打补丁还是拆量子通信的重建陷入两难
量子通信在工程实现上也有很多不同的技术方案,也称为协议,如BB84协议、E91协议、B92协议、MDI-QKD协议等。这些协议有各自的优点和不同的安全性能。所以争论量子通信是否安全是没有意义的。我们真正应该关心的是量子通信的某个协议是否安全。所以通常是“外行看原理,内行看协议。”
国内建设的量子通信项目全部使用BB84协议的改进版——诱骗态。这种技术方案在测量端[1]存在很多严重的安全隐患,至今没有妥善的解决方案。这不是我的主观判断。在中科大量子通信团队发表的论文中,白纸黑字写着:
“虽然安全补丁可以抵御一些攻击(在测量端),但补丁对策本身可能会打开其他漏洞。结果,这可能引入另一层安全风险(参见:黄等,2016a;钱等,2019;Sajeed等人,2015b)。此外,安全补丁的主要问题是它们只能阻止已知的攻击。对于潜在的未知攻击,对策可能会失败。所以安全补丁只是暂时的,已经违反了QKD的信息论安全框架。”[2]。
所以,所有建立的量子通信干线都不是绝对安全的,相反,是绝对不安全的。有客观因素造成今天的尴尬局面,但量子通信推动者的主观失误是主要责任。
有一个很好的一揽子解决方案可以解决测量端的安全隐患,即“测量设备独立的量子密钥分发”(MDI-QKD)协议[3]。MDI-QKD协议诞生于2012。2013年,多个实验室成功实施了该方案。到2016,MDI-QKD在传输距离、关键编码率等主要技术性能上有了很大的提升,具备了替代老BB84方案的可能性。
京沪量子通信干线建立于2013。MDI-QKD诞生后,MDI-QKD在建设期日趋成熟。如果工程延迟一点,整个工程可以采用先进的MDI-QKD方案,京沪量子通信干线至少不用担心测量端的安全风险。
最令人费解的是,量子通信的主线,如胡和、韩晶、汉光,都是在2018年建立的。这个时候MDI-QKD技术已经相当成熟,但还是被工程决策者所排斥,无论如何也难以自圆其说。
相比现在的BB84欺骗模式,MDI-QKD的工程成本会更高,密钥形成率可能更低。但是量子通信工程的目标是建立高安全性的密钥分发设施,所以工程成本和编码率应该不是主要考虑因素,至少不能为了节省工程成本和提高编码率而牺牲安全性,否则建立量子通信工程的意义何在?
唯一的解释是,量子通信工程的发起人从一开始就没打算建设一条绝对安全的密钥分发干线。他们从项目一开始就在安全标准上放水,他们决定放弃使用MDI-QKD方案就是最好的证明。
量子通信工程的推动者拒绝采用MDI-QKD的理由可能是“与时间赛跑”,但从上图的时间节点来看,这个借口很勉强。即使为了使用MDI-QKD,将京沪量子通信项目稍微往后移几年,绝对是利大于弊吗?毕竟工程建设是百年大计,安全保障应该压倒一切。
事实上,量子通信工程的紧迫性根本不存在。量子通信工程只是通过物理手段向通信双方分发一个随机数,并以此作为密码加解密的密钥,也称为量子密钥分发QKD。要知道,早在QKD出现之前,就有很多成熟有效的密钥分发技术。QKD既不是密钥分发的唯一方案,也不是安全有效的方案。
目前密钥分发主要在企业专网上使用对称密码,在互联网上使用公钥密码。从理论上讲,量子计算机破解密码的威胁只对公钥密码有效,高端绝密信息很少在网上传播,所以即使QKD能取代公钥密码,其意义也非常有限,如果真能做到的话。
而且大型实用量子计算机还在末世,公钥密码学远没有宣传的那么脆弱。公钥密码(PQC)比量子通信(QKD)更成熟有效,可以应对未来的量子攻击。
所以,从根本上说,量子通信项目是没有必要的,更没有迫切性。京沪量子通信干线建成三年多的现状就是最好的注解。如果说量子通信项目是国家不可或缺的战备工程,那就应该加快,但是国家量子通信骨干线路的进度不但没有加快,反而一年比一年慢,这再次证明量子通信项目的紧迫性完全是假的。
虽然从国家利益来说,量子通信项目一点也不紧迫,但是一些设计生产量子通信设备的利益集团却有自己的打算。对他们来说,尽快把产品卖出去是最重要的,在科技创新板上市更是当务之急。
产品匆匆卖给各级政府,科技创新板也上市了。然而,剩余的几条量子通信干线使用了充满安全漏洞的旧方案,却没有采用MDI-QKD技术方案,明知有更安全的,这让项目未来的发展陷入了深深的困境。
由于MDI-QKD与旧方案BB84不兼容,如果在新项目中采用新方案MDI-QKD,那么已经建成的量子通信干线必须完全拆掉,否则新的量子通信干线就不得不继续使用旧方案。这是量子通信工程在今天陷入困境的一个重要原因。可以说,“一着不慎,满盘皆输。”
需要指出的是,MDI-QKD只是解决量子通信中测量端QKD隐患的一个相对较好的方案,并不是绝对安全的方案。而且量子通信的安全问题远不仅仅在测量端。近年来,在MDI-QKD的光源端发现了几个安全漏洞,至今没有完整有效的对策[4]。QKD可信中继站存在越来越严重的问题,在可预见的未来很难有工程解决方案[5]。
量子通信项目从光源到可信中继站再到测量端都是“到处冒烟,到处着火”,自始至终都不安全可靠。在安全性要求高的领域,无法使用量子通信工程分发密钥,所以量子通信产品至今无法进入国家核心密码和普通密码系统。事实上,按照目前的情况,量子通信产品能否通过商用密码标准审核,必须打上一个问号。量子通信工程是“绣花枕头加一袋草”。
其实让我反感的远不是量子通信的无能,而是它所戴的美丽光环。
参考数据
[1]QKD检测终端的安全风险主要可以归纳如下:
在QKD检测的这些隐患中,“检测器控制攻击”最为复杂和严重。探测器控制攻击可以细分为:探测器致盲攻击;检测器后门攻击;检测器超线性攻击。
[2]“使用真实设备的安全量子密钥分发”第36页
[3]在实际的QKD系统中,设备的不完善导致了一系列的安全漏洞,针对这些安全漏洞有各种各样的攻击方案。多伦多大学的Hoi-Kwong Lo等人在2012年提出的测量设备无关的量子密钥分配(MDI-QKD)堵住了QKD系统中所有测量终端的漏洞。在MDI-QKD中,通信双方Alice和Bob随机准备BB84弱相干态,然后发送给不可信的第三方Charlie进行bell态测量。根据Charlie公布的bell状态测量结果,Alice和Bob建立安全密钥。MDI-QKD可以等效为时间反转BBM92协议。
[4]介绍一篇关于量子通信安全性的科学论文。
【5】量子通信技术的第三个困境:极度不安全的可信中继站。