歐盟網絡安全局的研究報告否定量子通信的實用性

2021年2月9日，歐盟網絡安全局發布了一份研究報告：《後量子公鑰密碼 PQC，抗量子攻擊的現狀和未來》。這是繼美國安全局之後，世界上更多的發達國家放棄量子通信 QKD ，決定釆用 PQC 以應對量子計算機威脅保護信息安全。

歐盟網絡安全局 ENISA 是負責歐盟各成員國網絡安全的專業機構。歐盟網絡安全局成立於2004年，並通過《歐盟網絡安全法》加強了權威性，為歐盟網絡決策做出了貢獻。它通過網絡安全認證計劃增強了ICT產品和服務的可信度，並與成員國和歐盟其他機構進行合作，為歐洲應對未來的網絡挑戰做好準備。

歐盟網絡安全局的這篇政策報告有37頁之多，報告對美國國家標準與技術研究院(NIST)推動後量子時代公鑰密碼算法標準化作出了詳細的分析評估。報告的目錄見於下圖。

美國 NIST 推動 PQC 標準化的過程我已有專文介紹，這裏不再重複。歐盟的這篇報告中有兩點特別值得關注：

• 如何應對信息的長期安全性問題
• 為什麽決定放棄量子通信QKD

1）如何應對信息的長期安全性問題

所謂的數據長期安全性問題是指攻擊者目前雖然無法破解公鑰密碼，但攻擊者可以收集密文和相關信息並存放起來，等大型量子計算機可以實用後再行分析破解。如果某些敏感數據保密的期限要求超過10年的話，目前有兩種實用的應對方案可以選擇。

第一種選擇是使用傳統公鑰密碼和後量子公鑰密碼PQC的組合，把它們傳送的兩個密鑰混合後組成新的密鑰。總體來看，傳統公鑰密碼技術上比較成熟，PQC理論上更有優勢，它們目前各有所長，混合方式可以增強長期安全性。因為隻要其中一種算法是安全的最終的密鑰就難以破解。而且混合解決方案具有可操作性，這將有助於未來有秩合規地推動PQC的標準化和實用化。

第二種選擇是采用概念上簡單但實施複雜的方案，將預共享密鑰混合到通過公用密碼傳送的密鑰中組成新的密鑰。這個方案有極可靠的長期安全性，因為無論多麽強大的量子計算機都無法破解預共享的密鑰。這種方案比較適合企事業內部，在這種環境中預置共享密鑰比較容易實現，而且也能承受由此而帶來的額外管理成本。

該報告的第五部分對以上兩個選項有較詳細的分析介紹，但是在關於加強信息長期安全性的技術討論中卻一字不提量子通信。

2）為什麽決定放棄量子通信QKD

歐盟網絡安全局在表達對量子通信QKD態度上極富戲劇性，報告從頭開始不提一句量子通信QKD，到了報告的結尾處忽然筆峰一轉，特別聲明：不提 QKD 絕非一時疏忽而是精心的安排。這段結尾的文字很精采，現直譯如下。

“細心的讀者會注意到本文中沒有提到量子密鑰分發 QKD 或量子密碼學。這絕非無意的疏忽而是精心的選擇。QKD 是一種已存在很多年的量子應用技術。它試圖通過物理定律提供了一種安全的方式來分發和共享密碼協議所必需的密鑰。它本質上隻提供密鑰分發服務，但不提供身份驗證或信息完整性，對於後者我們需要依靠基於數學的密碼技術。換句話說，QKD 隻能作為傳統的密碼係統的一種補充，其設置依賴於預先建立的經過身份驗證的通信通道。但是，這種經過身份驗證的通道存在的前提是，通信雙方過去曾經設法私下交換過對稱密鑰（例如，通過物理接觸）或使用公鑰密碼。在前一種情況下，認證是通過直接交互方式來實現的，這嚴重限製了實際的應用範圍。而對於後者，我們被迫使用的公鑰密碼可能難以扺抗量子攻擊。顯然，QKD並不是直接應對量子攻擊的方案，它隻是一種相對成熟的量子應用技術。另一方麵，術語“量子密碼技術”通常用於表示QKD，或者錯誤地表示“後量子”算法，如本報告中介紹PQC的算法。然而，它也可以指代更多利用量子特性的各種奇特的密碼學應用，例如量子(偽)隨機數發生器、程序混淆等。特別需要指出，作為量子密碼應用技術並不表示它對量子或傳統方式的攻擊就具有免疫能力，對於許多量子密碼應用而言，這仍然是一個懸而未決的問題。”

歐盟網絡安全局的這段文字給出了兩個重要結論：

量子通信QKD並不是對抗量子攻擊的直接有效的方案

量子通信QKD這類利用量子原理的密碼技術並非一定具有對量子攻擊的免疫力

附錄：世界各主要國家的情報安全機構否定量子通信QKD大事記

2016年10月，隸屬於英國情報安全總部(GCHQ)的國家網絡安全中心(NCSC)發布了一份白皮書，建議撤銷量子密鑰分發技術(QKD)的發展；

2016年，美國空軍科學顧問委員會(SAB)就量子信息技術的潛在影響進行深入的調研後形成了一份報告，該委員會資深成員兼技術和國家安全計劃主任菲茨傑拉德(Ben FitzGerald)表示：量子信息是“下一代的下一代技術”的一部分，它對國防安全產生的影響可能還在遙遠的未來；

2019年12月，美國防部國防科學委員會發布《量子技術的應用》報告的摘要。該報告摘要明確指出：理論上量子密鑰分發可提供香農信息論定義的密碼安全，但其能力和安全還存在欠缺，不能供美國防部使用；

2020年3月24日，隸屬於英國情報安全總部(GCHQ)的國家網絡安全中心(NCSC)再發白皮書否決量子通信工程；

2020年5月，法國國家網絡安全局(ANSSI)發布了一份重要的技術指導文件，文件的題目是：應該將量子密鑰分發(QKD)用於安全通信嗎？法國政府對量子通信的態度從這份文件的題目上已經表露無遺；

2020年11月18日，美國國家安全局發表了一篇關於量子密鑰分發和量子密碼術的政策報告。這份報告其實就是量子通信QKD的死刑判決書；

2021年2月9日，歐盟網絡安全局發布了一份研究報告：《後量子公鑰密碼PQC，抗量子攻擊的現狀和未來》。這是繼美國安全局之後，世界上更多的先進國家決定放棄量子通信QKD而釆用PQC，用來對抗量子計算機保護信息安全。