其他
QKD无用?这篇文章反驳了美国国家安全局!
光子盒研究院
近期,美国国家安全局(NSA)发布了一份评估量子密码学可用性的出版物,其结论是不建议使用该技术,这引起了广泛关注。在最近发布在arXiv上的预印版论文中,瑞士科学家对这一批评做出了回应,并认为其中提出的一些观点是没有道理的;而另一些观点虽然现在存在问题,但有望在可预见的将来得到解决。
美国国家安全局(NSA)最近分析了量子密码学,特别是量子密钥分发(QKD)的可用性和当前的技术局限性。报告指出了若干挑战,并得出结论认为,在克服一些挑战之前,不建议使用QKD。
原文链接:https://www.nsa.gov/Cybersecurity/Quantum-Key-Distribution-QKD-and-Quantum-Cryptography-QC/
因此,在这篇文章中,瑞士科学家针对NSA提出的每一局限性,分别阐述了驳斥理由。
1)局限 1:量子密钥分发只提供部分解决方案。
关于这一观点,瑞士科学家们认为,这种说法虽然正确,但不能被视为量子密码学特有的限制。无论使用的是经典技术还是量子技术,验证总是需要一个预先共享的秘密或一个可信的第三方:解决这个问题并不是QKD的目标。
2)限制 2:量子密钥分发需要特殊用途的设备。
此篇论文的瑞士科学家们认为,需要专用硬件、因此价格昂贵,这的确是目前QKD无法广泛使用的主要原因之一。尽管如此,随着未来光通信技术的进步,这种硬件有望变得更加容易获得。并且,难以修补有缺陷的硬件并不是量子密码学特有的问题。
3)局限 3:量子密钥分发增加了基础设施成本和内部威胁风险。
目前,QKD协议确实需要可信的中间站来实现更长距离。瑞士科学家们反驳:“但是,一旦量子中继器研制成功,这种情况就会改变。这些设备完全在量子层面工作,因此无需信任。这就消除了任何内部威胁;虽然QKD硬件成本有望在未来几年内降低,但仍可能比经典通信基础设施昂贵。”
4)局限 4:量子密钥分发的安全和验证是一项重大挑战。
对于这一观点,瑞士科学家们反驳认为:理论安全与实现安全之间的差距是密码学的一个普遍问题、在经典层面就已经存在。由于量子通信是一个相对年轻的领域,它在这些问题上缺乏经验,仍然容易受到侧信道攻击。不过,这可以通过(半)独立于设备的 QKD 来解决,它只需要对量子设备做最小(弱)的假设,因此可以很好地抵御此类攻击。尽管这项技术还处于初步阶段,但它为在长远未来克服这一挑战提供了一条清晰的道路。
5)限制 5:量子密钥分发会增加拒绝服务的风险。
目前QKD的实现通常是单个点对点链路。可以访问链路的对手可能会成功实施拒绝服务攻击。不过,未来的量子加密解决方案有望在量子连接网络上运行:与经典通信网络一样,如果其中一条链路失效,信息可以重新路由。一旦达到这一阶段,经典密码学和量子密码学在易受拒绝服务攻击方面将没有本质区别。
QKD并不提供身份验证,而是依赖于已经建立的真实经典通信信道。因为验证是有代价的:如图所示,一方A若要确保信息来自另一方B,就必须从B处获得一个预先共享的秘密,或者调用一个可信任的第三方 (TTP),由该第三方向A确认B的身份。
无论使用经典密码协议还是量子密码协议,都必须付出这种代价。因此,QKD 对认证通信的依赖并不是量子密码学特有的问题。
即使QKD使用的验证方法不是信息理论上安全的,而是依赖于(计算上安全的)非对称加密,QKD仍然是面向未来的,因为“先存储后解密”的攻击是行不通的。攻击者必须实时入侵验证程序,才能获得生成的密钥。仅仅存储交换的信息并等待更强大的计算机来解密是不足以获取密钥的。一旦密钥生成过程结束,即使完全破解了验证程序,也不会泄露任何有关生成密钥的信息。
当然,也有人认为QKD所提供的保密性也可以通过后量子加密(PQC)(也称为量子抗干扰或量子安全加密)来实现,并声称后者具有更好理解的风险状况。
PQC协议可能会在一夜之间变得不安全。这不仅仅是理论上的问题,也是现实中的威胁,美国国家标准与技术研究院(NIST)的 PQC 标准化过程就证明了这一点。这一搜索过程持续了数年,直到2022年公布了一些标准化的最终候选方案以及一些替代方案。然而,仅用了几个月的时间,其中一种被称为SIKE(超等同源密钥封装的简称)的替代方案就在单核经典计算机上被破解了。
密码学历史上还有很多其他例子,说明了评估和量化计算密码学协议安全性的难度。例如,广泛使用的RSA加密算法的发明者最初计算出,用最著名的因式分解方法对一个200位数进行因式分解需要花费几十亿年的时间,这与估计的剩余寿命差不多。
相反,QKD协议的安全性是可以根据物理定律证明的。因此,它不受算法发现或硬件发展的影响。此外,协议安全性可以用协议被破解概率的边界来量化。
就实施安全性而言,PQC比QKD更有优势,尽管这种优势是暂时的。PQC的实施可以借鉴经典计算机数十年的经验,从而对潜在的侧信道攻击有很好的了解。另一方面QKD的实施安全性仍处于探索阶段。由于QKD是一项相对年轻的技术,研究人员对可能的侧信道攻击和应对措施只有很少的经验。不过,在未来几年中,人们对这方面的了解会越来越多。
另一批评涉及QKD无法轻松集成到现有网络设备中,以及管理安全补丁存在困难。
QKD需要一个通信链路,以高保真的方式将编码成单一量子光学模式的信息从发送方传输到接收方。在当今的量子加密技术实施中,这是通过点对点光纤或自由空间连接实现的。然而,当前的光通信网络并不提供这种高保真链路。因此,集成QKD确实需要昂贵的专用硬件。
不过,随着经典光通信效率的稳步提高,预计最终会达到每个光子可编码一个(甚至更多)比特的程度 。这样,经典技术将自然而然地接近量子通信的要求,从而促进QKD更直接、更廉价的集成。
在实施安全性方面,经典密码学和量子密码学没有本质区别:如果发现硬件有缺陷或容易受到侧信道攻击,两种情况下都需要在硬件层面打补丁。
目前的QKD实现需要可信中继,这是正确的。
量子通信中的典型信息载体是单光子。由于光子在光纤中的损耗通常非常高,因此目前需要中间站来实现远距离传输。经典通信中也存在信号损耗问题,需要使用中继器。中继器测量接收到的信号,将其复制并以更高功率重新传输给另一端,从而有效地放大信号。但同样的技术对量子信息不起作用,因为正如不可克隆定理所断言的那样,复制量子信息从根本上是被禁止的。
因此,目前QKD的实现仅限于中间没有中继器的点对点连接。当把这种点对点连接组合成网络时,必须对网络的任何链路分别进行通信编码和解码。但由于中间节点需要存储秘密的经典信息,因此它们必须是可信的。
虽然这种方法在理论上已经成熟,但仍有待实际应用。主要障碍在于量子中继器需要量子存储器。最先进的量子存储器的存储时间不足以超越直接光链路,尽管近年来取得了相当大的进展。不过,由于量子存储器是量子计算机的重要组成部分,目前正在各种技术平台上对其进行深入研究。
目前QKD的实现需要可信中继器。这些中继器必须放置在安全设施中,成本高昂。从中期来看,可信中继器可以由量子中继器取代。虽然随着光学技术的发展,这些设备的成本有望降低,但量子通信网络的建设成本很可能仍然高于经典通信的相应基础设施。
并且,当可信节点被量子中继器取代时,内部威胁不会带来任何额外风险。
实现过程中使用的设备,如量子源和探测器,经常会偏离其理论描述,这就会导致利用量子源和探测器缺陷的侧信道攻击。
禁止此类攻击的一种方法是调整协议或相关参数,使其能够容忍已知的不完美;然而,不完善之处往往是未知的,尤其是在实际应用中,设备会暴露在不断变化的环境条件下。
排除侧信道攻击可能性的另一种方法是半独立于设备或独立于设备的 QKD。在这种方法中,通过对量子源和检测器的弱假设甚至最小假设来保证安全性,从而缩小了协议和实现安全性之间的差距。然而,这种高水平的安全性是有代价的:在完全独立于设备的情况下(源和探测器都不需要表征),协议需要证明无漏洞的贝尔测试,这给实验实施带来了巨大挑战。
积极的一面是,一旦通用量子计算机一旦问世,就能在其逻辑(即纠错)量子比特上创建完美的贝尔对。尽管这项技术还处于初步阶段,但它为实现完全安全的 QKD 提供了一条清晰的道路。
原则上,经典密码学也面临同样的威胁,即实现可能不安全;事实上,侧信道攻击是经典密码学的一个巨大课题,也是一个活跃的研究领域。在将信息直接编码到物理系统的状态时(即不经过其他阶段,如将信息存储在内存中),问题就会出现。虽然目前的QKD实现就是这种情况,但这并不是量子信息使用的固有问题。
经典通信网络由许多连接组成,当其中一个连接无法正常工作时,可以对通信进行重新路由。这种冗余有助于保护网络免受拒绝服务攻击(denial-of-service attack)。相反,目前 QKD 的实现通常基于单个点对点链路,因此能够访问链路的对手可以轻易中断服务。
然而,这并不是QKD固有的问题。相反,它是量子通信技术高昂价格的结果,目前它阻碍了我们构建拥有众多链路的量子网络。从长远来看,当有了更大的量子通信网络,甚至量子互联网时,拒绝服务攻击就可以通过重路由来抵御,这与经典网络中的方法基本相同。
事实上,NSA强调的问题非常重要,严重限制了量子密码学目前的可用性。不过,需要注意的是,这些限制并非量子密码学所固有,而是由于所需的新型硬件还处于早期阶段。其中一些限制可以在中期内随着更便宜、更先进的量子技术的出现而得到解决;不过,要克服其余的限制,就需要对量子通信技术的开发进行长期投资。
这种努力是值得的:量子加密技术有可能提供超越经典加密技术的真正优势。传统加密方案需要不断更新和加强,以跟上技术进步的步伐,而量子密码学则不同,它打破了这一循环,提供了不受所有潜在威胁(包括量子计算机带来的威胁)影响的协议安全性。量子密码协议不仅能确保执行过程中的通信安全,还能提供永恒的安全性。无论未来软件和硬件如何发展,今天使用量子加密技术进行的通信将永远安全。
由于量子加密技术尚未广泛应用,因此在此期间制定一种确保感性数据安全的策略至关重要。虽然RSA等标准加密方案仍可用于保存期限较短的数据(因为通用量子计算机尚未实现),但对于保存期限较长的数据,则需要防止 “先存储,后解密”的攻击。因此,将量子密钥分发(QKD)和后量子加密(PQC)结合到混合方案中,是目前最安全的数据加密方法。
最后,QKD目前的另一个局限性——即它的密钥生成率仍然相对较低,这一点在国家安全局的报告中并未提及。如果使用QKD来定期替换AES密钥,这还不成问题,但如果将其用于单时间片加密,通信速率就会受到严重限制;我们期望在中期内能克服这一缺点。
相关阅读:郭光灿团队成功设计、验证QKD系统的攻防方案
速度达2.5 GHz!科学家制成全新QKD系统
“墨子号”后的又一里程碑!“天宫二号”取得实用型QKD的突破性进展
量子通信先驱IDQ发布第四代QKD平台
为远程办公提供量子安全!美国QKD公司将量子加密民用化
#光子盒视频号开通啦!你要的,这里全都有#
每周一到周五,我们都将与光子盒的新老朋友相聚在微信视频号,不见不散!
|qu|cryovac>|qu|cryovac>你可能会错过:|qu|cryovac>|qu|cryovac>