32、基尔霍夫定律 - 约翰逊噪声（KLJN）密钥交换的通用安全证明

基尔霍夫定律 - 约翰逊噪声（KLJN）密钥交换的通用安全证明

1. 引言

在当今的安全通信领域，传统的软件加密方式存在一定局限性。通信双方（如 Alice 和 Bob）通常使用软件工具生成和共享加密密钥，但这种方式依赖于计算能力的限制来防止窃听者（Eve）破解。随着计算技术的飞速发展，特别是量子计算机等的出现，软件加密的安全性变得越来越脆弱，未来存在被破解的风险。

为了寻求更可靠的安全通信方式，科学家们开始探索基于物理现象的密钥交换方案。目标是实现一种密钥交换机制，使得信息要么无法被测量和记录，要么即使被 Eve 测量记录，交换的信息也毫无价值，即达到完美的无条件安全或信息理论安全。然而，在实际物理系统中，完美安全几乎是不可能实现的，只能无限接近。

量子密钥分发（QKD）曾被广泛认为是唯一能够实现无条件安全密钥交换的方案。但 Kirchhoff - law–Johnson - noise（KLJN）安全密钥交换方案的出现打破了这一传统观念。KLJN 方案基于热力学第二定律，其在理想情况下对被动攻击的安全性如同无法制造第二类永动机一样可靠，而对主动攻击的安全性则得益于经典物理量的鲁棒性。

2. KLJN 安全密钥交换系统

2.1 系统概述

KLJN 安全密钥交换系统的工作原理如下：在每个时钟周期（即单个比特交换的持续时间），Alice 和 Bob 分别随机选择一个电阻（RA 和 RB）连接到线路上。这些电阻从集合 {R0, R1} 中随机选取，其中 R0 ≠ R1，分别代表比特值 0 和 1。同时，系统配备高斯电压噪声发生器，模拟涨落 - 耗散定理，在公开商定的有效温度 Teff（通常 Teff ≥ 10⁹K）下产生带限白噪声，且各噪声之间以及与前一周期的噪声统计独立。

2.2 安全比特交换情况

在安全比特交换（即 01 或 10 情况）下，线路上电压 Uc(t) 的功率密度谱和均方振幅，以及电流 Ic(t) 的相应量，可通过以下公式计算：
- 电压的均方振幅：
[
\langle U_{c,01/10}^2 \rangle = \Delta f S_{uc,01/10}(f) = 4kT_{eff} \frac{R_0R_1}{R_0 + R_1} \Delta f
]
- 电流的均方振幅：
[
\langle I_{c,01/10}^2 \rangle = \Delta f S_{ic,01/10}(t) = \frac{4kT_{eff}}{R_0 + R_1} \Delta f
]
其中，(\Delta f) 是噪声带宽。从这些公式可以看出，Eve 无法通过测量均方值来区分 01 和 10 情况，而 00 和 11 情况则会产生可区分的、不安全的比特排列。

2.3 热平衡与安全性

系统中唯一可能提供方向信息的是电压 - 电流互相关 (\langle U_c(t)I_c(t) \rangle)，在热平衡状态下，其对应的方向功率流为零。根据热力学第二定律，在热平衡时，电阻 R0 加热电阻 R1 的功率 P0→1 等于电阻 R1 加热电阻 R0 的功率 P1→0，即：
- (P_{0 \to 1} = \frac{S_{0,uc}(f)\Delta f}{R_1} = 4kT_{eff} \frac{R_0R_1}{(R_0 + R_1)^2} \Delta f)
- (P_{1 \to 0} = \frac{S_{H,uc}(f)\Delta f}{R_0} = 4kT_{eff} \frac{R_0R_1}{(R_0 + R_1)^2} \Delta f)

这种功率相等的关系保证了系统对被动攻击的安全性。一旦这种平衡被打破，就意味着违反了基本物理定律，Eve 就有可能利用电压 - 电流互相关来提取比特信息。需要注意的是，这种安全证明仅适用于高斯噪声，因为高斯信号的叠加仍为高斯信号，其功率密度谱包含了关于噪声的最大可获取信息，高阶分布函数和高阶统计等工具无法提供额外信息。

2.4 主动攻击与非理想情况的应对

如果 Eve 进行主动干预（如中间人攻击）或系统存在非理想情况（如元件偏差等），仅依靠物理定律无法保证安全。为了应对这些情况，Alice 和 Bob 会测量线路上的瞬时电压和电流振幅，并通过公开认证的数据通道进行比较。由于系统基于经典物理，他们拥有完整的确定性模型，可以连续监测这些量。根据比较结果和公开设定的前提条件，他们决定保留或丢弃可能存在安全风险的比特。这种认证方式仅需使用交换比特中的 log₂(M) 个安全比特（M 是公共通道中携带电流和电压数据的比特数），证明认证是可行的。

2.5 系统关键参数总结

参数	含义
RA, RB	Alice 和 Bob 随机选择的电阻，代表比特值
R0, R1	电阻集合中的元素，分别代表比特 0 和 1
Teff	有效温度，通常 Teff ≥ 10⁹K
(\Delta f)	噪声带宽
Uc(t)	线路上的瞬时电压
Ic(t)	线路上的瞬时电流

2.6 KLJN 系统工作流程 mermaid 图

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(时钟周期开始):::process
    B --> C{选择电阻}:::decision
    C -->|Alice| D(选择 RA):::process
    C -->|Bob| E(选择 RB):::process
    D --> F(连接电阻到线路):::process
    E --> F
    F --> G(噪声发生器产生噪声):::process
    G --> H(测量 Uc(t) 和 Ic(t)):::process
    H --> I(通过公开通道比较数据):::process
    I --> J{判断是否安全}:::decision
    J -->|是| K(保留比特):::process
    J -->|否| L(丢弃比特):::process
    K --> M([结束当前周期]):::startend
    L --> M

3. 通用安全证明

3.1 证明基础

该证明基于以下两个关键基础：
- 理想 KLJN 系统已被证明是完全安全的，即 Eve 成功猜测交换密钥比特的概率为 p = 0.5，如同抛理想随机硬币一样。
- 被动经典物理系统的变量由连续函数描述，例如 KLJN 核心系统中的变量。描述 Eve 在实际 KLJN 系统中成功猜测概率的函数 pδ(Q) 也是连续的。

3.2 证明步骤

3.2.1 理想系统的安全性

理想 KLJN 系统的安全性是已知的，Eve 成功猜测密钥比特的概率为 0.5。

3.2.2 非理想情况参数

Q 是描述非理想程度的参数集合，Q = {x1, x2, …, xk}，其中 xi ≥ 0 (i = 1, 2, …, k) 表征各种非理想特征，如电缆长度、带宽、电阻率等。参数 δ (0 ≤ δ ≤ ω) 表征 Eve 窃听测量输出的强度，例如在电线电阻攻击中，δ 是 Alice 和 Bob 侧均方电压测量差值的绝对值。

Alice 和 Bob 会根据系统的经典物理性质，知道 Eve 测量的 δ 值，并丢弃 δ ≥ ω 的比特，将 δ > ω 的共享比特归类为高风险并舍弃。虽然他们理论上可以通过选择 ω = 0 达到完美安全，但这样几乎会丢弃所有比特，因此实际系统需要在 Q 和 ω 之间进行平衡选择，以在给定的速度、保真度和成本下实现最佳安全性能。

为了便于分析，可以定义 Q 中的参数，使其在数学理想情况下值为 0，且 pδ(Q, δ) 是 Q 的非递减函数；同时定义 δ，使 pδ(Q) 是 δ 的非递减函数。例如：
- x1 = 电缆长度
- x2 = 带宽
- x3 = 电阻率
- x4 = 1 / 电缆直径
- x5 = 特定寄生电容
- x6 = 传播时间 / 瞬态协议持续时间

3.2.3 泰勒展开分析

在 Q = (0, 0, …, 0) 的情况下，概率 pδ(Q) = 0.5（对于任意 δ）代表完美安全。通过在该点进行泰勒展开（在 xi → 0 且对所有 i 成立的极限情况下），得到：
[
0.5 \leq p_{\delta}(Q) = 0.5 + \sum_{i = 1}^{k} \frac{\partial p_{\delta}[Q = (0, … 0)]}{\partial x_i} x_i \leq 0.5 + \sum_{i = 1}^{k} \frac{\partial p_{\omega}[Q = (0, … 0)]}{\partial x_i} x_i
]
需要注意的是，原公式中的泰勒多项式应进一步扩展，包含二阶项和交叉项以考虑电缆长度的影响，但不影响后续推导和结论。最终得到：
[
0.5 \leq p_{\delta}(Q) = 0.5 + q_{\delta}(Q) \leq 0.5 + q_{\omega}(Q)
]
其中，当所有 xi → 0 时，q → 0；当 δ → 0 时，q → 0。这意味着对于给定的 ω (ω > 0)，通过选择 Q 中的变量为非零但足够小的值，可以接近完美安全极限 pa(Q) = 0.5。同样，在给定 Q (Q > 0) 的情况下，当 ω → 0 (ω > 0) 时，也会出现类似的向完美安全收敛的情况。

此外，该安全证明未使用隐私放大技术，但由于比特错误概率随比特共享周期的增加呈指数衰减，在实际条件下比特错误概率极低（如 10⁻¹²），因此在需要时可以使用高度的隐私放大来进一步提高安全性。

3.2.4 统计距离评估

为了进一步评估密钥交换的安全性，使用总变差距离这一统计距离度量方法。总变差距离定义为 Eve 提取的密钥的概率分布与相同长度的完美安全密钥的概率分布之间的最大差异：
[
\Delta(E, I) = \max_{j = 1, …, 2^N} [P(E_j) - P(I_j)]
]
其中，E 和 I 分别表示 Eve 提取的密钥和完美安全密钥，P(Ej) 和 P(Ij) 分别是正确猜测 Eve 密钥和完美安全密钥第 j 个版本的概率。结合前面的结果，得到：
[
\Delta(E, I) = \max_{j = 1, …, 2^N} [P(E_j) - P(I_j)] = [0.5 + q_{\omega}(Q)]^N - 0.5^N
]
在 Nqω(Q) ≪ 0.5 的条件下（根据前面的公式可知该条件是可实现的），进一步推导得到：
[
\Delta = (0.5 + q_{\omega}(Q))^N - 0.5^N = 0.5^N[(1 + 2q_{\omega}(Q))^N - 1] \approx 2Nq_{\omega}(Q)0.5^N
]
这表明，当满足 qω(Q) ≪ 0.5 / N 的条件时，Eve 提取的密钥与完美安全密钥的总变差距离随密钥长度的增加呈指数衰减，即密钥交换的安全性随密钥长度增加而提高。

3.3 证明适用范围及防御措施

需要注意的是，该安全证明不适用于针对包含具有阈值的有源电子元件的系统组件的非理想性黑客攻击，例如 Alice 和 Bob 处的电流/电压测量系统可能会被大电压尖峰的 Makarov 型致盲攻击过载和饱和。不过，可以通过使用适当的算法来防御此类攻击，当电压和电流超出预期范围时，丢弃相应的比特，即使它们在 Alice 和 Bob 两侧相同。

通过以上四个步骤的证明，充分说明了 KLJN 密钥交换系统在各种非理想情况下，甚至针对未知类型的攻击，都具有信息理论上的无条件安全性。

4. 结论

综上所述，KLJN 安全密钥交换方案为安全通信提供了一种可靠的选择。其基于经典物理的特性，使得在实际应用中具有较高的安全性和可行性。通过合理选择系统参数和采取必要的防御措施，可以有效应对各种攻击，实现接近完美的无条件安全密钥交换。随着技术的不断发展，KLJN 方案有望在未来的安全通信领域发挥重要作用。

5. KLJN 与量子密钥分发（QKD）的对比

5.1 安全证明基础对比

• KLJN ：其安全证明基于经典物理中线性和稳定非线性系统函数的连续性，以及理想条件下基于热力学第二定律的完美安全性。整个经典物理自牛顿时代起就建立在相同的基础之上，所以 KLJN 的安全证明如同我们现今所知的经典物理一样坚实可靠。
• QKD ：安全证明依赖于量子力学中的无克隆定理。然而，随着量子测量理论和方法的不断发展，这一定理的可靠性似乎并不那么强，可能会带来意想不到的情况。例如，在相关物理论坛上就有关于“无克隆定理与弱测量”的讨论。

5.2 安全水平对比

• KLJN ：在接近理想条件时，即使不使用隐私放大技术，Eve 成功猜测比特的概率也会趋近于 0.5，即达到完美安全水平。并且通过统计距离度量（总变差距离）可知，密钥交换的安全性随密钥长度的增加呈指数提升。
• QKD ：通常被认为具有实际意义上的完美无条件安全性，其安全度量会随着密钥长度的增加呈指数收敛至完美安全状态。但也有像 Horace Yuen 这样的专家批评 QKD 缺乏令人满意的安全证明。

5.3 应对攻击能力对比

• KLJN ：对于被动攻击，基于热力学第二定律保证了系统的安全性；对于主动攻击和非理想情况，通过 Alice 和 Bob 对电压和电流的实时监测和比较，能够有效识别并丢弃可能存在安全风险的比特。
• QKD ：虽然理论上具有较高的安全性，但在实际应用中可能会受到量子测量技术和设备的限制，并且可能存在一些尚未被完全解决的安全漏洞，例如可能受到 Makarov 型致盲攻击等。

5.4 KLJN 与 QKD 对比表格

对比项目	KLJN	QKD
安全证明基础	经典物理函数连续性和热力学第二定律	无克隆定理
安全水平	接近理想条件趋近完美安全，密钥长度增加安全性指数提升	密钥长度增加安全度量指数收敛至完美安全
应对被动攻击	基于热力学第二定律保证安全	依赖量子特性
应对主动攻击	实时监测和比较，丢弃风险比特	受量子测量技术和设备限制，有潜在漏洞

6. 实际应用中的考虑因素

6.1 参数选择

在实际应用 KLJN 系统时，需要综合考虑多个参数，以平衡安全性、速度和成本。
- Q 参数 ：如电缆长度、带宽、电阻率等。减小这些参数通常可以提高安全性，但可能会增加成本或降低速度。例如，增加电缆直径可以减小电阻率，但电缆成本会随着直径的平方增加。
- ω 参数 ：它决定了 Alice 和 Bob 丢弃高风险比特的阈值。减小 ω 可以提高安全性，但会导致更多的比特被丢弃，从而降低密钥交换的速度。

6.2 隐私放大

虽然 KLJN 系统的安全证明未依赖隐私放大技术，但由于实际条件下比特错误概率极低（如 10⁻¹²），在经济条件允许的情况下，可以使用高度的隐私放大来进一步提高安全性。隐私放大可以在不显著影响系统性能的前提下，增强密钥的安全性。

6.3 防御特殊攻击

对于可能出现的针对系统组件的非理想性黑客攻击，如 Makarov 型致盲攻击，需要采用适当的算法进行防御。当电压和电流超出预期范围时，及时丢弃相应的比特，以确保系统的安全性。

6.4 实际应用考虑因素 mermaid 图

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始实际应用]):::startend --> B(选择 Q 参数):::process
    B --> C(选择 ω 参数):::process
    C --> D{是否使用隐私放大}:::decision
    D -->|是| E(实施隐私放大):::process
    D -->|否| F(不使用隐私放大):::process
    E --> G(运行 KLJN 系统):::process
    F --> G
    G --> H(监测电压和电流):::process
    H --> I{是否超出范围}:::decision
    I -->|是| J(丢弃比特):::process
    I -->|否| K(保留比特):::process
    J --> L([继续运行]):::startend
    K --> L

7. 未来发展展望

7.1 技术改进

随着技术的不断进步，KLJN 系统有望在多个方面得到改进。例如，开发更精确的电阻元件和噪声发生器，以减小系统的非理想性；优化监测和认证算法，提高系统的响应速度和准确性。

7.2 应用拓展

KLJN 系统具有广泛的应用前景，可以应用于各种需要安全通信的领域，如金融交易、军事通信、物联网等。在物联网中，大量设备之间的通信需要高度的安全性，KLJN 系统可以为其提供可靠的密钥交换解决方案。

7.3 与其他技术融合

未来，KLJN 系统可能会与其他安全技术进行融合，以进一步提高安全性。例如，与量子技术相结合，利用量子的特性来增强 KLJN 系统的安全性；或者与区块链技术相结合，实现更加去中心化和安全的通信。

7.4 未来发展方向列表

• 技术改进：提高元件精度，优化算法
• 应用拓展：金融、军事、物联网等领域
• 技术融合：与量子技术、区块链技术等结合

8. 总结

KLJN 安全密钥交换方案作为一种基于经典物理的安全通信技术，具有独特的优势。其安全证明基于经典物理的坚实基础，在实际应用中能够有效应对各种攻击，实现接近完美的无条件安全密钥交换。与量子密钥分发相比，KLJN 在安全证明基础、应对攻击能力等方面具有自身的特点。

在实际应用中，需要综合考虑系统参数、隐私放大和防御特殊攻击等因素，以平衡安全性、速度和成本。随着技术的发展，KLJN 系统有望在未来的安全通信领域发挥重要作用，并通过技术改进、应用拓展和与其他技术的融合，不断提升其性能和安全性。