修修補(bǔ)補(bǔ)還是推倒重建 量子通信陷入兩難困境

徐令予
目前,密鑰分發(fā)在企業(yè)專網(wǎng)上使用對稱密碼為主,在互聯(lián)網(wǎng)上則使用公鑰密碼。理論上,量子計算機(jī)破解密碼的威脅也僅對公鑰密碼有效,而高端絕密信息很少會在互聯(lián)網(wǎng)上傳輸,所以QKD即使能替代公鑰密碼其意義也是十分有限的,如果它真能做到的話。

量子通信技術(shù)是利用量子力學(xué)原理為傳統(tǒng)密碼系統(tǒng)分發(fā)密鑰。一種技術(shù)從原理到工程實施一般都會有不同的途徑和方案,例如利用原子核裂變釋放能量可以制造原子彈,制作原子彈的材料可以釆用鈾235或者钚,具體方案又有槍式和內(nèi)爆等。一種技術(shù)的效果和優(yōu)劣不完全取決于它釆用什么原理,更關(guān)鍵的是決定于實施的具體方案。許多時候,原理看上去是“頭頂光環(huán)、美輪美奐”,方案出爐卻是“歪瓜裂棗、面目全非”。

量子通信在工程實施中也有多種不同的技術(shù)方案,這些技術(shù)方案又稱為協(xié)議,例如BB84協(xié)議、E91協(xié)議、B92協(xié)議和MDI-QKD協(xié)議。這些協(xié)議各有所長,安全性能也有高低不同。所以爭論量子通信是否安全沒有什么意義,真正應(yīng)該關(guān)心的是量子通信的某某協(xié)議是否安全。因此通常都是“外行看原理,內(nèi)行看協(xié)議。”

中國已建的所有量子通信工程使用的都是BB84協(xié)議的改進(jìn)版—誘騙態(tài),這種技術(shù)方案在測量端存在許多嚴(yán)重的安全隱患[1],而且至今沒有妥善的解決辦法。這可不是我的主觀判斷,中科大量子通信團(tuán)隊公開發(fā)表的論文中白紙黑字這樣寫著:

“盡管安全補(bǔ)丁可以抵御某些[對測量端]的攻擊,但補(bǔ)丁對策本身可能會打開其他漏洞。結(jié)果,這可能會引入另一層安全風(fēng)險(參見:Huang等人,2016a;Qian等人,2019;Sajeed等人,2015b)。此外,安全修補(bǔ)程序的主要問題是它們僅阻止已知的攻擊。對于潛在的未知攻擊,對策可能會失敗。因此,安全補(bǔ)丁只是臨時的,它已經(jīng)違背了QKD的信息理論安全框架。”[2]。

由此可知,所有已建的量子通信干線都不是絕對安全的,恰恰相反它們都是絕對的不安全。造成今日的尷尬局面有客觀因素,但是量子通信推動者的主觀失誤要負(fù)主要的責(zé)任。

解決測量端安全隱患存在較好的一攬子解決方案,即“測量設(shè)備無關(guān)量子密鑰分發(fā)”(MDI-QKD)協(xié)議[3]。MDI-QKD協(xié)議誕生于2012年,2013年己有多個實驗室成功實現(xiàn)該協(xié)議,到了2016年MDI-QKD在傳輸距離、密鑰成碼率等主要技術(shù)性能得到大幅提升,已經(jīng)具備了替代老舊的BB84方案的可能。

2345截圖20200908083720.png

京滬量子通信干線立項于2013年,是在MDI-QKD誕生之后,工程建設(shè)期中MDI-QKD日趨成熟。如果工程略為推遲一點,全部工程就可以采用先進(jìn)的MDI-QKD方案,京滬量子通信干線至少就不用為測量端的安全隱患而煩惱。

最令人費(fèi)解的是,量子通信滬合、京漢、漢廣等干線立項已經(jīng)到了2018年,這時候MDI-QKD技術(shù)已經(jīng)相當(dāng)成熟,但是它仍被工程決策者拒之門外,這無論如何也很難自圓其說。

與目前使用的BB84誘騙態(tài)相比,MDI-QKD的工程成本會更高一些,密鑰的成碼率可能也低一些。但是量子通信工程的目標(biāo)是建設(shè)高安全性的密鑰分發(fā)設(shè)施,那么工程成本和成碼率就不應(yīng)成為主要的考慮因素,至少不能為了節(jié)省工程成本提高成碼率而犧牲安全性,否則建設(shè)量子通信工程意義究竟何在?

唯一的解釋是,量子通信工程的推動者從一開始就沒有打算建設(shè)一條絕對安全的密鑰分發(fā)干線,他們從立項開始就在安全標(biāo)準(zhǔn)上放水,決定放棄使用MDI-QKD方案就是一個最好的證明。

量子通信工程推動者拒絕采用MDI-QKD的借口可能是“要與時間賽跑”,但是從上圖的時間節(jié)點來看,這個借口是十分勉強(qiáng)的。即使為了釆用MDI-QKD把京滬量子通信工程略為移后幾年,絕對是利大于?,畢竟工程建設(shè)是百年大計,安全穩(wěn)妥應(yīng)該壓倒一切。

事實上量子通信工程的急迫性根本就不存在。量子通信工程只是用物理手段為通信雙方分發(fā)一個隨機(jī)數(shù),用它作為密碼加密解密時的密鑰,又稱為量子密鑰分發(fā)QKD。必須明白,遠(yuǎn)在QKD出現(xiàn)之前密鑰分發(fā)就有了多種成熟有效的技術(shù),QKD既不是密鑰分發(fā)的唯一方案,更不是密鑰分發(fā)的安全有效方案。

目前,密鑰分發(fā)在企業(yè)專網(wǎng)上使用對稱密碼為主,在互聯(lián)網(wǎng)上則使用公鑰密碼。理論上,量子計算機(jī)破解密碼的威脅也僅對公鑰密碼有效,而高端絕密信息很少會在互聯(lián)網(wǎng)上傳輸,所以QKD即使能替代公鑰密碼其意義也是十分有限的,如果它真能做到的話。

況且,大型實用的量子計算機(jī)還在末定之天,公鑰密碼也遠(yuǎn)非像宣傳的那樣脆弱不堪。應(yīng)對未來的抗量子攻擊的公鑰密碼(PQC)技術(shù)也比量子通信(QKD)更成熟更有效。

所以從根本上看,量子通信工程沒有必要性更不具備急迫性,京滬量子通信干線建成三年多來“門庭冷落車馬稀”的現(xiàn)狀就是是最好的注解。如果量子通信工程是國家一日不可須臾的戰(zhàn)備工程,那么理應(yīng)快馬揚(yáng)鞭加速建造,但是國家量子通信骨干線的進(jìn)度不僅沒有加速反而是連年減速,這一二年更是斷崖式減速,這再一次證明量子通信工程的急迫性完全是子虛烏有。

雖然從國家利益來看量子通信工程完全不具備急迫性,但是某些設(shè)計生產(chǎn)量子通信設(shè)備的利益團(tuán)體卻有著他們自己的打算,對于他們來說盡快銷售他們的產(chǎn)品是最要緊的,當(dāng)然去科創(chuàng)板上市更有急迫性。

急匆匆地把產(chǎn)品銷給了各級政府,火燎燎科創(chuàng)板也上市了,留下的好幾條量子通信干線使用的卻是安全漏洞百出的老舊方案,明知有較安全的MDI-QKD技術(shù)方案卻不予采用,這使工程的未來發(fā)展陷入深深的困境。

由于MDI-QKD與舊方案BB84誘騙態(tài)不兼容,如果新建的工程采用新的方案MDI-QKD,那么已建成的量子通信干線必須全盤推倒重來,否則的話新建的量子通信干線勢必又只能繼續(xù)使用舊方案。這就是量子通信工程今日陷入兩難困境的一個重要原因,正可謂,“一著不慎,滿盤皆輸。”

2345截圖20200908083720.png

有必要指出,MDI-QKD只是解決量子通信QKD在測量端安全隱患的相對較好的一種方案,它不是絕對安全的方案,況且量子通信的安全問題也遠(yuǎn)非只存在測量端。近年來就在MDI-QKD的光源端發(fā)現(xiàn)了好幾處安全漏洞,至今也沒有完整有效的對策[4]。QKD的可信中繼站里的問題更多更嚴(yán)重,而且在可預(yù)期的未來難有工程解決方案[5]。

量子通信工程從光源到可信中繼站再到測量端是“處處冒煙、點點失火”,從頭到尾沒一處是安全的可靠的。在高安全性的需求領(lǐng)域,根本就不可能采用量子通信工程來分發(fā)密鑰的,所以量子通信產(chǎn)品至今無法進(jìn)入國家的核心密碼和普通密碼系統(tǒng)之中。其實按目前情況,量子通信產(chǎn)品是否能通過商用密碼標(biāo)準(zhǔn)審核都要打上一個問號。量子通信工程就是“繡花枕頭一包草”。

其實令我反感的,遠(yuǎn)不是量子通信的無能,而是它所戴的漂亮光環(huán)。

參考資料

[1]QKD檢測端的安全隱患主要可歸結(jié)為以下幾類:

檢測器效率不匹配攻擊(Detector-efficiency mismatch attacks)

波長依賴性攻擊(Wavelength-dependent attack)

檢測器控制攻擊(Detector control attack)

激光傷害攻擊(Laser damage attack)

在這些QKD檢測端安全隱患中,尤以“檢測器控制攻擊”最為復(fù)雜嚴(yán)重。檢測器控制攻擊又可細(xì)分為:檢測器致盲攻擊;檢測器后門攻擊;檢測器超線性攻擊。

[2]“Secure quantum key distribution with realistic devices”P.36

[3]實際QKD系統(tǒng)中,因為器件的不完美性導(dǎo)致一系列安全性漏洞,針對這些安全漏洞存在多種攻擊方案。2012年多倫多大學(xué)的Hoi-Kwong Lo等人提出的測量設(shè)備無關(guān)的量子密鑰分發(fā)協(xié)議(measurement-device-independent quantum key distribution,MDI-QKD)關(guān)閉了QKD系統(tǒng)所有測量端的漏洞。在MDI-QKD中通信雙方Alice和Bob分別隨機(jī)制備BB84弱相干態(tài),然后發(fā)送給一個不可信的第三方Charlie進(jìn)行貝爾態(tài)測量,根據(jù)Charlie公布的貝爾態(tài)測量結(jié)果Alice和Bob建立安全的密鑰。MDI-QKD可以等價為一個時間反演的BBM92協(xié)議。

[4]介紹一篇有關(guān)量子通信安全性的科學(xué)論文

[5]量子通信技術(shù)困境之三:極不安全的可信中繼站

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論