31、对Gunn - Allison - Abbott针对KLJN系统攻击的实验分析

浮生若梦622

于 2025-10-27 15:37:51 发布

阅读量12

点赞数

CC 4.0 BY-SA版权

分类专栏：基什密码：经典物理的安全革命文章标签： KLJN系统 GAA攻击信息泄露

本文链接：https://blog.youkuaiyun.com/opencv7vision/article/details/154332586

基什密码：经典物理的安全革命专栏收录该内容

38 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

对Gunn - Allison - Abbott针对KLJN系统攻击的实验分析

1. 引言

近期，Gunn - Allison - Abbott（GAA）提出了一种针对基尔霍夫定律 - 约翰逊噪声（KLJN）安全密钥交换系统的新型攻击。他们通过实验和模拟宣称，当电缆损耗在0.1到1 dB时，KLJN系统会出现极大的信息泄露。具体而言，在1 dB的电缆损耗下，在噪声相关时间的一小部分内，窃听者Eve提取密钥位的错误概率约为0.1，这意味着她成功猜测密钥位的概率约为0.9。

乍一看，GAA的说法似乎很有说服力。但匈牙利塞格德大学技术信息学系在重现GAA的实验过程中，与GAA进行了交流，从而了解到其实验中一些未公开的重要细节。结果发现，GAA为了实现所需的损耗而使用的衰减器破坏了KLJN系统中的基尔霍夫回路，这一设计缺陷导致了他们声称的信息泄露，实际上这些说法是有缺陷的，明显基于实验假象。一个完整（即完全防御）的KLJN方案在GAA的条件下根本无法运行，因为KLJN的电流比较警报会在单比特交换持续时间的一小部分内终止通信。

接下来，我们将简要总结GAA攻击无法奏效的一些理论依据，然后分析其实验假象并揭示其信息泄露情况。

2. GAA攻击为何无法奏效

2.1 GAA攻击的目标

GAA的攻击旨在创建一个定向耦合器，以分离在KLJN方案中由Alice产生并向Bob传播的噪声分量，以及由Bob产生并向Alice传播的噪声分量。

2.2 GAA模型的假设

GAA模型假设电缆中存在以电磁相速度cp传播和反射的波，但仅适用于波的情况。不过，线性响应理论允许将低频信号分解为短脉冲，对于这些短脉冲，波动方程是适用的，可以分别研究对这些脉冲的响应（包括以cp传播的反射波），然后将这些响应相加。

2.3 定向耦合器的局限性

GAA使用的基于波的达朗贝尔表示法适用于短瞬态信号，但定向耦合器只有在正向和反射信号不混合时才能提供所需的输出。

2.4 低频信号的特性

对于低频信号，即准静态极限下，反射会导致注入电缆两端的信号混合，从而产生一个有效相速度cpe，它与波传播方向终端的电阻成正比。当终端电阻等于波阻抗（GAA的工作中为50 Ω）时，cpe等于cp。

2.5 Eve面临的困境

GAA的方法需要知道两个方向的cpe，这就需要了解Alice和Bob的电阻值。因此，除非Eve知道这些电阻的大小，否则她无法分离Alice和Bob的信号。

2.6 理论与模拟结果

GAA的理论分析和计算机模拟结果都表明，Eve无法从无损耗的电缆中提取任何信息。此外，GAA对最小损耗0.01 dB的计算机模拟结果与KLJN系统的早期实验测试结果一致，显示出类似的损耗和轻微的信息泄露，而这种泄露可以通过简单的隐私放大来弥补。

2.7 信息泄露的真正原因

GAA能够提取信息的情况仅出现在有损耗的设置中，这表明传播效应并非测量到的信息泄露的原因，而是其他现象。遗憾的是，GAA没有展示任何与电缆长度相关的信息泄露情况，这可能有助于测试传播延迟效应的真正作用。根据从GAA获得的信息，即使在他们标注为“零损耗”的实验情况下，系统中仍存在相当于0.1 dB电缆损耗的显著损耗。

2.8 防御方法的有效性

GAA提到针对导线电阻攻击的防御方法也能抵御他们的攻击。这种防御方法最初是为抵御第二定律攻击而开发的，它会提高低电阻端的噪声温度。这种防御方法对GAA攻击的有效性进一步表明，传播效应在GAA的结果中并不相关。

综上所述，我们和GAA的理论分析都认为，在无损耗且存在传播延迟的情况下，不存在信息泄露。接下来，我们将分析GAA实验中使用衰减器产生损耗所带来的严重假象。

2.9 分析总结表格

分析点	详情
攻击目标	创建定向耦合器分离噪声分量
模型假设	假设电缆中存在以电磁相速度传播和反射的波
定向耦合器局限	正向和反射信号不混合时才能提供所需输出
低频信号特性	反射导致信号混合，产生有效相速度cpe
Eve困境	需知道两个方向的cpe及Alice和Bob的电阻值
理论与模拟结果	无损耗电缆无法提取信息，小损耗可通过隐私放大弥补
信息泄露原因	有损耗设置中信息泄露，传播效应非主因
防御方法有效性	针对导线电阻攻击的防御方法对GAA攻击有效

2.10 分析流程mermaid图

graph LR
    A[GAA攻击目标] --> B[模型假设]
    B --> C[定向耦合器局限]
    C --> D[低频信号特性]
    D --> E[Eve困境]
    E --> F[理论与模拟结果]
    F --> G[信息泄露原因]
    G --> H[防御方法有效性]

3. GAA实验中的衰减器假象及其分析

衰减器是一种对称的分压器，当电缆远端用50 Ω端接时，它不仅能提供衰减，还能提供50 Ω的输入阻抗。在GAA的实验中，衰减器的使用破坏了原本的单基尔霍夫回路，将其分成了两个有公共边的回路。这是对KLJN系统的错误实现，因为KLJN系统的安全性仅在包含Alice和Bob的单回路中得到保证。

具体来说，分流电阻R2（500 Ω）比Bob的电阻RB（10 kΩ）小20倍，比Alice的电阻RA（1 kΩ）小2倍。这些数据表明，GAA在高损耗和有信息泄露的情况下进行的实验并非基于KLJN系统。

3.1 电流不平衡分析

通过简单的电路噪声分析，可以得到Alice和Bob的均方电流：
[
\begin{align }
\left\langle I_{A}^{2}(t) \right\rangle&= S_{iA}(f)B_{kljn} \approx \frac{4kT_{eff}R_{A}}{[R_{A} + R_{B}R_{2}/(R_{B} + R_{2})]^{2}}B_{kljn} + \left(\frac{R_{A}^{-1}}{R_{A}^{-1} + R_{2}^{-1}}\right)^{2}\frac{4kT_{eff}R_{B}}{[R_{B} + R_{A}R_{2}/(R_{A} + R_{2})]^{2}}B_{kljn}\
\left\langle I_{B}^{2}(t) \right\rangle&= S_{iB}(f)B_{kljn} \approx \frac{4kT_{eff}R_{B}}{[R_{B} + R_{A}R_{2}/(R_{A} + R_{2})]^{2}}B_{kljn} + \left(\frac{R_{B}^{-1}}{R_{B}^{-1} + R_{2}^{-1}}\right)^{2}\frac{4kT_{eff}R_{A}}{[R_{A} + R_{B}R_{2}/(R_{B} + R_{2})]^{2}}B_{kljn}
\end{align }
]
其中，假设电阻R1远小于回路的总电阻；$S_{iA}(f)$和$S_{iB}(f)$分别是Alice和Bob电流的（白）噪声谱；$B_{kljn}$和$T_{eff}$分别是噪声带宽和发生器的有效噪声温度。

代入GAA实验中使用的实际值，可得：
[
\frac{\left\langle I_{A}^{2}(t) \right\rangle}{\left\langle I_{B}^{2}(t) \right\rangle}= 4.95
]
这意味着Alice的均方电流大约是Bob的五倍。这种巨大的差异表明，即使是最简单的比较方法也能提取信息，GAA复杂的统计工具并非必要。

3.2 简单电流比较攻击

Eve的任务是猜测哪个均方电流更大，即Alice的还是Bob的。为了简化分析，我们假设测量噪声电流的值已经根据上述均方电流的理论值进行了归一化。

最简单的协议是对电流进行一次测量，并将其平方与阈值4.95进行比较。如果一个电流的平方大于阈值，而另一个小于阈值，那么Eve就可以得出第一个电流是$I_{2}(t)$（对应较大均方电流）。

我们可以得到以下关于电流单次测量值平方的概率：
|电流情况|概率|
| ---- | ---- |
|$P\left(I_{1}^{2}(t) < 4.95\right)$|$F_{1}(4.95) = 0.974$|
|$P\left(I_{1}^{2}(t) > 4.95\right)$|$1 - F_{1}(4.95) = 0.026$|
|$P\left(I_{2}^{2}(t) < 4.95\right)$|$F_{2}(4.95) = F_{1}(1) = 0.68$|
|$P\left(I_{2}^{2}(t) > 4.95\right)$|$1 - F_{2}(4.95) = 1 - F_{1}(1) = 0.32$|

成功猜测（但不一定无误差）的概率为：
[
P_{s}= 0.974\times0.32 = 0.31
]
此时，Eve猜测$\left\langle I_{1}^{2}(t) \right\rangle< \left\langle I_{2}^{2}(t) \right\rangle$，该猜测的错误概率为：
[
P_{\epsilon}= P\left(I_{1}^{2} > 4.95\right)P\left(I_{2}^{2} < 4.95\right)= 0.026\times0.68 = 0.018
]
即错误率小于2%，这表明Eve成功猜测的保真度超过98%。

“没有答案”（即两个测量值都低于或高于阈值）的概率约为0.67。因此，平均需要进行三次测量才能得到一个保真度超过98%的答案。三次独立测量可以在三个相关时间内完成，Eve的错误概率为1.8%。有趣的是，GAA的计算机模拟使用其复杂的统计方法在三个相关时间内也得到了相同的错误概率。

3.3 电流比较攻击流程mermaid图

graph LR
    A[测量电流] --> B[计算电流平方]
    B --> C{与阈值4.95比较}
    C -- 一个大于，一个小于 --> D[猜测较大电流]
    C -- 都小于或都大于 --> A

4. 结论

GAA曾声称KLJN安全密钥交换系统会出现严重的信息泄露。但本文通过分析反驳了他们的结果，指出GAA的论点源于其系统设计中的严重缺陷。具体来说，他们使用的衰减器破坏了单基尔霍夫回路，而这是KLJN系统安全的关键特征。因此，GAA所谓的信息泄露是微不足道的。

此外，我们还通过简单的电流比较攻击破解了GAA的方案，使得Eve在短时间内（约为噪声相关时间）就能以极低的错误概率提取信息。这一结果表明，在评估安全密钥交换系统的安全性时，需要仔细考虑实验设计的合理性，避免因设计缺陷导致错误的结论。