2020年11月18日，美國國家安全局發(fā)表了一篇關于量子密鑰分發(fā)和量子密碼術《Quantum Key Distribution (QKD) and Quantum Cryptography(QC)》的政策報告。

報告中的重要內容如下：

概要

NSA繼續(xù)評估加密解決方案以確保國家安全系統(tǒng)中數(shù)據的傳輸安全。NSA不建議使用量子密鑰分發(fā)和量子密碼術來確保國家安全系統(tǒng)（NSS）中的數(shù)據傳輸，除非能解決以下這些技術困境。

量子密鑰分發(fā)的技術困境

1）量子密鑰分發(fā)只是部分解決方案。

QKD為加密算法生成所需的密鑰以保證通信的私密性。如果這個由QKD傳輸過來的密鑰確實來自身份可信的通信方（即經過身份認證的），那么該密鑰也可以為對稱密碼提供通信完整性和身份認證功能。但是QKD本身不能提供通信客戶的身份認證。因此，客戶身份驗證還得需要使用非對稱密碼或預置的密鑰來提供身份驗證。更重要的是，通過抗量子密碼技術(PQC)可以取代QKD為通信提供保密性服務，而且PQC通常成本較低廉又風險可控。

2）量子密鑰分發(fā)需要專用設備。

QKD基于物理原則，其安全性基于特定的物理層通信。這要求用戶租用專用的光纖連接或物理控制的自由空間發(fā)射器。它不能通過軟件或網絡服務來實現(xiàn)，它也不能輕松地集成到現(xiàn)有的網絡設備中。由于QKD是硬件系統(tǒng)，因此它必然缺乏安全補丁和系統(tǒng)升級的靈活性。

3）量子密鑰分發(fā)增加了基礎架構成本和內部風險。

QKD網絡經常需要使用“可信任中繼”，這會增加安全設施的建設和使用成本，而由此產生的內部威脅帶來了嚴重安全風險。這就注定了在許多實用環(huán)境中QKD沒有立足之地。

4）確保和驗證量子密鑰分配的安全性是一個重大的挑戰(zhàn)。

QKD系統(tǒng)提供的實際安全性不可能來自物理定律的理論無條件安全性（后者只是數(shù)學建模的結果），它更決定于由硬件和工程設計提供的有限的安全性。但是，密碼安全對不確定性的容忍度要比大多數(shù)物理工程方案小很多個數(shù)量級，因此QKD安全性驗證很難通過。用于執(zhí)行QKD的特定硬件會引入漏洞，從而導致對商業(yè)QKD系統(tǒng)的一系列廣為人知的黑客攻擊。

5）量子密鑰分發(fā)會增加拒絕服務(DoS)的風險。

作為QKD安全的理論基礎是對竊聽行為的敏感反應，由此可知拒絕服務(DoS)攻擊必然是QKD的死穴。

結論

總之，NSA將抗量子加密技術(PQC)視為比量子密鑰分發(fā)更具成本效益的且易于維護的解決方案。由于所有以上的這些原因，NSA不支持使用QKD或QC來保護通信除非克服了這些限制，否則不會期望對美國國家安全系統(tǒng)(NSS)客戶使用的任何QKD或QC安全產品進行認證或批準。

責任編輯：lq