徐令予：科學論文再揭量子通信漏洞

【文/觀察者網專欄作者 徐令予】

不久前，法國國家網絡安全局(ANSSI)發布了一份關於量子通信(QKD)的技術指導性文件，該文件在討論QKD的安全性問題時，特別引述了國際著名物理期刊(Physical Review Applied)上發表的一篇論文：《破解量子密鑰分發的雷射注入式攻擊》[1]。量子通信的安全問題再次亮起紅燈。

圖1

該論文的作者們都是量子通信領域的專家，他們分別來自中國、加拿大、俄羅斯和西班牙，論文的第一作者就是中國國防科技大學的學者。論文的內容可以概括為以下三點。

1）實驗顯示，黑客可以把微弱的雷射注入到量子密鑰分發(QKD)的發射光源，從而導致QKD信號強度增加；

2）理論證明，QKD的信號強度的意外增加會嚴重影響QKD的安全性；

3）以上的理論證明不僅適用於QKD的誘騙態BB84協議和MDI-QKD協議，而且也適用於以誘騙態為基礎的其它量子密碼協議。

實驗裝置見圖2左。黑客(Eve)使用可調雷射器(C.W.)通過單模光纖將雷射注入QKD的發射光源(LD)。通過調節雷射的波長，將適當波長的光子注入雷射二極體(LD)，當注入光子的能量與雷射器的激發態和基態之間的能級差相匹配時，導致受激發射。為了最大程度地提高注入效率，黑客使用偏振控制器(PC)調整注入雷射的偏振，使其與QKD的偏振狀態相匹配。為了將注入雷射與QKD的信號分開，實驗使用了光學環形器(Circulator)。攻擊的雷射進入環形器的埠1，然後由埠2輸出(紅線)，而QKD的信號從環形器的埠2進入由埠3輸出(藍色虛線)，最後送入高速脈衝同步示波器作觀察和記錄。

圖2

實驗結果見圖2右：圖中藍色實線是未受黑客攻擊時QKD的脈衝信號，受黑客攻擊後QKD脈衝信號的幅度和波形發生變化，橙、黃和紫色虛線分別代表在不同強度的注入雷射攻擊下的變化情況。理論證明，QKD的信號強度的意外增加會嚴重影響QKD的安全性。

使用誘騙態BB84協議的理論安全分析模型，對QKD脈衝信號的幅度發生變化後的安全性作計算機數值模擬，得到圖3。圖中的曲線給出了為符合安全要求QKD的通信距離和成碼率必須遵循的約束條件。圖中的藍色虛線是正常情況下的安全下限曲線RL，曲線RL表明為了確保QKD的理論安全，系統的通信距離和成碼率必須約束在該曲線的下方。在遭受黑客雷射注入攻擊後，RL曲線明顯下移至紅色點劃線，這表明QKD的通信距離和成碼率的安全空間被進一步壓縮。圖中的紅色虛線是受攻擊後系統的安全上限曲線RU，處於曲線RU上方的所有通信距離和成碼率的組合全都不符合理論安全的要求。

圖3

圖中的紅色實線是量子通信雙方之間自己以為安全的下限曲線。在這時候量子通信的實際安全性已經遠遠高出安全下限曲線RL(紅色點劃線)，這表明量子通信在這種狀態下是得不到理論安全性保證的。不僅如此，量子通信的實際安全性在大多數情況下甚至高出安全上限曲線RU，這表明量子通信在這種狀態下實際上是不安全的。

對於以上的分析有以下幾點需要注意。

第一，量子通信的理論安全遠非「是與否」那麼簡單，安全性是與通信距離和成碼率緊密相關的，這和高鐵安全性其實是同一個道理。高鐵安全嗎？這取決於高鐵的運行速度，目前情況下，當速度為每小時300公裡以下是很安全的，當速度為400公裡以上就很難說了。而量子通信的安全性與通信距離和成碼率都有關，所以安全性應由通信距離與成碼率二維空間的一條曲線來描述，對於確定的通信距離和成碼率，如果這個點處於曲線之下表示這種狀態下理論上是有安全保障的，反之理論上是不安全的。

第二，由於分析量子通信理論安全的模型不是唯一的，具體計算方法也各有不同，所以實際上這類理論安全曲線不止一條，而是一簇。為了分析的方便，可以求出這一簇曲線的上下包絡線，下包絡線就是理論安全曲線的下限RL，而上包絡線就是理論安全曲線的上限RU。對於確定的通信距離和成碼率，如果處於RL之下，它在理論上是安全的；如果在RU之上，它就是不安全的。

第三，從量子通信安全性的理論分析中可以看出，為了保障量子通信的絕對安全，在一定的距離上，量子通信的成碼率低得可憐，在許多場合下很難產生實際應用價值。

由此可知，「量子通信理論上是絕對安全的」不是一種正確的科學表述方式。即使從理論上來看，量子通信的安全性至少也與通信距離和成碼率息息相關，脫離具體的環境談安全性沒有什麼意義。把量子通信的安全性、通信距離和成碼率三大要素分隔開來宣傳，一會兒說量子通信絕對安全，一會兒又說量子通信距離突破XXX公裡或者成碼率又達到YYY，這種宣傳也許每一句話都沒有錯，但是這完全不表示這個QKD系統在XXX公裡距離上、成碼率為YYY的情況下是絕對安全的。

請注意，這篇論文的理論分析具有普適性，它的結論適用於QKD的誘騙態BB84協議和MDI-QKD協議。量子保密通信京滬幹線、武合幹線、京漢幹線使用的都是誘騙態BB84協議，因此這篇論文對於量子通信工程化具有重要的指導意義。

去年初，上海交通大學研究團隊成功破解「量子通信」的論文在網際網路上曾激起了一片浪花。接著就是去年年底的這篇國際團隊的論文《破解量子密鑰分發的雷射注入式攻擊》，對量子通信安全性的質疑一波未平一波又起。這兩篇重磅論文都把矛頭對準了量子通信的發射光源，量子通信光源系統存在多種嚴重的安全隱患，詳見下圖。

圖4：黑客對量子通信(QKD)的發射源端(Alice)的攻擊可以分成兩個方面：利用安全漏洞(Security Breach)和阻斷服務攻擊(Deny Of Service)。利用安全漏洞又可細分為三類：1）特洛伊木馬攻擊；2）雷射致盲攻擊；3）雷射注入攻擊。

上海交大的論文可歸於「特洛伊木馬攻擊」，而這篇新的國際合作論文就是「雷射注入攻擊。」它們攻擊的目標雖然都是指向量子通信的光源，但是攻擊的手法各有千秋。例如「雷射致盲攻擊」就屬於「很黃很暴力」！但「雷射注入攻擊」則更像「悄悄的進村、打槍的不要」。發起攻擊的雷射功率僅在100nW級別，就神不知鬼不覺地給量子通信挖了個深坑。

這篇新的國際合作論文中對於量子通信光源的反黑客措施也有詳細的分析。論文明確指出使用光衰減器是無法有效防範雷射注入式攻擊的，當衰減器為60db，雷射輸入功率也僅需100mW，這對攻擊者來說易如囊中探物。

更嚴重的問題是，他們的研究證明，通過強雷射致盲攻擊可以永久性地降低光衰減器的衰減係數。所以在實戰環境中，黑客可以採用多種手段發動攻擊，可以先使用雷射致盲攻擊，降低量子通信光源的衰減器的衰減功能，然後交替使用雷射注入式攻擊、特洛伊木馬攻擊等方式，最後徹底擊垮量子通信的安全防線。由此可見，量子通信所謂的無條件安全性是經不起實戰考驗的。

上述所有的攻擊都是針對QKD的光源，但這並不表示QKD其它部位就是安全的，其實QKD的檢測端存在許多安全隱患。但是自從提出了MDI-QKD協議後，應對QKD檢測端的安全問題有了實驗室方案，所以關於QKD檢測端安全的學術性研究暫告一段落。但是如果MDI-QKD進入工程化的話，還是會有各種新的問題產生，新的質疑一定會「春風吹又生」。所以從工程角度來看，安全問題只能是一場貓與老鼠之間永無止境的拉鋸戰。

需要指出的是MDI-QKD還未進入實用階段，所有已建和在建的量子通信工程項目中不僅光源存在許多安全隱患，其實檢測端安全問題更多更嚴重，只不過專家學者對此都已經不願再花功夫搭理而已。這好比在如今Windows 10的年代，很難再看到關於Windows 95安全隱患的研究報告了。但是如果你非要說運行在Windows 95很安全，那就令人無語了。不過話又說回來，運行Windows 95系統可能真的也沒有什麼不安全，因為破解這種老古董系統的技術含量太低，而且這些系統本身就是個擺設也幹不了什麼實事，稍有點身份的黑客都懶得攻擊它們，怕掉價！

行筆至此，可能會有讀者覺得學術界對量子通信安全問題的質疑是否有點吹毛求疵，甚至對量子通信催生出一絲同情心。其實把「適可而止」、「寬大為懷」這套待人之道代入學術研究是非常要不得的，「一絲不苟」、「精益求精」才是推動科技進步的動力。學術界對傳統密碼安全性的研究之嚴格和苛刻從來如此，幾乎都到了精神分裂的地步，只是不為常人所知而己。相比之下，量子通信的安全性研究仍處於初級階段，因此推進量子通信工程化產業化更應慎重。

[1]Laser-Seeding Attack in Quantum Key Distribution

https://journals.aps.org/prapplied/abstract/10.1103/PhysRevApplied.12.064043

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平臺觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閱讀趣味文章。