中国、印度、欧盟和美国正各自采取不同的策略。

8

2024年夏天,在科技界翘首以待美国国家标准与技术研究院(NIST)发布最新的“后量子”加密(PQC)标准时,研究者也在同时开发基于量子技术的加密系统,也就是所谓的量子密钥分发(QKD)系统。

中国、印度以及欧盟和美国的众多技术组织正在研究和开发QKD,并对这一新兴加密替代方案的标准进行权衡。其中最大的问题在于,QKD是否能够、如何能够融入一个稳健、可靠且完全面向未来的加密系统,并最终成为21世纪30年代安全数字通信的全球标准。和任何新兴技术的标准一样,各方参与者正在推动、宣传不同的技术和这些技术的实现方式。而之所以实力最强的几方参与者探索的选项各不相同,是因为目前没有哪项技术明显占优。

荣鼎集团是一家总部位于纽约的智库,该机构的研究分析师谢埃· 齐(Ciel Qi)认为,至少目前,有一方在QKD的研究和开发方面是明显领先的。齐女士表示:“中国很可能因为早期投资和开发而在基于 QKD 的加密技术方面占据了优势,但其他国家正在迎头赶上。”

两种不同的“量子安全”技术

在这些多样化的密码学工作中,QKD和后量子密码系统之间的区别最为核心。QKD以量子物理学为基础,认为纠缠的量子比特可以非常安全地存储共享信息,以至于任何试图获取信息的行为都会被不可避免地检测到。通过向网络两端发送成对的纠缠光子量子比特,可以为物理层面的安全加密密钥提供基础,从而锁定通过该网络发送的数据包。

通常,量子加密系统围绕光子源构建,该光子源会发出纠缠光子对——其中光子A沿一段光纤传播,其偏振与沿另一个方向传播的光子B的偏振垂直。这两个光子的接收用户会分别进行测量,从而使两人知道,有且仅有他们拥有由这些光子对传输的共享信息。(否则,如果有第三方介入并先测量了其中一个或两个光子,那么这些精细的光子状态在抵达接收方之前就会发生不可逆转的改变。)

位于线路两端的两个人所共享的这个比特会变成一把慢慢构建起的密钥里的0或1,这把密钥通过两个接收者不断共享更多纠缠光子对来建立。当发送方和接收方之间积累了足够多共享的、秘密的0和1后,这把密钥就可以用于一种被称为“一次性密码本”的强加密算法,它能确保信息的安全传输,保证只有预定的接收方才能准确接收。

相比之下,后量子密码算法并不基于量子物理,而是纯数学。在PQC中,新一代的密码算法被设计在传统计算机上运行。算法的极高复杂性使得PQC安全系统几乎无法破解,即便是量子计算机也不行。因此,美国国家标准与技术研究院正在开发黄金标准的PQC系统,这些系统将为未来的后量子网络和通信提供支撑。

总部位于纽约的全球量子情报公司(GQI)的首席内容官道格 · 芬克(Doug Finke)指出,后一种方法的最大问题在于,人们(基于非常非常好、但非绝对可靠的证据)认为,PQC只是不可被完全成熟的量子计算机攻破。换句话说,PQC并不保证一定能够提供所谓铁一般的“量子安全”。

“人们无法从理论上预测这些PQC算法不会在某一天被攻破,”芬克说,“另一方面,QKD呢——基于量子物理学的理论论据表明,你无法攻破QKD网络。”

话虽如此,现实世界中的QKD仍然可能通过侧信道、设备攻击等巧妙手段破解。此外,QKD还需要直接接入量子级光纤网络和敏感的量子通信技术,而这两者在当今并不常见。“就日常事务而言,比如当我需要通过手机向亚马逊发送我的信用卡信息时,”芬克说,“我是不会用QKD的。”

中国在QKD领域的早期领先优势正在逐渐缩小

谢埃· 齐认为,中国最初选择QKD作为量子技术发展的重点,部分原因可能在于美国并未把精力集中在这一领域。她表示:“中国之所以将战略重点放在QKD上,可能是希望获得独一无二的技术优势,特别是在美国占据了全球PQC领域的领先地位的情况下。”

她特别指出,中国正在加紧利用卫星上行链路和下行链路作为自由空间QKD系统的基础。齐女士援引中国“量子之父”潘建伟的话称:“为了实现全球量子网络覆盖,中国目前正在研发一颗中高轨道量子卫星,预计将于2026年左右发射。”

话虽如此,迄今为止,所有QKD系统的限制因素都在于它们最终要依赖单个光子来表示每个量子比特。即使是最精密的激光器和光纤线路也无法避免单个光子的脆弱性。

QKD中继器可以盲目地复制单个光子的量子态,却不会泄露任何有关通过的单个光子的识别信息——这意味着中继器不会被窃听者攻击,但这种技术目前还不存在。然而,芬克认为,这种技术是可以实现的,只是至少还需要5到10年的时间。“现在肯定还为时尚早。”他说。

“中国的确拥有一条2000公里长的网络,”芬克表示,“但它使用的是一种叫作信任节点的技术。我认为在北京到上海的网络中,存在超过30个这样的节点。也就是说,也许每隔约100公里,就有一个基本用于测量信号然后再生信号的装置。但这个信任节点必须设置在军事基地或是类似的地方,否则,如果有人闯入那里,就可以侵入通信系统。”

与此同时,全球量子情报公司的高级顾问萨蒂亚姆· 普里亚达希(Satyam Priyadarshy)称,印度一直在努力追赶。普里亚达希表示,印度的国家量子任务包括QKD通信研究计划,其最终目标是建立连接相隔2000公里以上城市的QKD网络,以及跨越相近距离的卫星通信网络。

普里亚达希还指出了印度政府在QKD方面的研究成果——包括印度空间研究组织的研究——以及基于私营企业的研发工作,例如总部位于班加罗尔的网络安全公司量数实验室(QuNu Labs)。普里亚达希举例称,量数实验室一直在开发一种名为“量子脉轮”(ChaQra)的QKD轴辐网络框架。

在美国和欧盟,类似的早期工作也在进行中。欧洲电信标准协会(ETSI)、国际标准化组织(ISO)、国际电工委员会(IEC)和电气电子工程师学会(IEEE)的官员证实,目前已有相关的倡议和工作组正在努力推广QKD技术,并制定正在成形的相关标准。

“尽管ETSI有幸拥有众多相关领域的专家,但要做的工作还有很多。”东芝英国剑桥研究实验室的高级研究员兼ETSI的QKD行业标准小组主席马丁 · 沃德(Martin Ward)表示。

多位相关人士认为,在未来量子计算普及的世界中,PQC很可能会成为大多数安全通信的默认标准。然而,面对日益强大的量子算法和机器,PQC也无法避免其潜在的致命弱点。消息人士指出,这正是QKD可能提供混合安全通信的前景所在,而PQC本身永远无法提供这种安全性。

QKD提供了(理论上的)信息安全,而PQC则实现了可扩展性,”普里亚达希表示,“QKD与PQC的混合方案最有可能成为量子安全网络的解决方案。”不过,他也补充说,目前对于QKD-PQC混合技术和标准的研究“非常有限”。

芬克因此表示,即使在PQC仍然占主导地位的世界中,QKD也可能拥有最终决定权。他指出,开发QKD技术恰好也为未来量子互联网的构建奠定了基础。

“重要的是要明白:QKD实际上只是完整量子网络的一个用例。”芬克指出。

“还有很多其他应用,比如分布式量子计算、量子数据中心和量子传感器网络,”芬克补充道,“因此,即使是人们目前正在QKD领域进行的研究,也非常有价值,因为许多相同的技术可以被应用于其他方面。”

资料来源IEEE

————————

本文作者玛戈·安德森Margo Anderson)是资深科学作者,科学栏目编辑