概要

美国国家安全局 (NSA) 持续评估使用密码学解决方案来保障国家安全系统 (National Security Systems，NSS) 数据传输的安全性。除非克服以下限制，否则 NSA 不建议使用量子密钥分发（quantum key distribution）和量子密码学（Quantum Cryptography）来保障国家安全系统 (NSS) 的数据传输安全性。

什么是量子密钥分发（QKD）和量子密码学（QC）？

量子密钥分发利用量子力学系统的独特属性，通过专用技术生成和分发加密密钥材料。量子密码学则运用相同的物理原理和类似技术，通过专用通信链路进行通信。已发表的理论表明，物理学原理使得量子密钥分发或量子密码学能够检测到窃听者的存在，而这是标准密码学所不具备的功能。

抗量子算法已在现有平台上实现，其安全性源于数学复杂性。这些用于密码协议的算法能够确保传输的机密性、完整性和认证——即使面对未来潜在的量子计算机。美国国家标准与技术研究院 (NIST) 目前正在开展一项严格的遴选流程，以确定用于标准化的抗量子（或后量子）算法¹。NIST完成遴选流程后，美国国家安全局 (NSA) 将通过 CNSSP-15 发布更新指南。

了解 QKD/QC 的故事

量子密钥分发和量子密码技术的供应商以及媒体有时会基于理论做出大胆的断言，例如，声称这项技术能够基于物理定律提供“有保障的”安全性。然而，在使用量子密钥分发/量子密码技术时，通信需求和安全要求在物理层面上存在冲突，而平衡这些根本性问题所需的工程技术对误差的容忍度极低。因此，量子密钥分发和量子密码技术的安全性高度依赖于具体的实现方式，而非由物理定律所保证。尽管为了简化下文讨论，我们仅以量子密钥分发为例，但类似的论断也适用于量子密码技术。

技术限制

量子密钥分发（QKD）只是部分解决方案。QKD为加密算法生成密钥材料，从而提供保密性。如果能够确保原始 QKD 传输来自目标实体（即实体源认证），则此类密钥材料也可用于对称密钥加密算法，以提供完整性和认证。然而，QKD 本身并不提供对 QKD 传输源进行认证的方法。因此，源认证需要使用非对称加密或预置密钥来实现。此外，QKD 提供的保密性服务也可以通过抗量子加密技术来实现，而抗量子加密技术通常成本更低，风险也更容易控制。

量子密钥分发（QKD）需要专用设备。QKD基于物理特性，其安全性源于独特的物理层通信。这要求用户租用专用光纤连接或物理管理自由空间发射器。它无法以软件或网络服务的形式实现，也难以集成到现有网络设备中。由于QKD基于硬件，因此在升级或安全补丁方面也缺乏灵活性。

量子密钥分发（QKD）会增加基础设施成本和内部威胁风险。QKD网络通常需要使用可信中继，这不仅会增加安全设施的成本，还会增加内部威胁带来的安全风险。因此，许多应用场景都被排除在外。

确保和验证量子密钥分发（QKD）是一项重大挑战。QKD系统提供的实际安全性并非理论上基于物理定律的无条件安全性（如模型所示和经常被提及的那样），而是硬件和工程设计所能实现的更为有限的安全性。然而，密码学安全性的容错能力比大多数物理工程场景要小几个数量级，这使得验证变得非常困难。用于执行QKD的特定硬件可能会引入漏洞，导致一些针对商业QKD系统的攻击事件广为人知。

量子密钥分发（QKD）增加了拒绝服务攻击的风险。QKD安全性声明的理论基础是系统容易受到窃听攻击，这也表明拒绝服务攻击是QKD面临的一项重大风险。

结论

总而言之，美国国家安全局 (NSA) 认为，与量子密钥分发 (QKD) 相比，抗量子（或后量子）密码技术是一种更具成本效益且更易于维护的解决方案。鉴于以上所有原因，NSA 不支持在国家安全系统中使用 QKD 或 QC 来保护通信，并且除非这些限制得到克服，否则 NSA 不打算认证或批准任何 QKD 或 QC 安全产品供 NSS 客户使用。

1参见csrc.nist.gov/Projects/post-quantum-cryptography

2例如，请参阅：

• Vakhitov、Makarov 和 Hjelme，《大脉冲攻击作为量子密码学中常规光学窃听的方法》，《现代光学杂志》48，2001 年。
• Makarov 和 Hjelme，《伪造状态攻击量子密码系统》，《现代光学杂志》，第 52 卷，2005 年。
• Ferenczi、Grangier、Grosshans，《连续变量量子密钥分发中的校准攻击与防御》，CLEO-IQEC，2007 年。
• Zhao、Fung、Qi、Chen 和 Lo，《针对实用量子密钥分发系统的时移攻击的实验演示》，《物理评论 A》第 78 卷，2008 年。
• Scarani 和 Kurtsiefer，《量子密码学的黑皮书：实际实现问题》，理论计算机科学（560）2014。