2021年2月9日,欧盟网络安全局发布了一份研究报告:《后量子公钥密码 PQC,抗量子攻击的现状和未来》。这是继美国安全局之后,世界上更多的发达国家放弃量子通信 QKD ,决定釆用 PQC 以应对量子计算机威胁保护信息安全。
欧盟网络安全局 ENISA 是负责欧盟各成员国网络安全的专业机构。欧盟网络安全局成立于2004年,并通过《欧盟网络安全法》加强了权威性,为欧盟网络决策做出了贡献。它通过网络安全认证计划增强了ICT产品和服务的可信度,并与成员国和欧盟其他机构进行合作,为欧洲应对未来的网络挑战做好准备。
欧盟网络安全局的这篇政策报告有37页之多,报告对美国国家标准与技术研究院(NIST)推动后量子时代公钥密码算法标准化作出了详细的分析评估。报告的目录见于下图。
美国 NIST 推动 PQC 标准化的过程我已有专文介绍,这里不再重复。欧盟的这篇报告中有两点特别值得关注:
1)如何应对信息的长期安全性问题
所谓的数据长期安全性问题是指攻击者目前虽然无法破解公钥密码,但攻击者可以收集密文和相关信息并存放起来,等大型量子计算机可以实用后再行分析破解。如果某些敏感数据保密的期限要求超过10年的话,目前有两种实用的应对方案可以选择。
第一种选择是使用传统公钥密码和后量子公钥密码PQC的组合,把它们传送的两个密钥混合后组成新的密钥。总体来看,传统公钥密码技术上比较成熟,PQC理论上更有优势,它们目前各有所长,混合方式可以增强长期安全性。因为只要其中一种算法是安全的最终的密钥就难以破解。而且混合解决方案具有可操作性,这将有助于未来有秩合规地推动PQC的标准化和实用化。
第二种选择是采用概念上简单但实施复杂的方案,将预共享密钥混合到通过公用密码传送的密钥中组成新的密钥。这个方案有极可靠的长期安全性,因为无论多么强大的量子计算机都无法破解预共享的密钥。这种方案比较适合企事业内部,在这种环境中预置共享密钥比较容易实现,而且也能承受由此而带来的额外管理成本。
该报告的第五部分对以上两个选项有较详细的分析介绍,但是在关于加强信息长期安全性的技术讨论中却一字不提量子通信。
2)为什么决定放弃量子通信QKD
欧盟网络安全局在表达对量子通信QKD态度上极富戏剧性,报告从头开始不提一句量子通信QKD,到了报告的结尾处忽然笔峰一转,特别声明:不提 QKD 绝非一时疏忽而是精心的安排。这段结尾的文字很精采,现直译如下。
“细心的读者会注意到本文中没有提到量子密钥分发 QKD 或量子密码学。这绝非无意的疏忽而是精心的选择。QKD 是一种已存在很多年的量子应用技术。它试图通过物理定律提供了一种安全的方式来分发和共享密码协议所必需的密钥。它本质上只提供密钥分发服务,但不提供身份验证或信息完整性,对于后者我们需要依靠基于数学的密码技术。换句话说,QKD 只能作为传统的密码系统的一种补充,其设置依赖于预先建立的经过身份验证的通信通道。但是,这种经过身份验证的通道存在的前提是,通信双方过去曾经设法私下交换过对称密钥(例如,通过物理接触)或使用公钥密码。在前一种情况下,认证是通过直接交互方式来实现的,这严重限制了实际的应用范围。而对于后者,我们被迫使用的公钥密码可能难以扺抗量子攻击。显然,QKD并不是直接应对量子攻击的方案,它只是一种相对成熟的量子应用技术。另一方面,术语“量子密码技术”通常用于表示QKD,或者错误地表示“后量子”算法,如本报告中介绍PQC的算法。然而,它也可以指代更多利用量子特性的各种奇特的密码学应用,例如量子(伪)随机数发生器、程序混淆等。特别需要指出,作为量子密码应用技术并不表示它对量子或传统方式的攻击就具有免疫能力,对于许多量子密码应用而言,这仍然是一个悬而未决的问题。”
欧盟网络安全局的这段文字给出了两个重要结论:
量子通信QKD并不是对抗量子攻击的直接有效的方案
量子通信QKD这类利用量子原理的密码技术并非一定具有对量子攻击的免疫力
附录:世界各主要国家的情报安全机构否定量子通信QKD大事记
2016年10月,隶属于英国情报安全总部(GCHQ)的国家网络安全中心(NCSC)发布了一份白皮书,建议撤销量子密钥分发技术(QKD)的发展;
2016年,美国空军科学顾问委员会(SAB)就量子信息技术的潜在影响进行深入的调研后形成了一份报告,该委员会资深成员兼技术和国家安全计划主任菲茨杰拉德(Ben FitzGerald)表示:量子信息是“下一代的下一代技术”的一部分,它对国防安全产生的影响可能还在遥远的未来;
2019年12月,美国防部国防科学委员会发布《量子技术的应用》报告的摘要。该报告摘要明确指出:理论上量子密钥分发可提供香农信息论定义的密码安全,但其能力和安全还存在欠缺,不能供美国防部使用;
2020年3月24日,隶属于英国情报安全总部(GCHQ)的国家网络安全中心(NCSC)再发白皮书否决量子通信工程;
2020年5月,法国国家网络安全局(ANSSI)发布了一份重要的技术指导文件,文件的题目是:应该将量子密钥分发(QKD)用于安全通信吗?法国政府对量子通信的态度从这份文件的题目上已经表露无遗;
2020年11月18日,美国国家安全局发表了一篇关于量子密钥分发和量子密码术的政策报告。这份报告其实就是量子通信QKD的死刑判决书;
2021年2月9日,欧盟网络安全局发布了一份研究报告:《后量子公钥密码PQC,抗量子攻击的现状和未来》。这是继美国安全局之后,世界上更多的先进国家决定放弃量子通信QKD而釆用PQC,用来对抗量子计算机保护信息安全。