谎言的最高境界是什么?就是他说的每一句话都是真话,可是组合起来就成了一个十足的谎言。
- 量子通信的物理过程可以抽象出一个数学模型;
- 量子通信的数学模型的绝对安全性是可以用数学证明的。
上面两句都是真话,但是把它们合在一起变成:“量子通信的绝对安全性是可以用数学证明的”,就成了一个谎言。这里施的是“移花接木”之计,其实证明的只是数学模型的绝对安全性,而不是量子通信物理过程的绝对安全性。数学模型虽然是从量子通信的物理过程抽象出来的,但是数学模型永远不等于真实的物理过程。
必须明白,能够通过数学作理论证明的只能是数学模型,绝不可能是真实的物理过程。量子通信分发密钥是物理过程而不是数学模型,量子通信分发密钥的绝对安全性是无法用数学证明的,因此“量子通信绝对安全”就是一个十足的谎言。
传统密码是基于数学原理,它的安全性才是真正可以通过数学作严格的分析和证明。但是传统密码从来没有吹嘘自己是绝对安全的,它坦率地告诉大家,破解密码在目前最快的电子计算机上按现在的算法程序至少需要多少万年,这才是科学的做法和态度。
传统密码使用的是数学方法,其安全性是可以直接用数学严格定义和量化的;量子通信是一个物理过程,对它的安全性分析只能在其抽象化的数学模型上进行,得到的仅是简接和近似结果。但是竟然有人会相信量子通信安全性远高于传统密码,逻辑混乱莫此为甚!
记得有这么一个故事,富翁为他满月的宝贝儿子设宴庆祝,来客都说这孩子面有福相,一定长命百岁前程无量,他们当然得到了各种赏赐;其中有一个客人说这孩子逃不过生老病死总归是要死的,他被主人立即轰了出去。
真话伤人假话暖心,这大概也是人之常情吧。但是这样的事情竟然会发生在科技界,科学院院士和名牌大学的教授博导会一本正经地宣传量子通信绝对安全,实在令人难以置信。创新和超越故然重要,但普及科学知识、增强逻辑思维能力也许更重要更紧迫。
这世上有许多重要的技术与安全密切相关,例如疫苗针剂、越洋飞机、摩天大楼、水库大坝,但从未有人宣称可以用数学证明这些技术是绝对安全的。其实这背后的道理也很简单,因为任何技术能在市场竞争中脱颖而出靠的只能是真实性能,弄个数学模型来证明绝对安全徒成笑柄。唯独量子通信一家反其道而行之,宣传量子通信绝对安全性不遗余力,这背后隐藏着量子通信推动者们深深的纠结和无奈。
所谓的量子通信QKD其实只是密钥分发。密钥分发早有多种安全成熟的技术,这些传统密钥分发技术在网络兼容性、分发速率、成本效益等主要技术性能指标上全面碾压QKD,而且抗量子攻击的传统密码技术很快可以实用,在市场竞争中量子通信憋屈久矣。这么多年来量子通信能够苟延残喘拖到今日,靠的也只有“量子通信绝对安全性”这个谎言了。但是靠谎言度日的工程技术又能支撑多久呢?
数学(理论)能够证明的只能是量子通信的数学模型,而不是量子通信真实的物理过程。下面将进一步深入分析量子通信物理过程与数学模型之间的差异。
量子通信(QKD)的数学模型是建立在一系列假设之上的,它仅是QKD真实物理过程的简单化和理想化。下面这张表格列出了建立QKD数学模型的六个假设。表中每行分别列出了对QKD的各个部件的理想要求(即假设),以及与之对应的实际状况(差距)。从表中不难看出所有这些假设和条件在现实世界中都是无法满足的。
请注意,上面表格中只是列出了与器件有关的一些假设,事实上为了建立起一个能够证明绝对安全的数学模型,还隐藏了一些其它的假设和条件。这些假设在现实世界中是根本不成立的,请看下面三个例子。
1)绝对安全的数学模型要求QKD分发密钥过程中仅发生量子物理效应
量子物理的“不可克隆定律”可以保证量子密钥分发QKD的绝对安全,这个结论其实已经隐含了这样一个假设:QKD过程中仅仅只发生了量子物理过程,因为“不可克隆定律”不适用于其它物理效应。遗憾的是,纯粹单一的物理过程在现实世界中根本不存在,量子物理过程一定伴随着电磁、机械等许多其它物理过程。
具体来看,QKD过程中需要调控光源、操纵滤波器件、和转换光电信号,这一系列过程必须依靠电磁作用力,甚至会涉及机械力。这就必然会产生相应的电磁辐射,机械运动则还会有声波产生。这些电磁辐射和声波与量子物理过程是无法绝对地分割,因此它们一定也带有密钥的部分信息,它们不受“量子不可克隆定理”约束,所以第三方攻击者完全可以从电磁辐射和声波中窃取密钥信息而不被察觉。
当然这些电磁辐射和声波都非常微弱,但是在理论上它们不是零存在。我们千万不能低估现代探测技术的威力,现代信号处理技术甚至可以探测到十多亿光年之外的引力波,认为几十米外的电磁辐射无法探测是毫无科学根据的。
原则上,我们完全可以在QKD的线路两端设置针对电磁辐射和声波的高灵敏度多频段的接收设备,然后把所有信号先记录下来。有了这些大数据,再加上AI算法,攻击者就可以获得通过QKD传递的密钥的部分甚至全部信息。
如果目前的算法和计算机的能力还不足以通过QKD过程中泄漏的信息来破解密钥,可以把所有相关数据先存放下来,隨着技术的⻜速进步,这些依靠QKD传递的密钥被破解只是时间问题,至少谁也无法证明这是不可能的。由此可知,所谓的QKD绝对安全和长期安全都是十足的谎言。
2)绝对安全的数学模型要求QKD产生的密钥是真隨机数
现在退一步,假设通过立法禁止使用物理全息原理收集和存贮广谱的电磁辐射,从而让通信双方使用QKD获得了绝对私密的共享密钥,为了保证双方通信内容(明文)绝对不会被第三者破解,密钥还要满足以下三个条件:
- 密钥的⻓度跟明文一样;
- 密钥是一串真随机字符串;
- 每传送一次密文后都更换密钥。
满足这三个条件的密钥又叫做“一次性便笺”(one-time pad)。信息论鼻祖香农(Claude E. Shannon)从数学上证明了密钥如果满足这三个条件,就能确保通信的绝对秘密(unbreakable)。
用上述三个条件来审视QKD,第一和第三个条件在实际应用中很难满足,这里先按下不表,对此另有专文作详细分析。我们现在先把目光聚焦在第二个条件上——密钥是真随机数。
密钥是一个真隨机数是保证通信绝对私密的关键。一个二进制的真隨机数就是其中每位出现“1”和“0”的几率完全相等各为50%,而且所有位与位之间的取值必须完全独立。真隨机数的定义看似简单明了,但要实现却非常困难。产生真隨机数的密钥不仅⻓年来困扰着传统密码界,事实上也一直是QKD的重要技术障碍[注1]。
这里必需强调指出,量子物理中利用量子态隨机坍缩产生隨机数与QKD通过BB84协议产生隨机密钥是两个完全不同的概念。在BB84的过程中,代表密钥的量子偏振状态在产生后要经历:传输、干涉、测试、比对、纠错等一系列复杂的过程。其中的干涉不仅有被动的噪声干扰,更有攻击者的主动干涉。总之,谁也无法严格证明QKD产生的密钥是真隨机数,香农证明的第二个条件不成立,因此“量子通信的绝对安全性是可以用数学证明的”这个结论不能成立。
3)绝对安全的数学模型要求QKD能够保证密钥分发的私密性、完整性和可利用性
现在先退一步,让我们立法不准使用物理全息原理收集和存贮广谱的电磁辐射,以保证密钥分发的绝对私密性。然后再退一步,假设研究人员彻底放弃BB84协议发明了一种全新的QKD的方案,该方案保证分发的密钥是真隨机数。那么这种新的QKD技术就真能保证通信的绝对安全了吗?非常不幸,答案还是否定的。
量子通信自始至终把重点放在了通信的私密性上,误以为绝对私密性就等于通信的无条件安全性,把自己带入了深坑中。
密码学界通常会用 “CIA ” 来概括通信安全的三要素:Confidentiality 私密性,Integrity 完整性,Availability 可利用性。保护通信安全仅有私密性是远远不够的,脱离通信的完整性和不可篡改性,高谈阔论通信的安全性毫无意义。
在量子通信开始时如果甲乙双方的真实身份无法确认,攻击者在通信线路中间对甲方冒充乙方,同时对乙方冒充甲方。甲方与攻击者之间、攻击者与乙方之间照样可以顺利分发得到二个密钥,然后甲方把通信内容加密后传送给了攻击者,攻击者用第一个密钥解密获得了全部通信内容,然后再把通信内容用第二个密钥加密后传送给乙方,乙方用密钥解密得到通信内容。甲乙双方还以为依靠量子通信完成了无条件安全的通信,谁知攻击者在暗处偷笑: 量子通信传递的秘密“尽入吾彀中矣。”
由于QKD缺失身份认证和数字签名功能,为了在密钥分发时防御“中间人”攻击,QKD本身还需依赖传统密码技术提供保护,被吹嘘得神乎其神的量子通信其实更像是泥菩萨过河—自身难保。量子通信在理论上是无条件安全的”这句话听上去更像是一种讽刺。
综上所述,一个能够被证明为绝对安全的量子通信至少必须满足这样三个假设:QKD过程中仅只发生了量子物理效应、QKD产生的密钥是真隨机数、通信的私密性等同于通信安全性。这样的量子通信其实只是量子通信的数学模型,它在现实世界上并不存在,因此“量子通信的绝对安全性是可以用数学证明的”就是一个谎言。
下面将对量子通信的实际安全性作出科学的分析和评估。
最近,美国安全局发布了关于量子通信的政策报告,该报告的第四部份特别指出:“QKD系统提供的实际安全性不可能来自物理定律的理论无条件安全性(后者只是数学建模的结果),它更决定于由硬件和工程设计提供的有限的安全性。但是,密码安全对不确定性的容忍度要比大多数物理工程方案小很多个数量级,因此QKD安全性验证很难通过。用于执行QKD的特定硬件会引入漏洞,从而导致对商业QKD系统的一系列广为人知的黑客攻击。”
美国安全局的政策报告不仅有较高的理论水平,而且也充分揭示了量子通信产业化中存在的严重问题,这个政策报告是接地气的。目前,量子通信的工程系统有量子通信“京沪干线”、“京汉干线”、“武合干线”等,在这些量子通信干线上,从光源到可信中继站再到测量端,从头到尾没一处是安全可靠的,真可谓是“处处冒烟、点点失火”。
1)QKD 光源的安全隐患
对QKD的发射源端的攻击可以分成两个方面:利用安全漏洞(Security Breach)和阻断服务攻击(Deny Of Service)。利用安全漏洞又可细分为三类:特洛伊木马攻击;激光致盲攻击;激光注入攻击。
2020年前后分别有两篇重磅科学论文揭示了在QKD光源中存在着严重的安全隐患,它们分别与特洛伊木马攻击和激光注入攻击有关。论文明确指出使用光衰减器是无法有效防范激光注入式攻击的,当衰减器为60db,激光输入功率也仅需100mW,这对攻击者来说易如囊中探物,而且研究还证明通过强激光致盲攻击可以永久性地降低光衰减器的衰减系数。
在实战环境中,黑客可以釆用多种手段对QKD光源发动攻击,可以先使用激光致盲攻击,降低QKD光源的衰减器的衰减功能,然后交替发动激光注入式攻击、特洛伊木马攻击,最后彻底击垮量子通信的安全防线。
2)QKD 可信中继站的安全隐患
在QKD的每个“可信中继站”里,密钥必须还原成传统明文形式的隨机数,裸露的密钥又与计算机等各种硬件亲密接触。请注意,这些计算机都是联网的,中继站里又有运维人员进进出出,所以QKD分发的密钥在中继站中几乎就是任人宰割的羔羊。
通信安全需要了解两个概念:信道和信源、信宿,密码系统只是保护信道,不保护信源、信宿,在通信收发两端的信源、信宿处信息以明文形式呈现,所以信源、信宿才是泄密的万恶之源。
传统密钥分发时,信道包括光纤、中继器、路由器、交换机,密钥在这些地方都是以密文方式传送,不可能泄密。但是量子通信的可信中继站其实已经不只是单纯的信道了,由于密钥以明文形式出现,使得每个中继站变成了信源、信宿。
传统京沪通信光缆就是一个完整单一的信道,加密后的密钥不怕被窃取,但是京沪量子通信干线2000多公里的信道被切成30多段,每段的中继站都是信源、信宿,这就人为增添了30多个严重的安全隐患!QKD的可信中继站为黑客窃取密钥打开了几十扇天窗!
顺便提一句,在量子通信安全性分析的数学模型中根本就找不到可信中继站的影子,这样做的根据又在哪里?“量子通信专家”在中继站前面加上了“可信”两字,于是“中继站”立即变成绝对安全了,所以在作系统安全分析时就不必再考虑进去了。这不是典型的掩耳盗铃自欺欺人吗?这种理论安全性证明骗谁呢?
3)QKD 测量端安全隐患
目前已建的所有量子通信工程使用的都是BB84协议的改进版—诱骗态,这种技术方案在QKD测量端存在许多严重的安全隐患,而且至今没有妥善的解决方案。这里有中科大量子通信团队公开发表的论文作证:
“尽管安全补丁可以抵御某些[对测量端]的攻击,但补丁对策本身可能会打开其他漏洞。结果,这可能会引入另一层安全风险(参见:Huang等人,2016a; Qian等人,2019; Sajeed等人,2015b)。此外,安全修补程序的主要问题是它们仅阻止已知的攻击。对于潜在的未知攻击,对策可能会失败。因此,安全补丁只是临时的,它已经违背了QKD的信息理论安全框架。”
由以上分析可知,整条量子通信干线从头烂到了尾,因此在高安全性的需求领域根本就不可能采用量子通信工程来分发密钥的,这就是为什么量子通信产品至今无法进入国家的核心密码和普通密码系统之中的真实原因。从目前状况来看,量子通信工程产品是否能通过商用密码标准审核都要打上一个问号。
据说,MDI-QKD 可以有效缓解QKD测量端的安全隐患,替代可信中继的量子中继方案也在研制之中。但是这些都仅是物理实验方案,有些甚至还只在纸上,问题是已经建成的上万公里的量子通信干线怎么办?画饼岂能充饥!
总而言之,量子通信的绝对安全性是无法证明的,实际上的安全性则远不及传统密码。一个有着五大技术困境而且又是不安全的量子通信注定不会有什么工程前景。
徐令予博客 