QKD คือคำตอบของภัยคุกคามทางคอมพิวเตอร์ควอนตัมหรือไม่

สำหรับกรณีการใช้งานส่วนใหญ่ ไม่ — การเข้ารหัสหลังควอนตัมคือ QKD มีการบังคับใช้ที่แคบและมีข้อจำกัดในการใช้งานที่สำคัญ การกำหนดมาตรฐาน PQC ผ่าน NIST ได้สร้างอัลกอริทึมที่ใช้งานได้จริง (ML-KEM, ML-DSA) ที่ทำงานบนโครงสร้างพื้นฐานที่มีอยู่ QKD ยังคงเป็นโซลูชันเฉพาะสำหรับลิงก์ทางกายภาพที่มีความปลอดภัยสูงโดยเฉพาะ

QKD เสียหรือเปล่า?

ฟิสิกส์ไม่ได้. การใช้งาน QKD เฉพาะเจาะจงถูกทำลายผ่านการโจมตีช่องทางด้านข้าง — การตรวจจับที่มองไม่เห็น การแยกหมายเลขโฟตอน ฯลฯ รูปแบบนี้คล้ายกับการเข้ารหัสลับแบบคลาสสิก: การรักษาความปลอดภัยทางทฤษฎีเป็นสิ่งหนึ่ง การรักษาความปลอดภัยในการใช้งานเป็นอีกสิ่งหนึ่ง

QKD สามารถเข้าถึงได้ไกลแค่ไหน?

บนไฟเบอร์: ประมาณ 100-300 กม. ก่อนที่สัญญาณขาดหายจะกลายเป็นสิ่งต้องห้ามหากไม่มีการขยายสัญญาณ ด้วย QKD ที่ใช้ดาวเทียม: แสดงให้เห็นการทดลองในระยะทางที่ไกลกว่า หากไม่มีเครื่องทวนควอนตัม การสร้างเครือข่ายจำเป็นต้องมีโหนดกลางที่เชื่อถือได้ ซึ่งทำให้การรับประกันความปลอดภัยที่เข้มงวดของ QKD บางส่วนลดลง

ฉันสามารถซื้อระบบ QKD ได้หรือไม่

ใช่ถ้าคุณมีงบประมาณ ID Quantique, Toshiba, MagiQ Technologies และอื่นๆ จำหน่ายระบบ QKD เชิงพาณิชย์ ราคา: อุปกรณ์ปลายทางคู่ละหมื่น พร้อมไฟเบอร์เฉพาะและการบำรุงรักษาอย่างต่อเนื่อง กรณีการใช้งานมีความเชี่ยวชาญเฉพาะทาง

อินเทอร์เน็ตควอนตัมจะเข้ามาแทนที่อินเทอร์เน็ตแบบคลาสสิกหรือไม่

ไม่ แม้แต่ในสถานการณ์ที่มองโลกในแง่ดี เครือข่ายควอนตัมยังช่วยเสริมความคลาสสิก ไม่ได้แทนที่มัน ด้านควอนตัมจะจัดการกับการกระจายคีย์และโปรโตคอลเฉพาะบางอย่าง ข้อมูลจำนวนมากยังคงใช้โครงสร้างพื้นฐานแบบคลาสสิกพร้อมช่องทางที่ปลอดภัยด้วย PQC

อธิบายการกระจายคีย์ควอนตัม: ความลับตามฟิสิกส์และขีดจำกัดในทางปฏิบัติ

การกระจายคีย์ควอนตัมใช้ฟิสิกส์ควอนตัมเพื่อสร้างความลับร่วมกันระหว่างสองฝ่ายด้วยการรับประกันทางคณิตศาสตร์ในการตรวจจับผู้ดักฟัง ดูเหมือนนิยายวิทยาศาสตร์ มันใช้งานได้ในทางปฏิบัติ และชุมชนการเข้ารหัสได้ตัดสินใจว่าส่วนใหญ่เป็นคำตอบที่ผิดสำหรับการใช้งานทั่วไป การทำความเข้าใจว่าเหตุใดจึงทำให้ช่องว่างระหว่างฟิสิกส์เจ๋งๆ และความปลอดภัยที่มีประโยชน์ชัดเจนขึ้น

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

Quantum Key Distribution (QKD) เป็นคลาสของโปรโตคอลที่ใช้กลไกควอนตัมโดยตรงเพื่อสร้างคีย์ที่ใช้ร่วมกันระหว่างสองฝ่าย ตัวอย่างที่ถูกอ้างถึงมากที่สุดคือ BB84 ซึ่งเสนอโดย Charles Bennett และ Gilles Brassard ในปี 1984 ระบบ QKD สมัยใหม่ถูกปรับใช้ในบางสถานการณ์เฉพาะ การเข้ารหัสกระแสหลักได้สรุปไว้เป็นส่วนใหญ่ว่าการเข้ารหัสหลังควอนตัม (PQC) เป็นเส้นทางที่ดีกว่าในการป้องกันภัยคุกคามในยุคควอนตัม

แนวคิดพื้นฐาน

BB84 ใช้โฟตอนเดี่ยวโพลาไรซ์ในหนึ่งในสี่สถานะที่เป็นไปได้ (แทนสองฐาน โดยแต่ละค่ามีสองค่า) ผู้ส่งส่งโฟตอน ผู้รับจะวัดพวกมันในฐานที่เลือกแบบสุ่ม คุณสมบัติหลักสองประการของกลศาสตร์ควอนตัมทำให้สิ่งนี้มีประโยชน์:

ทฤษฎีบทที่ไม่มีการโคลนนิ่ง ไม่สามารถคัดลอกสถานะควอนตัมได้อย่างสมบูรณ์แบบ ผู้ดักฟังไม่สามารถสกัดกั้นและส่งซ้ำได้โดยไม่รบกวนรัฐ
การรบกวนในการวัด การวัดสถานะควอนตัมในรูปแบบ "ผิด" จะสุ่มผลลัพธ์และรบกวนสถานะ สามารถตรวจจับการรบกวนได้

โปรโตคอลจะแลกเปลี่ยนโฟตอนบางส่วน เผยให้เห็นฐานที่ใช้ (ผ่านช่องสัญญาณคลาสสิกสาธารณะ) และเปรียบเทียบผลลัพธ์สำหรับความสอดคล้องในการวัด หากอัตราข้อผิดพลาดต่ำกว่าเกณฑ์ บิตที่เหลือจะเป็นความลับที่ใช้ร่วมกัน หากเกินกว่าเกณฑ์ที่กำหนด มีแนวโน้มว่ามีคนดักฟังอยู่และกุญแจจะถูกทิ้งไป

โดยที่ QKD ชนะ

คำกล่าวอ้างทางการตลาด: ความปลอดภัยของข้อมูลตามทฤษฎี คีย์ที่ใช้ร่วมกันมีความปลอดภัยทางคณิตศาสตร์จากศัตรูด้านการคำนวณ รวมถึงคอมพิวเตอร์ควอนตัมในอนาคต ไม่มีข้อสันนิษฐานเกี่ยวกับความแข็งของการเข้ารหัส

สิ่งนี้เป็นจริงภายในขีดจำกัดของการใช้งาน QKD เป็นเทคนิคการเข้ารหัสเพียงวิธีเดียวที่ให้ความปลอดภัยโดยยึดหลักฟิสิกส์มากกว่าคณิตศาสตร์ สำหรับการใช้งานที่สมมติฐานทางการคำนวณไม่สามารถยอมรับได้ (หน่วยข่าวกรองระดับประเทศที่มีเดิมพันสูงสุด) QKD น่าดึงดูด

ในกรณีที่ QKD ประสบปัญหาในทางปฏิบัติ

ต้องใช้ฮาร์ดแวร์พิเศษ แหล่งกำเนิดโฟตอนเดี่ยว ตัวตรวจจับ และไฟเบอร์ออปติกเฉพาะ ค่าใช้จ่ายหลายหมื่นดอลลาร์ต่อตำแหน่งข้อมูล
ระยะทางจำกัด หากไม่มีตัวทำซ้ำควอนตัม (ซึ่งยังไม่มีเป็นฮาร์ดแวร์ที่ปรับใช้ได้) ระยะทางจะถูกจำกัดไว้ที่สองสามร้อยกิโลเมตรบนไฟเบอร์ การทดลองดาวเทียม QKD แสดงให้เห็นช่วงที่ยาวกว่า แต่ต้องใช้โครงสร้างพื้นฐานด้านพื้นที่
แบบจุดต่อจุดเท่านั้น ไม่มีการกำหนดเส้นทางทั่วไป แต่ละลิงค์ QKD อยู่ระหว่างจุดปลายเฉพาะสองจุด การปรับขนาดเป็นเครือข่ายต้องใช้โหนดกลางที่เชื่อถือได้ซึ่งจะถอดรหัสและเข้ารหัสใหม่
ยังจำเป็นต้องมีการตรวจสอบสิทธิ์ QKD สร้างความลับที่ใช้ร่วมกัน แต่ไม่ได้ตรวจสอบความถูกต้องของฝ่ายต่างๆ หากไม่มีการตรวจสอบสิทธิ์ปลายทาง QKD แบบคลาสสิก คนที่อยู่ตรงกลางที่ใช้งานอยู่จะเอาชนะมันได้ การรับรองความถูกต้องจำเป็นต้องมีการแชร์ความลับล่วงหน้าหรือการโจมตีแบบ PKI.
Implementation แบบคลาสสิก ฟิสิกส์มีความมั่นคง ฝ่ายวิศวกรรมมีการโจมตีช่องทางด้านข้างหลายครั้ง การโจมตีแบบ Blinding ของเครื่องตรวจจับ การแยกโฟตอนและจำนวน การโจมตีแบบ Time-Shift — การวิจัยทางวิชาการได้แสดงให้เห็นซ้ำแล้วซ้ำเล่าว่าระบบ QKD จริงมีข้อมูลรั่วไหล
Key อัตราต่ำ บิตต่อวินาที ไม่ใช่กิกะบิต มีประโยชน์สำหรับการรีเฟรชคีย์เป็นระยะ ไม่ใช่สำหรับการเข้ารหัสจำนวนมาก

คำตัดสินของชุมชนการเข้ารหัส

NSA, GCHQ และนักเข้ารหัสทางวิชาการส่วนใหญ่ได้แนะนำการเข้ารหัสหลังควอนตัมอย่างชัดเจนผ่าน QKD สำหรับการใช้งานทั่วไป เหตุผล:

PQC ทำงานบนโครงสร้างพื้นฐานที่มีอยู่โดยมีการเปลี่ยนแปลงซอฟต์แวร์
PQC ปรับขนาดตามกรณีการใช้งานแบบอินเทอร์เน็ต ความปลอดภัยของ
PQC ขึ้นอยู่กับสมมติฐานทางคณิตศาสตร์ที่ดูแข็งแกร่ง
QKD ความปลอดภัยของข้อมูลตามทฤษฎีจะใช้กับขั้นตอนการสร้างคีย์เท่านั้น ไม่ใช่กับ ระบบโดยรวม
QKD จำเป็นต้องแก้ไขการตรวจสอบสิทธิ์ ซึ่งหมายถึง PKI ซึ่งหมายถึง PQC

อัลกอริทึม PQC ที่เป็นมาตรฐาน (ML-KEM, ML-DSA) ที่ใช้งานใน TLS, Signal และที่อื่นๆ ถือเป็นคำตอบหลักสำหรับภัยคุกคามควอนตัม ดูบทความการเข้ารหัส quantum.

ในกรณีที่ QKD ถูกใช้งานจริง

ลิงก์ธนาคาร — ธนาคารสวิสบางแห่งใช้ QKD บนไฟเบอร์เฉพาะสำหรับธุรกรรมที่มีมูลค่าสูง ทำหน้าที่เป็นผู้สาธิตการวิจัยมากกว่าความปลอดภัยเชิงปฏิบัติ
ลิงก์ของรัฐบาล — ดาวเทียม QUESS ของจีน (Micius) ได้สาธิต QKD ในระยะทางหลายร้อยถึงหลายพันกิโลเมตรผ่าน ดาวเทียม
แอปพลิเคชันการป้องกันแบบจุดต่อจุดเฉพาะ — ลิงก์ทางยุทธวิธีระยะสั้นที่ทราบจุดปลายทั้งสอง
เครือข่ายการวิจัย — ห้องทดสอบในยุโรป สหรัฐอเมริกา เอเชียเพื่อสำรวจความสามารถในการปรับขนาด

การใช้งาน QKD เชิงพาณิชย์ทั่วโลกทั้งหมดมีขนาดเล็ก ตลาดสำหรับผู้จำหน่าย QKD (ID Quantique, MagiQ, Toshiba และอื่นๆ) นั้นมีอยู่จริงแต่มีความเชี่ยวชาญ

เครือข่ายควอนตัมและอนาคต

วิสัยทัศน์ระยะยาวของ "อินเทอร์เน็ตควอนตัม" — เครือข่ายที่สามารถกำหนดเส้นทางข้อมูลควอนตัมระหว่างจุดสิ้นสุดที่กำหนดเอง — จะต้องมีตัวทำซ้ำควอนตัม (อุปกรณ์ที่ขยายสถานะควอนตัมโดยไม่ต้องวัด) สิ่งเหล่านี้ยังไม่มีเป็นฮาร์ดแวร์ที่ปรับใช้ได้ ความคืบหน้าการวิจัยช้าแต่ดำเนินไปอย่างต่อเนื่อง

หากเครือข่ายควอนตัมเติบโตเต็มที่ QKD จะมีประโยชน์ในทางปฏิบัติมากขึ้น ถึงกระนั้น การรักษาความปลอดภัยแบบไฮบริด (PQC + QKD) ก็มีแนวโน้มมากกว่าการปรับใช้ QKD เพียงอย่างเดียว ชุมชนการเข้ารหัสได้ตัดสินโดยใช้แนวทางแบบเลเยอร์นี้

คำถามที่พบบ่อย

QKD คือคำตอบของภัยคุกคามทางคอมพิวเตอร์ควอนตัมหรือไม่: สำหรับกรณีการใช้งานส่วนใหญ่ ไม่ — การเข้ารหัสหลังควอนตัมคือ QKD มีการบังคับใช้ที่แคบและมีข้อจำกัดในการใช้งานที่สำคัญ การกำหนดมาตรฐาน PQC ผ่าน NIST ได้สร้างอัลกอริทึมที่ใช้งานได้จริง (ML-KEM, ML-DSA) ที่ทำงานบนโครงสร้างพื้นฐานที่มีอยู่ QKD ยังคงเป็นโซลูชันเฉพาะสำหรับลิงก์ทางกายภาพที่มีความปลอดภัยสูงโดยเฉพาะ
QKD เสียหรือเปล่า?: ฟิสิกส์ไม่ได้. การใช้งาน QKD เฉพาะเจาะจงถูกทำลายผ่านการโจมตีช่องทางด้านข้าง — การตรวจจับที่มองไม่เห็น การแยกหมายเลขโฟตอน ฯลฯ รูปแบบนี้คล้ายกับการเข้ารหัสลับแบบคลาสสิก: การรักษาความปลอดภัยทางทฤษฎีเป็นสิ่งหนึ่ง การรักษาความปลอดภัยในการใช้งานเป็นอีกสิ่งหนึ่ง
QKD สามารถเข้าถึงได้ไกลแค่ไหน?: บนไฟเบอร์: ประมาณ 100-300 กม. ก่อนที่สัญญาณขาดหายจะกลายเป็นสิ่งต้องห้ามหากไม่มีการขยายสัญญาณ ด้วย QKD ที่ใช้ดาวเทียม: แสดงให้เห็นการทดลองในระยะทางที่ไกลกว่า หากไม่มีเครื่องทวนควอนตัม การสร้างเครือข่ายจำเป็นต้องมีโหนดกลางที่เชื่อถือได้ ซึ่งทำให้การรับประกันความปลอดภัยที่เข้มงวดของ QKD บางส่วนลดลง
ฉันสามารถซื้อระบบ QKD ได้หรือไม่: ใช่ถ้าคุณมีงบประมาณ ID Quantique, Toshiba, MagiQ Technologies และอื่นๆ จำหน่ายระบบ QKD เชิงพาณิชย์ ราคา: อุปกรณ์ปลายทางคู่ละหมื่น พร้อมไฟเบอร์เฉพาะและการบำรุงรักษาอย่างต่อเนื่อง กรณีการใช้งานมีความเชี่ยวชาญเฉพาะทาง
อินเทอร์เน็ตควอนตัมจะเข้ามาแทนที่อินเทอร์เน็ตแบบคลาสสิกหรือไม่: ไม่ แม้แต่ในสถานการณ์ที่มองโลกในแง่ดี เครือข่ายควอนตัมยังช่วยเสริมความคลาสสิก ไม่ได้แทนที่มัน ด้านควอนตัมจะจัดการกับการกระจายคีย์และโปรโตคอลเฉพาะบางอย่าง ข้อมูลจำนวนมากยังคงใช้โครงสร้างพื้นฐานแบบคลาสสิกพร้อมช่องทางที่ปลอดภัยด้วย PQC