潘建伟回应“量子加密惊现破绽”：该类攻击早已有解决方案

近来，某微信公众号发表了一篇题为“量子加密惊现破绽”的文章，宣称“现有量子加密技术可能隐藏着极为重大的缺陷”。其实该文章最初来源于美国《麻省理工科技评论》的一篇题为“有一种打破量子加密的新方法”的报道，该报道援引了上海交通大学金贤敏研究组的一篇尚未正式发表的工作。

此文在微信号发布后，国内很多关心量子保密通信发展的领导和同事都纷纷转来此文询问我们的看法。事实上，我们以往也多次收到量子保密通信安全性的类似询问，但一直未做出答复。这是因为学术界有一个通行的原则：只对经过同行评审并公开发表的学术论文进行评价。但鉴于这篇文章流传较广，引起了公众的关注，为了澄清其中的科学问题，特别是为了让公众能进一步了解量子通信，我们特撰写此文，介绍目前量子信息领域关于量子保密通信现实安全性的学界结论和共识。

现有实际量子密码（量子密钥分发）系统主要采用BB84协议，由Bennett和Brassard于1984年提出。与经典密码体制不同，量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路，量子密钥分发技术也能让空间分离的用户共享安全的密钥。学界将这种安全性称之为“无条件安全”或者“绝对安全”，它指的是有严格数学证明的安全性。20世纪90年代后期至2000年，安全性证明获得突破，BB84协议的严格安全性证明被Mayers,Lo,Shor-Preskill等人完成。

后来，量子密钥分发逐步走向实用化研究，出现了一些威胁安全的攻击，这并不表示上述安全性证明有问题，而是因为实际量子密钥分发系统中的器件并不完全符合上述（理想）BB84协议的数学模型。归纳起来，针对器件不完美的攻击一共有两大类，即针对发射端--光源的攻击和针对接收端--探测器的攻击。

“量子机密惊现破绽”一文援引的实验工作就属于对光源的木马攻击。这类攻击早在二十年前就已经被提出，而且其解决方案就正如文章作者宣称的一样，加入光隔离器这一标准的光通信器件就可以了。该工作的新颖之处在于，找到了此前其他攻击没有提到的控制光源频率的一种新方案，但其对量子密码的安全性威胁与之前的同类攻击没有区别。尽管该工作可以为量子保密通信的现实安全性研究提供一种新的思路，但不会对现有的量子保密通信系统构成任何威胁。其实，自2000年初开始，科研类和商用类量子加密系统都会引入光隔离器这一标准器件。举例来说，现有的商用诱骗态BB84商用系统中总的隔离度一般为100dB，按照文章中的攻击方案，需要使用约1000瓦的激光反向注入。如此高能量的激光，无论是经典光通信还是量子通信器件都将被破坏，这就相当于直接用激光武器来摧毁通信系统，已经完全不属于通信安全的范畴了。

而对光源最具威胁而难以克服的攻击是“光子数分离攻击”。严格执行BB84协议需要理想的单光子源。然而，适用于量子密钥分发的理想单光子源至今仍不存在，实际应用中是用弱相干态光源来替代。虽然弱相干光源大多数情况下发射的是单光子，但仍然存在一定的概率，每次会发射两个甚至多个相同量子态的光子。这时窃听者原理上就可以拿走其中一个光子来获取密钥信息而不被察觉。光子数分离攻击的威胁性在于，不同于木马攻击，这种攻击方法无需窃听者攻入实验室内部，原则上可以在实验室外部通道链路的任何地方实施。若不采用新的理论方法，用户将不得不监控整个通道链路以防止攻击，这将使量子密钥分发失去其“保障通信链路安全”这一最大的优势。事实上，在这个问题被解决之前，国际上许多知名量子通信实验小组甚至不开展量子密钥分发实验。2002年，韩国学者黄元瑛在理论上提出了以诱骗脉冲克服光子数分离攻击的方法；2004年，多伦多大学的罗开广、马雄峰等对实用诱骗态协议开展了有益的研究，但未解决实用条件下成码率紧致的下界；2004年，华人学者王向斌在《物理评论快报》上提出了可以有效工作于实际系统的诱骗态量子密钥分发协议，解决了现实条件下光子数分离攻击的问题；在同期的《物理评论快报》上，罗开广、马雄峰、陈凯等分析了诱骗态方法并给出严格的安全性证明。在这些学者的共同努力下，光子数分离攻击问题在原理上得以解决，即使利用非理想单光子源，同样可以获得与理想单光子源相当的安全性。2006年，中国科技大学潘建伟等组成的联合团队以及美国Los-Alamos国家实验室-NIST联合实验组同时利用诱骗态方案，在实验上将光纤量子通信的安全距离首次突破100km，解决了光源不完美带来的安全隐患。后来，中国科技大学等单位的科研团队甚至把距离拓展到200km以上。

第二类可能存在的安全隐患集中在终端上。终端攻击，本质上并非量子保密通信特有的安全性问题。如同所有经典密码体制一样，用户需要对终端设备进行有效管理和监控。量子密钥分发中对终端的攻击，主要是指探测器攻击，假定窃听者能控制实验室内部探测器效率。代表性的具体攻击办法是，如同Lydersen等的实验那样，输入强光将探测器“致盲”，即改变探测器的工作状态，使得探测器只对他想要探测到的状态有响应，或者完全控制每台探测器的瞬时效率，从而完全掌握密钥而不被察觉。当然，针对这个攻击，可以采用监控方法防止。因为窃听者需要改变实验室内部探测器属性，用户在这里的监控范围只限于实验室内部的探测器，而无需监控整个通道链路。

尽管如此，人们还是会担心由于探测器缺陷而引发更深层的安全性问题，例如如何完全确保监控成功，如何确保使用进口探测器的安全性等。2012年，罗开广等提出了“测量器件无关的（MDI）”量子密钥分发方案，可以抵御任何针对探测器的攻击，彻底解决了探测器攻击问题。另外，该方法本身也建议结合诱骗态方法，使得量子密钥分发在既不使用理想单光子源又不使用理想探测器的情况下，其安全性与使用了理想器件相当。2013年，潘建伟团队首次实现了结合诱骗态方法的MDI量子密钥分发，后又实现了200km量子MDI量子密钥分发。至此，主要任务就变成了如何获得有实际意义的成码率。为此，清华大学王向斌小组提出了4强度优化理论方法，大幅提高了MDI方法的实际工作效率。采用此方法，中国科学家联合团队将MDI量子密钥分发的距离突破至404km，并将成码率提高两个数量级，大大推动了MDI量子密钥分发的实用化。

总之，虽然现实中量子通信器件并不严格满足理想条件的要求，但是在理论和实验科学家的共同努力之下，量子保密通信的现实安全性正在逼近理想系统。目前学术界普遍认为测量器件无关的量子密钥分发技术，加上自主设计和充分标定的光源可以抵御所有的现实攻击。此外，还有一类协议无需标定光源和探测器，只要能够无漏洞地破坏Bell不等式，即可保证其安全性，这类协议称作“器件无关量子密钥分发协议”。由于该协议对实验系统的要求极为苛刻，目前还没有完整的实验验证，近些年的主要进展集中在理论工作上。由于器件无关量子密钥分发协议并不能带来比BB84协议在原理上更优的安全性，加之实现难度更大，在学术界普遍认为这类协议的实用价值不高。

综上所述，正如我们目前应邀为国际物理学权威综述期刊《现代物理评论》所撰写的关于量子通信现实安全性的论文中所指出的那样，过去二十年间，国际学术界在现实条件下量子保密通信的安全性上做了大量的研究工作，信息论可证的安全性已经建立起来。中国科学家在这一领域取得了巨大成就，在实用化量子保密通信的研究和应用上创造了多个世界记录，无可争议地处于国际领先地位。令人遗憾的是，某些自媒体在并不具备相关专业知识的情况下，炒作出一个吸引眼球的题目对公众带来误解，对我国的科学研究和自主创新实在是有百害而无一利。

鉴于量子保密通信信息论可证的安全性已经成为国际量子信息领域的学界共识，此后，除非出现颠覆性的科学理论，我们将不再对此类问题专门回复和评论。当然，对量子通信感兴趣的读者，可参阅我们撰写的《量子通信问与答》了解更多的情况

（原标题：关于量子保密通信现实安全性的讨论）