量子密钥分配实际安全性思考

admin
admin
admin
140349
文章
117
评论
2022年12月2日11:57:11评论153 views字数 7802阅读26分0秒阅读模式

点击蓝字关注我们

摘要:量子密钥分配的安全性包括协议的安全性和实际系统的安全性,协议理论上的信息论安全性已经得到了完整的证明,然而实际系统由于器件存在着非理想性,会导致产生各种安全性漏洞,如何分析和应对实际系统安全性是量子密钥分配技术走向应用所面临的重要课题,总结了量子密钥分配安全性的进展情况和面临的难点问题,并对未来的研究方向进行了展望。

内容目录:
1  理想协议安全性
2  实际系统安全性
3  标准化现状与建议
3.1  加强量子密码标准化的建设
3.2  加强 QKD 测评环境的建设
3.3  加强量子密码新协议的研究
4  结  语
现代通信技术中信息的安全主要依靠密码技术来实现,密码技术是信息安全的核心保障。目前的经典密码体制主要分为私钥密码体制和公钥密码体制。私钥密码体制加密操作和解密操作采用相同的密钥,或者加密操作和解密操作的密钥易于相互推导,又被称为对称密码体制;公钥密码体制加密操作和解密操作采用不同的密钥,并且当采用公私钥对时,利用私钥可以很容易推导出公钥,而公钥推导出私钥在计算上是不可行的,因此也被称为非对称密码体制。在非对称密码体制中,公钥推导出私钥的不可行是建立在某些计算困难的数学问题之上,只要其所依赖的问题在计算上是困难的,那么这类算法就具有可证明的安全性。例如,基于大整数的质因子分解困难问题设计的RSA算法、基于椭圆曲线上的离散对数困难问题设计的SM2算法等。
自20世纪80年代以来,Simnon量子算法、Shor量子算法和Grover量子算法的相继提出,给经典密码学的安全性带来了巨大的挑战,尤其对公钥密码体制构成了较大的威胁。为了抵御量子计算对现有密码体制的攻击,有学者提出了抗量子计算密码(Post-Quantum Cryptography,PQC),又被称为后量子密码,抗量子计算密码的目标是开发、设计出一种面对量子计算环境,依然能够保证密码安全性的新一代密码体系,主要关注基于格、基于哈希、基于编码和基于多变量等新型加密算法。
2016年2月,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布了关于后量子密码的报告(Report on Post-Quantum Cryptography),报告强调了信息安全系统需要部署抗量子计算密码。与抗量子计算密码技术不同,Shannon证明了“One-time Pad”密码体制在理论上可以实现信息论安全,即使在敌手拥有量子计算机的条件下依然可以保证系统的安全性。然而,“One-time Pad”密码体制要求通信双方安全共享一个与明文长度相同的、具有真随机特性的密钥,并且密钥只能使用一次,这对经典密码体制提出了更高的要求,通过现有的经典密码算法很难解决“One-time Pad”密码体制中密钥安全共享的问题。
狭义量子密码主要指量子密钥分配(Quantum Key Distribution,QKD),其可为远程通信双方提供信息论安全的密钥协商手段。其安全性基于未知量子态不可克隆、量子态测量塌缩、量子不确定原理和量子纠缠的单配性。量子的安全特点使得QKD的安全性不再依赖第三方窃听者的计算能力与存储能力,因而可以达到信息论安全性。QKD技术进一步结合“One-time Pad”密码体制,达到实现信息论安全的保密通信的目的。自1984年第一个量子QKD协议——BB84协议被提出以来,通过国内外众多研究机构及专家学者30多年的不懈努力,QKD技术已成为量子信息技术里发展最快、最成熟的技术。目前,国内外的科研院所和商业化公司利用QKD商业化的产品已经成功建设了“东京QKD网络”“芜湖量子政务网”“京沪量子干线”和“宁苏量子网络”等多个QKD网络。
QKD技术实现了一种新的、基于物理原理的密钥共享方法。它可以通过采用信息携带载体(即量子态)的内禀物理量及其具备的量子力学属性对加载的密钥信息进行保护,不再采用传统的数学和计算复杂性理论的方式实现密钥共享保护。因此,QKD具备两大技术优势:一是具备理论可证明的信息论安全性;二是可高效实现按需实时的异地密钥分发保障。基于上述特性,QKD可广泛应用于国防、政务、能源等领域,提升密码安全保障能力,因此具有极高的战略价值和重要意义。此外,量子密钥分配按需动态实时分发的特性,有利于解决密钥管理和存储的问题,这些特点使得量子密钥分配的研究受到密码学界的高度重视。QKD的安全性分析包括理想协议的安全性和实际系统的安全性,本文分别给出简要的介绍。

1 理想协议安全性


与实际系统相对应的QKD是基于态制备-态测量的方案,在安全性证明中需要考虑窃听者在信道中所有可能的攻击行为。为了简化安全性证明,有学者提出了与制备-测量方案等价的纠缠提纯方案的安全性证明,在此安全性证明中可以将窃听者的攻击行为规约为Pauli信道。
如图1所示,在基于纠缠提纯的安全性分析中,Alice首先制备最大纠缠态量子密钥分配实际安全性思考量子密钥分配实际安全性思考如果Alice希望制备量子态量子密钥分配实际安全性思考则需要对第二个粒子做单位变换。如果Alice希望制备量子态量子密钥分配实际安全性思考则需要对第二个粒子随机地做Hadamard操作,然后发送该粒子给接收方Bob。Bob公布其接收到的相应的量子态,如果Bob希望测量量子态量子密钥分配实际安全性思考则需要先对量子态进行Hadamard操作。
量子密钥分配实际安全性思考
图 1 基于纠缠提纯的量子密钥分配协议
在实际QKD系统中,随机Hadamard操作等价于随机选择不同测量基。在安全性分析中我们考虑最普适的信道是Pauli信道,这是因为Alice制备了二维的量子态,其在信道中的扰动可以由单位矩阵I比特错误矩阵X相位错误矩阵和比特相位错误矩阵进行刻画相应的,任意量子比特的错误可以归结为比特错误、相位错误和比特相位错误。考虑到窃听者在Pauli信道中的攻击,Alice、Bob和Eve的量子态可以描述为:
量子密钥分配实际安全性思考
式中:为理想的Hadamard算子,在量子密钥分配协议中其表征着不同基之间的转换,若开始制备的是水平垂直基下的态,经过 Hadamard操作后则变为对角基下的态;算子为窃听者Eve 引入的比特误码;算子为窃听者引入的相位误码;量子密钥分配实际安全性思考为窃听者引入量子密钥分配实际安全性思考算子的概率其中u v, {0,1}量子密钥分配实际安全性思考 Alice 引入量子密钥分配实际安全性思考矩阵,同时Bob 引入量子密钥分配实际安全性思考矩阵的概率,其中,    {0,1}。其中窃听者的辅助粒子可以控制量子信道中的比特错误操作和相位错误操作。上述分析中提到Pauli信道中存在比特错误和相位错误,而量子信道中所有的误码均被认为是由窃听者Eve引入的,经过量子信道后,事先制备的最大纠缠态量子密钥分配实际安全性思考可以演变为以下4种Bell态的情况:
量子密钥分配实际安全性思考
因此,最终的比特误码量子密钥分配实际安全性思考和相位误码量子密钥分配实际安全性思考为:
量子密钥分配实际安全性思考
式中:量子密钥分配实际安全性思考为Alice和Bob的约化密度矩阵。在纠缠提纯过程中,合法通信双方必须明确量子态经过Pauli信道扰动所引入的比特误码和相位误码,并进一步利用纠错技术得到一致的密钥比特,利用保密放大技术压缩窃听者的信息量。在一个实际的QKD系统中,可以通过对收发双方的原始密钥序列进行误码估计得到QKD系统的误码率。因此对QKD进行安全性的最大困难是如何估计得到该协议过程中的相位误码。根据Pauli信道的特性,相位误码的估计可以通过式(5)进行分析:
量子密钥分配实际安全性思考
因此,QKD协议的相位误码可以由比特误码来精确地估计得到。相应的,最终的安全密钥率为:
量子密钥分配实际安全性思考
式中:量子密钥分配实际安全性思考为二进制香农熵。
QKD协议安全性分析要求量子态制备和测量是理想的,然而在实际QKD系统中,制备的量子态与理想协议存在差异,从而导致调制误差等非理想特性。但是,在实际系统中的错误可能是由多种器件的非理想特性所引入的,因此协议的安全性与实际系统的安全性并不等价,如何分析实际系统的安全性是量子密钥分配研究的难点问题。

2 实际系统安全性


如果实际QKD系统对两组基的误码扰动可以通过一个幺正变换得到,则可以假定幺正变换是窃听者在信道中的扰动。然而,大部分的非理想性并不是可以用同一个幺正变换得到,因此,在安全性分析中并不能简单地认为QKD系统非理想性是由窃听者Eve引入的。例如,在采用BB84协议的偏振编码QKD系统中应用的非理想波片可能导致偏振态的编解码是不完全准确的;在采用BB84协议的相位编码QKD系统中应用的非理想相位调制器可能导致调相电压是非精确的等。所有的非理想特性在器件大批量制作时,不可避免地或者在实际应用时存在电路控制的非理想特性。与理想协议的安全性分析相比较,非理想性不能表征为窃听者在量子信道中实施的酉变换,因此现有的量子密钥生成率计算公式在非理想的情况下是不适用的。
实际QKD系统安全与理论QKD协议安全之间存在一定的差别,其主要原因是实际QKD系统中采用的光源、调制器和探测器等多个器件存在多种不满足理论模型要求的非理想特性。这些器件的非理想性有可能导致器件存在编解码的误差、侧信道的信息泄露,甚至是QKD发送端或接收端的器件被远程操控,从而使QKD系统的安全性出现漏洞,这些漏洞引入的安全性问题得到了国内外学者的广泛关注。相应的漏洞在实际QKD系统中会带来各种安全性风险,信道中的窃听者利用这些漏洞可以在引入较低的误码率或不引入误码率的情况下获取QKD的密钥信息,因此其攻击行为很难被合法通信双方通过误码率检测的方式发现。
理想的BB84协议要求使用理想的单光子源,否则窃听者可以采取光子数分束(Photon Number Splitting,PNS)攻击完全获取多光子信号加载信息。但由于实验技术的限制,目前尚无真正可以实用化的理想单光子光源。在实际QKD系统中,通常会使用弱相干态光源,而为了抵御弱相干态光源引入的光子数分束攻击,在实际系统的安全性设计上会采用诱骗态技术解决此问题。同时,实际QKD系统的发送端负责量子态的制备,量子态制备所采用的光源也会存在着光强涨落、非可信光源和多激光器波长空间频谱可区分性问题等。
实际QKD系统中常用的光学器件主要分为有源光学器件和无源光学器件两种类型。有源光学器件包括相位调制器(Phase Modulator,PM)、光强调制器(Intensity Modulator,IM)等。其中,相位调制器存在着相位重映射攻击、不完全随机化相位攻击、相位调制器衰减和相位调制器误差等实际安全性问题。光强调制器存在着调制本底噪声等实际安全性问题。无源光学器件包括光纤分束器(Beam Splitter,BS)、光纤偏振分束器(Polarization Beam Splitter,PBS)、法拉第镜(Faraday Mirror,FM)、环行器(Circulator)、波分复用器(Wavelength Division Multiplexer,WDM)等。其中,利用分束器的分束比波长敏感的特性可以实施波长攻击,从而控制接收端测量基的选择。
单光子探测器用来探测单光子信号,是实际QKD系统中安全性漏洞最多的器件,也是QKD系统必不可少的一个器件。相应的量子黑客攻击及解决方案包括:利用探测效率时域不匹配引入的时移攻击,实际系统可采用单个探测器来抵御多探测器效率不匹配产生的漏洞攻击;利用探测器的线性工作模式进行强光致盲攻击,实际系统可通过监控探测器雪崩光电二极管的光电流等技术来抵御强光致盲攻击;利用探测器具有一定的死时间漏洞引入的死时间攻击,实际系统可同步不同探测器的死时间等技术来抵御死时间攻击;利用探测器雪崩过渡区的控制攻击,实际系统可通过改变门控信号的位置或者光脉冲的到达延时等技术来抵御雪崩过渡区攻击。
本文对QKD系统中光源、有源光学器件、无源光学器件、单光子探测器的各种非理想特性产生的安全性漏洞进行了初步讨论,并对一些补丁式的防御措施进行了简单介绍。这些防御措施可以对某一种或者某一类特定的漏洞攻击进行有效防御,但面对新发现的漏洞或者新的攻击方式时,可能会使得已有的防御措施失效。因此,对防御措施能够防御某一种或者某一类特定的攻击方式进行严格的安全性证明对实际QKD系统具有重要的意义。另外,由于QKD系统安全性分析需要对各种经典和量子器件进行全面的分析,因此,如何有效地给出QKD系统所有实际器件非理想性的度量方式是考察实际QKD安全性的重要依据,基于器件的非理想特性进一步度量其对安全性的影响是实际QKD系统安全性研究的重要方向。

3 标准化现状与建议


QKD系统安全性是QKD技术的核心,虽然QKD在理论上可以证明是信息论安全的,但是任何实际器件都存在一定的非完美性,这些非完美性使得实际QKD系统的安全性出现漏洞。多篇国内外文献针对实际QKD系统的光源、探测器、调制器等实际器件的非理想特性提出了攻击方案。在这些攻击方案中,窃听者可以获取到部分甚至全部的密钥信息,因此QKD系统走向实际应用的前提是必须解决实际安全性的问题。
根据QKD安全性的国内外进展情况来看,QKD安全性仍需要在标准化、测评环境和新协议等方面开展更加深入的研究。
3.1 加强量子密码标准化的建设
欧洲电信标准化协会(European Telecom munications Standards Institute,ETSI)成立ISG-QKD标准组,发布了包括术语定义、组件和内部接口、安全性依据、QKD模块安全规范、QKD组件特性、QKD应用部署器件和通信信道参数、发射机模块光输出接口特性等11项标准文件。国际标准化组织ISO/IEC JTC1/SC27(信息安全、网络安全和隐私保护分技术委员会)立项了QKD安全需求与测评方法标准项目。国际电信联盟电信标准化局(Telecommunication Standardization Sector of the International Telecommunications Union,ITU-T)未来网络研究组(SG13)已开展QKD网络的基本框架、功能架构、密钥管理和软件定义控制等方面的研究项目。加拿大标准协会(Canadian Standards Association,CSA)成立Quantum-Safe Security工作组,发布了量子安全性定义、量子密钥分配定义、量子安全术语等多项研究报告。中国通信标准化协会(China Communications Standards Association,CCSA)成立量子通信与信息技术特设任务组(ST7),正在开展量子通信和网络以及量子信息技术关键器件的标准立项与研究工作。中国密码行业标准化技术委员会(Cryptography Standardization Technical Committee,CSTC)在密码基础工作组下设量子密码标准制定工作组,开展了包括QKD技术规范、检测规范和应用接口等密码行业标准的研究,目前,CSTC已发布GM/T 0108—2021《诱骗态BB84量子密钥分配产品技术规范》和GM/T 0114—2021《诱骗态BB84量子密钥分配产品检测规范》两项密码行业标准,标准覆盖了诱骗态BB84协议实现要求、产品要求以及对应的检测内容、检测要求和合格判定准则。建议下一步依据已发布的标准、规范组织测评工作,对商业化QKD产品开展入网测评、对新建设的QKD网络方案组织安全性评估工作,形成QKD网络建设规范、要求。
3.2 加强QKD测评环境的建设
尽可能地寻找到实际QKD系统所采用的各种器件的潜在安全性漏洞,并采取相应的预防措施或者安全性监测方法。针对实际QKD系统的非理想特性,弱随机性安全分析模型可以度量实际系统的安全性。基于弱随机性安全分析模型,目前已知的态可区分攻击、致盲攻击和波长攻击均可以理解为态编码或基矢选择的随机性被弱化,从而导致窃听者获取密钥信息。基于弱随机性安全模型,进一步设计光源、调制器和探测器的安全性测评方法,并搭建相应的安全性测评环境是QKD安全性研究的重点。
3.3 加强量子密码新协议的研究
基于CHSH不等式、CGLMP不等式等违反量子非局域关联的度量,设备无关(Device-Independent,DI)QKD协议对QKD系统的量子态制备和测量设备不做细节性的假设,只要观察到QKD系统的输入值和输出值对应的条件概率分布,就可以利用量子非局域性保证QKD系统测量结果的安全性。但是设备无关QKD协议在实验方面需要解决因探测器有限效率及信道衰减而引起的探测效率漏洞问题,并且对系统的效率要求过高(一般要求系统效率大于83%),目前长距离的实验实现困难较大,因此设备无关QKD协议的实用性较差。为了在安全性和实用性之间取得平衡,有学者提出了测量设备无关(Measurement-Device-Independent,MDI)QKD协议,该协议是目前最受关注的协议,在安全性分析和实验实现方面都取得了非常多的进展。与设备无关QKD协议相比较,测量设备无关QKD协议具有以下几点重要特点。一是测量设备无关QKD可以抵御任何测量装置引入的侧信道攻击。目前可以实现的致盲攻击、波长攻击和时移攻击等攻击方案,基本都是针对测量设备的攻击。而测量设备无关QKD协议的安全性不依赖于测量设备的可靠性,因此该协议免疫了测量设备的非理想性可能的攻击。同时,在光源端可以增加光强监控等安全性防御措施有效抵御态制备设备端的攻击。二是测量设备无关QKD协议具有较好的实验前景,目前已有较多的实验报道。特别指出的是,有学者基于测量设备无关QKD协议思想提出了双场QKD协议,该协议在保留了测量设备无关安全性优势的同时,还进一步延长了QKD的传输距离。最近的实验表明,双场QKD协议的实验实现距离已经达到833 km,这表明双场QKD协议有望在未来长距离广域QKD网络中发挥重要作用。近年来,测量设备无关QKD协议在安全性和实用性方面取得了完美的平衡,得到了国内外学者的广泛关注。如果设备无关QKD协议在未来QKD网络实验方面取得进一步的突破,那么实际QKD系统的安全性将进一步得到提升。

4 结 语


QKD系统安全性分析需要从器件、系统、安全防护等多个方面进行考察,并最终形成一系列安全性的标准规范。国内外的学者日益关注QKD系统发送端和接收端的各种器件的非理想性可能引入的攻击漏洞,并利用这些漏洞提出了一些攻击方法。从QKD测评的角度来看,需要考察QKD系统存在的各种安全风险,并采取针对性的安全性防御措施。国内外相关组织已经发布了QKD安全性方面的标准,这将对QKD的实用化有重大的促进作用。
针对实际系统安全性问题,有学者提出了安全性更优的设备无关和测量设备无关QKD协议。目前,设备无关和测量设备无关QKD协议还缺少商业化的系统产品,这方面的标准化研究进展较少,该协议安全性优、传输距离远的特点,为QKD的实用化推广奠定了技术基础,这将是未来量子密钥分配研究的一个重点方向。



编辑:陈十九

审核:商密君

征文启事

大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。

量子密钥分配实际安全性思考

点击购买《2020-2021中国商用密码产业发展报告》量子密钥分配实际安全性思考

来源:信息安全与通信保密杂志社 

注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。

量子密钥分配实际安全性思考

量子密钥分配实际安全性思考
量子密钥分配实际安全性思考
点分享
量子密钥分配实际安全性思考
点点赞
量子密钥分配实际安全性思考
点在看

原文始发于微信公众号(商密君):量子密钥分配实际安全性思考

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月2日11:57:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   量子密钥分配实际安全性思考http://cn-sec.com/archives/1437864.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息