Чи є QKD відповіддю на загрози квантових обчислень?

Для більшості випадків використання ні — постквантова криптографія є. QKD має вузьку сферу застосування та значні обмеження щодо розгортання. Стандартизація PQC через NIST створила практичні алгоритми (ML-KEM, ML-DSA), які працюють на існуючій інфраструктурі. QKD залишається нішевим рішенням для конкретних фізичних каналів високого рівня безпеки.

Фізика ні. Конкретні реалізації QKD були зламані через атаки на бічних каналах — засліплення детектора, розщеплення числа фотонів тощо. Схема подібна до класичної криптографії: теоретична безпека — це одне, безпека реалізації — інше.

Як далеко може досягти QKD?

На оптоволокні: приблизно 100-300 км, перш ніж втрата сигналу стане непомірною без підсилення. З QKD на основі супутника: більші відстані продемонстровано експериментально. Без квантових повторювачів побудова мережі потребує довірених проміжних вузлів — що жертвує деякими суворими гарантіями безпеки QKD.

Чи можу я купити систему QKD?

Так, якщо у вас є бюджет. ID Quantique, Toshiba, MagiQ Technologies та інші продають комерційні системи QKD. Вартість: десятки тисяч за пару кінцевих точок, плюс виділене оптоволокно та поточне обслуговування. Випадки використання спеціалізовані.

Чи замінить квантовий інтернет класичний?

Ні. Навіть у оптимістичних сценаріях квантова мережа доповнює класичну, а не замінює її. Квантовий аспект обробляє розподіл ключів і деякі конкретні протоколи; масові дані продовжують використовувати класичну інфраструктуру з захищеними PQC-каналами.

Пояснення квантового розподілу ключів: заснована на фізиці секретність та її практичні межі

Quantum Key Distribution використовує квантову фізику для встановлення спільного секрету між двома сторонами з математично гарантованим виявленням будь-якого підслуховувача. Звучить як наукова фантастика; це працює на практиці; і криптографічна спільнота вирішила, що це переважно неправильна відповідь для загального використання. Розуміння чому пояснює прірву між крутою фізикою та корисною безпекою.

Повний текст статті подано англійською мовою нижче.

Quantum Key Distribution (QKD) — це клас протоколів, які використовують квантову механіку безпосередньо для генерації спільного ключа між двома сторонами. Найбільш цитованим прикладом є BB84, запропонований Чарльзом Беннетом і Жилем Брассаром у 1984 році. Сучасні системи QKD розгортаються в деяких нішевих сценаріях; Основна криптографія в основному прийшла до висновку, що постквантова криптографія (PQC) є кращим шляхом для захисту від загроз квантової ери.

Основна ідея

BB84 використовує окремі фотони, поляризовані в одному з чотирьох можливих станів (що представляють дві основи, кожна з яких має два значення). Відправник передає фотони; приймач вимірює їх у довільно вибраних базах. Дві ключові властивості квантової механіки роблять це корисним:

Теорема про відсутність клонування. Квантовий стан не можна повністю скопіювати. Перехоплювач не може перехопити та повторно надіслати, не порушивши стан.
Порушення вимірювання. Вимірювання квантового стану в «неправильному» базисі рандомізує результат і порушує стан. Порушення можна виявити.

Протокол обмінюється деякими фотонами, показує, які бази використовувалися (через загальнодоступний класичний канал), і порівнює результати для відповідності вимірювань. Якщо частота помилок нижча за порогове значення, біти, що залишилися, утворюють спільний секрет. Якщо вище порогового значення, ймовірно, присутній перехоплювач, і ключ викидається.

Де виграє QKD

Маркетингове твердження: інформаційно-теоретична безпека. Спільний ключ математично захищений від будь-якого обчислювального супротивника, включаючи квантові комп’ютери майбутнього. Жодних припущень щодо криптографічної надійності.

Це вірно в межах реалізації. QKD — це єдиний криптографічний метод, який забезпечує безпеку на основі фізики, а не математики. Для додатків, де обчислювальні припущення є неприйнятними (найважливіший інтелект національної держави), QKD є привабливим.

Де QKD важко на практиці

Потрібне спеціалізоване обладнання. Джерела одного фотона, детектори, спеціальне оптичне волокно. Коштує десятки тисяч доларів на кінцеву точку.
Distance-limited. Без квантових повторювачів (які ще не існують як обладнання для розгортання) відстань обмежена кількома сотнями кілометрів по оптоволокну. Супутникові експерименти QKD продемонстрували більший радіус дії, але потребують космічної інфраструктури.
Лише точка-точка. Немає загальної маршрутизації; кожне посилання QKD знаходиться між двома конкретними кінцевими точками. Для масштабування до мережі потрібні довірені проміжні вузли, які розшифровують і повторно шифрують.
Все ще потрібна автентифікація. QKD генерує спільний секрет, але не автентифікує сторони. Без класичної автентифікації кінцевих точок QKD активна людина посередині перемагає її. Для автентифікації потрібен попередньо наданий секрет або класичний PKI.
IАтаки впровадження. Фізика надійна; інженерія мала численні атаки побічних каналів. Атаки засліплення детектора, розщеплення кількості фотонів, атаки зсуву часу — академічні дослідження неодноразово демонстрували, що реальні системи QKD витікають інформацію.
Швидкість ключа низька. Біти в секунду, а не гігабіти. Корисно для періодичного оновлення ключа; не для масового шифрування.

Вердикт криптографічної спільноти

NSA, GCHQ та більшість академічних криптографів чітко рекомендували постквантову криптографію замість QKD для загального використання. Аргументація:

PQC працює на існуючій інфраструктурі зі змінами програмного забезпечення
PQC масштабується до випадків використання в стилі Інтернету
PQC ґрунтується на математичних припущеннях, які виглядають сильними Теоретико-інформаційна безпека
QKD застосовується лише до
QKD у будь-якому випадку вимагає вирішення автентифікації, що означає PKI, що означає PQC

. Стандартизовані алгоритми PQC (ML-KEM, ML-DSA), розгорнуті в TLS, Signal та інших, є основною відповіддю на квантові загрози. Перегляньте нашу статтю про квантову криптографію .

Де фактично розгорнуто QKD

Банківські посилання — деякі швейцарські банки використовували QKD на спеціальному оптоволокні для здійснення великих транзакцій більше як дослідницьку демонстрацію, ніж як практичний захист.
Урядові посилання — китайський супутник QUESS (Micius) продемонстрував QKD від сотень до тисяч кілометрів через супутник.
Спеціальні захисні програми «точка-точка» — тактичні зв’язки малої дальності, де відомі обидві кінцеві точки.
Дослідницькі мережі — тестові стенди в Європі, США, Азії масштабованість.

Загальне комерційне розгортання QKD у всьому світі невелике. Ринок для постачальників QKD (ID Quantique, MagiQ, Toshiba та інші) реальний, але спеціалізований.

Квантові мережі та майбутнє

Довгострокове бачення «квантового Інтернету» — мереж, які можуть маршрутизувати квантову інформацію між довільними кінцевими точками — вимагатиме квантових повторювачів (пристроїв, які розширюють квантовий стан без вимірювання). Вони ще не існують як обладнання, що розгортається; прогрес у дослідженнях повільний, але триває.

IЯкщо квантові мережі розвиваються, QKD стає більш практичним. Навіть тоді гібридна безпека (PQC + QKD) більш імовірна, ніж розгортання чистого QKD. Криптографічна спільнота зупинилася на цьому багаторівневому підході.

Часті запитання

Чи є QKD відповіддю на загрози квантових обчислень?: Для більшості випадків використання ні — постквантова криптографія є. QKD має вузьку сферу застосування та значні обмеження щодо розгортання. Стандартизація PQC через NIST створила практичні алгоритми (ML-KEM, ML-DSA), які працюють на існуючій інфраструктурі. QKD залишається нішевим рішенням для конкретних фізичних каналів високого рівня безпеки.
QKD зламано?: Фізика ні. Конкретні реалізації QKD були зламані через атаки на бічних каналах — засліплення детектора, розщеплення числа фотонів тощо. Схема подібна до класичної криптографії: теоретична безпека — це одне, безпека реалізації — інше.
Як далеко може досягти QKD?: На оптоволокні: приблизно 100-300 км, перш ніж втрата сигналу стане непомірною без підсилення. З QKD на основі супутника: більші відстані продемонстровано експериментально. Без квантових повторювачів побудова мережі потребує довірених проміжних вузлів — що жертвує деякими суворими гарантіями безпеки QKD.
Чи можу я купити систему QKD?: Так, якщо у вас є бюджет. ID Quantique, Toshiba, MagiQ Technologies та інші продають комерційні системи QKD. Вартість: десятки тисяч за пару кінцевих точок, плюс виділене оптоволокно та поточне обслуговування. Випадки використання спеціалізовані.
Чи замінить квантовий інтернет класичний?: Ні. Навіть у оптимістичних сценаріях квантова мережа доповнює класичну, а не замінює її. Квантовий аспект обробляє розподіл ключів і деякі конкретні протоколи; масові дані продовжують використовувати класичну інфраструктуру з захищеними PQC-каналами.