ALICEBOBpolarized photons (BB84)eavesdropping is mathematically detectableinformation-theoretic security, narrow practical use

Kvantnyckeldistribution

11 min lästKryptografi

Quantum Key Distribution använder kvantfysik för att etablera en delad hemlighet mellan två parter med matematiskt garanterad upptäckt av alla avlyssnare. Det låter som science fiction; det fungerar i praktiken; och det kryptografiska samhället har bestämt att det mestadels är fel svar för allmänt bruk. Att förstå varför klargör gapet mellan cool fysik och användbar säkerhet.

Hela artikeltexten finns på engelska nedan.

Quantum Key Distribution (QKD) är en klass av protokoll som använder kvantmekanik direkt för att generera en delad nyckel mellan två parter. Det mest citerade exemplet är BB84, som föreslagits av Charles Bennett och Gilles Brassard 1984. Moderna QKD-system används i vissa nischscenarier; mainstream kryptografi har till stor del kommit fram till att postkvantkryptering (PQC) är den bättre vägen framåt för att skydda mot hot från kvanttiden.

Grundidén

BB84 använder enstaka fotoner polariserade i ett av fyra möjliga tillstånd (representerande två baser, var och en med två värden). Avsändaren sänder fotoner; mottagaren mäter dem i slumpmässigt valda baser. Två nyckelegenskaper hos kvantmekaniken gör det här användbart:

  • No-cloning theorem. Ett kvanttillstånd kan inte kopieras perfekt. En avlyssnare kan inte avlyssna och skicka om utan att störa tillståndet.
  • Mätningsstörning. Att mäta ett kvanttillstånd på "fel" grund randomiserar resultatet och stör tillståndet. Störningen är detekterbar.

Protokollet utbyter några fotoner, avslöjar vilka baser som användes (över en offentlig klassisk kanal) och jämför resultat för mätningskonsistens. Om felfrekvensen är under tröskeln bildar de återstående bitarna en delad hemlighet. Om över tröskeln var det troligen en avlyssnare och nyckeln kasseras.

Där QKD vinner

Marknadsföringspåståendet: informationsteoretisk säkerhet. Den delade nyckeln är matematiskt säker mot alla beräkningsmotståndare, inklusive framtida kvantdatorer. Inget antagande om kryptografisk hårdhet.

Detta är sant inom gränserna för implementeringen. QKD är den enda kryptografiska tekniken som ger säkerhet baserad på fysik snarare än matematik. För applikationer där beräkningsmässiga antaganden är oacceptabla (högsta insatser nationalstaternas intelligens), QKD är tilltalande.

Där QKD kämpar i praktiken

  • Kräver specialiserad hårdvara. Enskilda optiska fibrer, dedikerade källor. Kostar tiotusentals dollar per slutpunkt.
  • Distance-limited. Utan kvantrepeaters (som ännu inte finns som utplacerbar hårdvara) är avståndet begränsat till några hundra kilometer på fiber. Satellit-QKD-experiment har visat längre avstånd men kräver rymdinfrastruktur.
  • Endast punkt-till-punkt. Ingen allmän routing; varje QKD-länk är mellan två specifika slutpunkter. Skalning till ett nätverk kräver pålitliga mellannoder som dekrypterar och omkrypterar.
  • Autentisering behövs fortfarande. QKD genererar en delad hemlighet men autentiserar inte parterna. Utan klassisk autentisering av QKD-slutpunkterna, besegrar en aktiv man-i-mitten den. Autentiseringen behöver en fördelad hemlighet eller en klassisk PKI.
  • Implementation attacks. Fysiken är solid; tekniken har haft flera sidokanalattacker. Detektorblindande attacker, fotonnummerdelning, time-shift-attacker — akademisk forskning har upprepade gånger visat att riktiga QKD-system läcker information.
  • Nyckelhastigheten är låg. Bits per sekund, inte gigabit. Användbar för periodisk nyckeluppdatering; inte för bulkkryptering.

Kryptogemenskapens dom

NSA, GCHQ och de flesta akademiska kryptografer har uttryckligen rekommenderat postkvantkryptering framför QKD för allmänt bruk. Resonemanget:

  • PQC fungerar på befintlig infrastruktur med mjukvaruförändringar
  • PQC skalar till användningsfall i internetstil
  • PQC:s säkerhet är baserad på matematiska antaganden som ser starka ut nyckeletableringssteg, inte till det övergripande systemet. Se vår quantum kryptografiartikel.

    Där QKD faktiskt används

    • Banklänkar — vissa schweiziska banker har använt QKD på dedikerad fiber för transaktioner med högt värde, mer som forskningsdemonstranter än praktisk säkerhet. till tusentals kilometer via satellit.
    • Specifika punkt-till-punkt försvarstillämpningar — taktiska kortdistanslänkar där båda ändpunkterna är kända.
    • Forskningsnätverk — testbäddar i Europa, USA, Asien och utforskar skalbarhet.

    Total global kommersiell QKD-distribution är liten. Marknaden för QKD-leverantörer (ID Quantique, MagiQ, Toshiba, andra) är verklig men specialiserad.

    Quantum-nätverk och framtiden

    Den långsiktiga visionen om "kvantinternet" — nätverk som kan dirigera kvantinformation mellan godtyckliga ändpunkter utan upprepade ändpunkter — skulle kräva (dequantum-tillstånd). mätning). Dessa finns ännu inte som utplacerbar hårdvara; Forskningsutvecklingen går långsamt men pågår.

    Om kvantnätverk mognar blir QKD mer praktiskt användbar. Även då är hybridsäkerhet (PQC + QKD) mer sannolikt än ren QKD-distribution. Den kryptografiska gemenskapen har nöjt sig med detta skiktade tillvägagångssätt.

Vanliga frågor

Är QKD svaret på kvantberäkningshot?
För de flesta användningsfall, nej - post-kvantkryptografi är det. QKD har en snäv tillämpbarhet och betydande begränsningar för implementering. PQC-standardisering genom NIST har tagit fram praktiska algoritmer (ML-KEM, ML-DSA) som fungerar på befintlig infrastruktur. QKD förblir en nischlösning för specifika fysiska länkar med hög säkerhet.
Har QKD brutits?
Det har inte fysiken. Specifika QKD-implementeringar har brutits genom sidokanalattacker - detektorblindning, fotonnummeruppdelning, etc. Mönstret liknar klassisk krypto: teoretisk säkerhet är en sak, implementeringssäkerhet är en annan.
Hur långt kan QKD nå?
På fiber: ungefär 100-300 km innan signalförlust blir oöverkomlig utan förstärkning. Med satellitbaserad QKD: längre avstånd demonstreras experimentellt. Utan kvantrepeaters kräver att bygga ett nätverk pålitliga mellannoder – vilket offra några av QKD:s strikta säkerhetsgarantier.
Kan jag köpa ett QKD-system?
Ja om du har en budget. ID Quantique, Toshiba, MagiQ Technologies och andra säljer kommersiella QKD-system. Kostnad: tiotusentals per par ändpunkter, plus dedikerad fiber och löpande underhåll. Användningsfall är specialiserade.
Kommer kvantinternet att ersätta klassiskt internet?
Nej. Även i optimistiska scenarier kompletterar kvantnätverk det klassiska, men ersätter det inte. Kvantaspekten hanterar nyckeldistribution och vissa specifika protokoll; bulkdata fortsätter att använda klassisk infrastruktur med PQC-säkrade kanaler.
Quantum Key Distribution Explained: Fysikbaserad sekretess och dess praktiska gränser