量子密钥分发 (QKD) 与量子密码学 (QC)
Source: Hacker News
Synopsis
NSA 仍在评估用于在国家安全系统中保护数据传输的密码学解决方案。NSA 不 推荐在国家安全系统(NSS)中使用量子密钥分发(QKD)或量子密码学(QC)来保护数据,除非以下列出的限制得到解决。
什么是量子密钥分发(QKD)和量子密码学(QC)?
量子密钥分发利用量子力学系统的独特属性,通过专用技术生成并分发密码学密钥材料。量子密码学则将相同的物理原理应用于专用链路的通信。理论上,QKD/QC 能够检测窃听者的存在——这是传统密码学所不具备的能力。
量子抗性(后量子)算法在现有平台上运行,依赖数学复杂性来提供安全性。这些算法即使面对未来的量子计算机,也能提供机密性、完整性和认证。美国国家标准与技术研究院(NIST)正在对量子抗性算法进行严格的遴选过程1。在 NIST 完成最终选择后,NSA 将通过 CNSSP‑15 发布更新的指导。
理解 QKD/QC 故事
供应商和媒体有时声称,基于物理定律的 QKD/QC 能提供“保证”的安全性。实际上,通信需求与安全要求常常冲突,为平衡这些问题所需的工程几乎容不得任何错误。因此,QKD/QC 的安全性高度依赖于实现,而非物理本身固有的保证。虽然下面的讨论为简化起见仅涉及 QKD,但相同的观点同样适用于 QC。
技术限制
量子密钥分发仅是部分解决方案
QKD 为提供机密性的加密算法生成密钥材料。只有在 信任 QKD 传输源的前提下,这些材料才能与对称算法一起用于提供完整性和认证。QKD 本身并不对传输源进行认证;认证仍然需要非对称密码学或预置密钥。此外,抗量子密码学可以以更低的成本并在更易理解的风险概况下提供相当的机密性。
量子密钥分发需要专用设备
由于 QKD 依赖于物理属性,它需要专用的光纤连接或自由空间发射器。它不能仅通过软件实现、作为网络服务提供,或轻松集成到现有的网络设备中。硬件中心的特性也限制了升级或安全补丁的灵活性。
量子密钥分发增加了基础设施成本和内部威胁风险
QKD 网络通常需要可信中继,这会增加安全设施的费用,并引入额外的内部威胁向量。这些因素使许多潜在的使用场景变得不可行。
确保和验证量子密钥分发是一个重大挑战
QKD 系统的安全性并非物理学所承诺的理论“无条件安全”,而是通过特定硬件和工程设计能够实现的有限安全。密码学的误差容限比典型的物理工程容限严格多个数量级,导致验证困难。硬件缺陷已经导致了几起广为人知的针对商业 QKD 系统的攻击2。
量子密钥分发增加了拒绝服务的风险
正是支撑 QKD 安全声明的对窃听的敏感性,也使拒绝服务攻击成为一个显著的风险。
结论
NSA 认为,量子抗性(后量子)密码学相较于量子密钥分发是一种更具成本效益且更易维护的解决方案。基于这些原因,NSA 不支持在国家安全系统中使用 QKD 或 QC 来保护通信,并且除非克服上述限制,否则不预计为 NSS 客户认证任何 QKD/QC 产品。
- Vakhitov, Makarov, and Hjelme, Large pulse attack as a method of conventional optical eavesdropping in quantum cryptography, Journal of Modern Optics 48, 2001.
- Makarov and Hjelme, Faked states attack on quantum cryptosystems, Journal of Modern Optics, vol. 52, 2005.
- Ferenczi, Grangier, Grosshans, Calibration Attack and Defense in Continuous Variable Quantum Key Distribution, CLEO‑IQEC, 2007.
- Zhao, Fung, Qi, Chen, and Lo, Experimental demonstration of time‑shift attack against practical quantum key distribution systems, Physical Review A vol. 78, 2008.
- Scarani and Kurtsiefer, The black paper of quantum cryptography: Real implementation problems, Theoretical Computer Science 560, 2014.