如何看待“量子通訊被破解”
最近上海交通大學研究團隊成功破解“量子通訊”的訊息在網際網路上激起了一片浪花。該訊息在觀察者網轉載後,不到半天點選破15萬,評論數超過300條。一個科研專案、一個國家級的工程受到公眾的關注是件好事。但是由於諸多原因,公眾對“量子通訊”存在許多誤解和疑慮,深入的科普和耐心的引導仍是當務之急。
“量子通訊”被破解看似意料之外,實在情理之中。“量子通訊”被破解一點也不奇怪,問世以來它被黑客虐了已經不知有多少回,這既不是第一次,更不會是最後一回。
“量子通訊”被黑何時了,漏洞知多少?這還真不是杞人憂天,上海交大破解團隊的論文就是這麼說的:“然而,我們希望在此提供的主要資訊是,當我們認為MDI-QKD已經是一個非常成熟且商業化的解決方案時,可能存在許多其他未發現的物理漏洞。”
“量子通訊”被破解是好事還是壞事?這得看對誰而言。此事對於“量子通訊”的科學研究工作可能是好事,破解-反破解本是量子通訊科研的重要組成部分,失敗和教訓是科學成長的維它命。但是“量子通訊”被破解對於工程專案很難說是好訊息。
“帶病上崗”的京滬量子通訊幹線究竟該怎麼辦?第二天,論文作者又在量子通訊團隊的自媒體“墨子沙龍”緊急補漏,聲稱:“正如我們公開在預印本arXiv上文章中已經深入討論了的,我們通過進一步理論分析和實驗設計,證明了針對這一漏洞的竊聽方案可以通過在源端(我們的實驗系統已經內建了30dB隔離度)增加更高對比度光隔離器來解決,從而保證量子金鑰分發的安全性。”但是論文的原文說的正好相反:“很顯然,攻擊者的鐳射功率不受限制的話,即使採用隔離保護,Eve總能夠破解MDI-QKD系統”(apparently with infinite laser power, Eve will always be able to hack MDI-QKD systems even with the isolation protection.)
讓我們退一步,就算攻擊者擁有鐳射武器不在他們學術上的考慮範圍,而且已經找到了切實可行的解決方案。此條幹線上數以百計的光量子發射源要不要都升級更換?裝置更換後肯定會影響整體執行效能,系統引數的聯調估計也不是件容易的事。
如果解決方案使“量子通訊”的硬體裝置變得更復雜更昂貴,增加的經費開支由誰來買單?京滬幹線上自覺自願的付費客戶本沒有幾個,恐怕還得由包建設、包運營的政府再加上包修理。
如果量子通訊僅侷限在實驗室中,上述所有問題都立馬消失。核心技術的進步來自於實驗室,這次發現的“量子通訊”的安全隱患就是在實驗室中,而不是在京滬量子幹線上。科技可以在試錯中進步,工程專案絕不能在試錯中前行。
量子通訊離開工程建設的可行性要求差之甚遠。量子通訊工程的技術基礎是美國科學家在1984年制定的BB84協議,BB84是前網際網路時代留下的技術化石,這種端到端的通訊協議完全不具備組成複雜多變網路結構的可能。最近出臺的《量子保密通訊技術白皮書》,看了其中關於量子保密通訊組網部分,依然空洞無物。量子通訊組網連“紙上談兵”的水平都夠不上,只能算是“夢中談兵”這一層級。
量子通訊工程中金鑰協商分發的最大距離不超過百公里,遠端量子通訊工程必須使用可信中繼站技術。可信中繼站中金鑰以明文格式接觸連網的計算機,給量子通訊工程帶來極為嚴重的安全隱患。使用衛星作量子金鑰分發的技術尚在實驗階段,事實上它很難跨越“最後一公里”這個技術障礙,本質上這還是被卡在中繼技術的死穴裡。
量子通訊的BB84協議早在1984年就提出了,三十多年過去了,這樣一個漏洞百出、技術上不成熟又沒有多大實用價值的量子通訊能大行其道,靠的是一張護身符——“量子通訊”可以保證通訊的無條件安全。其實“量子通訊”在理論上的無條件安全性都是存疑的,“量子通訊”工程的無條件安全性又何從說起?物理與工程之間有本質的區別,絕不能把物理原理中的理想結果偷換成工程指標。
著名物理學家費曼說過,“所有的物理定律都是對現實世界的近似,模型和現實之間永遠存在無法磨滅的微小差異。”費曼之所以在這裡使用“微小差距”,是為了強調現實與理論這二者之間的差距無論用什麼方法都是無法完全消除的,是“永遠”也無法磨滅的。
原理與現實之間永遠存在無法磨滅的微小差異,這個微小差距對於大多數工程專案也許影響有限,但對於密碼工程卻可能是致命的。因為一個幾百位的金鑰,只要有幾位被洩漏,就可能導致整個傳輸的密文被破解。
這次的“量子通訊”被破解是每傳送十個金鑰有六個被破解,這六個金鑰中的每個金鑰的所有位都被黑客全部破解全部鎖定,而通訊的接收方仍一無所知。這簡直是密碼領域的天方夜譚,怪不得有好幾個密碼學界的朋友向我詢問訊息的可靠性,他們都不敢相信真有這回事。
在密碼系統裡,金鑰全身必須包裹得嚴嚴實實一絲不露,連中東婦女那種只露二隻眼睛的衣飾都是完全不合格的,而我們“量子通訊”上傳輸的金鑰卻赤身裸體一絲不掛,連比基尼都忘了穿。這種“量子通訊”密碼工程究竟又有多少人敢於使用?
物理原理給出的結果都是在滿足許多苛刻條件的理想環境下才能成立,在現實世界中,在工程實施時這些條件都是無法完全滿足的,即使要部分滿足這些條件,工程的代價也會高到無法忍受。工程都是效能和代價的折衷和優化,“量子通訊”工程一定也逃脫不了這個規律,無條件絕對安全的“量子通訊”在現實中是根本不存在的,註定也得把“貓捉老鼠”的遊戲繼續玩下去。這次“量子通訊”被“注入鎖定”方式破解就是一個最好的證明。
說到底,資訊保安技術的發展史就是一場“貓捉老鼠”的鬥爭史。傳統密碼技術如此,“量子通訊”最多也只能是如此。但是基於數學原理用軟體技術實現的傳統密碼在相容性、效率和效能價格比各方面遠遠優於“量子通訊”,失去了“無條件安全”這張護身符的“量子通訊”又有什麼資格與傳統密碼一較高下?
目前大多數實驗室和工程建設中的“量子通訊”並不是保證通訊安全的獨立完整的密碼系統,密碼系統的核心是加密解密的演算法,“量子通訊”使用的都是傳統對稱密碼的加密解密演算法。“量子通訊”也與量子糾纏毫無關係,它們其實只是利用量子偏振態為通訊雙方協商獲得金鑰的一種硬體技術,簡稱“量子金鑰分發”技術。
“量子金鑰分發”基於量子物理的量子不可克隆原理,保證金鑰傳送過程中如果有竊聽必被發現,追求金鑰分發環節的保密性。許多人把通訊保密性錯認為就是通訊的安全性。當然通訊安全一定要求通訊內容的保密性,但是隻有通訊的保密性並不等於通訊就是安全的。通訊的安全性有著比保密性更高更強的要求,它不僅要求通訊雙方傳送的內容不能被任何第三者知道,還要確認收發方各自的真實身份,還必須確認通訊內容的完整性和不可篡改性,另外還要保證通訊的穩定性和可靠性。所以通訊的安全性至少應該包括通訊的保密性、真實性、完整性、和可用性。
由此可知,所謂的“量子通訊”可以保證通訊的無條件安全是沒有任何科學依據的,這種宣傳實在錯得太離譜了。
就在昨天,潘建偉等《關於量子保密通訊現實安全性的討論》一文中還在宣傳:學界將這種安全性稱之為“無條件安全”或者“絕對安全”,它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年,安全性證明獲得突破,BB84協議的嚴格安全性證明被Mayers, Lo, Shor-Preskill等人完成。
該文所引的有關量子保密通訊安全性證明的論文大多是十多年前的論文,為什麼不敢引用最近這幾年的相關論文呢?不是說會“對經過同行評審並公開發表的學術論文進行評價”的嗎?如果這個問題真的已有定論,為什麼最近幾年美國和日本的量子通訊專家權威仍有不少質疑QKD安全性的論文呢?
這些新的論文儘管在QKD的理論安全性的分析評估方法上存在各種分歧和爭論,但是專家們的認識有一點是共同的:QKD離開“資訊理論級安全”差距甚遠。
Horace P.Yuen(美國西北大學電子和物理系教授,1996年獲得國際量子通訊獎,2008年他又獲得了IEEE光子學會的量子電子獎)是量子通訊安全領域國際上公認的學術權威,他對QKD安全性發表了一系列重量級論文,受到了國際上不少同行的支援。Yuen教授2016年發表在IEEE上的論文:《量子通訊安全性》,受到日本等國量子通訊專家的贊同和支援[1]。為什麼中國的同行們對此一字不提呢?
通訊安全是一個很大很複雜的大系統,大多數人是門外漢,量子實驗物理學家也不例外。有關通訊和資訊保安還是要向通訊密碼學界的專家學者們虛心學習。
前幾天我在密碼學界的一位專家朋友轉發了一篇談安全和科學的論文給我[2],認真看了一下,受益匪淺。好文章不能獨享,特把文章地址發於下,有興趣的可以讀讀。希望有關專業人士都能從中受益,把通訊和資訊保安的認識提高到一個更新更高的水平。