APP下载

量子密钥分发技术的机遇与挑战

2014-02-07张文政

中国电子科学研究院学报 2014年1期
关键词:量子密码安全性

陈 晖,张文政

(保密通信重点实验室,成都 610041)

0 概 述

在Shannon信息论的深远影响下,在20世纪70年代以后出现了诸如DES、RSA、MD5、AES等许多优秀的密码算法,为电子商务、电子政务等领域的信息安全做出了重要贡献。但是,随着计算技术和密码分析技术的快速发展,传统密码系统面临着越来越多的安全威胁。近几年来,一向被认为安全的单向压缩算法MD5[1]、SHA-0[2]等被证实存在安全隐患,这进一步强化了人们对传统密码安全的忧虑。根据已经发现的量子计算方法[3,4]分析,目前的密码算法体系很难应对量子并行计算的攻击。一旦量子计算机的研制和应用取得实质性突破,目前广泛使用的密码算法将面临更新换代的必然选择。然而,新一代密码算法体系是否是传统密码算法体系的进一步完善?物理安全的量子密钥分发[5](QKD,quantum key distribution)是否具有更低的安全风险?目前,还很难对这些问题的解决列一个时间表。但是对这些问题进行探讨将有益于密码新技术的理论与应用实践。

RSA、AES等传统密码算法的安全性基于计算复杂度,具有实际安全性。密码破解的主要技术包括具体的密码分析算法和计算能力,针对工程实现存在一些诸如能量分析等旁路(side channel)攻击[6]。总体上来看,针对物理系统的旁路攻击并不是传统密码系统的主要威胁。但是,对于基于物理安全的新型密码算法来说,针对物理系统的旁路攻击将成为一个主要威胁。

计算能力的提高很难在一夜之间发生突变,高性能计算方法的出现通常有一个比较长的周期,新型破译方法的出现也存在一定的时间周期(比如,数据加密标准DES从出现到被破译历时近30年。)。而新型的旁路攻击手段的出现却很难预测和防范。另外,终端系统的可信性将成为物理安全的密码系统最脆弱的环节,物理安全的密码系统终端的安全性测评将面临更多的技术挑战。实际上,理论上被证明很完美的技术并不意味着这个技术能够实现完美的应用,就像一次一密乱码本(one-time-pad)算法一样,QKD理论上所界定的理想安全性也必然会受到诸多工程技术问题的挑战。

1 QKD现状

QKD技术已经历了近30年的发展过程。从基础理论探讨到基本原理实验验证,再到应用可行性探索,QKD技术已经发展到接近实用水平[7]。2007 年,日内瓦政府把商用QKD 系统应用到联邦选举的投票系统。2009年以后,中国的芜湖、合肥等地相继建设了多节点的量子通信实验网[8,9]。2016年前后,中国和日本都有发射量子通信卫星并实现星地量子通信的计划。

根据相关知识产权态势分析[10],美国NIST、Los Alamos国家实验室在基于自由空间和光纤信道的离散变量QKD技术方面处于世界领先水平。美国MagiQ公司在QKD技术领域拥有很强的实力和竞争力。欧盟在基于光纤信道的连续变量QKD技术和基于自由空间信道的纠缠光子QKD技术方面处于世界领先水平。目前,欧盟保持着其在基于纠缠光子QKD系统300 km最远传输距离的纪录。瑞士的IDQuantique公司拥有目前最成熟的QKD系统产品。日本在QKD技术专利的数量和质量上具有很强的优势,日本的东芝、三菱电机、NEC等在专利和核心技术方面都有很强的影响力。东芝研发的QKD系统可以在50 km光纤中实现1 Mb/s的安全码率,代表了目前的最好水平。

国内,中国科技大学的QKD系统研发团队在QKD网络化应用、实验网络建设和自由空间QKD实验等方面保持着世界先进水平。中国科学研究院、清华大学、北京大学、华东师范大学、上海交通大学、北京邮电大学等院校的QKD研究团队也都取得了许多独具特色并具有一定国际影响力的理论和实验成果。

目前,国内外已经有许多公司在进行QKD系统的研发,国内外几个公司的QKD系统产品情况,见表1。

表1 国内外公司的QKD系统产品情况

总体上,美、欧、日等依然保持着在QKD技术领域的领先地位,在QKD系统理论和核心技术方面处于世界领先水平,并都很重视在中国的专利布局。

2 QKD的局限性

目前国内外许多公司和研究机构都在密切关注和布局QKD技术及其应用市场。但是,QKD目前的技术成熟度和性价比都还比较低,并且它也摆脱不了自身的固有局限性和软肋。

实际上,传统密码算法的安全性基于计算复杂度,在高性能并行计算环境下具有脆弱性,但是传统密码算法具有很好的人们比较容易接受的实际安全性,并且人们并不是很担心其可能存在的“后门”。而对于QKD技术,其理想的物理安全性将受制于很多物理实现条件,量子通信光源、调制、探测等方面的技术成熟度较低将直接影响QKD系统的实际安全性[11,12]。存在系统漏洞的风险将对QKD在安全性方面的优势大打折扣。

从工程学的角度来分析,QKD的应用推广的时机还不太成熟。光纤通信从20世纪70年代被验证具有高速通信的可行性,并被认为光纤将全面取代同轴电缆,但是光纤通信得到广泛应用却是在30甚至40年后。目前光纤到户还没有最后完成,并且同轴电缆依然是现代数据传输网络的重要基础设施。QKD技术在20世纪90年代被验证具有应用可行性,至今QKD技术已经发展到接近实用水平。但是,QKD系统很难直接利用当前的光纤通信网络等基础设施,而重新铺设量子通信光纤网络需要一定的周期,因此,光纤QKD系统的应用推广很难在短期内有重大突破,但QKD将会在一些特殊领域得到一定的应用。

从QKD自身的技术特点分析,一方面,由于量子态不能精确克隆,量子信号的远距离传输、路由,以及QKD系统的自由组网都将存在一定的技术瓶颈,并且量子信号的传输也不像经典电磁波那样具有很大的灵活性。因此,QKD很难与传统的通信网络进行无缝对接,很难适应无线互联网、移动互联网等,也很难在广域网应用中发挥关键作用。另一方面,QKD为点到点的数据传输安全提供了一种新型的解决方案,但是,与保密通信密切相关的身份识别和数据存储保护等问题并没有在量子信息技术范畴内得到有效解决。

因此,QKD不可能全面取代传统密码的作用。短期内,不断完善QKD系统的安全体系,通过较小范围内的实际应用探索其应用可行性具有重要的实践意义。

3 QKD的实际安全性

理论上,QKD具有与计算复杂度无关的物理安全性,是可以抗量子计算攻击的新型的密钥协商手段。但是,实际QKD系统很难达到理论上所要求的完美性,至少在短期内,其理论上的理想安全性很难得到有效实现。

(1) QKD系统的实际安全性需要不断完善

实际QKD 系统中所采用的元器件存在多种与理论模型要求不符的非理想特性,这些非理想性有可能导致器件响应上的误差、旁路信息的泄漏,甚至被远程操控,从而使QKD系统出现安全性漏洞。窃听者利用这些漏洞可以获取部分甚至全部的密钥比特。比如,理想的BB84协议要求使用单光子源,否则窃听者可以进行光子数分离攻击(PNS,photon-number splitting attack)[13]。由于目前尚无理想的单光子光源,实际QKD系统通常采用弱相干光源,并结合诱骗态(Decoy State)方法来抵御PNS攻击[14]。诱骗态的核心思想是让窃听者无法区分进入信道的光子来自信号态还是诱骗态。但是,发送端可以区分这两种量子态,从而增加了发送端被植入后门或木马的风险,也给系统终端的安全性检测带来了更多的挑战[15]。比如,发送端的隐蔽木马主动干扰信号态和诱骗态的波长,使二者之间存在一个微小的在接收端不被过滤掉的但是Eve可区分的波长差,那么发送端的隐蔽木马就可以为Eve隐蔽窃听开启方便之门,而Bob却很难发现这个事实。

实际上,QKD系统中的光源、有源/无源光学器件、单光子探测器以及所有通信端口等都存在一定的被置入旁路的风险,并对QKD系统的安全性构成一定的威胁[12]。

由于理想协议下的安全性并不等价于实际系统的安全性,如何给出所有实际器件非理想性的度量方式及其对安全性的影响是解决QKD系统实际安全性的关键。

(2) QKD系统的安全性测评体系需要创新

传统密码分析和破译更多的依赖分析方法和计算能力,一个密码系统的安全性可以从理论上进行分析并得出一个比较合理的实际安全性水平。但是QKD的分析和破译将更多的依赖更先进的光纤介入技术和量子信号检测分析技术。由于QKD系统的技术和成本费用门槛较高,实际参与QKD系统安全性的分析也主要局限于一些研究结构和高校。可以说,目前QKD系统的安全性还未得到广泛的实际分析。伴随着相关技术的不断发展,针对物理安全系统的攻防将成为一个密码攻防领域的新型“战场”。从辩证的观点来看,这种新型的攻防较量也将持续存在着,“量子密码终结黑客”的“预言”也将仅仅是一个梦想。2010年,瑞士IDQuantique公司推出的QKD产品ID500在还没有得到广泛分析的情况下,就被一个研究机构成功破解[16]。这也印证了“只有密码分析者才确切知道一个密码系统是否安全”的论断。虽然这并不是对QKD 理论安全性的否定,但也说明实现具有理想安全性的QKD 系统还有很长的路要走。

由于很难确保QKD系统的关键元器件都合乎理论要求,也很难确保QKD系统不被植入“后门”,更难评估潜在对手拥有什么等级的分析破译技术手段和工具,因此,目前还很难对QKD系统的实际安全性进行合理的界定。这都将给QKD系统的可信性和安全性带来一定的挑战,同时对QKD系统的测评也提出了更高的要求。

如何检测并排除存在隐蔽后门的可能性将是QKD实际安全性需要解决的问题。而检测所有QKD 器件的非理想性在技术上依然是非常困难的事情。可以说,完善QKD系统的实际安全性依然任重道远。

4 QKD与抗量子计算的密码

Peter Shor于1994年设计了第一个具体的量子分解算法[3],它在设想的量子计算机上可以在输入变量的多项式时间内分解大数因子,这给RSA和ECC等非对称密码系统的安全性提出了严峻的挑战。Grover于1996年设计了随机数据库搜索的量子迭代算法[4],它有可能解决经典上所谓的NP完全问题。因此,基于传统密码算法的保密通信体系将面临着巨大的潜在威胁。因此,量子计算在给QKD的快速发展带来契机的同时,也将极大地促进传统密码算法的变革。

根据目前的研究成果分析,抗量子计算攻击的密码算法主要包括具有物理安全性的新型密码(比如,量子密码和生物密码)和具有特殊计算复杂性的数学密码(比如,基于格上困难问题的密码算法、基于有理分式问题的密码算法、基于纠错码的密码算法等)。

基于抗量子计算的困难问题的量子公钥密码(QPKC,quantum public-key crypto-system)方案的密钥仍然由经典比特构成,保持了公钥密码的灵活性。但它们的安全性仍建立在计算复杂性假设之上。比如,Okamoto等于2000年提出的基于改进的背包问题的量子公钥密码算法[17]。另外,由于对量子计算的研究还处于初级阶段,无法排除存在更好的量子计算方法的可能性,因此,具有特殊计算复杂性的密码算法是否具有足够的安全性还需要时间的检验。对于采用与QKD类似的思路设计的公钥密码算法,大多通过引入量子元素来设计具有完美安全性的QPKC。这类方案的安全性由物理原理保证,但密钥通常由较难控制的量子比特组成,因此密码的灵活性往往会明显降低。比如,Nikolopoulos于2008年提出的一种基于单量子比特旋转的QPKC方案[18]。

目前,QPKC研究也碰到了一定的理论瓶颈[19],相关研究也不太活跃。比如,QPKC中量子公私钥对如何实现?QPKC如何实现“无条件安全”?QKD协议中采用的“窃听检测”手段能否用于“由公钥不能得到私钥”?解决这些问题还需要进行深入探讨。

5 结 语

由于信息安全在信息社会中发挥着越来越重要的作用,深入开展QKD的应用关键问题研究、量子计算研究和抗高性能计算攻击的密码体制研究等具有十分重要的实际意义。毫无疑问,QKD的实际安全性及其应用研究依然是下一阶段的研究热点,但是,单纯利用QKD技术很难确保国家重要领域的信息安全。因此,能否构建一个完善的QKD系统实际安全及其测评体系将左右QKD技术的未来。而在量子计算机和抗量子计算攻击的密码算法体系领域的不对称快速发展并保持国际先进甚至领先水平将是国家信息安全领域赢取主动局面的关键。

[1] WANG X Y,FENG D G,et al.collisions for hash functions MD4,MD5,HAVAL-128 and RIPRMD[C]//In Proc.Crypto’04,Santa Barbara,CA,USA,2004.

[2] WANG X Y,YU H B,et al.Efficient Collision Search Attacks on SHA-0 [C]//In Proc.Crypto’05,Santa Barbara,CA,USA,2005.

[3] SHOR P W.Algorithms for Quantum Computation,Discrete Log and Factoring[C]//FOCS’35,Santa Fe,NM,1994:124-134.

[4] GROVER L K.A Fast Quantum Mechanical Algorithm for Database Search [C]//Proceedings,28th Annual ACM Symposium on the Theory of Computing,Philadelphia,Pennsylvania,1996:212-219.

[5] BENNETT C H,BRASSARD G.Quantum Cryptography:Public Key Distribution And Coin Tossing [C]//International Conference on Computers,Systems &Signal Processing,Bagalore,India,1984:175-179.

[6] KOCHER P,JAFFE J,JUN B.Differential Power Analysis[C]//Proc.of the Advances in Cryptology-CRYPTO’99,Berlin:Springer-Verlag,1999,1666:388-397.

[7] POPPE A,PEEVANDO M.Maurhart.Outline of the SECOQC quantum Key Distribution Network in Vienna[J].International Journal of Quantum Information,2008,6(2):209-218.

[8] CHEN W,HAN Z F,ZHANG T,et al.Field Experimental “Star Type” Metropolitan Quantum Key Distribution Network[J].IEEE Photonics Technology Letters,2009,21(9):575-577.

[9] CHEN T Y,LIANG H,LIU Y,et al.Field Experiment of a Practical Secure Communication Network with Decoy-State Quantum Cryptography[J].Optics Express,2009,17(8):6 548-6 549.

[10] 杨帆,王海霞,韩淋.量子通信知识产权态势分析报告[R/OL].2011,http://ir.las.ac.cn/handle/12502/4507.

[11] QI B,FUNG C H F,et al.Time-shift Attack in Practical Quantum Cryptosystems[J].Quantum Information & Computation,2007,7(1):73-82.

[12] 李宏伟,陈巍,黄靖正,等.量子密码安全性研究[J].中国科学,2012,42(11):1 237-1 255.

[13] LÜKENHAUS N.Security Against Individual Attacks for Realistic Quantum Key Distributio[J].Phys.Rev.2000,A 61:052 304.

[14] H-K LO,MA X,CHEN K.Decoy State Quantum Key Distribution[J].Phys.Rev.Lett.,2005,94:230504.

[15] 陈晖,徐兵杰.量子密钥分发系统中的隐蔽欺骗方法[J].中国电子科学院学报,2013,8(5):525-528.

[16] LYDERSEN L,WIECHERS C,WITTMANN C,et al.Hacking Commercial Quantum Cryptography By Tailored Bright Illumination[J].Nat.Photonics,2010(4):686.

[17] OKAMOTO T,TANAKA K,UCHIYAMA S.Quantum public-key cryptosystems[C]//Advances in Cryptology:Crypto 2000 Proceedings.Berlin Springer,2000,1880:147-165.

[18] NIKOLOPOULOS G M.Applications of Single-Qubit Rotations in Quantum Public-Key Cryptography[J].Phys Rev A,2008(77):032 348.

[19] 高飞,温巧燕,秦素娟,等.基于对称密钥的量子公钥密码[J].中国科学,2010,40(1):26-32.

猜你喜欢

量子密码安全性
两款输液泵的输血安全性评估
密码里的爱
《量子电子学报》征稿简则
《量子电子学报》征稿简则
新染料可提高电动汽车安全性
某既有隔震建筑检测与安全性鉴定
决定未来的量子计算
加强广播电视信息安全性的思考
新量子通信线路保障网络安全
密码抗倭立奇功