陳 暉，張文政

(保密通信重點(diǎn)實(shí)驗(yàn)室，成都 610041)

0 概 述

在Shannon信息論的深遠(yuǎn)影響下，在20世紀(jì)70年代以后出現(xiàn)了諸如DES、RSA、MD5、AES等許多優(yōu)秀的密碼算法，為電子商務(wù)、電子政務(wù)等領(lǐng)域的信息安全做出了重要貢獻(xiàn)。但是，隨著計(jì)算技術(shù)和密碼分析技術(shù)的快速發(fā)展，傳統(tǒng)密碼系統(tǒng)面臨著越來越多的安全威脅。近幾年來，一向被認(rèn)為安全的單向壓縮算法MD5[1]、SHA-0[2]等被證實(shí)存在安全隱患，這進(jìn)一步強(qiáng)化了人們對(duì)傳統(tǒng)密碼安全的憂慮。根據(jù)已經(jīng)發(fā)現(xiàn)的量子計(jì)算方法[3,4]分析，目前的密碼算法體系很難應(yīng)對(duì)量子并行計(jì)算的攻擊。一旦量子計(jì)算機(jī)的研制和應(yīng)用取得實(shí)質(zhì)性突破，目前廣泛使用的密碼算法將面臨更新?lián)Q代的必然選擇。然而，新一代密碼算法體系是否是傳統(tǒng)密碼算法體系的進(jìn)一步完善？物理安全的量子密鑰分發(fā)[5](QKD，quantum key distribution)是否具有更低的安全風(fēng)險(xiǎn)？目前，還很難對(duì)這些問題的解決列一個(gè)時(shí)間表。但是對(duì)這些問題進(jìn)行探討將有益于密碼新技術(shù)的理論與應(yīng)用實(shí)踐。

RSA、AES等傳統(tǒng)密碼算法的安全性基于計(jì)算復(fù)雜度，具有實(shí)際安全性。密碼破解的主要技術(shù)包括具體的密碼分析算法和計(jì)算能力，針對(duì)工程實(shí)現(xiàn)存在一些諸如能量分析等旁路(side channel)攻擊[6]。總體上來看，針對(duì)物理系統(tǒng)的旁路攻擊并不是傳統(tǒng)密碼系統(tǒng)的主要威脅。但是，對(duì)于基于物理安全的新型密碼算法來說，針對(duì)物理系統(tǒng)的旁路攻擊將成為一個(gè)主要威脅。

計(jì)算能力的提高很難在一夜之間發(fā)生突變，高性能計(jì)算方法的出現(xiàn)通常有一個(gè)比較長的周期，新型破譯方法的出現(xiàn)也存在一定的時(shí)間周期(比如，數(shù)據(jù)加密標(biāo)準(zhǔn)DES從出現(xiàn)到被破譯歷時(shí)近30年。)。而新型的旁路攻擊手段的出現(xiàn)卻很難預(yù)測(cè)和防范。另外，終端系統(tǒng)的可信性將成為物理安全的密碼系統(tǒng)最脆弱的環(huán)節(jié)，物理安全的密碼系統(tǒng)終端的安全性測(cè)評(píng)將面臨更多的技術(shù)挑戰(zhàn)。實(shí)際上，理論上被證明很完美的技術(shù)并不意味著這個(gè)技術(shù)能夠?qū)崿F(xiàn)完美的應(yīng)用，就像一次一密亂碼本(one-time-pad)算法一樣，QKD理論上所界定的理想安全性也必然會(huì)受到諸多工程技術(shù)問題的挑戰(zhàn)。

1 QKD現(xiàn)狀

QKD技術(shù)已經(jīng)歷了近30年的發(fā)展過程。從基礎(chǔ)理論探討到基本原理實(shí)驗(yàn)驗(yàn)證，再到應(yīng)用可行性探索，QKD技術(shù)已經(jīng)發(fā)展到接近實(shí)用水平[7]。2007 年，日內(nèi)瓦政府把商用QKD 系統(tǒng)應(yīng)用到聯(lián)邦選舉的投票系統(tǒng)。2009年以后，中國的蕪湖、合肥等地相繼建設(shè)了多節(jié)點(diǎn)的量子通信實(shí)驗(yàn)網(wǎng)[8,9]。2016年前后，中國和日本都有發(fā)射量子通信衛(wèi)星并實(shí)現(xiàn)星地量子通信的計(jì)劃。

根據(jù)相關(guān)知識(shí)產(chǎn)權(quán)態(tài)勢(shì)分析[10]，美國NIST、Los Alamos國家實(shí)驗(yàn)室在基于自由空間和光纖信道的離散變量QKD技術(shù)方面處于世界領(lǐng)先水平。美國MagiQ公司在QKD技術(shù)領(lǐng)域擁有很強(qiáng)的實(shí)力和競爭力。歐盟在基于光纖信道的連續(xù)變量QKD技術(shù)和基于自由空間信道的糾纏光子QKD技術(shù)方面處于世界領(lǐng)先水平。目前，歐盟保持著其在基于糾纏光子QKD系統(tǒng)300 km最遠(yuǎn)傳輸距離的紀(jì)錄。瑞士的IDQuantique公司擁有目前最成熟的QKD系統(tǒng)產(chǎn)品。日本在QKD技術(shù)專利的數(shù)量和質(zhì)量上具有很強(qiáng)的優(yōu)勢(shì)，日本的東芝、三菱電機(jī)、NEC等在專利和核心技術(shù)方面都有很強(qiáng)的影響力。東芝研發(fā)的QKD系統(tǒng)可以在50 km光纖中實(shí)現(xiàn)1 Mb/s的安全碼率，代表了目前的最好水平。

國內(nèi)，中國科技大學(xué)的QKD系統(tǒng)研發(fā)團(tuán)隊(duì)在QKD網(wǎng)絡(luò)化應(yīng)用、實(shí)驗(yàn)網(wǎng)絡(luò)建設(shè)和自由空間QKD實(shí)驗(yàn)等方面保持著世界先進(jìn)水平。中國科學(xué)研究院、清華大學(xué)、北京大學(xué)、華東師范大學(xué)、上海交通大學(xué)、北京郵電大學(xué)等院校的QKD研究團(tuán)隊(duì)也都取得了許多獨(dú)具特色并具有一定國際影響力的理論和實(shí)驗(yàn)成果。

目前，國內(nèi)外已經(jīng)有許多公司在進(jìn)行QKD系統(tǒng)的研發(fā)，國內(nèi)外幾個(gè)公司的QKD系統(tǒng)產(chǎn)品情況，見表1。

表1 國內(nèi)外公司的QKD系統(tǒng)產(chǎn)品情況

總體上，美、歐、日等依然保持著在QKD技術(shù)領(lǐng)域的領(lǐng)先地位，在QKD系統(tǒng)理論和核心技術(shù)方面處于世界領(lǐng)先水平，并都很重視在中國的專利布局。

2 QKD的局限性

目前國內(nèi)外許多公司和研究機(jī)構(gòu)都在密切關(guān)注和布局QKD技術(shù)及其應(yīng)用市場(chǎng)。但是，QKD目前的技術(shù)成熟度和性價(jià)比都還比較低，并且它也擺脫不了自身的固有局限性和軟肋。

實(shí)際上，傳統(tǒng)密碼算法的安全性基于計(jì)算復(fù)雜度，在高性能并行計(jì)算環(huán)境下具有脆弱性，但是傳統(tǒng)密碼算法具有很好的人們比較容易接受的實(shí)際安全性，并且人們并不是很擔(dān)心其可能存在的“后門”。而對(duì)于QKD技術(shù)，其理想的物理安全性將受制于很多物理實(shí)現(xiàn)條件，量子通信光源、調(diào)制、探測(cè)等方面的技術(shù)成熟度較低將直接影響QKD系統(tǒng)的實(shí)際安全性[11,12]。存在系統(tǒng)漏洞的風(fēng)險(xiǎn)將對(duì)QKD在安全性方面的優(yōu)勢(shì)大打折扣。

從工程學(xué)的角度來分析，QKD的應(yīng)用推廣的時(shí)機(jī)還不太成熟。光纖通信從20世紀(jì)70年代被驗(yàn)證具有高速通信的可行性，并被認(rèn)為光纖將全面取代同軸電纜，但是光纖通信得到廣泛應(yīng)用卻是在30甚至40年后。目前光纖到戶還沒有最后完成，并且同軸電纜依然是現(xiàn)代數(shù)據(jù)傳輸網(wǎng)絡(luò)的重要基礎(chǔ)設(shè)施。QKD技術(shù)在20世紀(jì)90年代被驗(yàn)證具有應(yīng)用可行性，至今QKD技術(shù)已經(jīng)發(fā)展到接近實(shí)用水平。但是，QKD系統(tǒng)很難直接利用當(dāng)前的光纖通信網(wǎng)絡(luò)等基礎(chǔ)設(shè)施，而重新鋪設(shè)量子通信光纖網(wǎng)絡(luò)需要一定的周期，因此，光纖QKD系統(tǒng)的應(yīng)用推廣很難在短期內(nèi)有重大突破，但QKD將會(huì)在一些特殊領(lǐng)域得到一定的應(yīng)用。

從QKD自身的技術(shù)特點(diǎn)分析，一方面，由于量子態(tài)不能精確克隆，量子信號(hào)的遠(yuǎn)距離傳輸、路由,以及QKD系統(tǒng)的自由組網(wǎng)都將存在一定的技術(shù)瓶頸，并且量子信號(hào)的傳輸也不像經(jīng)典電磁波那樣具有很大的靈活性。因此，QKD很難與傳統(tǒng)的通信網(wǎng)絡(luò)進(jìn)行無縫對(duì)接，很難適應(yīng)無線互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等，也很難在廣域網(wǎng)應(yīng)用中發(fā)揮關(guān)鍵作用。另一方面，QKD為點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸安全提供了一種新型的解決方案，但是，與保密通信密切相關(guān)的身份識(shí)別和數(shù)據(jù)存儲(chǔ)保護(hù)等問題并沒有在量子信息技術(shù)范疇內(nèi)得到有效解決。

因此，QKD不可能全面取代傳統(tǒng)密碼的作用。短期內(nèi)，不斷完善QKD系統(tǒng)的安全體系，通過較小范圍內(nèi)的實(shí)際應(yīng)用探索其應(yīng)用可行性具有重要的實(shí)踐意義。

3 QKD的實(shí)際安全性

理論上，QKD具有與計(jì)算復(fù)雜度無關(guān)的物理安全性，是可以抗量子計(jì)算攻擊的新型的密鑰協(xié)商手段。但是，實(shí)際QKD系統(tǒng)很難達(dá)到理論上所要求的完美性，至少在短期內(nèi)，其理論上的理想安全性很難得到有效實(shí)現(xiàn)。

(1) QKD系統(tǒng)的實(shí)際安全性需要不斷完善

實(shí)際QKD 系統(tǒng)中所采用的元器件存在多種與理論模型要求不符的非理想特性，這些非理想性有可能導(dǎo)致器件響應(yīng)上的誤差、旁路信息的泄漏,甚至被遠(yuǎn)程操控，從而使QKD系統(tǒng)出現(xiàn)安全性漏洞。竊聽者利用這些漏洞可以獲取部分甚至全部的密鑰比特。比如，理想的BB84協(xié)議要求使用單光子源，否則竊聽者可以進(jìn)行光子數(shù)分離攻擊(PNS,photon-number splitting attack)[13]。由于目前尚無理想的單光子光源，實(shí)際QKD系統(tǒng)通常采用弱相干光源，并結(jié)合誘騙態(tài)(Decoy State)方法來抵御PNS攻擊[14]。誘騙態(tài)的核心思想是讓竊聽者無法區(qū)分進(jìn)入信道的光子來自信號(hào)態(tài)還是誘騙態(tài)。但是，發(fā)送端可以區(qū)分這兩種量子態(tài)，從而增加了發(fā)送端被植入后門或木馬的風(fēng)險(xiǎn)，也給系統(tǒng)終端的安全性檢測(cè)帶來了更多的挑戰(zhàn)[15]。比如，發(fā)送端的隱蔽木馬主動(dòng)干擾信號(hào)態(tài)和誘騙態(tài)的波長，使二者之間存在一個(gè)微小的在接收端不被過濾掉的但是Eve可區(qū)分的波長差，那么發(fā)送端的隱蔽木馬就可以為Eve隱蔽竊聽開啟方便之門，而Bob卻很難發(fā)現(xiàn)這個(gè)事實(shí)。

實(shí)際上，QKD系統(tǒng)中的光源、有源/無源光學(xué)器件、單光子探測(cè)器以及所有通信端口等都存在一定的被置入旁路的風(fēng)險(xiǎn)，并對(duì)QKD系統(tǒng)的安全性構(gòu)成一定的威脅[12]。

由于理想?yún)f(xié)議下的安全性并不等價(jià)于實(shí)際系統(tǒng)的安全性，如何給出所有實(shí)際器件非理想性的度量方式及其對(duì)安全性的影響是解決QKD系統(tǒng)實(shí)際安全性的關(guān)鍵。

(2) QKD系統(tǒng)的安全性測(cè)評(píng)體系需要?jiǎng)?chuàng)新

傳統(tǒng)密碼分析和破譯更多的依賴分析方法和計(jì)算能力，一個(gè)密碼系統(tǒng)的安全性可以從理論上進(jìn)行分析并得出一個(gè)比較合理的實(shí)際安全性水平。但是QKD的分析和破譯將更多的依賴更先進(jìn)的光纖介入技術(shù)和量子信號(hào)檢測(cè)分析技術(shù)。由于QKD系統(tǒng)的技術(shù)和成本費(fèi)用門檻較高，實(shí)際參與QKD系統(tǒng)安全性的分析也主要局限于一些研究結(jié)構(gòu)和高校?？梢哉f，目前QKD系統(tǒng)的安全性還未得到廣泛的實(shí)際分析。伴隨著相關(guān)技術(shù)的不斷發(fā)展，針對(duì)物理安全系統(tǒng)的攻防將成為一個(gè)密碼攻防領(lǐng)域的新型“戰(zhàn)場(chǎng)”。從辯證的觀點(diǎn)來看，這種新型的攻防較量也將持續(xù)存在著，“量子密碼終結(jié)黑客”的“預(yù)言”也將僅僅是一個(gè)夢(mèng)想。2010年，瑞士IDQuantique公司推出的QKD產(chǎn)品ID500在還沒有得到廣泛分析的情況下，就被一個(gè)研究機(jī)構(gòu)成功破解[16]。這也印證了“只有密碼分析者才確切知道一個(gè)密碼系統(tǒng)是否安全”的論斷。雖然這并不是對(duì)QKD 理論安全性的否定，但也說明實(shí)現(xiàn)具有理想安全性的QKD 系統(tǒng)還有很長的路要走。

由于很難確保QKD系統(tǒng)的關(guān)鍵元器件都合乎理論要求，也很難確保QKD系統(tǒng)不被植入“后門”，更難評(píng)估潛在對(duì)手擁有什么等級(jí)的分析破譯技術(shù)手段和工具，因此，目前還很難對(duì)QKD系統(tǒng)的實(shí)際安全性進(jìn)行合理的界定。這都將給QKD系統(tǒng)的可信性和安全性帶來一定的挑戰(zhàn)，同時(shí)對(duì)QKD系統(tǒng)的測(cè)評(píng)也提出了更高的要求。

如何檢測(cè)并排除存在隱蔽后門的可能性將是QKD實(shí)際安全性需要解決的問題。而檢測(cè)所有QKD 器件的非理想性在技術(shù)上依然是非常困難的事情?？梢哉f，完善QKD系統(tǒng)的實(shí)際安全性依然任重道遠(yuǎn)。

4 QKD與抗量子計(jì)算的密碼

Peter Shor于1994年設(shè)計(jì)了第一個(gè)具體的量子分解算法[3]，它在設(shè)想的量子計(jì)算機(jī)上可以在輸入變量的多項(xiàng)式時(shí)間內(nèi)分解大數(shù)因子，這給RSA和ECC等非對(duì)稱密碼系統(tǒng)的安全性提出了嚴(yán)峻的挑戰(zhàn)。Grover于1996年設(shè)計(jì)了隨機(jī)數(shù)據(jù)庫搜索的量子迭代算法[4]，它有可能解決經(jīng)典上所謂的NP完全問題。因此，基于傳統(tǒng)密碼算法的保密通信體系將面臨著巨大的潛在威脅。因此，量子計(jì)算在給QKD的快速發(fā)展帶來契機(jī)的同時(shí)，也將極大地促進(jìn)傳統(tǒng)密碼算法的變革。

根據(jù)目前的研究成果分析，抗量子計(jì)算攻擊的密碼算法主要包括具有物理安全性的新型密碼(比如，量子密碼和生物密碼)和具有特殊計(jì)算復(fù)雜性的數(shù)學(xué)密碼(比如，基于格上困難問題的密碼算法、基于有理分式問題的密碼算法、基于糾錯(cuò)碼的密碼算法等)。

基于抗量子計(jì)算的困難問題的量子公鑰密碼(QPKC,quantum public-key crypto-system)方案的密鑰仍然由經(jīng)典比特構(gòu)成，保持了公鑰密碼的靈活性。但它們的安全性仍建立在計(jì)算復(fù)雜性假設(shè)之上。比如，Okamoto等于2000年提出的基于改進(jìn)的背包問題的量子公鑰密碼算法[17]。另外，由于對(duì)量子計(jì)算的研究還處于初級(jí)階段，無法排除存在更好的量子計(jì)算方法的可能性，因此，具有特殊計(jì)算復(fù)雜性的密碼算法是否具有足夠的安全性還需要時(shí)間的檢驗(yàn)。對(duì)于采用與QKD類似的思路設(shè)計(jì)的公鑰密碼算法，大多通過引入量子元素來設(shè)計(jì)具有完美安全性的QPKC。這類方案的安全性由物理原理保證，但密鑰通常由較難控制的量子比特組成，因此密碼的靈活性往往會(huì)明顯降低。比如，Nikolopoulos于2008年提出的一種基于單量子比特旋轉(zhuǎn)的QPKC方案[18]。

目前，QPKC研究也碰到了一定的理論瓶頸[19]，相關(guān)研究也不太活躍。比如，QPKC中量子公私鑰對(duì)如何實(shí)現(xiàn)？QPKC如何實(shí)現(xiàn)“無條件安全”？QKD協(xié)議中采用的“竊聽檢測(cè)”手段能否用于“由公鑰不能得到私鑰”？解決這些問題還需要進(jìn)行深入探討。

5 結(jié) 語

由于信息安全在信息社會(huì)中發(fā)揮著越來越重要的作用，深入開展QKD的應(yīng)用關(guān)鍵問題研究、量子計(jì)算研究和抗高性能計(jì)算攻擊的密碼體制研究等具有十分重要的實(shí)際意義。毫無疑問，QKD的實(shí)際安全性及其應(yīng)用研究依然是下一階段的研究熱點(diǎn)，但是，單純利用QKD技術(shù)很難確保國家重要領(lǐng)域的信息安全。因此，能否構(gòu)建一個(gè)完善的QKD系統(tǒng)實(shí)際安全及其測(cè)評(píng)體系將左右QKD技術(shù)的未來。而在量子計(jì)算機(jī)和抗量子計(jì)算攻擊的密碼算法體系領(lǐng)域的不對(duì)稱快速發(fā)展并保持國際先進(jìn)甚至領(lǐng)先水平將是國家信息安全領(lǐng)域贏取主動(dòng)局面的關(guān)鍵。

[1] WANG X Y,FENG D G,et al.collisions for hash functions MD4,MD5,HAVAL-128 and RIPRMD[C]//In Proc.Crypto’04,Santa Barbara,CA,USA,2004.

[2] WANG X Y,YU H B,et al.Efficient Collision Search Attacks on SHA-0 [C]//In Proc.Crypto’05,Santa Barbara,CA,USA,2005.

[3] SHOR P W.Algorithms for Quantum Computation,Discrete Log and Factoring[C]//FOCS’35,Santa Fe,NM,1994:124-134.

[4] GROVER L K.A Fast Quantum Mechanical Algorithm for Database Search [C]//Proceedings,28th Annual ACM Symposium on the Theory of Computing,Philadelphia,Pennsylvania,1996:212-219.

[5] BENNETT C H,BRASSARD G.Quantum Cryptography:Public Key Distribution And Coin Tossing [C]//International Conference on Computers,Systems &Signal Processing,Bagalore,India,1984:175-179.

[6] KOCHER P,JAFFE J,JUN B.Differential Power Analysis[C]//Proc.of the Advances in Cryptology-CRYPTO’99,Berlin:Springer-Verlag,1999,1666:388-397.

[7] POPPE A,PEEVANDO M.Maurhart.Outline of the SECOQC quantum Key Distribution Network in Vienna[J].International Journal of Quantum Information,2008,6(2):209-218.

[8] CHEN W,HAN Z F,ZHANG T,et al.Field Experimental “Star Type” Metropolitan Quantum Key Distribution Network[J].IEEE Photonics Technology Letters,2009,21(9):575-577.

[9] CHEN T Y,LIANG H,LIU Y,et al.Field Experiment of a Practical Secure Communication Network with Decoy-State Quantum Cryptography[J].Optics Express,2009,17(8):6 548-6 549.

[10] 楊帆,王海霞,韓淋.量子通信知識(shí)產(chǎn)權(quán)態(tài)勢(shì)分析報(bào)告[R/OL].2011,http://ir.las.ac.cn/handle/12502/4507.

[11] QI B,FUNG C H F,et al.Time-shift Attack in Practical Quantum Cryptosystems[J].Quantum Information & Computation,2007,7(1):73-82.

[12] 李宏偉,陳巍,黃靖正,等.量子密碼安全性研究[J].中國科學(xué),2012,42(11):1 237-1 255.

[13] LüKENHAUS N.Security Against Individual Attacks for Realistic Quantum Key Distributio[J].Phys.Rev.2000,A 61:052 304.

[14] H-K LO,MA X,CHEN K.Decoy State Quantum Key Distribution[J].Phys.Rev.Lett.,2005,94:230504.

[15] 陳暉,徐兵杰.量子密鑰分發(fā)系統(tǒng)中的隱蔽欺騙方法[J].中國電子科學(xué)院學(xué)報(bào),2013,8(5):525-528.

[16] LYDERSEN L,WIECHERS C,WITTMANN C,et al.Hacking Commercial Quantum Cryptography By Tailored Bright Illumination[J].Nat.Photonics,2010(4):686.

[17] OKAMOTO T,TANAKA K,UCHIYAMA S.Quantum public-key cryptosystems[C]//Advances in Cryptology:Crypto 2000 Proceedings.Berlin Springer,2000,1880:147-165.

[18] NIKOLOPOULOS G M.Applications of Single-Qubit Rotations in Quantum Public-Key Cryptography[J].Phys Rev A,2008(77):032 348.

[19] 高飛,溫巧燕,秦素娟,等.基于對(duì)稱密鑰的量子公鑰密碼[J].中國科學(xué),2010,40(1):26-32.