淺談量子密碼系統探測端致盲攻擊的防御方法

安徽問天量子科技股份有限公司 錢泳君

量子密碼，狹義也稱為量子密鑰分配(Quantum key distribution—QKD)，它可以讓異地的雙方共享一串安全的密鑰。QKD利用量子物理原理保證了協議安全性，第一個QKD協議是在1984年提出的，簡稱BB84協議。然而，由于實際器件的不完美特性，會使得實際器件和理論模型存在差異，這樣的差異可能會帶來安全性漏洞，攻擊者，通常稱為Eve，就可以利用這樣的安全性漏洞進行攻擊，從而竊取密鑰不被通信雙方發覺。單光子探測器是量子密碼系統重要的核心器件，用于探測解碼后的量子信號。針對單光子探測器最典型的一類攻擊是探測器致盲攻擊。分析探測器致盲攻擊的攻擊原理，并提出有效且符合實際需求的防御措施，有利于提高實際量子密碼系統的安全性。

1 探測端致盲攻擊

單光子探測器是量子密鑰分配系統接收端的探測設備。對于一個理想的單光子探測器，它的探測效率為100%，暗計數率為0，死時間為0，時間抖動為0，具備光子數分辨率能力。實際單光子探測器很難達到上述的參數要求。根據雪崩光電二極管（APD）兩端的反向偏壓的大小，可以分成兩種工作模式，線性模式和蓋革模式。如圖1(a)所示，線性模式下，APD兩端的偏壓小于雪崩電壓Vbr，雪崩放大系數小，此時雪崩光電二極管只能探測強光，不會響應單光子。蓋革模式下，APD兩端的偏壓大于雪崩電壓Vbr，雪崩放大系數大，雪崩光電二極管可以響應單光子。因此，如圖1(b)所示，除了給APD一個固定的偏置電壓外VDC外，還會給其一個門控信號，當門信號到達時，兩端偏壓大于雪崩電壓Vbr，APD處于蓋革模式。當門信號關閉時，兩端偏壓小于雪崩電壓，APD處于線性模式。如圖1(c)所示是單光子探測器的一個典型電路，APD與一個大阻值的偏置電阻Rbias串聯，APD兩端偏壓小于雪崩電壓，如果門控電壓信號到來時，APD處于蓋革模式，此時如果有一個單光子到來，由于雪崩效應會產生很大的光電流IAPD，如果光電流值大于閾值，則會引發一次響應事件。此后，由于電路淬滅作用，雪APD的偏壓降到雪崩電壓以下，此次雪崩過程停止，等待下次門控信號。

圖1 (a)雪崩光電二極管的兩種工作模式：線性模式和蓋革模式圖1(b)單光子探測器的門控電壓信號 圖1(c)單光子探測器的典型原理電路

但是，如果此時來的不是單光子，而是連續強光，它會使得APD內持續產生大電流，此時由于APD串聯的大電阻Rbias上的分壓作用，即便門控電壓信號到來時，信號疊加后APD兩端的偏壓仍會降到雪崩電壓以下，使得APD從蓋革模式轉變為一直處于線性模式，此時單光子探測器，即使在開門時間，也不再響應單光子，在整個周期，都是致盲狀態。

此后Eve會采取偽態攻擊的方法來竊取密鑰。如圖2所示，Eve會截取Alice發送給Bob的量子態，在Eve端有個偽態Bob，偽態Bob隨機選取測量基進行測量；致盲模塊會對Bob端的單光子探測器進行連續強光致盲，根據偽態Bob的測量結果，偽態Alice會制備不同編碼狀態的強光脈沖發送給Bob，Bob端隨機選擇測量基進行測量。如圖3(a)所示，如果Eve的制備基和Bob測量基相匹配，此時強光脈沖只到達一個探測器，強光脈沖引起的電流大于閾值電流Ith，產生一個響應事件，且響應的單光子探測器解碼的比特是正確的；但是，如果Eve的制備基和Bob測量基不匹配，如圖3(b)所示，強光脈沖會一分為二到達兩個探測器，此時兩邊的引起的電流都小于閾值電流，無法產生響應。最終可以發現，當Alice和Bob對基完成之后，只有Eve選對測量基重發的強光脈沖能被探測到，而選錯測量基重發的強光脈沖不會被探測到。Eve監聽經典信道的對基信息，保留正確選基的測量結果后，Eve就能竊取到全部的密鑰，此時QKD系統引起的誤碼率幾乎為0。

圖2 強光致盲攻擊原理圖

圖3 偏振編碼時，Eve的強光脈沖在Bob端的探測情況

2 針對探測端致盲攻擊的防御方法

探測端致盲攻擊方式的致盲方法不僅僅有連續強光致盲方式，還有熱致盲方式，而門控模式的單光子探測器廣泛用于商用量子密鑰分配系統中，因此研究探測端致盲攻擊的防御方法顯得尤為重要，研究者發現，之所以能產生連續強光致盲，在于探測器內部電路中采用了大阻值偏置電阻和不正確的電壓閾值，如果設定正確的閾值電壓，同時改進電路，就可以避免致盲。同時，研究者發現，如果受到致盲攻擊，探測器的電流會比正常無攻擊時要大很多，因此，監控電流也是一種有效的防御方式。

上述的防御方式統稱為補丁式防御方法，這種防御方法實現簡單，無需大幅修改系統，但是通常沒有經過嚴格的安全性證明，此后，測量設備無關的量子密鑰分配協議提出，該方法可以從協議上防御所有探測端不完美帶來的攻擊方式，它可以在當前技術條件下實現，目前已有一系列實驗工作。但是，由于測量設備無關實驗時需要利用雙光子干涉，因此密鑰率比傳統的BB84協議要低。

在本文中，我們首先回顧了量子密鑰分配實際安全性的，對于接收端核心器件單光子探測器，重點闡述了針對探測器端漏洞的連續強光致盲方式，最后介紹了針對探測端漏洞的幾種防御方式，總之，在考慮提高量子密鑰分發系統的實際安全性時，需要在不同實際應用環境中合理采用不同安全等級的防御策略。