Answers:
如果已证明给定的非对称加密协议依赖于即使由量子计算机也无法有效解决的问题,则量子密码学将变得无关紧要。
关键是,截止到今天,没有人能够做到这一点。确实,这样的结果将是一个重大突破,因为它将证明存在
一般而言,所有经典的非对称加密协议在给定问题很难解决的前提下都是安全的,但就我所知,在任何情况下,从计算复杂性的角度来看,事实都证明该问题确实难以指数化地解决。用量子计算机来解决(对于许多人来说,用经典计算机不能有效地解决问题)。
我认为伯恩斯坦(Bernstein)在他对量子后密码学的评论中对此做了很好的解释( Link)的。引用上面第一部分的内容,他刚才谈到了许多经典的加密协议:
对这些系统有更好的攻击吗?也许。这是加密中常见的风险。这就是社区在密码分析上投入大量时间和精力的原因。有时,密码分析师会发现毁灭性的攻击,这表明系统对于密码学是无用的。例如,Merkle-Hellman背包公共密钥加密系统的每个可用参数选择都很容易破解。有时,密码分析者发现的攻击并没有那么具有破坏性,但可以强制使用更大的密钥。有时,密码分析人员研究系统多年却没有发现任何改进的攻击,并且密码界开始建立信心,即已找到可能的最佳攻击,或者至少是现实世界中的攻击者将无法提出更好的解决方案。
另一方面,理想情况下,QKD的安全性并不依赖推测(或者,正如通常所说的,QKD协议原则上提供了信息理论上的安全性)。如果两方共享一个安全密钥,则通信通道是无条件安全的,并且QKD为他们交换这种密钥提供了无条件安全的方式(当然,仍然是在量子力学正确的前提下)。在上述评论的第4节中,作者提出了QKD与后量子密码学的直接比较(如果可能有偏差)。重要的是要注意,“无条件安全”当然是在信息理论上的意思,而在现实世界中,可能需要考虑更重要的安全方面。还应注意,QKD的实际安全性和实用性并非相信有些是事实(见如伯恩斯坦在这里和QKD上的相关讨论crypto.SE),并且该信息理论的QKD协议的安全是唯一真正的,如果他们正确地遵循,这尤其意味着共享密钥必须用作一次性垫。
最后,实际上,许多QKD协议也可能被破坏。原因是可以利用特定实现的实验缺陷来破坏协议(例如,参见1505.05303和npjqi201625的第6 页)。仍然可以使用独立于设备的QKD协议来确保针对此类攻击的安全性,该协议的安全性依赖于Bell的不平等违规行为,并且可以证明其不依赖于实现细节。问题在于,与常规QKD相比,这些协议甚至更难以实现。
量子密钥分配要求您用数百万欧元的专用光纤链路和专用计算机整体替换由5欧元的以太网电缆和0.50欧元的CPU构建的整个通信基础结构,而这些计算机实际上仅会执行经典的密钥加密。
另外,您还必须对通过量子密钥分发协商的共享密钥进行身份验证,除非您有足够的能力负担快递员将手提箱戴在手腕上的负担,否则您可能会使用经典的公共密钥加密技术进行身份验证。
FrançoisGrieu在crypto.se上提供了有关使量子密码学变得安全的更多详细信息。
技术差异的症结所在(成本和可部署性以及政治和阶级划分除外)是为了设计QKD系统的物理协议而设计的,因此它不必留下物理痕迹,以免将来的数学突破可以追溯地恢复通过这些专用光纤链路协商的共享机密。相比之下,使用经典密码学,互联网上的公共密钥密钥协议(窃听者通过网络记录每个比特)原则上可能会因未来的数学突破而被破坏。
然后,在这两种情况下,对等方都使用他们协商的共享密钥(无论是通过量子密钥分发还是通过经典的公共密钥密钥协议)作为经典密钥加密的密钥,原则上可以通过将来的数学突破来打破。(但是很聪明的资金雄厚的人经过数十年的努力并没有取得这些突破。)这并不意味着QKD的实际实现也不会留下任何实际痕迹。
综上所述,QKD是一种量子,所以它很性感,非常适合富裕的政府和银行,这些政府和银行拥有数百万欧元的全权委托资金,用于购买QKD等无用的玩具。书呆子玩的物理也很酷。
M. Stern提醒您注意QKD的另一个优点:它在链路层上运行,协商由光纤链路两个端点共享的秘密密钥-可能是一个合法用户,而MITM则通过流氓被拼接到该光纤链路中QKD设备。如果在量子至高无上的时代,我们用 QKD 取代了世界上所有的经典公钥密钥协议,那么当前应用程序通过互联网与对等方协商秘密密钥,以通过任何可路由的介质进行端到端的身份验证加密,取而代之的是,他们必须与其ISP协商秘密密钥,而ISP将与其上游ISP协商秘密,依此类推,逐跳认证加密。这对于世界主要政府的好人来说是一个福音,因为他们试图(追溯地)监视用户通信以根除恐怖分子和激进主义者,记者和社会上其他不便的人,因为ISP必定准备好秘密密钥来进行交接。给警察