量子密钥分发（QKD）设备安全要求 第1部分：基于诱骗态BB84协议的QKD设备

量子密钥分发(QKD)设备安全要求第1部分：基于诱骗态BB84协议的QKD设备本文件规定了基于诱骗态BB84协议的量子密钥分发(QKD)设备部署的物理环境要求以及本文件适用于量子保密通信网络中的基于诱骗态BB84协议的量子密钥分发(QKD)设备(以下简称“QKD设备”)设计、研发、生产和检验2规范性引用文件仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T37092-2018信息安全技术密码模块安全要求GB/T39786-2021信息安全技术信息系统密码应用基本要求GB/T43692-2024量子通信术语和定义GM/T0005-2021随机性检测规范GM/T0062-2018密码产品随机数检测要求GM/T0108-2021诱骗态BB84量子密钥分配产品技术规范GM/T0114-2021诱骗态BB84量子密钥分配产品检测规范YD/T3834.1-2021量子密钥分发(QKD)系统技术要求第1部分基于诱骗态BB84协议的QKD系统YD/T3907.3-2021基于BB84协议的量子密明分发(QKD)用关键器件和模块第3部分：量子随机数发生器(QRNG)ISO/IEC23837-2023量子密钥分发的安全要求、测试和评估方法第1部分：要求(Informationsecurity-Securityrequirements,testandevaluationmethodsfor3术语和定义GB/T43692-2024、GM/Z0001-2013界定的以及下列术语和定义适用于本文6QKD设备应采取措施防护可远程利用的物理攻击，避免通过经典信道的侧信道信息泄露，以防止安全数据和用户数据(如关键安全参数、量子密钥以及中间密钥数据等)被非法访问。经典信道侧信道防护应符合ISO/IEC23837.1-2023中9.2.17的相关要求。7.1.3关键安全数据QKD设备应确保关键安全数据的安全性。限制关键安全数据的管理相关操作，包括更改默认值、查询、修改、删除、清除或其他操作。仅允许管理员执行表1所示的相关操作。(仅造用于基于PIN码的用户认证)(针对所有用户的PIN码)QKD设备应使用量子随机数发生器或其他物理随机数发生器产生随机数。随机数发生器应具备YD/T3834.1-2022中7.1.2所规定的安全功能要求，量子随机数发生器还应满足YD/T3907.3-2021的要除自检外，随机数质量的统计测试，可遵照GM/T0005-2021执行。7.1.5密钥销毁要求根据ISO/IEC23837.1-2023和GB/T37092-2018中79.7相关要求，QKD设备应在以下情况钥和中间密钥数据：a)销毁原始编码数据、原始密钥、筛选后密钥、纠错后密钥：在设备退役时：在执行QKD协议期问使用密钥材料时发生纠错失败、两端密钥不一致以及其他特定系统故障事件，在其他需要b)销毁已上传的最终密钥密钥已成功上传到相关密钥管理器，或者在密钥上传期间发生特定的系统故障事件：e)销毁QKD设备认证密钥：设备退役。或者需要更新，或者在使用密钥时发生特定的系统故障QKD设备应选择合适的密钥销毁方法。密钥销毁方法包括且不限于：直接用不相关的恒定值覆写密钥变量、用随机模式覆写密钥变量等。7.1.6密码操作QKD设备的密码算法和密码应用应符合应用系统要求。密码算法可采用国家密码主管部门核准的对称密码算法、非对称算法和杂凑算法。密码应用应符合GB/T39786-2021的相关要求。密码操作提供的安全能力包括且不限于以下：a)提供QKD设备与对应KM设备之间的通信数据的机密性和完整性保护；b)提供QKD设备与对端QKD设备之间的通信数据的机密性和完整性保护；c)QKD设备通过控制和管理接口与操作员之间的通信数据的机密性和完整性保护；d)QKD协议的静态参数或配置，可通过管理员用户查询，普通用户无权限。7.4.5密钥管理接口安全要求QKD设备应确保通过密钥管理接口传输的关键数据的安全性，关键数据的安全保护应符合GM/T0108-2021的相关要求。QKD设备应确保此类数据的机密性，可通过使用密码算法、物理环境安全等方法来实现。QKD设备应明确此类数据修改的规则，并具备检测所有安全数据修改的能力。一旦检测到非法修改，应丢弃接收到的数据，并采取必要的安全防护行动QKD设备应具备检验此类数据完整性的能力。完整性保护可以通过使用密码算法来实现。采用的算法见7.1.6中规定7.4.6自动恢复要求QKD设备应具备自动恢复功能，在故障或服务中断时，提供返回到正常状态的能力。应符合ISO/IEC23837-2023相关要求。这类故障事件包括但不限于：a)在启动参数调整过程中的故障事件。在这种情况下，QKD设备可以通过运行进一步的参数调整过程尝试恢复：b)在后处理阶段出现与密钥数据的相关一致性检查失败。在这种情况下，正在进行的QKD会话将终止，并立即销毁与该会话相关的中间密钥数据。接下来，QKD设备会自动正常启动一个c)在QKD设备之间(在QKD设备之间实施了相互认证过程)或在QKD设备与外部IT产品之间(例如相关的外部KM设备)之间的相互认证失败。在这种情况下，涉及的实体可以尝试相互重新认证。QKD设备应具备自检功能，在初始启动期间、定期在正常操作期间、授权用户请求或满足其他自检发生条件的时候执行自检操作。QKD设备应具备授权用户验证自检后安全数据完整性和安全要求完整性的功能。自检的时机和方法应满足表3要求。如果在自检过程中检测到故障，QKD设备应进入故障状态，并按照7.4.3中要求进行处理。“授权用户的请求可以是事先规定的规则。8量子安全性要求8.1量子器件侧信道防护要求QKD设备应设计相关机制，确保所用量子器件不存在可以被攻击者利用的侧信道，不会通过量子信道(或结合经典信道)泄露足够信息，以避免未授权的第三方能够通过这种信息泄露访问安全性数据1应满足YD/T3834.1-20217.应满足GM/T0108-20216.2.1.应满足YDT3834.1-20217.应满足GM/T0114-20216.2.1.2应满足GM/T0114-20216.1.3.1要求注：量子信号相邻脉冲之间的强度(或相位)12应满足GM/T0114-20217.2.2.1要求。34同一安全域内56长分光比偏差不超过10%)或加入能波器限制探测7被动解码或主动解码(不选态)时，可要求测效率峰值偏差<10%,且探测效率半高宽以防御时移攻击。8应满足GM/T0114-20217.2.3.1要求。9于有效探测窗口并丢弃处于探测窗口外计数的相应设QKD对光脉冲到达探测器的实际时间进行监测双探测器响应事件可直接丢弃。被动解码或主动解码(不选态)时，可要求测效率峰值偏差<10%,且探测效率半高宽偏差<10%,1QKD量子黑客攻击风险和防御有效性分级分析A.1量子黑客攻击风险分级QKD系统的理论安全性证明当中均假设QKD发送端和接收端的设备理想的。然而，在物理实现过程中，现实设备的某些不完美性，可能会引入一些与理论安全分析中使用的理想模型的偏差。攻击者可能会利用这些偏差对实际QKD系统进行攻击，也可能人为破坏设备的某些特性，制造安全漏洞。因此，在研究实际QKD系统的安全性时，需要研究实际设备的模型，并将其纳入到安全性分析之中。基于实际模型的安全性研究，已提出了一系列针对实际QKD系统的安全性要求。参照《QKD安全攻击防御方案分析和分级评估研究报告》,可以对量子黑客攻击风险进行分析和分级。“攻击能力分级“根据攻击者具备的能力强弱以至于对安全的威胁程度大小对攻击进行能力分级。计算攻击潜力的因素可以映射到五个方面消耗时间、专业知识、掌握的设备信息、获取设备的机会窗口、执行攻击所需的设备。根据这五个维度进行量化分析评价的构建，能够将QKD中量子黑客攻击进行有效拆解分析，对每一个漏洞的相关攻击进行等级评价。需要注意的是，在许多情况下，这些因素不是独立的，而是在不同程度上相互协同、相互制约。同时这几个维度也有一定的重叠部分和因果关系。根据以上五个维度进行评价打分，可将量子黑客攻击策略的风险分为超高风险、高风险、中风险、低风险、微小风险等5个档次。超高风险：消耗时间很少，专业能力要求不高，仅需要掌握公开的设备信息，并且可多次尝试访问目标设备，使用的工具便宜操作简便。高风险消耗时间较少，专业能力要求较低，需要掌握一定的设备信息，可有限次数尝试访问目标设备，使用的工具价格适当操作要求一般中风险消耗时间较长，专业能力要求一般，需要掌握较机密的设备信息，可有限次尝试访问目标设备，使用的工具价格较高操作较复杂。低风险消耗时间较长，专业能力要求较高，需要掌握秘密的设备信息，可少量尝试访问目标设备，使用的工具价格偏高操作复杂。微小风险消耗时间很长，专业能力要求很高，需要掌握仅少数人员掌握的设备信息，几乎很难访问目标设备，使用的工具价格很高且操作极为复杂。需要说明的是，以上攻击风险分级方法主要关注的是攻击过程中的“成本”进行评估，此种分析方法没有直接对攻击造成的结果进行评估打分。攻击结果的评估在QKD领域主要是指密钥窃听能力，即攻击对密钥的获取能力A.2防御有效性分级参照《QKD安全攻击防御方案分析和分级评估研究报告》,可以对量子黑客攻击的防御策略进行有效性分析，并针对不同攻击的防御策略进行防御有效性分级。共分为C0-C3共4个级别。C3级为安全解决，即QKD系统中设备不完美性被纳入到安全性证明之中，或者不存在安全性风险。C2级为具有鲁棒性的解决，即在实验上可以有效地抵抗特定攻击策略，但是暂时还没有被纳入到安全性证明之中。CI级为部分有效的解决，这种解决方法只针对某些攻击策略是有效的，但是对其他攻击或者攻击策略的修改版本是无效的。CO级为不安全：安全性漏洞已经被证明存在，但是目前没有行之有效的防御策以上针对防御的分级方案主要关注的是防御的效果。是从攻击者角度出发，更关注防御效果对攻击风险的影响，未关注防御成本”。防御“成本”主要是和用户雷求相关，即被攻击的设备的使用者的要求。比如：当被攻击的QKD用户需求很高，即需要保护国家级的机密时，防御者不会将防御的“成本”作为主要的考虑内容，而把防御的效果作为主要的衡量指标。当用户需求很低，即仅需要保护个人的信息时，防御者就需要主要考虑防御“成本”。而把防御效果作为次要的考虑对象。QKD设备是集合了电子学、1光学器件的一套通信设备，其防御的成本可以在以下几个方面展开讨论和分析：a)防御所需设备的价格，b)防御方案的集成化难度，c)防御所需设备的技术实现难度，d)在后处理的防御过程中所需的运算能力和牺牲的原始密钥数。综上，防御“成本”和防御效果是一个权衡的关系，需要多个领域方面的专家结合不同的实际应用场景，形成更为完善的评估体系。QKD量子黑客攻击风险和防御有效性分级分析汇总见表6。12GM/T0114-20217.2.2.1要求3456器件(不同波长分光比偏差不即过10%)或7多探测器探测效率峰值偏差<10%,且探测89GM/T0114-20217.2.3.3进入探测器前加一个监视器对计数异常进行告警。可直接丢弃效率半高宽偏差<10%,以防御伪态攻击。[1]N.Litlestone,Leamingquicklywhenirrelevantattributesabound:AnewMachineLearning2,285-318(1988).[2]M.Lucamarini,L.Choi,M.B.Ward,etal,PracticalSecurityBoundsAgainsttheinQuantumKeyDistribution,Phys.Rev.X5,031030(2015).[3]A.N.Bugge,S.Sauge,A.M.M.Ghazali,etacryptography,Phys.Rev.Lett.112,070503(2014).[4]C-H.F.Fung.B.Qi,K.Tamaki,andH-K.Lo,Phase-remappingattackinpracticaldistributionsystems,Phys.Rev.A75,032314(2007).[5]A.Huang.A.Navarrete,S.-H.Sun,P.Chaiwongkhot,M.Curty,andV.Makarov,Laser-seedingattackinquantumkeydistribution,Phys.Rev.Appl.12,064043(2019).[6]H.-W.Li,S.Wang,J-Z.Huang,etal.,Attackingapracticalquantum-key-distributionsystewavelength-dependentbeam-splitterandmultiwavelengthsourees,Phys.Rev.A84,062308(2011).[7]Y.Zhao,C.-H.F.Fung,B.Qi,C.Chen,H.-K.Lo,Quantumhacking:Experimentaldemonstrationtime-shiftattackagainstpracticalquantum-key-distributionsystems,Phys.Rev.A.78,042333(2008).[8]L.Lydersen,C.Wiechers,C.Wittmann,etal,Hackingcommercialquantumcryplograbytailoredbrightillumination,Nat.Photonics.4,686-689(2010).[9]V.Makarov,A.Anisimov,andJ.Skaar,Effectsofdetectorefficiencymismatchonsecuquantumcryptosystems,Phys.Rev.A74,022313(2006).[10]C.Wicchers,L.Lydersen,C.Wittmann,etal.,After-gateattackonaquantPhys.13,013043(2013).[11]Y-J.Qian,D.-Y.He,S.Wang,etal.,HackingtheQuantumKeyDistributionSystemtheAvalanche-TransitionRegionofSingle-P