3卫星量子通信
3.1概述
QKD所基于的量子通信协议非常适合在太空中应用。与地面单链路和网络有关的空间信道可能会在包括整个地球、其周围的卫星网络以及旨在与月球或其他行星之间更远距离链接的新颖而雄心勃勃的项目在内的许多场景中加以利用。在一个利用越来越多的安全通信手段的不断发展的社会背景下,空间有望在量子通信中发挥至关重要的作用,因为它正在为全球通信、导航和定位、时间分配、成像和传感服务而发挥着作用,这些都是由目前的几代卫星实现的。
3.2卫星机会
QKD的扩展是在十多年以前的可行性研究中设计的,以确保长距离链路的安全,以连接跨越大型网络的节点,包括国家、大陆、行星和太空任务。最初结合尝试在新颖的空间环境中测试量子信息的基本原理和资源的实验,提出了对量子通信(QC)空间的扩展。其中一些是为国际空间站(ISS)开发有效载荷,其他则是服务独立卫星的。
这些建议得到了地面上长距离自由空间质量控制实验的早期证据的支持。以此方式证明,大气路径的很大一部分不仅适合于经典的光通信,而且也适合于量子通信。的确,已经根据射束加宽和漂移,接收器处信号的衰落和闪烁与湍流水平,波长和链路长度的关系来评估了大气对信道性能的降低作用。但是,与传统的方法相比,在正确的波长、到达时间和方向上进行单光子判别以及有效抑制背景噪声的检测要求更高。
从2003年在Matera激光测距天文台开展实验活动开始,就有可能证明LEO卫星与地面之间可以适当实现单光子交换。在这种情况下,即使在轨道上没有活动光子源,也可以利用配备有光学反射器的卫星进行演示,并将一列具有校准能量的脉冲指向这些卫星,从而使被反向反射回地球发射器的收集部分是具有内容的相干状态。地面上合适的双向望远镜可以传输上行的脉冲序列和下行的单光子。
从一开始就考虑将空间QC应用于全球QKD,将其作为联合单独的基于光纤的地面链路网络的有效解决方案。实际上,可信卫星和两个地面终端之间的密钥交换可用于在两个终端之间生成安全密钥。尽管在改善地面安全通信方面有这些吸引人的机会,以及为空间使用而设想的其他机会,但在欧洲和美国,实现QKD卫星计划一直被搁置。更详细地说,中国和日本在他们的路线图中展示了太空QKD,其中包括为QC开发和发射卫星的雄心勃勃而且具体的计划。日本的SOTA卫星是在2014年发射的,中国的Micius卫星是在2015年发射的,下文将对此进行描述。使用非常紧凑的有效载荷作为纳米卫星的前景最近使欧洲的倡议望而却步,从而推动了高效率、小尺寸空间组件的发展。这一方向也将有利于地面量子密钥分发系统的实现,有助于在地面网络上实现紧凑节能的高性能小型器件。
3.3轨道类型及应用
轨道终端提供的密钥交换类型随着轨道类型的变化而显著变化。光链路的损耗有相关的影响。虽然空间量子密钥分配装置的可能配置可以在空间终端和地面终端使用发射机,但大气的有害影响是不对称的。实际上,在上行链路中,与量子比特流相关联的波前相位在湍流大气中的传播发生在路径的开始处。这会导致波前相位的不均匀调制。随后的传播导致了卫星高度上的振幅调制,光束直径显著变宽,闪烁引起链路透射率的波动。相反,在下行链路中,量子比特序列的传播发生在真空中,仅在最后一部分被大气消耗,在最后10千米内空气密度呈指数级增加。在接收端的光束变宽主要是由于衍射,并且闪烁也减少了。
4量子黑客攻击
QKD协议的实际实现从来都不是完美的,协议的性能取决于安全证明和假设对实际设备的适用性,以及许多参数,包括后处理效率和每个阶段添加到信号中的噪声水平。从广义上讲,量子黑客攻击包括所有的攻击,这些攻击允许窃听者获得有关可信方之间发送的消息,而这些消息是基于安全证明假设的。由于安全证明是基于物理原理构建的,因此只有当安全证明所要求的一个或多个假设不成立时,才会出现这种情况。如果是这样的话,证明就不再有效了,Eve获得的信息可能比Alice和Bob认为的要多。这些假设包括Alice和Bob之间存在经过身份验证的通道、受信任设备的隔离以及设备按预期方式运行。
可信方设备中允许量子黑客攻击的可利用缺陷被称为侧信道。这些可能会以受信设备内的损耗形式出现,这些损耗有可能有助于Eve接收有关信号的信息,或者是设备内可能会受到Eve部分控制的附加噪声,从而影响关键数据。这些部分可控的损耗和噪声如果被忽略,将对QKD协议的安全构成威胁。量子黑客攻击通常具有以下目的:通过更改受信任方对通道属性的估计,直接获取有关密钥的信息或掩盖对协议的其他类型的攻击。为了恢复安全性,受信任的各方可以将辅助渠道纳入其安全性分析中,以免低估Eve的信息,也可以修改其协议以包括对策。在本节中,我们将讨论一些常见的旁信道攻击,以及如何减轻其影响。显然,量子黑客攻击研究是QKD实现的现实安全性的重要方面。这对于欧洲电信标准协会正在进行的QKD标准化工作至关重要。
4.1 QKD-DV黑客协议
许多DV协议(例如BB84和B92)的安全性证明都假定使用单光子源。但是,实际的QKD实现通常使用强烈衰减的激光脉冲,而不是真正的单光子源,后者将发送带有多个光子的某些脉冲。这种脉冲的存在允许使用PNS攻击。这是Eve光束从主量子通道中分离出除一个光子之外的所有光子的地方。由于Bob期望接收到一个单光子脉冲,并且由于该脉冲将不受干扰,因此受信方将不会在线路上检测到任何其他错误。然后,Eve可以将她收到的光子存储在量子存储器中,直到完成所有经典通信为止。最后,她可以基于经典通信对存储的qubit进行集体测量,以获取有关密钥的信息,而无须向信任方透露她的存在。例如,在BB84中,她将在经典通信完成后了解Alice使用的所有密钥,因此将能够获得有关多光子脉冲产生的所有关键位的全部信息。
4.1.1 PNS和基于强度的攻击
用来抵抗PNS攻击的一种方法是使用诱饵状态。例如,可以将BB84协议修改为带有诱饵状态的BB84。在此协议中,Alice用来自诱饵源的多光子脉冲随机替换其某些信号状态。Eve将无法区分来自诱饵源的诱饵脉冲和信号状态,
因此对两种类型的脉冲具有相同的作用。在后处理步骤中,Alice将公开宣布哪些脉冲是诱饵脉冲。利用这些诱饵脉冲的产生率,受信方可以表征信道在多光子脉冲上的作用,因此可以检测到PNS攻击的存在。然后,他们可以相应地调整其密钥速率;如果无法分发密钥,则中止协议。
Alice来源的缺陷可能会导致可利用的侧信道,这会使Eve能够进行未发现的PNS攻击。Huang等人测试了一种通过使用不同的激光泵浦电流调制产生的脉冲强度的信号源,发现不同的泵浦电流会导致脉冲在不同的时间发送。这意味着强度设置的选择确定了在给定时间发送脉冲的可能性,因此,Eve有可能基于发送时间来区分诱饵状态和信号状态。Eve可以在她认为更可能是信号状态的情况下实施PNS攻击,而对她认为可能是诱饵状态的情况下不采取行动。这将使她的PNS攻击不被信任方注意。
Huang等还测试了使用外部强度调制器确定强度设置的信号源。他们发现,这种来源在强度设置和发送时间之间没有相关性,从而为基于此副信道的攻击提供了可能的对策。Alice的另一种选择是根据强度设置更改施加泵浦的时间,以补偿这种影响。Eve也许可以通过使用强光加热Alice的光源来规避这一对策。Fei等发现,如果加热增益开关半导体激光器,则不同强度设置的脉冲时序会相对彼此偏移,因此,除非Alice知道时序已被更改,否则将不再能够补偿时序差异。他们还发现,加热增益介质会使脉冲之间的载流子密度下降到默认水平所花费的时间增加。这可能会导致脉冲之间不必要的关联,从而危及协议的安全性。
4.1.2特洛伊木马攻击
可以用于DVQKD协议的另一种黑客攻击形式是特洛伊木马攻击(THA)。这包括各种不同类型的攻击,涉及将量子系统发送到一个或两个受信方的设备中以获取信息。例如,Vakhitov等在BB84和B92中,曾考虑使用大光子脉冲来获取有关Alice选择基准和Bob选择基准的信息。通过主通道向可信设备发送光子脉冲,并对反射进行测量,从而获得信息。
考虑到量子比特通过相移进行编码的情况,如果Eve能够将她的脉冲通过Alice的相位调制器,那么测量得到的脉冲将提供有关信号状态的一些信息。这是可能的,因为Alice的相位调制器工作的时间是有限的,这给了Eve一个窗口,在这个窗口中她可以发送自己的脉冲,并进行类似的调制。Gisin等人详细描述了Eve通过反射测量获得关于基准选择信息的过程。
信息可以是部分的,只给出所使用的基础,也可以直接给出密钥位。即使在只能获得基址的情况下,协议的安全性仍然受到损害,因为Eve现在能够总是选择与Alice相同的度量基础来进行截获和重发攻击,在不引入任何错误的情况下获得关于密钥的完整信息。另外,Eve也可以定位Bob的设备。对于B92或SARG04,仅需了解Bob的测量基准即可获得有关钥匙的完整信息。
在BB84中,如果Eve能够确定Bob在信号状态到达他的设备之前将使用的测量基准,则她可以通过选择与Bob相同的基准来执行无法检测到的拦截并重新发送攻击。Vakhitov等还注意到,即使在测量信号状态后,Eve仅获得有关Bob基准的信息,这也可以帮助进行实际的PNS攻击,因为它减少了对量子存储器的需求。这对仅受物理定律限制的窃听者无济于事,但可以帮助使用当前技术的窃听者。
目前,该领域已经有多种防止THA的方法。Vakhitov等建议在量子通道和Alice的设置之间放置一个衰减器,同时积极监视Bob设置的传入光子数。Gisin等假设入射状态严重衰减,计算了由于THA引起的信息泄漏,并建议将相位随机化应用于任何向外泄漏的光子。Lucamarini等在特洛伊木马侧信道存在的情况下,通过特洛伊木马状态的输出光子数对参数进行计算,可以计算出具有和不具有诱饵状态的BB84的关键速率。然后,他们提出了一种通过特洛伊木马系统被动限制潜在信息泄漏的体系结构。
这是通过根据光纤的激光诱导损伤阈值(LIDT)查找最大入射光子数来完成的,可以将其视为光熔丝。LIDT是功率阈值,超过该功率阈值光纤将被损坏。每个光子的最小能量(仅取决于光子的频率)使用选择频率的光纤环路来限制。Eve脉冲的最大时间也是已知的,并受Alice的编码设备在信号之间复位所花费的时间限制。因此,每个脉冲的最大光子数可以是上限值。通过正确设置入射光子的衰减,Alice可以提高上限并减少由于任何THA造成的信息泄漏。
Jain等人考虑在低于信号脉冲的波长下使用THA,以降低被信任方检测的风险。这可能会降低主动监视传入的平均光子数的效率,因为检测器通常具有最敏感的频段,因此可能无法检测该频段之外的光子。由于材料的透射率取决于频率,因此它也可能导致被动衰减器对特洛伊木马状态的衰减降低。Sajeed等人对现有QKD实现中使用的设备进行了潜在THA波长以及信号状态所用波长的实验测量,发现新波长降低了Bob探测器中出现后脉冲的可能性,这可以提醒可信赖的用户攻击。相位调制器在新波长下效率较低,这是以增加衰减和降低可分辨性为代价的。Jain等人建议使用频谱过滤器来防止此类攻击。此外,Lucamarini等人提出的光纤环路有助于防止低波长的攻击。
Eve还可以使用THA瞄准强度调制器,Alice使用该强度调制器生成诱饵状态。如果Eve可以区分诱饵状态和信号状态,则可以通过忽略诱饵状态而仅攻击多光子信号状态来进行PNS攻击而不会被检测到。Tamaki等人在调制器的操作方面,创建了形式上的用于限制从强度调制器泄漏信息的形式。他们还发展了计算THA对相位调制器造成的信息泄漏的形式。利用这些数据,他们计算了不同类型的THA的BB84的密钥率。
Vinay等人扩展了Lucamarini等人的工作。并证明相干态是高斯态中最理想的特洛伊木马态,对于Eve来说,假设特洛伊模式衰减并且光子数量有限,它就可以对BB84进行攻击。基于对可分辨性的计算,在信号状态和特洛伊木马模式中添加热噪声可以有效抵抗THA,从而大大提高了给定输出光子数的密钥速率。然后,他们使用不同的光子数统计数据将THA攻击的可区分性提高了上限,从高斯状态的情况扩展到了更一般的可分离状态。
他们发现,可分离状态的上限高于参考文献中的上限。但是可以通过应用其热噪声防御措施将其降低到Lucamarini界限以下。他们还建议在Alice的设备和主通道之间使用快门,并在编码设备和快门之间设置时间延迟,以此作为防御手段,以代替衰减器。这可以通过迫使特洛伊木马脉冲经过Alice的编码设备进行几次传输而起作用,这使Eve更难于准确确定编码相位。
4.1.3 Backflash攻击
Kurtsiefer等人介绍的另一种类型的旁通道攻击是探测器Backflash(反闪)攻击。基于光电二极管(APD)的检测器有时会在检测到脉冲时发光。这种逆光灯可以通过多种方式向Eve提供有关Bob测量结果的信息。逆光的偏振可以指示Bob系统通过了哪些组件,这可以告诉Eve它来自哪个探测器。此外,逆向光子的传播时间或与出射光的轮廓有关的路径相关的变化也可以为Eve提供此信息。这可以告诉Eve,Bob选择了哪个测量基准,对于某些探测器设置,甚至可以揭示Bob的测量结果。
Meda等人对两种商用InGaAs/InP APD进行了表征,发现可以检测到很大比例的逆光。Pinheiro等人通过表征商用Si APD来确定这项工作;他们还发现,反闪概率非常大,大于或等于0.065。这两篇论文都发现逆光是宽带的,因此可以使用光谱滤光片来减少。Pinheiro等人还对光电倍增管进行了表征,发现它的反闪概率要低得多。因此,他们建议在Bob的探测器中使用光电倍增管代替APD。
4.1.4伪态与探测器效率失配
BB84的安全性基于Eve和Bob的独立基准选择。如果Eve能够利用Bob设备中的一些缺陷,让她影响Bob的基准,那么这种独立性将不再成立,并且协议的安全性可能会遭到破坏。Makarov等人提出了许多方案,可以允许窃听者控制或影响Bob的探测器基准或测量结果。这些方案使用伪造的状态。在这种情况下,Eve不会在非干扰信号状态的情况下尝试获取信息,而是发送一种状态,该状态旨在利用Bob的检测设备中的缺陷为他提供她希望Bob接收的结果。
提议的两个方案利用了Bob的被动基准选择。接收器实现可以使用分束器选择测量基准:这将使光子随机穿过或反射到另一条路径上。我们称此为被动基准选择,并将其与主动基准选择区分开。在这种选择中,Bob明确使用随机数生成器选择基准并相应地更改测量基准。如果使用的分束器是偏振相关的,则Eve可以调整她发送的脉冲的偏振,以使其成为选择的基准,从而允许她截取并重新发送信号,同时确保她和Bob始终选择相同的基准。
另一种方案将偏振片放在分束器前面。Makarov等人提出偏振镜的缺陷将使Eve在使用足够大的脉冲时仍能选择Bob的基准。他们还建议使用偏振加扰器作为对这两种方案的防御。Li等人提出了一种类似的攻击方式,在这种攻击方式中,他们利用分束器的频率相关性,使他们更有可能选择Bob的基准。
Makarov等人提出了另外两种使用伪造状态的方案。一个人利用了Bob装置中无法解释的反射优势,这可以让Eve通过精确定时她的脉冲来选择Bob的基准,以使它们的一部分在正确的时间窗口内反射到选定基准的检测器中。这将要求Eve对Bob的设备进行很好的表征,并且由于未被反射的脉冲部分所引起的副作用而具有被检测到的风险。
如果Bob的检测器具有DEM,则如果给定值为0,则该参数具有某个参数值的光子更可能被检测器检测到,如果该值被检测到,则该检测器提供给定值1。但是请注意,实际上,光子将仅撞击其中一个检测器,具体取决于其编码的值。在袭击中,Eve拦截了Alice的状态并在某种程度上对其进行了测量。然后,她以相反的方式将状态发送给Bob,并选择了合适的时间,这样Bob可能不会收到任何结果,而只会收到一个错误,从而以增加损失为代价来降低Bob的错误率。
Lydersen等人演示了使用伪造状态攻击商业QKD系统的可能性。他们利用连续波激光器使检测器致盲,这是因为可以使APD以线性模式工作。在这种模式下,检测器不会记录单个光子。Eve发出脉冲来触发Bob的探测器,只有当Bob选择与Eve相同的基准时,它们才会给出结果。Lydersen等人表明APD也可以通过用强光加热而使其失明。Yuan等人认为,正确操作的APD很难保持线性模式,并且可以通过监视光电流来识别这种伪造状态的攻击。
Qi等人建议使用带有时间参数的DEM进行另一种攻击,他们将其称为时移攻击。在这种攻击中,Eve没有尝试测量信号状态,而只是改变了它进入Bob设备的时间,因此,如果Bob发生检测事件,则它更有可能是一个具体数值。例如,如果对应于结果0的检测器在某个给定时间比对应于结果1的检测器具有更高的效率,Eve就可以知道,如果脉冲的到达时间发生了偏移,使得脉冲到达检测器的时间为特定时间,并且其中一个检测器检测到了脉冲,结果很有可能是0而不是1。DEM越大,Eve可以获取有关信息的可能性越大。这种攻击不会在生成的密钥位中引入任何错误。
实际上,不要求按时间对DEM进行参数化。检测器可能在极化、频率甚至空间上不匹配。Sajeed等人和Rau等人都表明,通过改变脉冲进入Bob设备的角度,可以改变检测器的相对灵敏度,因为入射角将决定光入射到检测器的角度,但是光的配置发生了微小变化。设置可能导致每个检测器的入射角不同。脉冲撞击检测器的角度决定了被脉冲撞击的检测器的表面积,从而决定了检测器的灵敏度。
针对使用DEM进行攻击的一种建议对策是让Bob使用四个检测器配置,每次将结果映射到随机分配的检测器。但是,如果该配置与Bob设备上的THA结合使用,则仍然容易受到时移攻击。对于Bob来说,这种THA很难抵御,并且通过添加硬件保护措施会使Bob的设备更加复杂,可能给Eve创造更多漏洞,因此,找到一种软件解决方案是人们所希望的。
Fei等人使用Koashi设计的证据,发现了存在DEM时针对非常广泛的攻击类别的密钥率公式。Lydersen等人稍微推广了这一证明。这两个公式都需要对DEM参数可能值上的检测器效率进行全面表征。这对于受信方可能很困难,尤其是因为它们可能并不总是知道检测器的哪些参数会引起DEM。Fei等人使用一种基于检测过程的新技术,将不存在DEM的情况和存在完整DEM的情况相结合,在存在DEM的情况下计算出带有诱饵状态的BB84的密钥率。然后,他们在这种情况下对QKD进行了数值模拟,发现DEM降低了安全密钥率。
4.2 CV-QKD黑客攻击协议
DV和CV协议中使用的协议类型和设备类型之间的差异意味着,并非所有对DV系统的黑客攻击都直接适用于CV系统。有些漏洞(例如对本地振荡器的攻击)特定于CV协议,而某些漏洞(例如THA)类似于DV协议上使用的攻击。在执行CV-QKD时,一个重要的实际问题是所用设备的校准。必须确定散粒噪声,因为它会影响参数估计。如果执行不正确,可能会破坏CV QKD的安全性。在校准期间,应估计调制期间引入的相位噪声。通过在安全性分析中考虑到它,可以提高密钥率,因为调制器添加的相位噪声可以被视为可信噪声。
4.2.1攻击本地振荡器
为了进行Alice信号状态的测量,Bob用LO干扰了它们。由于难以维持Alice的来源和Bob的LO之间的一致性,因此CV-QKD的实现通常会通过量子通道发送LO。由于CV-QKD的安全性证明不能解决这个问题,因此留下了一些侧信道,Eve可以利用它们。Haseler等人表明,必须监视LO的强度,以防止Eve用压缩状态替换信号状态和LO,从而通过减少相对于受信方的错误来掩盖拦截并重新发送攻击。Huang和Ma等人根据分束器的波长依赖性提出了对本地振荡器的攻击。他们发现,通过利用Bob设备中分束器的波长依赖性,可以设计Bob的测量结果,同时阻止Bob准确确定LO强度。Huang等人提出了一种对策,在该对策中,随机地应用波长滤波器,并且监视应用和不应用波长滤波器之间的信道特性的任何差异。
Jouguet等人设计了对LO的另一次攻击。这种攻击利用了Bob的时钟由LO脉冲触发的事实。通过更改LO脉冲的形状,Eve可以延迟时钟触发的时间。这可能导致Bob错误地计算散粒噪声,从而使Eve可以进行拦截并重新发送未被发现的攻击。作为对策,Jouguet等人建议Bob应通过对信号随机施加强衰减来实时测量散粒噪声。Huang等人在此基础上进一步证明,利用分束器的波长相关性的攻击可被用来击败Bob实时测量散粒噪声的尝试。
但是,他们发现,通过将第三个衰减值添加到强衰减可以防止它们受到攻击。Xie等人还发现时钟信号中的抖动效应会导致散粒噪声的计算不正确。Zhao等人确定了极化攻击,窃听者攻击未测量的LO脉冲以控制和篡改协议的散粒噪声单元。
为了完全防止LO攻击,Qi和Soh等人提出并分析了Bob可以采用生成本地振荡器(LLO)的方法。Alice定期发送相位参考脉冲,而Bob在后处理过程中对其结果施加相位旋转,以确保它们与Alice的光源同相。Marie等人为了减少相位噪声,对该方案进行了改进。Ren等人提出,如果受信任的各方假设相位噪声是受信任的,并且Eve无法使用,那么即使是LLO也可能容易受到黑客攻击。在这种情况下,Eve可以通过增加相位参考脉冲的强度来降低相位噪声,并通过增加对信号状态的攻击来补偿降低的相位噪声,从而使Bob测量的总噪声保持不变。
4.2.2探测器饱和攻击
Qin等人考虑过对Bob零差探测器的饱和攻击。这种攻击利用了CV-QKD安全性证明假设入射光子正交与测量结果之间存在线性关系的事实,但实际上,零差探测器具有有限的线性范围。高于一定的正交值,零差检测器将饱和,这意味着无论正交值在阈值水平还是高于阈值水平,测量结果都是相同的。例如,100个散粒噪声的正交值可以给出与200个散粒噪声的正交值相同的测量结果。Qin等人考虑利用拦截和重发攻击,然后重新缩放和替换测量的状态。通过使Bob的测量结果与饱和区域部分重叠,Eve可以改变测量结果的分布,从而减少可信方的误差估计。
Qin等人还提出了一些对策,包括使用高斯选择滤波器来尝试确保用于生成密钥的测量结果落在检测器的线性范围内,以及使用Bob信号的随机衰减来测试测量结果是否与输入呈线性相关。Qin等人扩展了他们之前的工作,考虑到一个稍微不同的攻击,其中使用非相干激光将Bob的测量结果转移到饱和范围。他们还通过实验证明了零差检测器的饱和,并对其攻击进行了数值模拟,以证明其可行性。
4.2.3特洛伊木马攻击
CV协议也容易受到THA的攻击。通过将特洛伊木马状态发送到Alice的编码设备中,Eve可以尝试了解信号状态的调制方式,而不会干扰信号状态本身。Derkach等人将侧信道建模为Alice设备中的分束器,将调制后的信号状态耦合到真空状态。他们还考虑了允许Eve在检测之前将不受信任的噪声耦合到信号状态的侧信道。
然后,他们使用反向调节来计算相干状态协议和压缩状态协议的最终密钥率。Derkach等人根据对分束器输入真空状态的操纵,对发送器侧信道提出了一些改进对策。然后,他们考虑了两种类型的侧信道泄漏,扩展了他们的早期工作:信号状态调制后的泄漏和调制之前但信号状态受到挤压后的泄漏。他们允许每个侧信道采用多种泄漏模式。他们计算了这种类型的侧信道的直接和反向调节的密钥速率,并优化了后调制泄漏的压缩。
在Pereira等人的相干状态协议中,Eve被认为是对Alice的THA。在该协议中,Eve可以将具有有限平均光子数的特洛伊木马状态发送到Alice的接收器中。然后以类似于信号状态的方式调制此状态,并返回到Eve。计算出密钥率和安全性阈值,以进行反向调节。建议采取主动监视入射光的措施。Ma等人考虑双向协议中的THA,其中Eve根据Bob的信号状态向Alice的设备发送一个状态,然后测量该状态以获得Alice应用的调制信息。他们建议使用主动监视来消除特洛伊木马状态。
来自受信任方设备的部分噪声可以假定为可信的,因此不受窃听者的控制。这种可信噪声可以是信号状态的噪声、调制器所加的噪声或检测的噪声。可信噪声对CV-QKD的影响随调节方向的不同而不同。协议参考端的可信噪声甚至有助于将Eve系统与可信方共享的信息分离。此外,尽管调解协议是可信的,但远程端的噪声可能对协议有害。
4.3一般考虑
基于更改所用设备的属性,存在许多针对DV或CV协议的更一般的攻击。这些类型的攻击甚至可以用于特征明确的设备中来创建漏洞。Jain等人建议并通过实验测试了Eve在QKD协议的校准阶段可能执行的攻击。攻击针对系统,而Bob正在使用线长测量(LLM)校准检测器。这种类型的攻击取决于实现。在考虑的系统中,Jain等人发现通过改变Bob在LLM期间发送的校准脉冲的相位,可以感应DEM。这将使系统容易遭受其他类型的攻击,因为受信任的各方不会意识到Bob设备的校准错误。在此基础上,Fei等人发现通过在LLM过程中发送伪造的校准脉冲,很可能诱发DEM。Fei等人建议添加一个系统,使Bob可以在校准过程之后测试自己的设备是否存在校准错误。
即使实现是完美的,Eve也有可能通过使用激光破坏受信任方设备的组件来创建漏洞。Bugge等人认为Eve可以用激光破坏探测器或任何活动的监控设备等部件,从而使其他攻击得以实施。他们表明,APD可能会被强烈的激光破坏,降低它们的检测效率。这就给Eve制造了漏洞,而不需要她不断地确保探测器保持失效。更高的激光功率使APD完全不起作用;如果APD被用作监视设备,那么Eve可能会利用这一点。Makarov等人在一个商业系统上演示了这一点,然后展示了他们能够在一个空间过滤器上修复漏洞,这意味着保护空间DEM。Sun等人通过将连续波激光照射到Alice的增益介质上,使Eve能够控制Alice脉冲的相位。这可能为DV和CV系统中的其他攻击打开漏洞。Sun等人建议监视离开Alice光源的光线,并使用主动相位随机化。
4.4作为解决方案的设备独立性
在概念上,与侧信道打交道的另一种方法是开发独立于设备的协议(DI-QKD),该协议可以防止许多侧信道攻击。QKD允许使用不受信任的设备。针对DV和CV案例都设计了实施DI-QKD的方案。在可以信任源的情况下,可以采用与测量设备无关的QKD(MDIQKD)方案。这些方案也是针对DV和CV而设计。DI和MDI-QKD协议较难实现,因此与设备相关协议相比,其密钥率通常较低。尽管提高了安全性,但它们都不能免受攻击。在所有协议中,都要求将Alice和Bob的设备与外界隔离。如果存在一个隐藏通道,使Eve可以访问测量结果,则密钥将不安全。MDI-QKD还容易受到源缺陷的影响,例如Sun等人先前提到的攻击。因此,设备独立性不能被视为解决侧信道问题的灵丹妙药。
5结论
在这篇综述中,我们介绍了量子密码学领域的基本概念和最新进展。我们将讨论的重点放在了QKD上,但也提出了一些超出密钥分发标准设置的发展。实际上,今天的量子密码学是一个大的总称,包括各个领域,其中一些在本文中未作介绍。例如,加密传输和比特承诺之类的密码原语,或包括可验证的量子计算及安全功能评估在内的安全计算主题。后量子密码学是一个有趣的领域,可以为安全性提供临时解决方案。然后,许多协议尚未得到处理,但值得一提,例如量子指纹识别、量子秘密共享、量子拜占庭协议和量子电子投票等。
尽管量子密码术无疑是迄今为止最成熟的量子技术,但理论和实验工作都面临着许多挑战和悬而未决的问题。仍然需要开发和实现更强大的QKD协议,这些协议能够以合理的高速率实现长距离传输。这似乎是开发基于实际量子中继器的QKD网络的问题。更加理想的任务是在这样的QKD网络中实现端到端原理,从而使中间节点通常不可靠且不受信任。时至今日,这种想法似乎仅与直接或反向利用类似EPR的相关性有关。
理论上,有人致力于在DV和CV环境下建立一系列QKD协议的完全可组合的有限大小的安全性。如何确定几个基本量子信道的密钥容量,如热损耗信道和振幅阻尼信道,是一个有待解决的问题。虽然最近开发的模拟技术在许多情况下已经成功,但是实现这些信道的双向辅助能力可能需要开发一种全新的、不同的方法。
从实验上看,目前的研究正朝着许多方向发展,从光子集成电路到卫星量子通信,从更健壮的点到点协议到可信节点量子网络的实现,从基于量子比特的方法到更高维和连续变量系统。虽然光和电信频率对于量子通信来说是更为自然的,但是诸如太赫兹和微波这样的较长波长的短程应用可能还没有得到充分的发展。
在QKD被认为是一种完全安全的量子技术之前,需要仔细考虑一些漏洞。实际的威胁来自侧信道攻击,目前正在研究和开发针对一些最危险的量子攻击的对策。弱点可能来自检测器或随机数发生器的缺陷。因此,量子黑客攻击与对策是一个重要且不断发展的领域。
一般来说,对于量子密码和量子密钥分发的技术部署,我们将需要考虑其与当前经典基础设施的集成,并根据要达到的保密程度开发安全层,而保密程度又取决于利益相关者和涉及的业务类型。基于有界存储器和量子数据锁定的协议提供了一种临时的低水平的量子安全,可能适用于个人通信。标准的QKD协议提供了更高级别的安全性,可能适用于金融交易。在QKD中,可以考虑不同的密钥速率,例如,针对单个、集体或完全一致的攻击。这些密钥率的选择也可能与要达到的特定安全级别有关。
对于政治或战略决策等应用,更高级别的安全性可能涉及使用DI-QKD,它对常规和侧信道攻击都更为健壮。随着量子密码学逐渐成为更广泛的技术产品,这些方面将变得越来越清楚。(此报告内容由《信息安全与通信保密》编辑部翻译整理)
