陳 暉，張文政

(保密通信重點實驗室，成都 610041)

0 概 述

在Shannon信息論的深遠影響下，在20世紀70年代以后出現(xiàn)了諸如DES、RSA、MD5、AES等許多優(yōu)秀的密碼算法，為電子商務(wù)、電子政務(wù)等領(lǐng)域的信息安全做出了重要貢獻。但是，隨著計算技術(shù)和密碼分析技術(shù)的快速發(fā)展，傳統(tǒng)密碼系統(tǒng)面臨著越來越多的安全威脅。近幾年來，一向被認為安全的單向壓縮算法MD5[1]、SHA-0[2]等被證實存在安全隱患，這進一步強化了人們對傳統(tǒng)密碼安全的憂慮。根據(jù)已經(jīng)發(fā)現(xiàn)的量子計算方法[3,4]分析，目前的密碼算法體系很難應(yīng)對量子并行計算的攻擊。一旦量子計算機的研制和應(yīng)用取得實質(zhì)性突破，目前廣泛使用的密碼算法將面臨更新?lián)Q代的必然選擇。然而，新一代密碼算法體系是否是傳統(tǒng)密碼算法體系的進一步完善？物理安全的量子密鑰分發(fā)[5](QKD，quantum key distribution)是否具有更低的安全風險？目前，還很難對這些問題的解決列一個時間表。但是對這些問題進行探討將有益于密碼新技術(shù)的理論與應(yīng)用實踐。

RSA、AES等傳統(tǒng)密碼算法的安全性基于計算復(fù)雜度，具有實際安全性。密碼破解的主要技術(shù)包括具體的密碼分析算法和計算能力，針對工程實現(xiàn)存在一些諸如能量分析等旁路(side channel)攻擊[6]?？傮w上來看，針對物理系統(tǒng)的旁路攻擊并不是傳統(tǒng)密碼系統(tǒng)的主要威脅。但是，對于基于物理安全的新型密碼算法來說，針對物理系統(tǒng)的旁路攻擊將成為一個主要威脅。

計算能力的提高很難在一夜之間發(fā)生突變，高性能計算方法的出現(xiàn)通常有一個比較長的周期，新型破譯方法的出現(xiàn)也存在一定的時間周期(比如，數(shù)據(jù)加密標準DES從出現(xiàn)到被破譯歷時近30年。)。而新型的旁路攻擊手段的出現(xiàn)卻很難預(yù)測和防范。另外，終端系統(tǒng)的可信性將成為物理安全的密碼系統(tǒng)最脆弱的環(huán)節(jié)，物理安全的密碼系統(tǒng)終端的安全性測評將面臨更多的技術(shù)挑戰(zhàn)。實際上，理論上被證明很完美的技術(shù)并不意味著這個技術(shù)能夠?qū)崿F(xiàn)完美的應(yīng)用，就像一次一密亂碼本(one-time-pad)算法一樣，QKD理論上所界定的理想安全性也必然會受到諸多工程技術(shù)問題的挑戰(zhàn)。

1 QKD現(xiàn)狀

QKD技術(shù)已經(jīng)歷了近30年的發(fā)展過程。從基礎(chǔ)理論探討到基本原理實驗驗證，再到應(yīng)用可行性探索，QKD技術(shù)已經(jīng)發(fā)展到接近實用水平[7]。2007 年，日內(nèi)瓦政府把商用QKD 系統(tǒng)應(yīng)用到聯(lián)邦選舉的投票系統(tǒng)。2009年以后，中國的蕪湖、合肥等地相繼建設(shè)了多節(jié)點的量子通信實驗網(wǎng)[8,9]。2016年前后，中國和日本都有發(fā)射量子通信衛(wèi)星并實現(xiàn)星地量子通信的計劃。

根據(jù)相關(guān)知識產(chǎn)權(quán)態(tài)勢分析[10]，美國NIST、Los Alamos國家實驗室在基于自由空間和光纖信道的離散變量QKD技術(shù)方面處于世界領(lǐng)先水平。美國MagiQ公司在QKD技術(shù)領(lǐng)域擁有很強的實力和競爭力。歐盟在基于光纖信道的連續(xù)變量QKD技術(shù)和基于自由空間信道的糾纏光子QKD技術(shù)方面處于世界領(lǐng)先水平。目前，歐盟保持著其在基于糾纏光子QKD系統(tǒng)300 km最遠傳輸距離的紀錄。瑞士的IDQuantique公司擁有目前最成熟的QKD系統(tǒng)產(chǎn)品。日本在QKD技術(shù)專利的數(shù)量和質(zhì)量上具有很強的優(yōu)勢，日本的東芝、三菱電機、NEC等在專利和核心技術(shù)方面都有很強的影響力。東芝研發(fā)的QKD系統(tǒng)可以在50 km光纖中實現(xiàn)1 Mb/s的安全碼率，代表了目前的最好水平。

國內(nèi)，中國科技大學的QKD系統(tǒng)研發(fā)團隊在QKD網(wǎng)絡(luò)化應(yīng)用、實驗網(wǎng)絡(luò)建設(shè)和自由空間QKD實驗等方面保持著世界先進水平。中國科學研究院、清華大學、北京大學、華東師范大學、上海交通大學、北京郵電大學等院校的QKD研究團隊也都取得了許多獨具特色并具有一定國際影響力的理論和實驗成果。

目前，國內(nèi)外已經(jīng)有許多公司在進行QKD系統(tǒng)的研發(fā)，國內(nèi)外幾個公司的QKD系統(tǒng)產(chǎn)品情況，見表1。

表1 國內(nèi)外公司的QKD系統(tǒng)產(chǎn)品情況

總體上，美、歐、日等依然保持著在QKD技術(shù)領(lǐng)域的領(lǐng)先地位，在QKD系統(tǒng)理論和核心技術(shù)方面處于世界領(lǐng)先水平，并都很重視在中國的專利布局。

2 QKD的局限性

目前國內(nèi)外許多公司和研究機構(gòu)都在密切關(guān)注和布局QKD技術(shù)及其應(yīng)用市場。但是，QKD目前的技術(shù)成熟度和性價比都還比較低，并且它也擺脫不了自身的固有局限性和軟肋。

實際上，傳統(tǒng)密碼算法的安全性基于計算復(fù)雜度，在高性能并行計算環(huán)境下具有脆弱性，但是傳統(tǒng)密碼算法具有很好的人們比較容易接受的實際安全性，并且人們并不是很擔心其可能存在的“后門”。而對于QKD技術(shù)，其理想的物理安全性將受制于很多物理實現(xiàn)條件，量子通信光源、調(diào)制、探測等方面的技術(shù)成熟度較低將直接影響QKD系統(tǒng)的實際安全性[11,12]。存在系統(tǒng)漏洞的風險將對QKD在安全性方面的優(yōu)勢大打折扣。

從工程學的角度來分析，QKD的應(yīng)用推廣的時機還不太成熟。光纖通信從20世紀70年代被驗證具有高速通信的可行性，并被認為光纖將全面取代同軸電纜，但是光纖通信得到廣泛應(yīng)用卻是在30甚至40年后。目前光纖到戶還沒有最后完成，并且同軸電纜依然是現(xiàn)代數(shù)據(jù)傳輸網(wǎng)絡(luò)的重要基礎(chǔ)設(shè)施。QKD技術(shù)在20世紀90年代被驗證具有應(yīng)用可行性，至今QKD技術(shù)已經(jīng)發(fā)展到接近實用水平。但是，QKD系統(tǒng)很難直接利用當前的光纖通信網(wǎng)絡(luò)等基礎(chǔ)設(shè)施，而重新鋪設(shè)量子通信光纖網(wǎng)絡(luò)需要一定的周期，因此，光纖QKD系統(tǒng)的應(yīng)用推廣很難在短期內(nèi)有重大突破，但QKD將會在一些特殊領(lǐng)域得到一定的應(yīng)用。

從QKD自身的技術(shù)特點分析，一方面，由于量子態(tài)不能精確克隆，量子信號的遠距離傳輸、路由,以及QKD系統(tǒng)的自由組網(wǎng)都將存在一定的技術(shù)瓶頸，并且量子信號的傳輸也不像經(jīng)典電磁波那樣具有很大的靈活性。因此，QKD很難與傳統(tǒng)的通信網(wǎng)絡(luò)進行無縫對接，很難適應(yīng)無線互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等，也很難在廣域網(wǎng)應(yīng)用中發(fā)揮關(guān)鍵作用。另一方面，QKD為點到點的數(shù)據(jù)傳輸安全提供了一種新型的解決方案，但是，與保密通信密切相關(guān)的身份識別和數(shù)據(jù)存儲保護等問題并沒有在量子信息技術(shù)范疇內(nèi)得到有效解決。

因此，QKD不可能全面取代傳統(tǒng)密碼的作用。短期內(nèi)，不斷完善QKD系統(tǒng)的安全體系，通過較小范圍內(nèi)的實際應(yīng)用探索其應(yīng)用可行性具有重要的實踐意義。

3 QKD的實際安全性

理論上，QKD具有與計算復(fù)雜度無關(guān)的物理安全性，是可以抗量子計算攻擊的新型的密鑰協(xié)商手段。但是，實際QKD系統(tǒng)很難達到理論上所要求的完美性，至少在短期內(nèi)，其理論上的理想安全性很難得到有效實現(xiàn)。

(1) QKD系統(tǒng)的實際安全性需要不斷完善

實際QKD 系統(tǒng)中所采用的元器件存在多種與理論模型要求不符的非理想特性，這些非理想性有可能導致器件響應(yīng)上的誤差、旁路信息的泄漏,甚至被遠程操控，從而使QKD系統(tǒng)出現(xiàn)安全性漏洞。竊聽者利用這些漏洞可以獲取部分甚至全部的密鑰比特。比如，理想的BB84協(xié)議要求使用單光子源，否則竊聽者可以進行光子數(shù)分離攻擊(PNS,photon-number splitting attack)[13]。由于目前尚無理想的單光子光源，實際QKD系統(tǒng)通常采用弱相干光源，并結(jié)合誘騙態(tài)(Decoy State)方法來抵御PNS攻擊[14]。誘騙態(tài)的核心思想是讓竊聽者無法區(qū)分進入信道的光子來自信號態(tài)還是誘騙態(tài)。但是，發(fā)送端可以區(qū)分這兩種量子態(tài)，從而增加了發(fā)送端被植入后門或木馬的風險，也給系統(tǒng)終端的安全性檢測帶來了更多的挑戰(zhàn)[15]。比如，發(fā)送端的隱蔽木馬主動干擾信號態(tài)和誘騙態(tài)的波長，使二者之間存在一個微小的在接收端不被過濾掉的但是Eve可區(qū)分的波長差，那么發(fā)送端的隱蔽木馬就可以為Eve隱蔽竊聽開啟方便之門，而Bob卻很難發(fā)現(xiàn)這個事實。

實際上，QKD系統(tǒng)中的光源、有源/無源光學器件、單光子探測器以及所有通信端口等都存在一定的被置入旁路的風險，并對QKD系統(tǒng)的安全性構(gòu)成一定的威脅[12]。

由于理想?yún)f(xié)議下的安全性并不等價于實際系統(tǒng)的安全性，如何給出所有實際器件非理想性的度量方式及其對安全性的影響是解決QKD系統(tǒng)實際安全性的關(guān)鍵。

(2) QKD系統(tǒng)的安全性測評體系需要創(chuàng)新

傳統(tǒng)密碼分析和破譯更多的依賴分析方法和計算能力，一個密碼系統(tǒng)的安全性可以從理論上進行分析并得出一個比較合理的實際安全性水平。但是QKD的分析和破譯將更多的依賴更先進的光纖介入技術(shù)和量子信號檢測分析技術(shù)。由于QKD系統(tǒng)的技術(shù)和成本費用門檻較高，實際參與QKD系統(tǒng)安全性的分析也主要局限于一些研究結(jié)構(gòu)和高校?？梢哉f，目前QKD系統(tǒng)的安全性還未得到廣泛的實際分析。伴隨著相關(guān)技術(shù)的不斷發(fā)展，針對物理安全系統(tǒng)的攻防將成為一個密碼攻防領(lǐng)域的新型“戰(zhàn)場”。從辯證的觀點來看，這種新型的攻防較量也將持續(xù)存在著，“量子密碼終結(jié)黑客”的“預(yù)言”也將僅僅是一個夢想。2010年，瑞士IDQuantique公司推出的QKD產(chǎn)品ID500在還沒有得到廣泛分析的情況下，就被一個研究機構(gòu)成功破解[16]。這也印證了“只有密碼分析者才確切知道一個密碼系統(tǒng)是否安全”的論斷。雖然這并不是對QKD 理論安全性的否定，但也說明實現(xiàn)具有理想安全性的QKD 系統(tǒng)還有很長的路要走。

由于很難確保QKD系統(tǒng)的關(guān)鍵元器件都合乎理論要求，也很難確保QKD系統(tǒng)不被植入“后門”，更難評估潛在對手擁有什么等級的分析破譯技術(shù)手段和工具，因此，目前還很難對QKD系統(tǒng)的實際安全性進行合理的界定。這都將給QKD系統(tǒng)的可信性和安全性帶來一定的挑戰(zhàn)，同時對QKD系統(tǒng)的測評也提出了更高的要求。

如何檢測并排除存在隱蔽后門的可能性將是QKD實際安全性需要解決的問題。而檢測所有QKD 器件的非理想性在技術(shù)上依然是非常困難的事情。可以說，完善QKD系統(tǒng)的實際安全性依然任重道遠。

4 QKD與抗量子計算的密碼

Peter Shor于1994年設(shè)計了第一個具體的量子分解算法[3]，它在設(shè)想的量子計算機上可以在輸入變量的多項式時間內(nèi)分解大數(shù)因子，這給RSA和ECC等非對稱密碼系統(tǒng)的安全性提出了嚴峻的挑戰(zhàn)。Grover于1996年設(shè)計了隨機數(shù)據(jù)庫搜索的量子迭代算法[4]，它有可能解決經(jīng)典上所謂的NP完全問題。因此，基于傳統(tǒng)密碼算法的保密通信體系將面臨著巨大的潛在威脅。因此，量子計算在給QKD的快速發(fā)展帶來契機的同時，也將極大地促進傳統(tǒng)密碼算法的變革。

根據(jù)目前的研究成果分析，抗量子計算攻擊的密碼算法主要包括具有物理安全性的新型密碼(比如，量子密碼和生物密碼)和具有特殊計算復(fù)雜性的數(shù)學密碼(比如，基于格上困難問題的密碼算法、基于有理分式問題的密碼算法、基于糾錯碼的密碼算法等)。

基于抗量子計算的困難問題的量子公鑰密碼(QPKC,quantum public-key crypto-system)方案的密鑰仍然由經(jīng)典比特構(gòu)成，保持了公鑰密碼的靈活性。但它們的安全性仍建立在計算復(fù)雜性假設(shè)之上。比如，Okamoto等于2000年提出的基于改進的背包問題的量子公鑰密碼算法[17]。另外，由于對量子計算的研究還處于初級階段，無法排除存在更好的量子計算方法的可能性，因此，具有特殊計算復(fù)雜性的密碼算法是否具有足夠的安全性還需要時間的檢驗。對于采用與QKD類似的思路設(shè)計的公鑰密碼算法，大多通過引入量子元素來設(shè)計具有完美安全性的QPKC。這類方案的安全性由物理原理保證，但密鑰通常由較難控制的量子比特組成，因此密碼的靈活性往往會明顯降低。比如，Nikolopoulos于2008年提出的一種基于單量子比特旋轉(zhuǎn)的QPKC方案[18]。

目前，QPKC研究也碰到了一定的理論瓶頸[19]，相關(guān)研究也不太活躍。比如，QPKC中量子公私鑰對如何實現(xiàn)？QPKC如何實現(xiàn)“無條件安全”？QKD協(xié)議中采用的“竊聽檢測”手段能否用于“由公鑰不能得到私鑰”？解決這些問題還需要進行深入探討。

5 結(jié) 語

由于信息安全在信息社會中發(fā)揮著越來越重要的作用，深入開展QKD的應(yīng)用關(guān)鍵問題研究、量子計算研究和抗高性能計算攻擊的密碼體制研究等具有十分重要的實際意義。毫無疑問，QKD的實際安全性及其應(yīng)用研究依然是下一階段的研究熱點，但是，單純利用QKD技術(shù)很難確保國家重要領(lǐng)域的信息安全。因此，能否構(gòu)建一個完善的QKD系統(tǒng)實際安全及其測評體系將左右QKD技術(shù)的未來。而在量子計算機和抗量子計算攻擊的密碼算法體系領(lǐng)域的不對稱快速發(fā)展并保持國際先進甚至領(lǐng)先水平將是國家信息安全領(lǐng)域贏取主動局面的關(guān)鍵。

[1] WANG X Y,FENG D G,et al.collisions for hash functions MD4,MD5,HAVAL-128 and RIPRMD[C]//In Proc.Crypto’04,Santa Barbara,CA,USA,2004.

[2] WANG X Y,YU H B,et al.Efficient Collision Search Attacks on SHA-0 [C]//In Proc.Crypto’05,Santa Barbara,CA,USA,2005.

[3] SHOR P W.Algorithms for Quantum Computation,Discrete Log and Factoring[C]//FOCS’35,Santa Fe,NM,1994:124-134.

[4] GROVER L K.A Fast Quantum Mechanical Algorithm for Database Search [C]//Proceedings,28th Annual ACM Symposium on the Theory of Computing,Philadelphia,Pennsylvania,1996:212-219.

[5] BENNETT C H,BRASSARD G.Quantum Cryptography:Public Key Distribution And Coin Tossing [C]//International Conference on Computers,Systems &Signal Processing,Bagalore,India,1984:175-179.

[6] KOCHER P,JAFFE J,JUN B.Differential Power Analysis[C]//Proc.of the Advances in Cryptology-CRYPTO’99,Berlin:Springer-Verlag,1999,1666:388-397.

[7] POPPE A,PEEVANDO M.Maurhart.Outline of the SECOQC quantum Key Distribution Network in Vienna[J].International Journal of Quantum Information,2008,6(2):209-218.

[8] CHEN W,HAN Z F,ZHANG T,et al.Field Experimental “Star Type” Metropolitan Quantum Key Distribution Network[J].IEEE Photonics Technology Letters,2009,21(9):575-577.

[9] CHEN T Y,LIANG H,LIU Y,et al.Field Experiment of a Practical Secure Communication Network with Decoy-State Quantum Cryptography[J].Optics Express,2009,17(8):6 548-6 549.

[10] 楊帆,王海霞,韓淋.量子通信知識產(chǎn)權(quán)態(tài)勢分析報告[R/OL].2011,http://ir.las.ac.cn/handle/12502/4507.

[11] QI B,FUNG C H F,et al.Time-shift Attack in Practical Quantum Cryptosystems[J].Quantum Information & Computation,2007,7(1):73-82.

[12] 李宏偉,陳巍,黃靖正,等.量子密碼安全性研究[J].中國科學,2012,42(11):1 237-1 255.

[13] LüKENHAUS N.Security Against Individual Attacks for Realistic Quantum Key Distributio[J].Phys.Rev.2000,A 61:052 304.

[14] H-K LO,MA X,CHEN K.Decoy State Quantum Key Distribution[J].Phys.Rev.Lett.,2005,94:230504.

[15] 陳暉,徐兵杰.量子密鑰分發(fā)系統(tǒng)中的隱蔽欺騙方法[J].中國電子科學院學報,2013,8(5):525-528.

[16] LYDERSEN L,WIECHERS C,WITTMANN C,et al.Hacking Commercial Quantum Cryptography By Tailored Bright Illumination[J].Nat.Photonics,2010(4):686.

[17] OKAMOTO T,TANAKA K,UCHIYAMA S.Quantum public-key cryptosystems[C]//Advances in Cryptology:Crypto 2000 Proceedings.Berlin Springer,2000,1880:147-165.

[18] NIKOLOPOULOS G M.Applications of Single-Qubit Rotations in Quantum Public-Key Cryptography[J].Phys Rev A,2008(77):032 348.

[19] 高飛,溫巧燕,秦素娟,等.基于對稱密鑰的量子公鑰密碼[J].中國科學,2010,40(1):26-32.