量子通信實屬多此一舉
作者:王雪金
徐令予,李紅雨等老師在知乎上對量子通信進行了深入的剖析。我同他們的觀點是一致的: 量子通信是沒有前途的。我從事用戶認證, 密鑰及數字證書管理逾二十年。作為一名信息安全老兵 談談為什麽我看衰量子通信. 首先我必須申明對科大在量子通信科學實驗方麵取得的進展深懷敬意。我的擔憂是量子通信實用性及絕對安全性的炒作已經影響了國家最高層的的科技戰略決策。
討論量子通信之前讓我們首先看看經典的通信安全是如何來實現的。相信大家對TLS1.2 應該有 所了解。現在最常采用的帶有前向保密性的網絡通信密碼組合是:
ECDHE-RSA-AES256-GCM-SHA256
其中
不同的算法有不同的功用。它們相互獨立各司其職但又緊密相連。TLS 握手協議完成後生成四把密鑰:
分別用於兩端的加/解密以及數據來源/完整性檢測。
從以上分析可以看出密鑰分發在通信整體安全中隻占四分之一。重要但隻是部分。分發的絕對安全性並不能代表通信的絕對安全!
隨著量子計算機的進展經典的公鑰密碼的安全性受到了挑戰。有人趁機把量子密鑰分發(QKD)炒得火熱。兜售量子密碼/通信的絕對安全性。量子通信真的絕對安全嗎?
我們首先必須搞清楚量子通信的定義是什麽。千萬不要被名字誤導了!讓我們首先回顧一下 BB84協議。原始論文的題目是 ”量子密碼學:公開的密鑰分發及硬幣拋擲” (Quantum Cryptography : Public Key Distribution and Coin Tossing)。 我們在此隻關注公開的密鑰分發部分。
從論文標題就可以看出
1. BB84是指密鑰分發並不是用量子通道來進行通信; 2. 量子密鑰分發過程並不要求私密性。具體表現在量子通道不怕有人竊聽。竊聽在這並不太恰當因為量子通道並不能用來傳遞數據。竊聽無從談起。在這裏竊聽等同於搗亂(阻斷服務)。同樣在經典通道也不需要保密。原因是經典通道隻用來: 1. 協調量子通道的管理; 2. 毛坯密鑰的產生; 3. 是非有人搗亂的確認; 4. 糾錯及其 它。最終確認的密鑰並沒有在通道上傳遞所以私密性並非剛需。
但是BB84量子密鑰分發有兩要命的前提條件:
由於假定公鑰密碼不再安全, 現有的RSA及ECDSA公鑰算法(數字簽名)被排除。剩下隻有一個選擇:預置密鑰用來作認證。預置密鑰在網絡時代的實用性接近於零! 預置密鑰如何生成, 設置, 分發及保護? 我們又回到了1976年公鑰密碼產生之前! 數據來源及完整性同樣需要特定的密鑰。這把密鑰從何而來?
如果經典通道不能確保通信方的認證,數據完整及來源正確那量子密鑰分發的絕對安全性也就無從談起。我前麵所討論的是基於量子通道是絕對安全的這個假定。即 1. 中繼是絕對安全的; 2. 客服兩端同時聯到量子網及經典網。這又是兩個要命的假定。現在的中繼我認為已實際上違背了BB84原始協議。
再退一步即使量子密鑰分發是絕對安全的。它有意義嗎?有用嗎?答案仍然是否定的。因為它 隻提供了部分替換方案即密鑰分發! 對同時受量子計算機影響的用戶認證公鑰密碼沒有任何幫助。
有人不禁想問那吹噓的量子通信的絕對安全性究竟從何而來?讓我們再次回到BB84協議上來。量子密鑰分發的目的為一次一密(One Time Pad)提供加密密鑰。香農於1949年在數學上證明了理論上一次一密不能被破解。實際上所謂的量子通信(QKD + OTP)的絕對安全是指一次一密的保密性。跟量子沒啥關係! 注意:不可破解即保密性但不等於通信的安全性。兩者不可混淆。
一次一密如此保密那為什麽我們現在棄而不用, 將來也不可能使用呢?是因為一次一密有四個要命的前提條件:
量子密鑰分發在原始設計上想滿足條件1(真隨機 - 量子物理特性)及條件4(完全保密 - 密鑰不經傳遞不可能被截取)。但實際上現有的QKD工程都不能滿足這兩條件。歐盟網絡安全局的研究報告已標定 QKD 仍是偽隨機而非真隨機。量子中繼又破壞了密鑰必須完全保密的條件。量子通信所謂的實用性及絕對安全性是站不住腳的。
我對量子密鑰分發的看法: 它是多此一舉。
對抗量子計算機唯一切實可行的方案是抗量子密碼而不是量子密鑰分發。如果讓我提建議的話我認為國家應該集中精力搞量子計算機。對量子密碼學隻作少量投資。主要用來跟蹤國際研究進展。
參考資料(略)