-
量子密钥分发(quantum key distribution, QKD)[1-5]是一种能够为远距离通信双方(Alice和Bob)提供信息论安全密钥的技术。密钥的安全性由量子力学原理[6-7]来保证。由于实际设备的不完美性,QKD可能面临来自源端和探测端的双重攻击。一方面,理想的QKD协议大多需要完美的单光子源。然而,由于当前技术的限制,实际的QKD系统经常采用相位随机化后的弱相干态(weak coherent state, WCS)光源来代替单光子源。WCS光源发出的脉冲包含的光子数有时不只一个,窃听者Eve就可以利用多光子脉冲来获取密钥而不被Alice和Bob发现,这就是光子数分离(photon number splitting, PNS)[8-14]攻击。该攻击导致了极低的安全成码率和安全传输距离。早期的PNS攻击[8-12]要求Eve具有极强的技术水平,不易实现。后来,改进型PNS[13-14]甚至在现有的条件下就能实现,这直接威胁了现有采用WCS光源QKD协议的安全性。幸运的是,诱骗态方法[15-17]可以很好地抵抗各种类型的PNS攻击,显著提高安全成码率和最大安全传输距离。另一方面,QKD还可能面临来自探测端的攻击,如伪态攻击[18]、时移攻击[19]等。测量设备无关的量子密钥分发(measurement-device-independent quantum key distribution, MDI-QKD)[20]可以先天免疫所有探测端的攻击,但是其安全密钥率不高,不能突破PLOB界[21]。2018年,陆续提出的双场量子密钥分发(twin-field quantum key distribution, TF-QKD)[22-24]成功突破了PLOB界,大大提高了安全密钥率和最大安全传输距离。需要注意的是,无论是MDI-QKD还是TF-QKD,只要采用WCS光源,就会面临PNS攻击的威胁,因此同样需要使用诱骗态方法。总之,对于诱骗态方法的研究仍然很有意义。
在诱骗态QKD中,Alice随机地从不同强度的WCS光源中发出信号态或诱骗态给Bob。同时,Alice和Bob假设Eve不能区分信号态和诱骗态,从而导致信号态和诱骗态拥有相同的
$ i $ 光子透射率,这在诱骗态方法中是一个至关重要的假设。并且,这个假设还被应用到诱骗态QKD的安全性证明中。实际上,由于信号态和诱骗态的强度差异,二者的光子数概率分布是不同的。基于此,Eve可以以一定概率区分信号态和诱骗态。一旦Eve区分出了信号态和诱骗态,就可以分别对其执行不同的PNS攻击策略,使其分别具有不同的$ i $ 光子透射率。进一步地,如果Eve还能够保证攻击前后信号态和诱骗态的测量统计量不变,那么它就可以获得最终密钥而不被Alice和Bob发现。根据以上分析,基于不同强度导致的光子数概率分布差异,本文采用贝叶斯决策来区分信号态和诱骗态,发现同样只能得到信号态和诱骗态具有相同$ i $ 光子透射率的结论,这就验证了诱骗态QKD中信号态和诱骗态不可区分假设的合理性。另外,分别对比单信号态QKD和信号态+单诱骗态QKD两种情况下PNS攻击前后的安全密钥率,结果表明前者攻击成功,后者攻击失败,这就验证了诱骗态方法确实能够抵抗PNS攻击。综合来看,上述两项研究内容验证了诱骗态方法的安全性。 -
在诱骗态方法的后处理过程中,安全密钥只能从单光子成分中得到。在Eve执行PNS攻击之后,真正安全密钥率的上限[30]是:
特别地,在文献[29]中,有一种PNS攻击成功的判别准则,即:
式中,
$ {R}^{{\rm{sec}}} $ 代表的是Alice和Bob认为安全的密钥率,如果这个值大于Eve攻击之后真正安全的密钥率$ {R}^{{\rm{Eve}}} $ ,这就意味着Alice和Bob生成的一部分密钥是不安全的。换言之,Eve已经知道了关于最终密钥的部分信息。因此,可以说Eve的攻击是成功的,反之,攻击是失败的。式(5)和式(11)中
$ {Y}_{1} $ 的值在计算上是不同的。$ {R}^{{\rm{decoy}}} $ 中的$ {Y}_{1} $ 是Alice和Bob通过诱骗态方法的后处理过程估计得到的,即式(6)。$ {R}^{{\rm{Eve}}} $ 中的$ {Y}_{1} $ 是Eve在PNS攻击中优化得到的。当Eve执行PNS攻击时,她可以任意改变$ i $ 光子的透射率。为了不被Alice和Bob发现,Eve需要保持攻击前后的测量统计量不变。假设Eve的攻击对误码率的影响忽略不计,因此只需保证响应率这一个统计量不变。根据文献[31]可知,只需考虑包含6光子及6光子以下脉冲带来的影响即可。即只需要优化$ {Y}_{1},{Y}_{2}, {Y}_{3},{Y}_{4},{Y}_{5},{Y}_{6} $ 以求得真正的安全密钥率$ {R}^{{\rm{Eve}}} $ 的上限。特别地,令优化后的$ {Y}_{0}=0 $ ,这是因为如果Eve收到了一个空脉冲,她转发任何光子给Bob都可能引入误码[29]。 -
首先考虑最原始的BB84-QKD的情况,即只有一种WCS光源发出脉冲——信号态。此时,Alice和Bob认为单光子脉冲和多光子脉冲都能够生成安全密钥,并且认为安全的密钥率为
$ {R}^{{\rm{sec}}}= {R}^{{\rm{full}}} $ :在只有信号态的情况下,根据前面的分析,在Eve执行PNS攻击之后,真正安全的密钥率
$ {R}^{{\rm{Eve}}}={Y}_{1}\mu {\text{e}}^{-\mu } $ 的求解可以归结为:当满足以下条件:
式中,
$ {Y}_{1},{Y}_{2},{Y}_{3},{Y}_{4},{Y}_{5},{Y}_{6}\in \left[0, 1\right] $ 。通过计算,可以得到$ {R}^{{\rm{Eve}}} $ 。如果这个值小于Alice和Bob认为安全的密钥率$ {R}^{{\rm{sec}}} $ ,表明Eve攻击成功。否则,攻击失败。利用Matlab进行仿真。仿真参数主要来源于文献[32-33],是单信号态QKD典型实验系统的参数,具体如表1所示。
采用文献[32]和[33]中的实验参数,当QKD协议中只有一个WCS光源发出脉冲即信号态,Eve执行PNS攻击并且保证攻击前后信号态响应率
$ {Q}_{\mu } $ 不变时,PNS攻击前后的安全密钥率比较分别如图1和图2所示。由图1和图2可知,Alice和Bob认为安全的密钥率$ {R}^{{\rm{full}}} $ 大于Eve攻击之后真正安全的密钥率$ {R}^{{\rm{Eve}}} $ ,即$ {R}^{{\rm{sec}}}={R}^{{\rm{full}}} > {R}^{{\rm{Eve}}} $ ,Eve攻击成功。即,Alice和Bob认为安全的密钥率并不安全。 -
考虑信号态+单诱骗态QKD的情况。此时,Alice和Bob认为只有单光子脉冲能够生成安全密钥,并且认为安全的密钥率为
$ {R}^{{\rm{sec}}}={R}^{{\rm{decoy}}} $ ,可以通过式(5)计算得到。在信号态+单诱骗态QKD的情况下,根据前面的分析,在Eve执行PNS攻击之后,真正安全的密钥率
$ {R}^{{\rm{Eve}}}={Y}_{1}\mu {\text{e}}^{-\mu } $ 的求解可以归结为一个优化问题。为了不被Alice和Bob发现,Eve需要保持攻击前后信号态的响应率$ {Q}_{\mu } $ 和诱骗态的响应率$ {Q}_{\nu } $ 均不变。上述优化问题具体描述如下:当满足以下条件:
式中,
$ {Y}_{1},{Y}_{2},{Y}_{3},{Y}_{4},{Y}_{5},{Y}_{6}\in \left[0, 1\right] $ 。通过计算,可以得到$ {R}^{{\rm{Eve}}} $ 。如果这个值小于Alice和Bob认为安全的密钥率$ {R}^{{\rm{sec}}}={R}^{{\rm{decoy}}} $ ,表明Eve攻击成功。否则,攻击失败。利用Matlab进行仿真。仿真参数主要来源于文献[29, 34],是信号态+单诱骗态QKD典型实验系统的参数,具体如表2所示。
采用文献[29]和[34]的实验参数,在信号态+单诱骗态QKD中,Eve执行PNS攻击并且保证攻击前后信号态响应率
$ {Q}_{\mu } $ 和诱骗态响应率$ {Q}_{\nu } $ 均不变,PNS攻击前后的安全密钥率比较分别如图3和图4所示。由图3和图4可知,Alice和Bob认为安全的密钥率$ {R}^{{\rm{decoy}}} $ 小于Eve攻击之后真正安全的密钥率$ {R}^{{\rm{Eve}}} $ ,即$ {R}^{{\rm{sec}}}={R}^{{\rm{decoy}}} < {R}^{{\rm{Eve}}} $ ,Eve攻击失败。换言之,Alice和Bob认为安全的密钥率确实是安全的。特别地,虽然此时用式(13)计算的密钥率$ {R}^{{\rm{full}}} $ 可能仍然大于$ {R}^{{\rm{Eve}}} $ ,但是Alice和Bob已不再将其作为安全密钥率。结合单信号态QKD的攻击结果,综合来看,没有诱骗态时,Eve的PNS攻击是成功的;有诱骗态时,Eve的PNS攻击是失败的,这说明了诱骗态存在的必要性,验证了诱骗态方法确实能够抵抗PNS攻击。
Rationality and Security Verification of Indistinguishability Assumption in Decoy-State Quantum Key Distribution
doi: 10.12178/1001-0548.2022068
- Received Date: 2022-03-06
- Accepted Date: 2022-06-13
- Rev Recd Date: 2022-05-22
- Available Online: 2023-02-03
- Publish Date: 2022-07-09
-
Key words:
- Bayesian decision /
- decoy state /
- indistinguishability assumption /
- photon number splitting attack /
- quantum key distribution
Abstract: In this paper, we use Bayesian decision to distinguish signal state from decoy state in one decoy-state quantum key distribution. The analysis results show that we can still only get the conclusion that the signal state and decoy state have the same
Citation: | CHEN Xiaoming, CHEN Lei, YAN Yalong. Rationality and Security Verification of Indistinguishability Assumption in Decoy-State Quantum Key Distribution[J]. Journal of University of Electronic Science and Technology of China, 2022, 51(4): 482-487. doi: 10.12178/1001-0548.2022068 |