作者實名:徐令予
2019年12月,國際著名物理期刊(Physical Review Applied)發表了一篇論文《破解量子密鑰分發的激光注入式攻擊》,量子通信的安全問題再度亮起紅燈!
該論文的作者們都是量子通信領域的專家,他們分別來自中國、加拿大、俄羅斯和西班牙,論文的第一作者就是中國國防科技大學的學者。論文的內容可以概括為以下三點。
對實驗設置和理論分析細節感興趣的讀者,請閱讀本文後麵的附件。
請注意,量子保密通信京滬幹線、武合幹線、京漢幹線使用的都是誘騙態BB84協議。這篇論文給我的感覺有點像為中國量子通信工程量身定製的,它以嚴謹的科學方法對這些工程項目的安全問題作出了批評和質疑。
這些年來,中國量子通信工程推動者總是擺出一付祖師爺的派頭,對於公眾的批評隻有一句話回應,“請拿高擋期刊的論文出來說事,否則請閉嘴。”嘿嘿,說什麽就來什麽,話音未落針對著他們的論文來了一篇又一篇。
先是去年初,上海交通大學研究團隊成功破解“量子通信”的論文在互聯網上曾激起了一片浪花。接著就是去年年底的這篇國際團隊的論文《破解量子密鑰分發的激光注入式攻擊》,對量子通信安全性的質疑一波未平一波又起。
這兩篇重磅論文都把攻擊的矛頭對準了量子通信的發射光源,量子通信光源係統存在多種嚴重的安全隱患,詳見下圖。
圖片說明:黑客對量子通信(QKD)的發射源端(Alice)的攻擊可以分成兩個方麵:利用安全漏洞(Security Breach)和阻斷服務攻擊(Deny Of Service)。利用安全漏洞又可細分為三類:1)特洛伊木馬攻擊;2)激光致盲攻擊;3)激光注入攻擊。
上海交大的論文可歸於“特洛伊木馬攻擊”,而這篇新的國際合作論文就是“激光注入攻擊。”它們攻擊的目標雖然都是指向量子通信的光源,但是攻擊的手法各有千秋不同。例如“激光致盲攻擊”就屬於“很黃很暴力”!但“激光注入攻擊”則更像“悄悄的進村、打槍的不要 。”發起攻擊的激光功率僅在100nW級別,就神不知鬼不覺地給量子通信挖了個深坑。
當時上海交大的論文在網上arXiv預收錄文庫發表後,中科大的某院士專門撰文作了回應,他的原話是:“這類攻擊早在二十年前就已經被提出,而且其解決方案就正如文章作者宣稱的一樣,加入光隔離器這一標準的光通信器件就可以了。”聽上去他隻要動動手指頭就能輕鬆化解,該論文應該隻能在網上掛掛而己沒多大價值。但是出乎意料,今年三月上海交大的論文也在高擋期刊(Physical Review Applied)正式發表了。我想科學總歸是科學,誰也不能一手遮天吧。
事實上在這篇新的國際合作論文中,對於量子通信光源的反黑客措施有詳細的分析。論文明確指出依靠光衰減器是無法有效防範激光注入式攻擊的,當衰減器為60db,激光輸入功率也僅需100mW,這對攻擊者來說易如反掌。更嚴重的問題是,他們的研究證明,通過強激光致盲攻擊可以永久性地降低光衰減器的衰減係數。所以在實戰環境中,黑客可以釆用多種手段發動攻擊,可以先使用激光致盲攻擊,降低量子通信光源的衰減器的衰減功能,然後交替使用激光注入式攻擊、特洛伊木馬攻擊等方式,最後徹底擊垮量子通信的安全防線。由此可見,量子通信所謂的無條件安全性更像是一個笑話。
上述所有的攻擊都是針對QKD的光源,但這並不表示QKD其它部位就是安全的,其實QKD的檢測端有更多的安全問題。但是自從提出了MDI-QKD協議後,應對QKD檢測端的安全問題有了物理實驗方案,所以關於QKD檢測端安全的研究暫告一段落。但是如果MDI-QKD進入工程化的話,還是會有各種新的問題產生,新的質疑一定會“春風吹又生。”
需要指出的是MDI-QKD還未進入實用階段,所有已建和在建的量子通信工程項目中不僅光源存在許多安全隱患,其實檢測端安全問題更多更嚴重,隻不過專家學者對此都已經不願再化功夫搭理而已。這好比在如今Windows 10的年代,很難再看到關於Windows 95安全隱患的研究報告了。但是如果你非要說運行在Windows 95很安全,那是腦子進水了。不過話又說回來,運行Windows 95係統可能真的也沒有什麽不安全,因為破解這種老古董係統的技術含量太低,而且這些係統本身就是個擺設也幹不了什麽實事,稍有點身份的黑客都賴得攻擊它們,怕掉價!這其實就是目前量子保密通信京滬幹線、武合幹線等工程項目看似歲月靜好的原因。
行筆至此,可能會有讀者覺得學術界對量子通信安全問題的質疑是否有點吹毛求疵,甚至對量子通信催生出一絲同情心。其實把“適可而止”、“寬大為懷”這套待人之道代入學術研究是非常要不得的,“一絲不苟”、“精益求精”才是推動科技進步的動力。學術界對傳統密碼安全性的研究之嚴格和苛刻從來如此,幾乎到了精神分裂的地步,隻是不為常人所知而己。相比之下,量子通信的安全性研究仍處於初級階段,推進量子通信工程工程化產業化的時機遠未成熟。
“量子通信理論上是絕對安全的”不是一種正確的科學表述方式。量子通信的理論安全性是有條件的,隻有當QKD的通信距離和成碼率符合一定要求時才能保證理論上的安全性。這篇論文指出,當QKD光源受到激光注入攻擊後,係統的理論安全的條件被大幅壓縮,變得更為苛刻。但是係統很難覺察到這種變化,用戶依然在原來自以為安全的條件下交換分發密鑰。但是在這種情況下:保證係統的理論安全的條件已經不能滿足,因此係統實質上運行在不安全區域。換言之,這時候通過QKD分發的密鑰很有可能被黑客部分或全部竊取,而QKD的用戶完全被蒙在了鼓裏。“量子通信理論上是絕對安全的”就成了一句空話。
相比傳統的數字化密碼技術,量子通信是效率極低、價格賊貴、使用特難,真可謂一無可取之處,這就是為什麽量子通信總把絕對安全放在嘴上天天講、月月講、年年講的道理,因為沒有了這個所謂的絕對安全量子通信就什麽也不是。但是一係列最新科學研究的結果卻抽走了量子通信的賴以生存的最後一根救命稻草。這有點像名牌大學招新生,招進了一個數理化門門掛科的特長生,最後卻發覺他的特長竟然是子虛烏有,這讓招生辦情何以堪?這可能就是今日量子通信工程的真實寫照。
總之,目前的量子通信工程的現狀是:1)它的源頭有嚴重疾病必須盡快加以治療;2)它的檢測端已經千瘡百孔已經無法救治,必須全部切除,但目前器官移植的條件又不具備。整個量子通信工程還有什麽是安全的呢?量子通信被黑何時了,漏洞知多少?
附件
實驗裝置見下圖左。黑客(Eve)使用可調激光器(C.W.)通過單模光纖將激光注入QKD的發射光源(LD)。通過調節激光的波長,將適當波長的光子注入激光二極管(LD),當注入的光子的能量與激光器的激發態和基態之間的能級差相匹配時,導致受激發射。為了最大程度地提高注入效率,黑客使用偏振控製器(PC)調整注入激光的偏振,使其與QKD的偏振狀態相匹配。為了將注入激光與QKD的信號分開,實驗使用了光學環形器(Circulator)。攻擊的激光進入環形器的端口1,然後由端口2輸出(紅線),而QKD的信號從環形器的端口2進入由端口3輸出(蘭色虛線),最後送入高速脈衝同步示波器作觀察和紀錄。
實驗結果見上圖右:圖中蘭色實線是未受黑客攻擊時QKD的脈衝信號,受黑客攻擊後QKD脈衝信號的幅度和波形發生變化,橙、黃、和紫色虛線分別代表在不同強度的注入激光攻擊下的變化情況。理論證明,QKD的信號強度的意外增加會嚴重影響QKD的安全性。
使用誘騙態BB84協議的理論安全分析模型,對QKD脈衝信號的幅度發生變化後的安全性作計算機數值模擬,得到下圖。圖中的曲線給出了為符合安全要求QKD的通信距離和成碼率必須遵循的約束條件。圖中的蘭色虛線是正常情況下的安全下限曲線RL,曲線RL表明為了確保QKD的理論安全,係統的通信距離和成碼率必須約束在該曲線的下方。在遭受黑客激光注入攻擊後,RL曲線明顯下移至紅色點劃線,這表明QKD的通信距離和成碼率的安全空間被進一步壓縮。圖中的紅色虛線是受攻擊後係統的安全上限曲線RU,處於曲線RU上方的所有通信距離和成碼率的組合全都不符合理論安全的要求。
圖中的紅色實線是量子通信雙方之間自己以為安全的下限曲線。在這時候量子通信的實際安全性已經遠遠高出安全下限曲線RL(紅色點劃線),這表明量子通信在這種狀態下是得不到理論安全性保證的。不僅如此,量子通信的實際安全性在大多數情況下甚至高出安全上限曲線RU,這表明量子通信在這種狀態下實際上是不安全的。
對於以上的分析有以下幾點需要注意。
1)量子通信的理論安全遠非“是與否”那麽簡單,安全性是與通信距離和成碼率緊密相關的,這和高鐵安全性其實是同一個道理。高鐵安全嗎?這取決於高鐵的運行速度,目前情況下,當速度為每小時300公裏以下是很安全的,當速度為400公裏以上就很難說了。而量子通信的安全性與通信距離和成碼率都有關,所以安全性應由通信距離與成碼率二維空間的一條曲線來描述,對於確定的通信距離和成碼率,如果這個點處於曲線之下表示這種狀態下理論上是有安全保障的,反之理論上是不安全的。
2)由於分析量子通信理論安全的模型不是唯一的,具體計算方法也各有不同,所以實際上這類理論安全曲線不止一條而是一簇。為了分析的方便,可以求出這一簇曲線的上下包絡線,下包絡線就是理論安全曲線的下限RL,而上包絡線就是理論安全曲線的上限RU。對於確定的通信距離和成碼率,如果處於RL之下,它在理論上是安全的;如果在RU之上,它就是不安全的。
3)從量子通信安全性的理論分析中可以看出,為了保障量子通信的絕對安全,在較長的距離上,量子通信的成碼率低得可憐,在許多場合下很難產生實際應用價值。
由此可知,“量子通信理論上是絕對安全的”不是一種正確的科學表述方式。即使從理論上來看,量子通信的安全性至少也與通信距離和成碼率息息相關,脫離具體的環境談安全性沒有什麽意義。把量子通信的安全性、通信距離和成碼率三大要素分隔開來宣傳,一會兒說量子通信絕對安全,一會兒又說量子通信距離突破XXX公裏或者成碼率又達到YYY,這種宣傳也許每一句話都沒有錯,但是這完全不表示這個QKD係統在XXX公裏距離上、成碼率為YYY的情況下是絕對安全的。
論文原件:Laser-Seeding Attack in Quantum Key Distribution