都是非常權威的
英国情报部门所属国家网络安全中心发布的白皮书
2016年10月,隶属于英国情报安全总部(GCHQ)的国家网络安全中心(NCSC)发布了一份白皮书[1],建议撤销量子密钥分发技术(QKD)的发展
SAB主席、美国空军前首席科学家达姆(Werner Dahm)说。“这些技术可能具有巨大的潜力,但是实际上更多的是炒作,它们并没有实际效用。”
[1] 英国情报部门所属国家网络安全中心(NCSC)发布的白皮书
https://www.ncsc.gov.uk/whitepaper/quantum-key-distribution
[2] 美国空军科学顾问委员会关于量子信息技术分析报告(对外发布的摘要)
https://www.scientificadvisoryboard.af.mil/Portals/73/documents/AFD-151214-041.pdf?ver=2016-08-19-101445-230
[3] 日本量子信息技术专家的论文:量子密钥分发技术安全性的批判与展望
https://arxiv.org/pdf/1711.03617.pdf
=========================================
【文/ 观察者网专栏作者 徐令予】
为什么英美和日本等发达国家在“量子通信”的工程化和产业化进程中给人的印象是“起个大早赶个晚集”。关于这个问题一直以来都有不同的解读。本文将对英国情报部门的白皮书、美国空军的一份调研报告和日本科学家的一篇综述性论文作些介绍,为读者们分析上述问题提供一个全新的视角。“他山之石,可以攻玉。”“愚者千虑,必有一得。”在作重大技术决策时,多听听别人的声音多了解外人的想法这大概不会错吧?
所谓的“量子通信”不是一种新的通信技术,它甚至也不是一种新的密码技术,其实目前宣传的“量子通信”技术仅是密码技术中“密钥分发”的一种新方法。在正规严肃的文件和论文中都把它称为“量子密钥分发技术”QKD(Quantum key distribution)。本文在大多数情况下都会使用QKD这个标准术语。
英国情报部门所属国家网络安全中心发布的白皮书
2016年10月,隶属于英国情报安全总部(GCHQ)的国家网络安全中心(NCSC)发布了一份白皮书[1],建议撤销量子密钥分发技术(QKD)的发展。
点击查看大图
白皮书第一部份主要分析了QKD的技术局限性
1)QKD没有能力解决大部分的通信安全问题
QKD协议仅是密钥分发协商的一种新机制,供通信双方在数据加密解密时使用。而现代通信要求提供身份验证、数据完整性证明、网络信道建立、访问控制和自动软件更新等多样化的安全服务,通信安全更依赖于身份验证和完整性证明,而不仅是加密解密。
QKD技术不能取代传统公钥密码的灵活有效的认证机制。物联网(IoT)、大数据应用、社交媒体和云服务这些新技术对通信安全提出了更多更新的要求,对这一系列新的挑战QKD更是无能为力。
2)QKD系统在应用方面受到许多限制
相对较短的有效传输范围,以及BB84和其他类似协议都是点对点协议,这是QKD技术的两个致命弱点。这意味着QKD很难与互联网、移动互联网集成和融合。
一些研究人员试图将QKD通过“可信节点”与经典网络设备集成来解决这些问题。但这会立即使任何基于量子力学定律得来的“量子安全保证”归于无效,并且这些辅助网络设备会带来一系列新的安全隐患。
3)QKD系统工程不太可能具有经济效益
QKD本质上是一种纯粹的硬件方案,而硬件的获得和维护都相对昂贵。与传统密码使用的软件方案完全不同,硬件在升级或发现漏洞时无法作远程修补以降低维护成本。
白皮书第二部份着重分析了QKD的安全性
任何真实的QKD系统都将使用经典组件构建,例如光源、探测器、光纤、以及潜在的辅助经典网络设备,它们都可能存在安全的隐患。
已经在QKD的示范系统上进行了多种黑客攻击实验,这些攻击最后控制了系统中一个或多个硬件组件,从而在不触发警报的情况下获取了共享密钥。
与现代互联网或移动网络技术相比,QKD可能更难经受得住“拒绝服务”(DoS)的攻击。
QKD面临着一系列潜在的黑客攻击风险,对于这些攻击的细节和危害性我们尚未有充分的理解。英国目前对真实世界的QKD系统的漏洞缺乏系统深入的研究。应该鼓励开展这方面的研究,以建立一个有关攻击和防护QKD系统的全面完整的知识体系。
还应进一步研究如何准确评估工程设备的安全性,为QKD工程系统的安全性评估开发出量化的手段和标准。
白皮书第三部份主要分析了替代QKD的方案
学术界和工业界对开发“量子安全”或“后量子”(经典)公钥机制有了新的兴趣。而现有的公钥方案RSA、DSA和ECDH在未来大型量子计算机出现后可能会变得不安全,它们将被新一代的后量子公钥机制直接替代。
新的共识是,实现量子时代通信安全的最佳方案是:在采用后量子公钥密码技术的基础上,对目前使用的传统密码和基于分组交换的通信协议实施稳妥有序的更新和升级。后量子公钥密码技术的软件或固件应该更容易开发、部署和维护,工程项目的全周期总体成本会更低,并且比基于QKD的解决方案具有更高的安全性。
鉴于QKD仅只提供密码系统中密钥分发的功能,而现实世界的通信安全就仍然要依赖于传统公钥机制以满足设备和用户认证,以及软件更新等多种要求。对于现代通信安全而言,后量子公钥密码技术相比QKD应用面更广阔、性能更优越。因此,无论有无QKD,开展后量子公钥密码技术的研究对于保证未来网络安全都是必不可缺的。
白皮书第四部份作出了关于增强通信安全性的应对措施和方案
考虑到上述列举的所有实际情况、利弊得失和安全原因,我们的决定是:
不支持在任何政府或军事用途中釆用QKD方案
建议在商业应用中不要用QKD替换任何现有的公钥解决方案
对QKD的科学研究应该继续。但是,应该开展更多的对QKD工程的安全漏洞的研究,正反两个方向的研究必须同时进行且保持平衡。为客观检验QKD工程系统安全性,必须开发出量化的手段和标准。负责任的创新必须伴随独立的验证。
上述决定不会有改变,除非满足以下条件:
在实际QKD漏洞研究中获得经验并取得可量化的安全性验证手段基础上,建立起健全的QKD的商业标准;
商用QKD系统的全工程周期的总体成本可以有更可靠的估算方法。
我们鼓励研究开发后量子公钥密码技术,这是保护通信系统免受未来量子计算机威胁的更实际和更具成本效益的应对方案。尽管需要向后量子公钥方案过渡,但我们认为对当前系统升级的需要并不紧迫。一个稳妥且经过深思熟虑的升级过程将使研究人员有足够时间对最佳的后量子公钥协议达成共识。
白皮书的最后部分是结论
对量子密钥分发技术评估的结果是:
该技术在工程实施中存在诸多障碍和瓶颈;
该技术对于解决许多安全隐患无能为力;
人们对该技术潜在的安全隐患仍知之甚少。
相比之下,为了应对未来量子计算机的安全威胁,后量子公钥密码技术可以为现实世界中的通信安全提供更有效的解决方案。
美国空军科学顾问委员会关于量子信息技术的调研报告
无独有偶,2016年,美国空军科学顾问委员会(SAB)就量子信息技术的潜在影响进行深入的调研后形成了一份报告,该委员会是由50名科学家和研究人员组成的独立的联邦咨询委员会[2]。
SAB主席、美国空军前首席科学家达姆(Werner Dahm)在该报告问世前向外界透露:“评估研究进行了大约三分之一,很明显发现这个领域有很多的炒作。有不少人翻来覆去地说量子信息技术可能会出现奇迹”他说。“这些技术可能具有巨大的潜力,但是实际上更多的是炒作,它们并没有实际效用。”
该委员会资深成员兼技术和国家安全计划主任菲茨杰拉德(Ben FitzGerald)表示:量子信息是“下一代的下一代技术”的一部分,它对国防安全产生的影响可能还在遥远的未来。
该报告对外公布的摘要中的第四点非常明确指出:量子密钥分发技术显著增加了系统的复杂性,但不太可能在整体上增强通信安全性,它与最佳经典替代方案相比不具有什么优势。
量子通信效果不佳,SAB得出结论认为在该领域应该将资金用于其他技术的开发。
“这个结论对我来说非常令人惊讶,但这就是我们做这些[研究]的原因,”达姆又说。
以上是英国政府情报部门和美国军方对量子密钥分发技术的政策评估的主要内容。
我的一些看法。
1)这两份报告的结论是一致的,他们都认为量子密钥分发技术(即所谓的“量子通信”)对于保护现代通信安全没有战略实用价值,真正值得努力发展的应该是基于数学原理依靠软件实现的后量子密码技术。
2)这两份报告的结论当然值得关注。但是白皮书中分析和评估的方法比最后的结论更有价值。分析比结论更重要,掌握了科学化的数据采集和分析评估方法,有关部门就可根据自身国情独立地作出与时俱进的科学决策。
3)量子密钥分发技术的安全性分析是整个决策评估的关键。必须明白QKD的安全性在基础理论、应用技术和工程实施三个层面上是完全不一样的,这是引起许多分歧和误解的主要原因。量子密钥分发技术在理论上(在书本上)有可能是无条件绝对安全的;但是在应用技术层面(在实验室中)存在许多不安全因素;到了工程项目中(在实际使用中)它的安全性目前不如传统密码技术。希望媒体在宣传量子通信技术时再也不要用“无条件绝对安全”这种过份夸张的词汇来误导大众了,因为这不是科学事实,它过去不是、现在不是、将来也不是。对此我另有专文详细分析介绍。
4)英美情报和军方认定量子密钥分发技术在技术层面上存在许多不安全因素,我觉得这个结论与国际学术界的研究结果是一致的。美国和日本的量子信息领域的教授专家们就QKD的安全性在IEEE等期刊上发表了不少论文。在工程和应用技术层面,IEEE期刊往往比《自然》等杂志更具权威性。下面是2017年日本一位量子信息学教授的论文的结论[3]:
【量子密钥分发(QKD)吸引了许多研究人员,因为自1984年发明以来这是一种可行的分发密钥的方式。然而,在2009年,H. P. Yuen对其安全性产生了疑问,然后O. Hirota,K Kato,T. Iwakoshi 接着完成了Yuen的研究,并解释了为什么Yuen的说法是正确的。隨后,Yuen自己在2016年又发表了一篇论文,总结了他提出的批评,指出了QKD的安全要求与实际情况之间的差距。本文诠释了Yuen详细指出的问题,以及有关不同于QKD的其他协议研究的最新趋势。实际上,QKD的本身具有重要意义,它是使用量子力学保护通信安全的尝试的第一步。然而,Yuen已经澄清,QKD的安全性证明仍有问题,并且除了QKD之外他还提出了其他选择。作者认为,在QKD研究中获得的知识对其它协议也是有用的。如果研究人员仍然继续研究QKD,作者希望他们能够非常认真地对待Yuen的批评。】
5)英国情报部门没有把量子密钥分发技术的门全部关闭。注意,沒有战略价值不等于沒有科研价值,QKD的科学研究应该继续。白皮书强调QKD技术的研究应该正反两个方向同时进行,寻找和攻击QKD的安全漏洞应该放在更重要的位置。而且攻防研究必须有二个独立的团队来实施,这二个团队的经费来源、隶属关系必须完全独立,就像实战演练中拼力厮杀的红军和蓝军一样。英国不愧是老牌帝国主义,考虑问题确实周到老辣。
6)非常明显英美更关心和重视的是量子计算机而不是“量子通信”。如果说量子计算机是破坏通信安全之矛,那么量子密钥分发技术QKD就是保护通信安全之盾。如果认为QKD技术是无条件绝对安全的盾,英美明知对手有这种盾而自己却没有,但他们对此却不屑一顾,却天天使尽力气打造那支对敌无用、对己有害的矛,脑子不是真的进水了?世上难道真有如此愚蠢的阴谋家?这里只有一个合理解释,那就是英美心知肚明,量子密钥分发技术并不是无条件绝对安全的盾。
有一点需要声明,我只是借用阴谋论作逻辑推理,绝不是要证实阴谋论存在。对于各种阴谋论的夸大宣传我一直是反感的。在诸如量子计算机、“量子通信”和后量子密码学这些科学研究的前沿领域,各国科学家的合作远大于竞争。这其实正是我撰写此文的原因和基础。
量子, 密钥, 技术, QKD, 通信安全, 公钥