徐令予博客

                                  作者实名：徐令予        
2020年5月，法国国家网络安全局(ANSSI)发布了一份重要的技术指导文件，文件的题目是：应该将量子密钥分发(QKD)用于安全通信吗？

法国政府对量子通信的态度从这份文件的题目上表露无遗，不过这也不足为奇，否定量子通信工程化，早已有英美政府走前头，对此我也撰写过三篇文章作过较详细的分析和介绍。现在法国又加入到这个行列中，多一个不多、少一个不少，我无意为此再写一个续篇。但是当我认真阅读文件之后，不觉拍案称奇，大大刷新了我对法兰西共和国的印象。全文事实清楚、逻辑严密、观点精准，对量子通信的一些致命弱点分析非常到位，这是批评量子通信的一篇纲领性文件，值得有关方面引起重视。

开门见山，让我先把该文件的结论直译如下：

“虽然QKD原则上可以提供安全保证，但是在具体实施过程中会受到诸多限制，这些技术挑战不仅压缩了QKD的应用范围，同时也导致QKD的实际安全性大打折扣，特别是在网络通信环境中QKD线路的相互联接会产生更多问题。QKD在点对点的简单应用场景中，也许可以被当作纵深防御措施而成为传统密码技术的一种补充，但为此付出的费用必须控制在一定的范围内，不能应此而损害到有关信息系统安全的总体战略部署”

解读：QKD仅有理论上的优势，工程实施中处处都是劣势，QKD的应用范围极为有限而且实际安全性差，而最大的技术障碍就在组网上。在规划信息系统安全的总体战略时必须排除QKD的干涉。

文件中七个重要段落内容分别直译如下。

（1）译文：为了多视角看清QKD的问题，文件郑重建议参考英国情报安全总部(GCHQ)的国家网络安全中心(NCSC)发布的白皮书[1]。

解读：法国国家网络安全局(ANSSI)与英国情报安全总部有关QKD的基本立场是一致的。

（2）译文：除了与量子通道有关的缺陷（通信距离、与传统通信设备不兼容）之外，QKD需要特定硬件这一事实使它在所软件加密的生态环境中均处于明显的劣势。这就使得QKD为云计算环境中提供端到端安全性变得非常困难。

解读：在信息系统加速数字化、网络化、移动化和虚拟化的大潮流中，依靠特定硬件设施的QKD技术逆潮流而动，量子通信发展前途十分有限。

（3）译文：首先必须指出，QKD对黑客攻击的免疫力并非绝对的。虽然理论上QKD协议不容易受到数学攻击，但实际上要完全做到这一点非常困难。此外，攻击者可以造成QKD设备运行出现异常。实施时与理论协议的任何偏差（无论是故意或无意引起的）都可能导致安全隐患，最后成为黑客攻击的目标。尽管这与传统密码学的侧通道安全问题相类似，但是QKD在这方面的问题更为突出，对商用QKD设备展开的安全调查研究证实了这一点，详情参见[5,6]。此外，QKD设备可能具有与量子协议无关的弱点：例如，软件漏洞或电磁辐射导致的机密泄露。有关这些特殊的安全问题，我们对传统密码设备一直有系统和深入的研究，但是直到目前为止对QKD所知有限；为了保护敏感数据，对QKD产品进行全面的标准化的安全评估是必须的[4]。

解读：对于量子通信理论上的绝对安全性一直是有争议的，退一步，即使理论上是绝对安全的，也根本无法保证工程实施中是绝对安全的。量子物理原理无法防御侧通道攻击、电磁辐射洩漏等类问题，QKD的安全隐患远较传统密码更严重、更难解决。

（4）译文：QKD的有效距离不足（需要使用卫星来克服它们），点对点的连接方式以及对量子通道物理特性的依赖性，所有这些负面因素使得大规模部署QKD极为困难，且成本很高。更严重的问题是，当客户两端无法通过单一的QKD线路直接相连时，这就必须在多段QKD线路上分别协商出密钥，然后在通信的中间节点上对密钥明文作某种处理，这就需要建立可信仼的通信中间节点，与目前传统密钥端到端直接协商方法相比，QKD其实是技术上的倒退。受终端数量和网络扩展的约束，把需要通信的所有终端都两两直接链接起来的方法实际上并不可行（除非是一些小型网络）。虽然使用卫星可扩展QKD的使用范围，但是除非通信的两端都具有自己的卫星地面站，否则仍无法取得端到端的信息安全保护；而且还要假定每个卫星本身都是受信任的节点，这意味着必须完全消除计算机入侵卫星的风险。

解读：一针见血！与传统密码相比，QKD在组网和中继等方面确实是一种技术上的倒退。使用卫星也无法从根本上解决这些问题。法国的这份文件对于卫星在量子通信中的局限性有深刻的见解。

（5）译文：关于非对称数字签名方案，就更没有替换当前算法的需求。确实，与信息加密不同，数字签名不可能被追溯攻击。此外，已经存在由相当成熟的基本单元构建的数字签名方案，该方案几乎不会受到量子计算机的攻击（例如参见[8]）。这些方案虽然不能完全替代现有方案，但适用于某些使用场合。

解读：“不可能被追溯攻击”等价于长效安全性，这个文件指出传统公钥密码的某些重要功能具有长效安全性。而所谓的长效安全性一直是QKD的重要卖点，这就从根本上否定了QKD的必要性。

（6）译文：假设世界上没有了非对称密钥协商方案，我们可以通过几乎不受量子计算机威胁的纯对称密码机制完成所有功能而无需QKD介入（出版物[2]提供了这种实用协议的示例）。大规模地使用这种解决方案，将使安全的通信系统退回到不对称密码机制普及之前的初级状态：系统复杂且成本高昂，需要对密钥进行集中管理，因此只有政府和大型企事业使用得起。但是，这种系统仍与现有网络兼容，它们还是比QKD更容易部署得多。

解读：这一段非常精彩。请不要再拿量子计算机和公钥密码危机说事了，退一万步，即使没有公钥密码天也塌不下来。对称密码可以取代公钥的功能，无非是成本昂贵和使用不便而己，但相比QKD还是要实惠太多。总之，无论发生什么都没有量子通信的立足之地。

（7）译文：基于量子物理学原理的量子密钥分发(QKD)可以在不安全的通道上安全分配密钥。不幸的是，QKD实施中的不完美会损害其信息理论的安全性。与测量设备无关的量子密钥分发(MDI-QKD)是一种有前途的方案，这样可以从测量设备中移除所有侧通道攻击——这本是QKD的“致命弱点”。但是MDI-QKD中的一个基本假设是光源必须可信的。但是实验显示，半导体激光二极管的光源很容易受到激光注入攻击，从通信线路注入的激光会导致QKD信号强度增加。理论证明，QKD的信号强度的意外增加会严重影响QKD的安全性。该理论证明不仅适用于QKD的诱骗态BB84协议和MDI-QKD协议，而且也适用于以诱骗态为基础的其它量子密码协议。

解读：这是文件的核心内容。文件引用了2019年12月发表在国际著名物理期刊(Physical Review Applied)上的一篇论文《破解量子密钥分发的激光注入式攻击》[6]，该论文证明，QKD的诱骗态BB84协议和所谓面向未来的MDI-QKD协议

都存在严重的安全隐患。

最后，谈谈我的一点体会。美英法三国对量子通信工程化和实用化的总的态度基本上是一致的，但是在具体的应对措施上有所区别。美国的做法比较大而化之，他只说我的军队不会使用QKD，其它无所谓；而法国在量子通信实用化问题上态度认真、分析详细、应对到位；英国的做法处于美法之间。我觉得这些区别是由国情不同所决定的。美国的产业市场化最为彻底，从美国政府角度来看，量子通信工程化问题本应让市场去决定，量子通信是驴是马到市场上溜溜就是了，政府管不了也赖得管。而法国相对英美而言政府的职能较为强势，因而政府的产业政策比较认真负责，所以才会有这样一份针对量子通信的实用化的技术指导文件出台。

REFERENCES 原文的参考资料

[1] Post-Quantum Cryptography Standardization, NIST, USA

[2] “Symmetric Authenticated Key-Exchange (SAKE) with Perfect Forward Secrecy”, 2019

[3] White paper – Quantum Security Technologies, NCSC, UK, 2020/03

[4] Certification critères communs – ANSSI (French)

[5] “Hacking commercial quantum cryptography systems by tailored bright illumination”, 2010

[6] “Laser seeding attack in quantum key distribution”, 2019

[7] A Survey of the Prominent Quantum Key Distribution Protocols, 2007

[8] “XMSS – A Practical Forward Secure Signature Scheme based on Minimal Security Assumptions”, 2011

本文参考资料

应该将量子密钥分发用于安全通信吗？ 

SHOULD QUANTUM KEY DISTRIBUTION BE USED FOR SECURE COMMUNICATIONS?

英美等国家如何评估“量子通信”工程化

美国国防部对量子通信技术的最新评估

否决量子通信工程 英国情报部门再发白皮书