正如潘建偉團隊目前應邀為國際物理學權威綜述期刊《現代物理評論》所撰寫的關于量子通信現實安全性的論文中所指出的那樣，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經建立起來。王向斌、馬雄峰（清華大學）、徐飛虎、張強和潘建偉（中國科學技術大學）等五位量子保密通信領域的科學家共同撰文，為了公眾渴望了解量子保密通信現實安全性真實情況的需要，對其做如下介紹。

 

　　關于量子保密通信現實安全性的討論

 

　　王向斌1馬雄峰1徐飛虎2張強2潘建偉2

 

　?。?.清華大學2.中國科學院量子信息與量子科技創(chuàng)新研究院，中國科學技術大學）

 

　　近來，某微信公眾號發(fā)表了一篇題為“量子加密驚現破綻”的文章，宣稱“現有量子加密技術可能隱藏著極為重大的缺陷”。其實該文章最初來源于美國《麻省理工科技評論》的一篇題為“有一種打破量子加密的新方法”的報道，該報道援引了上海交通大學金賢敏研究組的一篇尚未正式發(fā)表的工作。

 

　　此文在微信號發(fā)布后，國內很多關心量子保密通信發(fā)展的領導和同事都紛紛轉來此文詢問我們的看法。事實上，我們以往也多次收到量子保密通信安全性的類似詢問，但一直未做出答復。這是因為學術界有一個通行的原則：只對經過同行評審并公開發(fā)表的學術論文進行評價。但鑒于這篇文章流傳較廣，引起了公眾的關注，為了澄清其中的科學問題，特別是為了讓公眾能進一步了解量子通信，我們特撰寫此文，介紹目前量子信息領域關于量子保密通信現實安全性的學界結論和共識。

 

　　現有實際量子密碼（量子密鑰分發(fā)）系統(tǒng)主要采用BB84協議，由Bennett和Brassard于1984年提出[1]。與經典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學的基本原理。即便竊聽者控制了通道線路，量子密鑰分發(fā)技術也能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數學證明的安全性。20世紀90年代后期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被Mayers，Lo，Shor-Preskill等人完成[2-4]。

 

　　后來，量子密鑰分發(fā)逐步走向實用化研究，出現了一些威脅安全的攻擊[5，6]，這并不表示上述安全性證明有問題，而是因為實際量子密鑰分發(fā)系統(tǒng)中的器件并不完全符合上述（理想）BB84協議的數學模型。歸納起來，針對器件不完美的攻擊一共有兩大類，即針對發(fā)射端--光源的攻擊和針對接收端--探測器的攻擊。

 

　　“量子機密驚現破綻”一文援引的實驗工作就屬于對光源的木馬攻擊。這類攻擊早在二十年前就已經被提出[5]，而且其解決方案就正如文章作者宣稱的一樣[7]，加入光隔離器這一標準的光通信器件就可以了。該工作的新穎之處在于，找到了此前其他攻擊沒有提到的控制光源頻率的一種新方案，但其對量子密碼的安全性威脅與之前的同類攻擊沒有區(qū)別。盡管該工作可以為量子保密通信的現實安全性研究提供一種新的思路，但不會對現有的量子保密通信系統(tǒng)構成任何威脅。其實，自2000年初開始，科研類和商用類量子加密系統(tǒng)都會引入光隔離器這一標準器件。舉例來說，現有的商用誘騙態(tài)BB84商用系統(tǒng)中總的隔離度一般為100dB，按照文章中的攻擊方案，需要使用約1000瓦的激光反向注入。如此高能量的激光，無論是經典光通信還是量子通信器件都將被破壞，這就相當于直接用激光武器來摧毀通信系統(tǒng)，已經完全不屬于通信安全的范疇了。

 

　　而對光源最具威脅而難以克服的攻擊是“光子數分離攻擊”[6]。嚴格執(zhí)行BB84協議需要理想的單光子源。然而，適用于量子密鑰分發(fā)的理想單光子源至今仍不存在，實際應用中是用弱相干態(tài)光源來替代。雖然弱相干光源大多數情況下發(fā)射的是單光子，但仍然存在一定的概率，每次會發(fā)射兩個甚至多個相同量子態(tài)的光子。這時竊聽者原理上就可以拿走其中一個光子來獲取密鑰信息而不被察覺。光子數分離攻擊的威脅性在于，不同于木馬攻擊，這種攻擊方法無需竊聽者攻入實驗室內部，原則上可以在實驗室外部通道鏈路的任何地方實施。若不采用新的理論方法，用戶將不得不監(jiān)控整個通道鏈路以防止攻擊，這將使量子密鑰分發(fā)失去其“保障通信鏈路安全”這一最大的優(yōu)勢。事實上，在這個問題被解決之前，國際上許多知名量子通信實驗小組甚至不開展量子密鑰分發(fā)實驗。2002年，韓國學者黃元瑛在理論上提出了以誘騙脈沖克服光子數分離攻擊的方法[8]；2004年，多倫多大學的羅開廣、馬雄峰等對實用誘騙態(tài)協議開展了有益的研究，但未解決實用條件下成碼率緊致的下界[9]；2004年，華人學者王向斌在《物理評論快報》上提出了可以有效工作于實際系統(tǒng)的誘騙態(tài)量子密鑰分發(fā)協議，解決了現實條件下光子數分離攻擊的問題[10]；在同期的《物理評論快報》上，羅開廣、馬雄峰、陳凱等分析了誘騙態(tài)方法并給出嚴格的安全性證明[11]。在這些學者的共同努力下，光子數分離攻擊問題在原理上得以解決，即使利用非理想單光子源，同樣可以獲得與理想單光子源相當的安全性。2006年，中國科技大學潘建偉等組成的聯合團隊以及美國Los-Alamos國家實驗室-NIST聯合實驗組同時利用誘騙態(tài)方案，在實驗上將光纖量子通信的安全距離首次突破100km，解決了光源不完美帶來的安全隱患[12-14]。后來，中國科技大學等單位的科研團隊甚至把距離拓展到200km以上。

 

　　第二類可能存在的安全隱患集中在終端上。終端攻擊，本質上并非量子保密通信特有的安全性問題。如同所有經典密碼體制一樣，用戶需要對終端設備進行有效管理和監(jiān)控。量子密鑰分發(fā)中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內部探測器效率。代表性的具體攻擊辦法是，如同Lydersen等[15]的實驗那樣，輸入強光將探測器“致盲”，即改變探測器的工作狀態(tài)，使得探測器只對他想要探測到的狀態(tài)有響應，或者完全控制每臺探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以采用監(jiān)控方法防止。因為竊聽者需要改變實驗室內部探測器屬性，用戶在這里的監(jiān)控范圍只限于實驗室內部的探測器，而無需監(jiān)控整個通道鏈路。

 

　　盡管如此，人們還是會擔心由于探測器缺陷而引發(fā)更深層的安全性問題，例如如何完全確保監(jiān)控成功，如何確保使用進口探測器的安全性等。2012年，羅開廣等[16]提出了“測量器件無關的（MDI）”量子密鑰分發(fā)方案，可以抵御任何針對探測器的攻擊，徹底解決了探測器攻擊問題。另外，該方法本身也建議結合誘騙態(tài)方法，使得量子密鑰分發(fā)在既不使用理想單光子源又不使用理想探測器的情況下，其安全性與使用了理想器件相當。2013年，潘建偉團隊首次實現了結合誘騙態(tài)方法的MDI量子密鑰分發(fā)，后又實現了200km量子MDI量子密鑰分發(fā)[17，18]。至此，主要任務就變成了如何獲得有實際意義的成碼率。為此，清華大學王向斌小組提出了4強度優(yōu)化理論方法，大幅提高了MDI方法的實際工作效率[19]。采用此方法，中國科學家聯合團隊將MDI量子密鑰分發(fā)的距離突破至404km[20]，并將成碼率提高兩個數量級，大大推動了MDI量子密鑰分發(fā)的實用化。

 

　　總之，雖然現實中量子通信器件并不嚴格滿足理想條件的要求，但是在理論和實驗科學家的共同努力之下，量子保密通信的現實安全性正在逼近理想系統(tǒng)。目前學術界普遍認為測量器件無關的量子密鑰分發(fā)技術，加上自主設計和充分標定的光源可以抵御所有的現實攻擊[21，22]。此外，還有一類協議無需標定光源和探測器，只要能夠無漏洞地破壞Bell不等式，即可保證其安全性，這類協議稱作“器件無關量子密鑰分發(fā)協議”[23]。由于該協議對實驗系統(tǒng)的要求極為苛刻，目前還沒有完整的實驗驗證，近些年的主要進展集中在理論工作上。由于器件無關量子密鑰分發(fā)協議并不能帶來比BB84協議在原理上更優(yōu)的安全性，加之實現難度更大，在學術界普遍認為這類協議的實用價值不高。

 

　　綜上所述，正如我們目前應邀為國際物理學權威綜述期刊《現代物理評論》所撰寫的關于量子通信現實安全性的論文中所指出的那樣[24]，過去二十年間，國際學術界在現實條件下量子保密通信的安全性上做了大量的研究工作，信息論可證的安全性已經建立起來。中國科學家在這一領域取得了巨大成就，在實用化量子保密通信的研究和應用上創(chuàng)造了多個世界記錄，無可爭議地處于國際領先地位[25]。令人遺憾的是，某些自媒體在并不具備相關專業(yè)知識的情況下，炒作出一個吸引眼球的題目對公眾帶來誤解，對我國的科學研究和自主創(chuàng)新實在是有百害而無一利。

 

　　鑒于量子保密通信信息論可證的安全性已經成為國際量子信息領域的學界共識，此后，除非出現顛覆性的科學理論，我們將不再對此類問題專門回復和評論。當然，對量子通信感興趣的讀者，可參閱我們撰寫的《量子通信問與答》了解更多的情況