作者:徐令予
导读
2017 年 9 月 29 日是一个不应忘却的日子。二年前的这一天,连接北京、上海,贯穿济南和合肥全长 2000 余公里的京沪量子通信骨干网络全线开通。当年,人们被告知“京沪量子通信干线”是国之重器,它会对国计民生带来巨大贡献。
可是在二年过去后的今天,媒体却选择了全体沉默,量子通信干线工程失去了夺目的光彩,几乎无人问津。中科大的“科大国盾”是全国量子通信设备制造的龙头企业,他们这几年的财务状况也充分反映了量子通信产业化的困境 [1][2][3]。
在数字经济时代,每种有生命力的新技术一旦进入市场,用户数字都是按指数规律增长的,个人电脑、互联网、数码相机、智能手机的发展无不遵循这样的普遍规律。为什么只有“量子通信”反其道而行之,成了市场的弃儿呢?
如果说实践是检验真理的唯一标准,那么市场就是鉴定工程技术的最终手段。一个工程项目如果没有用户的追捧、没有稳定的收益,那么它被市场无情的抛弃只是时间问题,头顶着“量子”的光环又有何用?
众所周知,量子通信还处于基础研究阶段,相关的应用研究刚刚开始,工程建设的可行性、必要性、和经济实用性根本无从谈起。在这种情况下仓促建设京沪、武合等量子通信工程是严重的决策失误,工程项目陷入困境是必然的结果。
导致量子通信工程决策错误原因诸多,密码系统的神秘再加上量子物理的奥妙无疑是造成判断失误的重要因素。工程的推动者对传统密码系统理解不深、把握不准,把工程引入了歧路。某些人甚至掺杂私心杂念故意混淆概念,借科普之名行欺骗之实,致使错误迟迟得不到纠正。所以正本清源还得从严肃的科普教育着手,用科学事实和逻辑推理彻底清除有关“量子通信”中的诸多谬误,把真相还给公众。
本文分成上、下二篇:
《上篇》从密码系统基本原理出发,着重分析量子通信 (严格术语是 量子密钥分发 QKD) 的工程用途和实际价值。通信密码可分为对称密码和公钥密码两个密码系统。QKD 是通过单条链路上的物理防窃听能力来分发“一个”共享随机密钥的硬件技术,属于经典对称密码系统中的一个子功能。在对称经典密码系统中,传统的密钥分发技术安全成熟、价廉物美,QKD 由于性能和价格上均处劣势所以难有作为。而在现代公钥密码系统中,需要数学上严格配对的公钥、私钥“一对”密钥,但 QKD 只能分发一个共享随机密钥,所以 QKD 与公钥密码系统毫无关系。量子通信工程在整个密码系统中都难有立足之处。
现代信息系统安全保障涉及到包括密码体系在内的从系统、到网络、到硬件、到数据、到 AI 模型、到社会工程学等各个领域,在谈安全的时候必须要考虑到实战场景的威胁模型和需要保障的安全属性(如机密性、完整性、可用性、隐私性、真实性等等),脱离威胁模型和安全模型空谈绝对安全毫无意义。目前密码体系在整个现代信息系统安全体系中属于相当完善的部分,对于量子计算攻击也有后量子密码学来应对,4-5 年后即可投入使用,远远超前于量子计算可能破解哪怕最简单的 RSA 1024 的时间(乐观估计 12 年以上)。
而密钥分发技术要能广泛应用必须要在复杂网络条件下保障密钥分发的机密性、完整性、可用性和真实性等安全属性。量子密钥分发(QKD)仅能在单条链路两端提供概率统计意义上的防窃听的能力,无法满足实际场景中的各种密码学应用需求。而单链路下防窃听,本身就是现代安全体系中技术最成熟、安全强度最高的一环。量子通信工程对于国家的信息系统的整体安全而言,好似在飞机上装备安全气囊,它除了添乱不会带来任何益处。把量子通信工程吹捧成国之重器不仅有违事实,而且也是对奋战在信息系统安全领域前沿的科技工作者的不尊重。
《下篇》从量子通信的基本工作原理出发,着重分析 QKD 技术层面的一系列问题。“极低的成码率”、“不能与互联网兼容”和“极不安全的可信中继站”是 QKD 的三大技术困境,它们就是量子通信迈向工程实用化道路上难以逾越的三座大山。这里需要特别强调,量子通信所面临的这三大技术困境是被物理原理所决定了的,单靠工程技术的进步是极难取得实质性改变的。
“量子通信的无条件安全性是可以用数学证明的”,“只有量子通信可以拯救公钥密码危机。”是两个毫无科学依据的神话故事,目的是转移视线掩盖量子通信的三大技术困境。虚假的神话故事与真实的工程困境是硬币的两面。量子通信面临的工程困境越是残酷真实,走入歧途的工程推动者越发需要依赖虚幻的神话去掩盖自己的窘态;神话故事越是虚假离奇,只能说明故事的编导者面对的困境太真实太严酷了,他们除了骗人骗已经束手无策。
某些物理学家钻进了理论却远离了现实,执着于知识而忘记了常识。量子通信工程的许多错误其实都是常识性错误,只要通过摆事实讲道理,认清这些错误并非难事。下面的科普文章中没有数学公式,说的都是白话、实话,相信大多数人读了之后,对量子通信工程中的是非对错都不难作出自己独立的判断。言归正传,让量子通信的科普之旅就从这里再次启航。
上篇 量子通信工程在密码系统中的作用和地位
为了对量子通信工程在密码系统中的作用和地位作出实事求是的判断,首先要对密码系统中的对称密码和公钥密码的工作原理有正确全面的理解。
密码系统的工作原理很像宾馆中常见的密码保险箱(见图 1),有了它就可以安全地保存和传递信息。先把机要文件放入密码保险箱并关上门,然后输入“一串数字”后把保险箱门锁上,只有正确无误地输入同“一串数字”方能打开保险箱取得那份机要文件,因此机要文件的私密性就得到了保障。如果把锁上的密码保险箱通过邮政或者物流公司送达远方,只有知道这“一串数字”的接收方才能把密码保险箱打开,机要文件也就秘密地传递给了接收方。
图 1 (上篇)
在密码保险箱传送的整个过程中,只要这“一串数字”始终控制在通信双方的手中,他们就不担心密码保险箱在传送过程中使用什么方法、走什么路线,也不在乎它经过多少黑客间谍之手,因为不知道这“一串数字”谁也甭想打开那个保险箱,信息在传递过程中的机密性就得到了充分的保障。
细心的读者看到这里可能会有一个疑问,不在一处的通信双方如何商量协调出这“一串数字”呢?或者更正确的说怎样才能让通信双方共享“一串数字”呢?当然通信双方只要有过一次“零距离接触”就不存在问题,两人找一个僻静的角落约定“一串数字”就可以了。有了这个“第一次”以后就可驾轻就熟了,担心反复使用同“一串数字”不安全?好办啊,把新的“一串数字”写在纸上,放进密码保险箱送给对方,以后双方就可启用新的“一串数字”。这样的变动可以“天天做”、“月月做”、“年年做”,私密通信绝对有保障。
为了后面讨论的方便,我们把锁门和开门使用同“一串数字”的称为“对称密码保险箱”,这也是宾馆中常用的保险箱。这种对称密码保险箱方案适合用在有过“零距离接触”的熟人之间和有严格隶属关系的机构内部,在这种环境中设定用作锁门开门的“一串数字”没有技术困难,使用对称密码保险箱可以保证这些人群和机构之间通信的高度私密性。
但是互联网的出现让“对称密码保险箱”方案遇到了巨大的挑战。难题一,使用“对称密码保险箱”的必要条件是通信双方至少要有过一次“零距离接触”,这个条件在互联网世界很难满足。没有“零距离接触”过的通信双方是无法安全地协商出共享的“一串数字”,因为他们使用电话、电报或者信件传递协商“一串数字”都是不安全的,谁也不能排除“隔墙有耳”,而第三者只要窃取了这“一串数字”就可以打开密码保险箱取得机要文件。难题二,每两个用户使用“对称密码保险箱”前必须通过“零距离接触”建立起“一串数字”,如果互联网的一个通信群体的用户数到达一千万,每个用户就要存放管理好 9999999 个不同的“一串数字”!这两个难题使得“对称密码保险箱”方案在互联网环境中很难发挥作用。但是没有密码系统保护的互联网通信又是难以想像的。
“需求乃发明之母”,保证互联网通信安全的强大需求推动了一种新型的密码保险箱——“非对称密码保险箱”方案的出台。可以毫不夸张的说,“非对称密码保险箱”方案就是保护互联网通信安全的利器,没有它就不会有互联网今天的风光。
非对称密码保险箱的工作原理其实也不难理解,它也是一只密码保险箱。对称密码保险箱锁门、开门用的是同“一串数字”;非对称密码保险箱使用“一对数字串”,用其中的“一串数字”(又称“公开数字串”)锁门后只能用另“一串数字”(又称“私密数字串”)方能开门,而这二串数字之间的关系又非常复杂,单从“一串数字”极难推算出另“一串数字”。
“非对称密码保险箱”方案使得互联网上非熟人之间也可进行保密通信。使用非对称密码保险箱的通信过程可分解为三个动作,注意这个过程起始于接收方(见图 2)。1)接收方首先产生出“一对数字串”,把其中的“公开数字串”写在标签上,然后委托物流公司把写有“公开数字串”的标签转递给发送方,并把“私密数字串”收藏起来;2)发送方先把机密文件放进非对称密码保险箱,然后输入标签上的“公开数字串”后把保险箱的门锁上,再委托物流公司把保险箱送回接收方;3)被“公开数字串”锁上的那个保险箱任何人再也打不开,只有接收方输入自已收藏的“私密数字串”后,才能打开非对称密码保险箱得到机密文件。
图 2 (上篇)
在上述通信过程中,“公开数字串”没有一点秘密可言,可对任何人公开。复制、窃取“公开数字串”没有一点用处,因为它只能用来为密码箱锁门,锁上后的保险箱谁也打不开来,除非用“私密数字串”,而“私密数字串”又仅掌握在接收者手中。“非对称密码保险箱”方案使用“公开数字串”和“私密数字串”,由“一对数字串”之间的巧妙配合保证了收发者之间文件传递的私密性。
使用“非对称密码保险箱”方案,收发双方不需要事先商定一个共享的秘密——“一串数字”,他们之间就不需要有“零距离接触”,一次也不需要 ! 通信的接收者只要保护好自己的“私密数字串”,而“公开数字串”是可以公开地、大大方方地传递给发送者,甚至广播通知也行。“非对称密码保险箱”方案使用公、私不同的“一对数字”,使得通信双方可以跨越“零距离接触”这个巨大的障碍,让分隔天南地北的非“熟人”之间都可以方便快捷地进行秘密通信,它对互联网安全功莫大矣!
“对称密码保险箱”和“非对称密码保险箱”这两个方案的关键技术当然都在于设计和制作坚不可摧的密码保险箱。“对称密码保险箱”必须保证在输入“一串数字”锁门后,能且仅能被相同的“一串数字”把门打开;“非对称密码保险箱”存在“一对数字串”,输入其中的“一串数字”锁门后,能且仅能被另外的“一串数字”把门打开。当然如何管理保存好这“一串数字”或“一对数字串”也很重要,但这仅是管理层面的问题,并没有多少技术含量。
明白了上述的道理,就非常容易理解现代通信中的密码系统的工作原理。现代通信使用电报、电话、电邮、微信等等方式,通信过程中传输的是各种电信号(又称明文)。我们当然可以把电讯号录在磁带上,然后放在上述的密码保险箱中,锁上门后传递给对方。但是这样的传递效率太低,我们反其道而行之:不是用密码箱把信息藏匿起来,而是让信息在线路上敞开传输。但是在传输前,先把明文使用某种复杂的变换规则按特定的参数把内容完全打乱,生成无人能看得懂的天书(又称密文),任何人取得这些密文后都无法从中得到任何有用的信息,只有掌握这个特定参数的接收方使用逆向的变换规则才能把密文还原成明文。这就是现代密码学的基本出发点。
日常生活中的密码保险箱与通信密码系统的基本工作原理是十分相似的,区别只是前者把信息藏匿起来不让别人“看到”,而后者把信息彻底打乱不让别人“看懂”,目的都是保障信息的私密性。
现代密码系统使用数学方法把信息彻底打乱,这种专用的数学方法称为“密码算法”。密码算法就对应于密码保险箱,前者把信息打乱、后者把信息藏匿;密码算法对信息加密和解密就对应于密码保险箱的锁门和开门;密码算法加密、解密时使用的参数称为“密钥”,密钥就对应于密码保险箱锁门、开门时输入的“一串数字”。
“对称密码算法”使用共享的“密钥”对明文加密、解密,如同“对称密码保险箱”使用“一串数字”锁上、打开保险箱;“非对称密码算法”(又称为公钥密码算法)使用一对密钥分别称为“公钥”和“私钥”,用公钥对明文加密后只能用私钥解密,如同“非对称密码保险箱”使用“一对数字串”,用其中的“一串数字”锁门后只能用另外“一串数字”开门。
密码算法分成“对称密码算法”和“公钥密码算法”两大类,每一类中又有许多种,就像密码保险箱有许多不同的型号是一个道理。通信双方只要使用同一种密码算法就可以了。
使用对称密码算法时,收发双方事先设定一个共享的密钥。发送方调用对称密码算法(实际上就是计算机的一种程序),输入密钥,把要传递的明文加密后变成密文,然后把密文通过通信线路传递给接收方,接收方得到密文后在自己的计算机中调用对称密码算法,输入密钥,把密文解密后得到明文(见图 3)。
图 3 (上篇)
使用对称密码算法要求通信双方事先必须设定一个共享的密钥,有了这个初始密钥,双方的保密通信就得到了充分的保障。密钥的更新再也不成问题,因为密钥就是一串字符串,也是一种信息,可以用初始密钥对其加密后传递给对方。在熟人之间和有严格上下级关系的机构内部,通信双方设定初始密钥从来就不是问题。有了初始密钥通信双方可以使用对称密码秘密地传递信息,当然也可以使用对称密码为通信双方不断地更新密钥。
在互联网环境中,通信的接收方产生一对密钥,把公钥通过网络送给发送方,收藏好私钥;发送方调用公钥密码算法,输入接收方送来的公钥,然后把信息加密后产生的密文传递给接收方,接收方得到密文后调用公钥密码算法,输入私钥后把密文解密得到明文。互联网的通信双方常常是先用公钥密码传递密钥,一旦通信双方获得一致的密钥后,再用对称密码保护文件的传递。
有了以上密码系统的基本知识后,就不难看清量子通信工程在密码系统中真实的用途和地位。
所有已建或在建的量子通信工程都不是新的通信技术。量子通信工程与量子纠缠也毫无关系,它们其实只是利用量子偏振态为通信双方分发随机密钥的一种硬件方法,简称“量子密钥分发”(QKD)。量子通信工程为用户协商出密钥后,还得依赖传统密码算法进行加密解密,因为它根本就没有自己的密码算法,所以量子通信工程从来就不是一个独立完整的密码系统。把“量子密钥分发”(QKD) 称为“量子密码工程”是猪鼻子里插大葱——装象,把 QKD 称为量子通信那更是错得离谱。QKD 一旦脱离开单条链路场景,出现中间人攻击(MITM)威胁,其密钥分发的安全性就强依赖于一个预设定的共享密钥,安全模型就退化到传统对称密码系统,并不能提供更强的安全保护能力。密码系统的关键技术是密码算法,从来就是算法为王,密钥的分发保存仅是应用层面的问题,并没有多少技术含量。这在前面关于密码系统工作原理的分析中已经阐述得很清楚了。
量子通信工程用硬件分发密钥有什么用处呢?QKD 分发的是“一个”共享随机密钥,再强调一遍:是“一个”密钥,所以 QKD 只能用在对称密码系统中,仅为对称密码的用户分发一个共享密钥。因为量子通信工程没有自己的密码算法,它依赖于对称密码算法,说到底,量子通信工程仅是对称密码系统中的一个子功能。
我们前面已经反复强调,使用对称密码的用户依赖于预先分配的共享密钥,这个和 QKD 在现实网络中的要求是一致的。之间更新和分发密钥没有任何问题。如果对称密码算法是安全的,那么用对称密码算法更新分发密钥也一定是安全的,另辟蹊径使用量子通信工程分发密钥纯属多余;如果对称密码算法本身是不安全的,那么建设量子通信工程为不安全的对称密码分发密钥又有何意义?由此可知,建设量子通信工程毫无现实意义。
事实上,在具有严格上下级关系的企事业环境中,密钥的分发、存放和管理是有专门的机构——密钥分发中心 (KDC) 负责的。两个终端用户是在 KDC 的支持和监督下使用对称现代密码算法取得共享密钥,而且也把身份认证等相关安全问题也一併解决了 [4]。在专用企业网环境中,量子通信工程要为对称密码作密钥分发根本没有切入口,它除了添乱不带来任何益处。
在互联网环境中给亿万非熟人之间分发密钥,公钥密码成了唯一的选择。公钥密码把加密解密的核心机密分解在公钥与私钥这样两个密钥中,一个可以公开,把另一个隐藏起来,公钥和私钥的密切配合使得互联网上亿万非熟人之间分发密钥成为可能。量子通信工程用硬件为通信双方只能分发“一个”随机密钥,无法用于公钥体系而不是“一对”密钥,QKD 仍然是对称密码的思维与公钥密码毫不相干,它是无法为互联网上亿万非熟人之间分发密钥的。而且量子通信工程为两个用户之间分发密钥时,必须在两用户之间建立一条点到点直接相连的物理通道,即然用户之间已经“熟悉”到这个程度,那么他们完全可以设定出一个初始密钥,然后用对称密码分发更新密钥,这样岂不是更方便更安全吗?
归根结底,公钥密码可以为互不相识而且空间位置不固定的用户之间交换密钥,而 QKD 完全无法做到这一点,认为量子通信工程这种原始落后的方式可以为互联网亿万用户分发密钥只是异想天开。
量子通信工程从本质上与互联网无法融合,它对于互联网通信安全不可能有丝毫贡献;在企事业环境中 QKD 性能上不具备优势,价格成本又难以让用户承受。量子通信工程在现代通信的舞台上没有寸土立足之地。
我们还必须认识到,量子通信工程只是为对称密码系统分发密钥,它最多也只能保证密钥分发的机密性。但是密码系统由密码算法和密钥两部分组成,单有密钥的机密性不足以保证密码系统的机密性。密码系统的机密性也远远不能保障通信过程(信道)的安全性。
之前量子通信的宣传许多人把通信密钥分发保密性错认为通信的安全性的全部。当然通信安全一定要求通信内容的保密性,但是只有通信的保密性却不等于通信就是安全的。通信的安全性有着比保密性更高更强的要求,它不仅要求通信双方传送的内容不能被任何第三者知道,还要确认收发双方各自的真实身份,还必须确认通信内容的完整性和不可篡改性,另外还要保证通信的稳定性和可靠性。所以通信的安全性至少应该包括通信的保密性、真实性、完整性、和可用性。在许多通信的应用场景中,通信的真实性和完整性甚至比保密性更重要。因此脱离开具体的威胁模型和安全模型,片面的宣传量子通信工程可以保证通信绝对安全就是个彻头彻尾的谎言。
信息系统可以分为信源和信道两个方面,过去安全隐患主要在信道上,信道安全成为了关注的焦点。但是隨着信息系统的数字化,计算机执行密码算法时,在密钥的提取、使用和存放过程中对密钥构成了严重的安全隐患。攻击者可以利用计算机的操作系统、CPU 和内存等各种漏洞窃取密钥的全部或部分信息,攻击的手段五花八门、防不胜防。今天密钥的最大安全隐患不在“线路窃听”而在管理、存放、和使用环节。信源、信宿才是保卫信息系统安全的战略前沿。
信息系统的总体安全性遵循木桶短板效应。木桶的盛水量受限于木桶的短板高度,同理,信息系统的总体安全性受制于系统中最不安全的因素。提高国家信息系统安全水平最有效的方法应该是增高短板,即把安全工作的重点放在计算机操作系统和各种硬件设备这些短板上。不惜代价增高密码系统这块长板一点也不会改善国家信息系统安全的总体态势,更何况量子通信工程也没有能力增高密码系统的这块长板。鼓吹和推动毫无实用价值的量子通信工程不只是浪费了国家的宝贵资源,它的最大危害性是干涉误导国家信息安全的整体策略。
综上所述,量子通信工程是为用户双方分发“一个”随机密钥的硬件技术,QKD 与使用“一对”密钥的公钥密码系统毫无关系;在对称密码系统中传统的密钥分发技术安全成熟、价廉物美,釆用 QKD 在性能和价格上均无优势,所以量子通信工程对于密码系统没有任何实用价值。今日保卫现代信息系统安全的主战场在计算机的操作系统、硬件和应用软件等方面,不在密码系统的自身方面;而密码系统中密钥的最大安全隐患也不在分发上,而在管理、存放、和使用环节上。
对于国家的信息系统的整体安全而言,量子通信工程不仅毫无用处,而且也无关紧要,把量子通信工程吹捧成国之重器非常幼稚可笑。目前各行各业在信息安全领域投入严重不足、捉襟见肘的时候,把注意力和有限的资源错误地导向成事不足、败事有余的量子通信工程,必然会造成信息安全业界更大的困扰。
(未完待续)