以下文章來源于中國信息協(xié)會量子信息分會?，作者中國信息協(xié)會

上期，我們對量子安全的豐富內容以束廣就狹、管中窺豹的方式進行了闡述。本期作為這個系列的最后一期，將對量子安全技術的應用場景、發(fā)展現(xiàn)狀和未來預期做一個簡述。

量子安全的大戲已經拉開劇幕，重頭戲也將紛紛上演。

本期，是康老師做客小盾課堂的最后一課

各位同學且聽且珍惜

量子計算可以說近幾年來占盡“眼球”和“先機”，保持著持續(xù)高速發(fā)展。2021年，中科大“九章2.0”及“祖沖之2.0”兩臺量子計算原型機更新了量子優(yōu)越性的世界記錄，也令現(xiàn)實量子計算機向著挑戰(zhàn)現(xiàn)有密碼體系更進了一步。與此同時，量子優(yōu)越性的達成也激發(fā)了經典算法的研究，谷歌“懸鈴木”2019年實現(xiàn)的量子優(yōu)越性已經受到了來自經典的超級計算機算法的反攻，這種精彩的“量子—經典”互動探索前所未見，提升了人類對計算能力的認知。

量子計算對現(xiàn)有公鑰密碼體系安全性的威脅，已經得到了廣泛認同。ICT行業(yè)在云、網、邊、端等各個環(huán)節(jié)，以及以云計算、大數(shù)據(jù)、人工智能、物聯(lián)網、區(qū)塊鏈等為代表的各類含密碼功能的新興應用，都存在被量子計算攻擊的廣泛可能性。因此，量子安全成為國際研究熱點及創(chuàng)新前沿也就順理成章了。從發(fā)展態(tài)勢上，基于新型數(shù)學難題的抗量子計算公鑰密碼算法PQC和基于量子物理的量子密碼技術QKD已經擔負起了抵御量子計算挑戰(zhàn)的重任。兩者看似有著一定的競爭關系，其實有著不同的發(fā)展路徑，面向不同的應用場景，還可以合作搭配、互為增長。例如在2020年，由中科大、上海交大、國科量子、國盾量子等單位組成的聯(lián)合團隊提出并在QKD網絡上實際驗證了基于PQC認證的“PQC+QKD混合型”量子安全解決方案。

01?數(shù)學之盾——PQC應用場景與發(fā)展現(xiàn)狀

后量子密碼（Post Quantum Cryptography）產生的歷史不短，1978年第一個基于糾錯編碼的具備抗量子特性的McEliece公鑰密碼算法就被提出了，時至今日，PQC的應用需求變得日益明確和緊迫，簡而言之，現(xiàn)在不具備量子安全能力的公鑰密碼應用到哪里，未來PQC就可能替代到哪里，用來保證密鑰生成、密碼管理、密碼服務的全過程都是量子安全的。

從現(xiàn)今密碼技術應用場景可知，PQC的應用場景非常廣泛，從技術層面就包括涉及終端設備的加密與認證，網絡基礎設施上的傳輸加密，云上數(shù)據(jù)中心的計算與數(shù)據(jù)安全，新型數(shù)據(jù)存儲與計算架構的區(qū)塊鏈應用等，不一而足。PQC應用推進牽涉面較廣，不僅涉及PKI等國家和企業(yè)運營的安全基礎設施，還涉及用戶側使用的密碼模塊、密碼軟件等軟硬件的變更。也正源于此，PQC密碼的標準化工作就尤為重要，這是PQC落地應用的第一步。在實現(xiàn)算法標準化后，才會到實際系統(tǒng)研發(fā)和基礎設施推廣建設階段，逐步形成產業(yè)規(guī)模。根據(jù)Inside Quantum Technology的一份最新報告，到2029年，PQC功能將嵌入到眾多設備和計算環(huán)境中，相關軟件和芯片的市場將增至95億美元。

PQC標準化過程中最受關注的是NIST（美國國家標準與技術研究院）主持的PQC算法篩選和標準化工作，各工作階段過程如上表所示，自2016年啟動以來，到2021年，進入了第三輪即計劃中最終輪階段，來自學術界和產業(yè)界的目光持續(xù)聚焦，令NIST倍感壓力。第三輪形成的標準候選名單包括七個入選算法和八個候補算法，七個入選算法如下表所示。候補算法的作用是若一個或多個入選標準到發(fā)布前最后一刻可能存在漏洞的報告被NIST所認可，則候補算法可能替代成為入選算法。雖然在2022年5月，NIST發(fā)聲說可能會在“現(xiàn)在的任何一天”發(fā)布其PQC標準清單，但近期一些針對入選算法的分析結果，可能會拖延他們的發(fā)布計劃。

2022年2月，IBM專家發(fā)表論文宣稱基于多變量密碼（MQ）的Rainbow簽名算法在其算法參數(shù)為安全等級為1的情況下，被筆記本電腦用53小時運行經典算法成功破解。2022年4月，以色列軍方又發(fā)布了一份長達54頁、內容豐富的技術報告《錯誤學習問題（LWE）的安全性報告：改進的雙格攻擊方法》，通過改進雙格攻擊方法能顯著降低上述3個NIST標準入選算法Kyber、Saber和Dilithium的安全級別，使其低于NIST規(guī)定的閾值。據(jù)NIST數(shù)學家Dustin Moody說，在第三輪篩選和審查結束之后，NIST還將啟動為期18-24個月的第四輪審查，有可能是在候補算法中進行再次遴選補位。

與此同時，IEEE、IETF、ETSI、ISO等國際標準化組織也在關注和持續(xù)研究PQC并編研發(fā)布了一系列文件。在標準化組織這些技術工作的基礎之上，政府密碼管理部門才能制定行動政策并依策行事。2022年5月，美國眾議院通過了一項立法提案——“針對量子計算的網絡安全準備行動法案”(The Quantum Computing Cybersecurity Preparedness Act)，以推動美國政府IT系統(tǒng)向抗量子密碼技術的遷移。該法案明確提出超越傳統(tǒng)計算能力的量子計算的快速發(fā)展使對手有可能用“現(xiàn)在存儲、未來解密”的方法依靠強大的量子計算機解密當前產生的密文數(shù)據(jù)，因此美國政府要制定IT系統(tǒng)向后量子密碼遷移的戰(zhàn)略，關注NIST主導的PQC標準化進程，評估不使用PQC會導致的安全風險。

02?量子之盾——QKD應用場景與發(fā)展現(xiàn)狀

自1984年第一個QKD協(xié)議BB84協(xié)議被提出以來，30余年來學者們提出了多種QKD及其它用途的量子密碼協(xié)議，時至今日，離散變量QKD方案中的誘騙態(tài) BB84協(xié)議成為其中安全驗證最成熟、應用最廣泛的協(xié)議，基于該協(xié)議的光纖量子密鑰分發(fā)設備已經實現(xiàn)較大規(guī)模商用。目前無中繼的現(xiàn)場光纖量子密鑰分發(fā)距離世界紀錄已達500km以上，實驗室紀錄已達800km以上；可融入現(xiàn)有通信及密碼系統(tǒng)的小型化和芯片化QKD終端正在成為產品新趨勢；世界范圍內，更多的能執(zhí)行量子通信任務的衛(wèi)星和地面系統(tǒng)已經被規(guī)劃設計出來。

英國政府發(fā)布的“量子時代的機會”研究報告中描繪了量子通信應用逐層推進的發(fā)展趨勢，如下圖所示，當前已基本完成量子通信的第一個階段——QKD網絡階段，以QKD和QRNG（量子隨機數(shù)發(fā)生器）在重點行業(yè)的應用推進為特征；正在邁向第二個階段——量子安全的互聯(lián)網階段，在此階段，量子安全將對ICT產業(yè)起到關鍵性的安全支撐作用，量子通信技術和設備將被普通用戶所應用；第三階段——量子互聯(lián)網將提升到量子中繼組網階段，從而實現(xiàn)端到端的全量子安全網絡。

在標準化方面，到2021年底，以ITU-T為代表的國際標準化組織已發(fā)布或通過QKD相關國際標準12項，我國通信標準化技術委員會已發(fā)布QKD相關行業(yè)標準3項，密碼行業(yè)標準化技術委員會已發(fā)布QKD相關行業(yè)標準2項。2021年，我國商用密碼檢測中心也對國內主流量子密鑰產品開展了檢測認證。

近年來，我國在QKD技術的遠距離、高速率、小型化、攻防驗證、共纖傳輸，及與經典密碼系統(tǒng)融合等方面取得了一系列創(chuàng)新成果，具備了自主可控的研發(fā)能力。商用產品也已進入規(guī)?；瘜嵱玫碾A段，如2021年中國電信發(fā)布了“天翼量子密話“，至今用戶規(guī)模已累計超過30萬；2022年5月，中國移動也發(fā)布了量子加密移動通信服務；同月，中國電信發(fā)布新一代量子安全高清通話服務“天翼量子高清密話”。

值得注意的是，并非只有中國在發(fā)展量子通信業(yè)態(tài)，在天地一體的廣域量子保密通信網絡方面，2021年7月，歐盟27個成員國已全部簽署歐盟量子通信基礎設施（EuroQCI）協(xié)議，由歐盟委員會協(xié)調地面部分建設，通過光纖通信網絡連接國家和跨境戰(zhàn)略站點，由歐空局（ESA）協(xié)調空間部分建設，基于衛(wèi)星連接整個歐盟和全球的國家量子通信網絡。2020年11月，韓國政府招標建設總長2000公里，覆蓋全國48個政府部門的QKD網絡，計劃建成中國之外規(guī)模最大的QKD網絡。

2016年以來，英國國家網絡安全中心（NCSC）、美國國家安全局（NSA）就QKD技術體系的局限和面臨的挑戰(zhàn)，如傳輸距離受限、成本高昂等發(fā)表過質疑性的觀點。這些質疑在工程技術層面已有解決方案，相關科研研究和驗證工作也都在推進，未來可得到進一步的完善和提升。2019年12月，美國國防部發(fā)布的《量子技術應用》研究報告指出，QKD能提供信息論安全性（Information Theory Security），但在產業(yè)化方面還存在挑戰(zhàn)，美國將繼續(xù)了解和跟蹤QKD在其他國家的發(fā)展和應用。2020年，NCSC對QKD的立場已發(fā)生了明顯轉變，認為“QKD可以在產業(yè)部門和關鍵國家基礎設施中使用”。最近歐洲老牌的量子技術公司IDQ對本文上述以色列軍方技術報告的報道中也認為“這是軍事領域密碼學家首次將QKD作為可能的解決方案。這是否會影響美國NSA和英國NCSC所持的反對使用量子技術來對抗量子威脅的態(tài)度呢？”

在課程的最后，我們也留下一個開放性的問題，對于各有長短的PQC和QKD技術，如何結合才能構建一個系統(tǒng)性的量子安全技術體系呢？或者說還需要有其他技術元素的加入？

完結

中國信息協(xié)會量子信息分會發(fā)布的《量子安全技術白皮書（2022年1月修訂版）》整理了2021年之前的PQC和QKD技術的主要發(fā)展情況，供大家參考；之后至今，量子安全技術又有了很多的進展。我們將持續(xù)跟蹤，并和大家繼續(xù)分享。