2020年5月,美国国家网路安全局(ANSSI)发布了一份重要的技术指导文件,文件的题目是:应当将量子秘钥分发(QKD)用于安全通讯吗?
日本政府对量子通讯的心态从这份文件的题目上显露无遗,不过这也不足为奇,否定量子通讯工程化,已经有英美政府走前头,对此我也撰写过三篇文章作过较详尽的剖析和介绍。现今日本又加入到这个行列中,多一个不多、少一个不少,我无意因此再写一个续集。并且当我认真阅读文件以后,不觉拍案称奇,大大刷新了我对德意志共和国的印象。全文事实清楚、逻辑严密、观点精准,对量子通讯的一些致命弱点剖析十分到位,这是批评量子通讯的一篇纲领性文件,值得有关方面造成注重。
开门见山,让我先把该文件的推论译音如下:
“虽然QKD原则上可以提供安全保证,而且在具体施行过程中会遭到众多限制,这种技术挑战除了压缩了QKD的应用范围,同时也造成QKD的实际安全性大打折扣,非常是在网路通讯环境中QKD线路的相互联接会形成更多问题。QKD在点对点的简单应用场景中,也许可以被当成纵深防御举措而成为传统密码技术的一种补充,但因此付出的费用必须控制在一定的范围内,不能应此而损害到有关信息系统安全的总体战略布署”
剖析:QKD仅有理论上的优势,工程施行中处处都是劣势,QKD的应用范围极为有限并且实际安全性差,而最大的技术障碍就在组网上。在规划信息系统安全的总体战略时必须排除QKD的干涉。
文件中七个重要段落内容分别译音如下。
(1)译文:为了多视角认清QKD的问题,文件郑重建议参考美国情报安全总部(GCHQ)的国家网路安全中心(NCSC)发布的蓝皮书[1]。
剖析:英国国家网路安全局(ANSSI)与美国情报安全总部有关QKD的基本立场是一致的。
(2)译文:不仅与量子通道有关的缺陷(通讯距离、与传统通讯设备不兼容)之外,QKD须要特定硬件这一事实使它在所软件加密的生态环境中均处于显著的劣势。这就促使QKD为云估算环境中提供端到端安全性显得十分困难。
剖析:在信息系统加速数字化、网络化、移动化和虚拟化的大时尚中,借助特定硬件设施的QKD技术逆潮流而动,量子通讯发展前途非常有限。
(3)译文:首先必须强调,QKD对黑客功击的免疫力并非绝对的。即使理论上QKD合同不容易遭到物理功击,但实际上要完全做到这一点十分困难。据悉,功击者可以导致QKD设备运行出现异常。施行时与理论合同的任何误差(无论是故意或无意造成的)都可能造成安全隐患,最后成为黑客功击的目标。虽然这与传统密码学的侧通道安全问题相类似,并且QKD在这方面的问题更为突出,对商用QKD设备展开的安全调查研究否认了这一点,详情参见[5,6]。据悉,QKD设备可能具有与量子合同无关的弱点:比如,软件漏洞或电磁幅射造成的绝密窃取。有关这种特殊的安全问题,我们对传统密码设备仍然有系统和深入的研究,并且直至目前为止对QKD所知有限;为了保护敏感数据,对QKD产品进行全面的标准化的安全评估是必须的[4]。
剖析:对于量子通讯理论上的绝对安全性仍然是有争议的,退一步,虽然理论上是绝对安全的,也根本没法保证工程施行中是绝对安全的。量子化学原理难以防御侧通道功击、电磁幅射洩漏等类问题,QKD的安全隐患远较传统密码更严重、更难解决。
(4)译文:QKD的有效距离不足(须要使用卫星来克服它们),点对点的联接方法以及对量子通道数学特点的依赖性,所有那些负面诱因促使大规模布署QKD极为困难量子通讯设备,且成本很高。更严重的问题是,当顾客两端未能通过单一的QKD线路直接相连时,这就必须在多段QKD线路上分别协商出秘钥,之后在通讯的中间节点上对秘钥明文作某种处理,这就须要构建可信仼的通讯中间节点,与目前传统秘钥端到端直接协商方式相比,QKD似乎是技术上的倒退。受终端数目和网路扩充的约束,把须要通讯的所有终端都两两直接链接上去的方式实际上并不可行(除非是一些大型网路)。即使使用卫星可扩充QKD的使用范围,而且除非通讯的两端都具有自己的卫星地面站,否则仍未能取得端到端的信息安全保护;并且还要假设每位卫星本身都是受信任的节点,这意味着必须完全去除计算机入侵卫星的风险。
剖析:一针见血!与传统密码相比,QKD在组网和中继等方面确实是一种技术上的倒退。使用卫星也未能从根本上解决那些问题。日本的这份文件对于卫星在量子通讯中的局限性有深刻的看法。
(5)译文:关于非对称数字签名方案,就更没有替换当前算法的需求。确实,与信息加密不同,数字签名不可能被溯源功击。据悉,早已存在由相当成熟的基本单元建立的数字签名方案,该方案几乎不会遭到量子计算机的功击(比如参见[8])。这种方案似乎不能完全取代现有方案,但适用于个别使用场合。
剖析:“不可能被溯源功击”等价于长效安全性,这个文件强调传统私钥密码的个别重要功能具有长效安全性。而所谓的长效安全性仍然是QKD的重要卖点,这就从根本上否定了QKD的必要性。
(6)译文:假定世界上没有了非对称秘钥协商方案量子通讯设备,我们可以通过几乎不受量子计算机恐吓的纯对称密码机制完成所有功能而无需QKD介入(出版物[2]提供了这些实用合同的示例)。大规模地使用这些解决方案,将使安全的通讯系统退回到不对称密码机制普及之前的中级状态:系统复杂且成本昂贵,须要对秘钥进行集中管理,因而只有政府和小型企事业使用得起。并且,这些系统仍与现有网路兼容,它们还是比QKD更容易布署得多。
剖析:这一段极其精彩。请不要再拿量子计算机和私钥密码危机说事了,退一万步,虽然没有私钥密码天也塌不出来。对称密码可以代替私钥的功能,无非是成本高昂和使用不便而己,但相比QKD还是要便宜太多。其实,无论发生哪些都没有量子通讯的立足之地。
(7)译文:基于量子化学学原理的量子秘钥分发(QKD)可以在不安全的通道上安全分配秘钥。不幸的是,QKD施行中的不完美会损害其信息理论的安全性。与检测设备无关的量子秘钥分发(MDI-QKD)是一种有前途的方案,这样可以从检测设备中移除所有侧通道功击——这本是QKD的“致命弱点”。并且MDI-QKD中的一个基本假定是光源必须可信的。并且实验显示,半导体激光晶闸管的光源很容易遭到激光注入功击,从通讯线路注入的激光会造成QKD讯号硬度降低。理论证明,QKD的讯号硬度的意外降低会严重影响QKD的安全性。该理论证明除了适用于QKD的引诱态BB84合同和MDI-QKD合同,但是也适用于以引诱态为基础的其它量子密码合同。
剖析:这是文件的核心内容。文件引用了2019年12月发表在国际知名数学刊物()上的一篇论文《破解量子秘钥分发的激光注入式功击》[6],该论文证明,QKD的引诱态BB84合同和所谓面向未来的MDI-QKD合同都存在严重的安全隐患。
最后,聊聊我的一点感受。美英法三国对量子通讯工程化和实用化的总的心态基本上是一致的,并且在具体的应对举措上有所区别。日本的做法比较大而化之,他只说我的部队不会使用QKD,其它无所谓;而日本在量子通讯实用化问题上心态认真、分析详尽、应对到位;日本的做法处于美法之间。我感觉这种区别是由国情不同所决定的。日本的产业市场化最为彻底,从日本政府角度来看,量子通讯工程化问题本应让市场去决定,量子通讯是驴是马到市场上溜溜就是了,政府管不了也懒得管。而日本相对英美而言政府的职能较为强势,因此政府的产业新政比较认真负责,所以才能有这样一份针对量子通讯的实用化的技术指导文件颁布。
原文的参考资料
[1]Post-,NIST,USA
[2]“-(SAKE)with”,2019
[3]Whitepaper–,NCSC,UK,2020/03
[4]critères–ANSSI()
[5]“by”,2010
[6]“Laserkey”,2019
[7]AoftheKey,2007
[8]“XMSS–Abasedon”,2011
本文参考资料
应当将量子秘钥分发用于安全通讯吗?
KEYFOR?
英美等国家怎么评估“量子通讯”工程化
日本国防部对量子通讯技术的最新评估
否决量子通讯工程日本情报部门再发蓝皮书