ALICEBOBpolarized photons (BB84)eavesdropping is mathematically detectableinformation-theoretic security, narrow practical use

הפצת מפתח קוונטי

11 דקות קריאהקריפטוגרפיה

חלוקת מפתחות קוונטית משתמשת בפיזיקה קוונטית כדי לבסס סוד משותף בין שני צדדים עם זיהוי מובטח מתמטי של כל צוותת. זה נשמע כמו מדע בדיוני; זה עובד בפועל; והקהילה הקריפטוגרפית החליטה שזו לרוב התשובה השגויה לשימוש כללי. ההבנה מדוע מבהירה את הפער בין פיזיקה מגניבה לאבטחה שימושית.

גוף המאמר המלא מסופק באנגלית להלן.

חלוקת מפתחות קוונטית (QKD) היא סוג של פרוטוקולים המשתמשים במכניקת קוונטים ישירות כדי ליצור מפתח משותף בין שני צדדים. הדוגמה המצוטטת ביותר היא BB84, שהוצעה על ידי צ'ארלס בנט וג'יל בראסארד ב-1984. מערכות QKD מודרניות נפרסות בכמה תרחישי נישה; ההצפנה המרכזית הגיעה במידה רבה למסקנה שהצפנה פוסט-קוונטית (PQC) היא הדרך הטובה יותר קדימה להגנה מפני איומים מתקופת הקוונטים.

הרעיון הבסיסי

BB84 משתמש בפוטונים בודדים המקוטבים באחד מארבעה מצבים אפשריים (המייצגים שני בסיסים, כל אחד עם שני ערכים). השולח מעביר פוטונים; המקלט מודד אותם בבסיסים שנבחרו באקראי. שני מאפיינים מרכזיים של מכניקת הקוונטים הופכים את זה לשימושי:

  • משפט ללא שיבוט. לא ניתן להעתיק מצב קוונטי בצורה מושלמת. מצותת לא יכול ליירט ולשלוח מחדש מבלי להפריע למצב.
  • הפרעת מדידה. מדידת מצב קוונטי בבסיס "שגוי" הופכת את התוצאה לאקראית ומטרידה את המצב. ההפרעה ניתנת לזיהוי.

הפרוטוקול מחליף כמה פוטונים, חושף באילו בסיסים נעשה שימוש (על ערוץ קלאסי ציבורי), ומשווה תוצאות לעקביות מדידה. אם שיעור השגיאה מתחת לסף, הסיביות הנותרות יוצרות סוד משותף. אם מעל הסף, סביר להניח שהיה מצותת והמפתח נזרק.

Where QKD win

הטענה השיווקית: אבטחת מידע תאורטית. המפתח המשותף מאובטח מבחינה מתמטית מפני כל יריב חישובי, כולל מחשבים קוונטיים עתידיים. אין הנחה לגבי קשיות קריפטוגרפית.

זה נכון בגבולות היישום. QKD היא טכניקת ההצפנה היחידה המספקת אבטחה המבוססת על פיזיקה ולא על מתמטיקה. עבור יישומים שבהם הנחות חישוביות אינן מקובלות (מודיעין מדינת לאום בעל חשיבות גבוהה ביותר), QKD מושך.

היכן QKD מתקשה בפועל

  • דורש חומרה מיוחדת. מקורות צילום אופטיים בודדים. עולה עשרות אלפי דולרים לנקודת קצה.
  • Distance-limited. ללא משחזרים קוונטיים (שעדיין לא קיימים כחומרה ניתנת לפריסה), המרחק מוגבל לכמה מאות קילומטרים על סיבים. ניסויי QKD בלוויין הדגימו טווחים ארוכים יותר אך דורשים תשתית חלל.
  • נקודה לנקודה בלבד. אין ניתוב כללי; כל קישור QKD נמצא בין שתי נקודות קצה ספציפיות. קנה מידה לרשת דורש צמתים ביניים מהימנים המפענחים ומצפנים מחדש.
  • עדיין נדרש אימות. QKD יוצר סוד משותף אך אינו מאמת את הצדדים. ללא אימות קלאסי של נקודות הקצה QKD, אדם פעיל באמצע מביס אותה. האימות צריך סוד משותף מראש או PKI קלאסי.
  • התקפות יישום. הפיזיקה מוצקה; להנדסה היו התקפות צדדיות מרובות. התקפות מסנוור של גלאים, פיצול מספרי פוטון, התקפות משמרת זמן - מחקר אקדמי הוכיח שוב ושוב שמערכות QKD אמיתיות דולפות מידע.
  • קצב המפתח נמוך. סיביות לשנייה, לא גיגה-ביט. שימושי לרענון מפתח תקופתי; לא להצפנה בכמויות גדולות.

פסק הדין של קהילת ההצפנה

NSA, GCHQ, ורוב הקריפטוגרפים האקדמיים המליצו במפורש על הצפנה פוסט-קוונטית על פני QKD לשימוש כללי. הנימוק:

  • PQC עובד על תשתית קיימת עם שינויי תוכנה
  • PQC מדורג למקרי שימוש בסגנון אינטרנט
  • PQC האבטחה של שלב הקמת מפתח, לא למערכת הכוללת. עיין במאמר ההצפנה שלנו quantum.

    היכן ה-QKD פרוסה בפועל

    • בנקאות — כמה בנקים בשווייץ השתמשו ב-QKD על סיבים ייעודיים לעסקאות בעלות ערך גבוה, יותר כמדגמי מחקר מאשר אבטחה מעשית. לאלפי קילומטרים באמצעות לוויין.
    • יישומי הגנה ספציפיים מנקודה לנקודה - קישורים טקטיים לטווח קצר שבהם שתי נקודות הקצה ידועות.
    • רשתות מחקר - ערמות ניסוי באירופה, ארה"ב, אסיה. מדרגיות.

    Tסה"כ פריסת QKD מסחרית ברחבי העולם קטנה. השוק של ספקי QKD (ID Quantique, MagiQ, Toshiba, אחרים) הוא אמיתי אך מתמחה.

    Quantum networking והעתיד

    החזון לטווח ארוך יותר של "אינטרנט קוונטי" - רשתות שיכולות לנתב מידע קוונטי בין נקודות קצה שרירותיות ללא נקודות קצה שרירותיות - דרושות נקודות קצה קוואנטיות. מדידה). אלה עדיין לא קיימים כחומרה ניתנת לפריסה; התקדמות המחקר איטית אך מתמשכת.

    אם הרשת הקוונטית מבשילה, QKD הופכת שימושית יותר מבחינה מעשית. אפילו אז, אבטחה היברידית (PQC + QKD) היא בסבירות גבוהה יותר מפריסה טהורה של QKD. הקהילה הקריפטוגרפית הסתפקה בגישה המרובדת הזו.

שאלות נפוצות

האם QKD היא התשובה לאיומי המחשוב הקוונטי?
עבור רוב מקרי השימוש, לא - הצפנה פוסט-קוונטית כן. ל-QKD יש תחולה מצומצמת ומגבלות פריסה משמעותיות. סטנדרטיזציה של PQC באמצעות NIST יצרה אלגוריתמים מעשיים (ML-KEM, ML-DSA) שעובדים על תשתית קיימת. QKD נשאר פתרון נישה עבור קישורים פיזיים ספציפיים בעלי אבטחה גבוהה.
האם QKD נשבר?
לפיזיקה לא. יישומי QKD ספציפיים נפרצו דרך התקפות של ערוץ צדדי - עיוור גלאים, פיצול מספרי פוטון וכו'. הדפוס דומה לקריפטו קלאסי: אבטחה תיאורטית היא דבר אחד, אבטחת יישום היא דבר אחר.
עד כמה QKD יכולה להגיע?
על סיבים: בערך 100-300 ק"מ לפני שאיבוד האות הופך לאסור ללא הגברה. עם QKD מבוסס לוויין: מרחקים ארוכים יותר שהודגמו בניסוי. ללא משחזרים קוונטיים, בניית רשת דורשת צמתים ביניים מהימנים - מה שמקריב חלק מהבטחות האבטחה הקפדניות של QKD.
האם אני יכול לקנות מערכת QKD?
כן אם יש לך תקציב. ID Quantique, Toshiba, MagiQ Technologies ואחרות מוכרות מערכות QKD מסחריות. עלות: עשרות אלפים לזוג נקודות קצה, בתוספת סיבים ייעודיים ותחזוקה שוטפת. מקרי שימוש הם מיוחדים.
האם האינטרנט הקוונטי יחליף את האינטרנט הקלאסי?
לא. אפילו בתרחישים אופטימיים, רשת קוונטית משלימה את הקלאסי, לא מחליפה אותו. ההיבט הקוונטי מטפל בהפצת מפתח ובכמה פרוטוקולים ספציפיים; נתונים בכמות גדולה ממשיכים להשתמש בתשתית קלאסית עם ערוצים מאובטחים ב-PQC.
התפלגות מפתח קוונטית מוסברת: סודיות מבוססת פיזיקה וגבולותיה המעשיים