量子密钥分发的技术困境

2020年11月18日，美国国家安全局发表了一篇关于量子密钥分发和量子密码术《Quantum Key Distribution (QKD) and Quantum Cryptography(QC)》的政策报告。

报告中的重要内容如下：

概要

NSA继续评估加密解决方案以确保国家安全系统中数据的传输安全。NSA不建议使用量子密钥分发和量子密码术来确保国家安全系统（NSS）中的数据传输，除非能解决以下这些技术困境。

量子密钥分发的技术困境

1）量子密钥分发只是部分解决方案。 

QKD为加密算法生成所需的密钥以保证通信的私密性。如果这个由QKD传输过来的密钥确实来自身份可信的通信方（即经过身份认证的），那么该密钥也可以为对称密码提供通信完整性和身份认证功能。但是QKD本身不能提供通信客户的身份认证。因此，客户身份验证还得需要使用非对称密码或预置的密钥来提供身份验证。更重要的是，通过抗量子密码技术(PQC)可以取代QKD为通信提供保密性服务，而且PQC通常成本较低廉又风险可控。

2）量子密钥分发需要专用设备。 

QKD基于物理原则，其安全性基于特定的物理层通信。这要求用户租用专用的光纤连接或物理控制的自由空间发射器。它不能通过软件或网络服务来实现，它也不能轻松地集成到现有的网络设备中。由于QKD是硬件系统，因此它必然缺乏安全补丁和系统升级的灵活性。

3）量子密钥分发增加了基础架构成本和内部风险。 

QKD网络经常需要使用“可信任中继”，这会增加安全设施的建设和使用成本，而由此产生的内部威胁带来了严重安全风险。这就注定了在许多实用环境中QKD没有立足之地。

4）确保和验证量子密钥分配的安全性是一个重大的挑战。 

QKD系统提供的实际安全性不可能来自物理定律的理论无条件安全性（后者只是数学建模的结果），它更决定于由硬件和工程设计提供的有限的安全性。但是，密码安全对不确定性的容忍度要比大多数物理工程方案小很多个数量级，因此QKD安全性验证很难通过。用于执行QKD的特定硬件会引入漏洞，从而导致对商业QKD系统的一系列广为人知的黑客攻击。

5）量子密钥分发会增加拒绝服务(DoS)的风险。

作为QKD安全的理论基础是对窃听行为的敏感反应，由此可知拒绝服务(DoS)攻击必然是QKD的死穴。

结论

总之，NSA将抗量子加密技术(PQC)视为比量子密钥分发更具成本效益的且易于维护的解决方案。由于所有以上的这些原因，NSA不支持使用QKD或QC来保护通信除非克服了这些限制，否则不会期望对美国国家安全系统(NSS)客户使用的任何QKD或QC安全产品进行认证或批准。

责任编辑：lq