密码会报告量子密码.ppt

高 飞北京邮电大学,中国密码学会2010年会 量子密码协议及其安全性分析,主要内容,量子密码的研究背景和意义基本物理概念典型协议和基本模型介绍研究现状和实验进展协议分析研究进展,研究背景和意义,对称密码体制优点：加密速度快，适合批量加密数据缺点：密钥分配、密钥管理、没有签名功能,公钥密码体制：基于大数分解等数学难题优点：可解决密钥分配、管理问题，可用于签名缺点：加密速度慢,实际使用：混合密码体制用公钥密码体制分发会话密钥用对称密码体制加密数据安全性挑战：量子计算Shor算法：大数分解算法多项式时间内解决大数分解难题受影响密码体制：RSA等大多数公钥密码Grover算法：快速搜索算法可以加速搜索密钥受影响密码体制：DES，AES等对称密码,计算能力对比：大数因子分解经典方法：运算时间随输入长度指数增长129位，1600个工作站花了8个月的时间完成分解250位，用同样计算功能需要8*105年1000位，1025年(宇宙年龄！)(1994年数据)量子方法(Shor算法)：运算时间按多项式增长1000位，只需运算几百万次（分钟量级！),计算能力对比：搜索算法（从 N 个未分类的客体中寻找出某个特定的客体）经典方法执行查找N/2次，正确的概率为1/2从256个密钥中寻找一个正确的密钥需要1000年(106次/秒)量子方法(Grover算法)次，正确的概率接近1从256个密钥中寻找一个正确的密钥需要的时间小于4分钟(106次/秒),有没有彻底的解决办法？加密：One-Time Pad(OTP)一次一密乱码本密钥分发：？,量子密钥分发（QKD）,量子密钥分发的特点可以检测到潜在的窃听行为基于物理学原理，理论上可达到无条件安全,基本物理概念,量子的概念微观世界的某些物理量不能连续变化而只能取某些分立值，相邻分立值的差称为该物理量的一个量子直观理解：具有特殊性质的微观粒子或光子量子态经典信息：比特 0 或 1，可用高低电压等表示量子信息：量子比特（Qubit）|0，|1量子比特还可以处在 不同状态的叠加态上！,量子态的向量描述,|0,|1相互正交，|+,|-相互正交,量子态的可叠加性带来一系列特殊性质量子计算的并行性：强大的计算能力不可克隆定理：未知量子态不可克隆测不准原理：未知量子态不可准确测量对未知量子态的测量可能会改变量子态,一则漫画,量子比特的测量力学量、测量基每个力学量都对应一个厄米算符（矩阵）测量某个力学量时，测量结果为此力学量对应厄米算符的本征值（特征值）测量后量子态塌缩到此本征值对应的本征态（特征向量）,一般地，用 测量量子态 将以概率 测得1，测量后量子态变为 将以概率 测得-1，测量后量子态变为例如用 基测量 态，会以概率1得到 用 基测量 态，会以概率1得到例如用 基测量 态，会随机得到 或 用 基测量 态，会随机得到 或测量 或 态时有类似结论,典型协议BB84 QKD协议,使用的四种量子态：|0,|1,|+,|-根据测量知识，这四种量子态不可可靠区分，并且冒然测量会干扰量子态！,1.Alice制备一组偏振态光子发给Bob，每个光子随 机地处于|0,|1,|+,|-四个态之一2.Bob 随机选择一组偏振基同步测量每个光子3.Bob通知Alice测量到光子用的偏振基（不是态）4.Alice告诉Bob哪些选择是正确的，保留相应数据5.双方按约定转换成0、16.两人随机公布一些比特进行窃听检测。有窃听则终止7.两人进行纠错和保密放大得到无条件安全的密钥,窃听可检测性：假设a b c d分别代表|0|1|-|+态；1,2分别代表|0,|1,|+,|-基,无窃听时的情况：正确得到密钥,有窃听时的情况：密钥出错,量子密码基本模型,四个基本步骤信息传输纠错信息传输：通常用到两种信道量子信道传输量子载体，例如 光纤、自由空间等允许窃听者对传输的量子消息进行任意窃听和篡改经典信道传输经典消息，例如 测量基、测量结果等基本假设：窃听者只能窃听经典消息而不能篡改它们,窃听检测保密增强（Privacy Amplification）,窃听检测一般手段：随机选择部分量子载体，比较初末状态对好的协议：窃听必然干扰量子态，进而引入错误一旦发现存在窃听（错误率过高），则终止通信，丢弃相关数据因为传输的是密钥（即随机数），而不是秘密消息，因此可以丢弃它们而不会因此泄露秘密,纠错和保密增强：解决噪声问题理想情况（无噪声）：有错误就认为有窃听实际情况（有噪声）：噪声也会带来一定错误率对策：设定一个阈值，当错误率高于这个阈值时丢弃通信数据，反之保留（即允许有一定的错误）Alice和Bob的密钥可能不完全一致Eve可能在噪声掩饰下获得部分密钥信息纠错：纠正密钥中的错误保密增强：通过压缩密钥长度，将Eve可能获得的部分密钥信息压缩至任意小，得到安全的密钥,研究现状和实验进展,量子密码协议的设计与分析量子密钥分发量子秘密共享量子安全直接通信量子身份认证量子抛币量子不经意传输关键技术提高效率：可重用基、纠缠增强、双光子、双探测器提高抗干扰能力：无消相干子空间、量子纠错码提高抗攻击能力：诱骗态（Decoy State）实验技术：速率更高、距离更远、安全性更强,量子比特承诺量子投票量子签名量子公钥密码量子拜占庭协定连续变量量子密码协议。,实验进展（国外）,1989年，IBM、Montreal大学，第一个QKD实验，光纤，30公分1995年，瑞士日内瓦大学，光纤，23公里2002年，德国慕尼黑大学和英国军方，自由空间，23.4 公里2004年，美国马萨诸塞州剑桥城，第一个量子密码通信网络2006年，德奥荷新英联合小组，自由空间，144公里全球QKD成为可能（卫星-地面）T.Schmitt-Manderbach,et al.,Phys.Rev.Lett.98,010504(2007)2008年，瑞士、美国联合小组，光纤，250公里100km,6kb/s,0.85%250km,15b/s,1.9%D.Stucki,et al.,New J.Phys.11,075003(2009),量子密钥分发系统，2001年 第一个商用量子密码系统 最大传输距离:60 km 最大密钥分发速率：1000 bits/s,Id Quantique公司,日内瓦大学,实验进展（国内）,1995年，中科院物理所,首次演示性实验2000年，中科院物理所、研究生院，光纤,1.1公里2004年，郭光灿小组,光纤,125公里2004年，潘建伟小组,量子隐形传态2006年，潘建伟小组,六粒子纠缠态2008年，潘建伟小组,量子中继器2009年，潘建伟小组,量子电话（20公里，10.5kb/s）2009年，郭光灿小组,量子政务网（芜湖）,郭光灿小组QKD实验：北京至天津,协议分析研究进展,协议分析的研究内容深入分析协议能否真正实现其密码学目标给出可能的攻击方法协议分析的研究意义学科发展：应用角度：,提出可行的改进方式,研究现状 重设计而轻分析,分析表明 很多协议被攻破,设计和分析相互促进，共同推动密码学的发展熟悉常见攻击方法对协议设计有重要指导意义,全面的安全性分析是协议走向实用的必要步骤误用不安全的密码系统将可能会带来严重后果,研究成果举例,发现目前流行的双向量子安全直接通信协议中存在的信息泄漏问题（涉及整个方向的十余种协议），有一半甚至更多的秘密信息将被泄露出去。(中国科学),从信息论和密码学的角度分析了十余种不同双向QSDC方案，这些论文的SCI总引用次数已达160余次。,以著名的QSS协议HBB为例，给出了具有一般意义的QSS安全性分析方法，得出了攻击成功的充要条件。本结果“终结了HBB协议的安全分析”（审稿专家），现有攻击策略都是该结果的特例。(PRA),该方法一方面可以发现协议的安全性问题，得到攻击成功的具体方法，另一方面可以证明协议在个体攻击下的安全性。,建立了单粒子量子安全直接通信中的一种通用PNS攻击模型，证明了所有的双向单粒子量子安全直接通信协议在此模型下都是不安全的。(PRA),该攻击模型可直接应用于单粒子量子密码协议的安全性分析，包括量子密钥分发和量子安全直接通信协议。,提出参与者攻击的概念，并对不同协议给出十余种有效的参与者攻击方法，使不诚实的参与者能够非法获得未授权秘密信息。（QIC等）,在多方协议中，参与者往往具有更强的攻击能力。这种威胁一直未能引起人们足够的重视。分析表明，很多现有QSS协议都存在此类安全问题。,对一类多方量子秘密共享协议提出一种纠缠交换攻击方法，使得未授权用户可以非法获得共享的秘密信息。（QIC、OC等）,可以应用于共享经典消息、共享量子态和可控量子秘密共享等至少7种不同方案，这些方案的SCI总引用次数已超过150次,指出现有的四种秘密分发参考系协议均不能抵抗拒绝服务攻击。并且发现由于没有共享的参考系，通信双方检测窃听的能力大大受限，要对抗拒绝服务攻击远比QKD或QSDC协议中更复杂。截止目前人们还没有找到好的方法来解决这一难题。(PRA),发现了GHZ态的一种新规律相关可提取性，这一性质可以被窃听者所利用，严重威胁着很多量子密码协议的安全性，尤其是在那些用GHZ态作量子载体的密码协议。应用这一性质攻击了多种量子密码协议。(PLA等),提出了一种比较不同检测方法效率的模型，并用这种模型分析了ping-pong协议中两种不同检测方法的效率，比较结果与直观分析结果完全吻合。（中国科学）,分析了由德、瑞、新、西联合研究小组提出量子拜占庭协议，发现叛变者可以通过截获重发策略成功攻破此协议，他可以使两个忠诚的将军采取相反的行动，甚至可以成功地诬陷任何一个忠诚的将军。(PRL)对一类基于可重用载体的QKD、QSS协议（总SCI引用次数超过100次）提出一种间歇性攻击方法，可以使窃听者获得一半秘密信息而不被检测到。（PRA）假信号攻击、纠缠分裂攻击、蛮力攻击、隐形传态攻击、密集编码攻击。,不可低估量子特性赋予攻击者的攻击能力 必须对量子密码协议分析给予足够重视,量子密码安全性分析研究的新方向,经典密码中安全性证明方法在量子密码中的应用量子密码的安全性证明方法与经典密码大不相同能否将经典密码中的证明方法应用到量子密码协议的分析？实际密码系统的安全性研究侧信道攻击：设备不理想的情况光源：非理想单光子光源信道：信道损失、信道噪声探测器：暗计数、探测效率低、响应时间窗口不匹配 设备无关的量子密码体制：设备不可信的情况有限密钥长度量子密码体制,谢 谢!欢迎各位专家批评指正,Email:Tel:86-10-62283240Web:,