2020年11月18日，美國國家安全局發(fā)表了一篇關(guān)于量子密鑰分發(fā)和量子密碼術(shù)《Quantum Key Distribution (QKD) and Quantum Cryptography(QC)》的政策報(bào)告。

報(bào)告中的重要內(nèi)容如下：

概要

NSA繼續(xù)評估加密解決方案以確保國家安全系統(tǒng)中數(shù)據(jù)的傳輸安全。NSA不建議使用量子密鑰分發(fā)和量子密碼術(shù)來確保國家安全系統(tǒng)（NSS）中的數(shù)據(jù)傳輸，除非能解決以下這些技術(shù)困境。

量子密鑰分發(fā)的技術(shù)困境

1）量子密鑰分發(fā)只是部分解決方案。

QKD為加密算法生成所需的密鑰以保證通信的私密性。如果這個(gè)由QKD傳輸過來的密鑰確實(shí)來自身份可信的通信方（即經(jīng)過身份認(rèn)證的），那么該密鑰也可以為對稱密碼提供通信完整性和身份認(rèn)證功能。但是QKD本身不能提供通信客戶的身份認(rèn)證。因此，客戶身份驗(yàn)證還得需要使用非對稱密碼或預(yù)置的密鑰來提供身份驗(yàn)證。更重要的是，通過抗量子密碼技術(shù)(PQC)可以取代QKD為通信提供保密性服務(wù)，而且PQC通常成本較低廉又風(fēng)險(xiǎn)可控。

2）量子密鑰分發(fā)需要專用設(shè)備。

QKD基于物理原則，其安全性基于特定的物理層通信。這要求用戶租用專用的光纖連接或物理控制的自由空間發(fā)射器。它不能通過軟件或網(wǎng)絡(luò)服務(wù)來實(shí)現(xiàn)，它也不能輕松地集成到現(xiàn)有的網(wǎng)絡(luò)設(shè)備中。由于QKD是硬件系統(tǒng)，因此它必然缺乏安全補(bǔ)丁和系統(tǒng)升級的靈活性。

3）量子密鑰分發(fā)增加了基礎(chǔ)架構(gòu)成本和內(nèi)部風(fēng)險(xiǎn)。

QKD網(wǎng)絡(luò)經(jīng)常需要使用“可信任中繼”，這會(huì)增加安全設(shè)施的建設(shè)和使用成本，而由此產(chǎn)生的內(nèi)部威脅帶來了嚴(yán)重安全風(fēng)險(xiǎn)。這就注定了在許多實(shí)用環(huán)境中QKD沒有立足之地。

4）確保和驗(yàn)證量子密鑰分配的安全性是一個(gè)重大的挑戰(zhàn)。

QKD系統(tǒng)提供的實(shí)際安全性不可能來自物理定律的理論無條件安全性（后者只是數(shù)學(xué)建模的結(jié)果），它更決定于由硬件和工程設(shè)計(jì)提供的有限的安全性。但是，密碼安全對不確定性的容忍度要比大多數(shù)物理工程方案小很多個(gè)數(shù)量級，因此QKD安全性驗(yàn)證很難通過。用于執(zhí)行QKD的特定硬件會(huì)引入漏洞，從而導(dǎo)致對商業(yè)QKD系統(tǒng)的一系列廣為人知的黑客攻擊。

5）量子密鑰分發(fā)會(huì)增加拒絕服務(wù)(DoS)的風(fēng)險(xiǎn)。

作為QKD安全的理論基礎(chǔ)是對竊聽行為的敏感反應(yīng)，由此可知拒絕服務(wù)(DoS)攻擊必然是QKD的死穴。

結(jié)論

總之，NSA將抗量子加密技術(shù)(PQC)視為比量子密鑰分發(fā)更具成本效益的且易于維護(hù)的解決方案。由于所有以上的這些原因，NSA不支持使用QKD或QC來保護(hù)通信除非克服了這些限制，否則不會(huì)期望對美國國家安全系統(tǒng)(NSS)客戶使用的任何QKD或QC安全產(chǎn)品進(jìn)行認(rèn)證或批準(zhǔn)。

責(zé)任編輯：lq