QIA 量子信息网络产业联盟 QuantumInternetIndustryA/liance QKD安全攻击防御方案分析 和分级评估研究报告 量子信息网络产业联盟 2024年1月 声明 本报告所载的材料和信息,包括但不限于文本、图片、数据观点、建议等,均不构成投资或法律建议,也不应替代律师意见本报告所有材料或内容的知识产权归量子信息网络 产业联盟所有(注明是引自其他方的内容除外),并受法律保护。如需转载需联系本联盟并获得授权许可。转载、摘编或利用其它方式使用本报告文学、图表或者观点的,应注明“来源:量子信息网络产业联盟”。违反上述声明者,本联盟 将道究其相关法律责任。 量子信息网络产业联盟 联系电话:010-62300592 邮箱:qiia@caict.ac.cn 编制说明 量子保密通信作为量子信息产业实用化程度最高的产业,目前已在国防、政务和民生等领域开展应用探索。作为量子技术在保密通信中的应用,量子保密通信拥有量子基础物理理论确保其信息论安全。量子保密通信在实际使用过程中可能会遭受攻击破环其安全性,但是结合“测量器件无关 量子密钥分发”技术和经过精确标定、自主可控光源的量子 保密通信系统,叠加完善的安全测评和认证体系就可以提供现实条件下量子保密通信的安全性。 量子保密通信技术的规模化应用需要在现实条件下安全 性测评的基础上,构建评估规范和标准体系。对于量子攻击的风险评估和防御有效性评估方案是量了保密通信标准体系的重要一坏环。用户产和生产商可以利用该方案评估量子保密通信设备面临的攻击的威胁程度,结合自身需求选择恰当的防护手段;认证和测评机构可以根据该方案制定测评计划,明确产品的安全等级和防护效力。因此,联盟组织成员单位共同研究编写了《QKD安全攻击防御方案分析和分级评估研究报告》,供业界参考。 编制单位:中国科学技术大学、中国信息通信研究院、北京邮电大学、科大国盾量子股份有限公司、市山大学、国防科技大学、济南量子技术研究院、信息工程大学 编写组:廖胜凯、徐飞虎、张维杨、赖俊森、张一辰、李东东、汤艳琳、黄安琪、孙仕海、姜聪、李宏伟、周淳。 前言 量子通信是量子信息科学的重要分支,它是指利用量子比特作为信息载体来进行信息交互的通信技术。量子通信中典型 的应用方式是量子密钥分发(quantumkeydistribution,QKD)。 量子密钥分发可以提供具有理论协议安全性的密钥分发手段,是首个从实验室走向实际应用的量子信息技术。QKD的理论协议安全性是指,在量子密钥传输过程中,窃听者无法做到既窃听文不留下痕迹,其安全性不是由计算复杂度决定的,而是由量子力学的基本原理保证的。然而,在实践过程当中,现实设备的某些不完美性,可能会引入一些与理论安全分析中使用的理想模型的偏差。攻击者(Eve)可能会利用这些偏差对实际QKID)系统进行攻击,这使得实际QKD系统存在一定的安 全隐惠,研究人员已经针对这些安全隐惠提出了一系列的攻击 策略和防御方案。 为广更好地评估不同攻击策略的危害程度以及防御策略的有效性,评价实际QKD系统的现实安全性,并为不同安全需求等级的防御方案提供依据,需要对不同攻击策略进行风险分级评估,量化其危害程度,对相应的防御方案进行有效性分级评估,量化其防御效能。但是,直前QKD相关的标灌和规范主要集中于QKD系统的技术和检测规范,而在受攻击风险评估和安全等级划分方面仍是空自。传统通信行业在信息系统攻 击风险等级评估和信息安全等级保护方面拥有一套完整的法律法规及配套的标准和规范,能够对信息安全进行完整的分级评估。因此,本报告参考了经典信息安全等级保护、分级保护的分级评估思想,探索针对QKD攻击策略风险评估分级的可行性。同时参考了ISO/IEC和CEV的传统通信系统器件设备和 受攻击的潜在可能性的分级评估标准,分析了QKD系统安全性模型和框架,提出了相应安全性要求,针对违背具体QKL 系统的实际安全性要求导致的攻击策略以及相应的防御方案 进行量化打分评估。 本报告旨在构建实际QKI)系统框架和安全性要求,分类讨论目前已知政击策略,研究攻击原理,分析攻击风险,根据实现情况进行评级。研究提出相应的防御策略评价标准,分析针对各个攻击的防御策略的有效性。在此基础上,将攻击风险和防御有效性评估进行综合考虑,得到攻击的整体安全性风险评估结果。本报告对于具体攻击策略的分级评估,为后续的标 准化和测评工作奠定基础。 当目 一,量了密钥分发安全框架1 (一)量子密钥分发理论安全性证明1 (二)实际量子密钥分发系统架构及安全性要求 (三)攻击策略分类15 18 (一)攻击风险分级 18 (二)防御有效性分级 29 (三)整体安全评估 32 针对DV-QKD设备✁攻击风险和防御有效性评级研究33 (一)光子数分离攻击 33 (二)木马攻击 36 (三)相位重映射攻击 40 (四)注入锁定攻击(相位型) 4.3 (五)注入锁定攻击(强度型) 46 (六)注入锁定攻击(波长型) 49 (七)强光损伤可调光衰减器攻击 52 (八)非混态攻击 54 (九)脉冲互于扰攻击 56 (十)致盲攻击(连续光型) 60 (十一)致盲攻击(热致盲型) t9 (十二)致盲攻击(脉冲光型) 66 (十三)死时间攻击 71 (十四)门后攻击 74 (十五)时移攻击 78 二.攻击风险和防御有效性分级 三. (十六)分束器波长攻击81 (十七)荧光攻击83 (十八)超线性攻击86 (十九)双计数攻击90 (二十)设备校准攻击93 (二十一)强光损伤探测器攻击96 (二十二)探测器偏振相关攻击100 四.针对CV-QKD设备的攻击风险和防御有效性评级研究102 (一)木马攻击103 (二)非理想光源攻击105 (三)注入锁定攻击(强度型)109 (四)光衰减攻击112 (五)本振光波动攻击116 (六)本振光校准攻击117 (七)参考脉冲攻击120 (八)偏振攻击122 (九)饱和攻击124 (十)致盲攻击127 (十一)波长攻击129 五.攻击风险和防御有效性打分评级样例132 六总结144 参考文献146 附录ADV-QKD攻击风险的打分评估样例152 附录BCV-QKD攻击风险的打分评估样例163 图目录 图1:QKD系统架构5 图2:CV-QKD系统架构11 图3:高斯分布示意图12 图4:特洛伊木马攻击示意图37 图5:调制电脉冲的波形及相位重映后的量子态40 图6:注入锁定攻击改变光源相位的实验示意图44 图了:注入锁定攻击改变光源强度的实验示意图46 图8:注入锁定攻击窃取偏振编码信息的实验示意图49 图9:强光损伤可调光衰减器攻击52 图10:USD攻击实验装置图55 图11:脉冲相互干扰58 图12:单光子探测器的工作模式62 图13:脉冲式致盲攻击实验装置图67 图14:探测器信号检测68 图15:脉冲致盲攻击下的密钥率分析69 图16:死时间攻击示意图72 图17:门后攻击下探测的响应76 图18:探测器探测效率不一致性示意图79 图19:时移攻击示意图79 图20:时分复用方案81 图21:探测器荧光时域信号84 图22:荧光攻击示意图 图23:门控探测器过波渡区的超线性87 图24:超线性攻击装置88 图25:双计数攻击92 图26:设备校准操作95 图27:设备校准攻击引起的探测效率差异95 图28:强光损伤探测器实验装置图97 图29:设备校准攻击引起的探测效率差异98 图30:探测器不同阶段损坏程度66 101 图32:针对CV-QKD的木马攻击的实验结果 104 图33:非理想光源攻击模型 107 图34:非理想相干光源模型安全码率 107 图35:激光器种子攻击改变光源强度的实验示意图 110 图36:激光器种子攻击下系统的安全密钥率 111 图37:邀光器种子攻击的实时监控方案 113 图38:光衰减器攻击示意图 114 图39:光衰减器攻击下的成码率示意图 114 图40:衰减实时监控装置示意图 116 图41:本振光校准攻击 118 图42:参考脉冲攻击 121 图43:偏振攻击 123 图44:饱和攻击 126 图45:致盲攻击 128 图46:波长攻击 1.31 图31:偏振相关攻击 表目录 表1:实际QKD系统光源的安全性要求5 表2:实际QKD系统编码的安全性要求5 表3:实际QKD系统解码的安全性要求6 表4:实际QKD探测的安全性要求 [~, 表5:实际CV-QKD系统光源的安全性要求9 表6:实际CV-QKD系统调制的安全性要求10 表7:实际CV-QKD探测的安全性要求11 表8:实际CV-QKD本振光的安全性要求12 表9:安全性要求与攻击策略关系汇总12 表10:CV-QKD安全性要求与攻击策略关系汇总13 表11:QKD系统设备信息的保密等级举例17 表12:仪器设备分类举例19 表13:针对攻击的5个评估维度打分分值表21 表14:攻击策略分级22 表15:防御评估分析表24 表16:针对攻击的5个评估维度打分分值表样例103 表17:攻击策略分级样例 表18:攻防分级评估汇总104 表19:CV-QKD攻防分级评估汇总107 表20:攻击风险分级汇总 109 表21:攻击风险分级汇总110 表22:DV-QKD攻击方案的防御策略分级汇总110 表23:CV-QKD攻击方案的防御策略分级汇总112 编缩略略语语汇汇总总 QQKKD(Dq(uanqtuumakenydtiustmributkioen)y量d子is密tr钥ib分u发tion)量子密钥分发DDVVQKQD(KdisDcre(tevadriaibslecquraenttuemkveyadirstiriabubtiolne)离q教u变an量t量u子m密keydistribution)离散变量量子密钥钥分分发发 CCVVQKQD(KcoDntin(uouscvoarinabtleiqnuuanotumukseyvdisatrribiuatiobn)le连q续u变a量n量t子umkeydistribution)连续变量量子 密密钥钥分分发发 TTOOE(Et(argettaofregvaelutaotiofn)e评va估l对u象ation)评估对象TTDDC(Cti(medtiigmitalecondviegrtoirt)al时c间o数n字v转e换rt器or)时间数字转换器PPNNSS((phoptonh-noutmobner-snpluittimng)be光r子s数p分li离tting)光子数分离CCOOWW(c(ohecroenhteonreewnaty)on相e于w单a路y协)议相干单路协议 UUSSD(Dun(ambuignuoausm-stabtei-gdisucroimuinsat-iosn)ta非t混e-态d区i分scrimination)非混态区分VVOOA(AV(ariaVbleaOrpitaicballAetteOnuaptotri)ca可l调A光t衰te减n器uator)可调光衰减器AAPPDD(a(valaanvchaelpahnotocdhioedep)h雪o崩to光d电i探o测de器)雪崩光电探测器TTEEC(CT(herTmohEelercmtricoCoEolelre)c半tr导ic体制C冷o器oler)半导体制冷器 SSPPD(Ds(inglsepihnogtolnedeptehctoort)o单n光d子e探te测c器tor)单光子探测器 OOTTDRD(Ropt(icaltiomep-dtoimcaainlretfleicmtomee-tedr)o光m时a域i反n射r仪eflectometer)光时域反射仪QQBBERE(Rqu(antqumubaitnertrourrmate)bi量t子e比rr特o错r误ra率te)量子比特错误率 VI VI 一一、、量量子子密密钥钥分分发发安安全全框框架架 ((一一))量量子子密密钥钥分分发发理理论论安安全全性性证证明明