||
本期问题速览
5. 量子通信与量子密钥分发是什么关系?
6. 怎样理解量子密钥分发的“无条件安全性”?
7. 量通宣传公钥加密方式RSA在量子计算机时代将能够被轻易破解,所以量子密钥是一个需要迫切发展的技术以防患于未然,如何看待这样的观点?
8. 虽然面对很多批评,但是量通认为只要在密钥分发环节上,量子手段优于传统密钥分发手段,就值得发展这个技术方向,如何看待这个观点?
第二期
5. 问:量子通信与量子密钥分发是什么关系?
答:按照一般人理解的通信,如果仅仅从量子通信这个字面上进行联想,量子通信究竟做了什么似乎呼之欲出。但非常可惜,那是错得离谱的错觉。相当长一段时间,量通的宣传特意将量子通信(QC)与量子密钥分发(QKD)的界限模糊化,让几乎所有人甚至包括信息安全领域的专家也产生错觉,直到科学界反对的声音出现。
现在越来越多的人开始认识到,曾经发生误解的量子通信其实只是量子密钥分发,只是广义的量子通信下面的一个分支而已,量通其实并不能采用量子的方式对信息进行加密,真正的加密算法仍然是传统的密钥加密,所不同的不过是采用了量子方式传送过来的量子密钥(QK)而已。讲真的话,量通如果单纯采用量子的方式,连一个bit的有用信息都发送不出去。
只看格林兰岛的名字就误以为遍地鸟语花香,只看冰岛的名字就以为四处冰天雪地,这种望文生义的错觉,有时候就会被有心人充分利用起来。当人们错把QKD当做QC的时候,也就误把冯京当马凉,以为量通干的活是采用特殊的量子加密的方式,将信息以最高安全等级发送出去,利用人们对于量子的一知半解,对量通的安全承诺产生无条件的信任感,甚至觉得这个东西用在国防上都是镇国之宝。
但凡多花点时间看看普通人对于量通文宣的高调点赞,就知道他们所臆想的量通与实际的量通相差有多遥远。笔者请教过一些知名的量子专家,即使他们知道量通其实就是QKD,但是也一直误以为国内量通实现的QKD采用的是量子纠缠模式(实际采用的是偏振模式),误解如此之深,连专家也难免入道,更不用提毫无分辨能力的普通人了,这就是量通要达到的目标,也确实达到了这个目标。
按照墨子文对量子通信的定义[1],其中包括量子密钥分发和量子隐性传态两个领域。这个定义是否权威,恐怕还有很多争议,通常比较有把握的看法是量子通信涵盖的范围包含不仅限于上面两个分支,还在不断扩展中。
6. 问:怎样理解量子密钥分发的“无条件安全性”?
答:现代密码学里面,信息安全采用的加密的技术手段通常是密钥的方式,当然除此之外还有其它形式,比如我们网络安全经常采用的物理隔离,也是信息安全常用的方式。
对于密钥形式的加密解密手段,很早就由香农证明了异或加密体制下,当满足一次一密、明文密钥等长、密钥充分随机三个充要条件时,密文是不可破解的,因为破解的结果是非确定的、发散的。从这个意义上来说,人类已经证明了一个“完美”的加密机制。但是密码学里面不存在“无条件安全性”的概念,那只是一个情怀,根本不可能是一个严谨的科学定义,也更谈不上有什么证明,香农的算法也需要至少满足三个充要条件,缺一不可。
量通的“无条件安全性”是以算力为基本思想,是与密钥加密的密文需要强力破解相比较而言的,他们认为只要保证最强大的算力也无法破解密文就是无条件安全。
在参考[7]中,潘院士对这种“无条件安全”做了解读,他认为以复杂性算法为基础的经典密码,都是理论上可以被破解的。遗憾的是,这种说法是完全错误的,香农的证明已经很好地反驳了这个理念。令人不解的是,同样是量通,也往往举出香农的证明来宣传量通的无条件安全性是得到了证明的。一方面贬低传统加密算法都是可破解的,一方面又说存在不可破解的加密体制,我无法调和量通这两种截然相反说法之间的矛盾。另外2012年图灵奖获得者莎菲.戈德瓦瑟也在视频中提出来一些算力不可破解的加密例子。我希望量通专家虚心听取一下这方面专家的不同意见,在这个领域里面,量通专家一点也不专业,不要提出一些自己都不知所云的新概念,那些东西禁不起任何专业知识的审视,只是凸显自己专业知识的贫乏。
将信息安全仅仅局限在算力破解的范畴内是非常狭隘的,依照这样的思想,只要提供足够的算力,比如量子计算机,通过遍历密钥空间就能够破解所有密文,传统密码体系就会崩溃,这是对密码学的严重误解,不具有科学的严谨性,不可能获得任何信息安全领域专家的认同。很简单,如果明文就是一串无语义关系的数字或者字符串,或者破解结果出现发散的情况,强力破解根本不可能奏效。
令人感到讽刺的是,量通采用的BB84协议属于物理操作序列,发送的只是密钥,真正进行加密解密操作的仍然是传统的加密算法,密钥分发过程只是物理操作,根本不存在密码学意义的算法,破解量通的方法也与算力无关。所以完全不能理解量通强调算力,究竟跟它有什么实质关系?要说有关系,也是算力与传统加密算法的关系。
事实上,破解量通的方法根本不是从破解普通光纤上的密文着手,而是直接面对量子通道里面发送的密码明文,这完全不需要基于算力,而是基于物理过程序列。
量通的“无条件安全”根本就是个噱头,将这个看起来美妙无比的光环套在自己的头上,却从来没有给出任何一个有效的证明。有时为了强调这个主张的权威性,明明干的是量子的活,却拿出传统密钥的香农定理为自己的结论背书,将两件风马牛不相及的事情硬捏合在一起,要多拧巴就有多拧巴,需要多强大的内心才能不被这种显然的错位所扭曲,严谨的信息安全专家是完全无法理解这些的。
其实可以这样反过来想,对于普通人来说,算力跟信息安全程度直觉上的相关性还是很强的,如果量通不断强调算力,就会让人联想到量通可能是做加密解密的工作,只有发生这样的误解,各种文宣的操作才变得更有成效。可以看出来,量通把文宣也当作一个系统工程来做了,可惜能够清醒识别到这些的人真的太少了。
7. 问:量通宣传公钥加密方式RSA在量子计算机时代将能够被轻易破解,所以量子密钥是一个需要迫切发展的技术以防患于未然,如何看待这样的观点?
答:量通QKD协议的局限性限定了密钥分发只能在已知的用户之间进行操作,要求发送和接收两端同时拥有专用的量子通道和发送接收设备,QKD是纯粹点到点之间的协议,并且还不允许中间有任何中继器、交换机、路由器,现实中并不可能具有这样条件的用户。如果放宽尺度,就算允许量通在信道内接入所谓可信中继器(其中引入的巨大安全风险这里不展开谈),那么也仍然是属于确定用户之间的密钥分发。
暂且不谈RSA安全性的真实性,退一步讲,假如RSA面临安全性风险,需要其它技术手段来替代,那么既然量通渲染他们是拯救这个密码危机的救世主,一定能够挺身而出,承担RSA原来所起的作用,可惜这种幻想是错误的。
用户之间的密钥分发工作究竟采用何种加密体制取决于用户的类型。对于确定性的用户之间,他们之间会定期发送密钥,典型的就是一般金融机构的KDC之间密钥分发。这种确定性用户之间的密钥分发工作既可以采用非对称加密方式,也可以采用对称加密方式,没有什么特别的限制,当然如果量通一定要说RSA可能存在不安全的因素,那么KDC之间采用对称加密方式就是了,量通再怎么烘托密码危机的氛围,也不敢说对称加密也存在危机,因为第一,香农定理已经证明对称加密是可以做到绝对不可破解的;第二,量通的普通信道上就是采用对称加密方式来加密信息的,自己的刀绝对不能削了自己的把。
RSA主要用于非确定性用户之间密钥分发工作。当两个陌生人之间需要进行保密通讯的时候,首先在一个用户端生成对称密钥,并通过公钥系统加密后,发送给通信的对方,此后,两用户之间就可以通过对称密钥进行保密通讯。这种应用情景最典型的就是我们日常的互联网和移动应用。
非确定性用户之间只能采用公钥体制进行密钥分发,你不可能期待任意两个陌生人之间都能通过量子通信线缆直连,中间还不能有路由器和分组交换机,这样的组网方式连一点存在的可能都没有。这类用户之间的保密通讯,量通这盘大菜根本端不上桌,所以让人感到他们如此大声宣讲RSA不安全,岂不是显得太滑稽了,You can you up啊!
况且,公钥体制又不是RSA唱独角戏,候选的角色太多了,今天RSA不好用,明天全世界就能重新下载个插件换个新方法,你让量通试试能不能一夜之间换个玩法?
用硬件的方法来解决软件能够轻易解决的问题,这在IT界、在密码学领域都是愚不可及的想法,违背最基本的科学技术发展的方向。二十几年前计算机里面还有硬件加密卡和汉卡来支持信息加密和汉字输入输出,现在还有谁的机器里面有这些古董?
RSA的加密原理很简单,就像哥德巴赫猜想一样貌似谁都能解决这个问题。量通显然轻看了解决这个问题的困难程度,他们寄希望于量子计算机的突破。但是他们其实内心里比谁都知道,迄今为止,虽然量子学界闹哄哄今天说做出来几十个量子比特,明天说马上就要实现量子霸权,可是他们从来没有主动说出来,他们说的那些个量子比特根本就不是量子计算理论里面的量子比特,量子计算机的量子比特现在都称之为逻辑量子比特,而所有量子计算机的理论包括量子霸权所指出的50个量子比特都是这个逻辑意义上的量子比特。现在世界上最先进的实验室里,连一个逻辑量子比特都没有做出来,更不要谈十几年后就会做出来什么量子计算机了,那个目标现在离我们远得连影子都看不到,搞不清楚量通专家为什么对量子计算机的问世这么自信,是不是唯有此才能制造出来黑云压顶的危机感?量通未雨绸缪的提前量打得未免太多了,不知道等到量子计算机问世的时候,那些量通设备是否已经锈成了渣,成为博物馆的出土文物?
量通渲染RSA危机,在早期是因为他们对密码学知识的理解实在太皮毛,所以没有意识到,RSA的角色量通根本无法扮演,等到开始做工程实施的时候,才发现面向用户的最后一公里组网,他们完全无法完成。于是他们想出来的着法就是通过量子手段,从远程到本地之间协商出来大量密钥并囤积起来,美其名曰量子密钥QK(有关囤积QK的问题后面还会讨论),似乎这些自带仙气的QK具有某种魔法,能比本地生成的密钥加密出来的密文安全度更高。
我承认我有点幸灾乐祸地冷眼观看量通如何将他们囤积的QK分发给两个陌生的用户,毕竟他们承诺几年内将量通普及到千家万户。如果不用明文发送这些囤积的QK,他们就得发明一种非公钥的新加密体制用来分发密钥,这种新体制还只能利用现成的网络系统。如果量通确实做到了这些,那倒还真的是密码学界的一大突破,获得个图灵奖肯定没有问题。令我感到好奇的是,尽管量通宣称已经有了那么广泛的商业应用,但他们从来不愿意告诉大家这最后一公里的密钥是怎么发送出去的?这些过程目前可都是谜团,量通专家不妨给大家普及一下这方面信息安全的知识,我可以保证能够听懂这方面知识的听众足够多,想要在这个环节一直保持模糊状态除非什么都不做。
8. 问:虽然面对很多批评,但是量通认为只要在密钥分发环节上,量子手段优于传统密钥分发手段,就值得发展这个技术方向,如何看待这个观点?
答:这样的观点恰恰将量通专家对于信息安全理解的片面性暴露得清清楚楚。信息安全从来都是需要从全局的角度来衡量,需要遵循木桶原理。城池都是从最薄弱处被攻破的,这个道理连普通人都懂。
在之前,量通通过各种文宣渲染危机,模糊化他们实际所做的工作,所以一般人甚至包括专业人士都以为量通真的是对通信系统采用量子的方式进行加密,但是在反对者不断纠正的声音中,量通不得不承认他们只是做了密钥分发的工作。
那么传统密钥分发是否存在这个薄弱环节?
密钥分发其实有两种类型,第一种是确定性用户间分发密钥,也就是 Alice和Bob都是固定的通讯伙伴,比较典型的就是银行KDC之间;第二种是不确定性伙伴之间分发密钥,典型的就是互联网和移动用户之间。
对于第一种类型,可以事先预置对称密钥,通过对称加密的方式进行密钥分发,甚至都不直接分发密钥,而只是发送无意义的随机数,由Alice和Bob根据随机数各自算出密钥。无论采用哪种方式,密钥分发的安全性都不低于量通的密钥分发手段,因为很简单的道理,只要采用了所谓的可信中继,量通的密钥也是采用经典的对称加密算法发送的。虽然量通的量子通道能够协商出来密钥,姑且不谈这个量子通道的安全性(这个通道恰恰是更不安全的),要想分发这个密钥,仍然需要采用传统的对称加密的方式进行加密传输,这就跟传统的加密方法没有什么不同,又何谈量通密钥分发安全性更高?这么简单的道理理解起来很难吗?
对于第二种方式,属于临时通讯加密,只能采用非对称加密方式分发密钥,这种情况下量通的机制在理论上就已经根本不可能提供任何支持。
在IT行业里,网络协议设计是最复杂的设计工作之一,需要全面考虑各种复杂的情况,覆盖所有可能的应用情景,只要想想5G标准制定引起这个世界多大的风波,就知道这里面从来就没有简单的工作。
BB84协议是也只能是一个点对点网络协议,它的设计并非出自网络专家之手(当然也不是出自信息安全专家之手),完全没有能够理解网络协议设计需要关注的诸多内容,因此是非常粗糙简陋的设计,如果评分的话,开根号乘10也达不到IT行业网络协议设计的及格水平。这样一个协议从来就不是一个“完成”状态的协议,从根子上根本不具备任何组网的发展前景,任何组网的企图也都将破坏基本的安全前提,所以只能算是实验室里面拍脑袋捣鼓出来的东西。
只要稍微思考一下就能够知道,类似BB84这样双通道模式设计出来的密钥分发协议,实际隐含一个应用原则:“谁分发密钥,谁消费密钥”,这个原则在实验室点对点密钥分发环境下倒不是什么致命的问题,可惜量通专家从来没有意识到,也没有能力总结出这样一个技术限制。他们的潜意识里面想当然认为点对点环境下的密钥分发协议,可以推而广之地应用在普通网络环境下,跟普通情况下的密钥分发没有什么不同,密钥的分发与使用是可以分割开来的。
就是因为这个错误的认识,使得量通专家认为只要保证密钥分发环节是安全的,量通存在的理由就具有说服力,至于这些密钥究竟由谁来使用是与安全性无关的。所以他们认为采用囤积QK的方式,通过给各种用户提供安全度更高的密钥,就能获得更高的信息安全水平。
这种想法愚不可及,可以用一个简单的例子来说明。比如上海本地一些用户想要使用一些密钥来加密信息,那么通过量通手段在北京和上海之间一站一站协商传送过来密钥,或者直接就在上海本地生成这些密钥,哪一种更安全一些?不言而喻,后者连密钥协商传输过程都不存在,当然不可能存在涉及到协商与传输过程的安全问题,相比较量通来说反而是无限安全的。
BB84的点对点协议与可组网协议不是处于一个技术进化层次,量通的密钥分发不存在有价值的应用场景,囤积QK也将造成新的安全问题,后续的问答环节将进一步讨论这方面的问题。那么有什么理由花着工程建设成本,带着安全风险将密钥从北京分发到上海?那种认为量子手段优于传统密钥分发手段的观点应该休矣。
参考资料:
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-12-21 22:09
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社