随机性提取后对量子随机数生成器物理攻击的统计不可见性
当前主流的量子随机数生成器(QRNG)设计通常采用后处理技术对原始随机数据进行提纯,随后使用NIST SP 800-22等测试套件进行统计验证。该研究团队揭示这种广泛采用的方法存在重大缺陷——强效的提取过程会通过完美掩盖物理层攻击而制造虚假的安全假象,导致后续统计测试对熵源被破坏的情况完全失效。该工作通过两种主流QRNG架构验证了这一发现:实验中对基于放大自发辐射(ASE)的QRNG实施电源纹波攻击时,受损原始数据会彻底无法通过NIST测试,但经过标准托普利兹矩阵提取后,最终输出序列却能完美通过检验。这暴露出一个深层风险:由于验证过程对原始数据质量不敏感,意味着即使输入完全可预测,仍可能生成通过认证却毫无安全性的随机序列。理论分析进一步证实,该漏洞同样存在于基于相位噪声的QRNG架构,这表明安全验证必须突破最终输出的统计分析框架,着眼于整个生成流程的安全评估。
