漫谈量子保密通信的中间人攻击问题

撰文 | 龙桂鲁

（1.低维量子物理国家重点实验室、清华大学物理系；2. 教育部量子信息前沿中心；3. 北京信息科学与技术国家研究中心；4. 北京量子信息科学研究院）

来源 |本文选自《现代物理知识》2021年第2期

量子保密通信主要包括量子密钥分发和量子直接通信。

Bennett 和Brassard 在1984 年提出的量子密钥分发，实际上是密码学中的密钥协商，Alice 和Bob 双方传输随机数，在确定其安全后，将传输的随机数升级为密钥，用于经典保密通信。密码学中的密钥分发是把事先确定好的密钥传送给指定的接收方。不过由于历史原因，大家一直这么称呼。由于称呼的不同，有时候会引起密码学家对量子密钥分发的误解。

量子直接通信,简称量子直通，在量子信道直接安全地传输信息，是清华大学学者在2000 年提出的。这是信息论意义上的通信，它直接传输有意义的信息，也可以传输事先确定的密钥。

量子信道指的是用于携载信号的量子态以及传输它们的介质，如用单光子极化量子态在光纤中传输，就给出了一个量子信道。经典通信本身不考虑安全性，考虑的是如何把信息可靠的传输到目的地。著名的香农理论保证了信息的可靠传输，即在信道容量大于零时，总可以找到一个编码，以小于或者等于信道容量的速率可靠的通信。量子直通是在有噪声和窃听的信道下，既可靠又安全地通信。

有一个说法是量子保密通信无法抵御中间人攻击，即窃听者在通信线路的中间假装是通信的合法用户，来套取通信双方的内容。这种说法最早从什么地方提出不得而知，但是影响最大的可能是著名法国通信专家Emmanuel Desurvire 教授。他是掺铒放大器的发明者，获得包括富兰克林工程奖章、IEEE Tyndall 奖等国际大奖。在他的《Classical and Quantum Information Theory》的最后一章，专门讲了这一攻击手段。大致的方法是这样：假如Alice和Bob 是合法通信双方，Eve 是窃听者。Eve 假装是Bob 和Alice 进行量子密钥分发，同时假装是Alice 来和Bob 进行量子密钥分发，这样Eve 就可以获得双方所有的密钥和通信而不被发现，而且这也不违背量子力学的原理。

为了后面的叙述，我们先介绍公开密码体系。公开密码体系是一种经典加密和解密方法。例如，在RSA公开密码体系中，每个用户有三个参数，一个大数N，公钥E，私钥D，其中N和公钥E都是公开的，D 是私钥，不公开。Alice 有（Na，Ea，Da），Bob有（Nb，Eb，Db），窃听者Eve 是其中的一个用户，有（Ne，Ee，De）。如果Bob 要给Alice 发一封加密信，内容是x，则Bob 用Alice 的（Na，Ea）加密，即x^Ea=C，C即是加密后的密文，Alice 收到C后，利用私钥Da解密得到原文，C^Da=x。在现在的网络里，一般用公开密码体系，如RSA，SM2 加密小量的密钥；用对称密码，如AES，SM1，SM4来加密大量的信息。

中间人攻击的实质就是认证问题。这里面有两个认证，一个是网络认证，即证明Alice 就是使用公钥Ea 的人；第二个是身份认证，即证明信息确实是拥有公钥Ea 的人发出的。如果Alice 和Bob已经完成身份认证和网络认证，Eve 就无法对他们的量子通信进行中间人攻击。中间人攻击这一问题在经典通信也是存在的。网络认证问题可以用西游记中的真假孙悟空例子来说明。在西游记的五十七回，六耳猕猴冒充孙悟空，两个长得一模一样的齐天大圣站在唐僧和师弟们面前，他们都分不出来哪个是真的。

现在经典密码学中普遍采用的认证方法，是利用公开密码体系。公开密码体系RSA也可以做认证。假如Bob 有一笔很大的款项要发给Alice，他要确认Alice 是不是真的Alice。作为身份认证，Alice 可用私钥加密一个认证信息A，y=A^Da，把y 发送给Bob 以证明她就是拥有公钥Ea的用户。Bob 收到y 后，利用公钥Ea 解密y 得到A，y^Ea=A。这一步确认了这个信息y 是发自公钥为Ea 的用户。但是这并不能证明这个有公钥Ea 的用户就是Alice。如果另一个用户Eve 假装是Alice，用她自己的私钥De加密A，得到A^De=y'，并将y'发送给Bob，Bob 用Eve 的公钥Ee 解密y'，也可以得到A，这样Bob 就无法判断哪个是真正的Alice。就像孙悟空、六耳猕猴长得一模一样、都有金箍棒，唐僧无法判断一样。在经典网络中，这一问题是靠一个大家都信任的超级网络管理者来解决的。

网络超级管理者用自己的私钥Dsuper 加密一个证书，上面写着证明Alice 的公钥为Ea，大数为Na。他也给Bob 做一个证书，证明Bob 的公钥为Eb，大数为Nb。这样，任何人都可以使用超级管理者的公钥Esuper 来解密这个证书，读出证书的内容，认可Ea的拥有者就是Alice。Eve 得不到这样的证书，就无法假装成Alice 了。在西游记中，这个超级网络管理者就是如来佛。网络管理者需要做的认证书的个数，就是网络中的用户数目，每个用户只需要有一个大数N和一个公钥E即可。

在量子保密通信中，尚没有量子版本的非对称密码体系。身份认证和网络认证可通过让Alice 和Bob 事先共享一组密钥K 来解决。由于Alice 和Bob 事先见过，他们能够肯定掌握这组密码的人就是Alice 和Bob，这样解决了网络认证的问题，即拥有这组密码的人就是Alice 和Bob。Alice 和Bob 有这组密钥，而Eve 没有，这样Bob 让Alice 发来共享的密钥K，就可证明发信息的人是Alice。当然Alice发送的时候，一定要保密，不然的话，Eve 得到了这个共享密钥，就可以假装成Alice，使得Bob 无法判断真假。在西游记中就有生动的例子，本来唐僧或者观音菩萨可以采用念紧箍咒，看是否头疼的方法来判断，只有真的孙悟空才会头疼。如果他用这个方法分别地来测试，就可以判断真假。但是他把两个猴子叫到一起，这时候六耳猕猴就偷偷地学孙悟空装疼，躲过了甄别。

采用共享密钥的方法进行认证，比用公开密钥生成证书的方法要复杂。任何两个用户都需要共享一组密钥，这样，整个网络里需要共享的密钥数量就是N（N-1）/2，也就是N的平方量级，N是网络的用户数量。对于一个拥有5 万用户的网络，采用公开密码方法生成证书的方法认证，只需要发放5万个证书，而采用互相共享密钥的方法，则需要共享的25亿组密钥，大大增加了复杂度。

如果Alice 和Bob事先没有共享密钥K，他们可以通过都信任的第三方Charlie 来完成。Charlie 可以分别和Alice 和Bob 进行保密通信，例如可以采用量子密钥分发+一次一密经典加密通信，或者量子直接通信，让Alice 和Bob 共享密钥，以便他们完成认证。这样Charlie 要首先和每个用户都建立一组密钥，任何其他两个用户想进行认证，都需要Charlie 来帮助他们，共享一组密钥。其数量和事先见面共享密钥的数量一样，也是平方的复杂度。

总之，量子保密通信中，由于网络认证和身份认证出现的中间人攻击是可以解决的。并不像Emmanuel Desurvire 教授书中说的那样没有解决。经典认证和量子认证各有自己的优缺点。基于RSA 等公开密码体系的身份认证体系在复杂度上更有优势，适合在大型网络中使用。但是由于经典密码算法的绝对安全性没有得到证明，即使现在发展的后量子密码算法，也无法证明其绝对安全性，就像NIST 负责后量子密码的首席科学家Dustin Moody 所说，因为担心未来有人破解，所选择的候选后量子密码算法选择了多种途径。而采用量子通信来建立的网络认证和身份认证，其安全性在原理上已经得到了证明，其缺点是复杂度高，不利于在大型网络中使用。因而在实际应用中，可以根据其不同的使用场景，选择相应的认证方法。

本文经授权转载自微信公众号“现在物理知识杂志”，YWA摘编。