上期，我们对量子计算攻击的特点和攻击目标进行了剖析，了解了量子计算的“矛”。本期内容我们就来讲述量子安全的“盾”，对目前能实现量子安全目标的两类解决方案——基于数学的抗量子计算密码算法和基于物理的量子密码进行介绍。

本期，国小盾继续邀请康老师和各位同学聊聊“量子安全技术”

01 数学之盾——PQC基本原理与适用场景

后量子密码（Post Quantum Cryptography）是基于已知量子算法无法多项式时间求解的数学困难问题设计的以实现公钥密码功能为主的密码算法。对于对称密码的抗量子攻击性，我们上期内容已做阐述，一般提及PQC，都指替代现有公钥密码的后量子时代公钥密码。PQC是现代密码学的重要研究方向，相对对称密码而言，公钥密码更需要具有强陷门性，构造好的公钥密码等价于构造好的单向陷门函数。代表性PQC包括：格密码、基于哈希的密码、基于编码理论的密码、多变量密码、超奇异椭圆曲线密码等。下面我们就主要PQC及其典型代表算法逐一介绍。

格代数结构最早是作为一种密码分析工具被引入密码领域，格密码就是基于SVP 问题（Shortest Vector Problem，主要思想是找格上的最短非零向量）及其它格上困难问题构造的密码。格密码中较著名的LWE和NTRU算法都是基于SVP问题，1998年就被提出的NTRU (Number Theory Research Unit)公钥密码的优势是实现效率较高，与RSA、ECC、ElGamal密码相比，在相同安全性条件下，NTRU算法的运行速度要快许多倍，密钥生成也更快且需要更小的存储空间。NTRU密码存在的主要不足是其作为基于格的密码却没有严格的基于格问题的安全证明，基于NTRU的数字签名方案也并不十分成功。LWE( Learning With Errors ) 问题是求解带噪声的线性方程组问题，该问题的形式适合构造陷门和密码方案，由于LWE问题尚无有效的量子求解算法, 因此基于LWE假设的加密方案被认为是抗量子的。

基于哈希的密码中最著名的是Merkle数字签名方案，它基于一次签名方案（One-time Digital Signature）和Merkle哈希树（没错，后者也就是在区块链中应用甚广的密码技术），因此也结合了前者签名生成和验证高效，以及后者基于hash函数能有效抵御量子计算攻击的优点。Merkle数字签名方案依据OTS一次签名算法和Merkle哈希树形成公钥的原理图如下所示。

纠错编码公钥密码体制可理解为：把纠错的方法作为私钥，加密时对明文进行纠错编码并主动加入一定数量的错误，解密时运用私钥纠正错误，恢复出明文。纠错编码公钥密码中著名的McEliece公钥密码算法具有安全性高且加解密运算比较快的优点，其密码方案经受了40多年的广泛密码分析，被认为是目前安全性最高的公钥密码体制之一，其不足主要在于该算法公钥尺寸太大。

多变量二次多项式公钥密码体制（简称MQ公钥密码）的安全性基于有限域上多变量多项式方程组的求解问题（也称MQ问题），如何构造具有良好密码性质的非线性可逆变换是MQ公钥密码设计的核心，目前还没有一种公认安全的MQ公钥密码体制。实践证明，MQ问题的难解性并不能完全保证MQ密码算法的安全性。在分析MQ公钥密码时，往往并不是直接解公钥方程来恢复明文或是从公钥中求解陷门，而是根据其内部构造结构中蕴含的特殊代数性质，以寻求明密文之间的关系或构造同解方程来伪造签名。MQ公钥密码的不足还包括：只能签名，不能加密（加密时安全性降低）；公钥较长；很难设计出既安全又高效的多变量公钥密码体制。

在此将上述介绍的几种PQC算法在密钥长度、运算速度和功能完善性上的粗略做一定性比较。

总体上看，PQC的相对优势是：由于PQC的物理实现基本是兼容于现有信息产业技术和工艺的，较QKD和量子密码来说，它更易于实现标准化、集成化、芯片化、小型化、低成本。从应用场景上看，首先，正如上表所示，不同类型PQC擅长的功能与适用场景本就有区别；其次，由于PQC在密钥长度、算法构造等方面与现有公钥密码存在的差异较多，与应用系统的接口也较多，从现有公钥算法迁移到PQC算法的过程是一个较复杂的过程。

另一个需要给予重视的问题是，后量子密码的安全性分析是十分复杂的。以发展的眼光看，PQC依赖的数学难题未来是否依然难解，算法安全性是否长期有效，仍是一个开放的问题。

首先，从密码分析学角度讲，虽然密码学家希望PQC算法一直是量子困难的问题，现有后量子密码算法是针对防御已知的一部分类型的量子攻击而设计的，对于新出现的攻击可能并不免疫。例如，基于LWE问题的密码算法其设计目标是抵御量子选择明文攻击，对于量子选择密文攻击则不能抵御。而且，PQC的设计上还不止需要防量子计算攻击，也要抗经典计算攻击。例如，今年2月，IBM科学家发表了如下图所示的论文，公布其用笔记本电脑运行经典攻击算法，用时两天多，在算法参数选择为SL1的情况下，成功破解了NIST（美国国家标准与技术研究院）后量子密码算法筛选中胜出的Rainbow签名算法。

其次，从密码算法设计的角度讲，为了实现密钥大小合适、加解密性能良好的具有使用价值的PQC算法，实际的算法设计技术往往需要对其依据的原始计算困难问题进行改动，这种工程技术上的改动会可能会使得算法的安全性并不等价于数学上的困难问题，这就给算法安全性带来可能的脆弱性和不确定性因素。

02 量子之盾——QKD基本原理与适用场景

量子密码（Quantum Cryptography）基于量子物理原理实现经典密码学目标，其中最具代表性和实用性的是量子密钥分发（Quantum Key Distribution，QKD）技术。当然，量子密码能够实现的密码功能不限于密钥协商，还可以实现数字签名、秘密共享等密码功能，也包括量子随机数发生器（QRNG，利用量子力学过程产生随机数的物理器件）在密码领域的应用，而其中QKD的实用化进展目前是最快的，其与量子安全的对称密码技术结合，可以比较便捷地将现有的信息系统安全防护提升到量子安全级别。我们应该看到，基于量子物理的量子安全科技总体上还处于起步阶段，无论是密码功能的完整实现还是量子技术的能力提升，都还有很大的上升空间。

QKD是指通信双方通过传送量子态的方法实现信息论安全的密钥生成和分发的方法和过程。QKD以量子态为信息载体进行远程密钥分发，它基于物理原理能够抗截获、抗窃听、抗破译的为双方安全的分发密钥，从而从整体上提升密钥管理的安全性与独立性。自1984年Bennett和Brassard提出第一个量子密钥分发方案以来，30余年来学者们提出了多种量子密钥分发方案。当前，离散变量方案中的诱骗态 BB84协议是安全论证成熟、应用最广泛的协议，基于该协议的光纤量子密钥分发设备已经实现较大规模商用。如下图所示的BB84协议方案实现量子密钥分发的工作流程包括：发送方制备编码（对离散变量常用偏振、相位、时间进行编码）单量子态、传输、接收方测量解码，然后双方通过经典通信进行筛选比对、误码检测和纠错、保密增强。

单量子制备测量方案利用了单量子不可分割、不可复制、测不准的特性，使得任何来自于信道的窃听，要么导致量子信号丢失，要么导致量子信号发生可观测的变化，从而杜绝了从信道上实施窃听的可能性。

从量子密钥分发方案的总体分类上看，可以依据分发模式分为制备测量（prepare and measure）和纠缠测量（entanglement-based）两大类，由于纠缠测量方案实现难度大，又衍生出一种纠缠反演测量方案。下表对现有各QKD方案分发模式进行分类对照，比较了这三种分发模式中分发及测量量子态的特点和通过校验分析获得安全密钥的原理。

表注：记分发密钥的双方为A和B。A和B使用的量子态分发或测量设备可能是不可信的，但是他们进行结果校验的行为是安全可信的。

纠缠测量方案利用了两体最大纠缠态没有第三方关联、LOCC操作（局域操作和经典通信）无法制造远程纠缠的特性，确保了纠缠制备方无法预知协商双方测量结果，本地测量装置也无法伪造纠缠，实现器件无关安全性。如下图所示，我国在基于“墨子号”卫星的星地一体的QKD网络中，已经实现了基于纠缠测量的量子隐形传态实验验证。

第二种分类方式是基于量子态载体及其调制方式上的分类，主要可以分为离散变量和连续变量两种。制备-测量、纠缠测量和纠缠反演这三种分发模式均可以有离散变量和连续变量的实现方式，这种分类下两种方式的调制特点和技术实现优缺点比较如下表所示。

从上表可见，QKD协议种类繁多，在技术实现难度、性能指标、安全要求等方面存在诸多差异、优劣势各异，就总体特征而言，QKD具有光通信系统的一般特征，随着传输距离增大，信号丢失、信噪比下降等情况会导致成码率下降，QKD与传统光通信系统的核心差异在于使用量子态来保证安全性，代价是只能概率性地成功接收信号。而从QKD的适用场景来看，QKD协议协商生成密钥的对称性等功能特点，决定了当前其应用限于对称密码，无法直接结合非对称体制密码的应用诸如基于公钥的数字签名，适用场景上的另外一个限制是它需要部署架设专用QKD硬件设备和量子信道（在光纤网情况下量子信道可以与经典信道共纤传输）。当然，量子密码仍在不断发展，未来，在相关协议、器件等取得进展的情况下，还能够实现数字签名等功能，而且还将能够与现有密码系统、密码协议及应用系统更直接地以模块化方式结合，实现“即插即用”。

考虑QKD的安全性，首先，其显著优势在于它具有基于自身量子物理实现原理即单量子不可分割、量子态不可克隆所实现的抗量子计算攻击能力，不仅于此，QKD作为新型的密钥分发手段，具有能实现信息论安全的显著优势。QKD具备信息论安全性，意味着QKD即使在攻击者拥有无限强的计算资源下也仍然安全，这其中自然也包含了面对经典和量子计算的安全性。QKD的功能是实现对称密钥的协商和生成，与对称密码算法结合可实现加解密和认证等功能。与一次一密（One-Time Pad）结合可实现信息加密的信息论安全性，而结合量子安全的对称密码算法，就能在当前技术条件下代价较小的实现量子安全。

对QKD安全性的研究当前主要集中在物理安全性，例如器件的可靠性和稳定性等因素造成的安全问题。攻击方式也是既有传统的如经典侧信道攻击等方式，又包括很多量子安全学者新发明的量子攻击方式。后者被称为“量子黑客攻击”，是当前量子安全研究的热点。例如，由于QKD器件的一些脆弱性，可能会导致某种“后门”。攻击者可以通过一些物理的技术手段利用这些“后门”，从而绕过QKD量子层面的防护攻击QKD。又例如，黑客通过向QKD系统注入强光，以刺探QKD内部设置，或者改变QKD设备的工作状态进而暴露出可利用的漏洞。下图展现了量子黑客攻击的基本原理，Eve是攻击者，由于Alice和Bob设备的非理想性，Eve可以通过外部控制设备发送光、电磁等信号到Alice和Bob的设备中，以篡改或者监听Alice和Bob设备的工作状态，从而获取密钥信息。并且，Eve也可以通过分析Alice和Bob设备在非编码维度的侧信道信息泄露，以获取额外的密钥信息。

对于量子黑客攻击的威力，有不同的看法。一种看法会倾向于认为，为了达到更广泛的无条件安全，需要假设通过物理技术手段攻击的量子黑客具有无限强大的物理实现能力；此时将无法证明漏洞能被防御者穷尽，或者防御手段绝对有效，并因此否定QKD的实用价值。而第二种看法是从被攻击系统角度来看，认为对于一个有限的物理系统，可利用的漏洞是有限的；经过充分地分析，这些漏洞总会被发现和弥补，最终可以达到有保障的安全性。近年来，关于QKD系统的量子黑客攻击研究并没有发现什么新类型的漏洞，也就是说，从研究现状而言，很大程度上支持了第二种观点的适用性。

下期预告

既然量子安全科技内涵是如此丰富，那么，现今它到底发展到了什么程度呢？下期内容，康老师将对当前量子安全技术的发展现状和应用场景给同学们进行一个全景阐述。