量子密码是完备的吗

撰文 | 康老师

之前的十三期内容，从密码学知识体系角度已经基本完备了，本期作为最后一期，以这样一个问题为题目，首先是在当前量子信息的量子计算、量子测量等各领域中，量子密码尤其是中国的量子密码发展遭受到来自互联网上的质疑声音时而有之、虽似沉渣泛起、还总周而往复，让人有点不吐不快。其次是一个开放式的结尾显然更和与时俱进的密码学相配，量子科技本身也是一个完全开放型的话题，陈述无结尾，设问有收获，在此也无必要涉及技术细节，所做的是尽力把量子密码这一新的主体向我们前文展示过的层台累榭的密码学大厦做个“映射”和“安置”，读者自行即可作答。第三，是分享一点传统ICT或安全行业从业者从经典世界迈入量子世界，从传统舒适区迈入充满“不确定性”的量子区域可能会有的不适乃至阵痛感，主动走出舒适区去拥抱不确定性，好或不好，利与不利，亦由读者作答。

量子密码的内涵

量子密码的内涵主要包括量子密钥分发即QKD、量子保密通信、应用于密码方向的量子算法、量子密码协议、量子密码管理。把量子密码等同于QKD或出于其是目前最直接的应用体现，但终究还是狭窄了，量子密码的每个部分又包含有很多的内容，下面分别做一解释。

量子密钥分发指利用量子特性经过一系列量子态的信息交互协商过程在双方间建立密钥的过程，经过多年科研和工程实践，QKD的内涵是很丰富的，包含了各种不同的应用场景和系统组成：有基于QKD技术实现的城域网无中继密钥分发，有基于可信中继/量子中继的QKD广域网密钥分发，还有结合了QKD技术/网络及其它传统密钥分发技术组成的混合型密钥分发。虽然当前技术条件下发展最充分、实用性最强、也是各国量子保密通信网络均采用的QKD协议是BB84协议，但别认为QKD的内涵就只包括BB84这一落地应用的急先锋——QKD包含一系列协商过程各异、安全基础完全不同的各类协议；别认为QKD涉及的关键技术问题都被解决了——基于纠缠的QKD、量子中继等技术可是该领域的研究热点；别认为QKD就只适合基于光纤链路的点到点对称密钥即时分发这一种固定的应用场景——结合既有组网技术和其它密码分发技术它同样可以适用于较大规模密钥按需分发，而新的QKD协议同样可以满足多方安全计算和秘密共享的密钥分发需求。

量子保密通信是利用量子特性实现通信且能保障通信信息不被第三方获得，特征我们不用解释——直接就包含在这个复合词语的三个组成单词里了。将量子保密通信与QKD区分是有必要的，前者双方互相沟通信息，后者双方共同获得密钥。依实现方式的不同，量子保密通信的内涵也是多种多样的，可以通过QKD获得密钥，再基于既有加密算法加密保护信息，即对应着包含QKD设备和支持QKD的传统加密机的加密信息系统；还有处于科研阶段的直接以量子态传递信息且实现保密通信的其它类系统。

当前的量子算法主要属于量子计算研究范畴，指可用量子电路表示的，处理对象是量子比特，可由量子计算机执行通过输入计算获得预期可用输出结果的算法，与传统意义上基于数学的密码算法是完全不同的两回事。能应用于密码方向的量子算法是整个量子算法集合中的一部分，目前主要是体现为能够归入密码分析学范畴的用于破解传统密码算法的各类量子算法，如Shor算法基于其分解大数质因子能力用于攻击RSA公钥算法，Grover算法基于其快速搜索能力用于攻击ECC公钥算法，基于量子隧穿效应和D-Wave专用量子计算机的量子退火算法等。很大部分的量子算法并非应用于密码用途，较完整的量子算法列表可以参考https://quantumalgorithmzoo.org/。

量子密码协议是量子协议中能用于密码学用途的子集，其中既包含QKD用途的各种协议，还包含非密钥分发用途而是可用于密码学上其它用途的如量子保密查询、量子秘密共享、量子签名、量子比特承诺、量子掷币、量子拜占庭共识等类协议。量子协议与量子算法是两类不同事物，其关系完全不像我们讨论过的经典密码协议与密码算法，经典密码协议可以认为是密码算法的应用，而量子安全协议一般并不存在对应的量子算法，参与方一般也不需要去执行哪种特定量子算法，不需拥有量子计算能力。同样，统称上的量子安全协议并不都是量子密码协议，部分协议是用于量子通信网络构建等其它用途而不是用于安全认证的（较完整的量子安全协议列表可参考https://wiki.veriqloud.fr/index.php?title=Protocol_Library）。设计具有实用性的量子密码协议非常困难和具有挑战性，也是量子密码的研究热点，下一个类似BB84协议这样精巧实用、还经过充分安全论证的量子密码协议的诞生尚需研究者坐若干年的冷板凳，但一旦出现，量子密码的发展必将迎来质变。

量子密码管理既包括实际的量子密码管理系统、量子密钥分发网络管理系统等实际管理系统；也包括量子密码管理的标准规范、组织模式和相关政策法规。发展现状一言以蔽之的话前者由于我国量子密码的工程实现起步早、规模大，而处于国际领先地位，后者由于标准法规出台的审慎性、严谨性，尚无权威标准，世界各国均处在你追我赶、既竞争又合作的态势。

在量子密码标准规范方面，国际国内的各类标准化组织都已经积极躬身入局深耕多年。国际权威的ICT和信息安全业界组织及标准化组织在量子密码领域的标准化工作启动的开端如下图所示。国内方面，国家权威性ICT及密码行业标准机构围绕量子密码已构建了完善的标准体系，并正在开展其中20余项标准的编研工作，内容涵盖了量子密码中QKD方面非常完整的术语定义、应用场景、网络架构、安全性等各个方面。

 在量子密码的行业政策法规层面，从2016年以来，各科技强国密集出台了推进量子信息、量子密码科技和产业发展的战略规划和具体推进措施，乃至将其上升为国家战略。欧盟的量子旗舰计划到2035年左右形成泛欧量子安全互联网；英国计划在10年内建成国家量子通信网络；德国提出“量子技术——从基础到市场”框架计划，希望推动实现量子技术的产业化发展；美国正式通过国家量子计划法案；日本、韩国、俄罗斯、加拿大等国也启动了各自的量子通信发展计划。近日，日本推出量子创新计划联盟（QIIC），美国将量子信息科学2021年研发支出预算增加30%，在我国国家和地方层面一系列量子产业化推进政策支持下，量子信息国家实验室等重点项目的建成也指日可待。可见，各国均在抢占量子科技的制高点。

至此可见，量子密码的内涵十分之丰富，那么自然的下个问题来了，对于此领域感兴趣的小伙伴们必然要问，量子密码的发展是否十分之可观呢？

密码学的未来是属于量子的吗

未来的密码学会去向何处？密码学发展的新方向是什么？有赋予密码新内涵、新能力的，如以演化密码为代表的人工智能密码，有代表新应用方向、提供新增长动能的，如区块链密码、白盒密码、同态密码、轻量级密码等，量子密码在密码学发展路线上会占据什么样的位置呢？准确的预测未来是不可能的，我们所能做的是在了解研究现状和发展趋势的基础上针对未来做规划。

首先量子计算攻击是现用密码尤其是公钥密码的“心腹大患”，这点是毋庸置疑的。否则美国国家标准研究所NIST也不会从2016年开始就早早启动了后量子密码算法的公开征集工作，而量子密码是抵御量子计算攻击、实现量子安全的有效手段，由密码学攻防两端相生相克又相辅相成的关系决定，量子算法攻击和量子密码本身就不是对立化的（这也是本文将相关量子算法纳入量子密码范畴的原因），对前者在理论上了解得越清晰，亦有利于后者的创新发展。

其次量子密码是密码学发展与时俱进道路上对新兴科学的“取其所长”与“为己所用”，量子密码为密码学提供的基于物理学的实现基础是坚实、可验证的，也是前所未有的，就像BB84协议提供的窃听必留痕迹这一新特性一样。

基于上述两点，特别是密码学的发展方向往往由其所受威胁所决定，量子密码学的发展命运似乎不会遭遇突然的“夭折”或它们两者自行决定“分家”。我们值得思考的是另一个方向的问题——未雨绸缪永远胜过下雨再找伞。正如中科院密码学专家荆继武教授所说：“量子算法很早就提出来了，但量子计算机没制造出来，这相当于算法口诀出来了，算盘没有造出来。为了防患于未然，要提前设计后量子密码算法”。从国家战略层面看，在事关国家安全的密码领域，在各种噪声和伪装下，对手真实面目、真实行动都是“庭院深深深几许”，为了防备在密码攻防战这场非对称战争中陷入“落后就要挨打”的境地，把对手预设得凶险一点不可怕，没有技术储备上的反制措施才最可怕。

量子密码遭受质疑的原因

既然如此，为什么网络上会看到不少老调重弹、周而复始的对中国量子密码发展的质疑声音呢？在此不讨论起动机，康老师只是试着从认识论的一般角度对这个问题进行归纳和探讨。

量子密码难于理解

量子密码无疑是量子力学发展到一个较成熟阶段的产物，而量子力学的原理对于非物理专业人士是难于理解的，人对难于理解的事物、与日常体验不一致的事物天生容易产生排斥感。

往大处说，量子密码这门交叉科学的出现本身对大众也可能是难于理解的——密码学长久以来一直被认为是数学和计算机科学的领域，物理学凭什么突然对这个领域能做出贡献？再进一步说，对QKD协议有一定了解，可能还会问，就算是确实做到了以一个完全不同的方式提供密钥分发的解决途径，就可以称作量子密码了？回答前一个问题需要对量子物理发现的规律能用于信息传输和抗伪造有认识。回答后一个问题，对密码学本身体系结构组成不了解，不多看量子密码方面的理论研究成果，也可能会认为是夸夸其谈。

从小处说，量子密码论文、专著使用的术语体系也是更偏向于量子力学而不是密码学界的，这种语言体系上的差别都需要读者有一个理解和接受的过程。例如说量子科学家使用的“无条件安全unconditional security”这一约定俗成术语并不形容的是通常意义上的绝对安全，QKD协议的无条件安全性是指由量子物理理论实现的安全，与实际系统的安全性综合包含了从理论安全到实际安全性等各方面因素并不矛盾。再例如量子科学家喜欢使用“经典的”与“量子的”作为区分两个世界的明显标记，在量子世界里所有经典规律、传统认知都无效了，一个“传统人”面对它顿时觉得自己是不是太“old fashion”了，再没有指路明灯，他踏入量子世界的无力感和焦虑感可想而知。密码学很多时候就是不易理解的，量子密码是如此的难于理解，以至于可能会让那些潜在的用户处于这样一种有点两难的境地——要么接受该领域研究者的研究结论和工程技术团队推出的产品；要么自己去从基础理论开始学习和了解，而学习上的高难度无疑限制了学习的脚步，最后形成“不得其门而入”的状态或者持一个简单的“不接受”态度也就不足为奇了。

量子密码尚处于发展的初期

上世纪八十年代，人们一开始有量子计算和建立量子算法的想法，就几乎立刻想到把它应用到密码领域，1984年C. Bennett和G. Brassard提出著名的BB84协议，而当时的密码学已经发展得非常成熟。从产生这个理论萌芽开始，量子密码的研究至今才只有三十多年历程，目前也仅在基于该协议的QKD系统这个具体分支上达到了成熟可用的程度。可以说一个协议用了三十多年，十年磨一剑，三十年磨一个协议，其中走过的艰辛和研究者的苦心孤诣可想而知。而BB84协议还只是基于量子叠加性、量子不可克隆原理这种量子力学中比较基础的理论作为依据。其它量子密码协议并非无用、也并非理论研究不充分，但很大程度上受制于实现稳定相干、量子纠缠等微观量子效应的量子器件制造技术还不够成熟，还没有进展到实用化程度。

相比较而言，现代密码学历经百年的发展，当今已经形成内容极其丰富的学科，并且对应的产业发展、设备研发、标准化程度都相当充分，用户接受度、认可度高。

量子密码极具吸引力的“物理安全性”使人们对它赋予了极高的期望，甚或会寄希望于它能全面提升信息系统安全性。量子密码的研究中，先期理论研究有突破、例如发明了新的量子密码协议后，并不能像其他云计算或人工智能等主要基于软件可实现的新技术一样通过编程开发就能实际去解决问题了，后期还要攻克关键器件制造的难关，并把实际的物理设备造出来，再像其它密码设备一样去进行功能和安全性等方面的测试验证。当前阶段量子密码基于QKD技术只提高密钥分配过程安全性的现状与人们对它过高的预期还有不少的距离。从这个角度说，量子密码给人有点言之袅袅而尚在“积跬步”的感觉，有点“反差萌”，过大的期望也就会造成它承载了过大的压力，“捧杀”和“棒杀”都不利于它的健康发展。

总而言之，经过了本系列之前的一路旅程，我想建议大家设问的是：

与其问量子密码是完备的吗？如果我们搞懂了量子密码的发展驱动在于量子科学，不如改问：当前量子信息科学的发展是完备的吗？

与其问量子密码是绝对安全的吗？如果我们理解了从现实意义上没有绝对安全的密码系统，不如改问：量子密码为密码学增加了哪些之前所不具备的新特性呢？

康老师 简介

深耕信息安全领域二十余年，从事安全增强系统、密码应用系统及通用软件系统开发、信息安全理论研究、标准规范编研及开发团队管理。参与多项国家863、973、核高基专项等重大科研项目，作为主要完成人编研完成国家/军用标准多项，发表学术论文二十余篇。