編者按

3月12日，有媒體報道稱，攻破量子加密技術可能並不需要什麼神兵利器，因爲量子加密技術本身就存在物理缺陷。報道援引了上海交通大學金賢敏研究組的一篇尚未正式發表的工作。

3月14日，清華大學王向斌、中國科學技術大學潘建偉等量子研究者撰文解釋了量子加密技術的破綻到底在哪裏。他們指出，雖然現實中量子通信器件並不嚴格滿足理想條件的要求，但是在理論和實驗科學家的共同努力之下，量子保密通信的現實安全性正在逼近理想系統。

關於更多量子通信安全的討論，歡迎閱讀Physics World在2018年12月發表的“量子時代的千年蟲危機”。

關於量子保密通信現實安全性的討論

撰文 | 王向斌 馬雄峯 （清華大學）

徐飛虎 張 強 潘建偉 （中國科學院量子信息與量子科技創新研究院，中國科學技術大學）

近來，某微信公衆號發表了一篇題爲“量子加密驚現破綻”的文章，宣稱“現有量子加密技術可能隱藏着極爲重大的缺陷”。其實該文章最初來源於美國《麻省理工科技評論》的一篇題爲“有一種打破量子加密的新方法” 的報道，該報道援引了上海交通大學金賢敏研究組的一篇尚未正式發表的工作。

此文在微信號發佈後，國內很多關心量子保密通信發展的領導和同事都紛紛轉來此文詢問我們的看法。事實上，我們以往也多次收到量子保密通信安全性的類似詢問，但一直未做出答覆。這是因爲學術界有一個通行的原則：只對經過同行評審並公開發表的學術論文進行評價。但鑑於這篇文章流傳較廣，引起了公衆的關注，爲了澄清其中的科學問題，特別是爲了讓公衆能進一步瞭解量子通信，我們特撰寫此文，介紹目前量子信息領域關於量子保密通信現實安全性的學界結論和共識。

現有實際量子密碼（量子密鑰分發）系統主要採用 BB84 協議，由 Bennett 和 Brassard 於1984年提出 [1] 。與經典密碼體制不同，量子密鑰分發的安全性基於量子力學的基本原理。即便竊聽者控制了通道線路，量子密鑰分發技術也能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之爲 “無條件安全” 或者 “絕對安全”，它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被 Mayers, Lo, Shor-Preskill 等人完成 [2-4]。

後來，量子密鑰分發逐步走向實用化研究，出現了一些威脅安全的攻擊 [5, 6]，這並不表示上述安全性證明有問題，而是因爲實際量子密鑰分發系統中的器件並不完全符合上述（理想）BB84 協議的數學模型。歸納起來，針對器件不完美的攻擊一共有兩大類，即針對發射端——光源的攻擊和針對接收端——探測器的攻擊。

“量子機密驚現破綻”一文援引的實驗工作就屬於對光源的木馬攻擊。這類攻擊早在二十年前就已經被提出 [5]，而且其解決方案就正如文章作者宣稱的一樣 [7]，加入光隔離器這一標準的光通信器件就可以了。該工作的新穎之處在於，找到了此前其他攻擊沒有提到的控制光源頻率的一種新方案，但其對量子密碼的安全性威脅與之前的同類攻擊沒有區別。儘管該工作可以爲量子保密通信的現實安全性研究提供一種新的思路，但不會對現有的量子保密通信系統構成任何威脅。其實，自 2000 年初開始，科研類和商用類量子加密系統都會引入光隔離器這一標準器件。舉例來說，現有的商用誘騙態 BB84 商用系統中總的隔離度一般爲 100dB，按照文章中的攻擊方案，需要使用約 1000 瓦的激光反向注入。如此高能量的激光，無論是經典光通信還是量子通信器件都將被破壞，這就相當於直接用激光武器來摧毀通信系統，已經完全不屬於通信安全的範疇了。

而對光源最具威脅而難以克服的攻擊是“光子數分離攻擊” [6]。嚴格執行 BB84 協議需要理想的單光子源。然而，適用於量子密鑰分發的理想單光子源至今仍不存在，實際應用中是用弱相干態光源來替代。雖然弱相干光源大多數情況下發射的是單光子，但仍然存在一定的概率，每次會發射兩個甚至多個相同量子態的光子。這時竊聽者原理上就可以拿走其中一個光子來獲取密鑰信息而不被察覺。光子數分離攻擊的威脅性在於，不同於木馬攻擊，這種攻擊方法無需竊聽者攻入實驗室內部，原則上可以在實驗室外部通道鏈路的任何地方實施。若不採用新的理論方法，用戶將不得不監控整個通道鏈路以防止攻擊，這將使量子密鑰分發失去其“保障通信鏈路安全”這一最大的優勢。事實上，在這個問題被解決之前，國際上許多知名量子通信實驗小組甚至不開展量子密鑰分發實驗。2002年，韓國學者黃元瑛在理論上提出了以誘騙脈衝克服光子數分離攻擊的方法 [8]；2004年，多倫多大學的羅開廣、馬雄峯等對實用誘騙態協議開展了有益的研究，但未解決實用條件下成碼率緊緻的下界 [9]；2004年，華人學者王向斌在《物理評論快報》上提出了可以有效工作於實際系統的誘騙態量子密鑰分發協議，解決了現實條件下光子數分離攻擊的問題 [10]；在同期的《物理評論快報》上，羅開廣、馬雄峯、陳凱等分析了誘騙態方法並給出嚴格的安全性證明 [11]。在這些學者的共同努力下，光子數分離攻擊問題在原理上得以解決，即使利用非理想單光子源，同樣可以獲得與理想單光子源相當的安全性。2006年，中國科技大學潘建偉等組成的聯合團隊以及美國 Los-Alamos 國家實驗室-NIST 聯合實驗組同時利用誘騙態方案，在實驗上將光纖量子通信的安全距離首次突破 100 km，解決了光源不完美帶來的安全隱患 [12-14]。後來，中國科技大學等單位的科研團隊甚至把距離拓展到 200 km 以上。

第二類可能存在的安全隱患集中在終端上。終端攻擊，本質上並非量子保密通信特有的安全性問題。如同所有經典密碼體制一樣，用戶需要對終端設備進行有效管理和監控。量子密鑰分發中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內部探測器效率。代表性的具體攻擊辦法是，如同 Lydersen等 [15] 的實驗那樣，輸入強光將探測器“致盲”，即改變探測器的工作狀態，使得探測器只對他想要探測到的狀態有響應，或者完全控制每臺探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以採用監控方法防止。因爲竊聽者需要改變實驗室內部探測器屬性，用戶在這裏的監控範圍只限於實驗室內部的探測器，而無需監控整個通道鏈路。

儘管如此，人們還是會擔心由於探測器缺陷而引發更深層的安全性問題，例如如何完全確保監控成功，如何確保使用進口探測器的安全性等。2012年，羅開廣等 [16] 提出了“測量器件無關的（MDI）”量子密鑰分發方案，可以抵禦任何針對探測器的攻擊，徹底解決了探測器攻擊問題。另外，該方法本身也建議結合誘騙態方法，使得量子密鑰分發在既不使用理想單光子源又不使用理想探測器的情況下，其安全性與使用了理想器件相當。2013年，潘建偉團隊首次實現了結合誘騙態方法的 MDI 量子密鑰分發，後又實現了 200 km量子 MDI 量子密鑰分發 [17, 18]。至此，主要任務就變成了如何獲得有實際意義的成碼率。爲此，清華大學王向斌小組提出了4強度優化理論方法，大幅提高了MDI 方法的實際工作效率 [19]。採用此方法，中國科學家聯合團隊將 MDI 量子密鑰分發的距離突破至 404 km [20]，並將成碼率提高兩個數量級，大大推動了 MDI 量子密鑰分發的實用化。

總之，雖然現實中量子通信器件並不嚴格滿足理想條件的要求，但是在理論和實驗科學家的共同努力之下，量子保密通信的現實安全性正在逼近理想系統。目前學術界普遍認爲測量器件無關的量子密鑰分發技術，加上自主設計和充分標定的光源可以抵禦所有的現實攻擊 [21, 22]。此外，還有一類協議無需標定光源和探測器，只要能夠無漏洞地破壞Bell 不等式，即可保證其安全性，這類協議稱作“器件無關量子密鑰分發協議” [23]。由於該協議對實驗系統的要求極爲苛刻，目前還沒有完整的實驗驗證，近些年的主要進展集中在理論工作上。由於器件無關量子密鑰分發協議並不能帶來比 BB84 協議在原理上更優的安全性，加之實現難度更大，在學術界普遍認爲這類協議的實用價值不高。

綜上所述，正如我們目前應邀爲國際物理學權威綜述期刊《現代物理評論》所撰寫的關於量子通信現實安全性的論文中所指出的那樣 [24]，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經建立起來。中國科學家在這一領域取得了巨大成就，在實用化量子保密通信的研究和應用上創造了多個世界記錄，無可爭議地處於國際領先地位 [25]。令人遺憾的是，某些自媒體在並不具備相關專業知識的情況下，炒作出一個吸引眼球的題目對公衆帶來誤解，對我國的科學研究和自主創新實在是有百害而無一利。

鑑於量子保密通信信息論可證的安全性已經成爲國際量子信息領域的學界共識，此後，除非出現顛覆性的科學理論，我們將不再對此類問題專門回覆和評論。當然，對量子通信感興趣的讀者，可參閱我們撰寫的《量子通信問與答》瞭解更多的情況 [26]。

本文首發於微信公衆號《墨子沙龍》，《知識分子》獲授權轉載。

參考文獻：

[1]. C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, in Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), pp. 175–179.

[2]. H.-K. Lo, H.-F. Chau, Unconditional security of quantum key distribution over arbitrarily long distances, Science 283, 2050(1999).

[3]. P. W. Shor, J. Preskill, Simple proof of security of the BB84 quantum key distribution protocol, Physical review letters 85, 441 (2000).

[4]. D. Mayers, Unconditional security in quantum cryptography, Journal of the ACM (JACM) 48, 351 (2001).

[5]. A. Vakhitov, V. Makarov, D. R. Hjelme, Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography, J. Mod. Opt. 48, 2023 (2001).

[6]. G. Brassard et al., Limitations on practical quantum cryptography, Physical Review Letters 85, 1330 (2000).

[7]. 龐曉玲，金賢敏，[聲明]攻擊是爲了讓量子密碼更加安全，墨子沙龍，2019年3月13日.

[8]. W.-Y. Hwang, Quantum key distribution with high loss: toward global secure communication, Physical Review Letters 91, 057901 (2003).

[9]. X. Ma, Security of Quantum Key Distribution with Realistic Devices, Master Report, University of Toronto, June (2004).

[10]. X.-B. Wang, Beating the photon-number-splitting attack in practical quantum cryptography, Physical Review Letters 94, 230503 (2005).

[11]. H.-K. Lo, X. Ma, K. Chen, Decoy state quantum key distribution, Physical Review Letters 94, 230504 (2005).

[12]. C.-Z. Peng et al., Experimental long-distance decoy-state quantum key distribution based on polarization encoding, Physical Review Letters 98, 010505 (2007).

[13]. D. Rosenberg, et al., Long-distance decoy-state quantum key distribution in optical fiber, Physical Review Letters 98, 010503 (2007).

[14]. T. Schmitt-Manderbach et al., Experimental demonstration of free-space decoy-state quantum key distribution over 144 km, Physical Review Letters 98, 010504 (2007).

[15]. L. Lydersen et al., Hacking commercial quantum cryptography systems by tailored bright illumination, Nature Photonics 4, 686 (2010).

[16]. H.-K. Lo, M. Curty, B. Qi, Measurement-device-independent quantum key distribution, Physical Review Letters 108, 130503 (2012).

[17]. Y. Liu et al., Experimental measurement-device-independent quantum key distribution, Physical Review Letters 111, 130502 (2013).

[18]. Y.-L. Tang et al., Measurement-device-independent quantum key distribution over 200 km. Physical Review Letters 113, 190501 (2014).

[19]. Y.-H. Zhou, Z.-W. Yu, X.-B. Wang, Making the decoy-state measurement-device-independent quantum key distribution practically useful, Physical Review A 93, 042324 (2016).

[20]. H.-L. Yin, et al., Measurement-device-independent quantum key distribution over a 404 km optical fiber, Physical Review Letters 117, 190501 (2016).

[21]. H.-K. Lo, M. Curty, and K. Tamaki, Secure quantum key distribution, Nature Photonics 8, 595 (2014).

[22]. Q. Zhang, F. Xu, Y.-A. Chen, C.-Z. Peng, J.-W. Pan, Large scale quantum key distribution: challenges and solutions, Opt.Express 26, 24260 (2018).

[23]. D. Mayers, A. C.-C. Yao, Quantum Cryptography with Imperfect Apparatus, in Proceedings of the 39th Annual Symposium on Foundations of Computer Science (FOCS’98), p. 503(1998); A. Acín et al., Device-Independent Security of Quantum Cryptography against Collective Attacks, Physical Review Letters 98,230501 (2007).

[24]. F. Xu, X. Ma, Q. Zhang, H.-K. Lo, J.-W. Pan, Quantum cryptography with realistic devices, in preparation for Review of Modern Physics (invited in 2018).

[25]. 王向斌，量子通信的前沿、理論與實踐，《中國工程科學》，第20卷第6期，087-092頁 (2018).

[26]. 量子通信的問與答, 墨子沙龍,2018年11月14日.

製版編輯 | 皮皮魚