【文/观察者网专栏作者 徐令予】

不久前，法国国家网络安全局(ANSSI)发布了一份关于量子通信(QKD)的技术指导性文件，该文件在讨论QKD的安全性问题时，特别引述了国际著名物理期刊(Physical Review Applied)上发表的一篇论文：《破解量子密钥分发的激光注入式攻击》[1]。量子通信的安全问题再次亮起红灯。

图1

该论文的作者们都是量子通信领域的专家，他们分别来自中国、加拿大、俄罗斯和西班牙，论文的第一作者就是中国国防科技大学的学者。论文的内容可以概括为以下三点。

1）实验显示，黑客可以把微弱的激光注入到量子密钥分发(QKD)的发射光源，从而导致QKD信号强度增加；

2）理论证明，QKD的信号强度的意外增加会严重影响QKD的安全性；

3）以上的理论证明不仅适用于QKD的诱骗态BB84协议和MDI-QKD协议，而且也适用于以诱骗态为基础的其它量子密码协议。

实验装置见图2左。黑客(Eve)使用可调激光器(C.W.)通过单模光纤将激光注入QKD的发射光源(LD)。通过调节激光的波长，将适当波长的光子注入激光二极管(LD)，当注入光子的能量与激光器的激发态和基态之间的能级差相匹配时，导致受激发射。为了最大程度地提高注入效率，黑客使用偏振控制器(PC)调整注入激光的偏振，使其与QKD的偏振状态相匹配。为了将注入激光与QKD的信号分开，实验使用了光学环形器(Circulator)。攻击的激光进入环形器的端口1，然后由端口2输出(红线)，而QKD的信号从环形器的端口2进入由端口3输出(蓝色虚线)，最后送入高速脉冲同步示波器作观察和记录。

图2

实验结果见图2右：图中蓝色实线是未受黑客攻击时QKD的脉冲信号，受黑客攻击后QKD脉冲信号的幅度和波形发生变化，橙、黃和紫色虚线分别代表在不同强度的注入激光攻击下的变化情况。理论证明，QKD的信号强度的意外增加会严重影响QKD的安全性。

使用诱骗态BB84协议的理论安全分析模型，对QKD脉冲信号的幅度发生变化后的安全性作计算机数值模拟，得到图3。图中的曲线给出了为符合安全要求QKD的通信距离和成码率必须遵循的约束条件。图中的蓝色虚线是正常情况下的安全下限曲线RL，曲线RL表明为了确保QKD的理论安全，系统的通信距离和成码率必须约束在该曲线的下方。在遭受黑客激光注入攻击后，RL曲线明显下移至红色点划线，这表明QKD的通信距离和成码率的安全空间被进一步压缩。图中的红色虚线是受攻击后系统的安全上限曲线RU，处于曲线RU上方的所有通信距离和成码率的组合全都不符合理论安全的要求。

图3

图中的红色实线是量子通信双方之间自己以为安全的下限曲线。在这时候量子通信的实际安全性已经远远高出安全下限曲线RL(红色点划线)，这表明量子通信在这种状态下是得不到理论安全性保证的。不仅如此，量子通信的实际安全性在大多数情况下甚至高出安全上限曲线RU，这表明量子通信在这种状态下实际上是不安全的。

对于以上的分析有以下几点需要注意。

第一，量子通信的理论安全远非“是与否”那么简单，安全性是与通信距离和成码率紧密相关的，这和高铁安全性其实是同一个道理。高铁安全吗？这取决于高铁的运行速度，目前情况下，当速度为每小时300公里以下是很安全的，当速度为400公里以上就很难说了。而量子通信的安全性与通信距离和成码率都有关，所以安全性应由通信距离与成码率二维空间的一条曲线来描述，对于确定的通信距离和成码率，如果这个点处于曲线之下表示这种状态下理论上是有安全保障的，反之理论上是不安全的。

第二，由于分析量子通信理论安全的模型不是唯一的，具体计算方法也各有不同，所以实际上这类理论安全曲线不止一条，而是一簇。为了分析的方便，可以求出这一簇曲线的上下包络线，下包络线就是理论安全曲线的下限RL，而上包络线就是理论安全曲线的上限RU。对于确定的通信距离和成码率，如果处于RL之下，它在理论上是安全的；如果在RU之上，它就是不安全的。

第三，从量子通信安全性的理论分析中可以看出，为了保障量子通信的绝对安全，在一定的距离上，量子通信的成码率低得可怜，在许多场合下很难产生实际应用价值。

由此可知，“量子通信理论上是绝对安全的”不是一种正确的科学表述方式。即使从理论上来看，量子通信的安全性至少也与通信距离和成码率息息相关，脱离具体的环境谈安全性没有什么意义。把量子通信的安全性、通信距离和成码率三大要素分隔开来宣传，一会儿说量子通信绝对安全，一会儿又说量子通信距离突破XXX公里或者成码率又达到YYY，这种宣传也许每一句话都没有错，但是这完全不表示这个QKD系统在XXX公里距离上、成码率为YYY的情况下是绝对安全的。

请注意，这篇论文的理论分析具有普适性，它的结论适用于QKD的诱骗态BB84协议和MDI-QKD协议。量子保密通信京沪干线、武合干线、京汉干线使用的都是诱骗态BB84协议，因此这篇论文对于量子通信工程化具有重要的指导意义。

去年初，上海交通大学研究团队成功破解“量子通信”的论文在互联网上曾激起了一片浪花。接着就是去年年底的这篇国际团队的论文《破解量子密钥分发的激光注入式攻击》，对量子通信安全性的质疑一波未平一波又起。这两篇重磅论文都把矛头对准了量子通信的发射光源，量子通信光源系统存在多种严重的安全隐患，详见下图。

图4：黑客对量子通信(QKD)的发射源端(Alice)的攻击可以分成两个方面：利用安全漏洞(Security Breach)和阻断服务攻击(Deny Of Service)。利用安全漏洞又可细分为三类：1）特洛伊木马攻击；2）激光致盲攻击；3）激光注入攻击。

上海交大的论文可归于“特洛伊木马攻击”，而这篇新的国际合作论文就是“激光注入攻击。”它们攻击的目标虽然都是指向量子通信的光源，但是攻击的手法各有千秋。例如“激光致盲攻击”就属于“很黄很暴力”！但“激光注入攻击”则更像“悄悄的进村、打枪的不要”。发起攻击的激光功率仅在100nW级别，就神不知鬼不觉地给量子通信挖了个深坑。

这篇新的国际合作论文中对于量子通信光源的反黑客措施也有详细的分析。论文明确指出使用光衰减器是无法有效防范激光注入式攻击的，当衰减器为60db，激光输入功率也仅需100mW，这对攻击者来说易如囊中探物。

更严重的问题是，他们的研究证明，通过强激光致盲攻击可以永久性地降低光衰减器的衰减系数。所以在实战环境中，黑客可以采用多种手段发动攻击，可以先使用激光致盲攻击，降低量子通信光源的衰减器的衰减功能，然后交替使用激光注入式攻击、特洛伊木马攻击等方式，最后彻底击垮量子通信的安全防线。由此可见，量子通信所谓的无条件安全性是经不起实战考验的。

上述所有的攻击都是针对QKD的光源，但这并不表示QKD其它部位就是安全的，其实QKD的检测端存在许多安全隐患。但是自从提出了MDI-QKD协议后，应对QKD检测端的安全问题有了实验室方案，所以关于QKD检测端安全的学术性研究暂告一段落。但是如果MDI-QKD进入工程化的话，还是会有各种新的问题产生，新的质疑一定会“春风吹又生”。所以从工程角度来看，安全问题只能是一场猫与老鼠之间永无止境的拉锯战。

需要指出的是MDI-QKD还未进入实用阶段，所有已建和在建的量子通信工程项目中不仅光源存在许多安全隐患，其实检测端安全问题更多更严重，只不过专家学者对此都已经不愿再花功夫搭理而已。这好比在如今Windows 10的年代，很难再看到关于Windows 95安全隐患的研究报告了。但是如果你非要说运行在Windows 95很安全，那就令人无语了。不过话又说回来，运行Windows 95系统可能真的也没有什么不安全，因为破解这种老古董系统的技术含量太低，而且这些系统本身就是个摆设也干不了什么实事，稍有点身份的黑客都懒得攻击它们，怕掉价！

行笔至此，可能会有读者觉得学术界对量子通信安全问题的质疑是否有点吹毛求疵，甚至对量子通信催生出一丝同情心。其实把“适可而止”、“宽大为怀”这套待人之道代入学术研究是非常要不得的，“一丝不苟”、“精益求精”才是推动科技进步的动力。学术界对传统密码安全性的研究之严格和苛刻从来如此，几乎都到了精神分裂的地步，只是不为常人所知而己。相比之下，量子通信的安全性研究仍处于初级阶段，因此推进量子通信工程化产业化更应慎重。