以下文章来源于中国信息协会量子信息分会 ，作者中国信息协会

上期，我们对量子安全的丰富内容以束广就狭、管中窥豹的方式进行了阐述。本期作为这个系列的最后一期，将对量子安全技术的应用场景、发展现状和未来预期做一个简述。

量子安全的大戏已经拉开剧幕，重头戏也将纷纷上演。

本期，是康老师做客小盾课堂的最后一课

各位同学且听且珍惜

量子计算可以说近几年来占尽“眼球”和“先机”，保持着持续高速发展。2021年，中科大“九章2.0”及“祖冲之2.0”两台量子计算原型机更新了量子优越性的世界记录，也令现实量子计算机向着挑战现有密码体系更进了一步。与此同时，量子优越性的达成也激发了经典算法的研究，谷歌“悬铃木”2019年实现的量子优越性已经受到了来自经典的超级计算机算法的反攻，这种精彩的“量子—经典”互动探索前所未见，提升了人类对计算能力的认知。

量子计算对现有公钥密码体系安全性的威胁，已经得到了广泛认同。ICT行业在云、网、边、端等各个环节，以及以云计算、大数据、人工智能、物联网、区块链等为代表的各类含密码功能的新兴应用，都存在被量子计算攻击的广泛可能性。因此，量子安全成为国际研究热点及创新前沿也就顺理成章了。从发展态势上，基于新型数学难题的抗量子计算公钥密码算法PQC和基于量子物理的量子密码技术QKD已经担负起了抵御量子计算挑战的重任。两者看似有着一定的竞争关系，其实有着不同的发展路径，面向不同的应用场景，还可以合作搭配、互为增长。例如在2020年，由中科大、上海交大、国科量子、国盾量子等单位组成的联合团队提出并在QKD网络上实际验证了基于PQC认证的“PQC+QKD混合型”量子安全解决方案。

01 数学之盾——PQC应用场景与发展现状

后量子密码（Post Quantum Cryptography）产生的历史不短，1978年第一个基于纠错编码的具备抗量子特性的McEliece公钥密码算法就被提出了，时至今日，PQC的应用需求变得日益明确和紧迫，简而言之，现在不具备量子安全能力的公钥密码应用到哪里，未来PQC就可能替代到哪里，用来保证密钥生成、密码管理、密码服务的全过程都是量子安全的。

从现今密码技术应用场景可知，PQC的应用场景非常广泛，从技术层面就包括涉及终端设备的加密与认证，网络基础设施上的传输加密，云上数据中心的计算与数据安全，新型数据存储与计算架构的区块链应用等，不一而足。PQC应用推进牵涉面较广，不仅涉及PKI等国家和企业运营的安全基础设施，还涉及用户侧使用的密码模块、密码软件等软硬件的变更。也正源于此，PQC密码的标准化工作就尤为重要，这是PQC落地应用的第一步。在实现算法标准化后，才会到实际系统研发和基础设施推广建设阶段，逐步形成产业规模。根据Inside Quantum Technology的一份最新报告，到2029年，PQC功能将嵌入到众多设备和计算环境中，相关软件和芯片的市场将增至95亿美元。

PQC标准化过程中最受关注的是NIST（美国国家标准与技术研究院）主持的PQC算法筛选和标准化工作，各工作阶段过程如上表所示，自2016年启动以来，到2021年，进入了第三轮即计划中最终轮阶段，来自学术界和产业界的目光持续聚焦，令NIST倍感压力。第三轮形成的标准候选名单包括七个入选算法和八个候补算法，七个入选算法如下表所示。候补算法的作用是若一个或多个入选标准到发布前最后一刻可能存在漏洞的报告被NIST所认可，则候补算法可能替代成为入选算法。虽然在2022年5月，NIST发声说可能会在“现在的任何一天”发布其PQC标准清单，但近期一些针对入选算法的分析结果，可能会拖延他们的发布计划。

2022年2月，IBM专家发表论文宣称基于多变量密码（MQ）的Rainbow签名算法在其算法参数为安全等级为1的情况下，被笔记本电脑用53小时运行经典算法成功破解。2022年4月，以色列军方又发布了一份长达54页、内容丰富的技术报告《错误学习问题（LWE）的安全性报告：改进的双格攻击方法》，通过改进双格攻击方法能显著降低上述3个NIST标准入选算法Kyber、Saber和Dilithium的安全级别，使其低于NIST规定的阈值。据NIST数学家Dustin Moody说，在第三轮筛选和审查结束之后，NIST还将启动为期18-24个月的第四轮审查，有可能是在候补算法中进行再次遴选补位。

与此同时，IEEE、IETF、ETSI、ISO等国际标准化组织也在关注和持续研究PQC并编研发布了一系列文件。在标准化组织这些技术工作的基础之上，政府密码管理部门才能制定行动政策并依策行事。2022年5月，美国众议院通过了一项立法提案——“针对量子计算的网络安全准备行动法案”(The Quantum Computing Cybersecurity Preparedness Act)，以推动美国政府IT系统向抗量子密码技术的迁移。该法案明确提出超越传统计算能力的量子计算的快速发展使对手有可能用“现在存储、未来解密”的方法依靠强大的量子计算机解密当前产生的密文数据，因此美国政府要制定IT系统向后量子密码迁移的战略，关注NIST主导的PQC标准化进程，评估不使用PQC会导致的安全风险。

02 量子之盾——QKD应用场景与发展现状

自1984年第一个QKD协议BB84协议被提出以来，30余年来学者们提出了多种QKD及其它用途的量子密码协议，时至今日，离散变量QKD方案中的诱骗态 BB84协议成为其中安全验证最成熟、应用最广泛的协议，基于该协议的光纤量子密钥分发设备已经实现较大规模商用。目前无中继的现场光纤量子密钥分发距离世界纪录已达500km以上，实验室纪录已达800km以上；可融入现有通信及密码系统的小型化和芯片化QKD终端正在成为产品新趋势；世界范围内，更多的能执行量子通信任务的卫星和地面系统已经被规划设计出来。

英国政府发布的“量子时代的机会”研究报告中描绘了量子通信应用逐层推进的发展趋势，如下图所示，当前已基本完成量子通信的第一个阶段——QKD网络阶段，以QKD和QRNG（量子随机数发生器）在重点行业的应用推进为特征；正在迈向第二个阶段——量子安全的互联网阶段，在此阶段，量子安全将对ICT产业起到关键性的安全支撑作用，量子通信技术和设备将被普通用户所应用；第三阶段——量子互联网将提升到量子中继组网阶段，从而实现端到端的全量子安全网络。

在标准化方面，到2021年底，以ITU-T为代表的国际标准化组织已发布或通过QKD相关国际标准12项，我国通信标准化技术委员会已发布QKD相关行业标准3项，密码行业标准化技术委员会已发布QKD相关行业标准2项。2021年，我国商用密码检测中心也对国内主流量子密钥产品开展了检测认证。

近年来，我国在QKD技术的远距离、高速率、小型化、攻防验证、共纤传输，及与经典密码系统融合等方面取得了一系列创新成果，具备了自主可控的研发能力。商用产品也已进入规模化实用的阶段，如2021年中国电信发布了“天翼量子密话“，至今用户规模已累计超过30万；2022年5月，中国移动也发布了量子加密移动通信服务；同月，中国电信发布新一代量子安全高清通话服务“天翼量子高清密话”。

值得注意的是，并非只有中国在发展量子通信业态，在天地一体的广域量子保密通信网络方面，2021年7月，欧盟27个成员国已全部签署欧盟量子通信基础设施（EuroQCI）协议，由欧盟委员会协调地面部分建设，通过光纤通信网络连接国家和跨境战略站点，由欧空局（ESA）协调空间部分建设，基于卫星连接整个欧盟和全球的国家量子通信网络。2020年11月，韩国政府招标建设总长2000公里，覆盖全国48个政府部门的QKD网络，计划建成中国之外规模最大的QKD网络。

2016年以来，英国国家网络安全中心（NCSC）、美国国家安全局（NSA）就QKD技术体系的局限和面临的挑战，如传输距离受限、成本高昂等发表过质疑性的观点。这些质疑在工程技术层面已有解决方案，相关科研研究和验证工作也都在推进，未来可得到进一步的完善和提升。2019年12月，美国国防部发布的《量子技术应用》研究报告指出，QKD能提供信息论安全性（Information Theory Security），但在产业化方面还存在挑战，美国将继续了解和跟踪QKD在其他国家的发展和应用。2020年，NCSC对QKD的立场已发生了明显转变，认为“QKD可以在产业部门和关键国家基础设施中使用”。最近欧洲老牌的量子技术公司IDQ对本文上述以色列军方技术报告的报道中也认为“这是军事领域密码学家首次将QKD作为可能的解决方案。这是否会影响美国NSA和英国NCSC所持的反对使用量子技术来对抗量子威胁的态度呢？”

在课程的最后，我们也留下一个开放性的问题，对于各有长短的PQC和QKD技术，如何结合才能构建一个系统性的量子安全技术体系呢？或者说还需要有其他技术元素的加入？

完结

中国信息协会量子信息分会发布的《量子安全技术白皮书（2022年1月修订版）》整理了2021年之前的PQC和QKD技术的主要发展情况，供大家参考；之后至今，量子安全技术又有了很多的进展。我们将持续跟踪，并和大家继续分享。