QKD加PQC 捆綁難成夫妻

作者：王雪金博士

BB84 (QKD)的安全性有兩個前提：即經典通道兩端必須是通過相互認證的；同時經典通道提供數據的完整性保證。由於現有的公鑰密碼被假定不再安全，就認證而言隻剩下預置密鑰一條路可走。但預置密鑰是一條死路。

最近潘院士團隊與合作院校完成了國際上首次量子密鑰分發(QKD)和後量子公鑰密碼(PQC)的融合。研究者在兩個可信中繼之間使用基於PQC公鑰密碼的數字證書來做用戶認證代替現有的預置密鑰認證. 試圖來彌補QKD不提供信源認證的短板(QKD does not provide a means to authenticate the QKD transmission source — NSA 2020)。

我們已經多次指出基於可信中繼的QKD隻是密鑰分發而已, 已經不再是所謂的量子密鑰分發(BB84)了, 再加入PQC作可信中繼數字證書認證效果適得其反。QKD一旦用上PQC，就必然與公鑰基礎設施脫不了幹係。作為公鑰基礎設施的架構師加上20+年的用戶認證經驗，我認為QKD的經典通道中加入基於數字證書的用戶認證實在不是一個好主意。

公鑰基礎設施(Public Key Infrastructure，縮寫PKI)是一組由硬件、軟件、參與者、管理政策與流程組成的基礎架構，其目的在於簽發、管理、存儲以及撤銷數字證書。公鑰基礎設施借助證書簽發機構(CA)將用戶的個人身份跟公鑰捆綁在一起。但數字證書先天不足，帶有嚴重的缺陷。從論文用詞來看，論文作者對數字證書的認證似乎並不太熟悉。中繼認證過程中對數字證書的驗證漏掉了非常重要的步驟且對數字證書的先天缺陷隻字未提。

數字證書究竟有哪些缺陷? 

數字證書最大的缺陷是"可信"。你必須相信證書簽發機構(CA)。全球有超過一百多個被認可的證書簽發機構，它們可以給任何個人集體單位簽發證書。你也可以從任何一個或多個(CA)購得證書。但你必須相信它們不會亂發證書, 不管是故意的還是無心的。不久前建立的證書透明性(Certificate Transparency)就是為了發現是非有機構簽發偽證書，但其效果有限。

第二個大缺陷是"吊銷"。就像護照在允許你出境或入境前出入境管理局會驗證確認你的護照是非已被吊銷。同樣數字證書的驗證過程中必須確認該證書是非已被吊銷。很遺憾，PKI現有的吊銷證書手段 CRL 和實時查證服務OCSP 有很多不足。

第三大不足是"驗證"。證書是非有效取決於數字證書鏈的驗證是非通過。數字證書鏈的頂端是根證書(Root CA Certificate)。隻有在可信商店(Trusted Store)的CA簽發的證書才被認可。但很不幸，那個商店的安保很弱，加入偽CA並不難。

PKI還有其它不足。QKD自認”無條件安全”。一旦和PKI聯姻那其整體安全性將不再是”無條件安全”， 何苦呢？ 有人一定會好奇，為什麽QKD不應該用PKI，而經典通信卻可大量使用呢？這是由於它們追求的目標完全不同。經典通信追求通信的足夠安全而非無條件安全，這也就是為什麽QKD和PQC的結合沒有意義。

量子通信QKD的初心是追求“無條件安全”，但是QKD在工程實踐中使用了非常不安全的“可信中繼”，現在又釆納了有條件安全的PQC，量子通信拋棄了自己的初心就變得什麽都不是！

PQC自帶密鑰分發根本不需要QKD，QKD連備胎都不是。QKD和PQC的融合給我一種感覺是自以為”貌美如花”的大齡剩女看上了隔壁有婦之夫急於想上位。

參考資料

Experimental authentication of quantum key distribution with post-quantum cryptography Liu-Jun Wang, Kai-Yi Zhang, Jia-Yong Wang, Jie Cheng, Yong-Hua Yang, Shi-Biao Tang, Di Yan, Yan-Lin Tang, Zhen Liu, Yu Yu, Qiang Zhang & Jian-Wei Pan  npj Quantum Information volume 7, Article number: 67 (2021)