量子密钥分配安全性探讨

李智虎

国家电网互联网技术研究院，北京市 100192

0 引言

移动互联网时代的到来，密码凸显了越来越重要的作用。 而随着量子计算技术的发展，经典密码，特别是经典公钥密码算法，存在很大的安全隐患，为应对后量子时代公钥密码存在的上述风险，国际国内都提出了后量子密码(如NIST抗量子算法征集等)、量子密钥分配等方案，其中，量子密钥分配方案由于具备信息论安全，成为了后量子时代密码的重要组成部分。

1 BB84 协议介绍

量子通信包括量子密钥分配、量子隐形传态、量子直接通信等。 目前量子密钥分配是实用化程度最高的量子通信技术，主要包括离散变量(即单光子)和连续变量两大技术途径。 1984 年人们提出了第一个量子密钥分配协议，即BB84协议。 之后，人们又提出了多种不同的协议，其中测量设备无关类协议因为可以抵御量子黑客针对探测系统的任意攻击而备受关注，近两年来，双场干涉类协议因为在提高远距离成码率上表现突出而成为该领域的研究热点。 在所有的这些协议中，最成熟且应用最广的是BB84协议。

BB84 协议[1]按照编码方式的不同，可以分为偏振编码、相位编码、频率编码等。 其安全性基于量子不可克隆、测不准等量子力学基本原理，与窃听者的计算能力无关。 协议具体过程如下:

(1)发送方Alice 随机产生一系列随机数(初始密钥材料)，再随机选择一组基(从X 基和Z 基中随机选择)，将密钥材料随机制备到这组基对应的量子态上。

(2)Alice 将加载了密钥材料的量子态通过量子信道(光纤、自由空间等)发送给Bob。

(3)Bob 从X 基和Z 基中随机选择一组测量基，对接收到的光子进行测量，记录是否测到光脉冲，如果测到则根据探测器的响应情况记录对应得到的比特信息。

(4)完成所有的光脉冲测量后，Bob 公布自己测到光脉冲的位置及对应选择的测量基，Alice 告诉Bob 哪些位置他们选择了同样的基，Alice 和Bob 保留这些位置的比特信息，扔掉选择了不同基时对应位置的比特信息。 这便得到了共享的初始密钥。

(5)对上述初始密钥再进行错误率估计、纠错、保密放大等经典后处理即可获得安全的最终密钥，完成密钥协商过程。

基于偏振编码的BB84 协议示意图如图1所示，图中省略了后处理等部分过程。

2 BB84 协议工程实现中存在的问题

我国在量子通信领域已经走在世界的前列，但是目前量子通信还存在一些问题，尤其是在工程实现和实际应用方面，需要较长时间来解决。

问题1. 经典信道与量子信道的交互会形成信息泄漏点，例如协商前共享参数的分发、协商中交互信息的完整性保护等。

问题2. 非理想单光子源的使用是产生安全问题的一个风险点，比如分束攻击[2]等。 为抵抗该类攻击，一般采用预共享数据加诱骗态方式，这样对首次通信的双方增加了困难。

问题3. 非理想单光子探测存在安全风险。高性能单光子探测器实现技术难度比较大，理想单光子探测器在实际中并不存在。 实际使用的单光子探测器会有暗计数、低于100%的探测效率等非理想因素存在。 如果受到强光干扰，探测器可能会出现强光致盲。

问题4. 单光子衰减很大，目前点对点通信距离大约100 公里(2018 年提出的双场协议能够大大超过这个传输距离，但目前还无法实用)，超过这个距离就需要中继，在量子中继短期内无法实用的情况下，目前只能采用可信中继方案，而可信中继必须落地，相当于变成了三方通信或多方通信。 这种对中继的可信安全要求也给量子通信带来困难，要求有很强的访问控制策略、权限管理以及物理安全防护。 如果要形成量子通信网络则困难呈指数上升，特别是非群组通信组网，如何实现可信中继成为亟待解决的问题。

问题5. 严格按照BB84 协议工程实现的话，Bob 用自己产生的一组随机的基测量接收到的单光子信息后，应该广播公开自己的基，但很多工程实现中Bob 只和Alice 点对点通信，没有第三方了解通信过程，这样Bob 和攻击者Eve 不可区分，容易被假冒。 非广播形成了新的安全隐患，尽管可以通过预共享密钥解决，但预共享密钥又反过来给组网带来了更大的困难，任何一个节点需要存储和全网其他需要通信节点的共享密钥(蜕化成了只用对称算法的密钥管理体系，而量子密钥分配系统之后，对称密码算法仍不可或缺)。

问题6. 攻击者Eve 可以截获很少的单光子进行测量，每个单光子正确测得其结果的概率为75%(以1/2 概率猜对基，猜错基的情况下仍有1/2 概率正确测量)，尽管后续有保密放大机制，以及对信道误码率进行估计，超过阈值则无法获得安全密钥。 在信道信噪比变化较大的状况下，Eve 依然可以获得少量密钥材料而不被发现，至少降低了暴力攻击的难度，从这个角度来看，量子密钥分配达不到经典密码中密钥传输“不泄露一比特密钥”的安全性要求。

问题7. 可能存在不确定的侧信道攻击，目前的BB84 协议，可以使用偏振、相位、频率、时间、路径等维度进行量子态编码，但是选择的编码维度与其他维度可能有关联(目前难以确定关联度)，攻击者可以根据信息关联度进行侧信道攻击(近期人们提出了编码侧信道免疫协议，但目前还无法实用)。

问题8. 量子通信系统很脆弱，监听往往会导致成码率的下降，甚至无法成码而导致通信中断，健壮性不如传统网络(但经典网络同样存在类似问题，比如切断光缆，互联网同样不可用)。

3 针对上述问题的改进

3.1 目前已有的安全措施

针对上述可能存在的风险和隐患，目前已有以下安全措施:

(1)针对问题1，BB84 协议必须有经典信道与量子信道，且敏感参数需要在两个信道中交互，可以通过高度集成，外围安全加固等方法增加信道交互安全性。

目前也存在一些不需要经典信道的量子通信协议，例如清华大学龙桂鲁团队的直接量子通信协议[3]，接收方产生随机的一组基发送给信息发送方，发送方不进行测量，而是做操作实现编码，例如比特1 则进行90 度旋转(U 变换)，比特0 则不做任何操作，发回接收方，接收方根据正确的基测量，一定能正确测量，实现译码。

(2)针对问题2，为消除非理想单光子产生安全性风险，一般采用诱骗态方法[4]及低的平均光子数(例如平均意义下每次发送0.2-0.4个光子)方式实现其安全性。

(3)针对问题3，为消除非理想单光子探测安全风险，一是采用一些测量设备无关的协议，但是这些协议对时间、相位同步等要求很高，目前尚未实用化；二是对BB84 协议，通过加强防护探测设备边界，以及严格的访问控制来实现；三是对一些特别的模式，例如针对广泛使用的门控模式的雪崩光电二极管的单光子探测器实现的雪崩过渡区攻击，可以通过归一化探测时间分布分析来探测雪崩过渡区攻击[5]。

(4)针对问题5，为防止Bob 和攻击者Eve不可区分而被假冒，如前文所述，可以通过预共享密钥解决，但每个节点需要存储和全网其他需要通信节点的共享密钥。

3.2 本文提出的改进

针对本文第二节“BB84 协议工程实现中存在的问题”的问题4、6，本文提出以下解决方案。

发送方和接收方通过网状，即多条线路，实现密钥分量而不是全部密钥的协商，完成多个密钥协商后，再对密钥分量进行合成，网络上任意一个节点都无法获知所有的分量。 该方法天然抵御了可信中继风险，解决了目前工程上很难形成网状节点的问题[问题4]，窃听者通过截获少量密钥而猜测密钥的几个比特，变成了只能猜测密钥分量的几个比特，从而通信过程没有泄露一个比特密钥的可能[问题6]。

总体来说，量子通信、量子技术是高精尖技术，其成熟不是一蹴而就，由于量子通信理论上具备信息论安全，将其逐步完善，将会成为对抗量子计算的重要利器。