Когда мы говорим, что решение непрактичный, мы не имеем в виду, что это вообще не может работать; вместо этого мы имеем в виду, что он имеет серьезные недостатки по сравнению с другими способами решения той же проблемы. Например, можно на самолете съездить в гости к соседу, который живет в 100 метрах; мы все согласны с тем, что есть гораздо более простые методы, и поэтому использование самолета «нецелесообразно».
Проблема, которую QKD пытается решить, — это безопасная связь; то есть, как Алиса может отправить сообщение Бобу «безопасным» способом. Конечно, чтобы попытаться определить практичность, нам нужно будет рассмотреть другие возможные решения и их сравнение с решением КРК. В этом случае очевидные альтернативы включают полностью симметричную систему (например, систему, подобную Kerberos) и что-то, что использует постквантовую криптографию (например, классический McEliece и Sphincs+) [1].
Ход мыслей, который я обрисовываю ниже, является мнением большинства экспертов и должен сделать его относительно ясным.
Вот список некоторых основных моментов, в которых решения различаются:
Для работы QKD требуются определенные типы носителей.
На данный момент КРК может быть продемонстрирована только на короткой и средней протяженности (< 400 км) оптоволоконной связи и связи в свободном пространстве (наведение лазера на цель, находящуюся в пределах прямой видимости) [2]. Если ваша существующая сеть в значительной степени использует какие-либо другие носители (например, микроволновую печь, спутник, волоконно-оптический кабель на большие расстояния или Wi-Fi), вам придется переработать большую часть вашей сети (и удачи в попытках получить безопасное соединение). из, скажем, Лондона в Токио).
Напротив, альтернативные решения не имеют такого ограничения.
Каковы предположения безопасности?
Сторонники КРК часто заявляют, что «законы квантовой механики подразумевают теорему о запрете клонирования, поэтому ваши данные надежно защищены». Хотя первая часть, безусловно, верна, из нее не обязательно следует, что данные в безопасности. В конце концов, законы квантовой механики не доказывают, что ваше устройство КРК на самом деле работает так, как задумано, и не доказывают, что нет атак по побочным каналам (то есть атак, при которых противник использует информацию, выходящую за рамки абстрактной модели). дает злоумышленнику) доступным. Это предположения безопасности, которые должен сделать пользователь QKD (в дополнение к относительно безопасному предположению «QM - хорошее описание вселенной»). Теперь поставщики QKD знают об этом и пытаются обеспечить защиту — вам все равно нужно исходить из того, что они ничего не упустили. См., например, это статья из Реестра.
Когда мы смотрим на альтернативные решения, они основаны на сложности (то есть они предполагают, что вычислительная задача, которую должен решить злоумышленник, слишком сложна). На первый взгляд это может показаться более сильным [3] предположением; однако мы можем довольно дешево использовать переработанную криптографию (например, 5xAES256 или комбинацию AES-ChaCha-Serpent или McEliece с удвоенным размером матрицы); это, безусловно, имеет свою цену; однако гораздо меньшая стоимость, чем система QKD. Следовательно, я бы назвал этот момент ничьей...
Как вы планируете аутентифицировать обмен ключами?
Простой обмен ключами может защитить вас только от пассивных наблюдателей. Но противники в реальном мире, как правило, отказываются следовать нашим красивым идеализированным моделям атак. Если вам нужна (и нужна) защита от активных противников, которые могут проводить атаки типа «человек посередине», вам необходим обмен ключами с проверкой подлинности (см., например, Эта бумага). Как вы будете аутентифицироваться, учитывая, что не существует схемы квантовой подписи без магических предположений? У вас есть два варианта:
(1) С традиционной (вычислительно безопасной) схемой подписи. Но тогда вы отказываетесь от причины, по которой вы использовали QKD, а именно избегать вычислительные предположения. Если вы выберете вариант (1), то вам определенно следует подумать о том, чтобы просто запустить хороший классический аутентифицированный протокол обмена ключами с вычислительной безопасностью, например. один основан на LWE или предположениях теории кодирования. (*)
(2) С помощью короткого предварительно общего случайного ключа, жестко закодированного в устройстве производителем, а затем с использованием MAC-адреса Carter-Wegman и QKD для повторной генерации материала общего ключа по пути. Но тогда поздравляю: вы успешно заменили хорошо изученное допущение о вычислительной сложности предположение о надежной установке: предположение, что производитель - это вполне доверенная третья сторона, которая честно захардкочила равномерно случайным образом одинаковые ключи в устройства, и естественно не оставила никаких следов этого ключа, и не делилась им ни с кем другим. Если вы знакомы с криптографией, это должно прозвучать звоночком: избегание такого предположения о доверенной настройке является весь смысл криптографии в первую очередь. В этом случае я призываю вас учитывать, что «LWE безопасен» — это гораздо безопаснее предположение, что «мои производители совершенно честны, не жадны, не могут быть подкуплены, не будут хранить ключ или делиться им с кем-либо».
(*) Для полноты, есть два способа, которыми мы должны (1) немного смягчить: (а) можно было бы предпочесть идеальную конфиденциальность и компьютерную аутентификацию, поскольку первое действует вечно, а второе мгновенно; (b) подписи могут быть построены с помощью симметричной криптографии, и теоретически возможно, что симметричная криптография существует, а криптография с открытым ключом (необходимая для обмена ключами) не существует. Теперь это крошечное теоретическое окно, но если это то, чего вы боитесь, и вы готовы заплатить стоимость QKD, чтобы справиться с этим страхом, то технически это веская причина.
Что вы планируете делать с этим общим ключом?
QKD просто предоставляет ключ обеим сторонам; как мы можем использовать этот ключ для защиты сообщения (в чем, в конце концов, и заключается весь смысл этого упражнения)?
Если вы планируете использовать их для шифрования ваших данных с помощью AES, то вы снова делаете вычислительное предположение, и вы снова потеряли эту прекрасную идеальную конфиденциальность, которую обещал QKD. Итак, здесь снова вы платите цену QKD не за идеальную безопасность, а только за возможность полагаться на постквантово-симметричное предположение (например, «AES защищен от квантовых компьютеров») вместо предположения об открытом ключе. И, помните, одна из наших альтернатив уже полагалась только на это симметричное предположение.
С другой стороны, если вы используете сгенерированный QKD ключевой поток для прямого шифрования данных (надеюсь, с информационно-защищенным MAC), то мы столкнемся со следующей проблемой — системы QKD не такие быстрые. Теперь они становятся быстрее с течением времени, и, учитывая, что производительность является инженерной проблемой, а не ограничением, основанным на физике, кажется вероятным, что ускорение будет продолжаться с течением времени. Однако скорость, с которой они работают прямо сейчас, намного медленнее, чем скорость работы реальных сетей — это существенное узкое место в производительности.
Расходы
В настоящее время системы QKD дороги (стоимость снижается, однако они по-прежнему дороги). Напротив, альтернативные решения можно дешево реализовать на стандартном оборудовании.
Итог: альтернативы так же хороши или лучше по всем пунктам.
[1]: Третьей альтернативой, которую я решил не распространяться, будет «одноразовый блокнот». Я считаю, что это также непрактично; однако это может иметь значение по сравнению с OTP ...
[2]: Квантовая запутанность была продемонстрирована как доказательство концепции между землей и спутником, однако между тем, что у них есть, и практической пригодной системой, предстоит пройти долгий путь.
[3]: «Сильнее» означает «мы должны предполагать больше». В этом случае «сильнее» — это плохо — мы хотим, чтобы наши предположения о безопасности были как можно более слабыми.
