如何看待“量子通信被破解”？看似意料之外，實在情理之中

【文/ 觀察者網專欄作者 徐令予】

最近上海交通大學研究團隊成功破解“量子通信”的消息在互聯網上激起了一片浪花。該消息在觀察者網轉載後，不到半天點擊破15萬，評論數超過300條。一個科研項目、一個國家級的工程受到公眾的關注是件好事。但是由於諸多原因，公眾對“量子通信”存在許多誤解和疑慮，深入的科普和耐心的引導仍是當務之急。

“量子通信”被破解看似意料之外，實在情理之中。“量子通信”被破解一點也不奇怪，問世以來它被黑客虐了已經不知有多少回，這既不是第一次，更不會是最後一回。

“量子通信”被黑何時了，漏洞知多少？這還真不是杞人憂天，上海交大破解團隊的論文就是這麽說的：“然而，我們希望在此提供的主要信息是，當我們認為MDI-QKD已經是一個非常成熟且商業化的解決方案時，可能存在許多其他未發現的物理漏洞。”

“量子通信”被破解是好事還是壞事？這得看對誰而言。此事對於“量子通信”的科學研究工作可能是好事，破解-反破解本是量子通信科研的重要組成部分，失敗和教訓是科學成長的維它命。但是“量子通信”被破解對於工程項目很難說是好消息。

“帶病上崗”的京滬量子通信乾線究竟該怎麽辦？第二天，論文作者又在量子通信團隊的自媒體“墨子沙龍”緊急補漏，聲稱：“正如我們公開在預印本arXiv上文章中已經深入討論了的，我們通過進一步理論分析和實驗設計，證明了針對這一漏洞的竊聽方案可以通過在源端（我們的實驗系統已經內置了30dB隔離度）增加更高對比度光隔離器來解決，從而保證量子密鑰分發的安全性。”但是論文的原文說的正好相反：“很顯然，攻擊者的雷射功率不受限制的話，即使採用隔離保護，Eve總能夠破解MDI-QKD系統”（apparently with infinite laser power, Eve will always be able to hack MDI-QKD systems even with the isolation protection.）

讓我們退一步，就算攻擊者擁有雷射武器不在他們學術上的考慮範圍，而且已經找到了切實可行的解決方案。此條乾線上數以百計的光量子發射源要不要都升級更換？設備更換後肯定會影響整體運行性能，系統參數的聯調估計也不是件容易的事。

如果解決方案使“量子通信”的硬體設備變得更複雜更昂貴，增加的經費開支由誰來買單？京滬乾線上自覺自願的付費客戶本沒有幾個，恐怕還得由包建設、包運營的政府再加上包修理。

如果量子通信僅局限在實驗室中，上述所有問題都立馬消失。核心技術的進步來自於實驗室，這次發現的“量子通信”的安全隱患就是在實驗室中，而不是在京滬量子乾線上。科技可以在試錯中進步，工程項目絕不能在試錯中前行。

量子通信離開工程建設的可行性要求差之甚遠。量子通信工程的技術基礎是美國科學家在1984年制定的BB84協議，BB84是前互聯網時代留下的技術化石，這種端到端的通信協議完全不具備組成複雜多變網絡結構的可能。最近頒布的《量子保密通信技術白皮書》，看了其中關於量子保密通信組網部分，依然空洞無物。量子通信組網連“紙上談兵”的水準都夠不上，只能算是“夢中談兵”這一層級。

量子通信工程中密鑰協商分發的最大距離不超過百公里，遠程量子通信工程必須使用可信中繼站技術。可信中繼站中密鑰以明文格式接觸連網的計算機，給量子通信工程帶來極為嚴重的安全隱患。使用衛星作量子密鑰分發的技術尚在實驗階段，事實上它很難跨越“最後一公里”這個技術障礙，本質上這還是被卡在中繼技術的死穴裡。

量子通信的BB84協議早在1984年就提出了，三十多年過去了，這樣一個漏洞百出、技術上不成熟又沒有多大實用價值的量子通信能大行其道，靠的是一張護身符——“量子通信”可以保證通信的無條件安全。其實“量子通信”在理論上的無條件安全性都是存疑的，“量子通信”工程的無條件安全性又何從說起？物理與工程之間有本質的區別，絕不能把物理原理中的理想結果偷換成工程指標。

著名物理學家費曼說過，“所有的物理定律都是對現實世界的近似，模型和現實之間永遠存在無法磨滅的微小差異。”費曼之所以在這裡使用“微小差距”，是為了強調現實與理論這二者之間的差距無論用什麽方法都是無法完全消除的，是“永遠”也無法磨滅的。而在大多數情況下，理論與現實之間常常存在著明顯的差距。

物理原理給出的結果都是在滿足許多苛刻條件的理想環境下才能成立，在現實世界中，在工程實施時這些條件都是無法完全滿足的，即使要部分滿足這些條件，工程的代價也會高到無法忍受。工程都是性能和代價的折衷和優化，“量子通信”工程一定也逃脫不了這個規律，無條件絕對安全的“量子通信”在現實中是根本不存在的，注定也得把“貓捉老鼠”的遊戲繼續玩下去。這次“量子通信”被“注入鎖定”方式破解就是一個最好的證明。

說到底，信息安全技術的發展史就是一場“貓捉老鼠”的鬥爭史。傳統密碼技術如此，“量子通信”最多也只能是如此。但是基於數學原理用軟體技術實現的傳統密碼在兼容性、效率和性能價格比各方面遠遠優於“量子通信”，失去了“無條件安全”這張護身符的“量子通信”又有什麽資格與傳統密碼一較高下？

目前大多數實驗室和工程建設中的“量子通信”並不是保證通信安全的獨立完整的密碼系統，密碼系統的核心是加密解密的算法，“量子通信”使用的都是傳統對稱密碼的加密解密算法。“量子通信”也與量子糾纏毫無關係，它們其實只是利用量子偏振態為通信雙方協商獲得密鑰的一種硬體技術，簡稱“量子密鑰分發”技術。

“量子密鑰分發”基於量子物理的量子不可克隆原理，保證密鑰傳送過程中如果有竊聽必被發現，追求密鑰分發環節的保密性。許多人把通信保密性錯認為就是通信的安全性。當然通信安全一定要求通信內容的保密性，但是只有通信的保密性並不等於通信就是安全的。通信的安全性有著比保密性更高更強的要求，它不僅要求通信雙方傳送的內容不能被任何第三者知道，還要確認收發方各自的真實身份，還必須確認通信內容的完整性和不可篡改性，另外還要保證通信的穩定性和可靠性。所以通信的安全性至少應該包括通信的保密性、真實性、完整性、和可用性。

由此可知，所謂的“量子通信”可以保證通信的無條件安全是沒有任何科學依據的，這種宣傳實在錯得太離譜了。

就在昨天，潘建偉等《關於量子保密通信現實安全性的討論》一文中還在宣傳：學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被Mayers, Lo, Shor-Preskill等人完成。

該文所引的有關量子保密通信安全性證明的論文大多是十多年前的論文，為什麽不敢引用最近這幾年的相關論文呢？不是說會“對經過同行評審並公開發表的學術論文進行評價”的嗎？如果這個問題真的已有定論，為什麽最近幾年美國和日本的量子通信專家權威仍有不少質疑QKD安全性的論文呢？

這些新的論文儘管在QKD的理論安全性的分析評估方法上存在各種分歧和爭論，但是專家們的認識有一點是共同的：QKD離開“信息理論級安全”差距甚遠。

Horace P.Yuen（美國西北大學電子和物理系教授，1996年獲得國際量子通信獎，2008年他又獲得了IEEE光子學會的量子電子獎）是量子通信安全領域國際上公認的學術權威，他對QKD安全性發表了一系列重量級論文，受到了國際上不少同行的支持。Yuen教授2016年發表在IEEE上的論文：《量子通信安全性》，受到日本等國量子通信專家的讚同和支持[1]。為什麽中國的同行們對此一字不提呢？

通信安全是一個很大很複雜的大系統，大多數人是門外漢，量子實驗物理學家也不例外。有關通信和信息安全還是要向通信密碼學界的專家學者們虛心學習。

前幾天我在密碼學界的一位專家朋友轉發了一篇談安全和科學的論文給我[2]，認真看了一下，受益匪淺。好文章不能獨享，特把文章地址發於下，有興趣的可以讀讀。希望有關專業人士都能從中受益，把通信和信息安全的認識提高到一個更新更高的水準。

[1] Security of Quantum Key Distribution

https://ieeexplore.ieee.org/document/7403842

[2]《科學與安全，安全是科學追求的難以捉摸的目標》

https://www.microsoft.com/en-us/research/wp-content/uploads/2017/03/scienceAndSecuritySoK.pdf

翻頁為：潘建偉等物理學家《關於量子保密通信現實安全性的討論》

關於量子保密通信現實安全性的討論

王向斌1 馬雄峰1 徐飛虎2 張強2 潘建偉2

（1.清華大學 2.中國科學院量子信息與量子科技創新研究院，中國科學技術大學）

近來，某微信公眾號發表了一篇題為“量子加密驚現破綻”的文章，宣稱“現有量子加密技術可能隱藏著極為重大的缺陷”。其實該文章最初來源於美國《麻省理工科技評論》的一篇題為“有一種打破量子加密的新方法”的報導，該報導援引了上海交通大學金賢敏研究組的一篇尚未正式發表的工作。

此文在微信號發布後，國內很多關心量子保密通信發展的領導和同事都紛紛轉來此文詢問我們的看法。事實上，我們以往也多次收到量子保密通信安全性的類似詢問，但一直未做出答覆。這是因為學術界有一個通行的原則：隻對經過同行評審並公開發表的學術論文進行評價。但鑒於這篇文章流傳較廣，引起了公眾的關注，為了澄清其中的科學問題，特別是為了讓公眾能進一步了解量子通信，我們特撰寫此文，介紹目前量子信息領域關於量子保密通信現實安全性的學界結論和共識。

現有實際量子密碼（量子密鑰分發）系統主要採用BB84協議，由Bennett和Brassard於1984年提出[1] 。與經典密碼體制不同，量子密鑰分發的安全性基於量子力學的基本原理。即便竊聽者控制了通道線路，量子密鑰分發技術也能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被 Mayers, Lo, Shor-Preskill等人完成[2-4]。

後來，量子密鑰分發逐步走向實用化研究，出現了一些威脅安全的攻擊[5, 6]，這並不表示上述安全性證明有問題，而是因為實際量子密鑰分發系統中的器件並不完全符合上述（理想）BB84協議的數學模型。歸納起來，針對器件不完美的攻擊一共有兩大類，即針對發射端--光源的攻擊和針對接收端--探測器的攻擊。

“量子機密驚現破綻”一文援引的實驗工作就屬於對光源的木馬攻擊。這類攻擊早在二十年前就已經被提出[5]，而且其解決方案就正如文章作者宣稱的一樣[7]，加入光隔離器這一標準的光通信器件就可以了。該工作的新穎之處在於，找到了此前其他攻擊沒有提到的控制光源頻率的一種新方案，但其對量子密碼的安全性威脅與之前的同類攻擊沒有區別。儘管該工作可以為量子保密通信的現實安全性研究提供一種新的思路，但不會對現有的量子保密通信系統構成任何威脅。其實，自2000年初開始，科研類和商用類量子加密系統都會引入光隔離器這一標準器件。舉例來說，現有的商用誘騙態BB84商用系統中總的隔離度一般為100dB，按照文章中的攻擊方案，需要使用約1000瓦的雷射反向注入。如此高能量的雷射，無論是經典光通信還是量子通信器件都將被破壞，這就相當於直接用雷射武器來摧毀通信系統，已經完全不屬於通信安全的範疇了。

而對光源最具威脅而難以克服的攻擊是“光子數分離攻擊”[6]。嚴格執行BB84協議需要理想的單光子源。然而，適用於量子密鑰分發的理想單光子源至今仍不存在，實際應用中是用弱相乾態光源來替代。雖然弱相乾光源大多數情況下發射的是單光子，但仍然存在一定的概率，每次會發射兩個甚至多個相同量子態的光子。這時竊聽者原理上就可以拿走其中一個光子來獲取密鑰信息而不被察覺。光子數分離攻擊的威脅性在於，不同於木馬攻擊，這種攻擊方法無需竊聽者攻入實驗室內部，原則上可以在實驗室外部通道鏈路的任何地方實施。若不採用新的理論方法，用戶將不得不監控整個通道鏈路以防止攻擊，這將使量子密鑰分發失去其“保障通信鏈路安全”這一最大的優勢。事實上，在這個問題被解決之前，國際上許多知名量子通信實驗小組甚至不開展量子密鑰分發實驗。2002年，韓國學者黃元瑛在理論上提出了以誘騙脈衝克服光子數分離攻擊的方法[8]；2004年，多倫多大學的羅開廣、馬雄峰等對實用誘騙態協議開展了有益的研究，但未解決實用條件下成碼率緊致的下界[9]；2004年，華人學者王向斌在《物理評論快報》上提出了可以有效工作於實際系統的誘騙態量子密鑰分發協議，解決了現實條件下光子數分離攻擊的問題[10]；在同期的《物理評論快報》上，羅開廣、馬雄峰、陳凱等分析了誘騙態方法並給出嚴格的安全性證明[11]。在這些學者的共同努力下，光子數分離攻擊問題在原理上得以解決，即使利用非理想單光子源，同樣可以獲得與理想單光子源相當的安全性。2006年，中國科技大學潘建偉等組成的聯合團隊以及美國Los-Alamos國家實驗室-NIST聯合實驗組同時利用誘騙態方案，在實驗上將光纖量子通信的安全距離首次突破100km，解決了光源不完美帶來的安全隱患[12-14]。後來，中國科技大學等部門的科研團隊甚至把距離拓展到200km以上。

第二類可能存在的安全隱患集中在終端上。終端攻擊，本質上並非量子保密通信特有的安全性問題。如同所有經典密碼體制一樣，用戶需要對終端設備進行有效管理和監控。量子密鑰分發中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內部探測器效率。代表性的具體攻擊辦法是，如同Lydersen等[15]的實驗那樣，輸入強光將探測器“致盲”，即改變探測器的工作狀態，使得探測器隻對他想要探測到的狀態有響應，或者完全控制每台探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以採用監控方法防止。因為竊聽者需要改變實驗室內部探測器屬性，用戶在這裡的監控範圍只限於實驗室內部的探測器，而無需監控整個通道鏈路。

儘管如此，人們還是會擔心由於探測器缺陷而引發更深層的安全性問題，例如如何完全確保監控成功，如何確保使用進口探測器的安全性等。2012年，羅開廣等[16]提出了“測量器件無關的（MDI）”量子密鑰分發方案，可以抵禦任何針對探測器的攻擊，徹底解決了探測器攻擊問題。另外，該方法本身也建議結合誘騙態方法，使得量子密鑰分發在既不使用理想單光子源又不使用理想探測器的情況下，其安全性與使用了理想器件相當。2013年，潘建偉團隊首次實現了結合誘騙態方法的MDI量子密鑰分發，後又實現了200km量子MDI量子密鑰分發[17, 18]。至此，主要任務就變成了如何獲得有實際意義的成碼率。為此，清華大學王向斌小組提出了4強度優化理論方法，大幅提高了MDI方法的實際工作效率[19]。採用此方法，中國科學家聯合團隊將MDI量子密鑰分發的距離突破至404 km[20]，並將成碼率提高兩個數量級，大大推動了MDI量子密鑰分發的實用化。

總之，雖然現實中量子通信器件並不嚴格滿足理想條件的要求，但是在理論和實驗科學家的共同努力之下，量子保密通信的現實安全性正在逼近理想系統。目前學術界普遍認為測量器件無關的量子密鑰分發技術，加上自主設計和充分標定的光源可以抵禦所有的現實攻擊[21, 22]。此外，還有一類協議無需標定光源和探測器，只要能夠無漏洞地破壞Bell不等式，即可保證其安全性，這類協議稱作“器件無關量子密鑰分發協議”[23]。由於該協議對實驗系統的要求極為苛刻，目前還沒有完整的實驗驗證，近些年的主要進展集中在理論工作上。由於器件無關量子密鑰分發協議並不能帶來比BB84協議在原理上更優的安全性，加之實現難度更大，在學術界普遍認為這類協議的實用價值不高。

綜上所述，正如我們目前應邀為國際物理學權威綜述期刊《現代物理評論》所撰寫的關於量子通信現實安全性的論文中所指出的那樣[24]，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經建立起來。中國科學家在這一領域取得了巨大成就，在實用化量子保密通信的研究和應用上創造了多個世界記錄，無可爭議地處於國際領先地位[25]。令人遺憾的是，某些自媒體在並不具備相關專業知識的情況下，炒作出一個吸引眼球的題目對公眾帶來誤解，對我國的科學研究和自主創新實在是有百害而無一利。

鑒於量子保密通信信息論可證的安全性已經成為國際量子信息領域的學界共識，此後，除非出現顛覆性的科學理論，我們將不再對此類問題專門回復和評論。當然，對量子通信感興趣的讀者，可參閱我們撰寫的《量子通信問與答》了解更多的情況[26]。

參考文獻：

[1]. C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, in Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), pp. 175–179.

[2]. H.-K. Lo, H.-F. Chau, Unconditional security of quantum key distribution over arbitrarily long distances, Science 283, 2050(1999).

[3]. P. W. Shor, J. Preskill, Simple proof of security of the BB84 quantum key distribution protocol, Physical review letters 85, 441 (2000).

[4]. D. Mayers, Unconditional security in quantum cryptography, Journal of the ACM (JACM) 48, 351 (2001).

[5]. A. Vakhitov, V. Makarov, D. R. Hjelme, Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography, J. Mod. Opt. 48, 2023 (2001).

[6]. G. Brassard etal., Limitations on practical quantum cryptography, Physical ReviewLetters 85, 1330 (2000).

[7]. 龐曉玲，金賢敏，[聲明]攻擊是為了讓量子密碼更加安全，墨子沙龍，2019年3月13日.

[8]. W.-Y. Hwang, Quantumkey distribution with high loss: toward global secure communication, Physical Review Letters 91, 057901 (2003).

[9]. X. Ma, Security of Quantum Key Distribution with Realistic Devices, Master Report, University of Toronto, June (2004).

[10]. X.-B. Wang, Beating the photon-number-splitting attack in practical quantum cryptography, Physical Review Letters 94, 230503 (2005).

[11]. H.-K. Lo, X. Ma, K. Chen, Decoy state quantum key distribution, Physical Review Letters 94, 230504 (2005).

[12]. C.-Z. Peng et al., Experimental long-distancedecoy-state quantum key distribution based on polarization encoding, Physical Review Letters 98, 010505 (2007).

[13]. D. Rosenberg, et al., Long-distance decoy-statequantum key distribution in optical fiber, Physical Review Letters 98, 010503 (2007).

[14]. T. Schmitt-Manderbach et al., Experimental demonstration of free-space decoy-state quantum key distribution over 144 km, Physical Review Letters 98, 010504 (2007).

[15]. L. Lydersen et al., Hacking commercial quantum cryptography systems by tailored bright illumination, Nature Photonics 4, 686 (2010).

[16]. H.-K. Lo, M. Curty, B. Qi, Measurement-device-independent quantum key distribution, Physical Review Letters 108, 130503 (2012).

[17]. Y. Liu et al.,Experimental measurement-device-independentquantum key distribution, Physical Review Letters 111, 130502 (2013).

[18]. Y.-L. Tang et al., Measurement-device-independent quantum key distribution over 200 km. Physical Review Letters 113, 190501 (2014).

[19]. Y.-H. Zhou, Z.-W. Yu, X.-B. Wang, Making the decoy-state measurement-device-independent quantum key distribution practically useful, Physical Review A 93, 042324 (2016).

[20]. H.-L. Yin, etal., Measurement-device-independent quantum key distribution over a 404 km optical fiber, Physical Review Letters 117, 190501 (2016).

[21]. H.-K. Lo, M. Curty, and K. Tamaki, Secure quantum key distribution, Nature Photonics 8, 595 (2014).

[22]. Q. Zhang, F. Xu, Y.-A. Chen, C.-Z. Peng, J.-W. Pan, Large scale quantum key distribution: challenges and solutions, Opt.Express 26, 24260 (2018).

[23]. D. Mayers, A. C.-C. Yao, Quantum Cryptography with Imperfect Apparatus, in Proceedings of the 39th Annual Symposium on Foundations of Computer Science (FOCS’98), p. 503(1998); A. Acín et al., Device-Independent Security of Quantum Cryptography against Collective Attacks, Physical Review Letters 98,230501 (2007).

[24]. F. Xu, X. Ma, Q. Zhang, H.-K. Lo, J.-W. Pan, Quantum cryptography with realistic devices, in preparation for Review of Modern Physics (invited in 2018).

[25]. 王向斌，量子通信的前沿、理論與實踐，《中國工程科學》，第20卷第6期，087-092頁(2018).

[26]. 量子通信的問與答, 墨子沙龍,2018年11月14日.