作者實名：徐令予        
2020年5月，法國國家網絡安全局(ANSSI)發布了一份重要的技術指導文件，文件的題目是：應該將量子密鑰分發(QKD)用於安全通信嗎？

法國政府對量子通信的態度從這份文件的題目上表露無遺，不過這也不足為奇，否定量子通信工程化，早已有英美政府走前頭，對此我也撰寫過三篇文章作過較詳細的分析和介紹。現在法國又加入到這個行列中，多一個不多、少一個不少，我無意為此再寫一個續篇。但是當我認真閱讀文件之後，不覺拍案稱奇，大大刷新了我對法蘭西共和國的印象。全文事實清楚、邏輯嚴密、觀點精準，對量子通信的一些致命弱點分析非常到位，這是批評量子通信的一篇綱領性文件，值得有關方麵引起重視。

開門見山，讓我先把該文件的結論直譯如下：

“雖然QKD原則上可以提供安全保證，但是在具體實施過程中會受到諸多限製，這些技術挑戰不僅壓縮了QKD的應用範圍，同時也導致QKD的實際安全性大打折扣，特別是在網絡通信環境中QKD線路的相互聯接會產生更多問題。QKD在點對點的簡單應用場景中，也許可以被當作縱深防禦措施而成為傳統密碼技術的一種補充，但為此付出的費用必須控製在一定的範圍內，不能應此而損害到有關信息係統安全的總體戰略部署”

解讀：QKD僅有理論上的優勢，工程實施中處處都是劣勢，QKD的應用範圍極為有限而且實際安全性差，而最大的技術障礙就在組網上。在規劃信息係統安全的總體戰略時必須排除QKD的幹涉。

文件中七個重要段落內容分別直譯如下。

（1）譯文：為了多視角看清QKD的問題，文件鄭重建議參考英國情報安全總部(GCHQ)的國家網絡安全中心(NCSC)發布的白皮書[1]。

解讀：法國國家網絡安全局(ANSSI)與英國情報安全總部有關QKD的基本立場是一致的。

（2）譯文：除了與量子通道有關的缺陷（通信距離、與傳統通信設備不兼容）之外，QKD需要特定硬件這一事實使它在所軟件加密的生態環境中均處於明顯的劣勢。這就使得QKD為雲計算環境中提供端到端安全性變得非常困難。

解讀：在信息係統加速數字化、網絡化、移動化和虛擬化的大潮流中，依靠特定硬件設施的QKD技術逆潮流而動，量子通信發展前途十分有限。

（3）譯文：首先必須指出，QKD對黑客攻擊的免疫力並非絕對的。雖然理論上QKD協議不容易受到數學攻擊，但實際上要完全做到這一點非常困難。此外，攻擊者可以造成QKD設備運行出現異常。實施時與理論協議的任何偏差（無論是故意或無意引起的）都可能導致安全隱患，最後成為黑客攻擊的目標。盡管這與傳統密碼學的側通道安全問題相類似，但是QKD在這方麵的問題更為突出，對商用QKD設備展開的安全調查研究證實了這一點，詳情參見[5,6]。此外，QKD設備可能具有與量子協議無關的弱點：例如，軟件漏洞或電磁輻射導致的機密泄露。有關這些特殊的安全問題，我們對傳統密碼設備一直有係統和深入的研究，但是直到目前為止對QKD所知有限；為了保護敏感數據，對QKD產品進行全麵的標準化的安全評估是必須的[4]。

解讀：對於量子通信理論上的絕對安全性一直是有爭議的，退一步，即使理論上是絕對安全的，也根本無法保證工程實施中是絕對安全的。量子物理原理無法防禦側通道攻擊、電磁輻射洩漏等類問題，QKD的安全隱患遠較傳統密碼更嚴重、更難解決。

（4）譯文：QKD的有效距離不足（需要使用衛星來克服它們），點對點的連接方式以及對量子通道物理特性的依賴性，所有這些負麵因素使得大規模部署QKD極為困難，且成本很高。更嚴重的問題是，當客戶兩端無法通過單一的QKD線路直接相連時，這就必須在多段QKD線路上分別協商出密鑰，然後在通信的中間節點上對密鑰明文作某種處理，這就需要建立可信仼的通信中間節點，與目前傳統密鑰端到端直接協商方法相比，QKD其實是技術上的倒退。受終端數量和網絡擴展的約束，把需要通信的所有終端都兩兩直接鏈接起來的方法實際上並不可行（除非是一些小型網絡）。雖然使用衛星可擴展QKD的使用範圍，但是除非通信的兩端都具有自己的衛星地麵站，否則仍無法取得端到端的信息安全保護；而且還要假定每個衛星本身都是受信任的節點，這意味著必須完全消除計算機入侵衛星的風險。

解讀：一針見血！與傳統密碼相比，QKD在組網和中繼等方麵確實是一種技術上的倒退。使用衛星也無法從根本上解決這些問題。法國的這份文件對於衛星在量子通信中的局限性有深刻的見解。

（5）譯文：關於非對稱數字簽名方案，就更沒有替換當前算法的需求。確實，與信息加密不同，數字簽名不可能被追溯攻擊。此外，已經存在由相當成熟的基本單元構建的數字簽名方案，該方案幾乎不會受到量子計算機的攻擊（例如參見[8]）。這些方案雖然不能完全替代現有方案，但適用於某些使用場合。

解讀：“不可能被追溯攻擊”等價於長效安全性，這個文件指出傳統公鑰密碼的某些重要功能具有長效安全性。而所謂的長效安全性一直是QKD的重要賣點，這就從根本上否定了QKD的必要性。

（6）譯文：假設世界上沒有了非對稱密鑰協商方案，我們可以通過幾乎不受量子計算機威脅的純對稱密碼機製完成所有功能而無需QKD介入（出版物[2]提供了這種實用協議的示例）。大規模地使用這種解決方案，將使安全的通信係統退回到不對稱密碼機製普及之前的初級狀態：係統複雜且成本高昂，需要對密鑰進行集中管理，因此隻有政府和大型企事業使用得起。但是，這種係統仍與現有網絡兼容，它們還是比QKD更容易部署得多。

解讀：這一段非常精彩。請不要再拿量子計算機和公鑰密碼危機說事了，退一萬步，即使沒有公鑰密碼天也塌不下來。對稱密碼可以取代公鑰的功能，無非是成本昂貴和使用不便而己，但相比QKD還是要實惠太多。總之，無論發生什麽都沒有量子通信的立足之地。

（7）譯文：基於量子物理學原理的量子密鑰分發(QKD)可以在不安全的通道上安全分配密鑰。不幸的是，QKD實施中的不完美會損害其信息理論的安全性。與測量設備無關的量子密鑰分發(MDI-QKD)是一種有前途的方案，這樣可以從測量設備中移除所有側通道攻擊——這本是QKD的“致命弱點”。但是MDI-QKD中的一個基本假設是光源必須可信的。但是實驗顯示，半導體激光二極管的光源很容易受到激光注入攻擊，從通信線路注入的激光會導致QKD信號強度增加。理論證明，QKD的信號強度的意外增加會嚴重影響QKD的安全性。該理論證明不僅適用於QKD的誘騙態BB84協議和MDI-QKD協議，而且也適用於以誘騙態為基礎的其它量子密碼協議。

解讀：這是文件的核心內容。文件引用了2019年12月發表在國際著名物理期刊(Physical Review Applied)上的一篇論文《破解量子密鑰分發的激光注入式攻擊》[6]，該論文證明，QKD的誘騙態BB84協議和所謂麵向未來的MDI-QKD協議

都存在嚴重的安全隱患。

最後，談談我的一點體會。美英法三國對量子通信工程化和實用化的總的態度基本上是一致的，但是在具體的應對措施上有所區別。美國的做法比較大而化之，他隻說我的軍隊不會使用QKD，其它無所謂；而法國在量子通信實用化問題上態度認真、分析詳細、應對到位；英國的做法處於美法之間。我覺得這些區別是由國情不同所決定的。美國的產業市場化最為徹底，從美國政府角度來看，量子通信工程化問題本應讓市場去決定，量子通信是驢是馬到市場上溜溜就是了，政府管不了也賴得管。而法國相對英美而言政府的職能較為強勢，因而政府的產業政策比較認真負責，所以才會有這樣一份針對量子通信的實用化的技術指導文件出台。

REFERENCES 原文的參考資料

[1] Post-Quantum Cryptography Standardization, NIST, USA

[2] “Symmetric Authenticated Key-Exchange (SAKE) with Perfect Forward Secrecy”, 2019

[3] White paper – Quantum Security Technologies, NCSC, UK, 2020/03

[4] Certification critères communs – ANSSI (French)

[5] “Hacking commercial quantum cryptography systems by tailored bright illumination”, 2010

[6] “Laser seeding attack in quantum key distribution”, 2019

[7] A Survey of the Prominent Quantum Key Distribution Protocols, 2007

[8] “XMSS – A Practical Forward Secure Signature Scheme based on Minimal Security Assumptions”, 2011

本文參考資料

應該將量子密鑰分發用於安全通信嗎？ 

SHOULD QUANTUM KEY DISTRIBUTION BE USED FOR SECURE COMMUNICATIONS?

英美等國家如何評估“量子通信”工程化

美國國防部對量子通信技術的最新評估

否決量子通信工程 英國情報部門再發白皮書