Автор: Клим Бондарь, специалист инженерно-квантовой лаборатории ООО «СФБ Лаб» (ГК «ИнфоТеКС»)
Квантовое распределение ключей (КРК) дает возможность безусловно секретного обмена битовыми последовательностями между передающей (Алисой) и приемной (Бобом) легитимными сторонами благодаря фундаментальным особенностям квантовых состояний света [1]. Секретность таких методов (протоколов КРК) основана на принципах квантовой теории, дающих основу для выявления факта воздействия злоумышленника (Евы) при атаке на протокол по росту уровня ошибок на приемной стороне (QBER – quantum bit error rate). Однако при переходе от изложения протоколов КРК «на бумаге» к их практической реализации возникает ряд нюансов, связанных с реальным поведением используемой аппаратуры (см. раздел «Атаки на техническую реализацию» статьи Атаки на системы квантового распределения ключей).
В действительности, изначально заложить в доказательство секретности произвольного протокола КРК (кроме Device Independent QKD [2]) технические несовершенства используемой аппаратуры практически невозможно без специального экспериментального исследования соответствующего канала утечки информации. Например, имеют место побочные каналы утечки информации, которые, в отличие всевозможных атак Евы на протокол, совершенно не подконтрольны легитимным сторонам сеанса распределения ключа и уязвимость к которым не связана с QBER. При этом наиболее опасным побочным каналом утечки информации (в особенности в системах типа Plug&Play [3]) является отражение света от оптических неоднородностей внутри аппаратных установок Алисы и Боба. Используя такой канал, Ева может атаковать кодирующий компонент Алисы или Боба, вводя в их оптические установки мощное лазерное излучение и детектируя отраженный сигнал, который кодируется вместе с легитимным (Рисунок 1). Подобная атака известна уже более 20 лет и получила устоявшееся название Trojan Horse (THA).
В ряде работ [4-5] были представлены теоретические результаты, которые сегодня можно назвать фундаментом анализа побочных каналов утечки информации и методов их учета в КРК. Стало понятно, что утечка к Еве в ходе атаки THA прямым образом определяется средним числом фотонов 
в отраженном к ней сигнале независимо от состояния, которое она использовала для атаки [6], т.е. верхняя граница взаимной информации Евы и легитимного пользователя в практическом случае (
) определяется значением бинарной энтропийной функции 
. Таким образом любые способы борьбы с атакой THA должны быть акцентированы на снижение величины 
до минимально возможного значения, при этом не влияя существенным образом на легитимный сигнал.
Защита от THA
Поговорим о методах защиты от такой атаки. Первый и наиболее эффективный метод, одновременно удешевляющий оптические установки легитимных пользователей – проектирование системы КРК в парадигме modulator-free (пассивный выбор базиса) [7]. Действительно, фактически вся атака построена на том, что кодирующий компонент не селективен – модулирует и легитимное, и вражеское излучение. Таким образом, если исключается кодирующий компонент, то исключается и атака. Схожего эффекта можно добиться, осуществляя прямую фазовую модуляцию излучения Алисы посредством доверенной оптической инжекции в её лазерный диод [8], что, однако, позволяет избавить от модулятора лишь передатчик. Исключение активных модулирующих компонентов из систем КРК несёт в себе множество преимуществ, поэтому данное направление в настоящий момент усиленно развивается ведущими мировыми научными группами.
Другим способом является применение пассивных защитных компонентов и сторожевых детекторов в аппаратных установках Алисы и Боба. Как правило, пассивные компоненты защиты обеспечивают оптическую изоляцию (однопроходность) аппаратных установок пользователей по отношению к внешнему излучению. При их внедрении установки пользователей эффективным образом становятся искусственно селективны к излучению, модулируя в основном лишь легитимное. На то же ориентированы сторожевые детекторы, детектирующие нелегитимное излучение на проходе в установку. Однако все перечисленные компоненты имеют зависимость эффективности от длины волны света. Так, коэффициенты пропускания изоляторов, циркуляторов и узкополосных фильтров, ровно как чувствительность сторожевых детекторов, имеют строго определенный спектр. В то же время злоумышленник не ограничен в выборе длины волны своего излучения и может подобрать эффективную для проведения атаки, зная спектр всех защитных компонентов пользователей. Такие нюансы привели к ряду спектральных исследований описанных пассивных компонентов [9-11]. На данный момент спектр пропускания каждого типа подобных защитных компонентов хорошо известен в ближней инфракрасной области спектра.
Ограничения существующего анализа
Тем не менее, имея данные лишь о спектральной эффективности компонентов защиты, анализ атаки THA можно построить лишь с нефизичным допущением о полном отражении нелегитимного излучения Евы от аппаратуры пользователей. Итогом такого консервативного анализа может стать завышение требуемого уровня изоляции, и, как следствие, внедрение защитных компонентов, в которых на практике не будет надобности.
С другой стороны, для полноценного анализа требуются данные о спектре коэффициента отражения от компонентов внутри оптических установок Алисы и Боба. Традиционным способом измерения паразитных отражений от произвольных волоконных систем является оптическая рефлектометрия во временной области, часто используемая для тестирования оптических волокон на предмет дефектов. Однако все представленные на данный момент на рынке коммерческие рефлектометры, которые могли бы быть использованы для анализа отражений от систем КРК, поддерживают измерения лишь на выделенных длинах волн, но не в широком спектре, что опять же является ограничением анализа.
Итого, полноценный и точный анализ побочного канала, связанного с атакой THA, идеологически и практически невозможен без широкополосной рефлектометрии, что до сих пор является нетривиальной экспериментальной задачей. Именно эта «брешь» в подходах к анализу широкополосной атаки THA является главной мотивацией работы, которой посвящена настоящая статья.
Широкополосная рефлектометрия
Для того, чтобы провести оптическую рефлектометрию в широком спектре длин волн и получить релевантные с точки зрения анализа атаки THA результаты, необходимо соблюсти ряд требований.
С одной стороны, необходим достаточно мощный лазерный источник с широким спектром, покрывающим весь исследуемый диапазон длин волн. Также крайне желательно, чтобы был понятный механизм спектральной селекции излучения, позволяющий выбирать длину волны для атаки ещё на этапе заведения излучения в установку. А для того, чтобы явно выявлять ответственные за каждое отражение компоненты (для последующего анализа конкретного компонента), необходимое пространственное разрешение должно быть не меньше характерных расстояний между компонентами внутри установок Алисы и Боба, которые в волоконных реализациях составляют десятки сантиметров. Для реализаций рефлектометрии во временной области параметром, определяющим пространственное разрешение, является длительность импульса 
, поэтому подойдёт источник, излучающий субнаносекундные импульсы. В то же время период следования лазерных импульсов 
должен быть не меньше характерной длительности прохода оптического пути в исследуемой установке КРК, которая, как правило, составляет несколько сотен наносекунд.
С другой стороны, детектирующая система рефлектометра должна быть достаточно чувствительной во всем исследуемом спектральном диапазоне для регистрации характерных отражений 
от волоконных компонентов (которые составляют величину ~ -30 ÷ -50 дБ). Также необходимо обеспечить быструю синхронизацию источника и детектора, чтобы последний регистрировал отраженный сигнал с момента излучения импульса лазером и отображал его во временной области.
Экспериментальная установка и результаты
Нам удалось реализовать широкополосный рефлектометр (Рисунок 2) на базе суперконтинуумного лазера и лавинного фотодиода (ЛФД) на базе InGaAs, с запасом удовлетворяющий всем вышеописанным критериям и позволивший впервые произвести широкополосную рефлектометрию системы КРК в диапазоне длин волн 
1100 – 1800 нм.
Опишем, как функционирует установка. Используемый нами суперконтинуумный лазер позволят вводить в исследуемую установку пикосекундные импульсы, спектр которых с запасом покрывает интересующий нас ближний инфракрасный диапазон. В свою очередь за спектральную селекцию импульсов ответственен перестраиваемый на компьютере акустооптический фильтр, ширина линии которого не превышает 12 нм. Затем излучение ослабляется перестраиваемым аттенюатором («зачем?» см. следующий абзац) и вводится в исследуемую установку по оптическому пути между портами 
волоконного циркулятора. Отраженный от установки сигнал проходит путь 
циркулятора и детектируется на ЛФД, синхронизированного с лазером с помощью временного коррелятора, после чего зависимость сигнала детектора от времени сохраняется в память компьютера. Используемый нами ЛФД в меру чувствителен во всем исследуемом спектральном диапазоне, что, вообще говоря, влияет лишь на время измерений, но не на точность.
Для того, чтобы динамический диапазон («предел» измерений) был как можно выше, ЛФД функционирует в гейгеровском (однофотонном) режиме, а измерения проводятся на установке без пассивных защитных компонентов. В этих условиях детектор сверхчувствителен к излучению, поэтому, как ни странно, отраженный сигнал является слишком интенсивным его штатной работы. Именно по этой причине излучение лазера приходится дополнительно ослаблять ещё до введения в установку с помощью перестраиваемого аттенюатора до определенного порога.
Чтобы получить итоговые величины отражений и, как следствие, широкополосные рефлектограммы, необходимо «нормировать» измеренные по вышеописанному алгоритму сигналы отражений на каждой длине волны на собственный спектр лазера, который измерялся аналогично посредством подключения лазера через перестраиваемый аттенюатор к ЛФД. Также, необходимо учесть спектр волоконного циркулятора, коэффициент пропускания которого также зависит от длины волны. Итоговые широкополосные рефлектограммы установок Алисы и Боба выглядят следующим образом (Рисунок 3), пот которым видно, что наибольшие по величине отражения составляют порядок 
и происходят вблизи легитимной длины волны 
1550 нм.
Следующий этап – соотнесение пиков на рефлектограммах с оптическими компонентами, на которых соответствующие отражения произошли. Можно делать это разными способами, например, измерить расстояния между компонентами в установках Алисы и Боба, а затем соотнести их с пиками на рефлектограмме. Итоговое соотношение пиков с компонентами в нашем случае представлено на примере одиночной рефлектограммы (Рисунок 4). По такому соответствию становится понятно, что наибольшие по величине отражения в установках Алисы и Боба вносятся оптическими коннекторами на концах интерферометра Маха-Цандера. Это мотивирует дополнительное исследование этих компонентов, которое подробно описано в статье.
Утечка информации к Еве
Вернемся к вопросу утечки информации к злоумышленнику в ходе широкополосной атаки THAна исследованные установки. Результаты широкополосной рефлектометрии показали, что максимальные по величине отражения составляют порядок R_max ~-50 дБ вблизи длины волны 
1550 нм. Мы уже говорили, что независимо от используемого Евой квантового состояния для проведения атаки, в практическом случае утечка сведётся к вычислению 
, где 
- среднее число фотонов в отраженном к ней сигнале, которое несложным образом выражается из оптической мощности отраженного сигнала. Но от чего зависит мощность отраженного сигнала зависит не только от величины отражения, но и от уровня мощности, которое Ева способна завести в установку. Есть ли какая-то граница сверху для этой величины?
В работе [4] авторами было показано, что существует определенный порог по мощности лазерного излучения, которое Ева способна ввести в оптическое волокно – LIDT (англ. “Laser Induced Damage Threshold”) – порог индуцированного лазерного повреждения оптического волокна. Вообще говоря, эта величина зависит от длины волны излучения Евы, но так как в нашем случае максимальные отражения лежат вблизи легитимной длины волны 
1550, то эту зависимость можно опустить. Общепринятым значением вышеописанной величины является 40 дБм, что эквивалентно мощности в 10 Ватт. Однако в случае использования легитимными пользователями сторожевых детекторов, вышеописанный порог опускается до порога чувствительности используемого детектора.
Итоговые значения взаимной информации Алисы и Евы (в исследуемой нами системе) оказались равны χ_Eve~〖10〗^(-16), а в случае атаки на систему Боба χ_Eve ~〖10〗^(-18). Полученные значения оказались на десятки порядков меньше единицы, что сигнализирует о безусловной защищенности исследуемой системы к атаке THA в диапазоне 
1100 – 1800 нм.
Заключение
На основании полученных результатов может появиться вопрос в духе: «Зачем вообще проводить широкополосную рефлектометрию, если результаты показывают, что отражения максимальны на легитимной длине волны?».
Во-первых, каждый волоконный компонент и волоконная система на их основе уникальны. Например, исследования [12] показывают, что коэффициент отражения, равно как и спектр отражения волоконных коннекторов зависит от приложенной сдавливающей силы внутри адаптера, а также геометрических характеристик коннектора и сердцевины. Грубо говоря, коэффициент отражения коннектора зависит от того, кто его будет закручивать в адаптер. Такие внешние факторы являются достаточной причиной внедрять широкополосную рефлектометрию для анализа каждой конкретной системы КРК на предмет уязвимости к THA.
Во-вторых, диапазон атаки Евы не ограничивается ближним инфракрасным, теоретически атака может быть проведена и в видимом, и в среднем инфракрасном диапазоне. Сделать однозначный вывод о наибольшей эффективности атаки THA на длине волны 1550 нм невозможно до тех пор, пока данные о величине отражений, ровно как спектры пропускания пассивных оптических компонентов защиты, не будут получены по всем возможном для атаки спектральном диапазоне. Вышеописанные факторы принципиальны для обеспечения безусловной секретности практических систем КРК, и являются предметом будущих исследований.
Список литературы
СПИСОК ЛИТЕРАТУРЫ
1. Bennett, C. H. & Brassard, G. Quantum cryptography: public key distribution and coin tossing. In Proc. IEEE International Conference on Computers, Systems & Signal Processing, 175–179 (IEEE, NY, Bangalore, India, 1984).
2. Zapatero V. et al. Advances in device-independent quantum key distribution //npj quantum information. – 2023. – Т. 9. – №. 1. – С. 10.
3. Gisin N. et al. Quantum cryptography //Reviews of modern physics. – 2002. – Т. 74. – №. 1. – С. 145.
4. Lucamarini M. et al. Practical security bounds against the trojan-horse attack in quantum key distribution //Physical Review X. – 2015. – Т. 5. – №. 3. – С. 031030.
5. Molotkov S. N. Trojan horse attacks, decoy state method, and side channels of information leakage in quantum cryptography //Journal of Experimental and Theoretical Physics. – 2020. – Т. 130. – №. 6. – С. 809-832.
6. Sushchev I. S. et al. Trojan-horse attack on a real-world quantum key distribution system: Theoretical and experimental security analysis //Physical Review Applied. – 2024. – Т. 22. – №. 3. – С. 034032.
7. Lu F. Y. et al. Experimental demonstration of fully passive quantum key distribution //Physical Review Letters. – 2023. – Т. 131. – №. 11. – С. 110802.
8. Yuan Z. L. et al. Directly phase-modulated light source //Physical Review X. – 2016. – Т. 6. – №. 3. – С. 031044.
9. Sajeed S. et al. Invisible Trojan-horse attack //Scientific reports. – 2017. – Т. 7. – №. 1. – С. 8403.
10. Nasedkin B. et al. Loopholes in the 1500–2100-nm range for quantum-key-distribution components: Prospects for trojan-horse attacks //Physical Review Applied. – 2023. – Т. 20. – №. 1. – С. 014038.
11. Sushchev I. S. et al. Practical security analysis against the Trojan-horse attacks on fiber-based phase-coding QKD system in the wide spectral range //Emerging Imaging and Sensing Technologies for Security and Defence VI. – SPIE, 2021. – Т. 11868. – С. 57-63.
12. Zhou X. et al. Loss analysis of physical contact fiber-optic connector induced by the endface geometry and the contact force //Optical Engineering. – 2016. – Т. 55. – №. 4. – С. 046107-046107.