《量子信息网络产业联盟:2024年QKD安全攻击防御方案分析和分级评估研究报告(180页).pdf》由会员分享,可在线阅读,更多相关《量子信息网络产业联盟:2024年QKD安全攻击防御方案分析和分级评估研究报告(180页).pdf(180页珍藏版)》请在三个皮匠报告上搜索。
1、 VI 缩略语汇总缩略语汇总 QKD(quantum key distribution)量子密钥分发 DVQKD(discrete variable quantum key distribution)离散变量量子密钥分发 CVQKD(continuous variable quantum key distribution)连续变量量子密钥分发 TOE(target of evaluation)评估对象 TDC(time digital convertor)时间数字转换器 PNS(photon-number splitting)光子数分离 COW(coherent one way)相干单路协议
2、USD(unambiguous-state-discrimination)非混态区分 VOA(Variable Optical Attenuator)可调光衰减器 APD(avalanche photodiode)雪崩光电探测器 TEC(Thermo Electric Cooler)半导体制冷器 SPD(single photon detector)单光子探测器 OTDR(optical time-domain reflectometer)光时域反射仪 QBER(quantum bit error rate)量子比特错误率 QKD 安全攻击防御方案分析和分级评估研究报告 1 一、量子密钥分发安
3、全框架(一)(一)量子密钥分发理论安全性证明量子密钥分发理论安全性证明 任何一个 QKD 协议的安全性都是有一定前提假设的,一个设计良好的 QKD 协议,在其所列前提假设下可以从理论上证明其无条件安全性。但在实际系统中运行时,这些前提假设并不一定都可以完美满足。因此,实际系统的安全性并不完全等价于对协议设计时的理论安全性。为了构建实际系统的安全性架构,本小节将先对QKD的理论安全性证明的做一个简单回顾。在 DV-QKD 的理论安全性证明研究方面。自 QKD 协议提出后1,研究者就对其安全性开展了研究。早在 1996 年 D.Mayers 就给出了离散变量BB84协议的安全性证明,但该证明过于抽
4、象,不易理解。随后 H.K.Lo 和 H.F.Chau 在 1999 年基于纠缠提取的思想给出了 BB84 协议的安全性证明2。Lo-Chau 的证明具有较为直观的物理图像,但该证明要求 Alice 和 Bob 具有量子计算机,并能够对光信号进行量子逻辑操作,而这在现有技术条件下是无法实现的。2000 年时,P.W.Shor 和 J.Preskill 指出基于经典纠错和保密放大过程也可以证明BB84 协议的无条件安全3,这就为 QKD 的应用打开了大门。相比于 Lo-Chau 的安全性证明,Shor-Preskill 的最大改进在于,他们证明了 Alice 和 Bob 可以先对他们所共享的混合
5、纠缠态进行测量,并分别得到比特错误率(对应于 Alice 和 Bob 都采用 Z 基测量时的误码率)和相位错误率(对应于 Alice 和 Bob 都采用 X 基测量时的误码率),QKD 安全攻击防御方案分析和分级评估研究报告 2 然后 Alice 和 Bob 可以采用经典纠错来纠正比特错误,然后用私密放大哈希函数来纠正相位错误,从而提取出安全的密钥。在 Shor和 Preskill给出安全性证明后,BB84 协议在理想情况下的安全性证明基本完成。不过这些安全性证明存在潜在的假设条件,那就是 Alice 和 Bob 的设备应该是理想的。但是对于实际 QKD 系统而言,这一点很难得到保证。因此,这
6、种理论和实际的偏差就可能给实际 QKD 系统带来潜在的安全性威胁。不过最初人们并没有意识到该问题的严重性,直到 2000 年 G.Brassard 等指出实际系统所采用的弱相干光有可能导致光子数分离(Photon-number-splitting,PNS)攻击4,从而严重影响 QKD 在长距离下的安全性,人们才开始关注这一问题。随后 D.Gottesman 等人基于某些假设条件分别给出了实际非理想设备下 QKD 的安全性证明,其中最著名的结论就是 Gottesman-Lo-Ltkenhaus-Preskill 四人在 2004 年给出的安全性分析5。他们在该分析中给出了著名的 GLLP 密钥率
7、公式,这是目前 BB84 协议安全性分析所使用的基本公式。近几年,针对 QKD 的实际安全性理论分析更加深入,给出的安全性阈值更加紧凑,主要的研究成果包括:在 GLLP 分析的框架下,研究人员丰富了针对实际QKD 系统的安全性证明,针对 QKD 的源端和探测端给出了不完美性分析6。随着 MDI-QKD(Measurement-device-independent QKD)7和 TF-QKD(Twin-field QKD)8等关闭了探测端的新型量子密钥分发系统的提出和完善,研究人员将对 QKD 系统现实安全性的研究集中到发送端上并且给出了除 GLLP 框架的其他的分析方法,包QKD 安全攻击防御
8、方案分析和分级评估研究报告 3 括使用 Loss-tolerant的安全性分析框架提高了在使用不完美的源端的情况下,QKD 系统远距离下的密钥率9,并且对有缺陷和存在信息泄露的源端开展了安全性分析10。此外,研究人员提出了通过构建 Gram矩阵并通过数值优化进行安全性分析的方法,可以用来分析QKD 源端的多种不完美性11。未来,随着针对 QKD 的现实安全性证明方法的不断完善,QKD的现实安全性将会获得进一步提升。在 CV-QKD理论安全性证明方面,2002 年,F.Grosshans 和 P.Grangier 提出了 GG02 协议,并在正向协调下证明了其针对个体窃听的安全性12。但是,基于
9、正向协调的 GG02 协议要求信道透射率不低于 50%,即通常所说的“3 dB 极限”。为了突破 3 dB 极限,F.Grosshans 等人于 2003 年提出了反向协调算法,并可以确保相干态协议在任意的信道透射率、个体窃听条件下的安全性13。2004 年,C.Weedbrook 等人基于 GG02 协议,利用外差探测替代零差探测,提出了“无开关”(No-switching)协议14,该协议可以同时测量两个分量,因此其理论的密钥速率比 GG02 协议提高了一倍。2006 年,M.Navascues 和 R.Garcia-Patron 两个团队分别证明了高斯调制连续变量 QKD 协议的最优集体
10、窃听为高斯攻击15-16。2009 年,R.Renner 和 J.I.Cirac利用针对无限维系统的量子 de Finetti 定理17,将集体窃听的安全性扩展到了一般的相干窃听。这就得出了单向连续变量 QKD 协议在无限数据集下的渐近极限安全性证明。后续针对有限码长效应和组合安全性证明的研究于近几年提出。2017 年,相干窃听下的安全码率有了进一步的修正,提升了协议的性能。QKD 安全攻击防御方案分析和分级评估研究报告 4 基于高斯调制相干态的 CV-QKD 是一个著名的方案。近年来,许多研究者们在实验室及外场试验实现了高斯调制相干态 CV-QKD。同时,在无限及有限码长情况下,高斯调制相干
11、态 CV-QKD 系统在集体攻击与相干攻击下的安全性也相继被证明。然而,在实际的高斯调制相干态 CV-QKD 系统中存在着一些违背安全性证明假设的不完美性。Eve可以利用其中的一些不完美性来不留踪迹地窃取密钥信息,这是一种有效的量子黑客策略,如本振光抖动攻击、本振光校准攻击、波长攻击及饱和攻击等。量子黑客攻击严重地破坏了系统的实际应用安全性,因此必须有效防御这些量子黑客攻击才能保证CV-QKD系统在实际应用中的安全性。(二)(二)实际量子密钥分发系统架构及安全性要求实际量子密钥分发系统架构及安全性要求 前文叙述的多种针对 QKD 系统的理论安全性证明当中均存在潜在的假设条件,那就是 QKD 发
12、送端和接收端的设备应该是理想的。然而,在物理实现过程中,现实设备的某些不完美性,可能会引入一些与理论安全分析中使用的理想模型的偏差。攻击者可能会利用这些偏差对实际 QKD 系统进行攻击,这使得实际 QKD 系统存在一定的安全隐患,也可能人为破坏设备的某些特性,制造安全漏洞。而防御方案的研究则是对此类器件的不完美性的补足或是通过告警的方式削弱不完美性的影响。因此,在研究实际 QKD 系统的安全性时,研究者们需要研究实际设备的模型,并将其纳入到安全性分析之中。基于实际模型的安全性研究,研究者们提出了一系列针对实际 QKD 系统的安全性要求,只要 QKD 系统各个功能模块满足了相QKD 安全攻击防御
13、方案分析和分级评估研究报告 5 应的安全性要求,那么就可以保障 QKD 系统的安全性。找到攻击方案和防御策略对于安全性要去的违背和补充关系,将已有的攻防策略和未知的攻防策略归纳进同一个分析体系当中。下面本文档先分别对 DV-QKD系统和 CV-QKD系统的安全性要求进行简单刻画。1.DV-QKD 的各模块安全性要求的各模块安全性要求 下图展示标准 DV-QKD 系统的主要架构,包括:光源、编码、信道、解码以及探测。在实际 DV-QKD 系统工作过程中,光源主要用来发送弱相干脉冲,作为 QKD 系统主要的信号载体,编码模块将强度、基矢和比特等信息编码到光脉冲上,通过信道光脉冲被传输到解码模块,在
14、解码模块中光脉冲中携带的基矢编码信息被进行解码处理,最后在探测模块中,光脉冲信号被探测到,探测结果被记录下来用于最终密钥的生成。图 1:QKD系统架构 在 QKD 的安全性分析中,认为信道是不可信的,而其他四个工作模块则需要开展安全性分析,从而保证实际 QKD 系统的安全性。下面首先介绍各个模块的实际模型,再对其安全性要求开展讨论。考虑到 BB84 协议的 QKD 系统在技术成熟度上的优势,以及拥有更大样本的攻防方案,本文档主要对基于 BB84 协议的 DV-QKD 系统QKD 安全攻击防御方案分析和分级评估研究报告 6 的安全性进行刻画,暂时未将 MDI-QKD(Measurement-de
15、vice-independent QKD)和TF-QKD(Twin-field QKD)等尚在研究阶段的QKD系统纳入该安全性要求的模型。a a)实际光源及安全性要求实际光源及安全性要求 在理想的 BB84 协议中,QKD 系统要求光源为单光子源,但是目前的技术能力难以实现实用化的单光子源,因此目前实际 QKD 系统所采用的是弱相干光源,其具体形式可以表示为|=|(1.1)其中=|2表示光场的强度,表示光场的相位。如果相干光场的相位是完全随机的,那么可以确保其可以表述为粒子数空间的完全混合态,即 =220|=!|=0 (1.2)由上式可以看出,此时光脉冲的光子数分布服从泊松分布,即=!(1.3
16、)弱相干光源是一系列光子数态的叠加态,其中的多光子成分是理想的 QKD 模型中没有考虑到的,攻击者可以通过光子数分离攻击(PNS)来通过这些多光子成分窃取编码信息。需要针对弱相干光源,对基于实际系统的 BB84 协议的安全性模型进行修正。“GLLP”安全性框架在理论上提出了针对光源存在多光子问题的分析思路。此外,诱骗态方法18-20的提出不仅使实际 QKD 系统可以抵御PNS 攻击,同时也大大提高了 QKD 系统的实用性。在诱骗态协议中,Alice 随机地制备并发送几种不同强度的脉冲光,Bob 对于这些脉冲QKD 安全攻击防御方案分析和分级评估研究报告 7 光都按照基本的 BB84 协议的内容
17、进行测量和记录,最后根据 Alice公布的强度选择信息,Bob 对于不同强度进行分类统计,求解一系列的线性方程组,就可以精确地估算单光子的误码率和探测概率。此外,诱骗态协议下,需要光源端相位满足随机化条件,不同诱骗态之间不存在可区分性等安全性要求。综上实际 QKD 系统光源还需要满足如下的安全性要求:表 1:实际 QKD系统光源的安全性要求 光源的安全要求 具体描述 光子数统计要求 光子数的统计分布应该已知 相位随机化要求 光脉冲的相位应满足 0 到 2的均匀随机分布 光强准确性要求 光脉冲强度精确可控;光强存在涨落时,涨落范围需考虑进成码率公式 诱骗态不可区分要求 不同诱骗态除强度外在其它维
18、度上完全一致;诱骗态可区分时需要将其纳入到安全性分析之中,进行成码率修正 b b)实际编码及安全性要求实际编码及安全性要求 一般来说,受器件非完美性的影响,发送方所发送编码量子态可能存在两方面的缺陷。一是,编码量子态并非严格符合 QKD 协议所要求,比如偏振编码 BB84 协议,Alice 需要发送量子态 H,但由于起偏器有限的消光比,实际产生的量子态可能是(其中 是小的角度偏差);二是,发送方所发量子态除编码维度携带信息外,还可能存在被动或主动的侧信道信息泄露,比如不同量子态可能在时间、波长、空间模式等维度存在差异。因此实际 QKD系统编码模块需要满足如下的安全性要求:QKD 安全攻击防御方
19、案分析和分级评估研究报告 8 表 2:实际 QKD系统编码的安全性要求 编码的安全要求 具体描述 编码准确性要求 编码的量子态应是完美的 BB84 量子态,相同基矢下的两个量子态的夹角为 90 度,不同基矢间量子态的夹角为 45 度;如果编码的量子态不是完美的BB84 量子态,需要将编码的偏差纳入到安全性分析之中,进行成码率修正。编码端侧信道和信息泄露的要求 编码端要求没有侧信道和信息泄露;如果编码端存在侧信道和信息泄露,使得攻击者可以通过其他维度获得编码信息,则需要将侧信道和信息泄露纳入到安全性分析之中,进行成码率修正 c c)实际解码及安全性要求实际解码及安全性要求 一般来说,接收方需要采
20、用不同的基对量子态进行解调,此时接收方选择不同基的概率可以表示为,其中表示接收方选择 m 基的概率,满足归一化条件。同时,在给定 m基 下,接 收 方 解 码 比 特0/1 的 条 件 概 率 可 以 表 示 为。如果不存在解码相关缺陷时,和不依赖于其它外部参数,仅由接收方所采用随机数决定,同时(注意,QKD 协议并不要求成立,其中 M 表示接收方所采用基的数量,因为通信双方可以采用偏置基方案来优化密钥产生率)。但在实际 QKD 系统中,由于器件的非完美性,窃听者可以通过外部参数控制 Bob 解码的概率分布和,比如窃听者可以通过波长攻击来控制基选择的概率,或者通过时移攻击来控制解码比特的概率。
21、因此实际 QKD系统解码模块需要满足如下安全性要求:QKD 安全攻击防御方案分析和分级评估研究报告 9 表 3:实际 QKD系统解码的安全性要求 解码的安全要求 具体描述 基矢选择独立性要求 接收方选择测量基满足独立性。基矢选择随机性要求 基矢选择完全随机,无法通过其它维度实现基矢选择的控制;如果基矢选择采用非平衡方案,则采用相应非平衡方案的成码率公式;如果基矢选择概率存在涨落,针对基矢选择概率涨落,需进行成码率修正。d d)实际探测及安全性要求实际探测及安全性要求 离散变量 QKD 主要采用单光子探测器来进行量子信号探测。对于大多数实际 QKD 系统而言,其所使用的单光子探测器均为阈值探测器
22、,只能输出“有响应”和“无响应”两种状态。一般来说,单光子探测器的所有参数应该独立于发送方的量子态,并且窃听者无法通过外部参数来篡改这些参数,同时窃听者也无法通过时间等侧信道来区分接收方探测器的响应情况。但是,对于实际系统而言,由于主动或者被动的缺陷,单光子探测器的参数可能被窃听者控制。比如,窃听者可以利用探测器的死时间来实施“死时间”攻击,或者通过分析单光子探测器响应后的荧光来实现 Bob 探测数据的区分。因此实际 QKD系统探测模块需要满足如下安全性要求:表 4:实际 QKD探测的安全性要求 探测的安全要求 具体描述 探测效率一致性要求 具有完全一致的探测效率,无法通过其它维度实现探测器效
23、率一致性的控制;如果探测效率存在差异,针对探测效率差异,需进行成码率修正 QKD 安全攻击防御方案分析和分级评估研究报告 10 探测器的侧信道和信息泄露要求 探测器没有侧信道以及信息泄露;如果探测器存在侧信道和信息泄露,需要将其纳入到安全性分析之中,进行成码率修正 综上所属,可以看出实际 QKD 系统可能存在着与理论模型之间的偏差,但是研究人员对这些偏差都进行了分析,总结了针对各个功能模块的安全性要求,形成了实际 QKD 系统的安全性分析框架。在针对实际 QKD 系统风险和攻击策略的分析时,可以将其纳入到安全性要求的分析框架之中,分析其是对哪个安全性要求造成了违背,从而指导人们研究响应的应对策
24、略和防御手段。2.CV-QKD 的各模块的各模块安全性要求安全性要求 CV-QKD 系统和 DV-QKD 系统类似,也具有光源、探测等模块,但是根据协议类型的不同,模块的功能和划分也有所差异。考虑到高斯调制相干态协议的技术成熟度较高,实用化程度较深,对其攻防研究更丰富,本章节主要以高斯调制相干态为例简单介绍 CV-QKD各模块的实际功能和一定的安全性要求。高斯调制相干态协议的光路结构中包含光源、调制、信道、探测等模块,其中光源和调制属于发送端 Alice,探测属于接收端 Bob。CV-QKD 的实际架构如下图所示,激光器产生的相干光源被分束器分成两路光脉冲,一路为功率较强的本振光,一路为功率较
25、弱的信号光。其中,信号光通过调制模块得到符合要求的量子信号,与本振光偏振耦合进入信道。在信道输出端,信号与本振光经过偏振分束器重新分为两路,并干涉后进行探测,其测量结果通过数据采集QKD 安全攻击防御方案分析和分级评估研究报告 11 卡进行采集。由于本振光直接在信道中传输,针对探测模块的攻击不仅包括实际探测器件,也包括实际本振光。图 2:CV-QKD系统架构 a a)实际光源实际光源器件器件 高斯调制相干态协议的系统中,光源模块包括相干态的产生和脉冲调制两个部分。其中通常使用商用的相干光激光器产生连续型相干态光源。常用的商用激光器有半导体激光器、光纤激光器等,需满足以下要求:(a)线宽窄;(b
26、)相位噪声小;(c)发射激光强度抖动小。脉冲调制部分通常使用光学调制器对激光器产生的连续光进行强度调制(斩波),斩波脉宽与系统重复频率和设定的占空比有关。其中比较重要的参数包括斩波脉冲消光比等。表 5:实际 CV-QKD系统光源的安全性要求 光源的安全要求 具体描述 光强准确性要求 光脉冲强度精确可控;光强存在涨落时,涨落范围需考虑进成码率公式。相位随机性要求 光脉冲的相位应满足 0到 2的均匀随机分布 b b)实际实际调制器件调制器件 高斯调制相干态协议将高斯分布的随机数加载到光场的正则分量上,x 分量和 p 分量分别为光场的两个正则分量,它们互相独立并QKD 安全攻击防御方案分析和分级评估
27、研究报告 12 且都服从高斯分布,其概率密度分别为:()=122exp(222)(1.4)()=122exp(222)(1.5)满足高斯分布的 x 分量和 p 分量的联合概率密度如图 3 所示。光场的正则分量调制通常是转化到对其幅度和相位的调制上。令 =,=其中 A 为光场的振幅,为光场的相位,则联合概率密度为 (,)=22exp(222)(1.6)可以看出,通过对光场的强度和相位分别进行调制,使得强度满足瑞利分布而相位满足均匀分布时,就可以实现对正则分量的高斯调制。常用的调制方式有,通过强度调制器和相位调制器分别调制强度和相位,或通过 IQ 调制器直接实现。图 3:高斯分布示意图 表 6:实
28、际 CV-QKD系统调制的安全性要求 调制的安全要求 具体描述 调制准确性要求 调制的量子态应是理想的相干态,如果调制的量子QKD 安全攻击防御方案分析和分级评估研究报告 13 态不是完美的相干态,需要将调制的偏差纳入到安全性分析之中,进行成码率修正。调制器侧信道和信息泄露的要求 调制器要求没有侧信道和信息泄露;如果调制器存在侧信道和信息泄露,使得攻击者可以通过其他维度获得调制信息,则需要将侧信道和信息泄露纳入到安全性分析之中,进行成码率修正。c c)实际实际探测器件探测器件 高斯调制相干态协议系统所使用的探测器主要有两类:零差探测器(Homodyne Detector)和外差探测器(Hete
29、rodyne Detector)。其中,Bob 使用零差探测时,需要随机选取 x 基或 p 基进行测量。这个阶段叫做基选择,需要用到随机数发生器生成二进制随机比特序列,随后根据这个序列选择一个基,使用零差探测器进行测量;外差探测同时测量两个基的信号,因此不涉及基选择的阶段,可以直接用外差探测器进行测量。外差探测器可由两个独立的零差探测器结合分束器来实现。虽然外差探测同时测量两个正则分量,但分束器实际上会引入新的真空噪声,所以在提取量子态的统计特性方面具有同时测量的优势,但在信号的信噪比方面会有所下降。理想零差探测器的输出可以表示为:=(+)(1.7)其中,A 为放大系数;为本振光(Local
30、Oscillator,LO)的强度,由于 LO 包含的光子数很多,其本身散粒噪声带来的影响可以忽略;和 分别代表信号光的 x 正则分量和 p 正则分量,为信号光和 LO 之间的相位差,通过相位调制器来调节该相位差就可以QKD 安全攻击防御方案分析和分级评估研究报告 14 实现单独测量信号态的 x 正则分量和 p 正则分量。在 CV-QKD 中,零差探测器的性能有着较高的要求,尤其是对灵敏度和电噪声有着严苛的要求,以确保量子信号的正则分量不会淹没在电噪声之中。此外,零差探测器要能够在时域准确的探测出每个脉冲信号中的信息,这就对其带宽和增益有着较高的要求。表 7:实际 CV-QKD探测的安全性要求
31、 探测的安全要求 具体描述 探测器线性工作要求 零差探测需要工作在有限的正常工作范围;如果探测器进入饱和区,需要将其纳入到安全性分析之中,需成码率修正。探测端信号波长要求 进入探测端的量子信号应该具有特定传输波长;如果引入其他波长光信号,需要将其纳入到安全性分析之中,需成码率修正。探测器的侧信道和信息泄露要求 探测器没有侧信道以及信息泄露;如果探测器存在侧信道和信息泄露,需要将其纳入到安全性分析之中,进行成码率修正。d d)实际本振光安全性要求实际本振光安全性要求 高斯调制相干态协议系统中,本振光作为辅助光,主要用来定义信号态的相位,并且为平衡零拍探测器有效探测信号光提供参考。对于本振光与信号
32、光共同经过信道传输的随路本振系统,进入接收端的信号光与本振光的偏振态需要保持垂直,本振光的强度应该精确可控以用来标定散粒噪声。对于本地产生本振光的本地本振系统,进入接收端的参考光的强度应该精确可控以标定可信相位噪声。表 8:实际 CV-QKD本振光的安全性要求 本振光的安全要求 具体描述 QKD 安全攻击防御方案分析和分级评估研究报告 15 偏振准确性要求 系统中的本振光的偏振态与信号光垂直;如果本振光的偏振态发生变化,需要将其纳入到安全性分析之中,需成码率修正。强度准确性要求 系统中的本振光的强度要准确可控;如果本振光的强度发生抖动,需要将其纳入到安全性分析之中,需成码率修正。(三)(三)攻
33、击策略攻击策略分类分类 根据前面的实际 DV-QKD 和 CV-QKD 安全框架,本报告将目前主要的 DV-QKD 和 CV-QKD 攻击策略进行归纳总结,根据攻击对象和违背的安全性要求进行分类,如下表所示:表 9:安全性要求与攻击策略关系汇总 攻击对象 违背的安全性要求 攻击方案 实际光源 QKD 系统对光源有相位随机化要求,光脉冲的相位需满足 0到 2均匀随机分布。注 入 锁 定 攻 击(相位型)非混态攻击 QKD 系统对光源有光强准确性的要求,即光脉冲强度精确可控。注 入 锁 定 攻 击(强度型)强光损伤可调衰减器攻击 QKD 系统对光源有诱骗态不可区分的要求。脉冲互干扰攻击 实际编码
34、QKD 系统有编码端无信息泄露的要求。木马攻击 光子数分离攻击 注 入 锁 定 攻 击(波长型)QKD 系统有编码端编码准确的要求。相位重映射攻击 实际解码 QKD 系统解码端需要满足基矢选择随机性分束器波长攻击 QKD 安全攻击防御方案分析和分级评估研究报告 16 的安全性要求。实际探测 QKD 系统探测端具有完全一致的探测效率,无法通过光强维度实现探测器效率控制的安全性要求。致盲攻击(连续光型)致盲攻击(热致盲)致盲攻击(脉冲光型)死时间攻击 门后攻击 超线性攻击 双计数攻击 QKD 系统探测端具有完全一致的探测效率,无法通过时间维度实现探测器效率控制的安全性要求。时移攻击 设备校准攻击
35、QKD 系统有完全一致的探测效率,无法通过偏振维度实现探测器效率控制的安全性要求。探测器偏振相关攻击 QKD 系统接收端有无侧信道和信息泄露的安全性要求。荧光攻击 表 10:CV-QKD安全性要求与攻击策略关系汇总 攻击对象 违背的安全性要求 攻击方案 实际光源 CV-QKD 系统对光源有光强准确性的要求,即光脉冲强度精确可控。注 入 锁 定 攻 击(强度型)光衰减攻击 CV-QKD 系统对光源有相位随机化要求,光脉冲的相位需满足 0 到 2均匀随机分布。/实际调制 CV-QKD 系统有调制器无信息泄露的要木马攻击 QKD 安全攻击防御方案分析和分级评估研究报告 17 求。CV-QKD系统有调
36、制器调制准确的要求。非理想光源攻击 实际本振光 CV-QKD系统有本振光强度准确的要求。本振光波动攻击 本振光校准攻击 参考脉冲攻击 CV-QKD 系统有本振光偏振态准确的要求。偏振攻击 实际探测 CV-QKD 系统探测端具有工作在线性区的安全性要求。饱和攻击 致盲攻击 CV-QKD 系统探测端具有特定波长信号的安全性要求。波长攻击 根据攻击所违背的安全性要求,本报告将目前主要的攻击策略进行了分类整理,此表格具有科学性和完备性,在将来如果出现其他攻击策略,也可以分析其原理将其纳入。二、攻击风险和防御有效性分级(一)(一)攻击风险分级攻击风险分级 1.攻击策略等级分析概述攻击策略等级分析概述“攻
37、击能力分级”根据攻击者具备的能力强弱以至于对安全的威胁程度大小对攻击进行能力分级。一般情况下,消耗的时间越少,实现的技术要求越低,执行的难度越低,那么攻击的级别就会增高,对安全的威胁程度也就越大。计算攻击潜力的因素可以映射到五个方面:消耗时间、专业知识、掌握的设备信息、获取设备的机会窗口、执行攻击所需的设备。本报告需要对以上五个维度进行量化分析评价的构建,例如:消耗时间按日、周、月、年等进行划分,从而将QKD 安全攻击防御方案分析和分级评估研究报告 18 DV-QKD 的 22 种量子攻击和 CV-QKD 的 11 种量子攻击进行有效拆解分析。2.区分攻击等级的区分攻击等级的五五个维度个维度
38、参考 ISO-23837Information securitySecurity requirements,test and evaluation methods for quantum key distributionPart 2:Test and evaluation methods21的分级评估方法,结合经典通信安全评估方法 ISO/IEC 18045Information security,cybersecurity and privacy protection Evaluation criteria for IT security Methodology for IT securit
39、y evaluation22;Common Methodology for Information Technology Security Evaluation23。本报告评估了 QKD系统/模块安全性,并且对攻击威胁程度和造成的安全性风险进行评估。本报告将攻击分为 2 个阶段:识别阶段和执行阶段。识别阶段用于确定和演示对 QKD 的潜在攻击路径,得到对漏洞和攻击有关的设备参数、攻击工具等有用信息,协助攻击者(可不同于识别阶段的攻击者)在执行阶段对已识别的漏洞进行攻击。为了对每一个漏洞的相关攻击进行等级评价,可采用一个通用的因素集合来刻画,包括消耗时间、专业能力、掌握的设备信息、获取设备的机会
40、窗口、攻击设备需求,五个维度。需要注意的是,在许多情况下,这些因素不是独立的,而是在不同程度上相互协同、相互制约。例如,执行攻击的人员具有专业知识或拥有专业的硬件/软件设备就可以减少攻击所需的时间。同时这几个维度也有一定的QKD 安全攻击防御方案分析和分级评估研究报告 19 重叠部分和因果关系,例如在更容易获得设备的情况下其设备信息也就相应的比较容易获得。在这种情况下,评估分析时应考虑耗费较小的组合,即在评分的时候对攻击风险进行一个高估计。a)消耗时间(消耗时间(Elapsed time)本指标为完整实施攻击策略总共消耗的时间,包括识别潜在漏洞、研究攻击方法、付出的挖掘攻击路径的努力。识别阶段
41、:用来创建一个攻击以及演示可以成功应用在被测设备上的攻击(包括开发软硬工具)的所需时间;识别阶段的产出包括脚本、知识和工具,这些将有助于提高攻击的效率。执行阶段:成功实施一个攻击的所需时间,包括利用识别阶段提供的方案和工具来攻击具体的 QKD设备。本报告把消耗时间分成 a、b、c、d、e、f,7 个等级:a)少于一天 b)少于一周 c)少于两周 d)少于一个月 e)超过一个月 f)不实用 最后一项“f:不实用”意味着在特定的时间尺度内攻击路径是难以实现的。划分等级的合理性也和QKD模块实施中所使用的对策有关。例如,如果在 QKD 过程中用户身份验证密钥不会被重复使用,并且每天都会由密钥管理模块
42、刷新,那么即使盗听者可以在一天到QKD 安全攻击防御方案分析和分级评估研究报告 20 两天内获取该信息,此特定的攻击路径也只能评为“不实用”。另一方面,如果用于用户身份验证的密码不需要定期更改,即使对手需要一年的时间来破解它,根据定义,这个攻击应该被评为“e:超过一个月”。b)专业能力(专业能力(Expertise)在利用通用的知识和工具来识别和挖掘 QKD 模块中的漏洞时,需要攻击者具备的专业能力、知识。包括针对 QKD 设备的潜在的原理和攻击方法,不特指具体的被攻击的 QKD 系统。一般来说,执行攻击的专业可能覆盖几个学科:量子信息,光学,传统密码,传统通信,电子信息,以及使用复杂工具的能
43、力。本报告将专业能力分为 a、b、c、d 四个等级。a)外行级别,是指不需要特殊的专业,任何受过正规教育的人都有能力执行攻击;b)熟练级别,是指在某些方面需要具备一些特殊知识和技巧(例如:熟练掌握光学设备,先进的光学攻击,对 QKD 网络组件的网络渗透攻击)。本级别的攻击者有能力采用现有的攻击方法来攻击目标 QKD模块。c)专家级别,是指在多技术面需要相对全面的知识和技巧。比如潜在的 QKD 原理和光攻击的原理,QKD 实现的安全行为,传统密码和网络刺探技术的技巧,使用技巧和工具来发明新攻击。本级别攻击者有能力提出新型的攻击策略。d)多个专家级别,是指需要不同领域的专家协作来完成本攻击。QKD
44、 安全攻击防御方案分析和分级评估研究报告 21 例如在量子光学、传统密码分析或网络刺探攻击方面的不同专家都需要具备高级的专业性。通常,对于本评级项目执行阶段要比识别阶段的级别低。对于高的打分,要求评估者给出具体理由。c)掌握的设备信息(掌握的设备信息(Knowledge of the TOE)本维度是指针对某特定设备进行攻击所需的具体信息。它不同于上一个要求“expertise”所指代的常识信息。这些信息可能是对外公开或者保密的(提供给签署过保密协议的利益相关者或者属于公司内部)。本报告将掌握的设备信息分为 a、b、c、d 四个等级。a)相当容易获得的公共资料(例如,从互联网)。b)由开发人员
45、组织控制,仅由开发人员和用户组织在保密协议下共享的受限信息。c)仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息。d)仅对开发组织内的某些人或少数人开放的关键信息,这些信息的获取受到严格控制。需要了解这些信息的基础和个人承诺才能获得该信息。敏感和关键的设备信息可能会被开发人员或组织很好地控制和保护,并且它在如何帮助确定专用的攻击路径中的用途可能并不明显。因此,评估者应在攻击潜力计算中清楚地说明为什么所需的关键信息不能被相关的时间和专业知识的组合所替代。另外,这个因素在执行阶段不采用(因为基本上识别阶段就获QKD 安全攻击防御方案分析和分级评估研究报告 22 取了这些信息,作为计划输
46、出给了执行阶段,执行阶段已知晓。除非实际系统变了)。如果需要几种类型的信息来执行专用的攻击路径,那么取不同的信息因素中最大值。下面本报告将一些 QKD 系统设备信息的保密等级进行具体分类。表 11:QKD系统设备信息的保密等级举例 设备信息 保密等级 QKD系统的时钟频率和信号光重复频率 a 量子信号脉冲波长 a QKD设备编码方法 a QKD系统成码率 a QKD系统错误率 a 同步信号端口 a 基矢选择方案(主被动)a 光纤致损阈值 a CV-QKD系统的探测方法 a 参考光和量子信号光的延时差 b 探测器死时间、后脉冲、暗计数 b 量子信号的平均光子数以及涨落 c 信号态、诱骗态、真空态
47、的幅度比例 c 信号态、诱骗态、真空态的触发比例 c 调制信号的上升沿和下降沿的特性 c QKD设备发送端隔离度 c 参考光和量子信号光的强度关系 c 探测器门参数 c 不同探测器之间探测效率非一致性 c 校准设备特性以及校准设备时间 c QKD 安全攻击防御方案分析和分级评估研究报告 23 d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)本因素用于评估访问被测设备的难度。包括在识别阶段识别潜在漏洞,或者执行阶段对目标设备执行攻击。识别阶段,考虑的因素包括采购 QKD 设备(包括对策部分)的难易程度。执行阶段,需要考虑技术措施和组织措施(对设备地点的访问
48、控制、尝试的次数限制)。构建攻击所需的设备数量和等级也需要考虑。本因素不是用时间来表述,而是获取或访问待攻击设备进行漏洞识别和执行攻击的难度。本报告将获取设备的机会窗口分为简单、中等、难三个等级。a.简单,识别阶段:对于购买待攻击设备来准备攻击没有严格的限制要求。执行阶段:没有尝试数量限制。b.中等,识别阶段:待攻击设备存在特定的产品供销方案(个人不能获取)。执行阶段:针对目标系统,需要攻击调优(例如随机或未知的防护措施参数设定),或者 QKD 模块有设置状态监视功能,(例如攻击引起的系统失败告警)。c.难,识别阶段:待攻击设备的产品供销严格受控,只有特定的确认的用户可以获取线下产品。执行阶段
49、:需要攻破系统的线上使用有关的某一个角色(例如守卫、管理员,或者维护人员)。e)执行攻击所需的执行攻击所需的工具工具(Tool)执行攻击所需的工具是指用来识别漏洞和执行攻击所需的工具类型。本报告将攻击设备分为标准工具、特殊工具、定制工具三个等级。QKD 安全攻击防御方案分析和分级评估研究报告 24 a)标准工具,已经可以获取,或容易得到和操作简单(例如电脑,信号发生器/分析软件,电压源,功率计,通用光学器件,通用的示波器)。b)特殊工具,不是标准市场上现成的,但不需要过度的努力仍可以获取。这种设备可能需要一些特定的使用形式,或者需要开发带有需要的组件(如激光器,高端数字示波器,光探测器,精密光
50、学器件)。c)定制工具,公众获取不到,需要特殊生产。通常来说,指非常昂贵的设备,访问困难且访问权限受控。另外,如果不止一个特殊设备用于执行攻击的不同部分,应该评估为本级别。在使用本等级之前,需要仔细检查没有服务(例如租赁,有限时间内的访问)。如果这些服务存在,那么等级需要下降到特殊设备级别。d)技术受限,攻击策略理论中运用到的可能威胁 QKD 安全的设备,但是目前仍处于研发阶段,或者未有公开报道的实用产品。本报告根据具体工具获得的难易度以及操作使用的难易度,将QKD 攻击常用到的设备:标准工具、特殊工具、定制工具、技术受限进行如下的表格整理归纳。表 12:仪器设备分类举例 工具名称 入手难易度
51、(价格、购买渠道)操作难易度(自动化程度、需要专业知识)QKD 安全攻击防御方案分析和分级评估研究报告 25 a标准工具 电脑 简单 简单 信号发生器(10MHz带宽以下)简单 简单 电压源 简单 简单 功率计 简单 简单 光学器件(分束器、环形器、法拉第镜)简单 简单 示波器(1GHz带宽以下)简单 简单 激光器(脉冲宽度 1s 以上)简单 简单 光延时线 简单 简单 b 特殊工具 激光器(脉冲宽度 1ns 以上)较难 较难 示波器(5GHz带宽以下)较难 较难 光电探测器(5GHz带宽以下)较难 较难 信号发生器(1GHz带宽以下)较难 较难 精密光学器件(分色镜、高精度位移台)较难 较难
52、 高精度功率计 较难 较难 TDC 较难 较难 c定制工具 单光子探测器 困难 困难 激光器 困难 困难 QKD 安全攻击防御方案分析和分级评估研究报告 26 (脉冲宽度 1ns 以下)示波器(5GHz带宽以上)困难 困难 光电探测器(5GHz带宽以上)困难 困难 信号发生器(1GHz带宽以上)困难 困难 d 技术受限 量子计算机 暂无 极难 量子存储器 暂无 极难 光子数探测器 暂无 极难 3.攻击策略分级攻击策略分级 将以上五个维度的评价对应表 13 进行打分,此处需要两个阶段,分别进行打分评估,最终得分相加,得到一个总的分数。表 13:针对攻击的 5个评估维度打分分值表 维度维度 分值分
53、值 识别阶段识别阶段 执行阶段执行阶段 消耗时间消耗时间=一天 1 2=一周 1 2=两周 1 2 一月 1 2 不实用 1 2 专业能力专业能力 门外汉 1 2 熟练 1 2 QKD 安全攻击防御方案分析和分级评估研究报告 27 专家 1 2 多位专家 1 2 掌握的设备信息掌握的设备信息 公开(Public)1 2 受限(Restricted)1 2 敏感(Sensitive)1 2 保密(Critical)1 2 获取设备的机会窗口获取设备的机会窗口 简单(Easy)1 2 中等(Moderate)1 2 难(Difficult)1 2 攻击工具需求攻击工具需求 标准设备(Standar
54、d)1 2 特殊设备(Specialized)1 2 定制设备(Bespoke)1 2 技术受限(Not Practical)1 2 本报告将总分数分为以下 5 个档次,从而将攻击策略的风险性分为了:超高风险、高风险、中风险、低风险、微小风险。表 14:攻击策略分级 分级分级 描述描述 超高风险 消耗时间很少,专业能力要求不高,仅需要掌握公开的设备信息,并且可多次尝试访问目标设备,使用的工具便宜操作简便 高风险 消耗时间较少,专业能力要求较低,需要掌握一定的设备信息,可有限次数尝试访问目标设备,使用的工具价格适当操作要求一般 QKD 安全攻击防御方案分析和分级评估研究报告 28 中风险 消耗时
55、间较长,专业能力要求一般,需要掌握较机密的设备信息,可有限次尝试访问目标设备,使用的工具价格较高操作较复杂 低风险 消耗时间较长,专业能力要求较高,需要掌握秘密的设备信息,可少量尝试访问目标设备,使用的工具价格偏高操作复杂 微小风险 消耗时间很长,专业能力要求很高,需要掌握仅少数人员掌握的设备信息,几乎很难访问目标设备,使用的工具价格很高且操作极为复杂 本报告主要关注的是攻击过程中的“成本”进行评估,此种分析方法没有直接对攻击造成的结果进行评估打分。攻击结果的评估在QKD 领域主要是指密钥窃听能力,即攻击对密钥的获取能力。根据针对 QKD 系统实际安全性攻击对系统实际安全性密钥窃听的能力来评估
56、,可以分为:可获取全部安全密钥,获取部分安全密钥,不能获取安全密钥(仅影响密钥率大小)三个等级。可以发现,攻击“成本”加上攻击结果也就形成了完整的攻击风险性评估。但是,这两者之间并不是简单的加减关系或者乘除的线性关系,比如:当攻击者想要窃取国家级的机密时,攻击者就不会考虑到攻击“成本”,而把攻击结果作为主要的考虑对象,或者只关注攻击结果。当攻击者仅为金钱等目的窃取个人的信息时,攻击者就需要主要考虑攻击“成本”,而把攻击结果作为次要的考虑对象。因此,攻击结果的评估可以作为更高层次的指导性内容,与用户需求,即被攻击的 QKD 设备的使用者的要求,进行联系形成更完善的分级方案。QKD 安全攻击防御方
57、案分析和分级评估研究报告 29 (二)(二)防御有效性分级防御有效性分级 本报告对防御策略进行了有效性的分析,同时参考了国际著名量子黑客研究专家 Vadim Makarov 研究团队近期的研究成果24,将针对不同攻击的防御策略进行防御有效性分级。具体的评估分级方法为:C3、安全解决:QKD 系统中设备不完美性被纳入到安全性证明之中,或者不存在安全性风险。例如:诱骗态协议可以消除光子数分离攻击的危害;测量设备无关量子密钥分发协议可以消除探测端的不完美性;有限样本大小可以被纳入到有限码长后处理之中。C2、具有鲁棒性的解决:在实验上可以有效地抵抗特定攻击策略,但是暂时还没有被纳入到安全性证明之中。随
58、着研究的深入,一旦安全性证明被完善,则相应的防御有效性等级可以提升到 C3 等级;相反如果新的攻击方法被发现,则相应的防御有效性等级则要降低到 C1 和 C0 等级。C1、部分有效的解决:这种解决方法只针对某些攻击策略是有效的,但是对其他攻击或者攻击策略的修改版本是无效的。例如:抵抗针对发送端的木马攻击,安装在发送端的能量检查系统具有有限的波长响应。C0、不安全:安全性漏洞已经被证明存在,但是目前没有行之有效的防御策略。例如:针对光学衰减器的强光损伤攻击。CX、暂无测试:设备的不完美性被怀疑是存在的,并且是安全性相关的,但还没有开展测试检验。QKD 安全攻击防御方案分析和分级评估研究报告 30
59、 表 15:防御评估分析表 防御等级 防御评估 具体描述 C3 安全解决 QKD 系统中设备不完美性被纳入到安全性证明之中,或者不存在安全性风险。例如:诱骗态协议可以消除光子数分离攻击的危害;测量设备无关量子密钥分发协议可以消除探测端的不完美性;有限样本大小可以被纳入到有限码长后处理之中。C2 具有鲁棒性的解决 在实验上可以有效地抵抗特定攻击策略,但是暂时还没有被纳入到安全性证明之中。随着研究的深入,一旦安全性证明被完善,则相应的防御有效性等级可以提升到 C3 等级;相反如果新的攻击方法被发现,则相应的防御有效性等级则要降低到 C1和 C0等级。C1 部分有效的解决 部分有效的解决:这种解决方
60、法只针对某些攻击策略是有效的,但是对其他攻击或者攻击策略的修改版本是无效的。例如:抵抗针对发送端的木马攻击,安装在发送端的能量检查系统具有有限的波长响应。C0 不安全 安全性漏洞已经被证明存在,但是目前没有行之有效的防御策略。例如:针对光学衰减器的强光损伤攻击。CX 暂无测试 设备的不完美性被怀疑是存在的,并且是安全性相关的,但还没有开展测试检验。以上针对防御的分级方案主要关注的是防御的效果,未关注防御“成本”。本报告主要是从攻击者角度出发,更关注防御效果对攻击风险的影响。防御“成本”主要是和用户需求相关,即被攻击的设QKD 安全攻击防御方案分析和分级评估研究报告 31 备的使用者的要求。比如
61、:当被攻击的 QKD 用户需求很高,即需要保护国家级的机密时,防御者不会将防御的“成本”作为主要的考虑内容,而把防御的效果作为主要的衡量指标。当用户需求很低,即仅需要保护个人的信息时,防御者就需要主要考虑防御“成本”,而把防御效果作为次要的考虑对象。在此,本报告在 QKD 设备方面展开一定的讨论。QKD 设备是集合了电子学、光学器件的一套通信设备,其防御的成本可以在以下几个方面展开讨论和分析:1.防御所需设备的价格,2.防御方案的集成化难度,3.防御所需设备的技术实现难度,4.在后处理的防御过程中所需的运算能力和牺牲的原始密钥数。综上,防御“成本”和防御效果是一个权衡的关系,需要多个领域方面的
62、专家结合不同的实际应用场景,形成更为完善的评估体系。(三)(三)整体安全评估整体安全评估 在完成攻击风险分级评估和防御有效性分级评估之后,本报告将会简单讨论一下,结合了防御有效性的攻击风险评估,即对拥有了防御方案后,面对该攻击的风险进行整体的安全评估。初步构想的评价为,当具体攻击策略拥有 C3 等级的防御方案,即安全解决的防御方案后,该攻击策略的攻击风险即降为零,即不存在安全性风险。当具体攻击策略拥有 C2 等级的防御方案,即具有鲁棒性的解决的防御方案,该攻击策略的攻击风险下降一个等级。当具体攻击策略仅有 C1 等级的防御方案,即具有部分有效的解决的防御方案,该攻击策略的攻击风险不变。当具体攻
63、击策略仅有 C0 等级的防御方案,QKD 安全攻击防御方案分析和分级评估研究报告 32 即具有不安全的防御方案,该攻击策略的攻击风险上升一个等级。当具体攻击策略拥有CX等级的防御方案,即具有暂无测试的防御方案,该攻击策略的攻击风险也不变,因为这个防御有效性还未被实验检验。目前本报告的安全评估方案仅为一个简单的评估讨论,更紧密、更多维度、更量化的攻防结合评价方案和评估方法需要各领域专家学者开展讨论后,逐步迭代完善。三、针对 DV-QKD 设备的攻击风险和防御有效性评级研究 本报告收集整理了 22种已存在的针对 DV-QKD系统的攻击方式,讨论其攻击原理,并从章节二、的攻防分级方法出发,对 22
64、种攻击策略进行 2 个阶段、5 个维度的评估讨论,对其各自相应的防御方案进行分级讨论。(一)(一)光子数分离攻击光子数分离攻击 1.攻击策略攻击策略 BB84 协议原始方案要求光源为单光子源,其安全性证明只适用于单光子情况。然而由于技术水平的限制,目前在实际系统中很难使用到单光子源,一般在制备-测量类型的 BB84 系统中采用衰减后的弱相干光源代替单光子源。弱相干光源是一系列光子数态的叠加态,其光子数分布满足泊松分布。因此,即使是很弱的相干光源也存在不可忽略的多光子成分,由于多光子成分被进行了编码,因此QKD 安全攻击防御方案分析和分级评估研究报告 33 提供了编码信息的完美备份,造成安全漏洞
65、。攻击者可以采取一种光子数分离(photon-number splitting,PNS)4攻击窃取有效信息。PNS 攻击的策略是:攻击者首先采用量子非破坏性测量,可以在不干扰量子比特信息的同时获得激光脉冲中的光子个数的信息。对于单光子态,攻击者直接拦截这个光子不再发送给 Bob,而对于光子数大于等于 2 的多光子态|,攻击者从光脉冲中提取出一个光子放到量子存储器里,然后将其它 n-1个光子发送出去给 Bob。存在信道损耗时,攻击者采用衰减更小的信道传输给攻击者,防止由于PNS 攻击的损耗导致 Bob 端的总计数下降。接下来,在基矢比对的过程中,攻击者监听 Bob 公布的测量基矢,之后对保存在量
66、子存储器中的对应的光子进行相同基矢下的测量,从而得到跟 Bob 完全相同的信息。由于 PNS攻击不会对 qubit空间产生扰动,所以不会带入额外的误码率,而且在信道存在衰减和探测器效率不是 100%的情况下,这种攻击将更有效,因为攻击者可以将对单光子的拦截损耗通过攻击者和 Bob 之间采用无损信道以及影响探测器探测效率的方式来进行补偿,保持了误码率、计数率的水平,从而能很好地掩盖她的存在。2004年Daniel Gottesman等严格推导了安全成码率公式,也就是著名的 GLLP 公式5。这里特别分析了标记单光子源的安全成码率情况。实际上,PNS 攻击相当于在多光子态中将其中一个单光子标记上了
67、基矢信息,也即此时该多光子态为标记单光子源。考虑到随距离的增加PNS攻击能力更强,通过数值模拟得到Alice的发送平均QKD 安全攻击防御方案分析和分级评估研究报告 34 光子数的最优值将随信道效率呈线性关系减少。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定发送端光源的特性,如进行光子数区分探测。一天就足以发动光子数分离攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的
68、设备信息(Knowledge of TOE)公开信息不足以支持发动攻击,攻击者通过获取关于系统时钟频率、信号脉冲波长和设备编码方法的公开信息,还需要平均光子数等开发人员组织内的敏感信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将量子数测量设备连接到光
69、纤上,并且将多光子中的一个光子储存起来,并将剩余光子发送给接收端。此外,还需要一个定制的光学系统来检测和提取截获的QKD 安全攻击防御方案分析和分级评估研究报告 35 光子信息,这是一个以目前科技水平无法完成的工作,特别是光存储器。因此,识别阶段和执行阶段这两个阶段都判定为不实用。3.防御有效性防御有效性 该攻击的关键要素在于:弱相干光源存在多光子成分。因此,研究人员提出了如下的防御策略:策略 1:建立一些新的 QKD 协议,如 SARG04 协议、COW 协议等,这些协议在实现原理上是可以抵抗 PNS 攻击的。此防御策略在原理上消除了光子数分离攻击的可能性,所以应被评定为 C3 级别。策略
70、2:除此之外更常用的是诱骗态方案。2003 年黄元瑛提出解决多光子问题的基于 BB84 协议的诱骗态方案18,2005 年被王向斌19、Lo20等学者严格证明。诱骗态方案的思想是监测 PNS攻击中攻击者对单光子和多光子设置的不同通过效率。在诱骗态协议中,Alice 随机发送不同光强的光脉冲,不同强度的光脉冲有着不同的光子数分布,攻击者由于不能区分 Alice 采用哪种强度的光源,于是不能对多光子的通过效率进行适当的调节,从而不能同时保证不同光源到达 Bob 端的统计结果都保持不变。于是,通过该“诱骗态”光源的方法可以保护单光子成分的效率不被攻击者修改,而单光子成分是 QKD 成码中可以提取安全
71、密钥的有效成分。所以,诱骗态方案可以有效规避 PNS 攻击。诱骗态方案针对光子数分离攻击的防御已经在理论上纳入了安全性证明之中。因此,此防御策略应被评定为 C3级别。QKD 安全攻击防御方案分析和分级评估研究报告 36 (二)(二)木马攻击木马攻击 1.攻击策略攻击策略 在实际的光纤通信系统中,由于折射率的变化,部分光在通过接口或元件内部时,会反射或散射回来。基于这一现象,研究人员提出了一种强大的窃听策略:特洛伊木马攻击。为了进行特洛伊木马攻击,攻击者向 QKD 系统的发送端注入大量的木马光子。在QKD 系统发送端内部发生背向反射的一部分木马光子可能会通过调制器件,并被编码上调制信息。攻击者再
72、在量子信道上获取、分析背向反射的木马光里携带的编码器件上的编码信息,从而得到密钥信息。这个攻击策略最早被 Vakhitov 等人提出25,随后 Gisin 等对其进行了初步分析26,并将其命名为“特洛伊木马攻击”。这之后,Lucamarini和 Tamaki等对特洛伊木马攻击对 QKD安全性的影响进行了定量分析和讨论2728。如下图所示,攻击者可以在部分时间占据着量子信道,以此来探测 Alice(或者 Bob)的仪器情况。在这段时间内,攻击者向 Alice发送特定的光,然后截获 Alice 发出的所有光信号(包括 Eve 发出的光引起的“后散射光”(backscattered light)和
73、Alice 本来要发送的加载了偏振的信号脉冲),通过分析后散射光的信号,便可以得到关于Alice 的设备的一些信息,比如仪器缺陷、相位调制器、偏振调制器的某些信息等等。在这段时间内,由于攻击者截获信号而导致合法QKD 安全攻击防御方案分析和分级评估研究报告 37 信号的损失,可以由攻击者引入低衰减的信道来补偿,这样就能掩盖攻击者的痕迹,完成窃听。图 4:特洛伊木马攻击示意图25 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定注入激光脉冲的特性,如功率和脉宽。一天就足以发动特洛伊木马攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业
74、能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价QKD 安全攻击防御方案分析和分级评估研究报告 38 格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试
75、通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光纤上,熔纤并向发射端注入激光。此外,还需要一个定制的光学系统来检测和提取反射脉冲的信息,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御防御有效性有效性 从前面的描述中可以看出,在木马攻击中一个重要的因素就是:攻击者接收到的携带编码信息的木马光子数的数量,这直接决定了攻击者能在多大程度上区分不同量子态,从而实现信息窃取的目的。为了实现 QKD 系统对木马攻
76、击的防御,需要严格限制木马光子的输入并且增加输入光强监控。决定木马光子数的因素主要有三点,包括:攻击者可以注入的最大木马光子数,QKD 系统发送端的隔离度和其内部反射率。策略1:增加额外隔离以及减小内部反射率,以达到限制木马光子的输入以及返回的目的,具体措施包括:(1)在 QKD 发送端增加隔离器、衰减器以及环形器等光学非互异性器件,从而达到限制木马光的输入,同时,增加窄带滤波器来防止攻击者利用非工作波段的木马光进行攻击;(2)可以将 QKD 系统发送端内部的光纤接头换QKD 安全攻击防御方案分析和分级评估研究报告 39 成斜头,或者通过熔接光纤的方法减少内部反射的发生。由于隔离器件有限的隔离
77、度,现实中不存在与外界完全隔离的系统,而且 QKD 系统发送端的内部反射也无法完全消除。因此,研究人员考虑了有限隔离度和非零反射率的现实条件下,QKD 系统抵抗木马攻击的安全性如何评估的问题,并将这个问题纳入到安全性证明之中,对安全密钥率公式进行修正。例如,文献27推荐输出的木马光子数=10 6,可以接近无木马攻击时的所有距离情况,而且 70%最大距离以内,成码率几乎不需要修正。综上所示,目前针对木马攻击的防御可以在实验和理论两方面开展。因此,此防御策略应被评定为 C3 级别。策略 2:使用被动编码/解码方案使木马光无法得到和信号光对应的调制。该方案的调制取决于光源和探测器选择了哪个光路,和编
78、码/解码光路无关。此防御策略在原理上消除了木马攻击的可能性,所以应被评定为 C3 级别。策略3:在发送端设置检测光电探头,监控入射的激光强度,并设定报警阈值。由于光电探头有限的波长响应范围,所以此防御策略应被评定为 C1级别。(三)(三)相位重映射攻击相位重映射攻击 1.攻击策略攻击策略 双向 QKD 协议作为一种实现较为简单的 QKD 协议被广泛应用QKD 安全攻击防御方案分析和分级评估研究报告 40 在商用系统之中。在此系统中,Bob 首先发送两个强的激光脉冲给Alice,Alice 利用参考脉冲作为同步信号来激活她的相位调制器,然后,Alice 仅调制信号脉冲的相位,然后将两个脉冲衰减到
79、单光子量级发送给 Bob,Bob 随机选择基矢进行测量,由于 Alice 可以使得信号进出,这为攻击者提供了潜在的攻击后门。其中一个特殊的攻击策略就是相位重映射攻击2930。在实际的 QKD 系统中,LiNbO3 波导相位调制器被广泛用于量子态的相位调制。由于其有限的响应时间,通常编码的光脉冲都会选择在调制脉冲信号的中间。然而,如果攻击者改变光脉冲信号的时间延时,使得其落在调制信号的上升沿或者下降沿上,此时编码的相位不再是标准的0,2,32,,而重映射到0,1,1+2,1+2+3。此时编码量子态不再是标准的 BB84 量子态,攻击者可以发动截获-重发攻击,以引入较小错误率的代价来获取密钥信息。
80、图 5:调制电脉冲的波形及相位重映后的量子态29 具体的攻击过程为:Alice 向 Bob 发送量子光,Bob 使用相位调制器编码,而Eve利用相位调制器PM上加载的电压正比于相位的特点,控制光到达相位调制器的时间,使其位于调制电信号的上升沿或下降沿位置,从而使得 Alice 的编码态相位小于预期。接下来,Eve截获、测量并重发相应的量子态,从而实现密钥信息的窃取。QKD 安全攻击防御方案分析和分级评估研究报告 41 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定 QKD 系统调制信号的特性,如脉冲宽度以及上升沿和下降沿的宽度。一天就足以发动
81、相位重映射攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要光学通信实验和量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)攻击需要了解 QKD 系统调制信号的上升沿和下降沿的特性,以及参考光和信号光的延时差,因此需要获得仅在开发人员组织内可用的信息。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。在执行阶段,尝试通过量子通
82、道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要搭建一套发送和测量的模块,并且需要延时可调,弱相干光源,光学延时线。为了实现特定的延时量,还需要结合截获重发才能窃取密钥信息,这是一个非常具有挑战性的工作,因此需要使用定制设备。因此,识别阶段和执行阶段这两个阶段都需要定QKD 安全攻击防御方案分析和分级评估研究报告 42 制设备。3.防御防御有效性有效性 从前面的描述中可以看出,相位重映射攻击针对的是双向的QKD 系统,其利用了调制信号脉冲存在上升和下降沿的不完美性发动攻击。针对这些特点,一系
83、列的防御策略被提出:策略1:在编码端检测统计信号光和参考光的相对时间,分析信号光的到达时间是否符合预期以判定是否存在该攻击。此策略在实验上可以抵御相位重映射攻击,但是暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。策略2:提高电子学信号的质量,减小电子学信号的上升沿和下降沿。这使得 Eve可操作的时间区间减小,Eve需要更高的时间精度,这大幅度增加 Eve 的攻击难度。通过提高电子学信号的质量确实可以增加攻击者的攻击难度,但是由于电信号有限的带宽,不存在绝对的方波,所以此防御策略只能在一定条件下使用,因此应被评定为 C1 级别。策略3:由于相位重映射攻击需要可以控制光的到达时间,所
84、以对 plug&play 或 Sagnac 的双向结构的系统有效。相对来说,另一种解决方式是采用单向 QKD 系统,这样可以有效避免双向结构的系统所存在的此类攻击。此种方案可以杜绝相位重映射攻击,因此应被评定为 C3级别。QKD 安全攻击防御方案分析和分级评估研究报告 43 (四)(四)注入锁定攻击注入锁定攻击(相位型相位型)1.攻击策略攻击策略 光源的相位随机化是诱骗态协议一个重要假设,目前半导体激光二极管(LD)被广泛应用于 QKD 系统之中,作为弱相干光源。在内调制模式(interdriven mode)下,LD的半导体介质在每个驱动电流脉冲的作用下,从损耗到增益被激发。激光脉冲是由源于
85、自发发射的种子光子产生的,激光脉冲的相位是由种子光子决定的。由于种子光子的相位是随机的,每个激光脉冲的相位本身就是随机的。然而,如果一定数量的光子从外部来源注入半导体介质,这些光子也将被放大以产生激光脉冲。此时种子光由两部分组成:一部分来自自发发射,另一部分来自外部光源。这两部分都会影响到 产生的激光脉冲的相位。如果注入的光子大大超过自发发射的光子,那么输出激光脉冲的相位就主要由注入的光子的相位决定。注入锁定攻击的策略是通过注入锁定光(或者称为种子光),改变 Alice 光源特性(比如相位、光强、波长),进而利用这些改变的特性进行攻击。文献31介绍了注入锁定攻击破坏源端的相位随机性的攻击策略。
86、具体而言,攻击者向发送方激光器注入种子光,通过调节种子光的波长与光强,QKD 系统光源发出的激光脉冲的相位与外部注入种子光的相位一致,从而破坏了诱骗态协议中重要的相位随机化的安全性假设,使得诱骗态和量子态区分成为可能。之后 Eve 截取QKD 安全攻击防御方案分析和分级评估研究报告 44 Alice发送的光子,通过USD测量区分诱骗态,随后再对量子光进行光子数分离攻击即可。图 6:注入锁定攻击改变光源相位的实验示意图31 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定注入激光的特性,如功率和中心波长。一天就足以发动注入锁定攻击,以此破坏 QK
87、D 系统源端相位随机化的安全性要求,方便攻击者发动其他攻击实现密钥的窃取。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要激光器和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于激光器的中心波长的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 QKD 系统光源,通常是可以用合理价格买的弱相干光源,例如:DFB 激光器。另外,在执
88、行阶段,QKD 安全攻击防御方案分析和分级评估研究报告 45 攻击者尝试通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。所以,综上所述,识别阶段和执行阶段的机会窗口都是简单等级。e)攻击攻击工具(工具(Tool)攻击需要用到连续的激光光源作为注入锁定光,另外还需要用到光谱仪来标定激光器中心波长,用到高速光电探头和示波器来检测 QKD 系统光源发出的脉冲信号的相位随机性信息,这些仪器都属于高端的特殊仪器。因此,识别阶段和执行阶段都需要特殊仪器。3.防御防御有效性有效性 根据前面的描述,攻击者需要向 QKD 系统的源端注入强的激光,对光源端进行注入锁定,从而改变光源的相位特性
89、。针对这些特点,一系列的防御策略被提出:策略 1:在 QKD 系统的发送端增加额外的隔离,以减小攻击者能够注入的光功率,从而使得注入锁定难以成功,避免光源信号的相位随机性被控制。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2级别。策略 2:在 QKD 系统发送端增加光强检测模块,检测外界注入激光的强度,并设定报警阈值。此项防御策略与木马攻击光强检测的思想是类似的,但是由于注入锁定对波长的一致性要求很高,所以攻击者无法利用 QKD 系统非工作波长的激光进行攻击,所以一般的功率检测模块就可以实现检测功能,实验上具有可行性,未被纳入安全性证明之中,因此应
90、被评定为 C2 级别。QKD 安全攻击防御方案分析和分级评估研究报告 46 (五)(五)注入锁定攻击(强度型)注入锁定攻击(强度型)1.攻击策略攻击策略 在前面的章节中,本报告介绍了通过注入锁定攻击来控制 QKD系统光源的相位,从而使得相位随机化的安全性要求被破坏,在这一章节中,本报告将会介绍一种通过注入锁定改变光源强度的攻击策略。光脉冲强度精确可控是诱骗态协议中另一个重要的安全假设,在实际的基于诱骗态协议的 QKD 系统中,发送端通常会编码不同强度的弱相干光,这项弱相干光的强度是设定好的,在分析 QKD 系统的安全密钥率的过程中需要用到这些强度信息。然而,如果攻击者通过某些方式使得 QKD
91、系统发出的弱相干光的强度发生变化,而用户在不知情的情况下利用之前设定好的强度来估算密钥率时,就会过高地估计安全密钥率,此时攻击者就可以采取后续的攻击策略来窃取 QKD系统的安全密钥。图 7:注入锁定攻击改变光源强度的实验示意图 文献32介绍了通过注入锁定的方式来增大量子光光强的攻击策略。具体而言,攻击者向 Alice 注入种子光,使得 Alice 发出的激QKD 安全攻击防御方案分析和分级评估研究报告 47 光脉冲的光强增大,实际光强高于预设值,进而使得通过预期的不正确的诱骗态参数估算的成码率偏高。后续需要结合光子数分离攻击。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse
92、Time)需要一周的时间来确定注入激光的特性,如功率和中心波长。一天就足以发动注入锁定攻击,以此改变 QKD 系统激光脉冲的强度,方便攻击者发动其他攻击实现密钥的窃取。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要激光器和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于激光器的中心波长的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击
93、目标的 QKD 系统光源,通常是可以用合理价格买的的弱相干光源,例如:DFB 激光器。另外,在执行阶段,攻击者尝试通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。所以,综上所述,识别阶段和执行阶段的机会窗口都是简单等级。e)攻击攻击工具(工具(Tool)攻击需要用到连续的激光光源作为注入锁定光,另外还需要用QKD 安全攻击防御方案分析和分级评估研究报告 48 到光谱仪来标定激光器中心波长,用到高速光电探头和示波器来检测 QKD 系统光源发出的脉冲信号的波形,这些仪器都属于高端的特殊仪器。因此,识别阶段和执行阶段都需要特殊仪器。3.防御防御有效性有效性 该攻击最重要的要素是
94、攻击者向 QKD 系统的光源端注入锁定光来改变光源输出光信号的强度特性,针对这一特点,有如下的防御策略:策略 1:在 QKD 系统的发送端增加额外的隔离,以减小攻击者能够注入的光功率,从而使得注入锁定难以成功,避免光源信号的强度被控制。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。策略 2:在 QKD 系统发送端增加光强检测模块,检测外界注入激光的强度,并设定报警阈值。此项防御策略与木马攻击光强检测的思想是类似的,但是由于注入锁定对波长的一致性要求很高,所以攻击者无法利用 QKD 系统非工作波长的激光进行攻击,所以一般的功率检测模块就可以实
95、现检测功能,实验上具有可行性,未被纳入安全性证明之中,因此应被评定为 C2 级别。(六)(六)注入锁定攻击(注入锁定攻击(波长型波长型)1.攻击策略攻击策略 通过注入锁定的方式不仅能够改变 QKD 系统光源的强度和相位特性,还可以通过波长失谐量的种子光来改变光源的波长。QKD 安全攻击防御方案分析和分级评估研究报告 49 基于这一特性,文献33介绍了注入锁定攻击改变量子光波长的攻击策略。具体而言,攻击者发送一组随机选择偏振态的种子光到 QKD 系统的发送端,种子光与 QKD 系统光源的波长间存在一定的波长失谐量。当攻击者所用攻击光的偏振态与 Alice 编码偏振态相同时,攻击光实现注入锁定,进
96、而改变 Alice 输出光脉冲的波长;而当攻击者所用攻击光的偏振态与 Alice 偏振态并不相同时,攻击光不能注锁成功,而不影响 Alice 的输出光脉冲的波长。此时攻击者只需要在信道上设置定制的带通滤波器,只让发生波长移动的光子通过,通过这样的方式,攻击者就可以筛选出与 Alice 相位相同的光脉冲,从而获取了 QKD 系统的偏振编码信息。若攻击者不设置滤波器,则可以对 Alice 发出的光子进行光谱测量,测量到频率改变后的光子再向接收方发射相应偏振的伪态光脉冲。图 8:注入锁定攻击窃取偏振编码信息的实验示意图33 通过这样的方式,攻击者就完全窃取了 QKD 系统的安全密钥信息,从而威胁到
97、QKD系统的安全性。QKD 安全攻击防御方案分析和分级评估研究报告 50 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定注入激光的特性,如功率和中心波长。一天就足以发动注入锁定攻击,以此窃取 QKD 系统的偏振编码信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要激光器和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于激光器的中心波长、系统时钟频率以及设备编码方法等的公开信
98、息,通常就可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 QKD 系统光源,通常是可以用合理价格买的的弱相干光源,例如:DFB 激光器。另外,在执行阶段,攻击者尝试通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。所以,综上所述,识别阶段和执行阶段的机会窗口都是简单等级。e)攻击攻击工具(工具(Tool)攻击需要用到脉冲的激光光源作为注入锁定光,另外还需要用到光谱仪来标定光源的中心波长,需要用到特定的滤波器来阻挡不需要的光子,通过滤波的方法提取出携带编码信息的光子,这些仪器都属于特殊仪器
99、。因此,识别阶段和执行阶段都需要特殊仪器。QKD 安全攻击防御方案分析和分级评估研究报告 51 3.防御防御有效性有效性 根据前面的描述,该攻击本质上是攻击者通过注入锁定的方式窃取编码信息,其关键在于攻击者的注入光可以改变 QKD 系统光源的特性。根据这一特性,可以有如下的防御策略:策略 1:在 QKD 系统的发送端增加额外的隔离,以减小攻击者能够注入的光功率,从而使得注入锁定难以成功。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2级别。策略 2:在 QKD 系统发送端增加光强检测模块,检测外界注入激光的强度,并设定报警阈值。此项防御策略与木马攻击
100、光强检测的思想是类似的,但是由于注入锁定对波长的一致性要求很高,所以攻击者无法利用 QKD 系统非工作波长的激光进行攻击,所以一般的功率检测模块就可以实现检测功能,实验上具有可行性,未被纳入安全性证明之中,因此应被评定为 C2 级别。(七)(七)强光损伤强光损伤可调光衰减器可调光衰减器攻击攻击 1.攻击策略攻击策略 可调谐光学衰减器(VOA)在QKD系统中主要起到将光源发出的弱相干光衰减到单光子量级的作用。在针对 QKD 系统的攻击中,存在一类利用强光对器件进行损伤从而改变器件特性的攻击策略,其中就包括针对 VOA的强光损伤攻击34。QKD 安全攻击防御方案分析和分级评估研究报告 52 图 9
101、:强光损伤可调光衰减器攻击34 具体而言,攻击者可以利用强的激光来照射 VOA,在 VOA 内部造成热效应,从而导致 VOA 的损坏。结果表明,VOA 被强光损坏后衰减值降低了几个 dB,这会导致 QKD 发出的光脉冲的强度增强,这为光子数分离攻击提供了可能性。而且,在用户不知情的情况下,利用原本标定的信号强度来进行密钥率估计时,会过高地估计安全密钥率,从而导致计算出的密钥一部分是不安全的,这严重威胁到 QKD 系统的安全性。这和注入锁定攻击中的增大量子光光强的方案类似,后续需要结合光子数分离攻击。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确
102、定注入激光的特性,如功率。一天就足以发动强光损伤攻击,以此破坏 QKD 系统的可调衰减器,方便攻击者发动其他攻击实现密钥的窃取。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要光纤器件和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级QKD 安全攻击防御方案分析和分级评估研究报告 53 别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于光纤致损阈值的知识,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的
103、主要攻击目标的 QKD 系统可调衰减器,通常是可以用合理价格买的。另外,在执行阶段,攻击者尝试通过量子通道访问发射端的次数不是无限的,注入激光的功率会破坏原有模块,并且可能会引起 QKD 模块的报警,导致攻击失败。所以,综上所述,识别阶段的机会窗口为简单等级,执行阶段的机会窗口是中等等级。e)攻击攻击工具(工具(Tool)攻击需要用到连续的激光光源作为损伤激光,另外还需要用到特定的高功率激光放大器来对攻击光的光功率进行放大,完成此项攻击具有一定的挑战性。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御防御有效性有效性 根据前面的描述,该攻击最重要的要素是攻击者使用强光注入损伤 VOA
104、。根据这一特性,可以有如下的防御策略:策略 1:在 QKD 系统的发送端增加额外的隔离,可以采用高功率隔离器来阻止外界强光的输入,避免 VOA 的损伤。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2级别。QKD 安全攻击防御方案分析和分级评估研究报告 54 策略 2:在 QKD 系统的发送端检测输入光功率,并设定报警阈值。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。(八)(八)非混态非混态攻击攻击 1.攻击策略攻击策略 相位随机化是诱骗态协议的重要安全性要求,然而,一旦 QKD系统光源的相位信
105、息是已知的,这是由于激光器本身不完美性和外部攻击者的影响等原因造成的。那么对于攻击者来说,发送的量子态不再是混态,而是纯态,原则上就可以通过 非混态区分(unambiguous-state-discrimination,USD)测量35进行诱骗态区分,就破坏了诱骗态方案的安全假设。非混态(USD)攻击具体利用用作相位反馈的参考光作为全局相位参考,攻击者截获参考光后随机调制到信号态和诱骗态强度,再和截获的被测量子光干涉,通过探测器的探测结果来获得量子光的强度信息,从而达到区分量子光属于信号态光、诱骗态光的目的。当干涉仪两臂光强相同时,D2 探测器无输出,不能得到确定结果;当干涉仪两臂的光强不同时
106、,D2 探测器才有输出,就可以得到确定结果。这样可实现 USD测量。QKD 安全攻击防御方案分析和分级评估研究报告 55 图 10:USD攻击实验装置图35 完整的攻击为 USD+光子数分离攻击。具体而言,光子数分离攻击根据之前的 USD 测量结果以及 QND 测量得到的光子数设置不同的 yield 发送给 Bob 端。攻击者拦截所有的单光子不放行,而对于多光子成分,由于 Eve 可以完全窃取里面的信息,Eve 需要尽量保留一个光子而以很小的损耗放行剩下的光子。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定不等臂干涉仪的路径差。一天就足以发动
107、USD攻击,以此获取QKD系统信号态和诱骗态的强度编码信息,方便攻击者发动其他攻击实现密钥的窃取。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要光纤器件和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)攻击需要了解 QKD 系统相位参考光和量子光的时间延迟,以及两者的强度关系,因此需要获得仅在开发人员组织内可用的信息。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 QKD 系统的编码模块,通常是可以用合
108、理价格买的。另外,在执行阶段,攻击者尝试通过测量 QKD系统发出信号的次数是无限的,这个过程不会破坏原有模块。所以,QKD 安全攻击防御方案分析和分级评估研究报告 56 综上所述,识别阶段和执行阶段的机会窗口都为简单等级。e)攻击攻击工具(工具(Tool)攻击需要用到单光子探测器进行干涉测量,另外还需要用到定制的不等臂干涉仪,完成此项攻击具有一定的挑战性。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御防御有效性有效性 该攻击包含一个关键因素:QKD 系统光源的相位对于攻击者而言是已知的,因此,根据之前的文献,可以有如下的防御策略:策略:使用相位随机化的光源,并增加额外的隔离保护,防
109、止注入锁定攻击改变光源的相位。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2级别。(九)(九)脉冲互干扰攻击脉冲互干扰攻击 1.攻击策略攻击策略 在量子态制备的过程中,由于调制信号带宽有限,会导致电调制信号产生扰动和噪声,而这种扰动或噪声可能会引入调制信号的前后关联性。这一点在高速调制过程中,特别是 1GHz 甚至 10GHz的高速量子态制备的情况下尤为明显。文献36就针对这一现象进行了具体的实验分析,并且提出了相应的解决方案。理想情况下(如图 11a子图),强度调制器(intensity modulator,IM)调制的脉冲是完美的矩形波,其频率
110、响应是平坦的,然而在实际情况下(如图 QKD 安全攻击防御方案分析和分级评估研究报告 57 11b子图),因为IM的调制带宽受限,频率响应不是均匀的,特别是IM 的电子学信号失真,这就导致了光脉冲之间产生了关联性,并且单个脉冲出现了非随机化的涨落。尤其是对诱骗态影响更大,这是由于其工作点对加载的电压比较敏感(如图 11子图 c),而信号态和真空态分别处在电压的极值点,也就对变化不那么敏感。最终、编码脉冲之间出现了从调制信号带来的关联性,这就导致强度调制的信息存在发生泄露的风险,攻击者可以利用此关联性结合截获重发攻击获取诱骗态和信号态的信息,从而威胁整个量子秘钥分发系统的安全性。QKD 安全攻击
111、防御方案分析和分级评估研究报告 58 图 11:脉冲相互干扰36 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定 QKD 系统调制信号的特性,如脉冲宽度以及上升沿和下降沿的宽度。一天就足以发动脉冲互干扰攻击,以此获取 QKD 系统信号态和诱骗态的强度编码信息,方便攻击者发动其他攻击实现密钥的窃取。QKD 安全攻击防御方案分析和分级评估研究报告 59 b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要电子学、光纤器件和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设
112、备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、调制方法以及设备编码方法等的公开信息,通常就可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 QKD 系统的编码模块,通常是可以用合理价格买的。另外,在执行阶段,攻击者尝试通过测量 QKD系统发出信号的次数是无限的,这个过程不会破坏原有模块。所以,综上所述,识别阶段和执行阶段的机会窗口都为简单等级。e)攻击攻击工具(工具(Tool)攻击需要用到光电探头和示波器进行量子态测量,完成此项攻击具有一定的挑战
113、性。因此,识别阶段和执行阶段这两个阶段都需要特殊设备。3.防御有效性防御有效性 该攻击包含一个关键要素:QKD 脉冲信号之间存在强度的关联性,因此,文献提出了如下的防御策略:策略 1:对采集的数据实施后处理,使用模式筛选(pattern sifting,PS):如果之前相邻脉冲为诱骗态 D 或真空态 V,丢弃本脉冲;如果QKD 安全攻击防御方案分析和分级评估研究报告 60 之后相邻脉冲为诱骗态 D,丢弃本脉冲。接下来,进行交替密钥提取(alternate key distillation,AKD):PS后,AKD将筛选密钥(sift key,SK)分为奇数和偶数时间的序号,根据发送时间戳;针对
114、奇数和偶数序列的比特串,分别进行密钥提取。最后,为了解决强度涨落的问题,可以通过强度筛选(intensity sifting,IS),来限制脉冲强度的最大和最小值。本文提供的 IS 方案具体为:通过强度监测,丢弃最大最小值范围之外的脉冲。然后对范围内的脉冲进行成码率分析,通过保密增强来保证安全性。经过成码率修正,该方案在理论上可以防止脉冲互干扰攻击,因此防御有效性评级为 C3。策略2:在实验上可以采用sagnac干涉仪进行强度调制,这样就可以减少因带宽限制产生的调制结果的扰动。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。(十)(十)致盲攻
115、击(连续光型)致盲攻击(连续光型)1.攻击策略攻击策略 考虑到成本因素以及集成化难度,QKD 系统通常所使用的探测器为门触发盖革模式雪崩二极管(APD),它具有线性模式和盖革模式两种工作模式。正常工作时,APD 处于盖革模式,即反向偏压大于击穿电压,此时单光子以一定的概率被 APD 吸收产生空穴对并在反向偏压 Vbias 加速下引起雪崩效应,进而被探测。APD 处于线性模式时,APD 可以将强光转化成电流,当光电流大于阈值电流时探QKD 安全攻击防御方案分析和分级评估研究报告 61 测器响应。两种模式的区别在于:盖革模式下,反向偏压大于击穿电压时,探测器对单光子响应;线性模式下,探测器对强光响
116、应。目前,APD大都采用“门触发”,即给 APD加一个略低于击穿电压的直流电压,当门控的方波信号到来时,仅在门控信号内,反向偏压大于击穿电压,此时探测器处于盖革模式,而在门控信号之外则工作于线性模式。这样可以合理设计门信号时序,使得仅当单光子信号到达探测器时 APD 才工作于盖革模式,以降低暗计数,同时延长探测器寿命。致盲攻击的攻击思路36是:攻击者向 APD 注入一定功率的连续光,那么会持续产生光电流。由于探测器响应电路中存在电阻分压,二极管上的分压就会持续低于击穿电压,那么 APD 将一直处于线性模式而不会进入盖革模式。此时,APD 对单光子不敏感,攻击者可以使用强光控制 Bob 处的探测
117、器响应。强光控制的核心思想是:(1)当攻击者的测量基与 Bob 不同时,攻击者发射的伪态信号使得Bob 的探测器无响应(2)当攻击者的测量基与 Bob 相同时,攻击者设计合理的伪态信号使得 Bob 能够探测到。具体的,攻击者测量 Alice 出射信号后,在 Bob 端 APD 处于线性工作模式时,将其测量结果加载于功率略大于阈值光功率的强光伪态信号上发送给 Bob。这样,若攻击者与 Bob 选取测量基相同时,则强光信号完全入射到同一个探测器中,APD 处于线性工作模式,而入射到探测器的光功率大于阈值光功率,故可引起探测器响应;若攻击者与 Bob 选择的测量基不同,则强光信号一半入射到探测器QK
118、D 安全攻击防御方案分析和分级评估研究报告 62 D0,一半入射到探测器 D1,由于 APD 工作于线性模式,而入射到每一个 APD 的光功率均不能达到阈值光功率,故不引起探测器响应。图 12:单光子探测器的工作模式36 攻击者能够仔细设计光功率强度,使得其能够完全控制 Bob 的探测器。定义 P100%,Di 为线性模式下探测器 Di(i=0,1)以 100%概率产生响应的最小光强;P0%,Di 为线性模式下探测器 Di(i=0,1)从不产生响应的最大光强。若满足如下条件:max100%,2min0%,则经过上述强光脉冲伪态攻击,攻击者在线性模式下可完全控制 Bob 的测量结果,从而使得最终
119、攻击者手中的数据与 Bob 测量结果完全一致。上式即是完美窃听条件。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被致盲激光器的响应特性,如致盲功率、完美窃听条件等,并且设计合理的伪态信号。一天就足以发动致盲攻击,并在不被检测的情况下获取最终密钥信息。QKD 安全攻击防御方案分析和分级评估研究报告 63 b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发
120、动攻击,攻击者需要通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控雪崩探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,虽然可能在寻找致盲窗口时造成一定的被发现的风险,但是注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光
121、纤上,熔纤并向接收端注入激光。此外,还需要一个连续光源和发送伪态信号用的光源,并且设计伪态信号强度,以及测量发送端信号的设备,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御有效性防御有效性 该攻击最重要的要素是攻击者向探测端注入强光,致使探测器QKD 安全攻击防御方案分析和分级评估研究报告 64 的工作模式发生改变。因此,根据之前的文献,可以有如下的防御策略:策略1:接收方分出一部分接收到的光进行强度检测,如果光强发生异常变化则报警提示可能存在盗听。该策略在实验层面是防止了致盲攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2 级别。策
122、略2:接收方在单光子探测器内,检测光电流是否超过阈值。为了致盲探测器,攻击者需在 APD 串联电阻上形成较大压降。设备则需要通过高速比较器直接检测该串联电阻两端的电压信号来输出探测器响应。该策略在实验层面是防止了致盲攻击发生的可能性,但是针对其变种脉冲光致盲,无法进行有效防御,因此针对策略 2的防御有效性的评估分级为 C1 级别。(十一)(十一)致盲攻击(热致盲型)致盲攻击(热致盲型)1.攻击策略攻击策略 热致盲攻击38的原理是:发射很强的光使得雪崩光电二极管(APD)温度升高到超过温度控制器(TEC)温控能力极限,这会导致 APD 雪崩电压上升,从而在不改变偏压的情况下,使得探测器退出盖革模
123、式进入线性模式。APD 在工作时发散出来很大的热量,其中包括吸收光的能量以及电路产生的热量。APD 的温度决定了它的探测效率以及工作状态,因此需要温度传感器以及温度控制器TEC来保证APD处于他正常的工作温度。然而TEC具有有限的工作QKD 安全攻击防御方案分析和分级评估研究报告 65 范围,当注入光功率很强时,TEC 可能会达到最大工作能力而不能有效降温。此时APD的温度也会升高,这就导致了APD的雪崩电压也随着 APD 温度升高而提升,于是 APD 退出盖革模式进入线性模式,也就相当于被致盲了。于是攻击者就可以发送伪态强光,来攻击探测器。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间
124、(Elapse Time)需要一周的时间来确定被致盲激光器的响应特性,如致盲功率、完美窃听条件等,并且设计合理的伪态信号,还需要确定 TEC 的工作范围。一天就足以发动致盲攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者需要通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获
125、取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控雪崩单光子探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,虽然可能在寻找 TEC 温控范围QKD 安全攻击防御方案分析和分级评估研究报告 66 时造成一定的被发现的风险,但是注入激光的功率不会破坏探测模块和温控装置,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光纤上,熔纤并向接收端注入激光。此外,还需要一个连续光源来热致盲
126、探测器以及一个用来发送伪态信号的光源,并设计伪态信号强度,以及测量发送端信号的设备,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 该攻击最重要的要素在于利用了强光对于 APD 的热效应的影响,从而使其进入线性模式,因此,根据之前的文献,可以有如下的防御策略:策略1:接收方分出一部分接收到的光进行强度检测,如果光强发生异常变化则报警提示可能存在盗听。该策略在实验层面是防止了致盲攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2 级别。策略2:接收方在单光子探测器内,检测光电流是否超过阈值。为了致盲探测器,攻击者需在 APD
127、串联电阻上形成较大压降。设备则需要通过高速比较器直接检测该串联电阻两端的电压信号来输出探测器响应。该策略在实验层面是防止了热致盲攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2级别。QKD 安全攻击防御方案分析和分级评估研究报告 67 策略 3:根据 APD的工作温度设置温度报警阈值,一旦 APD 的工作温度超过警戒线,则中断通信,查看 TEC 的工作状态。针对策略 3 的防御有效性的评估分级为 C2级别。(十二)(十二)致盲攻击(脉冲光型)致盲攻击(脉冲光型)1.攻击策略攻击策略 上文提到的两个连续光致盲攻击方案是将探测器持续致盲,使得探测器更容易受到攻击者的攻击,此外还有
128、一种使用脉冲的攻击方案,同样可以使探测器进入容易被攻击的状态,此种攻击方案叫做脉冲致盲攻击。脉冲光致盲攻击39是将探测器致盲一段时间,这段时间可长可短,而这种方案的优势在于,可以有效躲过用来防御连续致盲攻击的光电流检测手段。这是因为常用的利用平均电流检测的方式灵敏度较低,并不能及时发现低频的脉冲光注入的攻击行为。图 13 是此种攻击方案的实验装置图:图 13:脉冲式致盲攻击实验装置图39 攻击者通过向探测端发送一串脉冲光进行致盲攻击,这一串脉冲致盲光通过累计的效果会给 APD 引入一个较高的光电流,这个光QKD 安全攻击防御方案分析和分级评估研究报告 68 电流同样可以降低 APD 的偏置电压
129、,从而导致探测器的致盲。这一串致盲光只会导致第一个脉冲响应,因为紧接着就是探测器的硬死时间,在这个区间内,进一步测试完全受控区域,该区域满足条件Ealways/2 Enever,也即一半的能响应的触发光强不会引起响应。图 14 为真实的致盲脉冲和触发脉冲的设置和探测效果:图 14:探测器信号检测39 文献39对脉冲致盲攻击进行了仿真模拟,定量地分析了在受到脉冲光致盲攻击的情况下,最终生成密钥率的变化情况。在对信道模型进行评估时,研究人员考虑了攻击所引入的致盲区域以及可能引入的错误率,分析了密钥率的上下限,分析出存在安全性隐患的区域,仿真结果如图 15所示:QKD 安全攻击防御方案分析和分级评估
130、研究报告 69 图 15:脉冲致盲攻击下的密钥率分析 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被致盲激光器的响应特性,如致盲功率、完美窃听条件等,并且设计合理的伪态信号。一天就足以发动致盲攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学器件和量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者需要通过获取关于系统同QKD 安全攻击防
131、御方案分析和分级评估研究报告 70 步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控雪崩单光子探测器。在执行阶段,注入激光的功率不会破坏探测模块和温控装置,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段的机会窗口和执行阶段的机会窗口均处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光纤上,熔纤并向接收端注入激光。此外,还需要一个脉冲光源来致盲探测器
132、以及一个用来发送伪态信号的光源,并设计伪态信号强度,以及测量发送端信号的设备,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 该攻击的关键要素是脉冲光对于光电流的累积效果,从而实现致盲,因此,文献提供了如下的防御策略:策略1:接收方分出一部分接收到的光进行强度检测,如果光强发生异常变化则报警提示可能存在盗听,需要使用高带宽的 PD才能测试到脉冲光。该策略在实验层面是防止了致盲攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2级别。策略2:针对脉冲致盲,可以从致盲攻击的一些现象和痕迹来提QKD 安全攻击防御方案分析和分级评估研
133、究报告 71 供防护的思路。首先,根据输出的光电流的对比,可以发现有一些区分度:未致盲和致盲后,光电流的涨落范围有明显的变化。另外一个现象是致盲光脉冲会引起一个很大的瞬时光电流,一个高带宽的光电流监测器可能可以发现攻击。因此通过检测 APD 的光电流的上述不自然的变化可以监测该攻击,这在实验层面是防止了致盲攻击发生的可能性,针对策略 2的防御有效性的评估分级为 C2 级别。(十三)(十三)死时间攻击死时间攻击 1.攻击策略攻击策略 死时间攻击40的原理是利用探测器的死时间效应进行攻击。以雪崩探测器APD为例,APD探测到光信号后,需要的一小段时间退出雪崩状态重新回到待激发状态,这一段重启时间即
134、为 APD 的死时间。处于死时间内的 APD 是无法探测光信号的。在最开始提出的死时间攻击中,攻击者随机选择制备具有量子态信息的强光并发送给 Bob,这个强光信号需要在信号脉冲之前并且和信号脉冲的时间间隔小于死时间。这就使得只有攻击者需要观察的探测器未进入死时间,而其他的探测器都处于死时间。攻击者利用探测器的响应即可得到相应信息。攻击条件:门信号宽度的一半伪造脉冲与信号脉冲时间间隔死时间,探测响应输出具有有效窗口。这里以BB84偏振编码为例,如果攻击者随机选择的强脉冲光的偏振调制为|-,并且接收端测量基矢的选择方式是被动选择,那么系统中探测|-的探测器在接收到来自攻击者的强脉冲光之后就会处QK
135、D 安全攻击防御方案分析和分级评估研究报告 72 于死时间内而不发生响应。此外|-是|H和|V态的叠加,强光被均分到探测|H和|V态的探测器,这也使得这两个探测器进入死时间而不发生响应。那么此时只有探测|+的探测器是有效的,如果在这个死时间的时间范围内接收端有来自发送端的探测,那么攻击者能以很高的准确性判断接收端的探测结果为|+,攻击者也就控制了接收端探测器的响应。针对主动调制(四相位调制)的相位系统,攻击者伪造脉冲时间1ns,攻击者随机选择光的相位 0、,如果接收端调制 0、/2、3/2,则均会被致盲,如果信号脉冲有探测时,则接收端调制信息为 相位,即攻击者确定性的得到 Bob的探测信息。图
136、 16:死时间攻击示意图40 广义的死时间攻击则是攻击者利用探测端死时间不同步的漏洞。所谓探测段死时间不同步是指:多个探测器其中有一个有探测,只让自己处于死时间,而不是让所有探测器都进入死时间。如果信号发送频率超过了死时间间隔,或者攻击者利用该死时间窗口使用强光进行攻击,那么在这段死时间内的探测结果对于攻击者不是完全QKD 安全攻击防御方案分析和分级评估研究报告 73 随机的,攻击者有一定的概率知道探测信息。因此广义死时间攻击涵盖了原死时间攻击。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来设计合理的强光攻击信号,选择合适的时间间隔。一天就足以发
137、动死时间攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息不足以支持发动攻击,攻击者需要通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,以及探测器死时间和死时间是否同步等由开发人员组织控制,仅由开发人员和用户组织在保密协议下共享的受限信息来攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种
138、情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控雪崩二极管单光子探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。QKD 安全攻击防御方案分析和分级评估研究报告 74 e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光纤上,熔纤并向接收端注入激光。此外,还需要一个脉冲光源来使得探测器以进入死时间,并且设计脉冲频率,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略
139、该攻击最重要的要素是攻击者向探测端注入携带编码信息的强光,致使除需要的探测器外的探测器都处于死时间。本质上,死时间攻击中,攻击者操控多路探测器在不同时刻进入死时间,从而导致探测效率差异并且推测计数对应的探测器,进而得知对应解码。因此,根据之前的文献,可以有如下的防御策略:策略1:设计多路探测器同时进入死时间,多路探测器只要有一路有响应,就同时设置死时间(且考虑探测器硬件固有的死时间)。保证探测器的工作特征是一致的。这就从原理上关闭了死时间攻击的可能性,因此针对策略 1 的防御有效性的评估分级为 C3 级别。策略2:取消探测器与解码的对应关系,即一段时间后变换解码和探测器的对应关系。本方案中变换
140、对应关系需要随机性,且时间间隔不能过长,以免提供较长的攻击窗口,因此针对策略 2 的防御有效性的评估分级为 C3 级别。QKD 安全攻击防御方案分析和分级评估研究报告 75 (十四)(十四)门后攻击门后攻击 1.攻击策略攻击策略 门后攻击41利用了 APD 的线性模式,与致盲攻击类似。区别在于门后攻击利用了门控信号之外的(门后)部分的线性模式而致盲攻击是将门控信号内的盖革模式转变为线性模式。关于 APD 以及“触发门”工作原理在致盲攻击一节已说明,这里不再赘述。具体的,攻击者在截获重发攻击的基础上,使用类似致盲攻击的强光伪态脉冲信号的攻击方式进行攻击。这里不是用致盲光+强光伪态脉冲信号的联合攻
141、击,而是直接利用强光伪态脉冲信号攻击门控信号之外的线性区域。一般考虑到探测器的死时间,两个门控信号之间会有相对死时间以及信号脉宽较长的时间间隔。这个时间间隔也是由要接受的信号的重复频率决定的。在这个时间间隔中,靠近上一个门较近的部分,我们称他为门控信号之后(门后)区域,靠近下一个门较近的部分,我们称他为门控信号之前(门前)区域。如果强光到达时间是在门控信号之前,则会有不可忽略的后脉冲影响,这会引入额外的误码率导致攻击失败。所以该攻击需要将强光放在门控信号之后,于是该攻击被称为门后攻击。探测器的相应也与致盲攻击非常类似,若接收端和攻击者基矢选择相同则单一探测器响应;否则,探测器都不响应。这样攻击
142、者便成功控制了探测器响应,获取了测量结果的同时也不会造成错误率高等痕迹导致攻击失败。QKD 安全攻击防御方案分析和分级评估研究报告 76 图 17:门后攻击下探测的响应41 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被攻击探测器的响应特性,完美窃听条件等,并且设计合理的伪态信号。一天就足以发动门后攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowle
143、dge of TOE)公开信息不足以支持发动攻击,攻击者需要通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,以及探测器门宽等仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息来成功地攻击设备。QKD 安全攻击防御方案分析和分级评估研究报告 77 d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备例如,门控单光子探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和
144、执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将一个发送伪态信号用的激光源连接到光纤上,熔纤并向接收端注入激光,并且设计伪态信号强度,还需要测试发送端信号的设备,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 该攻击包括以下两个要素:1.攻击者截取测量 Alice 的信光后需重发强光。2.重发的强光需落在探测器的门控信号之后。因此,根据之前的文献,可以有如下的防御策略:策略1:接收方分光检测,异常则报警。接收方分出一部分接收到的光进行强度监视,如果监视器的计数异常则报警提示可能存在盗听,
145、从而防止攻击者发射强脉冲光。该策略在实验层面是防止了门后攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2 级别。策略2:将门控信号之外的探测都不作为有效探测。探测器在探测之后还需用复合门进行符合,符合门宽需小于门控宽度,此时门QKD 安全攻击防御方案分析和分级评估研究报告 78 控信号之外的探测都不作为有效探测不被记录。这就从原理上关闭了门后攻击的可能性,因此针对策略 2 的防御有效性的评估分级为C3 级别。(十五)(十五)时移攻击时移攻击 1.攻击策略攻击策略 在时移攻击42中,攻击者利用了多个探测器在不同时间探测效率不一致的漏洞,攻击探测端窃取信息。如图所示,探测器的探测
146、效率随时间有类似正态分布的变化,因此 SPD0和 SPD1在 t0和 t1的时间点上相差较大的探测效率。这就是多探测器探测效率不一致的漏洞。攻击者可以将每个信号的到达时间随机变换为 t0 或 t1,其概率分别为 p0 和 p1=1p0。攻击者可以小心地选择 p0,以保持接收端的检测事件“0”和“1”的数量相等。由于接收端的测量结果将根据时移(t0 或 t1)偏向于“0”或“1”,攻击者可以在不惊动通信双方的情况下“窃取”信息。具体的攻击光路参见时移攻击示意图。在此攻击中,不需要测量和制备量子态,只需通过改变量子信号传输的距离,随机改变发送端发送的量子态到达接收端的时间就能完成该攻击。QKD 安
147、全攻击防御方案分析和分级评估研究报告 79 图 18:探测器探测效率不一致性示意图42 图 19:时移攻击示意图42 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被攻击探测器的响应特性,即探测效率的差异,然后根据其时间差异制作攻击光路。一天就足以发动时宜攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但前期探明探测器的工作效率差异以及制作攻击光路需要量子光学实验方面的专业知识。但是由于此项攻击不需要制备量子状态,因此,识别阶段需要专家级别而执行阶段只需要熟练即可。c)掌握的
148、设备信息(掌握的设备信息(Knowledge of TOE)公开信息不足以支持发动攻击,攻击者需要通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,以及不同探测器之间探测效率变化差异等仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息来成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如,门控单光子探测器。此外,假设攻击时,设备QKD 安全攻击防御方案分析和分级评估研究报告 80 不会触发系统警报。在执行阶段,没有任何额外的注入激光。因此,
149、识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将额外的光路连接到光纤上。此外,还需要根据探测器效率变化差异制作差分光路,由于该时间很小,所以对光路的精度要求也很高。但是该攻击不需要制备量子状态,现有科技完全可以实现该攻击,因此识别阶段和执行阶段这两个阶段都只需要标准仪器即可。3.防御策略防御策略 该攻击包括两个关键要素:1、探测器的效率不一致性,2、攻击者可以引入额外的时间移动。因此,根据之前的文献,可以有如下的防御策略:策略1:严格检查探测效率和信道损耗,随机切换门位置。该策略在实验层面是防止了时移攻击发生的可能性,因此针对策略
150、 1 的防御有效性的评估分级为 C2级别。策略 2:文献42对于时分复用方案(如图 20)作为防护方案进行了分析,当时分复用的时隙间隔是周期的一半时,不存在时移攻击,否则,可能存在被时移攻击的安全漏洞。降低了遭受时移攻击的可能性,因此针对策略 2 的防御有效性的评估分级为 C3 级别。QKD 安全攻击防御方案分析和分级评估研究报告 81 图 20:时分复用方案(十六)(十六)分束器波长攻击分束器波长攻击 1.攻击策略攻击策略 探测端的基矢选择需要保证随机性,如果使用被动基矢选择,随机性就需要由分束器保证。理论上,分束器对强光进行一比一的分光,而对单光子,分束器使得单光子从两端口通过的概率为 1
151、:1,这样使得分束器可以实现随机的基矢选择。然而,实际器件由于存在制造方面的差异和特性,其随机性可能会受到影响,比如有些分束器存在某些模式上的相关性,如波长相关性。也即在通信双方所用的波长,分束器可以实现 1:1 的概率,但在波长偏离较大时,分数比就会发生变化。需要说明的是,该攻击仅针对被动基矢选择的QKD系统适用。分束器波长攻击43利用波长相关性,可以通过调节波长来控制分束器分束比,进而控制接收端的基矢选择和攻击者自己的基矢选择一致,避免攻击者和接收端基矢不一致时引起误码。具体的,攻击者截取 Alice 的信号光进行测量,根据自己的测量结果发送相应波长的光,使得大部分的光通过分束器后进入与自
152、己基矢选择一致的解码模块。且根据文献,当两个波长对应的分束比差于 22:78 和QKD 安全攻击防御方案分析和分级评估研究报告 82 78:22 时,截获重发攻击的误码率可控制在 11%以内,从而有效隐藏攻击的存在。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周来确定基矢选择的波长依赖性,需要一天的时间来利用基矢选择的波长依赖性获得最终密钥信息。b)专业能力(专业能力(Expertise)现有文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge o
153、f TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控单光子探测器。此外,尝试通过量子信道访问发射端输出和接收端输入的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断光纤,将攻击者的激光源连接到光纤上,并通过熔纤将攻击者的激光源连接到发射端。这种攻击还需要单光子探测器和电子设备来探测和分
154、析信号。因此需要专门的设备,包括光学QKD 安全攻击防御方案分析和分级评估研究报告 83 分析仪、激光源和光调制器。3.防御策略防御策略 该攻击最重要的要素是分束器分束比可能随波长变化。因此,根据之前的文献,可以有如下的防御策略:策略1:在解码探测端只让固定波长的光通过,滤除其它波段的光。也即在进入解码模块前设置窄带滤波,只让固定波长的光通过。该策略在通过添加滤波设备防止了分束器波长攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2级别。策略2:采用主动基矢选择。该策略在原理上防止了分束器波长攻击发生的可能性,因此针对策略 2 的防御有效性的评估分级为 C3级别。(十七)(十七
155、)荧光攻击荧光攻击 1.攻击策略攻击策略 荧光攻击44是利用雪崩探测器(APD)在探测光信号时存在一定的几率反向发射荧光的特性进行的攻击。其中荧光来源于载流子的雪崩效应,在 APD 处于盖革模式下吸收光子后会发生雪崩击穿,在门控信号之后时 APD 回到线性模式时载流子也会迅速淬灭。荧光强度和 APD 淬灭的电子学设置关系紧密。包括偏压、门控位置和宽度。接收端偏压越大,接收到的光信号在门控信号中位置越靠后,荧光强度越大。攻击者通过探测分析荧光的特征以判断探测器的响应情况。QKD 安全攻击防御方案分析和分级评估研究报告 84 图 21:探测器荧光时域信号44 上图是从探测器的输入端口得到的信号通过
156、 OTDR 分析得到的结果。其中尖峰为 back-reflection 光,它们来源于光纤和各个器件端口的连接处。而较宽的矩形部分是只在探测器打开状态下才出现的,我们认为它是由荧光效应产生的。攻击者可以收集从接受端反向发射的光子,通过分析反向发射光信号的特征区别不同探测结果,进而来推断哪个探测器有响应,从而造成安全隐患。图 22:荧光攻击示意图 QKD 安全攻击防御方案分析和分级评估研究报告 85 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定反射荧光的相关特性,需要一天的时间来利用基矢选择的反射荧光获得最终密钥信息。b)专业能力(专业能力(
157、Expertise)现有文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如门控单光子探测器。此外,尝试通过量子信道访问发射端输出和接收端输入的次数是无限的。因此,识别阶段和执行阶段的机会
158、窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断光纤,将攻击者的探测设备连接到光纤上,并通过熔纤将光纤连接到接收端。这种攻击还需要单光子探测器和电子设备来探测和分析信号。因此,识别阶段和执行阶段这两个阶段都需要定制设备。QKD 安全攻击防御方案分析和分级评估研究报告 86 3.防御策略防御策略 该攻击最重要的要素是探测器响应时有一定几率反向发射的荧光。因此,根据之前的文献,可以有如下的防御策略:策略1:防止攻击者得到反向发射的光子,可以通过设置隔离器、环形器和光谱滤波器等实现。这些设备滤除了反向发出的光,避免该反射光被攻击者接收和分析来反推探测。该策略在实验层面是防止了分束器
159、波长攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C2级别。策略2:理论上修正成码率公式,考虑荧光光子造成的信息泄露,扣除通过隔离器后的 backflash 光子造成的信息泄露。其中是探测器探测效率,e 是错误率,是错误订正过程中公开的部分,订正项=()/,是荧光导致的信息泄露。该策略使得荧光风险被纳入到安全性证明之中,因此针对策略 2 的防御有效性的评估分级为 C3级别。(十八)(十八)超线性攻击超线性攻击 1.攻击策略攻击策略 类似门后攻击利用的漏洞,超线性攻击4546利用的漏洞是探测器的某些时间区域的探测效率存在超线性特性。门控的雪崩二极管探测器在门信号上升和下降的过程中
160、(尤其是下降沿位置)探测QKD 安全攻击防御方案分析和分级评估研究报告 87 效率具备超线性特性,在触发脉冲功率增加 3dB 倍的情况下,检测概率从接近 0 跳升至 100%。也即反过来,探测器存在某接收功率,该功率和该功率的一半将分别对应探测器检测概率为接近 1和接近 0。这种情况下就能够满足 1 中提到的完美伪态攻击的条件。基于该漏洞,攻击者可以在截获重发攻击的基础上,研究探测器出现超线性特征的时域位置,并对光子数进行优化分析,从而以引入很低错误率的代价,进行密钥窃取。攻击步骤类似上述门后攻击,但与门后攻击不同,超线性攻击中,攻击光脉冲强度约为几百光子/脉冲,强度较低,难以通过光强进行检测
161、。图 23:门控探测器过渡区的超线性45 具体攻击方法,以文献46为例,研究人员利用不同平均光子数的脉冲信号对探测器门信号不同延时下的探测概率进行了分析。研究人员首先通过移动激光脉冲的延时,找到探测器探测效率最大的点,并将此设定为 0 点,在此基础上对脉冲信号施加不同延时,研究探测器在不同平均光子数情况下的探测效率。研究结果表明,当延时为 1.16ns 时,探测器有着明显的非线性效应,如下图所示。攻击者结合截获重发攻击,通过将重发光调节合适的光子数、时间QKD 安全攻击防御方案分析和分级评估研究报告 88 位置来利用探测段探测器超线性区域,以引入极小错误率的代价,窃取几乎所有的密钥。图 24:
162、超线性攻击装置46 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被攻击探测器的响应特性,超线性区域,完美窃听条件等,并且设计合理的伪态信号。一天就足以发动超线性攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息不足以支持发动攻击,攻击者需要通过获取关于系统QKD 安全攻击防御方案分析和分级评估研究报告 89 同步信号、
163、时钟频率、信号脉冲波长和设备编码方法的公开信息,以及探测器门宽等仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息来成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如,门控雪崩二极管单光子探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段处于中等难度,而执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将发送伪态信号
164、用的激光源连接到光纤上,熔纤并向接收端注入激光,并且设计伪态信号强度,还需要测量发送端信号的设备,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 超线性攻击是的实现关键在于攻击者利用探测器的超线性区域进行攻击。因此,根据之前的文献,可以有如下的防御策略:策略1:成码率修正,在超线性的探测特性下,给出了公式建议(简化公式):其中的 是单光子探测效率。该策略使得荧光风险被纳入到安QKD 安全攻击防御方案分析和分级评估研究报告 90 全性证明之中,因此针对策略 1 的防御有效性的评估分级为 C3 级别。策略 2:利用 bit-mapped gat
165、ing 方案,让门外探测事件的基矢选择随机化,这样攻击光便会造成随机探测和 50%的误码。该策略在实验层面是防止了分束器波长攻击发生的可能性,因此针对策略 2的防御有效性的评估分级为 C2 级别。策略 3:文献46最后也分析了超线性区的探测事例的时间分布,结果表明探测器在探测到单光子信号和多光子信号时,探测计数的时间分布是有差别的。具体而言,多光子信号的探测计数时域分布更宽,因此可以通过对探测器响应时间分布的监测可以有效防护超线性攻击。该策略在实验层面是防止了分束器波长攻击发生的可能性,因此针对策略 2 的防御有效性的评估分级为 C2 级别。策略4:可以利用本攻击是时间敏感的特点,通过增加门控
166、信号的 time jitter 来增加攻击引入的 QBER。该策略在实验层面是防止了分束器波长攻击发生的可能性,因此针对策略 2 的防御有效性的评估分级为 C2 级别。(十九)(十九)双计数攻击双计数攻击 1.攻击策略攻击策略 实际探测过程中会出现多个探测器同时响应的事件,这是由于第一设备本身存在暗计数,第二接收端可能同时收到多光子信号。这种情况下,如果探测模块简单将同一个测量基矢下的 2 个探测器同时响应的事件丢弃,那么攻击者可以利用这样的处理方式进行攻QKD 安全攻击防御方案分析和分级评估研究报告 91 击。该攻击被称为双计数攻击47。双计数攻击基于截获重发攻击,重发的光为较强的光,可使得
167、接收端的基矢不一致的 2 个探测器都能接收到足够的光子数,而导致都有响应。如果两个探测器都响应的情况只是单纯的做丢弃处理,那么攻击者的攻击会在这种情况不被记录从而不产生额外的误码,那么攻击行为也就不会被发现。例如在一个偏振编码的 QKD 系统(Z 基(H,V),X 基(+,-),攻击者可以截取掉 Alice 发送的量子光信号测量,根据测量结果给 Bob发送多光子脉冲,当 Alice和 Bob对基后,若攻击者编码的量子态和 Bob(Alice)选择的测量基不匹配时,如攻击者发送+态,Bob 选择 Z 基,则+态的多光子脉冲经过 Bob 端的解码器(如偏振分束器)后会分成两路,从而使得两个探测器(
168、H 态和 V 态)同时响应,若这种事件被系统忽略的话,此时系统中并不会发现攻击者;若 Eve 编码的量子态和 Bob(Alice)选择的测量基匹配时,如攻击者发送 H 态,Bob 选择 Z 基,则会在 Bob 端产生一个正确计数,综上所述,如果通信双方将双计数事件忽略不加以分析的话,会使得攻击者有可乘之机,从而窃取密钥信息不被正常通信双方发现。QKD 安全攻击防御方案分析和分级评估研究报告 92 图 25:双计数攻击 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被攻击探测器的响应特性,设计重发的光强可以使得多个探测器同时响应。一天就足以发动
169、双计数攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如单光子探测器。此外,假设攻击时,设备不
170、会触QKD 安全攻击防御方案分析和分级评估研究报告 93 发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工具(Tool)攻击需要切断作为量子信道的光纤,将重新发送信号用的激光源连接到光纤上,熔纤并向接收端注入激光。这种攻击还需要单光子探测器和电子设备来探测和分析信号。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 双计数攻击实现的主要是利用了 QKD 系统在后处理时对两个探测器同时响应的事件进行丢弃的特性,因此,根据之前的文献,可以有如下的防御策略:策
171、略:对于多计数事件,不能只是单纯的丢弃该事件而需要做随机选择。例如使用两个单光子探测器的主动基矢选择方案,利用真随机数发生器从探测信息中随机选取其中之一即可。对于使用四个单光子探测器的被动基矢选择方案,同一基矢下的双光子探测事件使用同样的随机赋值方式处理48。这就从原理上关闭了双计数攻击的可能性,因此针对策略的防御有效性的评估分级为 C3 级别。(二十)(二十)设备校准攻击设备校准攻击 1.攻击策略攻击策略 设备初始化校准攻击是指通过利用 QKD 之前的系统校准过程中QKD 安全攻击防御方案分析和分级评估研究报告 94 延时扫描步骤,导致多路探测器效率曲线的时间偏差,使得探测器的探测效率不匹配
172、49的攻击手段。如果出现了探测器的探测效率不匹配的情况,那么就可以结合之前介绍的时移攻击进行对量子通信的窃听。双路商用 QKD系统中校准过程如下:a)Bob 发送强光校准脉冲给 Alice;b)Alice不调制相位,脉冲返回 Bob;c)Bob 给其中一路脉冲(如长 L 路)调制/2 相位,使得干涉脉冲一半功率到 D0,一半功率到 D1;d)Bob 通过扫描不同时刻发送的校准脉冲,记录探测器的响应曲线,从而将两个探测器的门触发时间进行校准。文献49介绍了具体针对 plug-and-play系统的设备校准攻击方案。攻击者可以干预校准过程从而引入可控制的探测效率不匹配:将Bob 发给 Alice
173、的某个光脉冲之间加一个调制相位,使得会让此光脉冲的前半部分和后半部分的相位不同,即前半部分为-/2,后半部分为/2,从而此脉冲与另一个时间脉冲的相位差不同(前半部分相位差为,后半部分相位差为 0),使得前半脉冲干涉结果直走一个探测器(D1),后半脉冲干涉结果只走另一个探测器(D0),即两个探测器探测的分别是前半脉冲和后半脉冲的能量,这种响应时间差通常也和光脉冲脉宽相关。如图 26所示:QKD 安全攻击防御方案分析和分级评估研究报告 95 图 26:设备校准操作49 攻击造成的探测器效率差异如图 27 所示,该攻击造成 2 个探测器的效率峰值的时间位置之间出现了明显的差异。这种概率差异的情况(0
174、 比特探测器和 1 比特探测器的时移方向)可以由攻击者控制,从而可以使得攻击者后续利用探测效率不匹配漏洞,结合时移攻击、伪态攻击等方案,可以在引入很小错误率的情况下窃取安全密钥,威胁整个系统的安全性。图 27:设备校准攻击引起的探测效率差异 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来分析设备校准的具体特性,在前后分量上设计不同的相位差。需要根据被攻击者的校准时间确定发动设备校准QKD 安全攻击防御方案分析和分级评估研究报告 96 攻击的时间,并不能随时发动攻击。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击
175、需要量子光学设备和量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)需要掌握具体的校准设备特性以及校准设备时间,这是仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如相位调制器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击攻击工具(工
176、具(Tool)攻击需要切断作为量子信道的光纤,将调制校准脉冲光的光路连接到光纤上,熔纤并接入接收端。在充分了解校准光特性的情况下这种攻击仅需要相位调制器和一些普通光路耗材。因此,识别阶段和执行阶段这两个阶段都只需要特殊设备。3.防御策略防御策略 设备校准攻击主要是针对 QKD 系统校准过程进行的攻击,因此,根据之前的文献,可以有如下的防御策略:策略:IDQ提出了在探测端端进行 0、的校准电压随机变化,QKD 安全攻击防御方案分析和分级评估研究报告 97 来替代可能被攻击的固定的/2电压校准效率,该策略在实验层面是防止了分束器波长攻击发生的可能性,因此针对策略 2 的防御有效性的评估分级为 C2
177、级别。(二十一)(二十一)强光损伤探测器攻击强光损伤探测器攻击 1.攻击策略攻击策略 利用强光照射对器件永久的性能改变制造安全漏洞。在文献50中,研究人员具体进行了原理性验证实验,针对基于雪崩二极管的单光子探测器,通过输入不同强度的激光,观察单光子探测器的性能变化。研究人员测试了 10 个探测器样本,测试光路如下图所示 图 28:强光损伤探测器实验装置图50 测试方式是,采用 60s 的连续光照射周期后,然后测试 APD 性能。接着下一个周期。每个周期间的能量以较小的增速逐渐增加。QKD 安全攻击防御方案分析和分级评估研究报告 98 图 29:设备校准攻击引起的探测效率差异 特别地,当CW光功
178、率在0.91.2W之间时,所有APD暗计数永久性地明显增加很大值。CW 光功率在 1.21.7W 之间时,APD 产生很大的暗电流。这导致被动淬灭的探测器的致盲,使得探测效率和暗计数都降为 0。CW 光功率大于 2W时,APD 产生灾难性的结构变化。其中一个焊线融化,使得电路成为开路。另外 2 个永久地失去了光电探测性能,变成了 10100 k电阻。在之后,如下图所示,肉眼可见的变化是变形的金电极,破坏的最后阶段是光束造成 Si 芯片上的一个洞。QKD 安全攻击防御方案分析和分级评估研究报告 99 图 30:探测器不同阶段损坏程度50 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(El
179、apse Time)需要一周的时间来分析被攻击探测器的具体特性,攻击的效果。一天就足以发动强光损伤探测器攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学设备和量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和设备编码方法的公开信息,通常可以成功地攻击设备。QKD 安全攻击防御方案分析和分级评估研究报告 100 d)获取设备的机会窗口(获取
180、设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如单光子探测器。此外,假设攻击时,设备不会触发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要用到连续的激光光源作为损伤激光,另外还需要用到特定的高功率激光放大器来对攻击光的光功率进行放大,完成此项攻击具有一定的挑战性。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御策略防御策略 该攻击的关键在于攻击者利用强的激光对 Q
181、KD 系统的探测器进行攻击,因此,根据之前的文献,可以有如下的防御策略:策略:额外的光功率计和看门狗探测器可以应用在 QKD 系统中的探测端,其主要功能是限制入口功率,一旦输入光功率大于设定阈值时会发出报警信号。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。(二十二)(二十二)探测器偏振相关攻击探测器偏振相关攻击 1.攻击策略攻击策略 超导纳米线探测器(SNSPD)有着很高的探测效率以及较低的QKD 安全攻击防御方案分析和分级评估研究报告 101 暗计数和时间抖动,被广泛应用于 QKD 实验中。但是由于原理上的特点,其探测效率是偏振相关的。
182、因此,文献51提出了一种偏振相关的攻击策略,具体攻击策略如下:攻击者可以利用利用两个 SNSPD 之间的偏振相关性差异,找到两个临界的偏振角度,在这两个偏振角度下可以分别保证两个探测器的效率相差极大,因此,攻击者就可以开展一个截获重发攻击,以引入极小错误率的代价窃取信息。攻击策略的装置图如图 31:图 31:偏振相关攻击51 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来分析被攻击探测器的具体特性,探测效率的偏振相关性。一天就足以发动探测器偏振相关攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨
183、了如何执行攻击,但实施攻击需要量子光学设备和量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。QKD 安全攻击防御方案分析和分级评估研究报告 102 c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息不足以支持发动攻击,攻击者需要探测器的具体型号和其偏振相关特性,才可以成功地攻击设备。此类信息属于仅在开发人员组织内可用,绝不能在开发人员组织外共享的敏感信息。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合适的渠道购买设备,例如单光子探测器。此外,假设攻击时,设备
184、不会触发系统警报。在执行阶段,注入激光的功率不会破坏探测模块,尝试通过量子通道访问探测端的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要切断作为量子信道的光纤,将额外的光路连接到光纤上。此外,还需要使用 EPC 实时调整伪态信号的偏振。但是该攻击不需要制备量子状态,现有科技完全可以实现该攻击,因此识别阶段和执行阶段这两个阶段都需要定制仪器。3.防御策略防御策略 该攻击主要利用了超导纳米线单光子探测器的偏振响应特点进行攻击,根据文献51,可以有如下的防御策略:策略 1:Bob 可以利用一个额外的起偏器,将其放置在 SNSPD前面对不想要
185、的偏振态进行滤波。此方法需要对起偏器进行相关的测试标准要求,在实验上可操作性强,因此防御有效性的评估分级为 C2 级别。QKD 安全攻击防御方案分析和分级评估研究报告 103 策略2:使用探测效率偏振无关的探测器,此方法需要对探测器进行相关的测试标准要求,在实验上可操作性强,因此防御有效性的评估分级为 C2级别。策略3:将偏振相关引起的效率不一致引入安全性证明之中,该方案在理论上可以防止偏振相关攻击带来的成码率影响,因此防御有效性评级为 C3。策略4:由于攻击者利用的是偏振维度进行攻击,因此偏振编码的 QKD 协议就可以抵抗这样的攻击策略,这就从原理上关闭了偏振相关攻击的可能性,因此针对策略的
186、防御有效性的评估分级为 C3 级别。四、针对 CV-QKD 设备的攻击风险和防御有效性评级研究 本报告收集整理了 11 种已存在的针对 CV-QKD系统的攻击方式,讨论其攻击原理,并从章节二、的攻防分级方法出发,对 11 种攻击策略进行 2 个阶段、5 个维度的评估讨论,对其各自相应的防御方案进行分级讨论。(一)(一)木马攻击木马攻击 1.攻击策略攻击策略 与离散变量 QKD系统一样,由于技术和实际器件的非理想性,连续变量 QKD系统的光路中也存在众多反射点。这些反射点上反射QKD 安全攻击防御方案分析和分级评估研究报告 104 的光信号会经过调制器件,携带量子光信号的调制信息(强度、相位等)
187、,形成安全性漏洞,攻击者可以通过注入木马光的方式利用该漏洞分析反射光脉冲信号携带的调制信息以获取密钥信息52。此时,Eve 只需要几个反射光子,就能有高于 90%的概率识别原始密钥,从而破坏整个连续变量系统的安全性。已经有实验52展示了法国 SeQureNet 公司的实际连续变量 QKD系统在二态调制和高斯调制两种调制方式下特洛伊木马攻击的性能。由下图所示,对于二态调制系统,可以实时识别初始调制的量子态,成功率达到 99%。这样使得窃听者可以准确地区分调制后的量子态,也就是窃听者可以掌握几乎所有的原始密钥的信息。对于高斯调制的商用系统,该实验也展示了其攻击结果,表面了攻击的可行性。图 32:针
188、对 CV-QKD 的木马攻击的实验结果 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定注入激光脉冲的特性,如功率和脉宽。一天就足以发动特洛伊木马攻击,并在不被检测的情况下获取最终密钥信息。QKD 安全攻击防御方案分析和分级评估研究报告 105 b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号光波长和
189、设备编码方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要切断作为量子信道的光纤,将激光源连接到光纤上,熔纤并向发射端注入激光。此外,还需要一个定制的光学系统来检测和提取反射脉冲的信息,这是一个非常具有挑战性的工作。因此,识别阶段和执行阶
190、段这两个阶段都需要定制设备。3.防御有效性防御有效性 从前面的描述中可以看出,在木马攻击中一个重要的因素就是:攻击者接收到的携带编码信息的木马光子数的数量,这直接决定了攻击者能在多大程度上区分不同量子态,从而实现信息窃取的目的。QKD 安全攻击防御方案分析和分级评估研究报告 106 为了实现 QKD 系统对木马攻击的防御,需要严格限制木马光子的输入并且增加输入光强监控。决定木马光子数的因素主要有三点,包括:攻击者可以注入的最大木马光子数,QKD 系统发送端的隔离度和其内部反射率。策略1:增加额外隔离以及减小内部反射率,以达到限制木马光子的输入以及返回的目的,具体措施包括:(1)在 QKD 发送
191、端增加隔离器、衰减器以及环形器等光学非互异性器件,从而达到限制木马光的输入,同时,增加窄带滤波器来防止攻击者利用非工作波段的木马光进行攻击;(2)可以将 QKD 系统发送端内部的光纤接头换成斜头,或者通过熔接光纤的方法减少内部反射的发生。综上所示,目前针对木马攻击的防御可以在实验方面开展。因此,此防御策略应被评定为 C2 级别。策略2:在发送端设置检测光电探头,监控入射的激光强度,并设定报警阈值。由于光电探头有限的波长响应范围,所以此防御策略应被评定为 C1级别。(二)(二)非理想光源攻击非理想光源攻击 1.攻击策略攻击策略 对于实际连续变量 QKD 系统,相干光源在调制之前和调制中引入的噪声
192、可能使输出光源变为非理想相干态。此时,可以将该非理想相干光源建模为相位非敏感放大器和理想相干光源的组合,信号态由具有散粒噪声的非理想光源产生,然后使用高斯调制器将其进QKD 安全攻击防御方案分析和分级评估研究报告 107 行位移。非理想相干光源被建模为增益为 g、输入为(X,P)的相位不感放大器和理想相干源。如下图所示。其中,图(a)为 制备-测量(PM)模型,图(b)为基于纠缠(EB)模型。图 33:非理想光源攻击模型 非理想相干光源安全码率仿真结果53如图 34 所示。其中,红色的曲线表示使用零差探测,蓝色的曲线表示使用外差探测;实线、虚线、点线、点划线分别表明增益 为 1、1.03、1.
193、06 和 1.1。结果表明,光源的非理想特性都会极大地影响反向协调下 CV-QKD 系统的安全密钥率。图 34:非理想相干光源模型安全码率 QKD 安全攻击防御方案分析和分级评估研究报告 108 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定待攻击光源的非理想特性,即引入的噪声。一天就足以发动非理想光源攻击,并在不被检测的情况下获取最终密钥信息。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowl
194、edge of TOE)公开信息不足以支持发动攻击,攻击者通过获取关于系统时钟频率、信号脉冲波长和设备编码方法的公开信息,还需要额外引入的过量噪声等开发人员组织内的敏感信息,才可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要切断作为量子信道的光纤,将相干态测量设备连接到光纤上,并且攻击
195、需要搭建一套发送和测量的模块,还需要结合截获重发才能窃取密钥信息,这是一个非常具有挑战性的工作,因此需要使用定制设备。因此,识别阶段和执行阶段这两个阶段都需要定制设备。QKD 安全攻击防御方案分析和分级评估研究报告 109 3.防御有效性防御有效性 在高斯调制相干态连续变量 QKD 系统中,非理想相干光源、高斯调制及相位补偿都会引入额外过量噪声,从而造成系统安全密钥率下降。这些非理想特性可通过可信噪声建模统一归结到中立的第三方,并修正安全密钥率计算公式,以降低非理想性对系统安全性的影响。策略:非理想相干光源、高斯调制及相位补偿都会引入的额外过量噪声统一到一个噪声模型当中,并将其纳入到成码率计算
196、公式,将不安全的信息舍弃掉。该策略使得非理想光源攻击被纳入到安全性证明之中,因此针对该策略的防御有效性的评估分级为 C3 级别。(三)(三)注入锁定注入锁定攻击攻击(强度型)(强度型)1.攻击策略攻击策略 在前面的章节中,本报告介绍了通过注入锁定攻击来控制 DV-QKD 系统光源的相位、强度或者波长,从而破坏安全性要求,在这一章节中,本报告将会介绍一种通过激光器注入改变 CV-QKD 的相干态光源强度的攻击策略。Eve 可通过量子信道将具有适当波长的强光注入激光二极管,控制其输出的光强,使得传输的高斯调制相干态强度增大,此时窃听者就可以使用简单的截取-重发攻击而不被 Alice 和 Bob 发
197、觉,该攻击称作激光器种子攻击。激光器种子攻击54如图 35:激光器种子攻击改变光源强度的QKD 安全攻击防御方案分析和分级评估研究报告 110 实验示意图所示,图中:P(t)表示没有激光器种子攻击时的光信号功率:P(t)表示存在光器种子攻击时的光信号功率;A 表示没有攻击时生成的信号;A表示存在攻击时生成的信号。在激光器种子攻击下,合法通信双方会低估量子信道中的过量噪声,使得安全密钥率估计偏高。Eve可以通过选取合适的参数,使得 Alice 和 Bob 估计的过量噪声小于实际的过量噪声,从而掩盖攻击引入的过量噪声。安全密钥率仿真结果54如图 36:激光器种子攻击下系统的安全密钥率所示,它展示了
198、激光器种子攻击在不同参数下的安全密钥率。由此可见,激光器种子攻击下,通信双方会高估系统的安全密钥率。图 35:激光器种子攻击改变光源强度的实验示意图 QKD 安全攻击防御方案分析和分级评估研究报告 111 图 36:激光器种子攻击下系统的安全密钥率 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定被攻击激光器的特性,如功率和中心波长。一天就足以发动激光器种子攻击,以此改变 QKD 系统相干光源的强度,方便攻击者发动其他攻击实现密钥的窃取。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要激光器和量子光学方面的
199、专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于激光器的中心波长的公开信息,通常可以成功地攻击设备。QKD 安全攻击防御方案分析和分级评估研究报告 112 d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 QKD 系统光源,通常是可以用合理价格买的的相干光源,例如:DFB 激光器。另外,在执行阶段,攻击者尝试通过量子通道访问发射端的次数是无限的,注入激光的功率不会破坏原有模块。所以,综上所述,识别阶段和执行阶段的机
200、会窗口都是简单等级。e)攻击工具(攻击工具(Tool)攻击需要用到连续的激光光源作为种子光,另外还需要用到光谱仪来标定激光器中心波长,用到高速光电探头和示波器来检测QKD 系统光源发出的脉冲信号的波形,这些仪器都属于高端的特殊仪器。因此,识别阶段和执行阶段都需要特殊仪器。3.防御有效性防御有效性 该攻击最重要的要素是攻击者向 CV-QKD 系统的相干光源端注入强光来改变光源输出光信号的强度特性,针对这一特点,有如下的防御策略:策略 1:在 CV-QKD 系统的发送端增加额外的隔离,以减小攻击者能够注入的光功率,从而使得种子注入难以成功,避免相干光源信号的强度被控制。此项防御策略在实验上具有很强
201、的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2 级别。策略 2:在 QKD系统发送端增加光强实时监控模块,如图 37。检测外界注入激光的强度,并设定报警阈值。该方案实验上具有可行性,未被纳入安全性证明之中,因此应被评定为 C2级别。QKD 安全攻击防御方案分析和分级评估研究报告 113 图 37:激光器种子攻击的实时监控方案(四)(四)光衰减攻击光衰减攻击 1.攻击策略攻击策略 可调谐光学衰减器(VOA)在 CV-QKD 系统中主要起到将高斯调制相干态和本振光调整到最佳值,以保证系统安全性并优化系统性能。在针对 CV-QKD 系统的攻击中,存在一类利用强光对衰减器件进行损伤从
202、而改变器件特性的攻击策略,在光衰减器衰减值减小的影响下,通信双方可能会高估系统的安全密钥率,如图 38 所示,这种攻击手段被称为光衰减攻击55。QKD 安全攻击防御方案分析和分级评估研究报告 114 图 38:光衰减器攻击示意图 与DV-QKD的强光损伤VOA攻击类似,攻击者可以利用强的激光来照射衰减器,在其内部造成热效应,从而导致衰减器的损坏。结果表明,衰减器被强光损坏后衰减值降低了几个 dB,在用户不知情的情况下,合法通信双方将低估信道中的过量噪声,导致最终安全密钥率被过高地估计,如图 39 所示,从而导致计算出的密钥一部分是不安全的,这严重威胁到 QKD系统的安全性。图 39:光衰减器攻
203、击下的成码率示意图 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定注入激光的特性,如功率。一天就足以发动强光损伤攻击,以此破坏 CV-QKD 系统的衰减器,方便攻击者发动其他攻击实现密钥的窃取。QKD 安全攻击防御方案分析和分级评估研究报告 115 b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要光纤器件和量子光学方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于光纤致损阈值的知识,通常
204、可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)作为攻击者的主要攻击目标的 CV-QKD 系统衰减器,通常是可以用合理价格买的。另外,在执行阶段,攻击者尝试通过量子通道访问发射端的次数不是无限的,注入激光的功率会破坏原有模块,并且可能会引起 QKD 模块的报警,导致攻击失败。所以,综上所述,识别阶段的机会窗口为简单等级,执行阶段的机会窗口是中等等级。e)攻击工具(攻击工具(Tool)攻击需要用到连续的激光光源作为损伤激光,另外还需要用到特定的高功率激光放大器来对攻击光的光功率进行放大,完成此项攻击具有一定的挑战性。因此,识别阶段和执行
205、阶段这两个阶段都需要定制设备。3.防御有效性防御有效性 根据前面的描述,该攻击最重要的要素是攻击者使用强光注入损伤衰减器。根据这一特性,可以有如下的防御策略:策略 1:在 CV-QKD 系统的发送端增加额外的隔离,可以采用QKD 安全攻击防御方案分析和分级评估研究报告 116 输出端添加光学保险丝来阻止外界强光的输入,避免衰减器的损伤。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中,因此应被评定为 C2级别。策略 2:在 CV-QKD 系统的发送端实时监控输入光功率,并设定报警阈值,如图 40 所示。此项防御策略在实验上具有很强的可行性,但暂时没有被纳入到安全性证明之中
206、,因此应被评定为 C2 级别。图 40:衰减实时监控装置示意图 (五)(五)本振光波动本振光波动攻击攻击 1.攻击策略攻击策略 本振光波动攻击是在 2013 年被研究人员提出的56。在连续变量 QKD 系统的安全性分析之中,本振光的强度通常被认为是不变的,然而在实际系统中,Eve在信道中可以拦截本振光,并用自己的量子信道取代 QKD 系统通信双方之间的信道。在不改变本振光相位的情况下,Eve可以通过光学可调衰减器模拟光学波动,以降低本振光的强度,并且不被通信双方察觉。此时,实际的散粒噪声方差值将与预先标定好的散粒噪声方差值产生明显差别,从而导致 QKD 系统的QKD 安全攻击防御方案分析和分级
207、评估研究报告 117 安全码率被高估,这严重威胁到 QKD系统的安全性。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定本振光的强度特性。一天就足以发动本振光波动攻击,从而影响 QKD系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportuni
208、ty)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)仅需要在量子信道中接入可调的衰减器即可完成攻击,不需要其他精密设备进行辅助,因此识别阶段和执行阶段都判定为标准工具。3.防御有效性防御有效性 该攻击的关键要素在于:本振光的强度波动。因此,研究人员提出了如下的防御策略:QKD 安全攻击防御方案分析和分级评估研究报告 118 策略 1:在实际 CV-QKD 系统中,接收端需要仔细监控本振光的强度波动
209、,并用其监控的瞬时值对测量结果进行处理,并且根据监控到的强度波动进行安全性分析,分析实际的密钥率水平,因此,此防御策略可以评定为 C3 级别。(六)(六)本振光校准本振光校准攻击攻击 1.攻击策略攻击策略 本振光校准攻击是在 2013年被提出的57,原理如图 41所示。主要的攻击思路为:Eve通过修改本振光脉冲强度来控制散粒噪声,从而使得 QKD 系统通信双方错误标定过量的噪声,以此来掩盖 Eve发动截获-重发攻击时所引入的过量噪声,从而达到在不引起通信双方察觉的情况下窃取安全密钥的目的。图 41:本振光校准攻击57 如图 41 所示,当进入光电二极管的强度高于某个阈值时,时钟电路会输出上升触
210、发信号。随后将该触发信号延迟时刻,使得零QKD 安全攻击防御方案分析和分级评估研究报告 119 差探测的输出信号最大化。Eve在实施校准攻击时,将对本振光的信号进行衰减,从而导致探测器的触发出现延迟,当延迟大于时,探测器的电容就会放电,此时探测器的输出结果就会偏小,使得探测器相应曲线斜率降低。实际 QKD 系统一般使用测量方差和本振光输入功率之间的线性关系来估计信道传输的散粒噪声。此时,如果依然利用这种线性关系进行估计,所得到的散粒噪声方差会变大,这样就会高估了散粒噪声的方差。2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定本振光的强度特性。一
211、天就足以发动本振光校准攻击,从而影响 QKD系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶
212、段的机会窗口都处于简单模式。QKD 安全攻击防御方案分析和分级评估研究报告 120 e)攻击工具(攻击工具(Tool)仅需要在量子信道中接入可调的衰减器即可完成攻击,不需要其他精密设备进行辅助,因此识别阶段和执行阶段都判定为标准工具。3.防御有效性防御有效性 该攻击的关键要素在于:Eve将本振光信号进行衰减。因此,研究人员提出了如下的防御策略:策略 1:在 Bob 的信号路径上对随机选择的一组脉冲施加强衰减,例如使用光开关或强度调制器,加入一个实时测量散粒噪声的装置。该方案在实验上可行且有效,但是并没有纳入安全性证明,所以应被评定为 C2级别。策略2:使用一个专门用于实时散粒噪声测量的同源探测
213、器:在Bob 的本振路径中引入一个分束器,并校准两个同源探测器的相对灵敏度。该方案在实验上可行且有效,但是并没有纳入安全性证明,所以应被评定为 C2级别。(七)(七)参考脉冲参考脉冲攻击攻击 1.攻击策略攻击策略 参考脉冲攻击于 2017 年被提出58,其思想是保证总过噪声不变的情况下,降低与参考脉冲振幅相关的相位估计误差噪声,使得合法通信双方低估系统过噪声。QKD 安全攻击防御方案分析和分级评估研究报告 121 参考脉冲攻击的基本方案是在不改变总体噪声的情况下操纵单个过量噪声的值,具体实施方案如图 42 所示。在 Alice 端,Eve 有选择地将参考脉冲切换到低损耗信道,并将信号脉冲切换到
214、正常的 SMF 光纤信道。Eve 在 Bob 的输入端重新将脉冲组合。通过这样的方式,Eve 就能降低与参考脉冲振幅相关的相位估计误差噪声,并使得该噪声与攻击后的过量噪声之和保持不变,即总体过量噪声不变。由于相位噪声是校准且可信的,QKD 系统通信双方就会低估系统过量噪声,Eve 也就可以在不被察觉的情况下获得额外信息。为了成功实施攻击,Eve 必须保证攻击引起过量噪声增加的同时能够降低相位过量噪声。为此,需要估计 Eve 的噪声容限,降低与参考脉冲振幅相关的相位估计误差噪声。图 42:参考脉冲攻击58 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时
215、间来确定 QKD 系统的相位噪声特性,以确定低损耗信道的参数。一天就足以发动参考脉冲攻击,从而影响 QKD 系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验QKD 安全攻击防御方案分析和分级评估研究报告 122 方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备
216、。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)仅需要在量子信道接入低损耗信道即可完成攻击,不需要其他精密设备进行辅助,因此识别阶段和执行阶段都判定为标准工具。3.防御有效性防御有效性 该攻击的关键要素在于:Eve切换低损耗信道。因此,研究人员提出了如下的防御策略:策略 1:研究人员提出了可信噪声模型53以抵御参考脉冲攻击,该模型使得系统在参考脉冲攻击下可以获得更高的安全密钥率,且传输距离更远。该方案将攻击所带来的影响纳入安全性证明,所以应被评定为 C3 级别。
217、策略2:实施测量参考脉冲的瞬时幅度值,使得相位噪声能够被实时校准,并且 Alice和 Bob可以精确计算出 Eve所能够获取的信息量,从而在达到信息量大于 Alice和 Bob的互信息时终止通信。该方案在实验上可行且有效,并且针对实际的系统特性开展安全性分析,QKD 安全攻击防御方案分析和分级评估研究报告 123 所以应被评定为 C3级别。(八)(八)偏振偏振攻击攻击 1.攻击策略攻击策略 偏振攻击于 2018 年被提出59,具体实施方案如图 43 所示。在连续变量 QKD的过程中,Bob 的测量结果需要用散粒噪声方差的标定值进行归一化处理,而散粒噪声方差是在密钥分发之前 Bob 通过真空态与
218、本振光干涉后测定的统计值,因此保证散粒噪声方差标定值与实际值的一致性至关重要(因为 Bob 实际的测量结果与实际散粒噪声方差成正比)。然而,窃听者还可以通过操纵信道中本振光的偏振态来实现密钥分发过程中对实际散粒噪声方差的控制这种攻击被称为偏振攻击。在实际系统传输过程中,偏振漂移速率通常低于系统的重复频率,因此可以通过对一部分本振光脉冲的偏振态进行测量来补偿所有信号的偏振漂移。但是,其余没有被测量的本振脉冲可以被窃听者轻易操纵,从而控制实际的散粒噪声方差。这样窃听者就可以利用散粒噪声方差标定值与实际值之间的误差来掩盖攻击过程中引入的过量噪声。图 43:偏振攻击59 QKD 安全攻击防御方案分析和
219、分级评估研究报告 124 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定本振光的偏振特性。一天就足以发动偏振攻击,从而影响 QKD系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用
220、合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)需要利用偏振控制器对本振光的偏振态进行操控,不需要其他精密设备进行辅助,因此识别阶段和执行阶段都判定为标准工具。3.防御有效性防御有效性 该攻击的关键要素在于:Eve对于本振光偏振态的操纵。因此,研究人员提出了如下的防御策略:策略 1:将偏振测量比例提高到 100%。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2级别。QKD 安全攻击防御方案分析和分级评估研究报告 125
221、策略2:在传输过程中对散粒噪声进行监控。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2 级别。策略 3:采用连续变量 MDI-QKD 协议,从而去除测量过程中已知和未知的风险。采用了新的 QKD 协议,在理论上实现了安全,所以应被评定为 C3级别。(九)(九)饱和饱和攻击攻击 1.攻击策略攻击策略 连续变量 QKD 协议的安全性证明中假设零差检测的响应相对于输入光强是线性的,因为参数估计隐含了 Bob 的测量结果相对于 Alice 发送的值是线性的这一假设条件。然而,当 Bob 的零差探测器达到饱和时,这种线性假设条件就无法得到满足。事实上,零差探测器具有有限的正常工作
222、范围,当输入超过阈值时,零差探测器通常会发生饱和。当输出信号进入饱和区时,再大的输入信号其输出结果都基本一样。因此,Eve 可以利用探测器输出饱和区放大系数与线性区的不同来实施攻击,这就是探测器饱和攻击60,实施方案如图 44所示。具体来说,Eve 利用截获-重发攻击,但在重发制备量子态时对测量结果进行一个平移操作,使得探测器输出进入饱和区。采用这种攻击方式后,Eve 可以不被察觉地间接控制 Bob 端的测量结果从而获得部分密钥信息。虽然,实际系统为了抵御本振光波动攻击,一般会对本振光的强度进行监测,Eve 不能采用增强本振光的方法来使探测器饱和,但是,她可以通过增加信号光正则分QKD 安全攻
223、击防御方案分析和分级评估研究报告 126 量的调制均值,使探测器工作在饱和区域。由于参数估计模型中只使用协方差矩阵,而 Bob 端测量结果的均值在参数估计模型中没有实际贡献,而且实际系统中一般不会对其进行监控。因此通信双方很难发现窃听者的存在。当探测器进入饱和区后,Bob 端测量结果的放大系数将小于线性区时的放大系数。如果此时 Bob 仍使用事先在线性区所标定的散粒噪声单位来量化输出结果,将会导致最终参数估计中的过量噪声小于真实值,进而造成严重的安全漏洞。图 44:饱和攻击60 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定探测器饱和特性。一
224、天就足以发动饱和攻击,从而影响 QKD系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价QKD 安全攻击防御方案分析和分级评估研究报告 127 格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道
225、截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要搭建一套发送和测量的模块,并且需要光源,探测器等设备。因此需要使用定制设备。因此,识别阶段和执行阶段这两个阶段都需要定制设备。3.防御有效性防御有效性 该攻击的关键要素在于:探测器的饱和特性被操纵。因此,研究人员提出了如下的防御策略:策略1:可以在数据采集后随机选择一小部分数据,测试输入量子态的正则分量值是否大于平衡零差检测器的线性工作阈值。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2 级别。策略 2:Bob 实时监测测量方向的位移值,以此确认探测器
226、工作于线性区域。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2 级别。策略 3:采用连续变量 MDI-QKD 协议,从而去除测量过程中已知和未知的风险。采用了新的 QKD 协议,在理论上实现了安全,所以应被评定为 C3级别。QKD 安全攻击防御方案分析和分级评估研究报告 128 (十)(十)致盲致盲攻击攻击 1.攻击策略攻击策略 除了饱和攻击以外,还有另外一种策略可以使探测器件饱和,那就是在信号端上发送明亮光脉冲使得探测器饱和,实施方案如图 45 所示。这种攻击称为零差探测器致盲攻击61。具体来说,窃听者利用平衡零差探测器两端的损耗不平衡,在信号端发送明亮光脉冲,以引起
227、探测器饱和。因为在实际连续变量 QKD系统中,不能保证信号端的良好平衡,所以任何照射在信号端上的较强光信号将在其中一个光电探测器上产生相对较强的光电流,这将进一步导致零差探测器达到饱和。零差探测器达到饱和将使系统的实际安全性遭到破坏。图 45:致盲攻击61 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周的时间来确定探测器饱和特性。一天就足以发动致盲攻击,从而影响 QKD系统的安全性。b)专业能力(专业能力(Expertise)一些文献探讨了如何执行攻击,但实施攻击需要量子光学实验QKD 安全攻击防御方案分析和分级评估研究报告 129 方面的专业知识。因此
228、,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)QKD系统的公开信息就足以支持攻击者发动攻击。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备。此外,假设攻击时,设备不会触发系统警报。在执行阶段,尝试通过量子通道截取量子信息的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e)攻击工具(攻击工具(Tool)攻击需要搭建一套发送和测量的模块,并且需要光源,探测器等设备。因此需要使用定制设备。因此,识别阶段和执行阶段这两个
229、阶段都需要定制设备。3.防御有效性防御有效性 该攻击的关键要素在于:Eve注入强光使得探测器饱和。因此,研究人员提出了如下的防御策略:策略 1:直接监控进入零差探测器信号端的光强度,Bob 可以使用灵敏光电二极管来检测照射在信号端上的光强。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2 级别。策略2:设计高增益、高带宽、高效率、低噪声的零差探测器。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2级别。策略 3:Alice 和 Bob 通过在 Bob 端使用幅度调制器来测试噪声QKD 安全攻击防御方案分析和分级评估研究报告 130 和测量结果之间的线
230、性度。然而,实际的幅度调制器具有波长敏感性,当波长超出光谱范围时,其效果将受到影响,因此被评定为 C1级别。策略 4:采用连续变量 MDI-QKD 协议,从而去除测量过程中已知和未知的风险。采用了新的 QKD 协议,在理论上实现了安全,所以应被评定为 C3级别。(十一)(十一)波长攻击波长攻击 1.攻击策略攻击策略 CV-QKD 的探测端需要用到分束器(BS)进行基矢选择,其随机性就需要由分束器保证。理论上,分束器对强光进行一比一的分光,这样使得分束器可以实现随机的基矢选择。然而,实际器件由于存在制造方面的差异和特性,其随机性可能会受到影响,比如有些分束器存在某些模式上的相关性,如波长相关性。
231、也即在通信双方所用的波长,分束器可以实现 1:1 的概率,但在波长偏离较大时,分束比就会发生变化。攻击者 Eve 通过伪造量子密钥分发实际安全性分析和测评信道中的传输波长来控制信号到达接收端分束器的反射和透射比例,从而到控制系统噪声的目的,此时合法双方将错误地认为系统仍旧处于“安全”状态。其中,针对平衡零差检测的波长攻击可攻破一般散粒噪声校准攻击防御方案,即对散粒噪声进行实时监测的方案。若 Eve 对系统实施波长攻击,无论 Bob 实时监测散粒噪声与否,系QKD 安全攻击防御方案分析和分级评估研究报告 131 统都会被 Eve 攻克,因为即使 Bob 对本振光强度进行监测,Eve 仍可以结合波
232、长攻击和校准攻击来对系统进行攻击。平衡外差检测波长攻击也是利用分束器的分束比对波长的敏感性来实施攻击62,实施方案如图 46 所示。针对平衡外差检测连续变量 QKD系统攻击时,攻击者 Eve 同样通过伪造量子信道中传输的本振光和量子态来控制合法方接收端的探测结果,从而达到控制系统噪声,欺骗合法双方的目的。图 46:波长攻击62 2.攻击风险分级攻击风险分级 a)消耗时间(消耗时间(Elapse Time)需要一周来确定接收端基矢选择的波长依赖性,需要一天的时间来利用基矢选择的波长依赖性获得最终密钥信息。QKD 安全攻击防御方案分析和分级评估研究报告 132 b)专业能力(专业能力(Expert
233、ise)现有文献探讨了如何执行攻击,但实施攻击需要量子光学实验方面的专业知识。因此,识别阶段和执行阶段都需要专家级别。c)掌握的设备信息(掌握的设备信息(Knowledge of TOE)公开信息足以支持发动攻击,攻击者通过获取关于系统同步信号、时钟频率、信号脉冲波长和系统探测方法的公开信息,通常可以成功地攻击设备。d)获取设备的机会窗口(获取设备的机会窗口(Window of opportunity)假设在这种情况下,攻击者没有受到强约束,可以用合理的价格购买设备,例如分束器。此外,尝试通过量子信道访问发射端输出和接收端输入的次数是无限的。因此,识别阶段和执行阶段的机会窗口都处于简单模式。e
234、)攻击工具(攻击工具(Tool)攻击需要外差或者零差探测器和电子设备来探测和分析发送端的信号,并且需要切断光纤,将攻击者的攻击光源连接到光纤上,并通过熔纤将攻击者的激光源连接到接收端。因此需要专门的设备,包括探测器、激光源和光调制器。3.防御策略防御策略 该攻击最重要的要素是分束器分束比可能随波长变化。因此,根据之前的文献,可以有如下的防御策略:策略 1:避免使用分束比波长敏感的分束器,对 QKD 使用的分束器件进行宽光谱的检测。该策略在通过增加宽光谱测试防止了分QKD 安全攻击防御方案分析和分级评估研究报告 133 束器波长攻击发生的可能性,因此针对策略 1 的防御有效性的评估分级为 C1级
235、别。策略 2:对连续变量 QKD 系统探测端信号进行波长监控,将额外的波长信号视为可能存在波长攻击,此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2级别。策略 3:在 Bob 端信号路上增加一个强度调制器的衰减器因子,通过设置 3 个不同的衰减值,计算探测器输出噪声与衰减值的关系。如果它们满足线性关系,那证明没有波长攻击,反之说明存在波长攻击。需要指出的是,由于利用部分脉冲来检测攻击,所以系统密钥率会有所下降,且强度调制器的固定衰减也会使得系统密钥率进一步降低。此方案在实验上可行且有效,但是没有开展安全性分析,所以应被评定为 C2级别。五、攻击风险和防御有效性打分评级样例
236、 为了详细展示本报告的攻防分级方法和结论,本报告参考文件ISO/IEC 1804522的内容,并根据研究小组自身的 QKD 系统操作和测试的经验,设置了一个初级的打分分值表单和攻击策略分级表单,表单的具体分值仅作为举例参考,核心的评估方法参照上述章节的评估维度框架和针对不同攻击策略和防御方案的评估分析内容,未来可根据实际应用场景对各维度的具体分值和各维度的权重分析以及攻击分级的分值分布进行持续优化迭代。表 16:针对攻击的 5个评估维度打分分值表样例 QKD 安全攻击防御方案分析和分级评估研究报告 134 维度维度 分值分值 识别阶段识别阶段 执行阶段执行阶段 消耗时间消耗时间=一天 0 0=
237、一周 1 2=两周 2 4 一月 8 16 不实用 16 32 专业能力专业能力 门外汉 0 0 熟练 2 4 专家 4 8 多位专家 8 12 掌握的设备信息掌握的设备信息 公开(Public)0 0 受限(Restricted)2 2 敏感(Sensitive)4 4 保密(Critical)8 8 获取设备的机会窗口获取设备的机会窗口 简单(Easy)0 0 中等(Moderate)2 4 难(Difficult)4 8 攻击工具需求攻击工具需求 标准设备(Standard)0 0 特殊设备(Specialized)2 4 定制设备(Bespoke)4 8 不实用(Not Practic
238、al)8 16 表 17:攻击策略分级样例 QKD 安全攻击防御方案分析和分级评估研究报告 135 打分样例打分样例 分级分级 40 微小风险 根据以上两个表格,结合章节三、针对不同攻击策略和防御方案的分级评估分析过程,可以得到表 18DV-QKD 攻防分级评估结果,CV-QKD攻防分级评估结果。表 18:攻防分级评估汇总 编号 攻击策略 攻击 对象 风险打分 防御策略 有效性评级 识别阶段 执行阶段 发送端 1 光子数分离攻击 光源 13 24 使用新的 QKD协议 C3 37 诱骗态方案 C3 2 木马攻击 编码 9 16 增加额外隔离以及减小内部反射率,修正成码率公式 C3 25 使用被
239、动编码/解码方案 C3 发送端设置检测光电探头 C1 3 相位重映射攻击 编码 9 12 编码端检测分析信号光的到达时间 C2 21 提高电子学信号的质量 C1 单向 QKD系统 C3 4 注入锁定攻击(相位光源 7 12 发送端增加隔离 C2 19 发送端增加光强检测模块 C2 QKD 安全攻击防御方案分析和分级评估研究报告 136 型)5 注入锁定攻击(强度型)光源 7 12 发送端增加隔离 C2 19 发送端增加光强检测模块 C2 6 注入锁定攻击(波长型)光源 7 12 发送端增加隔离 C2 19 发送端增加光强检测模块 C2 7 强光损伤可调光衰减器攻击 编码 5 12 发送端增加隔
240、离 C2 17 发送端检测输入光功率 C2 8 非混态 攻击 光源 18 27 相位随机化的光源,并增加隔离保护 C2 45 9 脉冲 互干扰 光源 7 12 对采集的数据实施后处理,进行成码率修正 C3 19 采用 sagnac 干涉仪进行强度调制 C2 接收端 10 致盲攻击(连续光型)探测器 9 16 接收端分光强度检测 C2 25 单光子探测器内检测偏置电流 C1 11 致盲攻击(热致盲型)探测器 11 16 接收端分光强度检测 C2 27 单光子探测器内检测偏置电流 C2 单光子探测器的工作温度设置报警阈值 C2 12 致盲攻击(脉冲光型)探测器 9 16 接收端分光强度检测 C2
241、25 检测 APD 的光电流的不自然的变化 C2 13 死时间 探测11 18 多路探测器同时进入死时C3 QKD 安全攻击防御方案分析和分级评估研究报告 137 攻击 器 间 29 取消探测器与解码的对应关系 C3 14 门后攻击 探测器 13 20 接收端分光强度检测 C2 33 剔除门控信号之外的探测 C3 15 时移攻击 探测器 9 8 检查探测效率和信道损耗,随机切换门位置 C2 17 时分复用的时隙间隔设置为周期的一半 C3 16 分束器波长攻击 解码 7 12 解码模块前设置窄带滤波 C2 19 主动基矢选择 C3 17 荧光攻击 解码 8 16 设置反向隔离 C2 24 考虑荧
242、光光子造成的信息泄露,修正成码率公式 C3 18 超线性 攻击 探测器 13 20 在超线性的探测特性下进行成码率修正 C3 门外探测事件的基矢选择随机化 C2 33 对探测器响应时间分布的监测 C2 增加门控信号的 time jitter C2 19 双计数 攻击 探测器 9 16 对于多计数事件做随机选择 C3 25 20 设备校准攻击 探测器 11 16 校准电压随机变化 C2 27 21 强光损伤探测器攻击 探测器 9 16 输入功率告警装置 C2 25 22 探测器偏振相关攻击 探测器 13 20 额外的起偏器 C2 使用探测效率偏振无关的C2 QKD 安全攻击防御方案分析和分级评估
243、研究报告 138 探测器 33 将偏振相关引起的效率不一致引入安全性证明之中 C3 偏振编码的 QKD协议 C3 表 19:CV-QKD攻防分级评估汇总 编号 攻击策略 攻击 对象 风险打分 防御策略 有效性评级 识别阶段 执行阶段 1 特洛伊木马攻击 光源 9 16 增加额外隔离以及减小内部反射 C2 25 发送端设置检测光电探头 C1 2 非理想光源攻击 光源 13 20 引入额外的噪声模型,并将其纳入到成码率计算公式 C3 33 3 激光器种子攻击 光源 7 12 增加额外的隔离 C2 19 增加光强实时监控模块 C2 4 光衰减攻击 光源 9 20 增加额外的隔离 C2 29 实时监控
244、衰减 C2 5 本振光波动攻击 本振光 5 8 监控本振光的强度波动,分析实际的密钥率水平 C3 13 6 本振光校准攻击 本振光 5 8 对随机选择的一组脉冲施加强衰减,来实时测量散粒噪声 C2 13 使用一个专门用于实时散粒噪声测量的同源探测器 C2 7 参考脉冲攻击 本振光 5 8 使用可信噪声模型,将其纳入安全性证明 C3 13 测量参考脉冲的瞬时幅度C3 QKD 安全攻击防御方案分析和分级评估研究报告 139 值,计算出 Eve 所能够获取的信息量,将其纳入安全性证明 8 偏振攻击 本振光 5 8 将偏振测量比例提高到100%C2 13 对散粒噪声进行监控 C2 9 饱和攻击 探测
245、9 16 随机选数据,测试正则分量值是否大于平衡零差检测器的线性工作阈值 C2 25 实时监测测量方向的位移值,确认探测器工作于线性区域 C2 10 致盲攻击 探测 9 16 监控进入零差探测器信号端的光强度 C2 25 设计高增益、高带宽、高效率、低噪声的零差探测器 C2 测试噪声和测量结果之间的线性度 C1 11 波长攻击 探测 9 16 波长相关性低的分束器 C1 25 探测端信号进行波长监控 C2 增加一个强度调制器的衰减器因子 C2 根据样例的分值设定,DV-QKD 的 22 种攻击策略的分级情况如下表所示,目前文档收集的 22 种攻击策略中,存在 6 种高风险攻击策略,11 种中风
246、险攻击策略,4 种低风险攻击策略,1 种微小风险攻QKD 安全攻击防御方案分析和分级评估研究报告 140 击。表 20:攻击风险分级汇总 分级分级 攻击攻击 超高风险超高风险/高风险高风险 注入锁定攻击(波长型)注入锁定攻击(相位型)注入锁定攻击(强度型)强光损伤可调光衰减器攻击 脉冲互干扰 时移攻击 中风险中风险 木马攻击 致盲攻击(连续光型)致盲攻击(热致盲型)致盲攻击(脉冲光型)分束器波长攻击 荧光攻击 双计数攻击 相位重映射攻击 死时间攻击 设备校准攻击 强光损伤探测器攻击 低风险低风险 光子数分离攻击 门后攻击 超线性攻击 探测器偏振相关攻击 微小风险微小风险 非混态攻击 根据样例的
247、分值设定,CV-QKD 的 11 种攻击策略的分级情况如QKD 安全攻击防御方案分析和分级评估研究报告 141 下表所示,目前文档收集的 11 种攻击策略中,存在 5 种高风险攻击策略,5种中风险攻击策略,1 种低风险攻击策略。表 21:攻击风险分级汇总 分级分级 攻击攻击 超高风险超高风险/高风险高风险 本振光波动攻击 本振光校准攻击 参考脉冲攻击 偏振攻击 激光器种子攻击 中风险中风险 激光器种子攻击 特洛伊木马攻击 饱和攻击 致盲攻击 波长攻击 光衰减攻击 低风险低风险 非理想光源攻击 微小风险微小风险/根据样例的分值设定,针对 DV-QKD的 22种攻击策略的防御方案分级如下表所示,其
248、中 12 种攻击策略存在 C3 等级的防御方案,其他 10 种攻击未收录到 C3 等级的防御方案,经攻击策略和防御方案的综合安全评估之后,得到中风险攻击4项,低风险攻击5项,微小风险攻击 1 项,无风险 12 项。表 22:DV-QKD攻击方案的防御策略分级汇总 编号编号 攻击策略攻击策略 防御策略防御策略 安全评估安全评估 QKD 安全攻击防御方案分析和分级评估研究报告 142 发送端发送端 1 光子数分离攻击 C3 等级防御方案 2个 无风险 2 木马攻击 C3 等级防御方案 2个,C1 等级防御方案 1个 无风险 3 相位重映射攻击 C3 等级防御方案 1个,C2 等级防御方案 1个,C
249、1 等级防御方案 1个 无风险 4 注入锁定攻击(相位型)C2 等级防御方案 2个 中风险 5 注入锁定攻击(强度型)C2 等级防御方案 2个 中风险 6 注入锁定攻击(波长型)C2 等级防御方案 2个 中风险 7 强光损伤可调光衰减器攻击 C2 等级防御方案 2个 中风险 8 非混态攻击 C2 等级防御方案 1个 微小风险 9 脉冲互干扰 C3 等级防御方案 1个,C2 等级防御方案 1个 无风险 接收端接收端 10 致盲攻击(连续光型)C2 等级防御方案 1个,C1 等级防御方案 1个 低风险 11 致盲攻击(热致盲型)C2 等级防御方案 2个 低风险 12 致盲攻击(脉冲光型)C2 等级
250、防御方案 2个 低风险 13 死时间攻击 C3 等级防御方案 2个 无风险 14 门后攻击 C3 等级防御方案 1个,C2 等级防御方案 1个 无风险 15 时移攻击 C3 等级防御方案 1个,无风险 QKD 安全攻击防御方案分析和分级评估研究报告 143 C2 等级防御方案 1个 16 分束器波长攻击 C3 等级防御方案 1个,C2 等级防御方案 1个 无风险 17 荧光攻击 C3 等级防御方案 1个,C2 等级防御方案 1个 无风险 18 超线性攻击 C3 等级防御方案 1个,C2 等级防御方案 3个 无风险 19 双计数攻击 C3 等级防御方案 1个 无风险 20 设备校准攻击 C2 等
251、级防御方案 1个 低风险 21 强光损伤探测器攻击 C2 等级防御方案 1个 低风险 22 探测器偏振相关攻击 C3 等级防御方案 2个,C2 等级防御方案 2个 无风险 根据样例的分值设定,针对 CV-QKD的 11 种攻击策略的防御方案分级如下表所示,其中 3 种攻击策略存在 C3 等级的防御方案,其他 8 种攻击未收录到 C3 等级的防御方案,经攻击策略和防御方案的综合安全评估之后,得到中风险攻击3项,低风险攻击5项,无风险攻击 3 项。表 23:CV-QKD攻击方案的防御策略分级汇总 编号编号 攻击策略攻击策略 防御策略防御策略 安全评估安全评估 1 特洛伊木马攻击 C2 等级防御方案
252、 1个 C1 等级防御方案 1个 低风险 2 非理想光源攻击 C3 等级防御方案 1个 无风险 3 激光器种子攻击 C2 等级防御方案 2个 中风险 4 光衰减攻击 C2 等级防御方案 2个 低风险 5 本振光波动攻击 C3 等级防御方案 1个 无风险 6 本振光校准攻击 C2 等级防御方案 2个 中风险 QKD 安全攻击防御方案分析和分级评估研究报告 144 7 参考脉冲攻击 C3 等级防御方案 2个 无风险 8 偏振攻击 C2 等级防御方案 2个 中风险 9 饱和攻击 C2 等级防御方案 2个 低风险 10 致盲攻击 C2 等级防御方案 1个 C1 等级防御方案 1个 低风险 11 波长攻
253、击 C2 等级防御方案 2个 C1 等级防御方案 1个 低风险 六、总结 本报告参考了经典通信里的攻击风险评估方法,对针对 DV-QKD 的 22 种攻击策略和针对 CV-QKD 的 11 种攻击策略开展了攻击风险评估研究。在攻击风险评估中,本报告将攻击分为了识别和执行两个阶段,然后分别对这两个阶段的攻击进行了包括消耗时间、专业能力、掌握的设备信息、获取设备的机会窗口、攻击设备需求等 5 个维度的攻击风险打分。然后将两个阶段的得分求和得到一个总分来评估攻击策略的安全风险。本报告也对防御策略进行了有效性的分析,参考了国际著名量子黑客研究专家近期的研究成果,将针对不同攻击的防御策略进行防御有效性分
254、级。具体的分级为:安全解决(C3)、具有鲁棒性的解决(C2)、部分有效的解决(C1)、不安全(C0)、暂无测试(CX)等五个等级。本报告结合之前的调研工作,将每种攻击方式可能存在的多个防御策略,分别进行了评级。之后将攻防评估结果结合讨论,分析得出各个攻击的安全风险等级。QKD 安全攻击防御方案分析和分级评估研究报告 145 本报告通过对针对 QKD 设备的攻击策略和防御方案进行评估分级,分析了各类攻击的风险性,评估了防御方案的有效性,为 QKD系统的安全性提供了依据和参考。通过系统性的评估和打分机制,为 QKD标准化和产业化发展提供保障。本报告主要针对大部分已经存在的 QKD 协议的攻击策略进
255、行风险分级评估和防御方案的防御效能分级评估,未来需要根据新出现的针对 QKD 攻击策略和防御方案不断更新迭代。例如量子计算机出现后,目前仍处于理论研究阶段的联合窃听和相干窃听攻击的攻击风险分级评估需要被补充进来。针对新型 QKD协议(如:MDIQKD、TFQKD)的一些特有器件进行的攻击,其攻击风险分级评估和防御效能评估也需要被补充进来。综上,攻防分级的研究是随着技术和理论的发展不断更新迭代的,需要各个领域的专家学者共同参与讨论完善。通过类似的研究和讨论,逐渐完善实际 QKD 系统的安全评价体系,为 QKD技术的实用化、产业化奠定基础。QKD 安全攻击防御方案分析和分级评估研究报告 146 参
256、 考 文 献 1 Bennett C H,Brassard G.Proceedings of the ieee international conference on computers,systems and signal processingJ.1984.2 Lo H K,Chau H F.Unconditional security of quantum key distribution over arbitrarily long distancesJ.science,1999,283(5410):2050-2056.3 Shor P W,Preskill J.Simple proof
257、of security of the BB84 quantum key distribution protocolJ.Physical review letters,2000,85(2):441.4 Brassard G,Ltkenhaus N,Mor T,et al.Limitations on practical quantum cryptographyJ.Physical review letters,2000,85(6):1330.5 Gottesman D,Lo H K,Lutkenhaus N,et al.Security of quantum key distribution w
258、ith imperfect devicesC/International Symposium on Information Theory,2004.ISIT 2004.Proceedings.IEEE,2004:136.6 Sun S,Xu F.Security of quantum key distribution with source and detection imperfectionsJ.New Journal of Physics,2021,23(2):023011.7 Lo H K,Curty M,Qi B.Measurement-device-independent quant
259、um key distributionJ.Physical review letters,2012,108(13):130503.8 Lucamarini M,Yuan Z L,Dynes J F,et al.Overcoming the ratedistance limit of quantum key distribution without quantum repeatersJ.Nature,2018,557(7705):400-403.9 Tamaki K,Curty M,Kato G,et al.Loss-tolerant quantum cryptography with impe
260、rfect sourcesJ.Physical Review A,2014,90(5):052314.10 Pereira M,Curty M,Tamaki K.Quantum key distribution with flawed and leaky sourcesJ.npj Quantum Information,2019,5(1):62.11 Primaatmaja I W,Lavie E,Goh K T,et al.Versatile security analysis of measurement-device-independent quantum key distributio
261、nJ.Physical Review A,2019,99(6):062332.12 Grosshans F,Grangier P.Continuous variable quantum cryptography using coherent statesJ.Physical Review Letter,2002,88(5):057902.13 Grosshans F,Grangier P.Reverse reconciliation protocols for quantum QKD 安全攻击防御方案分析和分级评估研究报告 147 cryptography with continuous va
262、riablesJ.ArXiv preprint,2002,quant-ph/:0204127.14 Weedbrook C,Lance A M,Bowen W P,et al.Quantum cryptography without switchingJ.Physical Review Letter,2004,93(17):170504.15 Navascus M,Grosshans F,Acin A.Optimality of gaussian attacks in continuous-variable quantum cryptographyJ.Physical Review Lette
263、r,2006,97(19):190502.16 Garcia-patrn R,Cerf N J.Unconditional optimality of gaussian attacks against continuous-variable quantum key distributionJ.Physical Review Letter,2006,97(19):190503.17 Renner R,Cirac J I.de Finetti representation theorem for infinite-dimensional quantum systems and applicatio
264、ns to quantum cryptographyJ.Physical review letters,2009,102(11):110504.18 Hwang W Y.Quantum key distribution with high loss:toward global secure communicationJ.Physical review letters,2003,91(5):057901.19 Wang X B.Beating the photon-number-splitting attack in practical quantum cryptographyJ.Physica
265、l review letters,2005,94(23):230503.20 Lo H K,Ma X,Chen K.Decoy state quantum key distributionJ.Physical review letters,2005,94(23):230504.21 ISO-23837Information securitySecurity requirements,test and evaluation methods for quantum key distributionPart 2:Test and evaluation methods,S.Switzerland:In
266、ternational Organization for Standardization,2023.22 ISO/IEC 18045Information security,cybersecurity and privacy protection Evaluation criteria for IT security Methodology for IT security evaluation,S.Switzerland:International Organization for Standardization,2022.23 CEM v3.1Common Methodology for I
267、nformation Technology Security Evaluation,S.Common Criteria,2022.24 Sajeed S,Chaiwongkhot P,Huang A,et al.An approach for security evaluation and certification of a complete quantum communication systemJ.Scientific Reports,2021,11(1):5110.25 Vakhitov A,Makarov V,Hjelme D R.Large pulse attack as a me
268、thod of QKD 安全攻击防御方案分析和分级评估研究报告 148 conventional optical eavesdropping in quantum cryptographyJ.Journal of modern optics,2001,48(13):2023-2038.26 Gisin N,Fasel S,Kraus B,et al.Trojan-horse attacks on quantum-key-distribution systemsJ.Physical Review A,2006,73(2):022320.27 Lucamarini M,Choi I,Ward M
269、B,et al.Practical security bounds against the trojan-horse attack in quantum key distributionJ.Physical Review X,2015,5(3):031030.28 Tamaki K,Curty M,Lucamarini M.Decoy-state quantum key distribution with a leaky sourceJ.New Journal of Physics,2016,18(6):065008.29 Fung C H F,Qi B,Tamaki K,et al.Phas
270、e-remapping attack in practical quantum-key-distribution systemsJ.Physical Review A,2007,75(3):032314.30 Xu F,Qi B,Lo H K.Experimental demonstration of phase-remapping attack in a practical quantum key distribution systemJ.New Journal of Physics,2010,12(11):113026.31 Sun S H,Xu F,Jiang M S,et al.Eff
271、ect of source tampering in the security of quantum cryptographyJ.Physical Review A,2015,92(2):022304.32 Huang A,Navarrete,Sun S H,et al.Laser-seeding attack in quantum key distributionJ.Physical Review Applied,2019,12(6):064043.33 Pang X L,Yang A L,Zhang C N,et al.Hacking quantum key distribution vi
272、a injection lockingJ.Physical Review Applied,2020,13(3):034008.34 Huang A,Li R,Egorov V,et al.Laser-damage attack against optical attenuators in quantum key distributionJ.Physical Review Applied,2020,13(3):034017.35 Tang Y L,Yin H L,Ma X,et al.Source attack of decoy-state quantum key distribution us
273、ing phase informationJ.Physical Review A,2013,88(2):022308.36 Yoshino K,Fujiwara M,Nakata K,et al.Quantum key distribution with an efficient countermeasure against correlated intensity fluctuations in optical pulsesJ.npj Quantum Information,2018,4(1):8.37 Lydersen L,Wiechers C,Wittmann C,et al.Hacki
274、ng commercial quantum cryptography systems by tailored bright illuminationJ.Nature photonics,2010,4(10):686-689.QKD 安全攻击防御方案分析和分级评估研究报告 149 38 Lydersen L,Wiechers C,Wittmann C,et al.Thermal blinding of gated detectors in quantum cryptographyJ.Optics express,2010,18(26):27938-27954.39 Wu Z,Huang A,Ch
275、en H,et al.Hacking single-photon avalanche detectors in quantum key distribution via pulse illuminationJ.Optics Express,2020,28(17):25574-25590.40 Weier H,Krauss H,Rau M,et al.Quantum eavesdropping without interception:an attack exploiting the dead time of single-photon detectorsJ.New Journal of Phy
276、sics,2011,13(7):073024.41 Wiechers C,Lydersen L,Wittmann C,et al.After-gate attack on a quantum cryptosystemJ.New Journal of Physics,2011,13(1):013043.42 Qi B,Fung C H F,Lo H K,et al.Time-shift attack in practical quantum cryptosystemsJ.arXiv preprint quant-ph/0512080,2005.43 Li H W,Wang S,Huang J Z
277、,et al.Attacking a practical quantum-key-distribution system with wavelength-dependent beam-splitter and multiwavelength sourcesJ.Physical Review A,2011,84(6):062308.44 Meda A,Degiovanni I P,Tosi A,et al.Backflash light characterization to prevent QKD zero-error hackingJ.arXiv preprint arXiv:1605.05
278、562,2016.45 Lydersen L,Jain N,Wittmann C,et al.Superlinear threshold detectors in quantum cryptographyJ.Physical Review A,2011,84(3):032320.46 Qian Y J,He D Y,Wang S,et al.Hacking the quantum key distribution system by exploiting the avalanche-transition region of single-photon detectorsJ.Physical R
279、eview Applied,2018,10(6):064062.47 Ltkenhaus N.Security against individual attacks for realistic quantum key distributionJ.Physical Review A,2000,61(5):052304.48 Gittsovich O,Beaudry N J,Narasimhachar V,et al.Squashing model for detectors and applications to quantum-key-distribution protocolsJ.Physi
280、cal Review A,2014,89(1):012325.49 Jain N,Wittmann C,Lydersen L,et al.Device calibration impacts security of quantum key distributionJ.Physical Review Letters,2011,107(11):110501.QKD 安全攻击防御方案分析和分级评估研究报告 150 50 Bugge A N,Sauge S,Ghazali A M M,et al.Laser damage helps the eavesdropper in quantum crypto
281、graphyJ.Physical review letters,2014,112(7):070503.51 Wei K,Zhang W,Tang Y L,et al.Implementation security of quantum key distribution due to polarization-dependent efficiency mismatchJ.Physical Review A,2019,100(2):022325.52 Stiller B,Khan I,Jain N,et al.Quantum hacking of continuous-variable quant
282、um key distribution systems:realtime Trojan-horse attacksC/2015 Conference on Lasers and Electro-Optics(CLEO).IEEE,2015:1-2.53 Huang P,He G Q,Zeng G H.Bound on noise of coherent source for secure continuous-variable quantum key distributionJ.International Journal of Theoretical Physics,2013,52(5):15
283、72-1582.54 Zheng Y,Huang P,Huang A,et al.Security analysis of practical continuous-variable quantum key distribution systems under laser seeding attackJ.Optics Express,2019,27(19):27369-27384.55 Zheng Y,Huang P,Huang A,et al.Practical security of continuous-variable quantum key distribution with red
284、uced optical attenuationJ.Physical Review A,2019,100(1):012313.56 Ma X C,Sun S H,Jiang M S,et al.Local oscillator fluctuation opens a loophole for Eve in practical continuous-variable quantum-key-distribution systemsJ.Physical Review A,2013,88(2):022339.57 Jouguet P,Kunz-Jacques S,Diamanti E.Prevent
285、ing calibration attacks on the local oscillator in continuous-variable quantum key distributionJ.Physical Review A,2013,87(6):062313.58 Ren S,Kumar R,Wonfor A,et al.Reference pulse attack on continuous variable quantum key distribution with local local oscillator under trusted phase noiseJ.JOSA B,20
286、19,36(3):B7-B15.59 Zhao Y,Zhang Y,Huang Y,et al.Polarization attack on continuous-variable quantum key distributionJ.Journal of Physics B:Atomic,Molecular and Optical Physics,2018,52(1):015501.QKD 安全攻击防御方案分析和分级评估研究报告 151 60 Qin H,Kumar R,Allaume R.Quantum hacking:Saturation attack on practical conti
287、nuous-variable quantum key distributionJ.Physical Review A,2016,94(1):012325.61 Qin H,Kumar R,Makarov V,et al.Homodyne-detector-blinding attack in continuous-variable quantum key distributionJ.Physical Review A,2018,98(1):012312.62 Ma X C,Sun S H,Jiang M S,et al.Wavelength attack on practical contin
288、uous-variable quantum-key-distribution system with a heterodyne protocolJ.Physical Review A,2013,87(5):052309.QKD 安全攻击防御方案分析和分级评估研究报告 152 附录 A DV-QKD 攻击风险的打分评估样例 1.PNS攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0
289、0 攻击工具(Tool)8 16 合计 13 24 总分总分 37 总分 37分,属于低风险攻击策略。2.木马攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。3.相位重映射攻击打分样例:结合截获重发攻击 因素因素 识别阶段识别阶段 执行阶段执行阶段 QKD 安全攻击防御方案分析和分级
290、评估研究报告 153 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 13 24 总分总分 37 不结合截获重发攻击 因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)0 0 合
291、计 9 12 总分总分 21 总分 21分,属于中风险攻击策略。4.注入锁定攻击(相位型)打分样例:结合 USD测量和 PNS攻击 因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 QKD 安全攻击防御方案分析和分级评估研究报告 154 攻击工具(Tool)8 16 合计 13 24 总分总分 37 不结合 USD测量和 PNS攻击 因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(E
292、lapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。5.注入锁定攻击(强度型)打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Too
293、l)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。6.注入锁定攻击(波长型)打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 QKD 安全攻击防御方案分析和分级评估研究报告 155 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。7.强光损伤可调光衰减器攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶
294、段 消耗时间(Elapse Time)1 0 专业能力(Expertise)2 4 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 4 攻击工具(Tool)2 4 合计 5 12 总分总分 17 总分 17分,属于高风险攻击策略。8.非混态攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of opportunity)0 0 QKD 安全
295、攻击防御方案分析和分级评估研究报告 156 攻击工具(Tool)8 16 合计 17 28 总分总分 45 总分 45分,属于微小风险攻击策略。9.脉冲互干扰攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。10.致盲攻击(连续光型)打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶
296、段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。11.致盲攻击(热致盲型)打分样例:QKD 安全攻击防御方案分析和分级评估研究报告 157 因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗
297、口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 11 16 总分总分 27 总分 27分,属于中风险攻击策略。12.致盲攻击(脉冲光型)打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。13.死时间攻击打分样例:因素因素 识别阶段识别阶段 执行阶段
298、执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)2 2 获取设备的机会窗口(Window of 0 0 QKD 安全攻击防御方案分析和分级评估研究报告 158 opportunity)攻击工具(Tool)4 8 合计 11 18 总分总分 29 总分 29分,属于中风险攻击策略。14.门后攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(
299、Window of opportunity)0 0 攻击工具(Tool)4 8 合计 13 20 总分总分 33 总分 33分,属于低风险攻击策略。15.时移攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 4 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)0 0 合计 9 8 总分总分 17 总分 17分,属于高风险攻击策略。QKD 安全攻击防御方案分析和分级评估研究报告 159 16.分束器波长攻击打分
300、样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。17.荧光攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)0 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window o
301、f opportunity)0 0 攻击工具(Tool)4 8 合计 8 16 总分总分 24 总分 24分,属于中风险攻击策略。18.超线性攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of 4 4 QKD 安全攻击防御方案分析和分级评估研究报告 160 TOE)获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 13 20 总分总分 33 总分 33分,属于低风险攻击策略。19.双计数攻击打分样例:因素因素
302、识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。20.设备校准攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1?*专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of oppor
303、tunity)0 0 QKD 安全攻击防御方案分析和分级评估研究报告 161 攻击工具(Tool)2 4 合计 11 16 总分总分 27*设备校准攻击需要根据具体设备的自校准情况,选择执行阶段,确定执行攻击的时间。总分 27分,属于中风险攻击策略。21.强光损伤探测器攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25
304、总分 25分,属于中风险攻击策略。22.探测器偏振相关攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 QKD 安全攻击防御方案分析和分级评估研究报告 162 合计 13 20 总分总分 33 总分 33分,属于低风险攻击策略。QKD 安全攻击防御方案分析和分级评估研究报告 163 附录 B CV-QKD 攻击风险的打分评估样例 1.特洛伊木马攻击打
305、分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1?*专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 4 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 4 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。2.非理想光源攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)4 4 获取设备的机会窗口(Window
306、 of opportunity)0 0 攻击工具(Tool)4 8 合计 13 20 总分总分 33 总分 33分,属于低风险攻击策略。3.激光器种子攻击打分样例:QKD 安全攻击防御方案分析和分级评估研究报告 164 因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)2 4 合计 7 12 总分总分 19 总分 19分,属于高风险攻击策略。4.光衰减攻击打分样例:因素因
307、素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 4 攻击工具(Tool)4 8 合计 9 20 总分总分 29 总分 29分,属于中风险攻击策略。5.本振光波动攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 QKD 安全攻击防御方案分析和分级评估研究报告 165 掌握的设备信息(Knowledge of TO
308、E)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)0 0 合计 5 8 总分总分 13 总分 13分,属于高风险攻击策略。6.本振光校准攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)0 0 合计 5 8 总分总分 13 总分 13分,属于高风险攻击策略。7.参考脉冲攻击打分样例:因素因素 识别阶段识别
309、阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of 0 0 QKD 安全攻击防御方案分析和分级评估研究报告 166 opportunity)攻击工具(Tool)0 0 合计 5 8 总分总分 13 总分 13分,属于高风险攻击策略。8.偏振攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机
310、会窗口(Window of opportunity)0 0 攻击工具(Tool)0 0 合计 5 8 总分总分 13 总分 13分,属于高风险攻击策略。9.饱和攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 QKD 安全攻击防御方案分析和分级评估研究报告 167 总分总分 25 总分 25分,属于中风险攻击策略。10.致盲攻击打分样
311、例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。11.波长攻击打分样例:因素因素 识别阶段识别阶段 执行阶段执行阶段 消耗时间(Elapse Time)1 0 专业能力(Expertise)4 8 掌握的设备信息(Knowledge of TOE)0 0 获取设备的机会窗口(Window of opportunity)0 0 攻击工具(Tool)4 8 合计 9 16 总分总分 25 总分 25分,属于中风险攻击策略。