正如潘建偉團(tuán)隊(duì)目前應(yīng)邀為國(guó)際物理學(xué)權(quán)威綜述期刊《現(xiàn)代物理評(píng)論》所撰寫(xiě)的關(guān)于量子通信現(xiàn)實(shí)安全性的論文中所指出的那樣，過(guò)去二十年間，國(guó)際學(xué)術(shù)界在現(xiàn)實(shí)條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經(jīng)建立起來(lái)。王向斌、馬雄峰（清華大學(xué)）、徐飛虎、張強(qiáng)和潘建偉（中國(guó)科學(xué)技術(shù)大學(xué)）等五位量子保密通信領(lǐng)域的科學(xué)家共同撰文，為了公眾渴望了解量子保密通信現(xiàn)實(shí)安全性真實(shí)情況的需要，對(duì)其做如下介紹。

 

　　關(guān)于量子保密通信現(xiàn)實(shí)安全性的討論

 

　　王向斌1馬雄峰1徐飛虎2張強(qiáng)2潘建偉2

 

　?。?.清華大學(xué)2.中國(guó)科學(xué)院量子信息與量子科技創(chuàng)新研究院，中國(guó)科學(xué)技術(shù)大學(xué)）

 

　　近來(lái)，某微信公眾號(hào)發(fā)表了一篇題為“量子加密驚現(xiàn)破綻”的文章，宣稱(chēng)“現(xiàn)有量子加密技術(shù)可能隱藏著極為重大的缺陷”。其實(shí)該文章最初來(lái)源于美國(guó)《麻省理工科技評(píng)論》的一篇題為“有一種打破量子加密的新方法”的報(bào)道，該報(bào)道援引了上海交通大學(xué)金賢敏研究組的一篇尚未正式發(fā)表的工作。

 

　　此文在微信號(hào)發(fā)布后，國(guó)內(nèi)很多關(guān)心量子保密通信發(fā)展的領(lǐng)導(dǎo)和同事都紛紛轉(zhuǎn)來(lái)此文詢(xún)問(wèn)我們的看法。事實(shí)上，我們以往也多次收到量子保密通信安全性的類(lèi)似詢(xún)問(wèn)，但一直未做出答復(fù)。這是因?yàn)閷W(xué)術(shù)界有一個(gè)通行的原則：只對(duì)經(jīng)過(guò)同行評(píng)審并公開(kāi)發(fā)表的學(xué)術(shù)論文進(jìn)行評(píng)價(jià)。但鑒于這篇文章流傳較廣，引起了公眾的關(guān)注，為了澄清其中的科學(xué)問(wèn)題，特別是為了讓公眾能進(jìn)一步了解量子通信，我們特撰寫(xiě)此文，介紹目前量子信息領(lǐng)域關(guān)于量子保密通信現(xiàn)實(shí)安全性的學(xué)界結(jié)論和共識(shí)。

 

　　現(xiàn)有實(shí)際量子密碼（量子密鑰分發(fā)）系統(tǒng)主要采用BB84協(xié)議，由Bennett和Brassard于1984年提出[1]。與經(jīng)典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學(xué)的基本原理。即便竊聽(tīng)者控制了通道線路，量子密鑰分發(fā)技術(shù)也能讓空間分離的用戶(hù)共享安全的密鑰。學(xué)界將這種安全性稱(chēng)之為“無(wú)條件安全”或者“絕對(duì)安全”，它指的是有嚴(yán)格數(shù)學(xué)證明的安全性。20世紀(jì)90年代后期至2000年，安全性證明獲得突破，BB84協(xié)議的嚴(yán)格安全性證明被Mayers，Lo，Shor-Preskill等人完成[2-4]。

 

　　后來(lái)，量子密鑰分發(fā)逐步走向?qū)嵱没芯?，出現(xiàn)了一些威脅安全的攻擊[5，6]，這并不表示上述安全性證明有問(wèn)題，而是因?yàn)閷?shí)際量子密鑰分發(fā)系統(tǒng)中的器件并不完全符合上述（理想）BB84協(xié)議的數(shù)學(xué)模型。歸納起來(lái)，針對(duì)器件不完美的攻擊一共有兩大類(lèi)，即針對(duì)發(fā)射端--光源的攻擊和針對(duì)接收端--探測(cè)器的攻擊。

 

　　“量子機(jī)密驚現(xiàn)破綻”一文援引的實(shí)驗(yàn)工作就屬于對(duì)光源的木馬攻擊。這類(lèi)攻擊早在二十年前就已經(jīng)被提出[5]，而且其解決方案就正如文章作者宣稱(chēng)的一樣[7]，加入光隔離器這一標(biāo)準(zhǔn)的光通信器件就可以了。該工作的新穎之處在于，找到了此前其他攻擊沒(méi)有提到的控制光源頻率的一種新方案，但其對(duì)量子密碼的安全性威脅與之前的同類(lèi)攻擊沒(méi)有區(qū)別。盡管該工作可以為量子保密通信的現(xiàn)實(shí)安全性研究提供一種新的思路，但不會(huì)對(duì)現(xiàn)有的量子保密通信系統(tǒng)構(gòu)成任何威脅。其實(shí)，自2000年初開(kāi)始，科研類(lèi)和商用類(lèi)量子加密系統(tǒng)都會(huì)引入光隔離器這一標(biāo)準(zhǔn)器件。舉例來(lái)說(shuō)，現(xiàn)有的商用誘騙態(tài)BB84商用系統(tǒng)中總的隔離度一般為100dB，按照文章中的攻擊方案，需要使用約1000瓦的激光反向注入。如此高能量的激光，無(wú)論是經(jīng)典光通信還是量子通信器件都將被破壞，這就相當(dāng)于直接用激光武器來(lái)摧毀通信系統(tǒng)，已經(jīng)完全不屬于通信安全的范疇了。

 

　　而對(duì)光源最具威脅而難以克服的攻擊是“光子數(shù)分離攻擊”[6]。嚴(yán)格執(zhí)行BB84協(xié)議需要理想的單光子源。然而，適用于量子密鑰分發(fā)的理想單光子源至今仍不存在，實(shí)際應(yīng)用中是用弱相干態(tài)光源來(lái)替代。雖然弱相干光源大多數(shù)情況下發(fā)射的是單光子，但仍然存在一定的概率，每次會(huì)發(fā)射兩個(gè)甚至多個(gè)相同量子態(tài)的光子。這時(shí)竊聽(tīng)者原理上就可以拿走其中一個(gè)光子來(lái)獲取密鑰信息而不被察覺(jué)。光子數(shù)分離攻擊的威脅性在于，不同于木馬攻擊，這種攻擊方法無(wú)需竊聽(tīng)者攻入實(shí)驗(yàn)室內(nèi)部，原則上可以在實(shí)驗(yàn)室外部通道鏈路的任何地方實(shí)施。若不采用新的理論方法，用戶(hù)將不得不監(jiān)控整個(gè)通道鏈路以防止攻擊，這將使量子密鑰分發(fā)失去其“保障通信鏈路安全”這一最大的優(yōu)勢(shì)。事實(shí)上，在這個(gè)問(wèn)題被解決之前，國(guó)際上許多知名量子通信實(shí)驗(yàn)小組甚至不開(kāi)展量子密鑰分發(fā)實(shí)驗(yàn)。2002年，韓國(guó)學(xué)者黃元瑛在理論上提出了以誘騙脈沖克服光子數(shù)分離攻擊的方法[8]；2004年，多倫多大學(xué)的羅開(kāi)廣、馬雄峰等對(duì)實(shí)用誘騙態(tài)協(xié)議開(kāi)展了有益的研究，但未解決實(shí)用條件下成碼率緊致的下界[9]；2004年，華人學(xué)者王向斌在《物理評(píng)論快報(bào)》上提出了可以有效工作于實(shí)際系統(tǒng)的誘騙態(tài)量子密鑰分發(fā)協(xié)議，解決了現(xiàn)實(shí)條件下光子數(shù)分離攻擊的問(wèn)題[10]；在同期的《物理評(píng)論快報(bào)》上，羅開(kāi)廣、馬雄峰、陳凱等分析了誘騙態(tài)方法并給出嚴(yán)格的安全性證明[11]。在這些學(xué)者的共同努力下，光子數(shù)分離攻擊問(wèn)題在原理上得以解決，即使利用非理想單光子源，同樣可以獲得與理想單光子源相當(dāng)?shù)陌踩浴?006年，中國(guó)科技大學(xué)潘建偉等組成的聯(lián)合團(tuán)隊(duì)以及美國(guó)Los-Alamos國(guó)家實(shí)驗(yàn)室-NIST聯(lián)合實(shí)驗(yàn)組同時(shí)利用誘騙態(tài)方案，在實(shí)驗(yàn)上將光纖量子通信的安全距離首次突破100km，解決了光源不完美帶來(lái)的安全隱患[12-14]。后來(lái)，中國(guó)科技大學(xué)等單位的科研團(tuán)隊(duì)甚至把距離拓展到200km以上。

 

　　第二類(lèi)可能存在的安全隱患集中在終端上。終端攻擊，本質(zhì)上并非量子保密通信特有的安全性問(wèn)題。如同所有經(jīng)典密碼體制一樣，用戶(hù)需要對(duì)終端設(shè)備進(jìn)行有效管理和監(jiān)控。量子密鑰分發(fā)中對(duì)終端的攻擊，主要是指探測(cè)器攻擊，假定竊聽(tīng)者能控制實(shí)驗(yàn)室內(nèi)部探測(cè)器效率。代表性的具體攻擊辦法是，如同Lydersen等[15]的實(shí)驗(yàn)?zāi)菢?，輸入?qiáng)光將探測(cè)器“致盲”，即改變探測(cè)器的工作狀態(tài)，使得探測(cè)器只對(duì)他想要探測(cè)到的狀態(tài)有響應(yīng)，或者完全控制每臺(tái)探測(cè)器的瞬時(shí)效率，從而完全掌握密鑰而不被察覺(jué)。當(dāng)然，針對(duì)這個(gè)攻擊，可以采用監(jiān)控方法防止。因?yàn)楦`聽(tīng)者需要改變實(shí)驗(yàn)室內(nèi)部探測(cè)器屬性，用戶(hù)在這里的監(jiān)控范圍只限于實(shí)驗(yàn)室內(nèi)部的探測(cè)器，而無(wú)需監(jiān)控整個(gè)通道鏈路。

 

　　盡管如此，人們還是會(huì)擔(dān)心由于探測(cè)器缺陷而引發(fā)更深層的安全性問(wèn)題，例如如何完全確保監(jiān)控成功，如何確保使用進(jìn)口探測(cè)器的安全性等。2012年，羅開(kāi)廣等[16]提出了“測(cè)量器件無(wú)關(guān)的（MDI）”量子密鑰分發(fā)方案，可以抵御任何針對(duì)探測(cè)器的攻擊，徹底解決了探測(cè)器攻擊問(wèn)題。另外，該方法本身也建議結(jié)合誘騙態(tài)方法，使得量子密鑰分發(fā)在既不使用理想單光子源又不使用理想探測(cè)器的情況下，其安全性與使用了理想器件相當(dāng)。2013年，潘建偉團(tuán)隊(duì)首次實(shí)現(xiàn)了結(jié)合誘騙態(tài)方法的MDI量子密鑰分發(fā)，后又實(shí)現(xiàn)了200km量子MDI量子密鑰分發(fā)[17，18]。至此，主要任務(wù)就變成了如何獲得有實(shí)際意義的成碼率。為此，清華大學(xué)王向斌小組提出了4強(qiáng)度優(yōu)化理論方法，大幅提高了MDI方法的實(shí)際工作效率[19]。采用此方法，中國(guó)科學(xué)家聯(lián)合團(tuán)隊(duì)將MDI量子密鑰分發(fā)的距離突破至404km[20]，并將成碼率提高兩個(gè)數(shù)量級(jí)，大大推動(dòng)了MDI量子密鑰分發(fā)的實(shí)用化。

 

　　總之，雖然現(xiàn)實(shí)中量子通信器件并不嚴(yán)格滿(mǎn)足理想條件的要求，但是在理論和實(shí)驗(yàn)科學(xué)家的共同努力之下，量子保密通信的現(xiàn)實(shí)安全性正在逼近理想系統(tǒng)。目前學(xué)術(shù)界普遍認(rèn)為測(cè)量器件無(wú)關(guān)的量子密鑰分發(fā)技術(shù)，加上自主設(shè)計(jì)和充分標(biāo)定的光源可以抵御所有的現(xiàn)實(shí)攻擊[21，22]。此外，還有一類(lèi)協(xié)議無(wú)需標(biāo)定光源和探測(cè)器，只要能夠無(wú)漏洞地破壞Bell不等式，即可保證其安全性，這類(lèi)協(xié)議稱(chēng)作“器件無(wú)關(guān)量子密鑰分發(fā)協(xié)議”[23]。由于該協(xié)議對(duì)實(shí)驗(yàn)系統(tǒng)的要求極為苛刻，目前還沒(méi)有完整的實(shí)驗(yàn)驗(yàn)證，近些年的主要進(jìn)展集中在理論工作上。由于器件無(wú)關(guān)量子密鑰分發(fā)協(xié)議并不能帶來(lái)比BB84協(xié)議在原理上更優(yōu)的安全性，加之實(shí)現(xiàn)難度更大，在學(xué)術(shù)界普遍認(rèn)為這類(lèi)協(xié)議的實(shí)用價(jià)值不高。

 

　　綜上所述，正如我們目前應(yīng)邀為國(guó)際物理學(xué)權(quán)威綜述期刊《現(xiàn)代物理評(píng)論》所撰寫(xiě)的關(guān)于量子通信現(xiàn)實(shí)安全性的論文中所指出的那樣[24]，過(guò)去二十年間，國(guó)際學(xué)術(shù)界在現(xiàn)實(shí)條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經(jīng)建立起來(lái)。中國(guó)科學(xué)家在這一領(lǐng)域取得了巨大成就，在實(shí)用化量子保密通信的研究和應(yīng)用上創(chuàng)造了多個(gè)世界記錄，無(wú)可爭(zhēng)議地處于國(guó)際領(lǐng)先地位[25]。令人遺憾的是，某些自媒體在并不具備相關(guān)專(zhuān)業(yè)知識(shí)的情況下，炒作出一個(gè)吸引眼球的題目對(duì)公眾帶來(lái)誤解，對(duì)我國(guó)的科學(xué)研究和自主創(chuàng)新實(shí)在是有百害而無(wú)一利。

 

　　鑒于量子保密通信信息論可證的安全性已經(jīng)成為國(guó)際量子信息領(lǐng)域的學(xué)界共識(shí)，此后，除非出現(xiàn)顛覆性的科學(xué)理論，我們將不再對(duì)此類(lèi)問(wèn)題專(zhuān)門(mén)回復(fù)和評(píng)論。當(dāng)然，對(duì)量子通信感興趣的讀者，可參閱我們撰寫(xiě)的《量子通信問(wèn)與答》了解更多的情況