析有以下几点需要注意。

1)量子通信的理论安全远非“是与否”那么简单,安全性是与通信距离和成码率紧密相关的,这和高铁安全性其实是同一个道理。高铁安全吗?这取决于高铁的运行速度,目前情况下,当速度为每小时300公里以下是很安全的,当速度为400公里以上就很难说了。而量子通信的安全性与通信距离和成码率都有关,所以安全性应由通信距离与成码率二维空间的一条曲线来描述,对于确定的通信距离和成码率,如果这个点处于曲线之下表示这种状态下理论上是有安全保障的,反之理论上是不安全的。

2)由于分析量子通信理论安全的模型不是唯一的,具体计算方法也各有不同,所以实际上这类理论安全曲线不止一条而是一簇。为了分析的方便,可以求出这一簇曲线的上下包络线,下包络线就是理论安全曲线的下限RL,而上包络线就是理论安全曲线的上限RU。对于确定的通信距离和成码率,如果处于RL之下,它在理论上是安全的;如果在RU之上,它就是不安全的。

3)从量子通信安全性的理论分析中可以看出,为了保障量子通信的绝对安全,在较长的距离上,量子通信的成码率低得可怜,在许多场合下很难产生实际应用价值。

由此可知,“量子通信理论上是绝对安全的”不是一种正确的科学表述方式。即使从理论上来看,量子通信的安全性至少也与通信距离和成码率息息相关,脱离具体的环境谈安全性没有什么意义。把量子通信的安全性、通信距离和成码率三大要素分隔开来宣传,一会儿说量子通信绝对安全,一会儿又说量子通信距离突破XXX公里或者成码率又达到YYY,这种宣传也许每一句话都没有错,但是这完全不表示这个QKD系统在XXX公里距离上、成码率为YYY的情况下是绝对安全的。

论文原件:Laser-Seeding Attack in Quantum Key Distribution

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s