李红雨：中国信息协会谈应对量子通信技术挑战，我有一些商榷意见

内容来源：观察者-科技

中美两国在经济和科技领域产生大量争端冲突的当口，美国国家安全局（National Security Agency，简写为NSA）在2020年11月18日在其工作网站上悄无声息地发布了一篇题为《Quantum Key Distribution (QKD) and Quantum Cryptography(QC)》[1]（《量子密钥分发（QKD）与量子密码（QC）》）（以下简称NSA报告）的政策性文章。这本是NSA提供给政府相关部门的简单技术分析总结报告，为美国国家针对这两方面技术发展与投资提供指导性性建议。

这篇报告非常简短，全文仅仅700余字，其中列出了五个QKD和QC尚未解决的关键性技术，并在文章的总结部分明确指出：

抗量子 (或后量子)密码学（简称PQC）是一种比QKD更经济、更容易维护的解决方案。除非QKD能够解决所提到的所有相关技术问题，否则NSA不支持使用QKD或QC来保护国家安全系统中的通信，也不会对任何QKD或QC安全产品进行认证或批准，供国家安全系统相关客户使用。

NSA是美国国家安全局的简称，是美国政府最大的情报部门，也是全世界单独雇佣数学博士、计算机博士及语言学家最多的机构。在信息安全领域，NSA是世界公认的权威性机构。

这个报告其实在美国并没有引起广泛关注，主要原因是此前美国并没有在这个领域进行广泛深入研究，更谈不上大规模的投资，因此这个报告就显得特别低调。有人偶然发现了这个报告并介绍到国内，引起了很大反响，更有人因此宣称，QKD&QC在美国的大幕尚未拉起就已落幕。

与美国的情况很不同，QKD在中国是一个很热门的话题。NSA这个报告事实上对QKD做了非常负面的评价，在国家层面，这个报告在论及的技术限制尚未解决的情况下，将能够有效阻止美国国家资金投入与此相关的技术产品的开发项目，这与中国的做法大相径庭。

正因为NSA在全世界信息安全领域具有的权威地位，这样一份报告的出台必然会引起尤其包括中国在内的相关领域专家的重视，这份报告从1月3日开始陆续在国内多个媒体和论坛上传播，1月26日，中国信息协会量子分会发表了题为《量子密钥分发的技术挑战及应对分析》[2] （以下简称协会报告）的报告，针对NSA提出来的五条技术限制一一作了分析与反驳。我并不确定协会报告是否属于中国量子通信领域专家们的权威性回复，但是这篇文章的撰写者包括了领域内众多的国内知名专家，相信这个报告本身在相当大程度上代表了中国量子通信领域的权威性观点。本文就是针对这两篇彼此观点相悖的报告做的再分析，为如何完整理解两篇报告的内容提供一个引申的参考。

顺便提一句，NSA报告的观点也并非第一次以政府报告的形式出现，早在2016年10月，英国国家网络安全中心（NCSC）就发布其针对QKD的技术观点白皮书，内中同样列举了与NSA报告类似的多项技术局限，并表明在这些局限性得到解决之前不建议使用；此外，2020年5月，法国国家网络安全局（ANSSI）发表有关QKD技术发展意见书，内容与NCSC基本相同。这三个重要国家的信息安全机构均以权威报告的方式，齐刷刷针对QKD技术发展持否定态度， 很难用偶然性来解释，由于这些报告是政府对各自国内产业发展的扶植指导性报告，也不适合用阴谋论来做解释，也与这几个国家目前QKD技术毫无进展的状况相符合，因此更需要理清其中的科学脉络，剥丝抽茧发现问题的真相。

NSA报告和协会报告的文章结构安排都是按照所提到的五个技术限制分别进行讨论，本文也将按照这个清晰的脉络进行对照分析，每一个问题的讨论结构是先附上协会报告的翻译，再附上NSA报告的英文原文，接下来针对两个报告的内容做进一步的分析。由于我们对协会报告的翻译有一些不同的理解，因此，当翻译存在一些需要商榷的地方时，我们也将自己的翻译附上，用作对照参考。虽然英文原文会对部分读者造成一定的阅读困难，但是也免去了很多读者查对NSA原文的麻烦，并且跳过英文片段对于阅读理解文章的内容并不构成障碍。

1）量子密钥分发只是部分解决方案

原文：

QKD generates keying material for an encryption algorithm that provides confidentiality. Such keying material could also be used in symmetric key cryptographic algorithms to provide integrity and authentication if one has the cryptographic assurance that the original QKD transmission comes from the desired entity (i.e. entity source authentication). QKD does not provide a means to authenticate the QKD transmission source. Therefore, source authentication requires the use of asymmetric cryptography or preplaced keys to provide that authentication. Moreover, the confidentiality services QKD offers can be provided by quantum-resistant cryptography, which is typically less expensive with a better understood risk profile.

协会报告的翻译：

QKD可为提供机密应用的加密算法生成密钥。这样的密钥也可以结合对称密码算法提供完整性和认证等应用，但是QKD系统的运行需要预置密钥或应用公钥密码提前认证。QKD的功能都可以通过抗量子计算的密码（QRC，也常称为“后量子密码”，本文统一用PQC表示）来实现。而且PQC更加便宜，安全风险被理解的更清楚。

我们的翻译：

QKD为加密算法生成所需的密钥以保证通信的私密性。如果这个由QKD传输过来的密钥确实来自身份可信的通信方（即经过身份认证的），那么该密钥也可以为对称密码提供通信完整性和身份认证功能。但是QKD本身不能提供通信客户的身份认证。因此，客户身份验证还得需要使用非对称密码或预置的密钥来提供身份验证。更重要的是，通过抗量子密码技术(PQC)可以取代QKD为通信提供保密性服务，而且PQC通常成本较低廉又风险可控。

根据三个文本的对照，我们发现，不知道什么原因，原文中划粗体的地方在协会报告的翻译中漏掉了，不过你可以在我们的翻译部分同样划粗体的地方把漏掉的部分找回来。NSA第一个问题的核心内涵就是：QKD本身不提供信息完整性（即数字签名）和身份验证机制。对照两个版本的翻译，不难得出结论，缺少了这段话作为最关键的条件限制，协会报告中有关NSA的问题讨论就会变成另外一个问题，事实上也是如此。

信息完整性指的是信息从发送到接收过程不被篡改，任何修改过的信息都被接收方发现，采用的技术手段就是数字签名；身份验证就是保证无论信息的发送方还是接收方都是可信的，不能被仿冒，这需要身份验证机制。无论是完整性还是身份验证机制都需要复杂的算法来实现，绝无例外。

到目前为止，人类从现有的量子理论中还没有找到进行完整性验证和身份认证的技术手段，因此这方面的工作依然需要传统的密码加密技术。其实更进一步说，世界上所有QKD方案其实都不具有任何加密信息的功能，包括国内的QKD在内，它只负责给普通的加密算法提供一个随机数作为密钥，任何夸大QKD能起到加密作用的说法都是有意无意的误导视听。

身份验证为什么很重要，这很容易理解。比如你准备跟另外一个人进行保密通信，你如何确认对方是你想要通信的正确的对象？你们也不可能面对面交接信息，能够做到的就是你们两人之间持有仅仅在你们两人之间拥有的秘密信息，这个秘密信息当然不能直接在网上明文发送，那样的话，一个中间的窃密者就可以截取这个秘密信息，然后仿照其中一方代理转发甚至篡改相互通信的内容，这就需要用到一整套传统密码学里面复杂的身份认证机制。QKD因为不具有身份验证机制，所以QKD自己的技术手段，根本无法避免中间人的窃取行为发生，NSA报告对此提出严重质疑，这是无法回避的问题，更不能对此不加任何讨论。

我们注意到协会报告其实在第四节中提到安全认证和数字签名的量子版本有望实现，这可看作是对这个问题的回答。无论身份验证还是数字签名都是基于密码学中的加密算法，加密算法不存在容错机制，任何加密算法都强调复杂计算无差错的精确性，可惜的是，量子的特性就是不确定性，任何强调精确性的计算都不可能是量子理论范畴内可以解决的问题。目前为止，所有这方面的理论讨论都是不成功的，甚至我们连理论的门槛都没摸到，怎么可能奢谈有望技术实现？NSA就是全面考察了理论和技术现状提出来这个技术限制问题，协会报告在没有任何可信的论文和实践的前提下做出能够实现的承诺是不严肃的。

我们认为协会报告在这个问题的回应上有些跑题，但是我们还是愿意接下来再看看协会报告论及的其它观点是否有值得关注的地方，为便于理解，我们将报告的观点总结概括成以下几点：

QKD只负责密钥分发工作，信息加密还需要传统的加密算法来实现

QKD比PQC在长期安全性方面具有优势

NSA仅从传统密码系统角度片面理解QKD

MDI-QKD提供了对现实器件不完美性的免疫功能

身份认证采用PQC+QKD融合方案

总的来说，协会报告这个问题的讨论焦点落在PQC与QKD谁更安全的角度上了，虽然不是此问题的核心关注，但是仍然值得做一番讨论。

有必要首先澄清两件事情：

首先，PQC是加密算法，QKD是密钥分发，两者做的工作内容完全不同。PQC是真的给信息进行加密，QKD只是在信息发送和接收两者之间协商一个用来加密的随机数，QKD没有任何加密的能力，给信息加密仍然需要采用传统的加密算法，这也是为什么协会报告总是很隐晦地说QKD只能完成信息安全的部分工作。所以把PQC和QKD混在一起谈本来就是很不专业的，做菜的师傅怎么可能跟跑腿买菜的伙计放在一起作比较？

传统的密钥分发工作采用的就是经典的对称加密算法和非对称加密算法，有关密钥分发的安全性取决于加密算法本身，密钥分发从来不作为需要单独拿出来讨论的问题，因此在密码学里面从来没有什么独立的密钥分发安全性问题，这是个为QKD度身定做出来的伪问题。换句话说，PQC完全可以自己就承担密钥分发的工作，不需要QKD来参与，PQC的安全性就是密钥分发的安全性。做菜的师傅当然可以自己去买菜，但是只会买菜的伙计可干不了大厨的活。