淺談量子密碼系統(tǒng)探測端致盲攻擊的防御方法

安徽問天量子科技股份有限公司 錢泳君

量子密碼，狹義也稱為量子密鑰分配(Quantum key distribution—QKD)，它可以讓異地的雙方共享一串安全的密鑰。QKD利用量子物理原理保證了協(xié)議安全性，第一個QKD協(xié)議是在1984年提出的，簡稱BB84協(xié)議。然而，由于實際器件的不完美特性，會使得實際器件和理論模型存在差異，這樣的差異可能會帶來安全性漏洞，攻擊者，通常稱為Eve，就可以利用這樣的安全性漏洞進行攻擊，從而竊取密鑰不被通信雙方發(fā)覺。單光子探測器是量子密碼系統(tǒng)重要的核心器件，用于探測解碼后的量子信號。針對單光子探測器最典型的一類攻擊是探測器致盲攻擊。分析探測器致盲攻擊的攻擊原理，并提出有效且符合實際需求的防御措施，有利于提高實際量子密碼系統(tǒng)的安全性。

1 探測端致盲攻擊

單光子探測器是量子密鑰分配系統(tǒng)接收端的探測設(shè)備。對于一個理想的單光子探測器，它的探測效率為100%，暗計數(shù)率為0，死時間為0，時間抖動為0，具備光子數(shù)分辨率能力。實際單光子探測器很難達到上述的參數(shù)要求。根據(jù)雪崩光電二極管（APD）兩端的反向偏壓的大小，可以分成兩種工作模式，線性模式和蓋革模式。如圖1(a)所示，線性模式下，APD兩端的偏壓小于雪崩電壓Vbr，雪崩放大系數(shù)小，此時雪崩光電二極管只能探測強光，不會響應(yīng)單光子。蓋革模式下，APD兩端的偏壓大于雪崩電壓Vbr，雪崩放大系數(shù)大，雪崩光電二極管可以響應(yīng)單光子。因此，如圖1(b)所示，除了給APD一個固定的偏置電壓外VDC外，還會給其一個門控信號，當(dāng)門信號到達時，兩端偏壓大于雪崩電壓Vbr，APD處于蓋革模式。當(dāng)門信號關(guān)閉時，兩端偏壓小于雪崩電壓，APD處于線性模式。如圖1(c)所示是單光子探測器的一個典型電路，APD與一個大阻值的偏置電阻Rbias串聯(lián)，APD兩端偏壓小于雪崩電壓，如果門控電壓信號到來時，APD處于蓋革模式，此時如果有一個單光子到來，由于雪崩效應(yīng)會產(chǎn)生很大的光電流IAPD，如果光電流值大于閾值，則會引發(fā)一次響應(yīng)事件。此后，由于電路淬滅作用，雪APD的偏壓降到雪崩電壓以下，此次雪崩過程停止，等待下次門控信號。

圖1 (a)雪崩光電二極管的兩種工作模式：線性模式和蓋革模式圖1(b)單光子探測器的門控電壓信號 圖1(c)單光子探測器的典型原理電路

但是，如果此時來的不是單光子，而是連續(xù)強光，它會使得APD內(nèi)持續(xù)產(chǎn)生大電流，此時由于APD串聯(lián)的大電阻Rbias上的分壓作用，即便門控電壓信號到來時，信號疊加后APD兩端的偏壓仍會降到雪崩電壓以下，使得APD從蓋革模式轉(zhuǎn)變?yōu)橐恢碧幱诰€性模式，此時單光子探測器，即使在開門時間，也不再響應(yīng)單光子，在整個周期，都是致盲狀態(tài)。

此后Eve會采取偽態(tài)攻擊的方法來竊取密鑰。如圖2所示，Eve會截取Alice發(fā)送給Bob的量子態(tài)，在Eve端有個偽態(tài)Bob，偽態(tài)Bob隨機選取測量基進行測量；致盲模塊會對Bob端的單光子探測器進行連續(xù)強光致盲，根據(jù)偽態(tài)Bob的測量結(jié)果，偽態(tài)Alice會制備不同編碼狀態(tài)的強光脈沖發(fā)送給Bob，Bob端隨機選擇測量基進行測量。如圖3(a)所示，如果Eve的制備基和Bob測量基相匹配，此時強光脈沖只到達一個探測器，強光脈沖引起的電流大于閾值電流Ith，產(chǎn)生一個響應(yīng)事件，且響應(yīng)的單光子探測器解碼的比特是正確的；但是，如果Eve的制備基和Bob測量基不匹配，如圖3(b)所示，強光脈沖會一分為二到達兩個探測器，此時兩邊的引起的電流都小于閾值電流，無法產(chǎn)生響應(yīng)。最終可以發(fā)現(xiàn)，當(dāng)Alice和Bob對基完成之后，只有Eve選對測量基重發(fā)的強光脈沖能被探測到，而選錯測量基重發(fā)的強光脈沖不會被探測到。Eve監(jiān)聽經(jīng)典信道的對基信息，保留正確選基的測量結(jié)果后，Eve就能竊取到全部的密鑰，此時QKD系統(tǒng)引起的誤碼率幾乎為0。

圖2 強光致盲攻擊原理圖

圖3 偏振編碼時，Eve的強光脈沖在Bob端的探測情況

2 針對探測端致盲攻擊的防御方法

探測端致盲攻擊方式的致盲方法不僅僅有連續(xù)強光致盲方式，還有熱致盲方式，而門控模式的單光子探測器廣泛用于商用量子密鑰分配系統(tǒng)中，因此研究探測端致盲攻擊的防御方法顯得尤為重要，研究者發(fā)現(xiàn)，之所以能產(chǎn)生連續(xù)強光致盲，在于探測器內(nèi)部電路中采用了大阻值偏置電阻和不正確的電壓閾值，如果設(shè)定正確的閾值電壓，同時改進電路，就可以避免致盲。同時，研究者發(fā)現(xiàn)，如果受到致盲攻擊，探測器的電流會比正常無攻擊時要大很多，因此，監(jiān)控電流也是一種有效的防御方式。

上述的防御方式統(tǒng)稱為補丁式防御方法，這種防御方法實現(xiàn)簡單，無需大幅修改系統(tǒng)，但是通常沒有經(jīng)過嚴格的安全性證明，此后，測量設(shè)備無關(guān)的量子密鑰分配協(xié)議提出，該方法可以從協(xié)議上防御所有探測端不完美帶來的攻擊方式，它可以在當(dāng)前技術(shù)條件下實現(xiàn)，目前已有一系列實驗工作。但是，由于測量設(shè)備無關(guān)實驗時需要利用雙光子干涉，因此密鑰率比傳統(tǒng)的BB84協(xié)議要低。

在本文中，我們首先回顧了量子密鑰分配實際安全性的，對于接收端核心器件單光子探測器，重點闡述了針對探測器端漏洞的連續(xù)強光致盲方式，最后介紹了針對探測端漏洞的幾種防御方式，總之，在考慮提高量子密鑰分發(fā)系統(tǒng)的實際安全性時，需要在不同實際應(yīng)用環(huán)境中合理采用不同安全等級的防御策略。